Configurare la registrazione di Intune di dispositivi android enterprise dedicati
Usare la soluzione per dispositivi dedicati Android Enterprise con Microsoft Intune per configurare dispositivi di proprietà dell'azienda in stile chiosco multimediale monouso per i lavoratori in prima linea. Questi dispositivi vengono usati per un singolo scopo, ad esempio la firma digitale, la stampa di ticket o la gestione dell'inventario. Gli amministratori possono bloccare l'utilizzo di un dispositivo in una singola app o in un set limitato di app, incluse le app Web. Agli utenti viene impedito di aggiungere altre app o di intraprendere azioni nel dispositivo, a meno che l'utente non abbia approvato in modo esplicito.
I dispositivi destinati all'uso dedicato possono essere registrati in Microsoft Intune in due modi:
Come dispositivo android enterprise dedicato standard. Questi dispositivi vengono registrati in Intune senza un account utente e non sono associati a un utente. Questi dispositivi non sono destinati ad app personali o app come Microsoft Outlook o Google Mail che richiedono dati dell'account specifici dell'utente.
Come dispositivo android enterprise dedicato standard configurato automaticamente con Microsoft Authenticator e configurato per la modalità dispositivo condiviso di Microsoft Entra durante la registrazione. Questi dispositivi vengono registrati in Intune senza un account utente e non sono associati a un utente. Questi dispositivi sono destinati all'uso con app che si integrano con la modalità dispositivo condiviso di Microsoft Entra e consentono l'accesso Single Sign-In e l'disconnessione tra gli utenti tra le app partecipanti.
Questo articolo descrive come configurare e configurare Microsoft Intune per registrare i dispositivi dedicati. Per altre informazioni sulle soluzioni di gestione Android Enterprise, vedere Introduzione ad Android Enterprise(apre il Centro assistenza Android Enterprise).
Requisiti dei dispositivi
I dispositivi devono avere:
- Sistema operativo Android versione 8.0 o successiva.
- Una distribuzione di Android con connettività di Google Mobile Services (GMS). I dispositivi devono disporre di GMS e devono essere in grado di connettersi a GMS.
Configurare la gestione dei dispositivi android enterprise dedicata
Per configurare la gestione dei dispositivi android enterprise dedicata, seguire questa procedura:
- Per prepararsi a gestire i dispositivi mobili, è necessario impostare l'autorità di gestione dei dispositivi mobili (MDM) su Microsoft Intune per istruzioni. L'elemento viene impostato una sola volta quando si configura Intune per la gestione dei dispositivi mobili.
- Connettere l'account tenant di Intune all'account Google Play gestito.
- Creare un profilo di registrazione.
- Creare un gruppo di dispositivi.
- Registrare i dispositivi dedicati.
Creare un profilo di registrazione
Nota
Dopo la scadenza di un token, il profilo associato a esso scompare dalla visualizzazione in Profili di registrazione> AndroidDispositivi> dedicati di proprietà dell'azienda. Per visualizzare tutti i profili associati ai token attivi e inattivi, scegliere Filtro. Selezionare quindi le caselle di controllo per Stati dei criteri attivi e inattivi .
È necessario creare un profilo di registrazione in modo da poter registrare i dispositivi dedicati. Quando viene creato, il profilo fornisce un token di registrazione sotto forma di stringa e codice a matrice.
- Accedere all'Interfaccia di amministrazione di Microsoft Intune.
- Passare a Dispositivi e quindi in Device onboarding (Onboarding del dispositivo) selezionare Enrollment (Registrazione).
- Selezionare la scheda Android .
- Nella sezione Profili di registrazione scegliere Dispositivi dedicati di proprietà dell'azienda.
- Selezionare Crea profilo.
- Immettere le nozioni di base per il profilo:
- Nome: assegnare un nome al profilo in modo da poterlo identificare facilmente in un secondo momento.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
-
Tipo di token: scegliere il tipo di token da usare per registrare i dispositivi dedicati.
- Dispositivo dedicato di proprietà dell'azienda (impostazione predefinita): questo token registra i dispositivi come dispositivo android enterprise dedicato standard. Questi dispositivi non richiedono credenziali utente in alcun momento. Si tratta del tipo di token predefinito con cui verranno registrati i dispositivi dedicati, a meno che non venga aggiornato dall'amministratore al momento della creazione del token.
- Dispositivo dedicato di proprietà dell'azienda con la modalità condivisa id Microsoft Entra: questo token registra i dispositivi come dispositivo android enterprise dedicato standard e, durante la registrazione, distribuisce l'app Authenticator di Microsoft configurata in modalità dispositivo condiviso Microsoft Entra. Con questa opzione, gli utenti possono ottenere l'accesso Single Sign-In e l'accesso Single Sign-Out tra le app nel dispositivo integrate con Microsoft Entra Microsoft Authentication Library e le chiamate di accesso/disconnessione globali.
-
Data di scadenza del token: immettere la data di scadenza del token, fino a 65 anni in futuro. Il token scade alla data selezionata alle 12:59:59 del fuso orario creato. Formato di data accettabile:
MM/DD/YYYY
oYYYY-MM-DD
- Selezionare Avanti per continuare con i tag ambito.
- Facoltativamente, applicare uno o più tag di ambito per limitare la visibilità e la gestione del profilo a determinati utenti amministratori in Intune. Per altre informazioni su come usare i tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
- Selezionare Avanti per continuare con Rivedi e crea.
- Esaminare le scelte e quindi selezionare Crea per completare la creazione del profilo.
Accedere al token di registrazione
Accedere al token di registrazione nell'interfaccia di amministrazione.
- Passare a Registrazione dispositivi>.
- Selezionare la scheda Android .
- Nella sezione Profili di registrazione scegliere Dispositivi dedicati di proprietà dell'azienda.
- Nell'elenco selezionare il profilo di registrazione.
- Selezionare Token.
Il token viene visualizzato come stringa a 20 cifre e codice a matrice. Usare questo token per registrare i dispositivi tramite i meccanismi descritti in Registrare dispositivi del profilo di lavoro dedicati, completamente gestiti o di proprietà dell'azienda. Al momento della registrazione, all'utente del dispositivo viene richiesto il token di registrazione. È possibile specificare la stringa o la matrice, purché sia supportata dal sistema operativo Android e dalla versione del dispositivo di registrazione.
Sostituire, rimuovere o esportare il token
Selezionare un token per accedere a queste opzioni:
- Sostituisci token: genera un nuovo token che sta per scadere.
-
Revoca token: scade immediatamente il token. Una volta revocato, il token non è più utilizzabile. Questa opzione è utile se si:
- Condividere accidentalmente il token con un'entità non autorizzata.
- Completare tutte le registrazioni e non è più necessario il token.
- Token di esportazione: esportare il contenuto JSON del token. Questa opzione è utile per ottenere il contenuto JSON necessario per configurare Google Zero Touch o Knox Mobile Enrollment.
Se applicate, queste azioni non hanno alcun effetto sui dispositivi già registrati.
Creare un gruppo di dispositivi
È possibile assegnare app e criteri a gruppi di dispositivi assegnati o dinamici. È possibile configurare gruppi di dispositivi Microsoft Entra dinamici per popolare automaticamente i dispositivi registrati con un profilo di registrazione specifico seguendo questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Intune e scegliere Gruppi>Tutti i gruppi>Nuovo gruppo.
Completare tutti i campi obbligatori come indicato di seguito:
- Tipo di gruppo: Sicurezza
- Nome gruppo: digitare un nome intuitivo, ad esempio Dispositivi Factory 1
- Tipo di appartenenza: Dispositivo dinamico
Scegliere Aggiungi query dinamica.
Nella pagina Regole di appartenenza dinamiche completare tutti i campi come indicato di seguito:
- Proprietà: enrollmentProfileName
- Operatore: uguale a
- Valore: immettere il nome del profilo di registrazione creato in precedenza.
Per altre informazioni sulle regole di appartenenza dinamica, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.
Scegliere Salva per finalizzare la regola.
Registrare i dispositivi dedicati
È ora possibile registrare i dispositivi dedicati.
Nota
L'app Microsoft Intune verrà installata automaticamente durante la registrazione di un dispositivo dedicato. Questa app è necessaria per la registrazione e non può essere disinstallata. L'app Microsoft Authenticator verrà installata automaticamente durante la registrazione di un dispositivo dedicato quando si usa il tipo di token Dispositivo dedicato di proprietà dell'azienda con la modalità condivisa ID Microsoft Entra. Questa app è necessaria per questo metodo di registrazione e non può essere disinstallata.
Gestione delle app nei dispositivi dedicati Android Enterprise
Solo le app con tipo di assegnazione impostato su Obbligatorio possono essere installate nei dispositivi android enterprise dedicati. Le app vengono installate da Google Play Store gestito nello stesso modo dei dispositivi del profilo di lavoro personale e aziendale Android Enterprise.
Le app vengono aggiornate automaticamente nei dispositivi gestiti quando lo sviluppatore dell'app pubblica un aggiornamento in Google Play.
Per rimuovere un'app da dispositivi android enterprise dedicati, è possibile eseguire una delle operazioni seguenti:
- Eliminare la distribuzione dell'app necessaria.
- Creare una distribuzione di disinstallazione per l'app.