Einrichten der Intune-Registrierung für unternehmenseigene Geräte mit Benutzer unter Android (AOSP)

Richten Sie die Registrierung in Intune für unternehmenseigene Geräte mit Benutzer ein, die auf der Android Open Source Project (AOSP)-Plattform basieren. Intune bietet eine Android (AOSP)-Geräteverwaltungslösung für unternehmenseigene Android-Geräte an, bei denen Folgendes gilt:

• Sind nicht in Google Mobile Services integriert.
• Vorgesehen für die Verwendung durch einen einzelnen Benutzer.
• Wird ausschließlich für die Arbeit verwendet.

In diesem Artikel wird beschrieben, wie Sie die Android-Geräteverwaltung (AOSP) einrichten und AOSP-Geräte für die Verwendung bei der Arbeit registrieren.

Voraussetzungen

Hinweis

Ab dem 1. Oktober müssen AOSP-Geräte über die Microsoft Intune-App, Version 24.7.0 oder höher, verfügen, damit sie mit dem Microsoft Intune-Dienst synchronisiert werden können.

Zum Registrieren und Verwalten von AOSP-Geräten benötigen Sie Folgendes:

• Einen aktiven Microsoft Intune-Mandanten.
• Ein unterstütztes Gerät.

Außerdem müssen Sie folgende Schritte ausführen:

• Legen Sie Microsoft Intune als Autorität für die mobile Geräteverwaltung (Mobile Device Management, MDM) in Ihrem Mandanten fest. Sie müssen diesen Schritt nur einmal ausführen, und zwar wenn Sie Intune für die Verwaltung mobiler Geräte zum ersten Mal einrichten.

• Weisen Sie allen spezialisierten Gerätebenutzern gültige Lizenzen zu. Weitere Informationen finden Sie unter Microsoft Intune Lizenzierung und Verwalten von Spezialgeräten mit Microsoft Intune.

Erstellen eines Anmeldungsprofils

Erstellen Sie ein Registrierungsprofil, um die Registrierung auf Geräten zu ermöglichen.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wechseln Sie zu Geräteregistrierung>.

3. Wählen Sie die Registerkarte Android aus.

4. Wählen Sie unter Android Open Source Project (AOSP)die Option Unternehmenseigene, benutzerseitig zugeordnete Geräte aus.

5. Wählen Sie Profil erstellen aus.

6. Geben Sie die Grundlagen für Ihr Profil ein:

   • Name: Geben Sie dem Profil einen Namen. Notieren Sie sich den Namen für später, da Sie ihn beim Einrichten der dynamischen Gerätegruppe benötigen.

   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

   • Tokenablaufdatum: Wählen Sie das Datum aus, an dem das Token abläuft, das bis zu 65 Jahre in der Zukunft betragen kann.

   • SSID: Identifiziert das Netzwerk, mit dem das Gerät eine Verbindung herstellt.

     Hinweis

     Wi-Fi Details sind erforderlich, wenn das Gerät über keine Schaltfläche oder Option verfügt, mit der es automatisch eine Verbindung mit einem Netzwerk herstellen kann.

   • Ausgeblendetes Netzwerk: Wählen Sie aus, ob es sich um ein ausgeblendetes Netzwerk handelt. Diese Einstellung ist standardmäßig deaktiviert, was bedeutet, dass das Netzwerk seine SSID übertragen kann.

   • WLAN-Typ: Wählen Sie den für dieses Netzwerk erforderlichen Authentifizierungstyp aus.

     Wenn Sie WEP Pre-Shared Key oder WPA Pre-Shared Key auswählen, geben Sie auch Folgendes ein:

     • Vorinstallierter Schlüssel: Der vorinstallierte Schlüssel, der für die Authentifizierung beim Netzwerk verwendet wird.

   • Für Microsoft Teams-Geräte: Wählen Sie Aktiviert aus, wenn dieses Profil für Microsoft Teams Android-Geräte gilt. Diese Einstellung sollte nur für Microsoft Teams Android-Geräte verwendet werden. Sie können diese Einstellung in einem Registrierungsprofil pro Mandant aktivieren.

   • Benennungsvorlage: Das Standardverhalten benennt Geräte mithilfe von Eigenschaften des Geräts, z. B. Registrierungstyp, Geräte-ID und Zeitpunkt der Registrierung. Beispiel: EricSolomon_AndroidAOSP_05/02/2025_17:09 PM

     So erstellen Sie eine benutzerdefinierte Benennungsvorlage:

     1. Wählen Sie unter Vorlage für Gerätenamen anwenden die Option Ja aus.
     2. Geben Sie die Benennungsvorlage ein, die Sie auf die Geräte anwenden möchten. Namen können Buchstaben, Zahlen und Bindestriche enthalten.

     Sie können die folgenden Zeichenfolgen verwenden, um Ihre Benennungsvorlage zu erstellen. Intune ersetzt die Zeichenfolgen durch gerätespezifische Werte.

     • {{SERIAL}} für die Seriennummer des Geräts.
     • {{SERIALLAST4DIGITS}} für die letzten 4 Ziffern der Seriennummer des Geräts.
     • {{DEVICETYPE}} für den Gerätetyp, Beispiel: AndroidAOSP
     • {{ENROLLMENTDATETIME}} für das Datum und die Uhrzeit der Registrierung.
     • {{UPNPREFIX}} für den Vornamen des Benutzers. Beispiel: Eric, wenn das Gerät einem Benutzer zugeordnet ist.
     • {{USERNAME}} für den Benutzernamen des Benutzers, wenn das Gerät dem Benutzer zugeordnet ist. Beispiel: Eric Solomon
     • {{RAND:x}} für eine zufällige Zeichenfolge von Zahlen, wobei x zwischen 1 und 9 liegt und die Anzahl der hinzuzufügenden Ziffern angibt. Intune fügt die Zufälligen Ziffern am Ende des Namens hinzu.

     Änderungen an der Benennungsvorlage gelten nur für neue Registrierungen.

7. Wählen Sie Weiter und – optional – Bereichsmarkierungen aus.

8. Wählen Sie Weiter aus. Überprüfen Sie die Details Ihres Profils, und wählen Sie dann Erstellen aus, um das Profil zu speichern.

Zugriffsregistrierungstoken

Nachdem Sie ein Profil erstellt haben, generiert Intune ein Token, das für die Registrierung benötigt wird. Das Token wird als QR-Code angezeigt. Scannen Sie während der Geräteeinrichtung bei der entsprechenden Aufforderung den QR-Code, um das Gerät in Intune zu registrieren.

Um das Token als QR-Code anzuzeigen, wählen Sie In der Registrierungsprofilliste Ihr Registrierungsprofil aus. Wählen Sie dann Token aus.
Sie können auch die JSON-Datei des Registrierungsprofils exportieren. Um eine JSON-Datei zu erstellen, wählen Sie Exportieren aus.

Wichtig

• Der QR-Code enthält alle im Profil bereitgestellten Anmeldeinformationen im Klartext, damit sich das Gerät erfolgreich beim Netzwerk authentifizieren kann. Dies ist erforderlich, da der Benutzer nicht über das Gerät in ein Netzwerk eingebunden werden kann.
• Erwägen Sie die Verwendung eines Stagingnetzwerks mit eingeschränkten Berechtigungen für die Bereitstellung von Geräten und den Abschluss des Registrierungsprozesses. Sie können beispielsweise ein mit dem Internet verbundenes Netzwerk mit eingeschränkten Berechtigungen und keinem Unternehmenszugriff verwenden, um die ersteinrichtung durchzuführen.
• Auf RealWear-Geräten sollten Sie die erstmalige Einrichtung überspringen. Der Intune QR-Code ist das einzige, was Sie zum Einrichten des Geräts benötigen.

Ersetzen eines Tokens

Sie können ein neues Token generieren, um ein Token zu ersetzen, das sich dem Ablaufdatum nähert. Das Ersatztoken wirkt sich nicht auf Geräte aus, die bereits registriert sind.

1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
2. Wählen Sie die Registerkarte Android aus.
3. Wählen Sie im Abschnitt Android Open Source Project (AOSP)die Option Unternehmenseigene, benutzerseitig zugeordnete Geräte aus.
4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
5. Wählen Sie Token>Token ersetzen aus.
6. Geben Sie das neue Ablaufdatum des Tokens ein, das bis zu 65 Jahre in der Zukunft betragen kann.
7. Wählen Sie OK aus.

Widerrufen eines Tokens

Widerrufen Sie ein Token, damit es sofort abläuft und unbrauchbar wird. Beispielsweise ist es in folgenden Fällen sinnvoll, ein Token zu widerrufen:

• Sie haben das Token bzw. den QR-Code für nicht autorisierte Personen versehentlich freigegeben.
• Sie haben alle Registrierungen abgeschlossen und benötigen das Token nicht mehr.

Das Widerrufen eines Tokens hat keine Auswirkungen auf Geräte, die bereits registriert sind.

1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
2. Wählen Sie die Registerkarte Android aus.
3. Wählen Sie im Abschnitt Android Open Source Project (AOSP)die Option Unternehmenseigene, benutzerseitig zugeordnete Geräte aus.
4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
5. Wählen Sie Token>Token widerrufen>Ja aus.

Erstellen einer Gerätegruppe

Sie können in Intune zugewiesene Gerätegruppen oder dynamische Gerätegruppen erstellen. Weitere Informationen zu Gruppen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Dynamische Gerätegruppen sind so konfiguriert, dass Geräte – basierend auf einer Reihe von Regeln und Parametern – automatisch hinzugefügt und entfernt werden. Beispielsweise können Sie Geräte nach dem Namen des Registrierungsprofils gruppieren.

Führen Sie die folgenden Schritte aus, um eine dynamische Microsoft Entra Gerätegruppe für Geräte zu erstellen, die mit einem unternehmenseigenen, benutzerseitig zugeordneten Android-Registrierungsprofil (AOSP) registriert sind.

1. Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.

2. Füllen Sie auf dem Blatt Gruppe die erforderlichen Felder wie folgt aus:

   • Gruppentyp: Sicherheit
   • Gruppenname: Geben Sie einen aussagekräftigen Namen ein (z.B. Factory 1-Geräte)
   • Mitgliedschaftstyp: Dynamisches Gerät

3. Klicken Sie auf Dynamische Abfrage hinzufügen.

4. Füllen Sie die Felder auf dem Blatt Dynamische Mitgliedschaftsregeln wie folgt aus:

   • Regel für dynamische Mitgliedschaft hinzufügen: Einfache Regel
   • Geräte hinzufügen, wobei: enrollmentProfileName
   • Klicken Sie im mittleren Feld auf Ist gleich.
   • Geben Sie im letzten Feld den Namen des Registrierungsprofils ein, das Sie zuvor erstellt haben.

   Weitere Informationen zu Dynamischen Mitgliedschaftsregeln finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.

5. Wählen Sie Abfrage hinzufügen>Erstellen aus.

Registrieren von Geräten per QR-Code

Nachdem Sie die Registrierungsprofile für Android (AOSP) eingerichtet und zugewiesen haben, können Sie Geräte über QR-Code registrieren.

1. Schalten Sie Ihr neues oder auf Werkseinstellungen zurückgesetztes Gerät ein.

2. Wenn Sie vom Gerät dazu aufgefordert werden, scannen Sie den QR-Code des Tokens.

Tipp

Um auf das Token in Intune zuzugreifen, wechseln Sie zu Geräteregistrierung>. Wählen Sie dann die Registerkarte > *AndroidUnternehmenseigene, benutzerseitig zugeordnete Geräte aus. Wählen Sie Ihr Registrierungsprofil und dann Token aus.

3. Durchlaufen Sie schrittweise die Eingabeaufforderungen auf dem Bildschirm, um die Registrierung des Geräts abzuschließen. Die folgenden Apps werden in diesem Zeitraum automatisch installiert und für die Registrierung verwendet:

   • Microsoft Intune-App
   • Intune-Unternehmensportal-App
   • Microsoft Authenticator-App

Informationen zur Verwendung von JSON zum Registrieren von Geräten finden Sie in den Anweisungen des Geräteherstellers.

Nach der Registrierung

Aktualisierung von Apps

Die Microsoft Intune-App aktualisiert sich automatisch selbst. Wenn ein Update verfügbar wird, wird die Intune-App geschlossen und das Update installiert. Die App muss zum Installieren des Updates geschlossen bleiben. Die App installiert auch Updates für Microsoft Authenticator und die Unternehmensportal-App.

Remoteverwaltung von Geräten

Die folgenden Remoteaktionen sind für Android (AOSP)-Geräte verfügbar:

• Wischen
• Löschen

Sie können auf einem Gerät jeweils eine Aktion ausführen. Wenn Sie Informationen dazu benötigen, wo Sie Remoteaktionen in Intune finden können, lesen Sie Entfernen von Geräten durch Zurücksetzen, Abkoppeln oder manuelles Aufheben der Registrierung des Geräts.

Hinweis

Nachdem Sie ein Android (AOSP)-Gerät zurückgesetzt haben, verbleibt es so lange im Zustand Ausstehend, bis es auf seine werkseitigen Standardeinstellungen vollständig wiederhergestellt wurde. Anschließend wird es von Intune aus der Geräteliste entfernt. Wenn Sie ein Gerät löschen, wird es sofort – ohne den Status „Ausstehend“ – aus der Geräteliste entfernt, und die Zurücksetzung auf die Werkseinstellungen geschieht bei seinem nächsten Einchecken.

Problembehandlung

Anzeigen von App-Versionen

So finden Sie heraus, welche Version der Microsoft Intune-App oder der Microsoft Authenticator-App auf einem Gerät installiert ist.

1. Wechseln Sie zu Geräte, und wählen Sie den Gerätenamen aus.
2. Wählen Sie Ermittelte Apps aus.
3. Suchen Sie Ihre App und dann in der Spalte Anwendungsversion nach der Versionsnummer.

Problembehandlung + Support

Wählen Sie problembehandlung + Support im Admin Center aus, um:

• Anzeigen einer Liste der von einem Benutzer registrierten Android (AOSP)-Geräte
• Aktivieren Sie die Problembehandlung für Android (AOSP)-Geräte auf die gleiche Weise wie bei anderen Benutzergeräten.

Freigeben von App-Protokollen für Microsoft

Wenn Sie Probleme mit der Registrierung oder dem Zugriff auf Arbeitsressourcen haben, können Sie Diagnoseprotokolle für Microsoft in der Intune-App oder Unternehmensportal-App freigeben. Nachdem Sie die Protokolle übermittelt haben, erhalten Sie eine Vorfall-ID, die Sie mit Ihrer Microsoft-Supportperson teilen können.

Bekannte Einschränkungen

Beim Arbeiten mit AOSP-Geräten in Intune gibt es die folgenden bekannten Einschränkungen :

• Sie können bestimmte Kennworttypen nicht über Gerätekonformitäts- und Geräteeinschränkungsprofile erzwingen. Zu den Kennworttypen gehören:
  • Kennwort erforderlich, keine Einschränkung
  • Alphabetisch
  • Alphanumerisch
  • Alphanumerisch mit Symbolen
  • Schwach biometrisch
• Die Berichterstellung zur Gerätekonformität ist für Android (AOSP) nicht verfügbar.
• Die Verwaltung von Android (AOSP) wird nicht mit Intune unterstützt, die von 21Vianet betrieben werden.

Nächste Schritte

• Erstellen Sie eine Android (AOSP)-Gerätekonfigurationsrichtlinie, um Einstellungen auf Geräten einzuschränken.

• Erstellen Sie eine Android (AOSP)-Gerätecompliancerichtlinie.

• Erstellen Sie eine Richtlinie, die erfordert, dass Benutzer Ihre Geschäftsbedingungen vor der Registrierung akzeptieren.

• Weitere Informationen zu den ersten Schritten mit AOSP finden Sie unter Android-Quellanforderungen (öffnet die Android-Quelldokumentation).