Portfolio
Retour aux projets

Déploiement et Gestion Complète d'appareils Android Enterprise via Microsoft Intune

2024-05-22
Intune Android Enterprise MDM Entra ID

Ce projet détaille la mise en place d'une infrastructure MDM (Mobile Device Management) pour administrer des terminaux Android appartenant à l'entreprise. La solution repose sur le mode 'Fully Managed' d'Android Enterprise, permettant un contrôle total sur le cycle de vie du produit : de l'enrôlement automatisé par QR Code à la distribution silencieuse d'applications et l'application de restrictions de sécurité critiques.

Sommaire

  1. Objectif
  2. Architecture et Composants
  3. Configuration Requise
  4. Gestion des Permissions Critiques
  5. Scénario d'Exécution (Cycle d'enrôlement)
  6. Annexe : Dépannage et Erreurs
  7. Dictionnaire technique

Objectif

L'objectif principal est de mettre en place une gestion centralisée et hermétique des téléphones professionnels. En utilisant le mode Fully Managed (Entièrement géré), l'organisation s'assure qu'aucune donnée personnelle n'interfère avec les outils métiers, tout en automatisant le paramétrage (Wi-Fi, Apps, Sécurité) dès la sortie de boîte de l'appareil.

Architecture et Composants

Le projet est structuré autour de trois piliers logiques dans Microsoft Endpoint Manager (Intune).

Profil d'inscription (Le Jeton)

Rôle : Définit la méthode de connexion entre le matériel physique et le tenant Intune. Fonctionnement : - Génère un QR Code unique contenant les instructions d'enrôlement.

  • Force le téléchargement de l'agent de gestion Microsoft Intune dès le démarrage de l'appareil.

Groupe Statique (Porte d'entrée)

Rôle : Sert de conteneur technique pour valider l'existence du profil. Fonctionnement : - Ce groupe est lié directement au profil d'inscription.

  • Il accueille l'objet "Appareil" dès que le QR Code est scanné, permettant au service d'approvisionnement de valider l'enregistrement.

Groupe Dynamique (Le Cerveau)

Rôle : Automatise l'affectation des ressources (Apps, Wi-Fi, Restrictions). Fonctionnement : - Utilise une requête de type (device.enrollmentProfileName -eq "Nom_Du_Profil") ou (device.deviceOSType -eq "AndroidEnterprise").

  • Dès qu'un appareil est détecté dans Intune avec ces critères, il reçoit instantanément les politiques associées sans action humaine.

Configuration Requise

Pour que le déploiement soit opérationnel, les éléments suivants doivent être configurés :

  • Lien Google Play : Un compte Google Enterprise doit être lié à Intune pour accéder au catalogue d'applications publiques.
  • Licences : Les utilisateurs finaux doivent posséder une licence incluant Intune (ex: Microsoft 365 Business Premium ou E3/E5).
  • État de l'appareil : Les téléphones doivent être en configuration d'usine (Out-of-the-box experience).

Gestion des Permissions Critiques

Le système repose sur un droit de propriété spécifique appelé Device Owner.

  • Propriétaire du Groupe : Pour que le groupe d'inscription accepte les nouveaux appareils, l'identité de service Intune Provisioning Client (ou Autopilot ConfidentialClient) doit être déclarée comme Propriétaire du groupe dans Microsoft Entra ID.
  • Droit d'application : L'application Microsoft Intune devient techniquement le "propriétaire" du système d'exploitation Android, interdisant ainsi à l'utilisateur de supprimer la gestion MDM.

Scénario d'Exécution (Cycle d'enrôlement)

Le processus est conçu pour être "Zero-Touch" ou "Low-Touch" afin de simplifier la tâche du service informatique.

1. Initialisation (Côté Administrateur)

  • Création du profil d'inscription Android Enterprise.
  • Affectation du Groupe Statique au profil pour l'approvisionnement.
  • Affectation des applications obligatoires (Outlook, Teams, etc.) au Groupe Dynamique.

2. Enrôlement (Côté Appareil)

  • Allumage d'un téléphone neuf.
  • Action : Tapoter 6 fois sur l'écran de bienvenue pour activer le scanner QR Code.
  • Scan du jeton Intune.

3. Automatisation (Côté Cloud)

  • Étape A : L'appareil est inscrit dans le groupe statique via le jeton.
  • Étape B : La règle dynamique détecte l'appareil et l'ajoute au groupe de gestion.
  • Résultat : Les applications s'installent silencieusement et les restrictions (PIN obligatoire, blocage Bluetooth) s'appliquent en moins de 5 minutes.

Annexe : Comprendre les Erreurs

Erreurs d'inscription

  • Validation du groupe échouée : Signifie que le groupe n'est pas statique ou que Intune Provisioning Client n'est pas propriétaire.
  • Profil non trouvé : Le QR Code utilisé est expiré (validité maximale de 90 jours).

Erreurs de conformité

  • Appareil non conforme : L'utilisateur n'a pas encore défini de code PIN conforme à votre politique de sécurité.

Dictionnaire

  • MDM (Mobile Device Management) : Gestion des appareils mobiles.
  • Fully Managed : Mode de gestion où l'entreprise contrôle l'intégralité de l'appareil (pas de profil personnel).
  • Jeton (Token) : Code d'identification unique (souvent un QR Code) permettant de lier l'appareil au serveur.
  • Managed Google Play : Version professionnelle du Store Google permettant d'approuver et déployer des apps à distance.
  • Entra ID : Annuaire cloud gérant les identités et les groupes.
  • Device Owner : Statut privilégié d'une application (Intune) lui donnant le contrôle total sur Android.
  • Inscription Dynamique : Processus où l'appareil rejoint un groupe de gestion basé sur ses propriétés techniques.