Wstęp – czym jest to całe „Zero Touch”?

Siadaj wygodnie, bo zabieram Cię w podróż do świata, w którym firmowe smartfony z Androidem konfigurują się praktycznie same. Dziś na warsztat bierzemy jeden z ulubionych duetów: Android Zero Touch i Microsoft Intune. Pokażę Ci, jak połączyć te dwie potężne siły, żeby wdrożenie nowych urządzeń w Twojej firmie było szybsze niż poranna kawa.

Koniec z ręcznym przeklikiwaniem się przez dziesiątki ekranów na każdym nowym telefonie. Koniec z proszeniem użytkowników, żeby „coś tam zainstalowali ze sklepu”. Robimy to raz, a dobrze. Automagicznie!

Wyobraź sobie scenariusz idealny: kurier przywozi do Twojej firmy paczkę z nowiutkimi smartfonami. Wręczasz pudełko pracownikowi. On je otwiera, włącza telefon, podłącza do Wi-Fi i… dzieje się magia. Urządzenie samo wie, że należy do Twojej firmy, samo pobiera odpowiednią konfigurację, instaluje aplikacje biznesowe, ustawia hasła, Wi-Fi i co tylko sobie zamarzysz. Użytkownik musi jedynie wpisać swoje dane logowania i po kilku minutach ma w pełni gotowe, bezpieczne i zarządzane narzędzie pracy. To właśnie Android Zero Touch (AZT).

Ale sama świadomość przynależności to nie wszystko. Urządzenie musi jeszcze wiedzieć, co ma robić. I tu na scenę wchodzi on, cały na biało (a raczej na niebiesko) – Microsoft Intune, który będzie mózgiem całej operacji.

Co będzie nam potrzebne? (lista zakupów i przygotowań)

Zanim zaczniemy, upewnij się, że masz wszystko pod ręką. Z doświadczenia wiem, że brak jednego elementu może zatrzymać cały proces na długie godziny.

1. Kompatybilne urządzenia

Nie każdy telefon z Androidem nadaje się do tej zabawy. Musisz mieć urządzenia, które:

• działają na systemie Android 8.0 (Oreo) lub nowszym (w przypadku Pixeli wystarczy Android 7.0)
• posiadają wsparcie dla Usług Mobilnych Google (GMS) – czyli w praktyce mają dostęp do Sklepu Google Play
• BARDZO WAŻNE: zostały zakupione u autoryzowanego resellera Zero Touch, który ma możliwość dodania ich do Twojego portalu

Moja rada: Zanim złożysz zamówienie, zapytaj wprost swojego dostawcę (np. w dziale obsługi biznesu Plusa, Orange czy T-Mobile), czy wybrane modele są kompatybilne z Zero Touch i czy mogą je dla Ciebie zarejestrować.

2. Licencje i konta

• Aktywna subskrypcja Microsoft Intune (np. w ramach Microsoft 365 Business Premium, E3, E5)
• Konto administratora w Microsoft 365/Intune z odpowiednimi uprawnieniami (administrator globalny lub administrator Intune).
• Firmowe konto Google, które posłuży do połączenia z Android Enterprise.
  BARDZO WAŻNE: Nie używaj do tego prywatnego konta! Załóż dedykowane, np. md*******@********ma.com, i koniecznie zabezpiecz je uwierzytelnianiem dwuskładnikowym (2FA).

3. Portal Android Zero Touch

I tu dochodzimy do kluczowej kwestii. Samego portalu nie „wyklikasz” sobie samodzielnie. Musi go dla Ciebie stworzyć autoryzowany reseller / partner Google.

Jak zdobyć konto w portalu Zero Touch? (krótka instrukcja dla niecierpliwych):

1. Skontaktuj się ze swoim opiekunem handlowym u operatora (np. w Plusie, który ma w tym duże doświadczenie).
2. Poproś o rejestrację w programie Android Zero Touch. Będziesz musiał podać:
   • Adres e-mail powiązany z kontem Google, który ma pełnić rolę administratora (ten, który założyłeś w poprzednim kroku).
   • Pełną nazwę firmy.
3. Opiekun powinien poprosić o numer klienta Zero Touch lub go dla Ciebie utworzyć. Zapisz go.
4. Czekaj na e-mail aktywacyjny z Google (zazwyczaj trwa to od 24 do 48 godzin).
5. Po otrzymaniu maila, zaloguj się na https://partner.android.com/zerotouch i gotowe!

Część 1: Przygotowujemy lądowisko w Microsoft Intune

Zanim urządzenia zaczną się zgłaszać, musimy przygotować dla nich miejsce w Intune.

Krok 1: Połączenie Intune z zarządzanym Sklepem Google Play

To absolutny fundament. Jeśli już to masz, przeskocz do kroku 2.

1. W Centrum administracyjnym Microsoft Intune przejdź do: Urządzenia (Devices) > Android > Rejestrowanie (Android enrollment).
2. Kliknij w Zarządzany sklep Google Play (Managed Google Play Store) [1].
3. Zaznacz Zgadzam się (I agree) i kliknij Uruchom Google, aby połączyć teraz (Launch Google to connect now).
4. Zaloguj się na swoje dedykowane, firmowe konto Google.
5. Postępuj zgodnie z instrukcjami, aby utworzyć połączenie. Status w Intune powinien zmienić się na Aktywny (Active).

Krok 2: Tworzenie profilu rejestracji i zdobycie tokenu

Teraz stworzymy profil, który wygeneruje nam „magiczne zaklęcie” – token.

1. Wróć do: Urządzenia > Android > Rejestracja.
2. Wybierz Profil Rejestracji [2] – my na potrzeby artykułu wybierzemy W pełni zarządzane urządzenia użytkowników należące do firmy (Corporate-owned, fully managed user devices).
3. Kliknij + Utwórz profil (+ Create profile). Nazwij go sensownie, np. AZT - Profil Domyślny.
4. Przejdź przez kreator i utwórz profil.
5. Po utworzeniu, kliknij na jego nazwę na liście, a następnie wybierz Token.
6. Kliknij przycisk Kopiuj. Zachowaj ten token w bezpiecznym miejscu (np. w menedżerze haseł lub Notatniku). Traktuj go jak hasło roota – nie udostępniaj go publicznie!

Część 2: Konfiguracja w portalu Zero Touch (dwie drogi do celu)

Teraz czas na magię w portalu AZT. Masz dwie możliwości.

Metoda 1: Szybka integracja przez iFrame (dla tych, co lubią proste rozwiązania)

Intune oferuje wbudowane, uproszczone narzędzie do połączenia z AZT. Idealne, jeśli masz jedną, standardową konfigurację dla wszystkich.

1. W Intune przejdź do: Urządzenia > Android > Rejestracja.
2. Wybierz Rejestracja bez obsługi dotykowej (Zero-touch enrollment).
3. Otworzy się okno (iFrame), w którym musisz zalogować się na swoje konto Google od AZT.
4. Wybierz swoją organizację Zero Touch i domyślną konfigurację, którą chcesz powiązać. Uzupełnij dane kontaktowe pomocy technicznej.
5. Zapisz. Gotowe.

Wada: Ta metoda pozwala na stworzenie tylko jednej, domyślnej konfiguracji. Jeśli potrzebujesz różnych ustawień dla różnych działów (np. handlowcy z CRM, magazynierzy z aplikacją do skanowania), musisz wybrać metodę nr 2.

Metoda 2: Ręczna konfiguracja w portalu (dla pełnej kontroli i perfekcjonistów)

Tu się zaczyna prawdziwa, granularna zabawa.

1. Zaloguj się na https://partner.android.com/zerotouch
2. Przejdź do zakładki Konfiguracje (Configurations) i kliknij niebieski przycisk „+ Dodaj konfigurację”.
3. Wypełnij formularz:
   • Nazwa konfiguracji: np. „Intune – Handlowcy”
   • EMM DPC: Z listy wybierz Microsoft Intune.
   • Nazwa firmy: Twoja oficjalna nazwa.
   • Email/Telefon pomocy technicznej: Dane kontaktowe dla użytkownika.
   • Niestandardowy komunikat: np. „To urządzenie jest zarządzane przez IT. Miłego dnia!”.
   • Dodatkowe informacje o DPC (DPC extras): Tu wklejamy specjalnie przygotowany kod w formacie JSON. To jest serce całej operacji!

Oto kompletny szablon JSON, który powinieneś użyć:

{
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME": "com.google.android.apps.work.clouddpc/.receivers.CloudDeviceAdminReceiver",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM": "I5YvS0O5hXY46mb01BlRjq4oJJGs2kuUcHvVkAPEXlg",
  "android.app.extra.PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION": "https://play.google.com/managed/downloadManagingApp?identifier=setup",
  "android.app.extra.PROVISIONING_ADMIN_EXTRAS_BUNDLE": {
    "com.google.android.apps.work.clouddpc.EXTRA_ENROLLMENT_TOKEN": "TUTAJ_WKLEJ_SWÓJ_TOKEN_SKOPIOWANY_Z_INTUNE"
  }
}

Co oznaczają te tajemnicze linijki? Już tłumaczę:

• PROVISIONING_DEVICE_ADMIN_COMPONENT_NAME: wskazuje na konkretny komponent aplikacji (w tym przypadku agenta Google), który ma zarządzać urządzeniem
• PROVISIONING_DEVICE_ADMIN_SIGNATURE_CHECKSUM: to suma kontrolna certyfikatu aplikacji agenta, gwarantuje, że telefon pobiera właściwą i bezpieczną aplikację, a nie jakiegoś podszywającego się szkodnika
• PROVISIONING_DEVICE_ADMIN_PACKAGE_DOWNLOAD_LOCATION: adres URL, z którego ma być pobrany agent
• EXTRA_ENROLLMENT_TOKEN: to jest właśnie ten Twój unikalny token z Intune, który mówi agentowi: „zgłoś się do TEJ konkretnej organizacji w TEJ konkretnej usłudze MDM”

Pro-tip dla zaawansowanych: Możesz rozbudować sekcję PROVISIONING_ADMIN_EXTRAS_BUNDLE o dodatkowe parametry, aby jeszcze bardziej zautomatyzować proces:

• "android.app.extra.PROVISIONING_LOCALE": "pl_PL" – ustawia domyślny język polski
• "android.app.extra.PROVISIONING_TIME_ZONE": "Europe/Warsaw" – ustawia naszą strefę czasową
• "android.app.extra.PROVISIONING_LEAVE_ALL_SYSTEM_APPS_ENABLED": false – powoduje ukrycie większości preinstalowanych przez producenta aplikacji (tzw. bloatware), zostawiając tylko te niezbędne

Po uzupełnieniu JSONa, zapisz konfigurację. Teraz w zakładce Urządzenia (Devices) możesz przypisać ją jako domyślną lub wybrać konkretne urządzenia i przypisać im ten profil.

Część 3: Moment prawdy i… co jeśli coś pójdzie nie tak?

Gdy użytkownik włączy nowy telefon i połączy go z internetem, proces powinien ruszyć automatycznie. 

Troubleshooting – czyli co robić, gdy magia nie działa

• Problem #1: Urządzenie w ogóle nie uruchamia trybu Zero Touch
  • Sprawdź w portalu AZT: Czy na pewno IMEI lub numer seryjny tego urządzenia znajduje się na liście Twoich urządzeń? Jeżeli nie – skontaktuj się z resellerem.
  • Sprawdź przypisanie: Czy urządzenie ma przypisaną konfigurację czy też widnieje przy nim „Brak konfiguracji”? Jeżeli widzisz tą drugą opcję – wybierz i zapisz konfigurację.
  • Sprawdź Internet: Urządzenie musi mieć stabilne połączenie z Internetem (Wi-Fi lub dane mobilne), aby skontaktować się z serwerami Google.
    
• Problem #2: Na ekranie pojawia się błąd „Nieprawidłowy token” (Invalid token) lub podobny
  • Najczęstsza przyczyna: Błąd przy kopiowaniu tokenu! Kiedyś spędziłem godzinę na debugowaniu, bo skopiowałem token z PDF-a razem z niewidocznym znakiem spacji na końcu ¯\_(ツ)_/¯
  • Rozwiązanie: Wejdź do Intune, wygeneruj NOWY token (dla pewności), skopiuj go ponownie (najlepiej do czystego Notatnika, by uniknąć formatowania) i wklej do konfiguracji w portalu AZT. Zresetuj telefon do ustawień fabrycznych i spróbuj ponownie.
    
• Problem #3: Urządzenie rejestruje się w Intune, ale nie pobiera aplikacji ani polityk
  • Sprawdź licencje: Czy użytkownik, który się loguje, ma na pewno przypisaną licencję Intune?
  • Sprawdź grupy Azure AD: Czy polityki i aplikacje w Intune są przypisane do grup użytkowników lub urządzeń, do których należy dany pracownik/telefon?
  • Cierpliwość: Czasem synchronizacja między Azure AD, Intune i urządzeniem może potrwać kilkanaście minut. Daj mu chwilę, zanim zaczniesz panikować.

Podsumowanie

Android Zero Touch zintegrowany z Microsoft Intune to nie jest już futurystyczna wizja, a potężne, dostępne tu i teraz narzędzie. Początkowa konfiguracja, jak widzisz, wymaga skupienia i dbałości o detale, ale jest to wysiłek jednorazowy. Nagrodą jest ogromna oszczędność czasu, żelazna standaryzacja floty i spokój ducha, bo każde urządzenie jest bezpieczne od pierwszego uruchomienia.

Jeśli myślisz o tym na poważnie, zacznij od rozmowy z operatorem. Pytaj, negocjuj, wykorzystaj ich wiedzę. A potem ciesz się widokiem telefonów, które konfigurują się same. To jedno z tych uczuć w pracy admina, dla których warto żyć!

A jak już wszystko będzie działać jak należy zainteresuj się tematem Conditional Access 😉

Do następnego!