Configurar o registro para dispositivos totalmente gerenciados do Android Enterprise

Configure a solução de dispositivo totalmente gerenciada do Android Enterprise em Microsoft Intune para registrar e gerenciar dispositivos corporativos. Um dispositivo totalmente gerenciado está associado a um único usuário e destina-se ao trabalho, não ao uso pessoal. Como administrador do Intune, você pode gerenciar todo o dispositivo e impor controles de política que não estão disponíveis com o perfil de trabalho do Android Enterprise, como:

• Permitir a instalação do aplicativo somente do Google Play Gerenciado.
• Bloqueie os usuários de desinstalar aplicativos gerenciados.
• Impedir que os usuários reiniciem dispositivos de fábrica.

Você e os usuários do dispositivo podem iniciar o registro inserindo ou verificando um token de registro durante a instalação do dispositivo. Este artigo descreve os pré-requisitos para registro e como criar perfis e tokens de registro. No final deste artigo, você estará pronto para registrar dispositivos.

Etapa 1: Pré-requisitos

Conclua esses pré-requisitos para garantir um registro bem-sucedido.

• Você deve ter um locatário autônomo do Intune, com a autoridade de MDM (gerenciamento de dispositivo móvel) definida como Microsoft Intune.

• Os dispositivos precisam:

  • Execute o Sistema Operacional Android versão 8.0 e posterior.
  • Execute um build do Android com conectividade do Google Mobile Services.
  • Tenha o Google Mobile Services disponível e possa se conectar a ele.

  Não haverá restrição no fabricante/OEM do dispositivo se todos os três requisitos forem atendidos.

• Verifique se o Android Enterprise tem suporte em sua região. Para os requisitos do Android Enterprise, consulte Introdução ao Android Enterprise.

• Conecte sua conta de locatário do Intune à sua conta do Android Enterprise.

• O processo de instalação do Android usa uma guia do Chrome para autenticar usuários do dispositivo durante o registro. Se você tiver uma política de acesso condicional Microsoft Entra com as seguintes configurações, precisará excluir o aplicativo de nuvem Microsoft Intune da política:

  • Exigir que um dispositivo seja marcado como configuração compatível é usado para conceder ou bloquear o acesso.
  • A política se aplica a todos os aplicativos de Nuvem, Android e Navegadores.

Etapa 2: criar novo perfil de registro

O Intune gera automaticamente um perfil de registro padrão e um token de registro para dispositivos totalmente gerenciados. O perfil de registro padrão é chamado de Perfil Totalmente Gerenciado Padrão.

Para criar um novo perfil de registro:

1. Entre no Centro de administração do Microsoft Intune.
2. Acesse Registro de Dispositivos>.
3. Selecione a guia Android .
4. EmPerfis de Registro empresarial >do Android, escolha Dispositivos de usuário totalmente gerenciados e de propriedade corporativa.
5. Em Permitir que os usuários registrem os dispositivos de usuário de propriedade corporativa, escolha Sim.
6. Selecione Criar perfil.
7. Insira as noções básicas para seu perfil:
   • Nome: dê um nome ao perfil. Observe o nome para baixo para depois, pois você precisará dele quando configurar o grupo de dispositivos dinâmicos.
   • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
8. Selecione Avançar para continuar com marcas de escopo.
9. Opcionalmente, aplique uma ou mais marcas de escopo para limitar a visibilidade e o gerenciamento de perfil a determinados usuários administradores no Intune. Para obter mais informações sobre como usar marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.
10. Selecione Avançar para continuar a Examinar + criar.
11. Examine o resumo do seu perfil e selecione Criar para finalizá-lo.

Para examinar, fazer alterações ou excluir o perfil:

1. Selecione o perfil.
2. Selecione Visão geral para examinar o essencial do perfil e excluir o perfil.
3. Selecione Propriedades>Editar para fazer alterações nas marcas básicas ou de escopo do perfil.
4. Selecione Token para recuperar, revogar ou exportar o token.

Etapa 3: Criar grupo de Microsoft Entra dinâmico

Opcionalmente, crie um grupo de Microsoft Entra dinâmico para agrupar dispositivos automaticamente com base em um determinado atributo ou variável. Nesse caso, queremos usar a enrollmentProfileName propriedade para agrupar dispositivos que estão se registrando com o mesmo perfil.

Adicione essas configurações ao seu grupo:

• Tipo de grupo: segurança
• Tipo de afiliação: Dispositivo Dinâmico
• Adicione uma consulta dinâmica com a seguinte regra:
  • Propriedade: enrollmentProfileName
  • Operador: Igual a
  • Valor: insira o nome do perfil de registro criado na Etapa 2: Criar um novo perfil de registro.

Você não pode usar grupos dinâmicos com o perfil de registro padrão. Para obter mais informações sobre como criar um grupo dinâmico com regras, consulte Criar uma regra de associação de grupo.

Etapa 4: Registrar dispositivos

Agora que você configurou o perfil de registro, token e grupo dinâmico, você pode usar qualquer um desses métodos de provisionamento para registrar dispositivos como totalmente gerenciados:

• NFC (Comunicação de Campo Próximo)
• Cadeia de caracteres de token ou código QR
• Registro de toque zero
• Registro do Samsung Knox Mobile

Para as próximas etapas, incluindo como registrar dispositivos com cada método de provisionamento, consulte Registrar dispositivos corporativos Android Enterprise.