Configurare Intune registrazione di dispositivi android enterprise di proprietà dell'azienda con profilo di lavoro

I dispositivi Android Enterprise di proprietà dell'azienda con un profilo di lavoro sono dispositivi utente singolo destinati all'uso aziendale e personale.

Gli utenti finali possono mantenere separati il lavoro e i dati personali e sono garantiti che i dati personali e le applicazioni rimangano privati. Gli amministratori possono controllare alcune impostazioni e funzionalità per l'intero dispositivo, tra cui:

  • Impostazione dei requisiti per la password del dispositivo
  • Controllo del Bluetooth e del roaming dei dati
  • Configurazione della protezione del ripristino delle impostazioni predefinite

Intune consente di distribuire app e impostazioni in dispositivi android enterprise di proprietà dell'azienda con profilo di lavoro. Per informazioni specifiche su Android Enterprise, vedere Requisiti di Android Enterprise.

Requisiti dei dispositivi

I dispositivi devono soddisfare questi requisiti per essere gestiti come dispositivi del profilo di lavoro di proprietà dell'azienda Android Enterprise:

  • Sistema operativo Android versione 8.0 e successive.
  • I dispositivi devono eseguire una distribuzione di Android con connettività di Google Mobile Services (GMS). I dispositivi devono disporre di GMS e devono essere in grado di connettersi a GMS.

Configurare la gestione dei dispositivi del profilo di lavoro di proprietà dell'azienda Android Enterprise

Per configurare la gestione dei dispositivi del profilo di lavoro di proprietà dell'azienda Android Enterprise, seguire questa procedura:

  1. Per prepararsi alla gestione dei dispositivi mobili, è necessario impostare l'autorità di gestione dei dispositivi mobili (MDM) su Microsoft Intune per istruzioni. L'elemento viene impostato una sola volta quando si configura per la prima volta Intune per la gestione dei dispositivi mobili.
  2. Connettere l'account tenant Intune all'account Google Play gestito.
  3. Creare un profilo di registrazione.
  4. Creare un gruppo di dispositivi.
  5. Registrare i dispositivi del profilo di lavoro di proprietà dell'azienda.

Creare un profilo di registrazione

Nota

  • I token per i dispositivi di proprietà dell'azienda con un profilo di lavoro non scadranno automaticamente. Se un amministratore decide di revocare un token , il profilo associato non verrà visualizzato in Dispositivi>per piattaforma>Android>Device onboarding>Enrollment>Dispositivi di proprietà dell'azienda con profilo di lavoro. Per visualizzare tutti i profili associati ai token attivi e inattivi, fare clic su Filtra e selezionare le caselle per gli stati dei criteri "Attivo" e "Inattivo".
  • Per i dispositivi con profilo di lavoro (COPE) di proprietà dell'azienda, il afw#setup metodo di registrazione e il metodo di registrazione Near Field Communication (NFC) sono supportati solo nei dispositivi che eseguono Android 8-10. Non sono disponibili in Android 11. Per altre informazioni, vedere la documentazione per sviluppatori google qui.

È necessario creare un profilo di registrazione in modo che gli utenti possano registrare i dispositivi del profilo di lavoro di proprietà dell'azienda. Quando il profilo viene creato, fornisce un token di registrazione (stringa casuale) e un codice a matrice. A seconda del sistema operativo Android e della versione del dispositivo, è possibile usare il token o il codice a matrice per registrare il dispositivo dedicato.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Passare a Registrazione dispositivi>.

  3. Selezionare la scheda Android .

  4. InProfili di registrazioneAndroid Enterprise> scegliere Dispositivi di proprietà dell'azienda con profilo di lavoro.

  5. Selezionare Crea profilo.

  6. Immettere le nozioni di base per il profilo:

    • Nome: assegnare un nome al profilo. Annotare il nome per un secondo momento, perché è necessario quando si configura il gruppo di dispositivi dinamici.

    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

    • Tipo di token: scegliere il tipo di token da usare per registrare i dispositivi. Per altre informazioni, vedere Tipi di token in questo articolo. Le opzioni disponibili sono:

      • Di proprietà dell'azienda con profilo di lavoro (impostazione predefinita)

      • Di proprietà dell'azienda con profilo di lavoro, tramite staging

    • Data di scadenza del token: disponibile solo con il token di staging. Immettere la data di scadenza del token, fino a 65 anni in futuro. Formato di data accettabile: MM/DD/YYYY o YYYY-MM-DD Il token scade alla data selezionata alle 12:59:59 del fuso orario creato.

  7. Selezionare Avanti per continuare con i tag ambito.

  8. Facoltativamente, applicare uno o più tag di ambito per limitare la visibilità e la gestione delle restrizioni a determinati utenti amministratori in Intune. Per altre informazioni su come usare i tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

  9. Scegliere Avanti per continuare a creare e rivedere.

  10. Esaminare le scelte e quindi selezionare Crea per completare la creazione del profilo.

Accedere al token di registrazione

Dopo aver creato un profilo, Intune genera il token necessario per la registrazione.

  1. Tornare a Registrazione dispositivi> e selezionare la scheda Android.

  2. Nella sezione Profili di registrazione scegliere Dispositivi di proprietà dell'azienda con profilo di lavoro.

  3. Nell'elenco selezionare il profilo di registrazione.

  4. Selezionare Token.

Un altro modo per trovare il token è:

  1. Individuare il profilo nell'elenco e quindi selezionare il menu Altro (...) accanto.

  2. Selezionare Visualizza token di registrazione.

Il token viene visualizzato come stringa a otto cifre e come codice a matrice. Usare questo token per la registrazione in base ai meccanismi di registrazione descritti nel documento di registrazione dei dispositivi di proprietà dell'azienda Android Enterprise.

Revocare o esportare i token

  • Revoca token: è possibile scadere immediatamente il token/codice a matrice. Da questo punto in avanti, il token/codice a matrice non è più utilizzabile. È possibile usare questa opzione se:

    • Condividere accidentalmente il token/codice a matrice con un'entità non autorizzata.
    • Completare tutte le registrazioni e non è più necessario il token/codice a matrice.
  • Token di esportazione: è possibile esportare il contenuto JSON del token/codice a matrice. È possibile usare questa opzione per copiare/incollare contenuto JSON per zero touch enrollment (ZTE) o Knox Mobile Enrollment (KME).You can use this option to copy/paste JSON content for Zero Touch Enrollment (ZTE) or Knox Mobile Enrollment (KME).

La revoca o l'esportazione di un token/codice a matrice non ha alcun effetto sui dispositivi già registrati.

  1. Nell'interfaccia di amministrazione passare a Registrazione dispositivi>.
  2. Selezionare la scheda Android .
  3. InProfili di registrazioneAndroid Enterprise> scegliere Dispositivi di proprietà dell'azienda con profilo di lavoro.
  4. Scegliere il profilo con cui si vuole lavorare.
  5. Scegliere Token.
  6. Per revocare il token, scegliere Revoca token>.
  7. Per esportare il token, scegliere Esporta token.

Creare un gruppo di dispositivi

È possibile assegnare app e criteri a gruppi di dispositivi assegnati o dinamici. È possibile configurare gruppi di dispositivi Microsoft Entra dinamici per popolare automaticamente i dispositivi registrati con un profilo di registrazione specifico seguendo questa procedura:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.
  2. Passare a Gruppi>Tutti i gruppi>Nuovo gruppo.
  3. Compilare i campi obbligatori come indicato di seguito:
    • Tipo di gruppo: Sicurezza
    • Nome gruppo: digitare un nome intuitivo, ad esempio Dispositivi Factory 1
    • Tipo di appartenenza: dispositivo dinamico
  4. Selezionare Aggiungi query dinamica.
  5. Per le regole di appartenenza dinamica, compilare i campi come indicato di seguito:
    • Aggiungere una regola di appartenenza dinamica: regola semplice
    • Aggiungere dispositivi in cui: enrollmentProfileName
    • Nella casella centrale scegliere Uguale.
    • Nell'ultimo campo immettere il nome del profilo di registrazione creato in precedenza. Per altre informazioni sulle regole di appartenenza dinamica, vedere Regole di appartenenza dinamica per i gruppi in Microsoft Entra ID.
  6. Scegliere Aggiungi creazione query>.

Registrare i dispositivi del profilo di lavoro di proprietà dell'azienda

Gli utenti possono ora registrare i dispositivi del profilo di lavoro di proprietà dell'azienda.

Nota

L'app Microsoft Intune viene installata automaticamente durante la registrazione. Questa app è necessaria per la registrazione e non può essere disinstallata. Se distribuisci l'app Portale aziendale Intune in un dispositivo e l'utente tenta di avviare l'app, verrà reindirizzata all'app Microsoft Intune e l'icona dell'app Portale aziendale verrà nascosta.

Tipi di token

Quando si crea il profilo di registrazione nell'interfaccia di amministrazione, è necessario selezionare un tipo di token. Esistono due tipi di token. Ogni tipo abilita un flusso di registrazione diverso.

Il token predefinito, il profilo di lavoro di proprietà dell'azienda, registra i dispositivi in Microsoft Intune come dispositivi android enterprise standard di proprietà dell'azienda con profili di lavoro. Questo token richiede di completare i passaggi di pre-provisioning prima di distribuire i dispositivi. Gli utenti finali completano i passaggi rimanenti nel dispositivo quando accedono con l'account aziendale o dell'istituto di istruzione.

Il token di gestione temporanea del dispositivo, il profilo di lavoro di proprietà dell'azienda, tramite la gestione temporanea, registra i dispositivi in Microsoft Intune in una modalità di gestione temporanea in modo che l'utente o un fornitore partner possa completare tutti i passaggi di pre-provisioning. Gli utenti finali completano l'ultimo passaggio del provisioning accedendo all'app Microsoft Intune con l'account aziendale o dell'istituto di istruzione. I dispositivi sono pronti per l'uso al momento dell'accesso. Intune supporta la gestione temporanea dei dispositivi per dispositivi Android Enterprise che eseguono Android 8 o versioni successive.

Per altre informazioni, vedere Panoramica della gestione temporanea del dispositivo.

Gestione delle app nei dispositivi del profilo di lavoro di proprietà dell'azienda Android Enterprise

Le app vengono installate da Google Play Store gestito nello stesso modo dei dispositivi del profilo di lavoro di proprietà personale Android Enterprise.

Le app vengono aggiornate automaticamente nei dispositivi gestiti quando lo sviluppatore dell'app pubblica un aggiornamento in Google Play.

Per rimuovere un'app dai dispositivi del profilo di lavoro di proprietà dell'azienda Android Enterprise, è possibile:

  • Eliminare la distribuzione dell'app Obbligatoria.
  • Creare una distribuzione di disinstallazione per l'app.

Limitazioni

Le limitazioni di questa sezione si applicano ai dispositivi di proprietà dell'azienda con un profilo di lavoro.

Lo spazio privato è una funzionalità introdotta con Android 15 che consente agli utenti di creare uno spazio nel dispositivo per le app sensibili e i dati che vogliono mantenere nascosti. Lo spazio privato è considerato un profilo personale. Microsoft Intune non supporta la gestione dei dispositivi mobili all'interno dello spazio privato o fornisce supporto tecnico per i dispositivi che tentano di registrare lo spazio privato.

Passaggi successivi