Microsoft Intune – Enroll di un dispositivo Android in modalità Corporate-owned dedicated profile
I dispositivi Android con versione 5.0 Lollipop e successive sono dotati di funzionalità aziendali integrate per supportare la forza lavoro mobile e connessa. Molte aziende utilizzano dispositivi Android per supportare la produzione, come ad esempio monitoraggio dei dati in tempo reale, scanner per gestire magazzini e inventario, dispositivi medici per monitorare i pazienti da remoto, recuperare le loro cartelle dal cloud o effettuare ricerche ed anche utilizzo di app kiosk per gli ordini, le informazioni o i pagamenti.
La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:
- Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
- Gestire le app per dispositivi mobili usati dagli utenti.
- Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
- Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.
Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:
- I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
-
I dispositivi Android Enterprise, inclusi:
- Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
- Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
- Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
- Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
-
Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
- Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
- Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.
In questa guida mostrerò come implementare un profilo Corporate-owned dedicated profile in Microsoft Intune per distribuire dispositivi che poi eseguiranno applicazioni in modalità kiosk.
Configurare la gestione di dispositivi Android Enterprise
Per configurare la gestione di dispositivi Android Enterprise, effettuate i seguenti passaggi:
- Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
- Connettete l’account del tenant di Intune all’account di Managed Google Play.
- Create un profilo di registrazione.
- Create un gruppo di dispositivi.
- Registrate i dispositivi Android dedicati.
Requisiti dei dispositivi
I dispositivi devono soddisfare questi requisiti per essere gestiti da Endpoint Manager come dispositivo dedicato Enterprise Android:
- Sistema operativo Android versione 8.0 e successive.
- I dispositivi devono eseguire una distribuzione di Android con connettività GMS (Google Servizi mobili). I dispositivi devono avere GMS disponibili e devono essere in grado di connettersi a GMS.
Creazione di un profilo Corporate-owned dedicated profile
Dal portale di Microsoft Intune selezionate Devices à Enroll Devices e scegliete Android Enrollment. Nella pagina di Android Enrollment scegliete la voce Corporate-owned dedicated profile
Figura 1: Selezione del profilo di enrollment Corporate-owned dedicated profile
Cliccate su + Create Profile per lanciare il wizard di creazione del nuovo profilo.
Figura 2: Creazione del nuovo profilo di Corporate-owned dedicated devices
Date un nome al profilo e scegliete la modalità di generazione del token:
- Dispositivo android Enterprise dedicato standard. Questi dispositivi vengono registrati in Intune senza un account utente e non sono associati ad alcun utente finale. Questi dispositivi non sono destinati ad applicazioni per uso personale o app che hanno un forte requisito per i dati di account specifici dell’utente, ad esempio Outlook o Gmail.
- Dispositivo android Enterprise androide dedicato che viene configurato automaticamente con l’applicazione Authenticator Microsoft configurata in modalità Azure AD shared Mode. Questi dispositivi vengono registrati in Intune senza un account utente e non sono associati ad alcun utente finale; sono destinati all’uso con applicazioni integrate con la modalità Azure AD shared Mode per consentire l’accesso single sign-on e single sign-out tra gli utenti tra le applicazioni
Figura 3: Modalità di generazione del token per l’enrollment del dispositivo in modalità Corporate-owned dedicated profile
Figura 4: Informazioni sul profilo da creare
Figura 5: Scope tag per definire a chi verrà applicato il profilo Corporate-owned dedicate devices
Figura 6: Schermata finale del wizard di creazione del profilo Corporate-owned dedicated devices
Cliccate sul profilo appena creato per poter visualizzare il token. Si tratta di un codice QR che poi utilizzerete per fare l’enrollment del dispositivo.
Figura 7: Token QR da utilizzare per l’enrollment del dispositivo
Creazione di un gruppo dinamico che conterrà i dispositivi
Poiché questi dispositivi non saranno associati ad alcun utente, procedete alla creazione di un gruppo di dispositivi a cui poi assegnerete le applicazioni, i profili di configurazione e le altre policy.
Procedete alla creazione di un gruppo dinamico di Azure AD che conterrà di dispositivi che avranno effettuato l’enrollment con il profilo Corporate-owned dedicated devices. Nelle figure sotto sono mostrati tutti i passaggi.
Figura 8: Creazione di un nuovo gruppo in Azure AD
Figura 9: Regola di appartenenza al gruppo
Figura 10: Creazione del gruppo dinamico di dispositivi
Aggiunta delle App da distribuire
Per utilizzare la modalità Multi-kiosk è necessario distribuire l’app Managed Home Screen e le altre applicazioni che volete pubblicare sui dispositivi condivisi. Dal portale di Microsoft Intune selezionate Apps à Android e aggiungete le app dal Managed Google Play
Figura 11: Aggiunta dell’app Managed Home Screen dal Managed Google Play
Figura 12: L’app Managed Home Screen è pronta per poter essere distribuita e configurata
Figura 13: Assegnazione dell’app ad un gruppo di Azure AD
Assegnate quindi l’app al gruppo dinamico di dispositivi creato in precedenza.
Figura 14: Assegnazione dell’app Managed Home Screen al gruppo dinamico di dispositivi creato in precedenza
Figura 15: Assegnazione dell’app Managed Home Screen al gruppo dinamico di dispositivi Dedicate multi-kiosk devices
Aggiungete dal Managed Google Play le app da distribuire ai dispositivi e assegnatele al gruppo dinamico creato in precedenza. Io ho aggiunto Microsoft Edge e Microsoft Office.
Figura 16: Assegnazione delle App Microsoft Edge e Microsoft Office al gruppo dinamico di dispositivi Dedicate multi-kiosk devices
Creazione di un Multi-app kiosk profile
Dopo aver aggiunto l’app Managed Home Screen è necessario creare un profilo di configurazione da Devices à Android à Configuration profiles. Selezionate Android Enterprise come piattaforma e selezionate Device restrictions nella porzione Fully Managed, Dedicated and Corporate-Owned Work Profile, come mostrato nella figura sotto:
Figura 17: Creazione di un nuovo profilo di configurazione di tipo Device Restriction per il Fully Managed, Dedicated and Corporate-Owned Work Profile
Figura 18: Nome del nuovo profilo di configurazione
Nella sezione Device Experience selezionate come enrollment profile type “Dedicate device”
Figura 19: Selezione dell’enrollment profile type “Dedicate device”
E in Kiosk mode selezionate “Multi-app”.
Figura 20: Selezione della modalità di Kiosk-mode
Personalizzate a questo punto l’aspetto della Home Screen mettendo su Enabled la voce Custom app layout e aggiungete le app che volete distribuire e che volete aggiungere alla Home Screen.
Figura 21: Personalizzazione della posizione della app nella Home Screen
Figura 22: Posizionamento delle app da distribuire nella Home Screen
Nella schermata sotto sono mostrate le altre configurazioni disponibili per la personalizzazione del profilo di configurazione Device Restrictions.
Figura 23: Configurazioni disponibili per la personalizzazione del profilo di configurazione Device Restrictions
Figura 24: Scope tag per definire a chi verrà applicato il profilo Device Restrictions
Assegnate il profilo al gruppo dinamico di dispositivi che avete creato in precedenza.
Figura 25: Assegnazione del profilo al gruppo dinamico di dispositivi che avete creato in precedenza
Figura 26: Schermata di riepilogo della creazione del profilo di Device Restrictions
Figura 27: Profilo di Device Restrictions creato con successo
Dopo aver acceso per la prima volta il vostro dispositivo (factory reset) procedete alla configurazione di Android Enterprise cliccando 5 volte sullo schermo.
Qui di seguito sono mostrate tutte le schermate che vi appariranno.
NOTA: Queste schermate sono state prese da un Samsung A52
Poiché le applicazioni e il profilo di configurazione sono stati applicato ad un gruppo dinamico di Azure AD, sarà necessario attendere qualche minuto per vedere le configurazioni che abbiamo deciso di applicare. Una volta che il dispositivo verrà aggiunto al gruppo, verrà configurato senza intervento da parte del’utente, come mostrato nelle figure sotto:
Figura 28: Dopo qualche minuto il dispositivo verrà aggiunto al gruppo dinamico di Azure AD
Figura 29: Dispositivo di Android Enterprise aggiunto al gruppo dinamico
Nel giro di poco tempo partirà la distribuzione delle configurazioni e delle applicazioni sul dispositivo.
Conclusioni
Android Enterprise permette di gestire i dispositivi mobili in diversi modi: dispositivi personali con autorizzazione ad accedere ai dati aziendali, dispositivi di proprietà dell’azienda pensati per uno specifico utilizzo (dedicati), dispositivi aziendali usati esclusivamente per lavoro e non per uso personale (completamente gestiti) e dispositivi aziendali che possono essere utilizzati dagli utenti anche per uso personale. In questo modo gli amministratori di Microsoft Intune possono gestire in modi diversi i dispositivi, a seconda della loro proprietà e del loro utilizzo.