步骤 5 - 在 Microsoft Intune 中注册设备

在部署的最后阶段,设备注册或加入Microsoft Entra ID,在 Microsoft Intune 中注册,并检查符合性。

显示通过步骤 5 开始使用 Microsoft Intune 的示意图,该步骤正在注册要由 Intune 管理的设备。

在注册期间,Microsoft Intune 在设备上安装移动设备管理 (MDM) 证书,使 Intune 能够强制实施注册配置文件、注册限制以及之前在本指南中创建的策略和配置文件。

本文内容:

  • 如何在 Microsoft Intune 中为公司拥有和用户拥有的设备准备注册。
  • 每个 OS 平台的注册选项。
  • 注册后监视、故障排除和资源。

入门

如果这是你第一次使用 Intune 部署注册配置文件,或者你正在尝试新配置,请从小规模开始,并使用暂存方法。 将注册配置文件分配给试点组或测试组。 初始测试后,将更多用户添加到试点组。 如果一切顺利,请将注册配置文件分配给更多试点组。 有关详细信息和建议,请参阅 规划指南:步骤 5 - 创建推出计划

在 Microsoft Entra ID 中注册是 Intune 管理的必需步骤。 设备在 Intune 中注册之前,设备的用户必须在组织的 Microsoft Entra ID 中进行身份验证并建立设备标识。 此步骤授予用户对基于云的工作应用和其他资源的单一登录访问权限。 知道你正在使用的标识选项非常重要,因为它决定了你可以使用的注册方法,还决定了设备用户的登录体验。 标识选项包括:

  • Microsoft Entra 注册 是个人和公司拥有的移动设备可用的设备标识选项。 这些设备上的用户使用其Microsoft Entra ID 工作帐户登录到工作资源(如应用和 Web 浏览器)进行身份验证。
  • Microsoft Entra 联接 是企业拥有的 Windows 10/11 设备可用的设备标识选项,它利用共同管理选项。 这些设备上的用户使用其Microsoft Entra ID 工作帐户登录设备,从而进行身份验证。

预注册配置

通过配置注册功能(例如注册限制、设备分类和设备注册管理器)来准备设备进行注册。 这些配置有助于改进和简化你和设备用户的注册体验,并帮助你在管理中心保持井然有序。 在创建注册配置文件之前对其进行配置。

设置可用性因操作系统平台而异。

取消注册和重置现有设备

如果设备当前已在另一个 MDM 提供程序中注册,请在在 Intune 中注册设备之前,从现有 MDM 提供程序取消注册设备。 下表显示了在 Intune 中注册之前需要恢复出厂设置的设备。

平台 是否需要恢复出厂设置?
Android Enterprise 个人拥有的工作配置文件设备 (BYOD)
Android Enterprise 公司拥有的工作配置文件 (COPE)
Android Enterprise 完全托管 (COBO)
Android Enterprise 专用设备 (COSU)
Android 设备管理员 (DA)
iOS/iPadOS (BYOD)
iOS/iPadOS (ADE)
Linux
macOS (BYOD)
macOS (ADE)
Windows

不需要重置的设备在注册后立即开始安装 Intune 配置文件。 如果在注册之前未在 Intune 中进行更改,以前配置的设置可能会保留在设备上。

添加设备注册管理器

当你需要注册和准备大量设备以供分发时,建议使用设备注册管理器。 设备注册管理器帐户最多可以注册和管理 1,000 台设备,而标准非管理员帐户只能注册 15 台设备。 设备注册管理器是非管理员Microsoft Entra 用户,可以:

  • 在 Intune 中注册最多 1000 个公司拥有的设备
  • 登录到 Intune 公司门户以获取公司应用
  • 通过将特定于角色的应用部署到设备来配置对公司数据的访问权限

某些注册方法(如 Apple 自动设备注册)与设备注册管理器帐户不兼容,因此在开始设置之前,请确保所选方法受支持。

有关详细信息和限制,请参阅 添加设备注册管理器

创建设备注册限制

在 Microsoft Intune 管理中心使用此功能可限制某些设备在 Intune 中注册。 可在 Microsoft Intune 中配置两种类型的设备注册限制:

  • 设备平台限制:基于设备平台、版本、制造商或所有权类型限制设备。
  • 设备限制:限制用户可以在 Intune 中注册的设备数。

注册限制不适用于 Linux 和某些 Windows 注册方案。 有关详细信息,请参阅 注册限制概述

创建条款和条件策略

可以在注册前使用 Intune 条款和条件策略向设备用户披露法律免责声明和合规性要求。 此策略要求设备用户在注册其设备或访问受保护的资源之前接受组织的条款和条件。 条款和条件显示在 Intune 公司门户应用中的目标用户。

如果你正在寻找更多控件(包括术语的显示位置),请考虑配置 Microsoft Entra 使用条款。 Microsoft用户登录到目标应用和资源时,Entra 条款会显示给用户,并提供比 Intune 条款和条件更精细的设置。

有关详细信息,请参阅 用户访问的条款和条件

要求多重身份验证

要求用户在注册期间通过多重身份验证 (MFA) 进行身份验证。 如果需要 MFA,则想要注册设备的用户必须先使用第二个设备和两种形式的凭据进行身份验证,然后才能注册其设备。 这是一次性的条件步骤,可确保设备上的人员是他们所说的。 可以通过将条件访问策略与 MFA 策略结合使用,为 Linux 以外的所有平台启用此行为。 Microsoft项 ID P1 或 P2 是必需的。

有关详细信息,请参阅 要求对 Intune 设备注册进行多重身份验证

将设备分类到组中

在 Intune 中创建设备类别(例如 护理市场营销),Intune 会自动将该类别中的所有设备添加到 Intune 中的相应设备组。

此功能可用于除 Linux 之外的所有平台。 有关详细信息,请参阅 将设备分类到组中

Android 设备的注册

可以在 Intune 中注册个人或公司拥有的 Android 设备。 对于使用 Google 移动服务的个人和公司拥有的设备,建议使用 Android Enterprise 注册解决方案。 对于没有 Google 移动服务且从 Android 开源项目 (AOSP) 生成的公司拥有的设备,请使用 AOSP 注册方法。

先决条件

将 Intune 连接到托管的 Google Play 帐户。 所有 Android Enterprise 管理选项都需要连接,包括:

  • Android Enterprise 个人拥有的工作配置文件
  • Android Enterprise 公司拥有的工作配置文件
  • Android Enterprise 完全托管设备
  • 专用 Android Enterprise

Android 注册方法

以下选项卡介绍 Intune 支持的 Android 和 AOSP 注册选项。

  • 具有工作配置文件的公司自有设备:注册企业拥有的设备,这些设备也已获批准供个人使用。 此方法在设备上创建单独的工作配置文件,以便用户可以在个人应用和工作应用之间轻松安全地切换。 设备用户通过 Microsoft Intune 应用注册设备。 作为管理员,你可以管理工作配置文件中的应用和数据。 此方法与 Android Enterprise 公司拥有的工作配置文件 管理解决方案保持一致。

  • 完全托管:注册公司拥有的设备专用于工作,而不是个人使用。 有一个用户与已注册的设备相关联。 可以管理整个设备并强制实施 Android Enterprise 工作配置文件方法中不可用的策略控制。 此方法与 Android Enterprise 完全托管 管理解决方案一致。

  • 专用设备:注册用于数字标牌、票证打印或库存管理等设备的公司拥有的单一用途或展台设备。 使用此方法,可以限制设备上可用的应用和 Web 链接,并防止用户使用超出预期范围的设备。 此方法与 Android Enterprise 专用设备 管理解决方案一致。

  • 公司拥有的无用户设备:注册从 Android 开源项目 (AOSP) 且没有 Google Mobile 服务的设备作为 公司拥有的无用户设备。 这些设备没有与之关联的用户,旨在共享,例如在库或实验室中。

  • 公司拥有的用户相关设备:将基于 AOSP 构建且没有 Google Mobile 服务的设备注册为 公司拥有的用户相关设备。 这些设备与单个用户关联,旨在专门用于工作。

  • 零接触注册:建议对批量注册使用零接触注册,并简化远程工作者的注册。 此方法允许你提前准备公司拥有的设备,以便在用户打开它们时,它们自动预配和注册为完全托管的设备。

重要

Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

Apple 设备的注册

本部分介绍 Intune 中适用于 iOS/iPadOS 和 Mac 设备的注册选项。

先决条件

在为 Apple 设备创建注册配置文件之前,请完成以下先决条件:

Apple 注册解决方案

下表介绍了运行 iOS/iPadOS 和 macOS 的设备注册解决方案。

  • iOS/iPadOSMac 设备的自动设备注册:使用自动设备注册注册从 Apple Business Manager 或 Apple School Manager 购买的新设备或擦除设备。 这种适用于公司拥有设备的自动注册方法可应用 Apple Business Manager 和 Apple School Manager 中的组织设置,支持监督模式,并且无需触摸设备即可注册设备。 当用户打开其设备时,Apple 设置助理会指导他们完成设置和注册。

  • 适用于 iOS/iPadOSMac 设备的 Apple Configurator:通过 Apple Configurator 手动注册新的或现有的公司拥有的设备。 此选项非常适合批量注册以及无法访问 Apple School Manager、Apple Business Manager 或需要有线网络连接时。 你必须对设备具有物理访问权限,因为必须在 Mac 上连接和配置设备。 可以采用两种不同的路径:

    • 设置助理注册:此方法擦除设备,并准备在 Apple Configurator 中注册。 当用户打开其设备时,设置助理将开始,然后设备在 Intune 中注册。 必须有权访问设备序列号,因为需要将它们输入管理中心。
    • 直接注册:此方法允许在分发之前注册设备,并且不会擦除设备。 以这种方式注册的设备不会与用户关联,因此我们建议将此选项用于共享设备或展台设备。 macOS 和 iOS 设备的说明有所不同,因此请务必对设备使用正确的操作方法文档。

适用于 Linux 的注册

BYOD 方案中的员工和学生可以在 Microsoft Intune 中 注册个人 Linux 设备 。 注册使他们能够访问 Microsoft Edge 中的工作资源。

作为 Intune 管理员,无需执行任何操作即可在管理中心启用 Linux 注册。 它会自动启用。 当用户注册其 Linux 设备时,你将在管理中心看到它们。 有关详细信息,请参阅 在 Microsoft Intune 中注册 Linux 桌面设备

Windows 注册

本部分介绍适用于运行 Windows 10 或 Windows 11 的个人和公司拥有的设备提供的注册解决方案。

注意

Microsoft云环境中的设备支持 Intune 注册。 本地环境中支持使用 Configuration Manager 进行共同管理。

Windows 注册方法

下表介绍了运行 Windows 10 和 Windows 11 的设备支持的注册方法。

通过为 Windows 启用自动注册,使员工和学生在 Intune 中注册更加轻松。 有关详细信息,请参阅 启用自动注册

  • Microsoft自动注册的 Entra 联接:此选项在由你或设备用户购买的设备上受支持,以供工作使用。 注册发生在现成体验期间,用户使用其工作帐户登录并Microsoft Entra ID 加入,或者在从“设置”应用连接工作或学校帐户时选择Microsoft Entra ID 加入设备, (如 Windows 设备注册指南 - 最终用户任务) 中所述 。 此解决方案适用于无权访问设备(例如在远程工作环境中)。 当这些设备注册时,其设备所有权将更改为公司拥有,并且你可以访问标记为个人拥有的设备上不可用的管理功能。

  • Windows Autopilot 用户驱动或自部署模式:Windows Autopilot 用户驱动 (支持自动注册,适用于Microsoft Entra 混合加入和Microsoft Entra 加入方案,) 或自部署 (Microsoft Entra 联接仅) 配置文件,并且可用于公司拥有的台式机、笔记本电脑和展台。 安装所需的软件和策略后,设备用户将获得桌面访问权限。 需要Microsoft Entra ID P1 或 P2 许可证。 建议仅使用 Microsoft Entra 联接,这样可以提供最佳用户体验并且更易于配置。 在仍需要本地 Active Directory 的情况下,可以使用 Microsoft Entra 混合联接,但必须 安装适用于 Active Directory 的 Intune 连接器,并且设备必须能够通过本地网络或 VPN 连接连接到域控制器。

  • 使用 Configuration Manager 共同管理:共同管理最适合那些已经使用 Configuration Manager 管理设备,并且想要集成 Microsoft Intune 工作负载的环境。 共同管理是将工作负载从 Configuration Manager 移动到 Intune 并告知 Windows 客户端谁是该特定工作负载的管理机构的行为。 例如,可以在 Intune 中使用符合性策略和设备配置工作负载来管理设备,并将 Configuration Manager 用于所有其他功能,例如应用部署和安全策略。

  • 使用组策略注册:组策略可用于触发自动注册 Microsoft Entra 混合加入的设备,而无需进行任何用户交互。 注册过程在后台 (通过计划任务) 在Microsoft Entra ID 同步用户登录设备后启动。 在设备Microsoft Entra 混合联接且不使用 Configuration Manager 进行管理的环境中,建议使用此方法。

更多 Windows 注册功能

Intune 中还有其他 Windows 注册选项可帮助改进或简化你和员工的设备管理体验:

  • 共同管理设置:启用共同管理设置以将 Configuration Manager 工作负载与 Intune 集成。 通过共同管理,可以使用 Intune 和 Configuration Manager 功能来管理设备。
  • CNAME 验证:) 创建的将注册请求重定向到 Intune 服务器, (DNS) 别名 (CNAME 记录类型验证域名服务器。 别名简化了在没有 Microsoft Entra ID P1 或 P2 和自动注册的情况下用户的注册。
  • 注册状态页:启用“注册状态”页,以便完成设备设置的人员可以查看和跟踪安装进度。

报告和故障排除

跟踪 不完整和已放弃的用户注册。 此Microsoft Intune 报告告知用户未能在公司门户中完成注册过程的位置。

有关故障排除文档,请参阅 排查设备注册问题

资源

Microsoft Intune 文档中提供了其他注册指南。 这些指南包括每个受支持平台的可视化比较、操作方法步骤、提示和注册最佳做法。

后续步骤

  1. 设置 Microsoft Intune
  2. 添加、配置和保护应用
  3. 规划合规性策略
  4. 创建设备配置文件
  5. 🡺 注册设备 (你在这里)