通过

注册 Android Enterprise 专用设备、完全托管设备或公司拥有的工作配置文件设备

重要

在注册完成之前,设备用户不应重启设备。 如果设备用户在注册期间使用工作配置文件设置完全托管的设备或公司拥有的设备重新启动其设备,则其设备可能无法注册 Microsoft Intune。 重启的设备可能可以注册,但不会获得 Intune 策略的保护。

在 Intune 中设置好 Android Enterprise 专用设备完全托管设备公司拥有的工作配置文件设备后,即可注册设备。 对于如何注册这些设备,有多个选项:QR 码、Google Zero Touch、Knox 移动注册、近场通信 (NFC) 或令牌输入。

注意

如果定义了Microsoft Entra条件访问策略,该策略使用要求设备标记为合规的授予控制或阻止策略,并应用于所有云应用Android浏览器,则必须从此策略中排除Microsoft Intune云应用。 这是因为 Android 安装进程使用 Chrome 选项卡在注册过程中对用户进行身份认证。 有关详细信息,请参阅Microsoft Entra条件访问文档

恢复出厂设置保护 有助于防止在恢复出厂设置后对设备进行未经授权的访问。 如果设备是在未经你许可的情况下重置的,在某些情况下,只有你输入的 Google 电子邮件地址才能解锁设备。 配置 恢复出厂设置电子邮件 设置时,存在不同的恢复出厂设置保护行为:

注册方法 设置 > 出厂数据重置 设置 > 恢复/启动加载程序 Intune擦除
具有工作配置文件的公司自有设备 (COPE) ✅ 恢复出厂设置保护 ✅ 恢复出厂设置保护 ❌ 无恢复出厂设置保护
完全托管 (COBO) ❌ 无恢复出厂设置保护 ✅ 恢复出厂设置保护 ❌ 无恢复出厂设置保护
专用 (COSU) ❌ 无恢复出厂设置保护 ✅ 恢复出厂设置保护 ❌ 无恢复出厂设置保护

对于运行 Android 15 的工作配置文件的公司自有设备,在通过“设置”应用进行任何重置后,需要重新输入与配置关联的 Google 帐户。 请务必规划重新预配工作流 (,例如通过“设置”应用应用Intune擦除或重置) ,以便根据需要提供所需的凭据。 有关背景和指导,请参阅 恢复出厂设置保护 (FRP) Android Enterprise 强制实施行为

先决条件

设备平台要求

受支持的 Android OS 版本上,此功能支持以下平台:

  • Android Enterprise 公司拥有的完全托管设备 (COBO)
  • Android Enterprise 公司拥有的专用设备 (COSU)
  • 具有工作配置文件的 Android Enterprise 公司拥有的设备 (COPE)

使用 QR 码注册

Intune管理员可以直接从注册配置文件扫描 QR 码来注册设备。 对于大多数客户方案,建议使用此注册方法。

  1. 擦除设备后,点击重复看到的第一个屏幕以启动 QR 读取器。
  2. 如果系统提示,请在设备上安装 QR 读取器。 运行 Android 9.0 及更高版本的设备预安装了 QR 读取器。
  3. 扫描注册配置文件 QR 码,然后按照屏幕上的提示完成注册。

    提示

    浏览器缩放设置可能会阻止设备扫描 QR 码。 如果设备难以扫描代码,请放大并重试。

使用 Google Zero Touch 注册

重要

设备必须从授权的零接触经销商购买,并支持零接触注册。 有关详细信息,例如先决条件、在何处购买设备以及如何将 Google 帐户与公司电子邮件相关联,请参阅 面向 IT 管理员的零接触注册 (打开 Android Enterprise 帮助文档) 。

此方法利用零接触注册和 Google 零接触注册门户来预配和注册公司拥有的设备。 当用户打开其设备时,预配会立即开始。 本部分介绍如何︰

  • 在 Microsoft Intune 管理中心创建包含预配详细信息的零接触配置。
  • 在零接触注册门户中创建包含预配详细信息的零接触配置。

在管理中心创建零接触配置

使用零接触 iframe 可以访问Microsoft Intune管理中心内的零接触注册门户和零接触配置。

若要启用 iframe,必须先添加 更新应用同步 权限,并为公司拥有的完全托管设备启用注册。 启用 iframe 后,可以:

  • 将零接触帐户链接到Intune
  • 添加支持信息
  • 配置已启用零接触的设备
  • 自定义预配附加项

完成本部分中的步骤以启用 iframe。 若要改为在零接触注册门户中创建配置,请跳到 在零接触注册门户中创建配置

步骤 1:添加所需的权限

添加 更新应用同步 权限。

  1. 登录到 Microsoft Intune 管理中心管理员。
  2. 选择“ 租户管理>角色”。
  3. 从列表中选择你的角色。
  4. 选择“属性”
  5. 转到 “权限” ,然后选择“ 编辑”。
  6. 选择 “Android Enterprise”。
  7. “更新应用同步”旁边,选择“ ”。
  8. 选择“ 查看 + 保存 ”以查看所做的更改。
  9. 选择“保存”

将零接触帐户与Microsoft Intune帐户关联。

在链接帐户之前,请选择注册令牌以用作注册设备的默认令牌。

  1. 管理中心,转到 “设备>按平台>Android”。
  2. 转到专用、完全托管或公司拥有的工作配置文件注册配置文件。
  3. 查看该配置文件的注册令牌。
  4. 复制“ 令牌”下的文本。

保存令牌字符串。 然后完成以下步骤以链接零接触帐户。

  1. 在管理中心,转到 “设备>按平台>Android”。

  2. 选择“ 设备载入>注册”。

  3. “批量注册方法”下,选择“ 零接触注册”。

  4. iframe 随即打开。 选择“ 下一步 ”开始设置。

  5. 使用提供给经销商的 Google 帐户登录。

  6. 选择 URL,并将字符串 .EXTRA_ENROLLMENT_TOKEN%22:%22**{INSERT_TOKEN_HERE}**%22%7D%7D 追加到其末尾。 将 替换为 INSERT_TOKEN_HERE 复制的令牌字符串。

  7. 编辑完 URL 后,刷新页面。

  8. 选择要链接的零接触帐户,然后选择“ 链接”。

  9. 将创建默认配置。 此时会显示一个屏幕,其中包含有关配置的基本信息。 Intune将自动将默认配置应用于任何没有现有配置且已启用零接触的设备。

    警告

    用于默认配置的令牌适用于完全托管的设备。 链接帐户后,在 Intune 中创建的默认零接触配置将替代在零接触注册门户中设置的默认配置文件。 如果要为公司拥有的工作配置文件设备或专用设备创建零接触配置,请不要将帐户链接到Intune。 而是 在零接触门户中选择“查看设备”。 然后,继续阅读本文 中的“在零接触注册门户中创建配置 ”,了解后续步骤。

  10. 选择“下一步”以继续。

  11. 添加支持信息以在设置过程中为设备用户提供帮助。

  12. 选择“保存”

将帐户与 Intune 关联后,默认配置将应用于尚未具有配置的已启用零接触的设备,以及经销商添加的未来设备。 可以查看现有的零接触配置、编辑支持信息、取消关联帐户,以及链接管理中心中的其他帐户。

在零接触注册门户中创建配置

在零接触 注册门户中添加零接触配置。 可以单独使用门户来管理配置,也可以将其与零接触 iframe 结合使用。 门户支持对完全托管的专用设备以及具有工作配置文件的企业拥有的设备进行配置。

  1. 使用 Google 帐户登录到零接触注册门户。

  2. 选择选项以添加新配置。

  3. 填写配置面板中的信息。

  4. 选择“Microsoft Intune”作为 EMM DPC 应用。

  5. 将以下 JSON 文本复制到 DPC extras 字段中。 将 替换为 YourEnrollmentToken 在注册配置文件中创建的注册令牌。 请务必给注册令牌加上双引号。

    {
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
    "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "YourEnrollmentToken"
}
}

  6. 输入组织的名称和支持信息,当用户设置其设备时,该信息将显示在屏幕上。

有关如何在零接触门户中分配默认配置或应用配置的详细信息,请参阅 面向 IT 管理员的零接触注册 (打开 Android 企业帮助文档) 。

使用 Knox 移动注册进行注册

若要使用 Samsung Knox 移动注册,设备必须运行 受支持的 Samsung Knox 版本。 有关详细信息,请参阅 如何利用 Knox 移动注册自动注册设备

使用近场通信 (NFC) 注册

创建特殊格式的 NFC 标记来预配支持 NFC 的设备。 可以使用自己的应用或任何 NFC 标记创建工具。 有关详细信息,请参阅使用 Microsoft Intune 进行基于 C 的 Android 企业设备注册Google 的 Android 管理 API 文档

注意

在运行 Android 版本 11.0 的 Android Enterprise 公司拥有的工作配置文件 (COPE) 设备上不受支持。 有关详细信息,请参阅 Google 开发人员文档

使用令牌注册

在 QR 码或 NFC 方法不可用的情况下,建议将此方法用于新的设备或恢复出厂设置的设备。 它要求预配设备的人员键入注册令牌字符串 (示例: 12345) 提供它们。 准备好注册后,请直接与目标用户共享令牌,或将其发布到组织的支持站点以便于检索。 令牌适用于所有Intune许可的用户,并且不会过期。

注意

在运行 Android 版本 11.0 的 Android Enterprise 公司拥有的工作配置文件 (COPE) 设备上不受支持。

可以将此方法与 Microsoft Intune DPC 标识符结合使用来设置完全托管的设备。

  1. 打开设备。
  2. 在“欢迎使用”屏幕上,选择语言。
  3. 连接到无线网络,然后选择“ 下一步”。
  4. 接受 Google 条款和条件,然后选择“下一步”
  5. 在 Google 登录屏幕上,输入 afw#setup 而不是 Gmail 帐户。 此值是Microsoft Intune的 DPC 标识符。 选择 “下一步”。
  6. 为 Android 设备策略应用选择 “安装 ”。
  7. 继续安装策略。 某些设备可能要求接受附加条款。
  8. 在“注册此设备”屏幕上,允许设备扫描 QR 码。 或者,手动输入令牌。
  9. 请按照屏幕上的提示完成注册。

有关使用 DPC 标识符方法预配设备的详细信息,请参阅 Google 开发人员文档

后续步骤

  • Last updated on