為 Android 企業級全託管裝置設定註冊

在 Microsoft Intune 中設定 Android Enterprise 全管理裝置解決方案，以註冊並管理企業擁有的裝置。 完全管理的裝置會綁定單一使用者，且主要用於工作，而非個人使用。 作為 Intune 管理員，你可以管理整個裝置並執行 Android Enterprise 工作設定檔無法提供的政策控制，例如：

• 只允許從受管的 Google Play 安裝應用程式。
• 封鎖使用者解除安裝受管理應用程式。
• 防止使用者將裝置恢復出廠設定。

您和您的裝置使用者可以在裝置設定時輸入或掃描註冊令牌來啟動註冊。 本文說明註冊的先決條件，以及如何建立註冊檔案與代幣。 本文結尾，您可以註冊裝置。

步驟一：先決條件

完成這些先決條件以確保順利入學。

• 你必須有Intune獨立租戶，且行動裝置管理 (MDM) 權限設為Microsoft Intune。

• 裝置必須：

  • 使用Android OS 10.0及以上版本。
  • 使用有 Google 行動服務連接的 Android 版本。
  • 要有 Google 行動服務可用並能夠連接。

  只要三個要求都符合，廠商或原廠廠商就沒有限制。

• 請確認你所在地區支援 Android 企業版。 關於 Android Enterprise 的需求，請參閱 「開始使用 Android Enterprise」。

• 確保裝置支援 Android 企業版。 如需詳細資訊，請參閱：

  • Android 企業級幫助 - 一般常見問題
  • 檢查 & 修復 Play Protect 認證狀態

• 將你的 Intune 租戶帳號連接到你的 Android Enterprise 帳號。

• Android 的設定流程在註冊時使用 Chrome 分頁來驗證裝置使用者。 如果您有 Microsoft Entra 條件存取政策，且設定如下，您必須將 Microsoft Intune 雲端應用程式排除在政策之外：

  • 要求裝置被標記為合規 ，則用於授權或阻擋存取權限。

  • 此政策適用於 所有雲端應用程式、 Android 及 瀏覽器。

步驟二：建立新的註冊資料

Intune 會自動為全管理裝置產生預設的註冊設定檔和註冊令牌。 預設的註冊設定檔名為 「預設完全管理設定檔」。

要建立新的註冊資料：

1. 登入 Microsoft Intune 系統管理中心。

2. 前往 裝置>註冊。

3. 選擇 Android 標籤。

4. 在 Android 企業>註冊設定檔中，選擇 企業擁有且完全管理的使用者裝置。

5. 選取 [建立原則]。

6. 請輸入你的個人資料基礎：

   • 姓名：給個人檔案取個名字。 記住名稱以備後用，因為設定動態裝置群組時需要。

   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

   • 代幣類型：選擇你想用來註冊企業全管理裝置的代幣類型。 欲了解更多資訊，請參閱本文 中的代幣類型 。 選項包括：

     • 企業擁有、完全管理 (預設)

     • 企業擁有，完全管理，透過分期

     提示

     預備令牌不支援註冊時間分組。 如果你要設定設定檔來使用註冊時間分組，請使用企業擁有、完全管理 (預設的) 令牌。

   • 代幣到期日：僅與暫存代幣一同使用。 輸入你希望代幣到期的日期，最多可追溯到 65 年後。 可接受的日期格式： MM/DD/YYYY 或 YYYY-MM-DD 代幣於所選日期中午12：59：59（該時區）到期。

   • 命名範本：預設行為是根據裝置的屬性來命名裝置，例如註冊類型、裝置 ID 和註冊時間。 範例： 2025/01/AndroidForWork_01_12：00 PM

     要建立自訂命名範本：

     1. 在 「套用裝置名稱範本」中，選擇 「是」。

     2. 輸入你想套用到裝置上的命名範本。 名字可以包含字母、數字和連字號。

     你可以使用以下字串來建立你的命名範本。 Intune 會用裝置特定的數值替換字串。

     • {{SERIAL}} 代表裝置的序號。

     • {{SERIALLAST4DIGITS}} 代表裝置序號的最後四位數字。

     • {{DEVICETYPE}} 代表裝置類型。 範例： AndroidForWork

     • {{ENROLLMENTDATETIME}} 表示登記的日期與時間。

     • {{UPNPREFIX}} 代表使用者的名字。 範例： Eric，當裝置與使用者連結時。

     • {{USERNAME}} 表示裝置為使用者關聯時的使用者名稱。 範例： EricSolomon

     • {{RAND：x}} 表示隨機數字串， x 介於 1 到 9 之間，表示要加的數字數。 Intune 會把隨機數字加到名字後面。

     你對命名模板所做的修改只會適用於新登記的學生。

7. 選擇 「下一頁 」以繼續進入 裝置群組。

8. 可選擇在註冊時將裝置分組的地點。 選擇 以群組名稱搜尋。 然後找到並選擇一個靜態的 Microsoft Entra 裝置群組。 關於如何建立用於分組的裝置群組，請參閱 「設定註冊時間分組」。

   提示

   務必選擇裝置群組，而非使用者群組。

9. 選擇 「下一頁 」以繼續到 範圍標籤。

10. 套用一個或多個範圍標籤，限制個人檔案的可見性與管理權限僅限於 Intune 中的特定管理員使用者。 範圍標籤是選用的。 欲了解更多如何使用範圍標籤的資訊，請參閱「 分散式 IT 使用基於角色的存取控制 (RBAC) 及範圍標籤」。

11. 選擇 「下一頁 」以繼續 「評論+創建」。

12. 檢視你的個人檔案摘要，然後選擇 建立 以完成。

要檢視、修改或刪除個人檔案：

1. 選擇個人檔案。

2. 選擇 概覽 以檢視個人資料要點並刪除該檔案。

3. 選擇 「屬性>編輯 」以修改設定檔基本或範圍標籤。

4. 選擇 「令牌 」以取回、撤銷或匯出該令牌。

步驟 3：建立動態 Microsoft Entra 群組

可選擇性地建立一個動態的 Microsoft Entra 群組，根據特定屬性或變數自動分組裝置。 在這種情況下，我們想用這個 enrollmentProfileName 屬性來將註冊使用相同設定檔的裝置分組。

將以下配置加入你的群組：

• 群組類型：安全性

• 成員資格類型：動態裝置

• 根據以下規則新增動態查詢：

  • 物業：enrollmentProfileName
  • 運算子：等於
  • 價值：在 步驟 2：建立新註冊檔案時，輸入您所建立的註冊檔案名稱。

你不能用預設的註冊設定檔來使用動態群組。 欲了解更多如何建立帶有規則的動態群組，請參見 建立群組成員規則。

步驟四：註冊裝置

注意事項

Microsoft Authenticator 應用程式會在註冊期間自動安裝於全管理裝置上。 此應用程式是此註冊方式的必要條件，且無法卸載。

在你設定好註冊設定檔、令牌和動態群組後，你可以使用以下任一的配置方法，將裝置註冊為完全管理：

• NFC) 近場通訊 (
• 令牌串或 QR 碼
• 零觸控註冊
• Samsung Knox Mobile 註冊

關於下一步，包括如何用每種配置方式註冊裝置，請參見 註冊 Android 企業擁有的裝置。

代幣類型

當你在管理中心建立註冊檔案時，必須選擇一種代幣類型。 代幣有兩種類型。 每種類型都能帶來不同的入學流程。

預設的憑證為企業擁有、完全管理，將裝置註冊為標準 Android 企業級企業全管理裝置，Microsoft Intune。 此令牌要求你在分發裝置前完成預先配置步驟。 最終使用者在使用工作或學校帳號登入時，完成裝置上的剩餘步驟。

裝置暫存令牌（由企業擁有、完全管理）透過暫存方式，將裝置以暫存模式註冊至 Microsoft Intune，讓您或第三方廠商能完成所有預配置步驟。 終端使用者透過登入 Microsoft Intune 應用程式，完成設定的最後一步。 裝置登入後即可使用。 Intune 支援 Android 企業級裝置的裝置暫存，運行 Android 10 或更新版本。

欲了解更多資訊，請參閱 裝置暫定概述。

替換、移除或匯出令牌

在管理中心選擇一個令牌以存取以下管理選項：

• 更換代幣：產生一個即將到期的新代幣。

• 撤銷代幣：立即使代幣過期。 當你撤銷後，該代幣就無法再使用。 這個選項如果你：

  • 不小心把代幣分享給未經授權的人。

  • 完成所有登記後，就不需要代幣了。

• 匯出令牌：匯出令牌的 JSON 內容。 你可以用這個選項取得 Google Zero Touch 或 Knox 行動登記設定所需的 JSON 內容。

這些操作套用後，對已註冊的裝置不會產生影響。