今年,Google将在Android 10发行版中停止对Android Device Admin API的支持。这意味着,新的Android 10设备或升级到Android 10的旧版Android设备将不再能够使用传统的方式来管理Android设备。或更高)。 安卓企业版是管理Android设备的新方法。
借助Microsoft 音调,您可以在不同模式下使用Android Enterprise管理Android设备。在此博客中,我将逐步向您展示如何启用Android Enterprise和配置工作资料模式(我将为其他模式编写一个单独的博客)。
有很多事情需要考虑,我想在本博客中处理所有这些问题。 它已成为一个相当长的博客,我想我已经包括了所有必要的步骤。这就是为什么我将此博客标记为“最终分步指南”。
此博客中的主题
在本博客中,我将介绍以下主题;
- 将Google帐户与Microsoft 音调关联
- 批准,同步和分配应用程序
- 创建并分配Android Enterprise工作资料
- 配置应用程序保护策略(MAM)
- 配置设备合规性设置
- 配置条件访问
- 在Microsoft 音调中启用Android Enterprise
- 通过注册Android设备来测试结果
什么是Android Work个人资料?
安卓 Work Profile是一种Android Enterprise模式,用于在启用了个人功能的Android设备上管理公司数据和应用程序。使用Android Enterprise Work Profile,将在最终所有业务应用程序都在设备上创建工作容器。您可以使用条件设置等安全设置来保护此工作容器,以保护公司数据,并禁用工作容器内外的应用程序之间的复制和粘贴操作以及访问密码。
准备/要求
本博客中的步骤需要满足以下要求;
- 蔚蓝租户
- 微软 EM + S许可证(E3或E5)
- 尚未分配给MDM解决方案的Google帐户
- 安卓测试装置
1. 将Google帐户与Microsoft 音调关联
第一步是将Google帐户链接到Microsoft 音调。登录到 微软 蔚蓝门户 用于以下步骤。
导航 微软Intune> Device enrollment > 安卓 enrollment。请点击 托管的Google Play –将您的托管的Google Play帐户关联到Intune
复选标记 我同意 (如果您这样做),然后单击 启动Google立即连接
请点击 开始吧
填写您的公司/公司名称,然后单击 下一页
该表格是可选的,您可以跳过或填写。向下滚动此页面。
选择 我已阅读并同意托管的Google Play协议 (如果您这样做),然后单击 确认
请点击 完成注册
2. 批准,同步和分配应用程序
回到 微软 蔚蓝门户.
导航; 微软Intune> Client apps > 托管的Google Play。请点击 打开托管的Google Play商店
搜索您要发布/推送到Android设备的应用程序。在此示例中,我将Microsoft Word添加到“我的托管应用程序”中。
请点击 批准
请点击 批准
选择 当应用请求新权限时保持批准 然后点击 保存
注1: 对要推送/发布到Android设备的所有应用程序重复此步骤。
笔记2: 添加Intune公司门户应用程序,然后将此应用程序强制推送到所有Android设备。这是自动获取最新更新所必需的。
回到 微软Intuneconsole 然后点击 同步
同步完成后(状态:成功),打开 应用 页。在这里,您可以查看上一步中批准的所有应用(应用类型为 托管的Google Play 应用)。下一步是将应用程序分配给一个组。
点击该应用并打开 分配 页。请点击 新增群组
选择分配类型,然后单击 包含的组。选择您要将此应用程序发布到的组。请点击 好 两次并单击 保存
3. 创建并分配Android Enterprise工作资料
下一步是创建Android Enterprise Work Profile本身。
导航; 微软Intune>设备配置 > Profiles 然后点击 +创建个人资料 按钮。
填写名称和描述(可选)。选择 安卓企业 作为平台并选择 仅工作资料-设备限制 作为配置文件类型。
现在您可以配置 工作资料设置,设备密码,系统安全性 和 连接性。我总是封锁 在工作资料和个人资料之间复制和粘贴,块 添加和删除帐户 和 需要工作资料密码。但是,什么以及如何配置设置取决于客户使用情况。
请点击 好 两次并单击 保存
打开 分配 页并添加您要将此配置文件发布到的组。
4. 配置应用程序保护策略(MAM)
当您在Android企业工作资料中包含Microsoft Office 365应用程序时,还需要配置应用程序保护策略(也称为移动应用程序管理(MAM)策略)。 微软 Office 365应用程序已启用用于多帐户,这意味着您可以在业务帐户旁边添加其他帐户。而且,不仅电子邮件帐户,还可以在Microsoft Word中添加存储帐户(如Dropbox)。使用“应用保护策略”,您可以防止用户将业务邮件附件保存到专用存储帐户(如Dropbox)中。在以下步骤中,我向您展示如何配置它。
导航 微软Intune> Clients apps >应用保护政策 然后点击 +制定政策 按钮。
给应用保护策略一个名称和您喜欢的描述。选择 安卓 作为平台。
组 定位到所有应用类型 至 没有 然后选择 安卓 Work个人资料中的应用 如 应用类型.
请点击 选择所需的应用 并选择您要在Android Enterprise工作资料中使用的应用程序。
请点击 设定值。在 数据保护 页面集 保存组织数据的副本 至 块。旁边的 允许用户将副本保存到选定的服务 选择 商业用OneDrive 和 的SharePoint (适用于您的公司)。
由于此应用程序保护政策仅适用于Android Enterprise Work个人资料(受自己的密码保护),因此我在 访问要求 页。请点击 好 两次并单击 创造.
单击刚刚创建的应用程序保护策略。
打开 分配 标签,然后将此策略分配给具有Android用户的组。
5. 配置设备合规性设置
在此博客的第6步中,我们将创建条件访问策略。我们将要配置的检查之一是当设计是 标记为合规。在进行配置之前,我们必须确定设备何时真正符合要求。让我们从查看标准行为设置开始。
导航: 微软Intune> Device compliance >合规政策设置
在此页面上,您可以配置条件以标记设备是否兼容。
拳头设置是 将未将符合性政策指定为的设备标记为 (符合或不符合)。这取决于公司的要求。如果需要将某些安全基准应用于每个移动设备,则可以将这些准则配置为“合规性策略”,然后将此策略应用于所有设备。如果设备符合要求,则将设备标记为符合要求,否则为不符合要求。但是,如果不需要配置合规性策略,请确保将第一个选项的答案设置为 合规.
第二种选择是 增强的越狱检测 (启用或禁用)。我认为,出于安全原因,应始终将此设置为 已启用 (越狱设备将被标记为不兼容的设备)。
最后一个选择是 合规状态有效期(天)。闲置几天后,必须将设备标记为不兼容吗?就我而言,我将填写90天。
6. 配置条件访问
到目前为止,使用当前配置,我们已经保护了Android Enterprise Work容器。现在,我们必须确保无法在Android设备上的此工作容器外部访问公司数据。因此,我们需要配置Azure AD条件访问。
导航: 微软Intune> Conditional access > Policies 然后点击 +新政策 button
为新的条件访问策略命名(以我为例) 安卓企业CA)。点击 用户和组 将此条件访问定位到一组用户(在我的情况下,该组与我为Android Enterprise发布的所有其他资源位于同一组)。请点击 好.
点击 云应用 并选择您在公司内部以及要避免这些应用程序可以访问安全Android容器之外的公司数据的云应用程序。最常见的是 Office 365 Exchange在线 (用于访问电子邮件)和 Office 365 的SharePoint 上 line (其中还包括商业用OneDrive)。
请点击 好
打开 条件 标签并打开 设备平台 设置。就我而言,我只选择 安卓 作为平台。您可以选择多个平台,也可以选择 任何装置,但是如果您选择其他平台,请确保在这种情况下至少选择Android。
点击 客户端应用程序(预览)。在这里,您可以选择此策略必须应用于哪些客户端应用。就我而言,我选择了“仅将策略应用于支持的平台”以外的所有选项。这样,Android Secure Container之外的每种电子邮件应用程序都被阻止访问公司电子邮件。即使有 非托管浏览器。请点击 好
下 访问控制 打开 格兰特 标签。选择 授予访问权限 并确保同时选择 要求设备被标记为兼容 和 需要批准的客户端应用。这样,该设备必须已注册Intune(并且兼容),并且必须使用Intune托管的应用程序访问公司数据(假设Outlook将用作邮件客户端,否则不要选择最后一个选项)。确保 需要所有选定的控件 被选中。
确保 启用政策 被设置为 上 然后点击 创造
7. 在Microsoft 音调中启用Android Enterprise
最后一步是启用Android Enterprise,以便可以使用Android Enterprise Work个人资料注册新设备。
导航: 微软Intune>入学限制 然后打开 默认 限制条件。
请点击 物产 接着 选择平台.
确保将Android设置为 块,并且Android工作资料设置为 允许
8. 通过注册Android设备来测试结果
最后一步是测试刚刚创建的配置的结果。因此,我将注册一个新的Android 8设备,看一切是否正常。
左:搜索 音调公司门户 应用程序,然后单击 安装
右:安装后,单击 打开
左:点击 登入
右:填写您的电子邮件地址和密码并登录
左:点击 继续
右键点击 继续
左:点击 下一页
右:选择 您已阅读并同意以上所有内容 (如果您这样做),然后单击 下一页
左:点击 继续
右键点击 继续
左:我尚未在设备上配置个人密码(针对此演示),因此在这一点上,我不得不先创建个人密码,然后才能继续进行设备注册。
右:设置密码
左:点击 继续 重新检查设备设置要求
右键点击 完成了
左:现在已注册该设备,现在将在后台安装强制性应用程序
右:A 工作空间 文件夹已创建。打开此文件夹以查看所有业务应用程序。
左:第一次打开托管应用程序(应用了应用保护策略)(例如Microsoft Word的Microsoft Outlook)时,此消息只会出现一次。此后,将应用配置的应用程序保护策略。
右:为进行测试,我已将我的Dropbox存储帐户添加到Microsoft Word,并尝试将业务文档保存到该帐户。如您所见,此操作已被应用保护策略阻止。
左:作为测试,我现在将Microsoft Outlook应用程序安装在安全的Android Enterprise Work配置文件之外,以查看条件访问策略是否有效。打开应用商店,搜索Microsoft Outlook并单击 安装
右:安装后,单击 打开
左:点击 开始使用
右:填写您的电子邮件地址和密码以 登入
如预期那样,阻止访问公司电子邮件。
5条评论。 离开新的
[…]我写了关于如何配置Android Enterprise的文章–工作资料。此Android Enterprise模式专为个人拥有的移动设备设计。对于企业所有[…]
当我将一个设备注册为带有工作资料的Android Enterprise时,即使有最低限度的合规性政策,也永远不会将该设备标记为合规性。
前一位同事告诉我,他们发现了一个第三方应用程序,名为“Device Policy”他们使用。他们打开,然后在Android注册刀片中扫描QR码。然后我的android设备显示为兼容。我想念什么?这是正常设置吗?我没有’没看到您的指示很棒,我最好的’我们已经在一个文档中看到了所有内容。
嗨,首先,这是一篇很棒的文章,非常有帮助。但是我按照本文中的步骤进行,一切正常…。无法从托管应用复制,在托管应用中禁用了屏幕截图,但是当我在工作资料中启动Outlook并单击“添加帐户”时– I get a massage: “出现问题,请重试或联系您的IT管理员”。可能是什么问题,我按照上面的说明进行操作…
谢谢
您所有的设备都有此功能吗?
[…]几天前,我写了一篇有关如何启用Android Enterprise并在Microsoft Int中使用工作资料配置个人设备的博客…。发布此博客后,有人问我如何迁移当前的[…]