使用 Microsoft Intune 应用和 DISA Purebred 设置 Android 设备

  • 项目

使用 Microsoft Intune 应用注册设备,以安全、移动地访问工作电子邮件、文件和应用。 注册设备后,它将成为托管设备,这意味着组织可以通过移动设备管理 (MDM) 提供商(例如Microsoft Intune)将策略和应用分配给设备。

在注册期间,还将在设备上安装派生凭据。 组织可能要求在访问资源或对电子邮件进行签名和加密时使用派生凭据作为身份验证方法。

如果使用智能卡来设置派生凭据,

  • 登录到学校或工作应用、Wi-Fi 和虚拟专用网络 (VPN)
  • 使用 S/MIME 证书对学校或工作电子邮件进行签名和加密

在本文中,你将:

  • 使用 Intune 应用注册移动 Android 设备
  • 通过安装来自组织的派生凭据提供程序 DISA Purebred 的派生凭据来设置智能卡

什么是派生凭据?

派生凭据是从智能卡凭据派生并安装在设备上的证书。 它授予你远程访问工作资源的权限,同时防止未经授权的用户访问敏感信息。

派生凭据用于:

  • 对登录到学校或工作应用、Wi-Fi 和 VPN 的学生和员工进行身份验证
  • 使用 S/MIME 证书对学校或工作电子邮件进行签名和加密

派生凭据实现美国国家标准与技术研究院 (NIST) 关于派生个人身份验证 (PIV) 凭据的准则(属于《特殊出版物 (SP) 800-157》)。

先决条件

若要完成注册,必须具备:

  • 学校或工作提供的智能卡
  • 访问计算机或展台,可在其中使用智能卡
  • 运行 Android 8.0 或更高版本的新设备或恢复出厂设置的设备
  • 设备上安装的Microsoft Intune应用
  • 设备上安装的 Purebred 应用 (应用应在设备设置后不久自动安装。如果没有,请联系 IT 支持人员。)

在设置过程中,你还需要联系 Purebred 代理或代表。

注册设备

  1. 打开新的或恢复出厂设置设备。

  2. 在“欢迎使用”屏幕上,选择语言。 如果已指示使用 QR 码或 NFC 进行注册,请按照下面的与 方法匹配的步骤进行操作。

    • NFC:在程序员设备上点击 NFC 支持的设备以连接到组织的网络。 按照屏幕上的提示进行操作。 当你到达 Chrome 的服务条款屏幕时,请继续执行步骤 5。

    • QR 码:完成 QR 码注册中的步骤。

    如果已指示使用其他方法,请继续执行步骤 3。

  3. 连接到 Wi-Fi,然后点击“ 下一步”。 按照与注册方法匹配的步骤进行操作。

    • 令牌:进入 Google 登录屏幕时,请完成 令牌注册中的步骤。

    • Google Zero Touch:连接到 Wi-Fi 后,你的组织将识别你的设备。 继续执行步骤 4 并按照屏幕上的提示操作,直到设置完成。

      Google 术语屏幕的示例图像,你是否正在使用 Google Zero Touch,突出显示“接受 & 继续”按钮。

  4. 查看 Google 的条款。 然后点击“ 接受 & 继续”。

    Google 术语屏幕的示例图像,突出显示“接受 & 继续”按钮。

  5. 查看 Chrome 的服务条款。 然后点击“ 接受 & 继续”。

    Chrome 服务条款屏幕的示例图像,突出显示“接受 & 继续”按钮。

  6. 在登录屏幕上,点击“ 登录选项” ,然后点击“ 从其他设备登录”。

  7. 写下屏幕代码。

  8. 切换到启用了智能卡的设备,然后转到屏幕上显示的 Web 地址。

  9. 输入之前记下的代码。

    公司门户网站“输入代码”提示的屏幕截图。

  10. 插入智能卡以登录。

  11. 在登录屏幕上,选择工作或学校帐户。 然后切换回移动设备。

  12. 根据组织的要求,系统可能会提示你更新设置,例如屏幕锁定或加密。 如果看到这些提示,请点击“ 设置 ”,然后按照屏幕上的说明进行操作。

    “设置工作电话”屏幕的示例图像,突出显示了“设置”按钮。

  13. 若要在设备上安装工作应用,请点击 “安装”。 安装完成后,点击“ 下一步”。

    “设置工作电话”屏幕的示例图像,其中突出显示了“安装”按钮。

  14. 点击“开始”打开Microsoft Intune应用。

    “设置工作电话”屏幕的示例图像,其中突出显示了“开始”按钮。

  15. 返回到移动设备上的 Intune 应用,并按照屏幕上的说明操作,直到注册完成。

    “设置访问权限,注册设备”屏幕的示例图像,突出显示“完成”按钮。

  16. 继续执行本文中的设置智能卡部分,完成设备设置。

QR 码注册

在本部分中,你将扫描公司提供的 QR 码。 完成后,我们会将你重定向回设备注册步骤。

  1. “欢迎” 屏幕上,点击屏幕五次以启动 QR 码设置。

    设备设置欢迎屏幕的示例图像,其中突出显示了点击屏幕的说明。

  2. 按照屏幕上的任何说明连接到 Wi-Fi。

  3. 如果设备没有 QR 码扫描程序,安装屏幕将在安装扫描程序时显示进度。 等待安装完成。

  4. 出现提示时,请扫描组织给你的注册配置文件 QR 码。

  5. 返回到 “注册设备”步骤 4 以继续设置。

令牌注册

在本部分中,你将输入公司提供的令牌。 完成后,我们会将你重定向回设备注册步骤。

  1. 在 Google 登录屏幕上,在Email或电话框中,键入 afw#setup。 点击“ 下一步”。

    Google 登录屏幕的示例图像,显示“afw#setup”已键入字段。

  2. Android 设备策略应用选择“安装”。 继续完成安装。 根据你的设备,你可能需要查看并接受其他条款。

  3. “注册此设备 ”屏幕上,选择“ 下一步”。

  4. 选择 “输入代码”。

  5. “扫描或输入代码 ”屏幕上,键入组织提供的代码。 然后单击下一步

    “扫描或输入代码”屏幕的示例图像,突出显示了“下一步”按钮。

  6. 返回到 “注册设备”步骤 4 以继续设置。

设置智能卡

注意

Purebred 应用是完成这些步骤所必需的,注册后将自动安装在设备上。 如果稍等片刻后仍未获得应用,请联系 IT 支持人员。

  1. 注册完成后,Intune 应用将通知你设置智能卡。 点击通知。 如果未收到通知,检查电子邮件。

    设备主屏幕上的 Intune 应用推送通知的屏幕截图。

  2. “设置智能卡”屏幕上:

    1. 点击指向组织设置说明的链接并查看它们。 如果你的组织未提供其他说明,则将你发送到本文。

    2. 点击 “开始”。

    Intune 应用“设置智能卡”屏幕的屏幕截图。

  3. “获取证书” 屏幕上,点击“ 启动 PUREBRED ”以打开 Purebred 应用。 (应用应已自动安装在设备上。如果没有,请联系支持人员。)

    Intune 应用提示打开 DISA Purebred 应用的屏幕截图。

  4. Purebred 应用可能需要你提供额外的权限才能正常运行。 出现提示时,点击“允许”或“允许”。 有关需要这些权限的原因的详细信息,请与支持人员或 Purebred 代理联系。

  5. 进入 Purebred 应用后,请使用组织的 Purebred 代理下载并安装访问工作或学校资源所需的证书。

    重要

    在此过程中,在出现提示时点击“ 确定” 或“ 安装 ”。 请勿更改任何证书颁发机构的名称, (CA) 或系统提示安装的证书。

  6. 安装完成后,你将收到一条通知,指出证书已准备就绪。 点击通知以返回到 Intune 应用。

    “允许访问证书”屏幕的屏幕截图

  7. “允许访问证书 ”屏幕中,你将授予 Intune 应用访问从 DISA Purebred 获取的派生凭据的权限。 此步骤可确保每当访问受保护的工作或学校资源时,组织都可以验证你的身份。

    1. 点击“ 下一步”。

      “证书已准备就绪”提示的屏幕截图

    2. 当系统提示你 选择证书时,请不要更改选择。 已选择正确的证书,因此只需点击“选择”“确定”。

      “选择证书”提示的屏幕截图

    3. 派生凭据由多个证书组成,因此可能会多次看到 “选择证书” 提示。 重复上一步,直到不再显示提示。

  8. 处理完所有证书后,等待 Intune 应用完成设备设置。 当你看到“ 你已设置完毕!” 屏幕时,你就会知道设置已完成。

    “你已设置”屏幕的屏幕截图

后续步骤

注册完成后,你将有权访问工作资源,例如电子邮件、Wi-Fi 以及组织提供的任何应用。 有关如何在 Intune 应用中获取、搜索、安装和卸载应用的详细信息,请参阅:

仍然需要帮助? 请联系公司支持人员。 有关联系信息,请查看公司门户网站