Microsoft Intune – Enroll di un dispositivo Android dedicato con Azure AD Shared mode

Molte aziende utilizzano dispositivi Android per supportare la produzione, come ad esempio monitoraggio dei dati in tempo reale, scanner per gestire magazzini e inventario, dispositivi medici per monitorare i pazienti da remoto, recuperare le loro cartelle dal cloud o effettuare ricerche ed anche utilizzo di app kiosk per gli ordini, le informazioni o i pagamenti.

I lavoratori frontline, come i magazzinieri, gli assistenti di volo, i commessi dei negozi, ecc., spesso usano un dispositivo mobile condiviso per svolgere il loro lavoro. Ciò diventa problematico quando iniziano a condividere password o aggiungere numeri per accedere ai dati aziendali e dei clienti nel dispositivo condiviso.

La modalità Shared device consente di configurare un dispositivo Android in modo che possa essere facilmente condiviso da più dipendenti. Al termine del turno o dell’attività, è possibile disconnettersi dal dispositivo e sarà immediatamente pronto per l’uso del dipendente successivo.

Gestione dei dispositivi condivisi tramite Microsoft Intune

La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:

  • Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
  • Gestire le app per dispositivi mobili usati dagli utenti.
  • Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
  • Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.

Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:

  • I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
  • I dispositivi Android Enterprise, inclusi:
    • Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
    • Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
    • Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
    • Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
  • Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
    • Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
    • Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.

In questa guida mostrerò come implementare un profilo Corporate-owned dedicated profile in Microsoft Intune per distribuire dispositivi che poi eseguiranno applicazioni in modalità kiosk, con la possibilità di utilizzare un account di Azure AD per poter accedere al dispositivo.

Configurare la gestione di dispositivi Android Enterprise

Per configurare la gestione di dispositivi Android Enterprise, effettuate i seguenti passaggi:

  • Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
  • Connettete l’account del tenant di Intune all’account di Managed Google Play.
  • Create un profilo di registrazione.
  • Create un gruppo di dispositivi.
  • Registrate i dispositivi Android dedicati.

Requisiti dei dispositivi

I dispositivi devono soddisfare questi requisiti per essere gestiti da Endpoint Manager come dispositivo dedicato Enterprise Android:

  • Sistema operativo Android versione 8.0 e successive.
  • I dispositivi devono eseguire una distribuzione di Android con connettività GMS (Google Servizi mobili). I dispositivi devono avere GMS disponibili e devono essere in grado di connettersi a GMS.

Creazione di un profilo Corporate-owned dedicated profile

Dal portale di Microsoft Intune selezionate Devices à Enroll Devices e scegliete Android Enrollment. Nella pagina di Android Enrollment scegliete la voce Corporate-owned dedicated profile

Figura 1: Selezione del profilo di enrollment Corporate-owned dedicated profile

Cliccate su + Create Profile per lanciare il wizard di creazione del nuovo profilo.

Figura 2: Creazione del nuovo profilo di Corporate-owned dedicated devices

Date un nome al profilo e scegliete la modalità di generazione del token:

  • Dispositivo Android Enterprise dedicato standard. Questi dispositivi vengono registrati in Intune senza un account utente e non sono associati ad alcun utente finale. Questi dispositivi non sono destinati ad applicazioni per uso personale o app che hanno un forte requisito per i dati di account specifici dell’utente, ad esempio Outlook o Gmail.
  • Dispositivo Android Enterprise dedicato che viene configurato automaticamente con l’applicazione Authenticator Microsoft configurata in modalità Azure AD shared Mode. Questi dispositivi vengono registrati in Intune senza un account utente e non sono associati ad alcun utente finale; sono destinati all’uso con applicazioni integrate con la modalità Azure AD shared Mode per consentire l’accesso single sign-on e single sign-out tra gli utenti tra le applicazioni

Figura 3: Modalità di generazione del token per l’enrollment del dispositivo in modalità Corporate-owned dedicated profile

Figura 4: Scelta del Token type Corporate-owned dedicated device with Azure AD sharem mode

Figura 5: Scope tag per definire a chi verrà applicato il profilo Corporate-owned dedicate devices

Figura 6: Schermata finale del wizard di creazione del profilo Corporate-owned dedicated devices

Figura 7: Profilo di enrollment creato

Cliccate sul profilo appena creato per poter visualizzare il token. Si tratta di un codice QR che poi utilizzerete per fare l’enrollment del dispositivo.

Figura 8: Token QR da utilizzare per l’enrollment del dispositivo

Creazione di un gruppo dinamico che conterrà i dispositivi

Poiché questi dispositivi non saranno associati ad alcun utente, procedete alla creazione di un gruppo di dispositivi a cui poi assegnerete le applicazioni, i profili di configurazione e le altre policy.

Procedete alla creazione di un gruppo dinamico di Azure AD che conterrà di dispositivi che avranno effettuato l’enrollment con il profilo Corporate-owned dedicated devices. Nelle figure sotto sono mostrati tutti i passaggi.

Figura 9: Creazione di un nuovo gruppo dinamico di dispositivi in Azure AD

Figura 10: Regola di appartenenza al gruppo

Figura 11: Creazione del gruppo dinamico di dispositivi

Aggiunta delle App da distribuire

Per utilizzare la modalità Multi-kiosk è necessario distribuire l’app Managed Home Screen e le altre applicazioni che volete pubblicare sui dispositivi condivisi. Dal portale di Microsoft Intune selezionate Apps à Android e aggiungete le app dal Managed Google Play

Figura 12: Aggiunta dell’app Managed Home Screen dal Managed Google Play

Figura 13: L’app Managed Home Screen è pronta per poter essere distribuita e configurata

Figura 14: Assegnazione dell’app ad un gruppo di Azure AD

Assegnate quindi l’app al gruppo dinamico di dispositivi creato in precedenza.

Figura 15: Assegnazione dell’app Managed Home Screen al gruppo dinamico di dispositivi creato in precedenza

Figura 16: Assegnazione dell’app Managed Home Screen al gruppo dinamico di dispositivi Dedicated devices with Azure AD shared mode

Aggiungete dal Managed Google Play le app da distribuire ai dispositivi e assegnatele al gruppo dinamico creato in precedenza. Io ho aggiunto Microsoft Edge e Microsoft Teams.

Figura 17: Aggiunta di Microsoft Teams alle applicazioni distribuibili tramite Managed Google Play

Figura 18: Assegnazione dell’app Microsoft Teams al gruppo dinamico di dispositivi Dedicated devices with Azure AD shared mode

Creazione di un Multi-app kiosk profile

Dopo aver aggiunto l’app Managed Home Screen è necessario creare un profilo di configurazione da Devices à Android à Configuration profiles. Selezionate Android Enterprise come piattaforma e selezionate Device restrictions nella porzione Fully Managed, Dedicated and Corporate-Owned Work Profile, come mostrato nella figura sotto:

Figura 19: Creazione di un nuovo profilo di configurazione di tipo Device Restriction per il Fully Managed, Dedicated and Corporate-Owned Work Profile

Figura 20: Nome del nuovo profilo di configurazione

Nella sezione Device Experience selezionate come enrollment profile type “Dedicate device” e come Kiosk Mode “multi-app”

Figura 21: Selezione dell’enrollment profile type e del kiosk mode

Personalizzate a questo punto l’aspetto della Home Screen mettendo su Enabled la voce Custom app layout e aggiungete le app che volete distribuire e che volete aggiungere alla Home Screen.

Figura 22: Personalizzazione della posizione della app nella Home Screen

Figura 23: Posizionamento delle app da distribuire nella Home Screen

Nella schermata sotto sono mostrate le altre configurazioni disponibili per la personalizzazione del profilo di configurazione Device Restrictions. Configurate la voce MHS sign-in screen in modo tale da richiedere nella schermata iniziale del dispositivo le credenziali di Azure AD prima di mostrare le applicazioni. Io anche deciso di aggiungere una lista di reti Wi-Fi abilitate.

Figura 24: Configurazioni disponibili per la personalizzazione del profilo di configurazione Device Restrictions

Figura 25: Scope tag per definire a chi verrà applicato il profilo Device Restrictions

Assegnate il profilo al gruppo dinamico di dispositivi che avete creato in precedenza.

Figura 26: Assegnazione del profilo al gruppo dinamico di dispositivi creato in precedenza

Figura 27: Assegnazione del profilo al gruppo dinamico di dispositivi creato in precedenza

Figura 28: Schermata di riepilogo della creazione del profilo di Device Restrictions

Figura 29: Profilo di Device Restrictions creato con successo

Dopo aver acceso per la prima volta il vostro dispositivo (factory reset) procedete alla configurazione di Android Enterprise cliccando 5 volte sullo schermo.

Qui di seguito sono mostrate tutte le schermate che vi appariranno.

NOTA: Queste schermate sono state prese da un Samsung A52

      

      

      

      

      

Poiché le applicazioni e il profilo di configurazione sono stati applicato ad un gruppo dinamico di Azure AD, sarà necessario attendere qualche minuto per vedere le configurazioni che abbiamo deciso di applicare. Una volta che il dispositivo verrà aggiunto al gruppo, verrà configurato senza intervento da parte del’utente, come mostrato nelle figure sotto:

Figura 30: Dopo qualche minuto il dispositivo verrà aggiunto al gruppo dinamico di Azure AD

Figura 31: Dispositivo di Android Enterprise aggiunto al gruppo dinamico

Figura 32: Il dispositivo è completamente gestibile da Microsoft Intune

Nel giro di poco tempo partirà la distribuzione delle configurazioni e delle applicazioni sul dispositivo.

      

Da questo momento in poi il dispositivo è utilizzabile solo se verranno inserite le credenziali di Azure AD facendo clic sul pulsante SIGN IN. Dopo l’inserimento delle credenziali saranno visibili tutte le applicazioni che avete deciso di distribuire al gruppo di dispositivi e sarà effettuato il single sign-on con le credenziali dell’utente. Come si può vedere dalle schermate sotto, oltre alle due applicazioni Microsoft Edge e Microsoft Teams, è apparsa nella Home Screen anche un Managed Settings, da cui l’utente potrà scegliere a quale rete Wi-Fi collegarsi.

      

Al momento del Sign-out dell’utente verranno cancellati tutti i dati personali memorizzati nel telefono (non quelli cloud ovviamente) e verrà mostrata la schermata principale con la possibilità di far fare il sign-in al successivo utente che dovrà utilizzare il dispositivo.

      

Conclusioni

Android Enterprise permette di gestire i dispositivi mobili in diversi modi: dispositivi personali con autorizzazione ad accedere ai dati aziendali, dispositivi di proprietà dell’azienda pensati per uno specifico utilizzo (dedicati), dispositivi aziendali usati esclusivamente per lavoro e non per uso personale (completamente gestiti) e dispositivi aziendali che possono essere utilizzati dagli utenti anche per uso personale. In questo modo gli amministratori di Microsoft Intune possono gestire in modi diversi i dispositivi, a seconda della loro proprietà e del loro utilizzo.

La modalità Shared device consente di configurare un dispositivo Android in modo che possa essere facilmente condiviso da più dipendenti. Al termine del turno o dell’attività, è possibile disconnettersi dal dispositivo e sarà immediatamente pronto per l’uso del dipendente successivo.