Microsoft Intune – Enroll di un dispositivo Android in modalità COPE (Corporate-owned with work profile)
I dispositivi Android con versione 5.0 Lollipop e successive sono dotati di funzionalità aziendali integrate per supportare la forza lavoro mobile e connessa. Le aziende hanno bisogno che i propri dipendenti siano sempre più “mobili” e il ruolo dell’IT Admin è diventato molto più complesso rispetto al passato e non è più limitato a gestire i desktop, ma anche i dispositivi mobili, come ad esempio tablet e smartphone.
La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:
- Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
- Gestire le app per dispositivi mobili usati dagli utenti.
- Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
- Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.
Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:
- I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
-
I dispositivi Android Enterprise, inclusi:
- Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
- Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
- Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
- Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
-
Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
- Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
- Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.
È possibile configurare un profilo di lavoro (work profile) per separare app e dati di lavoro da app e dati personali. Con un profilo di lavoro è possibile utilizzare in modo sicuro e privato lo stesso dispositivo a scopi personali e lavorativi; L’azienda gestisce le app e i dati di lavoro mentre l’utilizzo, le app e i dati personali rimangono privati. Ne abbiamo già parlato nella guida Microsoft Endpoint Manager – Microsoft Intune – Enrollment di un dispositivo Android personale (BYOD) con il profilo di lavoro – ICT Power
Oltre alla implementazione BYOD (Bring your own device, Porta il tuo dispositivo) è però possibile anche gestire l’implementazione COPE (dispositivi di proprietà dell’azienda, anche a uso personale) e grazie ai Profili di lavoro per la separazione dei dati possiamo proteggere e separare dall’uso personale app e dati di lavoro.
I profili di lavoro sono la soluzione ideale per le implementazioni BYOD e COPE.
In questa guida mostrerò come implementare un profilo COPE con profilo di lavoro (Corporate-owned with work profile).
Configurare la gestione di dispositivi Android Enterprise
Per configurare la gestione di dispositivi Android Enterprise, effettuate i seguenti passaggi:
- Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
- Connettete l’account del tenant di Intune all’account di Managed Google Play.
- Create un profilo di registrazione.
- Create un gruppo di dispositivi.
- Registrate i dispositivi Android.
Creazione di un profilo COPE con profilo di lavoro (Corporate-owned with work profile)
Dal portale di Microsoft Intune selezionate Devices à Enroll Devices e scegliete Android Enrollment. Nella pagina di Android Enrollment scegliete la voce Corporate-owned with work profile.
Figura 1: Selezione del profilo di enrollment Corporate-owned with work profile
Cliccate su + Create Profile per lanciare il wizard di creazione del nuovo profilo.
Figura 2: Creazione del nuovo profilo di Corporate-owned with work profile
Figura 3: Nome del profilo Corporate-owned with work profile
Figura 4: Scope tag per definire a chi verrà applicato il profilo Corporate-owned with work profile
Figura 5: Schermata finale del wizard di creazione del profilo Corporate-owned with work profile
Cliccate sul profilo appena creato per poter visualizzare il token. Si tratta di un codice QR che poi utilizzerete per fare l’enrollment del dispositivo.
Figura 6: Profilo Corporate-owned with work profile creato
Figura 7: Token QR da utilizzare per l’enrollment del dispositivo
NOTA: Per eseguire l’enrollment del dispositivo è necessario distribuire le applicazioni Microsoft Authenticator e Microsoft Intune, che devono essere distribuite con il tipo di assegnazione impostato su Obbligatoria . Per distribuire applicazioni con il Managed Google Play Store vi rimando alla lettura della mia guida Microsoft Intune – Gestione dei dispositivi Android Enterprise – ICT Power
Enrollment del dispositivo Android
Dopo aver acceso per la prima volta il vostro dispositivo (factory reset) procedete alla configurazione di Android Enterprise cliccando 5 volte sullo schermo. In alcuni dispositivi potrebbe essere necessario invece accedere a Google indicando, invece che un account, la username afw#setup. Quest’ultimo metodo è supportato da Android 8.0 ad Android 10.0. Non è supportato per le versionid a Android 11.0 in poi.
Qui di seguito sono mostrate tutte le schermate che vi appariranno.
NOTA: Questa schermate sono state prese da un Samsung A52
Dal portale di Microsoft Intune, selezionando Devices à Android à Android Devices potrete avere visibilità sui diversi dispositivi di cui avete effettuato l’enrollment. Sarà possibile visualizzare se i dispositivi sono Corporate oppure Personal ed in più per ognuno di loro sarà visibile la modalità di gestione: Work Profile, Dedicated, Fully Managed oppure corporate-owned work profile.
Figura 8: Disposiviti Android gestiti da Intune e in evidenza il nostro dispositivo corporate-owned work profile
Conclusioni
Android Enterprise permette di gestire i dispositivi mobili in diversi modi: dispositivi personali con autorizzazione ad accedere ai dati aziendali, dispositivi di proprietà dell’azienda pensati per uno specifico utilizzo (dedicati) , dispositivi aziendali usati esclusivamente per lavoro e non per uso personale (completamente gestiti) e dispositivi aziendali che possono essere utilizzati dagli utenti anche per uso personale. In questo modo gli amministratori di Microsoft Intune possono gestire in modi diversi i dispositivi, a seconda della loro proprietà e del loro utilizzo.