Konfigurera registrering för fullständigt hanterade Android Enterprise-enheter
Konfigurera den fullständigt hanterade Android Enterprise-enhetslösningen i Microsoft Intune för att registrera och hantera företagsägda enheter. En fullständigt hanterad enhet är associerad med en enskild användare och är avsedd för arbete, inte personligt bruk. Som Intune-administratör kan du hantera hela enheten och tillämpa principkontroller som inte är tillgängliga med Android Enterprise-arbetsprofilen, till exempel:
- Tillåt endast appinstallation från Hanterat Google Play-konto.
- Blockera användare från att avinstallera hanterade appar.
- Hindra användare från att fabriksåterställa enheter.
Du och dina enhetsanvändare kan initiera registreringen genom att ange eller skanna en registreringstoken under enhetskonfigurationen. Den här artikeln beskriver kraven för registrering och hur du skapar registreringsprofiler och token. I slutet av den här artikeln kan du registrera enheter.
Steg 1: Förutsättningar
Slutför dessa krav för att säkerställa en lyckad registrering.
Du måste ha en fristående Intune-klientorganisation med utfärdaren för hantering av mobila enheter (MDM) inställd på Microsoft Intune.
Enheter måste:
- Kör Android OS version 8.0 och senare.
- Kör en Android-version som har Google Mobile Services-anslutning.
- Ha Google Mobile Services tillgängligt och kunna ansluta till det.
Det finns ingen begränsning för enhetstillverkaren/OEM-tillverkaren om alla tre kraven är uppfyllda.
Kontrollera att Android Enterprise stöds i din region. Information om Android Enterprise-krav finns i Kom igång med Android Enterprise.
Anslut ditt Intune-klientkonto till ditt Android Enterprise-konto.
Android-konfigurationsprocessen använder en Chrome-flik för att autentisera enhetsanvändare under registreringen. Om du har en microsoft entra-princip för villkorsstyrd åtkomst med följande konfigurationer måste du undanta Microsoft Intune-molnappen från principen:
Kräv att en enhet markeras som kompatibel inställning används för att bevilja eller blockera åtkomst.
Principen gäller för alla molnappar, Android och webbläsare.
Steg 2: Skapa ny registreringsprofil
Intune genererar automatiskt en standardregistreringsprofil och registreringstoken för fullständigt hanterade enheter. Standardregistreringsprofilen heter Standard för fullständigt hanterad profil.
Så här skapar du en ny registreringsprofil:
Logga in på Microsoft Intune administrationscenter.
Gå till Enhetsregistrering>.
Välj fliken Android .
Under AndroidEnterprise-registreringsprofiler> väljer du Företagsägda, fullständigt hanterade användarenheter.
Välj Skapa profil.
Ange grunderna för din profil:
Namn: Ge profilen ett namn. Anteckna namnet för senare, eftersom du behöver det när du konfigurerar den dynamiska enhetsgruppen.
Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
Tokentyp: Välj den typ av token som du vill använda för att registrera fullständigt hanterade företagsenheter. Mer information finns i Tokentyper i den här artikeln. Dina alternativ:
Företagsägd, fullständigt hanterad (standard)
Företagsägd, fullständigt hanterad, via mellanlagring
Förfallodatum för token: Endast tillgängligt med mellanlagringstoken. Ange det datum då du vill att token ska upphöra att gälla, upp till 65 år i framtiden. Acceptabelt datumformat:
MM/DD/YYYY
ellerYYYY-MM-DD
Token upphör att gälla det valda datumet kl. 12:59:59 i den tidszon som den skapades i.
Välj Nästa för att fortsätta till Omfångstaggar.
Använd en eller flera omfångstaggar för att begränsa profilens synlighet och hantering för vissa administratörsanvändare i Intune. Omfångstaggar är valfria. Mer information om hur du använder omfångstaggar finns i Använda rollbaserad åtkomstkontroll (RBAC) och omfångstaggar för distribuerad IT.
Välj Nästa för att fortsätta att granska + skapa.
Granska sammanfattningen av din profil och välj sedan Skapa för att slutföra den.
Om du vill granska, göra ändringar eller ta bort profilen:
Välj profilen.
Välj Översikt för att granska profilens nödvändigheter och ta bort profilen.
Välj Egenskaper>Redigera för att göra ändringar i profilens grunder eller omfångstaggar.
Välj Token för att hämta, återkalla eller exportera token.
Steg 3: Skapa dynamisk Microsoft Entra-grupp
Du kan också skapa en dynamisk Microsoft Entra-grupp för att automatiskt gruppera enheter baserat på ett visst attribut eller en viss variabel. I det här fallet vill vi använda enrollmentProfileName
egenskapen för att gruppera enheter som registreras med samma profil.
Lägg till dessa konfigurationer i din grupp:
Grupptyp: Säkerhet
Medlemskapstyp: Dynamisk enhet
Lägg till en dynamisk fråga med följande regel:
- Egenskap: enrollmentProfileName
- Operator: Är lika med
- Värde: Ange namnet på registreringsprofilen som du skapade i steg 2: Skapa en ny registreringsprofil.
Du kan inte använda dynamiska grupper med standardregistreringsprofilen. Mer information om hur du skapar en dynamisk grupp med regler finns i Skapa en regel för gruppmedlemskap.
Steg 4: Registrera enheter
När du har konfigurerat registreringsprofilen, token och den dynamiska gruppen kan du använda någon av dessa etableringsmetoder för att registrera enheter som fullständigt hanterade:
- NFC (Near Field Communication)
- Tokensträng eller QR-kod
- Zero-touch-registrering
- Samsung Knox Mobile-registrering
Nästa steg, inklusive hur du registrerar enheter med varje etableringsmetod, finns i Registrera företagsägda Android Enterprise-enheter.
Tokentyper
När du skapar registreringsprofilen i administrationscentret måste du välja en tokentyp. Det finns två typer av token. Varje typ aktiverar ett annat registreringsflöde.
Standardtoken, företagsägda, fullständigt hanterade, registrerar enheter i Microsoft Intune som standardenheter för fullständigt hanterade Android Enterprise-företagsenheter. Den här token kräver att du slutför företableringsstegen innan du distribuerar enheterna. Slutanvändarna utför de återstående stegen på enheten när de loggar in med sitt arbets- eller skolkonto.
Enhetens mellanlagringstoken, företagsägd, fullständigt hanterad via mellanlagring, registrerar enheter i Microsoft Intune i mellanlagringsläge så att du eller en tredjepartsleverantör kan slutföra alla företableringssteg. Slutanvändarna slutför det sista steget i etableringen genom att logga in på Microsoft Intune-appen med sitt arbets- eller skolkonto. Enheterna är redo att användas vid inloggning. Intune stöder mellanlagring av enheter för Android Enterprise-enheter som kör Android 8 eller senare.
Mer information finns i Översikt över enhetslagring.
Ersätt, ta bort eller exportera token
Välj en token i administrationscentret för att få åtkomst till dessa hanteringsalternativ:
Ersätt token: Generera en ny token som snart upphör att gälla.
Återkalla token: Upphör omedelbart att gälla token. När du har återkallat den kan token inte längre användas. Det här alternativet är användbart om du:
Dela token av misstag med en obehörig part.
Slutför alla registreringar och behöver inte längre token.
Exporttoken: Exportera JSON-innehållet i token. Du kan använda det här alternativet för att hämta det JSON-innehåll som krävs för konfigurationen av Google Zero Touch eller Knox Mobile Enrollment.
När de här åtgärderna tillämpas har de ingen effekt på enheter som redan har registrerats.