使用組策略自動註冊 Windows 裝置
您可以使用組策略來觸發 Active Directory (AD) 已加入網域裝置的行動裝置管理 (MDM) 自動註冊。
在本機 AD 上建立的組策略會觸發註冊至 Intune,而不需要任何用戶互動。 此原因和效果機制表示您可以自動將大量加入網域的公司裝置大量註冊到 Microsoft Intune。 註冊程式會在您使用您的 Microsoft Entra 帳戶登入裝置後,在背景中啟動。
需求:
- 已加入 Active Directory 的裝置必須執行 支援的 Windows 版本。
- 企業已設定行動裝置管理 (MDM) 服務。
- 內部部署 Active Directory 必須 透過 Microsoft Entra Connect) 與 Microsoft Entra ID (整合 。
- 服務連接點 (SCP) 組態。 如需詳細資訊,請參閱 使用 Microsoft Entra Connect 設定 SCP。 如需未將 SCP 數據發佈至 AD 的環境,請 參閱Microsoft混合式加入目標部署。
- 裝置不應該已經使用傳統代理程式在 Intune 中註冊, (使用代理程式管理的裝置無法透過
error 0x80180026
) 註冊。 - 最低 Windows Server 版本需求是以Microsoft混合式聯結需求為基礎。 如需詳細資訊,請 參閱如何規劃您的 Microsoft Entra 混合式聯結實作。
提示
如需相關資訊,請參閱下列主題:
自動註冊取決於 MDM 服務的存在,以及計算機的 Microsoft Entra 註冊。 一旦企業向 Microsoft Entra ID 註冊其 AD,已加入網域的 Windows 計算機就會自動Microsoft註冊 Entra。
注意
在 Windows 10 版本 1709 中,註冊通訊協定已更新,以檢查裝置是否已加入網域。 如需詳細資訊,請 參閱 [MS-MDE2]: 行動裝置註冊通訊協定第 2 版。 如需範例,請參閱 MS-MDE2 通訊協定檔的第 4.3.1 節 RequestSecurityToken。
啟用自動註冊組策略時,會在起始 MDM 註冊的背景中建立工作。 工作會從使用者的 Microsoft Entra 資訊使用現有的 MDM 服務組態。 如果需要多重要素驗證,系統會提示使用者完成驗證。 設定註冊之後,使用者就可以在 [設定] 頁面中檢查狀態。
- 從 Windows 10 版本 1709 開始,當組策略和 MDM 中設定相同的原則時,組策略原則優先於 MDM。
- 從 Windows 10 版本 1803 開始,新的設定可讓您將優先順序變更為 MDM。 如需詳細資訊,請參閱 Windows 組策略與 Intune MDM 原則誰獲勝?。
若要讓此原則能夠運作,您必須確認 MDM 服務提供者允許組策略針對已加入網域的裝置起始 MDM 註冊。
設定一組裝置的自動註冊
若要使用組策略設定自動註冊,請使用下列步驟:
- 建立組策略物件 (GPO) ,並啟用組策略計算機>設定系統管理>範本Windows 元件>MDM>使用預設Microsoft Entra 認證啟用自動 MDM 註冊。
- 建立電腦的安全組。
- 連結 GPO。
- 使用安全組進行篩選。
如果您沒有看到原則,請取得 Windows 版本的最新 ADMX。 若要修正此問題,請使用下列程式。 最新的 MDM.admx 回溯相容。
下載所需版本的系統管理範本:
在域控制器上安裝套件。
流覽至
C:\Program Files (x86)\Microsoft Group Policy
,並根據安裝的版本找出適當的子目錄。將 PolicyDefinitions 資料夾複製到
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
。如果此資料夾不存在,請將檔案複製到網域 的中央原則存放 區。
等候SSVOL DFSR複寫完成,原則才能使用。
設定單一計算機的自動註冊組策略
此程式僅供說明,以顯示新自動註冊原則的運作方式。 不建議用於企業中的生產環境。
執行
GPEdit.msc
。 選擇 [開始],然後在文字框中輸入gpedit
。在 [最佳比對] 底下,選取 [編輯組策略 ] 以啟動它。
在 [本機計算機原則] 中,選取 [系統管理>範本] [Windows 元件>MDM]。
按兩下 [使用預設的 Microsoft Entra 認證啟用自動 MDM 註冊]。 選 取 [啟用] ,從下 拉式清單中選取 [ 選取要使用的認證類型],然後選取 [ 確定]。
注意
在 Windows 10 版本 1903 和更新版本中,MDM.admx 檔案已更新為包含 [裝置認證 ] 選項,以選取用來註冊裝置的認證。 舊版的預設行為是還原為 用戶認證。
只有在具有共同管理或 Azure 虛擬桌面多重會話主機集區的案例中,裝置認證才支援Microsoft Intune 註冊,因為 Intune 訂用帳戶是以使用者為中心。 Azure 虛擬桌面個人主機集區支援用戶認證。
當用戶端上發生組策略重新整理時,系統會建立工作,並排定每隔五分鐘執行一天。 此工作稱為註冊 用戶端所建立的排程,可從 Microsoft Entra ID 自動在 MDM 中註冊。 若要查看排程的工作,請啟動 工作排程器應用程式。
如果需要雙因素驗證,系統會提示您完成程式。 以下是範例螢幕快照。
提示
您可以在 Microsoft Entra ID 中使用條件式存取原則來避免此行為。 若要深入瞭解,請閱讀 什麼是條件式存取?。
確認註冊
若要確認 MDM 註冊成功,請移至 [ 開始>設定>帳戶>存取公司或學校],然後選取您的網域帳戶。選取 [資訊 ] 以查看 MDM 註冊資訊。
工作排程器應用程式
選擇 [開始],然後在文字框中輸入 task scheduler
。 在 [最佳比對] 底下,選取 [ 工作排程器 ] 以啟動它。
在 [工作排程器連結庫] 中,開 啟 Microsoft > Windows ],然後選取 [EnterpriseMgmt]。
若要查看工作的結果,請移動滾動條以查看 上次執行結果。 您可以在 [歷程記錄] 索引 標籤中 看到記錄。
訊 息0x80180026 是 () 的失敗訊息 MENROLL_E_DEVICE_MANAGEMENT_BLOCKED
,可能是因為啟用 [ 停用 MDM 註冊 ] 原則所造成。
注意
GPEdit 控制台不會反映貴組織在裝置上設定的原則狀態。 使用者只會使用它來設定原則。