分享方式:

設定 Android Enterprise 專用裝置的 Intune 註冊

  • 文章

使用 Android Enterprise 專用裝置解決方案與 Microsoft Intune,為一線員工設定公司擁有的單一使用 kiosk 樣式裝置。 這些裝置用於單一用途,例如數位簽名、票證列印或庫存管理。 身為系統管理員,您可以將裝置的使用方式鎖定為單一應用程式,或包含 Web 應用程式的有限應用程式集。 除非您明確核准,否則使用者無法在裝置上新增其他應用程式或採取動作。

適用於專用的裝置可以透過兩種方式在 Microsoft Intune 中註冊:

  • 作為標準 Android Enterprise 專用裝置。 這些裝置在沒有使用者帳戶的情況下註冊到 Intune,且未與使用者相關聯。 這些裝置不適用於個人應用程式,或是Microsoft Outlook 或Google Mail等需要使用者特定帳戶數據的應用程式。

  • 作為標準的 Android Enterprise 專用裝置,會使用 Microsoft Authenticator 自動設定,並在註冊期間設定為 Microsoft Entra 共用裝置模式 。 這些裝置會在沒有用戶帳戶的 Intune 中註冊,且不會與使用者相關聯。 這些裝置適用於與 Microsoft Entra 共用裝置模式整合的應用程式,並允許跨參與應用程式的使用者進行單一登錄和註銷。

本文說明如何設定 Microsoft Intune 註冊專用裝置。 如需 Android Enterprise 管理解決方案的詳細資訊,請 參閱開始使用 Android Enterprise (開啟 Android Enterprise Help Center) 。

裝置需求

裝置必須具備:

  • Android OS 8.0 版或更新版本。
  • 具有Google行動服務 (GMS) 連線的 Android 散發套件。 裝置必須有可用的 GMS,而且必須能夠連線到 GMS。

設定 Android Enterprise 專用裝置管理

若要設定 Android Enterprise 專用裝置管理,請遵循下列步驟:

  1. 若要準備管理行動裝置,您必須 將行動裝置管理 (MDM) 授權單位設定為 Microsoft Intune 以取得指示。 當您第一次設定 Intune 以進行行動裝置管理時,您只會設定此專案一次。
  2. 將您的 Intune 租使用者帳戶連線到受控 Google Play 帳戶
  3. 建立註冊配置檔。
  4. 建立裝置群組
  5. 註冊專用裝置

建立註冊配置檔

注意事項

令牌過期之後,與令牌相關聯的配置檔會從Android註冊 >註冊配置檔>公司擁有的專用裝置底下的檢視中消失。 若要查看與作用中和非使用中令牌相關聯的所有配置檔,請選擇 [ 篩選]。 然後選取 [ 作用 中] 和 [ 非使用中 ] 原則狀態的複選框。

您必須建立註冊配置檔,才能註冊專用裝置。 建立設定檔時,它會以字串和 QR 代碼的形式為您提供註冊令牌。

  1. 登入 Microsoft Intune 系統管理中心
  2. 移至 [ 裝置],然後 在 [裝置上線 ] 下選取 [ 註冊]
  3. 選取 [Android] 索引 標籤。
  4. 在 [ 註冊配置檔] 區段中 ,選擇 [公司擁有的專用裝置]
  5. 取 [建立配置檔]
  6. 輸入設定檔的基本概念:
    • 名稱:為您的配置檔命名,以便稍後輕鬆識別。
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
    • 令牌類型:選擇您想要用來註冊專用裝置的令牌類型。
      • 公司擁有的專用裝置 (預設) :此令牌會將裝置註冊為標準 Android Enterprise 專用裝置。 這些裝置在任何時間點都不需要用戶認證。 除非系統管理員在建立令牌時更新,否則這是專用裝置將註冊的默認令牌類型。
      • 具有 Microsoft Entra ID 共用模式的公司擁有專用裝置:此令牌會將裝置註冊為標準 Android Enterprise 專用裝置,並在註冊期間,將Microsoft的 Authenticator 應用程式部署到 Microsoft Entra 共用裝置模式。 使用此選項,使用者可以跨裝置上與 Microsoft Entra Microsoft Authentication Library 和全域登入/註銷呼叫整合的應用程式,達成單一登錄和單一註銷。
    • 令牌到期日:輸入您要令牌到期的日期,未來最多 65 年。 令牌會在所建立時區的下午 12:59:59 的選取日期到期。 可接受的日期格式: MM/DD/YYYYYYYY-MM-DD
  7. 取 [下一步 ] 繼續前往 [範圍卷標]
  8. 選擇性地套用一或多個範圍標籤,以限制 Intune 中特定系統管理員使用者的配置檔可見度和管理。 如需如何使用範圍標籤的詳細資訊,請參閱 使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍卷標
  9. 取 [下一步 ] 繼續進行 [檢閱 + 建立]
  10. 檢閱您的選擇,然後選取 [建立 ] 以完成配置檔的建立。

存取註冊令牌

在系統管理中心存取註冊令牌。

  1. 移至 [裝置>註冊]
  2. 選取 [Android] 索引 標籤。
  3. 在 [ 註冊配置檔] 區段中 ,選擇 [公司擁有的專用裝置]
  4. 從清單中,選取您的註冊配置檔。
  5. 取 [令牌]

令牌會顯示為 20 位數的字串和 QR 代碼。 使用此令牌透過 註冊專用、完全受控或公司擁有的工作配置檔裝置中所述的機制來註冊裝置。 註冊時,系統會提示裝置使用者輸入註冊令牌。 只要 Android OS 和註冊裝置的版本支援字串或 QR,您就可以提供該字串或 QR。

取代、移除或匯出令牌

選取權杖以存取這些選項:

  • 取代令牌:產生即將到期的新令牌。
  • 撤銷令牌:令牌立即過期。 撤銷之後,令牌就無法再使用。 如果您:
    • 不小心與未經授權的一方共用令牌。
    • 完成所有註冊,不再需要令牌。
  • 匯出令牌:匯出令牌的 JSON 內容。 此選項適用於取得設定 Google Zero TouchKnox Mobile Enrollment 所需的 JSON 內容。

套用時,這些動作不會對已註冊的裝置有任何影響。

建立裝置群組

您可以將應用程式和原則的目標設為指派或動態裝置群組。 您可以依照下列步驟,設定動態Microsoft Entra 裝置群組,以自動填入使用特定註冊設定檔註冊的裝置:

  1. 登入 Microsoft Intune 系統管理中心 ,然後選擇 [ 群組>所有群組>][新增群組]

  2. 完成所有必要欄位,如下所示:

    • 群組類型:安全性
    • 組名:輸入直覺式名稱,例如 Factory 1 裝置
    • 成員資格類型:動態裝置

  3. 選擇 [新增動態查詢]

  4. 在 [動態成員資格規則] 頁面上,完成所有欄位,如下所示:

    • 屬性:enrollmentProfileName
    • 運算子:等於
    • :輸入您稍早建立的註冊配置檔名稱。

    如需動態成員資格規則的詳細資訊,請參閱 Microsoft Entra ID 中群組的動態成員資格規則

  5. 選擇 [儲存 ] 以完成規則。

註冊專用裝置

您現在可以 註冊專用裝置

注意事項

Microsoft Intune 應用程式將會在專用裝置註冊期間自動安裝。 此應用程式是註冊的必要專案,無法卸載。 當使用公司擁有的專用裝置與Microsoft Entra ID 共用模式的令牌類型時,會在註冊專用裝置期間自動安裝Microsoft驗證器應用程式。 此註冊方法需要此應用程式,且無法卸載。

管理 Android Enterprise 專用裝置上的應用程式

只有指派類型 設定為 [必要] 的 應用程式才能安裝在 Android Enterprise 專用裝置上。 應用程式從受控Google Play商店安裝的方式與Android Enterprise個人和公司擁有的工作配置檔裝置相同。

當應用程式開發人員將更新發佈至Google Play時,應用程式會在受管理的裝置上自動更新。

若要從 Android Enterprise 專用裝置移除應用程式,您可以執行下列其中一項:

  • 刪除必要的應用程式部署。
  • 建立應用程式的卸載部署。

後續步驟