Рабочая роль первой линии для устройств Android в Microsoft Intune
Устройства Android находятся почти во всех отраслях по всему миру, включая здравоохранение, авиацию, строительство, производство, логистику и правительство. Они обычно используются сотрудниками первой линии (FLW) в этих и других отраслях.
С помощью Intune можно управлять устройствами Android, используемыми сотрудниками первой линии в вашей организации. В этой статье:
- Включает решения, необходимые администраторам, включая определение способа использования устройства и настройку начального экрана & интерфейс устройства.
- Помогает определить оптимальный вариант регистрации и лучший интерфейс управления устройствами для вас и ваших конечных пользователей.
Эта статья относится к:
- Устройства Android, принадлежащие организации и зарегистрированные в Intune
Общие сведения об устройствах FLW в Intune см. в статье Управление устройствами FLW в Intune.
Используйте эту статью, чтобы приступить к работе с устройствами Android FLW в Intune. Это означает следующее:
- Шаг 1. Выбор параметра регистрации Intune
- Шаг 2. Выбор общего устройства или устройства, связанного с пользователем
- Шаг 3. Настройка начального экрана и интерфейса устройства
- Режим общего устройства Microsoft Entra для выделенных устройств Android Enterprise
Подготовка к работе
Intune поддерживает различные варианты регистрации для устройств Android, как показано на следующем рисунке:
В этой статье рассматриваются параметры регистрации, часто используемые для устройств FLW. Дополнительные сведения обо всех вариантах регистрации Android см. в статье Руководство по регистрации: Регистрация устройств Android в Microsoft Intune.
Шаг 1. Выбор параметра регистрации Intune
Первым шагом является определение платформы регистрации Intune, которая лучше всего подходит для вашей организации и устройств.
Для устройств FLW Android следует использовать регистрацию Android Enterprise или Android с открытым исходным кодом (AOSP).
Вы можете использовать следующий образ, чтобы выбрать путь, который лучше всего подходит для устройств FLW:
Убедитесь, что вы знаете, что делает устройство и его вариант использования. Производители устройств Android (OEM) предлагают различные устройства, некоторые из этих устройств могут быть специализированными, а другие — более универсальными.
Например, устройства, используемые для дополненной или виртуальной реальности, обычно не поддерживают GMS, что является обязательным требованием для регистрации Android Enterprise. Таким образом, естественный путь регистрации для этих устройств — Android (AOSP).
Устройствам регистрации Android Enterprise требуются и поддерживаются мобильные службы Google (GMS) (открывается веб-сайт Android). Эти устройства также используются в странах и регионах, в которых разрешено использование GMS.
✅ Если устройство включено GMS и находится в списке рекомендуемых для Android Enterprise (открывается веб-сайт Android), используйте регистрацию Android Enterprise.
❌ Если эти устройства используются в стране или регионе, который блокирует GMS, регистрация Android Enterprise не поддерживается. Вместо этого используйте регистрацию Android (AOSP).
Примечание.
Для администратора устройств Android (DA) Google не рекомендует и сокращает возможности. Рекомендуется перейти на Android Enterprise или Android (AOSP) для устройств FLW.
Шаг 2. Общее устройство или устройство, связанное с пользователем
Следующее решение заключается в том, чтобы решить, являются ли устройства общими для нескольких пользователей или назначены одному пользователю. Это решение зависит от бизнес-потребностей и требований конечного пользователя. Это также влияет на то, как эти устройства регистрируются и управляются с помощью Intune.
Общее устройство без связи с пользователем (без пользователей)
При использовании общих устройств пользователь получает устройство, выполняет свои задачи и передает устройство другому пользователю. Как правило, эти пользователи вручную входят в приложения; они не входят в устройство.
При использовании общих устройств:
Если вы используете общие устройства Android и устройства поддерживают регистрацию Android Enterprise, зарегистрируйте свои устройства как выделенные устройства. Эти устройства поддерживают мобильные службы Google (GMS) и не связаны с одним или конкретным пользователем.
Дополнительные сведения о регистрации выделенных устройств см. в разделе Регистрация выделенных устройств Android Enterprise в Intune.
Если вы используете общие устройства Android (AOSP), вы можете зарегистрировать свои устройства как устройства без пользователей. Эти устройства обычно не поддерживают GMS и не связаны с одним или конкретным пользователем.
Дополнительные сведения о регистрации android (AOSP) без пользователей см. в статье Регистрация Intune для корпоративных устройств без пользователей с Android (AOSP).
Устройство, связанное с пользователем
На этих устройствах есть один пользователь. Этот пользователь связывает устройство с самим собой, что обычно происходит, когда пользователь входит в систему во время регистрации Intune. Устройство связано с удостоверением пользователя в Microsoft Entra.
С сопоставлением пользователей:
Если вы используете Android Enterprise, вы можете зарегистрировать устройства как полностью управляемые или корпоративные устройства с рабочим профилем. Эти устройства имеют одного пользователя и используются исключительно для работы в организации; не личное использование.
Эти параметры регистрации не являются общими для устройств FLW и расширяют границы традиционных рабочих сценариев с интерфейсом. Но их можно использовать, если их функции лучше всего подходит для вашего бизнес-сценария. У них есть много параметров, которые можно настроить. Например, при использовании полностью управляемой регистрации можно настроить Microsoft Launcher, добавить пользовательские обои и многое другое.
Дополнительные сведения об этих методах регистрации см. в следующих страницах:
- Регистрация Intune для полностью управляемых устройств Android Enterprise
- Регистрация Intune для корпоративных устройств с рабочим профилем
Чтобы получить список некоторых параметров, которые можно настроить, перейдите в список параметров устройств Android Enterprise, чтобы разрешить или ограничить функции на корпоративных устройствах с помощью Intune.
Если вы используете Android (AOSP), вы можете зарегистрировать устройства в качестве устройства, связанного с пользователем . Эти устройства имеют одного пользователя и используются исключительно для работы в организации; не личное использование.
Помните, что устройства Android (AOSP) не поддерживают Google Mobile Services (GMS).
- Дополнительные сведения о регистрации Android (AOSP), связанной с пользователем, см. в статье Регистрация Intune для устройств Android (AOSP), связанных с корпоративными пользователями.
- Список некоторых параметров, которые можно настроить, см. в разделе Параметры устройства Android (AOSP), чтобы разрешить или ограничить функции с помощью Intune.
Шаг 3. Начальный экран и интерфейс устройства
Для Android (AOSP) не существует интерфейса начального экрана для настройки регистрации устройств в Intune с помощью AOSP. Когда сотрудники первой линии получают устройства, зарегистрированные в AOSP, они включают устройства, входят в приложение (или не входят, в зависимости от сопоставления пользователей), например Microsoft Teams. Затем они просто начинают использовать устройства.
Для выделенных устройств Android Enterprise доступны функции начального экрана и взаимодействия с устройствами, которые можно настроить в Intune. Этот раздел и действия применяются к:
- Выделенные устройства Android Enterprise
Этот шаг является необязательным и зависит от вашего бизнес-сценария. Если эти устройства совместно используются многими пользователями, рекомендуется использовать начальный экран и функции взаимодействия с устройствами, описанные в этом разделе.
На устройствах Android Enterprise можно настроить приложение Intune Managed Home Screen (MHS) для управления начальным экраном и интерфейсом устройства.
На этом шаге рассмотрите, что делают конечные пользователи на устройствах, а также интерфейс устройства, который им нужен для выполнения своих заданий. Это решение влияет на настройку устройства.
Для FLW часто используются следующие сценарии:
Сценарий 1. Доступ на уровне устройства с несколькими приложениями
Устройства регистрируются в Intune как выделенные устройства Android Enterprise.
Пользователи имеют доступ к приложениям и параметрам на устройстве. С помощью параметров политики можно ограничить пользователей различными функциями, такими как отладка, системные приложения и многое другое.
В этом сценарии требуется, чтобы пользователи использовали определенные приложения, но не нужно, чтобы устройство было заблокировано только для этих приложений.
Чтобы настроить устройства для этого сценария, необходимо развернуть приложения и настроить приложения с помощью политик конфигурации приложений. Затем используйте политики конфигурации устройств, чтобы разрешить или заблокировать функции устройства.
Чтобы приступить к работе, воспользуйтесь следующими ссылками:
Добавление приложений в Intune. При добавлении приложений вы создаете политики приложений, которые развертывают приложения на устройствах.
Создайте политики конфигурации приложений для настройки функций приложений. Вы также можете добавить JSON-файл со всеми нужными параметрами конфигурации.
Создайте профиль ограничений конфигурации устройств, который разрешает или ограничивает функции с помощью Intune.
В Центре администрирования Microsoft Intune перейдите в раздел Устройства>Управление устройствами>Шаблоны>>конфигурации> Ограничения устройствРежим>киоска выделенного устройства>. Задайте для него значение Не настроено:
Сценарий 2. Заблокированное устройство с экраном с закрепленными приложениями
Устройства регистрируются в Intune как выделенные устройства Android Enterprise.
В этом сценарии вы устанавливаете приложение Intune Managed Home Screen (MHS), которое позволяет настроить интерфейс управляемого устройства. Вы можете закрепить одно или несколько приложений, выбрать обои, задать позиции значков, требовать ПИН-код и многое другое. Этот сценарий часто используется для выделенных устройств, таких как общие устройства.
Что нужно знать:
- Пользователям доступны только функции, добавленные на управляемый начальный экран (MHS). Таким образом, вы можете запретить конечным пользователям доступ к параметрам и другим функциям устройства.
- При закреплении одного или нескольких приложений в MHS открываются только эти приложения. Это единственные приложения, к которые пользователи могут получить доступ.
- MHS — это средство запуска предприятия, используемое вами. Не устанавливайте другое приложение средства запуска предприятия.
Дополнительные сведения о приложении MHS на выделенных устройствах см. в записи блога Настройка Microsoft MHS на выделенных устройствах в режиме киоска с несколькими приложениями .
Чтобы приступить к работе, воспользуйтесь следующими ссылками:
Добавление приложений в Microsoft Intune, включая приложение MHS. При добавлении приложений вы создаете политики приложений, которые развертывают приложения на устройствах.
Используйте профиль конфигурации ограничений устройств , чтобы настроить режим киоска на несколько приложений и выбрать свои приложения. На этом шаге устройство блокируется только для приложений, которые вы выбираете:
В Центре администрирования Microsoft Intune перейдите в раздел Устройства>Управление устройствами>Конфигурация>Шаблоны>Ограничения> устройствИнтерфейс>устройства Режим киоска> выделенного устройства >Добавление нескольких приложений>. Добавьте нужные приложения в режиме киоска с несколькими приложениями:
Настройте приложение Microsoft Managed Home Screen (MHS) с помощью одного из следующих параметров:
Вариант 1. Профиль конфигурации ограничений устройств. В том же профиле конфигурации ограничений устройств настройте нужные функции устройства в режиме киоска с несколькими приложениями.
Список параметров, которые можно настроить, см. в разделе Параметры взаимодействия с Устройствами Для Android для бизнеса.
Вариант 2. Политика конфигурации приложений. Политика конфигурации приложений содержит больше параметров конфигурации, чем профиль конфигурации ограничений устройств. Вы также можете добавить JSON-файл со всеми нужными параметрами конфигурации.
Дополнительные сведения см. в разделе Настройка приложения Microsoft Managed Home Screen.
Сценарий 3. Киоск с одним приложением
Устройства регистрируются в Intune как выделенные устройства Android Enterprise.
Этот сценарий используется на устройствах, которые имеют одну цель, например сканирование инвентаризации.
Что нужно знать:
- Устройству назначается одно приложение. При запуске устройства открывается только это приложение. Пользователи заблокированы для одного приложения и не могут закрыть приложение или сделать что-либо еще на устройстве.
- Этот вариант является более строгим, так как устройство предназначено для запуска только одного приложения.
- Средство запуска предприятия не используется.
Чтобы настроить эти устройства, назначьте приложение устройству. Затем создайте политику конфигурации устройства, которая устанавливает для устройства режим киоска с одним приложением.
Чтобы приступить к работе, воспользуйтесь следующими ссылками:
Добавление приложений в Microsoft Intune. При добавлении приложения создается политика приложения, которая развертывает приложение на устройствах.
Создайте профиль ограничений конфигурации устройств, который разрешает или ограничивает функции с помощью Intune:
В Центре администрирования Microsoft Intuneперейдитев раздел Устройства >Управление устройствамиКонфигурация>Шаблоны>Ограничения> устройствРежим>киоска выделенного устройства> и выберите Одно приложение:
Режим общего устройства Microsoft Entra для выделенных устройств Android Enterprise
Режим общего устройства Microsoft Entra (SDM) — еще один вариант для регистрации выделенных устройств Android Enterprise .
Entra SDM предлагает интерфейс входа и выхода на основе приложений и удостоверений, что улучшает взаимодействие с конечными пользователями и производительность (меньше запросов на вход). Он дополняет сценарии 1 и сценарий 2 , описанные на шаге 3 — начальный экран и интерфейс устройства (в этой статье).
Дополнительные сведения о режиме общего устройства Entra (SDM) см. в разделе Режим общего устройства Entra для FLW.
Что нужно знать:
Регистрация Android в Intune в качестве общего устройства и Entra SDM являются бесплатными. Регистрация Android в Intune в качестве общего устройства не зависит от Entra SDM. Entra SDM — это параметр поверх регистрации общего устройства Intune.
Entra SDM — это функция Entra. Это не функция Intune. Дополнительные сведения о Entra SDM для устройств Android Enterprise см. по адресу:
- Режим общего устройства для устройств с Android
- Регистрация выделенных устройств Android Enterprise в режиме общего устройства Microsoft Entra — запись блога в Центре сообщества Майкрософт
- Intune поддерживает выход для приложений, не оптимизированных с режимом общего устройства Microsoft Entra в AE 9+ — запись блога в Центре сообщества Майкрософт
Чтобы пользователи имели полный вход и выход, приложения должны поддерживать библиотеку проверки подлинности Майкрософт (MSAL). Дополнительные сведения см. в статье Включение единого входа между приложениями в Android с помощью MSAL.