Configurar o registro para dispositivos totalmente gerenciados do Android Enterprise

Configure a solução de dispositivo totalmente gerenciada do Android Enterprise em Microsoft Intune para registrar e gerenciar dispositivos corporativos. Um dispositivo totalmente gerenciado está associado a um único usuário e destina-se ao trabalho, não ao uso pessoal. Como administrador Intune, você pode gerenciar todo o dispositivo e impor controles de política que não estão disponíveis com o perfil de trabalho do Android Enterprise, como:

• Permitir a instalação do aplicativo somente do Google Play Gerenciado.
• Bloqueie os usuários de desinstalar aplicativos gerenciados.
• Impedir que os usuários reiniciem dispositivos de fábrica.

Você e os usuários do dispositivo podem iniciar o registro inserindo ou verificando um token de registro durante a instalação do dispositivo. Este artigo descreve os pré-requisitos para registro e como criar perfis e tokens de registro. No final deste artigo, você pode registrar dispositivos.

Etapa 1: Pré-requisitos

Conclua esses pré-requisitos para garantir um registro bem-sucedido.

• Você deve ter um locatário autônomo Intune, com a autoridade de MDM (gerenciamento de dispositivo móvel) definida como Microsoft Intune.

• Os dispositivos precisam:

  • Execute o Sistema Operacional Android versão 8.0 e posterior.
  • Execute um build do Android com conectividade do Google Mobile Services.
  • Tenha o Google Mobile Services disponível e possa se conectar a ele.

  Não haverá restrição no fabricante/OEM do dispositivo se todos os três requisitos forem atendidos.

• Verifique se o Android Enterprise tem suporte em sua região. Para os requisitos do Android Enterprise, consulte Introdução ao Android Enterprise.

• Conecte sua conta de locatário do Intune à sua conta do Android Enterprise.

• O processo de instalação do Android usa uma guia do Chrome para autenticar usuários do dispositivo durante o registro. Se você tiver uma política de acesso condicional Microsoft Entra com as seguintes configurações, você deverá excluir o aplicativo de nuvem Microsoft Intune da política:

  • Exigir que um dispositivo seja marcado como configuração compatível é usado para conceder ou bloquear o acesso.

  • A política se aplica a todos os aplicativos de Nuvem, Android e Navegadores.

Etapa 2: Create novo perfil de registro

Intune gera automaticamente um perfil de registro padrão e um token de registro para dispositivos totalmente gerenciados. O perfil de registro padrão é chamado de Perfil Totalmente Gerenciado Padrão.

Para criar um novo perfil de registro:

1. Entre no Centro de administração do Microsoft Intune.

2. Acesse Registro de Dispositivos>.

3. Selecione a guia Android .

4. EmPerfis de Registro empresarial >do Android, escolha Dispositivos de usuário totalmente gerenciados e de propriedade corporativa.

5. Selecione Create perfil.

6. Insira as noções básicas para seu perfil:

   • Nome: dê um nome ao perfil. Observe o nome para baixo para depois, pois você precisa dele quando configurar o grupo de dispositivos dinâmicos.

   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

   • Tipo de token: escolha o tipo de token que você deseja usar para registrar dispositivos corporativos totalmente gerenciados. Para obter mais informações, confira Tipos de token neste artigo. Suas opções:

     • Propriedade corporativa, totalmente gerenciada (padrão)

     • Propriedade corporativa, totalmente gerenciada, por meio de preparo

   • Data de validade do token: disponível somente com o token de preparo. Insira a data em que você deseja que o token expire, até 65 anos no futuro. Formato de data aceitável: MM/DD/YYYY ou YYYY-MM-DD o token expira na data selecionada às 12:59:59 PM no fuso horário que foi criado.

7. Selecione Avançar para continuar com marcas de escopo.

8. Aplique uma ou mais marcas de escopo para limitar a visibilidade e o gerenciamento de perfil a determinados usuários administradores no Intune. As marcas de escopo são opcionais. Para obter mais informações sobre como usar marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

9. Selecione Avançar para continuar a Examinar + criar.

10. Examine o resumo do seu perfil e selecione Create para finalizá-lo.

Para examinar, fazer alterações ou excluir o perfil:

1. Selecione o perfil.

2. Selecione Visão geral para examinar o essencial do perfil e excluir o perfil.

3. Selecione Propriedades>Editar para fazer alterações nas marcas básicas ou de escopo do perfil.

4. Selecione Token para recuperar, revogar ou exportar o token.

Etapa 3: Create grupo de Microsoft Entra dinâmico

Opcionalmente, crie um grupo de Microsoft Entra dinâmico para agrupar dispositivos automaticamente com base em um determinado atributo ou variável. Nesse caso, queremos usar a enrollmentProfileName propriedade para agrupar dispositivos que estão se registrando com o mesmo perfil.

Adicione essas configurações ao seu grupo:

• Tipo de grupo: segurança

• Tipo de afiliação: Dispositivo Dinâmico

• Adicione uma consulta dinâmica com a seguinte regra:

  • Propriedade: enrollmentProfileName
  • Operador: Igual a
  • Valor: insira o nome do perfil de registro criado na Etapa 2: Create novo perfil de registro.

Você não pode usar grupos dinâmicos com o perfil de registro padrão. Para obter mais informações sobre como criar um grupo dinâmico com regras, consulte Create uma regra de associação de grupo.

Etapa 4: Registrar dispositivos

Depois de configurar o perfil de registro, token e grupo dinâmico, você pode usar qualquer um desses métodos de provisionamento para registrar dispositivos como totalmente gerenciados:

• NFC (Comunicação de Campo Próximo)
• Cadeia de caracteres de token ou código QR
• Registro de toque zero
• Registro do Samsung Knox Mobile

Para as próximas etapas, incluindo como registrar dispositivos com cada método de provisionamento, consulte Registrar dispositivos corporativos Android Enterprise.

Tipos de token

Ao criar o perfil de registro no centro de administração, você precisa selecionar um tipo de token. Há dois tipos de tokens. Cada tipo habilita um fluxo de registro diferente.

O token padrão, de propriedade corporativa, totalmente gerenciado, registra dispositivos em Microsoft Intune como dispositivos corporativos padrão do Android Enterprise totalmente gerenciados. Esse token exige que você conclua as etapas de pré-provisionamento antes de distribuir os dispositivos. Os usuários finais completam as etapas restantes no dispositivo quando entrarem com sua conta corporativa ou escolar.

O token de preparo de dispositivos, de propriedade corporativa, totalmente gerenciado, por meio de preparo, registra dispositivos em Microsoft Intune em um modo de preparo para que você ou um fornecedor de terceiros possa concluir todas as etapas de pré-provisionamento. Os usuários finais completam a última etapa de provisionamento entrando no aplicativo Microsoft Intune com sua conta corporativa ou escolar. Os dispositivos estão prontos para usar na entrada. Intune dá suporte ao preparo de dispositivos para dispositivos Android Enterprise que executam o Android 8 ou posterior.

Para obter mais informações, confira Visão geral do preparo do dispositivo.

Substituir, remover ou exportar token

Selecione um token no centro de administração para acessar estas opções de gerenciamento:

• Substitua o token: gere um novo token que está próximo da expiração.

• Revogar token: expira imediatamente o token. Depois de revogá-lo, o token não poderá mais ser utilizável. Essa opção será útil se você:

  • Compartilhe acidentalmente o token com uma parte não autorizada.

  • Conclua todos os registros e não precise mais do token.

• Exportar token: exporte o conteúdo JSON do token. Você pode usar essa opção para obter o conteúdo JSON necessário para a configuração do Google Zero Touch ou do Knox Mobile Enrollment.

Quando aplicadas, essas ações não têm nenhum efeito em dispositivos que já estão registrados.