Compartir a través de

Guía de un extremo a otro para configurar dispositivos Android Enterprise en Microsoft Intune

Esta guía ayuda a los administradores a comprender cómo configurar y solucionar problemas de dispositivos Android Enterprise en un entorno de Microsoft Intune. Trata los siguientes escenarios comunes:

  • Incorporación a Google
  • Implementación de la aplicación
  • Habilitación de la inscripción de perfil de trabajo
  • Configuración del acceso condicional
  • La experiencia del usuario final de inscripción del perfil de trabajo
  • Emisión de un restablecimiento del código de acceso del perfil de trabajo

Le ayuda a decidir qué funcionalidad de administración es la mejor para su organización y proporciona preguntas más frecuentes sobre Android Enterprise.

Evaluar sus necesidades

Antes de habilitar dispositivos Android Enterprise en Intune, debe determinar si desea inscribir esos dispositivos como dispositivos personales (Bring Your Own Device o BYOD) o como dispositivos corporativos.

Dispositivos BYOD

Los dispositivos BYOD están configurados para tener un perfil de trabajo de Android Enterprise. Esta característica está integrada en Android 5.1 y versiones posteriores. Esta característica permite almacenar aplicaciones de trabajo y datos en un espacio independiente, autocontenida y administrado por la empresa en el dispositivo. Dado que las aplicaciones y los datos personales permanecen en el dispositivo dentro del perfil personal del usuario, los empleados pueden seguir usando su dispositivo como lo haría normalmente.

Dispositivos corporativos

Hay dos opciones para dispositivos corporativos y cada uno de ellos sirve un caso de uso único:

  • Dispositivos dedicados (anteriormente conocidos como COSU o Uso único de propiedad corporativa).

    Nota:

    El ejemplo usado en esta guía se centra en escenarios BYOD. Para obtener más información sobre los escenarios de dispositivos dedicados (COSU), consulte Configuración e inscripción de COSU mediante el método de inscripción de código QR.

    Normalmente, los dispositivos dedicados se bloquean en una sola aplicación o conjunto de aplicaciones (también conocidos como modo de pantalla completa). Permite al administrador controlar cosas como la barra de estado, los diseños de teclado, la pantalla de bloqueo y otras configuraciones del dispositivo. Impide que los usuarios habiliten otras aplicaciones o cambien determinadas configuraciones en dispositivos dedicados.

    Nota:

    Los dispositivos que administra de esta manera se inscriben en Intune sin una cuenta de usuario y no están asociados a ningún usuario final. No están diseñados para aplicaciones o aplicaciones de uso personal que tienen un requisito seguro para los datos de cuenta específicos del usuario, como Outlook o Gmail.

  • Dispositivos totalmente administrados (anteriormente conocidos como COBO o Solo empresa de propiedad corporativa).

    Nota:

    Para obtener más información sobre los dispositivos totalmente administrados, consulte Configuración de la inscripción de Intune de dispositivos Android Enterprise totalmente administrados.

    Los dispositivos totalmente administrados encajan en un escenario más centrado en el usuario. Un solo usuario está asociado al dispositivo mientras el administrador sigue conservando el control total sobre el dispositivo (en lugar de un escenario de perfil de trabajo, en el que varios usuarios tienen control).

Cuando decida cómo inscribir los dispositivos, tenga en cuenta que no todas las características están disponibles para ambos métodos. En la tabla siguiente se muestran algunas diferencias clave.

Conjunto de características Perfil de trabajo (BYOD) Dedicado (quiosco) Completamente administrada
Perfil de correo electrónico administrado ×
Perfil de Wi-Fi administrado
Perfil de VPN administrado ×
Perfil de certificado SCEP
Perfil de certificado PKCS ×
Perfil de certificado de confianza
Perfil personalizado × x
Impedir el restablecimiento de fábrica ×
Bloquear cámara y captura de pantalla
Botones bloquear volumen ×
Bloquear copiar y pegar/ uso compartido de datos
Contraseña administrada
Aplicaciones administradas (necesarias)
Aplicaciones administradas (disponibles) ×
Perfil en contenedor × x
Administración de dispositivos de nivel de pantalla completa × x
Administración de dispositivos personal × x
Inscripción basada en NFC ×
Inscripción basada en tokens ×
Inscripción basada en código QR ×
Zero Touch ×
Cumplimiento o acceso condicional ×

Para obtener más información, consulte Implementación del plan de Microsoft Intune.

Conexión de una cuenta de Intune a una cuenta de Android Enterprise

El primer paso para configurar Android Enterprise en su entorno es conectar la cuenta de inquilino de Intune a la cuenta empresarial de Android:

  1. Cree una cuenta de servicio de Google (@gmail.com).

    Nota:

    Esta cuenta se asociará a todas las tareas de administración de Android Enterprise para el inquilino. Es la cuenta de Google que los administradores de TI de su empresa compartirán para administrar y publicar aplicaciones en la consola de Google Play. Puede usar una cuenta de Google existente o crear una nueva. La cuenta que use no debe estar asociada a un dominio de G-Suite.

  2. Inicie sesión en el Centro de administración de Microsoft Intune con la cuenta de administrador global con licencia de Intune.

  3. Vaya a Dispositivos Android Enrollment Managed Google Play (Dispositivos>Android>Enrollment>Managed Google Play), seleccione I agree (Acepto) y, a continuación, seleccione Launch Google (Iniciar Google) para conectarse ahora para abrir el sitio web de Google Play administrado.

    Captura de pantalla de la página de Google Play administrado, donde puede iniciar Google para conectarse.

  4. Inicie sesión en su cuenta de Google y seleccione Introducción.

    Seleccione la página Introducción.

  5. Escriba el nombre de la empresa y, a continuación, seleccione Siguiente.

    Escriba la página de nombre de la empresa.

  6. Acepte los términos y seleccione Confirmar.

  7. Seleccione Completar registro.

    Seleccione la página Completar registro.

Para obtener más información, consulte Conexión de la cuenta de Intune a la cuenta de Google Play administrada.

Implementar aplicaciones

Una vez que la cuenta de Intune esté conectada a la cuenta de Android Enterprise, puede implementar algunas aplicaciones siguiendo estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Intune con la cuenta de administrador global con licencia de Intune.

  2. Vaya a Aplicaciones>Todas las aplicaciones>Agregar.

  3. En el panel Seleccionar tipo de aplicación, busque los tipos de aplicación de la Tienda disponibles y, a continuación, seleccione Aplicación de Google Play administrada.

  4. Elija Seleccionar. Se muestra la tienda de aplicaciones de Google Play administrada.

    La tienda de aplicaciones de Google Play administrada.

  5. Busque una aplicación para ver los detalles de la aplicación. Ejemplo: Portal de empresa de Intune aplicación.

  6. En la página que muestra la aplicación, seleccione Aprobar. Se abre una ventana de la aplicación y se le pide que conceda permisos para que la aplicación realice varias operaciones.

    Seleccione Aprobar en el ejemplo Portal de empresa de Intune.

  7. Seleccione Aprobar de nuevo para aceptar los permisos de la aplicación.

    Seleccione Aprobar de nuevo para aceptar los permisos de la aplicación.

  8. En la pestaña Configuración de aprobación, seleccione Mantener aprobado cuando la aplicación solicite nuevos permisos y, a continuación, seleccione Guardar.

    Seleccione Mantener aprobado cuando la aplicación solicite nuevos permisos en la pestaña Configuración de aprobación.

  9. Haga clic en Seleccionar para seleccionar la aplicación.

  10. Seleccione Sincronizar en la parte superior para sincronizar la aplicación con el servicio Google Play administrado.

  11. Seleccione Actualizar para actualizar la lista de aplicaciones y mostrar la aplicación recién agregada.

    Nota:

    La sincronización de aplicaciones entre Intune y Google Play Store administrado es manual. Por lo tanto, debe seleccionar el botón Sincronizar cada vez que apruebe una nueva aplicación.

  12. Una vez agregada la aplicación a Microsoft Intune, puede asignar la aplicación a usuarios y dispositivos. En el Centro de administración de Microsoft Intune, vaya a Aplicaciones>todas las aplicaciones. Busque en Administrar para ver la aplicación que se muestra en la lista.

    Página Todas las aplicaciones del Centro de administración de Microsoft Intune.

  13. Para asignar la aplicación a un grupo, seleccione la aplicación que desea asignar. En la sección Administrar del menú, seleccione Propiedades y, a continuación, seleccione Editar junto a Asignaciones para abrir el panel Agregar grupo .

    Seleccione Propiedades y, a continuación, Asignaciones.

  14. En la pestaña Asignaciones , en Obligatorio, seleccione Agregar grupo, seleccione los grupos que se van a incluir y, a continuación, seleccione Seleccionar.

    Seleccione Agregar grupo en obligatorio.

  15. En el panel Asignar , seleccione Revisar y guardar para completar la selección de grupos incluidos.

  16. En el panel Asignaciones , seleccione Guardar para guardar los cambios.

  17. Vuelva a la vista Propiedades de la aplicación y compruebe la aplicación en Asignaciones.

    Confirme la asignación de la aplicación.

Para obtener más información sobre la implementación de aplicaciones, consulte Incorporación de aplicaciones del sistema Android Enterprise a Microsoft Intune.

Habilitación de la inscripción de perfil de trabajo de Android Enterprise

  1. En el portal de Intune, vaya a Restricciones de inscripción>de dispositivos y, a continuación, seleccione Predeterminado en Restricciones de tipo de dispositivo.

    Pantalla Restricciones de tipo de dispositivo.

  2. Seleccione Propiedades Seleccione plataformas>, seleccione Bloquear para Android, Permitir el perfil de trabajo de Android, Aceptar y, después, Guardar para guardar los cambios.

    Pantalla de propiedades de inscripción.

    Nota:

    Las restricciones predeterminadas tienen la prioridad más baja y se aplican a todos los usuarios, no se puede editar. Al crear restricciones personalizadas adicionales, tenga en cuenta los grupos a los que están asignados para que no cree un conflicto con esta configuración.

Para obtener más información, consulte Configuración de la inscripción de dispositivos de perfil de trabajo de Android Enterprise.

Configuración del acceso condicional

  1. Implemente la aplicación gmail o la aplicación Nine Work según sea necesario.

  2. Para crear un perfil de correo electrónico a la aplicación, siga estos pasos:

    1. En Intune Azure Portal, seleccione Perfiles>de configuración>de dispositivos Crear perfil y escriba Nombre y Descripción para el perfil de correo electrónico.

    2. Seleccione Android Enterprise en la lista desplegable Plataforma .

    3. En Profile Type Work Profile Only (Solo perfil de trabajo de tipo>de perfil), seleccione Correo electrónico.

    4. Configure los valores del perfil de correo electrónico.

      Configure los valores del perfil de correo electrónico.

      Para obtener más información sobre estas opciones, consulte Configuración del dispositivo Android para configurar el correo electrónico, la autenticación y la sincronización en Intune.

  3. Después de crear el perfil de correo electrónico, asígnelo a grupos.

    Pantalla Asignaciones.

  4. Configurar el acceso condicional basado en dispositivos.

Para obtener más información, consulte Configuración del acceso condicional para dispositivos de perfil de trabajo Android.

Inscripción del dispositivo Android Enterprise

  1. Inicie sesión con su cuenta profesional y, a continuación, pulse Inscribir ahora.

    Pantalla Inscribir ahora.

  2. En la pantalla Configuración de acceso, pulse Continuar.

    Pantalla de configuración de acceso.

  3. En la pantalla de declaración de privacidad, pulse Continuar.

    Pantalla de declaración de privacidad.

  4. En la pantalla What's next (Qué es lo siguiente ), pulse Siguiente.

    Qué es la siguiente pantalla.

  5. En la pantalla Configurar un perfil de trabajo, pulse Aceptar.

    Configurar una pantalla de perfil de trabajo.

  6. En la pantalla Activar perfil de trabajo, pulse Continuar.

    Active la pantalla del perfil de trabajo.

    Nota:

    Puede ver un icono de distintivo en la parte superior, lo que significa que ahora está dentro del perfil de trabajo.

  7. En la pantalla You're set (Todo está configurado ), pulse Listo.

    Todas están configuradas.

  8. Ahora puedes iniciar sesión en Gmail. Cuando se le pida que actualice la configuración de seguridad, pulse ACTUALIZAR AHORA.

    Pantalla de actualización de seguridad.

  9. Pulse Activar para activar Gmail como administrador de dispositivos.

    Pantalla administrador de dispositivos.

Para obtener más información, consulte Inscribir dispositivos Android.

Restablecimiento de códigos de acceso de perfil de trabajo de Android

  1. Cree un perfil de dispositivo que requiera un código de acceso de perfil de trabajo siguiendo estos pasos:

    1. En Intune Azure Portal, seleccione Perfiles>de configuración>de dispositivos Crear perfil, escriba Nombre y Descripción para el perfil.

    2. Seleccione Android Enterprise en la lista desplegable Plataforma .

    3. En Profile Type Work Profile Only (Solo perfil de trabajo de tipo>de perfil), seleccione Restricciones de dispositivos.

    4. En Configuración del perfil de trabajo, seleccione Requerir en Requerir contraseña del perfil de trabajo.

      Página de propiedades del perfil de trabajo.

  2. En el dispositivo Android Enterprise, se le pedirá que establezca un código de acceso de perfil de trabajo si no ha establecido uno.

  3. Espere hasta que reciba un segundo mensaje que indica Proteger su perfil de trabajo: autorice al soporte técnico de su empresa para restablecer de forma remota la contraseña del perfil de trabajo. Escriba el código de acceso para autorizar el restablecimiento. Activa el token de restablecimiento de contraseña que Intune necesita para realizar esta acción correctamente.

    Proteja la pantalla del perfil de trabajo.

    Nota:

    Si omite cualquiera de estos pasos, recibirá el siguiente mensaje de error:
    Error al iniciar el restablecimiento del código de acceso

  4. Seleccione Restablecer código de acceso.

    Pantalla restablecer el código de acceso.

  5. Una vez completado el restablecimiento, se muestra el código de acceso temporal.

    Pantalla de restablecimiento del código de acceso completado.

  6. Escriba este código de acceso temporal en el dispositivo.

  7. Cuando sea necesario establecer el nuevo PIN, debe volver a escribir este código de acceso temporal y, a continuación, escribir el nuevo PIN.

Para obtener más información sobre el restablecimiento del código de acceso, vea Restablecer códigos de acceso de perfil de trabajo android.

Preguntas más frecuentes

  • Pregunta: ¿Por qué no se quitan las aplicaciones que no se han aprobado de google Play for Work Store en la página Mobile Apps del Portal de administración de Intune?

    Respuesta: Se espera este comportamiento.

  • Pregunta: ¿Por qué las aplicaciones administradas de Google Play no informan en Aplicaciones detectadas en el portal de Intune?

    Respuesta: Se espera este comportamiento.

  • Pregunta: ¿Por qué las aplicaciones administradas de Google Play que no se implementan a través de Intune se muestran en el perfil de trabajo?

    Respuesta: El OEM del dispositivo puede habilitar las aplicaciones del sistema en el perfil de trabajo en el momento en que se crea el perfil de trabajo. El proveedor de MDM no lo controla.

    Para solucionar problemas, siga estos pasos:

    1. Recopilar registros de Portal de empresa.
    2. Tenga en cuenta las aplicaciones que aparecen inesperadamente en el perfil de trabajo.
    3. Anule la inscripción del dispositivo de Intune y desinstale el Portal de empresa.
    4. Instale la aplicación Test DPC que permite la creación de un perfil de trabajo sin EMM para realizar pruebas.
    5. Siga las instrucciones de Prueba de DPC para crear un perfil de trabajo en el dispositivo.
    6. Revise las aplicaciones que aparecen en el perfil de trabajo.
    7. Si las mismas aplicaciones se muestran en la aplicación DPC de prueba, el OEM espera las aplicaciones para ese dispositivo.

  • Pregunta: ¿Por qué la opción Borrar (restablecimiento de fábrica) no está disponible para mi dispositivo inscrito en el perfil de trabajo?

    Respuesta: Se espera este comportamiento. En el escenario del perfil de trabajo, el proveedor de MDM no tiene control total sobre el dispositivo. La única opción disponible es Retirar (quitar datos de la empresa) que quita todo el perfil de trabajo y todo su contenido.

  • Pregunta: ¿Por qué no puedo encontrar la ruta de acceso de archivo Almacenamiento interno/Android/Data.com.microsoft.windowsintune.companyportal/files en mi dispositivo inscrito de perfil de trabajo para recopilar manualmente registros de Portal de empresa?

    Respuesta: Se espera este comportamiento. Esta ruta de acceso solo se crea para el escenario administrador de dispositivos (inscripción heredada de Android).

    Para recopilar registros, siga estos pasos:

    1. En la aplicación Portal de empresa con el distintivo, pulse Menú>Ayuda>soporte técnico por correo electrónico y, a continuación, pulse Enviar correo electrónico y cargar registros.
    2. Cuando se le solicite enviar solicitud de ayuda con, seleccione una de las aplicaciones de correo electrónico.
    3. Se genera un correo electrónico al administrador de TI con un identificador de incidente que se puede proporcionar al soporte técnico del producto de Microsoft.

  • Pregunta: He comprobado la hora de última sincronización de Google Play administrado y no se ha actualizado en días. ¿Por qué?

    Respuesta: Se espera este comportamiento. La sincronización solo se desencadena cuando lo hace manualmente.

  • Pregunta: ¿Se admiten aplicaciones web para dispositivos inscritos en perfiles de trabajo?

    Respuesta: Sí. Se admiten aplicaciones web (o vínculos web) para todos los escenarios de Android Enterprise.

  • Pregunta: ¿Se admite el restablecimiento del código de acceso del dispositivo?

    Respuesta: En el caso de los dispositivos inscritos en perfiles de trabajo, puede restablecer el código de acceso del perfil de trabajo solo en dispositivos que ejecutan Android 8.0+ si el código de acceso del perfil de trabajo se administra y el usuario le ha permitido restablecerlo. Para dispositivos dedicados y totalmente administrados, se admite el restablecimiento del código de acceso del dispositivo.

  • Pregunta: Se requiere que mi dispositivo se cifre tras la inscripción. ¿Hay alguna opción para desactivar el cifrado?

    Respuesta: No. Google requiere el cifrado para el perfil de trabajo.

  • Pregunta: ¿Por qué los dispositivos Samsung bloquean el uso de teclados de terceros como SwiftKey?

    Respuesta: Samsung comenzó a aplicar esto en dispositivos Android 8.0+. Microsoft está trabajando actualmente con Samsung en este problema y publicará información nueva cuando esté disponible.