更新 Android 设备策略资源,以支持在设备注册期间自动启用浏览器访问。
如 2024 年 9 月和 2025 年 11 月在 Microsoft Entra 博客中的新增功能中宣布的那样,我们默认会自动为 Android 用户启用浏览器访问。 此更改是强化所有Microsoft产品作为 安全未来计划一部分的一部分。 作为此计划的一部分,我们将消除在注册完成后从设备存储导出设备注册密钥的机制。
此更改意味着,在设备注册到 Microsoft Entra ID 后,Android 设备的用户将无法再在 Authenticator 应用或公司门户中修改其浏览器访问设置。 相反,Android 用户默认已启用浏览器访问权限。
如果你是 MDM 提供程序
我们请求修改 Android 设备策略资源,以支持在设备注册期间启用浏览器访问。 策略资源用于创建和保存一组设备和应用管理设置,供客户应用于设备。
若要代表客户启用浏览器访问,需要创建或修改现有策略,以便向 Authenticator 应用和公司门户提供委派证书。
下面是策略的示例:
设置身份验证器的委托范围CERT_INSTALL的策略示例
"applications": [{
"packageName": "com.azure.authenticator"
"installType": "REQUIRED_FOR_SETUP"
"delegatedScopes": [
"CERT_INSTALL"
]
}],
CERT_INSTALL - 授予对证书安装和管理的访问权限。 - https://developer.android.com/reference/android/app/admin/DevicePolicyManager#DELEGATION_CERT_INSTALL
有关详细信息,可在此处找到: Android MDM 创建和应用策略。
如果无法进行请求的更改,最终用户将遇到以下行为:
- 如果在 Microsoft Entra 中注册了设备并启用了浏览器访问
- 无影响
- 如果在 Microsoft Entra 中注册了设备,但未启用浏览器访问:
- 将阻止对非 Microsoft Edge 浏览器上受 CA 保护的资源的访问。
- 如果用户需要在 Web 浏览器中访问受 CA 保护的资源,则必须使用 Microsoft Edge。
- 如果设备首次注册:
- 系统会提示用户选择证书类型并将其证书命名为注册流的一部分。
- 此证书用于启用浏览器访问。
- 此证书在设备上后,将启用浏览器访问,用户可以在其选择的任何浏览器中访问受 CA 保护的资源。
