使用 Android Enterprise 專用裝置解決方案搭配 Microsoft Intune,為前線工作者設置企業擁有的一次性自助服務機式裝置。 這些裝置主要用於單一用途,例如數位看板、車票列印或庫存管理。 作為管理員,你可以將裝置的使用限制限制在單一應用程式,或有限的應用程式組合,包括網頁應用程式。 除非你明確同意,使用者無法新增其他應用程式或在裝置上執行任何操作。
專為專用用途設計的裝置可透過兩種方式註冊至 Microsoft Intune:
作為標準的 Android Enterprise 專用裝置。 這些裝置註冊在 Intune 時沒有用戶帳號,且沒有綁定任何使用者。 這些裝置並非用於個人應用程式,或像 Microsoft Outlook 或 Google Mail 這類需要特定帳號資料的應用程式。
作為標準的 Android Enterprise 專用裝置,會自動設定 Microsoft Authenticator 並在註冊時設定為 Microsoft Entra 共享裝置模式。 這些裝置註冊在 Intune 中,沒有用戶帳號,且沒有綁定任何使用者。 這些裝置設計用於與 Microsoft Entra 共享裝置模式整合的應用程式,並允許跨參與應用程式間的單一登入與登出。
本文說明如何設定與設定 Microsoft Intune 以註冊專用裝置。 欲了解更多 Android Enterprise 管理解決方案,請參閱 「開始使用 Android Enterprise 」 (開啟 Android Enterprise Help Center) 。
裝置需求
裝置必須具備:
- Android 作業系統版本 8.0 或更新。
- 這是一個擁有 Google 行動服務 (GMS) 連線的 Android 發行版。 裝置必須具備 GMS 可用,且必須能連接 GMS。
- 支援 Android 企業版。 欲了解更多需求與支援資訊,請參閱:
設定 Android Enterprise 專用裝置管理
要設定 Android Enterprise 專用裝置管理,請遵循以下步驟:
- 要準備管理行動裝置,您必須設定行動裝置管理 (MDM) 權限,Microsoft Intune指令。 你只需要設定一次,就是剛開始設定 Intune 來管理行動裝置時。
- 將你的 Intune 租戶帳號連接到你的 Managed Google Play 帳號。
- 建立註冊檔案。
- 建立一個裝置群組。
- 註冊專用裝置。
建立註冊檔案
注意事項
代幣到期後,與其相關的個人檔案會在 Android 註冊 >Enrollment Profiles> 企業擁有的專用裝置下消失。 要查看所有與活躍與非活躍代幣相關的個人資料,請選擇 篩選。 然後選擇 啟用 與 非啟用 保單狀態的勾選框。
您必須建立註冊設定檔,以便註冊專用裝置。 建立個人檔案時,會提供一個以字串和 QR 碼形式呈現的註冊憑證。
進入裝置,然後在裝置入職選項中選擇註冊。
選擇 Android 標籤。
在 註冊資料 區塊中,選擇 企業擁有的專用裝置。
選擇 建立個人檔案。
請輸入你的個人資料基礎:
姓名:給你的個人檔案取個名字,方便日後辨識。
描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
代幣類型:選擇你想用來註冊專用裝置的代幣類型。
- 企業擁有的專用裝置 (預設) :此令牌將裝置註冊為標準 Android Enterprise 專用裝置。 這些裝置在任何時候都不需要使用者憑證。 這是專用裝置預設的憑證類型,除非管理員在創建憑證時更新。
- 企業擁有的專用裝置與 Microsoft Entra ID 共享模式:此令牌將裝置註冊為標準 Android 企業專用裝置,並在註冊期間部署已設定為 Microsoft Entra 共享裝置模式的 Microsoft Authenticator 應用程式。 透過此選項,使用者可在裝置上實現與 Microsoft Entra Microsoft 認證庫整合的應用程式間的單一登入與單簽出,並支援全域登入/登出通話。
代幣到期日:輸入你希望代幣到期的日期,最多可追溯到未來65年。 該代幣於所選日期 12:59:59 PM 到期,該時區為該時區。 可接受的日期格式:
MM/DD/YYYY或YYYY-MM-DD命名範本:預設行為是根據裝置的屬性來命名裝置,例如註冊類型、裝置 ID 和註冊時間。 範例: 2025/01/AndroidForWork_01_12:00 PM
要建立自訂命名範本:
在 「套用裝置名稱範本」中,選擇 「是」。
輸入你想套用到裝置上的命名範本。 名字可以包含字母、數字和連字號。
你可以使用以下字串來建立你的命名範本。 Intune 會用裝置特定的數值替換字串。
{{SERIAL}} 代表裝置的序號。
{{SERIALLAST4DIGITS}} 代表裝置序號的最後四位數字。
{{DEVICETYPE}} 代表裝置類型。 範例: AndroidForWork
{{ENROLLMENTDATETIME}} 表示登記的日期與時間。
{{UPNPREFIX}} 代表使用者的名字。 範例: Eric,當裝置與使用者連結時。
{{USERNAME}} 表示裝置為使用者關聯時的使用者名稱。 範例: EricSolomon
{{RAND:x}} 表示隨機數字串, x 介於 1 到 9 之間,表示要加的數字數。 Intune 會把隨機數字加到名字後面。
你對命名模板所做的修改只會適用於新登記的學生。
代幣到期日:輸入你希望代幣到期的日期,最多可追溯到未來65年。 該代幣於所選日期 12:59:59 PM 到期,該時區為該時區。 可接受的日期格式:
MM/DD/YYYY或YYYY-MM-DD
選擇 「下一頁 」以繼續進入 裝置群組。
可選擇在註冊時將裝置分組的地點。 選擇 以群組名稱搜尋。 然後找到並選擇一個靜態的 Microsoft Entra 裝置群組。 關於如何建立用於分組的裝置群組,請參閱 「設定註冊時間分組」。
提示
務必選擇裝置群組,而非使用者群組。
選擇 「下一頁 」以繼續到 範圍標籤。
可選擇性地套用一個或多個範圍標籤,限制個人檔案的可見性與管理權限僅限於 Intune 的特定管理員使用者。 欲了解更多如何使用範圍標籤的資訊,請參閱「 分散式 IT 使用基於角色的存取控制 (RBAC) 及範圍標籤」。
選擇 「下一頁 」以繼續 「評論+創建」。
檢視你的選擇,然後選擇 建立 完成個人檔案。
存取登記令牌
請在管理中心存取註冊令牌。
- 前往 裝置>註冊。
- 選擇 Android 標籤。
- 在 註冊資料 區塊中,選擇 企業擁有的專用裝置。
- 從清單中選擇您的報名資料。
- 選擇 代幣。
該令牌以20位數字串和QR碼的形式出現。 使用此代幣透過註冊 專用、全管理或企業擁有的工作設定檔裝置中描述的機制來註冊裝置。 在註冊時,裝置使用者會被要求輸入註冊令牌。 只要 Android 作業系統和註冊裝置版本支援,你可以提供字串或 QR。
替換、移除或匯出令牌
選擇一個代幣以存取以下選項:
- 更換代幣:產生一個即將到期的新代幣。
-
撤銷代幣:立即使代幣過期。 一旦被撤銷,該代幣就無法再使用。 這個選項如果你:
- 不小心把代幣分享給未經授權的人。
- 完成所有登記後,就不需要代幣了。
- 匯出令牌:匯出令牌的 JSON 內容。 此選項對於取得設定 Google Zero Touch 或 Knox 行動註冊所需的 JSON 內容非常有用。
這些操作套用後,對已註冊的裝置不會產生影響。
建立裝置群組
你可以針對指定或動態裝置群組來鎖定應用程式和政策。 您可以依照以下步驟設定動態 Microsoft Entra 裝置群組,自動填充已註冊特定註冊設定檔的裝置:
登入 Microsoft Intune 管理中心,選擇「群組」「>所有群組>」「新群組」。
請依下列方式填寫所有必填欄位:
- 群組類型:安全性
- 群組名稱:輸入直覺式名稱,例如 Factory 1 裝置
- 成員資格類型:動態裝置
選擇 新增動態查詢。
在動態會員規則頁面,請依照以下方式填寫所有欄位:
- 物業:enrollmentProfileName
- 運算子:等於
- 價值:輸入你先前建立的註冊檔案名稱。
欲了解更多動態會員規則,請參閱 Microsoft Entra ID 中的群組動態會員規則。
選擇 儲存 以完成規則。
註冊專用裝置
你現在可以 註冊專用裝置了。
注意事項
Microsoft Intune 應用程式會在註冊專用裝置時自動安裝。 此應用程式為註冊必需,且無法卸載。 當使用 Microsoft Entra ID 共享模式的令牌類型企業擁有專用裝置時,會自動安裝 Microsoft Authenticator 與公司入口網站。 這些應用程式是此註冊方式所必需的,且無法卸載。
管理 Android Enterprise 專用裝置上的應用程式
只有將分配類型 設定為「必需 」的應用程式才能安裝在 Android 企業專用裝置上。 應用程式的安裝方式與 Android 企業級個人及企業擁有的工作設定檔裝置相同,從受管式 Google Play 商店安裝。
當應用程式開發者向 Google Play 發布更新時,受管理裝置的應用程式會自動更新。
要從 Android 企業專用裝置移除應用程式,你可以以下任一操作:
- 刪除所需的應用程式部署。
- 為應用程式建立一個卸載部署。