Configurare la registrazione per dispositivi Android Enterprise completamente gestiti

Configurare la soluzione per dispositivi Android Enterprise completamente gestita in Microsoft Intune per registrare e gestire i dispositivi di proprietà dell'azienda. Un dispositivo completamente gestito è associato a un singolo utente ed è destinato al lavoro, non all'uso personale. Un amministratore Intune può gestire l'intero dispositivo e applicare controlli dei criteri non disponibili con il profilo di lavoro Android Enterprise, ad esempio:

• Consenti l'installazione dell'app solo da Google Play gestito.
• Impedire agli utenti di disinstallare le app gestite.
• Impedire agli utenti di reimpostare le impostazioni predefinite dei dispositivi.

L'utente e gli utenti del dispositivo possono avviare la registrazione immettendo o analizzando un token di registrazione durante l'installazione del dispositivo. Questo articolo descrive i prerequisiti per la registrazione e come creare i profili e i token di registrazione. Alla fine di questo articolo, è possibile registrare i dispositivi.

Passo 1: Prerequisiti

Completare questi prerequisiti per garantire la corretta registrazione.

• È necessario disporre di un tenant autonomo Intune, con l'autorità di gestione dei dispositivi mobili (MDM) impostata su Microsoft Intune.

• I dispositivi devono:

  • Eseguire il sistema operativo Android versione 8.0 e successive.
  • Eseguire una compilazione Android con connettività di Google Mobile Services.
  • Avere Google Mobile Services disponibile ed essere in grado di connettersi ad esso.

  Se vengono soddisfatti tutti e tre i requisiti, non sono previste restrizioni per il produttore o l'OEM del dispositivo.

• Verificare che Android Enterprise sia supportato nell'area. Per i requisiti di Android Enterprise, vedere Introduzione ad Android Enterprise.

• Connettere l'account tenant Intune all'account Android Enterprise.

• Il processo di installazione di Android usa una scheda Chrome per autenticare gli utenti del dispositivo durante la registrazione. Se si dispone di un criterio di accesso condizionale Microsoft Entra con le configurazioni seguenti, è necessario escludere l'app cloud Microsoft Intune dai criteri:

  • Per concedere o bloccare l'accesso, è necessario che un dispositivo sia contrassegnato come conforme.

  • I criteri si applicano a Tutte le app cloud, Android e Browser.

Passaggio 2: Create nuovo profilo di registrazione

Intune genera automaticamente un profilo di registrazione predefinito e un token di registrazione per i dispositivi completamente gestiti. Il profilo di registrazione predefinito è denominato Profilo completamente gestito predefinito.

Per creare un nuovo profilo di registrazione:

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Passare a Registrazione dispositivi>.

3. Selezionare la scheda Android .

4. InProfili di registrazioneAndroid Enterprise> scegliere Dispositivi utente completamente gestiti di proprietà dell'azienda.

5. Selezionare Create profilo.

6. Immettere le nozioni di base per il profilo:

   • Nome: assegnare un nome al profilo. Annotare il nome per un secondo momento, perché è necessario quando si configura il gruppo di dispositivi dinamici.

   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

   • Tipo di token: scegliere il tipo di token da usare per registrare i dispositivi aziendali completamente gestiti. Per altre informazioni, vedere Tipi di token in questo articolo. Le opzioni disponibili sono:

     • Proprietà dell'azienda, completamente gestita (impostazione predefinita)

     • Di proprietà dell'azienda, completamente gestito, tramite staging

   • Data di scadenza del token: disponibile solo con il token di staging. Immettere la data di scadenza del token, fino a 65 anni in futuro. Formato di data accettabile: MM/DD/YYYY o YYYY-MM-DD Il token scade alla data selezionata alle 12:59:59 del fuso orario creato.

7. Selezionare Avanti per continuare con i tag ambito.

8. Applicare uno o più tag di ambito per limitare la visibilità e la gestione del profilo a determinati utenti amministratori in Intune. I tag di ambito sono facoltativi. Per altre informazioni su come usare i tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

9. Selezionare Avanti per continuare con Rivedi e crea.

10. Esaminare il riepilogo del profilo e quindi selezionare Create per finalizzarlo.

Per esaminare, apportare modifiche o eliminare il profilo:

1. Selezionare il profilo.

2. Selezionare Panoramica per esaminare gli elementi essenziali del profilo ed eliminare il profilo.

3. Selezionare Proprietà>Modifica per apportare modifiche alle nozioni di base o ai tag di ambito del profilo.

4. Selezionare Token per recuperare, revocare o esportare il token.

Passaggio 3: Create gruppo di Microsoft Entra dinamico

Facoltativamente, creare un gruppo di Microsoft Entra dinamico per raggruppare automaticamente i dispositivi in base a un determinato attributo o variabile. In questo caso, si vuole usare la enrollmentProfileName proprietà per raggruppare i dispositivi registrati con lo stesso profilo.

Aggiungere queste configurazioni al gruppo:

• Tipo di gruppo: Sicurezza

• Tipo di appartenenza: Dispositivo dinamico

• Aggiungere una query dinamica con la regola seguente:

  • Proprietà: enrollmentProfileName
  • Operatore: uguale a
  • Valore: immettere il nome del profilo di registrazione creato nel passaggio 2: Create nuovo profilo di registrazione.

Non è possibile usare i gruppi dinamici con il profilo di registrazione predefinito. Per altre informazioni su come creare un gruppo dinamico con regole, vedere Create una regola di appartenenza a un gruppo.

Passaggio 4: Registrare i dispositivi

Dopo aver configurato il profilo di registrazione, il token e il gruppo dinamico, è possibile usare uno di questi metodi di provisioning per registrare i dispositivi come completamente gestiti:

• Near Field Communication (NFC)
• Stringa del token o codice a matrice
• Registrazione zero-touch
• Registrazione Samsung Knox per registrazione di dispositivi mobili

Per i passaggi successivi, incluso come registrare i dispositivi con ogni metodo di provisioning, vedere Registrare i dispositivi android enterprise di proprietà dell'azienda.

Tipi di token

Quando si crea il profilo di registrazione nell'interfaccia di amministrazione, è necessario selezionare un tipo di token. Esistono due tipi di token. Ogni tipo abilita un flusso di registrazione diverso.

Il token predefinito, di proprietà dell'azienda, completamente gestito, registra i dispositivi in Microsoft Intune come dispositivi android enterprise standard completamente gestiti. Questo token richiede di completare i passaggi di pre-provisioning prima di distribuire i dispositivi. Gli utenti finali completano i passaggi rimanenti nel dispositivo quando accedono con l'account aziendale o dell'istituto di istruzione.

Il token di gestione temporanea del dispositivo, di proprietà dell'azienda, completamente gestito, tramite la gestione temporanea, registra i dispositivi in Microsoft Intune in una modalità di staging in modo che l'utente o un fornitore di terze parti possa completare tutti i passaggi di pre-provisioning. Gli utenti finali completano l'ultimo passaggio del provisioning accedendo all'app Microsoft Intune con l'account aziendale o dell'istituto di istruzione. I dispositivi sono pronti per l'uso al momento dell'accesso. Intune supporta la gestione temporanea dei dispositivi per dispositivi Android Enterprise che eseguono Android 8 o versioni successive.

Per altre informazioni, vedere Panoramica della gestione temporanea del dispositivo.

Sostituire, rimuovere o esportare il token

Selezionare un token nell'interfaccia di amministrazione per accedere a queste opzioni di gestione:

• Sostituisci token: genera un nuovo token che sta per scadere.

• Revoca token: scade immediatamente il token. Dopo la revoca, il token non è più utilizzabile. Questa opzione è utile se si:

  • Condividere accidentalmente il token con un'entità non autorizzata.

  • Completare tutte le registrazioni e non è più necessario il token.

• Token di esportazione: esportare il contenuto JSON del token. È possibile usare questa opzione per ottenere il contenuto JSON necessario per la configurazione di Google Zero Touch o Knox Mobile Enrollment.

Se applicate, queste azioni non hanno alcun effetto sui dispositivi già registrati.