部署指南:在 Microsoft Intune 中管理 Android 设备

Intune 支持 Android 设备的移动设备管理 (MDM),使用户可以安全访问工作电子邮件、数据和应用。 本指南提供特定于 Android 的资源,以帮助你在 Intune 中设置注册并向用户和设备部署应用和策略。

先决条件

在开始之前,请完成以下先决条件,以在 Intune 中启用 Android 设备管理。 若要详细了解如何设置、加入或移到 Intune,请参阅 Intune 设置部署指南

有关 Microsoft Intune 角色和权限的信息,请参阅 RBAC with Microsoft Intune。 Microsoft Entra 全局管理员和 Intune 管理员 角色在 Microsoft Intune 中拥有完全权限。 Microsoft Intune 中的许多设备管理任务,全局管理员拥有的权限超过所需的权限。 建议使用完成任务所需的最低特权角色。 例如,可以完成设备注册任务的最低特权角色是 策略和配置文件管理器,这是一个内置的 Intune 角色。

规划部署

使用 Microsoft Intune 规划指南有助于你在组织中规划、设计和实现 Microsoft Intune。 本指南提供的信息可帮助你:

  • 确定目标、用例方案和要求。
  • 创建推出计划和通信计划。
  • 创建支持、测试和验证计划。

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

创建合规性规则

使用合规性策略定义用户和设备访问组织的受保护资源时应符合的规则和条件。 还可以创建条件访问策略,将其与设备合规性结果配合使用来阻止不合规设备对资源的访问。 若要详细了解符合性策略以及如何开始使用它们,请参阅使用符合性策略为使用 Intune 管理的设备设置规则

以下任务适用于 Android Enterprise 和 Android 设备管理员平台。

任务 详情
创建合规性策略 获得创建符合性策略并将其分配给用户和设备组的分步指南。
添加针对非合规性的操作 选择当设备不再满足符合性策略条件时应执行的操作。 可在配置设备符合性策略时添加针对不符合性的操作,也可稍后通过编辑策略来添加操作。
创建基于设备基于应用的条件访问策略。 指定要保护的应用或服务,并定义访问条件。
阻止访问不使用新式验证的应用 创建基于应用的条件访问策略,阻止使用 OAuth2 以外的身份验证方法的应用。 例如,可以阻止使用基本身份验证和基于表单的身份验证的应用。 在阻止任何访问之前,请登录Microsoft Entra ID 并查看 身份验证方法活动报告 ,以查看用户是否正在使用基本身份验证来访问基本内容 (,例如会议室日历展台,) 你忘记或不知道。

配置终结点安全性

使用 Intune 终结点安全功能来配置设备安全性,并管理对有风险的设备执行的安全任务。

以下任务适用于 Android Enterprise 和 Android 设备管理员平台。

任务 详情
使用终结点安全功能管理设备 使用 Intune 中的“终结点安全”设置有效管理设备安全,并修正设备存在的问题
为已注册的设备启用移动威胁防御 (MTD) 连接器 在 Intune 中启用 MTD 连接,以便 MTD 合作伙伴应用可以使用 Intune 和你的设备合规性策略。 如果未使用 Microsoft Defender for Endpoint,请考虑启用此连接器,以便可以使用其他移动威胁防御解决方案。 也可以为未在 Intune 中注册的设备启用 MTD 连接器
创建 MTD 应用保护策略 创建 Intune 应用保护策略,用于评估风险并限制设备对工作或学校应用的访问。
创建 MTD 设备合规性策略 创建 Intune 应用保护策略,以评估风险并基于威胁级别限制设备执行公司访问。
添加并分配 MTD 应用 在 Intune 中添加和部署 MTD 应用。 这些应用使用设备合规性和应用保护策略,以识别设备威胁并帮助修正这些威胁。 还可以将 MTD 应用分配给未在 Intune 中注册的设备

配置设备设置

使用 Microsoft Intune 在设备上启用或禁用设置和功能。 若要配置和实施这些设置,请创建一个设备配置文件,然后将该配置文件分配给组织中的组。 设备注册后即会收到此配置文件。

任务 详情 平台
在 Microsoft Intune 中创建设备配置文件 了解可为组织创建的不同设备配置文件类型。 Android Enterprise、Android 设备管理员
配置 Wi-Fi 配置文件 用户可使用此配置文件找到并连接到组织的 Wi-Fi 网络。 有关此区域中的设置的说明,请参阅 Android Enterprise Wi-Fi 设置Android 设备管理员 Wi-Fi 设置的 Wi-Fi 设置参考。 Android Enterprise、Android 设备管理员
配置 VPN 配置文件 配置安全的 VPN 选项(如 Microsoft Tunnel),以便于用户连接到组织的网络。 有关此区域中的设置的说明,请参阅 Android Enterprise VPN 设置Android 设备管理员 VPN 设置的 VPN 设置参考。 Android Enterprise、Android 设备管理员
配置电子邮件配置文件 配置电子邮件设置,以便用户可以连接到邮件服务器并可以访问其工作或学校电子邮件。 有关此区域中的设置的说明,请参阅 Android Enterprise 电子邮件设置Android 设备管理员电子邮件设置 Android Enterprise、Android 设备管理员
限制设备功能 通过限制用户可以在工作场所或学校使用的设备功能,阻止用户执行未经授权的访问并避免他们受到干扰。 有关此区域中的设置的说明,请参阅 Android Enterprise 设备设置Android 设备管理员设备设置 Android Enterprise、Android 设备管理员
为 Android 设备管理员配置自定义设置 添加或创建未内置于 Intune 的自定义设置,例如每应用 VPN 配置文件和 Microsoft Defender for Endpoint 的 Web 保护。 Android 设备管理员
配置 Samsung Knox 应用 创建自定义配置文件,以允许和阻止在 Samsung Knox 标准设备上运行应用。 Android 设备管理员
为 Android Enterprise 创建自定义配置文件 为个人拥有的设备添加或创建未内置于 Intune 的自定义设置。 Android Enterprise
配置 Zebra Mobility Extensions (MX) 配置文件 在 Intune 中使用 Zebra 的 Mobility Extensions (MX) 配置文件来自定义或添加更多 Zebra 特定设置。 Android 设备管理员
创建 OEMConfig 配置文件 使用 OEMConfig 为 Android Enterprise 设备添加、创建并自定义特定于 OEM 的设置。 Android Enterprise
自定义品牌打造和注册体验 使用组织的品牌来自定义 Intune 公司门户和 Microsoft Intune 应用,为注册其设备的用户创建熟悉的体验。 Android Enterprise、Android 设备管理员

设置安全的身份验证方法

在 Intune 中设置身份验证方法,以确保只有经过授权的人员才能访问内部资源。 Intune 支持多重身份验证、SCEP 和 PKCS 证书以及派生凭据。 证书还可用于使用 S/MIME 对电子邮件进行签名和加密。

任务 详情 平台
需要多重身份验证 (MFA) 需要用户在注册时提供两种形式的凭据。 Android Enterprise
创建受信任的证书配置文件 必须先创建和部署受信任的证书配置文件,才能创建 SCEP、PKCS 或 PKCS 导入的证书配置文件。 受信任的证书配置文件使用 SCEP、PKCS 和 PKCS 导入的证书,将受信任的根证书部署到设备。 Android Enterprise、Android 设备管理员
将 SCEP 证书用于 Intune 了解将 SCEP 证书与 Intune 配合使用以及配置所需基础结构所需的内容。 完成此配置后,可以创建 SCEP 证书配置文件使用 SCEP 设置第三方证书颁发机构 Android Enterprise
将 PKCS 证书用于 Intune 配置本地证书连接器等所需基础结构,导出 PKCS 证书,然后将证书添加到 Intune 设备配置配置文件。 Android Enterprise、Android 设备管理员
将导入的 PKCS 证书用于 Intune 设置导入的 PKCS 证书,然后就能够设置和使用 S/MIME 对电子邮件进行加密 Android Enterprise、Android 设备管理员
设置派生凭据颁发者 为 Android 设备预配用户智能卡派生的证书。 Android Enterprise

部署应用

设置应用和应用策略时,请考虑组织的要求,例如你将支持的平台、用户需要执行的任务、用户完成这些任务所需的应用类型以及需要这些应用的组。 可以使用 Intune 来管理整个设备(包括应用),也可以只使用 Intune 管理应用。

任务 详情 平台
添加 Google Play 商店应用 从 Google Play 商店添加 Android 应用。 Android 设备管理员
添加托管的 Google Play 应用 通过托管的 Google Play 商店添加商店应用、业务线 (LOB) 应用和 Web 应用。 Android Enterprise
添加 Android Enterprise 系统应用 使用 Intune 启用和禁用 Android Enterprise 系统应用。 Android Enterprise
添加 Web 应用 将 Web 应用添加到 Intune,并将其分配给组。 Android 设备管理员
添加内置应用 将内置应用添加到 Intune,并将其分配给组。 Android 设备管理员
添加业务线应用 将 Android 业务线 (LOB) 应用添加到 Intune,并将其分配给组。 Android 设备管理员
将应用分配到组 将应用分配给用户和设备。 Android Enterprise、Android 设备管理员
包括和排除应用分配 通过在分配中包括和排除选定的组,来控制对应用的访问及其可用性。 Android Enterprise、Android 设备管理员
创建 Android 应用保护策略 让组织的数据驻留在 Outlook 和 Word 等托管应用中。 有关每个设置的详细信息,请参阅 Android 应用保护策略设置 Android Enterprise、Android 设备管理员
验证应用保护策略 在将应用保护策略部署到组织范围之前,请先验证该策略是否已正确设置并正常工作。 Android Enterprise、Android 设备管理员
创建应用配置策略 将自定义配置设置应用到已注册设备上的 Android 应用。 也可以将这些类型的策略应用到未注册设备上的托管应用 Android Enterprise、Android 设备管理员
配置 Microsoft Edge 对适用于 Android 的 Microsoft Edge 使用 Intune 应用保护和配置策略,确保访问公司网站时,安全措施到位。 Android Enterprise、Android 设备管理员
配置 Google Chrome 使用 Intune 应用配置策略在注册到 Intune 的 Android 设备上配置 Google Chrome。 Android Enterprise
配置Microsoft托管主屏幕应用 在公司拥有的 Android Enterprise 专用设备上设置托管主屏幕,这些设备通过 Intune 进行注册并在多应用展台模式下运行。 Android Enterprise
配置 Microsoft Launcher 应用 在组织的完全托管设备上配置微软桌面以自定义主屏幕体验。 Android Enterprise
配置 Microsoft Office 应用 对 Office 应用使用 Intune 应用保护和配置策略,确保访问公司文件时,安全措施到位。 Android Enterprise
配置 Microsoft Teams 对 Teams 使用 Intune 应用保护和配置策略,确保访问协作团队体验时,安全措施到位。 Android Enterprise
配置 Microsoft Outlook 对 Outlook 使用 Intune 应用保护和配置策略,确保访问公司电子邮件和日历时,安全措施到位。 Android Enterprise

注册设备

注册设备可以接收你创建的策略,因此请准备好Microsoft Entra 用户组和设备组。

Intune 支持以下 Android 设备的注册方法:

  • 自带设备办公 (BYOD):Android Enterprise 个人拥有的带工作配置文件的设备
  • Android Enterprise 公司拥有的专用设备
  • Android Enterprise 公司拥有的完全托管
  • Android Enterprise 公司拥有的工作配置文件
  • Android 设备管理员

若要了解各种注册方法以及如何选择适合组织的方法,请参阅适用于 Microsoft Intune 的 Android 设备注册指南

任务 详情 平台
将 Intune 帐户连接到托管的 Google Play 帐户 若要在 Intune 中启用 Android Enterprise 管理,请将 Intune 租户帐户连接到托管的 Google Play 帐户。 Android Enterprise
为个人拥有的设备设置工作配置文件注册 为个人拥有的设备设置工作配置文件管理。 此注册方法在设备上为工作相关的数据创建一个单独的区域,这样个人内容不会受到影响。 Android Enterprise
为公司拥有的设备设置工作配置文件注册 为公司拥有的供工作和个人使用的设备设置工作配置文件管理。 此注册方法在设备上为工作相关的数据创建一个单独的区域,这样个人内容不会受到影响。 Android Enterprise
设置专用设备的注册 为公司拥有的单一用途的展台型设备设置注册。 Android Enterprise
为完全托管设备设置注册 为公司拥有的与单个用户关联、专用于工作的设备设置注册。 Android Enterprise
注册专用的、完全托管的或公司拥有的工作配置文件设备 为 Android Enterprise 注册设置 Intune 后,使用五种受支持的注册方法之一注册设备。 Android Enterprise
设置设备管理员注册 设置 Android 设备管理员注册。 这种设备管理方法已被 Android Enterprise 取代,因此不建议使用这种方法注册新设备。 Android 设备管理员
使用 Samsung Knox 移动注册来自动注册 Android 设备 为 Samsung Knox 移动注册 (KME) 设置 Intune,这使你能够自动注册大量公司拥有的 Android 设备。 Android Enterprise、Android 设备管理员
将设备标识为“公司自有” 向设备分配“公司拥有”状态,以便启用 Intune 中的更多管理和标识功能。 无法向通过 Apple Business Manager 注册的设备分配“公司拥有”状态。 Android Enterprise、Android 设备管理员
更改设备所有权 注册设备后,可以在 Intune 中将其所有权标签更改为“公司拥有”或“个人拥有”。 此调整会改变管理设备的方式。 Android Enterprise、Android 设备管理员
注册问题疑难解答 排查注册过程中出现的问题并找到解决方法。 Android Enterprise、Android 设备管理员

运行远程操作

设置设备后,可以在 Intune 中使用远程操作对设备执行远程管理和故障排除。 可用性因设备平台而异。 如果门户中缺少或禁用了某个操作,则表示设备不支持该操作。

任务 详情
在 Intune 中运行远程操作 了解如何在 Intune 中向下钻取和远程管理及排查各个设备。 本文列出了 Intune 提供的所有远程操作,以及这些过程的链接。
修正由 Microsoft Defender for Endpoint 标识的漏洞 将 Intune 与 Microsoft Defender for Endpoint 集成,以充分利用 Defender 的威胁和漏洞管理,并使用 Intune 修正由 Defender 的漏洞管理功能发现的终结点漏洞。
擦除 Intune 托管应用中的公司数据 选择性地删除设备中的工作相关数据。

后续步骤

请查看这些注册教程,以了解如何在 Intune 中执行一些最常见的任务。 这些教程属于初级-中级内容,适用于刚开始接触 Intune 或特定方案的人员。

有关本指南的 iOS/iPadOS 版本,请参阅部署指南:在 Microsoft Intune 中管理 iOS/iPadOS 设备