Einrichten der Registrierung für vollständig verwaltete Android Enterprise-Geräte

  • Artikel

Richten Sie die vollständig verwaltete Android Enterprise-Gerätelösung in Microsoft Intune ein, um unternehmenseigene Geräte zu registrieren und zu verwalten. Ein vollständig verwaltetes Gerät ist einem einzelnen Benutzer zugeordnet und für die Arbeit und nicht für den persönlichen Gebrauch bestimmt. Als Intune-Administrator können Sie das gesamte Gerät verwalten und Richtliniensteuerelemente erzwingen, die mit dem Android Enterprise-Arbeitsprofil nicht verfügbar sind, z. B.:

  • App-Installation nur über verwaltetes Google Play zulassen.
  • Benutzer können verwaltete Apps nicht deinstallieren.
  • Verhindern, dass Benutzer Geräte auf Werkseinstellungen zurücksetzen.

Sie und Ihre Gerätebenutzer können die Registrierung initiieren, indem Sie während der Geräteeinrichtung ein Registrierungstoken eingeben oder scannen. In diesem Artikel werden die Voraussetzungen für die Registrierung und das Erstellen von Registrierungsprofilen und Token beschrieben. Am Ende dieses Artikels können Sie Geräte registrieren.

Schritt 1: Voraussetzungen

Erfüllen Sie diese Voraussetzungen, um eine erfolgreiche Registrierung sicherzustellen.

  • Sie müssen über einen eigenständigen Intune-Mandanten verfügen, bei dem die Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) auf Microsoft Intune festgelegt ist.

  • Geräte müssen die folgenden Voraussetzungen erfüllen:

    • Führen Sie Android-Betriebssystemversion 8.0 und höher aus.
    • Führen Sie einen Android-Build aus, der über Google Mobile Services-Konnektivität verfügt.
    • Stellen Sie Google Mobile Services zur Verfügung, und können Sie eine Verbindung damit herstellen.

    Es gibt keine Einschränkung für Gerätehersteller/OEM, wenn alle drei Anforderungen erfüllt sind.

  • Stellen Sie sicher, dass Android Enterprise in Ihrer Region unterstützt wird. Informationen zu Android Enterprise-Anforderungen finden Sie unter Erste Schritte mit Android Enterprise.

  • Verknüpfen Sie Ihr Intune-Mandantenkonto mit Ihrem Android Enterprise-Konto.

  • Der Android-Setupprozess verwendet eine Chrome-Registerkarte, um Gerätebenutzer während der Registrierung zu authentifizieren. Wenn Sie über eine Microsoft Entra Richtlinie für bedingten Zugriff mit den folgenden Konfigurationen verfügen, müssen Sie die Microsoft Intune Cloud-App aus der Richtlinie ausschließen:

    • Erfordern, dass ein Gerät als konform gekennzeichnet ist, wird verwendet, um den Zugriff zu gewähren oder zu blockieren.
    • Die Richtlinie gilt für Alle Cloud-Apps, Android und Browser.

Schritt 2: Erstellen eines neuen Registrierungsprofils

Intune generiert automatisch ein Standardregistrierungsprofil und ein Registrierungstoken für vollständig verwaltete Geräte. Das Standardregistrierungsprofil heißt "Vollständig verwaltetes Standardprofil".

So erstellen Sie ein neues Registrierungsprofil:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wechseln Sie zu Geräteregistrierung>.
  3. Wählen Sie die Registerkarte Android aus.
  4. Wählen Sie unter AndroidEnterprise-Registrierungsprofile> die Option Unternehmenseigene, vollständig verwaltete Benutzergeräte aus.
  5. Wählen Sie unter Benutzern die Registrierung unternehmenseigener Benutzergeräte ermöglichen die Option Ja aus.
  6. Wählen Sie Profil erstellen aus.
  7. Geben Sie die Grundlagen für Ihr Profil ein:
    • Name: Geben Sie dem Profil einen Namen. Notieren Sie sich den Namen für später, da Sie ihn beim Einrichten der dynamischen Gerätegruppe benötigen.
    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
  8. Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.
  9. Wenden Sie optional ein oder mehrere Bereichstags an, um die Sichtbarkeit und Verwaltung des Profils auf bestimmte Administratorbenutzer in Intune zu beschränken. Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.
  10. Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.
  11. Überprüfen Sie die Zusammenfassung Ihres Profils, und wählen Sie dann Erstellen aus, um es abzuschließen.

So überprüfen, ändern oder löschen Sie das Profil:

  1. Wählen Sie das Profil aus.
  2. Wählen Sie Übersicht aus, um die wichtigsten Profildaten zu überprüfen und das Profil zu löschen.
  3. Wählen Sie Eigenschaften>Bearbeiten aus, um Änderungen an den Profilgrundlagen oder Bereichstags vorzunehmen.
  4. Wählen Sie Token aus, um das Token abzurufen, zu widerrufen oder zu exportieren.

Schritt 3: Erstellen einer dynamischen Microsoft Entra Gruppe

Optional können Sie eine dynamische Microsoft Entra Gruppe erstellen, um Geräte automatisch basierend auf einem bestimmten Attribut oder einer bestimmten Variablen zu gruppieren. In diesem Fall möchten wir die enrollmentProfileName -Eigenschaft verwenden, um Geräte zu gruppieren, die sich mit demselben Profil registrieren.

Fügen Sie Ihrer Gruppe diese Konfigurationen hinzu:

  • Gruppentyp: Sicherheit
  • Mitgliedschaftstyp: Dynamisches Gerät
  • Fügen Sie eine dynamische Abfrage mit der folgenden Regel hinzu:

Sie können keine dynamischen Gruppen mit dem Standardregistrierungsprofil verwenden. Weitere Informationen zum Erstellen einer dynamischen Gruppe mit Regeln finden Sie unter Erstellen einer Gruppenmitgliedschaftsregel.

Schritt 4: Registrieren von Geräten

Nachdem Sie nun das Registrierungsprofil, das Token und die dynamische Gruppe eingerichtet haben, können Sie eine der folgenden Bereitstellungsmethoden verwenden, um Geräte als vollständig verwaltet zu registrieren:

  • Near Field Communication (NFC)
  • Tokenzeichenfolge oder QR-Code
  • Zero-Touch-Registrierung
  • Samsung Knox Mobile-Registrierung

Die nächsten Schritte, einschließlich der Registrierung von Geräten mit den einzelnen Bereitstellungsmethoden, finden Sie unter Registrieren unternehmenseigener Android Enterprise-Geräte.