Android Enterprise
Verwaltung von Android-Geräten über Microsoft Intune mit Android Enterprise — dem Google-Standard für die sichere Trennung von Firmen- und Privatdaten auf Android-Geräten.
Voraussetzung: Ein Managed Google Play Account muss mit dem Intune-Tenant verknĂĽpft sein. Dies wird bei der Ersteinrichtung von Android Enterprise im Intune Admin Center durchgefĂĽhrt (einmalig, kein Google Workspace erforderlich).
Enrollment-Typen
Work Profile (BYOD)
Work Profile — BYOD (Concat Standard für BYOD)
Szenario: Mitarbeiter nutzen ihr privates Android-Gerät für die Arbeit.
Funktionsweise
- Android erstellt einen separaten Firmen-Container auf dem Gerät
- Firmen-Apps und persönliche Apps laufen isoliert voneinander
- Die IT verwaltet nur den Work Profile Bereich — keinen Zugriff auf private Daten, Fotos oder Apps
- Firmendaten können nicht in den privaten Bereich kopiert werden (Data Loss Prevention)
Enrollment-Flow
User installiert Company Portal
User lädt das Intune Company Portal aus dem Google Play Store herunter.
Anmeldung mit Firmen-Account
User meldet sich mit seinem Entra ID Account an → MFA wird durchgeführt.
Work Profile erstellen
Das Company Portal erstellt automatisch das Work Profile → Firmen-Apps werden installiert.
Fertig
Firmen-Apps erscheinen mit einem blauen Aktenkoffer-Icon — deutlich erkennbar als Firmen-Apps.
Work Profile Settings (Concat Standard)
| Einstellung | Wert | BegrĂĽndung |
|---|---|---|
| Copy/Paste zwischen Profilen | Blockiert | Firmendaten bleiben im Work Profile |
| Screenshot im Work Profile | Blockiert | Verhindert Screenshots von Firmendaten |
| Kamera im Work Profile | Erlaubt | FĂĽr Teams-Calls und Dokumentenscans |
| File Sharing | Nur innerhalb Work Profile | Kein Teilen in private Apps |
| Work Profile Lock | Separater PIN / Biometrie | Zusätzlicher Schutz für Firmendaten |
| Kontakt-Integration | Caller-ID erlaubt (konfigurierbar) | Firmen-Kontakte im Anruf sichtbar |
App-Deployment (Managed Google Play)
Funktionsweise
Alle Android-Apps werden über Managed Google Play bereitgestellt — nicht über den regulären Play Store. Managed Google Play wird automatisch beim Android Enterprise Setup mit dem Intune-Tenant verknüpft.
App in Managed Google Play freigeben
Intune Admin Center → Apps → Android → Add → Managed Google Play app → App suchen → Approve → Approval Settings konfigurieren.
App-Zuweisung in Intune
App → Assignments → Zielgruppe zuweisen:
- Required: App wird automatisch silent installiert
- Available: App erscheint im Work Profile Play Store
Sync abwarten
Nach dem Sync wird die App automatisch auf den Zielgeräten installiert (Required) oder im Managed Play Store angezeigt (Available).
Basis-Apps (Required)
| App | Deployment |
|---|---|
| Microsoft Outlook | Required |
| Microsoft Teams | Required |
| Microsoft Authenticator | Required |
| Intune Company Portal | Required |
| Microsoft Defender | Required (bei Lizenz) |
| Microsoft Edge | Required |
Compliance Policies
| Compliance-Regel | Work Profile (BYOD) | Fully Managed |
|---|---|---|
| Rooted Device | Blockiert | Blockiert |
| Min. OS Version | Android 13 | Android 13 |
| Min. Patch Level | Aktuell - 2 Monate | Aktuell - 1 Monat |
| Passcode Required | Ja (Work Profile PIN) | Ja (Device PIN) |
| Encryption | Required | Required |
| SafetyNet / Play Integrity | Basic integrity | Basic + Device |
| Defender Threat Level | Medium or below | Medium or below |
Compliance-Status wird an Entra ID Conditional Access (CA-002) gemeldet → Non-Compliant Geräte werden von M365-Ressourcen blockiert.
Android Enterprise Setup (Ersteinrichtung)
Managed Google Play verbinden
Intune Admin Center → Devices → Enrollment → Android → Managed Google Play → „I agree” → Mit einem Google Account anmelden.
Empfehlung: Einen funktionalen Google Account verwenden (z. B.
intune-admin@kunde.comals Gmail), nicht den persönlichen Account eines Mitarbeiters.
Enrollment-Profile erstellen
FĂĽr jeden Enrollment-Typ ein separates Profil erstellen:
- Work Profile (BYOD)
- Fully Managed
- Dedicated Device (falls benötigt)
Enrollment-Restrictions konfigurieren
Intune → Devices → Enrollment → Device platform restrictions → Android Enterprise erlauben, Legacy Android Device Administrator blockieren.
Android Device Administrator ist veraltet! Google hat den Legacy „Device Administrator” Enrollment-Typ offiziell als deprecated markiert. Alle Android-Geräte müssen über Android Enterprise verwaltet werden. Bestehende Device Administrator Enrollments sollten zeitnah migriert werden.
Querverweise
| Thema | Verwandte Seite |
|---|---|
| iOS / iPadOS Verwaltung | iOS / iPadOS |
| macOS Management | macOS Management |
| Conditional Access | Entra ID Setup |
| App Deployment Regeln | Deployment-Regeln |
| Non-Compliant Device untersuchen | Runbook 1.4 |
| Defender fĂĽr Android | Defender Konfiguration |