End-to-End-Leitfaden zum Konfigurieren von Android -Unternehmensgeräten in Microsoft Intune

Dieses Handbuch hilft Administratoren zu verstehen, wie Sie Android -Unternehmensgeräte in einer Microsoft Intune-Umgebung konfigurieren und Probleme behandeln. Es werden die folgenden gängigen Szenarien behandelt:

  • Onboarding in Google
  • Anwendungsbereitstellung
  • Aktivieren der Registrierung von Arbeitsprofilen
  • Konfigurieren des bedingten Zugriffs
  • Die Endbenutzererfahrung bei der Registrierung von Arbeitsprofilen
  • Ausstellen einer Arbeitsprofil-Kennungszurücksetzung

Sie können entscheiden, welche Verwaltungsfunktion für Ihre Organisation am besten ist, und stellt häufig gestellte Fragen zu Android Enterprise zur Verfügung.

Bewerten Ihrer Anforderungen

Bevor Sie Android -Unternehmensgeräte in Intune aktivieren, müssen Sie bestimmen, ob Sie diese Geräte als persönliche Geräte (Bring Your Own Device oder BYOD) oder als Unternehmensgeräte registrieren möchten.

BYOD-Geräte

Die Geräte mit BYOD sind so eingerichtet, dass sie über ein Android Enterprise-Arbeitsprofil verfügen. Dieses Feature ist in Android 5.1 und höher integrierte Versionen. Mit diesem Feature können Arbeits-Apps und -Daten in einem separaten, eigenständigen, vom Unternehmen verwalteten Bereich auf dem Gerät gespeichert werden. Da persönliche Apps und Daten im persönlichen Profil des Benutzers auf dem Gerät verbleiben, können Mitarbeiter ihr Gerät weiterhin wie gewöhnlich verwenden.

Unternehmensgeräte

Es gibt zwei Optionen für Unternehmensgeräte, die jeweils einen eindeutigen Verwendungsfall bieten:

  • Dedizierte Geräte (früher bekannt als COSU oder Unternehmenseigene Einzelnutzung).

    Hinweis

    Das in diesem Handbuch verwendete Beispiel konzentriert sich auf BYOD-Szenarien. Weitere Informationen zu Szenarien mit dedizierten Geräten (Dedicated Devices, COSU) finden Sie unter "COSU-Konfiguration und -Registrierung mithilfe der QR-Coderegistrierungsmethode".

    Dedizierte Geräte sind in der Regel an eine einzelne App oder einen Satz von Apps (auch als Kioskmodus bekannt) gesperrt. Er ermöglicht es dem Administrator, Dinge wie die Statusleiste, Tastaturlayouts, den Sperrbildschirm und andere Einstellungen auf dem Gerät zu steuern. Sie verhindert, dass Benutzer andere Apps aktivieren oder bestimmte Einstellungen auf dedizierten Geräten ändern.

    Hinweis

    Geräte, die Sie auf diese Weise verwalten, werden in Intune ohne Benutzerkonto registriert und keinem Endbenutzer zugeordnet. Sie sind nicht für persönliche Anwendungen oder Apps vorgesehen, die eine starke Anforderung an benutzerspezifische Kontodaten wie Outlook oder Gmail haben.

  • Vollständig verwaltete Geräte (früher coBO oder nur unternehmenseigenes Unternehmen)

    Hinweis

    Weitere Informationen zu vollständig verwalteten Geräten finden Sie unter Einrichten der Registrierung von Intune für vollständig verwaltete Android Enterprise-Geräte.

    Vollständig verwaltete Geräte passen in ein benutzerorientiertes Szenario. Dem Gerät ist ein einzelner Benutzer zugeordnet, während der Administrator weiterhin die vollständige Kontrolle über das Gerät behält (im Gegensatz zu einem Arbeitsprofilszenario, in dem mehrere Benutzer die Kontrolle haben).

Beachten Sie bei der Registrierung Ihrer Geräte, dass nicht alle Features für beide Methoden verfügbar sind. In der folgenden Tabelle sind einige wichtige Unterschiede aufgeführt.

Featuregruppe Arbeitsprofil (BYOD) De dedicated (Kiosk) Vollständig verwaltet
Verwaltetes E-Mail-Profil ×
Managed Wi-Fi Profile
Verwaltetes VPN-Profil ×
SCEP-Zertifikatprofil
#A0 ×
Vertrauenswürdiges Zertifikatprofil
Benutzerdefiniertes Profil × x
Verhindern des Zurücksetzens auf die Werkseinstellungen ×
Block Camera & Screen Capture
Blockieren von Volumeschaltflächen ×
Kopieren und Einfügen blockieren/Datenfreigabe blockieren
Verwaltetes Kennwort
Verwaltete Anwendungen (erforderlich)
Verwaltete Anwendungen (verfügbar) ×
Containerisiertes Profil × x
Geräteverwaltung auf Kioskebene × x
Verwaltung persönlicher Geräte × x
NFC-Based A0 ×
Token-Based A0 ×
Qr-Code-Based-Registrierung ×
Zero Touch ×
Compliance/Bedingter Zugriff ×

Weitere Informationen finden Sie unter Implementieren Ihres Microsoft Intune-Plans.

Verbinden eines Intune-Kontos mit einem Android-Unternehmenskonto

Der erste Schritt zum Konfigurieren von Android Enterprise in Ihrer Umgebung besteht im Verbinden Ihres Intune-Mandantenkontos mit Ihrem Android-Unternehmenskonto:

  1. Erstellen Sie ein Google-Dienstkonto ( @gmail.com ).

    Hinweis

    Dieses Konto wird allen Enterprise-Management-Aufgaben von Android für Ihren Mandanten zugeordnet. Es ist das Google-Konto, das die IT-Administratoren Ihres Unternehmens freigeben, um Apps in der Google Play Konsole zu verwalten und zu veröffentlichen. Sie können ein vorhandenes Google-Konto verwenden oder ein neues erstellen. Das von Ihnen verwendete Konto darf nicht einer G-Suite-Domäne zugeordnet sein.

  2. Melden Sie sich mit Ihrem in Intune lizenzierten globalen Administratorkonto beim Microsoft Endpoint Manager Admin Center an.

  3. Go to Devices > Android > Enrollment > Managed Google Play, select I agree, and then select Launch Google to connect now to open the Managed Google Play website.

    Wählen Sie "Android-Registrierung" aus.

  4. Melden Sie sich bei Ihrem Google-Konto an, und wählen Sie dann "Erste Schritte" aus.

    Wählen Sie "Erste Schritte" aus.

  5. Geben Sie Ihren Firmennamen ein, und wählen Sie dann "Weiter" aus.

    Geben Sie Ihren Firmennamen ein.

  6. Akzeptieren Sie die Bedingungen, und wählen Sie "Bestätigen" aus.

  7. Wählen Sie "Registrierung abschließen" aus.

    Wählen Sie "Vollständige Registrierung" aus.

Weitere Informationen finden Sie unter Verbinden Ihres Intune-Kontos mit Ihrem verwalteten Google Play-Konto.

Bereitstellen von Anwendungen

Nachdem Ihr Intune-Konto mit Ihrem Android -Unternehmenskonto verbunden ist, können Sie einige Anwendungen bereitstellen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich mit Ihrem in Intune lizenzierten globalen Administratorkonto beim Microsoft Endpoint Manager Admin Center an.

  2. Wechseln Sie zu "Apps, > alle Apps > hinzufügen".

  3. Suchen Sie im Bereich "App-Typ auswählen" die verfügbaren Store-App-Typen, und wählen Sie dann "Verwaltete Google Play-App" aus.

  4. Select . Der verwaltete Google Play App Store wird angezeigt.

    Der verwaltete Google Play-App-Store.

  5. Suchen Sie nach einer App, um die Details der App anzuzeigen. Beispiel: Intune-Unternehmensportal-App.

  6. Wählen Sie auf der Seite, auf der die App angezeigt wird, "Genehmigen" aus. Ein Fenster für die App wird geöffnet und Sie werden aufgefordert, berechtigungen für die App zum Ausführen verschiedener Vorgänge zu erteilen.

    Wählen Sie "Genehmigen" aus.

  7. Wählen Sie erneut "Genehmigen" aus, um die Berechtigungen der App zu akzeptieren.

    Wählen Sie erneut "Genehmigen" aus.

  8. Wählen Sie auf der Registerkarte "Genehmigungseinstellungen" die Option "Genehmigt bleiben" aus, wenn die App neue Berechtigungen anfordert, und wählen Sie dann "Speichern" aus.

    Wählen Sie "Genehmigt verwalten" aus, wenn die App neue Berechtigungen anfordert.

  9. Klicken Sie auf "Auswählen", um die App auszuwählen.

  10. Wählen Sie oben "Synchronisieren" aus, um die App mit dem verwalteten Google Play-Dienst zu synchronisieren.

  11. Wählen Sie "Aktualisieren" aus, um die App-Liste zu aktualisieren und die neu hinzugefügte App anzeigen.

    Hinweis

    Die Synchronisierung der App zwischen Intune und dem verwalteten Google Play Store ist manuell. Daher müssen Sie jedes Mal, wenn Sie eine neue App genehmigen, die Schaltfläche "Synchronisieren" auswählen.

  12. Nachdem die App zu Microsoft Intune hinzugefügt wurde, können Sie die App Benutzern und Geräten zuweisen. Wechseln Sie im Microsoft Endpoint Manager Admin Centerzu "Apps > alle Apps". Suchen Sie unter "Verwalten", um die in der Liste angezeigte App zu sehen.

    Wechseln Sie zu "Apps", und wählen Sie dann "Alle Apps" aus.

  13. Um die App einer Gruppe zuzuordnen, wählen Sie die App aus, die Sie zuweisen möchten. Wählen Sie im Abschnitt "Verwalten" des Menüs "Eigenschaften" aus, und wählen Sie dann "Bearbeiten" neben "Zuweisungen" aus, um den Gruppenbereich "Hinzufügen" zu öffnen.

    Wählen Sie "Eigenschaften" und dann "Zuweisungen" aus.

  14. Wählen Sie auf der Registerkarte "Zuweisungen" unter "Erforderlich" die Option "Gruppe hinzufügen" aus, wählen Sie die hinzuzufügende Gruppe aus, und wählen Sie dann "Auswählen" aus.

    Wählen Sie "Gruppe hinzufügen" aus.

  15. Wählen Sie im Bereich "Zuweisen" die Option "Überprüfen + speichern" aus, um die Auswahl der enthaltenen Gruppen zu vervollständigen.

  16. Wählen Sie im Aufgabenbereich "Speichern" aus, um Ihre Änderungen zu speichern.

  17. Kehren Sie zur Ansicht "App-Eigenschaften" zurück, und überprüfen Sie die App unter "Aufgaben".

    Bestätigen Sie die App-Zuweisung.

Weitere Informationen zur Bereitstellung von Apps finden Sie unter Hinzufügen von Android Enterprise -System-Apps zu Microsoft Intune.

Aktivieren der Registrierung von Android Enterprise-Arbeitsprofilen

  1. Wechseln Sie im Intune-Portal zu "Registrierungseinschränkungen für Geräteregistrierung", und wählen Sie dann > "Standard" unter "Gerätetypeinschränkungen" aus.

    Der Bildschirm "Gerätetypeinschränkungen".

  2. Select Properties > Select platforms, select Block for Android, select Allow for Android work profile, select OK, and then select Save to save your changes.

    Der Bildschirm mit den Registrierungseigenschaften.

    Hinweis

    Standardeinschränkungen haben die niedrigste Priorität und gelten für alle Benutzer, dies kann nicht bearbeitet werden. Beachten Sie beim Erstellen zusätzlicher benutzerdefinierter Einschränkungen die Gruppen, denen sie zugewiesen sind, damit kein Konflikt mit dieser Konfiguration erstellt wird.

Weitere Informationen finden Sie unter Einrichten der Registrierung von Android Enterprise-Arbeitsprofilgeräten.

Konfigurieren des bedingten Zugriffs

  1. Stellen Sie die Gmail-App oder die Neun-Arbeit-App als erforderlich.

  2. Erstellen Sie ein E-Mail-Profil für die App, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie im Intune -Azure-Portal "Gerätekonfigurationsprofile erstellen" aus, und geben Sie dann den Namen und die Beschreibung > > für das E-Mail-Profil ein.

    2. Wählen Sie in der Dropdownliste "Plattform" die Option "Android Enterprise" aus.

    3. Wählen Sie im Profiltyp > "Nur Arbeitsprofil" die Option "E-Mail" aus.

    4. Konfigurieren Sie die E-Mail-Profileinstellungen.

      Geben Sie die Eigenschaften ein.

      Weitere Informationen zu diesen Einstellungen finden Sie unter Android-Geräteeinstellungen zum Konfigurieren von E-Mail, Authentifizierung und Synchronisierung in Intune.

  3. Nachdem Sie das E-Mail-Profil erstellt haben, weisen Sie es Gruppen zu.

    Aufgabenbildschirm.

  4. Konfigurieren Sie gerätebasierten bedingten Zugriff.

Weitere Informationen finden Sie unter Einrichten des bedingten Zugriffs für Android-Arbeitsprofilgeräte.

Registrieren Ihres Android -Unternehmensgeräts

  1. Melden Sie sich mit Ihrem Arbeitskonto an, und tippen Sie dann auf "Jetzt registrieren".

    Bildschirm "Jetzt registrieren".

  2. Tippen Sie auf dem Bildschirm "Access-Setup" auf "Weiter".

    Bildschirm "Setup zugreifen".

  3. Tippen Sie auf dem Bildschirm mit den Datenschutzbestimmungen auf "Weiter".

    Datenschutzbildschirm.

  4. Tippen Sie auf dem Bildschirm "Nächste" auf "Weiter".

    Nächster Bildschirm.

  5. Tippen Sie auf dem Bildschirm "Arbeitsprofil einrichten" auf "Annehmen".

    Richten Sie einen Arbeitsprofilbildschirm ein.

  6. Tippen Sie auf dem Bildschirm "Arbeitsprofil aktivieren" auf "Weiter".

    Bildschirm "Arbeitsprofil aktivieren".

    Hinweis

    Oben sehen Sie ein Signalsymbol, d. h., Sie sind jetzt innerhalb des Arbeitsprofils.

  7. Tippen Sie auf dem Bildschirm "Sie sind alle eingestellt" auf "Fertig".

    Sie sind alle auf dem Bildschirm festgelegt.

  8. Sie können sich jetzt bei Gmail anmelden. Wenn Sie aufgefordert werden, die Sicherheitseinstellungen zu aktualisieren, tippen Sie auf "JETZT AKTUALISIEREN".

    Bildschirm für Sicherheitsupdates.

  9. Tippen Sie auf "Aktivieren", um Gmail als Geräteadministrator zu aktivieren.

    Bildschirm "Geräteadministrator".

Weitere Informationen finden Sie unter Registrieren von Android-Geräten.

Zurücksetzen von Passcodes für Android-Arbeitsprofile

  1. Erstellen Sie ein Geräteprofil, für das eine Arbeitsprofilkennung erforderlich ist, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie im Intune -Azure-Portal "Gerätekonfigurationsprofile > > erstellen" aus, geben Sie den Namen und die Beschreibung für das Profil ein.

    2. Wählen Sie in der Dropdownliste "Plattform" die Option "Android Enterprise" aus.

    3. Wählen Sie im > Arbeitsprofiltyp "Nur Profil" die Option "Geräteeinschränkungen" aus.

    4. Wählen Sie in den Arbeitsprofileinstellungen unter "Arbeitsprofilkennwort erforderlich" die Option "Erforderlich" aus.

      Arbeitsprofileigenschaften.

  2. Auf dem Android -Unternehmensgerät werden Sie aufgefordert, eine Kennung für das Arbeitsprofil festlegen, wenn Sie keinen festgelegt haben.

  3. Warten Sie, bis Eine zweite Eingabeaufforderung mit der Aufforderung "Arbeitsprofil sichern" angezeigt wird. Autorisieren Sie den Unternehmenssupport, Ihr Arbeitsprofilkennwort remote zurückzusetzen. Geben Sie Ihre Kennung ein, um das Zurücksetzen zu autorisieren. Es aktiviert das Kennworttoken zurücksetzen, das Intune benötigt, um diese Aktion erfolgreich durchzuführen.

    Sichern Sie ihren Arbeitsprofilbildschirm.

    Hinweis

    Wenn Sie einen dieser Schritte überspringen, wird die folgende Fehlermeldung angezeigt:
    Fehler beim Initiieren des Kennungscodes für das Zurücksetzen

  4. Wählen Sie "Kennung zurücksetzen" aus.

    Setzen Sie den Kennungsbildschirm zurück.

  5. Nach Abschluss des Zurücksetzens wird die temporäre Kennung angezeigt.

    Bildschirm mit abgeschlossener Kennung zurücksetzen.

  6. Geben Sie diesen temporären Kennung auf Ihrem Gerät ein.

  7. Wenn Sie Ihre neue PIN festlegen müssen, müssen Sie diese temporäre Kennung erneut eingeben und dann Ihre neue PIN eingeben.

Weitere Informationen zum Zurücksetzen von Kennungen finden Sie unter Zurücksetzen von Android-Arbeitsprofil-Passcodes.

Häufig gestellte Fragen

  • Frage: Warum werden Apps, die ich nicht aus dem Google Play for Work Store genehmigt habe, nicht von der Seite "Mobile Apps" im Intune Admin Portal entfernt?

    Antwort: Dieses Verhalten wird erwartet.

  • Frage: Warum melden verwaltete Google Play-Apps nicht unter "Ermittelte Apps" im Intune-Portal?

    Antwort: Dieses Verhalten wird erwartet.

  • Frage: Warum werden verwaltete Google Play-Apps, die nicht über Intune bereitgestellt werden, im Arbeitsprofil angezeigt?

    Antwort: System-Apps können vom Geräte-OEM beim Erstellen des Arbeitsprofils im Arbeitsprofil aktiviert werden. Sie wird nicht vom MdM-Anbieter gesteuert.

    Führen Sie zur Problembehandlung die folgenden Schritte aus:

    1. Erfassen von Unternehmensportalprotokollen.
    2. Beachten Sie alle Apps, die unerwartet im Arbeitsprofil angezeigt werden.
    3. Entfernen Sie die Registrierung des Geräts von Intune, und deinstallieren Sie das Unternehmensportal.
    4. Installieren Sie die Test-DPC-App, die das Erstellen eines Arbeitsprofils ohne EMM zu Testzwecken ermöglicht.
    5. Befolgen Sie die Anweisungen in Test DPC, um ein Arbeitsprofil auf dem Gerät zu erstellen.
    6. Überprüfen Sie Apps, die im Arbeitsprofil angezeigt werden.
    7. Wenn dieselben Anwendungen in der Test-DPC-App angezeigt werden, werden die Apps vom OEM für dieses Gerät erwartet.
  • Frage: Warum ist die Option "Zurücksetzen auf Werkseinstellungen" für mein registriertes Arbeitsprofilgerät nicht verfügbar?

    Antwort: Dieses Verhalten wird erwartet. Im Arbeitsprofilszenario hat der MdM-Anbieter keine vollständige Kontrolle über das Gerät. Die einzige verfügbare Option ist "Zurückziehen" (Unternehmensdaten entfernen), wodurch das gesamte Arbeitsprofil und alle Inhalte entfernt werden.

  • Frage: Warum kann ich den Dateipfad "Interner Speicher"/"Android/Data.com.microsoft.windowsintune.companyportal/files" auf meinem registrierten Arbeitsprofilgerät nicht finden, um die Unternehmensportalprotokolle manuell zu erfassen?

    Antwort: Dieses Verhalten wird erwartet. Dieser Pfad wird nur für das Device Admin (Legacy Android Enrollment)-Szenario erstellt.

    Führen Sie die folgenden Schritte aus, um Protokolle zu erfassen:

    1. Tippen Sie in der Unternehmensportal-App mit dem Signal auf Menühilfe-E-Mail-Support, und tippen Sie dann auf "E-Mail > > senden& Hochladen von Protokollen.
    2. Wenn Sie aufgefordert werden, eine Hilfeanfrage zu senden, wählen Sie eine der E-Mail-Apps aus.
    3. An Ihren IT-Administrator wird eine E-Mail mit einer Vorfall-ID generiert, die dem Produktsupport von Microsoft zur Verfügung gestellt werden kann.
  • Frage: Ich habe die Zeit der letzten Synchronisierung für die verwaltete Google Play überprüft und wurde in Tagen nicht aktualisiert. Warum?

    Antwort: Dieses Verhalten wird erwartet. Die Synchronisierung wird nur ausgelöst, wenn Sie dies manuell tun.

  • Frage: Werden Webanwendungen für Geräte unterstützt, die für Arbeitsprofile registriert sind?

    Antwort: Ja. Web-Apps (oder Weblinks) werden für alle Android -Enterprise-Szenarien unterstützt.

  • Frage: Wird das Zurücksetzen der Kennung des Geräts unterstützt?

    Antwort: Bei geräten, für die ein Arbeitsprofil registriert ist, können Sie die Kennung des Arbeitsprofils nur auf Geräten zurücksetzen, auf den Android 8.0+ ausgeführt wird, wenn die Kennung des Arbeitsprofils verwaltet wird und der Benutzer ihnen das Zurücksetzen gestattet hat. Bei dedizierten und vollständig verwalteten Geräten wird das Zurücksetzen der Gerätekennung unterstützt.

  • Frage: Mein Gerät muss bei der Registrierung verschlüsselt werden. Gibt es eine Option zum Deaktivieren der Verschlüsselung?

    Antwort: Nein. Verschlüsselung ist von Google für das Arbeitsprofil erforderlich.

  • Frage: Warum blockieren Geräte von Samsung die Verwendung von Tastaturen von Drittanbietern wie SwiftKey?

    Antwort: Samsung hat damit begonnen, dies auf Android 8.0+-Geräten zu erzwingen. Microsoft arbeitet derzeit mit Samsung an diesem Problem und wird neue Informationen veröffentlichen, sobald diese verfügbar sind.