Configurer l’inscription pour les appareils Android Entreprise entièrement gérés
Configurez la solution d’appareil Android Entreprise entièrement managée dans Microsoft Intune pour inscrire et gérer les appareils appartenant à l’entreprise. Un appareil entièrement géré est associé à un seul utilisateur et est destiné à un usage professionnel, et non personnel. En tant qu’administrateur Intune, vous pouvez gérer l’ensemble de l’appareil et appliquer des contrôles de stratégie qui ne sont pas disponibles avec le profil professionnel Android Entreprise, par exemple :
- Autoriser l’installation d’applications à partir de Google Play géré uniquement.
- Empêcher les utilisateurs de désinstaller les applications gérées.
- Empêcher les utilisateurs de réinitialiser les appareils aux paramètres d’usine.
Vous et les utilisateurs de votre appareil pouvez lancer l’inscription en entrant ou en analysant un jeton d’inscription pendant la configuration de l’appareil. Cet article décrit les prérequis pour l’inscription et comment créer des profils d’inscription et des jetons. À la fin de cet article, vous pouvez inscrire des appareils.
Étape 1 : Conditions préalables
Remplissez ces conditions préalables pour garantir la réussite de l’inscription.
Vous devez disposer d’un locataire autonome Intune, avec l’autorité de gestion des appareils mobiles (GPM) définie sur Microsoft Intune.
Les appareils doivent :
- Exécutez android OS version 8.0 et ultérieures.
- Exécutez une build Android qui dispose d’une connectivité Google Mobile Services.
- Disposer de Google Mobile Services et être en mesure de s’y connecter.
Il n’existe aucune restriction sur le fabricant de l’appareil/OEM si les trois exigences sont remplies.
Assurez-vous qu’Android Enterprise est pris en charge dans votre région. Pour connaître la configuration requise pour Android Enterprise, consultez Prise en main d’Android Enterprise.
Connectez votre compte de locataire Intune à votre compte Android Entreprise.
Le processus d’installation d’Android utilise un onglet Chrome pour authentifier les utilisateurs de l’appareil lors de l’inscription. Si vous disposez d’une stratégie d’accès conditionnel Microsoft Entra avec les configurations suivantes, vous devez exclure l’application cloud Microsoft Intune de la stratégie :
Exiger qu’un appareil soit marqué comme un paramètre conforme est utilisé pour accorder ou bloquer l’accès.
La stratégie s’applique à Toutes les applications cloud, Android et navigateurs.
Étape 2 : Créer un profil d’inscription
Intune génère automatiquement un profil d’inscription et un jeton d’inscription par défaut pour les appareils entièrement gérés. Le profil d’inscription par défaut est nommé Profil complètement managé par défaut.
Pour créer un profil d’inscription :
Connectez-vous au Centre d’administration Microsoft Intune.
Accédez à Inscription des appareils>.
Sélectionnez l’onglet Android .
SousProfils d’inscriptionAndroid Entreprise>, choisissez Appareils utilisateur entièrement gérés appartenant à l’entreprise.
Sélectionnez Créer un profil.
Entrez les principes de base de votre profil :
Nom : donnez un nom au profil. Notez le nom pour plus tard, car vous en avez besoin lorsque vous configurez le groupe d’appareils dynamique.
Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.
Type de jeton : choisissez le type de jeton que vous souhaitez utiliser pour inscrire des appareils d’entreprise entièrement gérés. Pour plus d’informations, consultez Types de jetons dans cet article. Les options disponibles sont les suivantes :
Propriété de l’entreprise, entièrement managée (par défaut)
Propriété de l’entreprise, entièrement managée, via la préproduction
Date d’expiration du jeton : disponible uniquement avec le jeton intermédiaire. Entrez la date à laquelle vous souhaitez que le jeton expire, jusqu’à 65 ans à l’avenir. Format de date acceptable :
MM/DD/YYYY
ouYYYY-MM-DD
Le jeton expire à la date sélectionnée à 12:59:59 PM dans le fuseau horaire qu’il a été créé.
Sélectionnez Suivant pour passer à Balises d’étendue.
Appliquez une ou plusieurs balises d’étendue pour limiter la visibilité et la gestion des profils à certains utilisateurs administrateurs dans Intune. Les balises d’étendue sont facultatives. Pour plus d’informations sur l’utilisation des balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
Sélectionnez Suivant pour continuer à Vérifier + créer.
Passez en revue le résumé de votre profil, puis sélectionnez Créer pour le finaliser.
Pour passer en revue, apporter des modifications ou supprimer le profil :
Sélectionnez le profil.
Sélectionnez Vue d’ensemble pour passer en revue les éléments essentiels du profil et supprimer le profil.
Sélectionnez Propriétés>Modifier pour apporter des modifications aux concepts de base du profil ou aux balises d’étendue.
Sélectionnez Jeton pour récupérer, révoquer ou exporter le jeton.
Étape 3 : Créer un groupe de Microsoft Entra dynamique
Si vous le souhaitez, créez un groupe de Microsoft Entra dynamique pour regrouper automatiquement les appareils en fonction d’un attribut ou d’une variable spécifique. Dans ce cas, nous voulons utiliser la enrollmentProfileName
propriété pour regrouper les appareils qui s’inscrivent avec le même profil.
Ajoutez ces configurations à votre groupe :
Type de groupe : Sécurité
Type d’appartenance : Appareil dynamique
Ajoutez une requête dynamique avec la règle suivante :
- Propriété : enrollmentProfileName
- Opérateur : égal à
- Valeur : entrez le nom du profil d’inscription que vous avez créé à l’Étape 2 : Créer un profil d’inscription.
Vous ne pouvez pas utiliser de groupes dynamiques avec le profil d’inscription par défaut. Pour plus d’informations sur la création d’un groupe dynamique avec des règles, consultez Créer une règle d’appartenance à un groupe.
Étape 4 : Inscrire des appareils
Après avoir configuré le profil d’inscription, le jeton et le groupe dynamique, vous pouvez utiliser l’une de ces méthodes d’approvisionnement pour inscrire les appareils comme entièrement gérés :
- Communication en champ proche (NFC)
- Chaîne de jeton ou code QR
- Inscription sans contact
- Inscription Samsung Knox Mobile
Pour connaître les étapes suivantes, notamment comment inscrire des appareils avec chaque méthode d’approvisionnement, consultez Inscrire des appareils Android Enterprise appartenant à l’entreprise.
Types de jetons
Lorsque vous créez le profil d’inscription dans le centre d’administration, vous devez sélectionner un type de jeton. Il existe deux types de jetons. Chaque type active un flux d’inscription différent.
Le jeton par défaut, appartenant à l’entreprise et entièrement géré, inscrit les appareils dans Microsoft Intune en tant qu’appareils Android Entreprise standard entièrement gérés par l’entreprise. Ce jeton vous oblige à effectuer les étapes de pré-approvisionnement avant de distribuer les appareils. Les utilisateurs finaux effectuent les étapes restantes sur l’appareil lorsqu’ils se connectent avec leur compte professionnel ou scolaire.
Le jeton de préproduction d’appareil, appartenant à l’entreprise, entièrement géré, via la préproduction, inscrit les appareils dans Microsoft Intune en mode intermédiaire afin que vous ou un fournisseur tiers puissiez effectuer toutes les étapes de préprovisionnement. Les utilisateurs finaux effectuent la dernière étape de l’approvisionnement en se connectant à l’application Microsoft Intune avec leur compte professionnel ou scolaire. Les appareils sont prêts à être utilisés lors de la connexion. Intune prend en charge la préproduction d’appareils pour les appareils Android Entreprise exécutant Android 8 ou version ultérieure.
Pour plus d’informations, consultez Vue d’ensemble de la préproduction des appareils.
Remplacer, supprimer ou exporter un jeton
Sélectionnez un jeton dans le centre d’administration pour accéder à ces options de gestion :
Remplacer le jeton : générez un nouveau jeton qui arrive à expiration.
Révoquer le jeton : expire immédiatement le jeton. Une fois que vous l’avez révoqué, le jeton n’est plus utilisable. Cette option est utile si vous :
Partagez accidentellement le jeton avec un tiers non autorisé.
Terminez toutes les inscriptions et n’avez plus besoin du jeton.
Exporter le jeton : exportez le contenu JSON du jeton. Vous pouvez utiliser cette option pour obtenir le contenu JSON requis pour la configuration Google Zero Touch ou Knox Mobile Enrollment.
Lorsqu’elles sont appliquées, ces actions n’ont aucun effet sur les appareils déjà inscrits.