Microsoft Intune 中 Android 设备的一线辅助角色

Android 设备几乎适用于全球每个行业，包括医疗保健、航空、建筑、制造、物流和政府。 这些行业 (FLW) 的一线员工通常使用它们。

使用 Intune，可以管理组织中一线员工使用的 Android 设备。 本文：

• 包括管理员需要做出的决策，包括确定设备的使用方式，以及配置主屏幕 & 设备体验。
• 帮助你确定最适合你和最终用户的注册选项和最佳设备管理体验。

本文适用于：

• 组织拥有并在 Intune 中注册的 Android 设备

有关 Intune 中 FLW 设备的概述，请转到 Intune 中的 FLW 设备管理。

使用本文开始使用 Intune 中的 Android FLW 设备。 具体来说：

• 步骤 1 - 选择 Intune 注册选项
• 步骤 2 - 在共享设备或用户关联的设备之间进行选择
• 步骤 3 - 配置主屏幕和设备体验
• Microsoft Android Enterprise 专用设备的 Entra 共享设备模式

开始之前

Intune 支持 Android 设备的不同注册选项，如下图所示：

本文重点介绍 FLW 设备常用的注册选项。 有关所有 Android 注册选项的详细信息，请转到 注册指南：在 Microsoft Intune 中注册 Android 设备。

步骤 1 - 选择 Intune 注册选项

第一步是确定最适合组织和设备需求的 Intune 注册平台。

对于 FLW Android 设备，应使用 Android Enterprise 或 Android 开源项目 (AOSP) 注册。

可以使用下图来帮助确定最适合 FLW 设备的路径：

确保了解设备正在执行的操作及其用例。 Android 设备制造商 (OEM) 提供不同的设备，其中一些设备可能是专用设备，另一些设备可能更通用。

例如，用于增强现实或虚拟现实的设备通常不支持 GMS，这是 Android Enterprise 注册的一项要求。 因此，这些设备的自然注册路径是 Android (AOSP) 。

步骤 2 - 共享设备或用户关联的设备

下一个决定是与多个用户共享设备还是分配给单个用户。 此决策取决于业务需求和最终用户要求。 它还会影响使用 Intune 注册和管理这些设备的方式。

• 没有用户关联的共享设备 (无用户)

  使用共享设备时，用户获取设备、完成任务，并将设备提供给其他用户。 通常，这些用户手动登录到应用;它们不会登录到设备。

  使用共享设备时：

  • 如果你使用的是 Android 共享设备，并且设备支持 Android Enterprise 注册，请将你的设备注册为 专用设备。 这些设备支持 Google 移动服务 (GMS) ，并且不与单个或特定用户关联。

    有关专用设备注册的详细信息，请转到 Android Enterprise 专用设备的 Intune 注册。

  • 如果使用 Android (AOSP) 共享设备，则可以将设备注册为 无用户设备。 这些设备通常不支持 GMS，并且不与单个或特定用户关联。

    有关 Android (AOSP) 无用户注册的详细信息，请转到 适用于 Android (AOSP) 公司拥有的无用户设备的 Intune 注册。

• 用户关联的设备

  这些设备有一个用户。 此用户将设备与自身相关联，这通常在用户在 Intune 注册期间登录时发生。 设备与 Microsoft Entra 中的用户标识相关联。

  使用用户关联：

  • 如果使用的是 Android Enterprise，则可以使用工作配置文件将设备注册为完全托管或公司拥有的设备。 这些设备有一个用户，专用于组织工作;不是个人使用。

    这些注册选项对于 FLW 设备并不常见，并扩展了传统一线工作人员方案的边界。 但是，如果它们的功能最适合你的业务方案，则可以使用它们。 它们具有许多可以配置的设置。 例如，使用 完全托管 的注册时，可以配置Microsoft启动器、添加自定义壁纸等。

    有关这些注册方法的详细信息，请转到：

    • 适用于 Android Enterprise 完全托管设备的 Intune 注册
    • 具有工作配置文件的公司自有设备的 Intune 注册

    有关可以配置的一些设置的列表，请转到 Android Enterprise 设备设置列表，以允许或限制使用 Intune 在公司拥有的设备上使用功能。

  • 如果使用 Android (AOSP) ，则可以将设备注册为 用户关联的 设备。 这些设备有一个用户，专用于组织工作;不是个人使用。

    请记住，Android (AOSP) 设备不支持 Google 移动服务 (GMS) 。

    • 有关 Android (AOSP) 用户关联注册的详细信息，请转到 Intune 注册 Android (AOSP) 公司拥有的用户关联设备。
    • 有关可以配置的一些设置的列表，请转到 Android (AOSP) 设备设置，以允许或限制使用 Intune 的功能。

步骤 3 - 主屏幕和设备体验

对于 Android (AOSP) ，当使用 AOSP 在 Intune 中注册设备时，无法配置主屏幕体验。 当一线员工获得 AOSP 注册的设备时，他们打开设备、登录到应用 (或不登录，具体取决于用户关联) ，例如 Microsoft Teams。 然后，他们只需开始使用设备。

对于 Android Enterprise 专用设备，可以在 Intune 中配置主屏幕和设备体验功能。 本部分和步骤适用于：

• Android Enterprise 专用设备

此步骤是可选的，具体取决于业务方案。 如果这些设备由许多用户共享，则建议使用本节中所述的主屏幕和设备体验功能。

在 Android Enterprise 设备上，可以配置 Intune 托管主屏幕 (MHS) 应用来控制主屏幕和设备体验。

在此步骤中，考虑最终用户在设备上执行的操作，以及其作业所需的设备体验。 此决策会影响设备的配置方式。

FLW 的常见方案如下：

• 方案 1：使用多个应用进行设备范围访问

  设备在 Intune 中注册为 Android Enterprise 专用设备。

  用户有权访问设备上的应用和设置。 使用策略设置，可以限制用户使用不同的功能，例如调试、系统应用程序等。

  对于此方案，你希望用户使用特定应用，但不希望设备仅锁定为这些应用。

  若要为此方案配置设备，请部署应用，并使用应用程序配置策略配置应用。 然后，使用设备配置策略来允许或阻止设备功能。

  若要开始，请使用以下链接：

  1. 将应用添加到 Intune。 添加应用后，将创建将应用部署到设备的应用策略。

  2. 创建应用配置策略 以配置应用功能。 还可以添加包含所需所有配置设置的 JSON 文件。

  3. 使用 Intune 创建允许或限制功能的设备配置限制配置文件。

     在 Microsoft Intune 管理中心，转到 “设备>管理设备>”“配置>模板>”“设备限制>”“设备体验>专用设备>展台模式”。 将其设置为 “未配置”：

     

• 方案 2：具有固定应用的锁定屏幕设备

  设备在 Intune 中注册为 Android Enterprise 专用设备。

  对于此方案，请安装 Intune 托管主屏幕 (MHS) 应用，以便自定义托管设备体验。 你可以固定一个或多个应用、选择壁纸、设置图标位置、需要 PIN 等。 此方案通常用于 专用设备，例如共享设备。

  需要了解的内容:

  • 只有添加到托管主屏幕 (MHS) 的功能才对最终用户可用。 因此，可以限制最终用户访问设置和其他设备功能。
  • 将一个应用或将多个应用固定到 MHS 时，只有这些应用会打开。 它们是用户可以访问的唯一应用。
  • MHS 是你使用的企业启动器。 不要安装其他企业启动器应用。

  有关专用设备上的 MHS 应用的详细信息，请转到在 多应用展台模式下的专用设备上设置Microsoft MHS 博客文章。

  若要开始，请使用以下链接：

  1. 将应用添加到 Microsoft Intune，包括 MHS 应用。 添加应用后，将创建将应用部署到设备的应用策略。

  2. 使用 设备限制配置文件 将展台模式设置为多应用，然后选择应用。 此步骤将设备锁定为仅选择的应用：

     在 Microsoft Intune 管理中心，转到 “设备>管理设备>”“配置>模板>”“设备限制>”“设备体验>专用设备>展台模式>”“多应用>添加”。 在多应用展台模式下添加所需的应用：

     

  3. 使用以下选项之一配置Microsoft托管主屏幕 (MHS) 应用：

     • 选项 1 - 设备限制配置文件：在同一设备限制配置文件中，在多应用展台模式下配置所需的设备功能。

       有关可配置的设置列表，请转到 Android Enterprise - 设备体验设置。

     • 选项 2 - 应用配置策略：应用配置策略的配置设置比设备限制配置文件更多。 还可以添加包含所需所有配置设置的 JSON 文件。

       有关详细信息，请转到 配置Microsoft托管主屏幕应用。

• 方案 3：单应用展台

  设备在 Intune 中注册为 Android Enterprise 专用设备。

  此方案用于具有单一用途的设备，例如扫描清单。

  需要了解的内容:

  • 将单个应用分配给设备。 设备启动时，只会打开此应用。 用户被锁定到单个应用，无法关闭应用，也无法在设备上执行任何其他操作。
  • 此选项更具限制性，因为设备专用于仅运行单个应用程序。
  • 不使用企业启动器。

  若要配置这些设备，请将应用分配给设备。 然后，创建将设备设置为单应用展台模式的设备配置策略。

  若要开始，请使用以下链接：

  1. 将应用添加到 Microsoft Intune。 添加应用后，将创建一个应用策略，用于将应用部署到设备。

  2. 使用 Intune 创建允许或限制功能的设备配置限制配置文件：

     在 Microsoft Intune 管理中心，转到 “设备>管理设备”“配置>模板>”“设备限制>”“设备体验>专用设备>展台模式 ”，然后选择“ 单一应用”：

     

Microsoft Android Enterprise 专用设备的 Entra 共享设备模式

Microsoft Entra 共享设备模式 (SDM) 是 Android Enterprise 专用设备 注册的另一个选项。

Entra SDM 提供应用和标识驱动的登录/注销体验，可改善最终用户体验和工作效率， (减少登录提示) 。 它补充了本文) 的步骤 3 - 主屏幕和设备体验 (中所述的方案 1 和方案 2。

有关 Entra 共享设备模式 (SDM) 的详细信息，请转到 FLW 的 Entra 共享设备模式。

需要了解的内容:

• 作为共享设备和 Entra SDM 在 Intune 中注册 Android 免费。 Intune 中的 Android 注册作为共享设备并不依赖于 Entra SDM。 Entra SDM 是 Intune 共享设备注册之上的选项。

• Entra SDM 是 Entra 的一项功能。 这不是 Intune 功能。 有关 Entra SDM for Android Enterprise 设备的详细信息，请转到：

  • 适用于 Android 设备的共享设备模式
  • 将 Android Enterprise 专用设备注册到 Microsoft Entra 共享设备模式 - Microsoft社区中心 博客文章
  • Intune 支持注销未在 AE 9+ 上使用 Microsoft Entra 共享设备模式进行优化的应用 - Microsoft 社区中心 博客文章

• 若要使最终用户获得完全登录/注销体验，应用必须支持Microsoft身份验证库 (MSAL) 。 有关详细信息，请转到 使用 MSAL 在 Android 上启用跨应用 SSO。

相关文章

• Microsoft Intune 中的一线辅助角色设备管理概述
• 适用于 iOS/iPadOS 设备的 FLW
• 适用于 Windows 设备的 FLW