Configurar a inscrição para dispositivos totalmente geridos pelo Android Enterprise

  • Artigo

Configure a solução de dispositivo totalmente gerido do Android Enterprise no Microsoft Intune para inscrever e gerir dispositivos pertencentes à empresa. Um dispositivo totalmente gerido está associado a um único utilizador e destina-se a trabalho e não a utilização pessoal. Enquanto administrador do Intune, pode gerir todo o dispositivo e impor controlos de política que não estão disponíveis com o perfil de trabalho do Android Enterprise, tais como:

  • Permitir a instalação de aplicações apenas a partir do Managed Google Play.
  • Bloquear a desinstalação de aplicações geridas por parte dos utilizadores.
  • Impedir que os utilizadores reponham dispositivos de fábrica.

O utilizador e os utilizadores do dispositivo podem iniciar a inscrição ao introduzir ou analisar um token de inscrição durante a configuração do dispositivo. Este artigo descreve os pré-requisitos de inscrição e como criar perfis e tokens de inscrição. No final deste artigo, pode inscrever dispositivos.

Etapa 1: Pré-requisitos

Conclua estes pré-requisitos para garantir uma inscrição bem-sucedida.

  • Tem de ter um inquilino autónomo do Intune, com a autoridade de gestão de dispositivos móveis (MDM) definida como Microsoft Intune.

  • Os dispositivos precisam:

    • Execute a versão 8.0 e posterior do SO Android.
    • Execute uma versão android com conectividade do Google Mobile Services.
    • Ter o Google Mobile Services disponível e conseguir ligar-se ao mesmo.

    Não existem restrições ao fabricante/OEM do dispositivo se os três requisitos forem cumpridos.

  • Certifique-se de que o Android Enterprise é suportado na sua região. Para obter os requisitos do Android Enterprise, veja Introdução ao Android Enterprise.

  • Conecte sua conta de locatário do Intune à sua conta do Android Enterprise.

  • O processo de configuração do Android utiliza um separador do Chrome para autenticar utilizadores de dispositivos durante a inscrição. Se tiver uma política de Acesso Condicional do Microsoft Entra com as seguintes configurações, tem de excluir a aplicação cloud do Microsoft Intune da política:

    • Exigir que um dispositivo seja marcado como uma definição conforme é utilizado para conceder ou bloquear o acesso.

    • A política aplica-se a Todas as aplicações cloud, Android e Browsers.

Passo 2: Criar novo perfil de inscrição

O Intune gera automaticamente um perfil de inscrição predefinido e um token de inscrição para dispositivos totalmente geridos. O perfil de inscrição predefinido é denominado Perfil Totalmente Gerido Predefinido.

Para criar um novo perfil de inscrição:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Aceda aInscrição de Dispositivos>.

  3. Selecione o separador Android .

  4. EmPerfis de InscriçãoDo Android Enterprise>, selecione Dispositivos de utilizador totalmente geridos e pertencentes à empresa.

  5. Selecione Criar perfil.

  6. Introduza as noções básicas do seu perfil:

    • Nome: atribua um nome ao perfil. Anote o nome para mais tarde, porque precisa dele quando configurar o grupo de dispositivos dinâmico.

    • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

    • Tipo de token: selecione o tipo de token que pretende utilizar para inscrever dispositivos empresariais totalmente geridos. Para obter mais informações, veja Tipos de tokens neste artigo. Suas opções:

      • Propriedade da empresa, totalmente gerida (predefinição)

      • Propriedade da empresa, totalmente gerida, através de teste

    • Data de expiração do token: apenas disponível com o token de teste. Introduza a data em que pretende que o token expire, até 65 anos no futuro. Formato de data aceitável: MM/DD/YYYY ou YYYY-MM-DD o token expira na data selecionada às 12:59:59 no fuso horário em que foi criado.

  7. Selecione Seguinte para continuar para Etiquetas de âmbito.

  8. Aplique uma ou mais etiquetas de âmbito para limitar a visibilidade e a gestão do perfil a determinados utilizadores administradores no Intune. As marcas de escopo são opcionais. Para obter mais informações sobre como utilizar etiquetas de âmbito, veja Utilizar o controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuída.

  9. Selecione Seguinte para continuar a Rever + criar.

  10. Reveja o resumo do seu perfil e, em seguida, selecione Criar para finalizá-lo.

Para rever, fazer alterações ou eliminar o perfil:

  1. Selecione o perfil.

  2. Selecione Descrição geral para rever o perfil essencial e eliminar o perfil.

  3. Selecione Editar Propriedades> paraefetuar alterações às noções básicas do perfil ou etiquetas de âmbito.

  4. Selecione Token para obter, revogar ou exportar o token.

Passo 3: Criar um grupo dinâmico do Microsoft Entra

Opcionalmente, crie um grupo dinâmico do Microsoft Entra para agrupar automaticamente dispositivos com base num determinado atributo ou variável. Neste caso, queremos utilizar a enrollmentProfileName propriedade para agrupar dispositivos que estão a ser inscritos com o mesmo perfil.

Adicione estas configurações ao seu grupo:

  • Tipo de grupo: segurança

  • Tipo de afiliação: Dispositivo Dinâmico

  • Adicione uma consulta dinâmica com a seguinte regra:

Não pode utilizar grupos dinâmicos com o perfil de inscrição predefinido. Para obter mais informações sobre como criar um grupo dinâmico com regras, veja Criar uma regra de associação a grupos.

Passo 4: Inscrever dispositivos

Depois de configurar o perfil de inscrição, o token e o grupo dinâmico, pode utilizar qualquer um destes métodos de aprovisionamento para inscrever dispositivos como totalmente geridos:

  • Comunicação de Proximidade (NFC)
  • Cadeia de token ou código QR
  • Inscrição sem toque
  • Registro do Samsung Knox Mobile

Para obter os passos seguintes, incluindo como inscrever dispositivos com cada método de aprovisionamento, veja Inscrever dispositivos pertencentes à empresa do Android Enterprise.

Tipos de tokens

Quando cria o perfil de inscrição no centro de administração, tem de selecionar um tipo de token. Existem dois tipos de tokens. Cada tipo ativa um fluxo de inscrição diferente.

O token predefinido, pertencente à empresa, totalmente gerido, inscreve dispositivos no Microsoft Intune como dispositivos totalmente geridos empresariais padrão do Android Enterprise. Este token requer que conclua os passos de pré-aprovisionamento antes de distribuir os dispositivos. Os utilizadores finais completam os restantes passos no dispositivo quando iniciam sessão com a respetiva conta escolar ou profissional.

O token de teste de dispositivos, pertencente à empresa , totalmente gerido, através de teste, inscreve dispositivos no Microsoft Intune num modo de teste para que o utilizador ou um fornecedor de terceiros possa concluir todos os passos de pré-aprovisionamento. Os utilizadores finais completam o último passo de aprovisionamento ao iniciar sessão na aplicação Microsoft Intune com a respetiva conta escolar ou profissional. Os dispositivos estão prontos a utilizar após o início de sessão. O Intune suporta a transição de dispositivos para dispositivos Android Enterprise com o Android 8 ou posterior.

Para obter mais informações, veja Descrição geral do teste de dispositivos.

Substituir, remover ou exportar token

Selecione um token no centro de administração para aceder a estas opções de gestão:

  • Substituir token: gere um novo token que está prestes a expirar.

  • Revogar token: expire imediatamente o token. Depois de o revogar, o token já não é utilizável. Esta opção é útil se:

    • Partilhe acidentalmente o token com uma parte não autorizada.

    • Conclua todas as inscrições e deixe de precisar do token.

  • Exportar token: exporte o conteúdo JSON do token. Pode utilizar esta opção para obter o conteúdo JSON necessário para a configuração do Google Zero Touch ou do Knox Mobile Enrollment.

Quando aplicadas, estas ações não têm qualquer efeito nos dispositivos que já estão inscritos.