Configurer l’inscription pour les appareils Android Entreprise entièrement gérés

Configurez la solution d’appareil Android Entreprise entièrement managée dans Microsoft Intune pour inscrire et gérer les appareils appartenant à l’entreprise. Un appareil entièrement géré est associé à un seul utilisateur et est destiné à un usage professionnel, et non personnel. En tant qu’administrateur Intune, vous pouvez gérer l’ensemble de l’appareil et appliquer des contrôles de stratégie qui ne sont pas disponibles avec le profil professionnel Android Entreprise, tels que :

• Autoriser l’installation d’applications à partir de Google Play géré uniquement.
• Empêcher les utilisateurs de désinstaller les applications gérées.
• Empêcher les utilisateurs de réinitialiser les appareils aux paramètres d’usine.

Vous et les utilisateurs de votre appareil pouvez lancer l’inscription en entrant ou en analysant un jeton d’inscription pendant la configuration de l’appareil. Cet article décrit les prérequis pour l’inscription et comment créer des profils d’inscription et des jetons. À la fin de cet article, vous serez prêt à inscrire des appareils.

Étape 1 : Conditions préalables

Remplissez ces conditions préalables pour garantir la réussite de l’inscription.

• Vous devez disposer d’un locataire autonome Intune, avec l’autorité de gestion des appareils mobiles (GPM) définie sur Microsoft Intune.

• Les appareils doivent :

  • Exécutez android OS version 8.0 et ultérieures.
  • Exécutez une build Android qui dispose d’une connectivité Google Mobile Services.
  • Disposer de Google Mobile Services et être en mesure de s’y connecter.

  Il n’existe aucune restriction sur le fabricant de l’appareil/OEM si les trois exigences sont remplies.

• Assurez-vous qu’Android Enterprise est pris en charge dans votre région. Pour connaître la configuration requise pour Android Enterprise, consultez Prise en main d’Android Enterprise.

• Connectez votre compte de locataire Intune à votre compte Android Entreprise.

• Le processus d’installation d’Android utilise un onglet Chrome pour authentifier les utilisateurs de l’appareil lors de l’inscription. Si vous disposez d’une stratégie d’accès conditionnel Microsoft Entra avec les configurations suivantes, vous devez exclure l’application cloud Microsoft Intune de la stratégie :

  • Exiger qu’un appareil soit marqué comme un paramètre conforme est utilisé pour accorder ou bloquer l’accès.
  • La stratégie s’applique à Toutes les applications cloud, Android et navigateurs.

Étape 2 : Créer un profil d’inscription

Intune génère automatiquement un profil d’inscription par défaut et un jeton d’inscription pour les appareils entièrement gérés. Le profil d’inscription par défaut est nommé Profil complètement managé par défaut.

Pour créer un profil d’inscription :

1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Accédez à Inscription des appareils>.
3. Sélectionnez l’onglet Android .
4. SousProfils d’inscriptionAndroid Entreprise>, choisissez Appareils utilisateur entièrement gérés appartenant à l’entreprise.
5. Sous Autoriser les utilisateurs à inscrire des appareils d’utilisateur appartenant à l’entreprise, choisissez Oui.
6. Sélectionnez Créer un profil.
7. Entrez les principes de base de votre profil :
   • Nom : donnez un nom au profil. Notez le nom pour plus tard, car vous en aurez besoin lorsque vous configurerez le groupe d’appareils dynamique.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
8. Sélectionnez Suivant pour passer à Balises d’étendue.
9. Si vous le souhaitez, appliquez une ou plusieurs balises d’étendue pour limiter la visibilité et la gestion des profils à certains utilisateurs administrateurs dans Intune. Pour plus d’informations sur l’utilisation des balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
10. Sélectionnez Suivant pour continuer à Vérifier + créer.
11. Passez en revue le résumé de votre profil, puis sélectionnez Créer pour le finaliser.

Pour passer en revue, apporter des modifications ou supprimer le profil :

1. Sélectionnez le profil.
2. Sélectionnez Vue d’ensemble pour passer en revue les éléments essentiels du profil et supprimer le profil.
3. Sélectionnez Propriétés>Modifier pour apporter des modifications aux concepts de base du profil ou aux balises d’étendue.
4. Sélectionnez Jeton pour récupérer, révoquer ou exporter le jeton.

Étape 3 : Créer un groupe de Microsoft Entra dynamique

Si vous le souhaitez, créez un groupe de Microsoft Entra dynamique pour regrouper automatiquement les appareils en fonction d’un attribut ou d’une variable spécifique. Dans ce cas, nous voulons utiliser la enrollmentProfileName propriété pour regrouper les appareils qui s’inscrivent avec le même profil.

Ajoutez ces configurations à votre groupe :

• Type de groupe : Sécurité
• Type d’appartenance : Appareil dynamique
• Ajoutez une requête dynamique avec la règle suivante :
  • Propriété : enrollmentProfileName
  • Opérateur : égal à
  • Valeur : entrez le nom du profil d’inscription que vous avez créé à l’Étape 2 : Créer un profil d’inscription.

Vous ne pouvez pas utiliser de groupes dynamiques avec le profil d’inscription par défaut. Pour plus d’informations sur la création d’un groupe dynamique avec des règles, consultez Créer une règle d’appartenance à un groupe.

Étape 4 : Inscrire des appareils

Maintenant que vous avez configuré le profil d’inscription, le jeton et le groupe dynamique, vous pouvez utiliser l’une de ces méthodes d’approvisionnement pour inscrire des appareils comme entièrement gérés :

• Communication en champ proche (NFC)
• Chaîne de jeton ou code QR
• Inscription sans contact
• Inscription Samsung Knox Mobile

Pour connaître les étapes suivantes, notamment comment inscrire des appareils avec chaque méthode d’approvisionnement, consultez Inscrire des appareils Android Enterprise appartenant à l’entreprise.