若要使用任何受支持的 Android Enterprise 管理选项管理 Intune 注册的设备,必须将 Microsoft Intune 租户连接到托管的 Google Play 帐户。 可用的管理选项包括:
- Android Enterprise 个人拥有的工作配置文件
- Android Enterprise 公司拥有的工作配置文件
- Android Enterprise 完全托管设备
- Android Enterprise 专用设备
本文介绍如何在 Intune 管理中心Microsoft关联帐户。 连接到 Google Play 后,这些适用于 Android Enterprise 的常见应用将添加到管理中心:
- Microsoft Intune - 用于 Android Enterprise 完全托管、专用和企业拥有的工作配置文件方案。
- Microsoft Authenticator - 如果使用双重验证,可帮助你登录到帐户,并且还用于使用Microsoft Entra共享设备模式注册的 Android Enterprise 专用设备。
- Intune 公司门户 - 用于个人设备和 Intune 应用保护策略上的 Android Enterprise 工作配置文件方案。
- 托管主屏幕 - 用于 Android Enterprise 专用设备上的多应用展台模式。 详细了解托管主屏幕。
开始之前
重要
从 2024 年 8 月开始,可以将Microsoft Entra标识帐户链接到 Google 帐户,而不是使用企业 Gmail 帐户。 建议使用 Microsoft Entra 帐户连接到 Google Play。 有关此更改的详细信息,请参阅 Google 博客:我们如何使 Android Enterprise 注册和更好地访问 Google 服务。 当前Microsoft已将 Gmail 帐户与 Intune 关联的 Intune 租户将继续受支持。
- 确认 Android Enterprise 在所在国家/地区的可用性。 有关详细信息,请参阅 Android Enterprise 是否在我的国家/地区提供?。
- 确认要使用的Microsoft Entra帐户。 此帐户用于管理 Google 管理员 帐户和关联的订阅,并将与 Microsoft Intune 租户中的所有 Android Enterprise 管理任务相关联。
- 确认Microsoft Entra帐户设置了邮箱,以便完成 Google 所需的验证过程。
连接帐户
提示
由于 Google 和 Microsoft 域之间的交互,可能需要调整浏览器设置才能完成此过程。 确保浏览器中 portal.azure.com、play.google.com 和 enterprise.google.com 位于同一安全区域。 有关如何在浏览器中执行这些配置的说明,请参阅 按策略进行每站点配置。
完成这些步骤以在 Microsoft Intune 中启用 Android Enterprise 管理选项。
转到 “设备>注册”。
选择“ Android ”选项卡。
在 “先决条件”下,选择“ 托管的 Google Play”。 如果使用自定义 Intune 角色,则访问此选项需要组织 读取 和 更新 权限。
选择“ 我同意 授予Microsoft向 Google 发送用户和设备信息的权限。
选择“ 启动 Google”以立即连接 以打开托管的 Google Play 网站。 该网站随即在浏览器中的新选项卡上打开。
在 Google 登录页上,确认预填充的 Microsoft Entra 帐户是要与此租户的所有 Android Enterprise 管理任务关联的帐户。
重要
- 此帐户用于根据需要管理 Google 管理员 帐户和关联的订阅。 Microsoft Entra帐户必须具有活动邮箱才能完成 Google 所需的验证过程。
- 建议使用登录的 Microsoft Entra 帐户创建 Google 管理员 帐户。 建立连接后,可以根据需要在 Google 管理控制台中添加和删除更多管理员。 Google 建议企业至少有两个所有者进行冗余。
- 如果缺少Microsoft登录选项,则可能需要将 MX 记录连接到用于Exchange Online的域。 有关如何编辑域的 DNS 设置的信息,请参阅 添加 DNS 记录以连接域。
按照屏幕上的提示完成 Google 管理员 帐户的创建。
出现提示时,选择“ 允许”并创建帐户 以允许Microsoft Intune 管理 Android Enterprise 设备。
提示
若要为托管的 Google Play 应用选择作用域标记,请转到 Intune 管理中心Microsoft租户 管理>连接器和令牌>托管的 Google Play 。 然后选择一个范围标记以应用于所有新批准的托管 Google Play 应用。 必须具有以下权限才能在管理中心中与此区域交互并删除所选范围标记。 租户管理员或负责向其他人授予管理员权限的管理员,可以转到 “租户管理>角色” 来编辑权限。
- Android Sync - Read
- Android Sync - UpdateOnBoarding
断开 Android Enterprise 管理帐户的连接
可以在管理中心断开 Microsoft Intune 和 Google 之间的链接。 断开帐户连接会禁用租户的 Android Enterprise 设备管理。
- 使用 Intune 管理员 帐户登录到 Microsoft Intune 管理中心。
-
停用 以下所有设备:
- Android Enterprise 个人拥有的工作配置文件设备
- Android Enterprise 公司拥有的工作配置文件设备
- Android Enterprise 完全托管设备
- Android Enterprise 专用设备
- 转到 “设备>注册”。
- 选择“ Android ”选项卡。
- 在 “先决条件”下,选择“ 托管的 Google Play”。
- 选择“断开连接”。
- 选择“是”可从 Intune 断开连接并取消注册所有 Android 企业设备。
编辑托管 Google Play 组织名称
首次创建托管 Google Play 帐户时,请向 Google 提供组织名称。 此名称显示在 Intune 管理中心中,也可以在 Android 设备上显示。 例如,在锁屏界面上,它可能会向用户显示,因为 此设备由 [组织名称] 管理。
完成本部分中的步骤以编辑组织的名称。
在 intune 管理中心Microsoft,转到 “设备”。
选择 “Android>注册>托管 Google Play”。
选择“ 更改组织名称”。 输入新名称。
名称长度必须为 2-50 个字符。
允许使用这些字符:
字母:
A–Z和a–z,包括重音字符,例如á、ñ和ü数字:
0–9Spaces. , ' - & ( )
不允许使用这些特殊符号:
@ # $ % ^ * + = | \ / < > { } [ ]
选择“更改”。
后续步骤
连接到托管的 Google Play 帐户后,可以为以下 Android Enterprise 方案设置 Microsoft Intune: