Freigeben über


Einrichten der Intune-Registrierung für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil

Unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil sind Einzelbenutzergeräte, die für die geschäftliche und private Benutzung vorgesehen sind.

Endbenutzer können ihre geschäftlichen und persönlichen Daten getrennt halten und haben die Garantie, dass personenbezogene Daten und Anwendungen privat bleiben. Administratoren können einige Einstellungen und Features für das gesamte Gerät steuern, darunter:

  • Festlegen der Anforderungen für das Gerätekennwort
  • Steuern von Bluetooth und Datenroaming
  • Konfigurieren des Schutzes vor Zurücksetzung auf Werkseinstellungen

Intune unterstützt Sie beim Bereitstellen von Apps und Einstellungen für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil. Ausführliche Informationen über Android Enterprise finden Sie in den Voraussetzungen für Android Enterprise.

Geräteanforderungen

Geräte müssen die folgenden Anforderungen erfüllen, um als unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil verwaltet werden zu können:

  • Android-Version 8.0 und höher
  • Geräte müssen eine Android-Verteilung ausführen, die über GMS-Konnektivität (Google Mobile Services) verfügt. Geräte müssen über GMS verfügen und dazu in der Lage sein, eine Verbindung mit GMS herzustellen.

Einrichten der Verwaltung für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil

Führen Sie die folgenden Schritte aus, um die Verwaltung für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil einzurichten:

  1. Sie müssen Microsoft Intune als MDM-Autorität (Verwaltung mobiler Geräte) festlegen, um die Verwaltung mobiler Geräte vorzubereiten. Sie legen dieses Element nur einmal fest, wenn Sie die Ersteinrichtung von Intune für die Verwaltung mobiler Geräte durchführen.
  2. Verknüpfen Sie Ihr Intune-Mandantenkonto mit Ihrem verwalteten Google Play-Konto.
  3. Erstellen Sie ein Registrierungsprofil.
  4. Erstellen Sie eine Gerätegruppe.
  5. Registrieren Sie die unternehmenseigenen Geräte mit Arbeitsprofil.

Erstellen eines Registrierungsprofils

Hinweis

  • Token für unternehmenseigene Geräte mit Arbeitsprofil laufen nicht automatisch ab. Wenn ein Administrator beschließt, ein Token zu widerrufen, wird das zugeordnete Profil nicht unter Geräte>nach Plattform>Android>Device onboarding>Enrollment>Unternehmenseigene Geräte mit Arbeitsprofil angezeigt. Klicken Sie auf Filter, und aktivieren Sie die Kontrollkästchen für die beiden Richtlinienstatus „Aktiv“ und „Inaktiv“, um alle Profile anzuzeigen, um alle Profile anzuzeigen, die sowohl den aktiven als auch den inaktiven Token zugeordnet sind.
  • Für unternehmenseigene Arbeitsprofilgeräte (COPE) wird die afw#setup- und die NFC-Registrierungsmethode (Near Field Communication) nur auf Geräten mit Android 8-10 unterstützt. Sie sind unter Android 11 nicht verfügbar. Weitere Informationen finden Sie in der Google-Entwicklerdokumentation.

Sie müssen ein Registrierungsprofil erstellen, damit Benutzer unternehmenseigene Geräte mit Arbeitsprofil registrieren können. Wenn das Profil erstellt wird, wird ein Registrierungstoken (zufällige Zeichenfolge) und ein QR-Code bereitgestellt. Je nach Android-Betriebssystem und Version des Geräts können Sie entweder das Token oder den QR-Code zum Registrieren des dedizierten Geräts verwenden.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräteregistrierung>.

  3. Wählen Sie die Registerkarte Android aus.

  4. Wählen Sie unter AndroidEnterprise-Registrierungsprofile> die Option Unternehmenseigene Geräte mit Arbeitsprofil aus.

  5. Wählen Sie Profil erstellen aus.

  6. Geben Sie die Grundlagen für Ihr Profil ein:

    • Name: Geben Sie dem Profil einen Namen. Notieren Sie sich den Namen für später, da Sie ihn beim Einrichten der dynamischen Gerätegruppe benötigen.

    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

    • Tokentyp: Wählen Sie den Tokentyp aus, den Sie zum Registrieren von Geräten verwenden möchten. Weitere Informationen finden Sie unter Tokentypen in diesem Artikel. Ihre Optionen:

      • Unternehmenseigenes Arbeitsprofil (Standard)

      • Unternehmenseigenes Arbeitsprofil über Staging

    • Tokenablaufdatum: Nur mit dem Stagingtoken verfügbar. Geben Sie das Datum ein, an dem das Token bis zu 65 Jahre in der Zukunft abläuft. Akzeptables Datumsformat: MM/DD/YYYY oder YYYY-MM-DD Das Token läuft am ausgewählten Datum um 12:59:59 Uhr in der Zeitzone ab, die es erstellt wurde.

  7. Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.

  8. Wenden Sie optional ein oder mehrere Bereichstags an, um die Sichtbarkeit und Verwaltung von Einschränkungen auf bestimmte Administratorbenutzer in Intune zu beschränken. Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung und Bereichstags für verteilte IT.For more information how to use scope tags, see Use role-based access control and scope tags for distributed IT.

  9. Wählen Sie Weiter aus, um mit Erstellen und überprüfen fortzufahren.

  10. Überprüfen Sie Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.

Zugriffsregistrierungstoken

Nachdem Sie ein Profil erstellt haben, generiert Intune das Token, das Sie für die Registrierung benötigen.

  1. Kehren Sie zu Geräteregistrierung> zurück, und wählen Sie die Registerkarte Android aus.

  2. Wählen Sie im Abschnitt Registrierungsprofile die Option Unternehmenseigene Geräte mit Arbeitsprofil aus.

  3. Wählen Sie in der Liste Ihr Registrierungsprofil aus.

  4. Wählen Sie Token aus.

Sie können das Token auch so finden:

  1. Suchen Sie Ihr Profil in der Liste, und wählen Sie daneben das Menü Mehr (...) aus.

  2. Wählen Sie Registrierungstoken anzeigen aus.

Das Token wird als achtstellige Zeichenfolge und als QR-Code angezeigt. Verwenden Sie dieses Token, um sich basierend auf den Registrierungsmechanismen zu registrieren, die im Registrierungsdokument für unternehmenseigene Android Enterprise-Geräte beschrieben sind.

Widerrufen oder Exportieren von Token

  • Token widerrufen: Sie können das Token bzw. den QR-Code sofort ablaufen lassen. Von diesem Zeitpunkt an kann das Token bzw. der QR-Code nicht mehr verwendet werden. Sie können diese Option verwenden, wenn Sie:

    • Versehentliches Freigeben des Tokens/QR-Codes für eine nicht autorisierte Partei.
    • Schließen Sie alle Registrierungen ab und benötigen den Token-/QR-Code nicht mehr.
  • Token exportieren: Sie können den JSON-Inhalt des Tokens/QR-Codes exportieren. Sie können diese Option verwenden, um JSON-Inhalte für Zero Touch Enrollment (ZTE) oder Knox Mobile Enrollment (KME) zu kopieren/einzufügen.

Das Widerrufen oder Exportieren eines Tokens/QR-Codes hat keine Auswirkungen auf Geräte, die bereits registriert sind.

  1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
  2. Wählen Sie die Registerkarte Android aus.
  3. Wählen Sie unter AndroidEnterprise-Registrierungsprofile> die Option Unternehmenseigene Geräte mit Arbeitsprofil aus.
  4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
  5. Klicken Sie auf Token.
  6. Klicken Sie auf Token widerrufen>Ja, um das Token zu widerrufen.
  7. Um das Token zu exportieren, wählen Sie Token exportieren aus.

Erstellen einer Gerätegruppe

Sie können Apps und Richtlinien auf zugewiesene oder dynamische Gerätegruppen ausrichten. Sie können dynamische Microsoft Entra Gerätegruppen so konfigurieren, dass Geräte, die mit einem bestimmten Registrierungsprofil registriert sind, automatisch aufgefüllt werden, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wechseln Sie zu Gruppen>Alle Gruppen>Neue Gruppe.
  3. Füllen Sie die erforderlichen Felder wie folgt aus:
    • Gruppentyp: Sicherheit
    • Gruppenname: Geben Sie einen intuitiven Namen ein, z. B . Factory 1-Geräte.
    • Mitgliedschaftstyp: Dynamisches Gerät
  4. Wählen Sie Dynamische Abfrage hinzufügen aus.
  5. Füllen Sie für Dynamische Mitgliedschaftsregeln die Felder wie folgt aus:
    • Regel für dynamische Mitgliedschaft hinzufügen: Einfache Regel
    • Geräte hinzufügen, wobei: enrollmentProfileName
    • Klicken Sie im mittleren Feld auf Ist gleich.
    • Geben Sie im letzten Feld den Namen des Registrierungsprofils ein, das Sie zuvor erstellt haben. Weitere Informationen zu Dynamischen Mitgliedschaftsregeln finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.
  6. Wählen Sie Abfrage hinzufügen>Erstellen aus.

Registrieren von unternehmenseigenen Geräten mit Arbeitsprofil

Benutzer können nun ihre unternehmenseigenen Geräte mit Arbeitsprofil registrieren.

Hinweis

Die Microsoft Intune-App wird während der Registrierung automatisch installiert. Diese App ist für die Registrierung erforderlich und kann nicht deinstalliert werden. Wenn Sie die Intune-Unternehmensportal-App auf einem Gerät bereitstellen und der Benutzer versucht, die App zu starten, wird er an die Microsoft Intune-App umgeleitet, und das Unternehmensportal App-Symbol wird ausgeblendet.

Tokentypen

Wenn Sie das Registrierungsprofil im Admin Center erstellen, müssen Sie einen Tokentyp auswählen. Es gibt zwei Arten von Token. Jeder Typ ermöglicht einen anderen Registrierungsflow.

Das Standardtoken, unternehmenseigenes Arbeitsprofil, registriert Geräte bei Microsoft Intune als unternehmenseigene Android Enterprise-Standardgeräte mit Arbeitsprofilen. Dieses Token erfordert, dass Sie die Schritte vor der Bereitstellung ausführen, bevor Sie die Geräte verteilen. Endbenutzer führen die verbleibenden Schritte auf dem Gerät aus, wenn sie sich mit ihrem Geschäfts-, Schul- oder Unikonto anmelden.

Das Geräte-Stagingtoken, unternehmenseigenes Arbeitsprofil, über staging registriert Geräte bei Microsoft Intune in einem Stagingmodus, sodass Sie oder ein Partneranbieter alle Schritte vor der Bereitstellung ausführen können. Endbenutzer schließen den letzten Schritt der Bereitstellung ab, indem sie sich mit ihrem Geschäfts-, Schul- oder Unikonto bei der Microsoft Intune-App anmelden. Geräte können bei der Anmeldung verwendet werden. Intune unterstützt das Geräte staging für Android Enterprise-Geräte mit Android 8 oder höher.

Weitere Informationen finden Sie unter Übersicht über das Geräte-Staging.

Verwalten von Apps auf unternehmenseigenen Android Enterprise-Geräten mit Arbeitsprofil

Apps werden aus dem verwalteten Google Play Store auf die gleiche Weise installiert wie persönliche Android Enterprise-Arbeitsprofilgeräte.

Apps werden auf verwalteten Geräten automatisch aktualisiert, wenn der App-Entwickler ein Update auf Google Play veröffentlicht.

Um eine App von unternehmenseigenen Android Enterprise-Arbeitsprofilgeräten zu entfernen, haben Sie folgende Möglichkeiten:

  • Löschen Sie die erforderliche App-Bereitstellung.
  • Erstellen Sie eine Deinstallationsdatei für die App.

Begrenzungen

Die Einschränkungen in diesem Abschnitt gelten für unternehmenseigene Geräte mit einem Arbeitsprofil.

Privater Bereich ist ein Feature, das mit Android 15 eingeführt wurde und es Benutzern ermöglicht, auf ihrem Gerät einen Bereich für vertrauliche Apps und Daten zu erstellen, die sie verborgen halten möchten. Der private Raum gilt als persönliches Profil. Microsoft Intune unterstützt die Verwaltung mobiler Geräte im privaten Bereich nicht oder bietet technischen Support für Geräte, die versuchen, den privaten Bereich zu registrieren.

Nächste Schritte