在 Intune Microsoft 中設定 Android 企業裝置的端對端指南
本指南可協助系統管理員瞭解如何在 Microsoft Intune 環境中設定及疑難解答 Android 企業裝置。 它涵蓋下列常見案例:
- 上線至Google
- 應用程式部署
- 啟用工作配置檔註冊
- 設定條件式存取
- 工作配置檔註冊用戶體驗
- 發出工作配置檔密碼重設
它可協助您決定哪一項管理功能最適合您的組織,並提供Android企業常見問題。
評估您的需求
在 Intune 中啟用 Android 企業裝置之前,您必須判斷是否要將這些裝置註冊為個人裝置(攜帶您自己的裝置或 BYOD)或公司裝置。
BYOD 裝置
BYOD 裝置會設定為具有 Android Enterprise 工作配置檔。 此功能內建於 Android 5.1 和更新版本。 這項功能可讓工作應用程式和資料儲存在裝置上的個別、獨立、公司管理的空間中。 由於個人應用程式和數據會保留在用戶個人配置檔內的裝置上,因此員工可以像往常一樣繼續使用其裝置。
公司裝置
公司擁有的裝置有兩個選項,每個裝置都有唯一的使用案例:
專用裝置 (先前稱為 COSU 或公司擁有的單一使用)。
注意
本指南中使用的範例著重於 BYOD 案例。 如需專用裝置 (COSU) 案例的詳細資訊,請參閱 使用 QR 代碼註冊方法的 COSU 設定和註冊。
專用裝置通常會鎖定至單一應用程式或一組應用程式(也稱為 kiosk 模式)。 它可讓系統管理員控制狀態列、鍵盤配置、鎖定畫面,以及裝置上的其他設定等專案。 它可防止使用者啟用其他應用程式,或變更專用裝置上的特定設定。
注意
您以這種方式管理的裝置會在 Intune 中註冊,而沒有用戶帳戶,且未與任何終端使用者相關聯。 它們不適用於個人使用應用程式,或對使用者特定帳戶數據有強烈需求的應用程式,例如 Outlook 或 Gmail。
完全受控裝置 (先前稱為 COBO 或僅限公司擁有的企業)。
注意
如需完全受控裝置的詳細資訊,請參閱 設定 Android Enterprise 完全受控裝置的 Intune 註冊。
完全受控的裝置適合以使用者為中心的案例。 單一使用者與裝置相關聯,而系統管理員仍會保留裝置的完整控制權(與多位使用者擁有控制權的工作配置檔案例相反)。
當您決定如何註冊裝置時,請注意,並非所有功能都適用於這兩種方法。 下表顯示一些主要差異。
功能集 | 工作設定檔 (BYOD) | 專用 (kiosk) | 完全受控 |
---|---|---|---|
受管理的電子郵件設置檔 | ✓ | × | ✓ |
受控Wi-Fi設定檔 | ✓ | ✓ | ✓ |
受控 VPN 設定檔 | ✓ | × | ✓ |
SCEP 憑證配置檔 | ✓ | ✓ | ✓ |
PKCS 憑證配置檔 | ✓ | × | ✓ |
信任的憑證配置檔 | ✓ | ✓ | ✓ |
自訂配置檔 | ✓ | × | x |
防止原廠重設 | × | ✓ | ✓ |
封鎖相機和螢幕擷取 | ✓ | ✓ | ✓ |
封鎖音量按鈕 | × | ✓ | ✓ |
封鎖複製和貼上/數據共用 | ✓ | ✓ | ✓ |
受管理的密碼 | ✓ | ✓ | ✓ |
受控應用程式(必要) | ✓ | ✓ | ✓ |
受控應用程式 (可用) | ✓ | × | ✓ |
容器化配置檔 | ✓ | × | x |
Kiosk 層級 裝置管理 | × | ✓ | x |
個人 裝置管理 | ✓ | × | x |
NFC 型註冊 | × | ✓ | ✓ |
令牌型註冊 | × | ✓ | ✓ |
QR 代碼型註冊 | × | ✓ | ✓ |
零觸控 | × | ✓ | ✓ |
合規性/條件式存取 | ✓ | × | ✓ |
如需詳細資訊,請參閱 實作Microsoft Intune 方案。
將 Intune 帳戶連線到 Android 企業帳戶
在您的環境中設定 Android 企業的第一個步驟是將 Intune 租使用者帳戶連線到 Android 企業帳戶:
建立Google服務帳戶 (@gmail.com)。
注意
此帳戶將會與您的租使用者的所有 Android 企業管理工作相關聯。 這是貴公司 IT 系統管理員在 Google Play 控制台中共用以管理及發佈應用程式的 Google 帳戶。 您可以使用現有的 Google 帳戶或建立新的帳戶。 您使用的帳戶不得與 G-Suite 網域相關聯。
使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心 。
移至 [裝置>Android>Android 註冊>受控 Google Play],選取 [我同意],然後選取 [啟動 Google 立即連線] 以開啟受控 Google Play 網站。
登入您的Google帳戶,然後選取 [開始使用]。
輸入您的商務名稱,然後選取 [ 下一步]。
接受條款,然後選取 [ 確認]。
選取 [ 完成註冊]。
如需詳細資訊,請參閱 將 Intune 帳戶連線到受控 Google Play 帳戶。
部署應用程式
在 Intune 帳戶連線到 Android 企業帳戶之後,您可以遵循下列步驟來部署一些應用程式:
使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心 。
移至 [應用程式>] [所有應用程式>] [新增]。
在 [ 選取應用程式類型 ] 窗格中,找出可用的 市集應用程式 類型,然後選取 [受控 Google Play 應用程式]。
選取選取。 顯示受控Google Play應用程式市集。
搜尋應用程式以檢視應用程式詳細數據。 範例:Intune 公司入口網站 應用程式。
在顯示應用程式的頁面上,選取 [ 核准]。 應用程式的視窗隨即開啟,並提示您授與應用程式執行各種作業的許可權。
再次選取 [ 核准 ] 以接受應用程式許可權。
在 [ 核准設定] 索引標籤上,選取 [應用程式要求新許可權時保持核准],然後選取 [ 儲存]。
按兩下 [ 選取 ] 以選取應用程式。
選取 頂端的 [同步 ],以同步處理應用程式與受控Google Play服務。
選取 [ 重新 整理] 以更新應用程式清單,並顯示新增的應用程式。
注意
Intune 與受控 Google Play 商店之間的應用程式同步處理是手動的。 因此,每次核准新的應用程式時,都必須選取 [同步] 按鈕。
將應用程式新增至 Microsoft Intune 之後,您可以將應用程式指派給使用者和裝置。 從 Microsoft Intune 系統管理中心,移至 [應用程式所有應用程式>]。 查看 [管理] 底下以查看清單中顯示的應用程式。
若要將應用程式指派給群組,請選取您要指派的應用程式。 在功能表的 [管理] 區段中,選取 [屬性],然後選取 [指派] 旁的 [編輯] 以開啟 [新增群組] 窗格。
在 [指派] 索引標籤的 [必要] 下,選取 [新增群組],選取要包含的群組,然後選取 [選取]。
在 [指派] 窗格中,選取 [檢閱 + 儲存] 以完成包含的群組選取。
在 [ 指派] 窗格中,選取 [ 儲存 ] 以儲存變更。
返回 [應用程式屬性] 檢視,並在 [指派] 底下確認應用程式。
如需應用程式部署的詳細資訊,請參閱 將Android Enterprise系統應用程式新增至 Microsoft Intune。
啟用 Android 企業工作配置檔註冊
從 Intune 入口網站,移至 [裝置註冊註冊>限制],然後選取 [裝置類型限制] 下的 [預設]。
選取 [屬性>選取平臺],選取 [針對 Android 封鎖],選取 [允許 Android 工作配置檔],選取 [確定],然後選取 [儲存] 以儲存變更。
注意
默認限制具有最低優先順序,並套用至所有使用者,因此無法編輯。 當您建立其他自定義限制時,請注意指派這些限制的群組,讓您不會建立此設定的衝突。
如需詳細資訊,請參閱 設定 Android Enterprise 工作配置檔裝置的註冊。
設定條件式存取
將 Gmail 應用程式或 Nine Work 應用程式部署為 必要。
依照下列步驟建立應用程式的電子郵件設定檔:
在 Intune Azure 入口網站 中,選取 [裝置組態>配置檔] [建立配置檔>],然後輸入電子郵件設置檔的 [名稱] 和 [描述]。
從 [平臺] 下拉式清單中選取 [Android 企業]。
在 [僅配置文件類型>工作配置檔] 中,選取 [電子郵件]。
設定電子郵件設置檔設定。
如需這些設定的詳細資訊,請參閱 在 Intune 中設定電子郵件、驗證和同步處理的 Android 裝置設定。
建立電子郵件設置檔之後,請將它指派給群組。
設定 裝置型條件式存取。
如需詳細資訊,請參閱 設定 Android 工作設定檔裝置的條件式存取。
註冊 Android 企業裝置
使用您的工作帳戶登入,然後點選 [立即註冊]。
在 [ 存取設定] 畫面上,點選 [繼續]。
在隱私聲明畫面上,點選 [ 繼續]。
在 [下一步] 畫面上,點選 [下一步]。
在 [ 設定工作配置檔] 畫面上,點選 [接受]。
在 [ 啟用工作配置檔] 畫面上,點選 [繼續]。
注意
您可以在頂端看到徽章圖示,這表示您現在位於工作配置檔內。
在 [ 您全部設定 ] 畫面上,點選 [完成]。
您現在可以登入 Gmail。 當系統提示您更新安全性設定時,請點選 [ 立即更新]。
點選 [ 啟用 ] 以以裝置系統管理員身分啟用 Gmail。
如需詳細資訊,請參閱 註冊 Android 裝置。
重設Android工作設定文件密碼
依照下列步驟建立需要工作配置文件密碼的裝置配置檔:
在 Android 企業裝置上,如果您尚未設定工作設定檔密碼,系統會提示您設定工作設定檔密碼。
請等到您收到第二個提示,指出 「保護您的工作配置檔 - 授權公司支援人員從遠端重設工作設定檔密碼」。 輸入您的密碼以授權重設。 它會啟動 Intune 必須成功執行此動作的重設密碼令牌。
注意
如果您略過上述任何步驟,您會收到下列錯誤訊息:
起始重設密碼失敗選取 [ 重設密碼]。
重設完成後,會顯示暫時密碼。
在您的裝置上輸入此暫時密碼。
當您需要設定新的 PIN 時,您必須重新輸入此暫時密碼,然後輸入您的新 PIN 碼。
如需密碼重設的詳細資訊,請參閱 重設Android工作配置檔密碼。
常見問題集
問題:為什麼我未從 Intune 管理入口網站中的 [Mobile Apps] 頁面移除 Google Play for Work 市集未核准的應用程式?
答:這是預期的行為。
問題:為什麼受管理的 Google Play 應用程式不會在 Intune 入口網站中探索到的應用程式下回報?
答:這是預期的行為。
問題:為什麼未透過 Intune 部署的受控 Google Play 應用程式會顯示在工作配置檔中?
答:在建立工作配置檔時,裝置 OEM 可以在工作設定檔中啟用系統應用程式。 它不受 MDM 提供者控制。
若要進行疑難解答,請遵循下列步驟:
問題:為什麼 [抹除] [原廠重設] 選項不適用於我已註冊工作配置檔的裝置?
答:這是預期的行為。 在工作配置檔案例中,MDM 提供者無法完全控制裝置。 唯一可用的選項是淘汰(移除公司數據),它會移除整個工作配置檔及其所有內容。
問題:為什麼我在已註冊工作配置檔的裝置上找不到檔案路徑內部記憶體/Android/Data.com.microsoft.windowsintune.companyportal/files,以手動收集 公司入口網站 記錄?
答:這是預期的行為。 此路徑只會針對裝置管理員 (舊版 Android 註冊) 案例建立。
若要收集記錄,請遵循下列步驟:
- 在具有徽章的 公司入口網站 應用程式中,點選 [功能表>說明>電子郵件支援],然後點選 [傳送電子郵件和上傳記錄]。
- 當您收到 [ 傳送說明要求] 的提示時,請選取其中一個 [電子郵件應用程式]。
- 系統會向 IT 系統管理員產生電子郵件,其中包含事件識別碼,可提供給Microsoft產品支援。
問題:我檢查了受控 Google Play 上次同步處理時間,而且幾天內尚未更新。 為什麼?
答:這是預期的行為。 只有在您手動執行此動作時,才會觸發同步處理。
問題:工作配置檔註冊裝置是否支援 Web 應用程式?
回答:是。 所有 Android Enterprise 案例都支援 Web 應用程式(或 Web 連結)。
問題:是否支援裝置密碼重設?
答:針對工作配置檔註冊的裝置,如果受管理工作配置文件密碼,且使用者已允許重設工作配置檔密碼,則只能在執行 Android 8.0+ 的裝置上重設工作設定檔密碼。 針對專用且完全受控的裝置,支援裝置密碼重設。
問題:註冊時必須加密我的裝置。 是否有選項可以關閉加密?
回答:否。 Google 需要加密才能用於工作配置檔。
問題:為什麼 Samsung 裝置會封鎖使用 SwiftKey 之類的第三方鍵盤?
答:Samsung 開始在 Android 8.0+ 裝置上強制執行此動作。 Microsoft目前正在與 Samsung 就此問題合作,並在有可用時張貼新資訊。