Microsoft Teams Phone: la gestione con Intune dei telefoni Android certificati

Una delle operazioni che si potrebbe trovare a svolgere un amministratore IT, in un’azienda dove è stata adottata la componente telefonica di Microsoft Teams, è sicuramente la gestione dei telefoni.

La difficoltà nell’individuare la licenza adatta al caso d’uso (combinata alla possibilità di cambiare user experience tramite policy), la necessità di tenere il parco device costantemente aggiornato per stare al passo con le novità e i bug fixes rilasciati da Microsoft e dai produttori, la possibilità di avere un mix di telefoni “Teams nativi” e “compatibili Teams” (SIP Gateway), la necessità di gestire la registrazione dei telefoni in Intune, hanno reso l’esperienza di gestione non sempre ottimale per l’amministratore, soprattutto in organizzazioni di grandi dimensioni.

In questo articolo ci concentreremo sull’ultimo punto, ovvero sulla gestione con Intune dei telefoni Android certificati da per Microsoft Teams. Vedremo come è stato necessario gestirli finora e che cosa cambierà nei prossimi mesi.

Perché parliamo di telefoni Teams e di gestione tramite Intune?

Non è difficile ormai trovare aziende che hanno adottato Microsoft Intune come soluzione di gestione moderna dei device aziendali. Gli utenti di queste organizzazioni hanno quindi tipicamente assegnato un piano di licenza Microsoft 365 che comprende l’opzione Intune. Tramite questa licenza e la piattaforma di MDM l’azienda è in grado di registrare e di gestire i dispositivi dell’utente, pc e cellulari.

Anche i telefoni Android certificati Teams possono essere registrati e gestiti in Intune (e quindi essere soggetti a policy di compliance, configuration e Conditional Access). A differenza però dei pc e dei cellulari, per i quali l’amministratore ha libertà di decidere se gestire o meno il dispositivo in Intune, diversa è la situazione per i telefoni Teams: se l’utente che si logga nel telefono ha assegnata una licenza con Intune, sarà forzato a registrare il telefono nella piattaforma. Qualora non ci riuscisse, sarà riportato alla schermata di login e non potrà utilizzare il telefono, fintanto che la procedura di enroll non sarà completata.

Di seguito due immagini che illustrano il flusso di autenticazione e di registrazione di un telefono Teams.

Figura 1 – Sign-in e processo di registrazione con username e password
Figura 2 – Registrazione in Intune

L’unica opzione che si ha a disposizione, qualora non si volessero registrare questi dispositivi, sarebbe di togliere la licenza Intune all’utente. Questo però il più delle volte non è praticabile, perché porta a perdere la possibilità di gestire anche il pc o il telefono cellulare dell’utente stesso.

Android Device Administrator: il passato ed il presente

Android Device Administrator è una delle modalità di gestione dei dispositivi Android all’interno di Microsoft Intune. Si parla di passato perché è una modalità resa disponibile con Android 2.2, e Microsoft stessa la definisce una modalità di gestione legacy e consiglia si spostarsi verso la modalità Android Enterprise.

Nei nuovi tenant questa modalità è addirittura disabilitata di default, anche se ancora presente, e viene consigliato di creare una Device Restriction policy che blocchi la registrazione dei dispositivi Android con questa modalità.

Parliamo però anche di presente perché, allo stato attuale, è ancora l’unica modalità con la quale è possibile gestire i telefoni Android certificati Teams in Intune. Diventa quindi mandatorio abilitarla per le organizzazioni che si trovano nelle condizioni descritte sopra, e questo si scontra con le raccomandazioni di Microsoft e con le configurazioni dei tenant appena citate.

AOSP: il futuro

Finalmente qualcosa si muove: Microsoft ha annunciato qualche mese fa che i dispositivi certificati Teams con Android saranno migrati verso la gestione in Intune tramite Android Open Source Project entro quest’anno. AOSP rimpiazzerà quindi Android Device Administrator per la gestione di questi device.

Android Open Source Project diventerà inoltre la piattaforma su cui si baseranno i dispositivi Teams Android del futuro. Si tratta di un progetto di sviluppo di un sistema operativo open-source slegato da Google Management Service e servirà come base per creare varianti personalizzate del sistema operativo Android, che potranno essere portate su quasi ogni dispositivo (la piattaforma MDEP, Microsoft device ecosystem platform, è fondata proprio su AOSP).

Cosa succederà a breve e come prepararsi

Tramite un messaggio nel Message Center (MC665936) Microsoft ha comunicato le tempistiche con le quali tutto questo avverrà.

La prima grossa novità (già in corso in questi giorni), è che i vari vendor dei telefoni Teams (per quelli ancora basati su Android 9) rilasceranno un firmware (ovviamente certificato da Microsoft) con a bordo Android OS 12, che sarà disponibile e potrà essere installato tramite Teams Admin Center con le consuete modalità.

In una fase successiva, entro l’anno, verrà rilasciato un nuovo aggiornamento, che avrà il supporto alla gestione dei dispositivi in Intune tramite ASOP. Ce ne accorgeremo perché compariranno due nuove componenti nei dettagli del telefono, finora non presenti, come si vede dall’immagine.

Figura 3 – Visione nuove componenti in TAC

Nel mentre dovremo però prepararci a questo cambiamento, configurando in Intune le policy di enroll ed eventualmente configuration profile e policy di compliance (se presenti) con AOSP.

Questo risulterà fondamentale in quanto, secondo la più recente documentazione, l’installazione dell’aggiornamento con la componente AOSP determinerà la deregistrazione del dispositivo dalla modalità Android Administrator e l’enroll nella nuova modalità, il tutto (nella migliore delle ipotesi) trasparente all’utente ed all’amministratore.

Conclusioni

Questo importante cambiamento consente finalmente di abbandonare una modalità di gestione ormai deprecata da Google e che anche Microsoft sta abbandonando in favore di una più moderna. E’ importante per gli amministratori programmare per tempo gli aggiornamenti e configurare le policy adeguate per evitare spiacevoli sorprese nel momento in cui Android Device Administrator diventerà totalmente deprecato e fuori supporto.

Riferimenti e link

Telefoni Android certificati Teams

Guida alla migrazione da Android Device Administrator ad AOSP

FAQ

Architettura MDEP-AOSP