Android Enterprise 工作配置文件管理概述

Microsoft Intune支持工作配置文件管理，这是一种 Android Enterprise 管理选项，可在已注册的设备上实现工作应用和数据的平台级分离。 当员工或学生在 Intune 中注册其设备时，他们启用工作配置文件的创建。 工作配置文件在设备上为用户的工作帐户创建单独的分区，以便用户可以在个人应用和工作应用之间轻松安全地切换。 当他们离开工作配置文件时，他们返回到设备的个人端，他们的个人应用和数据不受Intune策略影响。

注册个人设备的设备用户必须通过 Intune 公司门户 应用注册，而公司拥有设备上的用户必须通过 Microsoft Intune 应用注册。

本文概述了 Microsoft Intune 支持的 Android Enterprise 工作配置文件管理选项，其中包括：

• 公司拥有的设备的工作配置文件。
• 个人设备的工作配置文件。

你需要知道

Android Enterprise 并非随处可用。 在 Microsoft Intune 管理中心中创建注册配置文件之前，请确保 Android Enterprise 在你的区域中可用。 有关 Android Enterprise 的可用性和要求的详细信息，请参阅 Android Enterprise 要求 (打开 Android Enterprise 帮助) 。

在不支持 Android Enterprise 的地方，还有其他Intune支持的 Android 管理选项可供选择，包括：

• Android 开放源代码 平台 (AOSP) 管理
• Android 设备管理员管理
• 移动应用管理

托管的 Google Play 帐户

若要在 Intune 中为 Android Enterprise 设备启用设备和应用管理，必须将 Microsoft Intune 租户连接到托管的 Google Play 帐户。

管理工作配置文件

Microsoft Intune策略和设置仅适用于工作配置文件。 作为Intune管理员，你可以管理已注册设备的工作部分。

• Intune部署的所有应用都安装在工作配置文件中。 管理员可管理和监视工作配置文件范围内的应用和操作。
• 工作配置文件之外的所有 Android 应用和数据都属于个人，并受设备用户的控制。 用户可以在设备的个人端安装他们选择的任何应用。

工作配置文件中具有独特的应用图标，可帮助用户区分其设备上的工作应用和个人应用。

Intune中可用的设置（从注册到设备配置再到符合性），使你能够根据组织的需求定制保护级别。 有关适用设置的详细信息，请参阅：

• Intune中 Android Enterprise 的设备符合性设置
• 使用 Intune 允许或限制功能的 Android Enterprise 设备设置

应用发布和分发

托管的 Google Play 是 Android 企业应用分发和管理的必要组成部分。 在个人和公司拥有的设备上部署到工作配置文件的所有应用都来自托管的 Google Play 服务。

若要在 Play 商店中管理和部署应用，请使用 Google 管理的管理员凭据登录到 Google Play 网站。 在此处，可以批准应用进行部署。 批准的应用与Microsoft Intune同步，并显示在管理中心，你可以在其中部署和管理它们。 业务线 (LOB) 组织开发的应用必须使用 Google Play 托管发布控制台发布到托管的 Google Play。

无需用户交互即可安装应用，也无需用户允许从未知源安装应用。 若要浏览和安装可选或可用应用，用户可以在其设备上浏览托管的 Google Play 商店。 有关详细信息，请参阅使用 Intune 将应用分配到 Android 企业工作配置文件设备。

应用配置

Android 企业提供基础结构，用于将应用配置值部署到支持它们的应用。 通过为工作应用指定值，可以确保在用户首次启动应用时正确配置它们。 对应用配置的支持要求应用开发人员创建专门用于支持托管配置值的 Android 应用。 完成此操作后，可使用 Intune 指定和应用这些配置设置。 有关详细信息，请参阅为受管理的 Android 设备添加应用配置策略。

电子邮件配置

Android Enterprise 不提供默认电子邮件应用或（如 iOS/iPadOS 提供的）本机电子邮件配置文件对象。 相反，可以通过Intune应用配置设置为受支持的电子邮件应用配置电子邮件设置。

Gmail 和 Nine Work 是 Play Store 中支持 Android Enterprise 应用配置的两Exchange ActiveSync (EAS) 客户端应用。 Intune为 Gmail 和 Nine Work 应用提供配置模板，以便你可以将它们作为工作应用进行管理。 可以在应用配置策略中配置支持应用配置文件的其他电子邮件应用。

如果对个人或公司拥有的设备使用Exchange ActiveSync条件访问，请考虑使用 Gmail 或 Nine Work 电子邮件应用。 还支持 Microsoft Outlook for Android 应用以及通过 MSAL 使用新式身份验证的任何其他电子邮件应用。 有关详细信息，请参阅如何在 Microsoft Intune 中配置电子邮件设置。

提示

Azure AD 身份验证库 (ADAL) 已被弃用，因此我们建议将当前使用 ADAL 的应用更新为 MSAL。 有关详细信息，请参阅 更新应用程序以使用 Microsoft 身份验证库 (MSAL) 和 Microsoft Graph API。

应用保护策略

Microsoft Intune支持应用保护策略应用于工作配置文件和设备的个人端的应用。 你可以在 Google Play 发布控制台中发布业务线应用，并且可以将应用设为组织专用。

有关工作配置文件的应用保护策略的详细信息，请参阅以下文章：

• 应用保护策略概述

• 在 Intune 中添加工作配置文件设备的设备符合性策略

VPN 配置文件

VPN 支持类似于 Android VPN 配置文件。 Android Enterprise 管理提供了相同的 VPN 提供程序和基本配置选项，但有两个区别：

• 工作配置文件范围的 VPN - VPN 连接仅限于在个人和公司拥有的设备上部署到工作配置文件的应用，因此只有托管应用可以使用 VPN 连接。 设备上的个人应用无法使用托管 VPN 连接。 有关详细信息，请参阅 Android 企业 VPN 设置。

• 特定于应用的 VPN - 如果 VPN 提供程序支持以下条件，可以在 Intune 中配置特定于应用的 VPN：

  • 特定于应用的 VPN 的配置。

  • 通过 Android Enterprise 应用配置文件配置每个应用 VPN 的功能。

  有关详细信息，请参阅使用 Microsoft Intune 自定义配置文件为 Android 设备创建每个应用 VPN 配置文件。

证书配置文件

适用于 Android 管理的相同证书配置文件配置可用于个人和公司拥有的设备上的工作配置文件。 Android 企业提供增强的证书管理 API。

增强的证书管理：

• 确保证书部署对于用户而言是无提示且无缝的。

• 确保在设备从Intune停用并删除工作配置文件时删除已部署的证书。

• 通知设备用户，证书已由其 IT 支持人员通过Microsoft Intune进行部署和配置。

有关详细信息，请参阅在 Microsoft Intune 中为设备配置证书配置文件。

Wi-Fi 配置文件

当设备从Intune停用并删除工作配置文件时，将删除 Wi-Fi 配置文件。 有关详细信息，请参阅如何在 Microsoft Intune 中配置 Wi-Fi 设置。

后续步骤

• 适用于 Android 的注册部署指南

• 使用 Intune 将应用分配到 Android 企业工作配置文件设备