Configuración de la inscripción para dispositivos Android Enterprise totalmente administrados

Configure la solución de dispositivos totalmente administrados de Android Enterprise en Microsoft Intune para inscribir y administrar dispositivos corporativos. Un dispositivo totalmente administrado está asociado a un único usuario y está destinado al trabajo, no a su uso personal. Como administrador de Intune, puede administrar todo el dispositivo y aplicar controles de directiva que no están disponibles con el perfil de trabajo de Android Enterprise, como:

• Permitir la instalación de aplicaciones solo desde Google Play administrado.
• Impedir que los usuarios desinstalen aplicaciones administradas.
• Impedir que los usuarios restablezcan los dispositivos de fábrica.

Usted y los usuarios del dispositivo pueden iniciar la inscripción escribiendo o examinando un token de inscripción durante la configuración del dispositivo. En este artículo se describen los requisitos previos para la inscripción y cómo crear perfiles y tokens de inscripción. Al final de este artículo, estará listo para inscribir dispositivos.

Paso 1: Requisitos previos

Complete estos requisitos previos para garantizar una inscripción correcta.

• Debe tener un inquilino independiente de Intune, con la entidad de administración de dispositivos móviles (MDM) establecida en Microsoft Intune.

• Los dispositivos deben:

  • Ejecute la versión 8.0 y posteriores del sistema operativo Android.
  • Ejecute una compilación de Android que tenga conectividad de Google Mobile Services.
  • Tener Google Mobile Services disponible y poder conectarse a él.

  No hay ninguna restricción en el fabricante o OEM del dispositivo si se cumplen los tres requisitos.

• Asegúrese de que Android Enterprise es compatible con su región. Para conocer los requisitos de Android Enterprise, consulte Introducción a Android Enterprise.

• Conecte su cuenta de inquilino de Intune a su cuenta de Android Enterprise.

• El proceso de instalación de Android usa una pestaña de Chrome para autenticar a los usuarios del dispositivo durante la inscripción. Si tiene una directiva de acceso condicional de Microsoft Entra con las siguientes configuraciones, deberá excluir la aplicación en la nube Microsoft Intune de la directiva:

  • Para conceder o bloquear el acceso, es necesario que un dispositivo se marque como una configuración compatible.
  • La directiva se aplica a todas las aplicaciones en la nube, Android y exploradores.

Paso 2: Creación de un nuevo perfil de inscripción

Intune genera automáticamente un perfil de inscripción predeterminado y un token de inscripción para dispositivos totalmente administrados. El perfil de inscripción predeterminado se denomina Perfil totalmente administrado predeterminado.

Para crear un nuevo perfil de inscripción:

1. Inicie sesión en el Centro de administración de Microsoft Intune.
2. Vaya a Inscripción de dispositivos>.
3. Seleccione la pestaña Android .
4. EnPerfiles de inscripciónde Android Enterprise>, elija Dispositivos de usuario totalmente administrados de propiedad corporativa.
5. En Allow users to enroll corporate-owned user devices (Permitir a los usuarios inscribir dispositivos de usuario de propiedad corporativa), elija Sí.
6. Seleccione Crear perfil.
7. Escriba los conceptos básicos de su perfil:
   • Nombre: asigne un nombre al perfil. Anote el nombre para más adelante, ya que lo necesitará al configurar el grupo de dispositivos dinámicos.
   • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.
8. Seleccione Siguiente para continuar con Etiquetas de ámbito.
9. Opcionalmente, aplique una o varias etiquetas de ámbito para limitar la visibilidad y la administración de perfiles a determinados usuarios administradores de Intune. Para obtener más información sobre cómo usar etiquetas de ámbito, consulte Uso del control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida.
10. Seleccione Siguiente para continuar con Revisar y crear.
11. Revise el resumen del perfil y, a continuación, seleccione Crear para finalizarlo.

Para revisar, realizar cambios o eliminar el perfil:

1. Seleccione el perfil.
2. Seleccione Información general para revisar los aspectos básicos del perfil y eliminar el perfil.
3. Seleccione Editar propiedades>para realizar cambios en los aspectos básicos del perfil o las etiquetas de ámbito.
4. Seleccione Token para recuperar, revocar o exportar el token.

Paso 3: Creación de un grupo de Microsoft Entra dinámico

Opcionalmente, cree un grupo de Microsoft Entra dinámico para agrupar automáticamente los dispositivos en función de un atributo o variable determinados. En este caso, queremos usar la enrollmentProfileName propiedad para agrupar los dispositivos que se inscriben con el mismo perfil.

Agregue estas configuraciones al grupo:

• Tipo de grupo: seguridad
• Tipo de suscripción: dispositivo dinámico
• Agregue una consulta dinámica con la siguiente regla:
  • Propiedad: enrollmentProfileName
  • Operador: Igual a
  • Valor: escriba el nombre del perfil de inscripción que creó en Paso 2: Crear nuevo perfil de inscripción.

No se pueden usar grupos dinámicos con el perfil de inscripción predeterminado. Para obtener más información sobre cómo crear un grupo dinámico con reglas, consulte Creación de una regla de pertenencia a grupos.

Paso 4: Inscribir dispositivos

Ahora que ha configurado el perfil de inscripción, el token y el grupo dinámico, puede usar cualquiera de estos métodos de aprovisionamiento para inscribir dispositivos como totalmente administrados:

• Comunicación de campo cercano (NFC)
• Cadena de token o código QR
• Inscripción táctil cero
• Inscripción móvil de Samsung Knox

Para ver los pasos siguientes, incluido cómo inscribir dispositivos con cada método de aprovisionamiento, consulte Inscripción de dispositivos de propiedad corporativa de Android Enterprise.