Configurer l’inscription à Intune pour les appareils Android Entreprise dédiés

Android Enterprise prend en charge les appareils appartenant à l’entreprise, à usage unique et de style kiosque avec son ensemble de solutions pour appareils dédié. Ces appareils sont destinés à un usage unique, tel que la signalisation numérique, l’impression de ticket ou la gestion des stocks, pour n’en nommer que quelques-uns. Les administrateurs peuvent verrouiller l’utilisation d’un appareil à une seule application ou à un ensemble limité d’applications, dont des applications web. Les utilisateurs ne peuvent pas ajouter d’autres applications ni effectuer des actions sur l’appareil, sauf s’ils sont explicitement approuvés par les administrateurs.

Les appareils que vous gérez de cette manière peuvent être inscrits auprès d’Intune de deux façons différentes :

  1. Comme un appareil Android Entreprise standard dédié. Ces appareils sont inscrits auprès d’Intune sans compte d’utilisateur et ne sont associés à aucun utilisateur final. Ils ne sont pas conçus pour les applications à usage personnel, ni pour celles qui exigent un grand nombre de données de compte propres à l’utilisateur, comme Outlook ou Gmail.

  2. Comme un appareil Android Entreprise standard dédié qui est automatiquement installé avec l’application Authenticator de Microsoft configurée en mode Appareil partagé Azure AD lors de l’inscription. Ces appareils sont inscrits auprès d’Intune sans compte d’utilisateur et ne sont associés à aucun utilisateur final. Ces appareils sont conçus pour être utilisés avec les applications intégrées au mode Appareil partagé Azure AD pour permettre une connexion unique et une déconnexion unique entre les utilisateurs dans les applications participantes.

Intune vous aide à déployer des applications et des paramètres sur des appareils Android Enterprise dédiés. Pour plus d’informations sur Android Entreprise, voir Exigences Android Entreprise.

Exigences relatives aux appareils

Les appareils doivent respecter les exigences suivantes pour pouvoir être gérés en tant qu’appareils Android Entreprise dédiés :

  • Système d’exploitation Android versions 6.0 et ultérieures.
  • Les appareils doivent exécuter une distribution d’Android qui dispose d’une connectivité GMS (Google Mobile Services). Les appareils doivent avoir accès à GMS et doivent pouvoir s’y connecter.

Configurer la gestion d’appareils Android Enterprise dédiés

Pour configurer la gestion d’appareils Android Enterprise dédiés, effectuez les étapes suivantes :

  1. Pour préparer la gestion des appareils mobiles, vous devez définir l’autorité de gestion des appareils mobiles (MDM) sur Microsoft Intune afin d’obtenir des instructions. Cet élément ne se définit qu’une seule fois, quand vous configurez pour la première fois Intune pour la gestion des appareils mobiles.
  2. Liez votre compte Google Play géré à votre compte d’abonné Intune.
  3. Créez un profil d’inscription.
  4. Créez un groupe d’appareils.
  5. Inscrire les appareils dédiés.

Créer un profil d’inscription

Notes

Si un jeton a expiré, le profil qui lui est associé ne sera pas affiché dans Inscription des appareils > Inscription Android > Appareils dédiés appartenant à l’entreprise. Pour voir tous les profils associés aux jetons actifs et inactifs, cliquez sur Filtre, puis cochez les cases pour les états de stratégie « Actif » et « Inactif ».

Vous devez créer un profil d’inscription pour pouvoir inscrire vos appareils dédiés. Quand le profil est créé, vous obtenez un jeton d’inscription (chaîne aléatoire) et un code QR. En fonction du système d’exploitation Android et de la version de l’appareil, vous pouvez utiliser le jeton ou le code QR pour inscrire l’appareil dédié.

  1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager et choisissez Appareils > Android > Inscription Android > Appareils dédiés appartenant à l’entreprise.
  2. Choisissez Créer et remplissez les champs requis.
    • Nom : tapez un nom que vous utiliserez lors de l’affectation du profil au groupe d’appareils dynamique.
    • Type de jeton : choisissez le type de jeton que vous souhaitez utiliser pour inscrire des appareils dédiés.
      • Appareil dédié à l’entreprise (par défaut)  : ce jeton inscrit les appareils comme un appareil Android Enterprise standard dédié. Ces appareils ne nécessitent aucune information d’identification de l’utilisateur à aucun moment. Il s’agit du type de jeton par défaut avec lequel les appareils dédiés sont inscrits, sauf s’ils sont mis à jour par l’administrateur au moment de la création du jeton.
      • Appareil dédié détenu par l’entreprise avec mode partagé Azure AD : ce jeton inscrit les appareils comme des appareils dédiés Android Enterprise standard et, lors de l’inscription, déploie l’application Microsoft Authenticator configurée en mode Appareil partagé Azure AD. Avec cette option, les utilisateurs peuvent obtenir une connexion unique et une déconnexion unique entre les applications sur l’appareil qui sont intégrées aux appels de connexion/déconnexion globaux et à la bibliothèque d’authentification Microsoft Azure AD.
    • Date d’expiration du jeton : date à laquelle le jeton expire. Google applique un maximum de 90 jours.
  3. Sélectionnez Créer pour enregistrer le profil.

Créer un groupe d'appareils

Vous pouvez cibler des applications et des stratégies à des groupes d’appareils dynamiques ou affectés. Vous pouvez configurer des groupes d’appareils Azure AD dynamiques de façon à spécifier automatiquement des appareils qui sont inscrits avec un profil d’inscription particulier en suivant ces étapes :

  1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager et choisissez Groupes > Tous les groupes > Nouveau groupe.
  2. Dans le panneau Groupe, renseignez les champs obligatoires comme suit :
    • Type de groupe : Sécurité
    • Nom du groupe : tapez un nom intuitif (par exemple, « appareils de l’usine n°1 »)
    • Type d’appartenance : appareil dynamique
  3. Choisissez Ajouter une requête dynamique.
  4. Dans le panneau Règles d’appartenance dynamique, renseignez les champs comme suit :
    • Ajouter une règle d’appartenance dynamique : règle simple
    • Ajouter des appareils où : nom_profil_inscription
    • Dans la zone du milieu, choisissez Est égal à.
    • Dans le dernier champ, entrez le nom du profil d’inscription que vous avez créé. Pour plus d’informations sur les règles d’appartenance dynamique, consultez Règles d’appartenance dynamique pour les groupes dans Azure AD.
  5. Choisissez Ajouter une requête > Créer.

Remplacer ou supprimer des jetons

  • Remplacer le jeton : Vous pouvez générer un nouveau jeton/code QR quand sa date d’expiration approche à l’aide de l’option Remplacer le jeton.
  • Révoquer le jeton : Vous pouvez faire en sorte que le jeton/code QR expire immédiatement. À partir de ce moment-là, le jeton/code QR n’est plus utilisable. Vous pouvez utiliser cette option si vous :
    • partagez accidentellement le jeton/code QR avec un tiers non autorisé.
    • effectuez toutes les inscriptions et n’avez plus besoin du jeton/code QR.

Le remplacement ou la révocation d’un jeton/code QR n’a aucun effet sur les appareils qui sont déjà inscrits.

  1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager et choisissez Appareils > Android > Inscription Android > Appareils dédiés appartenant à l’entreprise.
  2. Choisissez le profil à utiliser.
  3. Choisissez Jeton.
  4. Pour remplacer le jeton, choisissez Remplacer le jeton.
  5. Pour révoquer le jeton, choisissez Révoquer le jeton.

Inscrire les appareils dédiés

Vous pouvez à présent inscrire vos appareils dédiés.

Notes

L’application Microsoft Intune est automatiquement installée lors de l’inscription d’un appareil dédié. Cette application est requise pour l’inscription et ne peut pas être désinstallée. L’application Microsoft Authenticator est automatiquement installée pendant l’inscription d’un appareil dédié si le type de jeton utilisé est Appareil dédié détenu par l’entreprise avec mode partagé Azure AD. Cette application est requise pour cette méthode d’inscription et ne peut pas être désinstallée.

Gestion d’applications sur des appareils Android Entreprise dédiés

Seules les applications dont le type Affectation a la valeur Obligatoire peuvent être installées sur des appareils Android Entreprise dédiés. Les applications sont installées à partir du Google Play Store géré de la même manière que les appareils avec profils professionnels Android Enterprise appartenant à l’utilisateur et appartenant à l’entreprise.

Les applications sont mises à jour automatiquement sur les appareils gérés quand le développeur d’application publie une mise à jour sur Google Play.

Pour supprimer une application sur des appareils Android Entreprise dédiés, vous pouvez effectuer l’une des opérations suivantes :

  • Supprimez le déploiement d’application Obligatoire.
  • Créez un déploiement de désinstallation pour l’application.

Étapes suivantes