Einrichten der Intune-Registrierung für unternehmenseigene Geräte mit Benutzer unter Android (AOSP)

Richten Sie die Registrierung in Intune für unternehmenseigene Geräte mit Benutzer ein, die auf der Android Open Source Project (AOSP)-Plattform basieren. Intune bietet eine Android (AOSP)-Geräteverwaltungslösung für unternehmenseigene Android-Geräte an, bei denen Folgendes gilt:

  • Sind nicht in Google Mobile Services integriert.
  • Vorgesehen für die Verwendung durch einen einzelnen Benutzer.
  • Wird ausschließlich für die Arbeit verwendet.

In diesem Artikel wird beschrieben, wie Sie die Android-Geräteverwaltung (AOSP) einrichten und AOSP-Geräte für die Verwendung bei der Arbeit registrieren.

Voraussetzungen

Hinweis

Ab dem 1. Oktober müssen AOSP-Geräte über die Microsoft Intune-App, Version 24.7.0 oder höher, verfügen, damit sie mit dem Microsoft Intune-Dienst synchronisiert werden können.

Zum Registrieren und Verwalten von AOSP-Geräten benötigen Sie Folgendes:

Außerdem müssen Sie folgende Schritte ausführen:

Erstellen eines Anmeldungsprofils

Erstellen Sie ein Registrierungsprofil, um die Registrierung auf Geräten zu ermöglichen.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräteregistrierung>.

  3. Wählen Sie die Registerkarte Android aus.

  4. Wählen Sie unter Android Open Source Project (AOSP)die Option Unternehmenseigene, benutzerseitig zugeordnete Geräte aus.

  5. Wählen Sie Profil erstellen aus.

  6. Geben Sie die Grundlagen für Ihr Profil ein:

    • Name: Geben Sie dem Profil einen Namen. Notieren Sie sich den Namen für später, da Sie ihn beim Einrichten der dynamischen Gerätegruppe benötigen.

    • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

    • Tokenablaufdatum: Wählen Sie das Datum aus, an dem das Token abläuft, das bis zu 65 Jahre in der Zukunft betragen kann.

    • SSID: Identifiziert das Netzwerk, mit dem das Gerät eine Verbindung herstellt.

      Hinweis

      Wi-Fi Details sind erforderlich, wenn das Gerät über keine Schaltfläche oder Option verfügt, mit der es automatisch eine Verbindung mit einem Netzwerk herstellen kann.

    • Ausgeblendetes Netzwerk: Wählen Sie aus, ob es sich um ein ausgeblendetes Netzwerk handelt. Diese Einstellung ist standardmäßig deaktiviert, was bedeutet, dass das Netzwerk seine SSID übertragen kann.

    • WLAN-Typ: Wählen Sie den für dieses Netzwerk erforderlichen Authentifizierungstyp aus.

      Wenn Sie WEP Pre-Shared Key oder WPA Pre-Shared Key auswählen, geben Sie auch Folgendes ein:

      • Vorinstallierter Schlüssel: Der vorinstallierte Schlüssel, der für die Authentifizierung beim Netzwerk verwendet wird.
    • Für Microsoft Teams-Geräte (Vorschau): Wählen Sie Aktiviert aus, wenn dieses Profil für Microsoft Teams Android-Geräte gilt. Diese Einstellung sollte nur für Microsoft Teams Android-Geräte verwendet werden.

  7. Wählen Sie Weiter und – optional – Bereichsmarkierungen aus.

  8. Wählen Sie Weiter aus. Überprüfen Sie die Details Ihres Profils, und wählen Sie dann Erstellen aus, um das Profil zu speichern.

Zugriffsregistrierungstoken

Nachdem Sie ein Profil erstellt haben, generiert Intune ein Token, das für die Registrierung benötigt wird. Das Token wird als QR-Code angezeigt. Scannen Sie während der Geräteeinrichtung bei der entsprechenden Aufforderung den QR-Code, um das Gerät in Intune zu registrieren.

Um das Token als QR-Code anzuzeigen, wählen Sie In der Registrierungsprofilliste Ihr Registrierungsprofil aus. Wählen Sie dann Token aus.
Sie können auch die JSON-Datei des Registrierungsprofils exportieren. Um eine JSON-Datei zu erstellen, wählen Sie Exportieren aus.

Wichtig

  • Der QR-Code enthält alle Anmeldeinformationen, die im Profil im Nur-Text-Format angegeben sind, damit sich das Gerät beim Netzwerk erfolgreich authentifizieren kann. Dies ist erforderlich, weil der Benutzer nicht über das Gerät einem Netzwerk beitreten kann.
  • Erwägen Sie die Verwendung eines Stagingnetzwerks mit eingeschränkten Berechtigungen für die Bereitstellung von Geräten und den Abschluss des Registrierungsprozesses. Sie können beispielsweise ein mit dem Internet verbundenes Netzwerk mit eingeschränkten Berechtigungen und keinem Unternehmenszugriff verwenden, um die anfängliche Einrichtung zu erledigen.
  • Auf RealWear-Geräten sollten Sie die erstmalige Einrichtung überspringen. Der Intune QR-Code ist das einzige, was Sie zum Einrichten des Geräts benötigen.

Ersetzen eines Tokens

Sie können ein neues Token generieren, um ein Token zu ersetzen, das sich dem Ablaufdatum nähert. Das Ersatztoken wirkt sich nicht auf Geräte aus, die bereits registriert sind.

  1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
  2. Wählen Sie die Registerkarte Android aus.
  3. Wählen Sie im Abschnitt Android Open Source Project (AOSP)die Option Unternehmenseigene, benutzerseitig zugeordnete Geräte aus.
  4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
  5. Wählen Sie Token>Token ersetzen aus.
  6. Geben Sie das neue Ablaufdatum des Tokens ein, das bis zu 65 Jahre in der Zukunft betragen kann.
  7. Wählen Sie OK aus.

Widerrufen eines Tokens

Widerrufen Sie ein Token, damit es sofort abläuft und unbrauchbar wird. Beispielsweise ist es in folgenden Fällen sinnvoll, ein Token zu widerrufen:

  • Sie haben das Token bzw. den QR-Code für nicht autorisierte Personen versehentlich freigegeben.
  • Sie haben alle Registrierungen abgeschlossen und benötigen das Token nicht mehr.

Das Widerrufen eines Tokens hat keine Auswirkungen auf Geräte, die bereits registriert sind.

  1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
  2. Wählen Sie die Registerkarte Android aus.
  3. Wählen Sie im Abschnitt Android Open Source Project (AOSP)die Option Unternehmenseigene, benutzerseitig zugeordnete Geräte aus.
  4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
  5. Wählen Sie Token>Token widerrufen>Ja aus.

Erstellen einer Gerätegruppe

Sie können in Intune zugewiesene Gerätegruppen oder dynamische Gerätegruppen erstellen. Weitere Informationen zu Gruppen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Dynamische Gerätegruppen sind so konfiguriert, dass Geräte – basierend auf einer Reihe von Regeln und Parametern – automatisch hinzugefügt und entfernt werden. Beispielsweise können Sie Geräte nach dem Namen des Registrierungsprofils gruppieren.

Führen Sie die folgenden Schritte aus, um eine dynamische Microsoft Entra Gerätegruppe für Geräte zu erstellen, die mit einem unternehmenseigenen, benutzerseitig zugeordneten Android-Registrierungsprofil (AOSP) registriert sind.

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.

  2. Füllen Sie auf dem Blatt Gruppe die erforderlichen Felder wie folgt aus:

    • Gruppentyp: Sicherheit
    • Gruppenname: Geben Sie einen aussagekräftigen Namen ein (z.B. Factory 1-Geräte)
    • Mitgliedschaftstyp: Dynamisches Gerät
  3. Klicken Sie auf Dynamische Abfrage hinzufügen.

  4. Füllen Sie die Felder auf dem Blatt Dynamische Mitgliedschaftsregeln wie folgt aus:

    • Regel für dynamische Mitgliedschaft hinzufügen: Einfache Regel
    • Geräte hinzufügen, wobei: enrollmentProfileName
    • Klicken Sie im mittleren Feld auf Ist gleich.
    • Geben Sie im letzten Feld den Namen des Registrierungsprofils ein, das Sie zuvor erstellt haben.

    Weitere Informationen zu Dynamischen Mitgliedschaftsregeln finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.

  5. Wählen Sie Abfrage hinzufügen>Erstellen aus.

Registrieren von Geräten per QR-Code

Nachdem Sie die Registrierungsprofile für Android (AOSP) eingerichtet und zugewiesen haben, können Sie Geräte über QR-Code registrieren.

  1. Schalten Sie Ihr neues oder auf Werkseinstellungen zurückgesetztes Gerät ein.

  2. Wenn Sie vom Gerät dazu aufgefordert werden, scannen Sie den QR-Code des Tokens.

Tipp

Um auf das Token in Intune zuzugreifen, wechseln Sie zu Geräteregistrierung>. Wählen Sie dann die Registerkarte > *AndroidUnternehmenseigene, benutzerseitig zugeordnete Geräte aus. Wählen Sie Ihr Registrierungsprofil und dann Token aus.

  1. Durchlaufen Sie schrittweise die Eingabeaufforderungen auf dem Bildschirm, um die Registrierung des Geräts abzuschließen. Die folgenden Apps werden in diesem Zeitraum automatisch installiert und für die Registrierung verwendet:

    • Microsoft Intune-App
    • Intune-Unternehmensportal-App
    • Microsoft Authenticator-App

Informationen zur Verwendung von JSON zum Registrieren von Geräten finden Sie in den Anweisungen des Geräteherstellers.

Nach der Registrierung

Aktualisierung von Apps

Die Microsoft Intune-App aktualisiert sich automatisch selbst. Wenn ein Update verfügbar wird, wird die Intune-App geschlossen und das Update installiert. Die App muss zum Installieren des Updates geschlossen bleiben. Die App installiert auch Updates für Microsoft Authenticator und die Unternehmensportal-App.

Remoteverwaltung von Geräten

Die folgenden Remoteaktionen sind für Android (AOSP)-Geräte verfügbar:

  • Wischen
  • Löschen

Sie können auf einem Gerät jeweils eine Aktion ausführen. Wenn Sie Informationen dazu benötigen, wo Sie Remoteaktionen in Intune finden können, lesen Sie Entfernen von Geräten durch Zurücksetzen, Abkoppeln oder manuelles Aufheben der Registrierung des Geräts.

Hinweis

Nachdem Sie ein Android (AOSP)-Gerät zurückgesetzt haben, verbleibt es so lange im Zustand Ausstehend, bis es auf seine werkseitigen Standardeinstellungen vollständig wiederhergestellt wurde. Anschließend wird es von Intune aus der Geräteliste entfernt. Wenn Sie ein Gerät löschen, wird es sofort – ohne den Status „Ausstehend“ – aus der Geräteliste entfernt, und die Zurücksetzung auf die Werkseinstellungen geschieht bei seinem nächsten Einchecken.

Problembehandlung

Anzeigen von App-Versionen

So finden Sie heraus, welche Version der Microsoft Intune-App oder der Microsoft Authenticator-App auf einem Gerät installiert ist.

  1. Wechseln Sie zu Geräte, und wählen Sie den Gerätenamen aus.
  2. Wählen Sie Ermittelte Apps aus.
  3. Suchen Sie Ihre App und dann in der Spalte Anwendungsversion nach der Versionsnummer.

Problembehandlung + Support

Wählen Sie problembehandlung + Support im Admin Center aus, um:

  • Anzeigen einer Liste der von einem Benutzer registrierten Android (AOSP)-Geräte
  • Aktivieren Sie die Problembehandlung für Android (AOSP)-Geräte auf die gleiche Weise wie bei anderen Benutzergeräten.

Freigeben von App-Protokollen für Microsoft

Wenn Sie Probleme mit der Registrierung oder dem Zugriff auf Arbeitsressourcen haben, können Sie Diagnoseprotokolle für Microsoft in der Intune-App oder Unternehmensportal-App freigeben. Nachdem Sie die Protokolle übermittelt haben, erhalten Sie eine Vorfall-ID, die Sie mit Ihrer Microsoft-Supportperson teilen können.

Bekannte Einschränkungen

Beim Arbeiten mit AOSP-Geräten in Intune gibt es die folgenden bekannten Einschränkungen :

  • Sie können bestimmte Kennworttypen nicht über Gerätecompliance und Geräteeinschränkungsprofile erzwingen. Zu den Kennworttypen gehören:
    • Kennwort erforderlich, keine Einschränkung
    • Alphabetisch
    • Alphanumerisch
    • Alphanumerisch mit Symbolen
    • Schwach biometrisch
  • Die Gerätecompliance-Berichterstellung ist für Android (AOSP) nicht verfügbar.
  • Die Verwaltung von Android (AOSP) wird mit Intune, die von 21Vianet betrieben werden, nicht unterstützt.

Nächste Schritte