Поделиться через


Настройка регистрации для полностью управляемых устройств Android Enterprise

Настройте полностью управляемое решение Android Enterprise для устройств в Microsoft Intune для регистрации корпоративных устройств и управления ими. Полностью управляемое устройство связано с одним пользователем и предназначено для работы, а не для личного использования. Администратор Intune может управлять всем устройством и применять элементы управления политикой, недоступные в рабочем профиле Android Enterprise, например:

  • Разрешить установку приложений только из Управляемого Google Play.
  • Запретить пользователям удалять управляемые приложения.
  • Запретить пользователям сбрасывать устройства до заводских настроек.

Вы и пользователи устройства можете инициировать регистрацию, введя или просканировав маркер регистрации во время настройки устройства. В этой статье описаны предварительные требования для регистрации и создание профилей и маркеров регистрации. В конце этой статьи вы можете зарегистрировать устройства.

Шаг 1. Предварительные условия

Выполните эти предварительные требования, чтобы обеспечить успешную регистрацию.

  • У вас должен быть автономный клиент Intune, для центра управления мобильными устройствами (MDM) задано значение Microsoft Intune.

  • Устройства должны:

    • Запустите ОС Android версии 8.0 и более поздних версий.
    • Запустите сборку Android с подключением к мобильным службам Google.
    • Будьте доступны для мобильных служб Google и сможете подключиться к ним.

    Если выполнены все три требования, для изготовителя устройства или изготовителя оборудования нет ограничений.

  • Убедитесь, что Android Enterprise поддерживается в вашем регионе. Требования к Android enterprise см. в статье Начало работы с Android Enterprise.

  • Подключите учетную запись клиента Intune к учетной записи Android Enterprise.

  • Процесс установки Android использует вкладку Chrome для проверки подлинности пользователей устройств во время регистрации. Если у вас есть политика условного доступа Microsoft Entra со следующими конфигурациями, необходимо исключить облачное приложение Microsoft Intune из политики:

    • Для предоставления или блокировки доступа используется требование пометить устройство как соответствующее параметру.

    • Политика применяется ко всем облачным приложениям, Android и браузерам.

Шаг 2. Создание профиля регистрации

Intune автоматически создает профиль регистрации по умолчанию и маркер регистрации для полностью управляемых устройств. Профиль регистрации по умолчанию называется Полностью управляемый профиль по умолчанию.

Чтобы создать новый профиль регистрации, выполните приведенные далее действия.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в разделРегистрацияустройств>.

  3. Перейдите на вкладку Android .

  4. В разделеПрофили регистрацииAndroid Enterprise> выберите Корпоративные, полностью управляемые пользовательские устройства.

  5. Выберите Создать профиль.

  6. Введите основные сведения о профиле:

    • Имя. Присвойте профилю имя. Запишите имя ниже, так как оно понадобится при настройке динамической группы устройств.

    • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

    • Тип маркера. Выберите тип маркера, который вы хотите использовать для регистрации корпоративных полностью управляемых устройств. Дополнительные сведения см. в разделе Типы маркеров в этой статье. Доступны следующие параметры:

      • Корпоративный, полностью управляемый (по умолчанию)

      • Корпоративный, полностью управляемый, через промежуточное хранение

    • Дата окончания срока действия маркера: доступно только с промежуточным маркером. Введите дату истечения срока действия маркера до 65 лет в будущем. Допустимый формат даты: MM/DD/YYYY или YYYY-MM-DD срок действия токена истекает в выбранную дату в 12:59:59 в часовом поясе, который он был создан.

  7. Нажмите кнопку Далее , чтобы перейти к разделу Теги области.

  8. Примените один или несколько тегов области, чтобы ограничить видимость профиля и управление ими для определенных пользователей администрирования в Intune. Теги области являются необязательными. Дополнительные сведения об использовании тегов области см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ-служб.

  9. Нажмите кнопку Далее , чтобы продолжить просмотр и создание.

  10. Просмотрите сводку профиля и нажмите кнопку Создать , чтобы завершить ее.

Чтобы просмотреть, внести изменения или удалить профиль:

  1. Выберите профиль.

  2. Выберите Обзор , чтобы просмотреть основные сведения о профиле и удалить профиль.

  3. Выберите Изменить свойства>, чтобы внести изменения в основные сведения профиля или теги области.

  4. Выберите Токен , чтобы получить, отозвать или экспортировать маркер.

Шаг 3. Создание динамической группы Microsoft Entra

При необходимости создайте динамическую группу Microsoft Entra, чтобы автоматически группировать устройства на основе определенного атрибута или переменной. В этом случае мы хотим использовать enrollmentProfileName свойство для группирования устройств, которые регистрируются с тем же профилем.

Добавьте в группу следующие конфигурации:

  • Тип группы: безопасность

  • Тип членства: динамическое устройство

  • Добавьте динамический запрос со следующим правилом:

Вы не можете использовать динамические группы с профилем регистрации по умолчанию. Дополнительные сведения о создании динамической группы с правилами см. в разделе Создание правила членства в группах.

Шаг 4. Регистрация устройств

После настройки профиля регистрации, маркера и динамической группы можно использовать любой из следующих методов подготовки для регистрации устройств как полностью управляемых:

  • Связь ближнего поля (NFC)
  • Строка маркера или QR-код
  • Регистрация с нулевым касанием
  • Регистрация Samsung Knox Mobile

Дальнейшие действия, включая регистрацию устройств с помощью каждого метода подготовки, см. в разделе Регистрация корпоративных устройств Android Enterprise.

Типы маркеров

При создании профиля регистрации в Центре администрирования необходимо выбрать тип маркера. Существует два типа маркеров. Каждый тип включает разные потоки регистрации.

Токен по умолчанию, принадлежащий организации, полностью управляемый, регистрирует устройства в Microsoft Intune в качестве стандартных корпоративных полностью управляемых устройств Android Enterprise. Для этого маркера необходимо выполнить действия по предварительной подготовке перед распространением устройств. Конечные пользователи выполняют оставшиеся действия на устройстве при входе с помощью рабочей или учебной учетной записи.

Промежуточный маркер устройства, принадлежащий организации, полностью управляемый через промежуточное хранение, регистрирует устройства в Microsoft Intune в промежуточном режиме, чтобы вы или сторонний поставщик могли выполнить все действия по предварительной подготовке. Конечные пользователи завершают последний шаг подготовки, войдя в приложение Microsoft Intune со своей рабочей или учебной учетной записью. Устройства готовы к использованию при входе. Intune поддерживает промежуточное хранение для устройств Android Enterprise под управлением Android 8 или более поздней версии.

Дополнительные сведения см. в разделе Общие сведения о промежуточном управлении устройствами.

Замена, удаление или экспорт маркера

Выберите маркер в Центре администрирования, чтобы получить доступ к следующим параметрам управления:

  • Заменить токен. Создайте новый маркер, срок действия которых приближается.

  • Отзыв маркера: немедленно истекает срок действия маркера. После отзыва маркер больше не будет доступен для использования. Этот параметр полезен в следующих случаях:

    • Случайно предоставить общий доступ к маркеру неавторизованной стороне.

    • Завершите все регистрации, и маркер больше не нужен.

  • Маркер экспорта: экспортируйте содержимое json маркера. Этот параметр можно использовать для получения содержимого JSON, необходимого для конфигурации Google Zero Touch или Knox Mobile Enrollment.

При применении эти действия не оказывают никакого влияния на уже зарегистрированные устройства.