Einrichten der Intune-Registrierung für unternehmenseigene Geräte ohne Benutzer unter Android (AOSP)

Richten Sie die Registrierung in Microsoft Intune für unternehmenseigene Geräte ohne Benutzer ein, die auf der Android Open Source Project (AOSP)-Plattform basieren. Intune bietet eine Android (AOSP)-Geräteverwaltungslösung für unternehmenseigene Android-Geräte an, bei denen Folgendes gilt:

• Sind nicht in Google Mobile Services integriert.
• Sollen von mehreren Benutzern freigegeben werden.
• Werden verwendet, um bei der Arbeit eine bestimmte Gruppe von Aufgaben auszuführen.

In diesem Artikel wird beschrieben, wie Sie die Geräteverwaltung von Android (AOSP) einrichten und RealWear-Geräte für den Einsatz bei der Arbeit registrieren.

Sie sollten wissen

Geräte, die mit diesem Verwaltungsmodus bei Intune registriert sind, werden automatisch mit Microsoft Authenticator und Unternehmensportal eingerichtet. Diese Geräte werden ohne Benutzerkonto bei Intune registriert und keinem bestimmten Benutzer zugeordnet.

Geräte werden während der Registrierung im Modus für gemeinsam genutzte Geräte Microsoft Entra konfiguriert. Geräte ermöglichen einmaliges Anmelden (Single Sign-On, SSO) zwischen Benutzern in teilnehmenden Apps. Durch die Installation von Unternehmensportal können Benutzer auch SSO nutzen, wenn sie sich von Apps abmelden, die in das Intune SDK integriert sind, auch von Apps, die noch nicht im Modus für gemeinsam genutzte Geräte verwendet werden.

Voraussetzungen

Zum Registrieren und Verwalten von AOSP-Geräten benötigen Sie Folgendes:

• Einen aktiven Microsoft Intune-Mandanten.
• Ein unterstütztes Gerät.

Außerdem müssen Sie folgende Schritte ausführen:

• Legen Sie Microsoft Intune als Autorität für die mobile Geräteverwaltung (Mobile Device Management, MDM) in Ihrem Mandanten fest. Sie müssen diesen Schritt nur einmal ausführen, und zwar wenn Sie Intune für die Verwaltung mobiler Geräte zum ersten Mal einrichten.

• Weisen Sie allen Benutzern von RealWear-Geräten gültige Lizenzen zu. Weitere Informationen finden Sie unter Microsoft Intune-Lizenzierung.

Erstellen eines Anmeldungsprofils

Erstellen Sie ein Registrierungsprofil, um die Registrierung auf Geräten zu ermöglichen.

Tipp

Intune generiert auch ein Token in Nur-Text-Form, das zum Registrieren von Geräten aber nicht verwendet werden kann.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wechseln Sie zu Geräteregistrierung>.

3. Wählen Sie die Registerkarte Android aus.

4. Wählen Sie im Abschnitt Android Open Source Project (AOSP) (Vorschau) die Option Unternehmenseigene, benutzerlose Geräte (Vorschau) aus.

5. Wählen Sie Profil erstellen aus.

6. Geben Sie die Grundlagen für Ihr Profil ein:

   • Name: Geben Sie dem Profil einen Namen. Notieren Sie sich den Namen für später, da Sie ihn beim Einrichten der dynamischen Gerätegruppe benötigen.

   • Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.

   • Tokenablaufdatum: Wählen Sie das Datum aus, an dem das Token abläuft, bis zu 90 Tage in der Zukunft.

   • SSID: Identifiziert das Netzwerk, mit dem das Gerät eine Verbindung herstellt.

     Hinweis

     WLAN-Details sind erforderlich, weil es beim RealWear-Gerät keine Schaltfläche oder Option gibt, mit der es eine Verbindung mit anderen Geräten automatisch herstellen kann.

   • Ausgeblendetes Netzwerk:Wählen Sie aus, ob es sich um ein ausgeblendetes Netzwerk handelt. Diese Einstellung ist standardmäßig deaktiviert.

   • WLAN-Typ: Wählen Sie den für dieses Netzwerk erforderlichen Authentifizierungstyp aus.

     Wenn Sie WEP Pre-Shared Key oder WPA Pre-Shared Key auswählen, geben Sie auch Folgendes ein:

     • Vorinstallierter Schlüssel: Der vorinstallierte Schlüssel, der für die Authentifizierung beim Netzwerk verwendet wird.

7. Wählen Sie Weiter aus.

8. Optional können Sie Bereichstags auswählen.

9. Wählen Sie Weiter aus.

10. Überprüfen Sie die Details Ihres Profils, und wählen Sie dann Erstellen aus, um das Profil zu speichern.

Zugriffsregistrierungstoken

Nachdem Sie ein Profil erstellt haben, generiert Intune ein Token, das für die Registrierung benötigt wird. So greifen Sie auf das Token zu:

1. Wechseln Sie zu Unternehmenseigene, benutzerlose Geräte (Vorschau).
2. Wählen Sie in der Liste Ihr Registrierungsprofil aus.
3. Wählen Sie Token aus.

Sie können das Token auch so finden:

1. Wechseln Sie zu Unternehmenseigene, benutzerlose Geräte (Vorschau).
2. Suchen Sie Ihr Profil in der Liste, und wählen Sie daneben das Menü Mehr (...) aus.
3. Wählen Sie Registrierungstoken anzeigen aus.

Das Token wird als QR-Code angezeigt. Scannen Sie während der Geräteeinrichtung bei der entsprechenden Aufforderung den QR-Code, um das Gerät in Intune zu registrieren.

Sie können auch die JSON-Datei des Registrierungsprofils exportieren. So erstellen Sie eine JSON-Datei:

1. Wechseln Sie zu Unternehmenseigene, benutzerlose Geräte (Vorschau).
2. Wählen Sie in der Liste Ihr Registrierungsprofil aus.
3. Wählen Sie Tokenexport > aus.

Wichtig

• Der QR-Code enthält alle Anmeldeinformationen, die im Profil im Nur-Text-Format angegeben sind, damit sich das Gerät beim Netzwerk erfolgreich authentifizieren kann. Dies ist erforderlich, weil der Benutzer nicht über das Gerät einem Netzwerk beitreten kann.
• Da Sie das Gerät über Intune verwalten, sollten Sie das erstmalige Setup von RealWear überspringen. Die Intune-QR-Codes sind die einzigen Elemente, die Sie zum Einrichten des Geräts benötigen.

Ersetzen eines Tokens

Generieren Sie ein neues Token, um ein Token zu ersetzen, das sich dem Ablaufdatum nähert. Das Ersetzen eines Tokens wirkt sich nicht auf Geräte aus, die bereits registriert wurden.

1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
2. Wählen Sie die Registerkarte Android aus.
3. Wählen Sie im Abschnitt Android Open Source Project (AOSP) (Vorschau) die Option Unternehmenseigene, benutzerlose Geräte (Vorschau) aus.
4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
5. Wählen Sie Token>Token ersetzen aus.
6. Geben Sie das Ablaufdatum für das neue Token ein. Token müssen mindestens alle 90 Tage ersetzt werden.
7. Wählen Sie OK aus.

Widerrufen eines Tokens

Widerrufen Sie ein Token, damit es sofort abläuft und unbrauchbar wird. Beispielsweise ist es in folgenden Fällen sinnvoll, ein Token zu widerrufen:

• Sie haben das Token bzw. den QR-Code für nicht autorisierte Personen versehentlich freigegeben.
• Sie haben alle Registrierungen abgeschlossen und benötigen das Token nicht mehr.

Das Widerrufen eines Tokens wirkt sich nicht auf Geräte aus, die bereits registriert wurden.

1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
2. Wählen Sie die Registerkarte Android aus.
3. Wählen Sie im Abschnitt Android Open Source Project (AOSP) (Vorschau) die Option Unternehmenseigene, benutzerlose Geräte (Vorschau) aus.
4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
5. Wählen Sie Token>Token widerrufen>Ja aus.

Erstellen einer Gerätegruppe

Sie können in Intune zugewiesene Gerätegruppen oder dynamische Gerätegruppen erstellen. Weitere Informationen zu beiden Gruppen finden Sie unter Hinzufügen von Gruppen zum Organisieren von Benutzern und Geräten.

Dynamische Gerätegruppen sind so konfiguriert, dass Geräte – basierend auf einer Reihe von Regeln und Parametern – automatisch hinzugefügt und entfernt werden. Beispielsweise können Sie Geräte nach dem Namen des Registrierungsprofils gruppieren.

Führen Sie die folgenden Schritte aus, um eine dynamische Microsoft Entra Gerätegruppe für Geräte zu erstellen, die mit einem unternehmenseigenen, benutzerlosen Registrierungsprofil für Android (AOSP) registriert sind.

1. Wechseln Sie im Admin Center zu Gruppen>Alle Gruppen>Neue Gruppe.

2. Füllen Sie auf dem Blatt Gruppe die erforderlichen Felder wie folgt aus:

   • Gruppentyp: Sicherheit
   • Gruppenname: Geben Sie einen aussagekräftigen Namen ein (z.B. Factory 1-Geräte)
   • Mitgliedschaftstyp: Dynamisches Gerät

3. Klicken Sie auf Dynamische Abfrage hinzufügen.

4. Füllen Sie die Felder auf dem Blatt Dynamische Mitgliedschaftsregeln wie folgt aus:

   • Regel für dynamische Mitgliedschaft hinzufügen: Einfache Regel
   • Geräte hinzufügen, wobei: enrollmentProfileName
   • Klicken Sie im mittleren Feld auf Ist gleich.
   • Geben Sie im letzten Feld den Namen des Registrierungsprofils ein, das Sie zuvor erstellt haben.

   Weitere Informationen zu Dynamischen Mitgliedschaftsregeln finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.

5. Wählen Sie Abfrage hinzufügen>Erstellen aus.

Registrieren von Geräten per QR-Code

Nachdem Sie die Registrierungsprofile für Android (AOSP) eingerichtet und zugewiesen haben, können Sie Geräte über QR-Code registrieren.

1. Schalten Sie Ihr neues oder auf Werkseinstellungen zurückgesetztes Gerät ein.

2. Wenn Sie vom Gerät dazu aufgefordert werden, scannen Sie den QR-Code des Tokens.

Tipp

Um auf das Token in Intune zuzugreifen, wählen Sie Geräte>Android>Android-Registrierung>Unternehmenseigene Geräte ohne Benutzer aus. Wählen Sie Ihr Registrierungsprofil und dann Token aus.

3. Folgen Sie den Eingabeaufforderungen auf dem Bildschirm, um die Registrierung des Geräts abzuschließen. Während des Setups installiert und öffnet Intune automatisch die Apps, die für die Registrierung erforderlich sind. Zu diesen Apps gehören:

   • Microsoft Authenticator-App
   • Microsoft Intune-App
   • Intune-Unternehmensportal-App

Informationen zur Verwendung von JSON zum Registrieren von Geräten finden Sie in den Anweisungen des Geräteherstellers.

Nach der Registrierung

App-Updates

Die Microsoft Intune-App installiert automatisch verfügbare App-Updates für sich selbst, Authenticator und Unternehmensportal. Wenn ein Update verfügbar wird, wird es von der Intune-App geschlossen und installiert. Die App muss zum Installieren des Updates vollständig geschlossen werden.

Remoteverwaltung von Geräten

Die folgenden Remoteaktionen sind für Android (AOSP)-Geräte verfügbar:

• Wischen
• Löschen
• Remotesperre
• Zurücksetzen der Kennung
• Neustart

Sie können auf einem Gerät jeweils eine Aktion ausführen. Wenn Sie Informationen dazu benötigen, wo Sie Remoteaktionen in Intune finden können, lesen Sie Entfernen von Geräten durch Zurücksetzen, Abkoppeln oder manuelles Aufheben der Registrierung des Geräts.

Hinweis

Nachdem Sie ein Android (AOSP)-Gerät zurückgesetzt haben, verbleibt es so lange im Zustand Ausstehend, bis es auf seine werkseitigen Standardeinstellungen vollständig wiederhergestellt wurde. Anschließend wird es von Intune aus der Geräteliste entfernt. Wenn Sie ein Gerät löschen, wird es sofort – ohne den Status „Ausstehend“ – aus der Geräteliste entfernt, und die Zurücksetzung auf die Werkseinstellungen geschieht bei seinem nächsten Einchecken.

Problembehandlung

Anzeigen der Version für die Apps Microsoft Intune und Microsoft Authenticator

So finden Sie heraus, welche Version der Microsoft Intune-App oder der Microsoft Authenticator-App auf einem Gerät installiert ist:

1. Wechseln Sie zu Geräte, und wählen Sie den Gerätenamen aus.
2. Wählen Sie Ermittelte Apps aus.
3. Suchen Sie Ihre App und dann in der Spalte Anwendungsversion nach der Versionsnummer.

Problembehandlung + Support

Wechseln Sie im Microsoft Intune Admin Center zu Problembehandlung + Support für:

• Anzeigen einer Liste der von einem Benutzer registrierten Android (AOSP)-Geräte
• Aktivieren Sie die Problembehandlung für Android (AOSP)-Geräte auf die gleiche Weise wie bei anderen Benutzergeräten.

Freigeben von App-Protokollen für Microsoft

Wenn Sie Probleme bei der Registrierung oder der Microsoft Intune-App haben, können Sie die App verwenden, um App-Protokolle hochzuladen und an Microsoft zu senden. Nachdem Sie die Protokolle übermittelt haben, erhalten Sie eine Vorfall-ID, die Sie mit Ihrer Microsoft-Supportperson teilen können.

Bekannte Einschränkungen

Beim Arbeiten mit AOSP-Geräten in Intune gibt es die folgenden bekannten Einschränkungen :

• Sie können bestimmte Kennworttypen nicht über Gerätecompliance und Geräteeinschränkungsprofile erzwingen. Zu den Kennworttypen gehören:

  • Kennwort erforderlich, keine Einschränkung
  • Alphabetisch
  • Alphanumerisch
  • Alphanumerisch mit Symbolen
  • Schwach biometrisch

• Die Gerätecompliance-Berichterstellung ist für Android (AOSP) nicht verfügbar.

• Die Verwaltung von Android (AOSP) wird in Umgebungen mit Intune, betrieben von 21Vianet, nicht unterstützt.

Nächste Schritte

• Erstellen Sie eine Android (AOSP)-Gerätekonfigurationsrichtlinie, um Einstellungen auf Geräten einzuschränken.

• Erstellen Sie eine Android (AOSP)-Gerätecompliancerichtlinie.

• Weitere Informationen zu den ersten Schritten mit AOSP finden Sie unter Android-Quellanforderungen (öffnet die Android-Quelldokumentation).