Guide de bout en bout pour configurer des appareils Android Entreprise dans Microsoft Intune

Ce guide aide les administrateurs à comprendre comment configurer et résoudre les problèmes des appareils Android Entreprise dans un environnement Microsoft Intune. Il couvre les scénarios courants suivants :

  • Intégration à Google
  • Déploiement d’applications
  • Activation de l’inscription de profil professionnel
  • Configuration de l’accès conditionnel
  • Expérience utilisateur final d’inscription de profil professionnel
  • Émission d’une réinitialisation du code secret du profil professionnel

Il vous aide à déterminer quelle fonctionnalité de gestion est la meilleure pour votre organisation et fournit une FAQ sur Android Entreprise.

Évaluer vos besoins

Avant d’activer les appareils Android Entreprise dans Intune, vous devez déterminer si vous souhaitez inscrire ces appareils en tant qu’appareils personnels (Apportez votre propre appareil ou BYOD) ou en tant qu’appareils d’entreprise.

Appareils BYOD

Les appareils BYOD sont configurés pour avoir un profil professionnel Android Entreprise. Cette fonctionnalité est intégrée à Android 5.1 et versions ultérieures. Cette fonctionnalité permet de stocker les applications et les données de travail dans un espace distinct, autonome et géré par l’entreprise sur l’appareil. Étant donné que les applications et les données personnelles restent sur l’appareil à l’intérieur du profil personnel de l’utilisateur, les employés peuvent continuer à utiliser leur appareil comme ils le feraient habituellement.

Appareils d’entreprise

Il existe deux options pour les appareils d’entreprise, et chacun d’eux sert un cas d’usage unique :

  • Appareils dédiés (anciennement COSU ou Usage unique appartenant à l’entreprise).

    Notes

    L’exemple utilisé dans ce guide se concentre sur les scénarios BYOD. Pour plus d’informations sur les scénarios d’appareils dédiés , consultez configuration et inscription coSU à l’aide de la méthode d’inscription du code QR.

    Les appareils dédiés sont généralement verrouillés sur une seule application ou ensemble d’applications (également appelé mode plein écran). Il permet à l’administrateur de contrôler des éléments tels que la barre d’état, les dispositions du clavier, l’écran de verrouillage et d’autres paramètres sur l’appareil. Il empêche les utilisateurs d’activer d’autres applications ou de modifier certains paramètres sur des appareils dédiés.

    Notes

    Les appareils que vous gérez de cette manière sont inscrits dans Intune sans compte d’utilisateur et ne sont associés à aucun utilisateur final. Elles ne sont pas destinées aux applications à usage personnel ou aux applications qui ont une forte exigence pour les données de compte spécifiques à l’utilisateur, telles qu’Outlook ou Gmail.

  • Appareils entièrement gérés (anciennement COBO ou Entreprise détenue uniquement).

    Notes

    Pour plus d’informations sur les appareils entièrement gérés, consultez Configurer Intune’inscription d’appareils Android Enterprise entièrement gérés.

    Les appareils entièrement gérés s’intègrent dans un scénario plus centré sur l’utilisateur. Un seul utilisateur est associé à l’appareil, tandis que l’administrateur conserve toujours le contrôle total sur l’appareil (par opposition à un scénario de profil professionnel, dans lequel plusieurs utilisateurs ont le contrôle).

Lorsque vous décidez comment inscrire vos appareils, n’oubliez pas que toutes les fonctionnalités ne sont pas disponibles pour les deux méthodes. Le tableau suivant présente quelques différences clés.

Ensemble de fonctionnalités Profil professionnel (BYOD) Dédié (kiosque) Complètement managé
Profil de messagerie managée ×
Profil de Wi-Fi managé
Profil VPN managé ×
Profil de certificat SCEP
Profil de certificat PKCS ×
Profil de certificat approuvé
Profil personnalisé × x
Empêcher la réinitialisation d’usine ×
Bloquer la capture d’écran de l’appareil photo &
Boutons bloquer le volume ×
Bloquer le copier-coller/le partage de données
Mot de passe managé
Applications managées (obligatoires)
Applications managées (disponibles) ×
Profil conteneurisé × x
Gestion des appareils au niveau du kiosque × x
Gestion des appareils personnelles × x
inscription NFC-Based ×
inscription Token-Based ×
Inscription Code-Based QR ×
Zero Touch ×
Conformité/accès conditionnel ×

Pour plus d’informations, consultez Implémenter votre plan Microsoft Intune.

Connecter un compte Intune à un compte d’entreprise Android

La première étape pour configurer Android Enterprise dans votre environnement consiste à connecter votre compte client Intune à votre compte d’entreprise Android :

  1. Créez un compte de service Google (@gmail.com).

    Notes

    Ce compte sera associé à toutes les tâches de gestion d’entreprise Android pour votre locataire. Il s’agit du compte Google que les administrateurs informatiques de votre entreprise partageront pour gérer et publier des applications dans la console Google Play. Vous pouvez utiliser un compte Google existant ou en créer un. Le compte que vous utilisez ne doit pas être associé à un domaine G-Suite.

  2. Connectez-vous au Centre d’administration Microsoft Endpoint Manager à l’aide de votre compte Administrateur général sous licence Intune.

  3. Accédez à Appareils > Android > Enrollment > Managed Google Play, sélectionnez J’accepte, puis sélectionnez Lancer Google pour vous connecter maintenant pour ouvrir le site Web Google Play géré.

    Capture d’écran de la page Google Play managée, où vous pouvez lancer Google pour vous connecter.

  4. Connectez-vous à votre compte Google, puis sélectionnez Prise en main.

    Sélectionnez la page Prise en main.

  5. Entrez le nom de votre entreprise, puis sélectionnez Suivant.

    Entrez la page de nom de votre entreprise.

  6. Acceptez les termes, puis sélectionnez Confirmer.

  7. Sélectionnez Terminer l’inscription.

    Sélectionnez La page Inscription complète.

Pour plus d’informations, consultez Connecter votre compte Intune à votre compte Google Play géré.

Déployer des applications

Une fois que votre compte Intune est connecté à votre compte d’entreprise Android, vous pouvez déployer certaines applications en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager à l’aide de votre compte Administrateur général sous licence Intune.

  2. Accédez à Apps > All apps > Add.

  3. Dans le volet Sélectionner un type d’application, recherchez les types d’applications disponibles dans le Windows Store, puis sélectionnez l’application Google Play gérée.

  4. Sélectionnez Sélectionner. L’App Store Google Play géré s’affiche.

    Magasin d’applications Google Play géré.

  5. Recherchez une application pour afficher les détails de l’application. Exemple : application Portail d'entreprise Intune.

  6. Dans la page qui affiche l’application, sélectionnez Approuver. Une fenêtre de l’application s’ouvre et vous invite à accorder des autorisations pour que l’application effectue différentes opérations.

    Sélectionnez Approuver dans l’exemple Portail d'entreprise Intune.

  7. Sélectionnez Approuver à nouveau pour accepter les autorisations d’application.

    Sélectionnez Approuver à nouveau pour accepter les autorisations d’application.

  8. Sous l’onglet Paramètres d’approbation , sélectionnez Conserver approuvé lorsque l’application demande de nouvelles autorisations, puis sélectionnez Enregistrer.

    Sélectionnez Conserver approuvé lorsque l’application demande de nouvelles autorisations sous l’onglet Paramètres d’approbation.

  9. Cliquez sur Sélectionner pour sélectionner l’application.

  10. Sélectionnez Synchroniser en haut pour synchroniser l’application avec le service Google Play géré.

  11. Sélectionnez Actualiser pour mettre à jour la liste des applications et afficher l’application nouvellement ajoutée.

    Notes

    La synchronisation de l’application entre Intune et le Google Play Store managé est manuelle. Par conséquent, vous devez sélectionner le bouton Synchroniser chaque fois que vous approuvez une nouvelle application.

  12. Une fois l’application ajoutée à Microsoft Intune, vous pouvez l’affecter aux utilisateurs et aux appareils. À partir du Centre d’administration Microsoft Endpoint Manager, accédez à Apps > All Apps. Regardez sous Gérer pour voir l’application affichée dans la liste.

    Page Toutes les applications dans le Centre d’administration Microsoft Endpoint Manager.

  13. Pour affecter l’application à un groupe, sélectionnez l’application que vous souhaitez affecter. Dans la section Gérer du menu, sélectionnez Propriétés, puis Modifier en regard des affectations pour ouvrir le volet Ajouter un groupe .

    Sélectionnez Propriétés, puis Affectations.

  14. Sous l’onglet Affectations , sous Obligatoire, sélectionnez Ajouter un groupe, sélectionnez les groupes à inclure, puis sélectionnez Sélectionner.

    Sélectionnez Ajouter un groupe sous requis.

  15. Dans le volet Affecter , sélectionnez Vérifier + enregistrer pour terminer la sélection des groupes inclus.

  16. Dans le volet Affectations , sélectionnez Enregistrer pour enregistrer vos modifications.

  17. Revenez à la vue Propriétés de l’application et vérifiez l’application sous Affectations.

    Confirmez l’attribution de l’application.

Pour plus d’informations sur le déploiement d’applications, consultez Ajouter des applications système Android Entreprise à Microsoft Intune.

Activer l’inscription de profil professionnel d’entreprise Android

  1. À partir du portail Intune, accédez aux restrictions d’inscription > d’appareil, puis sélectionnez Par défaut sous Restrictions de type d’appareil.

    Écran Restrictions de type d’appareil.

  2. Sélectionnez Propriétés > Sélectionner des plateformes, Bloquer pour Android, Autoriser le profil professionnel Android, SÉLECTIONNEZ OK, puis Sélectionnez Enregistrer pour enregistrer vos modifications.

    Écran des propriétés d’inscription.

    Notes

    Les restrictions par défaut ont la priorité la plus basse et s’appliquent à tous les utilisateurs. Cela ne peut pas être modifié. Lorsque vous créez des restrictions personnalisées supplémentaires, tenez compte des groupes auxquels ils sont affectés afin de ne pas créer de conflit avec cette configuration.

Pour plus d’informations, consultez Configurer l’inscription des appareils de profil professionnel Android Entreprise.

Configurer l’accès conditionnel

  1. Déployez l’application Gmail ou l’application Nine Work selon les besoins.

  2. Créez un profil de messagerie pour l’application en procédant comme suit :

    1. Dans le Intune Portail Azure, sélectionnez Profils > de configuration > d’appareil Créer un profil, puis entrez nom et description pour le profil de messagerie.

    2. Sélectionnez Android Entreprise dans la liste déroulante Plateforme .

    3. Dans profil professionnel de type > de profil uniquement, sélectionnez e-mail.

    4. Configurez les paramètres du profil de messagerie.

      Configurez les paramètres du profil de messagerie.

      Pour plus d’informations sur ces paramètres, consultez paramètres d’appareil Android pour configurer l’e-mail, l’authentification et la synchronisation dans Intune.

  3. Après avoir créé le profil de messagerie, affectez-le à des groupes.

    Écran Affectations.

  4. Configurez l’accès conditionnel basé sur l’appareil.

Pour plus d’informations, consultez Configurer l’accès conditionnel pour les appareils de profil professionnel Android.

Inscrire votre appareil Android Entreprise

  1. Connectez-vous avec votre compte professionnel, puis appuyez sur Inscrire maintenant.

    Écran Inscrire maintenant.

  2. Dans l’écran d’installation d’Access , appuyez sur Continuer.

    Écran d’installation de l’accès.

  3. Dans l’écran de déclaration de confidentialité, appuyez sur Continuer.

    Écran déclaration de confidentialité.

  4. Sur l’écran Suivant , appuyez sur Suivant.

    L’écran suivant.

  5. Dans l’écran Configurer un profil professionnel , appuyez sur Accepter.

    Configurez un écran de profil professionnel.

  6. Dans l’écran Activer le profil professionnel , appuyez sur Continuer.

    Écran Activer le profil professionnel.

    Notes

    Vous pouvez voir une icône de badge en haut, ce qui signifie que vous êtes maintenant à l’intérieur du profil professionnel.

  7. Sur l’écran Vous êtes tous définis , appuyez sur Terminé.

    Vous êtes tous à l’écran défini.

  8. Vous pouvez maintenant vous connecter à Gmail. Lorsque vous êtes invité à mettre à jour les paramètres de sécurité, appuyez sur UPDATE NOW.

    Écran de mise à jour de sécurité.

  9. Appuyez sur Activer pour activer Gmail en tant qu’administrateur d’appareil.

    Écran Administrateur de l’appareil.

Pour plus d’informations, consultez Inscrire des appareils Android.

Réinitialiser les codes secrets du profil professionnel Android

  1. Créez un profil d’appareil qui nécessite un code secret de profil professionnel en procédant comme suit :

    1. Dans le Intune Portail Azure, sélectionnez Profils > de configuration > d’appareil Créer un profil, entrez le nom et la description du profil.

    2. Sélectionnez Android Entreprise dans la liste déroulante Plateforme .

    3. Dans profil professionnel de type > de profil uniquement, sélectionnez Restrictions d’appareil.

    4. Dans les paramètres du profil Professionnel, sélectionnez Exiger dans Exiger un mot de passe de profil professionnel.

      Page des propriétés du profil professionnel.

  2. Sur l’appareil d’entreprise Android, vous êtes invité à définir un code secret de profil professionnel si vous n’en avez pas défini.

  3. Attendez que vous receviez une deuxième invite indiquant Sécuriser votre profil professionnel : autorisez le support de votre entreprise à réinitialiser à distance votre mot de passe de profil professionnel. Entrez votre code secret pour autoriser la réinitialisation. Il active le jeton de réinitialisation de mot de passe dont Intune a besoin pour effectuer cette action avec succès.

    Sécurisez l’écran de votre profil professionnel.

    Notes

    Si vous ignorez l’une de ces étapes, vous recevrez le message d’erreur suivant :
    Échec du lancement de la réinitialisation du code secret

  4. Sélectionnez Réinitialiser le code secret.

    Réinitialiser l’écran du code secret.

  5. Une fois la réinitialisation terminée, le code secret temporaire s’affiche.

    Réinitialiser l’écran terminé du code secret.

  6. Entrez ce code secret temporaire sur votre appareil.

  7. Lorsque vous devez définir votre nouveau code confidentiel, vous devez entrer à nouveau ce code secret temporaire, puis entrer votre nouveau code confidentiel.

Pour plus d’informations sur la réinitialisation du code secret, consultez Réinitialiser les codes secrets du profil professionnel Android.

Foire aux questions

  • Question : Pourquoi les applications que j’ai désapprouver du magasin Google Play for Work ne sont-elles pas supprimées de la page Mobile Apps dans le portail Intune Administration ?

    Réponse : Ce comportement est attendu.

  • Question : Pourquoi les applications Google Play gérées ne sont-elles pas signalées sous Applications découvertes dans le portail Intune ?

    Réponse : Ce comportement est attendu.

  • Question : Pourquoi les applications Google Play gérées qui ne sont pas déployées via Intune sont-elles affichées dans le profil professionnel ?

    Réponse : Les applications système peuvent être activées dans le profil professionnel par l’OEM de l’appareil au moment de la création du profil professionnel. Il n’est pas contrôlé par le fournisseur MDM.

    Pour résoudre les problèmes, procédez comme suit :

    1. Collectez Portail d'entreprise journaux d’activité.
    2. Notez les applications qui apparaissent de manière inattendue dans le profil professionnel.
    3. Désinscrivez l’appareil de Intune et désinstallez le Portail d'entreprise.
    4. Installez l’application Test DPC qui permet la création d’un profil professionnel sans emm à des fins de test.
    5. Suivez les instructions de Test DPC pour créer un profil professionnel sur l’appareil.
    6. Passez en revue les applications qui apparaissent dans le profil professionnel.
    7. Si les mêmes applications s’affichent dans l’application Test DPC, les applications sont attendues par l’OEM pour cet appareil.
  • Question : Pourquoi l’option Réinitialiser (réinitialisation d’usine) n’est-elle pas disponible pour mon appareil inscrit au profil professionnel ?

    Réponse : Ce comportement est attendu. Dans le scénario de profil professionnel, le fournisseur MDM n’a pas un contrôle total sur l’appareil. La seule option disponible est Mettre hors service (supprimer les données d’entreprise) qui supprime l’ensemble du profil professionnel et tout son contenu.

  • Question : Pourquoi ne puis-je pas trouver le chemin d’accès au fichier Stockage interne/Android/Data.com.microsoft.windowsintune.companyportal/files sur mon appareil inscrit au profil professionnel pour collecter manuellement Portail d'entreprise journaux ?

    Réponse : Ce comportement est attendu. Ce chemin d’accès est uniquement créé pour le scénario Device Administration (inscription Android héritée).

    Pour collecter les journaux d’activité, procédez comme suit :

    1. Dans l’application Portail d'entreprise avec le badge, appuyez sur Menu > Help > Email Support, puis appuyez sur Envoyer un e-mail & Charger les journaux.
    2. Lorsque vous êtes invité à envoyer une demande d’aide, sélectionnez l’une des applications e-mail.
    3. Un e-mail est généré à votre administrateur informatique avec un ID d’incident qui peut être fourni au support technique Microsoft.
  • Question : J’ai vérifié l’heure de la dernière synchronisation Google Play managée et elle n’a pas été mise à jour en jours. Pourquoi ?

    Réponse : Ce comportement est attendu. La synchronisation est déclenchée uniquement lorsque vous le faites manuellement.

  • Question : Les applications web sont-ils prises en charge pour les appareils inscrits au profil professionnel ?

    Réponse : Oui. Les applications web (ou liens web) sont prises en charge pour tous les scénarios Android Entreprise.

  • Question : La réinitialisation du code secret de l’appareil est-elle prise en charge ?

    Réponse : Pour les appareils inscrits au profil professionnel, vous pouvez réinitialiser le code secret du profil professionnel uniquement sur les appareils exécutant Android 8.0+ si le code secret du profil professionnel est géré et que l’utilisateur vous a autorisé à le réinitialiser. Pour les appareils dédiés et entièrement gérés, la réinitialisation du code secret de l’appareil est prise en charge.

  • Question : Mon appareil doit être chiffré lors de l’inscription. Existe-t-il une option pour désactiver le chiffrement ?

    Réponse : Non. Le chiffrement est requis par Google pour le profil professionnel.

  • Question : Pourquoi les appareils Samsung bloquent-ils l’utilisation de claviers tiers comme SwiftKey ?

    Réponse : Samsung a commencé à appliquer cela sur les appareils Android 8.0+ . Microsoft travaille actuellement avec Samsung sur ce problème et publiera de nouvelles informations quand elle sera disponible.