Microsoft Intune – Gestione dei dispositivi Android Enterprise

Ormai i dispositivi mobili sono diventati una parte necessaria se non indispensabile delle dotazioni hardware in azienda. Con lo sviluppo dell’home working, con la notevole potenza raggiunta dagli smartphone e dai tablet e con l’accesso quotidiano ai servizi cloud, ormai non possiamo più fare a meno di questi dispositivi per lavorare.

Diventa però difficile per gli amministratori IT gestire questi dispositivi e quindi sempre più spesso si utilizzano sistemi di gestione della mobilità aziendale (EMM, Enterprise Mobility Management), come ad esempio Microsoft Intune.

Abbiamo visto nel precedente articolo Microsoft Intune – Enroll di un dispositivo Android come effettuare l’enroll di un dispositivo Android in Microsoft Intune e come utilizzare dispositivi personali ad accedere ai dati aziendali.

In questo articolo vi voglio parlare di Android Enterprise. Android Enterprise permette di poter gestire al meglio i dispositivi ed in particolar modo tramite Microsoft Intune è possibile gestirli in tre modi diversi:

  • Android Enterprise work profile devices: Quando si gestisce un dispositivo con profilo di lavoro Android Enterprise usando Intune, non si gestisce l’intero dispositivo. Le funzionalità di gestione avranno effetto solo sul profilo di lavoro creato nel dispositivo durante la registrazione. Qualsiasi app distribuita nel dispositivo con Intune viene installata nel profilo di lavoro. Le icone delle app nel profilo di lavoro si differenziano dalle app personali nel dispositivo. Tutti i dati e le app Android all’esterno della parte dedicata ad Android Enterprise del dispositivo rimangono personali e sotto il controllo dell’utente finale. Gli utenti possono installare qualsiasi app nella parte personale del dispositivo. Gli amministratori possono gestire e monitorare le app e le azioni nell’ambito del profilo di lavoro.
  • Android Enterprise dedicated devices: Dispositivi pensati per un compito specifico (gestione biglietti, inventario, ecc). Gli amministratori bloccano l’utilizzo di un dispositivo per un set limitato di app e collegamenti Web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo.
  • Android Enterprise fully managed devices: Dispositivi con utente singolo di proprietà dell’azienda, usati esclusivamente per lavoro e non per uso personale. Gli amministratori possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro.

Prerequsiti

Per preparare la gestione dei dispositivi mobili è necessario impostare l’autorità per la gestione dei dispositivi mobili su Microsoft Intune. Accedete al portale Azure, scegliete All services > Intune. Selezionate l’intestazione arancione per aprire l’impostazione Mobile Device Management Authority. L’intestazione arancione viene visualizzata solo se l’autorità MDM non è stata ancora impostata. In Mobile Device Management Authority scegliete Intune MDM Authority, come mostrato in figura:

Figura 1: Scelta di Intune come Mobile Device Management Authority

Connettere l’account di Intune all’account del Managed Google Play

Per supportare il profilo di lavoro Android Enterprise e i dispositivi Android Enterprise completamente gestiti e dedicati, è necessario connettere l’account del tenant di Intune all’account Managed Google Play.

Accedete al portale di Azure, passate alla console di Intune e scegliete Device enrollment > Android enrollment > Managed Google Play

\

Figura 2: Connessione del tenant di Intune all’account Managed Google Play

Figura 3: Selezionare I agree per concedere a Microsoft l’autorizzazione a inviare informazioni su utenti e dispositivi a Google

Cliccate su Launch Google to connect now per aprire il portale web Managed Google Play. Il portale viene aperto in una nuova scheda del browser. Nella pagina di accesso di Google immettere le credenziali dell’account Google che verrà associato a tutte le attività di gestione di Android Enterprise per il vostro tenant di Intune. Questo sarà l’account Google che verrà condiviso dagli amministratori IT dell’organizzazione per gestire e pubblicare le app nella console di Google Play. È possibile usare un account Google esistente oppure crearne uno nuovo. L’account scelto non deve però essere associato a un dominio G-Suite.

Figura 4: Portale di accesso al Managed Google Play

Figura 5: Creazione di un nuovo Google Account dedicato alla gestione dei dispositivi aziendali

Terminata la creazione dell’account, se avete ovviamente deciso di farla invece che utilizzare un account esistente, sarete pronti per utilizzare il portale

Figura 6: Login effettuato al portale del Managed Google Play

Specificate il nome della società in Nome organizzazione. Come provider della gestione della mobilità aziendale deve essere visualizzato Microsoft Intune. Accettate il contratto di Android e scegliere Conferma. La richiesta verrà elaborata.

Figura 7: Completamento della procedura di registrazione al Managed Google Play

Nel portale di Microsoft Intune potrete verificare che la connessione al Managed Google Play sia avvenuta con successo.

Figura 8: connessione al Managed Google Play avvenuta con successo

Configurare la registrazione dei dispositivi Android Enterprise work profile

Microsoft Intune consente la distribuzione di app e impostazioni ai dispositivi con profilo di lavoro Android Enterprise per assicurare che le informazioni di lavoro e quelle personali restino separate.

È importante notare gli Android Enterprise work profile sono supportati solo in alcuni dispositivi Android specifici. I dispositivi che supportano gli Android Enterprise work profile supportano anche la gestione di Android convenzionale. Per garantire che gli utenti abbiano sempre accesso alla versione più aggiornata dell’app Portale aziendale di Intune (Intune Company Portal), è necessario approvare l’app Company Portal app for Android nel Managed Google Play Store. In seguito all’approvazione, gli utenti otterranno gli aggiornamenti in maniera automatica.

Per approvare l’app Intune Company Portal andate nel Managed Google Play Store e loggatevi con l’account di gestione Enterprise che avete utilizzato al momento della registrazione con il Managed Google Play. Cliccate su Approve per approvare l’app.

Figura 9: Approvazione dell’app Intune Company Portal nel Managed Google Play Store

Gestione delle app tramite il Managed Google Play utilizzando Intune

Il Managed Google Play permette di poter aggiungere le Managed Google Play apps a Microsoft Intune. Un amministratore di Intune può infatti scegliere quali app possono essere approvate e distribuite ai dispositivi direttamente dal portale di Intune. Dal portale di Azure selezionate Client apps > Apps e fate clic su Add

Figura 10: Aggiunta delle app dal portale di Intune

Nel menu a tendina scegliete come App type il valore Managed Google Play e selezionando Managed Google Play – Approve vi si aprirà il catalogo del Managed Google Play, da cui potrete scegliere ed approvare le applicazioni.

Figura 11 :Scelta dell’app dal catalogo del Managed Google Play

Selezionate la voce Keep approved when app requests new permissions nella finestra Approval Settings e quindi fare clic su Save. Se non scegliete questa opzione e lo sviluppatore dell’app pubblica un aggiornamento, sarà necessario approvare manualmente eventuali nuove autorizzazioni.

Figura 12: Approvazione automatica delle nuove versioni dell’app

Approvate tutte le applicazioni che avete deciso di distribuire e al termine fate clic su OK e successivamente su Sync per eseguire la sincronizzazione con il servizio Managed Google Play.

Figura 13: Sincronizzazione delle app approvate con il servizio Managed Google Play

La sincronizzazione delle app potrebbe richiedere qualche minuto. Al termine, potrete assegnare l’app del Managed Google Play ad un gruppo di utenti di Azure AD, come assegnate qualsiasi altra app. Dopo aver assegnato l’app, questa viene installata nei dispositivi selezionati come destinazione. All’utente del dispositivo non viene chiesto di approvare l’installazione.

NOTA : Vi ricordo che in Microsoft Intune è possibile assegnare le app a utenti e dispositivi e che è possibile assegnare un’app a un dispositivo indipendentemente dal fatto che il dispositivo sia gestito da Intune o meno.

Figura 14: Le app del Managed Google Play sono state aggiunte

Cliccando sulle app sarà possibile assegnarle ai diversi utenti e dispositivi. Nella figura sotto sono mostrate le diverse opzioni disponibili. Potete fare anche in modo tale che alcune applicazioni siano obbligatorie per tutti i dispositivi registrati. Fate riferimento alla pagina https://docs.microsoft.com/it-it/intune/apps-deploy per maggiori informazioni.

Figura 15: Distribuzione dell’app ad un gruppo di Azure AD

È possibile distribuire anche altri tipi di app. Per un elenco completo delle modalità di distribuzione vi rimando alla lettura della guida https://docs.microsoft.com/it-it/intune/apps-add-android-for-work#assigning-the-managed-google-play-app

Enroll di un dispositivo personale e distribuzione di un work profile

Per impostazione predefinita l’enrollment dei dispositivi personali con work profile è abilitata di default e non è necessaria nessuna configurazione aggiuntiva.

Figura 16: L’enrollment dei personally-owned work profile devices è abilitato per default

Per registrare i propri dispositivi Android personali in Intune, gli utenti devono prima installare l’app Portale aziendale Intune gratuita da Google Play. Nelle figure sotto sono mostrate tutte le schermate che appariranno all’utente:

Set up degli Android Enterprise dedicated device management

Android Enterprise supporta dispositivi aziendali che possono essere utilizzati in modalità Kiosk, come ad esempio dispositivi da utilizzare per la firma digitale, per la stampa di biglietti o per la gestione di magazzini. Gli amministratori possono limitare l’utilizzo del dispositivo per un set limitato di app e collegamenti web. Viene anche impedito agli utenti di aggiungere altre app o eseguire altre azioni sul dispositivo. Intune consente di distribuire app e impostazioni in dispositivi Android Enterprise dedicati.

I dispositivi gestiti in questo modo vengono registrati in Intune senza un account utente e non sono associati ad alcun utente finale. Non sono progettati per le applicazioni o le app ad uso personale che richiedono dati di account specifici dell’utente, ad esempio Outlook o Gmail.

Requisiti dei dispositivi dedicati Android Enterprise

Per essere gestiti come dispositivi dedicati Android Enterprise, i dispositivi devono soddisfare i requisiti seguenti:

  • Sistema operativo Android versione 5.1 e successive.
  • I dispositivi devono eseguire una distribuzione di Android che include la connettività Google Mobile Services (GMS). I dispositivi devono includere GMS e devono essere in grado di connettersi a GMS.

Configurare la gestione di dispositivi dedicati Android Enterprise

Per configurare la gestione di dispositivi dedicati Android Enterprise, effettuate i seguenti passaggi:

  • Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
  • Connettete l’account del tenant di Intune all’account di Managed Google Play.
  • Create un profilo di registrazione.
  • Create un gruppo di dispositivi.
  • Registrate i dispositivi dedicati.

Creazione di un profilo di registrazione per dispositivi dedicati e di proprietà dell’azienda

Per poter registrare i dispositivi dedicati, è necessario creare un profilo di registrazione. Il profilo creato fornisce un token di registrazione (stringa casuale) e un codice a matrice (QR code). A seconda del sistema operativo Android e della versione del dispositivo, per registrare il dispositivo dedicato è possibile usare il token o il QR code.

Andate nel portale di Intune e da Device enrollment > Android enrollment scegliete Corporate-owned dedicated devices

Figura 17: Creazione di un profilo di registrazione per dispositivi dedicati

Cliccate su + Create profile e scegliete il nome che volete dare al profilo (che verrà successivamente assegnato ad un gruppo dinamico di Azure AD) e la data di scadenza del token di registrazione.

Figura 18: Creazione del nuovo profilo di registrazione per i dispositivi dedicati

In Intune è possibile assegnare app e policy sia a gruppi statici che a gruppi dinamici. In Azure AD è possibile creare gruppo di dispositivi dinamici in modo tale che si possa assegnare automaticamente ai dispositivi registrati con un profilo di registrazione specifico. Nel portale di Azure selezionate Azure Active Directory e quindi Groups. Create un nuovo security group, dategli un nome e come membership type scegliete Dynamic Device. Scegliete Add dynamic query e nel blade  Dynamic membership rules  create una Simple rule
enrollmentProfileName match NomeDelProfiloCreatoPrima, come mostrato in figura:

Figura 19: Creazione di un gruppo dinamico di Azure AD a cui assegnare i dispositivi dedicati

Enroll dei dispositivi dedicati Android Enterprise

Per effettuare l’enroll dei dispositivi dedicati seguite la procedura completa alla pagina https://docs.microsoft.com/it-it/intune/android-dedicated-devices-fully-managed-enroll. Utilizzate il token generato nel profilo per aggiungere i Corporate-owned dedicated devices.

NOTA: Nei dispositivi dedicati Android Enterprise è possibile installare soltanto app con il tipo di assegnazione impostato su Obbligatoria. Le app vengono installate dal Managed Google Play Store nello stesso modo dei dispositivi con profilo di lavoro Android Enterprise. Le app vengono aggiornate automaticamente sui dispositivi gestiti quando lo sviluppatore pubblica un aggiornamento in Google Play.

Figura 20: Token generato nel profilo per aggiungere i Corporate-owned dedicated devices da utilizzare per l’enrollment dei dispositivi dedicati

Nelle figure sotto sono mostrate tutte le schermate che appariranno all’utente, subito sotto aver acceso il dispositivo per la prima volta (cioè subito dopo il factory reset):

Set up degli Android Enterprise fully managed devices (Preview)

I dispositivi Android Enterprise completamente gestiti sono dispositivi di proprietà aziendale associati a un utente singolo e usati esclusivamente per lavoro e non per uso personale. Gli amministratori IT possono gestire interamente tali dispositivi e applicare controlli di criteri non disponibili nei profili di lavoro, come ad esempio:

  • Consentire l’installazione di app solo dal Managed Google Play.
  • Bloccare la disinstallazione di app gestite.
  • Impedire agli utenti di ripristinare le impostazioni predefinite dei dispositivi.

Intune facilita la distribuzione di app e impostazioni nei dispositivi Android Enterprise, inclusi i dispositivi Android Enterprise completamente gestiti.

Prerequisiti degli Android Enterprise fully managed devices

Per gestire dispositivi Android Enterprise completamente gestiti, è necessario un tenant autonomo di Intune. La gestione di dispositivi completamente gestiti non è disponibile in modalità ibrida (con connessione a Configuration Manager).

In più i dispositivi devono soddisfare i seguenti requisiti:

  • Sistema operativo Android versione 5.1 e successive.
  • I dispositivi devono eseguire una build di Android dotata di connettività Google Mobile Services (GMS). I dispositivi devono includere GMS e devono essere in grado di connettersi a GMS.

Configurare la gestione di dispositivi Android Enterprise fully managed

Per configurare la gestione di dispositivi dedicati Android Enterprise, seguite questi passaggi:

  • Impostate l’autorità MDM (Mobile Device Management) su Microsoft Intune.
  • Connettete l’account del tenant di Intune all’account di Managed Google Play.
  • Create un profilo di registrazione.
  • Create un gruppo di dispositivi.
  • Registrate i dispositivi dedicati.

Creazione di un profilo di registrazione per dispositivi Android Enterprise fully managed

Per poter registrare i dispositivi completamente gestiti, è necessario creare un profilo di registrazione. Il profilo creato fornisce un token di registrazione (stringa casuale) e un codice a matrice (QR code). A seconda del sistema operativo Android e della versione del dispositivo, per registrare il dispositivo dedicato è possibile usare il token o il QR code.

Andate nel portale di Intune e da Device enrollment > Android enrollment > Corporate-owned, fully managed user devices (Preview). Nel blade Under Allow users to enroll corporate-owned user devices scegliete Yes. In questo modo riceverete un token di registrazione (una stringa casuale) e un codice a matrice (QR code). Questo token di registrazione singola è valido per tutti gli utenti e non scade. A seconda del sistema operativo Android e della versione del dispositivo, per registrare il dispositivo in modalità tutto schermo è possibile usare il token o il QR code.

Figura 21: Abilitazione del profilo Corporate-owned, fully managed user devices (Preview) nel portale di Intune

Enroll dei dispositivi fully managed in Android Enterprise

Per effettuare l’enroll dei dispositivi completamente gestiti seguite la procedura completa alla pagina https://docs.microsoft.com/it-it/intune/android-dedicated-devices-fully-managed-enroll . Utilizzate il token generato nel profilo per aggiungere i fully managed devices.

NOTA: Assicuratevi di aver distribuito l’app Intune Company Portal dal Managed Google Play

Dal portale di Microsoft Intune, selezionando Devices e successivamente il nodo All Devices potrete avere visibilità sui diversi dispositivi di cui avete effettuato l’enrollment. Sarà possibile visualizzare se i dispositivi sono Corporate oppure Personal ed in più per ognuno di loro sarà visibile la modalità di gestione (Work Profile, Dedicated oppure Fully Managed).

Figura 22: Nella console di Intune è possibile visualizzare il tipo di sistema operativo dei diversi dispositivi, la loro proprietàe la loro modalità di gestione di Android Enterprise

Conclusioni

Android Enterprise permette di gestire i dispositivi mobili in diversi modi: dispositivi personali con autorizzazione ad accedere ai dati aziendali, dispositivi di proprietà dell’azienda pensati per uno specifico utilizzo (dedicati) e dispositivi aziendali usati esclusivamente per lavoro e non per uso personale (completamente gestiti). In questo modo gli amministratori di Microsoft Intune possono gestire in modi diversi i dispositivi, a seconda della loro proprietà e del loro utilizzo.