Compartilhar via

Guia de ponta a ponta para configurar dispositivos corporativos Android no Microsoft Intune

Este guia ajuda os administradores a entender como configurar e solucionar problemas de dispositivos corporativos Android em um ambiente Microsoft Intune. Ele abrange os seguintes cenários comuns:

  • Integração ao Google
  • Implantação de aplicativo
  • Ativando a inscrição no perfil de trabalho
  • Configurando o acesso condicional
  • A experiência do usuário final de registro de perfil de trabalho
  • Emitir uma redefinição de senha do perfil de trabalho

Ele ajuda você a decidir qual recurso de gerenciamento é o melhor para sua organização e fornece perguntas frequentes sobre o Android Enterprise.

Avalie suas necessidades

Antes de habilitar dispositivos corporativos Android no Intune, você deve determinar se deseja registrar esses dispositivos como dispositivos pessoais (BYOD ou Bring Your Own Device) ou como dispositivos corporativos.

Dispositivos BYOD

Os dispositivos BYOD são configurados para ter um perfil de trabalho do Android Enterprise. Esse recurso está integrado ao Android 5.1 e versões posteriores. Esse recurso permite que aplicativos e dados de trabalho sejam armazenados em um espaço separado, independente e gerenciado pela empresa no dispositivo. Como os aplicativos e dados pessoais permanecem no dispositivo dentro do perfil pessoal do usuário, os funcionários podem continuar a usar o dispositivo normalmente.

Dispositivos corporativos

Existem duas opções para dispositivos corporativos, e cada uma delas atende a um caso de uso exclusivo:

  • Dispositivos dedicados (anteriormente conhecidos como COSU, ou Corporate Owned Single Use).

    Observação

    O exemplo usado neste guia se concentra em cenários de BYOD. Para obter mais informações sobre cenários de dispositivos dedicados (COSU), consulte Configuração e registro de COSU usando o método de registro de código QR.

    Os dispositivos dedicados normalmente são bloqueados para um único aplicativo ou conjunto de aplicativos (também conhecido como modo de quiosque). Ele permite que o administrador controle coisas como a barra de status, layouts de teclado, tela de bloqueio e outras configurações no dispositivo. Ele impede que os usuários habilitem outros aplicativos ou alterem determinadas configurações em dispositivos dedicados.

    Observação

    Os dispositivos que você gerencia dessa maneira são registrados no Intune sem uma conta de usuário e não estão associados a nenhum usuário final. Eles não se destinam a aplicativos de uso pessoal ou aplicativos que têm um forte requisito para dados de conta específicos do usuário, como Outlook ou Gmail.

  • Dispositivos totalmente gerenciados (anteriormente conhecidos como COBO ou Corporate Owned Business Only).

    Observação

    Para obter mais informações sobre dispositivos totalmente gerenciados, consulte Configurar o registro do Intune de dispositivos Android Enterprise totalmente gerenciados.

    Dispositivos totalmente gerenciados se encaixam em um cenário mais centrado no usuário. Um único usuário é associado ao dispositivo enquanto o administrador ainda mantém o controle total sobre o dispositivo (em oposição a um cenário de perfil de trabalho, no qual vários usuários têm controle).

Ao decidir como registrar seus dispositivos, lembre-se de que nem todos os recursos estão disponíveis para ambos os métodos. A tabela a seguir mostra algumas diferenças importantes.

Conjunto de recursos Perfil de trabalho (BYOD) Dedicado (quiosque) Totalmente gerenciado
Perfil de e-mail gerenciado ×
Perfil de Wi-Fi gerenciado
Perfil de VPN gerenciado ×
Perfil do certificado SCEP
Perfil do certificado PKCS ×
Perfil de certificado confiável
Perfil personalizado × x
Impedir a redefinição de fábrica ×
Bloquear câmera e captura de tela
Botões de volume em bloco ×
Bloquear copiar e colar / compartilhamento de dados
Senha gerenciada
Aplicativos gerenciados (obrigatório)
Aplicativos gerenciados (disponíveis) ×
Perfil em contêiner × x
Gerenciamento de dispositivos no nível do quiosque × x
Gerenciamento de dispositivos pessoais × x
Inscrição baseada em NFC ×
Inscrição baseada em token ×
Inscrição baseada em código QR ×
Toque Zero ×
Conformidade/Acesso Condicional ×

Para obter mais informações, consulte Implementar seu plano Microsoft Intune.

Conectar uma conta do Intune a uma conta corporativa do Android

A primeira etapa para configurar o Android Enterprise em seu ambiente é conectar sua conta de locatário do Intune à sua conta corporativa do Android:

  1. Crie uma conta de serviço do Google (@gmail.com).

    Observação

    Essa conta será associada a todas as tarefas de gerenciamento corporativo do Android para seu locatário. É a Conta do Google que os administradores de TI da sua empresa compartilharão para gerenciar e publicar aplicativos no Google Play Console. Você pode usar uma conta do Google existente ou criar uma nova. A conta que você usa não deve estar associada a um domínio do G-Suite.

  2. Entre no centro de administração Microsoft Intune usando sua conta de Administrador Global licenciada pelo Intune.

  3. Vá para Dispositivos>Android>Android Inscrição>no Google Play gerenciado, selecione Concordo e, em seguida, selecione Iniciar o Google para se conectar agora para abrir o site do Google Play gerenciado.

    Captura de tela da página do Google Play gerenciado, onde você pode iniciar o Google para se conectar.

  4. Entre na sua conta do Google e selecione Começar.

    Selecione a página Introdução.

  5. Insira o nome da sua empresa e selecione Avançar.

    Insira a página do nome da sua empresa.

  6. Aceite os termos e selecione Confirmar.

  7. Selecione Concluir registro.

    Selecione a página Concluir registro.

Para obter mais informações, consulte Conectar sua conta do Intune à sua conta gerenciada do Google Play.

Implantar aplicativos

Depois que sua conta do Intune estiver conectada à sua conta corporativa do Android, você poderá implantar alguns aplicativos seguindo estas etapas:

  1. Entre no centro de administração Microsoft Intune usando sua conta de Administrador Global licenciada pelo Intune.

  2. Vá para Aplicativos>Todos os aplicativos>Adicionar.

  3. No painel Selecionar tipo de aplicativo, localize os tipos de aplicativos da Loja disponíveis e selecione Aplicativo gerenciado do Google Play.

  4. Escolha Selecionar. A loja de aplicativos gerenciada do Google Play é exibida.

    A loja de aplicativos gerenciada do Google Play.

  5. Pesquise um aplicativo para exibir os detalhes do aplicativo. Exemplo: aplicativo Portal da Empresa do Intune.

  6. Na página que exibe o aplicativo, selecione Aprovar. Uma janela para o aplicativo é aberta e solicita que você conceda permissões para que o aplicativo execute várias operações.

    Selecione Aprovar no exemplo Portal da Empresa do Intune.

  7. Selecione Aprovar novamente para aceitar as permissões do aplicativo.

    Selecione Aprovar novamente para aceitar as permissões do aplicativo.

  8. Na guia Configurações de Aprovação, selecione Manter aprovado quando o aplicativo solicitar novas permissões e, em seguida, selecione Salvar.

    Selecione Manter aprovado quando o aplicativo solicitar novas permissões na guia Configurações de aprovação.

  9. Clique em Selecionar para selecionar o aplicativo.

  10. Selecione Sincronizar na parte superior para sincronizar o aplicativo com o serviço Managed Google Play.

  11. Selecione Atualizar para atualizar a lista de aplicativos e exibir o aplicativo recém-adicionado.

    Observação

    A sincronização do aplicativo entre o Intune e a Google Play Store gerenciada é manual. Portanto, você deve selecionar o botão Sincronizar sempre que aprovar um novo aplicativo.

  12. Depois que o aplicativo for adicionado ao Microsoft Intune, você poderá atribuí-lo a usuários e dispositivos. No centro de administração Microsoft Intune, acesse Aplicativos>Todos os Aplicativos. Procure em Gerenciar para ver o aplicativo exibido na lista.

    Página Todos os Aplicativos no centro de administração Microsoft Intune.

  13. Para atribuir o aplicativo a um grupo, selecione o aplicativo que você deseja atribuir. Na seção Gerenciar do menu, selecione Propriedades e, em seguida, selecione Editar ao lado de Atribuições para abrir o painel Adicionar grupo.

    Selecione Propriedades e, em seguida, Atribuições.

  14. Na guia Atribuições, em Obrigatório, selecione Adicionar grupo, selecione os grupos a serem incluídos e, em seguida, selecione Selecionar.

    Selecione Adicionar grupo em obrigatório.

  15. No painel Atribuir , selecione Examinar + salvar para concluir a seleção de grupos incluídos.

  16. No painel Atribuições , selecione Salvar para salvar suas alterações.

  17. Retorne ao modo de exibição Propriedades do aplicativo e verifique o aplicativo em Atribuições.

    Confirme a atribuição do aplicativo.

Para obter mais informações sobre a implantação de aplicativos, consulte Adicionar aplicativos do sistema Android Enterprise ao Microsoft Intune.

Habilitar o registro do perfil de trabalho corporativo do Android

  1. No portal do Intune, acesse Restrições de Registro de Dispositivo>e selecione Padrão em Restrições de Tipo de Dispositivo.

    A tela Restrições de tipo de dispositivo.

  2. Selecione Propriedades>Selecione plataformas, selecione Bloquear para Android, selecione Permitir perfil de trabalho do Android, selecione OK e, em seguida, selecione Salvar para salvar suas alterações.

    A tela de propriedades de registro.

    Observação

    As restrições padrão têm a prioridade mais baixa e se aplicam a todos os usuários, isso não pode ser editado. Ao criar restrições personalizadas adicionais, lembre-se dos grupos aos quais elas são atribuídas para não criar um conflito com essa configuração.

Para obter mais informações, consulte Configurar o registro de dispositivos de perfil de trabalho do Android Enterprise.

Configurar o acesso condicional

  1. Implante o aplicativo Gmail ou o aplicativo Nine Work conforme necessário.

  2. Crie um perfil de e-mail para o aplicativo seguindo estas etapas:

    1. No portal do Azure do Intune, selecione Perfis de configuração>do>dispositivo Criar perfil e insira Nome e Descrição para o perfil de email.

    2. Selecione Android enterprise na lista suspensa Plataforma .

    3. Em Tipo de>Perfil Somente Perfil de Trabalho, selecione Email.

    4. Defina as configurações do perfil de e-mail.

      Defina as configurações do perfil de e-mail.

      Para obter mais informações sobre essas configurações, consulte Configurações do dispositivo Android para definir email, autenticação e sincronização no Intune.

  3. Depois de criar o perfil de e-mail, atribua-o a grupos.

    Tela de atribuições.

  4. Configure o acesso condicional baseado em dispositivo.

Para obter mais informações, consulte Configurar o Acesso Condicional para dispositivos de perfil de trabalho Android.

Registrar seu dispositivo corporativo Android

  1. Entre com sua conta corporativa e toque em Inscrever-se agora.

    Tela Inscrever-se agora.

  2. Na tela Configuração do Access , toque em Continuar.

    Acesse a tela de configuração.

  3. Na tela da política de privacidade, toque em Continuar.

    Tela de declaração de privacidade.

  4. Na tela O que vem a seguir , toque em Avançar.

    Qual é a próxima tela.

  5. Na tela Configurar um perfil de trabalho, toque em Aceitar.

    Configure uma tela de perfil de trabalho.

  6. Na tela Ativar perfil de trabalho, toque em Continuar.

    Ativar tela de perfil de trabalho.

    Observação

    Você pode ver um ícone de selo na parte superior, o que significa que agora você está dentro do perfil de trabalho.

  7. Na tela Está tudo pronto , toque em Concluído.

    Você está pronto para a tela.

  8. Agora você pode fazer login no Gmail. Quando for solicitado que você atualize as configurações de segurança, toque em ATUALIZAR AGORA.

    Tela de atualização de segurança.

  9. Toque em Ativar para ativar o Gmail como administrador do dispositivo.

    Tela do administrador do dispositivo.

Para obter mais informações, consulte Registrar dispositivos Android.

Redefinir senhas do perfil de trabalho do Android

  1. Crie um perfil de dispositivo que exija uma senha de perfil de trabalho seguindo estas etapas:

    1. No portal do Azure do Intune, selecione Perfis>de configuração>do dispositivo Criar perfil, insira Nome e Descrição para o perfil.

    2. Selecione Android enterprise na lista suspensa Plataforma .

    3. Em Tipo de perfil>Somente perfil de trabalho, selecione Restrições de dispositivo.

    4. Em Configurações do perfil de trabalho, selecione Exigir em Exigir senha do perfil de trabalho.

      Página de propriedades do perfil de trabalho.

  2. No dispositivo corporativo Android, você será solicitado a definir uma senha de perfil de trabalho, caso não tenha definido uma.

  3. Aguarde até receber um segundo prompt que diz Proteger seu perfil de trabalho - Autorize o suporte da sua empresa a redefinir remotamente a senha do seu perfil de trabalho. Digite sua senha para autorizar a redefinição. Ele ativa o token de redefinição de senha que o Intune precisa para executar essa ação com êxito.

    Proteja sua tela de perfil de trabalho.

    Observação

    Se você pular qualquer uma dessas etapas, receberá a seguinte mensagem de erro:
    Falha ao iniciar a redefinição de senha

  4. Selecione Redefinir senha.

    Redefinir tela de senha.

  5. Após a conclusão da redefinição, a senha temporária é exibida.

    Tela de redefinição de senha concluída.

  6. Digite esta senha temporária no seu dispositivo.

  7. Quando for necessário definir seu novo PIN, você deverá inserir novamente essa senha temporária e, em seguida, inserir seu novo PIN.

Para mais informações sobre a redefinição de senha, consulte Redefinir senhas do perfil de trabalho do Android.

Perguntas frequentes

  • Pergunta: Por que os aplicativos que eu não aprovei da loja do Google Play for Work não estão sendo removidos da página Aplicativos Móveis no Portal de Administração do Intune?

    Resposta: Esse comportamento é esperado.

  • Pergunta: Por que os aplicativos gerenciados do Google Play não estão relatando em Aplicativos Descobertos no portal do Intune?

    Resposta: Esse comportamento é esperado.

  • Pergunta: Por que os aplicativos gerenciados do Google Play que não são implantados por meio do Intune são exibidos no perfil de trabalho?

    Resposta: Os aplicativos do sistema podem ser habilitados no perfil de trabalho pelo OEM do dispositivo no momento em que o perfil de trabalho é criado. Ele não é controlado pelo provedor de MDM.

    Para solucionar problemas, siga estas etapas:

    1. Colete logs do Portal da Empresa.
    2. Observe todos os aplicativos que aparecem inesperadamente no perfil de trabalho.
    3. Cancele o registro do dispositivo do Intune e desinstale o Portal da Empresa.
    4. Instale o aplicativo Test DPC que permite a criação de um perfil de trabalho sem um EMM para teste.
    5. Siga as instruções em Testar DPC para criar um perfil de trabalho no dispositivo.
    6. Revise os aplicativos que aparecem no perfil de trabalho.
    7. Se os mesmos aplicativos forem exibidos no aplicativo Test DPC, os aplicativos serão esperados pelo OEM para esse dispositivo.

  • Pergunta: Por que a opção Apagar (redefinição de fábrica) não está disponível para meu dispositivo registrado no perfil de trabalho?

    Resposta: Esse comportamento é esperado. No cenário de perfil de trabalho, o provedor de MDM não tem controle total sobre o dispositivo. A única opção disponível é Desativar (Remover Dados da Empresa), que remove todo o perfil de trabalho e todo o seu conteúdo.

  • Pergunta: Por que não consigo encontrar o caminho do arquivo Armazenamento interno/Android/Data.com.microsoft.windowsintune.companyportal/files no meu dispositivo registrado no perfil de trabalho para coletar manualmente os Logs do Portal da Empresa?

    Resposta: Esse comportamento é esperado. Esse caminho é criado apenas para o cenário de administrador de dispositivo (registro do Android herdado).

    Para coletar logs, siga estas etapas:

    1. No aplicativo Portal da Empresa com o selo, toque em Menu>Ajuda>Suporte por Email e, em seguida, toque em Enviar emails e carregar logs.
    2. Quando for solicitado Enviar solicitação de ajuda com, selecione um dos aplicativos de email.
    3. Um email é gerado para o administrador de TI com uma ID de incidente que pode ser fornecida ao suporte ao produto da Microsoft.

  • Pergunta: verifiquei o horário da última sincronização do Google Play gerenciado e ele não é atualizado há dias. Por quê?

    Resposta: Esse comportamento é esperado. A sincronização só é acionada quando você faz isso manualmente.

  • Pergunta: Os aplicativos Web são compatíveis com dispositivos registrados no perfil de trabalho?

    Resposta: Sim. Aplicativos Web (ou links da Web) são compatíveis com todos os cenários do Android Enterprise.

  • Pergunta: A redefinição da senha do dispositivo é compatível?

    Resposta: Para dispositivos registrados no perfil de trabalho, você pode redefinir a senha do perfil de trabalho somente em dispositivos que executam o Android 8.0+ se a senha do perfil de trabalho for gerenciada e o usuário tiver permitido que você a redefina. Para dispositivos dedicados e totalmente gerenciados, há suporte para a redefinição de senha do dispositivo.

  • Pergunta: Meu dispositivo precisa ser criptografado no momento da inscrição. Existe uma opção para desativar a criptografia?

    Resposta: Não. A criptografia é exigida pelo Google para o perfil de trabalho.

  • Pergunta: Por que os dispositivos Samsung estão bloqueando o uso de teclados de terceiros como o SwiftKey?

    Resposta: A Samsung começou a impor isso em dispositivos Android 8.0+. A Microsoft está atualmente trabalhando com a Samsung nesse problema e publicará novas informações quando estiverem disponíveis.