Einrichten der Registrierung für vollständig verwaltete Android Enterprise-Geräte
Richten Sie die vollständig verwaltete Android Enterprise-Gerätelösung in Microsoft Intune ein, um unternehmenseigene Geräte zu registrieren und zu verwalten. Ein vollständig verwaltetes Gerät ist einem einzelnen Benutzer zugeordnet und für die Arbeit und nicht für den persönlichen Gebrauch bestimmt. Als Intune-Administrator können Sie das gesamte Gerät verwalten und Richtliniensteuerelemente erzwingen, die mit dem Android Enterprise-Arbeitsprofil nicht verfügbar sind, z. B.:
- App-Installation nur über verwaltetes Google Play zulassen.
- Benutzer können verwaltete Apps nicht deinstallieren.
- Verhindern, dass Benutzer Geräte auf Werkseinstellungen zurücksetzen.
Sie und Ihre Gerätebenutzer können die Registrierung initiieren, indem Sie während der Geräteeinrichtung ein Registrierungstoken eingeben oder scannen. In diesem Artikel werden die Voraussetzungen für die Registrierung und das Erstellen von Registrierungsprofilen und Token beschrieben. Am Ende dieses Artikels können Sie Geräte registrieren.
Schritt 1: Voraussetzungen
Erfüllen Sie diese Voraussetzungen, um eine erfolgreiche Registrierung sicherzustellen.
Sie benötigen einen eigenständigen Intune-Mandanten, bei dem die Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) auf Microsoft Intune festgelegt ist.
Geräte müssen die folgenden Voraussetzungen erfüllen:
- Führen Sie Android-Betriebssystemversion 8.0 und höher aus.
- Führen Sie einen Android-Build aus, der über Google Mobile Services-Konnektivität verfügt.
- Stellen Sie Google Mobile Services zur Verfügung, und können Sie eine Verbindung damit herstellen.
Es gibt keine Einschränkung für Gerätehersteller/OEM, wenn alle drei Anforderungen erfüllt sind.
Stellen Sie sicher, dass Android Enterprise in Ihrer Region unterstützt wird. Informationen zu Android Enterprise-Anforderungen finden Sie unter Erste Schritte mit Android Enterprise.
Verknüpfen Sie Ihr Intune-Mandantenkonto mit Ihrem Android Enterprise-Konto.
Der Android-Setupprozess verwendet eine Chrome-Registerkarte, um Gerätebenutzer während der Registrierung zu authentifizieren. Wenn Sie über eine Microsoft Entra-Richtlinie für bedingten Zugriff mit den folgenden Konfigurationen verfügen, müssen Sie die Microsoft Intune-Cloud-App aus der Richtlinie ausschließen:
Erfordern, dass ein Gerät als konform gekennzeichnet ist, wird verwendet, um den Zugriff zu gewähren oder zu blockieren.
Die Richtlinie gilt für Alle Cloud-Apps, Android und Browser.
Schritt 2: Erstellen eines neuen Registrierungsprofils
Intune generiert automatisch ein Standardregistrierungsprofil und ein Registrierungstoken für vollständig verwaltete Geräte. Das Standardregistrierungsprofil heißt "Vollständig verwaltetes Standardprofil".
So erstellen Sie ein neues Registrierungsprofil:
Melden Sie sich beim Microsoft Intune Admin Center an.
Wechseln Sie zu Geräteregistrierung>.
Wählen Sie die Registerkarte Android aus.
Wählen Sie unter AndroidEnterprise-Registrierungsprofile> die Option Unternehmenseigene, vollständig verwaltete Benutzergeräte aus.
Wählen Sie Profil erstellen aus.
Geben Sie die Grundlagen für Ihr Profil ein:
Name: Geben Sie dem Profil einen Namen. Notieren Sie sich den Namen für später, da Sie ihn beim Einrichten der dynamischen Gerätegruppe benötigen.
Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Tokentyp: Wählen Sie den Tokentyp aus, den Sie zum Registrieren vollständig verwalteter Unternehmensgeräte verwenden möchten. Weitere Informationen finden Sie unter Tokentypen in diesem Artikel. Ihre Optionen:
Unternehmenseigene, vollständig verwaltet (Standard)
Unternehmenseigenes, vollständig verwaltetes Staging
Tokenablaufdatum: Nur mit dem Stagingtoken verfügbar. Geben Sie das Datum ein, an dem das Token bis zu 65 Jahre in der Zukunft abläuft. Akzeptables Datumsformat:
MM/DD/YYYY
oderYYYY-MM-DD
Das Token läuft am ausgewählten Datum um 12:59:59 Uhr in der Zeitzone ab, die es erstellt wurde.
Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.
Wenden Sie ein oder mehrere Bereichstags an, um die Profilsichtbarkeit und -verwaltung auf bestimmte Administratorbenutzer in Intune zu beschränken. Bereichstags sind optional. Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.
Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.
Überprüfen Sie die Zusammenfassung Ihres Profils, und wählen Sie dann Erstellen aus, um es abzuschließen.
So überprüfen, ändern oder löschen Sie das Profil:
Wählen Sie das Profil aus.
Wählen Sie Übersicht aus, um die wichtigsten Profildaten zu überprüfen und das Profil zu löschen.
Wählen Sie Eigenschaften>Bearbeiten aus, um Änderungen an den Profilgrundlagen oder Bereichstags vorzunehmen.
Wählen Sie Token aus, um das Token abzurufen, zu widerrufen oder zu exportieren.
Schritt 3: Erstellen einer dynamischen Microsoft Entra-Gruppe
Erstellen Sie optional eine dynamische Microsoft Entra-Gruppe, um Geräte automatisch basierend auf einem bestimmten Attribut oder einer bestimmten Variablen zu gruppieren. In diesem Fall möchten wir die enrollmentProfileName
-Eigenschaft verwenden, um Geräte zu gruppieren, die sich mit demselben Profil registrieren.
Fügen Sie Ihrer Gruppe diese Konfigurationen hinzu:
Gruppentyp: Sicherheit
Mitgliedschaftstyp: Dynamisches Gerät
Fügen Sie eine dynamische Abfrage mit der folgenden Regel hinzu:
- Eigenschaft: enrollmentProfileName
- Operator: Equals
- Wert: Geben Sie den Namen des Registrierungsprofils ein, das Sie in Schritt 2: Erstellen eines neuen Registrierungsprofils erstellt haben.
Sie können keine dynamischen Gruppen mit dem Standardregistrierungsprofil verwenden. Weitere Informationen zum Erstellen einer dynamischen Gruppe mit Regeln finden Sie unter Erstellen einer Gruppenmitgliedschaftsregel.
Schritt 4: Registrieren von Geräten
Nachdem Sie das Registrierungsprofil, das Token und die dynamische Gruppe eingerichtet haben, können Sie eine der folgenden Bereitstellungsmethoden verwenden, um Geräte als vollständig verwaltet zu registrieren:
- Near Field Communication (NFC)
- Tokenzeichenfolge oder QR-Code
- Zero-Touch-Registrierung
- Samsung Knox Mobile-Registrierung
Die nächsten Schritte, einschließlich der Registrierung von Geräten mit den einzelnen Bereitstellungsmethoden, finden Sie unter Registrieren unternehmenseigener Android Enterprise-Geräte.
Tokentypen
Wenn Sie das Registrierungsprofil im Admin Center erstellen, müssen Sie einen Tokentyp auswählen. Es gibt zwei Arten von Token. Jeder Typ ermöglicht einen anderen Registrierungsflow.
Das Standardtoken, unternehmenseigenes, vollständig verwaltetes, registriert Geräte bei Microsoft Intune als vollständig verwaltete Android Enterprise-Standardgeräte. Dieses Token erfordert, dass Sie die Schritte vor der Bereitstellung ausführen, bevor Sie die Geräte verteilen. Endbenutzer führen die verbleibenden Schritte auf dem Gerät aus, wenn sie sich mit ihrem Geschäfts-, Schul- oder Unikonto anmelden.
Das geräteeigene, vollständig über Staging verwaltete Geräte-Stagingtoken registriert Geräte in einem Stagingmodus bei Microsoft Intune, sodass Sie oder ein Drittanbieter alle Schritte vor der Bereitstellung ausführen können. Endbenutzer schließen den letzten Schritt der Bereitstellung ab, indem sie sich mit ihrem Geschäfts-, Schul- oder Unikonto bei der Microsoft Intune-App anmelden. Geräte können bei der Anmeldung verwendet werden. Intune unterstützt das Geräte staging für Android Enterprise-Geräte mit Android 8 oder höher.
Weitere Informationen finden Sie unter Übersicht über das Geräte-Staging.
Ersetzen, Entfernen oder Exportieren von Token
Wählen Sie ein Token im Admin Center aus, um auf diese Verwaltungsoptionen zuzugreifen:
Token ersetzen: Generieren Sie ein neues Token, das sich dem Ablauf nähert.
Token widerrufen: Das Token läuft sofort ab. Nachdem Sie es widerrufen haben, kann das Token nicht mehr verwendet werden. Diese Option ist nützlich, wenn Sie:
Versehentliches Freigeben des Tokens für eine nicht autorisierte Partei.
Schließen Sie alle Registrierungen ab, und benötigen Sie das Token nicht mehr.
Token exportieren: Exportieren Sie den JSON-Inhalt des Tokens. Sie können diese Option verwenden, um den JSON-Inhalt abzurufen, der für die Konfiguration von Google Zero Touch oder Knox Mobile Enrollment erforderlich ist.
Wenn diese Aktionen angewendet werden, haben sie keine Auswirkungen auf Geräte, die bereits registriert sind.