• Cloud, Guide, Tecnologia
• 17 Novembre 2022

In Microsoft Intune è possibile usare OEMConfig per aggiungere, creare e personalizzare le impostazioni specifiche dell’OEM per i dispositivi Android Enterprise. OEMConfig viene in genere usato per configurare impostazioni non incorporate in Intune.

I criteri OEMConfig sono un tipo speciale di criteri di configurazione dei dispositivi simili alle app configuration policy. OEMConfig è uno standard definito da Google che usa la configurazione delle app in Android per inviare le impostazioni del dispositivo alle app scritte dagli OEM (Original Equipment Manufacturers). Questo standard consente agli OEM e agli EMM (Enterprise Mobility Management) di creare e supportare funzionalità specifiche degli OEM in modo standardizzato.

Con OEMConfig, un OEM crea uno schema che definisce le funzionalità di gestione specifiche dell’OEM. L’OEM incorpora lo schema in un’app e quindi inserisce questa app in Google Play. EMM legge lo schema dall’app ed espone lo schema nella console di amministrazione di EMM. La console consente agli amministratori Intune di configurare le impostazioni nello schema.

Quando l’app OEMConfig viene installata in un dispositivo, usa le impostazioni configurate nella console di amministrazione di EMM per gestire il dispositivo. Le impostazioni del dispositivo vengono eseguite dall’app OEMConfig anziché da un agente MDM creato da EMM.

Prerequisiti

Per usare OEMConfig nei dispositivi, sono necessari i requisiti seguenti:

• Un dispositivo Android Enterprise registrato in Intune.
• App OEMConfig creata dall’OEM e caricata in Google Play. Se non è disponibile su Google Play, contattare l’OEM per altre informazioni.

Preparare l’app OEMConfig

Assicurarsi che il dispositivo supporti OEMConfig, che l’app OEMConfig corretta venga aggiunta a Intune e che l’app sia installata nel dispositivo.

NOTA: Alcuni OEM potrebbero fornire dispositivi con l’app OEMConfig preinstallata

In questa guida mostrerò come distribuire e configurare Samsung Knox Service plugin (KSP). Dal portale di Microsoft Intune aggiungete l’applicazione Samsung Knox Service plugin prendendola dal Managed Google Play.

Knox Service Plugin (KSP) è una soluzione che consente ai clienti aziendali di utilizzare le funzionalità di Knox Platform for Enterprise non appena sono disponibili in commercio.

Questo metodo di distribuzione automatica garantisce che gli amministratori IT possano utilizzare le funzionalità Knox più recenti il ​​giorno del lancio, invece di attendere che il proprio Unified Endpoint Management (UEM) integri le funzionalità in modo specifico.

Figura 1: Aggiunta di una nuova applicazione Android

Figura 2: Distribuzione di un’applicazione dal Managed Google Play

Figura 3: Ricerca dell’app Samsung Know Service plugin nel Managed Google Play

Figura 4: Approvazione dell’app Samsung Know Service plugin nel Managed Google Play

Figura 5: Approvazione die permessi richiesti dall’app Samsung Know Service plugin nel Managed Google Play

Figura 6: Sincronizzazione dell’app Samsung Know Service plugin con Microsoft Intune

Figura 7: L’applicazione Samsung Know Service plugin è disponibile per la distribuzione

Assegnate l’applicazione al gruppo di utenti o di dispositivi Android Enterprise che volete gestire.

Figura 8: Assegnazione dell’app Samsung Knox Service Plugin

Figura 9: Scelta del gruppo di Azure AD a cui distribuire Samsung Knox Service Plugin

Figura 10: Conferma della distribuzione dell’app Samsung Knox Service Plugin

Figura 11: Configurazione dell’app Samsung Knox Service Plugin completata

Creazione del profilo di configurazione OEMConfig

La creazione di un profilo di configurazione OEMConfig si effettua da Devices à Configuration profiles à Create profile. Scegliete come piattaforma Android Enterprise e come profilo selezionate OEMConfig.

Figura 12: Creazione di un nuovo profilo OEMConfig per Android Enterprise

Nella scheda Basics immettere un nome descrittivo per il nuovo profilo e dopo aver cliccato su OEMConfig app selezionate l’app Samsung Knox Service plugin che avete aggiunto in precedenza. Nella scheda Associated app verranno mostrate solo applicazioni che possono essere gestite con OEMConfig e non tutte le applicazioni che distribuite tramite Microsoft Intune.

Figura 13: Selezione dell’OEMConfig app

Figura 14: Configurazioni della scheda Basics

Nella scheda Configuration Settings procedete quindi a configurare il profilo OEMConfig. Leggete la documentazione OEM per assicurarvi di configurare correttamente le proprietà. Queste proprietà dell’app sono incluse dall’OEM, non da Intune. Intune esegue la convalida minima delle proprietà o degli elementi immessi. Ad esempio, se si immette abcd come un numero di porta, il profilo viene salvato così come è e distribuito ai dispositivi con i valori configurati. Assicuratevi quindi di immettere le informazioni corrette.

Tramite la modalità Configuration Designer le proprietà disponibili nello schema dell’app vengono visualizzate per la configurazione. I menu di scelta rapida nella finestra di Configuration Designer indicano che sono disponibili altre opzioni. Inoltre, molte impostazioni hanno valori predefiniti forniti dall’OEM.

Se invece selezionate la modalità Editor JSON viene aperto un editor JSON con un modello per lo schema di configurazione completo incorporato nell’app. È possibile usare l’editor JSON per creare un backup della configurazione. Dopo aver configurato le impostazioni, usare questa funzionalità per ottenere le impostazioni JSON con i valori. Copiare e incollare il codice JSON in un file e salvarlo.

Io ho configurato il Debug Mode su True, in modo tale da poter vedere l’applicazione sul mio smartphone. Ho anche modificato alcuni parametri, come ad esempio l’impostazione dell’uso delle impronte digitali. Nelle schermate sotto ci sono alcuni esempi di configurazione.

Figura 15: Abilitazione del Debug Mode e scelta delle configurazioni a livello di dispositivo

Figura 16: Opzioni di configurazione disponibili per la device-wide policy

Figura 17: Modifica della password policy

Figura 18: Abilitazione dell’autenticazione tramite biometria

Modificando dal menu a tendina la modalità di creazione da Configuration Designer a JSON editor potrete vedere la configurazione effettuata e scaricarla

Figura 19: JSON editor del profilo OEMConfig

Nella scheda Scope Tags assegnare un tag per filtrare il profilo a gruppi IT specifici.

Figura 20: Scheda Scope Tags del wizard di creazione del profilo OEMConfig

Nella scheda Assigments selezionate gli utenti o i gruppi che riceveranno il profilo. Assegnate un profilo a ogni dispositivo. Il modello OEMConfig supporta solo un criterio per dispositivo. Non verrà assegnato un profilo OEMConfig che supera i 350 kb.

Figura 21: Assegnazione del profilo ad un gruppo di Azure AD

Figura 22: Gruppo di Azure AD che riceverà il profilo

Nella scheda Review + create controllate le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell’elenco dei profili.

Figura 23: Schermata finale del wizard di creazione del profilo OEMConfig

Figura 24: Profilo di configurazione OEMConfig creato

Verifica di funzionamento

Collegatevi ad uno smartphone con un profilo di Android Enterprise che sia associato ad un utente del gruppo di Azure AD a cui avete distribuito il profilo OEMConfig e verificate le impostazioni. Poiché ho deciso di abilitare la modalità Debug, l’app ed il profilo saranno visibili, come mostrato nelle figure sotto:

Conclusioni

Tramite i profili OEMConfig possiamo aggiungere, creare e personalizzare le impostazioni specifiche dell’OEM per i dispositivi Android Enterprise, specialmente per configurare impostazioni non incorporate in Intune. Grazie alle app OEM possiamo utilizzare le funzionalità introdotte dal produttore non appena queste sono rese disponibili, senza attendere che vengano integrate da Microsoft Intune.