Microsoft Intune – Enroll di un dispositivo Android in modalità COPE (Corporate-owned with work profile) con il Device Staging
Dalla versione 2405 di Microsoft Intune è disponibile una nuova modalità di enrollment per i dispositivi Android Fully Managed, sia per il profilo Corporate-owned fully managed user profile che per il profilo Corporate-owned with work profile.
I dispositivi Android con versione 5.0 Lollipop e successive sono dotati di funzionalità aziendali integrate per supportare la forza lavoro mobile e connessa. Molte aziende utilizzano dispositivi Android per supportare la produzione, come ad esempio monitoraggio dei dati in tempo reale, scanner per gestire magazzini e inventario, dispositivi medici per monitorare i pazienti da remoto, recuperare le loro cartelle dal cloud o effettuare ricerche ed anche utilizzo di app kiosk per gli ordini, le informazioni o i pagamenti.
La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:
- Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
- Gestire le app per dispositivi mobili usati dagli utenti.
- Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
- Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.
Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:
- I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
-
I dispositivi Android Enterprise, inclusi:
- Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
- Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
- Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
- Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
-
Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
- Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
- Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.
Che cos’è il Device Staging?
Il Device Staging è un metodo di registrazione per dispositivi aziendali che semplifica il processo di configurazione coinvolgendo un ulteriore passaggio di provisioning prima che il dispositivo arrivi all’utente finale. A differenza del metodo di enrollment predefinito, che richiede che siano gli utenti a completare tutti i passaggi di provisioning dopo aver ricevuto il dispositivo, Device Staging delega questi compiti a un amministratore o a un fornitore terzo. Questo assicura che i dispositivi siano preconfigurati con le impostazioni, le applicazioni e le policy necessarie, offrendo agli utenti un’esperienza pronta all’uso al primo accesso.
Come funziona Device Staging?
Il Device Staging si compone di 3 fasi:
- Inizio da parte dell’amministratore: Un amministratore avvia il processo di registrazione creando un token di registrazione “Staging”. Questo token è specificamente progettato per il processo di staging e differisce dal token di registrazione predefinito.
- Provisioning da parte del fornitore/amministratore: L’amministratore condivide il token di staging con un fornitore terzo o un altro amministratore responsabile della configurazione del dispositivo. Il fornitore/amministratore utilizza questo token per registrare il dispositivo e completa tutti i passaggi di provisioning, come:
- Registrare il dispositivo con Google o il sistema di gestione pertinente.
- Installare le vostre applicazioni e configurazioni aziendali.
- Applicare le politiche e le impostazioni di sicurezza della vostra organizzazione.
- Durante questa fase il dispositivo rimane senza utente, cioè non è ancora associato a nessun account utente specifico.
- Accesso dell’utente: Una volta completato il provisioning, il dispositivo viene consegnato all’utente finale. L’utente accede con le proprie credenziali, a quel punto il dispositivo diventa associato all’utente e pronto per l’uso. Poiché il dispositivo è preconfigurato, l’utente non navigare attraverso le impostazioni iniziali o i passaggi di provisioning.
Differenze rispetto al metodo di enrollment predefinito
Le principali differenze rispetto al metodo di enrollment predefinito sono:
-
Numero di fasi:
- Metodo predefinito: Due fasi—l’amministratore crea e condivide il token di registrazione; l’utente completa la registrazione.
- Metodo Device Staging: Tre fasi—l’amministratore crea il token di staging; il fornitore/amministratore completa il provisioning; l’utente accede.
-
Responsabilità per il provisioning:
- Metodo predefinito: Gli utenti sono responsabili di completare i passaggi di provisioning.
- Metodo Device Staging: Il provisioning è gestito dal fornitore/amministratore, riducendo l’onere per gli utenti.
-
Esperienza utente:
- Metodo predefinito: Gli utenti devono navigare attraverso le schermate di configurazione e attendere l’installazione delle applicazioni.
- Metodo Device Staging: Gli utenti ricevono i dispositivi pronti all’uso, immediatamente dopo che avranno effettuato l’accesso.
Vantaggi di Device Staging
I principali vantaggi offerti dal Device Staging sono:
- Distribuzione semplificata: ideale per implementazioni su larga scala in cui i dispositivi devono essere configurati in modo uniforme, riducendo il tempo che gli utenti spendono per configurare i dispositivi.
- Coerenza e conformità: garantisce che tutti i dispositivi soddisfino le politiche e gli standard di sicurezza della vostra organizzazione, minimizzando il rischio di configurazioni errate o vulnerabilità di sicurezza.
- Riduzione del carico di supporto: meno problemi legati alla configurazione significano meno chiamate all’helpdesk. I team IT possono concentrarsi su altre attività strategiche invece di risolvere problemi di configurazione utente.
Configurare la gestione di dispositivi Android Enterprise
Per configurare la gestione di dispositivi Android Enterprise, effettuate i seguenti passaggi:
- Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
- Connettete l’account del tenant di Intune all’account di Managed Google Play.
- Create un profilo di registrazione.
- Create un gruppo di dispositivi.
- Registrate i dispositivi Android dedicati.
Requisiti dei dispositivi
I dispositivi devono soddisfare questi requisiti per essere gestiti da Endpoint Manager come dispositivo dedicato Enterprise Android:
- Sistema operativo Android versione 8.0 e successive.
- I dispositivi devono eseguire una distribuzione di Android con connettività GMS (Google Servizi mobili). I dispositivi devono avere GMS disponibili e devono essere in grado di connettersi a GMS.
Fase 1 – Configurazione del profilo da parte dell’amministratore di Microsoft Intune
Accedete al Microsoft Intune admin center e navigate su Devices > Android > Android Enrollment. Nella sezione Enrollment Profiles scegliete tra Corporate-owned, fully managed user devices o Corporate-owned devices with work profile. Create un nuovo profilo e configurate il token. Io ho deciso di utilizzare il profilo Corporate-owned devices with work profile.
Figura 1: Creazione di un nuovo profilo Corporate-owned devices with work profile per l’enrollment dei dispositivi Android
Figura 2: Creazione di un nuovo profilo Corporate-owned devices with work profile per l’enrollment dei dispositivi Android
Figura 3: Configurazione del token per lo Staging
Il token del device staging ha una scadenza. Quando create un token di registrazione in Microsoft Intune potete impostare un periodo di validità per il token. Questo periodo stabilisce per quanto tempo il token sarà valido per l’enrollment dei dispositivi. Una volta scaduto, il token non potrà più essere utilizzato per registrare nuovi dispositivi e dovrete generarne uno nuovo.
Figura 4: Scadenza del token da usare per lo Staging
Figura 5: Scope Tag del profilo
Figura 6: Schermata riassuntivo del wizard di creazione di un nuovo profilo Corporate-owned devices with work profile
Figura 7: Creazione del profilo completata
Figura 8: Token da utilizzare per lo Staging dei dispositivi Android Enterprise
Fase 2: Enrollment dei dispositivi effettuata da un amministratore o da un fornitore
Dopo aver acceso per la prima volta il vostro dispositivo (factory reset) procedete alla configurazione di Android Enterprise cliccando 5 volte sullo schermo.
Qui di seguito sono mostrate tutte le schermate che vi appariranno.
NOTA: Queste schermate sono state prese da un Samsung A52
Come già scritto, durante questa fase il dispositivo rimane senza utente, cioè non è ancora associato a nessun account utente specifico. Il dispositivo riceverà tutte le configurazioni e le applicazioni che avete assegnato a tutti i device. Il provisioning è completato e il dispositivo è pronto per poter essere consegnato all’utente finale.
Come si può vedere dalla figura sotto, il dispositivo è visibile nel portale di Microsoft Intune e riporta il nome Staging_xxxxxxxxxx, senza nessun Primary User associato.
Figura 9: Dispositivo disponibile nel portale di Microsoft Intune
Fase 3 – Azioni effettuate dall’utente
L’utente accende il telefono, apre l’app Intune dal profilo di lavoro e accede utilizzando le proprie credenziali di Microsoft Entra ID. Di seguito sono riportate tutte le schermate:
Il dispositivo da questo momento in poi risulterà associato all’utente, come si può vedere dalla presenza dell’UPN nel portale di Microsoft Intune e dal nome del dispositivo che fa riferimento alla login usata. Da questo momento in poi nel profilo di lavoro verranno installate anche le applicazioni che avete deciso di assegnare all’utente o al gruppo di utenti a cui l’utente appartiene. Per distribuire le applicazioni ai vostri dispositivi Android vi invito a leggere la mia guida Microsoft Intune – Distribuire App ai dispositivi Android – ICT Power
Figura 10: Il dispositivo risulta associato all’utente che ha effettuato il login nell’app di lavoro Microsoft Intune
Con il profilo di lavoro (work profile), l’utente può installare le proprie applicazioni nel profilo personale. Il work profile crea una separazione tra le applicazioni e i dati aziendali e quelli personali. Questo significa che nel profilo personale l’utente avrà la libertà di installare e gestire le app senza interferire con le politiche o le restrizioni applicate al profilo di lavoro. Gli basterà effettuare il login con il suo account Gooogle.
Conclusioni
La modalità di enrollment ‘Device Staging’ rappresenta un significativo miglioramento nella gestione e distribuzione dei dispositivi aziendali. Questo approccio consente agli utenti di ricevere dispositivi già preconfigurati, riducendo il tempo e gli sforzi necessari per la configurazione iniziale. Coinvolgendo amministratori o fornitori terzi nel processo di provisioning si assicura una configurazione uniforme e conforme alle politiche di sicurezza su tutti i dispositivi.
Grazie alla separazione tra profilo di lavoro e profilo personale, gli utenti avranno la libertà di installare le applicazioni personali senza interferire con le restrizioni o le politiche aziendali applicate al profilo di lavoro. Questo non solo migliora l’esperienza utente, ma riduce anche il carico di supporto per il team IT.