Guía completa para configurar dispositivos empresariales Android en Microsoft Intune

Esta guía ayuda a los administradores a comprender cómo configurar y solucionar problemas de dispositivos empresariales Android en un entorno de Microsoft Intune. Cubre los siguientes escenarios comunes:

  • Incorporación a Google
  • Implementación de aplicaciones
  • Habilitar la inscripción de perfiles de trabajo
  • Configuración del acceso condicional
  • La experiencia de usuario final de inscripción de perfiles de trabajo
  • Emisión de un restablecimiento de código de acceso de perfil de trabajo

Le ayuda a decidir qué capacidad de administración es la mejor para su organización y proporciona preguntas más frecuentes sobre Android Enterprise.

Evaluar sus necesidades

Antes de habilitar dispositivos empresariales Android en Intune, debes determinar si quieres inscribir esos dispositivos como dispositivos personales (Bring Your Own Device, o BYOD) o como dispositivos corporativos.

Dispositivos BYOD

Los dispositivos BYOD están configurados para tener un perfil de trabajo de Android Enterprise. Esta característica está integrada en Android 5.1 y versiones posteriores. Esta característica permite almacenar datos y aplicaciones de trabajo en un espacio independiente y administrado por la empresa en el dispositivo. Dado que las aplicaciones y los datos personales permanecen en el dispositivo dentro del perfil personal del usuario, los empleados pueden seguir usando su dispositivo como lo harían normalmente.

Dispositivos corporativos

Hay dos opciones para dispositivos corporativos y cada uno de ellos ofrece un caso de uso único:

  • Dispositivos dedicados (anteriormente conocidos como COSU o uso único de propiedad corporativa).

    Nota

    El ejemplo usado en esta guía se centra en escenarios BYOD. Para obtener más información acerca de los escenarios de dispositivos dedicados (COSU), consulta Configuración e inscripción de COSU mediante el método de inscripción de código QR.

    Los dispositivos dedicados normalmente se bloquean en una sola aplicación o conjunto de aplicaciones (también conocido como modo de pantalla completa). Permite al administrador controlar aspectos como la barra de estado, los diseños de teclado, la pantalla de bloqueo y otras opciones de configuración del dispositivo. Impide que los usuarios habiliten otras aplicaciones o cambien determinadas configuraciones en dispositivos dedicados.

    Nota

    Los dispositivos que administras de esta manera se inscriben en Intune sin una cuenta de usuario y no están asociados con ningún usuario final. No están pensadas para aplicaciones de uso personal o aplicaciones que tienen un requisito muy importante para datos de cuentas específicos del usuario, como Outlook o Gmail.

  • Dispositivos totalmente administrados (anteriormente conocidos como COBO o solo empresariales corporativos).

    Nota

    Para obtener más información acerca de los dispositivos totalmente administrados, vea Configurar la inscripción de Intune de dispositivos totalmente administrados de Android Enterprise.

    Los dispositivos totalmente administrados encajan en un escenario más centrado en el usuario. Un solo usuario está asociado con el dispositivo, mientras que el administrador sigue manteniendo el control total sobre el dispositivo (en lugar de un escenario de perfil de trabajo, en el que varios usuarios tienen control).

Cuando decidas cómo inscribir los dispositivos, ten en cuenta que no todas las características están disponibles para ambos métodos. En la tabla siguiente se muestran algunas diferencias clave.

Conjunto de características Perfil de trabajo (BYOD) Dedicado (quiosco) Totalmente administrado
Perfil de correo electrónico administrado ×
Perfil Wi-Fi administrado
Perfil de VPN administrada ×
Perfil de certificado SCEP
Perfil de certificado PKCS ×
Perfil de certificado de confianza
Perfil personalizado × x
Impedir el restablecimiento de fábrica ×
Bloquear captura de & cámara
Bloquear botones de volumen ×
Bloquear copiar y pegar/ uso compartido de datos
Contraseña administrada
Aplicaciones administradas (obligatorio)
Aplicaciones administradas (disponible) ×
Perfil en contenedores × x
Administración de dispositivos de nivel de pantalla completa × x
Administración de dispositivos personales × x
NFC-Based inscripción ×
Token-Based inscripción ×
Inscripción de Code-Based QR ×
Zero Touch ×
Cumplimiento/Acceso condicional ×

Para obtener más información, vea Implementar el plan de Microsoft Intune.

Conectar una cuenta de Intune a una cuenta empresarial de Android

El primer paso para configurar la empresa de Android en su entorno es conectar su cuenta de inquilino de Intune a su cuenta empresarial de Android:

  1. Crear una cuenta de servicio de Google ( @gmail.com ).

    Nota

    Esta cuenta se asociará con todas las tareas de administración empresarial de Android para su espacio empresarial. Es la cuenta de Google que compartirán los administradores de TI de tu empresa para administrar y publicar aplicaciones en la consola de Google Play. Puedes usar una cuenta de Google existente o crear una nueva. La cuenta que use no debe estar asociada a un dominio de G-Suite.

  2. Inicia sesión en el Centro de administración de Microsoft Endpoint Manager con tu cuenta de administrador global con licencia de Intune.

  3. Go to Devices > Android > Android Enrollment Managed Google > Play, select I agree, and then select Launch Google to connect now to open the Managed Google Play website.

    Selecciona la inscripción de Android.

  4. Inicie sesión en su cuenta de Google y, a continuación, seleccione Introducción.

    Seleccione Introducción.

  5. Escriba el nombre de su empresa y, a continuación, seleccione Siguiente.

    Escriba el nombre de su empresa.

  6. Acepte los términos y, a continuación, seleccione Confirmar.

  7. Seleccione Completar registro.

    Seleccione Completar registro.

Para obtener más información, consulta Conectar tu cuenta de Intune a tu cuenta administrada de Google Play.

Implementar aplicaciones

Después de conectar tu cuenta de Intune a tu cuenta empresarial de Android, puedes implementar algunas aplicaciones siguiendo estos pasos:

  1. Inicia sesión en el Centro de administración de Microsoft Endpoint Manager con tu cuenta de administrador global con licencia de Intune.

  2. Ve a Aplicaciones > agregar todas las > aplicaciones.

  3. En el panel Seleccionar tipo de aplicación, busque los tipos de aplicación de la Tienda disponibles y, a continuación, seleccione Aplicación administrada de Google Play.

  4. Seleccione Seleccionar. Se muestra la tienda de aplicaciones administradas de Google Play.

    La tienda de aplicaciones de Google Play administrada.

  5. Busca una aplicación para ver los detalles de la aplicación. Ejemplo: aplicación Portal de empresa de Intune.

  6. En la página que muestra la aplicación, seleccione Aprobar. Se abre una ventana para la aplicación y se le pide que le dé permisos para que realice varias operaciones.

    Seleccione Aprobar.

  7. Seleccione Aprobar de nuevo para aceptar los permisos de la aplicación.

    Seleccione Aprobar de nuevo.

  8. En la pestaña Configuración de aprobación, seleccione Mantener aprobado cuando la aplicación solicite nuevos permisos y, a continuación, seleccione Guardar.

    Seleccione Mantener aprobado cuando la aplicación solicite nuevos permisos.

  9. Haz clic en Seleccionar para seleccionar la aplicación.

  10. Seleccione Sincronizar en la parte superior para sincronizar la aplicación con el servicio administrado de Google Play.

  11. Selecciona Actualizar para actualizar la lista de aplicaciones y mostrar la aplicación recién agregada.

    Nota

    La sincronización de aplicaciones entre Intune y la Tienda Administrada de Google Play es manual. Por lo tanto, debes seleccionar el botón Sincronizar cada vez que apruebes una nueva aplicación.

  12. Después de agregar la aplicación a Microsoft Intune, puedes asignarla a usuarios y dispositivos. Desde el Centro de administración de Microsoft Endpoint Manager,ve a Aplicaciones todas > las aplicaciones. Busca en Administrar para ver la aplicación que se muestra en la lista.

    Ve a Aplicaciones y, a continuación, selecciona Todas las aplicaciones.

  13. Para asignar la aplicación a un grupo, selecciona la aplicación que quieras asignar. En la sección Administrar del menú, seleccione Propiedades y, a continuación, seleccione Editar junto a Asignaciones para abrir el panel Agregar grupo.

    Seleccione Propiedades y, a continuación, Asignaciones.

  14. En la pestaña Asignaciones, en Necesario, seleccione Agregar grupo, seleccione los grupos que desea incluir y, a continuación, seleccione Seleccionar.

    Seleccione Agregar grupo.

  15. En el panel Asignar, seleccione Revisar y guardar para completar la selección de grupos incluidos.

  16. En el panel Asignaciones, seleccione Guardar para guardar los cambios.

  17. Vuelva a la vista Propiedades de la aplicación y compruebe la aplicación en Asignaciones.

    Confirma la asignación de la aplicación.

Para obtener más información acerca de la implementación de aplicaciones, consulta Agregar aplicaciones del sistema Android Enterprise a Microsoft Intune.

Habilitar la inscripción de perfiles de trabajo empresarial de Android

  1. Desde el portal de Intune, ve a Restricciones de inscripción de dispositivos y, a continuación, selecciona Predeterminado en Restricciones de > tipo de dispositivo.

    Pantalla Restricciones de tipo de dispositivo.

  2. Seleccione Propiedades > Seleccione plataformas, bloque para Android, seleccione Permitir perfil de trabajo de Android, seleccione Aceptar y, a continuación, seleccione Guardar para guardar los cambios.

    Pantalla de propiedades de inscripción.

    Nota

    Las restricciones predeterminadas tienen la prioridad más baja y se aplican a todos los usuarios, esto no se puede editar. Al crear restricciones personalizadas adicionales, tenga en cuenta los grupos a los que están asignados para que no se cree un conflicto con esta configuración.

Para obtener más información, consulta Configurar la inscripción de dispositivos de perfil de trabajo de Android Enterprise.

Configurar el acceso condicional

  1. Implemente la aplicación Gmail o la aplicación Nueve trabajos según sea necesario.

  2. Para crear un perfil de correo electrónico en la aplicación, siga estos pasos:

    1. En Intune Azure Portal, seleccione Perfiles de configuración de dispositivos Crear perfil y, a continuación, escriba > > Nombre y descripción para el perfil de correo electrónico.

    2. Seleccione Android Enterprise en la lista desplegable Plataforma.

    3. En Solo perfil de trabajo de tipo > de perfil, seleccione Correo electrónico.

    4. Configure las opciones de perfil de correo electrónico.

      Escriba las propiedades.

      Para obtener más información acerca de estas opciones de configuración, vea la configuración del dispositivo Android para configurar el correo electrónico, la autenticación y la sincronización en Intune.

  3. Después de crear el perfil de correo electrónico, asígnelo a grupos.

    Pantalla De asignaciones.

  4. Configurar el acceso condicional basado en dispositivos.

Para obtener más información, vea Configurar el acceso condicional para dispositivos de perfil de trabajo de Android.

Inscribir el dispositivo empresarial Android

  1. Inicia sesión con tu cuenta de trabajo y, a continuación, pulsa Inscribir ahora.

    Inscríbete ahora en la pantalla.

  2. En la pantalla Configuración de Access, pulse Continuar.

    Pantalla de configuración de Access.

  3. En la pantalla de declaración de privacidad, pulse Continuar.

    Pantalla de privacidad.

  4. En la pantalla ¿Qué es lo siguiente?, pulse Siguiente.

    Qué es la siguiente pantalla.

  5. En la pantalla Configurar un perfil de trabajo, pulse Aceptar.

    Configurar una pantalla de perfil de trabajo.

  6. En la pantalla Activar perfil de trabajo, pulse Continuar.

    Activar la pantalla de perfil de trabajo.

    Nota

    Puedes ver un icono de distintivo en la parte superior, lo que significa que ahora estás dentro del perfil de trabajo.

  7. On the You're all set screen, tap Done.

    Está todo configurado en pantalla.

  8. Ahora puede iniciar sesión en Gmail. Cuando se te pida que actualices la configuración de seguridad, pulsa ACTUALIZAR AHORA.

    Pantalla de actualización de seguridad.

  9. Pulsa Activar para activar Gmail como administrador de dispositivos.

    Pantalla de administrador de dispositivos.

Para obtener más información, consulta Inscribir dispositivos Android.

Restablecer códigos de acceso de perfil de trabajo de Android

  1. Para crear un perfil de dispositivo que requiera un código de acceso de perfil de trabajo, siga estos pasos:

    1. En Intune Azure Portal, seleccione Perfiles de configuración de > dispositivos > Crear perfil, escriba Nombre y descripción para el perfil.

    2. Seleccione Android Enterprise en la lista desplegable Plataforma.

    3. En Solo perfil de trabajo de tipo > de perfil, seleccione Restricciones de dispositivo.

    4. En Configuración de perfil de trabajo, seleccione Requerir en Requerir contraseña de perfil de trabajo.

      Propiedades de perfil de trabajo.

  2. En el dispositivo empresarial Android, se te pedirá que establezcas un código de acceso de perfil de trabajo si no has establecido uno.

  3. Espere hasta que reciba un segundo mensaje que dice Proteger su perfil de trabajo: autorice el soporte técnico de su empresa para restablecer de forma remota la contraseña del perfil de trabajo. Escribe el código de acceso para autorizar el restablecimiento. Activa el token de restablecimiento de contraseña que Intune necesita para realizar esta acción correctamente.

    Proteger la pantalla de perfil de trabajo.

    Nota

    Si omite cualquiera de estos pasos, recibirá el siguiente mensaje de error:
    Error al iniciar el restablecimiento del código de acceso

  4. Seleccione Restablecer código de acceso.

    Restablezca la pantalla de código de acceso.

  5. Una vez completado el restablecimiento, se muestra el código de acceso temporal.

    Restablecer la pantalla completada del código de acceso.

  6. Escribe este código de acceso temporal en el dispositivo.

  7. Cuando se le requiera establecer el nuevo PIN, debe volver a escribir este código de acceso temporal y, a continuación, escribir el nuevo PIN.

Para obtener más información acerca del restablecimiento del código de acceso, vea Restablecer códigos de acceso de perfil de trabajo de Android.

Preguntas más frecuentes

  • **Pregunta:**¿Por qué las aplicaciones que no aprobaba de la Tienda Google Play para el trabajo no se quitan de la página Aplicaciones móviles en el Portal de administración de Intune?

    Respuesta: se espera este comportamiento.

  • **Pregunta:**¿Por qué las aplicaciones administradas de Google Play no se informan en Aplicaciones detectadas en el portal de Intune?

    Respuesta: se espera este comportamiento.

  • **Pregunta:**¿Por qué se muestran las aplicaciones administradas de Google Play que no se implementan a través de Intune en el perfil de trabajo?

    Respuesta: el OEM del dispositivo puede habilitar las aplicaciones del sistema en el perfil de trabajo en el momento en que se crea el perfil de trabajo. No lo controla el proveedor de MDM.

    Para solucionar problemas, siga estos pasos:

    1. Recopilar registros del Portal de empresa.
    2. Ten en cuenta las aplicaciones que aparecen inesperadamente en el perfil de trabajo.
    3. Desinstale el dispositivo de Intune y desinstale el Portal de empresa.
    4. Instala la aplicación DPC de prueba que permite la creación de un perfil de trabajo sin un EMM para pruebas.
    5. Sigue las instrucciones de Test DPC para crear un perfil de trabajo en el dispositivo.
    6. Revisa las aplicaciones que aparecen en el perfil de trabajo.
    7. Si las mismas aplicaciones se muestran en la aplicación DPC de prueba, el OEM espera las aplicaciones para ese dispositivo.
  • **Pregunta:**¿Por qué la opción Borrar (restablecimiento de fábrica) no está disponible para mi dispositivo inscrito en el perfil de trabajo?

    Respuesta: se espera este comportamiento. En el escenario de perfil de trabajo, el proveedor de MDM no tiene control total sobre el dispositivo. La única opción disponible es Retirar (quitar datos de la compañía), que quita todo el perfil de trabajo y todo su contenido.

  • **Pregunta:**¿Por qué no puedo encontrar la ruta de acceso de archivo Almacenamiento interno/Android/Data.com.microsoft.windowsintune.companyportal/files en mi dispositivo inscrito en el perfil de trabajo para recopilar manualmente registros del Portal de empresa?

    Respuesta: se espera este comportamiento. Esta ruta de acceso solo se crea para el escenario de administrador de dispositivos (inscripción heredada de Android).

    Para recopilar registros, siga estos pasos:

    1. En la aplicación Portal de empresa con el distintivo, pulse Soporte técnico de correo electrónico de ayuda del menú y, a continuación, puntee Enviar correo > > electrónico & Cargar registros.
    2. Cuando se le solicite enviar una solicitud de ayuda con, seleccione una de las aplicaciones de correo electrónico.
    3. Se genera un correo electrónico al administrador de TI con un identificador de incidente que se puede proporcionar al soporte técnico de Productos de Microsoft.
  • Pregunta: he comprobado la hora de la última sincronización de Google Play administrada y no se ha actualizado en días. ¿Por qué?

    Respuesta: se espera este comportamiento. La sincronización solo se desencadena cuando lo hace manualmente.

  • **Pregunta:**¿Se admiten aplicaciones web para dispositivos inscritos en perfiles de trabajo?

    Respuesta: Sí. Las aplicaciones web (o vínculos web) son compatibles con todos los escenarios de Android Enterprise.

  • **Pregunta:**¿Se admite el restablecimiento del código de acceso del dispositivo?

    Respuesta: para dispositivos inscritos en perfiles de trabajo, puede restablecer el código de acceso de perfil de trabajo solo en dispositivos que ejecutan Android 8.0+ si el código de acceso del perfil de trabajo está administrado y el usuario le ha permitido restablecerlo. Para dispositivos dedicados y totalmente administrados, se admite el restablecimiento del código de acceso del dispositivo.

  • Pregunta: Es necesario que mi dispositivo esté cifrado tras la inscripción. ¿Hay una opción para desactivar el cifrado?

    Respuesta: No. Google requiere el cifrado para el perfil de trabajo.

  • **Pregunta:**¿Por qué los dispositivos Samsung bloquean el uso de teclados de terceros como SwiftKey?

    Respuesta: Samsung empezó a aplicar esto en dispositivos Android 8.0+. Microsoft está trabajando actualmente con Samsung en este problema y publicará nueva información cuando esté disponible.