Microsoft Intune – Enroll di un dispositivo Android in modalità COPE (Corporate-owned with work profile)

I dispositivi Android con versione 5.0 Lollipop e successive sono dotati di funzionalità aziendali integrate per supportare la forza lavoro mobile e connessa. Le aziende hanno bisogno che i propri dipendenti siano sempre più “mobili” e il ruolo dell’IT Admin è diventato molto più complesso rispetto al passato e non è più limitato a gestire i desktop, ma anche i dispositivi mobili, come ad esempio tablet e smartphone.

La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:

  • Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
  • Gestire le app per dispositivi mobili usati dagli utenti.
  • Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
  • Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.

Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:

  • I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
  • I dispositivi Android Enterprise, inclusi:
    • Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
    • Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
    • Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
    • Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
  • Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
    • Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
    • Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.

È possibile configurare un profilo di lavoro (work profile) per separare app e dati di lavoro da app e dati personali. Con un profilo di lavoro è possibile utilizzare in modo sicuro e privato lo stesso dispositivo a scopi personali e lavorativi; L’azienda gestisce le app e i dati di lavoro mentre l’utilizzo, le app e i dati personali rimangono privati. Ne abbiamo già parlato nella guida Microsoft Endpoint Manager – Microsoft Intune – Enrollment di un dispositivo Android personale (BYOD) con il profilo di lavoro – ICT Power

Oltre alla implementazione BYOD (Bring your own device, Porta il tuo dispositivo) è però possibile anche gestire l’implementazione COPE (dispositivi di proprietà dell’azienda, anche a uso personale) e grazie ai Profili di lavoro per la separazione dei dati possiamo proteggere e separare dall’uso personale app e dati di lavoro.

I profili di lavoro sono la soluzione ideale per le implementazioni BYOD e COPE.

In questa guida mostrerò come implementare un profilo COPE con profilo di lavoro (Corporate-owned with work profile).

Configurare la gestione di dispositivi Android Enterprise

Per configurare la gestione di dispositivi Android Enterprise, effettuate i seguenti passaggi:

  • Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
  • Connettete l’account del tenant di Intune all’account di Managed Google Play.
  • Create un profilo di registrazione.
  • Create un gruppo di dispositivi.
  • Registrate i dispositivi Android.

Creazione di un profilo COPE con profilo di lavoro (Corporate-owned with work profile)

Dal portale di Microsoft Intune selezionate Devices à Enroll Devices e scegliete Android Enrollment. Nella pagina di Android Enrollment scegliete la voce Corporate-owned with work profile.

Figura 1: Selezione del profilo di enrollment Corporate-owned with work profile

Cliccate su + Create Profile per lanciare il wizard di creazione del nuovo profilo.

Figura 2: Creazione del nuovo profilo di Corporate-owned with work profile

Figura 3: Nome del profilo Corporate-owned with work profile

Figura 4: Scope tag per definire a chi verrà applicato il profilo Corporate-owned with work profile

Figura 5: Schermata finale del wizard di creazione del profilo Corporate-owned with work profile

Cliccate sul profilo appena creato per poter visualizzare il token. Si tratta di un codice QR che poi utilizzerete per fare l’enrollment del dispositivo.

Figura 6: Profilo Corporate-owned with work profile creato

Figura 7: Token QR da utilizzare per l’enrollment del dispositivo

NOTA: Per eseguire l’enrollment del dispositivo è necessario distribuire le applicazioni Microsoft Authenticator e Microsoft Intune, che devono essere distribuite con il tipo di assegnazione impostato su Obbligatoria . Per distribuire applicazioni con il Managed Google Play Store vi rimando alla lettura della mia guida Microsoft Intune – Gestione dei dispositivi Android Enterprise – ICT Power

Enrollment del dispositivo Android

Dopo aver acceso per la prima volta il vostro dispositivo (factory reset) procedete alla configurazione di Android Enterprise cliccando 5 volte sullo schermo. In alcuni dispositivi potrebbe essere necessario invece accedere a Google indicando, invece che un account, la username afw#setup. Quest’ultimo metodo è supportato da Android 8.0 ad Android 10.0. Non è supportato per le versionid a Android 11.0 in poi.

Qui di seguito sono mostrate tutte le schermate che vi appariranno.

NOTA: Questa schermate sono state prese da un Samsung A52

      

      

      

      

      

      

      

      

Dal portale di Microsoft Intune, selezionando Devices à Android à Android Devices potrete avere visibilità sui diversi dispositivi di cui avete effettuato l’enrollment. Sarà possibile visualizzare se i dispositivi sono Corporate oppure Personal ed in più per ognuno di loro sarà visibile la modalità di gestione: Work ProfileDedicated, Fully Managed oppure corporate-owned work profile.

Figura 8: Disposiviti Android gestiti da Intune e in evidenza il nostro dispositivo corporate-owned work profile

Conclusioni

Android Enterprise permette di gestire i dispositivi mobili in diversi modi: dispositivi personali con autorizzazione ad accedere ai dati aziendali, dispositivi di proprietà dell’azienda pensati per uno specifico utilizzo (dedicati) , dispositivi aziendali usati esclusivamente per lavoro e non per uso personale (completamente gestiti) e dispositivi aziendali che possono essere utilizzati dagli utenti anche per uso personale. In questo modo gli amministratori di Microsoft Intune possono gestire in modi diversi i dispositivi, a seconda della loro proprietà e del loro utilizzo.