使用 Intune 管理 Android 上的 AI - IT 管理员指南

在Microsoft Intune中，可以管理和限制在 Intune 中注册的 Android 设备上的生成 AI 使用。 可以阻止 (或允许) AI 应用、网站、屏幕驱动体验、设备上的 AI 服务和特定于 OEM 的 AI 功能。

本文列出了在 Android 设备上提供 AI 体验的不同方式，以及如何使用Intune来阻止这些体验。

使用本指南中的步骤时，可以管理和限制 Android 设备上的 AI 体验。

应用于：

• Android Enterprise

先决条件

设备平台要求

IT 管理员和安全工程师可以在以下 Android 注册类型上允许/阻止生成 AI：

• Android Enterprise 公司拥有的完全托管设备 (COBO)
• Android Enterprise 公司拥有的专用设备 (COSU)
• 具有工作配置文件的 Android Enterprise 公司拥有的设备 (COPE)
• Android Enterprise 个人拥有的工作配置文件设备 (BYOD)

若要详细了解不同的 Android 注册选项，请参阅 Android 注册指南。

设备配置要求

• 在Intune中注册的设备，包括共同管理的设备
• 在 Intune 管理中心链接的托管 Google Play 帐户 (设备 > Android > 注册>托管 Google Play)

角色要求

若要配置策略，请使用具有以下角色的帐户：

• 使用具有策略和配置文件管理器内置角色的帐户登录到 Microsoft Intune 管理中心。 有关内置角色的详细信息，请转到Microsoft Intune的基于角色的访问控制。

开始之前

• 创建 AI 策略时，可以将它们分配给 “所有用户 ”和“ 所有设备” 组。 尽管此分配是最简单的方法，但你可以将策略定位到特定用户和设备。

  若要了解详细信息，请参阅：

  • 用于分配面向特定用户和设备的应用的包含组和排除组。
  • 在面向特定用户和设备的Intune中分配策略。

• 对于具有工作配置文件 (COPE) 的公司自有设备和具有工作配置文件 (BYOD) 的个人拥有设备，大多数控件仅在工作配置文件中可用。 个人资料中不提供它们。

• 本指南中的步骤演示如何阻止 AI 体验。 如果要允许特定的 AI 体验，则可以使用相同的步骤，但将它们配置为允许而不是阻止。

• 创建并分配策略时，设备会在下次使用Intune检查时接收策略。 若要了解详细信息，请参阅Intune策略刷新间隔。

AI 在 Android 上的显示方式

在 Android 设备上，AI 可通过多种方式使用：

• AI 应用 - 可以在设备上下载和使用 ChatGPT、Microsoft Copilot 和 Perplexity 等独立应用。
• AI 网站 - 用户可以通过浏览器应用（如 Microsoft Edge 和 Chrome）访问 AI 网站。
• 屏幕驱动和助手体验 - 默认情况下，通常已安装并提供助手帮助等屏幕内容 (的 OS 集成功能，例如 Circle to Search) 或提供助手帮助。
• 设备上的 AI 服务 - Android 可以使用 AICore 在本地运行设备上的 Gemini Nano 基础模型。 消息、记录器或 GBoard 等应用使用 Gemini Nano 响应消息、生成摘要并建议智能回复。
• 特定于 OEM 的 AI 服务 - OEM 可能会实现自己的 AI 功能，例如 Samsung 的 Galaxy AI。

阻止 AI 应用

✅ 目标 - 最终用户无法从 Google Play 商店安装 AI 应用

可以从 Google Play Store 安装 ChatGPT、Copilot、Perplexity 和 Claude 等 AI 应用。 可以使用Intune阻止在设备上安装这些应用。

公司拥有的设备

支持的注册类型：

• 公司拥有的完全托管设备 (COBO)
• 公司拥有的专用设备 (COSU)
• 具有工作配置文件的公司自有设备 (COPE)

步骤 1 - 确定应用策略

确定组织的应用策略 - 阻止或允许：

• 阻止策略 - 除非管理员分配，否则无法下载 Google Play 商店中的应用。 设备上仅提供分配的应用。

  对于公司拥有的设备，此策略是默认策略。

• 允许策略 - 除非管理员明确阻止，否则可以下载所有应用。

  如果以下设置在设备限制配置文件中设置为 “允许 ”，则你的组织可能正在使用“允许”策略。 此设置允许下载非管理员指定的应用：

  • 设备>Android Enterprise>配置>创造>新策略>模板>设备限制>应用>允许访问 Google Play 商店中的所有应用

步骤 2 - 实施应用策略

在此步骤中，实现应用策略以阻止或允许 AI 应用。

阻止策略 (默认)

使用阻止策略时，除非明确允许，否则 Google Play 商店中无法下载任何应用。 使用以下步骤确保要阻止的应用尚未部署到设备。

1. 在Intune管理中心，转到“应用”“>Android > Android 应用”。
2. 选择应用名称 >“属性”。
3. 请确保 “分配” 未设置为 “必需”、未设置为 “可用于已注册的设备”，或未设置为“ 无论是否注册均可使用”。

如果未设置所有这些选项，则表示Intune策略尚未部署应用。 如果设置了这些选项中的任何一个，则部署应用。 在此方案中，可以将分配更改为 “卸载” 以将其从设备中删除。

允许策略

使用“允许”策略，可以下载 Google Play 商店中的所有应用。

1. 确定是否将 “允许访问 Google Play 商店中的所有应用” 设置设置为“允许”。

   如果使用 Copilot，可以要求 Copilot 为你检查此设置。 还可以创建新的设备限制配置文件来配置此设置。

   1. 在Intune管理中心，转到“设备>配置>”“创建新>策略”

   2. 配置以下属性，然后选择“ 创建”：

      • 平台：选择“Android Enterprise”。
      • 配置文件类型：选择 “模板>完全托管”、“专用”和“Corporate-Owned 工作配置文件>设备限制”。

   3. 展开 “应用程序 ”类别，并将 “允许访问 Google Play 商店中的所有应用 ”设置设置为 “允许”。

   4. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅 创建设备配置文件。

2. 添加要阻止的应用。

   将其添加到Intune后，可以阻止应用。 然后，它们被视为托管应用。

   1. 在Intune管理中心，转到“应用”“>Android > 创建>托管的 Google Play 应用”。
   2. 选择要阻止 >同步的 AI 应用。
   3. 在 “应用 Android >> Android 应用”中，确保应用显示在列表中。 同步可能需要几分钟时间。

3. 通过将特定应用分配给 “卸载”来阻止它们：

   如果设备上已安装这些应用，则为“ 卸载 ”分配应用会将其从设备中删除。

   1. 在Intune管理中心，转到“应用”“>Android > Android 应用”。
   2. 选择要卸载 >“属性”的 AI 应用。
   3. 选择 “作业>编辑”。
   4. 在 “卸载”中，添加组、用户或设备。

个人拥有的设备

支持的注册类型：

• 具有工作配置文件 (BYOD) 的个人拥有设备

默认情况下，除非明确允许，否则无法下载 Google Play 应用商店中的应用。 使用以下步骤确保要阻止的应用尚未部署到设备。

1. 在Intune管理中心，转到“应用”“>Android > Android 应用”。
2. 选择 AI 应用 >属性。
3. 请确保 “分配” 未设置为 “必需”、未设置为 “可用于已注册的设备”，或未设置为“ 无论是否注册均可使用”。

如果未设置所有这些选项，则表示Intune策略尚未部署应用。

应用可能是由用户手动安装或通过其他 MDM 解决方案安装的。 在这种情况下，请将分配设置为 “卸载” 以将其从设备中删除。

阻止 AI 网站

✅ 目标 - 在 Web 浏览器应用中阻止 AI 网站

可以使用Intune应用配置策略来阻止访问 Web 浏览器应用中的 AI 网站，例如 Microsoft Edge 和 Chrome。 仅阻止你输入的网站。 因此，还可以使用此方法仅允许特定的 AI 网站。 如果使用多个浏览器，则需要为每个 Web 浏览器应用创建单独的策略。

支持的注册类型：

• 公司拥有的完全托管设备 (COBO)
• 公司拥有的专用设备 (COSU)
• 具有工作配置文件的公司自有设备 (COPE)
• 具有工作配置文件 (BYOD) 的个人拥有设备

步骤 1 - 将 Web 浏览器添加为托管应用

若要配置浏览器设置，首先需要将浏览器应用添加到Intune以便它成为托管应用。

有关步骤，请参阅：

• 浏览器应用可能是 内置的。
• 如果应用未内置，则可以 从 Play Store 添加浏览器应用。

步骤 2 - 创建应用配置策略

使用以下步骤创建应用配置策略，该策略将 Web 浏览器应用配置为阻止访问你输入的 AI 网站。

1. 在Intune管理中心，转到“应用>配置>”“创建>托管设备”。

2. 在 “基本信息”中，配置以下属性：

   • 名称：输入策略的名称，例如 在 Edge 中阻止 AI 网站。

   • 平台：选择“Android Enterprise”。

   • 配置文件类型：选择注册类型：

     • 仅限完全托管、专用和 Corporate-Owned 工作配置文件
     • 个人拥有的工作配置文件设备

   • 目标应用：选择添加的浏览器应用，例如Microsoft Edge 或 Chrome。

3. 选择 下一步。

4. 在 “设置>配置设置格式”中，选择“ 输入 JSON 数据”。 输入要阻止的 URL 列表。 例如，输入：

   {
     "key": "URLBlocklist",
     "valueStringArray": [ "https://chatgpt.com", "https://claude.ai", "https://copilot.microsoft.com", "https://perplexity.ai", "https://gemini.google.com" ]
   }
   

5. 选择“ 下一步 ”，并继续创建策略。 有关分步说明，请参阅为托管 Android 企业设备添加应用程序配置策略。

阻止 Screen-Driven AI 体验

✅ 目标 - 阻止可读取屏幕内容的功能

AI 功能可以读取屏幕上的内容，并且可以根据屏幕上显示的屏幕截图和内容提供见解 & 建议。 其中一些功能内置于 OS 中，例如 Circle to Search，有些功能由 助手 应用提供。

若要阻止这些功能，可以使用Intune来限制屏幕截图功能，并阻止使用特权应用进行内容共享。

完全托管耿耿

支持的注册类型：

• 公司拥有的完全托管设备 (COBO)
• 公司拥有的专用设备 (COSU)

步骤 1 - 实现基本覆盖范围

此步骤创建一个设置目录策略，该策略配置 “使用特权应用阻止辅助内容共享 ”设置。

此设置阻止将辅助内容（如屏幕截图和应用详细信息）发送到特权应用，例如助手应用。 此设置可用于 Android AI 功能，例如圈到搜索。 此设置不会影响常规屏幕截图功能。

1. 在Intune管理中心，转到“设备>配置>”“创建新>策略”。

2. 输入以下属性：

   • 平台：选择“Android Enterprise”。
   • 配置文件类型：选择 “设置目录”。

3. 选择“创建”。

4. 在 “基本信息”中，输入配置文件 的名称 ，然后选择“ 下一步”。

5. 选择 “添加设置”。

6. 选择“ 常规 ”类别 >“”阻止使用特权应用共享辅助内容 “设置。 将其值设置为 True。

7. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅使用Intune设置目录配置设置。

步骤 2 - 实现全面覆盖 (可选)

为了获得更全面的保护，还可以通过阻止屏幕截图捕获来限制屏幕截图功能和其他功能。

此设置会阻止 AI 功能访问屏幕内容，但也禁用设备范围的屏幕截图。

1. 在Intune管理中心，转到“设备>配置>”“创建新>策略”。

2. 输入以下属性：

   • 平台：选择“Android Enterprise”。
   • 配置文件类型：选择 “设置目录”。

3. 选择“创建”。

4. 在 “基本信息”中，输入配置文件 的名称 ，然后选择“ 下一步”。

5. 选择 “添加设置”。

6. 选择“ 常规 ”类别 >“”阻止屏幕捕获 “设置。 将其值设置为 True。

   此设置阻止 AI 功能访问屏幕内容。 最终用户无法在设备上拍摄屏幕截图。

7. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅使用Intune设置目录配置设置。

公司拥有的工作配置文件

支持的注册类型：

• 具有工作配置文件的公司自有设备 (COPE)

步骤 1 - 实现基本覆盖范围

此步骤创建一个设置目录策略，该策略配置 “使用特权应用阻止辅助内容共享 ”设置。

此设置阻止将辅助内容（如屏幕截图和应用详细信息）发送到特权应用，例如助手应用。 此设置可用于 Android AI 功能，例如圈到搜索。 此设置不会影响常规屏幕截图功能。

1. 在Intune管理中心，转到“设备>配置>”“创建新>策略”。

2. 输入以下属性：

   • 平台：选择“Android Enterprise”。
   • 配置文件类型：选择 “设置目录”。

3. 选择“创建”。

4. 在 “基本信息”中，输入配置文件 的名称 ，然后选择“ 下一步”。

5. 选择 “添加设置”。

6. 选择“ 常规 ”类别 >“”阻止使用特权应用共享辅助内容 “设置。 将其值设置为 True。

7. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅使用Intune设置目录配置设置。

步骤 2 - 实现全面覆盖 (可选)

为了获得更全面的保护，还可以使用以下设置来限制屏幕截图功能和其他功能：

1. 在Intune管理中心，转到“设备>配置>”“创建新>策略”。

2. 输入以下属性：

   • 平台：选择“Android Enterprise”。
   • 配置文件类型：选择 “设置目录”。

3. 选择 下一步。

4. 在 “基本信息”中，输入配置文件 的名称 ，然后选择“ 下一步”。

5. 选择 “添加设置”。

6. 选择“ 常规 ”类别并配置以下设置：

   • 允许在工作配置文件和个人配置文件之间复制和粘贴：设置为 False。 此设置阻止工作配置文件和个人配置文件之间的复制和粘贴功能。 这有助于确保工作配置文件中的数据不会泄漏到个人配置文件中的 AI 应用。

   • 阻止屏幕捕获：设置为 True。 此设置阻止 AI 功能访问屏幕内容。 最终用户无法在工作配置文件中获取屏幕截图。

   • 工作配置文件和个人配置文件之间的数据共享：设置为 “阻止配置文件之间的所有共享”。 此设置阻止工作配置文件和个人资料之间的数据共享。 它有助于确保工作配置文件中的数据不会泄漏到个人配置文件中的 AI 应用。

7. 选择“ 个人配置文件” 类别并配置以下设置：

   • 阻止屏幕捕获：设置为 True。 此设置阻止 AI 功能访问屏幕内容。 最终用户无法在个人配置文件中获取屏幕截图。

8. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅使用Intune设置目录配置设置。

9. 创建设备限制配置文件以阻止特定 AI 应用。 此设置在设置目录中不可用。 因此，这就是创建单独的设备限制配置文件的原因。

   1. 在Intune管理中心，转到“设备>配置>”“创建新>策略”。

   2. 输入以下属性：

      • 平台：选择“Android Enterprise”。
      • 配置文件类型：选择 “模板>”“完全托管”、“专用”和“公司拥有的工作配置文件>”“设备限制”。

   3. 选择“创建”。

   4. 在 “基本信息”中，输入配置文件 的名称 ，然后选择“ 下一步”。

   5. 在 “配置设置”中，展开 “个人配置文件” 类别并配置以下设置：

      • 受限应用列表的类型：设置为 “阻止的应用 ”并添加要阻止的 AI 应用。

   6. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅 创建设备配置文件。

个人拥有的工作配置文件

支持的注册类型：

• 具有工作配置文件 (BYOD) 的个人拥有设备

若要防止个人配置文件中的 AI 应用使用敏感数据，可以配置以下设置。 这些设置有助于管理从工作配置文件到个人配置文件的数据流。

1. 在Intune管理中心，转到“设备>配置>”“创建新>策略”。

2. 输入以下属性：

   • 平台：选择“Android Enterprise”。
   • 配置文件类型：选择 “模板 > ”Personally-Owned 工作配置文件 > “”设备限制”。

3. 选择“创建”。

4. 在 “基本信息”中，输入配置文件 的名称 ，然后选择“ 下一步”。

5. 在 “配置设置”中，展开 “工作配置文件设置 ”类别。 以下设置及其默认值有助于限制 AI 数据泄漏。 如果这些设置中的任何一个已从默认值更改，则应将它们改回默认值。

   • 在工作配置文件和个人配置文件之间复制和粘贴：设置为 “阻止 ” (默认) 。
   • 工作配置文件和个人配置文件之间的数据共享：设置为 “设备默认值”。 设备默认限制工作配置文件和个人配置文件之间的共享。

6. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅 创建设备配置文件。

禁用设备上的 AI 系统应用

✅ 目标 - 阻止 Google 的本地 AI 处理

Gemini Nano 是 Google 的设备基础模型，可处理设备上的 AI 交互。 它在消息、记录器、GBoard 和其他服务中启用 AI 摘要和消息答复功能。 可以使用Intune禁用 AICore 系统应用。

支持的注册类型：

• 公司拥有的完全托管设备 (COBO)
• 公司拥有的专用设备 (COSU)
• 具有工作配置文件的公司自有设备 (COPE)
• 具有工作配置文件 (BYOD) 的个人拥有设备

使用以下步骤禁用 AICore 系统应用。

1. 在Intune管理中心，选择“应用 > Android > 创建”。

2. 在 “选择应用类型”中，选择“ 其他 > Android Enterprise 系统应用”，然后选择“ 选择”。

3. 在 “应用信息”中，配置以下属性，然后选择“ 下一步”：

   • 名称：输入 AICore。
   • 发布者：输入 Google Android。
   • 包名称：输入 com.google.android.aicore。

4. 在“范围标记”中，选择“下一步”。

5. 在 “分配 > 卸载”中，选择应用的组分配。 选择“ 卸载”时，将禁用该应用。

   选择 下一步。

6. 在 “查看 + 创建”中，查看为应用输入的值和设置。 完成操作后，选择“创建”。

禁用 OEM-Specific AI 功能

✅ 目标 - 关闭 OEM 提供的 AI 功能

OEM 可以在设备上包括自己的 AI 特性和功能，例如通过 Knox 服务插件实现的 Samsung Galaxy AI 体验。 这些功能通常通过 OEM 的 OEMConfig 应用进行管理。 使用 Intune，可以将 OEMConfig 应用配置为管理这些 AI 功能。

若要配置 OEMConfig 应用，需要知道应用中可用的 AI 设置。 请联系 OEM，获取其 OEMConfig 应用中可用 AI 控件的列表。

有关支持的 OEMConfig 应用的列表，请参阅 Intune 中的 OEMConfig - 支持的 OEMConfig 应用。

支持的注册类型：

• 公司拥有的完全托管设备 (COBO)
• 公司拥有的专用设备 (COSU)
• 具有工作配置文件的公司自有设备 (COPE)
• 具有工作配置文件 (BYOD) 的个人拥有设备

使用以下步骤添加、部署和配置 OEMConfig 应用及其 AI 功能。

步骤 1 - 添加 OEMConfig 应用

1. 在Intune管理中心，转到“应用”“>Android > 创建>托管 Google Play 应用>选择”。
2. 选择要配置的 OEMConfig 应用。
3. 选择 “选择>同步”。

确保应用显示在列表中， (应用 > Android > 应用) 。 同步可能需要几分钟时间。

步骤 2 - 部署 OEMConfig 应用

1. 在Intune管理中心，转到“应用”“>Android > Android 应用”。

2. 选择已添加的 OEMConfig 应用。

3. 选择 “属性>分配>编辑”。

4. 将组和/或用户添加到以下 分配：

   • 必需
   • 可用于已注册设备
   • 在注册或不注册的情况下可用

5. 检查并保存你的更改。

步骤 3 - 配置 OEMConfig 应用

1. 在Intune管理中心，转到“设备>管理设备>”“配置>创建新>策略”。

2. 输入以下属性：

   • 平台：选择“Android Enterprise”。
   • 配置文件类型：选择 “模板 > OEM 配置”。

3. 选择“创建”。

4. 在 “基本信息”中，配置以下属性，然后选择“ 下一步”：

   • 名称：输入配置文件的名称。
   • OEMConfig 应用：选择添加并分配的 OEMConfig 应用。

5. 在 “配置设置”中，选择“ 配置设计器 ”或“ JSON 编辑器” ，以配置 OEMConfig 应用中可用的设置。 如果选择“ 配置设计器”，则可能能够使用 “查找 搜索”框查找 AI 相关设置。

   可用设置取决于所选的 OEMConfig 应用。 请联系 OEM 获取其 OEMConfig 应用中可用 AI 控件的列表。

6. 选择“ 下一步 ”，并继续创建配置文件。 有关分步说明，请参阅 通过 OEMConfig 使用和管理 Android Enterprise 设备。

   请确保将配置文件分配给已将 OEMConfig 应用分配到的相同组和/或用户。

相关内容

• Android 注册指南
• 在 Microsoft Intune 中包含和排除应用分配
• 将应用分配到 Microsoft Intune 中的组
• 在 Microsoft Intune 的 Android Enterprise 设备上使用 OEMConfig
• Microsoft Intune Apple Intelligence 支持