在 Intune Microsoft 中設定 Android 企業裝置的端對端指南

文章
12/14/2024

本指南可協助系統管理員瞭解如何在 Microsoft Intune 環境中設定及疑難解答 Android 企業裝置。它涵蓋下列常見案例：

上線至Google
應用程式部署
啟用工作配置檔註冊
設定條件式存取
工作配置檔註冊用戶體驗
發出工作配置檔密碼重設

它可協助您決定哪一項管理功能最適合您的組織，並提供Android企業常見問題。

評估您的需求

在 Intune 中啟用 Android 企業裝置之前，您必須判斷是否要將這些裝置註冊為個人裝置（攜帶您自己的裝置或 BYOD）或公司裝置。

BYOD 裝置

BYOD 裝置會設定為具有 Android Enterprise 工作配置檔。此功能內建於 Android 5.1 和更新版本。這項功能可讓工作應用程式和資料儲存在裝置上的個別、獨立、公司管理的空間中。由於個人應用程式和數據會保留在用戶個人配置檔內的裝置上，因此員工可以像往常一樣繼續使用其裝置。

公司裝置

公司擁有的裝置有兩個選項，每個裝置都有唯一的使用案例：

專用裝置 （先前稱為 COSU 或公司擁有的單一使用）。

注意

本指南中使用的範例著重於 BYOD 案例。如需專用裝置（COSU）案例的詳細資訊，請參閱使用 QR 代碼註冊方法的 COSU 設定和註冊。

專用裝置通常會鎖定至單一應用程式或一組應用程式（也稱為 kiosk 模式）。它可讓系統管理員控制狀態列、鍵盤配置、鎖定畫面，以及裝置上的其他設定等專案。它可防止使用者啟用其他應用程式，或變更專用裝置上的特定設定。

注意

您以這種方式管理的裝置會在 Intune 中註冊，而沒有用戶帳戶，且未與任何終端使用者相關聯。它們不適用於個人使用應用程式，或對使用者特定帳戶數據有強烈需求的應用程式，例如 Outlook 或 Gmail。
完全受控裝置 （先前稱為 COBO 或僅限公司擁有的企業）。

注意

如需完全受控裝置的詳細資訊，請參閱設定 Android Enterprise 完全受控裝置的 Intune 註冊。

完全受控的裝置適合以使用者為中心的案例。單一使用者與裝置相關聯，而系統管理員仍會保留裝置的完整控制權（與多位使用者擁有控制權的工作配置檔案例相反）。

當您決定如何註冊裝置時，請注意，並非所有功能都適用於這兩種方法。下表顯示一些主要差異。

功能集	工作設定檔（BYOD）	專用（kiosk）	完全受控
受管理的電子郵件設置檔	✓	×	✓
受控Wi-Fi設定檔	✓	✓	✓
受控 VPN 設定檔	✓	×	✓
SCEP 憑證配置檔	✓	✓	✓
PKCS 憑證配置檔	✓	×	✓
信任的憑證配置檔	✓	✓	✓
自訂配置檔	✓	×	x
防止原廠重設	×	✓	✓
封鎖相機和螢幕擷取	✓	✓	✓
封鎖音量按鈕	×	✓	✓
封鎖複製和貼上/數據共用	✓	✓	✓
受管理的密碼	✓	✓	✓
受控應用程式（必要）	✓	✓	✓
受控應用程式（可用）	✓	×	✓
容器化配置檔	✓	×	x
Kiosk 層級裝置管理	×	✓	x
個人裝置管理	✓	×	x
NFC 型註冊	×	✓	✓
令牌型註冊	×	✓	✓
QR 代碼型註冊	×	✓	✓
零觸控	×	✓	✓
合規性/條件式存取	✓	×	✓

如需詳細資訊，請參閱實作Microsoft Intune 方案。

將 Intune 帳戶連線到 Android 企業帳戶

在您的環境中設定 Android 企業的第一個步驟是將 Intune 租使用者帳戶連線到 Android 企業帳戶：

建立Google服務帳戶（@gmail.com）。

注意

此帳戶將會與您的租使用者的所有 Android 企業管理工作相關聯。這是貴公司 IT 系統管理員在 Google Play 控制台中共用以管理及發佈應用程式的 Google 帳戶。您可以使用現有的 Google 帳戶或建立新的帳戶。您使用的帳戶不得與 G-Suite 網域相關聯。
使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心。
移至 [裝置>Android>Android 註冊>受控 Google Play]，選取 [我同意]，然後選取 [啟動 Google 立即連線] 以開啟受控 Google Play 網站。
登入您的Google帳戶，然後選取 [開始使用]。
輸入您的商務名稱，然後選取 [ 下一步]。
接受條款，然後選取 [ 確認]。
選取 [ 完成註冊]。

如需詳細資訊，請參閱將 Intune 帳戶連線到受控 Google Play 帳戶。

部署應用程式

在 Intune 帳戶連線到 Android 企業帳戶之後，您可以遵循下列步驟來部署一些應用程式：

使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心。
移至 [應用程式>] [所有應用程式>] [新增]。
在 [ 選取應用程式類型 ] 窗格中，找出可用的 市集應用程式 類型，然後選取 [受控 Google Play 應用程式]。
選取選取。 顯示受控Google Play應用程式市集。
搜尋應用程式以檢視應用程式詳細數據。範例：Intune 公司入口網站應用程式。
在顯示應用程式的頁面上，選取 [ 核准]。應用程式的視窗隨即開啟，並提示您授與應用程式執行各種作業的許可權。
再次選取 [ 核准 ] 以接受應用程式許可權。
在 [ 核准設定] 索引標籤上，選取 [應用程式要求新許可權時保持核准]，然後選取 [ 儲存]。
按兩下 [ 選取 ] 以選取應用程式。
選取 頂端的 [同步 ]，以同步處理應用程式與受控Google Play服務。
選取 [ 重新整理] 以更新應用程式清單，並顯示新增的應用程式。

注意

Intune 與受控 Google Play 商店之間的應用程式同步處理是手動的。因此，每次核准新的應用程式時，都必須選取 [同步] 按鈕。
將應用程式新增至 Microsoft Intune 之後，您可以將應用程式指派給使用者和裝置。從 Microsoft Intune 系統管理中心，移至 [應用程式所有應用程式>]。查看 [管理] 底下以查看清單中顯示的應用程式。
若要將應用程式指派給群組，請選取您要指派的應用程式。在功能表的 [管理] 區段中，選取 [屬性]，然後選取 [指派] 旁的 [編輯] 以開啟 [新增群組] 窗格。
在 [指派] 索引標籤的 [必要] 下，選取 [新增群組]，選取要包含的群組，然後選取 [選取]。
在 [指派] 窗格中，選取 [檢閱 + 儲存] 以完成包含的群組選取。
在 [ 指派] 窗格中，選取 [ 儲存 ] 以儲存變更。
返回 [應用程式屬性] 檢視，並在 [指派] 底下確認應用程式。

如需應用程式部署的詳細資訊，請參閱將Android Enterprise系統應用程式新增至 Microsoft Intune。

啟用 Android 企業工作配置檔註冊

從 Intune 入口網站，移至 [裝置註冊註冊>限制]，然後選取 [裝置類型限制] 下的 [預設]。
選取 [屬性>選取平臺]，選取 [針對 Android 封鎖]，選取 [允許 Android 工作配置檔]，選取 [確定]，然後選取 [儲存] 以儲存變更。

注意

默認限制具有最低優先順序，並套用至所有使用者，因此無法編輯。當您建立其他自定義限制時，請注意指派這些限制的群組，讓您不會建立此設定的衝突。

如需詳細資訊，請參閱設定 Android Enterprise 工作配置檔裝置的註冊。

設定條件式存取

將 Gmail 應用程式或 Nine Work 應用程式部署為必要。
依照下列步驟建立應用程式的電子郵件設定檔：
1. 在 Intune Azure 入口網站中，選取 [裝置組態>配置檔] [建立配置檔>]，然後輸入電子郵件設置檔的 [名稱] 和 [描述]。
2. 從 [平臺] 下拉式清單中選取 [Android 企業]。
3. 在 [僅配置文件類型>工作配置檔] 中，選取 [電子郵件]。
4. 設定電子郵件設置檔設定。
  
  如需這些設定的詳細資訊，請參閱在 Intune 中設定電子郵件、驗證和同步處理的 Android 裝置設定。
建立電子郵件設置檔之後，請將它指派給群組。
設定裝置型條件式存取。

如需詳細資訊，請參閱設定 Android 工作設定檔裝置的條件式存取。

註冊 Android 企業裝置

使用您的工作帳戶登入，然後點選 [立即註冊]。
在 [ 存取設定] 畫面上，點選 [繼續]。
在隱私聲明畫面上，點選 [ 繼續]。
在 [下一步] 畫面上，點選 [下一步]。
在 [ 設定工作配置檔] 畫面上，點選 [接受]。
在 [ 啟用工作配置檔] 畫面上，點選 [繼續]。

注意

您可以在頂端看到徽章圖示，這表示您現在位於工作配置檔內。
在 [ 您全部設定 ] 畫面上，點選 [完成]。
您現在可以登入 Gmail。當系統提示您更新安全性設定時，請點選 [ 立即更新]。
點選 [ 啟用 ] 以以裝置系統管理員身分啟用 Gmail。

如需詳細資訊，請參閱註冊 Android 裝置。

重設Android工作設定文件密碼

依照下列步驟建立需要工作配置文件密碼的裝置配置檔：
1. 在 Intune Azure 入口網站中，選取 [裝置組態>配置檔] [建立設定檔>]，輸入配置檔的名稱和描述。
2. 從 [平臺] 下拉式清單中選取 [Android 企業]。
3. 在 [僅配置檔類型>工作配置檔] 中，選取 [裝置限制]。
4. 在 [工作配置檔設定] 中，選取 [需要工作配置文件密碼] 中的 [需要]。
在 Android 企業裝置上，如果您尚未設定工作設定檔密碼，系統會提示您設定工作設定檔密碼。
請等到您收到第二個提示，指出 「保護您的工作配置檔 - 授權公司支援人員從遠端重設工作設定檔密碼」。輸入您的密碼以授權重設。它會啟動 Intune 必須成功執行此動作的重設密碼令牌。

注意

如果您略過上述任何步驟，您會收到下列錯誤訊息：
起始重設密碼失敗
選取 [ 重設密碼]。
重設完成後，會顯示暫時密碼。
在您的裝置上輸入此暫時密碼。
當您需要設定新的 PIN 時，您必須重新輸入此暫時密碼，然後輸入您的新 PIN 碼。

如需密碼重設的詳細資訊，請參閱重設Android工作配置檔密碼。

常見問題集

問題：為什麼我未從 Intune 管理入口網站中的 [Mobile Apps] 頁面移除 Google Play for Work 市集未核准的應用程式？

答：這是預期的行為。
問題：為什麼受管理的 Google Play 應用程式不會在 Intune 入口網站中探索到的應用程式下回報？

答：這是預期的行為。
問題：為什麼未透過 Intune 部署的受控 Google Play 應用程式會顯示在工作配置檔中？

答：在建立工作配置檔時，裝置 OEM 可以在工作設定檔中啟用系統應用程式。它不受 MDM 提供者控制。

若要進行疑難解答，請遵循下列步驟：
1. 收集公司入口網站記錄。
2. 請注意任何非預期出現在工作配置檔中的應用程式。
3. 從 Intune 取消註冊裝置，並卸載公司入口網站。
4. 安裝測試 DPC 應用程式，以允許在沒有 EMM 的情況下建立工作設定檔進行測試。
5. 遵循測試 DPC 中的指示，在裝置上建立工作配置檔。
6. 檢閱出現在工作配置檔中的應用程式。
7. 如果測試 DPC 應用程式中顯示相同的應用程式，則裝置的 OEM 預期應用程式。
問題：為什麼 [抹除] [原廠重設] 選項不適用於我已註冊工作配置檔的裝置？

答：這是預期的行為。在工作配置檔案例中，MDM 提供者無法完全控制裝置。唯一可用的選項是淘汰（移除公司數據），它會移除整個工作配置檔及其所有內容。
問題：為什麼我在已註冊工作配置檔的裝置上找不到檔案路徑內部記憶體/Android/Data.com.microsoft.windowsintune.companyportal/files，以手動收集公司入口網站記錄？

答：這是預期的行為。此路徑只會針對裝置管理員（舊版 Android 註冊）案例建立。

若要收集記錄，請遵循下列步驟：
1. 在具有徽章的公司入口網站應用程式中，點選 [功能表>說明>電子郵件支援]，然後點選 [傳送電子郵件和上傳記錄]。
2. 當您收到 [ 傳送說明要求] 的提示時，請選取其中一個 [電子郵件應用程式]。
3. 系統會向 IT 系統管理員產生電子郵件，其中包含事件識別碼，可提供給Microsoft產品支援。
問題：我檢查了受控 Google Play 上次同步處理時間，而且幾天內尚未更新。為什麼？

答：這是預期的行為。只有在您手動執行此動作時，才會觸發同步處理。
問題：工作配置檔註冊裝置是否支援 Web 應用程式？

回答：是。所有 Android Enterprise 案例都支援 Web 應用程式（或 Web 連結）。
問題：是否支援裝置密碼重設？

答：針對工作配置檔註冊的裝置，如果受管理工作配置文件密碼，且使用者已允許重設工作配置檔密碼，則只能在執行 Android 8.0+ 的裝置上重設工作設定檔密碼。針對專用且完全受控的裝置，支援裝置密碼重設。
問題：註冊時必須加密我的裝置。是否有選項可以關閉加密？

回答：否。 Google 需要加密才能用於工作配置檔。
問題：為什麼 Samsung 裝置會封鎖使用 SwiftKey 之類的第三方鍵盤？

答：Samsung 開始在 Android 8.0+ 裝置上強制執行此動作。 Microsoft目前正在與 Samsung 就此問題合作，並在有可用時張貼新資訊。

分享方式：