Guida end-to-end per la configurazione di dispositivi Android Enterprise in Microsoft Intune
Questa guida aiuta gli amministratori a comprendere come configurare e risolvere i problemi dei dispositivi Android Enterprise in un ambiente Microsoft Intune. Vengono illustrati gli scenari comuni seguenti:
- Onboarding in Google
- Distribuzione dell'applicazione
- Abilitazione della registrazione del profilo di lavoro
- Configurazione dell'accesso condizionale
- Esperienza dell'utente finale di registrazione del profilo di lavoro
- Rilascio di una reimpostazione del passcode del profilo di lavoro
Consente di decidere quale funzionalità di gestione è la migliore per l'organizzazione e fornisce domande frequenti su Android Enterprise.
Valutare le esigenze
Prima di abilitare i dispositivi Android Enterprise in Intune, è necessario determinare se si vuole registrare tali dispositivi come dispositivi personali (Bring Your Own Device o BYOD) o come dispositivi aziendali.
Dispositivi BYOD
I dispositivi BYOD sono configurati per avere un profilo di lavoro Android Enterprise. Questa funzionalità è integrata in Android 5.1 e versioni successive. Questa funzionalità consente di archiviare le app e i dati aziendali in uno spazio separato, indipendente e gestito dall'azienda nel dispositivo. Poiché le app e i dati personali rimangono nel dispositivo all'interno del profilo personale dell'utente, i dipendenti possono continuare a usare il dispositivo come di solito.
Dispositivi aziendali
Esistono due opzioni per i dispositivi di proprietà dell'azienda, ognuno dei quali offre un caso d'uso univoco:
Dispositivi dedicati (in precedenza noti come COSU o uso singolo di proprietà dell'azienda).
Note
L'esempio usato in questa guida è incentrato sugli scenari BYOD. Per altre informazioni sugli scenari di coSU (Dedicated Devices), vedere CoSU Configuration and Enrollment using the QR code enrollment method (Configurazione coSU e registrazione tramite il metodo di registrazione del codice a matrice).
I dispositivi dedicati sono in genere bloccati in una singola app o in un set di app (noto anche come modalità tutto schermo). Consente all'amministratore di controllare elementi come la barra di stato, i layout di tastiera, la schermata di blocco e altre impostazioni nel dispositivo. Impedisce agli utenti di abilitare altre app o di modificare determinate impostazioni nei dispositivi dedicati.
Note
I dispositivi gestiti in questo modo vengono registrati in Intune senza un account utente e non sono associati ad alcun utente finale. Non sono destinati ad applicazioni o app per uso personale che hanno un requisito sicuro per i dati dell'account specifici dell'utente, ad esempio Outlook o Gmail.
Dispositivi completamente gestiti (in precedenza noti come COBO o Solo business di proprietà dell'azienda).
Note
Per altre informazioni sui dispositivi completamente gestiti, vedere Configurare la registrazione di Intune dei dispositivi Android Enterprise completamente gestiti.
I dispositivi completamente gestiti rientrano in uno scenario più incentrato sugli utenti. Un singolo utente è associato al dispositivo mentre l'amministratore mantiene comunque il controllo completo sul dispositivo (anziché uno scenario del profilo di lavoro, in cui più utenti hanno il controllo).
Quando si decide come registrare i dispositivi, tenere presente che non tutte le funzionalità sono disponibili per entrambi i metodi. La tabella seguente illustra alcune differenze principali.
Set di funzionalità | Profilo di lavoro (BYOD) | Dedicato (chiosco multimediale) | Completamente gestito |
---|---|---|---|
Profilo di posta elettronica gestito | ✓ | × | ✓ |
Profilo Wi-Fi gestito | ✓ | ✓ | ✓ |
Profilo VPN gestito | ✓ | × | ✓ |
Profilo certificato SCEP | ✓ | ✓ | ✓ |
Profilo certificato PKCS | ✓ | × | ✓ |
Profilo certificato attendibile | ✓ | ✓ | ✓ |
Profilo personalizzato | ✓ | × | x |
Impedire il ripristino delle impostazioni predefinite | × | ✓ | ✓ |
Blocca acquisizione fotocamera e schermata | ✓ | ✓ | ✓ |
Pulsanti di blocco del volume | × | ✓ | ✓ |
Blocca copia e incolla/condivisione dati | ✓ | ✓ | ✓ |
Password gestita | ✓ | ✓ | ✓ |
Applicazioni gestite (obbligatorio) | ✓ | ✓ | ✓ |
Applicazioni gestite (disponibili) | ✓ | × | ✓ |
Profilo in contenitori | ✓ | × | x |
Gestione dispositivi a livello di chiosco multimediale | × | ✓ | x |
Gestione dispositivi personali | ✓ | × | x |
Registrazione basata su NFC | × | ✓ | ✓ |
Registrazione basata su token | × | ✓ | ✓ |
Registrazione basata su codice a matrice | × | ✓ | ✓ |
Zero Touch | × | ✓ | ✓ |
Conformità/accesso condizionale | ✓ | × | ✓ |
Per altre informazioni, vedere Implementare il piano di Microsoft Intune.
Connettere un account Intune a un account Android Enterprise
Il primo passaggio per configurare Android Enterprise nell'ambiente consiste nel connettere l'account tenant di Intune all'account Android Enterprise:
Creare un account del servizio Google (@gmail.com).
Note
Questo account verrà associato a tutte le attività di gestione di Android Enterprise per il tenant. È l'account Google che gli amministratori IT dell'azienda condivideranno per gestire e pubblicare app nella console di Google Play. Puoi usare un account Google esistente o crearne uno nuovo. L'account usato non deve essere associato a un dominio G-Suite.
Accedere all'interfaccia di amministrazione di Microsoft Intune usando l'account amministratore globale con licenza di Intune.
Passare a Dispositivi>Android>Registrazione>gestita di Google Play, selezionare Accetto e quindi selezionare Avvia Google per connettersi ora per aprire il sito Web Google Play gestito.
Accedere al proprio account Google e quindi selezionare Inizia.
Immettere il nome dell'azienda e quindi selezionare Avanti.
Accettare i termini e quindi selezionare Conferma.
Selezionare Completa registrazione.
Per altre informazioni, vedere Connettere l'account di Intune all'account Google Play gestito.
Distribuire applicazioni
Dopo che l'account di Intune è connesso all'account Android Enterprise, è possibile distribuire alcune applicazioni seguendo questa procedura:
Accedere all'interfaccia di amministrazione di Microsoft Intune usando l'account amministratore globale con licenza di Intune.
Passare ad App Tutte>le app>Aggiungi.
Nel riquadro Seleziona tipo di app individuare i tipi di app dello Store disponibili e quindi selezionare App Google Play gestita.
Selezionare Seleziona. Viene visualizzato l'app Store di Google Play gestito.
Cercare un'app per visualizzare i dettagli dell'app. Esempio: Portale aziendale Intune'app.
Nella pagina in cui viene visualizzata l'app selezionare Approva. Viene aperta una finestra per l'app e viene richiesto di concedere le autorizzazioni per l'app per eseguire varie operazioni.
Selezionare di nuovo Approva per accettare le autorizzazioni dell'app.
Nella scheda Impostazioni approvazione selezionare Mantieni approvato quando l'app richiede nuove autorizzazioni e quindi selezionare Salva.
Fare clic su Seleziona per selezionare l'app.
Selezionare Sincronizza nella parte superiore per sincronizzare l'app con il servizio Google Play gestito.
Selezionare Aggiorna per aggiornare l'elenco di app e visualizzare l'app appena aggiunta.
Note
La sincronizzazione dell'app tra Intune e Google Play Store gestito è manuale. È quindi necessario selezionare il pulsante Sincronizza ogni volta che si approva una nuova app.
Dopo l'aggiunta dell'app a Microsoft Intune, è possibile assegnare l'app a utenti e dispositivi. Dall'interfaccia di amministrazione di Microsoft Intune passare ad App>tutte le app. Cercare in Gestisci per visualizzare l'app visualizzata nell'elenco.
Per assegnare l'app a un gruppo, selezionare l'app da assegnare. Nella sezione Gestisci del menu selezionare Proprietà e quindi selezionare Modifica accanto a Assegnazioni per aprire il riquadro Aggiungi gruppo.
Nella scheda Assegnazioni, in Obbligatorio selezionare Aggiungi gruppo, selezionare i gruppi da includere e quindi selezionare Seleziona.
Nel riquadro Assegna selezionare Rivedi e salva per completare la selezione dei gruppi inclusi.
Nel riquadro Assegnazioni selezionare Salva per salvare le modifiche.
Tornare alla visualizzazione Proprietà app e verificare l'app in Assegnazioni.
Per altre informazioni sulla distribuzione di app, vedere Aggiungere app di sistema Android Enterprise a Microsoft Intune.
Abilitare la registrazione del profilo di lavoro Android Enterprise
Dal portale di Intune passare a Restrizioni di registrazione>dispositivi e quindi selezionare Predefinito in Restrizioni del tipo di dispositivo.
Selezionare Proprietà>Selezionare piattaforme, selezionare Blocca per Android, selezionare Consenti per profilo di lavoro Android, selezionare OK e quindi selezionare Salva per salvare le modifiche.
Note
Le restrizioni predefinite hanno la priorità più bassa e si applicano a tutti gli utenti, che non possono essere modificate. Quando si creano restrizioni personalizzate aggiuntive, tenere presente i gruppi a cui sono assegnati in modo da non creare un conflitto con questa configurazione.
Per altre informazioni, vedere Configurare la registrazione dei dispositivi con profilo di lavoro Android Enterprise.
Configurare l’accesso condizionale
Distribuire l'app Gmail o l'app Nine Work come richiesto.
Creare un profilo di posta elettronica per l'app seguendo questa procedura:
Nella portale di Azure di Intune selezionare Profili>di configurazione>del dispositivo Crea profilo e quindi immettere Nome e Descrizione per il profilo di posta elettronica.
Selezionare Android Enterprise nell'elenco a discesa Piattaforma .
In Profile Type Work Profile Only (Solo profilo di lavoro tipo profilo)>selezionare Email (Posta elettronica).
Configurare le impostazioni del profilo di posta elettronica.
Per altre informazioni su queste impostazioni, vedere Impostazioni del dispositivo Android per configurare posta elettronica, autenticazione e sincronizzazione in Intune.
Dopo aver creato il profilo di posta elettronica, assegnarlo ai gruppi.
Configurare l'accesso condizionale basato su dispositivo.
Per altre informazioni, vedere Configurare l'accesso condizionale per i dispositivi con profilo di lavoro Android.
Registrare il dispositivo Android Enterprise
Accedere con l'account aziendale e quindi toccare Registra adesso.
Nella schermata Configurazione di accesso toccare Continua.
Nella schermata informativa sulla privacy toccare Continua.
Nella schermata Successiva toccare Avanti.
Nella schermata Configura un profilo di lavoro toccare Accetta.
Nella schermata Attiva profilo di lavoro toccare Continua.
Note
È possibile visualizzare un'icona di notifica nella parte superiore, il che significa che si è all'interno del profilo di lavoro.
Nella schermata You're all set toccare Done (Fine).
È ora possibile accedere a Gmail. Quando viene richiesto di aggiornare le impostazioni di sicurezza, toccare AGGIORNA ORA.
Toccare Attiva per attivare Gmail come amministratore del dispositivo.
Per altre informazioni, vedere Registrare i dispositivi Android.
Reimpostare i passcode del profilo di lavoro Android
Creare un profilo di dispositivo che richiede un passcode del profilo di lavoro seguendo questa procedura:
Nella portale di Azure di Intune selezionare Profili>di configurazione>del dispositivo Crea profilo, immettere Nome e Descrizione per il profilo.
Selezionare Android Enterprise nell'elenco a discesa Piattaforma .
In Profile Type Work Profile Only (Solo profilo di lavoro tipo profilo>) selezionare Device Restrictions (Limitazioni del dispositivo).
In Impostazioni profilo di lavoro selezionare Richiedi in Richiedi password profilo di lavoro.
Nel dispositivo Android Enterprise verrà richiesto di impostare un passcode del profilo di lavoro se non ne è stato impostato uno.
Attendere fino a quando non viene visualizzato un secondo prompt che indica Proteggere il profilo di lavoro: autorizzare il supporto tecnico aziendale a reimpostare in remoto la password del profilo di lavoro. Immettere il passcode per autorizzare la reimpostazione. Attiva il token di reimpostazione della password che Intune deve eseguire correttamente questa azione.
Note
Se si ignora uno di questi passaggi, verrà visualizzato il messaggio di errore seguente:
Avvio del passcode di reimpostazione non riuscitoSelezionare Reimposta passcode.
Al termine della reimpostazione, viene visualizzato il passcode temporaneo.
Immettere questo passcode temporaneo nel dispositivo.
Quando è necessario impostare il nuovo PIN, è necessario immettere nuovamente questo passcode temporaneo e quindi immettere il nuovo PIN.
Per altre informazioni sulla reimpostazione del passcode, vedere Reimpostare i passcode del profilo di lavoro Android.
Domande frequenti
Domanda: Perché le app non approvate dall'archivio Google Play for Work non vengono rimosse dalla pagina App per dispositivi mobili nel portale di amministrazione di Intune?
Risposta: Questo comportamento è previsto.
Domanda: Perché le app Google Play gestite non segnalano in App individuate nel portale di Intune?
Risposta: Questo comportamento è previsto.
Domanda: Perché le app Google Play gestite non distribuite tramite Intune vengono visualizzate nel profilo di lavoro?
Risposta: Le app di sistema possono essere abilitate nel profilo di lavoro dall'OEM del dispositivo al momento della creazione del profilo di lavoro. Non è controllato dal provider MDM.
Per risolvere i problemi, seguire questa procedura:
- Raccogliere Portale aziendale log.
- Si notino tutte le app visualizzate in modo imprevisto nel profilo di lavoro.
- Annullare la registrazione del dispositivo da Intune e disinstallare il Portale aziendale.
- Installare l'app Test DPC che consente la creazione di un profilo di lavoro senza EMM per i test.
- Seguire le istruzioni in Test DPC per creare un profilo di lavoro nel dispositivo.
- Esaminare le app visualizzate nel profilo di lavoro.
- Se le stesse applicazioni vengono visualizzate nell'app Test DPC, le app sono previste dall'OEM per tale dispositivo.
Domanda: Perché l'opzione Cancella (ripristino delle impostazioni predefinite) non è disponibile per il dispositivo registrato del profilo di lavoro?
Risposta: Questo comportamento è previsto. Nello scenario del profilo di lavoro il provider MDM non ha il controllo completo sul dispositivo. L'unica opzione disponibile è Ritira (Rimuovi dati aziendali) che rimuove l'intero profilo di lavoro e tutto il relativo contenuto.
Domanda: Perché non è possibile trovare il percorso del file Archiviazione interna/Android/Data.com.microsoft.windowsintune.companyportal/files nel dispositivo registrato nel profilo di lavoro per raccogliere manualmente i log di Portale aziendale?
Risposta: Questo comportamento è previsto. Questo percorso viene creato solo per lo scenario Device Admin (Legacy Android Enrollment).
Per raccogliere i log, seguire questa procedura:
- Nell'app Portale aziendale con il badge toccare Menu Help Email Support (Supporto della posta elettronica) e quindi toccare Send Email &Upload logs (Invia log di posta elettronica e caricamento).In the Portale aziendale app with the badge, tap Menu>Help>Email Support, and then tap Send Email & Upload logs.
- Quando viene richiesto di inviare una richiesta di assistenza con, selezionare una delle app di posta elettronica.
- Un messaggio di posta elettronica viene generato all'amministratore IT con un ID evento imprevisto che può essere fornito al supporto tecnico Microsoft.
Domanda: Ho controllato l'ora dell'ultima sincronizzazione di Google Play gestita e non è stata aggiornata in giorni. Perché?
Risposta: Questo comportamento è previsto. La sincronizzazione viene attivata solo quando si esegue manualmente questa operazione.
Domanda: Le applicazioni Web sono supportate per i dispositivi registrati con profilo di lavoro?
Risposta: sì. Le app Web (o i collegamenti Web) sono supportate per tutti gli scenari Android Enterprise.
Domanda: La reimpostazione del passcode del dispositivo è supportata?
Risposta: Per i dispositivi registrati con profilo di lavoro, è possibile reimpostare il passcode del profilo di lavoro solo nei dispositivi che eseguono Android 8.0+ se il passcode del profilo di lavoro è gestito e l'utente ha consentito di reimpostarlo. Per i dispositivi dedicati e completamente gestiti, è supportata la reimpostazione del passcode del dispositivo.
Domanda: Il dispositivo deve essere crittografato al momento della registrazione. Esiste un'opzione per disattivare la crittografia?
Risposta: No. La crittografia è richiesta da Google per il profilo di lavoro.
Domanda: Perché i dispositivi Samsung bloccano l'uso di tastiere di terze parti come SwiftKey?
Risposta: Samsung ha iniziato ad applicare questo problema nei dispositivi Android 8.0+. Microsoft sta attualmente lavorando con Samsung su questo problema e pubblicherà nuove informazioni quando è disponibile.