Google 端點管理服務 (GEM) 提供方便的方式,讓您在管理 Google Workspace 安全性、服務和帳戶的同一個 Google 管理控制台中管理貴機構的裝置。Android 裝置適用的管理選項取決於下列因素:
- 裝置的設定方式
- 裝置使用者採用基本行動管理服務還是進階行動管理服務
- 裝置是否新增至公司擁有的裝置清單
- 指派給裝置使用者的 Google Workspace 授權
以下介紹許多裝置管理的相關詞彙。如有不清楚的地方,請參閱本頁結尾的字詞清單。
Google 端點管理服務與 Android Enterprise 的比較
Android Enterprise 是一套包含 API、開發人員工具和管理員功能的解決方案,可讓企業行動管理服務 (EMM) 供應商管理 Android 裝置。進一步瞭解 Android Enterprise。
GEM 是 EMM 供應商,可提供 Android Enterprise 的眾多功能,但兩者各自獨立。相較於 GEM 提供的功能,Android Enterprise 可能具備更多可供 EMM 實作的功能。如要掌握 GEM 新功能的最新資訊,請參閱「Google 端點管理服務的新功能」。
Android 管理權限
視裝置的設定方式而定,EMM 供應商提供管理 Android 裝置的選項和這些裝置的相關資訊會有所不同。這項設定會定義您的「管理員權限」。貴機構可以在裝置上擁有下列其中一項權限:
- 裝置擁有者:裝置設為僅用於工作,您對裝置有完整控制權。這個模式可讓您進一步控管裝置上的資料和應用程式,最適合有高度安全性需求的機構。
「裝置擁有權」注意事項:您擁有裝置擁有權的裝置可能是由貴機構購買並提供給使用者,例如設定零接觸註冊機制做為僅用於工作的裝置,也可能是使用者將裝置設為僅用於工作的個人裝置。GEM 中的「公司擁有的裝置」並非由管理權限定義。公司擁有的裝置是指您在公司清單中新增序號的任何裝置。這些通常是貴機構購買並擁有裝置擁有權的裝置。
- 設定檔擁有者:裝置擁有受管理的工作資料夾,與使用者的個人空間各自獨立 (請參閱下一節進一步瞭解工作資料夾)。您可以控管工作資料夾中的應用程式和資料,但無法控管個人空間。如果貴機構想要自攜裝置 (BYOD) 環境,請使用這個模式。
注意:Android Enterprise 現已支援公司擁有裝置上的工作資料夾,但 GEM 不支援這項設定。
- 裝置管理員:(已淘汰,不適用於 Android 10 以上版本,不支援採用 GEM 進階行動管理服務的裝置) 使用者的裝置個人空間擁有受管理帳戶。
部分 GEM 工具和設定取決於您在該裝置上的權限。舉例來說,如果您擁有裝置的「設定檔擁有者」權限,可以抹除裝置上的公司帳戶資料,但無法抹除整部裝置的資料。
如要查看您對裝置擁有的管理權限,請在管理控制台中開啟裝置詳細資料頁面。詳情請參閱「查看行動裝置詳細資料」。
Android 工作資料夾
如果使用者的個人裝置也用於工作,Android 工作資料夾可讓他們在存取個人資料和應用程式保有隱私權。工作資料夾可讓受管理帳戶和應用程式位於另一個空間,讓裝置管理服務無法存取。貴機構的管理權限為「設定檔擁有者」。
在 GEM 中啟用進階行動管理服務後,當使用者將受管理帳戶新增到 Android 自攜裝置 (BYOD) 時,系統會提示他們設定工作資料夾。如要進一步瞭解使用者如何設定工作資料夾,請參閱「在 Android 裝置上設定 Google Workspace」和「什麼是工作資料夾?」。
裝置上只能有一個工作資料夾。
- 如果您不需要為使用者建立工作資料夾,請為機構單位設定基本行動管理服務。如果您已開啟進階行動管理服務,則可切換至基本行動管理服務。基本行動管理服務提供的管理功能較少。如要進一步瞭解差異,請參閱下一節。
- 如果使用者需要在裝置上有多個受管理的帳戶 (例如擁有「一般」公司帳戶和管理員帳戶的使用者),請將他們加入設有基本行動管理服務的機構單位中。
注意:雖然具備「裝置擁有者」權限和工作資料夾的裝置目前是 Android Enterprise 中的選項,但 GEM 不支援這項設定。
Android 裝置基本行動管理服務和進階行動管理服務的比較
Google 端點管理服務有 3 種行動管理服務:基本、進階或非受管。您可以依機構單位為使用者設定行動管理服務層級,也可以透過「自訂」 選項,將設定只套用至機構單位使用者的特定類型裝置。例如,您可以讓使用者的 Android 裝置採用進階行動管理服務,iPhone 和 iPad (iOS) 採用基本行動管理服務,以及任何使用 Google Sync 的 iOS 裝置採用基本行動裝置管理服務。
重要事項:請依「使用者」 (新增至裝置的帳戶) 和裝置類型 (選用) 調整行動管理服務設定。無論使用者帳戶為何,您都無法為特定一組裝置設定行動管理服務。
基本行動管理服務
根據預設,系統會啟用基本行動管理服務。可讓您設定基本密碼規定、管理應用程式 (僅限 Android 裝置),以及取得裝置上設有公司帳戶的裝置詳細資料。系統不會要求使用者在裝置上安裝管理應用程式,或者建立工作資料夾,而且裝置可以與部分第三方 EMM 供應商一起使用。如要使用 GEM 做為 EMM 供應商,基本行動管理服務僅支援有限的安全性選項。詳情請參閱「行動管理服務的功能比較」。
進階行動管理服務
如要使用進階端點功能和企業端點功能,就必須啟用進階行動管理服務的所有功能。如要強制執行安全性政策,使用者必須在自己的裝置上設定管理用戶端,並為個人裝置安裝工作資料夾。
注意:進階行動管理服務無法與其他 EMM 一起使用,僅限 GEM。
無行動管理服務 (非受管)
即使 Android 裝置已關閉行動管理服務,您仍然可以允許使用者在裝置上新增公司帳戶及存取工作資料。但是您沒有任何管理選項。您無法為遺失或遭竊的裝置抹除公司帳戶,也無法要求輸入密碼,而且管理控制台的裝置清單也不會顯示裝置。
裝置擁有權
部分 GEM 功能僅適用於您在管理控制台設為公司擁有的裝置。如要將裝置設為公司擁有,請將裝置加入公司擁有的裝置清單。舉例來說,如要讓 GEM 和相關安全性功能 (例如情境感知存取權、將裝置辨識為公司擁有),您必須將該裝置加入公司擁有的裝置清單。
這類公司擁有權不同於「裝置擁有者」管理權限,以及貴機構是否購買裝置 (擁有裝置實體)。
零接觸註冊機制
零接觸註冊機制 (ZTE) 是 Android Enterprise 的一項功能,可讓機構自動為使用者設定全代管裝置。這項機制不同於 Google 端點管理服務,但您可以使用 Google 端點管理服務來管理以這種方式設定的裝置。
有了 ZTE,貴機構向支援的經銷商購買裝置後,就可以設定在使用者將帳戶新增至裝置時自動套用的設定。
如要使用 GEM 管理 ZTE 裝置,這些裝置的使用者必須位於已啟用進階行動管理服務 (至少為 Android 裝置) 的機構單位中。貴機構將擁有「裝置擁有者」管理權限,但您必須將裝置加入公司擁有的裝置清單,GEM 才會將這類裝置視為公司擁有。詳情請參閱「透過零接觸註冊機制部署 Android 裝置」。
如需更多關於 ZTE 的一般資訊,請參閱「適用於 IT 管理員的零接觸註冊機制」。
字詞清單
Google 端點管理服務字詞
- 進階行動管理服務:這項行動管理服務設定可讓您進一步控管使用者的裝置 (例如控管網路和應用程式存取權和安全性設定),以及提供關於這些裝置的詳細資訊。
- 基本行動管理服務:這項行動管理服務設定可讓您對使用者的裝置進行最基本的控管。
- 公司擁有的裝置:您在管理控制台中加入公司擁有的裝置清單的裝置。
- Google 端點管理服務 (GEM):Google Workspace 和 Cloud Identity 提供的企業行動管理服務供應商,可在 Google 管理控制台中使用。
Android 字詞
- Android Enterprise:企業行動管理服務 (EMM) 開發人員用於支援透過 EMM 管理 Android 裝置的功能和工具。
- 自攜裝置 (BYOD):使用者新增公司帳戶的個人裝置。
- 裝置擁有者:這種管理權限可讓企業行動管理服務供應商完全控管裝置,使用者無法新增個人帳戶。
- 企業行動管理服務 (EMM) 供應商:這項產品可讓機構在裝置上設定安全性政策、控管資料存取權及管理應用程式。
- 全代管裝置:貴機構擁有裝置擁有權的 Android 裝置。
- 管理權限:企業行動管理服務供應商對於裝置的控制範圍,可以是整個裝置 (裝置擁有者) 或工作資料夾 (設定檔擁有者)。
- 設定檔擁有者:這項管理權限可讓企業行動管理服務供應商只能控管裝置上的工作資料夾。
- 工作資料夾:使用者個人 Android 裝置上的獨立空間,用於存放工作應用程式和資料。機構擁有該裝置的「設定檔擁有者」權限。使用者的個人應用程式和資料各自獨立,機構無法存取。
- 零接觸註冊機制:Android Enterprise 的一項功能,可讓機構自動為使用者設定全代管裝置。
另請參閱「Android Enterprise 詞彙」。
