Partager via

Configurer l’inscription à Intune pour les appareils Android Entreprise dédiés

  • Article

Utilisez la solution d’appareils dédiés Android Entreprise avec Microsoft Intune pour configurer des appareils de type kiosque à usage unique appartenant à l’entreprise pour les employés de première ligne. Ces appareils sont utilisés à des fins uniques, telles que la signalisation numérique, l’impression de tickets ou la gestion des stocks. En tant qu’administrateur, vous pouvez verrouiller l’utilisation d’un appareil à une seule application ou à un ensemble limité d’applications, y compris les applications web. Les utilisateurs ne peuvent pas ajouter d’autres applications ou effectuer des actions sur l’appareil, sauf si vous l’avez explicitement approuvé.

Les appareils destinés à une utilisation dédiée peuvent être inscrits dans Microsoft Intune de deux manières :

  • Comme un appareil Android Entreprise standard dédié. Ces appareils sont inscrits dans Intune sans compte d’utilisateur et ne sont pas associés à un utilisateur. Ces appareils ne sont pas destinés aux applications personnelles, ni aux applications telles que Microsoft Outlook ou Google Mail qui nécessitent des données de compte spécifiques à l’utilisateur.

  • En tant qu’appareil android entreprise dédié standard configuré automatiquement avec Microsoft Authenticator et configuré pour le mode d’appareil partagé Microsoft Entra lors de l’inscription. Ces appareils sont inscrits dans Intune sans compte d’utilisateur et ne sont pas associés à un utilisateur. Ces appareils sont destinés à être utilisés avec des applications qui s’intègrent au mode d’appareil partagé Microsoft Entra et permettent l’authentification unique et la déconnexion entre les utilisateurs sur les applications participantes.

Cet article explique comment configurer Microsoft Intune pour inscrire des appareils dédiés. Pour plus d’informations sur les solutions de gestion Android Enterprise, consultez Prise en main d’Android Enterprise(ouvre le Centre d’aide Android Enterprise).

Configuration requise de l’appareil

Les appareils doivent avoir :

  • Android OS version 8.0 ou ultérieure.
  • Distribution d’Android avec une connectivité Google Mobile Services (GMS). Les appareils doivent avoir accès à GMS et doivent pouvoir s’y connecter.

Configurer la gestion d’appareils Android Enterprise dédiés

Pour configurer la gestion d’appareils Android Enterprise dédiés, effectuez les étapes suivantes :

  1. Pour préparer la gestion des appareils mobiles, vous devez définir l’autorité de gestion des appareils mobiles (MDM) sur Microsoft Intune afin d’obtenir des instructions. Cet élément ne se définit qu’une seule fois, quand vous configurez pour la première fois Intune pour la gestion des appareils mobiles.
  2. Liez votre compte Google Play géré à votre compte d’abonné Intune.
  3. Créez un profil d’inscription.
  4. Créez un groupe d’appareils.
  5. Inscrire les appareils dédiés.

Créer un profil d’inscription

Remarque

Après l’expiration d’un jeton, le profil associé disparaît de l’affichage sous Profils d’inscription> Android Appareils >dédiés appartenant à l’entreprise. Pour afficher tous les profils associés aux jetons actifs et inactifs, choisissez Filtrer. Activez ensuite les cases à cocher pour les états de stratégie Actif et Inactif .

Vous devez créer un profil d’inscription pour pouvoir inscrire vos appareils dédiés. Lorsque le profil est créé, il vous fournit un jeton d’inscription sous la forme d’une chaîne et d’un code QR.

  1. Connectez-vous au Centre d’administration Microsoft Intune.
  2. Accédez à Appareils, puis sous Intégration de l’appareil , sélectionnez Inscription.
  3. Sélectionnez l’onglet Android .
  4. Dans la section Profils d’inscription , choisissez Appareils dédiés appartenant à l’entreprise.
  5. Sélectionnez Créer un profil.
  6. Entrez les principes de base de votre profil :
    • Nom : donnez un nom à votre profil afin que vous puissiez facilement l’identifier ultérieurement.
    • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
    • Type de jeton : choisissez le type de jeton que vous souhaitez utiliser pour inscrire des appareils dédiés.
      • Appareil dédié à l’entreprise (par défaut) : ce jeton inscrit les appareils comme un appareil Android Enterprise standard dédié. Ces appareils ne nécessitent aucune information d’identification de l’utilisateur à aucun moment. Il s’agit du type de jeton par défaut avec lequel les appareils dédiés sont inscrits, sauf s’ils sont mis à jour par l’administrateur au moment de la création du jeton.
      • Appareil dédié appartenant à l’entreprise avec le mode partagé Id Microsoft Entra : ce jeton inscrit les appareils en tant qu’appareil android entreprise dédié standard et, lors de l’inscription, déploie l’application Microsoft Authenticator configurée en mode d’appareil partagé Microsoft Entra. Avec cette option, les utilisateurs peuvent obtenir l’authentification unique et la déconnexion unique sur les applications sur l’appareil qui sont intégrées à la bibliothèque d’authentification Microsoft Entra et aux appels de connexion/déconnexion globaux.
    • Date d’expiration du jeton : entrez la date à laquelle vous souhaitez que le jeton expire, jusqu’à 65 ans à l’avenir. Le jeton expire à la date sélectionnée à 12:59:59 PM dans le fuseau horaire qu’il a été créé. Format de date acceptable : MM/DD/YYYY ou YYYY-MM-DD
  7. Sélectionnez Suivant pour passer à Balises d’étendue.
  8. Si vous le souhaitez, appliquez une ou plusieurs balises d’étendue pour limiter la visibilité et la gestion des profils à certains utilisateurs administrateurs dans Intune. Pour plus d’informations sur l’utilisation des balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
  9. Sélectionnez Suivant pour continuer à Vérifier + créer.
  10. Passez en revue vos choix, puis sélectionnez Créer pour terminer la création du profil.

Jeton d’inscription d’accès

Accédez au jeton d’inscription dans le centre d’administration.

  1. Accédez à Inscription des appareils>.
  2. Sélectionnez l’onglet Android .
  3. Dans la section Profils d’inscription , choisissez Appareils dédiés appartenant à l’entreprise.
  4. Dans la liste, sélectionnez votre profil d’inscription.
  5. Sélectionnez Jeton.

Le jeton apparaît sous la forme d’une chaîne à 20 chiffres et d’un code QR. Utilisez ce jeton pour inscrire des appareils via les mécanismes décrits dans Inscrire des appareils avec profil professionnel dédiés, entièrement gérés ou appartenant à l’entreprise. Au moment de l’inscription, l’utilisateur de l’appareil est invité à entrer le jeton d’inscription. Vous pouvez fournir la chaîne ou qr, tant qu’elle est prise en charge par le système d’exploitation Android et la version de l’appareil d’inscription.

Remplacer, supprimer ou exporter un jeton

Sélectionnez un jeton pour accéder à ces options :

  • Remplacer le jeton : générez un nouveau jeton qui arrive à expiration.
  • Révoquer le jeton : expire immédiatement le jeton. Une fois révoqué, le jeton n’est plus utilisable. Cette option est utile si vous :
    • Partagez accidentellement le jeton avec un tiers non autorisé.
    • Terminez toutes les inscriptions et n’avez plus besoin du jeton.
  • Exporter le jeton : exportez le contenu JSON du jeton. Cette option est utile pour obtenir le contenu JSON nécessaire pour configurer Google Zero Touch ou Knox Mobile Enrollment.

Lorsqu’elles sont appliquées, ces actions n’ont aucun effet sur les appareils déjà inscrits.

Créer un groupe d'appareils

Vous pouvez cibler des applications et des stratégies à des groupes d’appareils dynamiques ou affectés. Vous pouvez configurer des groupes d’appareils Microsoft Entra dynamiques pour remplir automatiquement les appareils inscrits avec un profil d’inscription particulier en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune et choisissez Groupes>Tous les groupes>Nouveau groupe.

  2. Renseignez tous les champs obligatoires comme suit :

    • Type de groupe : Sécurité
    • Nom du groupe : tapez un nom intuitif, par exemple appareils d’usine 1
    • Type d’appartenance : Appareil dynamique

  3. Choisissez Ajouter une requête dynamique.

  4. Dans la page Règles d’appartenance dynamique, renseignez tous les champs comme suit :

    • Propriété : enrollmentProfileName
    • Opérateur : égal à
    • Valeur : entrez le nom du profil d’inscription que vous avez créé précédemment.

    Pour plus d’informations sur les règles d’appartenance dynamique, consultez Règles d’appartenance dynamique pour les groupes dans l’ID Microsoft Entra.

  5. Choisissez Enregistrer pour finaliser la règle.

Inscrire les appareils dédiés

Vous pouvez à présent inscrire vos appareils dédiés.

Remarque

L’application Microsoft Intune est automatiquement installée lors de l’inscription d’un appareil dédié. Cette application est requise pour l’inscription et ne peut pas être désinstallée. L’application Microsoft Authenticator sera automatiquement installée lors de l’inscription d’un appareil dédié lors de l’utilisation du type de jeton Appareil dédié appartenant à l’entreprise avec le mode partagé d’ID Microsoft Entra. Cette application est requise pour cette méthode d’inscription et ne peut pas être désinstallée.

Gestion d’applications sur des appareils Android Entreprise dédiés

Seules les applications dont le type d’affectation est défini sur Obligatoire peuvent être installées sur des appareils Android Enterprise dédiés. Les applications sont installées à partir du Google Play Store géré de la même manière que les appareils Android Enterprise avec profil professionnel appartenant à l’entreprise et aux particuliers.

Les applications sont mises à jour automatiquement sur les appareils gérés quand le développeur d’application publie une mise à jour sur Google Play.

Pour supprimer une application sur des appareils Android Entreprise dédiés, vous pouvez effectuer l’une des opérations suivantes :

  • Supprimez le déploiement d’application requis.
  • Créez un déploiement de désinstallation pour l’application.

Prochaines étapes