End-to-End-Leitfaden zum Konfigurieren von Android Enterprise-Geräten in Microsoft Intune

  • Artikel

In diesem Leitfaden erfahren Administratoren, wie Sie Android Enterprise-Geräte in einer Microsoft Intune-Umgebung konfigurieren und behandeln. Es werden die folgenden gängigen Szenarien behandelt:

  • Onboarding bei Google
  • Anwendungsbereitstellung
  • Aktivieren der Arbeitsprofilregistrierung
  • Konfigurieren des bedingten Zugriffs
  • Die Endbenutzerumgebung für die Registrierung von Arbeitsprofilen
  • Ausgeben einer Arbeitsprofil-Kennungszurücksetzung

Es hilft Ihnen bei der Entscheidung, welche Verwaltungsfunktion für Ihre organization am besten geeignet ist, und bietet häufig gestellte Fragen zu Android Enterprise.

Evaluieren Ihrer Anforderungen

Bevor Sie Android Enterprise-Geräte in Intune aktivieren, müssen Sie bestimmen, ob Sie diese Geräte als persönliche Geräte (Bring Your Own Device oder BYOD) oder als Unternehmensgeräte registrieren möchten.

BYOD-Geräte

BYOD-Geräte sind so eingerichtet, dass sie über ein Android Enterprise-Arbeitsprofil verfügen. Dieses Feature ist in Android 5.1 und höher integriert. Mit diesem Feature können Arbeits-Apps und Daten in einem separaten, eigenständigen, vom Unternehmen verwalteten Bereich auf dem Gerät gespeichert werden. Da persönliche Apps und Daten innerhalb des persönlichen Profils des Benutzers auf dem Gerät verbleiben, können Mitarbeiter ihr Gerät weiterhin wie üblich verwenden.

Unternehmensgeräte

Es gibt zwei Optionen für unternehmenseigene Geräte, von denen jede einen eindeutigen Anwendungsfall erfüllt:

  • Dedizierte Geräte (früher bekannt als COSU oder unternehmenseigene einmalige Verwendung).

    Hinweis

    Das in diesem Handbuch verwendete Beispiel konzentriert sich auf BYOD-Szenarien. Weitere Informationen zu Szenarien für dedizierte Geräte (COSU) finden Sie unter COSU-Konfiguration und -Registrierung mithilfe der QR-Code-Registrierungsmethode.

    Dedizierte Geräte sind in der Regel für eine einzelne App oder eine Gruppe von Apps (auch als Kioskmodus bezeichnet) gesperrt. Es ermöglicht dem Administrator, Dinge wie die status leiste, Tastaturlayouts, den Sperrbildschirm und andere Einstellungen auf dem Gerät zu steuern. Sie verhindert, dass Benutzer andere Apps aktivieren oder bestimmte Einstellungen auf dedizierten Geräten ändern können.

    Hinweis

    Geräte, die Sie auf diese Weise verwalten, werden in Intune ohne Benutzerkonto registriert und sind keinem Endbenutzer zugeordnet. Sie sind nicht für private Anwendungen oder Apps vorgesehen, für die eine starke Anforderung an benutzerspezifische Kontodaten wie Outlook oder Gmail besteht.

  • Vollständig verwaltete Geräte (früher als COBO oder nur unternehmenseigenes Unternehmen bezeichnet).

    Hinweis

    Weitere Informationen zu vollständig verwalteten Geräten finden Sie unter Einrichten Intune Registrierung vollständig verwalteter Android Enterprise-Geräte.

    Vollständig verwaltete Geräte passen in ein benutzerorientiertes Szenario. Dem Gerät ist ein einzelner Benutzer zugeordnet, während der Administrator weiterhin die vollständige Kontrolle über das Gerät behält (im Gegensatz zu einem Arbeitsprofilszenario, bei dem mehrere Benutzer die Kontrolle haben).

Wenn Sie sich für die Registrierung Ihrer Geräte entscheiden, beachten Sie, dass nicht alle Features für beide Methoden verfügbar sind. In der folgenden Tabelle sind einige wichtige Unterschiede aufgeführt.

Featuregruppe Arbeitsprofil (BYOD) Dediziert (Kiosk) Vollständig verwaltet
Profil für verwaltete Email ×
Profil für verwaltete Wi-Fi
Verwaltetes VPN-Profil ×
SCEP-Zertifikatprofil
PKCS-Zertifikatprofil ×
Vertrauenswürdiges Zertifikatprofil
Benutzerdefiniertes Profil × x
Zurücksetzen auf Werkseinstellungen verhindern ×
Kamera-&-Bildschirmaufnahme blockieren
Lautstärketasten blockieren ×
Kopieren und Einfügen blockieren/Datenfreigabe
Verwaltetes Kennwort
Verwaltete Anwendungen (erforderlich)
Verwaltete Anwendungen (verfügbar) ×
Containerisiertes Profil × x
Geräteverwaltung auf Kioskebene × x
Persönliche Geräteverwaltung × x
NFC-Based-Registrierung ×
Token-Based-Registrierung ×
QR Code-Based Registrierung ×
Zero-Touch ×
Compliance/Bedingter Zugriff ×

Weitere Informationen finden Sie unter Implementieren Ihres Microsoft Intune-Plans.

Verbinden eines Intune-Kontos mit einem Android-Enterprise-Konto

Der erste Schritt zum Konfigurieren von Android Enterprise in Ihrer Umgebung besteht darin, Ihr Intune Mandantenkonto mit Ihrem Android-Enterprise-Konto zu verbinden:

  1. Erstellen Sie ein Google-Dienstkonto (@gmail.com).

    Hinweis

    Dieses Konto wird allen Android Enterprise-Verwaltungsaufgaben für Ihren Mandanten zugeordnet. Es ist das Google-Konto, das die IT-Administratoren Ihres Unternehmens freigeben, um Apps in der Google Play-Konsole zu verwalten und zu veröffentlichen. Sie können ein vorhandenes Google-Konto verwenden oder ein neues Konto erstellen. Das von Ihnen verwendete Konto darf keiner G Suite-Domäne zugeordnet sein.

  2. Melden Sie sich mit Ihrem Intune lizenzierten globalen Administratorkonto beim Microsoft Intune Admin Center an.

  3. Wechseln Sie zu Geräte>Android-Registrierung>>Verwaltetes Google Play, wählen Sie Ich stimme zu aus, und wählen Sie dann Google starten aus, um eine Verbindung herzustellen, um die Managed Google Play-Website zu öffnen.

    Screenshot der Seite

  4. Melden Sie sich bei Ihrem Google-Konto an, und wählen Sie dann Erste Schritte aus.

    Wählen Sie Seite

  5. Geben Sie den Namen Ihres Unternehmens ein, und wählen Sie dann Weiter aus.

    Geben Sie die Seite Ihres Unternehmensnamens ein.

  6. Akzeptieren Sie die Bedingungen, und wählen Sie dann Bestätigen aus.

  7. Wählen Sie Registrierung abschließen aus.

    Wählen Sie die Seite Registrierung abschließen aus.

Weitere Informationen finden Sie unter Verbinden Ihres Intune-Kontos mit Ihrem verwalteten Google Play-Konto.

Bereitstellen von Anwendungen

Nachdem Ihr Intune-Konto mit Ihrem Android-Enterprise-Konto verbunden ist, können Sie einige Anwendungen bereitstellen, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich mit Ihrem Intune lizenzierten globalen Administratorkonto beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Apps>Alle Apps>Hinzufügen.

  3. Suchen Sie im Bereich App-Typ auswählen die verfügbaren Store-App-Typen, und wählen Sie dann Verwaltete Google Play-App aus.

  4. Wählen Sie Auswählen aus. Der Verwaltete Google Play App Store wird angezeigt.

    Der verwaltete Google Play App Store.

  5. Suchen Sie nach einer App, um die App-Details anzuzeigen. Beispiel: Intune-Unternehmensportal-App.

  6. Wählen Sie auf der Seite, auf der die App angezeigt wird, genehmigen aus. Ein Fenster für die App wird geöffnet, in dem Sie aufgefordert werden, der App Berechtigungen zum Ausführen verschiedener Vorgänge zu erteilen.

    Wählen Sie im Beispiel Intune-Unternehmensportal genehmigen aus.

  7. Wählen Sie erneut Genehmigen aus, um die App-Berechtigungen zu akzeptieren.

    Wählen Sie erneut Genehmigen aus, um die App-Berechtigungen zu akzeptieren.

  8. Wählen Sie auf der Registerkarte Genehmigungseinstellungen die Option Genehmigt beibehalten aus, wenn die App neue Berechtigungen anfordert, und wählen Sie dann Speichern aus.

    Wählen Sie auf der Registerkarte Genehmigungseinstellungen die Option Genehmigt beibehalten aus, wenn die App neue Berechtigungen anfordert.

  9. Klicken Sie auf Auswählen , um die App auszuwählen.

  10. Wählen Sie oben Synchronisieren aus, um die App mit dem verwalteten Google Play-Dienst zu synchronisieren.

  11. Wählen Sie Aktualisieren aus, um die App-Liste zu aktualisieren und die neu hinzugefügte App anzuzeigen.

    Hinweis

    Die App-Synchronisierung zwischen Intune und dem verwalteten Google Play Store erfolgt manuell. Daher müssen Sie jedes Mal, wenn Sie eine neue App genehmigen, die Schaltfläche Synchronisieren auswählen.

  12. Nachdem die App zu Microsoft Intune hinzugefügt wurde, können Sie die App Benutzern und Geräten zuweisen. Wechseln Sie im Microsoft Intune Admin Center zu Apps>Alle Apps. Suchen Sie unter Verwalten , um die App in der Liste anzuzeigen.

    Seite

  13. Um die App einer Gruppe zuzuweisen, wählen Sie die App aus, die Sie zuweisen möchten. Wählen Sie im Abschnitt Verwalten des Menüs Eigenschaften und dann neben Zuweisungen die Option Bearbeiten aus, um den Bereich Gruppe hinzufügen zu öffnen.

    Wählen Sie Eigenschaften und dann Zuweisungen aus.

  14. Wählen Sie auf der Registerkarte Zuweisungen unter Erforderlich die Option Gruppe hinzufügen aus, wählen Sie die einzuschließden Gruppen aus, und wählen Sie dann Auswählen aus.

    Wählen Sie unter Erforderlich die Option Gruppe hinzufügen aus.

  15. Wählen Sie im Bereich Zuweisen die Option Überprüfen + speichern aus, um die Auswahl der eingeschlossenen Gruppen abzuschließen.

  16. Wählen Sie im Bereich Zuweisungen die Option Speichern aus, um Ihre Änderungen zu speichern.

  17. Kehren Sie zur Ansicht App-Eigenschaften zurück, und überprüfen Sie die App unter Zuweisungen.

    Bestätigen Sie die App-Zuweisung.

Weitere Informationen zur App-Bereitstellung finden Sie unter Hinzufügen von Android Enterprise-System-Apps zu Microsoft Intune.

Aktivieren der Android Enterprise-Arbeitsprofilregistrierung

  1. Wechseln Sie im Intune-Portal zuRegistrierungseinschränkungen für die Geräteregistrierung>, und wählen Sie dann unter Gerätetypeinschränkungendie Option Standard aus.

    Der Bildschirm Gerätetypeinschränkungen.

  2. Wählen Sie Eigenschaften>Plattformen auswählen, für Androidblockieren, für Android-Arbeitsprofilzulassen, OK und dann Speichern aus, um Ihre Änderungen zu speichern.

    Der Bildschirm mit den Registrierungseigenschaften.

    Hinweis

    Standardeinschränkungen haben die niedrigste Priorität und gelten für alle Benutzer. Dies kann nicht bearbeitet werden. Beachten Sie beim Erstellen zusätzlicher benutzerdefinierter Einschränkungen die Gruppen, denen sie zugewiesen sind, damit sie keinen Konflikt mit dieser Konfiguration verursachen.

Weitere Informationen finden Sie unter Einrichten der Registrierung von Android Enterprise-Arbeitsprofilgeräten.

Konfigurieren des bedingten Zugriffs

  1. Stellen Sie die Gmail-App oder die Nine Work-App als Erforderlich bereit.

  2. Erstellen Sie ein E-Mail-Profil für die App, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie im Intune Azure-Portal Gerätekonfigurationsprofile>>Profil erstellen aus, und geben Sie dann Name und Beschreibung für das E-Mail-Profil ein.

    2. Wählen Sie in der Dropdownliste Plattform die Option Android Enterprise aus.

    3. Wählen Sie unter Profiltyp>Nur Arbeitsprofildie Option Email aus.

    4. Konfigurieren Sie die E-Mail-Profileinstellungen.

      Konfigurieren Sie die E-Mail-Profileinstellungen.

      Weitere Informationen zu diesen Einstellungen finden Sie unter Android-Geräteeinstellungen zum Konfigurieren von E-Mails, Authentifizierung und Synchronisierung in Intune.

  3. Nachdem Sie das E-Mail-Profil erstellt haben, können Sie es zu Gruppen zuweisen.

    Bildschirm

  4. Konfigurieren des gerätebasierten bedingten Zugriffs.

Weitere Informationen finden Sie unter Einrichten des bedingten Zugriffs für Android-Arbeitsprofilgeräte.

Registrieren Ihres Android Enterprise-Geräts

  1. Melden Sie sich mit Ihrem Geschäftskonto an, und tippen Sie dann auf Jetzt registrieren.

    Bildschirm

  2. Tippen Sie auf dem Bildschirm Access Setup auf Weiter.

    Zugriff auf den Setupbildschirm.

  3. Tippen Sie auf dem Bildschirm der Datenschutzerklärung auf Weiter.

    Bildschirm

  4. Tippen Sie auf dem Bildschirm Nächste Schritte auf Weiter.

    Nächster Bildschirm.

  5. Tippen Sie auf dem Bildschirm Arbeitsprofil einrichten auf Akzeptieren.

    Richten Sie einen Arbeitsprofilbildschirm ein.

  6. Tippen Sie auf dem Bildschirm Arbeitsprofil aktivieren auf Weiter.

    Bildschirm

    Hinweis

    Oben wird ein Signalsymbol angezeigt, was bedeutet, dass Sie sich jetzt innerhalb des Arbeitsprofils befinden.

  7. Tippen Sie auf dem Bildschirm Alles eingestellt auf Fertig.

    Der Bildschirm ist fertig.

  8. Sie können sich jetzt bei Gmail anmelden. Wenn Sie zum Aktualisieren der Sicherheitseinstellungen aufgefordert werden, tippen Sie auf JETZT AKTUALISIEREN.

    Bildschirm

  9. Tippen Sie auf Aktivieren , um Gmail als Geräteadministrator zu aktivieren.

    Bildschirm

Weitere Informationen finden Sie unter Registrieren von Android-Geräten.

Zurücksetzen von Kennungen für Android-Arbeitsprofile

  1. Erstellen Sie ein Geräteprofil, das eine Arbeitsprofilkennung erfordert, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie im Intune Azure-Portal Gerätekonfigurationsprofile>>Profil erstellen aus, und geben Sie Name und Beschreibung für das Profil ein.

    2. Wählen Sie in der Dropdownliste Plattform die Option Android Enterprise aus.

    3. Wählen Sie unter Profiltyp>Nur Arbeitsprofil die Option Geräteeinschränkungen aus.

    4. Wählen Sie unter Arbeitsprofileinstellungen unter Kennwort für Arbeitsprofil anfordern die Option Erforderlich aus.

      Eigenschaftenseite des Arbeitsprofils.

  2. Auf dem Android Enterprise-Gerät werden Sie aufgefordert, eine Arbeitsprofilkennung festzulegen, wenn Sie sie noch nicht festgelegt haben.

  3. Warten Sie, bis Sie eine zweite Aufforderung erhalten, die besagt: Schützen Ihres Arbeitsprofils – Autorisieren Sie den Support Ihres Unternehmens, das Kennwort Für Ihr Arbeitsprofil remote zurückzusetzen. Geben Sie Ihre Kennung ein, um das Zurücksetzen zu autorisieren. Es aktiviert das Zurücksetzungskennworttoken, das Intune benötigt, um diese Aktion erfolgreich auszuführen.

    Schützen Sie den Bildschirm Ihres Arbeitsprofils.

    Hinweis

    Wenn Sie einen dieser Schritte überspringen, wird die folgende Fehlermeldung angezeigt:
    Fehler beim Initiieren der Zurücksetzungskennung

  4. Wählen Sie Kennung zurücksetzen aus.

    Bildschirm zum Zurücksetzen der Kennung.

  5. Nach Abschluss des Zurücksetzens wird die temporäre Kennung angezeigt.

    Bildschirm zum Zurücksetzen der Kennung abgeschlossen.

  6. Geben Sie diese temporäre Kennung auf Ihrem Gerät ein.

  7. Wenn Sie Ihre neue PIN festlegen müssen, müssen Sie diese temporäre Kennung erneut eingeben und dann Ihre neue PIN eingeben.

Weitere Informationen zum Zurücksetzen der Kennung finden Sie unter Zurücksetzen von Android-Arbeitsprofilkennungen.

Häufig gestellte Fragen

  • Frage: Warum werden Apps, die ich aus dem Google Play for Work Store nicht genehmigt habe, nicht von der Seite Mobile Apps im Intune Admin Portal entfernt?

    Antwort: Dieses Verhalten wird erwartet.

  • Frage: Warum melden verwaltete Google Play-Apps im Intune-Portal nicht unter Ermittelte Apps?

    Antwort: Dieses Verhalten wird erwartet.

  • Frage: Warum werden verwaltete Google Play-Apps, die nicht über Intune bereitgestellt werden, im Arbeitsprofil angezeigt?

    Antwort: System-Apps können vom Geräte-OEM zum Zeitpunkt der Erstellung des Arbeitsprofils im Arbeitsprofil aktiviert werden. Sie wird nicht vom MDM-Anbieter gesteuert.

    Führen Sie zur Problembehandlung die folgenden Schritte aus:

    1. Sammeln sie Unternehmensportal Protokolle.
    2. Notieren Sie sich alle Apps, die unerwartet im Arbeitsprofil angezeigt werden.
    3. Heben Sie die Registrierung des Geräts bei Intune auf, und deinstallieren Sie die Unternehmensportal.
    4. Installieren Sie die DPC-Test-App , die die Erstellung eines Arbeitsprofils ohne EMM zu Testzwecken ermöglicht.
    5. Befolgen Sie die Anweisungen unter DPC testen , um ein Arbeitsprofil auf dem Gerät zu erstellen.
    6. Überprüfen Sie Apps, die im Arbeitsprofil angezeigt werden.
    7. Wenn die gleichen Anwendungen in der DPC-Test-App angezeigt werden, werden die Apps vom OEM für dieses Gerät erwartet.

  • Frage: Warum ist die Option Zurücksetzen (Zurücksetzen auf Werkseinstellungen) für mein arbeitsprofil registriertes Gerät nicht verfügbar?

    Antwort: Dieses Verhalten wird erwartet. Im Arbeitsprofilszenario hat der MDM-Anbieter keine vollständige Kontrolle über das Gerät. Die einzige verfügbare Option ist Außerkraftsetzen (Unternehmensdaten entfernen), wodurch das gesamte Arbeitsprofil und alle zugehörigen Inhalte entfernt werden.

  • Frage: Warum kann ich den Dateipfad Interner Speicher/Android/Data.com.microsoft.windowsintune.companyportal/files auf meinem registrierten Arbeitsprofilgerät nicht finden, um Unternehmensportal Protokolle manuell zu sammeln?

    Antwort: Dieses Verhalten wird erwartet. Dieser Pfad wird nur für das Szenario Device Admin (Legacy Android Enrollment) erstellt.

    Führen Sie die folgenden Schritte aus, um Protokolle zu sammeln:

    1. Tippen Sie in der Unternehmensportal-App mit dem Badge auf Menühilfe>>Email Support und dann auf Senden Email & Protokolle hochladen.
    2. Wenn Sie zur Eingabe von Hilfeanfrage senden mit aufgefordert werden, wählen Sie eine der Email-Apps aus.
    3. An Ihren IT-Administrator wird eine E-Mail mit einer Incident-ID generiert, die dem Microsoft-Produktsupport zur Verfügung gestellt werden kann.

  • Frage: Ich habe die Zeit der letzten Synchronisierung von Managed Google Play überprüft und wurde nicht in Tagen aktualisiert. Warum?

    Antwort: Dieses Verhalten wird erwartet. Die Synchronisierung wird nur ausgelöst, wenn Sie dies manuell tun.

  • Frage: Werden Webanwendungen für Geräte mit Arbeitsprofilregistrierung unterstützt?

    Antwort: Ja. Web-Apps (oder Weblinks) werden für alle Android Enterprise-Szenarien unterstützt.

  • Frage: Wird das Zurücksetzen der Gerätekennung unterstützt?

    Antwort: Bei Geräten, auf denen ein Arbeitsprofil registriert ist, können Sie die Arbeitsprofilkennung nur auf Geräten zurücksetzen, auf denen Android 8.0 und höher ausgeführt wird, wenn die Arbeitsprofilkennung verwaltet wird und der Benutzer Ihnen erlaubt hat, sie zurückzusetzen. Für dedizierte und vollständig verwaltete Geräte wird das Zurücksetzen der Gerätekennung unterstützt.

  • Frage: Mein Gerät muss bei der Registrierung verschlüsselt werden. Gibt es eine Option zum Deaktivieren der Verschlüsselung?

    Antwort: Nein. Die Verschlüsselung ist von Google für das Arbeitsprofil erforderlich.

  • Frage: Warum blockieren Samsung-Geräte die Verwendung von Tastaturen von Drittanbietern wie SwiftKey?

    Antwort: Samsung hat damit begonnen, dies auf Android 8.0+ Geräten zu erzwingen. Microsoft arbeitet derzeit mit Samsung an diesem Problem und wird neue Informationen veröffentlichen, sobald diese verfügbar sind.