Gestione dei device Android nella modalità Dedicated

Davide SalsiEnterprise Mobility, Microsoft Intune

La trasformazione digitale svolge un ruolo cruciale nello sviluppo dei processi produttivi delle aziende e richiede che tutti i dipendenti abbiano gli strumenti digitali necessari. Per questo motivo, è opportuno fornire alle figure in azienda definite first-line worker (o lavoratori in prima linea) gli strumenti necessari per poter svolgere al meglio la loro attività. Attraverso l’utilizzo di device dedicati, è possibile mantenere la sicurezza delle informazioni aziendali e gestire in modo centralizzato i propri asset.

In questo articolo andremo a trattare la gestione dei dispositivi Android nella modalità denominata Dedicated Device sfruttando l’applicazione Microsoft Managed Home Screen per fornire un’esperienza multiutenza gestita.

Possibili scenari di utilizzo

I first-line worker sono la spina dorsale delle aziende e sono il punto di contatto tra il cliente e la propria organizzazione; queste persone sono inoltre coinvolte nelle operazioni quotidiane dell’azienda senza però necessariamente essere dotate di un device o di un PC.

Attraverso l’adozione di dispositivi Android nella modalità Dedicated Device, è possibile coinvolgere attivamente i first-line worker aumentandone così l’efficienza.

Prima di procedere con i dettagli legati alla soluzione, riportiamo qui sotto alcuni casi d’uso dove tale metodologia di gestione risulta essere ottimale:

  • Ambito sanitario: è possibile dotare il personale medico (medici e infermieri) di dispositivi per consultare informazioni sui pazienti in modo funzionale riuscendo a gestire allo stesso tempo le molteplici turnazioni;
  • Ambito retail: sfruttando le potenzialità dell’intelligenza artificiale e del Machine Learning, i propri dipendenti in prima di linea saranno in grado di fornire ai clienti un’esperienza personalizzata sulla base delle proprie preferenze;
  • Ambito logistica: attraverso l’utilizzo di dispositivi completamente gestiti, il personale di magazzino è in grado di visualizzare in tempo reale la movimentazione delle merci ed essere sempre aggiornato sulle eventuali giacenze.

Prerequisiti

Per poter procedere con la registrazione dei propri dispositivi Android nella modalità sopra citata, è necessario disporre dei seguenti prerequisiti:

  • Android 6.0 o versioni successive;
  • I dispositivi dovranno eseguire una distribuzione di Android che include i Google Mobile Services (GMS) e la possibilità di connettersi ad essi;
  • Impostare l’autority MDM su Microsoft Intune (vedi dettagli);

Connessione di Microsoft Intune al Managed Google Play

Per gestire i propri dispositivi attraverso la metodologia Android Enterprise, come prima cosa, è necessario mettere in comunicazione il proprio tenant Microsoft Intune con un account Managed Google Play.

Per autorizzare questo tipo di comunicazione, è necessario seguire questi semplici step:

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Devices Android Android Enrollment Managed Google Play;
Figura 1 – Enable Managed Google Play
  • Accettare i termini e condizioni per autorizzare Microsoft ad inviare le informazioni inerenti utenti e device a Google;
  • Premere sul pulsante Launch Google to connect now per avviare il processo di connessione tra i due ambienti;
  • A questo punto, si verrà rindirizzati su una pagina di accesso dove sarà necessario inserire il proprio account Google (se già in proprio possesso) oppure si potrà procedere con la creazione di uno nuovo. E’ necessario che l’account non sia associato ad alcun dominio G-Suite.
  • Durante il wizard di associazione, inserire il nome della propria organizzazione ed accertarsi che l’Enterprise mobility management (EMM) provider risulti essere impostato su Microsoft Intune;
  • Accettare i termini e condizioni per la parte Android e confermare attraverso l’apposito pulsante.

Una volta completato tale processo sarà possibile creare un nuovo Enrollment Profile per definire la modalità di registrazione dei dispostivi sul portale Microsoft Intune.

Creazione di un Enrollment Profile

Per permettere di distribuire i propri device nella modalità Dedicated, è necessario creare un profilo di registrazione; questo profilo fornirà un token di registrazione (stringa) oppure un QR code che dovranno essere utilizzati dagli utenti per consentire la registrazione dei device in questa modalità.

Se si dispone del servizio Knox Mobile Enrollment (KME), è possibile effettuare il provisioning dei dispositivi Android nella modalità Dedicated senza la necessità di fornire agli utenti il token o QR code sopra citati. Maggiori informazioni sul servizio KME, sono disponibili al seguente link.

Riportiamo qui sotto gli step necessari per creare un nuovo Enrollment Profile:

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Devices Android Android Enrollment Corporate-owned dedicated devices;
  • Premere sul pulsante Create Profile;
  • Inserire il nome del profilo di registrazione ed una eventuale descrizione;
  • Impostare la scadenza del token di registrazione (non è possibile impostare una scadenza oltre i 90 giorni dalla data di creazione);
  • Proseguire con il wizard di creazione attraverso il pulsante Next e confermare la creazione attraverso il pulsante Create.

Creazione di un Configuration Profile

Con la creazione di un gruppo dinamico lato Azure AD, sarà possibile gestire in modo dinamico i dispositivi registrati attraverso il profilo sopra citato e distribuire le configurazioni/applicazioni su questo sottoinsieme di device. E’ possibile creare gruppi Azure AD direttamente dal portale Microsoft Endpoint Manager nella seguente modalità:

  • Accedere alla sezione Groups – All groups;
  • Premere sul pulsante New group;
  • Mantenere invariato il group type a Security;
  • Inserire il nome del gruppo ed una eventuale descrizione;
  • Dal menù a tendina Membership type selezionare l’opzione Dynamic Device;
  • Premere sulla voce Add dynamic query;
  • All’interno della sezione Dynamic membership rules, impostare i seguenti parametri:
    • Property: enrollmentProfileName
    • Operator: Equals
    • Value: <nome_enrollment_profile >
  • Premere sul pulsante Save;
  • Confermare la creazione del gruppo attraverso il pulsante Create;

Prima di procedere con la policy di configurazione del dispositivo, risulta necessario distribuire l’applicazione Managed Home Screen che verrà utilizzata come interfaccia principale sui nostri dispositivi Android.

Per fare questo, sono necessari alcuni semplici step dalla console Microsoft Endpoint Manager:

  • Accedere alla sezione Apps – All apps;
  • All’interno del campo di ricerca, digitare Managed Home Screen e selezionare l’applicazione che verrà visualizzata;
    • Se l’applicazione non viene visualizzata, aggiungerla attraverso il pulsante Add avendo cura di selezionare l’opzione Managed Google Play app dal menù a tendina App type;
  • Dal ribbon di sinistra, selezionare la voce Properties presente nella sezione Manage;
  • Premere sulla voce Edit presente nella sezione Assignements;
  • Premendo la voce Add group nella sezione Required e selezionando il gruppo sopra creato, andremo a distribuire l’applicazione ai device gestiti nella modalità interessata;
  • Per confermare la distribuzione, premere sul pulsante Review+save;

Sui dispositivi sarà inoltre possibile aggiungere applicazioni pubbliche, private oppure applicazioni web attraverso il Managed Google Play Store creato in procedenza; tali app saranno poi installate automaticamente una volta eseguita la registrazione del device. Per maggiori dettagli su come aggiungere app attraverso il Managed Google Play Store, vedi sezione Riferimenti.

A questo punto, possiamo procedere con l’effettiva creazione della policy di configurazione che andrà a predisporre i device nella modalità di gestione Dedicated:

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Devices Configuration Profiles Create profile;
  • Dal menu a tendina Platform selezionare la voce Android Enterprise;
  • Dal menù a tendina Profile, all’interno della sezione Fully Managed, Dedicated, and Corporate-Owned Work Profile, selezionare la voce Device restrictions;
  • Proseguire con la creazione del profilo attraverso il pulsante Create;
  • Inserire il nome ed una eventuale descrizione del profilo di configurazione;
  • Premere sul pulsante Next;
  • All’interno della sezione Device experience, dal menù a tendina Enrollment profile type, selezionare la voce Dedicated device;
  • Successivamente selezionare la voce Multi-app dal menù Kiosk mode;
Figura 2 – Configurazione device Dedicated
  • Attraverso il pulsante Add, selezionare tutte le applicazioni che dovranno essere visualizzate dagli utenti sui device;
  • Una volta definite le applicazioni, sarà inoltre possibile configurare alcuni settings lato device sulla base delle proprie esigenze, come ad esempio:
    • Orientamento dello schermo;
    • Possibilità di uscire dalla modalità kiosk attraverso l’utilizzo di un PIN;
    • Impostazione di uno sfondo predefinito;
    • Impostazione delle connessioni Wi-Fi alle quali è possibile collegarsi;
  • Premere sul pulsante Next;
  • Premere sulla voce Select groups to include e selezionare il gruppo creato in precedenza;
  • Premere nuovamente sul pulsante Next;
  • Verificare nella schermata di riepilogo le impostazioni configurate e premere sul pulsante Create per confermare la creazione della nuova policy.

Configurazione Managed Home Screen

Attraverso l’utilizzo di una App Configuration Policy, è possibile customizzare l’interfaccia che verrà visualizzata dall’utente sul dispositivo. La customizzazione della Managed Home Screen può essere eseguita in due modalità:

  • Configuration designer: con questa modalità, è possibile definire alcuni settings direttamente da interfaccia grafica ma, allo stato attuale, il set di impostazioni risulta essere ridotto.
  • File JSON: attraverso l’utilizzo di un file in formato JSON, è possibile configurare tutti i settings disponibili per l’applicazione compreso anche il posizionamento delle app sullo schermo.

Riportiamo qui sotto gli step necessari per personalizzare l’applicazione Managed Home Screen:

  • Accedere alla console Microsoft Endpoint Manager con credenziali amministrative;
  • Selezionare Apps App Configuration Policies;
  • Premere sul pulsante Add e selezionare la voce Managed devices;
  • Inserire il nome ed una eventuale descrizione del profilo di configurazione;
  • Dal menù a tendina Platform selezionare l’opzione Android Enterprise e, successivamente, dal menù Profile Type selezionare la voce Fully Managed, Dedicated, and Corporate-Owned Work Profile;
  • Premere sulla voce Select app e, attraverso il campo di ricerca, selezionare l’app Managed Home Screen;
  • Confermare la scelta attraverso il pulsante OK;
  • Premere sul pulsante Next;
  • Dal menù a tendina Configuration settingd format, selezionare la metodologia che si desidera utilizzare per customizzare l’applicazione;
    • Nel caso in cui si utilizzi la modalità Configuration Designer, premendo sul pulsante Add verranno visualizzati tutti i settings al momento disponibili;

Al seguente link, è disponibile un sample da utilizzare per configurare la Managed Home Screen attraverso l’utilizzo di un file JSON.

 

NOTA: Attraverso l’utilizzo della proprietà grid_size, è possibile definire la suddivisione dello schermo del nostro device in modo tale da poter pre-configurare il posizionamento delle applicazioni distribuite.

Ad esempio, se impostiamo alla proprità grid_size il valore “3;7”, il nostro dispositivo verrà suddiviso nel seguente modo:

Figura 3 – Griglia Managed Home Screen

A questo punto, è possibile procedere con la registrazione del dispositivo attraverso una delle metodologia riportate nel paragrafo Riferimenti sottostante.

Riferimenti

Si riportano alcuni utili riferimenti alla documentazione ufficiale Microsoft:

Conclusioni

In questo articolo sono state fornite le informazioni necessarie per poter completare il processo di registrazione su Microsoft Intune dei device Android nella modalità Dedicated. Attraverso l’utilizzo di questa metodologia di gestione, è possibile dotare i propri dipendenti di un dispositivo totalmente integrato nella propria infrastruttura e che consenta di rendere il processo produttivo più snello ed efficiente.