Använda Android Management API för personligt ägda enheter med arbetsprofiler

Microsoft Intune övergår hantering av personligt ägda arbetsprofiler till Googles Android Management API. Den här ändringen moderniserar hur Intune levererar principer till Android-enheter med personligt ägd arbetsprofil och introducerar ett webbaserat registreringsflöde.

Den här artikeln beskriver vad Android Management API är, hur det påverkar din Intune miljö och vad du behöver göra för att förbereda.

Vad är Android Management-API:et?

Android Management API är Googles rekommenderade API för Android Enterprise-enhetshantering. Android Management API använder Android Device Policy-appen för att framtvinga principer på enheter och ersätter behovet av anpassade enhetsprincipkontrollanter (DPC) som Intune-företagsportal-appen.

När Intune först släppte stöd för android-hantering av personligt ägd arbetsprofil använde den en anpassad DPC-implementering inbyggd i Företagsportal-appen. Sedan dess har Google släppt Android Management API och rekommenderar det nu för all Android Enterprise-hantering. Google håller aktivt på att fasa ut anpassade DPC-funktioner.

Intune använder redan Android Management API för de tre företagshanteringsmetoderna för Android Enterprise:

  • Företagsägda enheter med en arbetsprofil
  • Fullständigt hanterade enheter
  • Dedikerade enheter

Den personligt ägda arbetsprofilen är den senaste hanteringsmetoden som flyttas till Android Management API.

Fördelar med att flytta till Android Management API

Övergången till Android Management API ger följande fördelar för IT-administratörer:

  • Snabbare funktionsleverans: Nya Android Enterprise-hanteringsfunktioner släpps på alla Android Enterprise-hanteringsmetoder samtidigt i stället för att kräva separat utveckling för den anpassade DPC-implementeringen.
  • Konsekvent beteende: Alla Android Enterprise-hanteringsmetoder använder samma underliggande API, vilket resulterar i förutsägbart och enhetligt beteende.
  • Uppdaterad användarapp: Microsoft Intune-appen ersätter den Företagsportal appen som den primära användarinriktade appen för enhetshantering, diagnostik och IT-kontakt. Detta överensstämmer med hur företagets Android Enterprise-enheter redan fungerar.

Förhandskrav

Krav för enhetsplattform

Den här funktionen har stöd för följande plattform:

  • Personligt ägda Android Enterprise-enheter med en arbetsprofil registrerad i Intune

Rollkrav

Så här skapar du enhetskonfigurationsprincipen:

Använda webbaserad registrering för nya enheter

Övergången till Android Management API möjliggör också ett nytt webbaserat registreringsflöde för personligt ägda arbetsprofilenheter, ungefär som webbaserad enhetsregistrering för iOS.

Aktivera webbaserad registrering

När du aktiverar webbaserad registrering gäller den på klientorganisationsnivå för alla nya registreringar av personligt ägda arbetsprofiler. Användare kan börja registrera sig från en webbsida utan att någon appinstallation krävs. De kan komma åt registreringssidan via en URL som du anger, eller via produktivitetsappar när villkorsstyrd åtkomst kräver registrering innan de får åtkomst till företagsresurser.

Innan du aktiverar webbaserad registrering:

  • Testa i en testklientorganisation innan du aktiverar den i produktion.
  • Gå igenom registreringsupplevelsen och uppdatera den interna supportdokumentationen.

Så här aktiverar du webbaserad registrering:

  1. I Microsoft Intune administrationscenter går du till Enheter.

  2. Välj fliken Android .

  3. Expandera Enhetsregistrering och välj Registrering.

  4. Under Registreringsprofiler väljer du Personligt ägda enheter med en arbetsprofil.

  5. Välj Använd webbregistrering för alla användare som registrerar sig för android-hantering av personligt ägd arbetsprofil.

  6. Spara ändringarna genom att välja OK . Den här ändringen kan inte ångras.

Skapa en enhetskonfigurationsprofil för befintliga enheter

För enheter som redan har registrerats i Intune använder du enhetskonfigurationsprincipen för Android Management API för att migrera dessa enheter till Android Management API. När de har migrerats till Android Management API kan de inte återställa till den tidigare hanteringsmetoden.

Innan du migrerar

  • Förbered din miljö. Det finns vissa funktioner som inte fungerar med Android Management API och andra funktioner som kan ha ändrat beteende.

  • Börja smått. Migrera en mindre uppsättning enheter för att verifiera upplevelsen innan du migrerar hela flottan.

  • Meddela användare. Innan du migrerar enheter skickar du e-post till användare eller konfigurerar anpassade meddelanden för att förklara de kommande ändringarna.

  • Övervaka förloppet. Använd rapporten Personal Devices on Android Management API (Personliga enheter i Android Management API ) för att spåra enheter i följande tillstånd:

    • AMAPI: Enheter i Android Management API.
    • Inte avsett att flyttas: Enheter som inte är avsedda att flyttas till Android Management API.
    • Väntande flytt: Enheter som är avsedda att flyttas och väntar på att slutföras.
    • Fel: Enheter som försökte flytta och påträffade ett fel.

Skapa enhetskonfigurationsprofilen

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Hantera enheter>Konfiguration>Skapa>Ny princip.

  3. Ange följande egenskaper:

    • Plattform: Välj Android Enterprise.
    • Profiltyp: Välj Mallar>Flytta till Android Management API.
  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på principen. Namnge dina principer så att du enkelt kan identifiera dem senare. Ett bra principnamn är till exempel Android: Flytta till Android Management API.
    • Beskrivning: Ange en beskrivning för principen. Denna inställning är valfri, men rekommenderas.
  6. Välj Nästa.

  7. I Konfigurationsinställningar väljer du Nästa.

    Den här mallen har inte inställningar som du kan konfigurera. Konfigurationen görs av Intune när enheten tar emot principen.

  8. I Tilldelningar väljer du de enhetsgrupper som ska ta emot din profil. Information om hur du tilldelar profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

  9. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

När du tilldelar principen börjar enheterna flytta till Android Management API. Om du tar bort eller tar bort den här principen fortsätter enheter som redan har flyttat att använda Android Management API. Målenheter som inte har tagit emot principen flyttas inte till Android Management API.

Vad händer med enheter under migreringen?

När en enhet migreras till Android Management API:

  • Ingen avregistrering sker. Användare har åtkomst till företagsresurser under hela migreringen.
  • Den Microsoft Intune appen installeras tyst och blir den primära användarappen. Den ersätter Företagsportal för enhetshanteringsuppgifter.
  • Android Device Policy-appen installeras i ett dolt tillstånd för att framtvinga Android Management API-principer.
  • Wi-Fi åtkomst kan påverkas. Enheter som är anslutna till företagets Wi-Fi med autentisering med användarnamn/lösenord förlorar Wi-Fi åtkomst tills användaren loggar in igen. Enheter som använder certifikatbaserad Wi-Fi autentisering påverkas inte.

Tips

Gå över till certifikatbaserad Wi-Fi autentisering innan du migrerar enheter för att undvika Wi-Fi avbrott. Certifikatautentisering är också säkrare.

Appar installerade efter registrering eller migrering

Intune installerar automatiskt följande appar på enheter som hanteras av Android Management API:

Program Syfte
Microsoft Intune Användarriktad app för enhetshantering, IT-kontakt och insamling av diagnostikloggar.
Företagsportal Krävs för hantering av mobilappar.
Android-enhetsprincip Tillämpar Android Management API-principer. Installerat i ett dolt tillstånd. Användarna ser den inte.
Microsoft Authenticator Tillhandahåller enkel inloggning (SSO) för användarens arbetskonto.

Förbereda din miljö

Vidta dessa åtgärder före migreringen till Android Management API för att säkerställa en smidig övergång.

Ersätt anpassade konfigurationsprinciper

Intune upphörde stödet för anpassade konfigurationsprinciper för personligt ägda arbetsprofilenheter. Anpassade principer fungerar inte med Android Management API. Ersätt alla anpassade principer med motsvarande inbyggda principer.

Hjälp med ersättningsinställningarna finns i Ersätt anpassade principer med inbyggda inställningar. Om inställningen är tillgänglig i inställningskatalogen skapar du en princip för inställningskatalogen. Om inställningen inte är tillgänglig i inställningskatalogen använder du mallen för enhetsbegränsningar.

Växla till certifikatbaserad Wi-Fi autentisering

Om dina Wi-Fi principer använder autentisering med användarnamn/lösenord växlar du till certifikatbaserad autentisering. Enheter i Android Management API förlorar Wi-Fi åtkomst under migreringen tills användaren loggar in igen manuellt.

Utvärdera biometrisk konfiguration

Android Management API stöder inte principer som hindrar användare från att använda biometri (ansikte, fingeravtryck, iris) eller förtroendeagenter för att låsa upp sin enhet på enhetsnivå. Principer som blockerar biometri på arbetsprofilnivå stöds fortfarande.

Om du för närvarande blockerar biometri på enhetsnivå bör du överväga att flytta begränsningen till arbetsprofilnivån för att fortsätta skydda arbetsresurser.

Obs!

För användare som använder ett enhetligt lösenord (ett lås för både enheten och arbetsprofilen) gäller även biometriska inställningar som konfigurerats för arbetsprofilen för enheten.

Granska registreringsbegränsningar

Inställningen Personligt ägd enhet i registreringsbegränsningar (under Android Enterprise (arbetsprofil)) gäller inte för enheter som hanteras av Android Management API. Den här inställningen tas bort från Intune administrationscenter när alla enheter finns på Android Management API.

Om du för närvarande anger Personligt ägd till Blockera planerar du en alternativ metod:

  • Använd en företagshanteringsmetod i stället, till exempel företagsägd arbetsprofil.
  • Konfigurera registreringsbegränsningar så att endast en viss grupp användare tillåts.

Uppdatera enheter till en Android-version som stöds

Kontrollera att enheterna kör en Android-version som stöds. När du har aktiverat registrering med Android Management API kan enheter som kör valfri Android OS-version registreras. En lista över alla versioner som stöds finns i Plattformar som stöds.

Enheter måste köra Android 9 eller senare för att migrera till Android Management API.

Uppmuntra användarna att uppdatera till enhetens senaste tillgängliga Android-version för bästa möjliga upplevelse.

Ändringar att känna till

Vissa beteenden ändras på enheter som hanteras av Android Management API jämfört med den anpassade DPC-implementeringen:

Område Anpassat DPC-beteende Beteende för Android Management API
Obligatoriska appar Användare kan avinstallera nödvändiga appar. de installeras om automatiskt inom några timmar. Användare kan inte avinstallera obligatoriska appar.
Nummerpresentation och kontaktsökning Separata inställningar för att visa nummerpresentation för arbetskontakter och söka efter arbetskontakter från den personliga profilen. Enkel kombinerad inställning. Om någon av dem blockeras blockerar Intune båda.
Skärmtidsgräns Kan konfigureras på enhetsnivå eller arbetsprofilnivå. Kan endast konfigureras på arbetsprofilnivå. Intune använder mindre av de två värdena under migreringen.
Säkerhetsleverantör och Google Play Services-efterlevnad Uppdaterade säkerhetsleverantörer och Google Play-tjänster är konfigurerade kompatibilitetsinställningar är tillgängliga. Stöds inte. Säkerhetsleverantörer uppdateras automatiskt och Google Play-tjänster krävs för registrering. Inställningarna tas bort från efterlevnadsprinciperna.
Registreringsrapporter Registreringsfel och ofullständiga användarregistreringsrapporter omfattar alla enheter. Dessa rapporter innehåller inte enheter som registrerats via Android Management API.
Lista över tillåtna Google-domäner Konfigureras via Intune principer för enhetsbegränsning. Hanteras via Google Admin-konsolen under integreringar från tredje part. Inställningen tas bort från Intune enhetsbegränsningsprinciper.

De senaste uppdateringarna om tidslinjen för distribution och tvingande ändringar finns i Ny principimplementering och webbregistrering för Personligt ägd Android-arbetsprofil.