Einrichten der Intune-Registrierung für dedizierte Android Enterprise-GeräteSet up Intune enrollment of Android Enterprise dedicated devices

Android Enterprise unterstützt unternehmenseigene kioskartige Geräte zur einmaligen Verwendung mit Lösungen für dedizierte Geräte.Android Enterprise supports corporate-owned, single-use, kiosk-style devices with its dedicated devices solution set. Solche Geräte werden für einen einzigen Zweck verwendet, dazu gehören z.B. die digitale Beschilderung, das Drucken von Tickets oder die Bestandsverwaltung.Such devices are used for a single purpose, such as digital signage, ticket printing, or inventory management, to name just a few. Administratoren können die Nutzung eines Geräts auf eine einzige App oder eine begrenzte Gruppe von Apps (einschließlich Web-Apps) beschränken.Admins can lock down the usage of a device to a single app, or a limited set of apps, inclusive of web apps. Benutzer werden daran gehindert, andere Apps hinzuzufügen oder Aktionen auf dem Gerät durchzuführen, es sei denn, sie wurden explizit von Administratoren genehmigt.Users are prevented from adding other apps or taking actions on the device that unless explicitly approved by admins.

Geräte, die Sie auf diese Weise verwalten, können auf zwei unterschiedliche Arten in Intune registriert werden:Devices that you manage in this way can be enrolled into Intune in two different ways:

  1. Als dediziertes Android Enterprise-Standardgerät:As a standard Android Enterprise dedicated device. Diese Geräte werden ohne ein Benutzerkonto in Intune registriert und sind keinem Endbenutzer zugeordnet.These devices are enrolled into Intune without a user account and are not associated with any end user. Sie sind nicht für den persönlichen Gebrauch von Anwendungen oder Apps vorgesehen, die ausführliche Voraussetzung für benutzerspezifische Kontodaten umfassen, z. B. Outlook oder Gmail.These devices are not intended for personal use applications or apps that have a strong requirement for user-specific account data such as Outlook or Gmail.

  2. Als dediziertes Android Enterprise-Standardgerät, das während der Registrierung automatisch mit der im Azure AD-Modus für gemeinsam genutzte Geräte konfigurierten Authenticator-Anwendung von Microsoft eingerichtet wird.As a standard Android Enterprise dedicated device that is automatically set up with Microsoft's Authenticator application configured into Azure AD Shared device mode during enrollment. Diese Geräte werden ohne ein Benutzerkonto in Intune registriert und sind keinem Endbenutzer zugeordnet.These devices are enrolled into Intune without a user account and are not associated with any end user. Sie sind für die Verwendung von Anwendungen konzipiert, die mit dem Azure AD-Modus für gemeinsam genutzte Geräte integriert sind, um einmalige Anmeldung und einmalige Abmeldungen zwischen Benutzern in beteiligten Anwendungen zu ermöglichen.These devices are intended for use with applications that have integrated with Azure AD's Shared device mode to allow for single sign-in and single sign-out between users across participating applications. Diese Registrierungsmethode befindet sich in der öffentlichen Vorschauphase (Stand: Oktober 2020).This method of enrollment is in Public Preview as of October 2020.

Intune unterstützt Sie beim Bereitstellen von Apps und Einstellungen für dedizierte Android Enterprise-Geräte.Intune helps you deploy apps and settings to Android Enterprise dedicated devices. Ausführliche Informationen über Android Enterprise finden Sie in den Voraussetzungen für Android Enterprise.For specific details about Android Enterprise, see Android enterprise requirements.

GeräteanforderungenDevice requirements

Geräte müssen diese Anforderungen erfüllen, um als dediziertes Android Enterprise-Gerät verwaltet zu werden:Devices must meet these requirements to be managed as an Android Enterprise dedicated device:

  • Mindestens Android-Betriebssystemversion 6.0.Android OS version 6.0 and above.
  • Geräte müssen eine Android-Verteilung ausführen, die über GMS-Konnektivität (Google Mobile Services) verfügt.Devices must run a distribution of Android that has Google Mobile Services (GMS) connectivity. Geräte müssen über GMS verfügen und dazu in der Lage sein, eine Verbindung mit GMS herzustellen.Devices must have GMS available and must be able to connect to GMS.

Einrichten der Verwaltung von dedizierten Android Enterprise-GerätenSet up Android Enterprise dedicated device management

Führen Sie die folgenden Schritte aus, um die Verwaltung für dedizierte Android Enterprise-Geräte einzurichten:To set up Android Enterprise dedicated device management, follow these steps:

  1. Sie müssen Microsoft Intune als MDM-Autorität (mobile Geräteverwaltung) festlegen, um die Verwaltung von mobilen Geräten vorzubereiten.To prepare to manage mobile devices, you must set the mobile device management (MDM) authority to Microsoft Intune for instructions. Sie legen dieses Element nur einmal fest, wenn Sie die Ersteinrichtung von Intune für die Verwaltung mobiler Geräte durchführen.You set this item only once, when you're first setting up Intune for mobile device management.
  2. Verknüpfen Sie Ihr Intune-Mandantenkonto mit Ihrem verwalteten Google Play-Konto.Connect your Intune tenant account to your Managed Google Play account.
  3. Erstellen Sie ein Registrierungsprofil.Create an enrollment profile.
  4. Erstellen Sie eine Gerätegruppe.Create a device group.
  5. Registrieren Sie die dedizierten Geräte.Enroll the dedicated devices.

Erstellen eines AnmeldungsprofilsCreate an enrollment profile

Hinweis

Wenn ein Token abgelaufen ist, wird das zugeordnete Profil nicht unter Geräteregistrierung > Android-Registrierung > Unternehmenseigene dedizierte Geräte angezeigt.If a token has expired, the profile associated with it will not be displayed in Device enrollment > Android enrollment > Corporate-owned dedicated devices. Klicken Sie auf Filter, und aktivieren Sie die Kontrollkästchen für die beiden Richtlinienstatus „Aktiv“ und „Inaktiv“, um alle Profile anzuzeigen, die den Token „Aktiv“ und „Inaktiv“ zugeordnet sind.To see all profiles associated with both active and inactive tokens, click on Filter and check the boxes for both "Active" and "Inactive" policy states.

Sie müssen ein Registrierungsprofil erstellen, damit Sie Ihre dedizierten Geräte registrieren können.You must create an enrollment profile so that you can enroll your dedicated devices. Wenn das Profil erstellt wird, wird ein Registrierungstoken (zufällige Zeichenfolge) und ein QR-Code bereitgestellt.When the profile is created, it provides you with an enrollment token (random string) and a QR code. Je nach Android-Betriebssystem und Version des Geräts können Sie entweder das Token oder den QR-Code zum Registrieren des dedizierten Geräts verwenden.Depending on the Android OS and version of the device, you can use either the token or QR code to enroll the dedicated device.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und navigieren Sie zu Geräte > Android > Android-Registrierung > Unternehmenseigene dedizierte Geräte.Sign in to the Microsoft Endpoint Manager admin center and choose Devices > Android > Android enrollment > Corporate-owned dedicated devices.
  2. Klicken Sie auf Erstellen, und füllen Sie die erforderlichen Felder aus.Choose Create and fill out the required fields.
    • Name: Geben Sie einen Namen ein, den Sie zum Zuweisen des Profils zu einer dynamischen Gerätegruppe verwenden.Name: Type a name that you'll use when assigning the profile to the dynamic device group.
    • Tokentyp: Wählen Sie den Typ des Tokens aus, das Sie zum Registrieren dedizierter Geräte verwenden möchten.Token type: Choose the type of token you want to use to enroll dedicated devices.
      • Unternehmenseigene, dedizierte Geräte (Standard): Mit diesem Token werden Geräte als dedizierte Android Enterprise-Standardgeräte registriert.Corporate-owned dedicated device (default): This token enrolls devices as a standard Android Enterprise dedicated device. Für diese Geräte sind keine Benutzeranmeldeinformationen erforderlich.These devices require no user credentials at any point. Hierbei handelt es sich um den Standardtokentyp, mit dem dedizierte Geräte registriert werden, es sei denn, sie werden bei der Erstellung des Tokens von einem Administrator geändert.This is the default token type that dedicated devices will enroll with unless updated by Admin at time of token creation.
      • Unternehmenseigene, dedizierte Geräte mit Azure AD-Modus für gemeinsame Nutzung (öffentliche Vorschau): Dieses Token registriert Geräte als dediziertes Android Enterprise-Standardgerät und stellt während der Registrierung die Authenticator-App von Microsoft mit Konfiguration für den Azure AD-Modus für gemeinsame Nutzung bereit.Corporate-owned dedicated device with Azure AD shared mode (public preview): This token enrolls devices as a standard Android Enterprise dedicated device and, during enrollment, deploys Microsoft's Authenticator app configured into Azure AD Shared device mode. Mit dieser Option können Benutzer die einmalige An- und Abmeldung für Apps auf dem Gerät einrichten, die mit der Azure AD-Authentifizierungsbibliothek von Microsoft und globalen Anmelde-/Abmeldeaufrufen integriert sind.With this option, users can achieve single sign-in and single sign-out across apps on the device that are integrated with the Azure AD Microsoft Authentication Library and global sign-in/sign-out calls.
    • Datum für Tokenablauf: Das Datum, an dem das Token abläuft.Token expiration date: The date when the token expires. Google erzwingt maximal 90 Tage.Google enforces a maximum of 90 days.
  3. Wählen Sie Erstellen aus, um das Profil zu speichern.Choose Create to save the profile.

Erstellen einer GerätegruppeCreate a device group

Sie können Apps und Richtlinien auf zugewiesene oder dynamische Gerätegruppen ausrichten.You can target apps and policies to either assigned or dynamic device groups. Sie können dynamische Azure AD-Gerätegruppen konfigurieren, um Geräte, die mit einem bestimmten Registrierungsprofil registriert werden, automatisch einzufügen, indem Sie die folgenden Schritte ausführen:You can configure dynamic Azure AD device groups to automatically populate devices that are enrolled with a particular enrollment profile by following these steps:

  1. Melden Sie sich im Microsoft Endpoint Manager Admin Center an, und navigieren Sie zu Gruppen > Alle Gruppen > Neue Gruppe.Sign in to the Microsoft Endpoint Manager admin center and choose Groups > All groups > New group.
  2. Füllen Sie auf dem Blatt Gruppe die erforderlichen Felder wie folgt aus:In the Group blade, fill out the required fields as follows:
    • Gruppentyp: SicherheitGroup type: Security
    • Gruppenname: Geben Sie einen aussagekräftigen Namen ein (z.B. Factory 1-Geräte)Group name: Type an intuitive name (like Factory 1 devices)
    • Mitgliedschaftstyp: Dynamisches GerätMembership type: Dynamic device
  3. Klicken Sie auf Dynamische Abfrage hinzufügen.Choose Add dynamic query.
  4. Füllen Sie die Felder auf dem Blatt Dynamische Mitgliedschaftsregeln wie folgt aus:In the Dynamic membership rules blade, fill out the fields as follows:
    • Regel für dynamische Mitgliedschaft hinzufügen: Einfache RegelAdd dynamic membership rule: Simple rule
    • Geräte hinzufügen, wobei: enrollmentProfileNameAdd devices where: enrollmentProfileName
    • Klicken Sie im mittleren Feld auf Ist gleich.In the middle box, choose Equals.
    • Geben Sie im letzten Feld den Namen des Registrierungsprofils ein, das Sie zuvor erstellt haben.In the last field, enter the enrollment profile name that you created earlier. Weitere Informationen zu Regeln für die dynamische Mitgliedschaft finden Sie unter Regeln für eine dynamische Mitgliedschaft für Gruppen in Azure Active Directory.For more information about dynamic membership rules, see Dynamic membership rules for groups in Azure AD.
  5. Klicken Sie auf Abfrage hinzufügen > Erstellen.Choose Add query > Create.

Ersetzen oder Entfernen von TokenReplace or remove tokens

  • Token ersetzen: Sie können ein neues Token bzw. einen neuen QR-Code generieren, wenn das Ablaufdatum sich nähert, indem Sie „Token ersetzen“ verwenden.Replace token: You can generate a new token/QR code when one nears expiration by using Replace Token.
  • Token widerrufen: Sie können das Token bzw. den QR-Code sofort ablaufen lassen.Revoke token: You can immediately expire the token/QR code. Von diesem Zeitpunkt an kann das Token bzw. der QR-Code nicht mehr verwendet werden.From this point on, the token/QR code is no longer usable. Sie können diese Option verwenden, wenn Sie:You might use this option if you:
    • das Token bzw. den QR-Code versehentlich mit nicht autorisierten Personen geteilt habenaccidentally share the token/QR code with an unauthorized party
    • alle Registrierungen abgeschlossen haben und das Token bzw. den QR-Code nicht mehr benötigencomplete all enrollments and no longer need the token/QR code

Das Ersetzen oder Widerrufen eines Tokens bzw. QR-Codes hat keine Auswirkungen auf Geräte, die bereits registriert sind.Replacing or revoking a token/QR code won't have any effect on devices that are already enrolled.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und navigieren Sie zu Geräte > Android > Android-Registrierung > Unternehmenseigene dedizierte Geräte.Sign in to the Microsoft Endpoint Manager admin center and choose Devices > Android > Android enrollment > Corporate-owned dedicated devices.
  2. Wählen Sie das Profil aus, mit dem Sie arbeiten möchten.Choose the profile that you want to work with.
  3. Klicken Sie auf Token.Choose Token.
  4. Klicken Sie auf Token ersetzen, um das Token zu ersetzen.To replace the token, choose Replace token.
  5. Klicken Sie auf Token widerrufen, um das Token zu widerrufen.To revoke the token, choose Revoke token.

Registrieren der dedizierten GeräteEnroll the dedicated devices

Sie können jetzt Ihre dedizierten Geräte registrieren.You can now enroll your dedicated devices.

Hinweis

Während der Registrierung eines dedizierten Geräts wird die Microsoft Intune-App automatisch installiert.The Microsoft Intune app will be automatically installed during enrollment of a dedicated device. Die App ist für die Registrierung erforderlich und kann nicht deinstalliert werden.This app is required for enrollment and cannot be uninstalled. Die Microsoft Authenticator-App wird während der Registrierung eines dedizierten Geräts automatisch installiert, wenn der Tokentyp Unternehmenseigenes, dediziertes Gerät mit Azure AD-Modus für gemeinsame Nutzung (öffentliche Vorschau) verwendet wird.The Microsoft Authenticator app will be automatically installed during enrollment of a dedicated device when using the token type Corporate-owned dedicated device with Azure AD shared mode (public preview). Die App ist für diese Registrierungsmethode erforderlich und kann nicht deinstalliert werden.This app is required for this enrollment method and cannot be uninstalled.

Verwalten von Apps auf dedizierten Android Enterprise-GerätenManaging apps on Android Enterprise dedicated devices

Nur Apps, deren Zuweisungstyp auf Erforderlich festgelegt ist, können auf dedizierten Android Enterprise-Geräten installiert werden.Only apps that have Assignment type set to Required can be installed on Android Enterprise dedicated devices. Apps werden über den verwalteten Google Play Store auf die gleiche Weise installiert wie auf Geräten mit persönlichem und unternehmenseigenem Android Enterprise-Arbeitsprofil.Apps are installed from the Managed Google Play store in the same manner as Android Enterprise personally-owned and corporate-owned work profile devices.

Apps werden auf verwalteten Geräten automatisch aktualisiert, wenn der App-Entwickler ein Update auf Google Play veröffentlicht.Apps are automatically updated on managed devices when the app developer publishes an update to Google Play.

Sie können eine der folgenden Aktionen durchführen, um eine App von dedizierten Android Enterprise-Geräten zu entfernen:To remove an app from Android Enterprise dedicated devices, you can do either of the following:

  • Löschen Sie die erforderliche App-Bereitstellung.Delete the Required app deployment.
  • Erstellen Sie eine Deinstallationsdatei für die App.Create an uninstall deployment for the app.

Nächste SchritteNext steps