若要使用任何受支持的 Android Enterprise 管理选项管理Intune注册的设备,必须将 Microsoft Intune 租户连接到托管的 Google Play 帐户。 可用的管理选项包括:
- Android Enterprise 个人拥有的工作配置文件
- Android Enterprise 公司拥有的工作配置文件
- Android Enterprise 完全托管设备
- Android Enterprise 专用设备
本文介绍如何在Microsoft Intune管理中心关联帐户。 连接到 Google Play 后,这些适用于 Android Enterprise 的常见应用将添加到管理中心:
- Microsoft Intune - 用于 Android Enterprise 完全托管、专用和企业拥有的工作配置文件方案。
- Microsoft Authenticator - 如果使用双重验证,可帮助你登录到帐户,并且还用于使用Microsoft Entra共享设备模式注册的 Android Enterprise 专用设备。
- Intune 公司门户 - 在个人设备上与 Android Enterprise 工作配置文件方案一起使用,Intune应用保护策略。
- 托管主屏幕 - 用于 Android Enterprise 专用设备上的多应用展台模式。 详细了解托管主屏幕。
开始之前
重要
从 2024 年 8 月开始,您可以将Microsoft Entra帐户链接到 Google 帐户,而不是使用企业 Gmail 帐户。 建议使用 Microsoft Entra 帐户连接到 Google Play。 有关此更改的详细信息,请参阅 Google 博客:我们如何使 Android Enterprise 注册和更好地访问 Google 服务。 已将 Gmail 帐户与 Intune 关联的当前Microsoft Intune租户将继续受支持。
- 确认 Android Enterprise 在所在国家/地区的可用性。 有关详细信息,请参阅 Android Enterprise 是否在我的国家/地区提供?。
- 确认要使用的Microsoft Entra帐户。 此帐户用于管理 Google 管理员 帐户和关联的订阅,并与Microsoft Intune租户中的所有 Android Enterprise 管理任务相关联。
- 确认Microsoft Entra帐户设置了邮箱,以便完成 Google 所需的验证过程。
连接帐户
提示
由于 Google 和 Microsoft 域之间的交互,可能需要调整浏览器设置才能完成此过程。 确保浏览器中 portal.azure.com、play.google.com 和 enterprise.google.com 位于同一安全区域。 有关如何在浏览器中执行这些配置的说明,请参阅 按策略进行每站点配置。
完成这些步骤以在 Microsoft Intune 中启用 Android Enterprise 管理选项。
转到 “设备>注册”。
选择“ Android ”选项卡。
在 “先决条件”下,选择“ 托管的 Google Play”。 如果使用自定义Intune角色,则访问此选项需要组织读取和更新权限。
选择“ 我同意 授予Microsoft向 Google 发送用户和设备信息的权限。
选择“ 启动 Google”以立即连接 以打开托管的 Google Play 网站。 该网站随即在浏览器中的新选项卡上打开。
在 Google 登录页上,确认预填充的 Microsoft Entra 帐户是要与此租户的所有 Android Enterprise 管理任务关联的帐户。
重要
- 此帐户用于根据需要管理 Google 管理员 帐户和关联的订阅。 Microsoft Entra帐户必须具有活动邮箱才能完成 Google 所需的验证过程。
- 建议使用登录的 Microsoft Entra 帐户创建 Google 管理员 帐户。 建立连接后,可以根据需要在 Google 管理控制台中添加和删除更多管理员。 Google 建议企业至少有两个所有者进行冗余。
- 如果缺少Microsoft登录选项,则可能需要将 MX 记录连接到用于Exchange Online的域。 有关如何编辑域的 DNS 设置的信息,请参阅 添加 DNS 记录以连接域。
按照屏幕上的提示完成 Google 管理员 帐户的创建。
出现提示时,选择“允许”并创建帐户以允许Microsoft Intune管理 Android Enterprise 设备。
提示
连接到托管的 Google Play 并开始使用“集合”后,Google 会将 Play Store 模式更改为“自定义”。 如果希望自动显示所有已批准的应用,请在Intune管理中心使用“重置为基本”。 有关详细信息,请参阅 Play Store 模式和布局重置。
提示
若要为托管的 Google Play 应用选择范围标记,请转到 Microsoft Intune 管理中心中的租户管理>连接器和令牌>托管的 Google Play。 然后选择一个范围标记以应用于所有新批准的托管 Google Play 应用。 必须具有以下权限才能在管理中心中与此区域交互并删除所选范围标记。 租户管理员或负责向其他人授予管理员权限的管理员,可以转到 “租户管理>角色” 来编辑权限。
- Android Sync - Read
- Android Sync - UpdateOnBoarding
升级到托管 Google 域
如果使用 Gmail 帐户加入Microsoft Intune,则可以选择将 Microsoft Entra 帐户升级到 Intune 管理中心的托管 Google 域。 在此过程中,将Microsoft Entra帐户链接到 Google。 这样,就可以使用 Microsoft Entra 帐户(而不是 Gmail 帐户)管理 Google 与 Intune 之间的连接。
使用Intune管理员帐户登录到 Microsoft Intune 管理中心。
转到 “设备>注册”。
选择“ Android ”选项卡。
在 “先决条件”下,选择“ 托管的 Google Play”。
选择“ 升级”。
再次选择“ 升级 ”以确认要升级企业。
在 Google 弹出窗口中,按照步骤作。 给定选项后,选择“ 使用Microsoft登录”。
提示
如果升级域时遇到问题,或者收到错误报告域已在使用,请参阅 Google 支持文档中 的无法注册我的域以获取 Google 服务 。
选择“ 升级”。
等待升级完成。 屏幕上会显示一条消息,确认升级已完成。 还会在管理中心收到一条通知,确认升级已完成。
注意
成功升级后, “升级 ”按钮显示为灰显,因为不再有可用的升级。 如果按钮显示为灰色且尚未升级,检查 RBAC 权限。
断开 Android Enterprise 管理帐户的连接
可以在管理中心断开 Microsoft Intune 与 Google 之间的链接。 断开帐户连接会禁用租户的 Android Enterprise 设备管理。
- 使用Intune管理员帐户登录到 Microsoft Intune 管理中心。
-
停用 以下所有设备:
- Android Enterprise 个人拥有的工作配置文件设备
- Android Enterprise 公司拥有的工作配置文件设备
- Android Enterprise 完全托管设备
- Android Enterprise 专用设备
- 转到 “设备>注册”。
- 选择“ Android ”选项卡。
- 在 “先决条件”下,选择“ 托管的 Google Play”。
- 选择“断开连接”。
- 选择“是”可从 Intune 断开连接并取消注册所有 Android 企业设备。
编辑托管 Google Play 组织名称
首次创建托管 Google Play 帐户时,请向 Google 提供组织名称。 此名称显示在 Intune 管理中心中,也可以在 Android 设备上显示。 例如,在锁屏界面上,它可能会向用户显示,因为 此设备由 [组织名称] 管理。
完成本部分中的步骤以编辑组织的名称。
在Microsoft Intune管理中心,转到“设备”。
选择 “Android>注册>托管 Google Play”。
选择“ 更改组织名称”。 输入新名称。
名称长度必须为 2-50 个字符。
允许使用这些字符:
字母:
A–Z和a–z,包括重音字符,例如á、ñ和ü数字:
0–9Spaces. , ' - & ( )
不允许使用这些特殊符号:
@ # $ % ^ * + = | \ / < > { } [ ]
选择“更改”。
后续步骤
连接到托管的 Google Play 帐户后,可以为以下 Android Enterprise 方案设置Microsoft Intune: