Guía de extremo a extremo para configurar dispositivos empresariales Android en Microsoft Intune

Esta guía ayuda a los administradores a comprender cómo configurar y solucionar problemas de dispositivos empresariales Android en un entorno Microsoft Intune usuario. Cubre los siguientes escenarios comunes:

  • Incorporación a Google
  • Implementación de aplicaciones
  • Habilitar la inscripción de perfiles de trabajo
  • Configuración del acceso condicional
  • La experiencia de usuario final de inscripción de perfiles de trabajo
  • Emisión de un restablecimiento de código de acceso de perfil de trabajo

Le ayuda a decidir qué capacidad de administración es la mejor para su organización y proporciona una preguntas más frecuentes sobre la empresa androide.

Evaluar sus necesidades

Antes de habilitar dispositivos empresariales Android en Intune, debe determinar si desea inscribir esos dispositivos como dispositivos personales (Bring Your Own Device, o BYOD) o como dispositivos corporativos.

Dispositivos BYOD

Los dispositivos BYOD están configurados para tener un perfil de trabajo Enterprise Android. Esta característica está integrada en Android 5.1 y versiones posteriores. Esta característica permite que las aplicaciones de trabajo y los datos se almacenen en un espacio independiente y autocontenido administrado por la empresa en el dispositivo. Dado que las aplicaciones y los datos personales permanecen en el dispositivo dentro del perfil personal del usuario, los empleados pueden seguir usando su dispositivo como lo harían normalmente.

Dispositivos corporativos

Hay dos opciones para dispositivos corporativos y cada uno de ellos sirve un caso de uso único:

  • Dispositivos dedicados (anteriormente conocidos como COSU o Corporate Owned Single Use).

    Nota

    El ejemplo usado en esta guía se centra en escenarios BYOD. Para obtener más información acerca de los escenarios de dispositivos dedicados (COSU), vea Configuración e inscripción de COSU medianteel método de inscripción de código QR .

    Los dispositivos dedicados normalmente se bloquean en una sola aplicación o conjunto de aplicaciones (también conocido como modo de pantalla completa). Permite al administrador controlar aspectos como la barra de estado, los diseños de teclado, la pantalla de bloqueo y otras configuraciones del dispositivo. Impide que los usuarios habiliten otras aplicaciones o cambien determinadas configuraciones en dispositivos dedicados.

    Nota

    Los dispositivos que administras de esta manera se inscriben en Intune sin una cuenta de usuario y no están asociados con ningún usuario final. No están diseñadas para aplicaciones de uso personal o aplicaciones que tienen un requisito fuerte para datos de cuentas específicos del usuario, como Outlook o Gmail.

  • Dispositivos totalmente administrados (anteriormente conocidos como COBO o Corporate Owned Business Only).

    Nota

    Para obtener más información acerca de los dispositivos totalmente administrados, consulte Configurar la inscripción de Intune de dispositivos Enterprise totalmente administrados.

    Los dispositivos totalmente administrados encajan en un escenario más centrado en el usuario. Un solo usuario está asociado al dispositivo mientras que el administrador aún conserva el control total sobre el dispositivo (en lugar de un escenario de perfil de trabajo, en el que varios usuarios tienen control).

Cuando decidas cómo inscribir los dispositivos, ten en cuenta que no todas las características están disponibles para ambos métodos. En la tabla siguiente se muestran algunas diferencias clave.

Conjunto de características Perfil de trabajo (BYOD) Dedicado (quiosco) Totalmente administrado
Perfil de correo electrónico administrado ×
Perfil Wi-Fi administrado
Perfil vpn administrado ×
Perfil de certificado SCEP
Perfil de certificado PKCS ×
Perfil de certificado de confianza
Perfil personalizado × x
Impedir el restablecimiento de fábrica ×
Captura de pantalla & cámara de bloqueo
Botones de volumen de bloque ×
Bloquear copiar y pegar/compartir datos
Contraseña administrada
Aplicaciones administradas (obligatorio)
Aplicaciones administradas (disponible) ×
Perfil en contenedores × x
Administración de dispositivos de nivel de quiosco × x
Administración de dispositivos personales × x
NFC-Based inscripción ×
Token-Based inscripción ×
Inscripción Code-Based QR ×
Zero Touch ×
Cumplimiento/Acceso condicional ×

Para obtener más información, vea Implement your Microsoft Intune plan.

Conectar una cuenta de Intune a una cuenta empresarial de Android

El primer paso para configurar la empresa de Android en su entorno es conectar su cuenta de inquilino de Intune a su cuenta empresarial de Android:

  1. Crear una cuenta de servicio de Google ( @gmail.com ).

    Nota

    Esta cuenta se asociará con todas las tareas de administración empresarial de Android para su inquilino. Es la cuenta de Google que compartirán los administradores de TI de su empresa para administrar y publicar aplicaciones en la consola de Google Play. Puedes usar una cuenta de Google existente o crear una nueva. La cuenta que usas no debe estar asociada a un dominio de G-Suite.

  2. Inicie sesión en el Centro Microsoft Endpoint Manager administración mediante su cuenta de administrador global con licencia de Intune.

  3. Ve a Dispositivos Android Inscripción de Android Google Play administrada , selecciona Acepto y luego selecciona Iniciar Google para conectarte ahora para abrir el sitio web > > > de Google Play administrado.

    Captura de pantalla de la página De Google Play administrada, donde puedes iniciar Google para conectarte.

  4. Inicie sesión en su cuenta de Google y, a continuación, seleccione Introducción.

    Selecciona Introducción a la página.

  5. Escriba el nombre de su empresa y, a continuación, seleccione Siguiente.

    Escriba la página de nombre de la empresa.

  6. Acepte los términos y, a continuación, seleccione Confirmar.

  7. Seleccione Completar registro.

    Seleccione Completar la página registro.

Para obtener más información, consulta Conectar tu cuenta de Intune a tu cuenta administrada de Google Play.

Implementar aplicaciones

Después de conectar tu cuenta de Intune a tu cuenta empresarial de Android, puedes implementar algunas aplicaciones siguiendo estos pasos:

  1. Inicie sesión en el Centro Microsoft Endpoint Manager administración mediante su cuenta de administrador global con licencia de Intune.

  2. Ve a Aplicaciones > Todas las aplicaciones > Agregar.

  3. En el panel Seleccionar tipo de aplicación, busque los tipos de aplicación de la Tienda disponibles y, a continuación, seleccione Aplicación administrada de Google Play.

  4. Seleccione Seleccionar. Se muestra la tienda de aplicaciones administrada de Google Play.

    La tienda de aplicaciones de Google Play administrada.

  5. Busca una aplicación para ver los detalles de la aplicación. Ejemplo: Portal de empresa de Intune aplicación.

  6. En la página que muestra la aplicación, selecciona Aprobar. Se abre una ventana para la aplicación y se le pide que le dé permisos para que la aplicación realice varias operaciones.

    Seleccione Aprobar en el ejemplo Portal de empresa de Intune.

  7. Selecciona Aprobar de nuevo para aceptar los permisos de la aplicación.

    Selecciona Aprobar de nuevo para aceptar los permisos de la aplicación.

  8. En la pestaña Configuración aprobación, seleccione Mantener aprobado cuando la aplicación solicite nuevos permisos y, a continuación, seleccione Guardar.

    Selecciona Mantener aprobado cuando la aplicación solicite nuevos permisos en la pestaña Configuración aprobación.

  9. Haz clic en Seleccionar para seleccionar la aplicación.

  10. Selecciona Sincronizar en la parte superior para sincronizar la aplicación con el servicio Google Play administrado.

  11. Selecciona Actualizar para actualizar la lista de aplicaciones y mostrar la aplicación recién agregada.

    Nota

    La sincronización de la aplicación entre Intune y la Tienda administrada de Google Play es manual. Por lo tanto, debes seleccionar el botón Sincronizar cada vez que apruebes una nueva aplicación.

  12. Después de agregar la aplicación a Microsoft Intune, puedes asignar la aplicación a usuarios y dispositivos. En el Microsoft Endpoint Manager de administración,vaya a Aplicaciones todas > las aplicaciones. Busca en Administrar para ver la aplicación que se muestra en la lista.

    Página Todas las aplicaciones en el centro Microsoft Endpoint Manager administración.

  13. Para asignar la aplicación a un grupo, selecciona la aplicación que quieras asignar. En la sección Administrar del menú, seleccione Propiedades y, a continuación, seleccione Editar junto a Asignaciones para abrir el panel Agregar grupo.

    Seleccione Propiedades y, a continuación, Asignaciones.

  14. En la pestaña Asignaciones, en Obligatorio, seleccione Agregar grupo, seleccione los grupos que desea incluir y, a continuación, seleccione Seleccionar.

    Seleccione Agregar grupo en requerido.

  15. En el panel Asignar, seleccione Revisar y guardar para completar la selección de grupos incluidos.

  16. En el panel Asignaciones, seleccione Guardar para guardar los cambios.

  17. Vuelva a la vista Propiedades de la aplicación y compruebe la aplicación en Asignaciones.

    Confirme la asignación de la aplicación.

Para obtener más información acerca de la implementación de aplicaciones, consulta Agregar aplicaciones del sistema Enterprise Android a Microsoft Intune.

Habilitar la inscripción de perfiles de trabajo empresarial de Android

  1. En el portal de Intune, vaya a Restricciones de inscripción > de dispositivos y, a continuación, seleccione Predeterminado en Restricciones de tipo de dispositivo.

    Pantalla Restricciones de tipo de dispositivo.

  2. Seleccione Propiedades > Seleccione Plataformas de selección, Bloque para Android, Seleccione Permitir perfil de trabajo de Android, Seleccione Aceptar y, a continuación, seleccione Guardar para guardar los cambios.

    Pantalla de propiedades de inscripción.

    Nota

    Las restricciones predeterminadas tienen la prioridad más baja y se aplican a todos los usuarios, esto no se puede editar. Al crear restricciones personalizadas adicionales, tenga en cuenta los grupos a los que están asignados para que no cree un conflicto con esta configuración.

Para obtener más información, consulta Configurar la inscripción de dispositivos Enterprise de perfil de trabajo de Android.

Configurar el acceso condicional

  1. Implemente la aplicación Gmail o la aplicación Nueve trabajos según sea necesario.

  2. Crea un perfil de correo electrónico en la aplicación siguiendo estos pasos:

    1. En Intune Azure Portal, seleccione Configuración de dispositivo Perfiles crear perfil y, a continuación, > > escriba Nombre y descripción para el perfil de correo electrónico.

    2. Seleccione Android enterprise en la lista desplegable Plataforma.

    3. En Tipo de perfil Solo perfil de > trabajo, seleccione Correo electrónico.

    4. Configure la configuración del perfil de correo electrónico.

      Configure la configuración del perfil de correo electrónico.

      Para obtener más información acerca de estas opciones, consulta Configuración del dispositivo Android para configurar el correo electrónico, la autenticación y la sincronización en Intune.

  3. Después de crear el perfil de correo electrónico, asígnelo a grupos.

    Pantalla Asignaciones.

  4. Configurar el acceso condicional basado en dispositivos.

Para obtener más información, consulta Configurar el acceso condicional para dispositivos de perfil de trabajo de Android.

Inscribir el dispositivo empresarial Android

  1. Inicie sesión con su cuenta de trabajo y, a continuación, puntee Inscribir ahora.

    Inscríbete ahora en la pantalla.

  2. En la pantalla Configuración de Access, pulsa Continuar.

    Pantalla De configuración de acceso.

  3. En la pantalla declaración de privacidad, pulsa Continuar.

    Pantalla declaración de privacidad.

  4. En la pantalla ¿Qué es lo siguiente?, pulsa Siguiente.

    Qué es la siguiente pantalla.

  5. En la pantalla Configurar un perfil de trabajo, pulse Aceptar.

    Configurar una pantalla de perfil de trabajo.

  6. En la pantalla Activar perfil de trabajo, pulse Continuar.

    Activar la pantalla de perfil de trabajo.

    Nota

    Puedes ver un icono de distintivo en la parte superior, lo que significa que ahora estás dentro del perfil de trabajo.

  7. En la pantalla You're all set, pulsa Listo.

    Está todo configurado en pantalla.

  8. Ahora puedes iniciar sesión en Gmail. Cuando se le pida que actualice la configuración de seguridad, pulse ACTUALIZAR AHORA.

    Pantalla de actualización de seguridad.

  9. Pulsa Activar para activar Gmail como administrador de dispositivos.

    Pantalla de administrador de dispositivos.

Para obtener más información, consulta Inscribir dispositivos Android.

Restablecer los códigos de acceso de perfil de trabajo de Android

  1. Para crear un perfil de dispositivo que requiera un código de acceso de perfil de trabajo, siga estos pasos:

    1. En Intune Azure Portal, seleccione Configuración de dispositivo > Perfiles > Crear perfil, escriba Nombre y descripción para el perfil.

    2. Seleccione Android enterprise en la lista desplegable Plataforma.

    3. En Solo perfil de trabajo de tipo > de perfil, seleccione Restricciones de dispositivo .

    4. En Configuración del perfil de trabajo, seleccione Requerir en Requerir contraseña de perfil de trabajo.

      Página de propiedades del perfil de trabajo.

  2. En el dispositivo empresarial Android, se te pedirá que establezcas un código de acceso de perfil de trabajo si no has establecido uno.

  3. Espere hasta que reciba un segundo mensaje que diga Proteger su perfil de trabajo: autorice el soporte técnico de su empresa para restablecer de forma remota la contraseña del perfil de trabajo . Escribe el código de acceso para autorizar el restablecimiento. Activa el token de contraseña de restablecimiento que Intune necesita para realizar esta acción correctamente.

    Proteger la pantalla de perfil de trabajo.

    Nota

    Si omite alguno de estos pasos, recibirá el siguiente mensaje de error:
    Error al iniciar Restablecer código de acceso

  4. Seleccione Restablecer código de acceso.

    Restablecer la pantalla de código de acceso.

  5. Una vez completado el restablecimiento, se muestra el código de acceso temporal.

    Restablecer la pantalla completada del código de acceso.

  6. Escribe este código de acceso temporal en el dispositivo.

  7. Cuando se le requiera establecer el nuevo PIN, debe volver a escribir este código de acceso temporal y, a continuación, escribir el nuevo PIN.

Para obtener más información sobre el restablecimiento del código de acceso, vea Reset Android work profile passcodes.

Preguntas frecuentes.

  • **Pregunta:**¿Por qué no se quitan las aplicaciones que desaprobaba del almacén de Google Play para el trabajo de la página Aplicaciones móviles del Portal de administración de Intune?

    Respuesta: Se espera este comportamiento.

  • **Pregunta:**¿Por qué las aplicaciones administradas de Google Play no se informan en Aplicaciones detectadas en el portal de Intune?

    Respuesta: Se espera este comportamiento.

  • **Pregunta:**¿Por qué se muestran en el perfil de trabajo aplicaciones administradas de Google Play que no se implementan a través de Intune?

    Respuesta: El OEM del dispositivo puede habilitar las aplicaciones del sistema en el perfil de trabajo en el momento en que se crea el perfil de trabajo. No está controlado por el proveedor MDM.

    Para solucionar problemas, siga estos pasos:

    1. Recopilar Portal de empresa registros.
    2. Ten en cuenta las aplicaciones que aparecen inesperadamente en el perfil de trabajo.
    3. Desinstale el dispositivo de Intune y desinstale el Portal de empresa.
    4. Instala la aplicación DPC de prueba que permite la creación de un perfil de trabajo sin un EMM para pruebas.
    5. Siga las instrucciones de Test DPC para crear un perfil de trabajo en el dispositivo.
    6. Revisa las aplicaciones que aparecen en el perfil de trabajo.
    7. Si las mismas aplicaciones se muestran en la aplicación DPC de prueba, el OEM espera las aplicaciones para ese dispositivo.
  • **Pregunta:**¿Por qué la opción Borrar (Restablecimiento de fábrica) no está disponible para mi dispositivo inscrito en el perfil de trabajo?

    Respuesta: Se espera este comportamiento. En el escenario de perfil de trabajo, el proveedor mdm no tiene control total sobre el dispositivo. La única opción disponible es Retirar (Quitar datos de empresa) que quita todo el perfil de trabajo y todo su contenido.

  • **Pregunta:**¿Por qué no puedo encontrar la ruta de acceso de archivo Almacenamiento interno/Android/Data.com.microsoft.windowsintune.companyportal/files en mi dispositivo inscrito en el perfil de trabajo para recopilar manualmente Portal de empresa registros?

    Respuesta: Se espera este comportamiento. Esta ruta de acceso solo se crea para el escenario de administrador de dispositivos (inscripción heredada de Android).

    Para recopilar registros, siga estos pasos:

    1. En la Portal de empresa con el distintivo, pulsa Ayuda del menú Soporte técnico de correo electrónico y, a continuación, pulsa > > Enviar correo electrónico & Upload registros.
    2. Cuando se te pida con Enviar solicitud de ayuda con, selecciona una de las aplicaciones de correo electrónico.
    3. Se genera un correo electrónico al administrador de TI con un identificador de incidente que se puede proporcionar a la compatibilidad con productos de Microsoft.
  • Pregunta: He comprobado la hora de la última sincronización de Google Play administrada y no se ha actualizado en días. ¿Por qué?

    Respuesta: Se espera este comportamiento. La sincronización solo se desencadena cuando se hace manualmente.

  • **Pregunta:**¿Se admiten aplicaciones web para dispositivos inscritos en perfiles de trabajo?

    Respuesta: Sí. Las aplicaciones web (o vínculos web) son compatibles con todos los escenarios Enterprise Android.

  • **Pregunta:**¿Se admite el restablecimiento del código de acceso del dispositivo?

    Respuesta: Para dispositivos inscritos en perfiles de trabajo, puede restablecer el código de acceso del perfil de trabajo solo en dispositivos que ejecutan Android 8.0+ si el código de acceso del perfil de trabajo está administrado y el usuario le ha permitido restablecerlo. Para dispositivos dedicados y totalmente administrados, se admite el restablecimiento del código de acceso del dispositivo.

  • Pregunta: Es necesario que mi dispositivo esté cifrado al inscribirse. ¿Hay una opción para desactivar el cifrado?

    Respuesta: No. Google requiere el cifrado para el perfil de trabajo.

  • **Pregunta:**¿Por qué los dispositivos Samsung bloquean el uso de teclados de terceros como SwiftKey?

    Respuesta: Samsung comenzó a aplicar esto en dispositivos Android 8.0+. Microsoft está trabajando actualmente con Samsung en este problema y publicará nueva información cuando esté disponible.