将设备标识为“公司自有”

适用于:Android、iOS/iPadOS、Windows 10、Windows 11

通过在 Microsoft Intune 管理中心提前添加公司标识符,确保公司设备在注册后立即标记为公司拥有。 管理公司设备的好处是,它们比个人设备启用更多的设备管理功能。 例如,Microsoft Intune可以从公司设备收集完整的电话号码和应用清单,但只能收集个人设备的部分电话号码和应用清单。 若要向Microsoft Intune添加公司标识符,可以在管理中心上传公司标识符文件,或单独输入每个标识符。

无需为所有部署添加公司标识符。 在注册期间,Intune通过执行以下操作自动将公司拥有的状态分配给加入Microsoft Entra的设备:

Microsoft Intune将注册Microsoft Entra的设备标记为个人设备。

基于角色的访问控制

若要在 Microsoft Intune 中添加公司标识符,必须分配以下角色之一:

  • 策略和配置文件管理器,Microsoft Intune内置角色
  • Intune管理员,Microsoft Entra内置角色

这些角色可以 读取删除创建更新 公司设备标识符。

权限 说明
阅读 查看用作企业设备标识符的 IMEI 或序列号。
Delete 删除用作企业设备标识符的 IMEI 或序列号。
创建 新建企业设备标识符或导入包含企业设备标识符列表的 CSV 文件。
更新 更新用作企业设备标识符的 IMEI 或序列号。

还可以为管理公司标识符和分配公司设备标识符权限的人员创建自定义Intune角色。 有关内置角色和自定义角色的详细信息,请参阅包含Microsoft Intune的 RBAC

支持的公司标识符

在开始之前,请确定要添加的公司标识符的类型。 可以为每个 CSV 文件添加一种类型的公司标识符。 在没有公司标识符的情况下注册的设备被标记为 个人设备。 Intune支持以下标识符:

  • IMEI
  • 序列号
  • 序列号、制造商和型号 (Windows 仅)

支持(按平台)

下表显示了每个平台支持的标识符。 注册具有匹配标识符的设备时,Intune将其标记为公司

平台 IMEI 编号 序列号 序列号、型号、制造商
Windows 11 不支持 不支持 ✔️

受 Windows 11版本 22H2 及更高版本支持,KB5035942 (OS 内部版本 22621.3374 和 22631.3374)
Windows 10 不支持 不支持 ✔️

Windows 10版本 22H2 及更高版本支持,KB5039299 (OS 内部版本 19045.4598)
iOS/iPadOS ✔️

在某些情况下受支持。 有关详细信息,请参阅 添加 Android、iOS 公司标识符
✔️

建议尽可能使用序列号进行 iOS/iPadOS 标识。
不支持
macOS 不支持 ✔️ 不支持
Android 设备管理员 ✔️

受 Android 9 及更早版本的支持。
✔️

受 Android 9 及更早版本的支持。
不支持
Android Enterprise,个人拥有的工作配置文件 ✔️

受 Android 11 及更早版本支持。
✔️

受 Android 11 及更早版本支持。
不支持

步骤 1:创建 CSV 文件

创建公司标识符列表并将其保存为 CSV 文件。 每个文件最多可以添加 5,000 行或 5 MB 的数据,以先到者为准。 不要添加标头。

重要

请记住,每个 CSV 文件仅添加一种类型的公司标识符。

添加 Android、iOS 公司标识符

若要为 Android 和 iOS/iPadOS 平台添加公司标识符,请列出每行一个 IMEI 或序列号,如以下示例所示。

01234567890123,device details  
02234567890123,device details  

在将序列号添加到文件之前,请从序列号中删除所有句点(如果适用)。 可以在每个公司标识符后添加设备详细信息。 详细信息限制为 128 个字符,且仅用于管理。 它们不会显示在设备上。

Android 和 iOS/iPadOS 设备可以有多个 IMEI 号码。 Intune为每个已注册的设备读取和记录一个 IMEI。 如果导入的 IMEI 与Intune中已有的 IMEI 不同,Intune会将设备标记为个人设备。 如果为同一设备导入多个 IMEI 号码,则尚未列出清单的标识符将显示 为未知 注册状态。

Android 序列号不保证是唯一的或存在的。 请与设备供应商联系,了解序列号是否为可靠的设备 ID。 设备向Intune报告的序列号可能与 Android 设置或 Android 设备信息中设备上显示的 ID 不匹配。 请验证设备制造商报告的序列号的类型。

添加 Windows 公司标识符

重要

使用 OS 内部版本 19045.4598) 及更高版本运行 Windows 10 KB5039299 (的设备支持公司标识符。 如果要使用早期版本注册Windows 10设备,请不要使用公司标识符功能。

若要为运行 Windows 11 的公司设备添加公司标识符,请列出每个设备的制造商、型号和序列号,如以下示例所示。

Microsoft,surface 5,01234567890123   
Lenovo,thinkpad t14,02234567890123  

在将序列号添加到文件之前,请从序列号中删除所有句点(如果适用)。

添加 Windows 公司标识符后,Intune将匹配所有三个标识符的设备标记为公司拥有的设备,并将租户中所有其他注册设备标记为个人设备。 这意味着从 Windows 公司标识符中排除的任何内容都标记为个人。 若要在注册后更改所有权类型,必须在管理中心手动调整它。

选择和添加公司标识符的屏幕截图。

下表列出了在没有公司标识符的情况下注册设备以及使用公司标识符进行注册时授予设备的所有权类型。

Windows 注册类型 没有公司标识符 使用公司标识符
设备通过 Windows Autopilot 注册 公司 公司
设备通过 GPO 注册,或从Configuration Manager自动注册以共同管理 公司 公司
设备通过批量预配包注册 公司 公司
注册用户使用 设备注册管理器帐户 公司 公司
设备通过 Azure 虚拟桌面 (非混合) 注册 公司 公司
在 Windows 安装过程中使用Microsoft Entra加入的自动 MDM 注册 公司,但将被个人注册限制阻止 个人,除非由公司标识符定义
从 Windows 设置Microsoft Entra加入的自动 MDM 注册 公司,但将被个人注册限制阻止 个人,除非由公司标识符定义
通过 面向现有设备的 Windows Autopilot 使用Microsoft Entra联接或混合 Entra 联接进行自动 MDM 注册 公司,但将被个人注册限制阻止 个人,除非由公司标识符定义
Autopilot 设备准备配置文件 公司,但将被个人注册限制阻止 个人,除非由公司标识符定义
使用从 Windows 设置添加工作帐户的自动 MDM 注册 个人 个人,除非由公司标识符定义
Windows 设置中的“仅 MDM 注册”选项 个人 个人,除非由公司标识符定义
使用 Intune 公司门户 应用注册 个人 个人,除非由公司标识符定义
通过 Microsoft 365 应用进行注册,当用户在应用登录期间选择 “允许我的组织管理我的设备 ”选项时发生 个人 个人,除非由公司标识符定义

仅当有人将其添加到Microsoft Intune时,Windows 公司标识符才能更改所有权类型。 如果在 Intune 中没有 Windows 的公司标识符,或者删除了这些标识符,则已加入域Microsoft Entra的设备将标记为公司拥有。 这包括通过 自动 MDM 注册 注册的设备::

步骤 2:在管理中心中添加公司标识符

可以上传公司标识符的 CSV 文件,或在Microsoft Intune管理中心手动输入公司标识符。 手动输入不适用于 Windows 公司标识符。

上传 CSV 文件

上传在 步骤 1:创建 CSV 文件中创建的 CSV 文件以添加公司标识符。

  1. 登录到 Microsoft Intune 管理中心

  2. 转到 “设备>注册”。

  3. 选择“ 公司设备标识符 ”选项卡。

  4. 选择 “添加>上传 CSV 文件”。

  5. 选择标识符类型。 选项包括:

    • IMEI
    • 串行
    • 制造商、型号和序列号 (仅 Windows)
  6. “导入标识符”下,找到并选择 CSV 文件。

  7. 等待Intune验证 CSV 文件。 屏幕上显示设备标识符总数时,验证已完成。

    提示

    如果导入失败,检查 CSV 文件满足格式要求。

  8. 选择“ 添加”,然后查找管理中心顶部的成功通知,确认文件已导入。

    注意

    如果 CSV 文件包含已在Intune但设备详细信息不同的公司标识符,则会出现一个弹出窗口,提示你查看重复的标识符。 若要解决重复项,请选择要在 Intune 中覆盖的标识符。 然后选择“ 确定” 以添加标识符。 Intune仅比较每个标识符的第一个副本。

手动输入企业标识符

适用于 Android 和 iOS/iPadOS

在Microsoft Intune管理中心手动添加公司标识符。

  1. 在管理中心,转到 “设备>注册”。

  2. 选择“ 公司设备标识符 ”选项卡。

  3. 选择手动 添加>Enter

  4. 选择标识符类型。 选项包括:

    • IMEI
    • 串行
  5. 输入公司标识符和详细信息。 输入完标识符后,选择“ 添加”。

  6. 选择“ 刷新” 以重新加载列表。 你添加的公司标识符现在应该可见。

    注意

    如果条目包含已在Intune但设备详细信息不同的公司标识符,则会出现一个弹出窗口,提示你查看重复标识符。 若要解决重复项,请选择要覆盖的标识符。 然后选择“ 确定” 以添加标识符。 Intune仅比较每个标识符的第一个副本。

检查注册状态

跟进导入的设备,确保它们注册Intune。 添加公司标识符后,可以在管理中心查看设备的状态:

  • 已注册:设备已完成注册。
  • 未联系:设备尚未与Microsoft Intune服务联系。
  • 不适用
  • 失败:设备未完成注册。

删除企业标识符

  1. 在管理中心,转到 “设备>注册”。
  2. 选择“ 公司设备标识符 ”选项卡。
  3. 选择要删除的设备标识符,然后选择“删除”。
  4. 确认删除。

删除已注册设备的企业标识符不会更改设备的所有权。

更改设备所有权

若要在注册后编辑设备的标识,请在管理中心更改其所有权设置。 Microsoft Intune中的每个设备记录将显示所有权属性。

  1. 转到 “设备>”“所有设备”。

  2. 选择设备。

  3. 选择“属性”。

  4. 对于“设备所有权”,请选择“个人或公司”。

    显示“设备类别”和“设备所有权”选项的托管设备属性的屏幕截图。

将设备的所有权类型从公司更改为个人时,Intune会在 7 天内删除以前从该设备收集的所有应用信息。 如果适用,Intune还会删除记录中的电话号码。 Intune仍收集 IT 管理员在设备上安装的应用的清单,以及部分电话号码。

将 iOS/iPad 或 Android 设备的所有权从个人更改为企业时,将通过公司门户应用发送推送通知,以通知设备用户更改。 若要配置推送通知,请转到 租户管理>自定义。 有关详细信息,请参阅公司门户 - 配置

阻止个人设备

若要防止所有个人设备注册,请为个人设备配置 注册平台限制

若要确认注册失败的原因,请转到 “设备>注册失败” ,并查看“ 失败原因”下的表。 在这种情况下,原因是 不符合注册限制。 选择打开失败详细信息的原因。

已知问题和限制

  • 仅运行以下设备的设备支持 Windows 企业设备标识符:

    • Windows 10版本 22H2 (操作系统内部版本 19045.4598) 或更高版本。

    • Windows 11版本 22H2 (OS 内部版本 22621.3374) 或更高版本。

    • Windows 11版本 23H2 (操作系统内部版本 22631.3374) 或更高版本。

    早期版本无法呈现模型和制造商属性。 因此,属性在管理中心中显示为 “未知”。

  • 在管理中心中,最多可以上传 10 个用于 Windows 公司标识符的 CSV 文件。 如果需要上传更多数据,建议使用 PowerShell 或Microsoft Intune 图形 API添加公司标识符。

  • Windows 当前不支持 CSV 文件中的设备详细信息。

  • 目前不支持使用 公司门户 和帐户驱动的用户注册公司标识符进行 Apple 用户注册,因为 MDM 无法访问设备序列号、IMEI 和 UDID。

资源

有关国际移动设备标识符的详细信息,请参阅 3GGPP TS 23.003

可以使用以下脚本获取 Windows 公司标识符所需的设备详细信息:

(Get-WmiObject -Class Win32_ComputerSystem | ForEach-Object {$_.Manufacturer, $_.Model, (Get-WmiObject -Class Win32_BIOS).SerialNumber -join ',' })

若要远程请求设备详细信息,请使用以下脚本:

Get-CimInstance -ClassName Win32_ComputerSystem | ForEach-Object {$_.Manufacturer, $_.Model, (Get-CimInstance -ClassName Win32_BIOS).SerialNumber -join ','}

有关查找序列号的详细信息,请参阅 查找 Surface 序列号