为 Windows 设备设置自动注册
适用对象
- Windows 10
- Windows 11
通过在 Microsoft Intune 中启用自动注册来简化设备注册。 此注册方法允许设备在加入或注册Microsoft Entra ID时自动注册。 在Intune中注册时发生:
- Microsoft Entra用户将其工作或学校帐户添加到其个人设备。
- 公司拥有的设备会加入到Microsoft Entra ID。
可在以下设备管理和预配方案中使用自动注册:
- 自带设备 (BYOD) 、个人设备
- 批量注册
- 组策略
- Windows Autopilot (用户驱动和自部署)
- 与 Configuration Manager 共同管理
本文介绍如何为个人和公司拥有的设备启用自动移动设备管理 (MDM) 注册。
先决条件
您必须具有:
- 用于自动 MDM 注册和自定义公司品牌的Microsoft Entra ID P1 或 P2订阅或高级试用版订阅。
- Microsoft Intune 订阅。
- Microsoft Entra全局管理员角色。 有关基于角色的访问控制 (RBAC) 的详细信息,请参阅 RBAC with Microsoft Intune。
启用 Windows 自动注册
转到 “设备>注册”。
转到“ Windows ”选项卡。然后选择“ 自动注册”。
注意
自动 MDM 注册是一项高级Microsoft Entra功能,可供 Microsoft Entra ID Premium 订阅者使用。 如果看不到自动注册设置,请选择“自动 MDM 注册仅适用于Microsoft Entra ID高级版订阅者”以激活免费试用版。
选择“Microsoft Intune”。
配置 MDM 用户范围。 此设置为Microsoft Entra用户启用自动 MDM 注册,以便可以在Intune中管理其设备。
可用的选项包括:
- 无 - 对所有用户禁用自动 MDM 注册。 仍可以在 Microsoft Intune中管理设备,但用户必须启动 MDM 注册。
- 某些 - 为所选用户启用自动 MDM 注册。
- All - 为所有用户启用自动 MDM 注册。 其设备在加入Microsoft Entra ID或注册时自动注册Intune。
提示
如果打算为 Windows BYOD 设备启用自动 MDM 注册,请针对 MDM 用户范围选择“ 全部 ”或“ 部分 ”。 然后,请确保 WIP 用户范围为 None 或 Some,并且用户不是这两个用户范围的成员。
使用以下 URL 的默认值:
- MDM 使用条款 URL
- MDM 发现 URL
- MDM 符合性 URL
对于 WIP 用户范围,请选择“ 无”。 如果 WIP 用户范围设置为任何其他值,请确保所选用户不属于 MDM 用户范围。
重要
当用户同时处于 MDM 用户范围和 WIP 用户范围时:
- 如果 MDM 用户范围位于公司拥有的设备上,则它们优先。 设备在设置工作时自动注册Microsoft Intune。
- 如果 WIP 用户范围自带设备,则优先使用 WIP 用户范围。 设备未注册Microsoft Intune进行设备管理。 如果配置Microsoft Purview 信息保护策略,则应用这些策略。
选择“保存”。
多重身份验证
默认情况下,不会为自动注册启用双重身份验证。 建议在设备注册期间要求进行多重身份验证。 有关详细信息,请参阅 Azure 多重身份验证服务器入门。
对设备用户的支持
Microsoft Intune用户帮助文档为员工和学生设置其工作设备提供概念信息、教程和操作指南。 你可以直接将用户指向Intune文档,或者在开发和更新自己的设备管理文档时使用这些文章作为指导。
运行Windows 11或Windows 10的个人设备上的用户可以通过在其设备上添加其工作或学校帐户或使用Intune 公司门户应用来自动注册。 运行早期版本的 Windows 的设备必须使用 Intune 公司门户 应用进行注册。 有关详细信息,请参阅注册 Windows 10/11 设备。
还可以让未经许可的管理员登录到 Intune 管理中心,以帮助进行故障排除和支持。 有关详细信息,请参阅未经许可的管理员。
最佳做法和故障排除
设备用户必须通过 Microsoft Edge 访问 公司门户 网站,才能查看为特定版本的 Windows 分配的应用。 Google Chrome、Mozilla Firefox 和 Internet Explorer 等其他浏览器不支持这种类型的筛选。
注册后,如果禁用自动 MDM 注册并且设备已加入Microsoft Entra ID,你将在Microsoft Intune管理中心看到两条记录。 若要停止重复记录,请指示已加入设备上的用户访问 “设置>帐户>”访问工作或学校。 然后,他们可以使用同一帐户 进行连接 。
后续步骤
有关如何在预配设备时集成和使用自动注册的信息,请参阅:
如果未在注册或预配解决方案中使用自动注册,我们建议创建一个域名服务器, (DNS) 别名 (称为 CNAME 记录类型) ,该服务器将注册请求重定向到Intune服务器。 有关详细信息,请参阅启用Intune注册服务器的自动发现。