分享方式:


在 Intune Microsoft 中設定 Android 企業裝置的端對端指南

本指南可協助系統管理員瞭解如何在 Microsoft Intune 環境中設定及疑難解答 Android 企業裝置。 它涵蓋下列常見案例:

  • 上線至Google
  • 應用程式部署
  • 啟用工作配置檔註冊
  • 設定條件式存取
  • 工作配置檔註冊用戶體驗
  • 發出工作配置檔密碼重設

它可協助您決定哪一項管理功能最適合您的組織,並提供Android企業常見問題。

評估您的需求

在 Intune 中啟用 Android 企業裝置之前,您必須判斷是否要將這些裝置註冊為個人裝置(攜帶您自己的裝置或 BYOD)或公司裝置。

BYOD 裝置

BYOD 裝置會設定為具有 Android Enterprise 工作配置檔。 此功能內建於 Android 5.1 和更新版本。 這項功能可讓工作應用程式和資料儲存在裝置上的個別、獨立、公司管理的空間中。 由於個人應用程式和數據會保留在用戶個人配置檔內的裝置上,因此員工可以像往常一樣繼續使用其裝置。

公司裝置

公司擁有的裝置有兩個選項,每個裝置都有唯一的使用案例:

  • 專用裝置 (先前稱為 COSU 或公司擁有的單一使用)。

    注意

    本指南中使用的範例著重於 BYOD 案例。 如需專用裝置 (COSU) 案例的詳細資訊,請參閱 使用 QR 代碼註冊方法的 COSU 設定和註冊。

    專用裝置通常會鎖定至單一應用程式或一組應用程式(也稱為 kiosk 模式)。 它可讓系統管理員控制狀態列、鍵盤配置、鎖定畫面,以及裝置上的其他設定等專案。 它可防止使用者啟用其他應用程式,或變更專用裝置上的特定設定。

    注意

    您以這種方式管理的裝置會在 Intune 中註冊,而沒有用戶帳戶,且未與任何終端使用者相關聯。 它們不適用於個人使用應用程式,或對使用者特定帳戶數據有強烈需求的應用程式,例如 Outlook 或 Gmail。

  • 完全受控裝置 (先前稱為 COBO 或僅限公司擁有的企業)。

    注意

    如需完全受控裝置的詳細資訊,請參閱 設定 Android Enterprise 完全受控裝置的 Intune 註冊。

    完全受控的裝置適合以使用者為中心的案例。 單一使用者與裝置相關聯,而系統管理員仍會保留裝置的完整控制權(與多位使用者擁有控制權的工作配置檔案例相反)。

當您決定如何註冊裝置時,請注意,並非所有功能都適用於這兩種方法。 下表顯示一些主要差異。

功能集 工作設定檔 (BYOD) 專用 (kiosk) 完全受控
受管理的電子郵件設置檔 ×
受控Wi-Fi設定檔
受控 VPN 設定檔 ×
SCEP 憑證配置檔
PKCS 憑證配置檔 ×
信任的憑證配置檔
自訂配置檔 × x
防止原廠重設 ×
封鎖相機和螢幕擷取
封鎖音量按鈕 ×
封鎖複製和貼上/數據共用
受管理的密碼
受控應用程式(必要)
受控應用程式 (可用) ×
容器化配置檔 × x
Kiosk 層級 裝置管理 × x
個人 裝置管理 × x
NFC 型註冊 ×
令牌型註冊 ×
QR 代碼型註冊 ×
零觸控 ×
合規性/條件式存取 ×

如需詳細資訊,請參閱 實作Microsoft Intune 方案

將 Intune 帳戶連線到 Android 企業帳戶

在您的環境中設定 Android 企業的第一個步驟是將 Intune 租使用者帳戶連線到 Android 企業帳戶:

  1. 建立Google服務帳戶 (@gmail.com)。

    注意

    此帳戶將會與您的租使用者的所有 Android 企業管理工作相關聯。 這是貴公司 IT 系統管理員在 Google Play 控制台中共用以管理及發佈應用程式的 Google 帳戶。 您可以使用現有的 Google 帳戶或建立新的帳戶。 您使用的帳戶不得與 G-Suite 網域相關聯。

  2. 使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心

  3. 移至 [裝置>Android>Android 註冊>受控 Google Play],選取 [我同意],然後選取 [啟動 Google 立即連線] 以開啟受控 Google Play 網站。

    [受控 Google Play] 頁面的螢幕快照,您可以在其中啟動 Google 進行連線。

  4. 登入您的Google帳戶,然後選取 [開始使用]。

    選取 [開始使用] 頁面。

  5. 輸入您的商務名稱,然後選取 [ 下一步]。

    輸入您的商務名稱頁面。

  6. 接受條款,然後選取 [ 確認]。

  7. 選取 [ 完成註冊]。

    選取 [完成註冊] 頁面。

如需詳細資訊,請參閱 將 Intune 帳戶連線到受控 Google Play 帳戶

部署應用程式

在 Intune 帳戶連線到 Android 企業帳戶之後,您可以遵循下列步驟來部署一些應用程式:

  1. 使用 Intune 授權的全域管理員帳戶登入 Microsoft Intune 系統管理中心

  2. 移至 [應用程式>] [所有應用程式>] [新增]。

  3. 在 [ 選取應用程式類型 ] 窗格中,找出可用的 市集應用程式 類型,然後選取 [受控 Google Play 應用程式]。

  4. 選取選取顯示受控Google Play應用程式市集。

    受控Google Play應用程式市集。

  5. 搜尋應用程式以檢視應用程式詳細數據。 範例:Intune 公司入口網站 應用程式。

  6. 在顯示應用程式的頁面上,選取 [ 核准]。 應用程式的視窗隨即開啟,並提示您授與應用程式執行各種作業的許可權。

    在範例 Intune 公司入口網站 中選取 [核准]。

  7. 再次選取 [ 核准 ] 以接受應用程式許可權。

    再次選取 [核准] 以接受應用程式許可權。

  8. 在 [ 核准設定] 索引標籤上,選取 [應用程式要求新許可權時保持核准],然後選取 [ 儲存]。

    在 [核准設定] 索引標籤下,選取 [應用程式要求新許可權時保持核准]。

  9. 按兩下 [ 選取 ] 以選取應用程式。

  10. 選取 頂端的 [同步 ],以同步處理應用程式與受控Google Play服務。

  11. 選取 [ 重新 整理] 以更新應用程式清單,並顯示新增的應用程式。

    注意

    Intune 與受控 Google Play 商店之間的應用程式同步處理是手動的。 因此,每次核准新的應用程式時,都必須選取 [同步] 按鈕。

  12. 將應用程式新增至 Microsoft Intune 之後,您可以將應用程式指派給使用者和裝置。 從 Microsoft Intune 系統管理中心,移至 [應用程式所有應用程式>]。 查看 [管理] 底下以查看清單中顯示的應用程式。

    Microsoft Intune 系統管理中心中的所有 [應用程式] 頁面。

  13. 若要將應用程式指派給群組,請選取您要指派的應用程式。 在功能表的 [管理] 區段中,選取 [屬性],然後選取 [指派] 旁的 [編輯] 以開啟 [新增群組] 窗格。

    選取 [屬性],然後選取 [指派]。

  14. 在 [指派] 索引標籤的 [必要],選取 [新增群組],選取要包含的群組,然後選取 [選取]。

    選取 [必要] 底下的 [新增群組]。

  15. 在 [指派] 窗格中,選取 [檢閱 + 儲存] 以完成包含的群組選取。

  16. 在 [ 指派] 窗格中,選取 [ 儲存 ] 以儲存變更。

  17. 返回 [應用程式屬性] 檢視,並在 [指派] 底下確認應用程式。

    確認應用程式指派。

如需應用程式部署的詳細資訊,請參閱 將Android Enterprise系統應用程式新增至 Microsoft Intune

啟用 Android 企業工作配置檔註冊

  1. 從 Intune 入口網站,移至 [裝置註冊註冊>限制],然後選取 [裝置類型限制] 下的 [預設]。

    [裝置類型限制] 畫面。

  2. 選取 [屬性>選取平臺],選取 [針對 Android 封鎖],選取 [允許 Android 工作配置檔],選取 [確定],然後選取 [儲存] 以儲存變更。

    註冊屬性畫面。

    注意

    默認限制具有最低優先順序,並套用至所有使用者,因此無法編輯。 當您建立其他自定義限制時,請注意指派這些限制的群組,讓您不會建立此設定的衝突。

如需詳細資訊,請參閱 設定 Android Enterprise 工作配置檔裝置的註冊。

設定條件式存取

  1. 將 Gmail 應用程式或 Nine Work 應用程式部署為 必要

  2. 依照下列步驟建立應用程式的電子郵件設定檔:

    1. 在 Intune Azure 入口網站 中,選取 [裝置組態>配置檔] [建立配置檔>],然後輸入電子郵件設置檔的 [名稱] 和 [描述]。

    2. 從 [平臺] 下拉式清單中選取 [Android 企業]。

    3. 在 [配置文件類型>工作配置檔] 中,選取 [電子郵件]。

    4. 設定電子郵件設置檔設定。

      設定電子郵件設置檔設定。

      如需這些設定的詳細資訊,請參閱 在 Intune 中設定電子郵件、驗證和同步處理的 Android 裝置設定。

  3. 建立電子郵件設置檔之後,請將它指派給群組。

    [指派] 畫面。

  4. 設定 裝置型條件式存取

如需詳細資訊,請參閱 設定 Android 工作設定檔裝置的條件式存取。

註冊 Android 企業裝置

  1. 使用您的工作帳戶登入,然後點選 [立即註冊]。

    立即註冊畫面。

  2. 在 [ 存取設定] 畫面上,點選 [繼續]。

    存取安裝畫面。

  3. 在隱私聲明畫面上,點選 [ 繼續]。

    隱私聲明畫面。

  4. 在 [下一步] 畫面上,點選 [下一]。

    下一個畫面。

  5. 在 [ 設定工作配置檔] 畫面上,點選 [接受]。

    設定工作配置文件畫面。

  6. 在 [ 啟用工作配置檔] 畫面上,點選 [繼續]。

    啟動工作配置文件畫面。

    注意

    您可以在頂端看到徽章圖示,這表示您現在位於工作配置檔內。

  7. 在 [ 您全部設定 ] 畫面上,點選 [完成]。

    您全都已設定螢幕。

  8. 您現在可以登入 Gmail。 當系統提示您更新安全性設定時,請點選 [ 立即更新]。

    安全性更新畫面。

  9. 點選 [ 啟用 ] 以以裝置系統管理員身分啟用 Gmail。

    裝置系統管理員畫面。

如需詳細資訊,請參閱 註冊 Android 裝置

重設Android工作設定文件密碼

  1. 依照下列步驟建立需要工作配置文件密碼的裝置配置檔:

    1. 在 Intune Azure 入口網站 中,選取 [裝置組態>配置檔] [建立設定檔>],輸入配置檔的名稱和描述。

    2. 從 [平臺] 下拉式清單中選取 [Android 企業]。

    3. 在 [配置檔類型>工作配置檔] 中,選取 [裝置限制]。

    4. [工作配置檔設定] 中,選取 [需要工作配置文件密碼] 中的 [需要]。

      工作配置檔屬性頁面。

  2. 在 Android 企業裝置上,如果您尚未設定工作設定檔密碼,系統會提示您設定工作設定檔密碼。

  3. 請等到您收到第二個提示,指出 「保護您的工作配置檔 - 授權公司支援人員從遠端重設工作設定檔密碼」。 輸入您的密碼以授權重設。 它會啟動 Intune 必須成功執行此動作的重設密碼令牌。

    保護您的工作配置文件畫面。

    注意

    如果您略過上述任何步驟,您會收到下列錯誤訊息:
    起始重設密碼失敗

  4. 選取 [ 重設密碼]。

    重設密碼畫面。

  5. 重設完成後,會顯示暫時密碼。

    重設密碼已完成畫面。

  6. 在您的裝置上輸入此暫時密碼。

  7. 當您需要設定新的 PIN 時,您必須重新輸入此暫時密碼,然後輸入您的新 PIN 碼。

如需密碼重設的詳細資訊,請參閱 重設Android工作配置檔密碼

常見問題集

  • 問題:為什麼我未從 Intune 管理入口網站中的 [Mobile Apps] 頁面移除 Google Play for Work 市集未核准的應用程式?

    :這是預期的行為。

  • 問題:為什麼受管理的 Google Play 應用程式不會在 Intune 入口網站中探索到的應用程式回報?

    :這是預期的行為。

  • 問題:為什麼未透過 Intune 部署的受控 Google Play 應用程式會顯示在工作配置檔中?

    :在建立工作配置檔時,裝置 OEM 可以在工作設定檔中啟用系統應用程式。 它不受 MDM 提供者控制。

    若要進行疑難解答,請遵循下列步驟:

    1. 收集 公司入口網站 記錄。
    2. 請注意任何非預期出現在工作配置檔中的應用程式。
    3. 從 Intune 取消註冊裝置,並卸載 公司入口網站。
    4. 安裝測試 DPC 應用程式,以允許在沒有 EMM 的情況下建立工作設定檔進行測試。
    5. 遵循測試 DPC 中的指示,在裝置上建立工作配置檔。
    6. 檢閱出現在工作配置檔中的應用程式。
    7. 如果測試 DPC 應用程式中顯示相同的應用程式,則裝置的 OEM 預期應用程式。
  • 問題:為什麼 [抹除] [原廠重設] 選項不適用於我已註冊工作配置檔的裝置?

    :這是預期的行為。 在工作配置檔案例中,MDM 提供者無法完全控制裝置。 唯一可用的選項是淘汰(移除公司數據),它會移除整個工作配置檔及其所有內容。

  • 問題:為什麼我在已註冊工作配置檔的裝置上找不到檔案路徑內部記憶體/Android/Data.com.microsoft.windowsintune.companyportal/files,以手動收集 公司入口網站 記錄?

    :這是預期的行為。 此路徑只會針對裝置管理員 (舊版 Android 註冊) 案例建立。

    若要收集記錄,請遵循下列步驟:

    1. 在具有徽章的 公司入口網站 應用程式中,點選 [功能表>說明>電子郵件支援],然後點選 [傳送電子郵件和上傳記錄]。
    2. 當您收到 [ 傳送說明要求] 的提示時,請選取其中一個 [電子郵件應用程式]。
    3. 系統會向 IT 系統管理員產生電子郵件,其中包含事件識別碼,可提供給Microsoft產品支援。
  • 問題:我檢查了受控 Google Play 上次同步處理時間,而且幾天內尚未更新。 為什麼?

    :這是預期的行為。 只有在您手動執行此動作時,才會觸發同步處理。

  • 問題:工作配置檔註冊裝置是否支援 Web 應用程式?

    回答:是。 所有 Android Enterprise 案例都支援 Web 應用程式(或 Web 連結)。

  • 問題:是否支援裝置密碼重設?

    :針對工作配置檔註冊的裝置,如果受管理工作配置文件密碼,且使用者已允許重設工作配置檔密碼,則只能在執行 Android 8.0+ 的裝置上重設工作設定檔密碼。 針對專用且完全受控的裝置,支援裝置密碼重設。

  • 問題:註冊時必須加密我的裝置。 是否有選項可以關閉加密?

    回答:否。 Google 需要加密才能用於工作配置檔。

  • 問題:為什麼 Samsung 裝置會封鎖使用 SwiftKey 之類的第三方鍵盤?

    :Samsung 開始在 Android 8.0+ 裝置上強制執行此動作。 Microsoft目前正在與 Samsung 就此問題合作,並在有可用時張貼新資訊。