Guide de bout en bout pour la configuration des appareils Android Entreprise dans Microsoft Intune
Ce guide aide les administrateurs à comprendre comment configurer et dépanner des appareils Android Entreprise dans un environnement Microsoft Intune. Il couvre les scénarios courants suivants :
- Intégration à Google
- Déploiement d'applications
- Activation de l’inscription au profil professionnel
- Configuration de l’accès conditionnel
- Expérience utilisateur final de l’inscription de profil professionnel
- Émission d’une réinitialisation du code secret de profil professionnel
Il vous aide à déterminer quelle fonctionnalité de gestion est la meilleure pour votre organisation et fournit un FORUM aux questions sur Android Entreprise.
Évaluer vos besoins
Avant d’activer les appareils Android Entreprise dans Intune, vous devez déterminer si vous souhaitez inscrire ces appareils en tant qu’appareils personnels (Bring Your Own Device ou BYOD) ou en tant qu’appareils d’entreprise.
Appareils BYOD
Les appareils BYOD sont configurés pour avoir un profil professionnel Android Entreprise. Cette fonctionnalité est intégrée à Android 5.1 et versions ultérieures. Cette fonctionnalité permet aux applications professionnelles et aux données d’être stockées dans un espace distinct, autonome et géré par l’entreprise sur l’appareil. Étant donné que les applications et données personnelles restent sur l’appareil à l’intérieur du profil personnel de l’utilisateur, les employés peuvent continuer à utiliser leur appareil comme ils le feraient habituellement.
Appareils professionnels
Il existe deux options pour les appareils appartenant à l’entreprise, et chacune d’elles sert un cas d’usage unique :
Appareils dédiés (anciennement COSU ou Usage unique appartenant à l’entreprise).
Note
L’exemple utilisé dans ce guide se concentre sur les scénarios BYOD. Pour plus d’informations sur les scénarios d’appareils dédiés (COSU), consultez Configuration et inscription coSU à l’aide de la méthode d’inscription de code QR.
Les appareils dédiés sont généralement verrouillés sur une seule application ou un ensemble d’applications (également appelé mode plein écran). Il permet à l’administrateur de contrôler des éléments tels que la barre d’état, les dispositions du clavier, l’écran de verrouillage et d’autres paramètres sur l’appareil. Il empêche les utilisateurs d’activer d’autres applications ou de modifier certains paramètres sur des appareils dédiés.
Note
Les appareils que vous gérez de cette façon sont inscrits dans Intune sans compte d’utilisateur et ne sont associés à aucun utilisateur final. Ils ne sont pas destinés à des applications ou applications personnelles qui ont une exigence forte pour les données de compte spécifiques à l’utilisateur telles qu’Outlook ou Gmail.
Appareils entièrement gérés (anciennement COBO ou Entreprise entreprise uniquement).
Note
Pour plus d’informations sur les appareils entièrement gérés, consultez Configurer l’inscription Intune des appareils Android Entreprise entièrement gérés.
Les appareils entièrement gérés s’intègrent dans un scénario plus centré sur l’utilisateur. Un seul utilisateur est associé à l’appareil, tandis que l’administrateur conserve toujours un contrôle total sur l’appareil (par opposition à un scénario de profil professionnel dans lequel plusieurs utilisateurs ont le contrôle).
Lorsque vous décidez comment inscrire vos appareils, n’oubliez pas que toutes les fonctionnalités ne sont pas disponibles pour les deux méthodes. Le tableau suivant présente quelques différences clés.
Ensemble des fonctionnalités | Profil professionnel (BYOD) | Dédié (kiosque) | Gestion intégrale |
---|---|---|---|
Profil de messagerie managé | ✓ | × | ✓ |
Profil Wi-Fi managé | ✓ | ✓ | ✓ |
Profil VPN managé | ✓ | × | ✓ |
Profil de certificat SCEP | ✓ | ✓ | ✓ |
Profil de certificat PKCS | ✓ | × | ✓ |
Profil de certificat approuvé | ✓ | ✓ | ✓ |
Profil personnalisé | ✓ | × | x |
Empêcher la réinitialisation aux paramètres d’usine | × | ✓ | ✓ |
Bloquer la capture de l’appareil photo et de l’écran | ✓ | ✓ | ✓ |
Bloquer les boutons de volume | × | ✓ | ✓ |
Bloquer la copie et le collage / partage de données | ✓ | ✓ | ✓ |
Mot de passe managé | ✓ | ✓ | ✓ |
Applications managées (obligatoires) | ✓ | ✓ | ✓ |
Applications managées (disponibles) | ✓ | × | ✓ |
Profil conteneurisé | ✓ | × | x |
Niveau kiosque Gestion des appareils | × | ✓ | x |
Gestion des appareils personnel | ✓ | × | x |
Inscription basée sur NFC | × | ✓ | ✓ |
Inscription basée sur des jetons | × | ✓ | ✓ |
Inscription basée sur le code QR | × | ✓ | ✓ |
Zéro toucher | × | ✓ | ✓ |
Conformité/accès conditionnel | ✓ | × | ✓ |
Pour plus d’informations, consultez Implémenter votre plan Microsoft Intune.
Connecter un compte Intune à un compte d’entreprise Android
La première étape de configuration d’Android Entreprise dans votre environnement consiste à connecter votre compte de locataire Intune à votre compte d’entreprise Android :
Créez un compte de service Google (@gmail.com).
Note
Ce compte est associé à toutes les tâches de gestion d’entreprise Android pour votre locataire. Il s’agit du compte Google que les administrateurs informatiques de votre entreprise partageront pour gérer et publier des applications dans la console Google Play. Vous pouvez utiliser un compte Google existant ou en créer un nouveau. Le compte que vous utilisez ne doit pas être associé à un domaine G-Suite.
Connectez-vous au Centre d’administration Microsoft Intune à l’aide de votre compte Administrateur général sous licence Intune.
Accédez à Appareils>Android>Inscription>Android Managed Google Play, sélectionnez J’accepte, puis lancez Google pour vous connecter maintenant pour ouvrir le site web Google Play géré.
Connectez-vous à votre compte Google, puis sélectionnez Bien démarrer.
Entrez le nom de votre entreprise, puis sélectionnez Suivant.
Acceptez les termes, puis sélectionnez Confirmer.
Sélectionnez Terminer l’inscription.
Pour plus d’informations, consultez Connecter votre compte Intune à votre compte Google Play géré.
Déployer des applications
Une fois que votre compte Intune est connecté à votre compte d’entreprise Android, vous pouvez déployer certaines applications en procédant comme suit :
Connectez-vous au Centre d’administration Microsoft Intune à l’aide de votre compte Administrateur général sous licence Intune.
Accédez à Apps>All apps>Add.
Dans le volet Sélectionner un type d’application, recherchez les types d’applications du Store disponibles, puis sélectionnez Application Google Play gérée.
Sélectionnez Sélectionner. L’app Store Google Play géré s’affiche.
Recherchez une application pour afficher les détails de l’application. Exemple : application Portail d’entreprise Intune.
Dans la page qui affiche l’application, sélectionnez Approuver. Une fenêtre pour l’application s’ouvre et vous invite à accorder des autorisations à l’application pour effectuer différentes opérations.
Sélectionnez Approuver à nouveau pour accepter les autorisations de l’application.
Sous l’onglet Paramètres d’approbation, sélectionnez Conserver approuvé lorsque l’application demande de nouvelles autorisations, puis sélectionnez Enregistrer.
Cliquez sur Sélectionner pour sélectionner l’application.
Sélectionnez Synchroniser en haut pour synchroniser l’application avec le service Google Play géré.
Sélectionnez Actualiser pour mettre à jour la liste des applications et afficher l’application nouvellement ajoutée.
Note
La synchronisation de l’application entre Intune et le Google Play Store géré est manuelle. Par conséquent, vous devez sélectionner le bouton Synchroniser chaque fois que vous approuvez une nouvelle application.
Une fois l’application ajoutée à Microsoft Intune, vous pouvez affecter l’application aux utilisateurs et aux appareils. À partir du Centre d’administration Microsoft Intune, accédez à Applications>toutes les applications. Regardez sous Gérer pour afficher l’application affichée dans la liste.
Pour affecter l’application à un groupe, sélectionnez l’application que vous souhaitez affecter. Dans la section Gérer du menu, sélectionnez Propriétés, puis sélectionnez Modifier en regard des affectations pour ouvrir le volet Ajouter un groupe .
Sous l’onglet Affectations , sous Obligatoire, sélectionnez Ajouter un groupe, sélectionnez les groupes à inclure, puis sélectionnez Sélectionner.
Dans le volet Affecter , sélectionnez Vérifier + enregistrer pour terminer la sélection des groupes inclus.
Dans le volet Affectations , sélectionnez Enregistrer pour enregistrer vos modifications.
Revenez à la vue Propriétés de l’application et vérifiez l’application sous Affectations.
Pour plus d’informations sur le déploiement d’applications, consultez Ajouter des applications système Android Entreprise à Microsoft Intune.
Activer l’inscription de profil professionnel Android Entreprise
Dans le portail Intune, accédez aux restrictions d’inscription de l’inscription des>appareils, puis sélectionnez Par défaut sous Restrictions de type d’appareil.
Sélectionnez Propriétés>Sélectionner des plateformes, sélectionnez Bloquer pour Android, sélectionnez Autoriser le profil professionnel Android, sélectionnez OK, puis Enregistrer pour enregistrer vos modifications.
Note
Les restrictions par défaut ont la priorité la plus basse et s’appliquent à tous les utilisateurs, ce qui ne peut pas être modifié. Lorsque vous créez des restrictions personnalisées supplémentaires, tenez compte des groupes auxquels ils sont affectés afin de ne pas créer de conflit avec cette configuration.
Pour plus d’informations, consultez Configurer l’inscription d’appareils de profil professionnel Android Entreprise.
Configurer un accès conditionnel
Déployez l’application Gmail ou l’application Nine Work en fonction des besoins.
Créez un profil de messagerie dans l’application en procédant comme suit :
Dans intune Portail Azure, sélectionnez Profils>de configuration>d’appareil Créer un profil, puis entrez Nom et Description du profil de messagerie.
Sélectionnez Android Enterprise dans la liste déroulante Plateforme .
Dans Profil de type>de profil uniquement, sélectionnez E-mail.
Configurez les paramètres du profil de messagerie.
Pour plus d’informations sur ces paramètres, consultez les paramètres de l’appareil Android pour configurer la messagerie, l’authentification et la synchronisation dans Intune.
Après avoir créé le profil de messagerie, affectez-le à des groupes.
Pour plus d’informations, consultez Configurer l’accès conditionnel pour les appareils de profil professionnel Android.
Inscrire votre appareil Android Entreprise
Connectez-vous avec votre compte professionnel, puis appuyez sur Inscrire maintenant.
Dans l’écran d’installation d’Access, appuyez sur Continuer.
Dans l’écran de déclaration de confidentialité, appuyez sur Continuer.
Dans l’écran Suivant, appuyez sur Suivant.
Dans l’écran Configurer un profil professionnel, appuyez sur Accepter.
Dans l’écran Activer le profil professionnel, appuyez sur Continuer.
Note
Vous pouvez voir une icône de badge en haut, ce qui signifie que vous êtes maintenant à l’intérieur du profil professionnel.
Sur l’écran Vous êtes tous définis , appuyez sur Terminé.
Vous pouvez maintenant vous connecter à Gmail. Lorsque vous êtes invité à mettre à jour les paramètres de sécurité, appuyez sur UPDATE NOW.
Appuyez sur Activer pour activer Gmail en tant qu’administrateur d’appareil.
Pour plus d’informations, consultez Inscrire des appareils Android.
Réinitialiser les codes secrets du profil professionnel Android
Créez un profil d’appareil qui nécessite un code secret de profil professionnel en procédant comme suit :
Dans l’Portail Azure Intune, sélectionnez Profils>de configuration>d’appareil Créer un profil, entrez Le nom et la description du profil.
Sélectionnez Android Enterprise dans la liste déroulante Plateforme .
Dans Profil professionnel type>de profil uniquement, sélectionnez Restrictions d’appareil.
Dans les paramètres du profil professionnel, sélectionnez Exiger un mot de passe de profil professionnel.
Sur l’appareil Android Enterprise, vous serez invité à définir un code secret de profil professionnel si vous n’en avez pas défini un.
Attendez que vous receviez une deuxième invite indiquant Sécuriser votre profil professionnel : autorisez le support technique de votre entreprise à réinitialiser à distance votre mot de passe de profil professionnel. Entrez votre code secret pour autoriser la réinitialisation. Il active le jeton de réinitialisation de mot de passe que Intune doit effectuer cette action avec succès.
Note
Si vous ignorez l’une de ces étapes, vous recevrez le message d’erreur suivant :
Échec du lancement du code secret de réinitialisationSélectionnez Réinitialiser le code secret.
Une fois la réinitialisation terminée, le code secret temporaire s’affiche.
Entrez ce code secret temporaire sur votre appareil.
Lorsque vous devez définir votre nouveau code confidentiel, vous devez entrer ce code secret temporaire, puis entrer votre nouveau code confidentiel.
Pour plus d’informations sur la réinitialisation du code secret, consultez Réinitialiser les codes secrets du profil professionnel Android.
Forum aux questions
Question : Pourquoi les applications que je n’ai pas approuvées du Magasin Google Play for Work ne sont-elles pas supprimées de la page Mobile Apps dans le portail d’administration Intune ?
Réponse : Ce comportement est attendu.
Question : Pourquoi les applications Google Play gérées ne sont-elles pas générées sous Applications découvertes dans le portail Intune ?
Réponse : Ce comportement est attendu.
Question : Pourquoi les applications Google Play gérées qui ne sont pas déployées via Intune sont-elles affichées dans le profil professionnel ?
Réponse : les applications système peuvent être activées dans le profil professionnel par l’OEM de l’appareil au moment où le profil professionnel est créé. Il n’est pas contrôlé par le fournisseur MDM.
Pour résoudre les problèmes, procédez comme suit :
- Collecter les journaux du portail d’entreprise.
- Notez toutes les applications qui apparaissent de façon inattendue dans le profil professionnel.
- Désinscrivez l’appareil à partir d’Intune et désinstallez le portail d’entreprise.
- Installez l’application Test DPC qui permet la création d’un profil professionnel sans EMM à des fins de test.
- Suivez les instructions de Test DPC pour créer un profil professionnel sur l’appareil.
- Passez en revue les applications qui apparaissent dans le profil professionnel.
- Si les mêmes applications s’affichent dans l’application Test DPC, les applications sont attendues par l’OEM pour cet appareil.
Question : Pourquoi l’option Réinitialiser (réinitialiser les paramètres d’usine) n’est-elle pas disponible pour mon appareil inscrit au profil professionnel ?
Réponse : Ce comportement est attendu. Dans le scénario de profil professionnel, le fournisseur MDM n’a pas de contrôle total sur l’appareil. La seule option disponible est Mise hors service (Supprimer les données de l’entreprise) qui supprime l’ensemble du profil professionnel et tout son contenu.
Question : Pourquoi ne puis-je pas trouver le chemin d’accès au fichier stockage interne/Android/Data.com.microsoft.windowsintune.companyportal/files sur mon appareil inscrit au profil professionnel pour collecter manuellement les journaux du portail d’entreprise ?
Réponse : Ce comportement est attendu. Ce chemin d’accès est créé uniquement pour le scénario Administrateur d’appareil (inscription Android héritée).
Pour collecter des journaux, procédez comme suit :
- Dans l’application Portail d’entreprise avec le badge, appuyez sur Prise en charge du message d’aide>du menu>, puis appuyez sur Envoyer un e-mail et charger les journaux.
- Lorsque vous êtes invité à envoyer une demande d’aide, sélectionnez l’une des applications e-mail.
- Un e-mail est généré à votre administrateur informatique avec un ID d’incident qui peut être fourni au support technique Microsoft.
Question : J’ai vérifié l’heure de la dernière synchronisation Google Play gérée et il n’a pas été mis à jour en jours. Pourquoi ?
Réponse : Ce comportement est attendu. La synchronisation est déclenchée uniquement lorsque vous le faites manuellement.
Question : Les applications web sont-elles prises en charge pour les appareils inscrits au profil professionnel ?
Réponse : Oui. Les applications web (ou liens web) sont prises en charge pour tous les scénarios Android Entreprise.
Question : La réinitialisation du code secret de l’appareil est-elle prise en charge ?
Réponse : Pour les appareils inscrits au profil professionnel, vous pouvez réinitialiser le code secret du profil professionnel uniquement sur les appareils exécutant Android 8.0+ si le code secret du profil professionnel est géré et que l’utilisateur vous a autorisé à le réinitialiser. Pour les appareils dédiés et complètement gérés, la réinitialisation du code secret de l’appareil est prise en charge.
Question : Mon appareil doit être chiffré lors de l’inscription. Existe-t-il une option pour désactiver le chiffrement ?
Réponse : Non. Le chiffrement est requis par Google pour le profil professionnel.
Question : Pourquoi les appareils Samsung bloquent-ils l’utilisation de claviers tiers comme SwiftKey ?
Réponse : Samsung a commencé à l’appliquer sur les appareils Android 8.0+. Microsoft travaille actuellement avec Samsung sur ce problème et publiera de nouvelles informations lorsqu’il est disponible.