Inscrivez vos appareils à profils professionnels Android Enterprise dédiés, complètement managés ou appartenant à l’entreprise

  • Article

Importante

Les utilisateurs d’appareils ne doivent pas redémarrer les appareils tant que l’inscription n’est pas terminée. Si les utilisateurs d'appareils configurant des appareils entièrement gérés ou des appareils appartenant à l'entreprise avec un profil professionnel redémarrent leurs appareils au milieu de l'inscription, il se peut que leurs appareils ne puissent pas s'enregistrer auprès de Microsoft Intune. Les appareils qui ont redémarré peuvent sembler être inscrits, mais ils ne seront pas protégés par vos stratégies Intune.

Après avoir configuré vos appareils dédiés Android Entreprise , vos appareils entièrement gérés ou vos appareils appartenant à l’entreprise dans Intune, vous pouvez les inscrire. L’inscription à Intune pour les appareils dédiés, les appareils entièrement gérés et ceux appartenant à l’entreprise dotés d’un profil professionnel commence par une réinitialisation aux paramètres d’usine. La façon dont vous inscrivez vos appareils Android Entreprise varie en fonction du système d’exploitation.

Méthode d’inscription Version minimale du système d’exploitation Android pour les appareils dédiés et complètement managés
Communication en champ proche 8.0
Entrée de jeton 8.0
Code QR 8.0
Zero Touch 8.0

Sur les fabricants participants.
Inscription Knox Mobile Enrollment 8.0

Sur les appareils Samsung Knox 2.8 ou ultérieur uniquement.

Conseil

La gestion des appareils du profil de travail de l’entreprise est disponible sur Android version 8.0 et versions ultérieures.

Remarque

Si vous disposez d’une stratégie d’accès conditionnel Microsoft Entra définie qui utilise l’option Exiger qu’un appareil soit marqué comme contrôle d’octroi conforme ou stratégie Bloquer et s’applique à toutes les applications cloud, Android et navigateurs, vous devez exclure l’application cloud Microsoft Intune de cette stratégie. En effet, le processus de configuration Android utilise un onglet Chrome pour authentifier vos utilisateurs pendant l’inscription. Pour plus d’informations, consultez Microsoft Entra documentation sur l’accès conditionnel.

Inscrire à l’aide d’un code QR

Les administrateurs Intune peuvent analyser le code QR directement à partir du profil d’inscription pour inscrire un appareil. Nous recommandons cette méthode d’inscription pour la plupart des scénarios clients.

  1. Après avoir réinitialisé l'appareil, appuyez sur le premier écran que vous voyez à plusieurs reprises pour lancer le lecteur QR.
  2. Si vous y êtes invité, installez un lecteur QR sur votre appareil. Les appareils exécutant Android 9.0 et versions ultérieures sont préinstallés avec un lecteur QR.
  3. Analysez le code QR du profil d’inscription, puis suivez les invites à l’écran pour terminer l’inscription.

    Conseil

    Les paramètres de zoom du navigateur peuvent empêcher votre appareil d’analyser le code QR. Effectuez un zoom avant et réessayez si votre appareil a des difficultés à analyser le code.

S’inscrire à l’aide de Google Zero Touch

Importante

Les appareils doivent être achetés auprès d’un revendeur sans contact autorisé et prendre en charge l’inscription sans contact. Pour plus d’informations, telles que les conditions préalables, l’emplacement d’achat des appareils et la façon d’associer un compte Google à votre messagerie d’entreprise, consultez Inscription sans contact pour les administrateurs informatiques (ouvre la documentation d’aide Android Enterprise).

Cette méthode utilise l’inscription sans contact et le portail d’inscription sans contact Google pour provisionner et inscrire des appareils appartenant à l’entreprise. L’approvisionnement commence dès que les utilisateurs activent leurs appareils. Cette section décrit comment :

  • Créez une configuration sans contact avec les détails d’approvisionnement dans le centre d’administration Microsoft Intune.
  • Créez une configuration zero-touch avec les détails d’approvisionnement dans le portail d’inscription zero-touch.

Créer une configuration sans contact dans le centre d’administration

L’iframe zero-touch vous donne accès au portail d’inscription zero-touch et aux configurations zero-touch dans le centre d’administration Microsoft Intune.

Pour activer l’iframe, vous devez d’abord ajouter l’autorisation de synchronisation d’application de mise à jour et activer l’inscription pour les appareils entièrement gérés appartenant à l’entreprise. Une fois que vous avez activé l’iframe, vous pouvez :

  • Lier votre compte zero-touch à Intune
  • Ajouter des informations de support
  • Configurer des appareils compatibles avec l’interaction tactile
  • Personnaliser les extras d’approvisionnement

Suivez les étapes de cette section pour activer l’iframe. Pour créer des configurations dans le portail d’inscription zero-touch à la place, passez à Créer une configuration dans le portail d’inscription zero-touch.

Étape 1 : Ajouter l’autorisation requise

Ajoutez l’autorisation de synchronisation d’application de mise à jour .

  1. Connectez-vous à l’administrateur du centre d’administration Microsoft Intune.
  2. Sélectionnez Rôles d’administration> deslocataires.
  3. Sélectionnez votre rôle dans la liste.
  4. Sélectionnez Propriétés.
  5. Accédez à Autorisations , puis sélectionnez Modifier.
  6. Sélectionnez Android for Work.
  7. En regard de Mettre à jour la synchronisation de l’application, sélectionnez Oui.
  8. Sélectionnez Vérifier + enregistrer pour passer en revue vos modifications.
  9. Sélectionnez Enregistrer.

Étape 2 : Activer l’inscription pour les appareils appartenant à l’entreprise

Vérifiez que l’inscription est activée pour les appareils entièrement gérés appartenant à l’entreprise.

  1. Dans le Centre d’administration, accédez à Appareils>Android.
  2. Sélectionnez Inscription Android.
  3. Sous Profils d’inscription, choisissez Appareils utilisateur entièrement gérés appartenant à l’entreprise.
  4. Vérifiez que le paramètre Autoriser les utilisateurs à inscrire des appareils utilisateur appartenant à l’entreprise est défini sur Oui.

Liez un compte zero-touch à votre compte Microsoft Intune.

  1. Dans le Centre d’administration, accédez à Appareils>Android.

  2. Sélectionnez Inscription Android.

  3. Sous Méthodes d’inscription en bloc, choisissez Inscription sans contact.

  4. L’iframe s’ouvre. Sélectionnez Suivant pour commencer l’installation.

  5. Connectez-vous avec le compte Google que vous avez fourni à votre revendeur. 6 Sélectionnez le compte sans contact que vous souhaitez lier, puis sélectionnez Lien.

  6. Une configuration par défaut est créée. Un écran s’affiche avec des informations de base sur la configuration. Intune applique automatiquement la configuration par défaut à tout appareil compatible avec l’interaction tactile sans configuration existante.

    Attention

    Le jeton utilisé pour la configuration par défaut est destiné à un appareil entièrement géré. Une fois que vous avez lié votre compte, la configuration sans contact par défaut créée dans Intune remplace le profil de configuration par défaut défini dans le portail d’inscription sans contact. Si vous souhaitez créer une configuration sans contact pour un appareil avec profil professionnel appartenant à l’entreprise ou un appareil dédié, ne liez pas votre compte à Intune. Au lieu de cela, sélectionnez Afficher les appareils dans le portail zero-touch. Passez ensuite à Créer une configuration dans le portail d’inscription sans contact dans cet article pour les étapes suivantes.

  7. Sélectionnez Suivant pour continuer.

  8. Ajoutez des informations de support pour aider les utilisateurs de l’appareil lors de l’installation.

  9. Sélectionnez Enregistrer.

Une fois que votre compte est lié à Intune, la configuration par défaut est appliquée aux appareils sans contact qui n’ont pas encore de configuration, ainsi qu’aux futurs appareils ajoutés par un revendeur. Vous pouvez afficher les configurations sans contact existantes, modifier les informations de support, dissocier le compte et lier d’autres comptes dans le centre d’administration.

Créer une configuration dans le portail d’inscription sans contact

Ajoutez une configuration zero-touch dans le portail d’inscription zero-touch. Vous pouvez utiliser le portail seul pour gérer les configurations, ou vous pouvez l’utiliser en combinaison avec l’iframe sans contact. Le portail prend en charge les configurations des appareils entièrement managés et dédiés, ainsi que des appareils appartenant à l’entreprise avec un profil professionnel.

  1. Connectez-vous au portail d’inscription zero-touch avec votre compte Google.

  2. Sélectionnez l’option permettant d’ajouter une nouvelle configuration.

  3. Renseignez les informations dans le panneau de configuration.

  4. Sélectionnez Microsoft Intune comme application DPC EMM.

  5. Copiez le texte JSON suivant dans le champ DPC extras. Remplacez par YourEnrollmentToken le jeton d’inscription que vous avez créé dans le cadre de votre profil d’inscription. Veillez à entourer le jeton d’inscription dans des guillemets doubles.

    {
"android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
"android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
"android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
    "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "YourEnrollmentToken"
}
}

  6. Entrez le nom de votre organization et les informations de support, qui s’affichent à l’écran pendant que les utilisateurs configurent leurs appareils.

Pour plus d’informations sur la façon d’attribuer une configuration par défaut ou d’appliquer une configuration dans le portail zero-touch, consultez Inscription zero-touch pour les administrateurs informatiques (ouvre la documentation d’aide Android Enterprise).

S’inscrire à l’aide de l’inscription Knox Mobile Enrollment

Pour utiliser l’inscription mobile Samsung Knox, l’appareil doit exécuter Android OS version 8.0 ou ultérieure et Samsung Knox 2.8 ou version ultérieure. Pour plus d’informations, consultez Inscrire automatiquement des appareils Android à l’aide de l’inscription Knox Mobile Enrollment.

S’inscrire à l’aide de la communication en champ proche (NFC)

Créez une balise NFC spécialement mise en forme pour approvisionner les appareils pris en charge par NFC exécutant Android 8.0 ou version ultérieure. Vous pouvez utiliser votre propre application ou tout outil de création de balises NFC. Pour plus d’informations, consultez Inscription d’appareils Android Enterprise basés sur C avec Microsoft Intune et Documentation de l'API de gestion Android de Google.

Pour les appareils avec profil professionnel (COPE) appartenant à l’entreprise, la méthode d’inscription NFC est prise en charge uniquement sur les appareils exécutant Android versions 8.0 ou ultérieures. Il n’est pas pris en charge avec Android 11.0. Pour plus d’informations, consultez la documentation pour les développeurs Google.

Inscrire à l’aide d’un jeton

Nous recommandons cette méthode pour les appareils nouveaux ou réinitialisés aux paramètres d’usine, dans les scénarios où le code QR ou la méthode NFC ne sont pas disponibles. Pour cela, la personne qui provisionne l’appareil doit taper la chaîne de jeton d’inscription (exemple : 12345) qui lui est fournie. Lorsque vous êtes prêt pour l’inscription, partagez le jeton directement avec les utilisateurs ciblés ou publiez-le sur le site de support de votre organization pour faciliter la récupération. Le jeton fonctionne pour tous les utilisateurs disposant d’une licence Intune et n’expire pas.

Cette méthode est prise en charge sur les appareils appartenant à l’entreprise exécutant Android 8.0 et versions ultérieures. Il n’est pas pris en charge avec les comptes du gestionnaire d’inscription d’appareil.

Vous pouvez utiliser cette méthode conjointement avec l’identificateur DPC Microsoft Intune pour configurer des appareils entièrement gérés. La méthode d’identificateur DPC n’est pas prise en charge sur les appareils compatibles personnels (COPE) appartenant à l’entreprise exécutant Android 11 et versions ultérieures.

  1. Activer l’appareil.
  2. Sur l’écran de Bienvenue, sélectionnez votre langue.
  3. Connectez-vous à votre réseau sans fil, puis choisissez SUIVANT.
  4. Acceptez les conditions générales de Google, puis choisissez SUIVANT.
  5. Dans l’écran de connexion Google, entrez afw#setup au lieu d’un compte Gmail. Cette valeur est l’identificateur DPC pour Microsoft Intune. Choisissez SUIVANT.
  6. Choisissez Installer pour l’application Stratégie de l’appareil Android.
  7. Continuez à installer la stratégie. Certains appareils peuvent nécessiter l’acceptation de conditions supplémentaires.
  8. Sur l’écran Inscrire cet appareil, autorisez votre appareil à analyser le code QR. Vous pouvez également entrer le jeton manuellement.
  9. Suivez les invites à l’écran pour terminer l’inscription.

Pour plus d’informations sur l’approvisionnement d’appareils avec la méthode d’identificateur DPC, consultez la documentation des développeurs Google.

Prochaines étapes