为 Android Enterprise 完全托管设备设置注册
在 Microsoft Intune 中设置 Android Enterprise 完全托管的设备解决方案,以注册和管理公司拥有的设备。 完全托管的设备与单个用户关联,用于工作,而不是个人使用。 作为 Intune 管理员,可以管理整个设备并强制实施 Android Enterprise 工作配置文件中不可用的策略控制,例如:
- 仅允许从托管 Google Play 安装应用。
- 阻止用户卸载托管应用。
- 阻止用户恢复出厂设置设备。
你和设备用户可以在设备设置期间输入或扫描注册令牌来启动注册。 本文介绍注册的先决条件以及如何创建注册配置文件和令牌。 在本文末尾,你将准备好注册设备。
步骤 1:先决条件
完成这些先决条件以确保成功注册。
必须具有 Intune 独立租户,并将移动设备管理 (MDM) 机构设置为 Microsoft Intune。
设备必须:
- 运行 Android OS 8.0 及更高版本。
- 运行具有 Google 移动服务连接的 Android 版本。
- 让 Google 移动服务可用并能够连接到它。
如果满足所有三个要求,则对设备制造商/OEM 没有限制。
请确保你的区域支持 Android Enterprise。 有关 Android Enterprise 要求,请参阅 Android Enterprise 入门。
Android 设置过程在注册期间使用 Chrome 选项卡对设备用户进行身份验证。 如果具有具有以下配置的Microsoft Entra条件访问策略,则需要从策略中排除Microsoft Intune云应用:
- 要求将设备标记为合规 设置用于授予或阻止访问权限。
- 该策略适用于所有 云应用、 Android 和 浏览器。
步骤 2:创建新的注册配置文件
Intune 为完全托管的设备自动生成默认注册配置文件和注册令牌。 默认注册配置文件名为 “默认完全托管配置文件”。
若要创建新的注册配置文件,请执行以下操作:
- 登录到Microsoft Intune管理中心。
- 转到 “设备>注册”。
- 选择“ Android ”选项卡。
- 在 “Android 企业>注册配置文件”下,选择 “公司拥有的完全托管用户设备”。
- 在“允许用户注册公司所有的用户设备”下,选择“是”。
- 选择“ 创建配置文件”。
- 输入配置文件的基础知识:
- 名称:为配置文件命名。 请记下该名称以供以后使用,因为在设置动态设备组时需要它。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
- 选择“ 下一步 ”以继续 转到“作用域标记”。
- (可选)应用一个或多个范围标记,以将配置文件可见性和管理限制为 Intune 中的某些管理员用户。 有关如何使用范围标记的详细信息,请参阅 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。
- 选择“ 下一步 ”继续 查看 + 创建。
- 查看配置文件摘要,然后选择“ 创建 ”以完成该摘要。
若要查看、进行更改或删除配置文件,请执行以下操作:
- 选择配置文件。
- 选择“ 概述 ”,查看配置文件基本信息并删除配置文件。
- 选择 “属性>编辑 ”,对配置文件基本信息或范围标记进行更改。
- 选择“ 令牌 ”以检索、撤销或导出令牌。
步骤 3:创建动态Microsoft Entra组
(可选)创建动态Microsoft Entra组,以基于特定属性或变量自动对设备进行分组。 在这种情况下,我们希望使用 enrollmentProfileName
属性对注册同一配置文件的设备进行分组。
将这些配置添加到组:
- 组类型:安全性
- 成员身份类型: 动态设备
- 使用以下规则添加动态查询:
- 属性:enrollmentProfileName
- 运算符:等于
- 值:输入在 步骤 2:创建新的注册配置文件中创建的注册配置文件的名称。
不能将动态组与默认注册配置文件一起使用。 有关如何使用规则创建动态组的详细信息,请参阅 创建组成员身份规则。
步骤 4:注册设备
设置注册配置文件、令牌和动态组后,可以使用以下任一预配方法将设备注册为完全托管:
- 近场通信 (NFC)
- 令牌字符串或 QR 代码
- 零接触注册
- Samsung Knox 移动设备注册
有关后续步骤(包括如何使用每个预配方法注册设备),请参阅 注册 Android Enterprise 公司拥有的设备。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈