Share via


Inschrijving instellen voor volledig beheerde Android Enterprise-apparaten

Stel de volledig beheerde Android Enterprise-apparaatoplossing in Microsoft Intune in om apparaten in bedrijfseigendom in te schrijven en te beheren. Een volledig beheerd apparaat is gekoppeld aan één gebruiker en is bedoeld voor werk, niet voor persoonlijk gebruik. Als Intune-beheerder kunt u het hele apparaat beheren en beleidscontroles afdwingen die niet beschikbaar zijn met een Android Enterprise-werkprofiel, zoals:

  • Alleen app-installatie vanuit Beheerde Google Play toestaan.
  • Voorkomen dat gebruikers beheerde apps verwijderen.
  • Voorkomen dat gebruikers de fabrieksinstellingen van apparaten opnieuw instellen.

U en uw apparaatgebruikers kunnen de inschrijving initiëren door een inschrijvingstoken in te voeren of te scannen tijdens de installatie van het apparaat. In dit artikel worden de vereisten voor inschrijving beschreven en hoe u inschrijvingsprofielen en -tokens maakt. Aan het einde van dit artikel kunt u apparaten inschrijven.

Stap 1: vereisten

Voltooi deze vereisten om een geslaagde inschrijving te garanderen.

  • U moet een zelfstandige Intune-tenant hebben, waarbij de MDM-instantie (Mobile Device Management) is ingesteld op Microsoft Intune.

  • Apparaten moeten:

    • Voer Android OS versie 8.0 en hoger uit.
    • Voer een Android-build uit met Google Mobile Services-connectiviteit.
    • Zorg dat Google Mobile Services beschikbaar is en er verbinding mee kan maken.

    Er is geen beperking voor de fabrikant/OEM van het apparaat als aan alle drie de vereisten wordt voldaan.

  • Zorg ervoor dat Android Enterprise wordt ondersteund in uw regio. Zie Aan de slag met Android Enterprise voor vereisten voor Android Enterprise.

  • Verbind uw Intune-tenantaccount met uw Android Enterprise-account.

  • Het Android-installatieproces maakt gebruik van een Chrome-tabblad om apparaatgebruikers te verifiëren tijdens de inschrijving. Als u een Microsoft Entra-beleid voor voorwaardelijke toegang hebt met de volgende configuraties, moet u de Microsoft Intune-cloud-app uitsluiten van het beleid:

    • Vereisen dat een apparaat moet worden gemarkeerd als conforme instelling wordt gebruikt om toegang te verlenen of te blokkeren.

    • Het beleid is van toepassing op alle cloud-apps, Android en browsers.

Stap 2: nieuw inschrijvingsprofiel maken

Intune genereert automatisch een standaardinschrijvingsprofiel en inschrijvingstoken voor volledig beheerde apparaten. Het standaardinschrijvingsprofiel heet Standaard volledig beheerd profiel.

Een nieuw inschrijvingsprofiel maken:

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Ga naarApparaatinschrijving>.

  3. Selecteer het tabblad Android .

  4. Kies onder AndroidEnterprise-inschrijvingsprofielen> de optie Volledig beheerde gebruikersapparaten in bedrijfseigendom.

  5. Selecteer Profiel maken.

  6. Voer de basisbeginselen voor uw profiel in:

    • Naam: geef het profiel een naam. Noteer de naam voor later, omdat u deze nodig hebt bij het instellen van de dynamische apparaatgroep.

    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

    • Tokentype: kies het type token dat u wilt gebruiken om volledig beheerde bedrijfsapparaten in te schrijven. Zie Tokentypen in dit artikel voor meer informatie. Uw opties:

      • Volledig beheerd in bedrijfseigendom (standaard)

      • Bedrijfseigendom, volledig beheerd, via fasering

    • Vervaldatum van token: alleen beschikbaar met het faseringstoken. Voer de datum in waarop u het token wilt laten verlopen, maximaal 65 jaar later. Acceptabele datumnotatie: MM/DD/YYYY of YYYY-MM-DD Het token verloopt op de geselecteerde datum om 12:59:59 pm in de tijdzone die het is gemaakt.

  7. Selecteer Volgende om door te gaan naar Bereiktags.

  8. Pas een of meer bereiktags toe om de zichtbaarheid en het beheer van profielen te beperken tot bepaalde beheerders in Intune. Bereiktags zijn optioneel. Zie Op rollen gebaseerd toegangsbeheer (RBAC) en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over het gebruik van bereiktags.

  9. Selecteer Volgende om door te gaan met Beoordelen en maken.

  10. Bekijk de samenvatting van uw profiel en selecteer vervolgens Maken om het te voltooien.

Het profiel controleren, wijzigen of verwijderen:

  1. Selecteer het profiel.

  2. Selecteer Overzicht om de belangrijkste functies van het profiel te bekijken en het profiel te verwijderen.

  3. Selecteer Eigenschappen>bewerken om wijzigingen aan te brengen in de basisbeginselen van het profiel of de bereiktags.

  4. Selecteer Token om het token op te halen, in te trekken of te exporteren.

Stap 3: Dynamische Microsoft Entra-groep maken

U kunt desgewenst een dynamische Microsoft Entra-groep maken om apparaten automatisch te groepeer op basis van een bepaald kenmerk of een bepaalde variabele. In dit geval willen we de enrollmentProfileName eigenschap gebruiken om apparaten te groeperen die zijn ingeschreven met hetzelfde profiel.

Voeg deze configuraties toe aan uw groep:

  • Groepstype: Beveiliging

  • Lidmaatschapstype: Dynamisch apparaat

  • Voeg een dynamische query toe met de volgende regel:

U kunt geen dynamische groepen gebruiken met het standaardinschrijvingsprofiel. Zie Een regel voor groepslidmaatschap maken voor meer informatie over het maken van een dynamische groep met regels.

Stap 4: Apparaten inschrijven

Nadat u het inschrijvingsprofiel, het token en de dynamische groep hebt ingesteld, kunt u een van deze inrichtingsmethoden gebruiken om apparaten in te schrijven als volledig beheerd:

  • Near Field Communication (NFC)
  • Tokentekenreeks of QR-code
  • Zero-touch-inschrijving
  • Samsung Knox Mobile-inschrijving

Zie Android Enterprise-apparaten in bedrijfseigendom inschrijven voor de volgende stappen, waaronder het inschrijven van apparaten met elke inrichtingsmethode.

Tokentypen

Wanneer u het inschrijvingsprofiel maakt in het beheercentrum, moet u een tokentype selecteren. Er zijn twee typen tokens. Elk type maakt een andere inschrijvingsstroom mogelijk.

Met het standaardtoken, dat eigendom is van het bedrijf en volledig wordt beheerd, worden apparaten ingeschreven bij Microsoft Intune als standaard volledig beheerde android enterprise-apparaten. Voor dit token moet u de stappen voor het inrichten voltooien voordat u de apparaten distribueert. Eindgebruikers voltooien de resterende stappen op het apparaat wanneer ze zich aanmelden met hun werk- of schoolaccount.

Het faseringstoken van het apparaat, dat eigendom is van het bedrijf, volledig beheerd, via fasering, registreert apparaten in microsoft Intune in een faseringsmodus, zodat u of een externe leverancier alle stappen voor inrichting vooraf kan voltooien. Eindgebruikers voltooien de laatste stap van het inrichten door zich met hun werk- of schoolaccount aan te melden bij de Microsoft Intune-app. Apparaten zijn klaar voor gebruik bij het aanmelden. Intune ondersteunt apparaatfasering voor Android Enterprise-apparaten met Android 8 of hoger.

Zie Overzicht van apparaatfasering voor meer informatie.

Token vervangen, verwijderen of exporteren

Selecteer een token in het beheercentrum voor toegang tot deze beheeropties:

  • Token vervangen: genereer een nieuw token dat bijna verloopt.

  • Token intrekken: het token onmiddellijk laten verlopen. Nadat u het hebt ingetrokken, is het token niet meer bruikbaar. Deze optie is handig als u:

    • Het token per ongeluk delen met een onbevoegde partij.

    • Voltooi alle inschrijvingen en heb het token niet meer nodig.

  • Exporttoken: exporteer de JSON-inhoud van het token. U kunt deze optie gebruiken om de JSON-inhoud op te halen die is vereist voor de configuratie van Google Zero Touch of Knox Mobile Enrollment.

Wanneer deze acties worden toegepast, hebben deze acties geen effect op apparaten die al zijn ingeschreven.