Einrichten der Intune-Registrierung für dedizierte Android Enterprise-Geräte

Android Enterprise unterstützt unternehmenseigene, einmalige Kioskgeräte mit seiner dedizierten Gerätelösung. Diese Geräte werden für einen einzigen Zweck verwendet, z. B. digitale Beschilderung, Ticketdruck oder Bestandsverwaltung. Administratoren können die Nutzung eines Geräts auf eine einzige App oder eine begrenzte Gruppe von Apps (einschließlich Web-Apps) beschränken. Benutzer werden daran gehindert, andere Apps hinzuzufügen oder Aktionen auf dem Gerät auszuführen, es sei denn, dies wird explizit von Administratoren genehmigt.

Geräte, die für dedizierte Zwecke bestimmt sind, können in Microsoft Intune auf zwei verschiedene Arten registriert werden:

• Als dediziertes Android Enterprise-Standardgerät: Diese Geräte werden ohne Benutzerkonto bei Intune registriert und sind keinem Benutzer zugeordnet. Diese Geräte sind nicht für persönliche Apps oder Apps wie Outlook oder Gmail vorgesehen, die benutzerspezifische Kontodaten erfordern.

• Als dediziertes Android Enterprise-Standardgerät, das automatisch mit Microsoft Authenticator eingerichtet und während der Registrierung für Microsoft Entra Modus für gemeinsam genutzte Geräte konfiguriert wird. Diese Geräte sind in Intune ohne Benutzerkonto registriert und keinem Benutzer zugeordnet. Diese Geräte sind für die Verwendung mit Apps vorgesehen, die in Microsoft Entra Modus für gemeinsam genutzte Geräte integriert werden können, und ermöglichen das einmalige Anmelden und Abmelden zwischen Benutzern in allen teilnehmenden Apps.

In diesem Artikel wird beschrieben, wie Sie Microsoft Intune zum Registrieren dedizierter Geräte einrichten und konfigurieren. Weitere Informationen zu Android Enterprise-Verwaltungslösungen finden Sie unter Erste Schritte mit Android Enterprise (öffnet android Enterprise Help Center).

Geräteanforderungen

Geräte müssen über Folgendes verfügen:

• Android-Betriebssystemversion 8.0 oder höher.
• Eine Android-Distribution mit GmS-Konnektivität (Google Mobile Services). Geräte müssen über GMS verfügen und dazu in der Lage sein, eine Verbindung mit GMS herzustellen.

Einrichten der Verwaltung von dedizierten Android Enterprise-Geräten

Führen Sie die folgenden Schritte aus, um die Verwaltung für dedizierte Android Enterprise-Geräte einzurichten:

1. Sie müssen Microsoft Intune als MDM-Autorität (Verwaltung mobiler Geräte) festlegen, um die Verwaltung mobiler Geräte vorzubereiten. Sie legen dieses Element nur einmal fest, wenn Sie die Ersteinrichtung von Intune für die Verwaltung mobiler Geräte durchführen.
2. Verknüpfen Sie Ihr Intune-Mandantenkonto mit Ihrem verwalteten Google Play-Konto.
3. Erstellen Sie ein Registrierungsprofil.
4. Erstellen Sie eine Gerätegruppe.
5. Registrieren Sie die dedizierten Geräte.

Erstellen eines Registrierungsprofils

Hinweis

Nach Ablauf eines Tokens verschwindet das zugeordnete Profil in der Android-Registrierung>unternehmenseigene dedizierte Geräte. Um alle Profile anzuzeigen, die sowohl aktiven als auch inaktiven Token zugeordnet sind, wählen Sie Filter aus. Aktivieren Sie dann die Kontrollkästchen für die Richtlinienstatus Aktiv und Inaktiv .

Sie müssen ein Registrierungsprofil erstellen, damit Sie Ihre dedizierten Geräte registrieren können. Wenn das Profil erstellt wird, erhalten Sie ein Registrierungstoken in Form einer Zeichenfolge und eines QR-Codes.

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wechseln Sie zu Geräteregistrierung>.
3. Wählen Sie die Registerkarte Android aus.
4. Wählen Sie im Abschnitt Registrierungsprofile die Option Unternehmenseigene dedizierte Geräte aus.
5. Wählen Sie Profil erstellen aus.
6. Geben Sie die Grundlagen für Ihr Profil ein:
   • Name: Geben Sie Ihrem Profil einen Namen, damit Sie es später leicht identifizieren können.
   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
   • Tokentyp: Wählen Sie den Tokentyp aus, den Sie zum Registrieren dedizierter Geräte verwenden möchten.
     • Unternehmenseigenes dediziertes Gerät (Standard): Dieses Token registriert Geräte als dediziertes Android Enterprise Standardgerät. Für diese Geräte sind keine Benutzeranmeldeinformationen erforderlich. Hierbei handelt es sich um den Standardtokentyp, mit dem dedizierte Geräte registriert werden, es sei denn, sie werden bei der Erstellung des Tokens von einem Administrator geändert.
     • Unternehmenseigenes dediziertes Gerät mit Microsoft Entra ID gemeinsam genutzten Modus: Dieses Token registriert Geräte als dediziertes Android Enterprise-Standardgerät und stellt während der Registrierung die Authenticator-App von Microsoft bereit, die in Microsoft Entra Modus für gemeinsam genutzte Geräte konfiguriert ist. Mit dieser Option können Benutzer einmaliges Anmelden und einmaliges Abmelden für Apps auf dem Gerät erreichen, die in die Microsoft Entra Microsoft-Authentifizierungsbibliothek und globale Anmelde-/Abmeldeaufrufe integriert sind.
   • Tokenablaufdatum: Geben Sie das Datum ein, an dem das Token bis zu 65 Jahre in der Zukunft abläuft. Das Token läuft am ausgewählten Datum um 12:59:59 Uhr in der Zeitzone ab, die es erstellt wurde. Zulässiges Datumsformat: MM/DD/YYYY oder YYYY-MM-DD
7. Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.
8. Wenden Sie optional ein oder mehrere Bereichstags an, um die Sichtbarkeit und Verwaltung des Profils auf bestimmte Administratorbenutzer in Intune zu beschränken. Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.
9. Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.
10. Überprüfen Sie Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.

Zugriffsregistrierungstoken

Greifen Sie im Admin Center auf das Registrierungstoken zu.

1. Wechseln Sie zu Geräteregistrierung>.
2. Wählen Sie die Registerkarte Android aus.
3. Wählen Sie im Abschnitt Registrierungsprofile die Option Unternehmenseigene dedizierte Geräte aus.
4. Wählen Sie in der Liste Ihr Registrierungsprofil aus.
5. Wählen Sie Token aus.

Das Token wird als 20-stellige Zeichenfolge und als QR-Code angezeigt. Verwenden Sie dieses Token, um Geräte über die unter Registrieren dedizierter, vollständig verwalteter oder unternehmenseigener Arbeitsprofilgeräte beschriebenen Mechanismen zu registrieren. Zum Zeitpunkt der Registrierung wird der Gerätebenutzer zur Eingabe des Registrierungstokens aufgefordert. Sie können die Zeichenfolge oder qr angeben, solange sie vom Android-Betriebssystem und der Version des registrierenden Geräts unterstützt wird.

Ersetzen, Entfernen oder Exportieren von Token

Wählen Sie ein Token aus, um auf diese Optionen zuzugreifen:

• Token ersetzen: Generieren Sie ein neues Token, das sich dem Ablauf nähert.
• Token widerrufen: Das Token läuft sofort ab. Nach dem Widerrufen kann das Token nicht mehr verwendet werden. Diese Option ist nützlich, wenn Sie:
  • Versehentliches Freigeben des Tokens für eine nicht autorisierte Partei.
  • Schließen Sie alle Registrierungen ab, und benötigen Sie das Token nicht mehr.
• Token exportieren: Exportieren Sie den JSON-Inhalt des Tokens. Diese Option ist nützlich, um den JSON-Inhalt abzurufen, der zum Konfigurieren von Google Zero Touch oder Knox Mobile Enrollment benötigt wird.

Wenn diese Aktionen angewendet werden, haben sie keine Auswirkungen auf Geräte, die bereits registriert sind.

Erstellen einer Gerätegruppe

Sie können Apps und Richtlinien auf zugewiesene oder dynamische Gerätegruppen ausrichten. Sie können dynamische Microsoft Entra Gerätegruppen so konfigurieren, dass Geräte, die mit einem bestimmten Registrierungsprofil registriert sind, automatisch aufgefüllt werden, indem Sie die folgenden Schritte ausführen:

1. Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.
2. Füllen Sie auf dem Blatt Gruppe die erforderlichen Felder wie folgt aus:
   • Gruppentyp: Sicherheit
   • Gruppenname: Geben Sie einen aussagekräftigen Namen ein (z.B. Factory 1-Geräte)
   • Mitgliedschaftstyp: Dynamisches Gerät
3. Klicken Sie auf Dynamische Abfrage hinzufügen.
4. Füllen Sie die Felder auf dem Blatt Dynamische Mitgliedschaftsregeln wie folgt aus:
   • Regel für dynamische Mitgliedschaft hinzufügen: Einfache Regel
   • Geräte hinzufügen, wobei: enrollmentProfileName
   • Klicken Sie im mittleren Feld auf Ist gleich.
   • Geben Sie im letzten Feld den Namen des Registrierungsprofils ein, das Sie zuvor erstellt haben. Weitere Informationen zu Dynamischen Mitgliedschaftsregeln finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.
5. Wählen Sie Abfrage hinzufügen>Erstellen aus.

Registrieren der dedizierten Geräte

Sie können jetzt Ihre dedizierten Geräte registrieren.

Hinweis

Während der Registrierung eines dedizierten Geräts wird die Microsoft Intune-App automatisch installiert. Die App ist für die Registrierung erforderlich und kann nicht deinstalliert werden. Die Microsoft Authenticator-App wird bei der Registrierung eines dedizierten Geräts automatisch installiert, wenn der Tokentyp Unternehmenseigenes dediziertes Gerät mit Microsoft Entra ID freigegebenen Modus verwendet wird. Die App ist für diese Registrierungsmethode erforderlich und kann nicht deinstalliert werden.

Verwalten von Apps auf dedizierten Android Enterprise-Geräten

Nur Apps, deren Zuweisungstyp auf Erforderlich festgelegt ist, können auf dedizierten Android Enterprise-Geräten installiert werden. Apps werden aus dem verwalteten Google Play Store auf die gleiche Weise installiert wie persönliche und unternehmenseigene Android Enterprise-Arbeitsprofilgeräte.

Apps werden auf verwalteten Geräten automatisch aktualisiert, wenn der App-Entwickler ein Update auf Google Play veröffentlicht.

Sie können eine der folgenden Aktionen durchführen, um eine App von dedizierten Android Enterprise-Geräten zu entfernen:

• Löschen Sie die erforderliche App-Bereitstellung.
• Erstellen Sie eine Deinstallationsdatei für die App.

Nächste Schritte

• Bereitstellen von Android-Apps
• Hinzufügen von Android-Konfigurationsrichtlinien