Microsoft Intune: preview del supporto per i dispositivi aziendali Android completamente gestiti
La scorsa settimana, Microsoft ha rilasciato la preview per gli scenari di gestione all’interno di Intune dei dispositivi Android aziendali (formalmente chiamati Corporate Owned, Business Only (COBO) completamente gestiti. Si tratta della nuovissima aggiunta di Intune alla lista di funzionalità di Android Enterprise management, preceduta dai profili di lavoro e dai dispositivi kiosk.
I dispositivi Android completamente gestiti rappresentano uno degli scenari di gestione all’interno del set di soluzioni Android di tipo enteprise che abilita scenari di produttività per gli utenti su dispositivi corporate mentre permette agli amministratori IT di gestire l’intero dispositivo con un set esteso di controlli in materia di policy.
Va a complemento del set di soluzioni sui dispositivi Android Enterprise rilasciato lo scorso anno che si focalizzava sui task workers e sugli utenti senza device. Le funzionalità di policy avanzata in scenari totalmente gestiti sono pensati soltanto per i dispositivi aziendali ed è per questo che vi sono più controlli ed impostazioni disponibili rispetto ad un dispositivo personale con profili professionali. Combinando le funzionalità di questi tre set di soluzioni, ora potete avere maggiore controllo sull’orizzonte di dispositivi Android.
Abbiamo detto che i dispositivi Android completamente gestiti rappresentano uno degli scenari di gestione all’interno del set di soluzioni Android di tipo enteprise. Oltre alle potenzialità elencate nel paragrafo precedente, vi permettono di lavorare su dispositivi personali con profili aziendali. I dispositivi fully managed sono dispositivi Android di proprietà aziendale associati ad un singolo utente. Questi device sono assegnati alle persone per far sì che possano svolgere il loro lavoro.
Cosa comprende la preview?
La preview si focalizza sugli scenari di registrazione dei dispositivi totalmente gestiti, sulla configurazione e sulla distribuzione delle app.
L’obiettivo di Microsoft è infatti quello di mostrare le potenzialità dei dispositivi Android completamente gestiti, di raccogliere i feedback dei clienti e fare un po’ di rodaggio prima di pubblicare la versione in general availability su Intune.
La preview supporta i seguenti scenari di gestione completa dei dispositivi Android su Intune:
– Registrazione del dispositivo utilizzando NFC, token, QR code e Zero Touch;
– Configurazione del dispositivo per gruppi di utenti;
– Distribuzione e configurazione delle app per i gruppi di utenti.
Ci sono invece alcuni scenari che non sono supportati da questa preview ma saranno completati in general availability.
Tra questi:
– Conditional access
– Compliance dei dispositivi
– Policy di protezione delle app
– Targeting dei device group
– Gestione dei certificati
– Registrazione Knox Mobile
– App Company Portal per scenari di tipo end-user.
Gli scenari qui sopra elencati, potrebbero non funzionare come dovrebbero su dispositivi completamente gestiti Android durante la fase di preview.
Registrazione dei dispositivi Android completamente gestiti
Iniziamo dalla registrazione poichè si tratta del primo passaggio che amministratori IT ed utenti devono intraprendere per portare il dispositivo sotto la gestione dell’IT.
L’amministratore IT abilita la registrazione per i dispositivi fully managed all’interno del tenant Intune.
Questo genera un singolo token di registrazione ed un QR code da utilizzare per l’enrollment dei dispositivi completamente gestiti Android nel tenant. Quest’unico token è valido per tutti i vostri utenti e non ha scadenza: tenete presente che è specifico per Microsoft Intune e non per il vostro tenant. Un utente ha bisogno sia del token di registrazione che di credenziali valide per autenticarsi e registrare un dispositivo nel tenant della vostra azienda.
Il token può poi essere ovviamente disabilitato dall’amministratore IT per impedire la registrazione di dispositivi completamente gestiti.
Abilita la registrazione dei dispositivi aziendali completamente gestiti per generare un QR code necessario per l’enrollment.
I dispositivi Android fully managed supportano una varietà di metodi di registrazione, quali NFC, token entry, QR code e Zero Touch.
Queste tipologie di enrollment possono essere intraprese su un dispositivo nuovo o ripristinato per far sì che il dispositivo venga registrato, viene stabilita l’affinità dell’utente ed applicate le policy di configurazione del dispositivo quando il device viene impostato per la prima volta.
Le opzioni di enrollment per i dispositivi Android, le trovate all’interno della seguente documentazione: Registrare dispositivi Android.
Nella breve clip qui sotto, invece,il workflow di registrazione in azione:
Configurazione dei dispositivi Android completamente gestiti
Le impostazioni dei dispositivi che vengono applicate in Intune sono supportate dalla gestione dei dispositivi fully managed. Questo significa che gli amministratori IT hanno la possibilità di configurare un maggior numero di impostazioni avanzate a livello di dispositivo su un dispositivo completamente gestito che su un profilo lavorativo. Ad esempio, permettere l’installazione delle app solo da Google Play, bloccare la disinstallazione di app gestite, non permettere agli utenti di resettare i dispositivi aziendali, controllare il comportamento degli aggiornamenti di sistema e molto altro.
Considerate che i dispositivi dedicati o le impostazioni kiosk non sono applicabili sui dispositivi Android completamente gestiti.
Questa preview supporta il targeting delle policy di configurazione dei dispositivi. Implementare le policy di configurazione dei dispositivi a gruppi di dispositivi potrebbe non funzionare come dovrebbe durante la preview.
Distribuzione e configurazione delle app per i dispositivi Android completamente gestiti
Come per gli scenari esistenti di device Android enterprise in Intune (work profile e dispositivi dedicati), le app vengono distribuite ai dispositivi Android fully managed via Google Play.
Inoltre, potete utilizzare le policy di configurazione delle app per fornire le impostazioni alle app gestite. Allo stesso modo, potete configurare l’email o le impostazioni della VPN.
La preview supporta l’implementazione delle app ai soli gruppi di utenti. Il deployment delle app a gruppi di dispositivi potrebbe quindi non funzionare correttamente durante questa fase di preview.
Next step
Microsoft è al lavoro per creare il supporto per Android fully managed per le seguenti caratteristiche chiave di Intune che verranno annunciate quando Android completamente gestito entrerà nella fase di general availability:
– Conditional Access e policy di compliance;
– Policy di protezione delle app;
– Registrazione dei dispositivi mobili KNOX;
– Gestione dei certificati;
– Targeting dei dispositivi di gruppo per profili e app;
– Interfaccia utente dedicata per configurazione di email, Wi-Fi o VPN;
– Una nuova app end-user.
Problematiche note
Per completare la registrazione dei dispositivi, potreste dover cliccare sulla voce “Please click here to continue…”: durante l’enrollment di un dispositivo completamente gestito, vi si potrebbe presentare la seguente schermata.
Supporto dei clienti alla preview
Attenzione che le funzionalità in preview sono implementate agli standard di produzione di Microsoft Intune.
In ogni caso, non tutte le funzionalità di Intune possono essere utilizzate sui dispositivi utente Android completamente gestiti durante la fase di preview (come indicato nei paragrafi precedenti). Le funzionalità di preview sono completamente supportate attraverso i soliti canali di supporto di Intune e sono chiaramente indicati dalla dicitura “preview” nella console di Intune.
Feedback
Non appena avrete testato i vari scenari dei dispositivi Android completamente gestiti, rilasciate i vostri commenti e feedback in merito alle nuove funzionalità.
Potete farlo all’interno della Microsoft Intune Feedback.
Documentazione
Trovate alcune risorse aggiuntive (in italiano) ai seguenti articoli:
– Registrare i dispositivi Android dedicati o completamente gestiti
– Configurare la registrazione in Intune di dispositivi Android completamente gestiti