Configurer l’inscription à Intune pour les appareils Android Entreprise dédiés

Android Enterprise prend en charge les appareils à usage unique de type kiosque appartenant à l’entreprise avec sa solution d’appareils dédiés. Ces appareils sont utilisés à des fins uniques, telles que la signalisation numérique, l’impression de tickets ou la gestion des stocks. Les administrateurs peuvent verrouiller l’utilisation d’un appareil à une seule application ou à un ensemble limité d’applications, dont des applications web. Les utilisateurs ne peuvent pas ajouter d’autres applications ou effectuer des actions sur l’appareil, sauf s’ils sont explicitement approuvés par les administrateurs.

Les appareils destinés à une utilisation dédiée peuvent être inscrits dans Microsoft Intune de deux manières différentes :

• Comme un appareil Android Entreprise standard dédié. Ces appareils sont inscrits dans Intune sans compte d’utilisateur et ne sont pas associés à un utilisateur. Ces appareils ne sont pas destinés aux applications personnelles, ni aux applications telles qu’Outlook ou Gmail qui nécessitent des données de compte spécifiques à l’utilisateur.

• En tant qu’appareil android entreprise dédié standard configuré automatiquement avec Microsoft Authenticator et configuré pour Microsoft Entra mode d’appareil partagé lors de l’inscription. Ces appareils sont inscrits dans Intune sans compte d’utilisateur et ne sont pas associés à un utilisateur. Ces appareils sont destinés à être utilisés avec des applications qui s’intègrent à Microsoft Entra mode d’appareil partagé et permettent l’authentification unique et la déconnexion entre les utilisateurs dans les applications participantes.

Cet article explique comment configurer et configurer Microsoft Intune pour inscrire des appareils dédiés. Pour plus d’informations sur les solutions de gestion Android Enterprise, consultez Prise en main d’Android Enterprise(ouvre le Centre d’aide Android Enterprise).

Configuration requise de l’appareil

Les appareils doivent avoir :

• Android OS version 8.0 ou ultérieure.
• Distribution d’Android avec une connectivité Google Mobile Services (GMS). Les appareils doivent avoir accès à GMS et doivent pouvoir s’y connecter.

Configurer la gestion d’appareils Android Enterprise dédiés

Pour configurer la gestion d’appareils Android Enterprise dédiés, effectuez les étapes suivantes :

1. Pour préparer la gestion des appareils mobiles, vous devez définir l’autorité de gestion des appareils mobiles (MDM) sur Microsoft Intune afin d’obtenir des instructions. Cet élément ne se définit qu’une seule fois, quand vous configurez pour la première fois Intune pour la gestion des appareils mobiles.
2. Liez votre compte Google Play géré à votre compte d’abonné Intune.
3. Créez un profil d’inscription.
4. Créez un groupe d’appareils.
5. Inscrire les appareils dédiés.

Créer un profil d’inscription

Remarque

Une fois qu’un jeton a expiré, le profil qui lui est associé disparaît de la vue dans l’inscription> AndroidAppareils dédiés appartenant à l’entreprise. Pour afficher tous les profils associés aux jetons actifs et inactifs, choisissez Filtrer. Activez ensuite les cases à cocher pour les états de stratégie Actif et Inactif .

Vous devez créer un profil d’inscription pour pouvoir inscrire vos appareils dédiés. Lorsque le profil est créé, il vous fournit un jeton d’inscription sous la forme d’une chaîne et d’un code QR.

1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Accédez à Inscription des appareils>.
3. Sélectionnez l’onglet Android .
4. Dans la section Profils d’inscription , choisissez Appareils dédiés appartenant à l’entreprise.
5. Sélectionnez Créer un profil.
6. Entrez les principes de base de votre profil :
   • Nom : donnez un nom à votre profil afin que vous puissiez facilement l’identifier ultérieurement.
   • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
   • Type de jeton : choisissez le type de jeton que vous souhaitez utiliser pour inscrire des appareils dédiés.
     • Appareil dédié à l’entreprise (par défaut) : ce jeton inscrit les appareils comme un appareil Android Enterprise standard dédié. Ces appareils ne nécessitent aucune information d’identification de l’utilisateur à aucun moment. Il s’agit du type de jeton par défaut avec lequel les appareils dédiés sont inscrits, sauf s’ils sont mis à jour par l’administrateur au moment de la création du jeton.
     • Appareil dédié appartenant à l’entreprise avec Microsoft Entra ID mode partagé : ce jeton inscrit les appareils en tant qu’appareil android entreprise dédié standard et, lors de l’inscription, déploie l’application Microsoft Authenticator configurée en mode d’appareil partagé Microsoft Entra. Avec cette option, les utilisateurs peuvent obtenir l’authentification unique et la déconnexion unique sur les applications sur l’appareil qui sont intégrées à la bibliothèque d’authentification Microsoft Microsoft Entra et aux appels de connexion/déconnexion globaux.
   • Date d’expiration du jeton : entrez la date à laquelle vous souhaitez que le jeton expire, jusqu’à 65 ans à l’avenir. Le jeton expire à la date sélectionnée à 12 :59 :59 PM dans le fuseau horaire qu’il a été créé. Format de date acceptable : MM/DD/YYYY ou YYYY-MM-DD
7. Sélectionnez Suivant pour passer à Balises d’étendue.
8. Si vous le souhaitez, appliquez une ou plusieurs balises d’étendue pour limiter la visibilité et la gestion des profils à certains utilisateurs administrateurs dans Intune. Pour plus d’informations sur l’utilisation des balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
9. Sélectionnez Suivant pour continuer à Vérifier + créer.
10. Passez en revue vos choix, puis sélectionnez Créer pour terminer la création du profil.

Jeton d’inscription d’accès

Accédez au jeton d’inscription dans le centre d’administration.

1. Accédez à Inscription des appareils>.
2. Sélectionnez l’onglet Android .
3. Dans la section Profils d’inscription , choisissez Appareils dédiés appartenant à l’entreprise.
4. Dans la liste, sélectionnez votre profil d’inscription.
5. Sélectionnez Jeton.

Le jeton apparaît sous la forme d’une chaîne à 20 chiffres et d’un code QR. Utilisez ce jeton pour inscrire des appareils via les mécanismes décrits dans Inscrire des appareils avec profil professionnel dédiés, entièrement gérés ou appartenant à l’entreprise. Au moment de l’inscription, l’utilisateur de l’appareil est invité à entrer le jeton d’inscription. Vous pouvez fournir la chaîne ou qr, tant qu’elle est prise en charge par le système d’exploitation Android et la version de l’appareil d’inscription.

Remplacer, supprimer ou exporter un jeton

Sélectionnez un jeton pour accéder à ces options :

• Remplacer le jeton : générez un nouveau jeton qui arrive à expiration.
• Révoquer le jeton : expire immédiatement le jeton. Une fois révoqué, le jeton n’est plus utilisable. Cette option est utile si vous :
  • Partagez accidentellement le jeton avec un tiers non autorisé.
  • Terminez toutes les inscriptions et n’avez plus besoin du jeton.
• Exporter le jeton : exportez le contenu JSON du jeton. Cette option est utile pour obtenir le contenu JSON nécessaire pour configurer Google Zero Touch ou Knox Mobile Enrollment.

Lorsqu’elles sont appliquées, ces actions n’ont aucun effet sur les appareils déjà inscrits.

Créer un groupe d'appareils

Vous pouvez cibler des applications et des stratégies à des groupes d’appareils dynamiques ou affectés. Vous pouvez configurer des groupes d’appareils Microsoft Entra dynamiques pour remplir automatiquement les appareils inscrits avec un profil d’inscription particulier en procédant comme suit :

1. Connectez-vous au centre d’administration Microsoft Intune et choisissez Groupes>Tous les groupes>Nouveau groupe.
2. Dans le panneau Groupe, renseignez les champs obligatoires comme suit :
   • Type de groupe : Sécurité
   • Nom du groupe : tapez un nom intuitif (par exemple « appareils de l’usine n°1 »)
   • Type d’appartenance : Appareil dynamique
3. Choisissez Ajouter une requête dynamique.
4. Dans le panneau Règles d’appartenance dynamique, renseignez les champs comme suit :
   • Ajouter une règle d’appartenance dynamique : Règle simple
   • Ajouter des appareils où : nom_profil_inscription
   • Dans la zone du milieu, choisissez Est égal à.
   • Dans le dernier champ, entrez le nom du profil d’inscription que vous avez créé. Pour plus d’informations sur les règles d’appartenance dynamique, consultez Règles d’appartenance dynamique pour les groupes dans Microsoft Entra ID.
5. Choisissez Ajouter une requête>Créer.

Inscrire les appareils dédiés

Vous pouvez à présent inscrire vos appareils dédiés.

Remarque

L’application Microsoft Intune est automatiquement installée lors de l’inscription d’un appareil dédié. Cette application est requise pour l’inscription et ne peut pas être désinstallée. L’application Microsoft Authenticator sera automatiquement installée lors de l’inscription d’un appareil dédié lors de l’utilisation du type de jeton Appareil dédié appartenant à l’entreprise avec Microsoft Entra ID mode partagé. Cette application est requise pour cette méthode d’inscription et ne peut pas être désinstallée.

Gestion d’applications sur des appareils Android Entreprise dédiés

Seules les applications qui ont le type Affectation défini sur Obligatoire peuvent être installées sur des appareils Android Entreprise dédiés. Les applications sont installées à partir du Google Play Store géré de la même manière que les appareils Android Enterprise avec profil professionnel appartenant à l’utilisateur et appartenant à l’entreprise.

Les applications sont mises à jour automatiquement sur les appareils gérés quand le développeur d’application publie une mise à jour sur Google Play.

Pour supprimer une application sur des appareils Android Entreprise dédiés, vous pouvez effectuer l’une des opérations suivantes :

• Supprimez le déploiement d’application Obligatoire.
• Créez un déploiement de désinstallation pour l’application.

Prochaines étapes

• Déployer des applications Android
• Ajouter des stratégies de configuration Android