Guida alla distribuzione: Gestire i dispositivi Android in Microsoft Intune
Intune supporta la gestione dei dispositivi mobili (MDM) dei dispositivi Android per consentire agli utenti l'accesso sicuro alla posta elettronica aziendale, ai dati e alle app. Questa guida fornisce risorse specifiche di Android per configurare la registrazione in Intune e distribuire app e criteri a utenti e dispositivi.
Prerequisiti
Prima di iniziare, completare questi prerequisiti per abilitare la gestione dei dispositivi Android in Intune. Per informazioni più dettagliate su come configurare, eseguire l'onboarding o passare a Intune, vedere la guida alla distribuzione della configurazione di Intune.
- Aggiungere utenti e gruppi
- Assegnare licenze agli utenti
- Impostare l'autorità di gestione dei dispositivi mobili
Per informazioni sui ruoli e le autorizzazioni Microsoft Intune, vedere Controllo degli accessi in base al ruolo con Microsoft Intune. I ruoli Amministratore globale Microsoft Entra e Amministratore Intune dispongono di diritti completi all'interno di Microsoft Intune. L'amministratore globale dispone di più autorizzazioni del necessario per molte attività di gestione dei dispositivi in Microsoft Intune. È consigliabile usare il ruolo con privilegi minimi necessario per completare le attività. Ad esempio, il ruolo con privilegi minimi che può completare le attività di registrazione dei dispositivi è Policy and Profile Manager, un ruolo predefinito Intune.
Pianificare la distribuzione
Usare la guida alla pianificazione Microsoft Intune per informazioni sulla pianificazione, la progettazione e l'implementazione di Microsoft Intune nell'organizzazione. La guida fornisce informazioni utili per:
- Determinare obiettivi, scenari di casi d'uso e requisiti.
- Creare piani di implementazione e comunicazione.
- Creare piani di supporto, test e convalida.
Importante
Microsoft Intune termina il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.
Creare regole di conformità
Usare i criteri di conformità per definire le regole e le condizioni che utenti e dispositivi devono soddisfare per accedere alle risorse protette dell'organizzazione. È anche possibile creare criteri di accesso condizionale, che funzionano insieme ai risultati di conformità del dispositivo per bloccare l'accesso alle risorse da dispositivi non conformi. Per una spiegazione dettagliata sui criteri di conformità e su come iniziare, vedere Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune.
Le attività seguenti si applicano sia alle piattaforme android enterprise che agli amministratori di dispositivi Android.
Attività | Dettagli |
---|---|
Creare i criteri di conformità | Istruzioni dettagliate su come creare e assegnare criteri di conformità a gruppi di utenti e dispositivi. |
Aggiungere azioni per la mancata conformità | Scegliere cosa accade quando i dispositivi non soddisfano più le condizioni dei criteri di conformità. È possibile aggiungere azioni per la non conformità quando si configurano un criterio di conformità dei dispositivi o in un secondo momento modificando il criterio. |
Creare criteri di accesso condizionale basati su dispositivi o app . | Specificare l'app o i servizi da proteggere e definire le condizioni per l'accesso. |
Bloccare l'accesso alle app che non usano l'autenticazione moderna | Creare criteri di accesso condizionale basati su app per bloccare le app che usano metodi di autenticazione diversi da OAuth2. Ad esempio, è possibile bloccare le app che usano l'autenticazione di base e basata su moduli. Prima di bloccare qualsiasi accesso, accedere a Microsoft Entra ID ed esaminare il report attività sui metodi di autenticazione per verificare se gli utenti usano l'autenticazione di base per accedere a elementi essenziali (ad esempio i chioschi del calendario della sala riunioni) dimenticati o non a conoscenza. |
Configurare la sicurezza degli endpoint
Usare le funzionalità di sicurezza degli endpoint di Intune per configurare la sicurezza dei dispositivi e gestire le attività di sicurezza per i dispositivi a rischio.
Le attività seguenti si applicano sia alle piattaforme android enterprise che agli amministratori di dispositivi Android.
Attività | Dettagli |
---|---|
Gestire i dispositivi con le funzionalità di sicurezza degli endpoint | Usare le impostazioni di sicurezza degli endpoint in Intune per gestire in modo efficace la sicurezza dei dispositivi e correggere i problemi per i dispositivi. |
Abilitare il connettore mobile threat defense (MTD) per i dispositivi registrati | Abilitare la connessione MTD in Intune in modo che le app partner MTD possano funzionare con Intune e i criteri di conformità dei dispositivi MTD. Se non si usa Microsoft Defender per endpoint, è consigliabile abilitare il connettore in modo da poter usare un'altra soluzione mobile di difesa dalle minacce. È anche possibile abilitare il connettore MTD per i dispositivi non registrati in Intune. |
Creare criterio di protezione delle app MTD | Creare un criterio di protezione delle app Intune che valuta i rischi e limita l'accesso di un dispositivo alle app aziendali o dell'istituto di istruzione. |
Creare criteri di conformità dei dispositivi MTD | Creare criteri di protezione delle app di Intune che valutano i rischi e limitano l'accesso aziendale di un dispositivo in base al livello di minaccia. |
Aggiungere e assegnare app MTD | Aggiungere e distribuire app MTD in Intune. Queste app funzionano con i criteri di conformità e protezione delle app del dispositivo per identificare e correggere le minacce dei dispositivi. È anche possibile assegnare app MTD ai dispositivi non registrati in Intune. |
Configurare le impostazioni del dispositivo
Usare Microsoft Intune per abilitare o disabilitare le impostazioni e le funzionalità nei dispositivi. Per configurare e applicare queste impostazioni, creare un profilo di dispositivo e quindi assegnare il profilo ai gruppi dell'organizzazione. I dispositivi ricevono il profilo dopo la registrazione.
Attività | Dettagli | Piattaforma |
---|---|---|
Creare un profilo di dispositivo in Microsoft Intune | Informazioni sui diversi tipi di profili di dispositivo che è possibile creare per l'organizzazione. | Android Enterprise, amministratore di dispositivi Android |
Configurare il profilo Wi-Fi | Questo profilo consente alle persone di trovare e connettersi alla rete Wi-Fi dell'organizzazione. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni di Wi-Fi per le impostazioni di Android Enterprise Wi-Fi o le impostazioni di amministratore di dispositivi Android Wi-Fi. | Android Enterprise, amministratore di dispositivi Android |
Configurare il profilo VPN | Configurare un'opzione VPN sicura, ad esempio Microsoft Tunnel, per le persone che si connettono alla rete dell'organizzazione. Per una descrizione delle impostazioni in questa area, vedere le informazioni di riferimento sulle impostazioni VPN per le impostazioni VPN android enterprise o le impostazioni VPN dell'amministratore di dispositivi Android. | Android Enterprise, amministratore di dispositivi Android |
Configurare il profilo di posta elettronica | Configurare le impostazioni di posta elettronica in modo che gli utenti possano connettersi a un server di posta elettronica e accedere alla posta elettronica aziendale o dell'istituto di istruzione. Per una descrizione delle impostazioni in questa area, vedere Impostazioni di posta elettronica Android Enterprise o Impostazioni di posta elettronica dell'amministratore del dispositivo Android. | Android Enterprise, amministratore di dispositivi Android |
Limitare le funzionalità del dispositivo | Proteggi gli utenti da accessi non autorizzati e distrazioni limitando le funzionalità dei dispositivi che possono usare al lavoro o a scuola. Per una descrizione delle impostazioni in questa area, vedere Impostazioni dei dispositivi Android Enterprise o Impostazioni del dispositivo amministratore di dispositivi Android. | Android Enterprise, amministratore di dispositivi Android |
Configurare le impostazioni personalizzate per l'amministratore di dispositivi Android | Aggiungere o creare impostazioni personalizzate non incorporate in Intune, ad esempio un profilo VPN per app e una protezione Web con Microsoft Defender per endpoint. | Amministratore del dispositivo Android |
Configurare le app Samsung Knox | Creare un profilo personalizzato per consentire e bloccare le app per i dispositivi Samsung Knox Standard. | Amministratore del dispositivo Android |
Creare un profilo personalizzato per Android Enterprise | Aggiungere o creare impostazioni personalizzate non incorporate in Intune per i dispositivi di proprietà personale. | Android Enterprise |
Configurare il profilo MX (Zebra Mobility Extensions) | Usare i profili MX (Mobility Extensions) di Zebra per personalizzare o aggiungere altre impostazioni specifiche di Zebra in Intune. | Amministratore del dispositivo Android |
Creare un profilo di configurazione OEMConfig | Usare OEMConfig per aggiungere, creare e personalizzare le impostazioni specifiche dell'OEM per i dispositivi Android Enterprise. | Android Enterprise |
Personalizzare l'esperienza di personalizzazione e registrazione | Personalizzare le app Portale aziendale Intune e Microsoft Intune con la personalizzazione dell'organizzazione per creare un'esperienza familiare per gli utenti che registrano i dispositivi. | Android Enterprise, amministratore di dispositivi Android |
Configurare metodi di autenticazione sicuri
Configurare i metodi di autenticazione in Intune per assicurarsi che solo gli utenti autorizzati accedano alle risorse interne. Intune supporta l'autenticazione a più fattori, i certificati SCEP e PKCS e le credenziali derivate. I certificati possono essere usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.
Attività | Dettagli | Piattaforma |
---|---|---|
Richiedere l'autenticazione a più fattori (MFA) | Richiedere agli utenti di fornire due forme di credenziali al momento della registrazione. | Android Enterprise |
Creare un profilo certificato attendibile | Creare e distribuire un profilo di certificato attendibile prima di creare un profilo di certificato SCEP o PKCS oppure un profilo di certificato PKCS importato. Il profilo certificato attendibile distribuisce il certificato radice attendibile ai dispositivi usando i certificati importati SCEP, PKCS e PKCS. | Android Enterprise, amministratore di dispositivi Android |
Usare i certificati SCEP con Intune | Informazioni su cosa è necessario per usare i certificati SCEP con Intune e configurare l'infrastruttura necessaria. Successivamente, è possibile creare un profilo certificato SCEP o configurare un'autorità di certificazione di terze parti con SCEP. | Android Enterprise |
Usare certificati PKCS con Intune | Configurare l'infrastruttura necessaria (ad esempio i connettori di certificato locali), esportare un certificato PKCS e aggiungere il certificato a un profilo di configurazione del dispositivo Intune. | Android Enterprise, amministratore di dispositivi Android |
Usare i certificati PKCS importati con Intune | Configurare i certificati PKCS importati, che consentono di configurare e usare S/MIME per crittografare la posta elettronica. | Android Enterprise, amministratore di dispositivi Android |
Configurare un’emittente di credenziali derivate | Effettuare il provisioning di dispositivi Android con certificati derivati da smart card utente. | Android Enterprise |
Distribuire le app
Quando si configurano le app e i criteri delle app, considerare i requisiti dell'organizzazione, ad esempio le piattaforme supportate, le attività che gli utenti devono eseguire, il tipo di app necessarie per completare tali attività e i gruppi che ne hanno bisogno. È possibile usare Intune per gestire l'intero dispositivo (incluse le app) o usare Intune solo per gestire le app.
Attività | Dettagli | Piattaforma |
---|---|---|
Aggiungere app di Google Play Store | Aggiungere app Android da Google Play Store. | Amministratore del dispositivo Android |
Aggiungere app Google Play gestite | Aggiungere app dello Store, app line-of-business (LOB) e app Web tramite Google Play Store gestito. | Android Enterprise |
Aggiungere app di sistema Android Enterprise | Usare Intune per abilitare e disabilitare le app di sistema Android Enterprise. | Android Enterprise |
Aggiungere app Web | Aggiungere app Web a Intune e assegnarle ai gruppi. | Amministratore del dispositivo Android |
Aggiungere app predefinite | Aggiungere app predefinite a Intune e assegnarle ai gruppi. | Amministratore del dispositivo Android |
Aggiungere app line-of-business | Aggiungere app line-of-business Android (LOB) per Intune e assegnare ai gruppi. | Amministratore del dispositivo Android |
Assegnare app ai gruppi | Assegnare app a utenti e dispositivi. | Android Enterprise, amministratore di dispositivi Android |
Includere ed escludere le assegnazioni di app | Controllare l'accesso e la disponibilità a un'app includendo ed escludendo i gruppi selezionati dall'assegnazione. | Android Enterprise, amministratore di dispositivi Android |
Creare criteri di protezione delle app Android | Mantenere i dati dell'organizzazione contenuti all'interno di app gestite come Outlook e Word. Per informazioni dettagliate su ogni impostazione, vedere Impostazioni dei criteri di protezione delle app Android. | Android Enterprise, amministratore di dispositivi Android |
Convalidare i criteri di protezione delle app | Verificare che i criteri di protezione delle app siano configurati e funzionano correttamente prima di distribuirli a livello di organizzazione. | Android Enterprise, amministratore di dispositivi Android |
Creare criteri di configurazione delle app | Applicare impostazioni di configurazione personalizzate alle app Android nei dispositivi registrati. È anche possibile applicare questi tipi di criteri alle app gestite, senza registrazione del dispositivo. | Android Enterprise, amministratore di dispositivi Android |
Configurare Microsoft Edge | Usare Intune criteri di configurazione e protezione delle app con Microsoft Edge per Android per garantire l'accesso ai siti Web aziendali con misure di sicurezza. | Android Enterprise, amministratore di dispositivi Android |
Configurare Google Chrome | Usare un criterio di configurazione dell'app Intune per configurare Google Chrome nei dispositivi Android registrati in Intune. | Android Enterprise |
Configurare l'app Microsoft Schermata iniziale gestita | Configurare Schermata iniziale gestita nei dispositivi android enterprise dedicati di proprietà dell'azienda registrati tramite Intune ed in esecuzione in modalità tutto schermo multi-app. | Android Enterprise |
Configurare l'app Microsoft Launcher | Configurare Microsoft Launcher per personalizzare l'esperienza della schermata iniziale nei dispositivi completamente gestiti dell'organizzazione. | Android Enterprise |
Configurare le app Microsoft Office | Usare i criteri di configurazione e di protezione delle app di Intune con le app di Office per garantire l'accesso ai file aziendali con misure di sicurezza. | Android Enterprise |
Configurare Microsoft Teams | Usare i criteri di configurazione e protezione delle app di Intune con Teams per garantire l'accesso alle esperienze del team di collaborazione con misure di sicurezza. | Android Enterprise |
Configurare Microsoft Outlook | Usare i criteri di configurazione e protezione delle app di Intune con Outlook per garantire l'accesso alla posta elettronica e ai calendari aziendali con misure di sicurezza. | Android Enterprise |
Registrare i dispositivi
La registrazione dei dispositivi consente di ricevere i criteri creati, in modo che i gruppi di utenti e i gruppi di dispositivi Microsoft Entra siano pronti.
Intune supporta i metodi di registrazione seguenti per i dispositivi Android:
- Bring-your-own-device (BYOD): dispositivi Android Enterprise di proprietà personale con un profilo di lavoro
- Dispositivi dedicati di proprietà dell'azienda Android Enterprise
- Android Enterprise di proprietà aziendale completamente gestita
- Profilo di lavoro di proprietà dell'azienda Android Enterprise
- Amministratore del dispositivo Android
Per informazioni su ogni metodo di registrazione e su come sceglierne uno adatto all'organizzazione, vedere la guida alla registrazione dei dispositivi Android per Microsoft Intune.
Attività | Dettagli | Piattaforma |
---|---|---|
Connettere Intune account all'account Google Play gestito | Per abilitare la gestione di Android Enterprise in Intune, connettere l'account tenant Intune all'account Google Play gestito. | Android Enterprise |
Configurare la registrazione del profilo di lavoro per i dispositivi di proprietà personale | Configurare la gestione dei profili di lavoro per i dispositivi di proprietà personale. Questo metodo di registrazione crea un'area separata nel dispositivo per i dati relativi al lavoro in modo che gli elementi personali rimangano inalterati. | Android Enterprise |
Configurare la registrazione del profilo di lavoro per i dispositivi di proprietà dell'azienda | Configurare la gestione dei profili di lavoro per i dispositivi di proprietà dell'azienda destinati all'uso aziendale e personale. Questo metodo di registrazione crea un'area separata nel dispositivo per i dati relativi al lavoro in modo che gli elementi personali rimangano inalterati. | Android Enterprise |
Configurare la registrazione per i dispositivi dedicati | Configurare la registrazione per i dispositivi di proprietà dell'azienda, a uso singolo e in modalità tutto schermo. | Android Enterprise |
Configurare la registrazione per i dispositivi completamente gestiti | Configurare la registrazione per i dispositivi di proprietà dell'azienda associati a un singolo utente e usati esclusivamente per il lavoro. | Android Enterprise |
Registrare dispositivi dedicati, completamente gestiti o di proprietà dell'azienda | Dopo aver configurato Intune per la registrazione android enterprise, registrare i dispositivi usando uno dei cinque metodi di registrazione supportati. | Android Enterprise |
Configurare la registrazione di tipo amministratore di dispositivi | Configurare la registrazione dell'amministratore di dispositivi Android. Questo metodo di gestione dei dispositivi è stato sostituito da Android Enterprise, quindi non è consigliabile registrare nuovi dispositivi in questo modo. | Amministratore del dispositivo Android |
Usare Samsung Knox Mobile Enrollment per registrare automaticamente i dispositivi Android | Configurare Intune per Samsung Knox Mobile Enrollment (KME), che consente di registrare automaticamente un numero elevato di dispositivi Android di proprietà dell'azienda. | Android Enterprise, amministratore di dispositivi Android |
Identificare i dispositivi di proprietà dell'azienda | Assegnare lo stato di proprietà dell'azienda ai dispositivi per abilitare più funzionalità di gestione e identificazione in Intune. Lo stato di proprietà dell'azienda non può essere assegnato ai dispositivi registrati tramite Apple Business Manager. | Android Enterprise, amministratore di dispositivi Android |
Modificare la proprietà del dispositivo | Dopo aver registrato un dispositivo, è possibile modificarne l'etichetta di proprietà in Intune in proprietà aziendale o personale. Questa modifica il modo in cui è possibile gestire il dispositivo. | Android Enterprise, amministratore di dispositivi Android |
Risolvere i problemi di registrazione | Risolvere e trovare le soluzioni ai problemi che si verificano durante la registrazione. | Android Enterprise, amministratore di dispositivi Android |
Eseguire azioni remote
Dopo aver configurato i dispositivi, è possibile usare le azioni remote in Intune per gestire e risolvere i problemi dei dispositivi a distanza. La disponibilità varia in base alla piattaforma del dispositivo. Se un'azione è assente o disabilitata nel portale, non è supportata nel dispositivo.
Attività | Dettagli |
---|---|
Eseguire azioni remote in Intune | Informazioni su come eseguire il drill-down e gestire e risolvere i problemi dei singoli dispositivi in Intune in remoto. Questo articolo elenca tutte le azioni remote disponibili in Intune e i collegamenti a tali procedure. |
Correggere le vulnerabilità identificate da Microsoft Defender per endpoint | Integrare Intune con Microsoft Defender per endpoint per sfruttare le gestione di minacce e vulnerabilità di Defender e usare Intune per correggere i punti deboli degli endpoint identificati dalla funzionalità di gestione delle vulnerabilità di Defender. |
Cancellare i dati aziendali dalle app gestite da Intune | Rimuovere in modo selettivo i dati correlati al lavoro da un dispositivo. |
Passaggi successivi
Vedere queste esercitazioni sulla registrazione per informazioni su come eseguire alcune delle attività principali in Intune. Le esercitazioni sono un contenuto di 100 – 200 livelli per gli utenti che non hanno esperienza in Intune o uno scenario specifico.
- Esaminare Intune'interfaccia di amministrazione
- Configurare Slack per l'uso di Intune per la gestione della mobilità aziendale (EMM) e la configurazione delle app
Per la versione iOS/iPadOS di questa guida, vedere Guida alla distribuzione: Gestire i dispositivi iOS/iPadOS in Microsoft Intune.