Il y a quelques mois, Microsoft a annoncé le support d’Android for Work par Microsoft Intune. Le support dans un mode hybride par Configuration Manager couplé avec Microsoft Intune est attendu pour ce début d’année 2017. Ce billet s’attachera à détailler le déploiement d’applications du Google Play pour Android for Work à partir de Microsoft Intune dans mode autonome.
Android for Work est un ensemble de fonctionnalités à destination des périphériques Android qui permettent de séparer les données personnelles des données professionnels en utilisant le principe d’un profil professionnel contenant les applications et données. Ce mode de gestion est apporté directement via le système Android à partir de la version 5.0 (Lollipop) et plus. Il offre une vraie couche d’administration directement intégrée dans le système Android. Pour les périphériques de version inférieur 4.x, la gestion Android conventionnel apportée par le portail d’entreprise est toujours présente.
Le principe d’Android for Work est d’apporter une solution d’administration qui n’affecte pas l’ensemble du périphérique. Il y a une véritable séparation entre la partie personnelle et le conteneur d’entreprise (Work Profile). Toutes les applications du profil d’entreprise sont marquées avec une valise orange pour permettre la différentiation avec les applications personnelles.
Parmi les capacités offertes par Android for Work, on retrouve :
- Le déploiement d’applications présentes dans le Google Play Store ou des applications métiers développées en interne. Dans ce scénario, les applications sont synchronisées avec Microsoft Intune. Les applications peuvent être déployée de manière obligatoire ou en libre-service. Nous verrons cette partie dans un billet dédié.
- La configuration d’applications en fournissant des valeurs de configuration par défaut pour les applications d’entreprise. Vous pouvez par exemple préconfigurer le nom d’un serveur qui sera utilisé lorsque l’utilisateur ouvre pour la première fois une application.
- Les stratégies de gestion des applications mobiles (MAM) permettant d’empêcher la fuite des données pour les applications compatibles via des stratégies de restriction (copier/coller, etc.).
- La configuration de profil email pour les applications qui le supporte (Gmail et Nine Work). Microsoft Intune fournit des modèles de configurations pour ces deux applications mais il est possible de créer des modèles personnalisés pour des applications qui supporteraient cette fonctionnalité. L’utilisation de l’accès conditionnel requiert néanmoins l’usage d’Outlook, Gmail, Nine Work ou toutes applications supportant l’authentification moderne (ADAL).
- Le déploiement de profils VPN afin de préconfigurer le périphériques en proposant deux modèles :
- Une configuration limitée au profil d’entreprise (Work Profile). Seule les applications Android for Work peuvent utilisée la connexion.
- Une configuration générale qui peut initier une connexion en fonction des capacités de l’application.
- Le déploiement de certificats est disponible de la même façon que pour la gestion conventionnelle excepté qu’Android for Work fournit des APIs de gestion étendue avec le déploiement silencieux pour l’utilisateur, la suppression complète lorsque le périphérique est retiré de la solution ou une expérience améliorée pour l’utilisateur.
- La configuration de profils Wi-Fi permettant notamment le retrait du profil lorsque le périphérique est retiré de la solution d’administration.
Avant de continuer, vous devez avoir configuré l’intégration avec Android for Work.
Vous pouvez ensuite vous connecter au Google Play for Work avec le compte d’entreprise que vous avez utilisé. Naviguez dans le portail en recherchant les applications souhaitées et en les approuvant.
Vous pouvez lister les applications approuvées dans le nœud Mes applications professionnelles :
Ce même portail permet dans la partie Paramètres de l’administrateur de modifier le nom de l’organisation et d’ajouter des administrateurs supplémentaires :
Enfin, le nœud Mises à jour permet d’approuver des applications dont les permissions ont été mis à jour par l’éditeur. Dans ce cas, le comportement suivant est alors observé :
- Les périphériques qui ont déjà l’ancienne version pourront toujours continuer à l’utiliser. Par contre l’application ne pourra être mises à jour. L’utilisateur gardera l’ancienne version tant que les nouvelles permissions seront acceptées. Une fois acceptées, la mise à jour s’installera automatiquement.
- Les périphériques qui n’ont pas installés l’application, n’obtiendront jamais l’application tant que les nouvelles permissions n’ont pas été acceptées.
Connectez-vous ensuite dans le portail Azure et le service Microsoft Intune. Dirigez-vous dans la partie Mobile Apps – Android for Work. Vous pouvez forcer une synchronisation du catalogue en cliquant sur Sync.
Vous retrouvez ensuite les applications listées dans la partie Mobile Apps – Apps. Ces dernières ont un type de programme d’installation : Application Android (dans Play for Work). Vous pouvez les déployer en cliquant sur Assignements.
Vous pouvez ensuite cibler des groupes d’utilisateurs ou de périphériques et choisir si vous souhaitez installer l’application de manière obligatoire ou en libre-service :
Une fois déployées, vous retrouvez les applications requises dans le nœud Work (ou Travail) du périphérique :
Les applications en libre-service sont disponibles dans le Play Store for Work (marqué avec une valise orange) en naviguant dans la partie Mes applications professionnelles :
Note : Merci à mon camarade Alban qui m’a gentiment prêté son Android. Vous pouvez consulter son blog sur les solutions de collaboration (Office 365, etc.).