它可帮助你确定哪种管理功能最适合你的组织,并提供有关 Android 企业的常见问题解答。
在 Intune 中启用 Android 企业设备之前,必须确定是要将这些设备注册为个人设备 (自带设备,还是将 BYOD) 注册为公司设备。
BYOD 设备
BYOD 设备设置为具有 Android Enterprise 工作配置文件。 此功能内置于 Android 5.1 及更高版本中。 此功能允许将工作应用和数据存储在设备上独立的、独立的公司管理空间中。 由于个人应用和数据保留在用户个人资料内的设备上,因此员工可以像往常一样继续使用其设备。
公司拥有的设备有两个选项,每个选项都提供一个独特的用例:
专用设备
(以前称为 COSU 或公司拥有的单一用途) 。
本指南中使用的示例侧重于 BYOD 方案。 有关专用设备 (COSU) 方案的详细信息,请参阅
使用 QR 代码注册方法的 COSU 配置和注册
。
专用设备通常锁定为单个应用或应用集, (也称为展台模式) 。 它允许管理员控制状态栏、键盘布局、锁屏界面和设备上的其他设置等内容。 它阻止用户在专用设备上启用其他应用或更改某些设置。
以这种方式管理的设备在 Intune中注册,没有用户帐户,并且不与任何最终用户相关联。 它们不适用于个人使用应用程序或对用户特定帐户数据(如 Outlook 或 Gmail)有强烈要求的应用。
完全托管的设备
(以前称为 COBO 或仅限企业拥有) 。
有关完全托管设备的详细信息,请参阅
设置 android Enterprise 完全托管设备的Intune注册
。
完全托管的设备适合更以用户为中心的方案。 单个用户与设备关联,而管理员仍保留对设备 (的完全控制,而不是工作配置文件方案,其中多个用户具有控制) 。
当你决定如何注册设备时,请注意,并非所有功能都可用于这两种方法。 下表显示了一些主要差异。
工作配置文件 (BYOD)
专用 (展台)
有关详细信息,请参阅
实现Microsoft Intune计划
。
将Intune帐户连接到 Android 企业帐户
在环境中配置 Android 企业的第一步是将Intune租户帐户连接到 Android 企业帐户:
创建 Google 服务帐户 (@gmail.com) 。
此帐户将与租户的所有 Android 企业管理任务相关联。 这是贵公司的 IT 管理员共享的 Google 帐户,用于在 Google Play 控制台中管理和发布应用。 可以使用现有 Google 帐户或创建新帐户。 使用的帐户不得与 G-Suite 域相关联。
使用Intune许可的全局管理员帐户登录到 Microsoft Intune
管理中心
。
转到
“设备”
>
“Android
>
Android 注册
>
托管的 Google Play
”,选择“
我同意
”,然后选择“
启动 Google 以立即连接
”以打开托管 Google Play 网站。
有关详细信息,请参阅
将 Intune 帐户连接到托管 Google Play 帐户
。
部署应用程序
Intune帐户连接到 Android 企业帐户后,可以按照以下步骤部署一些应用程序:
使用Intune许可的全局管理员帐户登录到 Microsoft Intune
管理中心
。
转到
“应用
>
”“所有应用
>
添加
”。
在
“选择应用类型
”窗格中,找到可用的
“应用商店应用
类型”,然后选择“
托管的 Google Play 应用
”。
选择
“选择
”。 将显示
托管的 Google Play
应用商店。
在Intune Azure 门户,选择“
设备配置文件
>
>
创建配置文件
”,然后输入电子邮件配置文件
的“名称”
和“
说明
”。
从
“平台
”下拉列表中选择
“Android 企业
”。
在
“仅配置文件类型
>
工作配置文件”
中,选择“
Email
”。
配置电子邮件配置文件设置。
问
:为什么未通过Intune在工作配置文件中显示未部署的托管 Google Play 应用?
答
:创建工作配置文件时,设备 OEM 可以在工作配置文件中启用系统应用。 它不受 MDM 提供程序的控制。
若要进行故障排除,请执行以下步骤:
收集公司门户日志。
请注意在工作配置文件中意外出现的任何应用。
从Intune取消注册设备并卸载公司门户。
安装
测试 DPC
应用,该应用允许在没有 EMM 的情况下创建工作配置文件进行测试。
按照
测试 DPC
中的说明在设备上创建工作配置文件。
查看工作配置文件中显示的应用。
如果测试 DPC 应用中显示了相同的应用程序,则 OEM 预期该设备的应用。
问
:为什么“擦除 (恢复出厂设置) ”选项不适用于我的工作配置文件注册设备?
答
:此行为是预期行为。 在工作配置文件方案中,MDM 提供程序无法完全控制设备。 唯一可用的选项是停用 (删除公司数据) 这会删除整个工作配置文件及其所有内容。
问
:为什么在工作配置文件注册设备上找不到文件路径“内部存储/Android/Data.com.microsoft.windowsintune.companyportal/files”以手动收集公司门户日志?
答
:此行为是预期行为。 此路径仅为设备管理员 (旧版 Android 注册) 方案创建。
若要收集日志,请执行以下步骤:
在带有锁屏提醒的公司门户应用中,点击
“菜单
>
帮助
>
Email支持
”,然后点击“
发送Email &上传日志
”。
当系统提示
发送帮助请求
时,请选择Email应用之一。
系统会向 IT 管理员生成一封电子邮件,其中包含可提供给 Microsoft 产品支持的事件 ID。
问
:我检查了托管 Google Play 上次同步时间,但几天后尚未更新。 为什么?
答
:此行为是预期行为。 仅当手动执行此操作时,才会触发同步。
问
:已注册工作配置文件的设备是否支持 Web 应用程序?
答
:是的。 所有 Android Enterprise 方案都支持 Web 应用 (或 Web 链接) 。
问
:是否支持设备密码重置?
答
:对于已注册工作配置文件的设备,如果工作配置文件密码是托管的,并且用户允许你重置工作配置文件密码,则只能在运行 Android 8.0+ 的设备上重置工作配置文件密码。 对于专用和完全托管的设备,支持设备密码重置。
问
:注册时需要加密我的设备。 是否有关闭加密的选项?
答
:否。 Google 要求对工作配置文件进行加密。
问
:为什么 Samsung 设备阻止使用 SwiftKey 等第三方键盘?
答
:Samsung 开始在 Android 8.0+ 设备上强制实施此功能。 Microsoft 当前正与 Samsung 合作处理此问题,并将在有新信息时发布新信息。
