Partager via


Guide de déploiement : Gérer des appareils Android dans Microsoft Intune

Intune prend en charge la gestion des appareils mobiles (MDM) pour les appareils Android pour donner aux utilisateurs un accès sécurisé à la messagerie, aux données et aux applications professionnelles. Ce guide fournit des conseils spécifiques à Android pour vous aider à configurer l’inscription dans Intune, et à déployer des applications et des stratégies sur les utilisateurs et les appareils.

Configuration requise

Avant de commencer, effectuez ces actions prérequises pour activer la gestion des appareils Android dans Intune. Pour plus d’informations sur la configuration, l’intégration ou le passage à Intune, consultez le Guide de déploiement de la configuration Intune.

Pour plus d’informations sur les rôles et les autorisations Microsoft Intune, consultez RBAC avec Microsoft Intune. Les rôles Administrateur général Microsoft Entra et Administrateur Intune disposent de droits complets dans Microsoft Intune. L’administrateur général dispose de plus d’autorisations que nécessaire pour de nombreuses tâches de gestion des appareils dans Microsoft Intune. Nous vous recommandons d’utiliser le rôle le moins privilégié nécessaire pour effectuer des tâches. Par exemple, le rôle le moins privilégié qui peut effectuer des tâches d’inscription d’appareil est le Gestionnaire de stratégies et de profils, un rôle Intune intégré.

Planifier votre déploiement

Utilisez le Guide de planification Microsoft Intune pour de l’aide sur la planification, la conception et l’implémentation de Microsoft Intune dans votre organisation. Ce guide fournit des informations pour vous aider à :

  • Déterminer les objectifs, les scénarios de cas d’utilisation et les exigences.
  • Créer des plans de déploiement et de communication.
  • Créer des plans de support, de test et de validation.

Importante

Microsoft Intune met fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 31 décembre 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Créer des règles de conformité

Utilisez des stratégies de conformité pour définir les règles et les conditions auxquelles les utilisateurs et les appareils doivent se conformer pour accéder aux ressources protégées de votre organisation. Vous pouvez aussi créer des stratégies d’accès conditionnel, qui fonctionnent aux côtés des résultats de conformité de votre appareil pour bloquer l’accès aux ressources depuis des appareils non conformes. Pour obtenir une explication détaillée sur les stratégies de conformité et la prise en main, consultez Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune.

Les tâches suivantes s’appliquent aux plateformes d’administration des appareils Android Enterprise et Android.

Tâche Détails
Créer une stratégie de conformité Obtenir des instructions pas à pas sur la création et l’affectation d’une stratégie de conformité à des groupes d’utilisateurs et d’appareils.
Ajouter des actions en cas de non-conformité Choisissez ce qui se passe lorsque les appareils ne remplissent plus les conditions de votre stratégie de conformité. Vous pouvez ajouter des actions pour non-conformité lorsque vous configurez une stratégie de conformité des appareils ou ultérieurement en modifiant cette stratégie.
Créer une stratégie d’accès conditionnel basée sur l’appareil ou basée sur l’application. Spécifiez l’application ou les services que vous souhaitez protéger et définissez les conditions d’accès.
Bloquer l’accès aux applications qui n’utilisent pas l’authentification moderne Créez une stratégie d’accès conditionnel basée sur l’application pour bloquer les applications qui utilisent des méthodes d’authentification autres que OAuth2. Par exemple, vous pouvez bloquer les applications qui utilisent l’authentification de base et l’authentification basée sur les formulaires. Avant de bloquer tout accès, connectez-vous à l’ID Microsoft Entra et passez en revue le rapport d’activité des méthodes d’authentification pour voir si les utilisateurs utilisent l’authentification de base pour accéder à des éléments essentiels (comme les bornes de calendrier de salle de réunion) que vous avez oubliés ou que vous n’avez pas conscience de.

Configurer la sécurité des points de terminaison

Utilisez les fonctionnalités de sécurité des points de terminaison Intune pour configurer la sécurité des appareils et pour gérer les tâches de sécurité des appareils à risque.

Les tâches suivantes s’appliquent aux plateformes d’administration des appareils Android Enterprise et Android.

Tâche Détails
Gérer des appareils avec des fonctionnalités de sécurité de point de terminaison Utilisez les paramètres de sécurité des points de terminaison dans Intune pour gérer efficacement la sécurité des appareils et remédier aux problèmes des appareils.
Activer le connecteur de défense (MTD, Mobile Threat Defense) contre les menaces mobiles pour les appareils inscrits Activez la connexion MTD dans Intune afin que les applications partenaires MTD puissent fonctionner avec Intune et vos stratégies de conformité des appareils MTD. Si vous n’utilisez pas Microsoft Defender pour point de terminaison, envisagez d’activer le connecteur afin de pouvoir utiliser une autre solution de défense contre les menaces mobiles. Vous pouvez aussi activer le connecteur MTD pour les appareils non inscrits dans Intune.
Créer une stratégie de protection des applications MTD Créez une stratégie de protection des applications Intune qui évalue les risques et limite l’accès d’un appareil aux applications professionnelles ou scolaires.
Créer une stratégie de conformité d’appareil MTD Créez une stratégie de protection des applications Intune qui évalue les risques et limite l’accès d’entreprise d’un appareil en fonction du niveau de la menace.
Ajouter et affecter des applications MTD Ajouter et déployer des applications MTD dans Intune. Ces applications fonctionnent avec les stratégies de conformité des appareils et de protection des applications pour identifier et aider à remédier aux menaces sur les appareils. Vous pouvez aussi affecter des applications MTD à des appareils non inscrits dans Intune.

Configurer les paramètres des appareils

Utilisez Microsoft Intune pour activer ou désactiver des paramètres et des fonctionnalités sur des appareils. Pour configurer et appliquer ces paramètres, créez un profil d’appareil, puis affectez le profil aux groupes de votre organisation. Les appareils reçoivent le profil une fois qu’ils sont inscrits.

Tâche Détails Plateforme
Créer un profil d’appareil dans Microsoft Intune Découvrez les différents types de profils d’appareil que vous pouvez créer pour votre organisation. Administrateur d’appareils Android Enterprise, Android
Configurer le profil de Wi-Fi Ce profil permet aux utilisateurs de trouver et de se connecter au réseau Wi-Fi de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres Wi-Fi pour les paramètres Wi-Fi d’Android Enterprise ou les paramètres Wi-Fi des administrateurs d’appareils Android. Administrateur d’appareils Android Enterprise, Android
Configurer le profil VPN Configurez une option VPN sécurisée, telle que Microsoft Tunnel, pour les personnes qui se connectent au réseau de votre organisation. Pour obtenir une description des paramètres de cette zone, consultez les informations de référence sur les paramètres VPN pour les paramètres Wi-Fi d’Android Enterprise ou les paramètres VPN des administrateurs d’appareils Android. Administrateur d’appareils Android Enterprise, Android
Configurer le profil de la messagerie e-mail Configurez les paramètres de la messagerie e-mail afin que les personnes puissent se connecter à un serveur de messagerie et accéder à leur e-mail professionnel ou scolaire. Pour obtenir une description des paramètres de cette zone, consultez Paramètres d’e-mail d’Android Enterprise ou les Paramètres d’e-mail des administrateurs d’appareils Android. Administrateur d’appareils Android Enterprise, Android
Restreindre les fonctionnalités de l’appareil Protégez les utilisateurs contre les accès et les distractions non autorisés en limitant les fonctionnalités de l’appareil qu’ils peuvent utiliser au travail ou à l’école. Pour obtenir une description des paramètres de cette zone, consultez Paramètres d’appareil d’Android Enterprise ou les Paramètres d’appareil des administrateurs d’appareils Android. Administrateur d’appareils Android Enterprise, Android
Configurer des paramètres personnalisés pour l’administrateur d’appareils Android Ajoutez ou créez des paramètres personnalisés qui ne sont pas prédéfinis dans Intune, comme un profil VPN et une protection web au niveau d’une application avec Microsoft Defender pour point de terminaison. Administrateur d’appareils Android
Configurer des applications Samsung Knox Créez un profil personnalisé pour autoriser et bloquer des applications pour les appareils Samsung Knox Standard. Administrateur d’appareils Android
Créer un profil personnalisé pour Android Enterprise Ajoutez ou créez des paramètres personnalisés qui ne sont pas prédéfinis dans Intune pour des appareils personnels. Android Entreprise
Configurer un profil Extensions de mobilité (MX) de Zebra Utilisez des profils Extensions de mobilité (MX) de Zebra pour personnaliser ou ajouter des paramètres spécifiques à Zebra dans Intune. Administrateur d’appareils Android
Créer un profil de configuration OEMConfig Utilisez OEMConfig pour ajouter, créer et personnaliser des paramètres spécifiques aux OEM pour les appareils Android Enterprise. Android Entreprise
Personnaliser l’expérience d’inscription et de personnalisation Personnalisez les applications Portail d’entreprise Intune et Microsoft Intune avec une personnalisation liée à votre organisation afin de créer une expérience familière pour les personnes qui inscrivent leurs appareils. Administrateur d’appareils Android Enterprise, Android

Configurer des méthodes d’authentification sécurisées

Configurez des méthodes d’authentification dans Intune pour vous assurer que seules les personnes autorisées accèdent à vos ressources internes. Intune prend en charge l’authentification multifacteur, les certificats SCEP et PKCS, et les informations d’identification dérivées. Les certificats sont également utilisés pour signer et chiffrer les e-mails à l’aide de S/MIME.

Tâche Détails Plateforme
Exiger une authentification multifacteur (MFA) Demandez aux utilisateurs de fournir deux formes d’informations d’identification au moment de l’inscription. Android Entreprise
Créer un profil de certificat approuvé Créez et déployez un profil de certificat approuvé avant de créer un profil de certificat importé SCEP, PKCS ou PKCS. Le profil de certificat approuvé déploie le certificat racine approuvé sur les appareils en utilisant des certificats SCEP, PKCS et PKCS importés. Administrateur d’appareils Android Enterprise, Android
Utiliser des certificats SCEP avec Intune Découvrez ce qui est nécessaire pour utiliser des certificats SCEP avec Intune et configurez l’infrastructure requise. Après cela, vous pouvez créer un profil de certificat SCEP ou configurer une autorité de certification tierce avec SCEP. Android Entreprise
Utiliser des certificats PKCS avec Intune Configurer l’infrastructure requise (telle que les connecteurs de certificat locaux), exporter un certificat PKCS et ajouter le certificat à un profil de configuration d’appareil Intune. Administrateur d’appareils Android Enterprise, Android
Utiliser des certificats PKCS importés avec Intune Configurer des certificats PKCS importés, ce qui vous permet de configurer et d’utiliser S/MIME pour chiffrer une messagerie e-mail. Administrateur d’appareils Android Enterprise, Android
Configurer un émetteur d’informations d’identification dérivées Provisionnez des appareils Android avec des certificats dérivés de cartes à puce utilisateur. Android Entreprise

Déployer des applications

Quand vous configurez des applications et des stratégies d’applications, réfléchissez aux besoins de votre organisation, comme les plateformes que vous allez prendre en charge, les tâches que les utilisateurs doivent effectuer, le type d’applications dont ils ont besoin pour effectuer ces tâches et les groupes qui ont besoin de ces applications. Vous pouvez utiliser Intune pour gérer l’ensemble de l’appareil (y compris les applications) ou utilisez Intune pour gérer uniquement les applications.

Tâche Détails Plateforme
Ajouter des applications Google Play Store Ajoutez des applications Android depuis Google Play Store. Administrateur d’appareils Android
Ajoutez des applications Google Play managées Ajoutez des applications du Store, des applications métier et des applications web via le Google Play Store managé. Android Entreprise
Ajouter des applications système Android Enterprise Utilisez Intune pour activer et désactiver des applications système Android Enterprise. Android Entreprise
Ajouter des applications web Ajoutez des applications web à Intune et affectez-les à des groupes. Administrateur d’appareils Android
Ajouter des applications intégrées Ajoutez des applications intégrées à Intune et affectez-les à des groupes. Administrateur d’appareils Android
Ajouter des applications métier Ajoutez des applications métier Android à Intune et affectez-les à des groupes. Administrateur d’appareils Android
Attribuer des applications à des groupes Affectez des applications à des utilisateurs et à des appareils. Administrateur d’appareils Android Enterprise, Android
Inclure et exclure des affectations d’applications Contrôler l’accès et la disponibilité à une application en incluant et en excluant des groupes sélectionnés de l’affectation. Administrateur d’appareils Android Enterprise, Android
Créer une stratégie de protection des applications Android Conservez les données de votre organisation contenues dans les applications gérées telles qu’Outlook et Word. Pour plus d’informations sur chaque paramètre, consultez Paramètres de stratégie de protection des applications Android. Administrateur d’appareils Android Enterprise, Android
Vérifier votre stratégie de protection des applications Vérifiez que votre stratégie de protection des applications est bien configurée et qu’elle fonctionne correctement avant de la déployer à l’échelle de l’organisation. Administrateur d’appareils Android Enterprise, Android
Créer une stratégie de configuration des applications Appliquez des paramètres de configuration personnalisés à des applications Android sur des appareils inscrits. Vous pouvez aussi appliquer ces types de stratégies à des applications managées sans inscription d’appareil. Administrateur d’appareils Android Enterprise, Android
Configurer Microsoft Edge Utilisez des stratégies de protection et de configuration des applications Intune avec Microsoft Edge pour Android afin de garantir que les accès aux sites web d’entreprise se font toujours avec des dispositifs de protection en place. Administrateur d’appareils Android Enterprise, Android
Configurer Google Chrome Utilisez une stratégie de configuration d’application Intune pour configurer Google Chrome sur les appareils Android inscrits dans Intune. Android Entreprise
Configurer l’application Écran d’accueil géré par Microsoft Configurez Managed Home Screen sur les appareils d’entreprise Android Enterprise dédiés inscrits via Intune et exécutés en mode kiosque multi-application. Android Entreprise
Configurer l’application Microsoft Launcher Configurez Microsoft Launcher pour personnaliser l’expérience d’écran d’accueil sur les appareils entièrement managés de votre organisation. Android Entreprise
Configurer des applications Microsoft Office Utilisez des stratégies de configuration et de protection des applications Intune avec les applications Office pour vous assurer que les fichiers d’entreprise sont accessibles avec des dispositifs de protection en place. Android Entreprise
Configurer Microsoft Teams Utilisez des stratégies de protection et de configuration des applications Intune avec Teams pour garantir que l’accès aux expériences de collaboration en équipe se fait avec des dispositifs de protection en place. Android Entreprise
Configurer Microsoft Outlook Utilisez des stratégies de protection et de configuration des applications Intune avec Outlook pour veiller à ce que les e-mails et calendriers d’entreprise soient accessibles avec des dispositifs de protection en place. Android Entreprise

Inscrire des appareils

L’inscription d’appareils leur permet de recevoir les stratégies que vous créez. Vos groupes d’utilisateurs et groupes d’appareils Microsoft Entra sont donc prêts.

Intune prend en charge les méthodes d’inscription suivantes pour les appareils Android :

  • BYOD (Bring-your-own-device) : Appareils personnels Android Enterprise avec un profil professionnel
  • Appareils Android Entreprise dédiés appartenant à l’entreprise
  • Appareils Android Entreprise complètement gérés appartenant à l’entreprise
  • Profil professionnel Android Enterprise appartenant à l’entreprise
  • Administrateur d’appareils Android

Pour plus d’informations sur chaque méthode d’inscription et savoir comment choisir celle qui convient à votre organisation, consultez le Guide d’inscription des appareils Android pour Microsoft Intune.

Tâche Détails Plateforme
Connecter un compte Intune à un compte Google Play managé Pour activer la gestion d’Android Enterprise dans Intune, connectez votre compte de locataire Intune à votre compte Google Play managé. Android Entreprise
Configurer l’inscription de profil professionnel pour les appareils personnels Configurez la gestion des profils professionnels pour les appareils personnels. Cette méthode d’inscription crée une zone distincte sur l’appareil pour les données professionnelles afin que ce qui est personnel ne soit pas affecté. Android Entreprise
Configurer la gestion des profils professionnels pour les appareils d’entreprise Configurez la gestion des profils professionnels pour les appareils d’entreprise destinés à un usage professionnel et personnel. Cette méthode d’inscription crée une zone distincte sur l’appareil pour les données professionnelles afin que ce qui est personnel ne soit pas affecté. Android Entreprise
Configurer l’inscription pour les appareils dédiés Configurez l’inscription pour les appareils d’entreprise, avec une utilisation unique et de style kiosque. Android Entreprise
Configurer l’inscription pour les appareils entièrement managés Configurez l’inscription pour les appareils d’entreprise associés à un seul utilisateur et utilisés exclusivement à des fins professionnelles. Android Entreprise
Inscrire des appareils avec profil professionnel dédiés, entièrement managés ou d’entreprise Une fois que vous avez configuré Intune pour l’inscription d’Android Enterprise, inscrivez les appareils en utilisant une des cinq méthodes d’inscription prises en charge. Android Entreprise
Configurer l’inscription de l’administrateur d’appareil Configurer l’inscription d’administrateur d’appareils Android. Cette méthode de gestion des appareils a été remplacée par Android Enterprise : nous ne recommandons donc pas l’inscription de nouveaux appareils de cette manière. Administrateur d’appareils Android
Utiliser l’inscription Samsung Knox Mobile pour inscrire automatiquement des appareils Android Configurez Intune pour l’inscription Samsung Knox Mobile (KME), qui vous permet d’inscrire automatiquement un grand nombre d’appareils Android d’entreprise. Administrateur d’appareils Android Enterprise, Android
Identifier les appareils comme appartenant à l’entreprise Attribuez l’état Propriété de l’entreprise aux appareils pour activer davantage de fonctionnalités de gestion et d’identification dans Intune. L’état Propriété de l’entreprise ne peut pas être attribué à des appareils inscrits par le biais d’Apple Business Manager. Administrateur d’appareils Android Enterprise, Android
Changer la propriété des appareils Une fois qu’un appareil a été inscrit, vous pouvez modifier son étiquette de propriété dans Intune en lui attribuant la valeur propriété de l’entreprise ou propriété personnelle. Cet ajustement change la façon dont vous pouvez gérer l’appareil. Administrateur d’appareils Android Enterprise, Android
Résoudre les problèmes d’inscription Détectez un problème et recherchez des résolutions aux problèmes qui se produisent lors de l’inscription. Administrateur d’appareils Android Enterprise, Android

Exécuter des actions à distance

Une fois les appareils configurés, vous pouvez utiliser des actions à distance dans Intune pour gérer et dépanner des appareils à distance. La disponibilité varie selon la plateforme de l’appareil. Si une action est absente ou désactivée dans le portail, elle n’est pas prise en charge sur l’appareil.

Tâche Détails
Exécuter des actions à distance dans Intune Découvrez comment explorer et gérer et dépanner à distance des appareils individuels dans Intune. Cet article répertorie toutes les actions à distance disponibles dans Intune et fournit des liens vers ces procédures.
Remédier à des vulnérabilités identifiées par Microsoft Defender pour point de terminaison Intégrez Intune à Microsoft Defender pour point de terminaison pour tirer parti de la gestion des menaces et des vulnérabilités de Defender, et utilisez Intune pour remédier aux faiblesses des points de terminaison identifiées par les fonctionnalités de gestion des vulnérabilités de Defender.
Effacer les données d’entreprise d’une application managée par Intune Supprimez sélectivement des données professionnelles d’un appareil.

Prochaines étapes

Consultez ces tutoriels d’inscription pour découvrir comment effectuer certaines des tâches les plus importantes dans Intune. Les tutoriels sont un contenu de niveau 100 à 200 pour les personnes qui débutent avec Intune ou un scénario spécifique.

Pour la version iOS/iPadOS de ce guide, consultez Guide de déploiement : Gérer des appareils iOS/iPadOS dans Microsoft Intune.