Этап 2. Регистрация устройств в системе управления с использованием Intune
Существует несколько способов защиты конечной точки — термин, часто используемый для указания объединенной сущности, включая устройства, приложения и удостоверение пользователя. Политики безопасности должны применяться последовательно и надежно не только в приложениях, но и на самом устройстве. Регистрация устройства для Microsoft Intune и регистрация в поставщике облачных удостоверений, например Microsoft Entra ID, — это отличное начало.
Независимо от того, является ли устройство личным устройством ( BYOD) или корпоративным и полностью управляемым устройством, хорошо иметь представление о конечных точках, которые обращаются к ресурсам вашей организации, чтобы убедиться, что вы разрешаете только работоспособные и соответствующие требованиям устройства. Эта видимость должна включать работоспособность и надежность мобильных и классических приложений, работающих на конечных точках. Следует убедиться, что эти приложения являются работоспособными и соответствующими требованиям, а также блокируют утечку корпоративных данных в потребительские приложения или службы с вредоносными намерениями или случайным образом.
Процесс регистрации устройства устанавливает связь между пользователем, устройством и службой Microsoft Intune. Использование Microsoft Intune в качестве изолированной службы позволяет применять единую веб-консоль администрирования для управления компьютерами с Windows, macOS и самыми популярными платформами мобильных устройств.
В этой статье приводятся рекомендации по регистрации устройств в Intune. Дополнительные сведения об этих методах и развертывании каждого из них см. в статье Руководство по развертыванию. Регистрация устройств в Microsoft Intune.
Используйте руководство в этой статье вместе с этой иллюстрированной версией параметров регистрации для каждой платформы.
PDF | Visio
Последняя проверка за март 2025 г.
Регистрация Windows
Существует несколько вариантов регистрации устройств с Windows 10 и Windows 11. Наиболее распространенные методы включают следующие два.
Microsoft Entra ID присоединение. Присоединяет устройство к Microsoft Entra ID и позволяет пользователям входить в Windows с помощью Microsoft Entra учетных данных. Если автоматическая регистрация настроена в Intune, устройство автоматически регистрируется в Intune. Преимущество автоматической регистрации — это одношаговый процесс для пользователя. В противном случае ей придется зарегистрироваться отдельно с помощью регистрации только для MDM и повторно ввести свои учетные данные. Таким образом пользователи регистрироваться во время начального запуска windows (OOBE) или из параметров. Устройство помечается как корпоративное в Intune.
Windows Autopilot: Автоматизирует Microsoft Entra присоединение и регистрирует новые корпоративные устройства в Intune. Этот способ упрощает запуск при первом включении компьютера и избавляет от необходимости применять пользовательские образы операционной системы на устройствах. Когда администраторы используют Intune для управления устройствами Autopilot, они могут управлять политиками, профилями, приложениями и т. д. после регистрации. Существует четыре типа развертывания Autopilot:
режим Self-Deploying (для киосков, цифровых вывесок или общего устройства)
Управляемый пользователем режим (для традиционных пользователей)
Windows Autopilot для предварительно подготовленного развертывания позволяет партнерам или ИТ-специалистам предварительно подготовить компьютер под управлением Windows 10 или Windows 11, чтобы он был полностью настроен и готов для бизнеса.
Autopilot для существующих устройств позволяет легко развернуть последнюю версию Windows на существующих устройствах.
Дополнительные варианты, включая регистрацию устройств BYOD с Windows, см. в статье Регистрация устройств с Windows в Microsoft Intune.
Регистрация устройств с iOS и iPadOS
Для принадлежащих пользователям устройств BYOD можно разрешить пользователям регистрировать свои личные устройства с помощью Intune с помощью одного из следующих методов.
- Регистрация устройств — это то, что вы можете считать типичной регистрацией BYOD. Она предоставляет администраторам множество вариантов управления.
- Регистрация пользователя — это более упорядоченный процесс регистрации, который предоставляет администраторам подмножество параметров управления устройствами.
Для организаций, приобретающих устройства для своих пользователей, Intune поддерживает следующие методы регистрации корпоративных устройств с iOS/iPadOS.
- Автоматическая регистрация устройств Apple (ADE)
- Apple School Manager
- регистрация с помощью помощника по настройке Apple Configurator;
- регистрация c помощью Apple Configurator без участия торгового посредника.
Дополнительные сведения см. в статье Регистрация устройств с iOS и iPadOS в Microsoft Intune
Регистрация устройств с Android
Существует несколько вариантов регистрации Android, которые зависят от типа устройства, типа регистрации, которую вы хотите поддерживать, таких факторов, как используемая версия Android, и даже производителя (особенно Samsung). Большинство организаций используют рабочие профили Android для конечных пользователей, например в сценариях BYOD.
При использовании рабочего профиля Android сведения конечного пользователя отделяются контейнерами данных и отдельными приложениями для рабочего и личного использования. Это идеальный способ регистрации пользователями своих устройств с сохранением конфиденциальности собственных данных и безопасности корпоративных данных.
Однако, если ваша организация предоставляет устройства с Android, вы можете использовать так называемое полностью управляемое (с сопоставлением пользователя) или выделенное (без сопоставления пользователя) устройство.
Дополнительные сведения о регистрации с Android см. в статье Регистрация устройств с Android в Microsoft Intune.
Регистрация устройств с macOS
Регистрация устройств с macOS может быть сложной задачей для многих ИТ-организаций. Если большинство пользователей не являются пользователями Mac, возможно, вы не будете активно управлять этими типами устройств. Если у вас несколько пользователей macOS, рекомендуется Intune только регистрацию. Если у вас большое количество пользователей macOS, рекомендуется применять регистрацию Intune + Jamf.
- регистрация только Intune. Эта регистрация поддерживает базовое управление устройствами macOS. Для этого требуется ручной процесс, как и большинство других вариантов регистрации на основе пользователей. Но если у вас есть небольшое количество устройств Mac, это может быть проще, чем настроить всю автоматизированную инфраструктуру только для тех немногих пользователей. С помощью Intune регистрации можно развертывать такие компоненты, как сертификаты, конфигурации паролей и приложения. Вы также можете настроить политики соответствия требованиям, включить условный доступ, а также применить шифрование и очистку устройства.
- регистрация Intune и Jamf. Если требуется более глубокая поддержка управления Mac, используйте Jamf + Intune для условного доступа. Корпорация Майкрософт предоставляет отличное решение, сочетающее широкие возможности управления Mac Jamf с Intune соответствие политикам условного доступа. В этом сценарии вы по-прежнему полностью управляете устройством с помощью Jamf и можете принимать эти сигналы от Jamf для повышения безопасности.
Дополнительные сведения о регистрации с macOS см. в статье Регистрация устройств с macOS в Microsoft Intune.
Следующее действие
Перейдите к шагу 3. Настройка политик соответствия требованиям для устройств с Intune.