Guía de un extremo a otro para configurar dispositivos Android Enterprise en Microsoft Intune

Esta guía ayuda a los administradores a comprender cómo configurar y solucionar problemas de dispositivos Android Enterprise en un entorno de Microsoft Intune. Abarca los siguientes escenarios comunes:

  • Incorporación a Google
  • Implementación de aplicaciones
  • Habilitación de la inscripción de perfil de trabajo
  • Configuración del acceso condicional
  • La experiencia del usuario final de inscripción de perfil de trabajo
  • Emisión de un restablecimiento del código de acceso del perfil de trabajo

Le ayuda a decidir qué funcionalidad de administración es la mejor para su organización y proporciona preguntas más frecuentes sobre Android Enterprise.

Evaluar sus necesidades

Antes de habilitar dispositivos Android Enterprise en Intune, debe determinar si desea inscribir esos dispositivos como dispositivos personales (Bring Your Own Device o BYOD) o como dispositivos corporativos.

Dispositivos BYOD

Los dispositivos BYOD están configurados para tener un perfil de trabajo de Android Enterprise. Esta característica está integrada en Android 5.1 y versiones posteriores. Esta característica permite almacenar aplicaciones y datos de trabajo en un espacio independiente y autocontenido administrado por la empresa en el dispositivo. Dado que las aplicaciones y los datos personales permanecen en el dispositivo dentro del perfil personal del usuario, los empleados pueden seguir usando su dispositivo como lo harían normalmente.

Dispositivos corporativos

Hay dos opciones para los dispositivos corporativos y cada uno de ellos ofrece un caso de uso único:

  • Dispositivos dedicados (anteriormente conocidos como COSU o uso único de propiedad corporativa).

    Nota

    El ejemplo usado en esta guía se centra en escenarios BYOD. Para obtener más información sobre los escenarios de dispositivos dedicados (COSU), consulte Configuración e inscripción de COSU mediante el método de inscripción de código QR.

    Los dispositivos dedicados suelen estar bloqueados en una sola aplicación o conjunto de aplicaciones (también conocido como modo de pantalla completa). Permite al administrador controlar cosas como la barra de estado, los diseños de teclado, la pantalla de bloqueo y otras configuraciones del dispositivo. Impide que los usuarios habiliten otras aplicaciones o cambien cierta configuración en dispositivos dedicados.

    Nota

    Los dispositivos que administra de esta manera se inscriben en Intune sin una cuenta de usuario y no están asociados a ningún usuario final. No están pensadas para aplicaciones de uso personal o aplicaciones que tengan un requisito seguro para los datos de cuenta específicos del usuario, como Outlook o Gmail.

  • Dispositivos totalmente administrados (anteriormente conocidos como COBO o Solo empresa de propiedad corporativa).

    Nota

    Para obtener más información sobre los dispositivos totalmente administrados, consulte Configuración Intune inscripción de dispositivos Android Enterprise totalmente administrados.

    Los dispositivos totalmente administrados encajan en un escenario más centrado en el usuario. Un único usuario está asociado al dispositivo mientras el administrador conserva el control total sobre el dispositivo (en lugar de un escenario de perfil de trabajo, en el que varios usuarios tienen control).

Cuando decida cómo inscribir los dispositivos, tenga en cuenta que no todas las características están disponibles para ambos métodos. En la tabla siguiente se muestran algunas diferencias clave.

Conjunto de características Perfil de trabajo (BYOD) Dedicado (quiosco) Totalmente administrado
Perfil de correo electrónico administrado ×
Perfil de Wi-Fi administrado
Perfil de VPN administrada ×
Perfil de certificado SCEP
Perfil de certificado PKCS ×
Perfil de certificado de confianza
Perfil personalizado × x
Impedir el restablecimiento de fábrica ×
Bloquear captura de pantalla & cámara
Bloquear botones de volumen ×
Bloquear copiar y pegar/compartir datos
Contraseña administrada
Aplicaciones administradas (obligatorio)
Aplicaciones administradas (disponibles) ×
Perfil contenedorizado × x
Nivel de pantalla completa Administración de dispositivos × x
Administración de dispositivos personales × x
inscripción de NFC-Based ×
inscripción de Token-Based ×
Inscripción de QR Code-Based ×
Zero Touch ×
Cumplimiento o acceso condicional ×

Para obtener más información, consulte Implementación del plan de Microsoft Intune.

Conexión de una cuenta de Intune a una cuenta de Android Enterprise

El primer paso para configurar Android Enterprise en su entorno es conectar la cuenta de inquilino de Intune a la cuenta de Android Enterprise:

  1. Cree una cuenta de servicio de Google (@gmail.com).

    Nota

    Esta cuenta se asociará a todas las tareas de administración de Android Enterprise para el inquilino. Es la cuenta de Google que los administradores de TI de su empresa compartirán para administrar y publicar aplicaciones en la consola de Google Play. Puede usar una cuenta de Google existente o crear una nueva. La cuenta que use no debe estar asociada a un dominio de G-Suite.

  2. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager con su cuenta de administrador global con licencia de Intune.

  3. Vaya a Dispositivos > Android > Android Enrollment > Managed Google Play, seleccione Acepto y, a continuación, seleccione Iniciar Google para conectarse ahora para abrir el sitio web de Google Play administrado.

    Captura de pantalla de la página Google Play administrada, donde puede iniciar Google para conectarse.

  4. Inicie sesión en su cuenta de Google y, a continuación, seleccione Introducción.

    Seleccione la página Introducción.

  5. Escriba el nombre de su empresa y, a continuación, seleccione Siguiente.

    Escriba la página de nombre de su empresa.

  6. Acepte los términos y, a continuación, seleccione Confirmar.

  7. Seleccione Completar registro.

    Seleccione La página Completar registro.

Para obtener más información, consulte Conexión de la cuenta de Intune a la cuenta de Google Play administrada.

Implementar aplicaciones

Una vez que la cuenta de Intune esté conectada a la cuenta de Android Enterprise, puede implementar algunas aplicaciones siguiendo estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager con su cuenta de administrador global con licencia de Intune.

  2. Vaya a Aplicaciones > Todas las aplicaciones > Agregar.

  3. En el panel Seleccionar tipo de aplicación , busque los tipos de aplicación de la Tienda disponibles y, a continuación, seleccione Aplicación de Google Play administrada.

  4. Seleccione Seleccionar. Se muestra la tienda de aplicaciones de Google Play administrada .

    La tienda de aplicaciones de Google Play administrada.

  5. Busque una aplicación para ver los detalles de la aplicación. Ejemplo: Portal de empresa de Intune aplicación.

  6. En la página que muestra la aplicación, seleccione Aprobar. Se abre una ventana de la aplicación y le pide que conceda permisos para que la aplicación realice varias operaciones.

    Seleccione Aprobar en el Portal de empresa de Intune de ejemplo.

  7. Seleccione Aprobar de nuevo para aceptar los permisos de la aplicación.

    Seleccione Aprobar de nuevo para aceptar los permisos de la aplicación.

  8. En la pestaña Configuración de aprobación , seleccione Mantener aprobado cuando la aplicación solicite nuevos permisos y, a continuación, seleccione Guardar.

    Seleccione Mantener aprobado cuando la aplicación solicite nuevos permisos en la pestaña Configuración de aprobación.

  9. Haga clic en Seleccionar para seleccionar la aplicación.

  10. Seleccione Sincronizar en la parte superior para sincronizar la aplicación con el servicio Google Play administrado.

  11. Seleccione Actualizar para actualizar la lista de aplicaciones y mostrar la aplicación recién agregada.

    Nota

    La sincronización de la aplicación entre Intune y la tienda de Google Play administrada es manual. Por lo tanto, debe seleccionar el botón Sincronizar cada vez que apruebe una nueva aplicación.

  12. Una vez agregada la aplicación a Microsoft Intune, puede asignarla a usuarios y dispositivos. En el Centro de administración de Microsoft Endpoint Manager, vaya a Aplicaciones > todas las aplicaciones. Busque en Administrar para ver la aplicación que se muestra en la lista.

    Página Todas las aplicaciones del Centro de administración de Microsoft Endpoint Manager.

  13. Para asignar la aplicación a un grupo, seleccione la aplicación que desea asignar. En la sección Administrar del menú, seleccione Propiedades y, a continuación, seleccione Editar junto a Asignaciones para abrir el panel Agregar grupo .

    Seleccione Propiedades y, a continuación, Asignaciones.

  14. En la pestaña Asignaciones , en Requerido, seleccione Agregar grupo, seleccione los grupos que desea incluir y, a continuación, seleccione Seleccionar.

    Seleccione Agregar grupo en Requerido.

  15. En el panel Asignar , seleccione Revisar y guardar para completar la selección de grupos incluidos.

  16. En el panel Asignaciones , seleccione Guardar para guardar los cambios.

  17. Vuelva a la vista Propiedades de la aplicación y compruebe la aplicación en Asignaciones.

    Confirme la asignación de la aplicación.

Para obtener más información sobre la implementación de aplicaciones, vea Agregar aplicaciones de sistema de Android Enterprise a Microsoft Intune.

Habilitación de la inscripción de perfiles de trabajo de Android Enterprise

  1. En el portal de Intune, vaya a Restricciones de inscripción > de dispositivos y, a continuación, seleccione Predeterminado en Restricciones de tipo de dispositivo.

    Pantalla Restricciones de tipo de dispositivo.

  2. Seleccione Propiedades > Seleccione plataformas, seleccione Bloquear para Android, seleccione Permitir para el perfil de trabajo de Android, seleccione Aceptar y, a continuación, seleccione Guardar para guardar los cambios.

    Pantalla de propiedades de inscripción.

    Nota

    Las restricciones predeterminadas tienen la prioridad más baja y se aplican a todos los usuarios; esto no se puede editar. Al crear restricciones personalizadas adicionales, tenga en cuenta los grupos a los que se asignan para que no cree un conflicto con esta configuración.

Para obtener más información, consulte Configuración de la inscripción de dispositivos de perfil de trabajo de Android Enterprise.

Configurar el acceso condicional

  1. Implemente la aplicación gmail o la aplicación Nueve trabajos según sea necesario.

  2. Cree un perfil de correo electrónico en la aplicación siguiendo estos pasos:

    1. En el Intune Azure Portal, seleccione Perfiles > de configuración > de dispositivo Crear perfil y, a continuación, escriba Nombre y Descripción para el perfil de correo electrónico.

    2. Seleccione Android Enterprise en la lista desplegable Plataforma .

    3. En Profile Type****Work Profile Only (Solo perfil de trabajo de tipo > de perfil), seleccione Correo electrónico.

    4. Configure las opciones del perfil de correo electrónico.

      Configure los valores de perfil de correo electrónico.

      Para obtener más información sobre esta configuración, consulte Configuración de dispositivos Android para configurar el correo electrónico, la autenticación y la sincronización en Intune.

  3. Después de crear el perfil de correo electrónico, asígnelo a grupos.

    Pantalla Asignaciones.

  4. Configure el acceso condicional basado en dispositivos.

Para obtener más información, consulte Configuración del acceso condicional para dispositivos de perfil de trabajo Android.

Inscripción del dispositivo Android Enterprise

  1. Inicie sesión con su cuenta profesional y, a continuación, pulse Inscribir ahora.

    Pantalla Inscribir ahora.

  2. En la pantalla Configuración de acceso , pulse Continuar.

    Pantalla de configuración de acceso.

  3. En la pantalla de declaración de privacidad, pulse Continuar.

    Pantalla declaración de privacidad.

  4. En la pantalla What's next (Qué es lo siguiente ), pulse Siguiente.

    ¿Qué es la siguiente pantalla?

  5. En la pantalla Configurar un perfil de trabajo , pulse Aceptar.

    Configurar una pantalla de perfil de trabajo.

  6. En la pantalla Activar perfil de trabajo , pulse Continuar.

    Pantalla Activar perfil de trabajo.

    Nota

    Puede ver un icono de distintivo en la parte superior, lo que significa que ahora está dentro del perfil de trabajo.

  7. En la pantalla Todo listo , pulse Listo.

    Todos están listos para la pantalla.

  8. Ahora puede iniciar sesión en Gmail. Cuando se le pida que actualice la configuración de seguridad, pulse ACTUALIZAR AHORA.

    Pantalla de actualización de seguridad.

  9. Pulse Activar para activar Gmail como administrador de dispositivos.

    Pantalla administrador de dispositivos.

Para obtener más información, consulte Inscripción de dispositivos Android.

Restablecer códigos de acceso de perfil de trabajo de Android

  1. Cree un perfil de dispositivo que requiera un código de acceso de perfil de trabajo siguiendo estos pasos:

    1. En el Intune Azure Portal, seleccione Perfiles > de configuración > de dispositivo Crear perfil, escriba Nombre y Descripción para el perfil.

    2. Seleccione Android Enterprise en la lista desplegable Plataforma .

    3. En Profile Type****Work Profile Only (Solo perfil de trabajo de tipo > de perfil), seleccione Device Restrictions (Restricciones de dispositivo).

    4. En Configuración del perfil de trabajo, seleccione Requerir en Requerir contraseña de perfil de trabajo.

      Página de propiedades del perfil de trabajo.

  2. En el dispositivo Android Enterprise, se le pedirá que establezca un código de acceso de perfil de trabajo si no ha establecido uno.

  3. Espere hasta que reciba un segundo mensaje que indique Proteger su perfil de trabajo: autorice al soporte técnico de su empresa para restablecer de forma remota la contraseña del perfil de trabajo. Escriba el código de acceso para autorizar el restablecimiento. Activa el token de restablecimiento de contraseña que Intune necesita para realizar esta acción correctamente.

    Proteja la pantalla del perfil de trabajo.

    Nota

    Si omite cualquiera de estos pasos, recibirá el siguiente mensaje de error:
    Error al iniciar el restablecimiento del código de acceso

  4. Seleccione Restablecer código de acceso.

    Pantalla Restablecer código de acceso.

  5. Una vez completado el restablecimiento, se muestra el código de acceso temporal.

    Pantalla Restablecimiento del código de acceso completado.

  6. Escriba este código de acceso temporal en el dispositivo.

  7. Cuando sea necesario establecer el nuevo PIN, debe volver a escribir este código de acceso temporal y, a continuación, escribir el nuevo PIN.

Para obtener más información sobre el restablecimiento de código de acceso, vea Restablecer códigos de acceso de perfil de trabajo de Android.

Preguntas frecuentes

  • Pregunta: ¿Por qué las aplicaciones que no aprobé de Google Play for Work Store no se quitan de la página Mobile Apps del portal de Intune Administración?

    Respuesta: Se espera este comportamiento.

  • Pregunta: ¿Por qué las aplicaciones administradas de Google Play no notifican en Aplicaciones detectadas en el portal de Intune?

    Respuesta: Se espera este comportamiento.

  • Pregunta: ¿Por qué las aplicaciones administradas de Google Play que no se implementan a través de Intune se muestran en el perfil de trabajo?

    Respuesta: El OEM del dispositivo puede habilitar las aplicaciones del sistema en el perfil de trabajo en el momento en que se crea el perfil de trabajo. El proveedor de MDM no lo controla.

    Para solucionar problemas, siga estos pasos:

    1. Recopile registros de Portal de empresa.
    2. Tenga en cuenta las aplicaciones que aparecen inesperadamente en el perfil de trabajo.
    3. Desinstale el dispositivo de Intune y desinstale el Portal de empresa.
    4. Instale la aplicación Test DPC que permite la creación de un perfil de trabajo sin un EMM para realizar pruebas.
    5. Siga las instrucciones de Prueba de DPC para crear un perfil de trabajo en el dispositivo.
    6. Revise las aplicaciones que aparecen en el perfil de trabajo.
    7. Si las mismas aplicaciones se muestran en la aplicación Test DPC, el OEM espera las aplicaciones para ese dispositivo.
  • Pregunta: ¿Por qué la opción Borrar (Restablecimiento de fábrica) no está disponible para el dispositivo inscrito en mi perfil de trabajo?

    Respuesta: Se espera este comportamiento. En el escenario de perfil de trabajo, el proveedor de MDM no tiene control total sobre el dispositivo. La única opción disponible es Retirar (Quitar datos de empresa) que quita todo el perfil de trabajo y todo su contenido.

  • Pregunta: ¿Por qué no puedo encontrar la ruta de acceso de archivo Almacenamiento interno/Android/Data.com.microsoft.windowsintune.companyportal/files en el dispositivo inscrito en mi perfil de trabajo para recopilar manualmente registros de Portal de empresa?

    Respuesta: Se espera este comportamiento. Esta ruta de acceso solo se crea para el escenario device Administración (inscripción heredada de Android).

    Para recopilar registros, siga estos pasos:

    1. En la aplicación Portal de empresa con el distintivo, pulse Ayuda > en el menú > Soporte técnico por correo electrónico y, a continuación, pulse Enviar correo electrónico & Cargar registros.
    2. Cuando se le solicite Enviar solicitud de ayuda con, seleccione una de las aplicaciones de correo electrónico.
    3. Se genera un correo electrónico al administrador de TI con un identificador de incidente que se puede proporcionar al soporte técnico del producto de Microsoft.
  • Pregunta: He comprobado la hora de última sincronización de Google Play administrado y no se ha actualizado en días. ¿Por qué?

    Respuesta: Se espera este comportamiento. La sincronización solo se desencadena cuando se hace manualmente.

  • Pregunta: ¿Se admiten aplicaciones web para dispositivos inscritos en perfiles de trabajo?

    Respuesta: Sí. Las aplicaciones web (o vínculos web) son compatibles con todos los escenarios de Android Enterprise.

  • Pregunta: ¿Se admite el restablecimiento del código de acceso del dispositivo?

    Respuesta: En el caso de los dispositivos inscritos en perfiles de trabajo, puede restablecer el código de acceso del perfil de trabajo solo en los dispositivos que ejecutan Android 8.0+ si el código de acceso del perfil de trabajo está administrado y el usuario le ha permitido restablecerlo. Para dispositivos dedicados y totalmente administrados, se admite el restablecimiento del código de acceso del dispositivo.

  • Pregunta: Mi dispositivo debe cifrarse tras la inscripción. ¿Hay alguna opción para desactivar el cifrado?

    Respuesta: No. Google requiere cifrado para el perfil de trabajo.

  • Pregunta: ¿Por qué los dispositivos Samsung bloquean el uso de teclados de terceros como SwiftKey?

    Respuesta: Samsung comenzó a aplicar esto en dispositivos Android 8.0 y versiones posteriores. Microsoft está trabajando actualmente con Samsung en este problema y publicará nueva información cuando esté disponible.