注册 Android Enterprise 专用设备、完全托管设备或公司拥有的工作配置文件设备

  • 项目

重要

在注册完成之前,设备用户不应重启设备。 如果设备用户在注册期间使用工作配置文件设置完全托管的设备或公司拥有的设备重新启动其设备,则其设备可能无法注册 Microsoft Intune。 重启的设备可能可以注册,但不会获得 Intune 策略的保护。

在 Intune 中设置好 Android Enterprise 专用设备完全托管设备公司拥有的工作配置文件设备后,即可注册设备。 专用设备、完全托管设备和公司拥有的工作配置文件设备的 Intune 注册从恢复出厂设置开始。 Android Enterprise 设备的注册方式取决于操作系统。

注册方法 适用于专用设备和完全托管设备的最低 Android OS 版本
近场通信 8.0
令牌输入 8.0
QR 码 8.0
Zero Touch 8.0

参与制造商。
Knox 移动注册 8.0

仅限 Samsung Knox 2.8 或更高版本设备。

提示

Android 版本 8.0 和更高版本中提供了公司拥有的工作配置文件 (COPE) 设备管理。

注意

如果定义了Microsoft Entra条件访问策略,该策略使用要求设备标记为合规的授予控制或阻止策略,并应用于所有云应用Android浏览器,则必须从此策略中排除Microsoft Intune云应用。 这是因为 Android 安装进程使用 Chrome 选项卡在注册过程中对用户进行身份认证。 有关详细信息,请参阅Microsoft Entra条件访问文档

使用 QR 码注册

Intune 管理员可以直接从注册配置文件扫描 QR 码来注册设备。 对于大多数客户方案,建议使用此注册方法。

  1. 擦除设备后,点击重复看到的第一个屏幕以启动 QR 读取器。
  2. 如果系统提示,请在设备上安装 QR 读取器。 运行 Android 9.0 及更高版本的设备预安装了 QR 读取器。
  3. 扫描注册配置文件 QR 码,然后按照屏幕上的提示完成注册。

    提示

    浏览器缩放设置可能会阻止设备扫描 QR 码。 如果设备难以扫描代码,请放大并重试。

使用 Google Zero Touch 注册

重要

设备必须从授权的零接触经销商购买,并支持零接触注册。 有关详细信息,例如先决条件、在何处购买设备以及如何将 Google 帐户与公司电子邮件相关联,请参阅 面向 IT 管理员的零接触注册 (打开 Android Enterprise 帮助文档) 。

此方法利用零接触注册和 Google 零接触注册门户来预配和注册公司拥有的设备。 当用户打开其设备时,预配会立即开始。 本部分介绍如何︰

  • 在 Microsoft Intune 管理中心创建包含预配详细信息的零接触配置。
  • 在零接触注册门户中创建包含预配详细信息的零接触配置。

在管理中心创建零接触配置

使用零接触 iframe 可以访问Microsoft Intune管理中心内的零接触注册门户和零接触配置。

若要启用 iframe,必须先添加 更新应用同步 权限,并为公司拥有的完全托管设备启用注册。 启用 iframe 后,可以:

  • 将零接触帐户链接到 Intune
  • 添加支持信息
  • 配置已启用零接触的设备
  • 自定义预配附加项

完成本部分中的步骤以启用 iframe。 若要改为在零接触注册门户中创建配置,请跳到 在零接触注册门户中创建配置

步骤 1:添加所需的权限

添加 更新应用同步 权限。

  1. 登录到 Microsoft Intune 管理中心管理员。
  2. 选择“ 租户管理>角色”。
  3. 从列表中选择你的角色。
  4. 选择“属性”
  5. 转到 “权限” ,然后选择“ 编辑”。
  6. 选择 “Android for Work”。
  7. “更新应用同步”旁边,选择“ ”。
  8. 选择“ 查看 + 保存 ”以查看所做的更改。
  9. 选择“保存”。

步骤 2:为公司拥有的设备启用注册

验证是否为公司拥有的完全托管设备启用了注册。

  1. 管理中心,转到“Android 设备>”。
  2. 选择 “Android 注册”。
  3. “注册配置文件”下,选择 “公司拥有的完全托管用户设备”。
  4. 验证“ 允许用户注册公司拥有的用户设备”设置是否设置为 “是”。

将零接触帐户与Microsoft Intune帐户关联。

  1. 管理中心,转到“Android 设备>”。

  2. 选择 “Android 注册”。

  3. “批量注册方法”下,选择“ 零接触注册”。

  4. iframe 随即打开。 选择“ 下一步 ”开始设置。

  5. 使用提供给经销商的 Google 帐户登录。 6 选择要链接的零接触帐户,然后选择“ 链接”。

  6. 将创建默认配置。 此时会显示一个屏幕,其中包含有关配置的基本信息。 Intune 将自动将默认配置应用于任何没有现有配置且已启用零点触控的设备。

    警告

    用于默认配置的令牌适用于完全托管的设备。 链接帐户后,Intune 中创建的默认零接触配置将替代在零接触注册门户中设置的默认配置文件。 如果要为公司拥有的工作配置文件设备或专用设备创建零接触配置,请不要将帐户链接到 Intune。 而是 在零接触门户中选择“查看设备”。 然后,继续阅读本文 中的“在零接触注册门户中创建配置 ”,了解后续步骤。

  7. 选择“下一步”以继续。

  8. 添加支持信息以在设置过程中为设备用户提供帮助。

  9. 选择“保存”。

将帐户与 Intune 关联后,默认配置将应用于尚未具有配置的已启用零接触的设备,以及经销商添加的未来设备。 可以查看现有的零接触配置、编辑支持信息、取消关联帐户,以及链接管理中心中的其他帐户。

在零接触注册门户中创建配置

在零接触 注册门户中添加零接触配置。 可以单独使用门户来管理配置,也可以将其与零接触 iframe 结合使用。 门户支持对完全托管的专用设备以及具有工作配置文件的企业拥有的设备进行配置。

  1. 使用 Google 帐户登录到零接触注册门户。

  2. 选择选项以添加新配置。

  3. 填写配置面板中的信息。

  4. 选择“Microsoft Intune”作为 EMM DPC 应用。

  5. 将以下 JSON 文本复制到 DPC extras 字段中。 将 替换为 YourEnrollmentToken 在注册配置文件中创建的注册令牌。 请务必给注册令牌加上双引号。

    {
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
    "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "YourEnrollmentToken"
}
}

  6. 输入组织的名称和支持信息,当用户设置其设备时,该信息将显示在屏幕上。

有关如何在零接触门户中分配默认配置或应用配置的详细信息,请参阅 面向 IT 管理员的零接触注册 (打开 Android 企业帮助文档) 。

使用 Knox 移动注册进行注册

若要使用 Samsung Knox 移动注册,设备必须运行 Android OS 版本 8.0 或更高版本和 Samsung Knox 2.8 或更高版本。 有关详细信息,请参阅 如何利用 Knox 移动注册自动注册设备

使用近场通信 (NFC) 注册

创建特殊格式的 NFC 标记,以预配运行 Android 8.0 或更高版本的 NFC 支持设备。 可以使用自己的应用或任何 NFC 标记创建工具。 有关详细信息,请参阅使用 Microsoft Intune 进行基于 C 的 Android 企业设备注册Google 的 Android 管理 API 文档

对于公司拥有的工作配置文件 (COPE) 设备,NFC 注册方法仅在运行 Android 版本 8.0 或更高版本的设备上受支持。 Android 11.0 不支持它。 有关详细信息,请参阅 Google 开发人员文档

使用令牌注册

在 QR 码或 NFC 方法不可用的情况下,建议将此方法用于新的设备或恢复出厂设置的设备。 它要求预配设备的人员键入注册令牌字符串 (示例: 12345) 提供它们。 准备好注册后,请直接与目标用户共享令牌,或将其发布到组织的支持站点以便于检索。 该令牌适用于所有 Intune 许可的用户,并且不会过期。

运行 Android 8.0 及更高版本的公司拥有的设备支持此方法。 设备注册管理器帐户不支持它。

可以将此方法与 Microsoft Intune DPC 标识符结合使用来设置完全托管的设备。 DPC 标识符方法在运行 Android 11 及更高版本的公司拥有的、个人启用 (COPE) 设备上不受支持。

  1. 打开设备。
  2. 在“欢迎使用”屏幕上,选择语言。
  3. 连接到无线网络,然后选择“ 下一步”。
  4. 接受 Google 条款和条件,然后选择“下一步”
  5. 在 Google 登录屏幕上,输入 afw#setup 而不是 Gmail 帐户。 此值是Microsoft Intune的 DPC 标识符。 选择 “下一步”。
  6. 为 Android 设备策略应用选择 “安装 ”。
  7. 继续安装策略。 某些设备可能要求接受附加条款。
  8. 在“注册此设备”屏幕上,允许设备扫描 QR 码。 或者,手动输入令牌。
  9. 请按照屏幕上的提示完成注册。

有关使用 DPC 标识符方法预配设备的详细信息,请参阅 Google 开发人员文档

后续步骤