End-to-end-handleiding voor het configureren van Android Enterprise-apparaten in Microsoft Intune
Deze handleiding helpt beheerders inzicht te hebben in het configureren en oplossen van problemen met Android Enterprise-apparaten in een Microsoft Intune-omgeving. Het behandelt de volgende veelvoorkomende scenario's:
- Onboarding naar Google
- Toepassingsimplementatie
- Inschrijving van werkprofielen inschakelen
- Voorwaardelijke toegang configureren
- De eindgebruikerservaring van de registratie van het werkprofiel
- Wachtwoordcode opnieuw instellen voor een werkprofiel
Het helpt u te bepalen welke beheermogelijkheid het beste is voor uw organisatie en biedt een veelgestelde vragen over Android Enterprise.
Uw behoeften evalueren
Voordat u Android Enterprise-apparaten inschakelt in Intune, moet u bepalen of u deze apparaten wilt inschrijven als persoonlijke apparaten (Bring Your Own Device of BYOD) of als zakelijke apparaten.
BYOD-apparaten
BYOD-apparaten zijn ingesteld op een Android Enterprise-werkprofiel. Deze functie is ingebouwd in Android 5.1 en latere versies. Met deze functie kunnen werk-apps en -gegevens worden opgeslagen in een afzonderlijke, zelfstandige, door het bedrijf beheerde ruimte op het apparaat. Omdat persoonlijke apps en gegevens op het apparaat blijven staan in het persoonlijke profiel van de gebruiker, kunnen werknemers hun apparaat blijven gebruiken zoals ze dat gewoonlijk zouden doen.
Zakelijke apparaten
Er zijn twee opties voor apparaten in bedrijfseigendom, die elk een unieke use-case hebben:
Toegewezen apparaten (voorheen bekend als COSU of eenmalig gebruik in bedrijfseigendom).
Opmerking
Het voorbeeld dat in deze handleiding wordt gebruikt, is gericht op BYOD-scenario's. Zie COSU-configuratie en -inschrijving met behulp van de registratiemethode voor QR-code voor meer informatie over scenario's voor toegewezen apparaten (COSU).
Toegewezen apparaten zijn doorgaans vergrendeld voor één app of set apps (ook wel kioskmodus genoemd). Hiermee kan de beheerder dingen beheren, zoals de statusbalk, toetsenbordindelingen, het vergrendelingsscherm en andere instellingen op het apparaat. Hiermee voorkomt u dat gebruikers andere apps inschakelen of bepaalde instellingen op toegewezen apparaten wijzigen.
Opmerking
Apparaten die u op deze manier beheert, worden ingeschreven bij Intune zonder gebruikersaccount en zijn niet gekoppeld aan een eindgebruiker. Ze zijn niet bedoeld voor toepassingen voor persoonlijk gebruik of apps die een sterke vereiste hebben voor gebruikersspecifieke accountgegevens, zoals Outlook of Gmail.
Volledig beheerde apparaten (voorheen bekend als COBO of alleen bedrijfseigendom).
Opmerking
Zie Instellen Intune inschrijving van volledig beheerde Android Enterprise-apparaten voor meer informatie over volledig beheerde apparaten.
Volledig beheerde apparaten passen in een meer gebruikersgericht scenario. Er wordt één gebruiker aan het apparaat gekoppeld, terwijl de beheerder nog steeds de volledige controle over het apparaat behoudt (in tegenstelling tot een werkprofielscenario, waarin meerdere gebruikers de controle hebben).
Wanneer u besluit hoe u uw apparaten wilt inschrijven, moet u er rekening mee houden dat niet alle functies beschikbaar zijn voor beide methoden. In de volgende tabel ziet u enkele belangrijke verschillen.
Functieset | Werkprofiel (BYOD) | Toegewezen (kiosk) | Volledig beheerd |
---|---|---|---|
Beheerd Email-profiel | ✓ | × | ✓ |
Beheerd Wi-Fi-profiel | ✓ | ✓ | ✓ |
Beheerd VPN-profiel | ✓ | × | ✓ |
SCEP-certificaatprofiel | ✓ | ✓ | ✓ |
PKCS-certificaatprofiel | ✓ | × | ✓ |
Vertrouwd certificaatprofiel | ✓ | ✓ | ✓ |
Aangepast profiel | ✓ | × | X |
Fabrieksinstellingen terugzetten voorkomen | × | ✓ | ✓ |
Camera & schermopname blokkeren | ✓ | ✓ | ✓ |
Volumeknoppen blokkeren | × | ✓ | ✓ |
Kopiëren en plakken blokkeren/Delen van gegevens | ✓ | ✓ | ✓ |
Beheerd wachtwoord | ✓ | ✓ | ✓ |
Beheerde toepassingen (vereist) | ✓ | ✓ | ✓ |
Beheerde toepassingen (beschikbaar) | ✓ | × | ✓ |
Containerprofiel | ✓ | × | X |
Apparaatbeheer op kioskniveau | × | ✓ | X |
Persoonlijke Apparaatbeheer | ✓ | × | X |
NFC-Based-inschrijving | × | ✓ | ✓ |
Token-Based-inschrijving | × | ✓ | ✓ |
QR-Code-Based-inschrijving | × | ✓ | ✓ |
Zero Touch | × | ✓ | ✓ |
Naleving/voorwaardelijke toegang | ✓ | × | ✓ |
Zie Uw Microsoft Intune-plan implementeren voor meer informatie.
Een Intune-account verbinden met een Android Enterprise-account
De eerste stap voor het configureren van Android Enterprise in uw omgeving is het verbinden van uw Intune tenantaccount met uw Android Enterprise-account:
Maak een Google-serviceaccount (@gmail.com).
Opmerking
Dit account wordt gekoppeld aan alle Android Enterprise-beheertaken voor uw tenant. Het is het Google-account dat de IT-beheerders van uw bedrijf delen voor het beheren en publiceren van apps in de Google Play-console. U kunt een bestaand Google-account gebruiken of een nieuw account maken. Het account dat u gebruikt, mag niet zijn gekoppeld aan een G-Suite-domein.
Meld u aan bij het Microsoft Intune-beheercentrum met uw globale beheerdersaccount met Intune licentie.
Ga naar Apparaten>Android>Android Enrollment>Managed Google Play, selecteer Ik ga akkoord en selecteer vervolgens Google starten om nu verbinding te maken om de beheerde Google Play-website te openen.
Meld u aan bij uw Google-account en selecteer vervolgens Aan de slag.
Voer uw bedrijfsnaam in en selecteer volgende.
Accepteer de voorwaarden en selecteer bevestigen.
Selecteer Registratie voltooien.
Zie Uw Intune-account verbinden met uw beheerde Google Play-account voor meer informatie.
Toepassingen implementeren
Nadat uw Intune-account is verbonden met uw Android Enterprise-account, kunt u sommige toepassingen implementeren door deze stappen te volgen:
Meld u aan bij het Microsoft Intune-beheercentrum met uw globale beheerdersaccount met Intune licentie.
Ga naar Apps>Alle apps>toevoegen.
Zoek in het deelvenster App-type selecteren de beschikbare typen Store-apps en selecteer vervolgens Beheerde Google Play-app.
Selecteer Selecteren. De beheerde Google Play-app store wordt weergegeven.
Zoek naar een app om de details van de app weer te geven. Voorbeeld: Intune-bedrijfsportal app.
Selecteer Goedkeuren op de pagina waarop de app wordt weergegeven. Er wordt een venster voor de app geopend en u wordt gevraagd machtigingen te geven voor de app om verschillende bewerkingen uit te voeren.
Selecteer nogmaals Goedkeuren om de app-machtigingen te accepteren.
Selecteer op het tabblad Goedkeuringsinstellingende optie Goedgekeurd blijven wanneer de app nieuwe machtigingen aanvraagt en selecteer vervolgens Opslaan.
Klik op Selecteren om de app te selecteren.
Selecteer Synchroniseren bovenaan om de app te synchroniseren met de beheerde Google Play-service.
Selecteer Vernieuwen om de lijst met apps bij te werken en de zojuist toegevoegde app weer te geven.
Opmerking
De app-synchronisatie tussen Intune en de beheerde Google Play Store is handmatig. Daarom moet u de knop Synchroniseren selecteren telkens wanneer u een nieuwe app goedkeurt.
Nadat de app is toegevoegd aan Microsoft Intune, kunt u de app toewijzen aan gebruikers en apparaten. Ga in het Microsoft Intune-beheercentrum naar Apps>Alle apps. Kijk onder Beheren om de app te zien die in de lijst wordt weergegeven.
Als u de app wilt toewijzen aan een groep, selecteert u de app die u wilt toewijzen. Selecteer in de sectie Beheren van het menu de optie Eigenschappen en selecteer vervolgens Bewerken naast Toewijzingen om het deelvenster Groep toevoegen te openen .
Selecteer op het tabblad Toewijzingen onder Vereist de optie Groep toevoegen, selecteer de groepen die u wilt opnemen en selecteer vervolgens Selecteren.
Selecteer in het deelvenster Toewijzende optie Controleren en opslaan om de selectie van opgenomen groepen te voltooien.
Selecteer in het deelvenster Toewijzingende optie Opslaan om de wijzigingen op te slaan.
Ga terug naar de weergave App-eigenschappen en controleer de app onder Toewijzingen.
Zie Android Enterprise-systeemapps toevoegen aan Microsoft Intune voor meer informatie over app-implementatie.
Inschrijving van Android Enterprise-werkprofielen inschakelen
Ga in de Intune-portal naarInschrijvingsbeperkingen voor apparaatinschrijving> en selecteer vervolgens Standaard onder Apparaattypebeperkingen.
Selecteer Eigenschappen>Selecteer platforms, selecteer Blokkeren voor Android, selecteer Werkprofiel toestaan voor Android, selecteer OK en selecteer vervolgens Opslaan om uw wijzigingen op te slaan.
Opmerking
Standaardbeperkingen hebben de laagste prioriteit en zijn van toepassing op alle gebruikers. Dit kan niet worden bewerkt. Wanneer u aanvullende aangepaste beperkingen maakt, moet u rekening houden met de groepen waaraan ze zijn toegewezen, zodat u geen conflict met deze configuratie veroorzaakt.
Zie Inschrijving van Android Enterprise-apparaten met een werkprofiel instellen voor meer informatie.
Voorwaardelijke toegang configureren
Implementeer de Gmail-app of de Nine Work-app als vereist.
Maak een e-mailprofiel voor de app door de volgende stappen uit te voeren:
Selecteer in de Intune Azure Portal Apparaatconfiguratieprofielen>>Profiel maken en voer vervolgens Naam en Beschrijving in voor het e-mailprofiel.
Selecteer Android Enterprise in de vervolgkeuzelijst Platform .
Selecteer in Profieltype>Alleen werkprofielde optie Email.
Configureer de e-mailprofielinstellingen.
Zie Android-apparaatinstellingen voor het configureren van e-mail, verificatie en synchronisatie in Intune voor meer informatie over deze instellingen.
Nadat u het e-mailprofiel hebt gemaakt, wijst u het toe aan groepen.
Op apparaten gebaseerde voorwaardelijke toegang configureren.
Zie Voorwaardelijke toegang instellen voor apparaten met een Android-werkprofiel voor meer informatie.
Uw Android Enterprise-apparaat inschrijven
Meld u aan met uw werkaccount en tik op Nu inschrijven.
Tik op het scherm Toegang instellen op Doorgaan.
Tik in het scherm privacyverklaring op Doorgaan.
Tik in het scherm Wat is de volgende stap op Volgende.
Tik in het scherm Een werkprofiel instellen op Accepteren.
Tik in het scherm Werkprofiel activeren op Doorgaan.
Opmerking
U ziet een badgepictogram bovenaan, wat betekent dat u zich nu in het werkprofiel bevindt.
Tik op het scherm U bent helemaal ingesteld op Gereed.
U kunt zich nu aanmelden bij Gmail. Wanneer u wordt gevraagd de beveiligingsinstellingen bij te werken, tikt u op NU BIJWERKEN.
Tik op Activeren om Gmail te activeren als apparaatbeheerder.
Zie Android-apparaten inschrijven voor meer informatie.
Wachtwoordcodes voor Android-werkprofielen opnieuw instellen
Maak een apparaatprofiel waarvoor een wachtwoordcode voor het werkprofiel is vereist door de volgende stappen uit te voeren:
Selecteer in de Intune Azure Portal Apparaatconfiguratieprofielen>>Profiel maken en voer Naam en Beschrijving in voor het profiel.
Selecteer Android Enterprise in de vervolgkeuzelijst Platform .
Selecteer in Profieltype>Alleen werkprofielde optie Apparaatbeperkingen.
Selecteer in Instellingen voor werkprofielde optie Vereisen in Wachtwoord voor werkprofiel vereisen.
Op het Android Enterprise-apparaat wordt u gevraagd een wachtwoordcode voor een werkprofiel in te stellen als u er nog geen hebt ingesteld.
Wacht totdat u een tweede prompt ontvangt met de tekst Uw werkprofiel beveiligen : autoriseert het ondersteuningsondersteuningsbedrijf om het wachtwoord van uw werkprofiel op afstand opnieuw in te stellen. Voer uw wachtwoordcode in om het opnieuw instellen te autoriseren. Hiermee wordt het token voor het opnieuw instellen van het wachtwoord geactiveerd dat Intune nodig heeft om deze actie met succes uit te voeren.
Opmerking
Als u een van deze stappen overslaat, ontvangt u het volgende foutbericht:
Het initiëren van wachtwoordcode opnieuw instellen is misluktSelecteer Wachtwoordcode opnieuw instellen.
Nadat het opnieuw instellen is voltooid, wordt de tijdelijke wachtwoordcode weergegeven.
Voer deze tijdelijke wachtwoordcode in op uw apparaat.
Wanneer u uw nieuwe pincode moet instellen, moet u deze tijdelijke wachtwoordcode opnieuw invoeren en vervolgens uw nieuwe pincode invoeren.
Zie Wachtwoordcodes voor Android-werkprofielen opnieuw instellen voor meer informatie over het opnieuw instellen van de wachtwoordcode.
Veelgestelde vragen
Vraag: Waarom worden apps die ik niet heb goedgekeurd uit de Google Play for Work Store niet verwijderd van de pagina Mobiele apps in de Intune Beheer Portal?
Antwoord: Dit gedrag wordt verwacht.
Vraag: Waarom worden beheerde Google Play-apps niet gerapporteerd onder Gedetecteerde apps in de Intune-portal?
Antwoord: Dit gedrag wordt verwacht.
Vraag: Waarom worden beheerde Google Play-apps die niet zijn geïmplementeerd via Intune weergegeven in het werkprofiel?
Antwoord: Systeem-apps kunnen worden ingeschakeld in het werkprofiel door de OEM van het apparaat op het moment dat het werkprofiel wordt gemaakt. Dit wordt niet beheerd door de MDM-provider.
Volg deze stappen om problemen op te lossen:
- Verzamel Bedrijfsportal logboeken.
- Noteer alle apps die onverwacht in het werkprofiel worden weergegeven.
- De registratie van het apparaat bij Intune ongedaan maken en de Bedrijfsportal verwijderen.
- Installeer de test-DPC-app waarmee u een werkprofiel kunt maken zonder een EMM om te testen.
- Volg de instructies in DPC testen om een werkprofiel op het apparaat te maken.
- Controleer apps die worden weergegeven in het werkprofiel.
- Als dezelfde toepassingen worden weergegeven in de DPC-test-app, worden de apps verwacht door de OEM voor dat apparaat.
Vraag: Waarom is de optie Wissen (fabrieksinstellingen terugzetten) niet beschikbaar voor mijn ingeschreven apparaat met een werkprofiel?
Antwoord: Dit gedrag wordt verwacht. In het werkprofielscenario heeft de MDM-provider geen volledige controle over het apparaat. De enige beschikbare optie is Buiten gebruik stellen (Bedrijfsgegevens verwijderen), waardoor het volledige werkprofiel en alle inhoud ervan worden verwijderd.
Vraag: Waarom kan ik het bestandspad Interne opslag/Android/Data.com.microsoft.windowsintune.companyportal/files niet vinden op mijn apparaat met een werkprofiel dat is ingeschreven om handmatig Bedrijfsportal logboeken te verzamelen?
Antwoord: Dit gedrag wordt verwacht. Dit pad wordt alleen gemaakt voor het scenario Apparaat Beheer (verouderde Android-inschrijving).
Volg deze stappen om logboeken te verzamelen:
- Tik in de Bedrijfsportal-app met de badge op Menu>Help>Email Ondersteuning en tik vervolgens op Verzenden Email & Logboeken uploaden.
- Wanneer u wordt gevraagd om Help-aanvraag verzenden met, selecteert u een van de Email apps.
- Er wordt een e-mail gegenereerd naar uw IT-beheerder met een incident-id die kan worden verstrekt aan de productondersteuning van Microsoft.
Vraag: Ik heb de tijd voor de laatste synchronisatie van Beheerde Google Play gecontroleerd en deze is niet in dagen bijgewerkt. Waarom?
Antwoord: Dit gedrag wordt verwacht. De synchronisatie wordt alleen geactiveerd wanneer u dit handmatig doet.
Vraag: Worden webtoepassingen ondersteund voor apparaten met een werkprofiel?
Antwoord: Ja. Web-apps (of webkoppelingen) worden ondersteund voor alle Android Enterprise-scenario's.
Vraag: Wordt het opnieuw instellen van de wachtwoordcode van het apparaat ondersteund?
Antwoord: Voor apparaten met een werkprofiel die zijn ingeschreven, kunt u de wachtwoordcode voor het werkprofiel alleen opnieuw instellen op apparaten met Android 8.0+ als de wachtwoordcode voor het werkprofiel wordt beheerd en de gebruiker heeft toegestaan dat u deze opnieuw instelt. Voor toegewezen en volledig beheerde apparaten wordt het opnieuw instellen van de wachtwoordcode van het apparaat ondersteund.
Vraag: Mijn apparaat moet worden versleuteld bij de inschrijving. Is er een optie om versleuteling uit te schakelen?
Antwoord: Nee. Versleuteling is vereist door Google voor het werkprofiel.
Vraag: Waarom blokkeren Samsung-apparaten het gebruik van toetsenborden van derden, zoals SwiftKey?
Antwoord: Samsung begon dit af te dwingen op Android 8.0+-apparaten. Microsoft werkt momenteel samen met Samsung aan dit probleem en plaatst nieuwe informatie zodra deze beschikbaar is.