注册指南:Microsoft Intune注册

Microsoft Intune与Microsoft Entra ID一起,为注册想要访问内部资源的设备提供了一个安全、简化的过程。 在Microsoft Entra ID (也称为租户) 中注册用户和设备后,就可以利用Intune实现其终结点管理功能。 为设备启用设备管理的过程称为 设备注册

在注册期间,Intune在注册设备上安装移动设备管理 (MDM) 证书。 MDM 证书与Intune服务通信,并使Intune能够开始强制实施组织的策略,例如:

  • 限制某人可注册的设备数量或类型的注册策略。
  • 帮助用户和设备符合规则的合规性策略。
  • 在设备上配置适合工作的功能和设置的配置文件。

显示设备注册、对象在 Microsoft Entra ID 中创建以及 MDM 证书在 Microsoft Intune 中推送到这些设备的示意图。

通常,策略是在注册期间部署的。 某些组可能需要比其他组更严格的策略,具体取决于他们在组织中的角色。 许多组织首先为用户和设备创建所需策略的基线。 然后,根据需要为不同的组和用例添加到此基线。

可以注册在以下平台上运行的设备。 有关受支持的版本列表,请转到 支持的操作系统

  • Android
  • iOS/iPadOS
  • Linux
  • macOS
  • Windows

默认情况下,所有平台都启用了注册,但你可以使用Intune注册限制策略来限制特定平台的注册。

本文介绍受支持的设备方案和注册先决条件,包含有关使用其他 MDM 提供程序的信息,并包含特定于平台的注册指南的链接。

提示

本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。

支持的设备方案

Microsoft Intune为以下项启用移动设备管理:

  • 个人设备,包括个人拥有的手机、平板电脑和电脑。
  • 公司拥有的设备,包括组织拥有的手机、平板电脑和电脑,并分发给员工和学生,以便在工作或学校使用。

个人设备

自带设备 (BYOD) 方案中的设备可以在 Intune 中注册 MDM。 支持的注册方法使员工和学生能够将其个人设备用于工作或学校任务。

作为管理员,可以在Microsoft Intune管理中心中添加设备用户,配置其注册体验,并设置Intune策略。 在 Intune 公司门户 应用中,设备用户启动并完成注册。

若要确定在 Intune 中注册个人设备是否适合你的组织,请转到Intune规划指南:个人设备与组织拥有的设备

注意

Intune标记Microsoft Entra注册为个人拥有的设备。

公司拥有的设备。

Microsoft Intune为分类为公司拥有组织拥有的设备提供更精细的设置和策略。 公司拥有的设备有更多密码设置可用。 因此,可以强制实施更严格的密码要求。

Microsoft Intune自动将符合特定条件的设备标记为公司拥有的设备。 有关详细信息,请转到 将设备标识为公司拥有的设备

先决条件

  • Intune 已设置好,可以开始注册用户和设备。 请确保以下几点:

    有关详细信息,请转到Intune设置部署指南

  • 你的设备受支持。 此要求包括共同管理的设备,或Microsoft Entra混合联接的设备。

  • 策略和配置文件管理器内置Intune角色的成员身份登录。 有关此角色中的权限的信息,请转到 Microsoft Intune 的内置角色权限 - 策略和配置文件管理器

    如果创建了Intune试用版订阅,则创建订阅的帐户是全局管理员。

    全局管理员拥有的权限超出了创建注册策略所需的权限。 建议使用最低特权角色来完成此任务,即策略和配置文件管理器内置Intune角色。

    某些注册平台可能需要更特权Microsoft Entra角色,例如Intune管理员内置角色。 有关此角色的信息,请转到Microsoft Entra内置角色 - Intune管理员

  • 不同的平台可能有其他要求。 例如,iOS/iPadOS 和 macOS 设备需要 Apple 提供的 MDM 推送证书。 已列出任何其他平台要求。

    平台 其他要求
    Android
    Android Enterprise
    iOS/iPadOS MDM 推送证书
    Apple ID
    Linux
    macOS MDM 推送证书
    Windows
  • 准备好用户组和设备组以接收注册策略。 如果尚未查看或创建组结构,并且需要一些指导,请转到 规划指南:步骤 4 - 查看现有策略和基础结构

  • 如果要批量注册设备,请考虑创建“设备注册管理员”(DEM) 帐户。 DEM 帐户最多可以注册 1,000 个移动设备。 在将设备提供给用户前,使用此帐户注册和配置设备。 DEM 帐户是应用于Microsoft Entra用户帐户的Intune权限。 这种类型的帐户与所有注册方法(如 Apple 自动设备注册)不兼容。

    有关详细信息,请转到 使用 DEM 帐户注册设备

从现有 MDM 取消注册并恢复出厂设置

如果设备当前已在其他 MDM 提供程序中注册,则从现有 MDM 提供程序中取消注册设备。 通常,取消注册不会移除已配置的现有功能和设置。 大多数 MDM 提供程序都具有从设备中删除组织特定数据的远程操作。 在 Intune 中注册之前,可以从这些设备中删除组织特定的数据。 但是,这不是必需的。

根据平台的不同,在注册Intune之前,可能需要恢复出厂设置。


平台 是否需要恢复出厂设置?
Android Enterprise 个人拥有的工作配置文件设备 (BYOD)
Android Enterprise 公司拥有的工作配置文件 (COPE)
Android Enterprise 完全托管 (COBO)
Android Enterprise 专用设备 (COSU)
Android 设备管理员 (DA)
iOS/iPadOS
Linux
macOS
Windows

在不需要恢复出厂设置的平台上,当这些设备在 Intune 中注册时,它们将开始接收你的Intune策略。 如果未在 Intune 中配置设置,则 Intune 不会更改或更新相应设置。 因此,设备上可能仍保留以前配置的设置。

选择平台注册指南

每个平台都有一个注册指南。 选择你的场景,然后开始使用:

下载可视化注册指南

还有一个用于每个平台的不同注册选项的可视化指南:

各平台的 Intune 注册选项的可视化表示形式
下载 PDF 版本 | 下载 Visio 版本

试点组

分配配置文件时,请从小批量入手,并使用分阶段方法。 将注册配置文件分配给试点组或测试组。 初始测试后,将更多用户添加到试点组。 然后,将注册配置文件分配给更多的试点组。

有关详细信息和建议,请转到 规划指南:步骤 5 - 创建推出计划

移动设备记录清理

只要注册的设备与Microsoft Intune服务通信,MDM 证书将自动续订。 对于已擦除的设备或长时间无法与Microsoft Intune同步的设备,MDM 证书不会续订。 Microsoft Intune在 MDM 证书过期 180 天后从记录中删除空闲设备。

报告和疑难解答

后续步骤

  1. 设置 Microsoft Intune
  2. 添加、配置和保护应用
  3. 规划合规性策略
  4. 配置设备功能
  5. 🡺 注册设备 (你在这里)

有关特定于平台的注册指南,请转到: