在 Microsoft Intune 中設定 Android 企業裝置的端對端指南

文章
05/27/2023

本指南可協助系統管理員瞭解如何在Microsoft Intune環境中設定 Android 企業裝置並進行疑難排解。其中涵蓋下列常見案例：

上線至 Google
應用程式部署
啟用工作設定檔註冊
設定條件式存取
工作設定檔註冊終端使用者體驗
發出工作設定檔密碼重設

它可協助您決定哪個管理功能最適合您的組織，並提供 Android 企業相關常見問題。

評估您的需求

在 Intune 中啟用 Android 企業裝置之前，您必須先判斷您要將這些裝置註冊為個人裝置 (自備裝置，還是 BYOD) 或公司裝置。

BYOD 裝置

BYOD 裝置設定為具有 Android Enterprise 工作設定檔。這項功能內建于 Android 5.1 和更新版本。這項功能可讓工作應用程式和資料儲存在裝置上個別、獨立、由公司管理的空間中。由於個人應用程式和資料會保留在使用者個人設定檔內的裝置上，因此員工可以像平常一樣繼續使用他們的裝置。

公司裝置

公司擁有的裝置有兩個選項，且每個都提供唯一的使用案例：

專用裝置 (先前稱為 COSU 或公司擁有的單一使用) 。

注意事項

本指南中使用的範例著重于 BYOD 案例。如需 COSU) 案例 (專用裝置的詳細資訊，請參閱使用 QR 程式碼註冊方法的 COSU 設定和註冊。

專用裝置通常會鎖定為單一應用程式或一組應用程式， (也稱為 kiosk 模式) 。它可讓系統管理員控制裝置上的狀態列、鍵盤配置、鎖定畫面和其他設定等專案。它可防止使用者啟用其他應用程式，或變更專用裝置上的特定設定。

注意事項

您以這種方式管理的裝置會在沒有使用者帳戶的Intune中註冊，且不會與任何使用者相關聯。它們不適用於個人用途應用程式，或對 Outlook 或 Gmail 等使用者特定帳戶資料有強烈需求的應用程式。
完全受控裝置 (先前稱為 COBO 或僅限公司擁有的企業) 。

注意事項

如需完全受控裝置的詳細資訊，請參閱設定Intune Android Enterprise 完全受控裝置的註冊。

完全受控裝置適合以使用者為中心的案例。單一使用者與裝置相關聯，而系統管理員仍會保留裝置 (的完整控制權，而不是多個使用者擁有控制權) 的工作設定檔案例。

當您決定如何註冊裝置時，請注意並非所有功能都適用于這兩種方法。下表顯示一些主要差異。

功能集	BYOD (工作設定檔)	專用 (kiosk)	完全受控
Managed Email 設定檔	✓	×	✓
Managed Wi-Fi設定檔	✓	✓	✓
受控 VPN 設定檔	✓	×	✓
SCEP 憑證設定檔	✓	✓	✓
PKCS 憑證設定檔	✓	×	✓
受信任的憑證設定檔	✓	✓	✓
自訂設定檔	✓	×	x
防止恢復出廠預設值	×	✓	✓
封鎖相機 & 螢幕擷取	✓	✓	✓
區塊音量按鈕	×	✓	✓
封鎖複製和貼上/資料共用	✓	✓	✓
Managed Password	✓	✓	✓
(必要) 的 Managed 應用程式	✓	✓	✓
(可用) 的 Managed 應用程式	✓	×	✓
容器化設定檔	✓	×	x
Kiosk 層級裝置管理	×	✓	x
個人裝置管理	✓	×	x
NFC-Based註冊	×	✓	✓
Token-Based註冊	×	✓	✓
QR Code-Based註冊	×	✓	✓
零觸控	×	✓	✓
合規性/條件式存取	✓	×	✓

如需詳細資訊，請參閱實作您的Microsoft Intune方案。

將Intune帳戶連線至 Android 企業帳戶

在您的環境中設定 Android 企業的第一個步驟是將Intune租使用者帳戶連線到您的 Android 企業帳戶：

建立 Google 服務帳戶 (@gmail.com) 。

注意事項

此帳戶會與您租使用者的所有 Android 企業管理工作相關聯。這是貴公司的 IT 系統管理員將共用的 Google 帳戶，以在 Google Play 主控台中管理和發佈應用程式。您可以使用現有的 Google 帳戶或建立新的帳戶。您使用的帳戶不得與 G-Suite 網域相關聯。
使用Intune授權的全域管理員帳戶登入Microsoft Intune系統管理中心。
移至[裝置>Android Android>註冊>受控 Google Play]，選取 [我同意]，然後選取 [立即啟動 Google 以聯機] 以開啟受控 Google Play 網站。
登入您的 Google 帳戶，然後選取 [ 開始使用]。
輸入您的公司名稱，然後選取 [ 下一步]。
接受條款，然後選取 [ 確認]。
選 取 [完成註冊]。

如需詳細資訊，請參閱將您的Intune帳戶連線到受控 Google Play 帳戶。

部署應用程式

在您的Intune帳戶連線到您的 Android 企業帳戶之後，您可以遵循下列步驟來部署一些應用程式：

使用Intune授權的全域管理員帳戶登入Microsoft Intune系統管理中心。
移至[所有>應用程式]>[新增]。
在 [ 選取應用程式類型] 窗格中，找出可用的 市集應用程式 類型，然後選取 [ 受控 Google Play 應用程式]。
選 取 [選取]。受 控 Google Play App Store 隨即顯示。
搜尋應用程式以檢視應用程式詳細資料。範例：Intune 公司入口網站應用程式。
在顯示應用程式的頁面上，選取 [ 核准]。應用程式的視窗隨即開啟，並提示您授與應用程式執行各種作業的許可權。
再次選取 [核准 ] 以接受應用程式許可權。
在 [ 核准設定] 索引標籤上 ，選取 [應用程式要求新許可權時保持核准]，然後選取 [ 儲存]。
按一下 [選取 ] 以選取應用程式。
選取頂端的 [同步 處理]，以同步處理應用程式與受控 Google Play 服務。
選 取 [重新整理 ] 以更新應用程式清單，並顯示新增的應用程式。

注意事項

Intune與受控 Google Play 商店之間的應用程式同步處理是手動的。因此，每次核准新的應用程式時，都必須選取 [ 同步處理] 按鈕。
將應用程式新增至Microsoft Intune之後，您可以將應用程式指派給使用者和裝置。從Microsoft Intune 系統管理中心，移至[應用程式>所有應用程式]。查看 [ 管理] 底下，以查看清單中顯示的應用程式。
若要將應用程式指派給群組，請選取您要指派的應用程式。在功能表的 [管理]區段中，選取 [屬性]，然後選取 [指派] 旁的 [編輯]，以開啟 [新增群組] 窗格。
在 [ 指派] 索引標籤的 [ 必要]底下，選取 [ 新增群組]，選取要包含的群組，然後選取 [ 選取]。
在 [ 指派] 窗格上，選取 [ 檢閱 + 儲存] 以完成包含的群組選取。
在 [ 指派] 窗格中，選取 [ 儲存 ] 以儲存變更。
返回 [ 應用程式屬性] 檢視，並確認 [ 指派] 底下的應用程式。

如需應用程式部署的詳細資訊，請參閱將 Android Enterprise 系統應用程式新增至Microsoft Intune。

啟用 Android 企業工作設定檔註冊

從Intune入口網站，移至 [裝置註冊註冊>限制]，然後選取 [裝置類型限制] 下的 [預設]。
選取[屬性>][選取平臺]，選取[封鎖Android]，選取 [允許Android 工作設定檔]，選取 [確定]，然後選取 [儲存] 以儲存您的變更。

注意事項

預設限制的優先順序最低且適用于所有使用者，因此無法編輯。當您建立其他自訂限制時，請留意指派這些限制的群組，以免與此組態產生衝突。

如需詳細資訊，請參閱設定 Android Enterprise 工作設定檔裝置的註冊。

設定條件式存取

將 Gmail 應用程式或 Nine Work 應用程式部署為 必要專案。
依照下列步驟建立應用程式的電子郵件設定檔：
1. 在Intune Azure 入口網站中，選取 [裝置組態>設定檔>] [建立設定檔]，然後輸入電子郵件設定檔的[名稱] 和 [描述]。
2. 從 [平臺] 下拉式清單中選取 [Android Enterprise]。
3. 在[僅配置檔案類型>工作設定檔] 中，選取 [Email]。
4. 設定電子郵件設定檔設定。
  
  如需這些設定的詳細資訊，請參閱在 Intune 中設定電子郵件、驗證和同步處理的 Android 裝置設定。
建立電子郵件設定檔之後，請將它指派給群組。
設定裝置型條件式存取。

如需詳細資訊，請參閱設定 Android 工作設定檔裝置的條件式存取。

註冊您的 Android 企業裝置

使用您的工作帳戶登入，然後點選 [ 立即註冊]。
在 [ 存取設定] 畫面上，點選 [ 繼續]。
在隱私權聲明畫面上，點選 [ 繼續]。
在 [ 下一個功能] 畫面上，點選 [ 下一步]。
在 [ 設定工作設定檔 ] 畫面上，點選 [ 接受]。
在 [ 啟用工作設定檔 ] 畫面上，點選 [ 繼續]。

注意事項

您可以在頂端看到徽章圖示，這表示您現在位於工作設定檔內。
在 [ 全部設定 ] 畫面上，點選 [ 完成]。
您現在可以登入 Gmail。當系統提示您更新安全性設定時，請點選 [ 立即更新]。
點 選 [啟用 ] 以裝置系統管理員身分啟用 Gmail。

如需詳細資訊，請參閱註冊 Android 裝置。

重設 Android 工作設定檔密碼

依照下列步驟建立需要工作設定檔密碼的裝置設定檔：
1. 在Intune Azure 入口網站中，選取 [裝置組態>設定檔>][建立設定檔]，輸入設定檔的[名稱] 和 [描述]。
2. 從 [平臺] 下拉式清單中選取 [Android Enterprise]。
3. 在[僅配置檔案類型>工作設定檔] 中，選取 [裝置限制]。
4. 在[工作設定檔設定] 中，選取 [需要工作設定檔密碼] 中的 [需要]。
在 Android 企業裝置上，如果您尚未設定工作設定檔密碼，系統會提示您設定密碼。
等候您收到第二個提示，指出 保護您的工作設定檔 - 授權公司支援人員從遠端重設您的工作設定檔密碼。輸入密碼以授權重設。它會啟用重設密碼權杖，Intune才能成功執行此動作。

注意事項

如果您略過上述任何步驟，將會收到下列錯誤訊息：
起始重設密碼失敗
選 取 [重設密碼]。
重設完成之後，會顯示暫時密碼。
在您的裝置上輸入此暫時密碼。
當您需要設定新的 PIN 時，必須重新輸入此暫時密碼，然後輸入新的 PIN 碼。

如需密碼重設的詳細資訊，請參閱重設 Android 工作設定檔密碼。

常見問題集

問題：為什麼未從 Google Play for Work 商店核准的應用程式不會從 Intune 管理員入口網站的 [Mobile Apps] 頁面中移除？

答：這是預期的行為。
問題：為什麼受控 Google Play 應用程式不會在Intune入口網站的 [探索到的應用程式] 底下回報？

答：這是預期的行為。
問題：為什麼未透過工作設定檔中顯示的Intune部署受控 Google Play 應用程式？

答：建立工作設定檔時，裝置 OEM 可以在工作設定檔中啟用系統應用程式。它不是由 MDM 提供者控制。

若要進行疑難排解，請遵循下列步驟：
1. 收集公司入口網站記錄。
2. 請注意在工作設定檔中意外出現的任何應用程式。
3. 從 Intune 取消註冊裝置，然後卸載公司入口網站。
4. 安裝測試 DPC 應用程式，允許在沒有 EMM 的情況下建立工作設定檔以進行測試。
5. 請遵循測試 DPC 中的指示，在裝置上建立工作設定檔。
6. 檢閱出現在工作設定檔中的應用程式。
7. 如果相同的應用程式顯示在測試 DPC 應用程式中，OEM 會預期該裝置的應用程式。
問題：為什麼工作設定檔註冊的裝置無法使用 [抹除 (處理站重設) ] 選項？

答：這是預期的行為。在工作設定檔案例中，MDM 提供者無法完全控制裝置。唯一可用的選項是 [淘汰 (移除公司資料) ，這會移除整個工作設定檔及其所有內容。
問題：為什麼我無法在我的工作設定檔註冊裝置上找到檔案路徑內部儲存體/Android/Data.com.microsoft.windowsintune.companyportal/files，以手動收集公司入口網站記錄？

答：這是預期的行為。此路徑僅針對裝置管理員 (舊版 Android 註冊) 案例建立。

若要收集記錄，請遵循下列步驟：
1. 在具有徽章的公司入口網站應用程式中，點選 [功能表>說明>Email支援]，然後點選 [傳送Email & 上傳記錄檔]。
2. 當系統提示您傳送說明要求時，請選取其中一個Email應用程式。
3. 系統會產生一封電子郵件給您的 IT 系統管理員，其中包含可提供給 Microsoft 產品支援人員的事件識別碼。
問題：我已檢查受控 Google Play 上次同步處理時間，但數天未更新。為什麼？

答：這是預期的行為。只有當您手動執行同步處理時，才會觸發同步處理。
問題：工作設定檔註冊的裝置是否支援 Web 應用程式？

答：是。所有 Android Enterprise 案例都支援 Web 應用程式 (或 Web 連結) 。
問題：是否支援裝置密碼重設？

答：對於已註冊工作設定檔的裝置，如果工作設定檔密碼受到管理，且使用者允許您重設工作設定檔密碼，則只能在執行 Android 8.0+ 的裝置上重設工作設定檔密碼。針對專用且完全受控的裝置，支援裝置密碼重設。
問題：我的裝置必須在註冊時加密。是否有關閉加密的選項？

答：否。 Google 需要對工作設定檔進行加密。
問題：為什麼 Samsung 裝置會封鎖 SwiftKey 等協力廠商鍵盤的使用？

答：Samsung 開始在 Android 8.0+ 裝置上強制執行此動作。 Microsoft 目前正與 Samsung 合作處理此問題，並會在有新資訊可用時張貼新資訊。