Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Intune sta passando la gestione dei profili di lavoro di proprietà personale all'API di gestione Android di Google. Questa modifica modernizza il modo in cui Intune fornisce criteri ai dispositivi del profilo di lavoro di proprietà personale Android e introduce un flusso di registrazione basato sul Web.
Questo articolo illustra cos'è l'API di gestione Android, come influisce sull'ambiente Intune e cosa è necessario fare per prepararsi.
Che cos'è l'API di gestione Android?
L'API di gestione Android è l'API consigliata da Google per la gestione dei dispositivi Android Enterprise. L'API di gestione Android usa l'app Criteri per dispositivi Android per applicare i criteri nei dispositivi, sostituendo la necessità di controller dei criteri di dispositivo personalizzati come l'app Portale aziendale Intune.
Quando Intune rilasciato per la prima volta il supporto per la gestione dei profili di lavoro di proprietà personale android, ha usato un'implementazione DPC personalizzata integrata nell'app Portale aziendale. Da allora, Google ha rilasciato l'API di gestione Android e ora lo consiglia per tutta la gestione di Android Enterprise. Google sta attivamente deprecando la funzionalità DPC personalizzata.
Intune usa già l'API di gestione Android per i tre metodi di gestione android enterprise aziendali:
- Dispositivi di proprietà dell'azienda con un profilo di lavoro
- Dispositivi completamente gestiti
- Dispositivi dedicati
Il profilo di lavoro di proprietà personale è l'ultimo metodo di gestione che passa all'API di gestione Android.
Vantaggi del passaggio all'API di gestione Android
La transizione all'API di gestione Android offre i vantaggi seguenti per gli amministratori IT:
- Recapito delle funzionalità più veloce: le nuove funzionalità di gestione Android Enterprise vengono rilasciate contemporaneamente in tutti i metodi di gestione Android Enterprise invece di richiedere uno sviluppo separato per l'implementazione DPC personalizzata.
- Comportamento coerente: tutti i metodi di gestione Android Enterprise usano la stessa API sottostante, con conseguente comportamento prevedibile e uniforme.
- App utente aggiornata: l'app Microsoft Intune sostituisce l'app Portale aziendale come app principale per la gestione dei dispositivi, la diagnostica e il contatto IT. Questo è in linea con il funzionamento dei dispositivi Android Enterprise aziendali.
Prerequisiti
Requisiti della piattaforma del dispositivo
Questa funzionalità supporta la piattaforma seguente:
- Dispositivi android enterprise di proprietà personale con un profilo di lavoro registrato in Intune
Requisiti dei ruoli
Per creare i criteri di configurazione del dispositivo:
- Accedere all'interfaccia di amministrazione Microsoft Intune con un account con il ruolo predefinito Criteri e Profile Manager. Per altre informazioni sui ruoli predefiniti, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.
Usare la registrazione basata sul Web per i nuovi dispositivi
Il passaggio all'API di gestione Android consente anche un nuovo flusso di registrazione basato sul Web per i dispositivi del profilo di lavoro di proprietà personale, simile alla registrazione dei dispositivi basata sul Web per iOS.
Abilitare la registrazione basata sul Web
Quando si abilita la registrazione basata sul Web, questa viene applicata a livello di tenant a tutte le nuove registrazioni del profilo di lavoro di proprietà personale. Gli utenti possono iniziare la registrazione da una pagina Web senza che sia necessaria alcuna installazione dell'app. Possono accedere alla pagina di registrazione tramite un URL specificato o tramite app per la produttività quando l'accesso condizionale richiede la registrazione prima di accedere alle risorse aziendali.
Prima di abilitare la registrazione basata sul Web:
- Eseguire il test in un tenant di test prima di abilitarlo nell'ambiente di produzione.
- Esaminare l'esperienza di registrazione e aggiornare la documentazione del supporto tecnico interno.
Per abilitare la registrazione basata sul Web:
Nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi.
Selezionare la scheda Android .
Espandere Onboarding del dispositivo e selezionare Registrazione.
In Profili di registrazione selezionare Dispositivi di proprietà personale con un profilo di lavoro.
Selezionare Usa registrazione Web per tutti gli utenti che si registrano nella gestione dei profili di lavoro di proprietà personale Android.
Selezionare OK per salvare le modifiche. Questa modifica non può essere invertita.
Creare un profilo di configurazione del dispositivo per i dispositivi esistenti
Per i dispositivi già registrati in Intune, usare i criteri di configurazione dei dispositivi dell'API di gestione Android per eseguire la migrazione di questi dispositivi all'API di gestione Android. Dopo la migrazione all'API di gestione Android, non è possibile eseguire il rollback al metodo di gestione precedente.
Prima di eseguire la migrazione
Preparare l'ambiente. Esistono alcune funzionalità che non funzionano con l'API di gestione Android e altre funzionalità che potrebbero aver modificato il comportamento.
Iniziare in piccolo. Eseguire la migrazione di un set di dispositivi più piccolo per convalidare l'esperienza prima di eseguire la migrazione dell'intera flotta.
Notificare agli utenti. Prima di eseguire la migrazione dei dispositivi, inviare un messaggio di posta elettronica agli utenti o configurare notifiche personalizzate per spiegare le modifiche imminenti.
Monitorare lo stato di avanzamento. Usare il report Dispositivi personali nell'API di gestione Android per tenere traccia dei dispositivi in questi stati:
- AMAPI: dispositivi nell'API di gestione Android.
- Non destinato allo spostamento: dispositivi non destinati a passare all'API di gestione Android.
- Sposta in sospeso: dispositivi destinati allo spostamento e al completamento in sospeso.
- Errore: dispositivi che hanno tentato di spostare e rilevato un errore.
Creare il profilo di configurazione del dispositivo
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi>Gestisci dispositivi>Configurazione>Crea>Nuovo criterio.
Immettere le proprietà seguenti:
- Piattaforma: selezionare Android Enterprise.
- Tipo di profilo: selezionare Modelli>Sposta nell'API di gestione Android.
Selezionare Crea.
In Informazioni di base immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il criterio. Assegnare ai criteri nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome valido per i criteri è Android: Passa all'API di gestione Android.
- Descrizione: immettere una descrizione per il criterio. Questa impostazione è facoltativa ma consigliata.
Seleziona Avanti.
In Impostazioni di configurazione selezionare Avanti.
Questo modello non dispone delle impostazioni da configurare. La configurazione viene eseguita da Intune quando il dispositivo riceve i criteri.
In Assegnazioni selezionare i gruppi di dispositivi che riceveranno il profilo. Per informazioni sull'assegnazione dei profili, vedere Assegnare profili utente e dispositivo.
Seleziona Avanti.
In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.
Quando si assegnano i criteri, i dispositivi iniziano a passare all'API di gestione Android. Se si annulla l'assegnazione o l'eliminazione di questo criterio, i dispositivi già spostati continuano a usare l'API di gestione Android. I dispositivi di destinazione che non hanno ricevuto i criteri non verranno spostati nell'API di gestione Android.
Cosa accade ai dispositivi durante la migrazione
Quando un dispositivo esegue la migrazione all'API di gestione Android:
- Non si verifica alcuna annullamento della registrazione. Gli utenti mantengono l'accesso alle risorse aziendali durante la migrazione.
- L'app Microsoft Intune viene installata in modo invisibile all'utente e diventa l'app utente principale. Sostituisce Portale aziendale per le attività di gestione dei dispositivi.
- L'app Criteri per dispositivi Android viene installata in uno stato nascosto per applicare i criteri dell'API di gestione Android.
- Wi-Fi l'accesso potrebbe essere interessato. I dispositivi connessi a Wi-Fi aziendali con autenticazione con nome utente/password perdono l'accesso Wi-Fi fino a quando l'utente non accede di nuovo. I dispositivi che usano l'autenticazione Wi-Fi basata su certificato non sono interessati.
Consiglio
Passare all'autenticazione Wi-Fi basata su certificati prima di eseguire la migrazione dei dispositivi per evitare interruzioni Wi-Fi. Anche l'autenticazione del certificato è più sicura.
App installate dopo la registrazione o la migrazione
Intune installa automaticamente le app seguenti nei dispositivi gestiti dall'API di gestione Android:
| App | Finalità |
|---|---|
| Microsoft Intune | App rivolta all'utente per la gestione dei dispositivi, i contatti IT e la raccolta dei log di diagnostica. |
| Portale aziendale | Obbligatorio per la gestione delle app per dispositivi mobili. |
| Criteri per dispositivi Android | Applica i criteri dell'API di gestione Android. Installato in uno stato nascosto. Gli utenti non lo vedono. |
| Microsoft Authenticator | Fornisce l'accesso Single Sign-On (SSO) per l'account aziendale dell'utente. |
Predisporre l'ambiente
Eseguire queste azioni prima della migrazione all'API di gestione Android per garantire una transizione senza problemi.
Sostituire i criteri di configurazione personalizzati
Intune terminato il supporto per i criteri di configurazione personalizzati per i dispositivi del profilo di lavoro di proprietà personale. I criteri personalizzati non funzionano con l'API di gestione Android. Sostituire tutti i criteri personalizzati con criteri predefiniti equivalenti.
Per informazioni sulle impostazioni di sostituzione, vedere Sostituire i criteri personalizzati con le impostazioni predefinite. Se l'impostazione è disponibile nel catalogo delle impostazioni, creare un criterio del catalogo delle impostazioni. Se l'impostazione non è disponibile nel catalogo delle impostazioni, usare il modello di restrizioni del dispositivo.
Passare all'autenticazione Wi-Fi basata su certificati
Se i criteri di Wi-Fi usano l'autenticazione con nome utente/password, passare all'autenticazione basata su certificato. I dispositivi nell'API di gestione Android perdono l'accesso Wi-Fi durante la migrazione fino a quando l'utente non esegue manualmente l'accesso.
Valutare la configurazione biometrica
L'API di gestione Android non supporta criteri che impediscono agli utenti di usare agenti biometrici (viso, impronta digitale, iris) o attendibilità per sbloccare il dispositivo a livello di dispositivo. I criteri che bloccano la biometria a livello di profilo di lavoro sono ancora supportati.
Se attualmente si blocca la biometria a livello di dispositivo, provare a spostare tale restrizione al livello del profilo di lavoro per continuare a proteggere le risorse di lavoro.
Nota
Per gli utenti che usano una password unificata (un blocco sia per il dispositivo che per il profilo di lavoro), le impostazioni biometriche configurate per il profilo di lavoro si applicano anche al dispositivo.
Esaminare le restrizioni di registrazione
L'impostazione Dispositivo di proprietà personale nelle restrizioni di registrazione (in Android Enterprise (profilo di lavoro)) non si applica ai dispositivi gestiti dall'API di gestione Android. Questa impostazione verrà rimossa dall'interfaccia di amministrazione Intune quando tutti i dispositivi si trovano nell'API di gestione Android.
Se attualmente si imposta Proprietà personale su Blocca, pianificare un approccio alternativo:
- Usare invece un metodo di gestione aziendale, ad esempio il profilo di lavoro di proprietà dell'azienda.
- Configurare le restrizioni di registrazione per consentire solo un gruppo specifico di utenti.
Aggiornare i dispositivi a una versione di Android supportata
Verificare che i dispositivi eseguano una versione di Android supportata. Dopo aver abilitato la registrazione con l'API di gestione Android, è possibile registrare i dispositivi che eseguono qualsiasi versione del sistema operativo Android. Per un elenco di tutte le versioni supportate, vedere Piattaforme supportate.
I dispositivi devono eseguire Android 9 o versioni successive per eseguire la migrazione all'API di gestione Android.
Incoraggia gli utenti a eseguire l'aggiornamento alla versione più recente disponibile di Android del dispositivo per un'esperienza ottimale.
Modifiche da tenere presenti
Alcuni comportamenti cambiano nei dispositivi gestiti dall'API di gestione Android rispetto all'implementazione DPC personalizzata:
| Area | Comportamento DPC personalizzato | Comportamento dell'API di gestione Android |
|---|---|---|
| App necessarie | Gli utenti possono disinstallare le app necessarie; si reinstallano automaticamente entro poche ore. | Gli utenti non possono disinstallare le app necessarie. |
| ID chiamante e ricerca dei contatti | Impostazioni separate per la visualizzazione dell'ID chiamante del contatto di lavoro e la ricerca dei contatti di lavoro dal profilo personale. | Singola impostazione combinata. Se uno dei due è bloccato, Intune blocca entrambi. |
| Timeout dello schermo | Configurabile a livello di dispositivo o di profilo di lavoro. | Configurabile solo a livello di profilo di lavoro. Intune usa il minore dei due valori durante la migrazione. |
| Provider di sicurezza e conformità di Google Play Services | Sono disponibili impostazioni di conformità aggiornate per il provider di sicurezza e Google Play Services. | Non supportate. I provider di sicurezza si aggiornano automaticamente e Google Play Services è necessario per la registrazione. Le impostazioni verranno rimosse dai criteri di conformità. |
| Report di registrazione | Gli errori di registrazione e i report registrazioni utente incomplete includono tutti i dispositivi. | Questi report non includono i dispositivi registrati tramite l'API di gestione Android. |
| Elenco di domini google consentiti | Configurato tramite Intune criteri di restrizione del dispositivo. | Gestito tramite la console di Google Amministrazione in Integrazioni di terze parti. L'impostazione verrà rimossa da Intune criteri di restrizione del dispositivo. |
Contenuto correlato
Per gli aggiornamenti più recenti sulla sequenza temporale di implementazione e sulle modifiche all'imposizione, vedere Nuova implementazione dei criteri e registrazione Web per il profilo di lavoro di proprietà personale android.