Настройка регистрации в Intune выделенных устройств Android Enterprise

Используйте решение для выделенных устройств Android Enterprise с Microsoft Intune, чтобы настроить корпоративные одноразовые устройства в стиле киоска для сотрудников первой линии. Эти устройства используются для одной цели, например для цифровой вывески, печати билетов или управления запасами. Администратор может заблокировать использование устройства для одного приложения или ограниченного набора приложений, включая веб-приложения. Пользователи не могут добавлять другие приложения или выполнять действия на устройстве, если они не одобрены явным образом.

Устройства, предназначенные для выделенного использования, можно зарегистрировать в Microsoft Intune двумя способами:

  • Как стандартное выделенное устройство Android Enterprise. Эти устройства регистрируются в Intune без учетной записи пользователя и не связаны с пользователем. Эти устройства не предназначены для личных приложений или приложений, таких как Microsoft Outlook или Google Mail, для которых требуются данные учетной записи пользователя.

  • Как стандартное выделенное устройство Android Enterprise, которое автоматически настраивается с помощью Microsoft Authenticator и настраивается для режима общего устройства Microsoft Entra во время регистрации. Эти устройства регистрируются в Intune без учетной записи пользователя и не связаны с пользователем. Эти устройства предназначены для использования с приложениями, которые интегрируются с режимом общего устройства Microsoft Entra и обеспечивают единый вход и выход между пользователями в участвующих приложениях.

В этой статье описывается, как настроить и настроить Microsoft Intune для регистрации выделенных устройств. Дополнительные сведения о решениях для управления Android Enterprise см. в статье Начало работы с Android Enterprise (открывается Центр справки Android Enterprise).

Требования к устройству

Устройства должны иметь:

  • Ос Android версии 8.0 или более поздней.
  • Дистрибутив Android с подключением к Google Mobile Services (GMS). На устройствах должны быть доступны службы GMS, устройства должны иметь возможность подключения к GMS.

Настройка управления выделенными устройствами Android Enterprise

Чтобы настроить управление выделенными устройствами Android Enterprise, сделайте следующее.

  1. Чтобы подготовиться к управлению мобильными устройствами, нужно установить Microsoft Intune в качестве центра управления мобильными устройствами (MDM) для получения инструкций. Этот параметр указывается только один раз при первой настройке Intune для управления мобильными устройствами.
  2. Подключите учетную запись клиента Intune к учетной записи управляемого Google Play.
  3. Создайте профиль регистрации.
  4. Создайте группу устройств.
  5. Зарегистрируйте выделенные устройства.

Создание профиля регистрации

Примечание.

После истечения срока действия маркера связанный с ним профиль исчезает из представления в разделе Профили регистрации> AndroidКорпоративные> выделенные устройства. Чтобы просмотреть все профили, связанные как с активными, так и с неактивными маркерами, выберите Фильтр. Затем установите флажки для состояний активной и неактивной политики.

Необходимо создать профиль регистрации, чтобы зарегистрировать выделенные устройства. При создании профиля он предоставляет маркер регистрации в виде строки и QR-кода.

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Перейдите в раздел Устройства, а затем в разделе Подключение устройств выберите Регистрация.
  3. Перейдите на вкладку Android .
  4. В разделе Профили регистрации выберите Корпоративные выделенные устройства.
  5. Выберите Создать профиль.
  6. Введите основные сведения о профиле:
    • Имя. Присвойте своему профилю имя, чтобы его можно было легко определить позже.
    • Описание: введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.
    • Тип токена. Выберите тип токена, который будет использоваться для регистрации выделенных устройств.
      • Выделенные корпоративные устройства (по умолчанию). Этот токен регистрирует устройства как стандартные выделенные устройства Android Enterprise. Для этих устройств никогда не требуется учетных данных пользователя. Это тип токена по умолчанию, с помощью которого будут регистрироваться выделенные устройства, если только администратор не обновил их во время создания токена.
      • Корпоративное выделенное устройство с общим режимом Microsoft Entra ID. Этот маркер регистрирует устройства в качестве стандартного выделенного устройства Android Enterprise и во время регистрации развертывает приложение Microsoft Authenticator, настроенное в режиме общего устройства Microsoft Entra. С помощью этого параметра пользователи могут выполнять единый вход и единый вход в приложениях на устройстве, интегрированных с библиотекой проверки подлинности Майкрософт Microsoft Entra и глобальными вызовами входа и выхода.
    • Дата окончания срока действия маркера. Введите дату истечения срока действия маркера до 65 лет в будущем. Срок действия маркера истекает в выбранную дату в 12:59:59 в часовом поясе, который он был создан. Допустимый формат даты: MM/DD/YYYY или YYYY-MM-DD
  7. Нажмите кнопку Далее , чтобы перейти к разделу Теги области.
  8. При необходимости примените один или несколько тегов области, чтобы ограничить видимость профилей и управление ими для определенных пользователей-администраторов в Intune. Дополнительные сведения об использовании тегов области см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ-служб.
  9. Нажмите кнопку Далее , чтобы продолжить просмотр и создание.
  10. Просмотрите выбранные варианты и нажмите кнопку Создать , чтобы завершить создание профиля.

Маркер регистрации доступа

Доступ к маркеру регистрации в Центре администрирования.

  1. Перейдите в разделРегистрацияустройств>.
  2. Перейдите на вкладку Android .
  3. В разделе Профили регистрации выберите Корпоративные выделенные устройства.
  4. Из списка выберите свой профиль регистрации.
  5. Выберите Маркер.

Маркер отображается в виде 20-значной строки и QR-кода. Используйте этот маркер для регистрации устройств с помощью механизмов, описанных в разделе Регистрация выделенных, полностью управляемых или корпоративных устройств с рабочим профилем. Во время регистрации пользователю устройства будет предложено ввести маркер регистрации. Вы можете указать строку или QR-код при условии, что они поддерживаются ОС Android и версией регистривающего устройства.

Замена, удаление или экспорт маркера

Выберите маркер, чтобы получить доступ к следующим параметрам:

  • Заменить токен. Создайте новый маркер, срок действия которых приближается.
  • Отзыв маркера: немедленно истекает срок действия маркера. После отзыва маркер становится недоступным для использования. Этот параметр полезен в следующих случаях:
    • Случайно предоставить общий доступ к маркеру неавторизованной стороне.
    • Завершите все регистрации, и маркер больше не нужен.
  • Маркер экспорта: экспортируйте содержимое json маркера. Этот параметр полезен для получения содержимого JSON, необходимого для настройки Google Zero Touch или Knox Mobile Enrollment.

При применении эти действия не оказывают никакого влияния на уже зарегистрированные устройства.

Создание группы устройств

Вы можете выбирать приложения и политики для назначенных или динамических групп устройств. Вы можете настроить динамические группы устройств Microsoft Entra для автоматического заполнения устройств, зарегистрированных с помощью определенного профиля регистрации, выполнив следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune и выберите Группы>Все группы>Новая группа.

  2. Заполните все обязательные поля следующим образом:

    • Тип группы: безопасность
    • Имя группы: введите интуитивно понятное имя, например устройства фабрики 1.
    • Тип членства: динамическое устройство
  3. Выберите Добавить динамический запрос.

  4. На странице Правила динамического членства заполните все поля следующим образом:

    • Свойство: enrollmentProfileName
    • Оператор: Равно
    • Значение. Введите имя профиля регистрации, созданного ранее.

    Дополнительные сведения о правилах динамического членства см. в разделе Правила динамического членства для групп в Идентификаторе Microsoft Entra.

  5. Нажмите кнопку Сохранить , чтобы завершить работу с правилом.

Регистрация выделенных устройств

Теперь вы можете зарегистрировать выделенные устройства.

Примечание.

Приложение Microsoft Intune автоматически установится во время регистрации выделенного устройства. Это приложение является обязательным для регистрации. Его нельзя удалить. Приложение Microsoft Authenticator будет автоматически установлено во время регистрации выделенного устройства при использовании типа токена Корпоративное выделенное устройство с общим режимом Microsoft Entra ID. Это приложение является обязательным для данного метода регистрации. Его нельзя удалить.

Управление приложениями на выделенных устройствах Android Enterprise

На выделенных устройствах Android Enterprise можно установить только приложения, для которых для типа назначения задано значение Обязательно . Приложения устанавливаются из управляемого магазина Google Play так же, как устройства с личным и корпоративным рабочим профилем Android Enterprise.

Приложения обновляются автоматически на управляемых устройствах, когда разработчик приложения публикует обновление в Google Play.

Чтобы удалить приложение с выделенного устройства Android Enterprise, выполните одно из следующих действий.

  • Удалите необходимое развертывание приложения.
  • Создайте развертывание удаления для приложения.

Дальнейшие действия