Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Il y a quelques mois, Microsoft a annoncé le support d’Android for Work par Microsoft Intune. Le support dans un mode hybride par Configuration Manager couplé avec Microsoft Intune est attendu pour ce début d’année 2017. Ce billet s’attachera à détailler la configuration de Microsoft Intune dans mode autonome. Android for Work est un ensemble de fonctionnalités à destination des périphériques Android qui permettent de séparer les données personnelles des données professionnels en utilisant le principe d’un profil professionnel contenant les applications et données. Ce mode de gestion est apporté directement via le système Android à partir de la version 5.0 (Lollipop) et plus. Il offre une vraie couche d’administration directement intégrée dans le système Android. Pour les périphériques de version inférieur 4.x, la gestion Android conventionnel apportée par le portail d’entreprise est toujours présente.

Le principe d’Android for Work est d’apporter une solution d’administration qui n’affecte pas l’ensemble du périphérique. Il y a une véritable séparation entre la partie personnelle et le conteneur d’entreprise (Work Profile). Toutes les applications du profil d’entreprise sont marquées avec une valise orange pour permettre la différentiation avec les applications personnelles.

Parmi les capacités offertes par Android for Work, on retrouve :

  • Le déploiement d’applications présentes dans le Google Play Store ou des applications métiers développées en interne. Dans ce scénario, les applications sont synchronisées avec Microsoft Intune. Les applications peuvent être déployée de manière obligatoire ou en libre-service. Nous verrons cette partie dans un billet dédié.
  • La configuration d’applications en fournissant des valeurs de configuration par défaut pour les applications d’entreprise. Vous pouvez par exemple préconfigurer le nom d’un serveur qui sera utilisé lorsque l’utilisateur ouvre pour la première fois une application.
  • Les stratégies de gestion des applications mobiles (MAM) permettant d’empêcher la fuite des données pour les applications compatibles via des stratégies de restriction (copier/coller, etc.).
  • La configuration de profil email pour les applications qui le supporte (Gmail et Nine Work). Microsoft Intune fournit des modèles de configurations pour ces deux applications mais il est possible de créer des modèles personnalisés pour des applications qui supporteraient cette fonctionnalité. L’utilisation de l’accès conditionnel requiert néanmoins l’usage d’Outlook, Gmail, Nine Work ou toutes applications supportant l’authentification moderne (ADAL).
  • Le déploiement de profils VPN afin de préconfigurer le périphériques en proposant deux modèles :
    • Une configuration limitée au profil d’entreprise (Work Profile). Seule les applications Android for Work peuvent utilisée la connexion.
    • Une configuration générale qui peut initier une connexion en fonction des capacités de l’application.
  • Le déploiement de certificats est disponible de la même façon que pour la gestion conventionnelle excepté qu’Android for Work fournit des APIs de gestion étendue avec le déploiement silencieux pour l’utilisateur, la suppression complète lorsque le périphérique est retiré de la solution ou une expérience améliorée pour l’utilisateur.
  • La configuration de profils Wi-Fi permettant notamment le retrait du profil lorsque le périphérique est retiré de la solution d’administration.

 

Configuration d’Android for Work

Nous assumerons que votre environnement est déjà configuré (autorité de gestion déjà paramétré, comptes utilisateurs créés, etc.).

 Connectez-vous au portail Azure avec un compte administrateur. Naviguez dans Admin – Mobile Device Management – Android for Work. Cliquez sur Configure pour lancer la configuration. Note : En fonction du navigateur, il se peut que vous deviez autoriser l'ouverture d'une popup.

Cette opération ouvre la page de création d’une organisation sur le Google Play pour Android for Work. Cliquez sur Connexion et connectez-vous avec un compte Gmail d’entreprise ou créé pour l’occasion. Ce dernier sera associé à toutes les tâches d’administration liées à Android for Work. Il sera notamment utilisé pour aller gérer, acquérir ou publier des applications dans la console Play for Work.
Choisissez ensuite Premiers Pas. Entrez le nom de l’organisation choisi et acceptez le contrat de licences.

 

Confirmez et finalisez l’inscription.

 

Une fois revenu sur le portail, vous pouvez observer la liaison. Vous pouvez effectuer une synchronisation manuelle lorsque vous avez sélectionner les applications dans le Google Play’s Android for Work.

En outre, vous devez choisir les paramètres d’enregistrement entre :

  • Gérer tous les périphériques comme des appareils Android (sans Android for Work).
  • Gérer les périphériques prenant en charge Android for Work : Ce mode de gestion est celui à choisir lorsque vous souhaitez généraliser la solution en production.
  • Gérer les périphériques prenant en charge Android for Work et uniquement les utilisateurs spécifiés : Ce mode offre la flexibilité de tester la fonctionnalité sur un nombre limité d’utilisateurs.

Il faudra sélectionner une des deux dernières options pour permettre l’enregistrement en mode Android for Work

 

Enregistrement d’un périphérique avec Android for Work

Commencez par télécharger le portail d’entreprise sur le Google Play Store. Ouvrez l’application et procédez à la connexion :

 

Une fois la connexion effectuée, vous devez configurer Android for Work et enregistrer le périphérique dans la solution d’administration. Cliquez sur Commencer.

 

Les écrans qui suivent expliquent à l’utilisateur l’intérêt de créer un profil professionnel, les informations relatives au respect de la vie privée, et les grandes étapes qui vont suivre.

 

Les étapes qui suivent correspondent à l’installation et la configuration d’Android for Work sur le périphérique avec les conditions d’utilisation, l’autorisation de gestion du profil Android for Work par le portail d’entreprise, et la validation des informations relatives aux capacités de l’administrateur

 

Une fois effectué, la configuration du profil Android for Work intervient.

 

Vous arrivez ensuite sur un écran qui vous incite à ouvrir le portail d’entreprise qui comporte un badge professionnel (attaché case ??). Vous retrouvez pour cela un dossier Travail ou Work comprenant les applications d’entreprise.

Ouvrez le portail d’entreprise avec l’icône Android for Work et connectez-vous avec l’identifiant de l’utilisateur. L’application du portail d’entreprise vous signale maintenant que la configuration du profil professionnel est faite. Il ne reste plus que l’enregistrement du périphérique et la conformité.

 

Une fois terminé, le portail d’entreprise valide l’ensemble des éléments.

 

En ouvrant les paramètres du téléphone et en naviguant dans les comptes, on peut observer qu’un compte géré et un compte professionnel ont été créés.

Votre périphérique est enfin prêt à recevoir des stratégies Android for Work ou des applications via le Google Play’s Android for Work.

 

Note : Merci à mon camarade Alban qui m’a gentiment prêté son Android. Vous pouvez consulter son blog sur les solutions de collaboration (Office 365, etc.).

Facebook Like