Compartir a través de


Configuración de la inscripción para dispositivos Android Enterprise totalmente administrados

Configure la solución de dispositivos totalmente administrados de Android Enterprise en Microsoft Intune para inscribir y administrar dispositivos corporativos. Un dispositivo totalmente administrado está asociado a un único usuario y está destinado al trabajo, no a su uso personal. Como administrador de Intune, puede administrar todo el dispositivo y aplicar controles de directiva que no están disponibles con el perfil de trabajo de Android Enterprise, como:

  • Permitir la instalación de aplicaciones solo desde Google Play administrado.
  • Impedir que los usuarios desinstalen aplicaciones administradas.
  • Impedir que los usuarios restablezcan los dispositivos de fábrica.

Usted y los usuarios del dispositivo pueden iniciar la inscripción escribiendo o examinando un token de inscripción durante la configuración del dispositivo. En este artículo se describen los requisitos previos para la inscripción y cómo crear perfiles y tokens de inscripción. Al final de este artículo, puede inscribir dispositivos.

Paso 1: Requisitos previos

Complete estos requisitos previos para garantizar una inscripción correcta.

  • Debe tener un inquilino independiente de Intune, con la entidad de administración de dispositivos móviles (MDM) establecida en Microsoft Intune.

  • Los dispositivos deben:

    • Ejecute la versión 8.0 y posteriores del sistema operativo Android.
    • Ejecute una compilación de Android que tenga conectividad de Google Mobile Services.
    • Tener Google Mobile Services disponible y poder conectarse a él.

    No hay ninguna restricción en el fabricante o oem del dispositivo si se cumplen los tres requisitos.

  • Asegúrese de que Android Enterprise es compatible con su región. Para conocer los requisitos de Android Enterprise, consulte Introducción a Android Enterprise.

  • Conecte su cuenta de inquilino de Intune a su cuenta de Android Enterprise.

  • El proceso de instalación de Android usa una pestaña de Chrome para autenticar a los usuarios del dispositivo durante la inscripción. Si tiene una directiva de acceso condicional de Microsoft Entra con las siguientes configuraciones, debe excluir la aplicación en la nube de Microsoft Intune de la directiva:

    • Para conceder o bloquear el acceso, es necesario que un dispositivo se marque como una configuración compatible.

    • La directiva se aplica a todas las aplicaciones en la nube, Android y exploradores.

Paso 2: Creación de un nuevo perfil de inscripción

Intune genera automáticamente un perfil de inscripción predeterminado y un token de inscripción para dispositivos totalmente administrados. El perfil de inscripción predeterminado se denomina Perfil totalmente administrado predeterminado.

Para crear un nuevo perfil de inscripción:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Vaya a Inscripción de dispositivos>.

  3. Seleccione la pestaña Android .

  4. EnPerfiles de inscripciónde Android Enterprise>, elija Dispositivos de usuario totalmente administrados de propiedad corporativa.

  5. Seleccione Crear perfil.

  6. Escriba los conceptos básicos de su perfil:

    • Nombre: asigne un nombre al perfil. Anote el nombre para más adelante, ya que lo necesitará al configurar el grupo de dispositivos dinámicos.

    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

    • Tipo de token: elija el tipo de token que desea usar para inscribir dispositivos corporativos totalmente administrados. Para obtener más información, consulte Tipos de token en este artículo. Las opciones son:

      • Propiedad corporativa, totalmente administrada (valor predeterminado)

      • Propiedad corporativa, totalmente administrada, a través del almacenamiento provisional

    • Fecha de expiración del token: solo está disponible con el token de almacenamiento provisional. Escriba la fecha en la que desea que expire el token, hasta 65 años en el futuro. Formato de fecha aceptable: MM/DD/YYYY o YYYY-MM-DD el token expira en la fecha seleccionada a las 12:59:59 p. m. en la zona horaria en la que se creó.

  7. Seleccione Siguiente para continuar con Etiquetas de ámbito.

  8. Aplique una o varias etiquetas de ámbito para limitar la visibilidad y la administración de perfiles a determinados usuarios administradores de Intune. Las etiquetas de ámbito son opcionales. Para obtener más información sobre cómo usar etiquetas de ámbito, consulte Uso del control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida.

  9. Seleccione Siguiente para continuar con Revisar y crear.

  10. Revise el resumen del perfil y, a continuación, seleccione Crear para finalizarlo.

Para revisar, realizar cambios o eliminar el perfil:

  1. Seleccione el perfil.

  2. Seleccione Información general para revisar los aspectos básicos del perfil y eliminar el perfil.

  3. Seleccione Editar propiedades>para realizar cambios en los aspectos básicos del perfil o las etiquetas de ámbito.

  4. Seleccione Token para recuperar, revocar o exportar el token.

Paso 3: Creación de un grupo dinámico de Microsoft Entra

Opcionalmente, cree un grupo dinámico de Microsoft Entra para agrupar automáticamente los dispositivos en función de un atributo o variable determinados. En este caso, queremos usar la enrollmentProfileName propiedad para agrupar los dispositivos que se inscriben con el mismo perfil.

Agregue estas configuraciones al grupo:

  • Tipo de grupo: seguridad

  • Tipo de suscripción: dispositivo dinámico

  • Agregue una consulta dinámica con la siguiente regla:

No se pueden usar grupos dinámicos con el perfil de inscripción predeterminado. Para obtener más información sobre cómo crear un grupo dinámico con reglas, consulte Creación de una regla de pertenencia a grupos.

Paso 4: Inscribir dispositivos

Después de configurar el perfil de inscripción, el token y el grupo dinámico, puede usar cualquiera de estos métodos de aprovisionamiento para inscribir dispositivos como totalmente administrados:

  • Comunicación de campo cercano (NFC)
  • Cadena de token o código QR
  • Inscripción táctil cero
  • Inscripción móvil de Samsung Knox

Para ver los pasos siguientes, incluido cómo inscribir dispositivos con cada método de aprovisionamiento, consulte Inscripción de dispositivos de propiedad corporativa de Android Enterprise.

Tipos de token

Al crear el perfil de inscripción en el centro de administración, debe seleccionar un tipo de token. Hay dos tipos de tokens. Cada tipo habilita un flujo de inscripción diferente.

El token predeterminado, propiedad corporativa y totalmente administrado, inscribe dispositivos en Microsoft Intune como dispositivos corporativos totalmente administrados estándar de Android Enterprise. Este token requiere que complete los pasos previos al aprovisionamiento antes de distribuir los dispositivos. Los usuarios finales completan los pasos restantes en el dispositivo cuando inician sesión con su cuenta profesional o educativa.

El token de almacenamiento provisional de dispositivos, propiedad corporativa y totalmente administrado, mediante almacenamiento provisional, inscribe los dispositivos en Microsoft Intune en un modo de almacenamiento provisional para que usted o un proveedor de terceros puedan completar todos los pasos previos al aprovisionamiento. Los usuarios finales completan el último paso del aprovisionamiento iniciando sesión en la aplicación Microsoft Intune con su cuenta profesional o educativa. Los dispositivos están listos para usarse al iniciar sesión. Intune admite el almacenamiento provisional de dispositivos para dispositivos Android Enterprise que ejecutan Android 8 o posterior.

Para obtener más información, consulte Introducción al almacenamiento provisional de dispositivos.

Reemplazar, quitar o exportar token

Seleccione un token en el centro de administración para acceder a estas opciones de administración:

  • Reemplazar token: genere un nuevo token que esté a punto de expirar.

  • Revocar token: expire inmediatamente el token. Después de revocarlo, el token ya no se puede usar. Esta opción es útil si:

    • Comparta accidentalmente el token con una entidad no autorizada.

    • Complete todas las inscripciones y ya no necesite el token.

  • Exportar token: exporte el contenido JSON del token. Puede usar esta opción para obtener el contenido JSON necesario para la configuración de Google Zero Touch o Knox Mobile Enrollment.

Cuando se aplican, estas acciones no tienen ningún efecto en los dispositivos que ya están inscritos.