Guide de bout en bout pour la configuration des appareils d’entreprise Android dans Microsoft Intune

  • Article

Ce guide aide les administrateurs à comprendre comment configurer et dépanner des appareils d’entreprise Android dans un environnement Microsoft Intune. Il couvre les scénarios courants suivants :

  • Intégration à Google
  • Déploiement d’applications
  • Activation de l’inscription de profil professionnel
  • Configuration de l’accès conditionnel
  • L’expérience utilisateur final d’inscription de profil professionnel
  • Émission d’une réinitialisation de code secret de profil professionnel

Il vous aide à déterminer quelle fonctionnalité de gestion est la meilleure pour votre organization et fournit un FAQ sur Android Entreprise.

Évaluer vos besoins

Avant d’activer les appareils d’entreprise Android dans Intune, vous devez déterminer si vous souhaitez inscrire ces appareils en tant qu’appareils personnels (ByOD ou ByOD) ou en tant qu’appareils d’entreprise.

Appareils BYOD

Les appareils BYOD sont configurés pour avoir un profil professionnel Android Entreprise. Cette fonctionnalité est intégrée à Android 5.1 et versions ultérieures. Cette fonctionnalité permet aux applications professionnelles et aux données d’être stockées dans un espace distinct, autonome et géré par l’entreprise sur l’appareil. Étant donné que les applications et les données personnelles restent sur l’appareil à l’intérieur du profil personnel de l’utilisateur, les employés peuvent continuer à utiliser leur appareil comme ils le feraient habituellement.

Appareils d’entreprise

Il existe deux options pour les appareils appartenant à l’entreprise, chacune d’elles servant un cas d’usage unique :

  • Appareils dédiés (anciennement appelés COSU, ou à usage unique appartenant à l’entreprise).

    Remarque

    L’exemple utilisé dans ce guide se concentre sur les scénarios BYOD. Pour plus d’informations sur les scénarios d’appareils dédiés (COSU), consultez Configuration et inscription du COSU à l’aide de la méthode d’inscription de code QR.

    Les appareils dédiés sont généralement verrouillés sur une seule application ou un ensemble d’applications (également appelé mode plein écran). Il permet à l’administrateur de contrôler des éléments tels que la barre d’status, les dispositions du clavier, l’écran de verrouillage et d’autres paramètres sur l’appareil. Il empêche les utilisateurs d’activer d’autres applications ou de modifier certains paramètres sur des appareils dédiés.

    Remarque

    Les appareils que vous gérez de cette manière sont inscrits dans Intune sans compte d’utilisateur et ne sont associés à aucun utilisateur final. Elles ne sont pas destinées aux applications à usage personnel ou aux applications qui ont une forte exigence en matière de données de compte spécifiques à l’utilisateur, telles qu’Outlook ou Gmail.

  • Appareils entièrement gérés (anciennement COBO, ou Entreprise appartenant à l’entreprise uniquement).

    Remarque

    Pour plus d’informations sur les appareils entièrement gérés, consultez Configurer Intune’inscription d’appareils Android Enterprise entièrement gérés.

    Les appareils entièrement gérés s’intègrent dans un scénario plus centré sur l’utilisateur. Un seul utilisateur est associé à l’appareil, tandis que l’administrateur conserve toujours le contrôle total sur l’appareil (par opposition à un scénario de profil professionnel, dans lequel plusieurs utilisateurs ont le contrôle).

Lorsque vous décidez comment inscrire vos appareils, n’oubliez pas que toutes les fonctionnalités ne sont pas disponibles pour les deux méthodes. Le tableau suivant présente certaines différences clés.

Ensemble de fonctionnalités Profil professionnel (BYOD) Dédié (kiosque) Complètement managé
Profil Email managé ×
Profil Wi-Fi managé
Profil VPN managé ×
Profil de certificat SCEP
Profil de certificat PKCS ×
Profil de certificat approuvé
Profil personnalisé × x
Empêcher la réinitialisation aux paramètres d’usine ×
Bloquer la caméra & Capture d’écran
Bloquer les boutons de volume ×
Bloquer le copier-coller/le partage de données
Mot de passe managé
Applications managées (obligatoire)
Applications managées (disponibles) ×
Profil conteneurisé × x
Gestion des appareils au niveau du kiosque × x
Gestion des appareils personnel × x
inscription NFC-Based ×
inscription Token-Based ×
Inscription Code-Based QR ×
Zero Touch ×
Conformité/accès conditionnel ×

Pour plus d’informations, consultez Implémenter votre plan Microsoft Intune.

Connecter un compte Intune à un compte d'entreprise Android

La première étape pour configurer Android Entreprise dans votre environnement consiste à connecter votre compte de locataire Intune à votre compte d'entreprise Android :

  1. Créez un compte de service Google (@gmail.com).

    Remarque

    Ce compte sera associé à toutes les tâches de gestion d’entreprise Android pour votre locataire. Il s’agit du compte Google que les administrateurs informatiques de votre entreprise partageront pour gérer et publier des applications dans la console Google Play. Vous pouvez utiliser un compte Google existant ou en créer un. Le compte que vous utilisez ne doit pas être associé à un domaine G-Suite.

  2. Connectez-vous au Centre d’administration Microsoft Intune à l’aide de votre compte Administrateur général sous licence Intune.

  3. Accédez à Appareils>Android>Inscription> Android AndroidManaged Google Play, sélectionnez J’accepte, puis sélectionnez Lancer Google pour vous connecter maintenant pour ouvrir le site web Google Play géré.

    Capture d’écran de la page Google Play géré, où vous pouvez lancer Google pour vous connecter.

  4. Connectez-vous à votre compte Google, puis sélectionnez Prise en main.

    Sélectionnez la page Prise en main.

  5. Entrez le nom de votre entreprise, puis sélectionnez Suivant.

    Entrez la page de nom de votre entreprise.

  6. Acceptez les conditions, puis sélectionnez Confirmer.

  7. Sélectionnez Terminer l’inscription.

    Sélectionnez La page Terminer l’inscription.

Pour plus d’informations, consultez Connecter votre compte Intune à votre compte Google Play géré.

Déployer des applications

Une fois que votre compte Intune est connecté à votre compte d'entreprise Android, vous pouvez déployer certaines applications en procédant comme suit :

  1. Connectez-vous au Centre d’administration Microsoft Intune à l’aide de votre compte Administrateur général sous licence Intune.

  2. Accédez à Applications>Toutes les applications>Ajouter.

  3. Dans le volet Sélectionner un type d’application , recherchez les types d’applications du Store disponibles, puis sélectionnez Application Google Play gérée.

  4. Sélectionnez Sélectionner. Le magasin d’applications Google Play géré s’affiche.

    Magasin d’applications Google Play géré.

  5. Recherchez une application pour afficher les détails de l’application. Exemple : application Portail d'entreprise Intune.

  6. Dans la page qui affiche l’application, sélectionnez Approuver. Une fenêtre pour l’application s’ouvre et vous invite à accorder des autorisations pour permettre à l’application d’effectuer diverses opérations.

    Sélectionnez Approuver dans l’exemple Portail d'entreprise Intune.

  7. Sélectionnez à nouveau Approuver pour accepter les autorisations de l’application.

    Sélectionnez à nouveau Approuver pour accepter les autorisations de l’application.

  8. Sous l’onglet Paramètres d’approbation , sélectionnez Conserver approuvé lorsque l’application demande de nouvelles autorisations, puis sélectionnez Enregistrer.

    Sélectionnez Conserver approuvé lorsque l’application demande de nouvelles autorisations sous l’onglet Paramètres d’approbation.

  9. Cliquez sur Sélectionner pour sélectionner l’application.

  10. Sélectionnez Synchroniser en haut pour synchroniser l’application avec le service Google Play géré.

  11. Sélectionnez Actualiser pour mettre à jour la liste des applications et afficher l’application qui vient d’être ajoutée.

    Remarque

    La synchronisation de l’application entre Intune et le Google Play Store géré est manuelle. Par conséquent, vous devez sélectionner le bouton Synchroniser chaque fois que vous approuvez une nouvelle application.

  12. Une fois l’application ajoutée à Microsoft Intune, vous pouvez l’affecter aux utilisateurs et aux appareils. À partir du centre d’administration Microsoft Intune, accédez à Applications>Toutes les applications. Regardez sous Gérer pour voir l’application affichée dans la liste.

    Page Toutes les applications du centre d’administration Microsoft Intune.

  13. Pour affecter l’application à un groupe, sélectionnez l’application que vous souhaitez attribuer. Dans la section Gérer du menu, sélectionnez Propriétés, puis Modifier en regard de Affectations pour ouvrir le volet Ajouter un groupe .

    Sélectionnez Propriétés, puis Affectations.

  14. Sous l’onglet Affectations , sous Obligatoire, sélectionnez Ajouter un groupe, sélectionnez les groupes à inclure, puis sélectionnez Sélectionner.

    Sélectionnez Ajouter un groupe sous obligatoire.

  15. Dans le volet Attribuer , sélectionnez Vérifier + enregistrer pour terminer la sélection des groupes inclus.

  16. Dans le volet Affectations , sélectionnez Enregistrer pour enregistrer vos modifications.

  17. Revenez à la vue Propriétés de l’application et vérifiez l’application sous Affectations.

    Confirmez l’affectation de l’application.

Pour plus d’informations sur le déploiement d’applications, consultez Ajouter des applications système Android Entreprise à Microsoft Intune.

Activer l’inscription de profil professionnel d’entreprise Android

  1. Dans le portail Intune, accédez àRestrictions d’inscription> d’appareils, puis sélectionnez Par défaut sous Restrictions de type d’appareil.

    Écran Restrictions de type d’appareil.

  2. Sélectionnez Propriétés>Sélectionner des plateformes, bloquer pour Android, autoriser le profil professionnel Android, ok, puis enregistrer pour enregistrer vos modifications.

    Écran des propriétés d’inscription.

    Remarque

    Les restrictions par défaut ont la priorité la plus basse et s’appliquent à tous les utilisateurs. Cela ne peut pas être modifié. Lorsque vous créez des restrictions personnalisées supplémentaires, tenez compte des groupes auxquels elles sont affectées afin de ne pas créer de conflit avec cette configuration.

Pour plus d’informations, consultez Configurer l’inscription des appareils avec profil professionnel Android Entreprise.

Configurer l’accès conditionnel

  1. Déployez l’application Gmail ou l’application Nine Work en fonction des besoins.

  2. Créez un profil de messagerie pour l’application en procédant comme suit :

    1. Dans la Intune Portail Azure, sélectionnezProfils> de configuration> d’appareilCréer un profil, puis entrez Nom et Description pour le profil de messagerie.

    2. Sélectionnez Android Entreprise dans la liste déroulante Plateforme .

    3. Dans Type de> profilProfil professionnel uniquement, sélectionnez Email.

    4. Configurez les paramètres du profil de messagerie.

      Configurez les paramètres de profil de messagerie.

      Pour plus d’informations sur ces paramètres, consultez Paramètres de l’appareil Android pour configurer la messagerie, l’authentification et la synchronisation dans Intune.

  3. Après avoir créé le profil de messagerie, affectez-le à des groupes.

    Écran Affectations.

  4. Configurez l’accès conditionnel basé sur l’appareil.

Pour plus d’informations, consultez Configurer l’accès conditionnel pour les appareils avec profil professionnel Android.

Inscrire votre appareil Android Entreprise

  1. Connectez-vous avec votre compte professionnel, puis appuyez sur Inscrire maintenant.

    Écran Inscrire maintenant.

  2. Dans l’écran Configuration d’Access , appuyez sur Continuer.

    Écran d’installation d’accès.

  3. Dans l’écran de déclaration de confidentialité, appuyez sur Continuer.

    Écran de déclaration de confidentialité.

  4. Dans l’écran Prochaines étapes, appuyez sur Suivant.

    Qu’est-ce que l’écran suivant ?

  5. Dans l’écran Configurer un profil professionnel , appuyez sur Accepter.

    Configurer un écran de profil professionnel.

  6. Dans l’écran Activer le profil professionnel , appuyez sur Continuer.

    Écran Activer le profil professionnel.

    Remarque

    Vous pouvez voir une icône de badge en haut, ce qui signifie que vous êtes maintenant à l’intérieur du profil professionnel.

  7. Dans l’écran Vous êtes prêt , appuyez sur Terminé.

    Vous êtes tous à l’écran.

  8. Vous pouvez maintenant vous connecter à Gmail. Lorsque vous êtes invité à mettre à jour les paramètres de sécurité, appuyez sur METTRE À JOUR MAINTENANT.

    Écran De mise à jour de sécurité.

  9. Appuyez sur Activer pour activer Gmail en tant qu’administrateur d’appareil.

    Écran Administrateur de l’appareil.

Pour plus d’informations, consultez Inscrire des appareils Android.

Réinitialiser les codes secrets de profil professionnel Android

  1. Créez un profil d’appareil qui nécessite un code secret de profil professionnel en procédant comme suit :

    1. Dans la Intune Portail Azure, sélectionnezProfils>de configuration> de l’appareilCréer un profil, entrez Nom et Description pour le profil.

    2. Sélectionnez Android Entreprise dans la liste déroulante Plateforme .

    3. Dans Type de> profilProfil professionnel uniquement, sélectionnez Restrictions d’appareil.

    4. Dans Paramètres du profil professionnel, sélectionnez Exiger dans Exiger le mot de passe du profil professionnel.

      Page des propriétés du profil professionnel.

  2. Sur l’appareil Android entreprise, vous serez invité à définir un code secret de profil professionnel si vous n’en avez pas défini.

  3. Attendez de recevoir une deuxième invite indiquant Sécuriser votre profil professionnel - Autoriser le support technique de votre entreprise à réinitialiser à distance le mot de passe de votre profil professionnel. Entrez votre code secret pour autoriser la réinitialisation. Il active le jeton de réinitialisation de mot de passe dont Intune a besoin pour effectuer cette action avec succès.

    Écran Sécuriser votre profil professionnel.

    Remarque

    Si vous ignorez l’une de ces étapes, le message d’erreur suivant s’affiche :
    Échec de l’initialisation de la réinitialisation du code secret

  4. Sélectionnez Réinitialiser le code secret.

    Écran Réinitialiser le code secret.

  5. Une fois la réinitialisation terminée, le code secret temporaire s’affiche.

    Écran Réinitialiser le code secret terminé.

  6. Entrez ce code secret temporaire sur votre appareil.

  7. Lorsque vous devez définir votre nouveau code confidentiel, vous devez entrer à nouveau ce code secret temporaire, puis entrer votre nouveau code confidentiel.

Pour plus d’informations sur la réinitialisation du code secret, consultez Réinitialiser les codes secrets de profil professionnel Android.

Foire aux questions

  • Question : Pourquoi les applications que je n’ai pas approuvées du Magasin Google Play for Work ne sont-elles pas supprimées de la page Mobile Apps dans le portail Intune Administration ?

    Réponse : Ce comportement est attendu.

  • Question : Pourquoi les applications Google Play gérées ne sont-elles pas sous Applications découvertes dans le portail Intune ?

    Réponse : Ce comportement est attendu.

  • Question : Pourquoi les applications Google Play gérées qui ne sont pas déployées via Intune sont-elles affichées dans le profil professionnel ?

    Réponse : Les applications système peuvent être activées dans le profil professionnel par l’OEM de l’appareil au moment de la création du profil professionnel. Il n’est pas contrôlé par le fournisseur MDM.

    Pour résoudre les problèmes, procédez comme suit :

    1. Collectez les journaux Portail d'entreprise.
    2. Notez toutes les applications qui apparaissent de manière inattendue dans le profil professionnel.
    3. Désinscrivez l’appareil de Intune et désinstallez le Portail d'entreprise.
    4. Installez l’application Test DPC qui permet de créer un profil professionnel sans EMM à des fins de test.
    5. Suivez les instructions de Test DPC pour créer un profil professionnel sur l’appareil.
    6. Passez en revue les applications qui s’affichent dans le profil professionnel.
    7. Si les mêmes applications s’affichent dans l’application Test DPC, les applications sont attendues par l’OEM pour cet appareil.

  • Question : Pourquoi l’option Réinitialiser (réinitialisation aux paramètres d’usine) n’est-elle pas disponible pour mon appareil inscrit au profil professionnel ?

    Réponse : Ce comportement est attendu. Dans le scénario de profil professionnel, le fournisseur GPM ne dispose pas d’un contrôle total sur l’appareil. La seule option disponible est Mise hors service (Supprimer les données de l’entreprise), qui supprime l’ensemble du profil professionnel et tout son contenu.

  • Question : Pourquoi ne puis-je pas trouver le chemin d’accès de fichier Stockage interne/Android/Data.com.microsoft.windowsintune.companyportal/files sur mon appareil inscrit de profil professionnel pour collecter manuellement les journaux d’activité Portail d'entreprise ?

    Réponse : Ce comportement est attendu. Ce chemin d’accès est créé uniquement pour le scénario device Administration (inscription Android héritée).

    Pour collecter les journaux, procédez comme suit :

    1. Dans l’application Portail d'entreprise avec le badge, appuyez surAide> du menu>Email Support, puis sur Envoyer Email & Charger des journaux.
    2. Lorsque vous êtes invité à envoyer une demande d’aide avec, sélectionnez l’une des applications Email.
    3. Un e-mail est généré à votre administrateur informatique avec un ID d’incident qui peut être fourni au support technique Microsoft.

  • Question : J’ai vérifié l’heure de la dernière synchronisation google play gérée et elle n’a pas été mise à jour depuis quelques jours. Pourquoi ?

    Réponse : Ce comportement est attendu. La synchronisation est déclenchée uniquement lorsque vous le faites manuellement.

  • Question : Les applications web sont-elles prises en charge pour les appareils inscrits avec profil professionnel ?

    Réponse : Oui. Les applications web (ou liens web) sont prises en charge pour tous les scénarios Android Enterprise.

  • Question : La réinitialisation du code secret de l’appareil est-elle prise en charge ?

    Réponse : Pour les appareils inscrits au profil professionnel, vous pouvez réinitialiser le code secret du profil professionnel uniquement sur les appareils qui exécutent Android 8.0+ si le code secret du profil professionnel est géré et que l’utilisateur vous a autorisé à le réinitialiser. Pour les appareils dédiés et complètement gérés, la réinitialisation du code secret de l’appareil est prise en charge.

  • Question : Mon appareil doit être chiffré lors de l’inscription. Existe-t-il une option pour désactiver le chiffrement ?

    Réponse : Non. Le chiffrement est requis par Google pour le profil professionnel.

  • Question : Pourquoi les appareils Samsung bloquent-ils l’utilisation de claviers tiers comme SwiftKey ?

    Réponse : Samsung a commencé à appliquer cela sur les appareils Android 8.0+ . Microsoft travaille actuellement avec Samsung sur ce problème et publiera de nouvelles informations lorsqu’elles seront disponibles.