Windows 设备的 MDM 注册
在当今云优先的世界中,企业 IT 部门越来越希望让用户使用自己的设备,甚至选择和购买公司拥有的设备。 将设备连接到工作可让你轻松访问组织的资源,例如应用、公司网络和电子邮件。
注意
使用移动设备管理 (MDM) 注册连接设备时,组织可能会在设备上强制实施某些策略。
连接公司拥有的 Windows 设备
可以通过将设备加入 Active Directory 域或Microsoft Entra 域,将公司拥有的设备连接到工作。 Windows 不需要在加入到 Microsoft Entra ID 或本地 Active Directory 域的设备上拥有个人Microsoft帐户。
注意
对于已加入本地 Active Directory 的设备,请参阅 组策略注册。
将设备连接到 Microsoft Entra 域 (加入 entra ID Microsoft)
所有 Windows 设备都可以连接到 Microsoft Entra 域。 可以在 OOBE 期间连接这些设备。 此外,桌面设备可以使用“设置”应用连接到Microsoft Entra 域。
现装即用体验
若要加入域,请:
选择 “我的工作单位或学校拥有它”,然后选择“ 下一步”。
选择“ 加入Microsoft Entra ID”,然后选择“ 下一步”。
键入Microsoft Entra 用户名。 此用户名是用于登录到 Office 365 和类似服务Microsoft的电子邮件地址。
如果租户是仅限云的、密码哈希同步或直通身份验证租户,则此页面将更改为显示组织的自定义品牌,并且你可以直接在此页上输入密码。 如果租户是联合域的一部分,则会重定向到组织的本地联合服务器,例如 Active Directory 联合身份验证服务 (AD FS) 进行身份验证。
根据 IT 策略,此时还可能会提示你提供第二个身份验证因素。
如果Microsoft Entra 租户配置了自动注册,则设备也会在此流中注册到 MDM 中。 有关详细信息,请参阅 以下步骤。 如果未为租户配置自动注册,则必须再次通过注册流才能 将设备连接到 MDM。 完成流后,设备将连接到组织的 Microsoft Entra 域。
使用“设置”应用
若要创建本地帐户并连接设备,请执行以下操作:
启动“设置”应用。
接下来,导航到 “帐户”。
导航到 “访问工作单位或学校”。
选择“ 连接”。
在 “备用操作”下,选择“ 加入此设备”以Microsoft Entra ID。
键入Microsoft Entra 用户名。 此用户名是用于登录 Office 365 和类似服务的电子邮件地址。
如果租户是仅限云的、密码哈希同步或直通身份验证租户,则此页面将更改为显示组织的自定义品牌,你可以直接在此页上输入密码。 如果租户是联合域的一部分,则会重定向到组织的本地联合服务器(如 AD FS)进行身份验证。
根据 IT 策略,此时还可能会提示你提供第二个身份验证因素。
如果Microsoft Entra 租户配置了自动注册,则设备也会在此流中注册到 MDM 中。 有关详细信息,请参阅此博客文章。 如果未为租户配置自动注册,则必须再次通过注册流才能将设备连接到 MDM。
到达流末尾后,设备应连接到组织的 Microsoft Entra 域。 现在,你可以注销当前帐户并使用Microsoft Entra 用户名登录。
有关连接到 Microsoft Entra 域的帮助
在某些情况下,设备无法连接到 Microsoft Entra 域。
连接问题 | 描述 |
---|---|
设备已连接到 Microsoft Entra 域。 | 设备一次只能连接到单个Microsoft Entra 域。 |
设备已连接到 Active Directory 域。 | 设备可以连接到 Microsoft Entra 域或 Active Directory 域。 不能同时连接到这两者。 |
设备已将用户连接到工作帐户。 | 可以连接到 Microsoft Entra 域,也可以连接到工作或学校帐户。 不能同时连接到这两者。 |
你以标准用户身份登录。 | 如果你以管理用户身份登录,则设备只能连接到 Microsoft Entra 域。 必须切换到管理员帐户才能继续。 |
设备已由 MDM 管理。 | 如果Microsoft Entra 租户具有预配置的 MDM 终结点,则连接到 Microsoft Entra ID 流会尝试将设备注册到 MDM。 在这种情况下,必须从 MDM 取消注册设备才能连接到Microsoft Entra ID。 |
你的设备正在运行家庭版。 | 此功能在 Windows 家庭版上不可用,因此无法连接到 Microsoft Entra 域。 必须升级到专业版、企业版或教育版才能继续。 |
连接个人拥有的设备
个人拥有的设备(也称为将自己的设备 (BYOD) )可以连接到工作或学校帐户,也可以连接到 MDM。 Windows 设备不需要设备上的个人Microsoft帐户即可连接到工作或学校。
所有 Windows 设备都可以连接到工作或学校帐户。 可以通过“设置”应用或众多通用 Windows 平台 (UWP) 应用(例如通用 Office 应用)中的任何一个连接到工作或学校帐户。
在 Microsoft Entra ID 中注册设备并在 MDM 中注册
若要创建本地帐户并连接设备,请执行以下操作:
启动“设置”应用,然后选择“ 帐户>启动>设置>帐户”。
导航到 “访问工作单位或学校”。
选择“ 连接”。
键入Microsoft Entra 用户名。 此用户名是用于登录 Office 365 和类似服务的电子邮件地址。
如果租户是仅限云、密码哈希同步或直通身份验证租户,则此页面将更改为显示组织的自定义品牌,并且可以直接在页面中输入密码。 如果租户是联合域的一部分,则会重定向到组织的本地联合服务器(如 AD FS)进行身份验证。
根据 IT 策略,此时还可能会提示你提供第二个身份验证因素。
如果Microsoft Entra 租户配置了自动注册,则设备也会在此流中注册到 MDM 中。 有关详细信息,请参阅此博客文章。 如果未为租户配置自动注册,则必须再次通过注册流才能 将设备连接到 MDM。
可以看到显示设备设置进度的状态页。
完成流后,Microsoft帐户将连接到工作或学校帐户。
有关连接个人拥有的设备帮助
在一些情况下,你的设备可能无法连接到工作。
错误消息 | 描述 |
---|---|
设备已连接到组织的云。 | 设备已连接到 Microsoft Entra ID、工作或学校帐户或 AD 域。 |
在组织的云中找不到你的标识。 | 在 Microsoft Entra 租户上找不到输入的用户名。 |
你的设备已由组织管理。 | 设备已由 MDM 或 Microsoft Configuration Manager 管理。 |
你没有执行此操作的正确权限。 与管理员交谈。 | 无法以标准用户身份将设备注册到 MDM。 必须使用管理员帐户。 |
无法自动发现与输入的用户名匹配的管理终结点。 请检查用户名,然后重试。 如果知道管理终结点的 URL,请输入它。 | 需要提供 MDM 的服务器 URL,或检查输入的用户名的拼写。 |
仅注册设备管理
所有 Windows 设备都可以连接到 MDM。 可以通过“设置”应用连接到 MDM。 若要创建本地帐户并连接设备,请执行以下操作:
启动“设置”应用。
接下来,导航到 “帐户”。
导航到 “访问工作单位或学校”。
选择“ 仅在设备管理中注册” 链接。
键入工作电子邮件地址。
如果设备找到仅支持本地身份验证的终结点,则此页面会更改并要求提供密码。 如果设备找到支持联合身份验证的 MDM 终结点,则会向你显示一个新窗口,询问你提供更多身份验证信息。
根据 IT 策略,此时还可能会提示你提供第二个身份验证因素。 可以在屏幕上看到注册进度。
完成流后,设备将连接到组织的 MDM。
使用深层链接将 Windows 设备连接到工作
Windows 设备可以使用深层链接连接到工作。 用户可以从 Windows 中的任何位置选择或打开特定格式的链接,并定向到新的注册体验。
用于将设备连接到工作的深层链接使用以下格式。
ms-device-enrollment:?mode={mode_name}:
参数 | 描述 | Windows 支持的值 |
---|---|---|
mode | 描述在注册应用中执行的模式。 | 移动设备管理 (MDM) 、添加工作帐户 (AWA) ,以及已加入 Microsoft Entra。 |
用户名 | 指定应注册到 MDM 的用户的电子邮件地址或 UPN。 | 字符串 |
servername | 指定用于注册设备的 MDM 服务器 URL。 | 字符串 |
accesstoken | MDM 服务器认为适合使用的自定义参数。 通常,此参数的值可用作验证注册请求的令牌。 | 字符串 |
deviceidentifier | MDM 服务器认为适合使用的自定义参数。 通常,此参数的值可用于传入唯一的设备标识符。 | GUID |
tenantidentifier | MDM 服务器认为适合使用的自定义参数。 通常,此参数的值可用于标识设备或用户所属的租户。 | GUID 或字符串 |
所有权 | MDM 服务器认为适合使用的自定义参数。 通常,此参数的值可用于确定设备是 BYOD 还是公司拥有的。 | 1、2 或 3。 其中“1”表示所有权未知,“2”表示设备为个人所有,“3”表示设备为公司所有 |
使用深层链接连接到 MDM
注意
深层链接仅适用于 Internet Explorer 或 Microsoft Edge 浏览器。 可以使用深层链接连接到 MDM 的 URI 示例:
- ms-device-enrollment:?mode=mdm
-
ms-device-enrollment:?mode=mdm&username=
someone@example.com
&servername=https://example.server.com
若要使用深层链接将设备连接到 MDM,请执行以下操作:
使用 URI ms-device-enrollment:?mode=mdm 和用户友好的显示文本(例如 单击此处以连接 Windows 以工作)创建链接以启动内置注册应用:
此链接启动等效于“注册到设备管理”选项的流。
IT 管理员可以将此链接添加到用户可选择注册到 MDM 的欢迎电子邮件。
注意
确保电子邮件筛选器不会阻止深层链接。
IT 管理员还可以将此链接添加到用户引用注册说明的内部网页。
选择或运行链接后,Windows 将在仅允许 MDM 注册 (类似于“注册到设备管理”选项) 的特殊模式下启动注册应用。
键入工作电子邮件地址。
如果设备找到仅支持本地身份验证的终结点,则此页面会更改并要求提供密码。 如果设备找到支持联合身份验证的 MDM 终结点,则会向你显示一个新窗口,该窗口要求提供更多身份验证信息。 根据 IT 策略,此时还可能会提示你提供第二个身份验证因素。
完成流后,设备将连接到组织的 MDM。
管理连接
若要管理工作或学校连接,请选择 “设置>帐户>访问工作或学校”。 连接会显示在此页上,选择一个连接将展开该连接的选项。
信息
可以在涉及 MDM 的工作或学校连接上找到 “信息 ”按钮。 此按钮包含在以下方案中:
- 将设备连接到配置了自动注册到 MDM 的 Microsoft Entra 域。
- 将设备连接到已配置自动注册到 MDM 的工作或学校帐户。
- 将设备连接到 MDM。
选择“ 信息 ”按钮将在“设置”应用中打开一个新页面,其中提供了有关 MDM 连接的详细信息。 如果在此页上) 配置,则可以查看组织的支持信息 (。 还可以启动同步会话,强制设备与 MDM 服务器通信,并根据需要提取策略的任何更新。
选择“ 信息 ”按钮会显示组织安装的策略和业务线应用列表。 下面是示例屏幕截图。
“断开连接”
可以在所有工作连接上找到 “断开连接 ”按钮。 通常,选择“ 断开连接 ”按钮会从设备中删除连接。 此功能有一些例外:
- 强制实施 AllowManualMDMUnenrollment 策略的设备不允许用户删除 MDM 注册。 这些连接必须由服务器发起的取消注册命令删除。
- 在移动设备上,无法断开与 entra ID Microsoft的连接。 只能通过擦除设备来删除这些连接。
警告
断开连接可能会导致设备上的数据丢失。
收集诊断日志
可以通过转到“设置帐户>访问工作或学校”,然后选择“相关设置”>下的“导出管理日志”链接,收集工作连接周围的诊断日志。 接下来,选择“ 导出”,然后按照显示的路径检索管理日志文件。
可以通过转到“设置帐户>访问工作或学校”>,然后选择“信息”按钮来获取高级诊断报告。 在“设置”页底部,可以看到用于创建报表的按钮。
有关详细信息,请参阅 收集 MDM 日志。