Guia de ponta a ponta para configurar dispositivos android enterprise em Microsoft Intune

Este guia ajuda os administradores a entender como configurar e solucionar problemas de dispositivos android enterprise em um ambiente Microsoft Intune. Ele aborda os seguintes cenários comuns:

  • Integração ao Google
  • Implantação do aplicativo
  • Habilitando o registro de perfil de trabalho
  • Configurando o acesso condicional
  • A experiência do usuário final do registro de perfil de trabalho
  • Emitindo uma redefinição de senha de perfil de trabalho

Ele ajuda você a decidir qual funcionalidade de gerenciamento é a melhor para sua organização e fornece uma perguntas frequentes sobre o Android Enterprise.

Avaliar suas necessidades

Antes de habilitar dispositivos android enterprise em Intune, você deve determinar se deseja registrar esses dispositivos como dispositivos pessoais (Traga seu próprio dispositivo ou BYOD) ou como dispositivos corporativos.

Dispositivos BYOD

Os dispositivos BYOD são configurados para ter um perfil de trabalho do Android Enterprise. Esse recurso é integrado ao Android 5.1 e versões posteriores. Esse recurso permite que aplicativos de trabalho e dados sejam armazenados em um espaço separado, independente e gerenciado pela empresa no dispositivo. Como os aplicativos pessoais e os dados permanecem no dispositivo dentro do perfil pessoal do usuário, os funcionários podem continuar a usar seu dispositivo como normalmente fariam.

Dispositivos corporativos

Há duas opções para dispositivos corporativos e cada uma delas serve a um caso de uso exclusivo:

  • Dispositivos dedicados (anteriormente conhecidos como COSU ou Uso Único de Propriedade Corporativa).

    Observação

    O exemplo usado neste guia se concentra em cenários BYOD. Para obter mais informações sobre cenários de COSU (dispositivos dedicados), consulte Configuração e Registro de COSU usando o método de registro de código QR.

    Dispositivos dedicados normalmente são bloqueados em um único aplicativo ou conjunto de aplicativos (também conhecido como modo de quiosque). Ele permite que o administrador controle coisas como a barra de status, layouts de teclado, a tela de bloqueio e outras configurações no dispositivo. Ele impede que os usuários habilitem outros aplicativos ou alterem determinadas configurações em dispositivos dedicados.

    Observação

    Os dispositivos que você gerencia dessa maneira são registrados em Intune sem uma conta de usuário e não estão associados a nenhum usuário final. Eles não se destinam a aplicativos ou aplicativos de uso pessoal que tenham um forte requisito para dados de conta específicos do usuário, como Outlook ou Gmail.

  • Dispositivos totalmente gerenciados (anteriormente conhecidos como COBO ou Somente Empresas Corporativas).

    Observação

    Para obter mais informações sobre dispositivos totalmente gerenciados, consulte Configurar Intune registro de dispositivos totalmente gerenciados do Android Enterprise.

    Dispositivos totalmente gerenciados se encaixam em um cenário mais centrado no usuário. Um único usuário está associado ao dispositivo enquanto o administrador ainda mantém controle total sobre o dispositivo (em oposição a um cenário de perfil de trabalho, no qual vários usuários têm controle).

Ao decidir como registrar seus dispositivos, esteja ciente de que nem todos os recursos estão disponíveis para ambos os métodos. A tabela a seguir mostra algumas diferenças importantes.

Conjunto de recursos Perfil de trabalho (BYOD) Dedicado (quiosque) Totalmente gerenciado
Perfil de Email gerenciado ×
Perfil de Wi-Fi gerenciado
Perfil VPN gerenciado ×
Perfil do Certificado SCEP
Perfil de certificado PKCS ×
Perfil de certificado confiável
Perfil Personalizado × x
Impedir redefinição de fábrica ×
Bloquear captura de tela da câmera &
Bloquear botões de volume ×
Bloquear Copiar e Colar /Compartilhamento de Dados
Senha gerenciada
Aplicativos gerenciados (obrigatórios)
Aplicativos gerenciados (disponíveis) ×
Perfil conteinerizado × x
Gerenciamento de Dispositivos de nível do quiosque × x
Gerenciamento de Dispositivos pessoal × x
Registro NFC-Based ×
Registro Token-Based ×
Registro de Code-Based de QR ×
Zero Touch ×
Conformidade/Acesso Condicional ×

Para obter mais informações, consulte Implementar seu plano de Microsoft Intune.

Conectar uma conta Intune a uma conta corporativa do Android

A primeira etapa para configurar o Android Enterprise em seu ambiente é conectar sua conta de locatário Intune à sua conta corporativa do Android:

  1. Criar uma conta de serviço do Google (@gmail.com).

    Observação

    Essa conta será associada a todas as tarefas de gerenciamento empresarial do Android para seu locatário. É a conta do Google que os administradores de TI da sua empresa compartilharão para gerenciar e publicar aplicativos no console do Google Play. Você pode usar uma conta do Google existente ou criar uma nova. A conta que você usa não deve estar associada a um domínio do G-Suite.

  2. Entre no centro de administração do Microsoft Endpoint Manager usando sua conta do Administrador Global licenciada por Intune.

  3. Acesse Dispositivos>Android>Android Registro>Gerenciado Google Play, selecione Concordo e selecione Iniciar Google para se conectar agora para abrir o site gerenciado do Google Play.

    Captura de tela da página Gerenciada do Google Play, na qual você pode iniciar o Google para se conectar.

  4. Entre em sua conta do Google e selecione Introdução.

    Selecione Página Introdução.

  5. Insira seu nome comercial e selecione Avançar.

    Insira sua página nome comercial.

  6. Aceite os termos e selecione Confirmar.

  7. Selecione Concluir Registro.

    Selecione Página Concluir Registro.

Para obter mais informações, consulte Conectar sua conta Intune à sua conta gerenciada do Google Play.

Implantar aplicativos

Depois que sua conta Intune estiver conectada à sua conta corporativa do Android, você poderá implantar alguns aplicativos seguindo estas etapas:

  1. Entre no centro de administração do Microsoft Endpoint Manager usando sua conta do Administrador Global licenciada por Intune.

  2. Acesse Aplicativos>Todos os aplicativos>Adicionar.

  3. No painel Selecionar tipo de aplicativo , localize os tipos de aplicativo da Loja disponíveis e selecione Aplicativo Gerenciado do Google Play.

  4. Selecione Selecionar. A loja de aplicativos Gerenciada do Google Play é exibida.

    A loja de aplicativos Gerenciada do Google Play.

  5. Pesquise por um aplicativo para exibir os detalhes do aplicativo. Exemplo: Portal da Empresa do Intune aplicativo.

  6. Na página que exibe o aplicativo, selecione Aprovar. Uma janela para o aplicativo é aberta e solicita que você forneça permissões para que o aplicativo execute várias operações.

    Selecione Aprovar no exemplo Portal da Empresa do Intune.

  7. Selecione Aprovar novamente para aceitar as permissões do aplicativo.

    Selecione Aprovar novamente para aceitar as permissões do aplicativo.

  8. Na guia Configurações de Aprovação , selecione Manter aprovado quando o aplicativo solicitar novas permissões e selecione Salvar.

    Selecione Manter aprovado quando o aplicativo solicitar novas permissões na guia Configurações de Aprovação.

  9. Clique em Selecionar para selecionar o aplicativo.

  10. Selecione Sincronizar na parte superior para sincronizar o aplicativo com o serviço Gerenciado do Google Play.

  11. Selecione Atualizar para atualizar a lista de aplicativos e exibir o aplicativo recém-adicionado.

    Observação

    A sincronização do aplicativo entre Intune e a Loja Gerenciada do Google Play é manual. Portanto, você deve selecionar o botão Sincronizar sempre que aprovar um novo aplicativo.

  12. Depois que o aplicativo for adicionado ao Microsoft Intune, você poderá atribuir o aplicativo a usuários e dispositivos. No centro de administração do Microsoft Endpoint Manager, acesse Aplicativos>Todos os Aplicativos. Procure em Gerenciar para ver o aplicativo exibido na lista.

    Todas as páginas aplicativos no centro de administração do Microsoft Endpoint Manager.

  13. Para atribuir o aplicativo a um grupo, selecione o aplicativo que você deseja atribuir. Na seção Gerenciar do menu, selecione Propriedades e selecione Editar ao lado de Atribuições para abrir o painel Adicionar grupo .

    Selecione Propriedades e, em seguida, Atribuições.

  14. Na guia Atribuições , em Obrigatório, selecione Adicionar grupo, selecione os grupos a serem incluídos e selecione Selecionar.

    Selecione Adicionar grupo em necessário.

  15. No painel Atribuir , selecione Examinar + salvar para concluir a seleção de grupos incluídos.

  16. No painel Atribuições , selecione Salvar para salvar suas alterações.

  17. Retorne à exibição Propriedades do Aplicativo e verifique o aplicativo em Atribuições.

    Confirme a atribuição do aplicativo.

Para obter mais informações sobre a implantação do aplicativo, consulte Adicionar aplicativos do sistema Android Enterprise ao Microsoft Intune.

Habilitar o registro de perfil de trabalho da empresa Android

  1. No portal Intune, acesseRestrições de Registro> de Dispositivo e selecione Padrão em Restrições de Tipo de Dispositivo.

    A tela Restrições de Tipo de Dispositivo.

  2. Selecione Propriedades>Selecione plataformas, selecione Bloquear para Android, selecione Permitirperfil de trabalho do Android, selecione OK e, em seguida, selecione Salvar para salvar suas alterações.

    A tela propriedades de registro.

    Observação

    As restrições padrão têm a menor prioridade e se aplicam a todos os usuários, isso não pode ser editado. Ao criar restrições personalizadas adicionais, esteja ciente dos grupos aos quais elas são atribuídas para que você não crie um conflito com essa configuração.

Para obter mais informações, consulte Configurar o registro de dispositivos de perfil de trabalho do Android Enterprise.

Configurar acesso condicional

  1. Implante o aplicativo Gmail ou o aplicativo Nine Work como Necessário.

  2. Crie um perfil de email para o aplicativo seguindo estas etapas:

    1. No Intune portal do Azure, selecione Perfis de configuração> do dispositivoCrie perfil einsira>Nome e Descrição para o perfil de email.

    2. Selecione Android enterprise na lista suspensa Plataforma .

    3. Somente no Perfil de Trabalhodo Tipo> de Perfil, selecione Email.

    4. Defina as configurações de perfil de email.

      Configure as configurações do perfil de email.

      Para obter mais informações sobre essas configurações, consulte Configurações do dispositivo Android para configurar email, autenticação e sincronização em Intune.

  3. Depois de criar o perfil de email, atribua-o a grupos.

    Tela atribuições.

  4. Configurar o acesso condicional baseado em dispositivo.

Para obter mais informações, consulte Configurar o Acesso Condicional para dispositivos de perfil de trabalho Android.

Registrar seu dispositivo android enterprise

  1. Entre com sua conta de trabalho e toque em Registrar agora.

    Tela Registrar agora.

  2. Na tela Configuração de Acesso , toque em Continuar.

    Tela De instalação do Access.

  3. Na tela da instrução de privacidade, toque em Continuar.

    Tela de instrução de privacidade.

  4. Na tela O que vem a seguir , toque em Avançar.

    Qual será a próxima tela.

  5. Na tela Configurar um perfil de trabalho , toque em Aceitar.

    Configure uma tela de perfil de trabalho.

  6. Na tela Ativar perfil de trabalho , toque em Continuar.

    Ativar a tela do perfil de trabalho.

    Observação

    Você pode ver um ícone de selo na parte superior, o que significa que agora você está dentro do perfil de trabalho.

  7. Na tela Todos vocês estão definidos , toque em Concluído.

    Vocês estão todos definidos.

  8. Agora você pode entrar no Gmail. Quando você for solicitado a atualizar as configurações de segurança, toque em ATUALIZAR AGORA.

    Tela de atualização de segurança.

  9. Toque em Ativar para ativar o Gmail como Administrador de Dispositivos.

    Tela do administrador do dispositivo.

Para obter mais informações, confira Registrar dispositivos Android.

Redefinir senhas de perfil de trabalho do Android

  1. Crie um perfil de dispositivo que exija uma senha de perfil de trabalho seguindo estas etapas:

    1. No Intune portal do Azure, selecione Perfis de configuração> do dispositivoCriar perfil,insira>Nome e Descrição para o perfil.

    2. Selecione Android enterprise na lista suspensa Plataforma .

    3. Somente no Perfil de Trabalho doTipo> de Perfil, selecione Restrições de Dispositivo.

    4. Em Configurações de perfil de trabalho, selecione Exigir em Exigir Senha do Perfil de Trabalho.

      Página Propriedades do Perfil de Trabalho.

  2. No dispositivo Android Enterprise, você será solicitado a definir uma senha de perfil de trabalho se não tiver definido uma.

  3. Aguarde até receber um segundo prompt que diz Proteger seu Perfil de Trabalho – Autorize o suporte da sua empresa para redefinir remotamente a senha do perfil de trabalho. Insira sua senha para autorizar a redefinição. Ele ativa o token de senha de redefinição que Intune precisa para executar essa ação com êxito.

    Proteja a tela do perfil de trabalho.

    Observação

    Se você ignorar qualquer uma dessas etapas, receberá a seguinte mensagem de erro:
    Falha ao iniciar a redefinição da senha

  4. Selecione Redefinir senha.

    Redefinir a tela de senha.

  5. Depois que a redefinição é concluída, a senha temporária é exibida.

    Redefinir a tela concluída da senha.

  6. Insira essa senha temporária em seu dispositivo.

  7. Quando você é obrigado a definir seu novo PIN, você deve reentrar nessa senha temporária e, em seguida, inserir seu novo PIN.

Para obter mais informações sobre a redefinição da senha, consulte Redefinir senhas de perfil de trabalho do Android.

Perguntas frequentes

  • Pergunta: Por que os aplicativos que eu desaprovou da loja Google Play for Work não estão sendo removidos da página Aplicativos Móveis no Portal do Intune Administração?

    Resposta: esse comportamento é esperado.

  • Pergunta: por que os aplicativos gerenciados do Google Play não estão relatando em Aplicativos Descobertos no portal Intune?

    Resposta: esse comportamento é esperado.

  • Pergunta: Por que os aplicativos gerenciados do Google Play que não são implantados por meio de Intune são exibidos no perfil de trabalho?

    Resposta: os aplicativos do sistema podem ser habilitados no perfil de trabalho pelo OEM do dispositivo no momento em que o perfil de trabalho é criado. Ele não é controlado pelo provedor de MDM.

    Para solucionar problemas, siga estas etapas:

    1. Colete Portal da Empresa logs.
    2. Observe todos os aplicativos que aparecem inesperadamente no perfil de trabalho.
    3. Desativar o dispositivo do Intune e desinstalar o Portal da Empresa.
    4. Instale o aplicativo DPC de teste que permite a criação de um perfil de trabalho sem um EMM para teste.
    5. Siga as instruções no DPC de teste para criar um perfil de trabalho no dispositivo.
    6. Examine os aplicativos que aparecem no perfil de trabalho.
    7. Se os mesmos aplicativos forem exibidos no aplicativo DPC de teste, os aplicativos serão esperados pelo OEM para esse dispositivo.
  • Pergunta: por que a opção Limpar (Redefinição de Fábrica) não está disponível para o dispositivo registrado no meu perfil de trabalho?

    Resposta: esse comportamento é esperado. No cenário de perfil de trabalho, o provedor de MDM não tem controle total sobre o dispositivo. A única opção disponível é Retirar (Remover Dados da Empresa) que remove todo o perfil de trabalho e todo o seu conteúdo.

  • Pergunta: Por que não consigo encontrar o caminho do arquivo Armazenamento interno/Android/Data.com.microsoft.windowsintune.companyportal/files no meu perfil de trabalho do dispositivo registrado para coletar manualmente Portal da Empresa Logs?

    Resposta: esse comportamento é esperado. Esse caminho só é criado para o cenário Administração de dispositivo (Registro herdado do Android).

    Para coletar logs, siga estas etapas:

    1. No aplicativo Portal da Empresa com o selo, toque emAjuda> do Menu>Email Suporte e toque em Enviar Email & Carregar logs.
    2. Quando você for solicitado com Enviar solicitação de ajuda, selecione um dos aplicativos Email.
    3. Um email é gerado para o administrador de TI com uma ID de incidente que pode ser fornecida ao suporte ao produto da Microsoft.
  • Pergunta: verifiquei a hora da Última Sincronização do Google Play Gerenciada e ela não foi atualizada há dias. Por quê?

    Resposta: esse comportamento é esperado. A sincronização só é disparada quando você faz isso manualmente.

  • Pergunta: há suporte para aplicativos Web para dispositivos registrados no perfil de trabalho?

    Resposta: Sim. Aplicativos Web (ou links Web) têm suporte para todos os cenários do Android Enterprise.

  • Pergunta: a redefinição da senha do dispositivo tem suporte?

    Resposta: para dispositivos registrados no perfil de trabalho, você pode redefinir a senha do perfil de trabalho apenas em dispositivos que executam o Android 8.0+ se a senha do perfil de trabalho for gerenciada e o usuário permitir que você a redefina. Para dispositivos dedicados e totalmente gerenciados, há suporte para redefinição da senha do dispositivo.

  • Pergunta: meu dispositivo é necessário para ser criptografado após o registro. Há uma opção para desativar a criptografia?

    Resposta: Não. A criptografia é necessária pelo Google para o perfil de trabalho.

  • Pergunta: Por que os dispositivos Samsung estão bloqueando o uso de teclados de terceiros como o SwiftKey?

    Resposta: a Samsung começou a impor isso em dispositivos Android 8.0+. Atualmente, a Microsoft está trabalhando com a Samsung nesse problema e publicará novas informações quando estiver disponível.