Freigeben über

End-to-End-Leitfaden zum Konfigurieren von Android-Unternehmensgeräten in Microsoft Intune

Dieses Handbuch hilft Administratoren zu verstehen, wie Sie Android-Unternehmensgeräte in einer Microsoft Intune-Umgebung konfigurieren und behandeln. Es behandelt die folgenden gängigen Szenarien:

  • Onboarding bei Google
  • Anwendungsbereitstellung
  • Aktivieren der Arbeitsprofilregistrierung
  • Konfigurieren des bedingten Zugriffs
  • Die Endbenutzerumgebung für die Registrierung von Arbeitsprofilen
  • Ausstellen eines Arbeitsprofilkennungszurücksetzungs

Es hilft Ihnen, zu entscheiden, welche Verwaltungsfunktion für Ihre Organisation am besten geeignet ist und bietet häufig gestellte Fragen zu Android Enterprise.

Bewerten Ihrer Anforderungen

Bevor Sie Android-Unternehmensgeräte in Intune aktivieren, müssen Sie bestimmen, ob Sie diese Geräte als persönliche Geräte (Bring Your Own Device, BYOD) oder als Unternehmensgeräte registrieren möchten.

BYOD-Geräte

BYOD-Geräte sind für ein Android Enterprise-Arbeitsprofil eingerichtet. Dieses Feature ist in Android 5.1 und höhere Versionen integriert. Mit diesem Feature können Arbeits-Apps und -Daten in einem separaten, eigenständigen, vom Unternehmen verwalteten Speicherplatz auf dem Gerät gespeichert werden. Da persönliche Apps und Daten auf dem Gerät innerhalb des persönlichen Profils des Benutzers verbleiben, können Mitarbeiter ihr Gerät weiterhin wie üblich verwenden.

Unternehmensgeräte

Es gibt zwei Optionen für unternehmenseigene Geräte, und jeder von ihnen dient einem einzigartigen Anwendungsfall:

  • Dedizierte Geräte (früher als COSU bezeichnet oder unternehmenseigene Single Use).

    Notiz

    Das in diesem Handbuch verwendete Beispiel konzentriert sich auf BYOD-Szenarien. Weitere Informationen zu dedizierten Geräten (COSU)-Szenarien finden Sie unter COSU-Konfiguration und -Registrierung mithilfe der QR-Code-Registrierungsmethode.

    Dedizierte Geräte sind in der Regel auf eine einzelne App oder eine Gruppe von Apps (auch als Kioskmodus bezeichnet) gesperrt. Er ermöglicht es dem Administrator, Dinge wie die Statusleiste, Tastaturlayouts, den Sperrbildschirm und andere Einstellungen auf dem Gerät zu steuern. Sie verhindert, dass Benutzer andere Apps aktivieren oder bestimmte Einstellungen auf dedizierten Geräten ändern.

    Notiz

    Geräte, die Sie auf diese Weise verwalten, werden ohne ein Benutzerkonto in Intune registriert und sind keinem Endbenutzer zugeordnet. Sie sind nicht für persönliche Anwendungen oder Apps vorgesehen, die eine starke Anforderung für benutzerspezifische Kontodaten wie Outlook oder Gmail haben.

  • Vollständig verwaltete Geräte (früher als COBO bezeichnet oder nur unternehmenseigenes Unternehmen).

    Notiz

    Weitere Informationen zu vollständig verwalteten Geräten finden Sie unter Einrichten der Intune-Registrierung von vollständig verwalteten Android Enterprise-Geräten.

    Vollständig verwaltete Geräte passen in ein benutzerorientiertes Szenario. Ein einzelner Benutzer ist dem Gerät zugeordnet, während der Administrator weiterhin die vollständige Kontrolle über das Gerät behält (im Gegensatz zu einem Arbeitsprofilszenario, in dem mehrere Benutzer kontrolle haben).

Wenn Sie entscheiden, wie Sie Ihre Geräte registrieren, beachten Sie, dass nicht alle Features für beide Methoden verfügbar sind. In der folgenden Tabelle sind einige wichtige Unterschiede aufgeführt.

Funktionsumfang Arbeitsprofil (BYOD) Dedizierter (Kiosk) Vollständige Verwaltung
Verwaltetes E-Mail-Profil ×
Verwaltetes WLAN-Profil
Verwaltetes VPN-Profil ×
SCEP-Zertifikatprofil
PKCS-Zertifikatprofil ×
Vertrauenswürdiges Zertifikatprofil
Benutzerdefiniertes Profil × x
Zurücksetzen auf Werkseinstellungen verhindern ×
Kamera- und Bildschirmaufnahme blockieren
Schaltflächen "Lautstärke blockieren" ×
Kopieren und Einfügen/Datenfreigabe blockieren
Verwaltetes Kennwort
Verwaltete Anwendungen (erforderlich)
Verwaltete Anwendungen (verfügbar) ×
Containerisiertes Profil × x
Kioskebene Geräteverwaltung × x
Persönliche Geräteverwaltung × x
NFC-basierte Registrierung ×
Tokenbasierte Registrierung ×
QR-Codebasierte Registrierung ×
Zero Touch ×
Compliance/Bedingter Zugriff ×

Weitere Informationen finden Sie unter Implementieren Ihres Microsoft Intune-Plans.

Verbinden eines Intune-Kontos mit einem Android-Enterprise-Konto

Der erste Schritt zum Konfigurieren von Android Enterprise in Ihrer Umgebung besteht darin, Ihr Intune-Mandantenkonto mit Ihrem Android-Enterprise-Konto zu verbinden:

  1. Erstellen Sie ein Google-Dienstkonto (@gmail.com).

    Notiz

    Dieses Konto wird allen Android-Unternehmensverwaltungsaufgaben für Ihren Mandanten zugeordnet. Es ist das Google-Konto, das die IT-Administratoren Ihres Unternehmens teilen, um Apps in der Google Play-Konsole zu verwalten und zu veröffentlichen. Sie können ein vorhandenes Google-Konto verwenden oder ein neues Konto erstellen. Das konto, das Sie verwenden, darf nicht einer G-Suite-Domäne zugeordnet werden.

  2. Melden Sie sich mit Ihrem intune lizenzierten globalen Administratorkonto beim Microsoft Intune Admin Center an.

  3. Wechseln Sie zu "Geräte>Android Android>Enrollment>Managed Google Play", wählen Sie "Ich stimme zu" und wählen Sie dann "Google starten" aus, um jetzt eine Verbindung herzustellen, um die Managed Google Play-Website zu öffnen.

    Screenshot der Seite

  4. Melden Sie sich bei Ihrem Google-Konto an, und wählen Sie dann "Erste Schritte" aus.

    Wählen Sie die Seite

  5. Geben Sie Ihren Unternehmensnamen ein, und wählen Sie dann "Weiter" aus.

    Geben Sie Ihre Unternehmensnamenseite ein.

  6. Akzeptieren Sie die Bedingungen, und wählen Sie dann "Bestätigen" aus.

  7. Wählen Sie "Registrierung abschließen" aus.

    Wählen Sie die Seite

Weitere Informationen finden Sie unter Verbinden Ihres Intune-Kontos mit Ihrem verwalteten Google Play-Konto.

Bereitstellen von Anwendungen

Nachdem Ihr Intune-Konto mit Ihrem Android-Enterprise-Konto verbunden ist, können Sie einige Anwendungen bereitstellen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich mit Ihrem intune lizenzierten globalen Administratorkonto beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu "Alle Apps>>hinzufügen".

  3. Suchen Sie im Bereich "App-Typ auswählen" die verfügbaren Store-App-Typen , und wählen Sie dann verwaltete Google Play-App aus.

  4. Wählen Sie Auswählen. Der Verwaltete Google Play-App-Store wird angezeigt.

    Der Verwaltete Google Play-App-Store.

  5. Suchen Sie nach einer App, um die App-Details anzuzeigen. Beispiel: Intune-Unternehmensportal-App.

  6. Wählen Sie auf der Seite, auf der die App angezeigt wird, die Option "Genehmigen" aus. Ein Fenster für die App wird geöffnet und fordert Sie auf, berechtigungen für die App zum Ausführen verschiedener Vorgänge zu erteilen.

    Wählen Sie im Beispiel Intune-Unternehmensportal

  7. Wählen Sie erneut "Genehmigen" aus, um die App-Berechtigungen zu akzeptieren.

    Wählen Sie erneut

  8. Wählen Sie auf der Registerkarte "Genehmigungseinstellungen" die Option "Genehmigt beibehalten" aus, wenn die App neue Berechtigungen anfordert, und wählen Sie dann "Speichern" aus.

    Wählen Sie

  9. Klicken Sie auf "Auswählen ", um die App auszuwählen.

  10. Wählen Sie oben "Synchronisieren" aus, um die App mit dem verwalteten Google Play-Dienst zu synchronisieren.

  11. Wählen Sie "Aktualisieren" aus, um die App-Liste zu aktualisieren und die neu hinzugefügte App anzuzeigen.

    Notiz

    Die App-Synchronisierung zwischen Intune und dem verwalteten Google Play Store erfolgt manuell. Daher müssen Sie jedes Mal, wenn Sie eine neue App genehmigen, die Schaltfläche "Synchronisieren " auswählen.

  12. Nachdem die App Microsoft Intune hinzugefügt wurde, können Sie die App Benutzern und Geräten zuweisen. Wechseln Sie im Microsoft Intune Admin Center zu "Alle Apps>". Suchen Sie unter "Verwalten" , um die in der Liste angezeigte App anzuzeigen.

    Seite

  13. Um die App einer Gruppe zuzuweisen, wählen Sie die App aus, die Sie zuweisen möchten. Wählen Sie im Abschnitt "Verwalten" des Menüs "Eigenschaften" und dann "Bearbeiten" neben "Aufgaben" aus, um den Gruppenbereich "Hinzufügen" zu öffnen.

    Wählen Sie

  14. Wählen Sie auf der Registerkarte "Aufgaben " unter "Erforderlich" die Option "Gruppe hinzufügen" aus, wählen Sie die einzuschließden Gruppen und dann " Auswählen" aus.

    Wählen Sie

  15. Wählen Sie im Bereich "Zuweisen " die Option "Überprüfen" und "Speichern " aus, um die auswahl der enthaltenen Gruppen abzuschließen.

  16. Wählen Sie im Bereich "Aufgaben " die Option "Speichern" aus, um Ihre Änderungen zu speichern.

  17. Kehren Sie zur Ansicht "App-Eigenschaften" zurück, und überprüfen Sie die App unter "Aufgaben".

    Bestätigen Sie die App-Zuweisung.

Weitere Informationen zur App-Bereitstellung finden Sie unter Hinzufügen von Android Enterprise-System-Apps zu Microsoft Intune.

Aktivieren der Registrierung von Android-Unternehmensarbeitsprofilen

  1. Wechseln Sie im Intune-Portal zu Den Einschränkungen für die Geräteregistrierung>, und wählen Sie dann unter Gerätetypeinschränkungen die Option "Standard" aus.

    Der Bildschirm

  2. Wählen Sie "Eigenschaften>auswählen"-Plattformen aus, wählen Sie "Für Android blockieren", dann "Für Android-Arbeitsprofil zulassen", dann "OK" und dann "Speichern" aus, um Ihre Änderungen zu speichern.

    Der Bildschirm mit den Registrierungseigenschaften.

    Notiz

    Standardeinschränkungen haben die niedrigste Priorität und gelten für alle Benutzer, dies kann nicht bearbeitet werden. Beachten Sie beim Erstellen zusätzlicher benutzerdefinierter Einschränkungen die Gruppen, denen sie zugewiesen sind, damit Sie keinen Konflikt mit dieser Konfiguration erstellen.

Weitere Informationen finden Sie unter Einrichten der Registrierung von Android Enterprise-Arbeitsprofilgeräten.

Konfigurieren des bedingten Zugriffs

  1. Stellen Sie die Gmail-App oder die Nine Work-App als erforderlich bereit.

  2. Erstellen Sie ein E-Mail-Profil für die App, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie im Intune-Azure-Portal "Profil erstellen" die Option "Gerätekonfigurationsprofile>>erstellen" aus, und geben Sie dann "Name" und "Beschreibung" für das E-Mail-Profil ein.

    2. Wählen Sie Android Enterprise aus der Dropdownliste "Plattform " aus.

    3. Wählen Sie in "Arbeitsprofiltyp>" nur "E-Mail" aus.

    4. Konfigurieren Sie die E-Mail-Profileinstellungen.

      Konfigurieren Sie die E-Mail-Profileinstellungen.

      Weitere Informationen zu diesen Einstellungen finden Sie unter Android-Geräteeinstellungen zum Konfigurieren von E-Mails, Authentifizierung und Synchronisierung in Intune.

  3. Nachdem Sie das E-Mail-Profil erstellt haben, weisen Sie es Gruppen zu.

    Bildschirm

  4. Konfigurieren sie den gerätebasierten bedingten Zugriff.

Weitere Informationen finden Sie unter Einrichten des bedingten Zugriffs für Android-Arbeitsprofilgeräte.

Registrieren Ihres Android-Unternehmensgeräts

  1. Melden Sie sich mit Ihrem Geschäftskonto an, und tippen Sie dann auf "Jetzt registrieren".

    Bildschirm

  2. Tippen Sie auf dem Access-Setupbildschirm auf " Weiter".

    Zugriffseinrichtungsbildschirm.

  3. Tippen Sie auf dem Bildschirm "Datenschutzbestimmungen" auf "Weiter".

    Bildschirm

  4. Tippen Sie auf dem Nächsten Bildschirm auf "Weiter".

    Nächster Bildschirm.

  5. Tippen Sie auf dem Bildschirm "Arbeitsprofil einrichten" auf " Annehmen".

    Richten Sie einen Arbeitsprofilbildschirm ein.

  6. Tippen Sie auf dem Bildschirm "Arbeitsprofil aktivieren" auf " Weiter".

    Arbeitsprofilbildschirm aktivieren.

    Notiz

    Sie können oben ein Signalsymbol sehen, was bedeutet, dass Sie sich jetzt im Arbeitsprofil befinden.

  7. Tippen Sie auf dem Bildschirm "Alles eingestellt " auf " Fertig".

    Sie sind alle auf dem Bildschirm festgelegt.

  8. Sie können sich jetzt bei Gmail anmelden. Wenn Sie aufgefordert werden, Sicherheitseinstellungen zu aktualisieren, tippen Sie auf "JETZT AKTUALISIEREN".

    Bildschirm für Sicherheitsupdates.

  9. Tippen Sie auf "Aktivieren ", um Gmail als Geräteadministrator zu aktivieren.

    Bildschirm

Weitere Informationen finden Sie unter Registrieren von Android-Geräten.

Zurücksetzen von Android-Arbeitsprofilkennungen

  1. Erstellen Sie ein Geräteprofil, für das eine Arbeitsprofilkennung erforderlich ist, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie im Intune-Azure-Portal "Profil erstellen" die Option "Gerätekonfigurationsprofile>>erstellen" aus, geben Sie "Name" und "Beschreibung" für das Profil ein.

    2. Wählen Sie Android Enterprise aus der Dropdownliste "Plattform " aus.

    3. Wählen Sie in "Arbeitsprofiltyp>" nur "Geräteeinschränkungen" aus.

    4. Wählen Sie in den Arbeitsprofileinstellungen unter "Arbeitsprofilkennwort erforderlich" aus.

      Seite

  2. Auf dem Android Enterprise-Gerät werden Sie aufgefordert, eine Arbeitsprofilkennung festzulegen, wenn Sie keines festgelegt haben.

  3. Warten Sie, bis Sie eine zweite Eingabeaufforderung erhalten, die besagt , dass Ihr Arbeitsprofil sicher ist – Autorisieren Sie den Support Ihres Unternehmens, Ihr Arbeitsprofilkennwort remote zurückzusetzen. Geben Sie Ihre Kennung ein, um die Zurücksetzung zu autorisieren. Es aktiviert das Kennworttoken zurücksetzen, das Intune zum erfolgreichen Ausführen dieser Aktion benötigt.

    Sichern Sie Ihren Arbeitsprofilbildschirm.

    Notiz

    Wenn Sie eine dieser Schritte überspringen, erhalten Sie die folgende Fehlermeldung:
    Fehler beim Initiieren der Zurücksetzungskennung.

  4. Wählen Sie "Kennung zurücksetzen" aus.

    Kennungsbildschirm zurücksetzen.

  5. Nach Abschluss des Zurücksetzens wird die temporäre Kennung angezeigt.

    Zurücksetzen der Kennung abgeschlossener Bildschirm.

  6. Geben Sie diese temporäre Kennung auf Ihrem Gerät ein.

  7. Wenn Sie ihre neue PIN festlegen müssen, müssen Sie diese temporäre Kennung erneut eingeben und dann Ihre neue PIN eingeben.

Weitere Informationen zum Zurücksetzen von Kennungen finden Sie unter Zurücksetzen von Android-Arbeitsprofilkennungen.

Häufig gestellte Fragen

  • Frage: Warum werden Apps, die ich aus dem Google Play for Work Store nicht genehmigt habe, nicht von der Seite "Mobile Apps" im Intune-Verwaltungsportal entfernt?

    Antwort: Dieses Verhalten wird erwartet.

  • Frage: Warum melden verwaltete Google Play-Apps nicht unter "Ermittelte Apps " im Intune-Portal?

    Antwort: Dieses Verhalten wird erwartet.

  • Frage: Warum werden verwaltete Google Play-Apps, die nicht über Intune bereitgestellt werden, im Arbeitsprofil angezeigt?

    Antwort: System-Apps können zum Zeitpunkt der Erstellung des Arbeitsprofils vom Geräte-OEM im Arbeitsprofil aktiviert werden. Sie wird nicht vom MDM-Anbieter gesteuert.

    Führen Sie die folgenden Schritte aus, um Probleme zu beheben:

    1. Sammeln Sie Unternehmensportal Protokolle.
    2. Beachten Sie alle Apps, die unerwartet im Arbeitsprofil angezeigt werden.
    3. Heben Sie die Registrierung des Geräts von Intune auf, und deinstallieren Sie die Unternehmensportal.
    4. Installieren Sie die Test-DPC-App , die das Erstellen eines Arbeitsprofils ohne EMM zum Testen ermöglicht.
    5. Befolgen Sie die Anweisungen in Test DPC , um ein Arbeitsprofil auf dem Gerät zu erstellen.
    6. Überprüfen Sie Apps, die im Arbeitsprofil angezeigt werden.
    7. Wenn die gleichen Anwendungen in der Test-DPC-App angezeigt werden, werden die Apps vom OEM für dieses Gerät erwartet.

  • Frage: Warum ist die Option "Zurücksetzen auf Werkseinstellungen" für mein registriertes Arbeitsprofil nicht verfügbar?

    Antwort: Dieses Verhalten wird erwartet. Im Arbeitsprofilszenario verfügt der MDM-Anbieter nicht über die vollständige Kontrolle über das Gerät. Die einzige verfügbare Option ist "Eingestellt" (Firmendaten entfernen), die das gesamte Arbeitsprofil und den gesamten Inhalt entfernt.

  • Frage: Warum kann ich den Dateipfad "Interner Speicher/Android/Data.com.microsoft.windowsintune.companyportal/files" auf meinem registrierten Arbeitsprofil nicht finden, um Unternehmensportal Protokolle manuell zu sammeln?

    Antwort: Dieses Verhalten wird erwartet. Dieser Pfad wird nur für das Geräteadministratorszenario (Ältere Android-Registrierung) erstellt.

    Führen Sie die folgenden Schritte aus, um Protokolle zu sammeln:

    1. Tippen Sie in der Unternehmensportal-App mit dem Signal auf ">Hilfe-E-Mail-Support">und dann auf "E-Mail- und Uploadprotokolle senden".
    2. Wenn Sie mit "Hilfeanfrage senden" aufgefordert werden, wählen Sie eine der E-Mail-Apps aus.
    3. Es wird eine E-Mail an Ihren IT-Administrator mit einer Vorfall-ID generiert, die dem Microsoft-Produktsupport zur Verfügung gestellt werden kann.

  • Frage: Ich habe die Zeit der letzten Synchronisierung von Managed Google Play überprüft und wurde in Tagen nicht aktualisiert. Warum?

    Antwort: Dieses Verhalten wird erwartet. Die Synchronisierung wird nur ausgelöst, wenn Sie dies manuell tun.

  • Frage: Werden Webanwendungen für arbeitsprofil registrierte Geräte unterstützt?

    Antwort: Ja. Web-Apps (oder Weblinks) werden für alle Android Enterprise-Szenarien unterstützt.

  • Frage: Wird das Zurücksetzen der Gerätekennung unterstützt?

    Antwort: Für arbeitsprofil registrierte Geräte können Sie die Arbeitsprofilkennung nur auf Geräten zurücksetzen, auf denen Android 8.0+ ausgeführt wird, wenn die Geschäftsprofilkennung verwaltet wird und der Benutzer es zurückgesetzt hat. Für dedizierte und vollständig verwaltete Geräte wird das Zurücksetzen der Gerätekennung unterstützt.

  • Frage: Mein Gerät muss bei der Registrierung verschlüsselt werden. Gibt es eine Option zum Deaktivieren der Verschlüsselung?

    Antwort: Nein. Die Verschlüsselung ist von Google für das Arbeitsprofil erforderlich.

  • Frage: Warum blockieren Samsung-Geräte die Verwendung von Tastaturen von Drittanbietern wie SwiftKey?

    Antwort: Samsung begann, dies auf Android 8.0+-Geräten zu erzwingen. Microsoft arbeitet derzeit mit Samsung an diesem Problem und wird neue Informationen veröffentlichen, wenn es verfügbar ist.