Le organizzazioni necessitano spesso di gestire i dispositivi aziendali tenendo sempre sotto controllo la sicurezza e le regole aziendali di riservatezza dei contenuti. In questo tutorial analizziamo diverse modalità di installazione dei software aziendali per sistemi portatili Android.
Analizziamo, quindi, i diversi tipi di enrollment per dispositivi sia di proprietà dell’azienda che del dipendente. Nella situazione in cui ci troviamo abbiamo già configurato le applicazioni che vogliamo utilizzare sui device mobili e settato le policy aziendali per rendere i dispositivi sicuri e a norma con la nostra organizzazione.
Analizziamo i diversi tipi di installazione.
Di seguito le possibilità che abbiamo al momento dell’enrollment Android:
- Il primo profilo Personally-owned è utilizzato in molti scenari in quanto il più immediato e pratico dal punto di vista dei permessi sui dispositivi.
Consente comunque un livello di controllo sul device anche se non dispone di tutte le funzioni che hanno i tre restanti profili. - I tre profili Corporate-owned permettono la gestione totale dell’hardware ma richiedono una inizializzazione che avviene soltanto al primo avvio del dispositivo da nuovo oppure tramite rispristino alla condizione di fabbrica.
Personally-owned devices with work profile
Questa installazione, molto diffusa, si verifica quando il dispositivo Android è di proprietà del lavoratore quindi gli amministratori aziendali non hanno il pieno controllo dell’hardware. Il dispositivo di proprietà del dipendente verrà quindi configurato tramite l’installazione di una App da ricercare sul portale Play Store.
Il nome dell’App da installare è Portale Aziendale Intune:
https://play.google.com/store/apps/details?id=com.microsoft.windowsintune.companyportal&hl=it&gl=US
Una volta avviata l’applicazione, proseguire la configurazione configurando come di seguito.
Eseguendo dapprima l’accesso con le credenziali fornite dall’organizzazione, avremo accesso al passaggio successivo, cioè all’abilitazione del profilo di lavoro.
La configurazione del profilo attiverà l’ambiente dedicato sul device e aggiornerà le impostazioni come da configurazione lato Endpoint Manager.
Terminata la configurazione troveremo l’icona dedicata dell’ambiente “WORK”.
Questo ci permette di separare gli ambienti personale/aziendale.
Questa installazione è la più rapida e meno invasiva dal lato dei diritti sul dispositivo. Questo spazio rimarrà separato dalle altre applicazioni presenti sul device, in caso di rimozione del profilo di lavoro non ci sono conseguenze per i file personali.
Corporate-owned dedicated devices
Questa installazione avviene sotto controllo degli amministratori aziendali. Il dispositivo è di proprietà dell’organizzazione. In particolare si procede con questo tipo di installazione su sistemi detti anche Kiosk, dedicati all’esposizione oppure ad un minimo utilizzo delle funzioni. Sono dispositivi spesso condivisi tra più utenti.
Il dispositivo di proprietà dell’azienda verrà quindi configurato tramite
un QR-code generato nel pannello di amministrazione di Microsoft Enpoint Manager – Admin Center https://endpoint.microsoft.com/
Sul dispositivo nuovo appena acceso o rispristinato come da impostazioni di fabbrica avviare la configurazione come di seguito.
Subito dopo la schermata iniziale e di registrazione ad una rete Wi-Fi, digitare:
afw#setup
come visualizzato in figura, poi premere Avanti
Nel seguente passaggio Consentire alla fotocamera del dispositivo di poter inquadrare il QR-Code che abbiamo generato in precedenza:
La configurazione del profilo attiverà l’ambiente dedicato sul device e aggiornerà le impostazioni come da configurazione lato Endpoint Manager
Questa installazione è la più leggera ma dedicata solo a quei dispositivi che vengono messi in esposizione o destinati ad un uso base o condiviso tra gli utenti.
Corporate-owned, fully managed user devices
Questa installazione avviene quando il device è sotto controllo degli amministratori aziendali ed è di proprietà dell’organizzazione.
Nello specifico, il terzo scenario di configurazione, avviene quando si vuole proteggere e configurare il dispositivo come interamente gestito e dedicato all’uso lavorativo.
Avrà quindi un unico profilo aziendale con a disposizione tutte le applicazioni utente selezionate in fase di configurazione Admin Center.
Il dispositivo di proprietà dell’azienda verrà quindi configurato tramite un QR-code generato nel pannello di amministrazione di Microsoft Enpoint Manager – Admin Center https://endpoint.microsoft.com/
Sul dispositivo nuovo appena acceso o rispristinato come da impostazioni di fabbrica avviare la configurazione come di seguito.
Subito dopo la schermata iniziale e di registrazione ad una rete Wi-Fi, digitare:
afw#setup
come visualizzato in figura, poi premere Avanti
Nel seguente passaggio Consentire alla fotocamera del dispositivo di poter inquadrare il QR-Code che abbiamo generato in precedenza:
La configurazione del profilo attiverà l’ambiente dedicato sul device e aggiornerà le impostazioni come da configurazione lato Endpoint Manager
Al termine della procedura troviamo le applicazioni aziendali in un unico spazio applicativo.
Non viene in questo caso contemplato l’utilizzo di account personali in quanto ogni applicazione è gestita dall’amministratore.
Nello Store delle applicazioni infatti possiamo visualizzare ed installare soltanto quelle che sono state autorizzate:
Corporate-owned devices with work profile
Questa installazione avviene quando il device è sotto controllo degli amministratori aziendali ed è di proprietà dell’organizzazione. Nello specifico, il quarto scenario di configurazione, si utilizza quando si vuole proteggere e configurare il dispositivo come interamente gestito ma con uno spazio personale e uno lavorativo distinti.
Avrà quindi un profilo personale ed uno aziendale con a disposizione tutte le applicazioni utente selezionate in fase di configurazione Admin Center.
Il dispositivo, sempre di proprietà dell’azienda, verrà quindi configurato tramite un QR-code generato nel pannello di amministrazione di
Microsoft Enpoint Manager – Admin Center https://endpoint.microsoft.com/
Sul dispositivo nuovo appena acceso o rispristinato come da impostazioni di fabbrica avviare la configurazione come di seguito.
Subito dopo la schermata iniziale e di registrazione ad una rete Wi-Fi, digitare:
afw#setup
come visualizzato in figura, poi premere Avanti
Nel seguente passaggio Consentire alla fotocamera del dispositivo di poter inquadrare il QR-Code che abbiamo generato in precedenza:
La configurazione prosegue con l’accesso alla App Intune che consente la registrazione e gestione remota del dispositivo.
Al termine dell’installazione di Intune possiamo aggiungere un account personale:
Inserire indirizzo email corrispondente all’account personale
Questo account personale sarà configurato in uno spazio separato.
Il profilo di lavoro, invece, viene visualizzato come mostrato in figura e le applicazioni appaiono con l’indicazione aggiuntiva di colore “blu” che le differenzia da quelle comuni.
La tua azienda rispetta le politiche di sicurezza dei dati e riservatezza dei contenuti aziendali nella gestione dei dispositivi?
Scopri il corso MS 030 Microsoft Office 365 Administrator incentrato sulle competenze necessarie per configurare e supportare un tenant di Office 365 e i relativi utenti. Consigliato anche il corso MS-101 Microsoft 365 Mobility and Security che copre argomenti quali la gestione della sicurezza di Microsoft 365, la gestione della conformità di Microsoft 365 e la gestione dei dispositivi di Microsoft 365.
Se desideri maggiori informazioni o una consulenza non esitare a contattarci.
