使用 公司门户 和 Entrust 设置 Android 设备

  • 项目

使用 Microsoft Intune 应用注册设备,以便安全、移动地访问工作或学校邮件、文件和应用。 注册设备后,设备将受到管理,这意味着组织可以通过移动设备管理 (MDM) 提供商(例如Microsoft Intune)将策略和应用分配给设备。

在注册期间,还将在设备上安装派生凭据。 组织可能要求在访问资源或对电子邮件进行签名和加密时使用派生凭据作为身份验证方法。

如果使用智能卡来设置派生凭据,

  • 登录到学校或工作应用、Wi-Fi 和虚拟专用网络 (VPN)
  • 使用 S/MIME 证书对学校或工作电子邮件进行签名和加密

在本文中,你将:

  • 使用 Intune 应用注册移动 Android 设备
  • 通过从组织的派生凭据提供程序 Entrust 安装派生凭据来设置智能卡

什么是派生凭据?

派生凭据是从智能卡凭据派生并安装在设备上的证书。 它授予你远程访问工作资源的权限,同时防止未经授权的用户访问敏感信息。

派生凭据用于:

  • 对登录到学校或工作应用、Wi-Fi 和 VPN 的学生和员工进行身份验证
  • 使用 S/MIME 证书对学校或工作电子邮件进行签名和加密

派生凭据实现美国国家标准与技术研究院 (NIST) 关于派生个人身份验证 (PIV) 凭据的准则(属于《特殊出版物 (SP) 800-157》)。

先决条件

若要完成注册,必须具备:

  • 学校或工作提供的智能卡
  • 访问计算机或展台,可在其中使用智能卡
  • 运行 Android 8.0 或更高版本的新设备或恢复出厂设置的设备
  • 设备上安装的Microsoft Intune应用

注册设备

  1. 打开新的或恢复出厂设置设备。

  2. 在“欢迎使用”屏幕上,选择语言。 如果已指示使用 QR 码或 NFC 进行注册,请按照下面的与 方法匹配的步骤进行操作。

    • NFC:在程序员设备上点击 NFC 支持的设备以连接到组织的网络。 按照屏幕上的提示进行操作。 当你到达 Chrome 的服务条款屏幕时,请继续执行步骤 5。

    • QR 码:完成 QR 码注册中的步骤。

    如果已指示使用其他方法,请继续执行步骤 3。

  3. 连接到 Wi-Fi,然后点击“ 下一步”。 按照与注册方法匹配的步骤进行操作。

    • 令牌:进入 Google 登录屏幕时,请完成 令牌注册中的步骤。

    • Google Zero Touch:连接到 Wi-Fi 后,你的组织将识别你的设备。 继续执行步骤 4 并按照屏幕上的提示操作,直到设置完成。

      Google 术语屏幕的示例图像,你是否正在使用 Google Zero Touch,突出显示“接受 & 继续”按钮。

  4. 查看 Google 的条款。 然后点击“ 接受 & 继续”。

    Google 术语屏幕的示例图像,突出显示“接受 & 继续”按钮。

  5. 查看 Chrome 的服务条款。 然后点击“ 接受 & 继续”。

    Chrome 服务条款屏幕的示例图像,突出显示“接受 & 继续”按钮。

  6. 在登录屏幕上,点击“ 登录选项” ,然后点击“ 从其他设备登录”。

  7. 写下屏幕代码。

  8. 切换到启用了智能卡的设备,然后转到屏幕上显示的 Web 地址。

  9. 输入之前记下的代码。

    公司门户网站“输入代码”提示的屏幕截图。

  10. 插入智能卡以登录。

  11. 在登录屏幕上,选择工作或学校帐户。 然后切换回移动设备。

  12. 根据组织的要求,系统可能会提示你更新设置,例如屏幕锁定或加密。 如果看到这些提示,请点击“ 设置 ”,然后按照屏幕上的说明进行操作。

    “设置工作电话”屏幕的示例图像,突出显示了“设置”按钮。

  13. 若要在设备上安装工作应用,请点击 “安装”。 安装完成后,点击“ 下一步”。

    “设置工作电话”屏幕的示例图像,其中突出显示了“安装”按钮。

  14. 点击“开始”打开Microsoft Intune应用。

    “设置工作电话”屏幕的示例图像,其中突出显示了“开始”按钮。

  15. 返回到移动设备上的 Intune 应用,并按照屏幕上的说明操作,直到注册完成。

    “设置访问权限,注册设备”屏幕的示例图像,突出显示“完成”按钮。

  16. 继续执行本文中的设置智能卡部分,完成设备设置。

QR 码注册

在本部分中,你将扫描公司提供的 QR 码。 完成后,我们会将你重定向回设备注册步骤。

  1. “欢迎” 屏幕上,点击屏幕五次以启动 QR 码设置。

    设备设置欢迎屏幕的示例图像,其中突出显示了点击屏幕的说明。

  2. 按照屏幕上的任何说明连接到 Wi-Fi。

  3. 如果设备没有 QR 码扫描程序,安装屏幕将在安装扫描程序时显示进度。 等待安装完成。

  4. 出现提示时,请扫描组织给你的注册配置文件 QR 码。

  5. 返回到 “注册设备”步骤 4 以继续设置。

令牌注册

在本部分中,你将输入公司提供的令牌。 完成后,我们会将你重定向回设备注册步骤。

  1. 在 Google 登录屏幕上,在Email或电话框中,键入 afw#setup。 然后点击“ 下一步”。

    Google 登录屏幕的示例图像,显示“afw#setup”已键入字段。

  2. Android 设备策略应用选择“安装”。 继续完成安装。 根据你的设备,你可能需要查看并接受其他条款。

  3. “注册此设备 ”屏幕上,选择“ 下一步”。

  4. 选择 “输入代码”。

  5. “扫描或输入代码 ”屏幕上,键入组织提供的代码。 然后单击下一步

    “扫描或输入代码”屏幕的示例图像,突出显示了“下一步”按钮。

  6. 返回到 “注册设备”步骤 4 以继续设置。

设置智能卡

  1. 注册完成后,Intune 应用将通知你设置智能卡。 点击通知。 如果未收到通知,检查电子邮件。

    设备主屏幕上公司门户推送通知的示例屏幕截图。

  2. “设置智能卡”屏幕上:

    1. 点击组织设置说明的链接。 如果你的组织未提供其他说明,则将你发送到本文。

    2. 点击 “开始”。

    公司门户设置移动智能卡访问屏幕的示例屏幕截图。

  3. 切换到启用了智能卡的设备,然后打开 IdentityGuard。

  4. 找到智能凭据登录区域,然后选择登录按钮。

  5. 当系统提示选择证书时,请选择智能卡凭据。 然后,选择“确定”。

  6. 输入智能卡 PIN。

  7. 系统会要求你从操作列表中进行选择。 选择允许注册派生移动智能凭据的凭据。 链接或按钮可能表示我想注册派生的移动智能卡凭据。

  8. 选择已成功下载并安装已启用智能凭据的应用程序。 然后继续转到下一个屏幕。

  9. 输入有关派生的智能卡凭据的信息:

    1. 对于标识名称,请输入任何名称,例如 Entrust Derived Cred

    2. 在下拉菜单中,选择“ 委托 IdentityGuard 移动智能凭据”。

    3. 继续转到下一个屏幕。 你将看到一个 QR 码,其下带有数字密码。

  10. 返回到 Android 设备。 在“Intune 应用 >获取 QR 码 ”屏幕上,点击“ 下一步”。

    公司门户获取 QR 码屏幕的示例屏幕截图。

  11. 如果系统提示允许 Intune 应用使用相机,请点击“ 允许”。

  12. 扫描已启用智能卡的设备上的 QR 码图像。

  13. 在“ 需要密码” 屏幕上,输入 QR 码下显示的密码。

    公司门户“需要密码”屏幕的示例屏幕截图。

  14. Intune 应用将开始下载并安装访问工作或学校资源所需的证书。 此过程可能需要一些时间,具体取决于 Internet 连接。 在此期间不要关闭应用。

    公司门户“正在下载和安装证书”屏幕的示例屏幕截图

  15. 处理完所有证书后,等待 Intune 应用完成设备设置。 当你看到“ 你已设置完毕!” 屏幕时,你就会知道设置已完成。

    “你已设置”屏幕的示例屏幕截图

后续步骤

注册完成后,你将有权访问工作资源,例如电子邮件、Wi-Fi 以及组织提供的任何应用。 有关如何在 Intune 应用中获取、搜索、安装和卸载应用的详细信息,请参阅:

仍然需要帮助? 请联系公司支持人员。 有关联系信息,请查看公司门户网站