Einrichten der Intune-Registrierung für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil

Unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil sind Einzelbenutzergeräte, die für die geschäftliche und private Benutzung vorgesehen sind.

Endbenutzer können ihre geschäftlichen und persönlichen Daten getrennt halten und sind sicher, dass personenbezogene Daten und Anwendungen privat bleiben. Administratoren können einige Einstellungen und Features für das gesamte Gerät steuern, darunter:

• Festlegen der Anforderungen für das Gerätekennwort
• Steuern von Bluetooth und Datenroaming
• Konfigurieren des Schutzes vor Zurücksetzung auf Werkseinstellungen

Intune unterstützt Sie beim Bereitstellen von Apps und Einstellungen für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil. Ausführliche Informationen über Android Enterprise finden Sie in den Voraussetzungen für Android Enterprise.

Geräteanforderungen

Geräte müssen die folgenden Anforderungen erfüllen, um als unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil verwaltet werden zu können:

• Android-Version 8.0 und höher
• Geräte müssen eine Android-Verteilung ausführen, die über GMS-Konnektivität (Google Mobile Services) verfügt. Geräte müssen über GMS verfügen und dazu in der Lage sein, eine Verbindung mit GMS herzustellen.

Einrichten der Verwaltung für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil

Führen Sie die folgenden Schritte aus, um die Verwaltung für unternehmenseigene Android Enterprise-Geräte mit Arbeitsprofil einzurichten:

1. Sie müssen Microsoft Intune als MDM-Autorität (Verwaltung mobiler Geräte) festlegen, um die Verwaltung mobiler Geräte vorzubereiten. Sie legen dieses Element nur einmal fest, wenn Sie die Ersteinrichtung von Intune für die Verwaltung mobiler Geräte durchführen.
2. Verknüpfen Sie Ihr Intune-Mandantenkonto mit Ihrem verwalteten Google Play-Konto.
3. Erstellen Sie ein Registrierungsprofil.
4. Erstellen Sie eine Gerätegruppe.
5. Registrieren Sie die unternehmenseigenen Geräte mit Arbeitsprofil.

Erstellen eines Registrierungsprofils

Hinweis

• Token für unternehmenseigene Geräte mit Arbeitsprofil laufen nicht automatisch ab. Wenn ein Administrator entscheidet, ein Token zu widerrufen, wird das zugeordnete Profil nicht in Geräte>Android>Android-Registrierung>unternehmenseigenen Geräten mit Arbeitsprofilangezeigt. Klicken Sie auf Filter, und aktivieren Sie die Kontrollkästchen für die beiden Richtlinienstatus „Aktiv“ und „Inaktiv“, um alle Profile anzuzeigen, um alle Profile anzuzeigen, die sowohl den aktiven als auch den inaktiven Token zugeordnet sind.
• Für unternehmenseigene Arbeitsprofilgeräte (COPE) wird die afw#setup- und die NFC-Registrierungsmethode (Near Field Communication) nur auf Geräten mit Android 8-10 unterstützt. Sie sind unter Android 11 nicht verfügbar. Weitere Informationen finden Sie in der Google-Entwicklerdokumentation.

Sie müssen ein Registrierungsprofil erstellen, damit Benutzer unternehmenseigene Geräte mit Arbeitsprofil registrieren können. Wenn das Profil erstellt wird, wird ein Registrierungstoken (zufällige Zeichenfolge) und ein QR-Code bereitgestellt. Je nach Android-Betriebssystem und Version des Geräts können Sie entweder das Token oder den QR-Code zum Registrieren des dedizierten Geräts verwenden.

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wechseln Sie zu Geräteregistrierung>.
3. Wählen Sie die Registerkarte Android aus.
4. Wechseln Sie zu AndroidEnterprise-Registrierungsprofile>, und wählen Sie Unternehmenseigene Geräte mit Arbeitsprofil aus.
5. Wählen Sie Profil erstellen aus.
6. Geben Sie auf der Seite Grundlagen einen Namen und eine Beschreibung für das Profil ein, damit Sie es von anderen Profilen im Admin Center unterscheiden können. Gerätebenutzer sehen diese Details nicht.
7. Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.
8. Wenden Sie optional ein oder mehrere Bereichstags an, um die Sichtbarkeit und Verwaltung von Einschränkungen auf bestimmte Administratorbenutzer in Intune zu beschränken. Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.
9. Wählen Sie Weiter aus, um mit Erstellen und überprüfen fortzufahren.
10. Überprüfen Sie Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.

Zugriffsregistrierungstoken

Nachdem Sie ein Profil erstellt haben, generiert Intune ein Token, das für die Registrierung benötigt wird.

1. Kehren Sie zu Geräteregistrierung> zurück, und wählen Sie die Registerkarte Android aus.
2. Wählen Sie im Abschnitt Registrierungsprofile die Option Unternehmenseigene Geräte mit Arbeitsprofil aus.
3. Wählen Sie in der Liste Ihr Registrierungsprofil aus.
4. Wählen Sie Token aus.

Sie können das Token auch so finden:

1. Suchen Sie Ihr Profil in der Liste, und wählen Sie daneben das Menü Mehr (...) aus.
2. Wählen Sie Registrierungstoken anzeigen aus.

Das Token wird als achtstellige Zeichenfolge und als QR-Code angezeigt. Verwenden Sie dieses Token, um sich basierend auf den Registrierungsmechanismen zu registrieren, die im Registrierungsdokument für unternehmenseigene Android Enterprise-Geräte beschrieben sind.

Widerrufen oder Exportieren von Token

• Token widerrufen: Sie können das Token bzw. den QR-Code sofort ablaufen lassen. Von diesem Zeitpunkt an kann das Token bzw. der QR-Code nicht mehr verwendet werden. Sie können diese Option verwenden, wenn Sie:
  • das Token bzw. den QR-Code versehentlich mit nicht autorisierten Personen geteilt haben
  • alle Registrierungen abgeschlossen haben und das Token bzw. den QR-Code nicht mehr benötigen
• Token exportieren: Sie können den JSON-Inhalt des Tokens/QR-Codes exportieren. Sie können diese Option verwenden, um json-Inhalte einfach für die Registrierung mit Zero Touch Enrollment (ZTE) oder Knox Mobile Enrollment (KME) einzufügen.

Das Widerrufen oder Exportieren eines Tokens/QR-Codes hat keine Auswirkungen auf Geräte, die bereits registriert sind.

1. Wechseln Sie im Admin Center zu Geräteregistrierung>.
2. Wählen Sie die Registerkarte Android aus.
3. Wählen Sie unter AndroidEnterprise-Registrierungsprofile> die Option Unternehmenseigene Geräte mit Arbeitsprofil aus.
4. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.
5. Klicken Sie auf Token.
6. Klicken Sie auf Token widerrufen>Ja, um das Token zu widerrufen.
7. Um das Token zu exportieren, wählen Sie Token exportieren aus.

Erstellen einer Gerätegruppe

Sie können Apps und Richtlinien auf zugewiesene oder dynamische Gerätegruppen ausrichten. Sie können dynamische Microsoft Entra Gerätegruppen so konfigurieren, dass Geräte, die mit einem bestimmten Registrierungsprofil registriert sind, automatisch aufgefüllt werden, indem Sie die folgenden Schritte ausführen:

1. Melden Sie sich beim Microsoft Intune Admin Center an.
2. Wechseln Sie zu Gruppen>Alle Gruppen>Neue Gruppe.
3. Füllen Sie die erforderlichen Felder wie folgt aus:
   • Gruppentyp: Sicherheit
   • Gruppenname: Geben Sie einen intuitiven Namen ein, z. B . Factory 1-Geräte.
   • Mitgliedschaftstyp: Dynamisches Gerät
4. Wählen Sie Dynamische Abfrage hinzufügen aus.
5. Füllen Sie für Dynamische Mitgliedschaftsregeln die Felder wie folgt aus:
   • Regel für dynamische Mitgliedschaft hinzufügen: Einfache Regel
   • Geräte hinzufügen, wobei: enrollmentProfileName
   • Klicken Sie im mittleren Feld auf Ist gleich.
   • Geben Sie im letzten Feld den Namen des Registrierungsprofils ein, das Sie zuvor erstellt haben. Weitere Informationen zu Dynamischen Mitgliedschaftsregeln finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.
6. Wählen Sie Abfrage hinzufügen>Erstellen aus.

Registrieren von unternehmenseigenen Geräten mit Arbeitsprofil

Benutzer können nun ihre unternehmenseigenen Geräte mit Arbeitsprofil registrieren.

Hinweis

Die Microsoft Intune-App wird während der Registrierung automatisch installiert. Diese App ist für die Registrierung erforderlich und kann nicht deinstalliert werden. Wenn Sie die Intune-Unternehmensportal-App auf einem Gerät bereitstellen und der Benutzer versucht, die App zu starten, wird er an die Microsoft Intune-App umgeleitet, und das Unternehmensportal App-Symbol wird ausgeblendet.

Verwalten von Apps auf unternehmenseigenen Android Enterprise-Geräten mit Arbeitsprofil

Apps werden aus dem verwalteten Google Play Store auf die gleiche Weise installiert wie persönliche Android Enterprise-Arbeitsprofilgeräte.

Apps werden auf verwalteten Geräten automatisch aktualisiert, wenn der App-Entwickler ein Update auf Google Play veröffentlicht.

Um eine App von unternehmenseigenen Android Enterprise-Arbeitsprofilgeräten zu entfernen, haben Sie folgende Möglichkeiten:

• Löschen Sie die erforderliche App-Bereitstellung.
• Erstellen Sie eine Deinstallationsdatei für die App.

Nächste Schritte

• Bereitstellen von Android-Apps
• Hinzufügen von Android-Konfigurationsrichtlinien