Android Enterprise 工作配置檔管理概觀

Microsoft Intune 支援工作配置檔管理，這是一種 Android Enterprise 管理選項，可在已註冊的裝置上，啟用工作應用程式和數據的平臺層級區隔。 當員工或學生在 Intune 中註冊其裝置時，會啟用工作配置檔的建立。 工作配置檔會在裝置上為使用者的工作帳戶建立個別的分割區，讓使用者可以輕鬆且安全地切換其個人應用程式和工作應用程式。 當他們離開工作配置檔時，會返回其裝置的個人端，而其個人應用程式和數據不會受到 Intune 原則的影響。

註冊個人裝置的裝置用戶必須透過 Intune 公司入口網站 應用程式註冊，而公司擁有裝置上的用戶必須透過 Microsoft Intune 應用程式註冊。

本文提供 Microsoft Intune 所支援Android Enterprise工作設定檔管理選項的概觀，其中包括：

• 公司擁有裝置的工作配置檔。
• 個人裝置的工作配置檔。

您必須知道

Android Enterprise 無法在任何地方使用。 在您於 Microsoft Intune 系統管理中心建立註冊配置檔之前，請確定Android Enterprise 可在您的區域中使用。 如需 Android Enterprise 可用性和需求的詳細資訊，請參閱 Android Enterprise 需求 (開啟 Android Enterprise 說明) 。

在不支援 Android Enterprise 的地方，還有其他 Intune 支援的 Android 管理選項可供選擇，包括：

• Android 開放原始碼 平臺 (AOSP) 管理
• Android 裝置系統管理員管理
• 行動應用程式管理

受控Google Play帳戶

若要在 Intune 中啟用 Android Enterprise 裝置裝置的裝置和應用程式管理，您必須將 Microsoft Intune 租使用者連線到受控 Google Play 帳戶。

管理工作配置檔

Microsoft Intune 原則和設定僅適用於工作配置檔。 身為 Intune 系統管理員，您可以管理已註冊裝置的工作元件。

• 您在 Intune 中部署的所有應用程式都會安裝在工作設定檔中。 系統管理員可以管理和監視範圍設為工作配置檔的應用程式和動作。
• 工作配置檔以外的所有 Android 應用程式和資料都會保持個人化，並受裝置使用者控制。 用戶可以在裝置的個人端安裝他們選擇的任何應用程式。

工作配置檔中有唯一的應用程式圖示，可協助用戶區分其裝置上的工作應用程式和個人應用程式。

Intune 中提供的設定，範圍從註冊到裝置設定到合規性，可讓您根據組織的需求量身打造保護層級。 如需適用設定的詳細資訊，請參閱：

• Intune 中Android Enterprise的裝置合規性設定
• 使用 Intune 允許或限制功能的 Android Enterprise 裝置設定

應用程式發佈和發佈

受控 Google Play 是 Android Enterprise 應用程式發佈和管理不可或缺的一部分。 部署到個人和公司擁有裝置上工作配置檔的所有應用程式都來自受控Google Play服務。

若要在 Play Store 中管理和部署應用程式，請使用您的 Google 管理系統管理員認證登入 Google Play 網站。 您可以從這裡核准應用程式以進行部署。 核准的應用程式會與 Microsoft Intune 同步，並出現在系統管理中心，您可以在其中部署和管理它們。 企業營運 (LOB) 您組織開發的應用程式必須使用 Google Play 受控發佈主控台發布至受控 Google Play。

您可以安裝應用程式，而不需要用戶互動，也不需要使用者允許從未知來源安裝應用程式。 若要流覽並安裝選擇性或可用的應用程式，用戶可以在其裝置上流覽受控 Google Play 商店。 如需詳細資訊，請參閱使用 Intune 將應用程式指派給Android Enterprise工作設定檔裝置。

應用程式設定

Android Enterprise 提供基礎結構，可將應用程式組態值部署到支持這些值的應用程式。 藉由指定工作應用程式的值，您可以確保使用者第一次啟動應用程式時已正確設定這些值。 應用程式設定的支援需要應用程式開發人員特別建立 Android 應用程式，以支援受控設定值。 如果是，您可以使用 Intune 來指定和套用這些組態設定。 如需詳細資訊，請 參閱為受控 Android 裝置新增應用程式設定原則。

Email 組態

Android Enterprise 不會提供預設的電子郵件應用程式或原生電子郵件設置檔物件，例如 iOS/iPadOS 所提供的物件。 相反地，您可以透過 Intune 應用程式組態設定，為支援的電子郵件應用程式設定電子郵件設置。

Gmail 和 Nine Work 是 Play Store 中支援 Android Enterprise 應用程式設定的兩 Exchange ActiveSync (EAS) 用戶端應用程式。 Intune 提供 Gmail 和 Nine Work 應用程式的設定範本，讓您可以將它們當做工作應用程式來管理。 您可以在應用程式設定原則中設定其他支援應用程式組態設定檔的電子郵件應用程式。

如果您針對個人或公司擁有的裝置使用 Exchange ActiveSync 條件式存取，請考慮使用 Gmail 或 Nine Work 電子郵件應用程式。 也支援 Microsoft Outlook for Android 應用程式，以及透過 MSAL 使用新式驗證的任何其他電子郵件應用程式。 如需詳細資訊，請參閱如何在 Microsoft Intune 中設定電子郵件設置。

提示

Azure AD 驗證 連結庫 (ADAL) 已被取代，因此建議您將目前使用 ADAL 的應用程式更新為 MSAL。 如需詳細資訊，請參閱更新您的應用程式以使用 Microsoft 驗證連結庫 (MSAL) 和 Microsoft 圖形 API。

應用程式防護原則

Microsoft Intune支援套用至工作配置檔和裝置個人端應用程式的應用程式保護原則。 您可以在 Google Play發佈主控台中發佈企業營運應用程式，而且可以將應用程式設為貴組織的私人應用程式。

如需工作配置檔之應用程式保護原則的詳細資訊，請參閱下列文章：

• 應用程式保護原則概觀

• 在 Intune 中新增工作配置檔裝置的裝置合規性政策

VPN 設定檔

VPN 支援類似於 Android VPN 設定檔。 相同的 VPN 提供者和基本設定選項適用於 Android Enterprise 管理，有兩個差異：

• 工作配置檔範圍的 VPN – VPN 連線僅限於部署到個人和公司擁有裝置上工作設定檔的應用程式，因此只有受控應用程式可以使用 VPN 連線。 裝置上的個人應用程式無法使用受控 VPN 連線。 如需詳細資訊，請參閱 Android Enterprise VPN 設定。

• 應用程式特定 VPN – 如果 VPN 提供者支援，您可以在 Intune 中設定應用程式特定的 VPN：

  • 應用程式特定 VPN 的組態。

  • 透過Android Enterprise 應用程式組態設定檔設定個別應用程式 VPN 的功能。

  如需詳細資訊，請參閱使用 Microsoft Intune 自定義配置檔為Android裝置建立個別應用程式 VPN 設定檔。

憑證設定檔

Android 管理可用的相同憑證配置檔組態適用於個人和公司擁有裝置上的工作配置檔。 Android Enterprise 提供增強的憑證管理 API。

增強的憑證管理：

• 確保用戶的憑證部署是無訊息且順暢的。

• 確保當裝置從 Intune 淘汰並移除工作配置檔時，會移除已部署的憑證。

• 通知裝置用戶憑證已由其IT支援人員透過 Microsoft Intune部署和設定。

如需詳細資訊，請參閱在 Microsoft Intune 中設定您裝置憑證設定檔。

Wi-Fi 設定檔

當裝置從 Intune 淘汰並刪除工作配置檔時，會移除 Wi-Fi 配置檔。 如需詳細資訊，請參閱如何在 Microsoft Intune 中設定 Wi-Fi 設定。

後續步驟

• Android 的註冊部署指南

• 使用 Intune 將應用程式指派給 Android Enterprise 工作設定檔裝置