为 Android Enterprise 完全托管设备设置注册

在 Microsoft Intune 中设置 Android Enterprise 完全托管设备 解决方案，以注册和管理公司拥有的设备。 完全托管的设备与单个用户关联，用于工作，而不是个人使用。 作为 Intune 管理员，可以管理整个设备并强制实施 Android Enterprise 工作配置文件中不可用的策略控制，例如：

• 仅允许从托管 Google Play 安装应用。
• 阻止用户卸载托管应用。
• 阻止用户恢复出厂设置设备。

你和设备用户可以在设备设置期间输入或扫描注册令牌来启动注册。 本文介绍注册的先决条件以及如何创建注册配置文件和令牌。 本文末尾，可以注册设备。

步骤 1：先决条件

完成这些先决条件以确保成功注册。

• 必须具有 Intune 独立租户，并且 移动设备管理 (MDM) 机构设置为 Microsoft Intune。

• 设备必须：

  • 运行 Android OS 8.0 及更高版本。
  • 运行具有 Google 移动服务连接的 Android 版本。
  • 让 Google 移动服务可用并能够连接到它。

  如果满足所有三个要求，则对设备制造商/OEM 没有限制。

• 请确保你的区域支持 Android Enterprise。 有关 Android Enterprise 要求，请参阅 Android Enterprise 入门。

• 将 Intune 租户帐户连接到 Android Enterprise 帐户。

• Android 设置过程在注册期间使用 Chrome 选项卡对设备用户进行身份验证。 如果具有具有以下配置的 Microsoft Entra 条件访问策略，则必须从策略中排除 Microsoft Intune 云应用：

  • 要求将设备标记为合规 设置用于授予或阻止访问权限。

  • 该策略适用于所有 云应用、 Android 和 浏览器。

步骤 2：创建新的注册配置文件

Intune 为完全托管的设备自动生成默认注册配置文件和注册令牌。 默认注册配置文件名为 “默认完全托管配置文件”。

若要创建新的注册配置文件，请执行以下操作：

1. 登录到 Microsoft Intune 管理中心。

2. 转到 “设备>注册”。

3. 选择“ Android ”选项卡。

4. 在 “Android 企业>注册配置文件”下，选择 “公司拥有的完全托管用户设备”。

5. 选择“ 创建配置文件”。

6. 输入配置文件的基础知识：

   • 名称：为配置文件命名。 请记下该名称以供以后使用，因为在设置动态设备组时需要它。

   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

   • 令牌类型：选择要用于注册公司完全托管设备的令牌类型。 有关详细信息，请参阅本文中的 令牌类型 。 选项包括：

     • 公司拥有的完全托管 (默认)

     • 公司拥有的、完全托管的、通过过渡

   • 令牌到期日期：仅适用于暂存令牌。 输入希望令牌过期的日期，最长为未来 65 年。 可接受的日期格式： MM/DD/YYYY 或 YYYY-MM-DD 令牌在创建的时区中的 12：59：59 PM 在所选日期到期。

7. 选择“ 下一步 ”以继续 转到“作用域标记”。

8. 应用一个或多个范围标记，以将配置文件可见性和管理限制为 Intune 中的某些管理员用户。 作用域标记是可选的。 有关如何使用范围标记的详细信息，请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。

9. 选择“ 下一步 ”继续 查看 + 创建。

10. 查看配置文件摘要，然后选择“ 创建 ”以完成该摘要。

若要查看、进行更改或删除配置文件，请执行以下操作：

1. 选择配置文件。

2. 选择“ 概述 ”，查看配置文件基本信息并删除配置文件。

3. 选择 “属性>编辑 ”，对配置文件基本信息或范围标记进行更改。

4. 选择“ 令牌 ”以检索、撤销或导出令牌。

步骤 3：创建动态Microsoft Entra 组

（可选）创建动态Microsoft Entra 组，以基于特定属性或变量自动对设备进行分组。 在这种情况下，我们希望使用 enrollmentProfileName 属性对注册同一配置文件的设备进行分组。

将这些配置添加到组：

• 组类型：安全性

• 成员身份类型: 动态设备

• 使用以下规则添加动态查询：

  • 属性：enrollmentProfileName
  • 运算符：等于
  • 值：输入在 步骤 2：创建新的注册配置文件中创建的注册配置文件的名称。

不能将动态组与默认注册配置文件一起使用。 有关如何使用规则创建动态组的详细信息，请参阅 创建组成员身份规则。

步骤 4：注册设备

设置注册配置文件、令牌和动态组后，可以使用以下任一预配方法将设备注册为完全托管：

• 近场通信 (NFC)
• 令牌字符串或 QR 代码
• 零接触注册
• Samsung Knox 移动设备注册

有关后续步骤（包括如何使用每个预配方法注册设备），请参阅 注册 Android Enterprise 公司拥有的设备。

令牌类型

在管理中心创建注册配置文件时，必须选择令牌类型。 有两种类型的令牌。 每种类型启用不同的注册流。

默认令牌 （公司拥有的完全托管）将设备注册到 Microsoft Intune 中，作为标准的 Android Enterprise 企业完全托管设备。 此令牌要求在分发设备之前完成预预配步骤。 最终用户使用工作或学校帐户登录时完成设备上的剩余步骤。

设备暂存令牌 （公司拥有的、完全托管的）通过暂存模式将设备注册到 Microsoft Intune 中，以便你或第三方供应商可以完成所有预预配步骤。 最终用户使用其工作或学校帐户登录到 Microsoft Intune 应用，完成预配的最后一步。 设备可在登录时使用。 对于运行 Android 8 或更高版本的 Android Enterprise 设备，Intune 支持设备暂存。

有关详细信息，请参阅 设备暂存概述。

替换、删除或导出令牌

在管理中心中选择令牌以访问以下管理选项：

• 替换令牌：生成即将过期的新令牌。

• 撤销令牌：立即使令牌过期。 撤销令牌后，令牌不再可用。 此选项在以下情况下很有用：

  • 意外地与未经授权的参与方共享令牌。

  • 完成所有注册，不再需要令牌。

• 导出令牌：导出令牌的 JSON 内容。 可以使用此选项获取 Google Zero Touch 或 Knox Mobile Enrollment 配置所需的 JSON 内容。

应用后，这些操作不会对已注册的设备产生任何影响。