Microsoft Intune – Enroll di un dispositivo Android utilizzando Samsung Knox Mobile Enrollment (KME)

Microsoft Intune permette la registrazione di dispositivi Android supportati tramite Samsung Knox Mobile Enrollment (KME). In questo modo possiamo registrare un numero elevato di dispositivi Android di proprietà dell’azienda quando gli utenti finali accendono i propri dispositivi per la prima volta e si connettono a una rete Wi-Fi o cellulare.

La possibilità di utilizzare Microsoft Intune semplifica di molto il lavoro degli amministratori di sistema e questo servizio basato sul cloud permette di:

  • Gestire i dispositivi mobili e i PC usati dagli utenti per accedere ai dati aziendali.
  • Gestire le app per dispositivi mobili usati dagli utenti.
  • Proteggere le informazioni aziendali grazie alla possibilità di controllare le modalità di accesso e condivisione dei dati da parte della forza lavoro.
  • Assicurarsi che i dispositivi e le app siano conformi ai requisiti di sicurezza aziendali.

Da Microsoft Intune è possibile amministrare i seguenti dispositivi Android:

  • I dispositivi Android dalla versione 8 e successive, i dispositivi Samsung KNOX Standard e i dispositivi Zebra.
  • I dispositivi Android Enterprise, inclusi:
    • Dispositivi con profilo di lavoro Android Enterprise: Dispositivi personali con autorizzazione ad accedere ai dati aziendali. Gli amministratori possono gestire gli account aziendali, le app e i dati. I dati personali nel dispositivo vengono tenuti separati dai dati di lavoro e gli amministratori non controllano le impostazioni o i dati personali.
    • Dispositivi dedicati Android Enterprise: Dispositivi a uso singolo di proprietà dell’azienda, ad esempio per insegna digitale, stampa di biglietti o gestione dell’inventario. Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
    • Dispositivi completamente gestiti Android Enterprise: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.
    • Dispositivi Android Enterprise di proprietà aziendale con un profilo di lavoro: Dispositivi con utente singolo di proprietà dell’azienda, che possono essere utilizzati anche per uso personale.
  • Android Open Source Project (AOSP), dispositivi non integrati con i servizi Google Mobile.
    • Dispositivi associati all’utente di proprietà dell’azienda: dispositivi utente singoli di proprietà dell’azienda destinati esclusivamente al lavoro e non all’uso personale. Gli amministratori possono gestire l’intero dispositivo.
    • Dispositivi di proprietà dell’azienda e senza utente: dispositivi condivisi di proprietà dell’azienda. Gli amministratori possono gestire l’intero dispositivo.

L’integrazione tra Samsung Knox e Microsoft Intune permette di poter velocizzare tantissimo la procedura di enrollment.

In questa guida mostrer quali sono i passi da seguire:

  1. Creare un Samsung Account
  2. Registrare l’azienda in Samsung Knox e attendere l’approvazione
  3. Creare un profilo di enrollment per Android Enterprise in Microsoft Intune
  4. Creae un profilo di enrollment in Samsung Knox e collegare il profilo di Microsoft Intune

Samsung Knox Mobile Enrollment (KME) è disponibile in tutti i dispositivi Samsung con versione minima Knox 2.4 per la registrazione Android e versione minima Knox 2.8 per la registrazione Android Enterprise.

 

Creazione di un account Samsung Knox

Collegatevi al sito https://www.samsungknox.com/ e cliccate sul pulsante Enroll. Nelle figure sotto sono mostrati tutti i passaggi per la creazione di un nuovo account Samsung Knox.

Figura 1: Creazione di un nuovo account Samsung Knox

Figura 2: Inserimento della mail di lavoro da associare all’account

Figura 3: Condizioni e termini d’uso

Figura 4: Inserimento delle informazioni richieste

Figura 5: Verifica della mail aziendale

Figura 6: Completamento della procedura di enrollment del Samsung Knox account

Figura 7: Multi-factor authentication del Samsung Knox account

Figura 8: Verifica dei dettagli del Samsung Knox account

Figura 9: Inserimento delle informazioni relative all’azienda

Figura 10: Licenze di utilizzo del Samsung Knox account

Figura 11: creazione del Samsung Knox account completata

La procedura di creazione del Samsung Knox account richiede che venga approvata. Questa operazione è manuale e può richiedere diversi giorni. Ricevete una mail quando la procedura di approvazione sarà completata.

Figura 12: Mail di accettazione della richiesta di creazione del Samsung Knox account

Figura 13: Mail di conferma dell’avvenuta creazione del Samsung Knox account

Collegandovi al portale di Samsung Knox potrete a questo punto cominciare le vostre configurazioni.

Figura 14: Nel portale di Samsung Knox è possibile iniziare a configurare i dispositivi e i profili

In Android Enterprise è possibile configurare un profilo di lavoro (work profile) per separare app e dati di lavoro da app e dati personali. Con un profilo di lavoro è possibile utilizzare in modo sicuro e privato lo stesso dispositivo a scopi personali e lavorativi; L’azienda gestisce le app e i dati di lavoro mentre l’utilizzo, le app e i dati personali rimangono privati. Ne abbiamo già parlato nella guida Microsoft Endpoint Manager – Microsoft Intune – Enrollment di un dispositivo Android personale (BYOD) con il profilo di lavoro – ICT Power

Oltre alla implementazione BYOD (Bring your own device, Porta il tuo dispositivo) è però possibile anche gestire l’implementazione COPE (dispositivi di proprietà dell’azienda, anche a uso personale) e grazie ai Profili di lavoro per la separazione dei dati possiamo proteggere e separare dall’uso personale app e dati di lavoro.

I profili di lavoro sono la soluzione ideale per le implementazioni BYOD e COPE.

In questa guida mostrerò come implementare un profilo COPE con profilo di lavoro (Corporate-owned with work profile).

 

Creazione di un profilo COPE con profilo di lavoro (Corporate-owned with work profile)

Dal portale di Microsoft Intune selezionate Devices à Enroll Devices e scegliete Android Enrollment. Nella pagina di Android Enrollment scegliete la voce Corporate-owned with work profile.

Figura 15: Selezione del profilo di enrollment Corporate-owned with work profile

Cliccate su + Create Profile per lanciare il wizard di creazione del nuovo profilo.

Figura 16: Creazione del nuovo profilo di Corporate-owned with work profile

Figura 17: Nome del profilo Corporate-owned with work profile

Figura 18: Scope tag per definire a chi verrà applicato il profilo Corporate-owned with work profile

Figura 19: Schermata finale del wizard di creazione del profilo Corporate-owned with work profile

Cliccate sul profilo appena creato per poter visualizzare il token. Si tratta di un codice QR che poi utilizzerete per fare l’enrollment del dispositivo.

Figura 20: Profilo Corporate-owned with work profile creato

Figura 21: Token QR da utilizzare per l’enrollment del dispositivo

NOTA: Per eseguire l’enrollment del dispositivo è necessario distribuire le applicazioni Microsoft Authenticator e Microsoft Intune, che devono essere distribuite con il tipo di assegnazione impostato su Obbligatoria . Per distribuire applicazioni con il Managed Google Play Store vi rimando alla lettura della mia guida Microsoft Intune – Gestione dei dispositivi Android Enterprise – ICT Power

Prima di poter registrare i dispositivi in Samsung Knox Mobile Enrollment (KME) è necessario creare un profilo (o modificare un profilo esistente) per soddisfare i requisiti di registrazione del dispositivo. Non ci sono limiti al numero di profili che possono essere creati e resi disponibili per l’assegnazione.

 

Creazione di un profilo di enrollment in Samsung Knox Mobile Enrollment (KME)

Collegatevi al portale di Samsung Knox e cliccate sulla voce Knox Mobile Enrollment.

Figura 22: Knox Mobile Enrollment nel portale di Samsung Knox

Figura 23: Selezione del servizio da visualizzare nel portale di Samsung Knox

Cliccate sul nodo Profiles e poi sul pulsante CREATE PROFILE.

Figura 24: Creazione di un nuovo profilo in Samsung Knox Mobile Enrollment (KME)

Scegliete il tipo di profilo da configurare. Io ho scelto Android Enterprise.

Figura 25: Scelta del profilo da configurare

Inserite i dettagli richiesti, il nome del profilo e dal menu a tendina scegliete come Mobile Device Management (MDM) la voce Microsoft Intune.

Samsung Knox attualmente supporta i seguenti MDM per la gestione dei dispositivi Android Fully managed:

  • Workspace ONE UEM
  • Blackberry UEM
  • Ivanti MobileIron Cloud
  • Wizzy EMM
  • IBM MaaS360
  • SOTI MobiControl
  • Citrix Endpoint Management
  • Ars Nova Systems
  • TinyMDM
  • ManageEngine Endpoint Central
  • Sophos Mobile    Device
  • Max MDM
  • Microsoft Intune
  • DuoSTATION MDM
  • Snow Software Snow Device Manager
  • ProMDM Enterprise Mobility
  • Samsung Knox Manage
  • Vanguard Vostra
  • Pulsus MDM
  • Mobiltec Cloud4Mobile
  • Mitsogo Hexnode MDM
  • AppTec360 EMM
  • Wenable WeGuard
  • Crypto VoIP MDM

Figura 26: Dettagli del profilo di Samsung Knox e scelta dei Microsoft Intune come MDM

Cliccate sul nodo Add QR code per generare il QR code per l’enrollment. Compilate i campi richiesti. Potete anche inserire le informazioni per far connettere automaticamente il dispositivo ad una rete Wi-FI.

Io ho selezionato anche la voce Also allow QR code enrollment fir devices not uploaded by a reseller. In questo modo ho potuto utilizzare anche un device già in mio possesso e non acquistato da un rivenditore.

Figura 27: Creazione del QR Code per l’enrollment

Per registrare automaticamente i dispositivi Android usando la registrazione mobile Knox di Samsung è necessario aggiungere al profilo un Custom JSON. Inserite la stringa {“com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN”: “Enter Intune enrollment token string”}, sostituendo la voce Enter Intune enrollment token string con il token di Microsoft Intune associato al profilo che avete creato in precedenza.

Figura 28: Inserimento del Custom JSON necessario a registrare automaticamente i dispositivi Android usando la registrazione mobile Knox di Samsung

Cliccate su Save per salvare il profilo e generare il QR code di Samsung Knox.

Figura 29: QR Code del profilo di enrollment creato in Samsung Knox

L’amministratore di Samsung Knox riceverà il QR code anche per e-mail, in modo tale da poterlo stampare ed utilizzare facilmente.

Figura 30: Il QR code viene ricevuto anche tramite mail dall’amministratore di Samsung Knox

Test di funzionamento – Esperienza utente

Qui di seguito trovate le schermate dell’enrollment di un dispositivo con Android 10 o successivi. Il dispositivo è stato resettato (oppure è nuovo di fabbrica), viene acceso al prima volta e nella prima schermata sarà necessario tracciare il segno PIÙ (+) con le dita per far partire l’enrollment tramite Samsung Knox e per attivare la fotocamera con cui inquadrare il QR code del profilo di enrollment.

NOTA: Queste schermate sono state prese da un Samsung A52

      

      

      

      

      

      

      

      

      

Terminata la procedura di enrollment il dispositivo sarà visibile sia nel portale di Samsung Knox che nel portale di Microsoft Intune.

Figura 31: Il dispositivo ha effettuato l’enrollment in Samsung Knox

Figura 32: Il dispositivo ha effettuato l’enrollment in Microsoft Intune

NOTA: Se viene effettuato un reset del telefono, le volte successive che verrà avviato, essendo già registrato in Samsung Konx, effettuerà l’enrollment in automatico e senza intervento dell’utente. Non sarà necessarioeffettuare nessun tap sullo schermo o disegnare la X per iniziare la configurazione, ma sarà sufficiente seguire le schermate che appariranno.

 

Conclusioni

L’enrollment in Microsoft Intune dei dispositivi Android utilizzando la registrazione di Samsung Knox Mobile Enrollment (KME) semplifica moltissimo la procedura iniziale di preparazione dei dispositivi, sia quelli già in possesso dell’azienda sia i nuovi che vengono comprati da reseller. I reseller provvedono a registrare i dispositivi in Samsung Knox e grazie a questa operazione non appena accenderemo il nostro smartphone o il nostro tablet saremo in grado di gestirli in pochi minuti e con pochissima interazione da parte degli operatori.