Configurar a inscrição para dispositivos totalmente geridos pelo Android Enterprise

Configure a solução de dispositivo totalmente gerido do Android Enterprise no Microsoft Intune para inscrever e gerir dispositivos pertencentes à empresa. Um dispositivo totalmente gerido está associado a um único utilizador e destina-se a trabalho e não a utilização pessoal. Enquanto administrador do Intune, pode gerir todo o dispositivo e impor controlos de política que não estão disponíveis com o perfil de trabalho do Android Enterprise, tais como:

• Permitir a instalação de aplicações apenas a partir do Managed Google Play.
• Bloquear a desinstalação de aplicações geridas por parte dos utilizadores.
• Impedir que os utilizadores reponham dispositivos de fábrica.

O utilizador e os utilizadores do dispositivo podem iniciar a inscrição ao introduzir ou analisar um token de inscrição durante a configuração do dispositivo. Este artigo descreve os pré-requisitos de inscrição e como criar perfis e tokens de inscrição. No final deste artigo, pode inscrever dispositivos.

Etapa 1: Pré-requisitos

Conclua estes pré-requisitos para garantir uma inscrição bem-sucedida.

• Tem de ter um inquilino autónomo do Intune, com a autoridade de gestão de dispositivos móveis (MDM) definida como Microsoft Intune.

• Os dispositivos precisam:

  • Execute a versão 10.0 e posterior do SO Android.
  • Execute uma versão android com conectividade do Google Mobile Services.
  • Ter o Google Mobile Services disponível e conseguir ligar-se ao mesmo.

  Não existem restrições ao fabricante/OEM do dispositivo se os três requisitos forem cumpridos.

• Certifique-se de que o Android Enterprise é suportado na sua região. Para obter os requisitos do Android Enterprise, veja Introdução ao Android Enterprise.

• Certifique-se de que o Android Enterprise é suportado em dispositivos. Para saber mais, confira:

  • Ajuda do Android Enterprise - FAQs Gerais
  • Verificar & corrigir status de certificação Do Play Protect

• Conecte sua conta de locatário do Intune à sua conta do Android Enterprise.

• O processo de configuração do Android utiliza um separador do Chrome para autenticar utilizadores de dispositivos durante a inscrição. Se tiver uma política de Acesso Condicional Microsoft Entra com as seguintes configurações, tem de excluir a aplicação cloud do Microsoft Intune da política:

  • Exigir que um dispositivo seja marcado como uma definição conforme é utilizado para conceder ou bloquear o acesso.

  • A política aplica-se a Todas as aplicações cloud, Android e Browsers.

Passo 2: Criar novo perfil de inscrição

O Intune gera automaticamente um perfil de inscrição predefinido e um token de inscrição para dispositivos totalmente geridos. O perfil de inscrição predefinido é denominado Perfil Totalmente Gerido Predefinido.

Para criar um novo perfil de inscrição:

1. Entre no Centro de administração do Microsoft Intune.

2. Aceda aInscrição de Dispositivos>.

3. Selecione o separador Android .

4. EmPerfis de InscriçãoDo Android Enterprise>, selecione Dispositivos de utilizador totalmente geridos e pertencentes à empresa.

5. Selecione Criar política.

6. Introduza as noções básicas do seu perfil:

   • Nome: atribua um nome ao perfil. Anote o nome para mais tarde, porque precisa dele quando configurar o grupo de dispositivos dinâmico.

   • Descrição: Insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

   • Tipo de token: selecione o tipo de token que pretende utilizar para inscrever dispositivos empresariais totalmente geridos. Para obter mais informações, veja Tipos de tokens neste artigo. Suas opções:

     • Propriedade da empresa, totalmente gerida (predefinição)

     • Propriedade da empresa, totalmente gerida, através de teste

     Dica

     O agrupamento de tempo de inscrição não é suportado com o token de teste. Se estiver a configurar um perfil para utilização com o agrupamento de tempo de inscrição, utilize o token totalmente gerido (predefinido) pertencente à empresa.

   • Data de expiração do token: apenas disponível com o token de teste. Introduza a data em que pretende que o token expire, até 65 anos no futuro. Formato de data aceitável: MM/DD/YYYY ou YYYY-MM-DD o token expira na data selecionada às 12:59:59 no fuso horário em que foi criado.

   • Modelo de Nomenclatura: o comportamento predefinido atribui nomes aos dispositivos que utilizam propriedades do dispositivo, como o tipo de inscrição, o ID do dispositivo e a hora da inscrição. Exemplo: AndroidForWork_01/01/2025_12:00

     Para criar um modelo de nomenclatura personalizado:

     1. Em Aplicar modelo de nome de dispositivo, selecione Sim.

     2. Introduza o modelo de nomenclatura que pretende aplicar aos dispositivos. Os nomes podem conter letras, números e hífenes.

     Pode utilizar as seguintes cadeias de carateres para criar o seu modelo de nomenclatura. O Intune substitui as cadeias por valores específicos do dispositivo.

     • {{SERIAL}} para o número de série do dispositivo.

     • {{SERIALLAST4DIGITS}} para os últimos 4 dígitos do número de série do dispositivo.

     • {{DEVICETYPE}} para o tipo de dispositivo. Exemplo: AndroidForWork

     • {{ENROLLMENTDATETIME}} para a data e hora da inscrição.

     • {{UPNPREFIX}} para o nome próprio do utilizador. Exemplo: Eric, quando o dispositivo é afiliado ao utilizador.

     • {{USERNAME}} para o nome de utilizador do utilizador quando o dispositivo é afiliado ao utilizador. Exemplo: EricSolomon

     • {{RAND:x}} para uma cadeia aleatória de números, em que x está entre 1 e 9 e indica o número de dígitos a adicionar. O Intune adiciona os dígitos aleatórios ao final do nome.

     As edições que fizer ao modelo de nomenclatura aplicam-se apenas a novas inscrições.

7. Selecione Seguinte para continuar para Grupo de dispositivos.

8. Opcionalmente, selecione onde agrupar dispositivos no momento da inscrição. Selecione Procurar por nome de grupo. Em seguida, localize e selecione um grupo de dispositivos estático Microsoft Entra. Para obter informações sobre como criar um grupo de dispositivos a utilizar para agrupamento, consulte Configurar o agrupamento de tempo de inscrição.

   Dica

   Certifique-se de que seleciona um grupo de dispositivos e não um grupo de utilizadores.

9. Selecione Seguinte para continuar para Etiquetas de âmbito.

10. Aplique uma ou mais etiquetas de âmbito para limitar a visibilidade e a gestão do perfil a determinados utilizadores administradores no Intune. As marcas de escopo são opcionais. Para obter mais informações sobre como utilizar etiquetas de âmbito, veja Utilizar o controlo de acesso baseado em funções (RBAC) e etiquetas de âmbito para TI distribuída.

11. Selecione Seguinte para continuar a Rever + criar.

12. Reveja o resumo do seu perfil e, em seguida, selecione Criar para finalizá-lo.

Para rever, fazer alterações ou eliminar o perfil:

1. Selecione o perfil.

2. Selecione Descrição geral para rever o perfil essencial e eliminar o perfil.

3. Selecione Editar Propriedades> paraefetuar alterações às noções básicas do perfil ou etiquetas de âmbito.

4. Selecione Token para obter, revogar ou exportar o token.

Passo 3: criar um grupo de Microsoft Entra dinâmico

Opcionalmente, crie um grupo de Microsoft Entra dinâmico para agrupar automaticamente dispositivos com base num determinado atributo ou variável. Neste caso, queremos utilizar a enrollmentProfileName propriedade para agrupar dispositivos que estão a ser inscritos com o mesmo perfil.

Adicione estas configurações ao seu grupo:

• Tipo de grupo: segurança

• Tipo de afiliação: Dispositivo Dinâmico

• Adicione uma consulta dinâmica com a seguinte regra:

  • Propriedade: enrollmentProfileName
  • Operador: Igual a
  • Valor: introduza o nome do perfil de inscrição que criou no Passo 2: Criar novo perfil de inscrição.

Não pode utilizar grupos dinâmicos com o perfil de inscrição predefinido. Para obter mais informações sobre como criar um grupo dinâmico com regras, veja Criar uma regra de associação a grupos.

Passo 4: Inscrever dispositivos

Depois de configurar o perfil de inscrição, o token e o grupo dinâmico, pode utilizar qualquer um destes métodos de aprovisionamento para inscrever dispositivos como totalmente geridos:

• Comunicação de Proximidade (NFC)
• Cadeia de token ou código QR
• Inscrição sem toque
• Registro do Samsung Knox Mobile

Para obter os passos seguintes, incluindo como inscrever dispositivos com cada método de aprovisionamento, veja Inscrever dispositivos pertencentes à empresa do Android Enterprise.

Tipos de tokens

Quando cria o perfil de inscrição no centro de administração, tem de selecionar um tipo de token. Existem dois tipos de tokens. Cada tipo ativa um fluxo de inscrição diferente.

O token predefinido, pertencente à empresa, totalmente gerido, inscreve dispositivos no Microsoft Intune como dispositivos totalmente geridos empresariais padrão do Android Enterprise. Este token requer que conclua os passos de pré-aprovisionamento antes de distribuir os dispositivos. Os utilizadores finais completam os restantes passos no dispositivo quando iniciam sessão com a respetiva conta escolar ou profissional.

O token de teste de dispositivos, pertencente à empresa , totalmente gerido, através de teste, inscreve dispositivos no Microsoft Intune num modo de teste para que o utilizador ou um fornecedor de terceiros possa concluir todos os passos de pré-aprovisionamento. Os utilizadores finais completam o último passo de aprovisionamento ao iniciar sessão na aplicação Microsoft Intune com a respetiva conta escolar ou profissional. Os dispositivos estão prontos a utilizar após o início de sessão. O Intune suporta a transição de dispositivos para dispositivos Android Enterprise com o Android 10 ou posterior.

Para obter mais informações, veja Descrição geral do teste de dispositivos.

Substituir, remover ou exportar token

Selecione um token no centro de administração para aceder a estas opções de gestão:

• Substituir token: gere um novo token que está prestes a expirar.

• Revogar token: expire imediatamente o token. Depois de o revogar, o token já não é utilizável. Esta opção é útil se:

  • Partilhe acidentalmente o token com uma parte não autorizada.

  • Conclua todas as inscrições e deixe de precisar do token.

• Exportar token: exporte o conteúdo JSON do token. Pode utilizar esta opção para obter o conteúdo JSON necessário para a configuração do Google Zero Touch ou do Knox Mobile Enrollment.

Quando aplicadas, estas ações não têm qualquer efeito nos dispositivos que já estão inscritos.