Nicola Ferrini

Microsoft Intune – Enroll di un dispositivo Android in modalità COPE (Corporate-owned with work profile)

Visualizzazioni: 2.643

I dispositivi Android con versione 5.0 Lollipop e successive sono dotati di funzionalità aziendali integrate per supportare la forza lavoro mobile e connessa. Le aziende hanno bisogno che i propri dipendenti siano sempre più “mobili” e il ruolo dell’IT Admin è diventato molto più complesso rispetto al passato e non è più limitato a gestire i desktop, ma anche i dispositivi mobili, come ad esempio tablet e smartphone.

La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:

  • Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
  • Gestire le app per dispositivi mobili usati dagli utenti.
  • Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
  • Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.

Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:

  • I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
  • I dispositivi Android Enterprise, inclusi:
    • Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
    • Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
    • Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
    • Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
  • Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
    • Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
    • Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.

È possibile configurare un profilo di lavoro (work profile) per separare app e dati di lavoro da app e dati personali. Con un profilo di lavoro è possibile utilizzare in modo sicuro e privato lo stesso dispositivo a scopi personali e lavorativi; L’azienda gestisce le app e i dati di lavoro mentre l’utilizzo, le app e i dati personali rimangono privati. Ne abbiamo già parlato nella guida Microsoft Endpoint Manager – Microsoft Intune – Enrollment di un dispositivo Android personale (BYOD) con il profilo di lavoro – ICT Power

Oltre alla implementazione BYOD (Bring your own device, Porta il tuo dispositivo) è però possibile anche gestire l’implementazione COPE (dispositivi di proprietà dell’azienda, anche a uso personale) e grazie ai Profili di lavoro per la separazione dei dati possiamo proteggere e separare dall’uso personale app e dati di lavoro.

I profili di lavoro sono la soluzione ideale per le implementazioni BYOD e COPE.

In questa guida mostrerò come implementare un profilo COPE con profilo di lavoro (Corporate-owned with work profile).

Configurare la gestione di dispositivi Android Enterprise

Per configurare la gestione di dispositivi Android Enterprise, effettuate i seguenti passaggi:

  • Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
  • Connettete l’account del tenant di Intune all’account di Managed Google Play.
  • Create un profilo di registrazione.
  • Create un gruppo di dispositivi.
  • Registrate i dispositivi Android.

Creazione di un profilo COPE con profilo di lavoro (Corporate-owned with work profile)

Dal portale di Microsoft Intune selezionate Devices àEnroll Devices e scegliete Android Enrollment. Nella pagina di Android Enrollment scegliete la voce Corporate-owned with work profile.

Figura 1: Selezione del profilo di enrollment Corporate-owned with work profile

Cliccate su + Create Profile per lanciare il wizard di creazione del nuovo profilo.

Figura 2: Creazione del nuovo profilo di Corporate-owned with work profile

Figura 3: Nome del profilo Corporate-owned with work profile

Figura 4: Scope tag per definire a chi verrà applicato il profilo Corporate-owned with work profile

Figura 5: Schermata finale del wizard di creazione del profilo Corporate-owned with work profile

Cliccate sul profilo appena creato per poter visualizzare il token. Si tratta di un codice QR che poi utilizzerete per fare l’enrollment del dispositivo.

Figura 6: Profilo Corporate-owned with work profile creato

Figura 7: Token QR da utilizzare per l’enrollment del dispositivo

NOTA: Per eseguire l’enrollment del dispositivo è necessario distribuire le applicazioni Microsoft Authenticator e Microsoft Intune, che devono essere distribuite con il tipo di assegnazione impostato su Obbligatoria . Per distribuire applicazioni con il Managed Google Play Store vi rimando alla lettura della mia guida Microsoft Intune – Gestione dei dispositivi Android Enterprise – ICT Power

Enrollment del dispositivo Android

Dopo aver acceso per la prima volta il vostro dispositivo (factory reset) procedete alla configurazione di Android Enterprise cliccando 5 volte sullo schermo. In alcuni dispositivi potrebbe essere necessario invece accedere a Google indicando, invece che un account, la username afw#setup. Quest’ultimo metodo è supportato da Android 8.0 ad Android 10.0. Non è supportato per le versioni  da Android 11.0 in poi.

Qui di seguito sono mostrate tutte le schermate che vi appariranno.

NOTA: Questa schermate sono state prese da un Samsung A52

      

      

      

      

      

      

      

      

Dal portale di Microsoft Intune, selezionando Devices àAndroid àAndroid Devices potrete avere visibilità sui diversi dispositivi di cui avete effettuato l’enrollment. Sarà possibile visualizzare se i dispositivi sono Corporate oppure Personal ed in più per ognuno di loro sarà visibile la modalità di gestione: Work ProfileDedicated, Fully Managed oppure corporate-owned work profile.

Figura 8: Disposiviti Android gestiti da Intune e in evidenza il nostro dispositivo corporate-owned work profile

Conclusioni

Android Enterprise permette di gestire i dispositivi mobili in diversi modi: dispositivi personali con autorizzazione ad accedere ai dati aziendali, dispositivi di proprietà dell’azienda pensati per uno specifico utilizzo (dedicati) , dispositivi aziendali usati esclusivamente per lavoro e non per uso personale (completamente gestiti) e dispositivi aziendali che possono essere utilizzati dagli utenti anche per uso personale. In questo modo gli amministratori di Microsoft Intune possono gestire in modi diversi i dispositivi, a seconda della loro proprietà e del loro utilizzo.