End-to-end-handleiding voor het configureren van Android Enterprise-apparaten in Microsoft Intune

  • Artikel

Deze handleiding helpt beheerders inzicht te hebben in het configureren en oplossen van problemen met Android Enterprise-apparaten in een Microsoft Intune-omgeving. Het behandelt de volgende veelvoorkomende scenario's:

  • Onboarding naar Google
  • Toepassingsimplementatie
  • Inschrijving van werkprofielen inschakelen
  • Voorwaardelijke toegang configureren
  • De eindgebruikerservaring van de registratie van het werkprofiel
  • Wachtwoordcode opnieuw instellen voor een werkprofiel

Het helpt u te bepalen welke beheermogelijkheid het beste is voor uw organisatie en biedt een veelgestelde vragen over Android Enterprise.

Uw behoeften evalueren

Voordat u Android Enterprise-apparaten inschakelt in Intune, moet u bepalen of u deze apparaten wilt inschrijven als persoonlijke apparaten (Bring Your Own Device of BYOD) of als zakelijke apparaten.

BYOD-apparaten

BYOD-apparaten zijn ingesteld op een Android Enterprise-werkprofiel. Deze functie is ingebouwd in Android 5.1 en latere versies. Met deze functie kunnen werk-apps en -gegevens worden opgeslagen in een afzonderlijke, zelfstandige, door het bedrijf beheerde ruimte op het apparaat. Omdat persoonlijke apps en gegevens op het apparaat blijven staan in het persoonlijke profiel van de gebruiker, kunnen werknemers hun apparaat blijven gebruiken zoals ze dat gewoonlijk zouden doen.

Zakelijke apparaten

Er zijn twee opties voor apparaten in bedrijfseigendom, die elk een unieke use-case hebben:

  • Toegewezen apparaten (voorheen bekend als COSU of eenmalig gebruik in bedrijfseigendom).

    Opmerking

    Het voorbeeld dat in deze handleiding wordt gebruikt, is gericht op BYOD-scenario's. Zie COSU-configuratie en -inschrijving met behulp van de registratiemethode voor QR-code voor meer informatie over scenario's voor toegewezen apparaten (COSU).

    Toegewezen apparaten zijn doorgaans vergrendeld voor één app of set apps (ook wel kioskmodus genoemd). Hiermee kan de beheerder dingen beheren, zoals de statusbalk, toetsenbordindelingen, het vergrendelingsscherm en andere instellingen op het apparaat. Hiermee voorkomt u dat gebruikers andere apps inschakelen of bepaalde instellingen op toegewezen apparaten wijzigen.

    Opmerking

    Apparaten die u op deze manier beheert, worden ingeschreven bij Intune zonder gebruikersaccount en zijn niet gekoppeld aan een eindgebruiker. Ze zijn niet bedoeld voor toepassingen voor persoonlijk gebruik of apps die een sterke vereiste hebben voor gebruikersspecifieke accountgegevens, zoals Outlook of Gmail.

  • Volledig beheerde apparaten (voorheen bekend als COBO of alleen bedrijfseigendom).

    Opmerking

    Zie Instellen Intune inschrijving van volledig beheerde Android Enterprise-apparaten voor meer informatie over volledig beheerde apparaten.

    Volledig beheerde apparaten passen in een meer gebruikersgericht scenario. Er wordt één gebruiker aan het apparaat gekoppeld, terwijl de beheerder nog steeds de volledige controle over het apparaat behoudt (in tegenstelling tot een werkprofielscenario, waarin meerdere gebruikers de controle hebben).

Wanneer u besluit hoe u uw apparaten wilt inschrijven, moet u er rekening mee houden dat niet alle functies beschikbaar zijn voor beide methoden. In de volgende tabel ziet u enkele belangrijke verschillen.

Functieset Werkprofiel (BYOD) Toegewezen (kiosk) Volledig beheerd
Beheerd Email-profiel ×
Beheerd Wi-Fi-profiel
Beheerd VPN-profiel ×
SCEP-certificaatprofiel
PKCS-certificaatprofiel ×
Vertrouwd certificaatprofiel
Aangepast profiel × X
Fabrieksinstellingen terugzetten voorkomen ×
Camera & schermopname blokkeren
Volumeknoppen blokkeren ×
Kopiëren en plakken blokkeren/Delen van gegevens
Beheerd wachtwoord
Beheerde toepassingen (vereist)
Beheerde toepassingen (beschikbaar) ×
Containerprofiel × X
Apparaatbeheer op kioskniveau × X
Persoonlijke Apparaatbeheer × X
NFC-Based-inschrijving ×
Token-Based-inschrijving ×
QR-Code-Based-inschrijving ×
Zero Touch ×
Naleving/voorwaardelijke toegang ×

Zie Uw Microsoft Intune-plan implementeren voor meer informatie.

Een Intune-account verbinden met een Android Enterprise-account

De eerste stap voor het configureren van Android Enterprise in uw omgeving is het verbinden van uw Intune tenantaccount met uw Android Enterprise-account:

  1. Maak een Google-serviceaccount (@gmail.com).

    Opmerking

    Dit account wordt gekoppeld aan alle Android Enterprise-beheertaken voor uw tenant. Het is het Google-account dat de IT-beheerders van uw bedrijf delen voor het beheren en publiceren van apps in de Google Play-console. U kunt een bestaand Google-account gebruiken of een nieuw account maken. Het account dat u gebruikt, mag niet zijn gekoppeld aan een G-Suite-domein.

  2. Meld u aan bij het Microsoft Intune-beheercentrum met uw globale beheerdersaccount met Intune licentie.

  3. Ga naar Apparaten>Android>Android Enrollment>Managed Google Play, selecteer Ik ga akkoord en selecteer vervolgens Google starten om nu verbinding te maken om de beheerde Google Play-website te openen.

    Schermopname van de pagina Managed Google Play, waar u Google kunt starten om verbinding te maken.

  4. Meld u aan bij uw Google-account en selecteer vervolgens Aan de slag.

    Selecteer Pagina Aan de slag.

  5. Voer uw bedrijfsnaam in en selecteer volgende.

    Voer uw bedrijfsnaampagina in.

  6. Accepteer de voorwaarden en selecteer bevestigen.

  7. Selecteer Registratie voltooien.

    Selecteer De pagina Registratie voltooien.

Zie Uw Intune-account verbinden met uw beheerde Google Play-account voor meer informatie.

Toepassingen implementeren

Nadat uw Intune-account is verbonden met uw Android Enterprise-account, kunt u sommige toepassingen implementeren door deze stappen te volgen:

  1. Meld u aan bij het Microsoft Intune-beheercentrum met uw globale beheerdersaccount met Intune licentie.

  2. Ga naar Apps>Alle apps>toevoegen.

  3. Zoek in het deelvenster App-type selecteren de beschikbare typen Store-apps en selecteer vervolgens Beheerde Google Play-app.

  4. Selecteer Selecteren. De beheerde Google Play-app store wordt weergegeven.

    De beheerde Google Play-app store.

  5. Zoek naar een app om de details van de app weer te geven. Voorbeeld: Intune-bedrijfsportal app.

  6. Selecteer Goedkeuren op de pagina waarop de app wordt weergegeven. Er wordt een venster voor de app geopend en u wordt gevraagd machtigingen te geven voor de app om verschillende bewerkingen uit te voeren.

    Selecteer Goedkeuren in het voorbeeld Intune-bedrijfsportal.

  7. Selecteer nogmaals Goedkeuren om de app-machtigingen te accepteren.

    Selecteer nogmaals Goedkeuren om de app-machtigingen te accepteren.

  8. Selecteer op het tabblad Goedkeuringsinstellingende optie Goedgekeurd blijven wanneer de app nieuwe machtigingen aanvraagt en selecteer vervolgens Opslaan.

    Selecteer Goedgekeurd blijven wanneer app nieuwe machtigingen aanvraagt op het tabblad Goedkeuringsinstellingen.

  9. Klik op Selecteren om de app te selecteren.

  10. Selecteer Synchroniseren bovenaan om de app te synchroniseren met de beheerde Google Play-service.

  11. Selecteer Vernieuwen om de lijst met apps bij te werken en de zojuist toegevoegde app weer te geven.

    Opmerking

    De app-synchronisatie tussen Intune en de beheerde Google Play Store is handmatig. Daarom moet u de knop Synchroniseren selecteren telkens wanneer u een nieuwe app goedkeurt.

  12. Nadat de app is toegevoegd aan Microsoft Intune, kunt u de app toewijzen aan gebruikers en apparaten. Ga in het Microsoft Intune-beheercentrum naar Apps>Alle apps. Kijk onder Beheren om de app te zien die in de lijst wordt weergegeven.

    De pagina Alle apps in het Microsoft Intune-beheercentrum.

  13. Als u de app wilt toewijzen aan een groep, selecteert u de app die u wilt toewijzen. Selecteer in de sectie Beheren van het menu de optie Eigenschappen en selecteer vervolgens Bewerken naast Toewijzingen om het deelvenster Groep toevoegen te openen .

    Selecteer Eigenschappen en vervolgens Toewijzingen.

  14. Selecteer op het tabblad Toewijzingen onder Vereist de optie Groep toevoegen, selecteer de groepen die u wilt opnemen en selecteer vervolgens Selecteren.

    Selecteer Groep toevoegen onder Vereist.

  15. Selecteer in het deelvenster Toewijzende optie Controleren en opslaan om de selectie van opgenomen groepen te voltooien.

  16. Selecteer in het deelvenster Toewijzingende optie Opslaan om de wijzigingen op te slaan.

  17. Ga terug naar de weergave App-eigenschappen en controleer de app onder Toewijzingen.

    Bevestig de app-toewijzing.

Zie Android Enterprise-systeemapps toevoegen aan Microsoft Intune voor meer informatie over app-implementatie.

Inschrijving van Android Enterprise-werkprofielen inschakelen

  1. Ga in de Intune-portal naarInschrijvingsbeperkingen voor apparaatinschrijving> en selecteer vervolgens Standaard onder Apparaattypebeperkingen.

    Het scherm Beperkingen voor apparaattypen.

  2. Selecteer Eigenschappen>Selecteer platforms, selecteer Blokkeren voor Android, selecteer Werkprofiel toestaan voor Android, selecteer OK en selecteer vervolgens Opslaan om uw wijzigingen op te slaan.

    Het scherm met inschrijvingseigenschappen.

    Opmerking

    Standaardbeperkingen hebben de laagste prioriteit en zijn van toepassing op alle gebruikers. Dit kan niet worden bewerkt. Wanneer u aanvullende aangepaste beperkingen maakt, moet u rekening houden met de groepen waaraan ze zijn toegewezen, zodat u geen conflict met deze configuratie veroorzaakt.

Zie Inschrijving van Android Enterprise-apparaten met een werkprofiel instellen voor meer informatie.

Voorwaardelijke toegang configureren

  1. Implementeer de Gmail-app of de Nine Work-app als vereist.

  2. Maak een e-mailprofiel voor de app door de volgende stappen uit te voeren:

    1. Selecteer in de Intune Azure Portal Apparaatconfiguratieprofielen>>Profiel maken en voer vervolgens Naam en Beschrijving in voor het e-mailprofiel.

    2. Selecteer Android Enterprise in de vervolgkeuzelijst Platform .

    3. Selecteer in Profieltype>Alleen werkprofielde optie Email.

    4. Configureer de e-mailprofielinstellingen.

      Configureer de e-mailprofielinstellingen.

      Zie Android-apparaatinstellingen voor het configureren van e-mail, verificatie en synchronisatie in Intune voor meer informatie over deze instellingen.

  3. Nadat u het e-mailprofiel hebt gemaakt, wijst u het toe aan groepen.

    Scherm Toewijzingen.

  4. Op apparaten gebaseerde voorwaardelijke toegang configureren.

Zie Voorwaardelijke toegang instellen voor apparaten met een Android-werkprofiel voor meer informatie.

Uw Android Enterprise-apparaat inschrijven

  1. Meld u aan met uw werkaccount en tik op Nu inschrijven.

    Scherm Nu inschrijven.

  2. Tik op het scherm Toegang instellen op Doorgaan.

    Scherm Instellingen van Access.

  3. Tik in het scherm privacyverklaring op Doorgaan.

    Scherm Privacyverklaring.

  4. Tik in het scherm Wat is de volgende stap op Volgende.

    Wat is het volgende scherm?

  5. Tik in het scherm Een werkprofiel instellen op Accepteren.

    Een werkprofielscherm instellen.

  6. Tik in het scherm Werkprofiel activeren op Doorgaan.

    Het scherm Werkprofiel activeren.

    Opmerking

    U ziet een badgepictogram bovenaan, wat betekent dat u zich nu in het werkprofiel bevindt.

  7. Tik op het scherm U bent helemaal ingesteld op Gereed.

    U bent helemaal klaar op het scherm.

  8. U kunt zich nu aanmelden bij Gmail. Wanneer u wordt gevraagd de beveiligingsinstellingen bij te werken, tikt u op NU BIJWERKEN.

    Scherm beveiligingsupdate.

  9. Tik op Activeren om Gmail te activeren als apparaatbeheerder.

    Scherm Apparaatbeheerder.

Zie Android-apparaten inschrijven voor meer informatie.

Wachtwoordcodes voor Android-werkprofielen opnieuw instellen

  1. Maak een apparaatprofiel waarvoor een wachtwoordcode voor het werkprofiel is vereist door de volgende stappen uit te voeren:

    1. Selecteer in de Intune Azure Portal Apparaatconfiguratieprofielen>>Profiel maken en voer Naam en Beschrijving in voor het profiel.

    2. Selecteer Android Enterprise in de vervolgkeuzelijst Platform .

    3. Selecteer in Profieltype>Alleen werkprofielde optie Apparaatbeperkingen.

    4. Selecteer in Instellingen voor werkprofielde optie Vereisen in Wachtwoord voor werkprofiel vereisen.

      Pagina met eigenschappen van werkprofiel.

  2. Op het Android Enterprise-apparaat wordt u gevraagd een wachtwoordcode voor een werkprofiel in te stellen als u er nog geen hebt ingesteld.

  3. Wacht totdat u een tweede prompt ontvangt met de tekst Uw werkprofiel beveiligen : autoriseert het ondersteuningsondersteuningsbedrijf om het wachtwoord van uw werkprofiel op afstand opnieuw in te stellen. Voer uw wachtwoordcode in om het opnieuw instellen te autoriseren. Hiermee wordt het token voor het opnieuw instellen van het wachtwoord geactiveerd dat Intune nodig heeft om deze actie met succes uit te voeren.

    Beveilig uw werkprofielscherm.

    Opmerking

    Als u een van deze stappen overslaat, ontvangt u het volgende foutbericht:
    Het initiëren van wachtwoordcode opnieuw instellen is mislukt

  4. Selecteer Wachtwoordcode opnieuw instellen.

    Wachtwoordcodescherm opnieuw instellen.

  5. Nadat het opnieuw instellen is voltooid, wordt de tijdelijke wachtwoordcode weergegeven.

    Wachtwoordcode voltooid scherm opnieuw instellen.

  6. Voer deze tijdelijke wachtwoordcode in op uw apparaat.

  7. Wanneer u uw nieuwe pincode moet instellen, moet u deze tijdelijke wachtwoordcode opnieuw invoeren en vervolgens uw nieuwe pincode invoeren.

Zie Wachtwoordcodes voor Android-werkprofielen opnieuw instellen voor meer informatie over het opnieuw instellen van de wachtwoordcode.

Veelgestelde vragen

  • Vraag: Waarom worden apps die ik niet heb goedgekeurd uit de Google Play for Work Store niet verwijderd van de pagina Mobiele apps in de Intune Beheer Portal?

    Antwoord: Dit gedrag wordt verwacht.

  • Vraag: Waarom worden beheerde Google Play-apps niet gerapporteerd onder Gedetecteerde apps in de Intune-portal?

    Antwoord: Dit gedrag wordt verwacht.

  • Vraag: Waarom worden beheerde Google Play-apps die niet zijn geïmplementeerd via Intune weergegeven in het werkprofiel?

    Antwoord: Systeem-apps kunnen worden ingeschakeld in het werkprofiel door de OEM van het apparaat op het moment dat het werkprofiel wordt gemaakt. Dit wordt niet beheerd door de MDM-provider.

    Volg deze stappen om problemen op te lossen:

    1. Verzamel Bedrijfsportal logboeken.
    2. Noteer alle apps die onverwacht in het werkprofiel worden weergegeven.
    3. De registratie van het apparaat bij Intune ongedaan maken en de Bedrijfsportal verwijderen.
    4. Installeer de test-DPC-app waarmee u een werkprofiel kunt maken zonder een EMM om te testen.
    5. Volg de instructies in DPC testen om een werkprofiel op het apparaat te maken.
    6. Controleer apps die worden weergegeven in het werkprofiel.
    7. Als dezelfde toepassingen worden weergegeven in de DPC-test-app, worden de apps verwacht door de OEM voor dat apparaat.

  • Vraag: Waarom is de optie Wissen (fabrieksinstellingen terugzetten) niet beschikbaar voor mijn ingeschreven apparaat met een werkprofiel?

    Antwoord: Dit gedrag wordt verwacht. In het werkprofielscenario heeft de MDM-provider geen volledige controle over het apparaat. De enige beschikbare optie is Buiten gebruik stellen (Bedrijfsgegevens verwijderen), waardoor het volledige werkprofiel en alle inhoud ervan worden verwijderd.

  • Vraag: Waarom kan ik het bestandspad Interne opslag/Android/Data.com.microsoft.windowsintune.companyportal/files niet vinden op mijn apparaat met een werkprofiel dat is ingeschreven om handmatig Bedrijfsportal logboeken te verzamelen?

    Antwoord: Dit gedrag wordt verwacht. Dit pad wordt alleen gemaakt voor het scenario Apparaat Beheer (verouderde Android-inschrijving).

    Volg deze stappen om logboeken te verzamelen:

    1. Tik in de Bedrijfsportal-app met de badge op Menu>Help>Email Ondersteuning en tik vervolgens op Verzenden Email & Logboeken uploaden.
    2. Wanneer u wordt gevraagd om Help-aanvraag verzenden met, selecteert u een van de Email apps.
    3. Er wordt een e-mail gegenereerd naar uw IT-beheerder met een incident-id die kan worden verstrekt aan de productondersteuning van Microsoft.

  • Vraag: Ik heb de tijd voor de laatste synchronisatie van Beheerde Google Play gecontroleerd en deze is niet in dagen bijgewerkt. Waarom?

    Antwoord: Dit gedrag wordt verwacht. De synchronisatie wordt alleen geactiveerd wanneer u dit handmatig doet.

  • Vraag: Worden webtoepassingen ondersteund voor apparaten met een werkprofiel?

    Antwoord: Ja. Web-apps (of webkoppelingen) worden ondersteund voor alle Android Enterprise-scenario's.

  • Vraag: Wordt het opnieuw instellen van de wachtwoordcode van het apparaat ondersteund?

    Antwoord: Voor apparaten met een werkprofiel die zijn ingeschreven, kunt u de wachtwoordcode voor het werkprofiel alleen opnieuw instellen op apparaten met Android 8.0+ als de wachtwoordcode voor het werkprofiel wordt beheerd en de gebruiker heeft toegestaan dat u deze opnieuw instelt. Voor toegewezen en volledig beheerde apparaten wordt het opnieuw instellen van de wachtwoordcode van het apparaat ondersteund.

  • Vraag: Mijn apparaat moet worden versleuteld bij de inschrijving. Is er een optie om versleuteling uit te schakelen?

    Antwoord: Nee. Versleuteling is vereist door Google voor het werkprofiel.

  • Vraag: Waarom blokkeren Samsung-apparaten het gebruik van toetsenborden van derden, zoals SwiftKey?

    Antwoord: Samsung begon dit af te dwingen op Android 8.0+-apparaten. Microsoft werkt momenteel samen met Samsung aan dit probleem en plaatst nieuwe informatie zodra deze beschikbaar is.