Microsoft Intune – Enroll di un dispositivo Android in modalità Corporate-owned, fully managed user profile

I dispositivi Android con versione 5.0 Lollipop e successive sono dotati di funzionalità aziendali integrate per supportare la forza lavoro mobile e connessa. Molte aziende utilizzano dispositivi Android per supportare la produzione, come ad esempio monitoraggio dei dati in tempo reale, scanner per gestire magazzini e inventario, dispositivi medici per monitorare i pazienti da remoto, recuperare le loro cartelle dal cloud o effettuare ricerche ed anche utilizzo di app kiosk per gli ordini, le informazioni o i pagamenti.

La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:

  • Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
  • Gestire le app per dispositivi mobili usati dagli utenti.
  • Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
  • Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.

Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:

  • I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
  • I dispositivi Android Enterprise, inclusi:
    • Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
    • Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
    • Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
    • Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
  • Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
    • Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
    • Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.

In questa guida mostrerò come implementare un profilo Corporate-owned, fully managed user profile in Microsoft Intune, in modo tale da avere dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.

Configurare la gestione di dispositivi Android Enterprise

Per configurare la gestione di dispositivi Android Enterprise, effettuate i seguenti passaggi:

  • Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
  • Connettete l’account del tenant di Intune all’account di Managed Google Play.
  • Create un profilo di registrazione.
  • Create un gruppo di dispositivi.
  • Registrate i dispositivi Android dedicati.

Requisiti dei dispositivi

I dispositivi devono soddisfare questi requisiti per essere gestiti da Endpoint Manager come dispositivo dedicato Enterprise Android:

  • Sistema operativo Android versione 8.0 e successive.
  • I dispositivi devono eseguire una distribuzione di Android con connettività GMS (Google Servizi mobili). I dispositivi devono avere GMS disponibili e devono essere in grado di connettersi a GMS.

Creazione di un profilo Corporate-owned, fully managed user profile

Dal portale di Microsoft Intune selezionate Devices à Enroll Devices e scegliete Android Enrollment. Nella pagina di Android Enrollment scegliete la voce Corporate-owned, fully managed user

Figura 1: Selezione del profilo di enrollment Corporate-owned, fully managed user

Cliccate su + Create Profile per lanciare il wizard di creazione del nuovo profilo.

Figura 2: Creazione del nuovo profilo

Date un nome al profilo ed una descrizione.

Figura 3: Nome e descrizione del profilo di enrollment

Figura 4: Scope tag per definire a chi verrà applicato il profilo di enrollment

Figura 5: Schermata finale del wizard di creazione del profilo Corporate-owned, fully managed user devices

Figura 6: creazione del profilo Corporate-owned, fully managed user devices completata

Cliccate sul profilo appena creato per poter visualizzare il token. Si tratta di un codice QR che poi utilizzerete per fare l’enrollment del dispositivo.

Figura 7: Token QR da utilizzare per l’enrollment del dispositivo

Enrollment dei dispositivi

Dopo aver acceso per la prima volta il vostro dispositivo (factory reset) procedete alla configurazione di Android Enterprise cliccando 5 volte sullo schermo.

Qui di seguito sono mostrate tutte le schermate che vi appariranno.

NOTA: Queste schermate sono state prese da un Samsung A52


      
      
      
      
      
      
      
      
      
Conclusioni

Android Enterprise permette di gestire i dispositivi mobili in diversi modi: dispositivi personali con autorizzazione ad accedere ai dati aziendali, dispositivi di proprietà dell’azienda pensati per uno specifico utilizzo (dedicati), dispositivi aziendali usati esclusivamente per lavoro e non per uso personale (completamente gestiti) e dispositivi aziendali che possono essere utilizzati dagli utenti anche per uso personale. In questo modo gli amministratori di Microsoft Intune possono gestire in modi diversi i dispositivi, a seconda della loro proprietà e del loro utilizzo.