在 Microsoft Intune 中設定 Android 企業裝置的端對端指南

本指南可協助系統管理員瞭解如何在 Microsoft Intune 環境中設定Android企業裝置並進行疑難解答。 其中涵蓋下列常見案例:

  • 上線至Google
  • 應用程式部署
  • 啟用工作配置檔註冊
  • 設定條件式存取
  • 工作配置檔註冊終端用戶體驗
  • 發出工作配置檔密碼重設

它可協助您決定哪個管理功能最適合您的組織,並提供Android企業相關常見問題。

評估您的需求

在 Intune 中啟用 Android 企業裝置之前,您必須先判斷要將這些裝置註冊為個人裝置, (攜帶您自己的裝置,或是 BYOD) 或公司裝置。

BYOD 裝置

BYOD 裝置設定為具有 Android Enterprise 工作配置檔。 這項功能內建於 Android 5.1 和更新版本。 這項功能可讓工作應用程式和資料儲存在裝置上個別、獨立、由公司管理的空間中。 由於個人應用程式和數據會保留在用戶個人配置檔內的裝置上,因此員工可以像平常一樣繼續使用他們的裝置。

公司裝置

公司擁有的裝置有兩個選項,且每個都提供唯一的使用案例:

  • 專用裝置 (先前稱為 COSU 或公司擁有的單一使用) 。

    注意事項

    本指南中使用的範例著重於 BYOD 案例。 如需 COSU) 案例 (專用裝置的詳細資訊,請參閱 使用 QR 程式代碼註冊方法的 COSU 設定和註冊

    專用裝置通常會鎖定為單一應用程式或一組應用程式, (也稱為 kiosk 模式) 。 它可讓系統管理員控制裝置上的狀態列、鍵盤佈局、鎖定畫面和其他設定等專案。 它可防止使用者啟用其他應用程式,或變更專用裝置上的特定設定。

    注意事項

    您以這種方式管理的裝置會在沒有用戶帳戶的 Intune 中註冊,且不會與任何使用者相關聯。 它們不適用於個人用途應用程式,或對 Outlook 或 Gmail 等使用者特定帳戶數據有強烈需求的應用程式。

  • 完全受控裝置 (先前稱為 COBO 或僅限公司擁有的企業) 。

    注意事項

    如需完全受控裝置的詳細資訊,請 參閱設定 Android Enterprise 完全受控裝置的 Intune 註冊

    完全受控裝置適合以使用者為中心的案例。 單一使用者與裝置相關聯,而系統管理員仍會保留裝置 (的完整控制權,而不是多個使用者擁有控制權) 的工作配置檔案例。

當您決定如何註冊裝置時,請注意並非所有功能都適用於這兩種方法。 下表顯示一些主要差異。

功能集 BYOD (工作配置檔) 專用 (kiosk) 完全受控
Managed Email 配置檔 ×
Managed Wi-Fi 配置檔
受控 VPN 設定檔 ×
SCEP 憑證配置檔
PKCS 憑證配置檔 ×
受信任的憑證配置檔
自訂配置檔 × x
防止恢復出廠預設值 ×
封鎖相機 & 螢幕擷取
區塊音量按鈕 ×
封鎖複製和貼上/數據共用
Managed Password
(必要) 的 Managed 應用程式
(可用) 的 Managed 應用程式 ×
容器化配置檔 × x
Kiosk 層級 裝置管理 × x
個人 裝置管理 × x
NFC-Based 註冊 ×
Token-Based 註冊 ×
QR Code-Based 註冊 ×
零觸控 ×
合規性/條件式存取 ×

如需詳細資訊,請參閱實作您的 Microsoft Intune 方案

將 Intune 帳戶連線到 Android 企業帳戶

在您的環境中設定 Android 企業的第一個步驟是將您的 Intune 租使用者帳戶連線到您的 Android 企業帳戶:

  1. 建立Google服務帳戶 (@gmail.com) 。

    注意事項

    此帳戶會與您租使用者的所有 Android 企業管理工作相關聯。 這是貴公司的IT系統管理員將共用的Google帳戶,以在Google Play控制台中管理和發佈應用程式。 您可以使用現有的 Google 帳戶或建立新的帳戶。 您使用的帳戶不得與 G-Suite 網域相關聯。

  2. 使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心

  3. 移至 [裝置>Android Android>註冊>受控 Google Play],選取 [ 我同意],然後選取 [ 立即啟動 Google 以連線 ] 以開啟受控 Google Play 網站。

    [受控 Google Play] 頁面的螢幕快照,您可以在其中啟動 Google 進行連線。

  4. 登入您的Google帳戶,然後選取 [ 開始使用]

    選取 [開始使用] 頁面。

  5. 輸入您的公司名稱,然後選取 [ 下一步]

    輸入您的公司名稱頁面。

  6. 接受條款,然後選取 [ 確認]

  7. 取 [完成註冊]

    選取 [完成註冊] 頁面。

如需詳細資訊,請 參閱將 Intune 帳戶連線到受控 Google Play 帳戶

部署應用程式

在您的 Intune 帳戶連線到您的 Android 企業帳戶之後,您可以遵循下列步驟來部署一些應用程式:

  1. 使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心

  2. 移至 [所有>應用程式]>[新增]

  3. 在 [ 選取應用程式類型] 窗格中,找出可用的 市集應用程式 類型,然後選取 [ 受控 Google Play 應用程式]

  4. 取 [選取]。 受 控Google Play App Store 隨即顯示。

    受控Google Play App Store。

  5. 搜尋應用程式以檢視應用程式詳細數據。 範例:Intune 公司入口網站 應用程式。

  6. 在顯示應用程式的頁面上,選取 [ 核准]。 應用程式的視窗隨即開啟,並提示您授與應用程式執行各種作業的許可權。

    在範例 Intune 公司入口網站 中選取 [核准]。

  7. 再次選取 [核准 ] 以接受應用程式許可權。

    再次選取 [核准] 以接受應用程式許可權。

  8. 在 [ 核准設定] 索引標籤上 ,選取 [應用程式要求新許可權時保持核准],然後選取 [ 儲存]

    當應用程式在 [核准設定] 索引標籤下要求新許可權時,選取 [保持核准]。

  9. 按兩下 [選取 ] 以選取應用程式。

  10. 選取頂端的 [同步 處理],以同步處理應用程式與受控Google Play 服務。

  11. 取 [重新整理 ] 以更新應用程式清單,並顯示新增的應用程式。

    注意事項

    Intune 與受控 Google Play 商店之間的應用程式同步處理是手動的。 因此,每次核准新的應用程式時,都必須選取 [ 同步 處理] 按鈕。

  12. 將應用程式新增至 Microsoft Intune 之後,您可以將應用程式指派給使用者和裝置。 從 Microsoft Intune 系統管理中心,移至 [應用程式>所有應用程式]。 查看 [ 管理] 底下,以查看列表中顯示的應用程式。

    Microsoft Intune 系統管理中心的 [所有應用程式] 頁面。

  13. 若要將應用程式指派給群組,請選取您要指派的應用程式。 在功能表的 [管理] 區段中,選取 [屬性],然後選取 [指派] 旁的 [編輯],以開啟 [新增群組] 窗格。

    選取 [屬性],然後選取 [指派]。

  14. 在 [ 指派] 索引標籤的 [ 必要] 底下,選取 [ 新增群組],選取要包含的群組,然後選取 [ 選取]

    選取 [必要] 下方的 [新增群組]。

  15. 在 [ 指派] 窗格上,選取 [ 檢閱 + 儲存] 以完成包含的群組選取。

  16. 在 [ 指派] 窗格中,選取 [ 儲存 ] 以儲存變更。

  17. 返回 [ 應用程式屬性] 檢視,並確認 [ 指派] 底下的應用程式。

    確認應用程式指派。

如需應用程式部署的詳細資訊,請參閱將Android Enterprise系統應用程式新增至 Microsoft Intune

啟用 Android 企業工作配置檔註冊

  1. 從 Intune 入口網站,移至 [裝置註冊註冊>限制],然後選取 [裝置類型限制] 下的 [預設]。

    [裝置類型限制] 畫面。

  2. 選取 [屬性>][選取平臺],選取 [封鎖Android],選取 [ 允許Android 工作配置檔],選取 [ 確定],然後選取 [ 儲存 ] 以儲存您的變更。

    註冊屬性畫面。

    注意事項

    默認限制的優先順序最低且適用於所有使用者,因此無法編輯。 當您建立其他自定義限制時,請留意指派這些限制的群組,以免與此組態產生衝突。

如需詳細資訊, 請參閱設定 Android Enterprise 工作配置檔裝置的註冊

設定條件式存取

  1. 將 Gmail 應用程式或 Nine Work 應用程式部署為 必要專案

  2. 依照下列步驟建立應用程式的電子郵件設定檔:

    1. 在 Intune Azure 入口網站 中,選取 [裝置組>態配置檔>] [建立配置檔],然後輸入電子郵件設置檔的 [名稱] 和 [描述]。

    2. 從 [平臺] 下拉式清單中選取 [Android Enterprise]。

    3. [僅配置文件類型>工作配置檔] 中,選取 [Email]。

    4. 設定電子郵件設置檔設定。

      設定電子郵件設置檔設定。

      如需這些設定的詳細資訊,請參閱 在 Intune 中設定電子郵件、驗證和同步處理的 Android 裝置設定

  3. 建立電子郵件設置檔之後,請將它指派給群組。

    [指派] 畫面。

  4. 設定 裝置型條件式存取

如需詳細資訊, 請參閱設定 Android 工作設定檔裝置的條件式存取

註冊您的 Android 企業裝置

  1. 使用您的工作帳戶登入,然後點選 [ 立即註冊]

    [立即註冊] 畫面。

  2. 在 [ 存取設定] 畫面上,點選 [ 繼續]

    存取設定畫面。

  3. 在隱私聲明畫面上,點選 [ 繼續]

    隱私聲明畫面。

  4. 在 [ 下一個功能] 畫面上,點選 [ 下一步]

    下一個畫面的內容。

  5. 在 [ 設定工作配置檔 ] 畫面上,點選 [ 接受]

    設定工作配置文件畫面。

  6. 在 [ 啟用工作配置檔 ] 畫面上,點選 [ 繼續]

    啟動工作配置文件畫面。

    注意事項

    您可以在頂端看到徽章圖示,這表示您現在位於工作配置檔內。

  7. 在 [ 全部設定 ] 畫面上,點選 [ 完成]

    您全都已設定螢幕。

  8. 您現在可以登入 Gmail。 當系統提示您更新安全性設定時,請點選 [ 立即更新]

    安全性更新畫面。

  9. 選 [啟用 ] 以裝置系統管理員身分啟用 Gmail。

    裝置系統管理員畫面。

如需詳細資訊,請 參閱註冊 Android 裝置

重設Android工作設定文件密碼

  1. 依照下列步驟建立需要工作配置文件密碼的裝置配置檔:

    1. 在 Intune Azure 入口網站 中,選取 [裝置組態>配置檔>] [建立配置檔],輸入配置檔的 [名稱] 和 [描述]。

    2. 從 [平臺] 下拉式清單中選取 [Android Enterprise]。

    3. [僅配置檔類型>工作配置檔] 中,選取 [ 裝置限制]

    4. [工作配置檔設定] 中,選取 [需要工作配置文件密碼] 中的 [需要]。

      工作配置檔屬性頁面。

  2. 在 Android 企業裝置上,如果您尚未設定工作設定檔密碼,系統會提示您設定密碼。

  3. 等候您收到第二個提示,指出 保護您的工作配置檔 - 授權公司支援人員從遠端重設您的工作配置檔密碼。 輸入密碼以授權重設。 它會啟動 Intune 成功執行此動作所需的重設密碼令牌。

    保護您的工作配置文件畫面。

    注意事項

    如果您略過上述任何步驟,將會收到下列錯誤訊息:
    起始重設密碼失敗

  4. 取 [重設密碼]

    重設密碼畫面。

  5. 重設完成之後,會顯示暫時密碼。

    重設密碼完成畫面。

  6. 在您的裝置上輸入此暫時密碼。

  7. 當您需要設定新的 PIN 時,必須重新輸入此暫時密碼,然後輸入新的 PIN 碼。

如需密碼重設的詳細資訊,請 參閱重設Android工作配置檔密碼

常見問題集

  • 問題:為什麼未從Google Play for Work 商店核准的應用程式不會從 Intune 管理員 入口網站的 [Mobile Apps] 頁面中移除?

    :這是預期的行為。

  • 問題:為什麼在 Intune 入口網站的 [ 探索 到的應用程式] 底下,受控 Google Play 應用程式不會回報?

    :這是預期的行為。

  • 問題:為什麼未透過 Intune 部署的受控 Google Play 應用程式會顯示在工作配置檔中?

    :建立工作配置檔時,裝置 OEM 可以在工作設定檔中啟用系統應用程式。 它不是由 MDM 提供者控制。

    若要進行疑難解答,請遵循下列步驟:

    1. 收集 公司入口網站 記錄。
    2. 請注意在工作配置檔中意外出現的任何應用程式。
    3. 從 Intune 取消註冊裝置,並卸載 公司入口網站。
    4. 安裝 測試 DPC 應用程式,允許在沒有 EMM 的情況下建立工作設定檔以進行測試。
    5. 請遵循 測試 DPC 中的指示,在裝置上建立工作配置檔。
    6. 檢閱出現在工作配置檔中的應用程式。
    7. 如果相同的應用程式顯示在測試 DPC 應用程式中,OEM 會預期該裝置的應用程式。
  • 問題:為什麼工作配置檔註冊的裝置無法使用 [抹除 (處理站重設) ] 選項?

    :這是預期的行為。 在工作配置檔案例中,MDM 提供者無法完全控制裝置。 唯一可用的選項是 [淘汰 (移除公司數據) ,這會移除整個工作配置檔及其所有內容。

  • 問題:為什麼我找不到工作配置檔註冊裝置上的檔案路徑內部記憶體/Android/Data.com.microsoft.windowsintune.companyportal/files,以手動收集 公司入口網站 記錄?

    :這是預期的行為。 此路徑僅針對裝置 管理員 (舊版 Android 註冊) 案例建立。

    若要收集記錄,請遵循下列步驟:

    1. 在具有徽章的 公司入口網站 應用程式中,點選 [功能表>說明>Email 支援],然後點選 [傳送 Email & 上傳記錄]
    2. 當系統提示您傳送說明要求時,請選取其中一個 Email 應用程式。
    3. 系統會產生一封電子郵件給您的IT系統管理員,其中包含可提供給 Microsoft 產品支援人員的事件標識碼。
  • 問題:我已檢查受控 Google Play 上次同步處理時間,但數天未更新。 為什麼?

    :這是預期的行為。 只有當您手動執行同步處理時,才會觸發同步處理。

  • 問題:工作配置檔註冊的裝置是否支援 Web 應用程式?

    :是。 所有 Android Enterprise 案例都支援 Web 應用程式 (或 Web 連結) 。

  • 問題:是否支援裝置密碼重設?

    :對於已註冊工作配置檔的裝置,如果工作配置文件密碼受到管理,且使用者允許您重設工作配置檔密碼,則只能在執行 Android 8.0+ 的裝置上重設工作設定檔密碼。 針對專用且完全受控的裝置,支援裝置密碼重設。

  • 問題:我的裝置必須在註冊時加密。 是否有關閉加密的選項?

    :否。 Google 需要對工作配置檔進行加密。

  • 問題:為什麼 Samsung 裝置會封鎖 SwiftKey 等第三方鍵盤的使用?

    :Samsung 開始在 Android 8.0+ 裝置上強制執行此動作。 Microsoft 目前正與 Samsung 合作處理此問題,並會在有新資訊可用時張貼新資訊。