Einrichten der Intune-Registrierung für dedizierte Android Enterprise-Geräte
Verwenden Sie die Dedizierte Android Enterprise-Gerätelösung mit Microsoft Intune, um unternehmenseigene Kioskgeräte im Stil eines einmaligen Einsatzes für Mitarbeiter in Service und Produktion einzurichten. Diese Geräte werden für einen einzigen Zweck verwendet, z. B. digitale Beschilderung, Ticketdruck oder Bestandsverwaltung. Als Administrator können Sie die Nutzung eines Geräts für eine einzelne App oder eine begrenzte Anzahl von Apps einschließlich Web-Apps sperren. Benutzer werden daran gehindert, andere Apps hinzuzufügen oder Aktionen auf dem Gerät auszuführen, es sei denn, Sie haben dies explizit genehmigt.
Geräte, die für dedizierte Zwecke bestimmt sind, können in Microsoft Intune auf zwei Arten registriert werden:
Als dediziertes Android Enterprise-Standardgerät: Diese Geräte werden ohne Benutzerkonto bei Intune registriert und sind keinem Benutzer zugeordnet. Diese Geräte sind nicht für persönliche Apps oder Apps wie Microsoft Outlook oder Google Mail vorgesehen, die benutzerspezifische Kontodaten erfordern.
Als dediziertes Android Enterprise-Standardgerät, das automatisch mit Microsoft Authenticator eingerichtet und während der Registrierung für den Modus für gemeinsam genutzte Microsoft Entra-Geräte konfiguriert wird. Diese Geräte sind in Intune ohne Benutzerkonto registriert und keinem Benutzer zugeordnet. Diese Geräte sind für die Verwendung mit Apps vorgesehen, die in den Modus für gemeinsam genutzte Microsoft Entra-Geräte integriert werden und das einmalige Anmelden und Abmelden zwischen Benutzern in teilnehmenden Apps ermöglichen.
In diesem Artikel wird beschrieben, wie Sie Microsoft Intune einrichten und konfigurieren, um dedizierte Geräte zu registrieren. Weitere Informationen zu Android Enterprise-Verwaltungslösungen finden Sie unter Erste Schritte mit Android Enterprise (öffnet android Enterprise Help Center).
Geräteanforderungen
Geräte müssen über Folgendes verfügen:
- Android-Betriebssystemversion 8.0 oder höher.
- Eine Android-Distribution mit GmS-Konnektivität (Google Mobile Services). Geräte müssen über GMS verfügen und dazu in der Lage sein, eine Verbindung mit GMS herzustellen.
Einrichten der Verwaltung von dedizierten Android Enterprise-Geräten
Führen Sie die folgenden Schritte aus, um die Verwaltung für dedizierte Android Enterprise-Geräte einzurichten:
- Sie müssen Microsoft Intune als MDM-Autorität (Verwaltung mobiler Geräte) festlegen, um die Verwaltung mobiler Geräte vorzubereiten. Sie legen dieses Element nur einmal fest, wenn Sie die Ersteinrichtung von Intune für die Verwaltung mobiler Geräte durchführen.
- Verknüpfen Sie Ihr Intune-Mandantenkonto mit Ihrem verwalteten Google Play-Konto.
- Erstellen Sie ein Registrierungsprofil.
- Erstellen Sie eine Gerätegruppe.
- Registrieren Sie die dedizierten Geräte.
Erstellen eines Registrierungsprofils
Hinweis
Nach Ablauf eines Tokens verschwindet das zugeordnete Profil unter Registrierungsprofileunternehmenseigene dedizierte Geräte unter Android-Registrierungsprofile>>. Um alle Profile anzuzeigen, die sowohl aktiven als auch inaktiven Token zugeordnet sind, wählen Sie Filter aus. Aktivieren Sie dann die Kontrollkästchen für die Richtlinienstatus Aktiv und Inaktiv .
Sie müssen ein Registrierungsprofil erstellen, damit Sie Ihre dedizierten Geräte registrieren können. Wenn das Profil erstellt wird, erhalten Sie ein Registrierungstoken in Form einer Zeichenfolge und eines QR-Codes.
- Melden Sie sich beim Microsoft Intune Admin Center an.
- Wechseln Sie zu Geräte, und wählen Sie dann unter Geräte-Onboarding die Option Registrierung aus.
- Wählen Sie die Registerkarte Android aus.
- Wählen Sie im Abschnitt Registrierungsprofile die Option Unternehmenseigene dedizierte Geräte aus.
- Wählen Sie Profil erstellen aus.
- Geben Sie die Grundlagen für Ihr Profil ein:
- Name: Geben Sie Ihrem Profil einen Namen, damit Sie es später leicht identifizieren können.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
-
Tokentyp: Wählen Sie den Tokentyp aus, den Sie zum Registrieren dedizierter Geräte verwenden möchten.
- Unternehmenseigenes dediziertes Gerät (Standard): Dieses Token registriert Geräte als dediziertes Android Enterprise Standardgerät. Für diese Geräte sind keine Benutzeranmeldeinformationen erforderlich. Hierbei handelt es sich um den Standardtokentyp, mit dem dedizierte Geräte registriert werden, es sei denn, sie werden bei der Erstellung des Tokens von einem Administrator geändert.
- Unternehmenseigenes dediziertes Gerät mit gemeinsam genutztem Microsoft Entra-ID-Modus: Dieses Token registriert Geräte als dediziertes Android Enterprise-Standardgerät und stellt während der Registrierung die Authenticator-App von Microsoft bereit, die im Modus für gemeinsam genutzte Microsoft Entra-Geräte konfiguriert ist. Mit dieser Option können Benutzer einmaliges Anmelden und einmaliges Abmelden über Apps auf dem Gerät hinweg erreichen, die in die Microsoft Entra Microsoft Authentication Library und globale Anmelde-/Abmeldeaufrufe integriert sind.
-
Tokenablaufdatum: Geben Sie das Datum ein, an dem das Token bis zu 65 Jahre in der Zukunft abläuft. Das Token läuft am ausgewählten Datum um 12:59:59 Uhr in der Zeitzone ab, die es erstellt wurde. Zulässiges Datumsformat:
MM/DD/YYYY
oderYYYY-MM-DD
- Wählen Sie Weiter aus, um mit Bereichstags fortzufahren.
- Wenden Sie optional ein oder mehrere Bereichstags an, um die Sichtbarkeit und Verwaltung des Profils auf bestimmte Administratorbenutzer in Intune zu beschränken. Weitere Informationen zur Verwendung von Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.
- Wählen Sie Weiter aus, um mit Überprüfen + erstellen fortzufahren.
- Überprüfen Sie Ihre Auswahl, und wählen Sie dann Erstellen aus, um die Erstellung des Profils abzuschließen.
Zugriffsregistrierungstoken
Greifen Sie im Admin Center auf das Registrierungstoken zu.
- Wechseln Sie zu Geräteregistrierung>.
- Wählen Sie die Registerkarte Android aus.
- Wählen Sie im Abschnitt Registrierungsprofile die Option Unternehmenseigene dedizierte Geräte aus.
- Wählen Sie in der Liste Ihr Registrierungsprofil aus.
- Wählen Sie Token aus.
Das Token wird als 20-stellige Zeichenfolge und als QR-Code angezeigt. Verwenden Sie dieses Token, um Geräte über die unter Registrieren dedizierter, vollständig verwalteter oder unternehmenseigener Arbeitsprofilgeräte beschriebenen Mechanismen zu registrieren. Zum Zeitpunkt der Registrierung wird der Gerätebenutzer zur Eingabe des Registrierungstokens aufgefordert. Sie können die Zeichenfolge oder qr angeben, solange sie vom Android-Betriebssystem und der Version des registrierenden Geräts unterstützt wird.
Ersetzen, Entfernen oder Exportieren von Token
Wählen Sie ein Token aus, um auf diese Optionen zuzugreifen:
- Token ersetzen: Generieren Sie ein neues Token, das sich dem Ablauf nähert.
-
Token widerrufen: Das Token läuft sofort ab. Nach dem Widerrufen kann das Token nicht mehr verwendet werden. Diese Option ist nützlich, wenn Sie:
- Versehentliches Freigeben des Tokens für eine nicht autorisierte Partei.
- Schließen Sie alle Registrierungen ab, und benötigen Sie das Token nicht mehr.
- Token exportieren: Exportieren Sie den JSON-Inhalt des Tokens. Diese Option ist nützlich, um den JSON-Inhalt abzurufen, der zum Konfigurieren von Google Zero Touch oder Knox Mobile Enrollment benötigt wird.
Wenn diese Aktionen angewendet werden, haben sie keine Auswirkungen auf Geräte, die bereits registriert sind.
Erstellen einer Gerätegruppe
Sie können Apps und Richtlinien auf zugewiesene oder dynamische Gerätegruppen ausrichten. Sie können dynamische Microsoft Entra-Gerätegruppen konfigurieren, um Geräte, die mit einem bestimmten Registrierungsprofil registriert sind, automatisch aufzufüllen, indem Sie die folgenden Schritte ausführen:
Melden Sie sich beim Microsoft Intune Admin Center an, und wählen Sie Gruppen>Alle Gruppen>Neue Gruppe aus.
Füllen Sie alle erforderlichen Felder wie folgt aus:
- Gruppentyp: Sicherheit
- Gruppenname: Geben Sie einen intuitiven Namen ein, z. B . Factory 1-Geräte.
- Mitgliedschaftstyp: Dynamisches Gerät
Klicken Sie auf Dynamische Abfrage hinzufügen.
Füllen Sie auf der Seite Dynamische Mitgliedschaftsregeln alle Felder wie folgt aus:
- Eigenschaft: enrollmentProfileName
- Operator: Equals
- Wert: Geben Sie den Namen des Registrierungsprofils ein, den Sie zuvor erstellt haben.
Weitere Informationen zu dynamischen Mitgliedschaftsregeln finden Sie unter Dynamische Mitgliedschaftsregeln für Gruppen in Microsoft Entra ID.
Wählen Sie Speichern aus, um die Regel abzuschließen.
Registrieren der dedizierten Geräte
Sie können jetzt Ihre dedizierten Geräte registrieren.
Hinweis
Während der Registrierung eines dedizierten Geräts wird die Microsoft Intune-App automatisch installiert. Die App ist für die Registrierung erforderlich und kann nicht deinstalliert werden. Die Microsoft Authenticator-App wird bei der Registrierung eines dedizierten Geräts automatisch installiert, wenn der Tokentyp Unternehmenseigenes dediziertes Gerät mit dem freigegebenen Microsoft Entra ID-Modus verwendet wird. Die App ist für diese Registrierungsmethode erforderlich und kann nicht deinstalliert werden.
Verwalten von Apps auf dedizierten Android Enterprise-Geräten
Nur Apps, deren Zuweisungstyp auf Erforderlich festgelegt ist, können auf dedizierten Android Enterprise-Geräten installiert werden. Apps werden aus dem verwalteten Google Play Store auf die gleiche Weise wie persönliche und unternehmenseigene Android Enterprise-Arbeitsprofilgeräte installiert.
Apps werden auf verwalteten Geräten automatisch aktualisiert, wenn der App-Entwickler ein Update auf Google Play veröffentlicht.
Sie können eine der folgenden Aktionen durchführen, um eine App von dedizierten Android Enterprise-Geräten zu entfernen:
- Löschen Sie die erforderliche App-Bereitstellung.
- Erstellen Sie eine Deinstallationsdatei für die App.