Configurare la registrazione per dispositivi Android Enterprise completamente gestiti
Configurare la soluzione per dispositivi Android Enterprise completamente gestita in Microsoft Intune per registrare e gestire i dispositivi di proprietà dell'azienda. Un dispositivo completamente gestito è associato a un singolo utente ed è destinato al lavoro, non all'uso personale. Gli amministratori di Intune possono gestire l'intero dispositivo e applicare controlli dei criteri non disponibili con il profilo di lavoro Android Enterprise, ad esempio:
- Consenti l'installazione dell'app solo da Google Play gestito.
- Impedire agli utenti di disinstallare le app gestite.
- Impedire agli utenti di reimpostare le impostazioni predefinite dei dispositivi.
L'utente e gli utenti del dispositivo possono avviare la registrazione immettendo o analizzando un token di registrazione durante l'installazione del dispositivo. Questo articolo descrive i prerequisiti per la registrazione e come creare i profili e i token di registrazione. Alla fine di questo articolo, si sarà pronti per registrare i dispositivi.
Passo 1: Prerequisiti
Completare questi prerequisiti per garantire la corretta registrazione.
È necessario disporre di un tenant autonomo di Intune, con l'autorità di gestione dei dispositivi mobili (MDM) impostata su Microsoft Intune.
I dispositivi devono:
- Eseguire il sistema operativo Android versione 8.0 e successive.
- Eseguire una compilazione Android con connettività di Google Mobile Services.
- Avere Google Mobile Services disponibile ed essere in grado di connettersi ad esso.
Se vengono soddisfatti tutti e tre i requisiti, non sono previste restrizioni per il produttore o l'OEM del dispositivo.
Verificare che Android Enterprise sia supportato nell'area. Per i requisiti di Android Enterprise, vedere Introduzione ad Android Enterprise.
Connettere l'account tenant di Intune all'account Android Enterprise.
Il processo di installazione di Android usa una scheda Chrome per autenticare gli utenti del dispositivo durante la registrazione. Se si dispone di un criterio di accesso condizionale Microsoft Entra con le configurazioni seguenti, sarà necessario escludere l'app cloud Microsoft Intune dai criteri:
- Per concedere o bloccare l'accesso, è necessario che un dispositivo sia contrassegnato come conforme.
- I criteri si applicano a Tutte le app cloud, Android e Browser.
Passaggio 2: Creare un nuovo profilo di registrazione
Intune genera automaticamente un profilo di registrazione predefinito e un token di registrazione per i dispositivi completamente gestiti. Il profilo di registrazione predefinito è denominato Profilo completamente gestito predefinito.
Per creare un nuovo profilo di registrazione:
- Accedere all'interfaccia di amministrazione Microsoft Intune.
- Passare a Registrazione dispositivi>.
- Selezionare la scheda Android .
- InProfili di registrazioneAndroid Enterprise> scegliere Dispositivi utente completamente gestiti di proprietà dell'azienda.
- In Consenti agli utenti di registrare i dispositivi utente di proprietà dell'azienda scegliere Sì.
- Selezionare Crea profilo.
- Immettere le nozioni di base per il profilo:
- Nome: assegnare un nome al profilo. Annotare il nome per un secondo momento, perché sarà necessario quando si configura il gruppo di dispositivi dinamici.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
- Selezionare Avanti per continuare con i tag ambito.
- Facoltativamente, applicare uno o più tag di ambito per limitare la visibilità e la gestione del profilo a determinati utenti amministratori in Intune. Per altre informazioni su come usare i tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
- Selezionare Avanti per continuare con Rivedi e crea.
- Esaminare il riepilogo del profilo e quindi selezionare Crea per finalizzarlo.
Per esaminare, apportare modifiche o eliminare il profilo:
- Selezionare il profilo.
- Selezionare Panoramica per esaminare gli elementi essenziali del profilo ed eliminare il profilo.
- Selezionare Proprietà>Modifica per apportare modifiche alle nozioni di base o ai tag di ambito del profilo.
- Selezionare Token per recuperare, revocare o esportare il token.
Passaggio 3: Creare un gruppo di Microsoft Entra dinamico
Facoltativamente, creare un gruppo di Microsoft Entra dinamico per raggruppare automaticamente i dispositivi in base a un determinato attributo o variabile. In questo caso, si vuole usare la enrollmentProfileName proprietà per raggruppare i dispositivi registrati con lo stesso profilo.
Aggiungere queste configurazioni al gruppo:
- Tipo di gruppo: Sicurezza
- Tipo di appartenenza: Dispositivo dinamico
- Aggiungere una query dinamica con la regola seguente:
- Proprietà: enrollmentProfileName
- Operatore: uguale a
- Valore: immettere il nome del profilo di registrazione creato nel passaggio 2: Creare un nuovo profilo di registrazione.
Non è possibile usare i gruppi dinamici con il profilo di registrazione predefinito. Per altre informazioni su come creare un gruppo dinamico con regole, vedere Creare una regola di appartenenza a un gruppo.
Passaggio 4: Registrare i dispositivi
Dopo aver configurato il profilo di registrazione, il token e il gruppo dinamico, è possibile usare uno di questi metodi di provisioning per registrare i dispositivi come completamente gestiti:
- Near Field Communication (NFC)
- Stringa del token o codice a matrice
- Registrazione zero-touch
- Registrazione Samsung Knox per registrazione di dispositivi mobili
Per i passaggi successivi, incluso come registrare i dispositivi con ogni metodo di provisioning, vedere Registrare i dispositivi android enterprise di proprietà dell'azienda.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per