Avec l’arrivée de System Center Configuration Manager 1702, Microsoft a annoncé le support d’Android for Work pour la gestion en mode hybride. Ce billet s’attachera donc à détailler la configuration d’Android for Work dans System Center Configuration Manager dans un mode hybride couplé à Microsoft Intune. Android for Work est un ensemble de fonctionnalités à destination des périphériques Android qui permettent de séparer les données personnelles des données professionnels en utilisant le principe d’un profil professionnel contenant les applications et données. Ce mode de gestion est apporté directement via le système Android à partir de la version 5.0 (Lollipop) et plus. Il offre une vraie couche d’administration directement intégrée dans le système Android. Pour les périphériques de version inférieur 4.x, la gestion Android conventionnel apportée par le portail d’entreprise est toujours présente.
Le principe d’Android for Work est d’apporter une solution d’administration qui n’affecte pas l’ensemble du périphérique. Il y a une véritable séparation entre la partie personnelle et le conteneur d’entreprise (Work Profile). Toutes les applications du profil d’entreprise sont marquées avec une valise orange pour permettre la différentiation avec les applications personnelles.
Parmi les capacités offertes par Android for Work, on retrouve :
- Le déploiement d’applications présentes dans le Google Play Store ou des applications métiers développées en interne. Dans ce scénario, les applications sont synchronisées avec Microsoft Intune. Les applications peuvent être déployée de manière obligatoire ou en libre-service. Nous verrons cette partie dans un billet dédié.
- La configuration d’applications en fournissant des valeurs de configuration par défaut pour les applications d’entreprise. Vous pouvez par exemple préconfigurer le nom d’un serveur qui sera utilisé lorsque l’utilisateur ouvre pour la première fois une application.
- Les stratégies de gestion des applications mobiles (MAM) permettant d’empêcher la fuite des données pour les applications compatibles via des stratégies de restriction (copier/coller, etc.).
- La configuration de profil email pour les applications qui le supporte (Gmail et Nine Work). Microsoft Intune fournit des modèles de configurations pour ces deux applications mais il est possible de créer des modèles personnalisés pour des applications qui supporteraient cette fonctionnalité. L’utilisation de l’accès conditionnel requiert néanmoins l’usage d’Outlook, Gmail, Nine Work ou toutes applications supportant l’authentification moderne (ADAL).
- Le déploiement de profils VPN afin de préconfigurer le périphériques en proposant deux modèles :
- Une configuration limitée au profil d’entreprise (Work Profile). Seule les applications Android for Work peuvent utilisée la connexion.
- Une configuration générale qui peut initier une connexion en fonction des capacités de l’application.
- Le déploiement de certificats est disponible de la même façon que pour la gestion conventionnelle excepté qu’Android for Work fournit des APIs de gestion étendue avec le déploiement silencieux pour l’utilisateur, la suppression complète lorsque le périphérique est retiré de la solution ou une expérience améliorée pour l’utilisateur.
- La configuration de profils Wi-Fi permettant notamment le retrait du profil lorsque le périphérique est retiré de la solution d’administration.
Nous assumerons que votre environnement est déjà configuré (Abonnement Microsoft Intune ajouté à ConfigMgr, etc.).
Connectez-vous au portail Azure avec un compte administrateur. Naviguez dans Device enrollment – Android for Work Enrollment. Cliquez sur Configure pour lancer la configuration.
Cette opération ouvre la page de création d’une organisation sur le Google Play pour Android for Work. Cliquez sur Connexion et connectez-vous avec un compte Gmail d’entreprise ou créé pour l’occasion. Ce dernier sera associé à toutes les tâches d’administration liées à Android for Work. Il sera notamment utilisé pour aller gérer, acquérir ou publier des applications dans la console Play for Work.
Choisissez ensuite Premiers Pas. Entrez le nom de l’organisation choisi et acceptez le contrat de licences.
Confirmez et finalisez l’inscription.
Une fois revenu sur le portail, vous pouvez observer la liaison.
En outre, vous devez choisir les paramètres d’enregistrement entre :
- Gérer tous les périphériques comme des appareils Android (sans Android for Work).
- Gérer les périphériques prenant en charge Android for Work : Ce mode de gestion est celui à choisir lorsque vous souhaitez généraliser la solution en production.
- Gérer les périphériques prenant en charge Android for Work et uniquement les utilisateurs spécifiés : Ce mode offre la flexibilité de tester la fonctionnalité sur un nombre limité d’utilisateurs.
Il faudra sélectionner une des deux dernières options pour permettre l’enregistrement en mode Android for Work
Avant que la synchronisation fonctionne dans Configuration Manager, vous devez procéder à l’acquisition d’au moins une application dans le Google Play Store for Work. Dans le cas contraire, vous recevrez un statut Failed.
Côté Configuration Manager, vous pouvez ouvrir la console d’administration et naviguez dans Administration – Overview – Cloud Services – Android for Work. Le compte apparaît dans la console. Vous pouvez initier la synchronisation des applications achetées dans le Google Play for Work en cliquant sur Sync.
Après la première synchronisation, vous voyez apparaître les applications acquises dans la partie Software Library – Overview – Application Management – License Information for Store Apps. Vous pourrez procéder à la création de l’application dans ConfigMgr.