Bereitstellungsanleitung: Verwalten von Android-Geräten in Microsoft Intune

Intune unterstützt MDM (Mobile Device Management, mobile Geräteverwaltung) für Android-Geräte, um Benutzern den sicheren Zugriff auf arbeitsbezogene E-Mails, Daten und Apps zu ermöglichen. Diese Anleitung enthält Android-spezifische Ressourcen, die Sie bei der Registrierung in Intune und der Bereitstellung von Apps und Richtlinien für Benutzer und Geräte unterstützen.

Voraussetzungen

Bevor Sie beginnen, müssen Sie die folgenden Voraussetzungen erfüllen, um die Android-Geräteverwaltung in Intune zu aktivieren. Ausführlichere Informationen zum Einrichten, Integrieren oder Wechseln zu Intune finden Sie in der Intune-Setup-Bereitstellungsanleitung.

Informationen zu Microsoft Intune-Rollen und -Berechtigungen finden Sie unter RBAC mit Microsoft Intune. Die Rollen " Globaler Microsoft Entra-Administrator" und "Intune-Administrator " verfügen über vollständige Rechte in Microsoft Intune. Der globale Administrator verfügt über mehr Berechtigungen, als für viele Geräteverwaltungsaufgaben in Microsoft Intune erforderlich sind. Es wird empfohlen, die Rolle mit den geringsten Berechtigungen zu verwenden, die zum Ausführen von Aufgaben erforderlich ist. Beispielsweise ist die Rolle mit den geringsten Berechtigungen, die Geräteregistrierungsaufgaben ausführen kann, der Richtlinien- und Profil-Manager, eine integrierte Intune-Rolle.

Planen Ihrer Bereitstellung

Ziehen Sie das Microsoft Intune-Planungshandbuch zurate, um zu erfahren, wie sich Microsoft Intune in Ihrer Organisation planen, entwerfen und implementieren lässt. Das Handbuch enthält Informationen zu folgenden Aufgaben:

  • Ermitteln von Zielen, Anwendungsfällen und Anforderungen
  • Erstellen von Rollout- und Kommunikationsplänen
  • Erstellen von Support-, Test- und Validierungsplänen

Wichtig

Microsoft Intune beendet am 31. Dezember 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Erstellen von Konformitätsregeln

Verwenden Sie Konformitätsrichtlinien, um die Regeln und Bedingungen zu definieren, welche Benutzer und Geräte erfüllen müssen, um auf die geschützten Ressourcen Ihrer Organisation zuzugreifen. Sie können auch Richtlinien für bedingten Zugriff erstellen und zusammen mit den Gerätekonformitätsergebnissen verwenden, um den Zugriff auf Ressourcen über nicht konforme Geräte zu blockieren. Eine ausführliche Erläuterung zu Konformitätsrichtlinien und den ersten Schritten finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.

Die folgenden Aufgaben gelten sowohl für Android Enterprise- als auch für Android-Geräteadministrator-Plattformen.

Aufgabe Detail
Erstellen einer Konformitätsrichtlinie Hier erhalten Sie eine Schritt-für-Schritt-Anleitung zum Erstellen und Zuweisen einer Konformitätsrichtlinie zu Benutzer- und Gerätegruppen.
Hinzufügen von Aktionen für die Nichtkonformität Wählen Sie aus, was geschieht, wenn Geräte die Bedingungen Ihrer Konformitätsrichtlinie nicht mehr erfüllen. Sie können Aktionen für die Nichtkonformität hinzufügen, wenn Sie eine Richtlinie für die Gerätekonformität konfigurieren, oder Sie fügen sie später durch Bearbeiten der Richtlinie hinzu.
Erstellen Sie eine gerätebasierte oder App-basierte Richtlinie für bedingten Zugriff. Geben Sie die App oder Dienste an, die Sie schützen möchten, und definieren Sie die Zugriffsbedingungen.
Blockieren des Zugriffs auf Apps, die keine moderne Authentifizierung verwenden Erstellen Sie eine App-basierte Richtlinie für bedingten Zugriff, um Apps zu blockieren, die andere Authentifizierungsmethoden als OAuth2 verwenden. Beispielsweise können Sie Apps blockieren, die einfache und formularbasierte Authentifizierung verwenden. Bevor Sie den Zugriff blockieren, melden Sie sich bei Microsoft Entra ID an, und überprüfen Sie den Aktivitätsbericht der Authentifizierungsmethoden , um festzustellen, ob Benutzer die Standardauthentifizierung verwenden, um auf wichtige Dinge zuzugreifen (z. B. Besprechungsraumkalender-Kioske), die Sie vergessen haben oder die Sie nicht kennen.

Konfigurieren von Endpunktsicherheit

Verwenden Sie die Intune-Endpunktsicherheitsfunktionen, um die Gerätesicherheit zu konfigurieren und Sicherheitsaufgaben für gefährdete Geräte zu verwalten.

Die folgenden Aufgaben gelten sowohl für Android Enterprise- als auch für Android-Geräteadministrator-Plattformen.

Aufgabe Detail
Verwalten von Geräten mit Endpunktsicherheitsfunktionen Verwenden Sie die Einstellungen für die Endpunktsicherheit in Intune, um die Gerätesicherheit effektiv zu verwalten und Probleme für Geräte zu beheben.
Aktivieren des Mobile Threat Defense-Connectors (MTD) für registrierte Geräte Aktivieren Sie die MTD-Verbindung in Intune, damit MTD-Partner-Apps mit Intune und Ihren Richtlinien arbeiten können. Wenn Sie Microsoft Defender für Endpunkt nicht verwenden, sollten Sie den Connector aktivieren, damit Sie eine andere Mobile Threat Defense-Lösung verwenden können. Sie können den MTD-Connector auch für Geräte aktivieren, die nicht bei Intune registriert sind.
Erstellen einer MTD-App-Schutzrichtlinie mit Intune Erstellen Sie eine Intune-App-Schutzrichtlinie, die Risiken bewertet und den Zugriff eines Geräts auf Arbeits- oder Schul-Apps einschränkt.
Erstellen einer MTD-Gerätekonformitätsrichtlinie Erstellen Sie eine Intune-App-Schutzrichtlinie, die Risiken bewertet und den Unternehmenszugriff eines Geräts basierend auf der Bedrohungsstufe einschränkt.
Hinzufügen und Zuweisen von MTD-Apps Sie können MTD-Apps in Intune hinzufügen und bereitstellen. Diese Apps verwenden Ihre Gerätekonformitäts- und App-Schutzrichtlinien, um Gerätebedrohungen zu identifizieren und zu beseitigen. Sie können MTD-Apps auch Geräten zuweisen, die nicht bei Intune registriert sind.

Konfigurieren von Geräteeinstellungen

Verwenden Sie Microsoft Intune, um Einstellungen und Features auf Geräten zu aktivieren oder zu deaktivieren. Um diese Einstellungen zu konfigurieren und zu erzwingen, erstellen Sie ein Geräteprofil, und weisen Sie das Profil dann Gruppen in Ihrer Organisation zu. Geräte erhalten das Profil nach der Registrierung.

Aufgabe Detail Plattform
Erstellen eines Geräteprofils in Microsoft Intune Erfahren Sie mehr über die verschiedenen Arten von Geräteprofilen, die Sie für Ihre Organisation erstellen können. Android Enterprise, Android-Geräteadministrator
Konfigurieren des WLAN-Profils Dieses Profil ermöglicht es Personen, das WLAN-Netzwerk Ihrer Organisation zu finden und eine Verbindung dazu herzustellen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu WLAN-Einstellungen unter WLAN-Einstellungen für Android Enterprise oder WLAN-Einstellungen für den Android-Geräteadministrator. Android Enterprise, Android-Geräteadministrator
Konfigurieren eines VPN-Profils Richten Sie eine sichere VPN-Option, z. B. Microsoft Tunnel, für Personen ein, die eine Verbindung mit dem Netzwerk Ihrer Organisation herstellen. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie in der Referenz zu VPN-Einstellungen unter VPN-Einstellungen für Android Enterprise oder VPN-Einstellungen für den Android-Geräteadministrator. Android Enterprise, Android-Geräteadministrator
Konfigurieren eines E-Mail-Profils Konfigurieren Sie E-Mail-Einstellungen, damit Benutzer eine Verbindung mit einem E-Mail-Server herstellen und auf ihre E-Mails des Unternehmens oder der Bildungseinrichtung zugreifen können. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie unter E-Mail-Einstellungen für Android Enterprise oder E-Mail-Einstellungen für den Android-Geräteadministrator. Android Enterprise, Android-Geräteadministrator
Einschränken von Gerätefunktionen Schützen Sie Benutzer vor nicht autorisiertem Zugriff und Ablenkungen, indem Sie die Gerätefunktionen einschränken, die sie im Unternehmen in der Bildungseinrichtung verwenden können. Eine Beschreibung der Einstellungen in diesem Bereich finden Sie unter Geräteeinstellungen für Android Enterprise oder Geräteeinstellungen für den Android-Geräteadministrator. Android Enterprise, Android-Geräteadministrator
Konfigurieren benutzerdefinierter Einstellungen für den Android-Geräteadministrator Sie können benutzerdefinierte Einstellungen, die nicht in Intune integriert sind, hinzufügen oder erstellen, z. B. ein Pro-App-VPN-Profil und Webschutz mit Microsoft Defender für Endpunkt. Android-Geräteadministrator
Konfigurieren von Samsung Knox-Apps Erstellen Sie eine benutzerdefiniertes Profils zum Zulassen und Blockieren von Apps für Samsung KNOX Standard-Geräte. Android-Geräteadministrator
Erstellen eines benutzerdefinierten Profils für Android Enterprise Sie können benutzerdefinierte Einstellungen, die nicht in Intune für persönliche Geräte integriert sind, hinzufügen oder erstellen. Android für Unternehmen
Konfigurieren von Zebra Mobility Extensions (MX) Verwenden Sie Zebra Mobility Extensions-Profile (MX-Profile), um weitere Zebra-spezifische Einstellungen in Intune anzupassen oder hinzuzufügen. Android-Geräteadministrator
Erstellen eines OEMConfig-Konfigurationsprofils Verwenden Sie OEMConfig, um OEM-spezifische Einstellungen für Android Enterprise-Geräte hinzuzufügen, zu erstellen und anzupassen. Android für Unternehmen
Anpassen des Brandings und der Registrierungsumgebung Passen Sie das Intune-Unternehmensportal und Microsoft Intune-Apps mit dem Branding Ihrer Organisation an, um eine vertraute Umgebung für Personen zu schaffen, die ihre Geräte registrieren. Android Enterprise, Android-Geräteadministrator

Einrichten sicherer Authentifizierungsmethoden

Richten Sie Authentifizierungsmethoden in Intune ein, um sicherzustellen, dass nur autorisierte Personen auf Ihre internen Ressourcen zugreifen. Intune unterstützt mehrstufige Authentifizierung, SCEP- und PKCS-Zertifikate sowie abgeleitete Anmeldeinformationen. Zertifikate werden auch zum Signieren und Verschlüsseln von E-Mails mithilfe von S/MIME verwendet.

Aufgabe Detail Plattform
Multi-Faktor-Authentifizierung (MFA) erforderlich Fordern Sie an, dass Personen zum Zeitpunkt der Registrierung zwei Arten von Anmeldeinformationen bereitstellen müssen. Android für Unternehmen
Erstellen eines vertrauenswürdigen Zertifikatprofils Sie müssen ein vertrauenswürdiges Zertifikatprofil erstellen und bereitstellen, bevor Sie ein importiertes SCEP- oder PKCS-Zertifikatprofil erstellen können. Das vertrauenswürdige Zertifikatprofil stellt das vertrauenswürdige Stammzertifikat für Geräte mit importierten SCEP-, PKCS- und PKCS-Zertifikaten bereit. Android Enterprise, Android-Geräteadministrator
Verwenden von SCEP-Zertifikaten mit Intune Erfahren Sie, was für die Verwendung von SCEP-Zertifikaten mit Intune erforderlich ist, und konfigurieren Sie die erforderliche Infrastruktur. Anschließend können Sie ein SCEP-Zertifikatprofil erstellen oder eine Zertifizierungsstelle eines Drittanbieters mit SCEP einrichten. Android für Unternehmen
Verwenden von PKCS-Zertifikaten mit Intune Konfigurieren Sie erforderliche Infrastrukturelemente (wie lokale Zertifikat-Connectors), exportieren Sie ein PKCS-Zertifikat und fügen Sie dieses anschließend zu einem Intune-Gerätekonfigurationsprofil hinzu. Android Enterprise, Android-Geräteadministrator
Verwenden importierter PKCS-Zertifikate mit Intune Richten Sie importierte PKCS-Zertifikate ein, mit denen Sie S/MIME zum Verschlüsseln von E-Mails einrichten und verwenden. Android Enterprise, Android-Geräteadministrator
Einrichten eines Ausstellers für abgeleitete Anmeldeinformationen Bereitstellen von Android-Geräten mit Zertifikaten, die von Benutzer-Smartcards abgeleitet werden. Android für Unternehmen

Bereitstellen von Apps

Denken Sie beim Einrichten von Apps und App-Richtlinien an die Anforderungen Ihrer Organisation. Dazu zählen beispielsweise die unterstützten Plattformen, die Aufgaben, die Personen ausführen müssen, die Art der Apps, die zum Ausführen dieser Aufgaben erforderlich sind, sowie die Gruppen, die diese Apps benötigen. Sie können Intune verwenden, um das gesamte Gerät (einschließlich Apps) zu verwalten, oder nur zum Verwalten von Apps.

Aufgabe Detail Plattform
Hinzufügen von Apps aus dem Google Play Store Fügen Sie Android-Apps aus dem Google Play Store hinzu. Android-Geräteadministrator
Hinzufügen verwalteter Google Play-Apps Fügen Sie Store-Apps, branchenspezifische Apps und Web-Apps über den verwalteten Google Play Store hinzu. Android für Unternehmen
Hinzufügen von Android Enterprise-System-Apps Verwenden Sie Intune, um Android Enterprise-System-Apps zu aktivieren und zu deaktivieren. Android für Unternehmen
Hinzufügen von Web-Apps Fügen Sie Intune Web-Apps hinzu, und weisen Sie sie Gruppen zu. Android-Geräteadministrator
Hinzufügen von integrierten Apps Fügen Sie Intune integrierte Web-Apps hinzu, und weisen Sie sie Gruppen zu. Android-Geräteadministrator
Hinzufügen branchenspezifischer Apps Fügen Sie Intune branchenspezifische Android-Apps hinzu, und weisen Sie sie Gruppen zu. Android-Geräteadministrator
Zuweisen von Apps zu Gruppen Weisen Sie Benutzern und Geräten Apps zu. Android Enterprise, Android-Geräteadministrator
Ein- und Ausschließen von App-Zuweisungen Steuern Sie den Zugriff und die Verfügbarkeit einer App, indem Sie ausgewählte Gruppen aus der Zuweisung ein- und ausschließen. Android Enterprise, Android-Geräteadministrator
Erstellen einer Schutzrichtlinie für Android-Apps Behalten Sie die Daten Ihrer Organisation in verwalteten Apps wie Outlook und Word bei. Informationen zu den einzelnen Einstellungen finden Sie unter Einstellungen für App-Schutzrichtlinien für Android. Android Enterprise, Android-Geräteadministrator
Überprüfen der App-Schutzrichtlinie Überprüfen Sie, ob Ihre App-Schutzrichtlinie ordnungsgemäß eingerichtet wurde und funktioniert, bevor Sie sie innerhalb der Organisation bereitstellen. Android Enterprise, Android-Geräteadministrator
Erstellen einer Konfigurationsrichtlinie für Apps Wenden Sie benutzerdefinierte Konfigurationseinstellungen auf Android-Apps auf registrierten Geräten an. Sie können diese Arten von Richtlinien auch auf verwaltete Apps ohne Geräteregistrierung anwenden. Android Enterprise, Android-Geräteadministrator
Konfigurieren von Microsoft Edge Nutzen Sie die Intune-App-Schutz- und Konfigurationsrichtlinien mit Microsoft Edge für Android, um sicherzustellen, dass der Zugriff auf Unternehmenswebsites mit entsprechenden Sicherheitsvorkehrungen erfolgt. Android Enterprise, Android-Geräteadministrator
Konfigurieren von Google Chrome Verwenden Sie eine Intune-App-Konfigurationsrichtlinie, um Google Chrome auf Android-Geräten zu konfigurieren, die bei Intune registriert sind. Android für Unternehmen
Konfigurieren der Microsoft Managed Home Screen-App Richten Sie Managed Home Screen auf unternehmenseigenen dedizierten Android Enterprise-Geräten ein, die über Intune registriert wurden und im Multi-App-Kiosk-Modus ausgeführt werden. Android für Unternehmen
Konfigurieren der Microsoft Launcher-App Konfigurieren Sie Microsoft Launcher, um die Startbildschirmerfahrung auf den vollständig verwalteten Geräten Ihrer Organisation anzupassen. Android für Unternehmen
Konfigurieren von Microsoft Office-Apps Nutzen Sie die Intune-App-Schutz- und Konfigurationsrichtlinien bei Office-Apps, um sicherzustellen, dass der Zugriff auf Unternehmensdateien mit entsprechenden Sicherheitsvorkehrungen erfolgt. Android für Unternehmen
Konfigurieren von Microsoft Teams Nutzen Sie die Intune-App-Schutz- und Konfigurationsrichtlinien mit Teams, um sicherzustellen, dass der Zugriff auf Funktionen für die Zusammenarbeit im Team mit entsprechenden Sicherheitsvorkehrungen erfolgt. Android für Unternehmen
Konfigurieren von Microsoft Outlook Nutzen Sie die Intune-App-Schutz- und Konfigurationsrichtlinien bei Outlook, um sicherzustellen, dass der Zugriff auf Unternehmens-E-Mails und -Kalender mit entsprechenden Sicherheitsvorkehrungen erfolgt. Android für Unternehmen

Registrieren von Geräten

Durch das Registrieren von Geräten können sie die von Ihnen erstellten Richtlinien erhalten, sodass Ihre Microsoft Entra-Benutzergruppen und -Gerätegruppen bereit sind.

Intune unterstützt die folgenden Registrierungsmethoden für Android-Geräte:

  • Bring-your-own-device (BYOD): Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
  • Unternehmenseigene, dedizierte Android Enterprise-Geräte
  • Unternehmenseigene, vollständig verwaltete Android Enterprise-Geräte
  • Unternehmenseigenes Android Enterprise-Arbeitsprofil
  • Android-Geräteadministrator

Informationen zu den einzelnen Registrierungsmethoden und zur Auswahl der geeigneten Methode für Ihre Organisation finden Sie im Leitfaden für die Registrierung von Android-Geräten bei Microsoft Intune.

Aufgabe Detail Plattform
Verbinden eines Intune-Kontos mit einem verwalteten Google Play-Konto Zum Aktivieren der Android Enterprise-Verwaltung in Intune verbinden Sie Ihr Intune-Mandantenkonto mit Ihrem verwalteten Google Play Konto. Android für Unternehmen
Einrichten der Arbeitsprofilregistrierung für persönliche Geräte Richten Sie Arbeitsprofilverwaltung für persönliche Geräte ein. Mit dieser Registrierungsmethode wird auf dem Gerät ein separater Bereich für arbeitsbezogene Daten erstellt, sodass persönliche Dinge unangetastet bleiben. Android für Unternehmen
Einrichten der Arbeitsprofilregistrierung für Unternehmensgeräte Richten Sie die Arbeitsprofilverwaltung für Unternehmensgeräte ein, die für die Arbeit und den persönlichen Gebrauch vorgesehen sind. Mit dieser Registrierungsmethode wird auf dem Gerät ein separater Bereich für arbeitsbezogene Daten erstellt, sodass persönliche Dinge unangetastet bleiben. Android für Unternehmen
Einrichten der Registrierung für dedizierte Geräte Richten Sie die Registrierung für unternehmenseigene Einweg-Kioskgeräte ein. Android für Unternehmen
Einrichten der Registrierung für vollständig verwaltete Geräte Richten Sie die Registrierung für Unternehmensgeräte ein, die einem einzelnen Benutzer zugewiesen sind und ausschließlich für die Arbeit verwendet werden. Android für Unternehmen
Registrieren von dedizierten, vollständig verwalteten oder unternehmenseigenen Arbeitsprofilgeräten Nachdem Sie Intune für die Android Enterprise-Registrierung eingerichtet haben, registrieren Sie Geräte mit einer der fünf unterstützten Registrierungsmethoden. Android für Unternehmen
Einrichten der Geräteadministratorregistrierung Richten Sie die Registrierung für den Android-Geräteadministrator ein. Diese Methode zum Verwalten von Geräten wurde durch Android Enterprise ersetzt. Daher wird davon abgeraten, neue Geräte auf diese Weise zu registrieren. Android-Geräteadministrator
Registrieren von Android-Geräten mit Samsung Knox Mobile Enrollment Richten Sie Intune für Samsung Knox Mobile Enrollment (KME) ein, mit dem Sie eine große Anzahl von unternehmenseigenen Android-Geräten automatisch registrieren können. Android Enterprise, Android-Geräteadministrator
Identifizieren von Geräten als unternehmenseigen Weisen Sie Geräten den Unternehmensstatus zu, um mehr Verwaltungs- und Identifikationsfunktionen in Intune zu ermöglichen. Der Status „Unternehmenseigen“ kann Geräten, die über Apple Business Manager registriert wurden, nicht zugewiesen werden. Android Enterprise, Android-Geräteadministrator
Ändern des Gerätebesitzes Nachdem ein Gerät registriert wurde, können Sie seine Besitzbezeichnung in Intune in unternehmenseigene oder persönliche Geräte ändern. Diese Anpassung ändert die Art und Weise, wie Sie das Gerät verwalten können. Android Enterprise, Android-Geräteadministrator
Behandeln von Problemen bei der Registrierung Beheben Sie Probleme, die während der Registrierung auftreten, und finden Sie Lösungen. Android Enterprise, Android-Geräteadministrator

Durchführen von Remote-Aktionen

Nachdem Geräte eingerichtet wurden, können Sie Remoteaktionen in Intune verwenden, um die Geräteverwaltung und Problembehandlung aus der Entfernung vornehmen zu können. Die Verfügbarkeit variiert je nach Geräteplattform. Wenn eine Aktion im Portal nicht vorhanden oder deaktiviert ist, wird sie auf dem Gerät nicht unterstützt.

Aufgabe Detail
Ausführen von Remoteaktionen in Intune Erfahren Sie, wie Sie einen Drilldown ausführen und einzelne Geräte in Intune remote verwalten und Probleme beheben. In diesem Artikel werden alle in Intune verfügbaren Remoteaktionen und Links zu diesen Verfahren aufgeführt.
Beheben von mit Microsoft Defender für Endpunkt gefundenen Sicherheitsrisiken Integrieren Sie Intune in Microsoft Defender für Endpunkt, um das Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender zu nutzen und mithilfe von Intune die mit dieser Komponente identifizierten Schwachstellen von Endpunkten zu beseitigen.
Löschen von Unternehmensdaten aus Intune-verwalteten Apps Entfernen Sie bestimmte arbeitsbezogene Daten von einem Gerät.

Nächste Schritte

Sehen Sie sich diese Tutorials zur Registrierung an, um zu erfahren, wie Sie einige der wichtigsten Aufgaben in Intune ausführen. Tutorials sind Inhalte der Ebene 100 bis 200 für Personen, die noch nicht mit Intune oder einem bestimmten Szenario neu sind.

Informationen zur iOS/iPadOS-Version dieses Handbuchs finden Sie unter Bereitstellungshandbuch: Verwalten von iOS-/iPadOS-Geräten in Microsoft Intune.