Delen via


End-to-end handleiding voor het configureren van Android Enterprise-apparaten in Microsoft Intune

Deze handleiding helpt beheerders inzicht te krijgen in het configureren en oplossen van problemen met Android Enterprise-apparaten in een Microsoft Intune-omgeving. Hierin worden de volgende veelvoorkomende scenario's behandeld:

  • Onboarding naar Google
  • Toepassingsimplementatie
  • Inschrijving van werkprofielen inschakelen
  • Voorwaardelijke toegang configureren
  • De eindgebruikerservaring voor de inschrijving van werkprofielen
  • Wachtwoordcode opnieuw instellen voor een werkprofiel

Hiermee kunt u bepalen welke beheermogelijkheden het beste zijn voor uw organisatie en vindt u veelgestelde vragen over Android Enterprise.

Uw behoeften evalueren

Voordat u Android Enterprise-apparaten inschakelt in Intune, moet u bepalen of u deze apparaten wilt registreren als persoonlijke apparaten (Bring Your Own Device of BYOD) of als zakelijke apparaten.

BYOD-apparaten

BYOD-apparaten zijn ingesteld voor een Android Enterprise-werkprofiel. Deze functie is ingebouwd in Android 5.1 en latere versies. Met deze functie kunnen werk-apps en -gegevens worden opgeslagen in een afzonderlijke, door het bedrijf beheerde ruimte op het apparaat. Omdat persoonlijke apps en gegevens op het apparaat in het persoonlijke profiel van de gebruiker blijven staan, kunnen werknemers hun apparaat blijven gebruiken zoals ze gewoonlijk zouden doen.

Bedrijfsapparaten

Er zijn twee opties voor apparaten in bedrijfseigendom en elk van deze opties biedt een unieke use case:

  • Toegewezen apparaten (voorheen COSU of eenmalig gebruik in bedrijfseigendom).

    Notitie

    Het voorbeeld dat in deze handleiding wordt gebruikt, is gericht op BYOD-scenario's. Zie COSU-configuratie en -inschrijving met behulp van de registratiemethode voor QR-code voor meer informatie over scenario's voor toegewezen apparaten (COSU).

    Toegewezen apparaten worden doorgaans vergrendeld voor één app of set apps (ook wel kioskmodus genoemd). Hiermee kan de beheerder zaken beheren, zoals de statusbalk, toetsenbordindelingen, het vergrendelingsscherm en andere instellingen op het apparaat. Hiermee voorkomt u dat gebruikers andere apps inschakelen of bepaalde instellingen op toegewezen apparaten wijzigen.

    Notitie

    Apparaten die u op deze manier beheert, worden ingeschreven bij Intune zonder een gebruikersaccount en zijn niet gekoppeld aan een eindgebruiker. Ze zijn niet bedoeld voor persoonlijke toepassingen of apps die een sterke vereiste hebben voor gebruikersspecifieke accountgegevens, zoals Outlook of Gmail.

  • Volledig beheerde apparaten (voorheen cobo of alleen bedrijfseigendom) genoemd.

    Notitie

    Zie Intune-inschrijving van volledig beheerde Android Enterprise-apparaten instellen voor meer informatie over volledig beheerde apparaten.

    Volledig beheerde apparaten passen in een meer gebruikersgericht scenario. Eén gebruiker is gekoppeld aan het apparaat terwijl de beheerder nog steeds volledige controle over het apparaat behoudt (in tegenstelling tot een werkprofielscenario, waarin meerdere gebruikers controle hebben).

Wanneer u besluit hoe u uw apparaten registreert, moet u er rekening mee houden dat niet alle functies beschikbaar zijn voor beide methoden. In de volgende tabel ziet u enkele belangrijke verschillen.

Functie instellen Werkprofiel (BYOD) Toegewezen (kiosk) Volledig beheerd
Beheerd e-mailprofiel ×
Beheerd Wi-Fi-profiel
Beheerd VPN-profiel ×
SCEP-certificaatprofiel
PKCS-certificaatprofiel ×
Vertrouwd certificaatprofiel
Aangepast profiel × x
Fabrieksinstellingen voorkomen ×
Camera blokkeren en schermafbeelding
Volumeknoppen blokkeren ×
Kopiëren en plakken/Gegevens delen blokkeren
Beheerd wachtwoord
Beheerde toepassingen (vereist)
Beheerde toepassingen (beschikbaar) ×
Containerprofiel × x
Kioskniveau Apparaatbeheer × x
Persoonlijke Apparaatbeheer × x
Nfc-gebaseerde inschrijving ×
Inschrijving op basis van tokens ×
Inschrijving op basis van QR-code ×
Zero Touch ×
Naleving/voorwaardelijke toegang ×

Zie Uw Microsoft Intune-plan implementeren voor meer informatie.

Een Intune-account verbinden met een Android Enterprise-account

De eerste stap voor het configureren van Android Enterprise in uw omgeving is het verbinden van uw Intune-tenantaccount met uw Android Enterprise-account:

  1. Maak een Google-serviceaccount (@gmail.com).

    Notitie

    Dit account wordt gekoppeld aan alle Android Enterprise-beheertaken voor uw tenant. Het is het Google-account dat de IT-beheerders van uw bedrijf delen om apps te beheren en te publiceren in de Google Play-console. U kunt een bestaand Google-account gebruiken of een nieuw account maken. Het account dat u gebruikt, mag niet zijn gekoppeld aan een G-Suite-domein.

  2. Meld u aan bij het Microsoft Intune-beheercentrum met uw account voor globale beheerders met een Intune-licentie.

  3. Ga naar Apparaten>met Android>Android Enrollment>Managed Google Play, selecteer Ik ga akkoord en selecteer Vervolgens Start Google om nu verbinding te maken om de beheerde Google Play-website te openen.

    Schermopname van de pagina Beheerde Google Play, waar u Google kunt starten om verbinding te maken.

  4. Meld u aan bij uw Google-account en selecteer Aan de slag.

    Selecteer De pagina Aan de slag.

  5. Voer uw bedrijfsnaam in en selecteer vervolgens Volgende.

    Voer uw bedrijfsnaampagina in.

  6. Accepteer de voorwaarden en selecteer Bevestigen.

  7. Selecteer Volledige registratie.

    Selecteer de pagina Registratie voltooien.

Zie Uw Intune-account verbinden met uw beheerde Google Play-account voor meer informatie.

Toepassingen implementeren

Nadat uw Intune-account is verbonden met uw Android Enterprise-account, kunt u sommige toepassingen implementeren door de volgende stappen uit te voeren:

  1. Meld u aan bij het Microsoft Intune-beheercentrum met uw account voor globale beheerders met een Intune-licentie.

  2. Ga naar Alle>apps>toevoegen.

  3. Zoek in het deelvenster App-type selecteren de beschikbare Store-app-typen en selecteer vervolgens beheerde Google Play-app.

  4. Selecteer Selecteren. De beheerde Google Play App Store wordt weergegeven.

    De beheerde Google Play App Store.

  5. Zoek naar een app om de details van de app weer te geven. Voorbeeld: Intune-bedrijfsportal app.

  6. Selecteer Goedkeuren op de pagina waarop de app wordt weergegeven. Er wordt een venster voor de app geopend en u wordt gevraagd om de app machtigingen te geven om verschillende bewerkingen uit te voeren.

    Selecteer Goedkeuren in het voorbeeld Intune-bedrijfsportal.

  7. Selecteer Opnieuw goedkeuren om de app-machtigingen te accepteren.

    Selecteer Opnieuw goedkeuren om de app-machtigingen te accepteren.

  8. Selecteer Op het tabblad Goedkeuringsinstellingen de optie Goedgekeurd houden wanneer app nieuwe machtigingen aanvraagt en selecteer vervolgens Opslaan.

    Selecteer Goedgekeurd blijven wanneer de app nieuwe machtigingen aanvraagt op het tabblad Goedkeuringsinstellingen.

  9. Klik op Selecteren om de app te selecteren.

  10. Selecteer Synchroniseren bovenaan om de app te synchroniseren met de beheerde Google Play-service.

  11. Selecteer Vernieuwen om de lijst met apps bij te werken en de zojuist toegevoegde app weer te geven.

    Notitie

    De synchronisatie van apps tussen Intune en de beheerde Google Play Store is handmatig. Daarom moet u de knop Synchroniseren selecteren telkens wanneer u een nieuwe app goedkeurt.

  12. Nadat de app is toegevoegd aan Microsoft Intune, kunt u de app toewijzen aan gebruikers en apparaten. Ga vanuit het Microsoft Intune-beheercentrum naar Alle apps>. Kijk onder Beheren om de app weer te geven die in de lijst wordt weergegeven.

    De pagina Alle apps in het Microsoft Intune-beheercentrum.

  13. Als u de app wilt toewijzen aan een groep, selecteert u de app die u wilt toewijzen. Selecteer Eigenschappen in de sectie Beheren van het menu en selecteer vervolgens Bewerken naast Toewijzingen om het deelvenster Groep toevoegen te openen.

    Selecteer Eigenschappen en vervolgens Toewijzingen.

  14. Selecteer op het tabblad Toewijzingen onder Vereist de groep Toevoegen, selecteer de groepen die u wilt opnemen en selecteer vervolgens Selecteren.

    Selecteer Groep toevoegen onder Vereist.

  15. Selecteer Controleren en opslaan in het deelvenster Toewijzen om de selectie van opgenomen groepen te voltooien.

  16. Selecteer Opslaan in het deelvenster Toewijzingen om uw wijzigingen op te slaan.

  17. Ga terug naar de weergave App-eigenschappen en controleer de app onder Toewijzingen.

    Bevestig de app-toewijzing.

Zie Android Enterprise-systeem-apps toevoegen aan Microsoft Intune voor meer informatie over app-implementatie.

Inschrijving van Android Enterprise-werkprofiel inschakelen

  1. Ga in de Intune-portal naar Inschrijvingsbeperkingen voor apparaatinschrijving>en selecteer vervolgens Standaard onder Apparaattypebeperkingen.

    Het scherm Beperkingen voor apparaattypen.

  2. Selecteer Eigenschappen>Selecteer platforms, selecteer Blokkeren voor Android, selecteer Toestaan voor Android-werkprofiel, selecteer OK en selecteer Opslaan om uw wijzigingen op te slaan.

    Het scherm eigenschappen van de inschrijving.

    Notitie

    Standaardbeperkingen hebben de laagste prioriteit en zijn van toepassing op alle gebruikers. Dit kan niet worden bewerkt. Wanneer u extra aangepaste beperkingen maakt, moet u rekening houden met de groepen waaraan ze zijn toegewezen, zodat u geen conflict met deze configuratie maakt.

Zie Inschrijving van Apparaten met een Android Enterprise-werkprofiel instellen voor meer informatie.

Voorwaardelijke toegang configureren

  1. Implementeer de Gmail-app of de Nine Work-app als vereist.

  2. Maak een e-mailprofiel voor de app door de volgende stappen uit te voeren:

    1. Selecteer in de Intune Azure-portal apparaatconfiguratieprofielen>>Profiel maken en voer vervolgens de naam en beschrijving in voor het e-mailprofiel.

    2. Selecteer Android Enterprise in de vervolgkeuzelijst Platform .

    3. Selecteer e-mail in Profieltype>alleen werkprofiel.

    4. Configureer de e-mailprofielinstellingen.

      Configureer de e-mailprofielinstellingen.

      Zie Android-apparaatinstellingen voor het configureren van e-mail, verificatie en synchronisatie in Intune voor meer informatie over deze instellingen.

  3. Nadat u het e-mailprofiel hebt gemaakt, wijst u het toe aan groepen.

    Scherm Opdrachten.

  4. Configureer voorwaardelijke toegang op basis van apparaten.

Zie Voorwaardelijke toegang instellen voor apparaten met een Android-werkprofiel voor meer informatie.

Uw Android Enterprise-apparaat inschrijven

  1. Meld u aan met uw werkaccount en tik op Nu inschrijven.

    Scherm Nu inschrijven.

  2. Tik in het scherm Instellen van Access op Doorgaan.

    Scherm Instellen van Access.

  3. Tik in het scherm privacyverklaring op Doorgaan.

    Scherm privacyverklaring.

  4. Tik in het scherm Volgende op Volgende.

    Wat is het volgende scherm.

  5. Tik in het scherm Een werkprofiel instellen op Accepteren.

    Een werkprofielscherm instellen.

  6. Tik in het scherm Werkprofiel activeren op Doorgaan.

    Het scherm Werkprofiel activeren.

    Notitie

    Bovenaan ziet u een badgepictogram, wat betekent dat u zich nu in het werkprofiel bevinden.

  7. Tik op het scherm Alles instellen op Gereed.

    U bent helemaal klaar.

  8. U kunt zich nu aanmelden bij Gmail. Wanneer u wordt gevraagd de beveiligingsinstellingen bij te werken, tikt u op NU BIJWERKEN.

    Scherm beveiligingsupdate.

  9. Tik op Activeren om Gmail als apparaatbeheerder te activeren.

    Scherm Apparaatbeheerder.

Zie Android-apparaten inschrijven voor meer informatie.

Wachtwoordcodes voor Android-werkprofielen opnieuw instellen

  1. Maak een apparaatprofiel waarvoor een wachtwoordcode voor een werkprofiel is vereist door de volgende stappen uit te voeren:

    1. Selecteer in de Intune Azure-portal apparaatconfiguratieprofielen>>Profiel maken, voer de naam en beschrijving voor het profiel in.

    2. Selecteer Android Enterprise in de vervolgkeuzelijst Platform .

    3. Selecteer apparaatbeperkingen in Alleen werkprofiel voor profieltype>.

    4. Selecteer Vereisen in werkprofielinstellingen de optie Vereisen in Wachtwoord werkprofiel vereisen.

      Eigenschappenpagina werkprofiel.

  2. Op het Android Enterprise-apparaat wordt u gevraagd een wachtwoordcode voor een werkprofiel in te stellen als u er nog geen hebt ingesteld.

  3. Wacht totdat u een tweede prompt ontvangt met de melding Uw werkprofiel beveiligen: autoriseert het ondersteuningsondersteuningsbedrijf om uw werkprofielwachtwoord op afstand opnieuw in te stellen. Voer uw wachtwoordcode in om opnieuw instellen te autoriseren. Hiermee wordt het token voor het opnieuw instellen van het wachtwoord geactiveerd dat intune nodig heeft om deze actie uit te voeren.

    Beveilig uw werkprofielscherm.

    Notitie

    Als u een van deze stappen overslaat, wordt het volgende foutbericht weergegeven:
    Wachtwoordcode opnieuw instellen is mislukt

  4. Selecteer Wachtwoordcode opnieuw instellen.

    Wachtwoordcodescherm opnieuw instellen.

  5. Nadat het opnieuw instellen is voltooid, wordt de tijdelijke wachtwoordcode weergegeven.

    Het scherm Wachtwoordcode opnieuw instellen.

  6. Voer deze tijdelijke wachtwoordcode in op uw apparaat.

  7. Wanneer u de nieuwe pincode wilt instellen, moet u deze tijdelijke wachtwoordcode opnieuw invoeren en vervolgens uw nieuwe pincode invoeren.

Zie Wachtwoordcodes voor Android-werkprofiel opnieuw instellen voor meer informatie over het opnieuw instellen van de wachtwoordcode.

Veelgestelde vragen

  • Vraag: Waarom worden apps die ik niet heb goedgekeurd uit de Google Play for Work Store, niet verwijderd van de pagina Mobile Apps in de Intune-beheerportal?

    Antwoord: Dit gedrag wordt verwacht.

  • Vraag: Waarom worden beheerde Google Play-apps niet gerapporteerd onder Gedetecteerde apps in de Intune-portal?

    Antwoord: Dit gedrag wordt verwacht.

  • Vraag: Waarom worden beheerde Google Play-apps die niet zijn geïmplementeerd via Intune, weergegeven in het werkprofiel?

    Antwoord: Systeem-apps kunnen worden ingeschakeld in het werkprofiel door de OEM van het apparaat op het moment dat het werkprofiel wordt gemaakt. Het wordt niet beheerd door de MDM-provider.

    Voer de volgende stappen uit om problemen op te lossen:

    1. Verzamel Bedrijfsportal logboeken.
    2. Let op alle apps die onverwacht worden weergegeven in het werkprofiel.
    3. De registratie van het apparaat bij Intune ongedaan maken en de Bedrijfsportal verwijderen.
    4. Installeer de test-DPC-app waarmee u een werkprofiel kunt maken zonder een EMM om te testen.
    5. Volg de instructies in Test DPC om een werkprofiel op het apparaat te maken.
    6. Controleer apps die worden weergegeven in het werkprofiel.
    7. Als dezelfde toepassingen worden weergegeven in de test-DPC-app, worden de apps verwacht door de OEM voor dat apparaat.
  • Vraag: Waarom is de optie Wissen (fabrieksinstellingen herstellen) niet beschikbaar voor mijn werkprofiel ingeschreven apparaat?

    Antwoord: Dit gedrag wordt verwacht. In het werkprofielscenario heeft de MDM-provider geen volledige controle over het apparaat. De enige optie die beschikbaar is, is Buiten gebruik stellen (Bedrijfsgegevens verwijderen) waarmee het hele werkprofiel en alle inhoud ervan worden verwijderd.

  • Vraag: Waarom kan ik het bestandspad interne opslag/Android/Data.com.microsoft.windowsintune.companyportal/files op mijn werkprofiel ingeschreven apparaat niet vinden om handmatig Bedrijfsportal logboeken te verzamelen?

    Antwoord: Dit gedrag wordt verwacht. Dit pad wordt alleen gemaakt voor het scenario Apparaatbeheerder (verouderde Android-inschrijving).

    Volg deze stappen om logboeken te verzamelen:

    1. Tik in de Bedrijfsportal-app met de badge op Menu>Help>e-mailondersteuning en tik vervolgens op Logboeken voor e-mail verzenden en uploaden.
    2. Selecteer een van de e-mailapps wanneer u wordt gevraagd om een help-aanvraag verzenden met.
    3. Er wordt een e-mail gegenereerd aan uw IT-beheerder met een incident-id die kan worden verstrekt aan microsoft-productondersteuning.
  • Vraag: Ik heb de laatste synchronisatietijd van Beheerde Google Play gecontroleerd en deze is in dagen niet bijgewerkt. Waarom?

    Antwoord: Dit gedrag wordt verwacht. De synchronisatie wordt alleen geactiveerd wanneer u dit handmatig doet.

  • Vraag: Worden webtoepassingen ondersteund voor apparaten die zijn ingeschreven met een werkprofiel?

    Antwoord: Ja. Web-apps (of webkoppelingen) worden ondersteund voor alle Android Enterprise-scenario's.

  • Vraag: Wordt de wachtwoordcode van het apparaat opnieuw ingesteld?

    Antwoord: Voor apparaten die zijn ingeschreven met een werkprofiel, kunt u de wachtwoordcode voor het werkprofiel alleen opnieuw instellen op apparaten met Android 8.0+ als de wachtwoordcode voor het werkprofiel wordt beheerd en de gebruiker heeft toegestaan om deze opnieuw in te stellen. Voor toegewezen en volledig beheerde apparaten wordt het opnieuw instellen van de wachtwoordcode van het apparaat ondersteund.

  • Vraag: Mijn apparaat moet worden versleuteld bij de inschrijving. Is er een optie om versleuteling uit te schakelen?

    Antwoord: Nee. Versleuteling is vereist door Google voor het werkprofiel.

  • Vraag: Waarom blokkeren Samsung-apparaten het gebruik van toetsenborden van derden, zoals SwiftKey?

    Antwoord: Samsung begon dit af te dwingen op Android 8.0+-apparaten. Microsoft werkt momenteel met Samsung aan dit probleem en plaatst nieuwe informatie wanneer deze beschikbaar is.