Inscription des appareils Android et Android Entreprise et Kiosk

By | 3 janvier 2019

Je vous propose, au travers d’une série de billets, de parcourir les étapes de configuration permettant d’activer la gestion des appareils mobiles et de protéger vos données à l’aide de Microsoft Intune.

Version prise en charge

Microsoft Intune prend actuellement en charge Android 4.4 et ultérieur. Cela inclut les appareils Samsung Knox qui exécutent Android 4.4 et versions ultérieures.

Inscription des appareils Android

Par défaut, tous les appareils Android, notamment ceux qui prennent en charge Android Enterprise, peuvent être inscrits comme des appareils Android conventionnels. La gestion conventionnelle des appareils Android “Device Admin” permet d’assurer une gestion essentielle des appareils telle que la gestion du mot de passe.

KNOX (Samsung) répond aux besoins de sécurité des données et des applications des entreprises. L’interface Samsung KNOX est un environnement isolé et sécurisé à l’intérieur de l’appareil. Les applications et données contenues dans l’interface sont séparées des applications externes à l’interface. Grâce à une solution de chiffrement matériel, l’interface Samsung KNOX accueille les applications et les documents sensibles des utilisateurs dans un cadre professionnel.

Android Entreprise, disponible depuis la version 5.1, est une initiative de Google visant à permettre l’utilisation d’appareils et d’applications Android sur le lieu de travail. Le programme propose des API et d’autres outils permettant aux développeurs d’intégrer la prise en charge d’Android dans leurs solutions de gestion de la mobilité d’entreprise (EMM).

Il est pour le moment possible d’utiliser la gestion conventionnelle ou la gestion via Android Entreprise pour les appareils Android. Cependant, à partir d’Android 9.0 (Pie), l’API “Device Admin” est dépréciée pour ensuite disparaître lors de la publication de la version 10.0. (Q) d’Android.

Picture1

Scénarios de déploiement Android avec Microsoft Intune

En mettant de côté l’API “Device Admin” historiquement gérée par Microsoft Intune, il donc possible de manager les appareils Android des manières suivantes :

Pour une gestion BYOD/CYOD :

  • Intune App Protection sans Enrollement : permet d’utiliser des stratégies de protection des applications Intune indépendamment de toute solution MDM, les appareils sont la propriété d’employés et ne sont pas gérés/inscrits dans Intune.
  • Android Entreprise (Work Profile) : les fonctionnalités de gestion affectent seulement le profil professionnel créé sur l’appareil lors de l’inscription. Toutes les applications déployées sur l’appareil avec Intune sont installées dans le profil professionnel. Toutes les applications Android et les données en dehors de la partie Android Entreprise de l’appareil restent personnelles et sous le contrôle de l’utilisateur final. Les utilisateurs peuvent installer les applications de leur choix dans la partie personnelle de l’appareil. Les administrateurs peuvent gérer et surveiller les applications et les actions dans les limites du profil professionnel.

Pour une gestion COPE (Corporate Owned, Personally Enabled), inscrit par l’IT ou via votre revendeur (Samsung Knox Mobile Enrollment – KME) :

  • Android Entreprise Dedicated (Kiosk) : ces appareils sont destinés à un usage unique, tels que la signalisation numérique, l’impression de ticket ou la gestion des stocks etc. Les administrateurs verrouillent l’utilisation d’un appareil pour un ensemble limité d’applications et de liens web. Les utilisateurs ne peuvent pas ajouter d’autres applications ou effectuer d’autres actions sur l’appareil.
  • Android Entreprise Fully Managed (Preview) :  conçu pour des appareils d’entreprise avec des restrictions supplémentaires et contrôle complet. L’inscription suit un processus similaire au BYOD, mais tout est fait en une seule étape après une réinitialisation de l’appareil.

Configuration de l’inscription

Pour l’inscription classique (Device Admin) d’un appareil Android dans Microsoft Intune, aucune action sur le portail n’est nécessaire. Les utilisateurs ou l’IT peuvent installer manuellement depuis le Google Play l’application “Portail d’entreprise” permettant l’inscription de l’appareil.

Pour l’inscription Android Entreprise, il est nécessaire de configurer la liaison entre les API Microsoft et Google depuis le portail Intune sous Azure. Vous pouvez également utiliser le nouveau portail de gestion Microsoft 365 Device Management

Depuis le portail, se diriger dans les blades “Device Enrollment” puis “Android Enrollment”. Dans la section “Prerequisites”, cliquer sur “Managed Google Play” pour ouvrir un nouveau blade. Cocher la case d’acceptation des conditions puis cliquer sur “Launch Google to connect now” puis se signer avec un compte Google. (je vous conseille d’en créer un dédié, vous pouvez potentiellement utiliser celui qui a été utilisé pour paramétrer le certificat Apple Push dans la partie 2.)

2019-01-04 15_30_56-Microsoft Edge
2019-01-04 15_34_33-Microsoft Edge
2019-01-04 15_37_24-Microsoft Edge
2019-01-04 15_39_33-Microsoft Edge

Compléter l’enregistrement et fermer la fenêtre pour finaliser le paramètrage.

2019-01-04 15_54_48-Microsoft Edge

Préparer la gestion Android Entreprise Dedicated (Kiosk)

Pour pouvoir gérer des appareils Android en mode Kiosk, les étapes sont les suivantes :

  1. Créez un profil d’inscription.
  2. Créez un groupe d’appareils.
  3. Inscrivez les appareils kiosque.

Création du profil d’inscription

Depuis le portail Azure, se diriger vers “Device enrollment – Android enrollment” – “Kiosk and Task device enrollment.” puis créer un profil comme ci dessous :

2019-01-07 10_59_44-Microsoft Edge

Note : Google applique obligatoire une expiration de 90j pour le Token.

Création d’un groupe d’appareil

Vous pouvez cibler des applications et des stratégies à des groupes d’appareils dynamiques ou affectés. Vous pouvez configurer des groupes d’appareils AAD dynamiques de façon à spécifier automatiquement des appareils qui sont inscrits avec un profil d’inscription en particulier, tel que “Factory Devices” dans notre exemple.

Dans Azure AD, créer un groupe de sécurité tel que “Factory Devices” en suivant l’exemple ci-dessous :

2019-01-07 11_06_45-Microsoft Edge

Inscription des appareils kiosk

La façon dont vous inscrivez les appareils Android en mode Kiosque varie en fonction du système d’exploitation. Consultez la documentation officielle pour définir votre méthode d’inscription en fonction de vos appareils. Dans cet article, nous utiliserons un QR Code pour enregistrer notre appareil (Android 7 minimum).

Facultatif – Créer un profil de restriction appareil kiosk

Dans notre exemple, nous allons configurer notre appareil pour un usage “Multi-App, c’est-à-dire que nous allons sélectionner les applications disponibles sur l’appareil. Ces applications peuvent être n’importe quelle application du Google Store Managé. Dans notre exemple, nous allons paramétrer l’appareil pour pouvoir exécuter le navigateur géré et l’application d’authentification Microsoft. Nous allons également permettre à un admin de pouvoir quitter le mode kiosk pour changer un paramètre si nécessaire.

Attention, l’application Microsoft “Managed Home Screen” doit être installée sur l’appareil, n’oubliez pas de l’ajouter dans le Google Play Store Managé.

Dans le portail Azure, se diriger vers “Device Configuration – Profiles” puis créer un nouveau profil Android Entreprise de type “Device Owner Only” – “Device restriction”

2019-01-07 12_51_06-Microsoft Edge

Une fois créé, l’assigner au groupe AAD que vous avez créé plus tôt :

2019-01-07 12_53_13-Microsoft Edge

Facultatif – Créer une restriction d’inscription pour un groupe Azure Active Directory

Un appareil doit respecter les restrictions d’inscription affectées à l’utilisateur qui ont la priorité la plus haute. Vous pouvez faire glisser une restriction d’appareil pour changer sa priorité. Les restrictions par défaut ont la priorité la plus basse pour tous les utilisateurs et régissent les inscriptions sans utilisateur. Les restrictions par défaut peuvent être modifiées, mais pas supprimées.

Dans notre exemple, nous allons créer une restriction sur le groupe de sécurité sg-Sales and Marketing qui forcera les appareils à s’enregistrer avec Android Entreprise au lieu de Android.

Depuis le portail, se diriger dans Device enrollment – Enrollment restrictions puis “Create Restriction”. Choisir un nom, configurer comme dans l’exemple et l’assigner à un groupe.

2019-01-04 16_35_48-Microsoft Edge
2019-01-04 16_38_43-Microsoft Edge

Facultatif – ajouter des applications gérées dans le Play Store

Toutes les applications que vous installez sur des appareils avec profil professionnel Android proviennent du store Google Play géré. La façon dont vous affectez des applications à des appareils avec profil professionnel Android diffère de celle dont vous les affectez à des appareils Android standard. Vous vous connectez au store, recherchez les applications souhaitées et les approuvez. L’application apparaît ensuite dans le nœud Applications sous licence du portail Azure, et vous pouvez gérer l’affectation de l’application de la même façon que pour toute autre application.

  1. Accédez au store Google Play géré. Connectez-vous avec le compte que vous avez utilisé pour configurer la connexion entre Intune et Android Entreprise.
  2. Dans le store, recherchez et sélectionnez l’application à affecter à l’aide d’Intune.
  3. Dans la page qui affiche l’application, sélectionnez Approuver.
    Dans l’exemple suivant, l’application Microsoft Excel a été choisie.Bouton Approuver dans le store Google Play géré

    Une fenêtre de l’application s’ouvre, vous demandant d’accorder des autorisations pour que l’application puisse effectuer diverses opérations.

  4. Sélectionnez Approuver pour accepter les autorisations des applications et continuer.Bouton Approuver pour les autorisations d’application
  5. Sélectionnez une option pour gérer les nouvelles demandes d’autorisation d’application, puis sélectionnez Enregistrer.Options de gestion des nouvelles demandes d’autorisation d’application

Depuis le portail, se diriger Client apps – Managed Google Play puis cliquer sur “Sync”

2019-01-04 18_05_01-Microsoft Edge

Les applications sont désormais disponibles dans Microsoft Intune. Assigner les applications sur un groupe d’utilisateur pour les déployer automatiquement sur les appareils.

2019-01-04 18_06_13-Microsoft Edge

Une fois que la politique est rafraîchie sur l’appareil, les applications sont installées dans le profil professionnel.

Screenshot_20190104-180237

Expérience utilisateur d’inscription Android

Expérience utilisateur d’inscription Android Entreprise

Dans la console Microsoft Intune, l’appareil est bien enregistré et le statut d’installation des applications remonte correctement.

2019-01-04 18_16_57-Microsoft Edge
2019-01-04 18_19_38-Microsoft Edge

Expérience d’inscription Android Entreprise via QR Code

C’est tout pour aujourd’hui !