Windows 裝置的 MDM 註冊
在現今的雲端優先世界中,企業 IT 部門越來越想要讓使用者使用自己的裝置,甚至選擇併購購買公司擁有的裝置。 將裝置連線到工作,可讓您輕鬆存取組織的資源,例如應用程式、公司網路和電子郵件。
注意
當您使用行動裝置管理 (MDM) 註冊來連線裝置時,您的組織可能會在您的裝置上強制執行特定原則。
線上公司擁有的 Windows 裝置
您可以將裝置加入 Active Directory 網域或 Microsoft Entra 網域,將公司擁有的裝置連線到工作。 在已加入 Microsoft Entra ID 或 內部部署的 Active Directory 網域的裝置上,Windows 不需要個人Microsoft帳戶。
注意
如需已加入 內部部署的 Active Directory 的裝置,請參閱組策略註冊。
將裝置連線到 Microsoft Entra 網域 (加入 Microsoft Entra ID)
所有 Windows 裝置都可以連線到 Microsoft Entra 網域。 這些裝置可以在 OOBE 期間連線。 此外,桌面裝置可以使用 [設定] 應用程式連線到 Microsoft Entra 網域。
現成可用的體驗
若要加入網域:
選取 [我的工作或學校擁有它],然後選取 [ 下一步]。
選取 [聯結 Microsoft Entra ID],然後選取 [下一步]。
輸入您的 Microsoft Entra 用戶名稱。 這個使用者名稱是您用來登入 Microsoft Office 365和類似服務的電子郵件位址。
如果租使用者是僅限雲端、密碼哈希同步處理或傳遞驗證租使用者,則此頁面會變更以顯示組織的自定義商標,而且您可以直接在此頁面上輸入密碼。 如果租使用者是同盟網域的一部分,系統會將您重新導向至組織的內部部署同盟伺服器,例如 Active Directory 同盟服務 (AD FS) 進行驗證。
根據 IT 原則,此時也可能會提示您提供第二個驗證要素。
如果您 Microsoft Entra 租用戶已設定自動註冊,您的裝置也會在此流程期間註冊到 MDM。 如需詳細資訊,請參閱 這些步驟。 如果您的租用戶未設定自動註冊,您必須第二次通過註冊流程,才能將 裝置連線到 MDM。 完成流程之後,您的裝置將會連線到組織的 Microsoft Entra 網域。
使用 [設定] 應用程式
若要建立本機帳戶並連線裝置:
啟動 [設定] 應用程式。
接下來,流覽至 [ 帳戶]。
流覽至 [存取公司或學校]。
選取 [連線]。
在 [替代動作] 底下,選取 [加入此裝置以 Microsoft Entra ID]。
輸入您的 Microsoft Entra 用戶名稱。 此使用者名稱是您用來登入 Office 365和類似服務的電子郵件位址。
![Microsoft Entra 使用 [設定] 應用程式登入。](images/unifiedenrollment-rs1-19.png)
如果租使用者是僅限雲端、密碼哈希同步處理或傳遞驗證租使用者,則此頁面會變更以顯示組織的自定義商標,而且您可以直接在此頁面上輸入密碼。 如果租使用者是同盟網域的一部分,系統會將您重新導向至組織的內部部署同盟伺服器,例如 AD FS 以進行驗證。
根據 IT 原則,此時也可能會提示您提供第二個驗證要素。
如果您 Microsoft Entra 租用戶已設定自動註冊,您的裝置也會在此流程期間註冊到 MDM。 如需詳細資訊,請參閱此部落格文章。 如果您的租用戶未設定自動註冊,您必須第二次通過註冊流程,才能將裝置連線到 MDM。
到達流程結束時,您的裝置應該會連線到組織的 Microsoft Entra 網域。 您現在可以註銷目前的帳戶,並使用您的 Microsoft Entra 用戶名稱登入。
協助連線到 Microsoft Entra 網域
在少數情況下,您的裝置無法連線到 Microsoft Entra 網域。
| 線上問題 | 描述 |
|---|---|
| 您的裝置已連線到 Microsoft Entra 網域。 | 您的裝置一次只能連線到單一 Microsoft Entra 網域。 |
| 您的裝置已連線到 Active Directory 網域。 | 您的裝置可以連線到 Microsoft Entra 網域或 Active Directory 網域。 您無法同時連線到這兩者。 |
| 您的裝置已經有用戶連線到工作帳戶。 | 您可以連線到 Microsoft Entra 網域,或連線到公司或學校帳戶。 您無法同時連線到這兩者。 |
| 您是以標準使用者的身分登入。 | 只有當您以系統管理使用者身分登入時,您的裝置才能連線到 Microsoft Entra 網域。 您必須切換至系統管理員帳戶才能繼續。 |
| 您的裝置已由 MDM 管理。 | 如果您的 Microsoft Entra 租使用者有預先設定的 MDM 端點,連線到 Microsoft Entra ID 流程會嘗試將您的裝置註冊到 MDM。 在此情況下,您的裝置必須從 MDM 取消註冊,才能連線到 Microsoft Entra ID。 |
| 您的裝置正在執行 Home Edition。 | Windows 家用版無法使用此功能,因此您無法連線到 Microsoft Entra 網域。 您必須升級至專業版、企業版或教育版才能繼續。 |
線上擁有裝置
個人擁有的裝置,也稱為自備裝置 (BYOD) ,可以連線到公司或學校帳戶或 MDM。 Windows 裝置不需要個人Microsoft帳戶即可連線到公司或學校。
所有 Windows 裝置都可以連線到公司或學校帳戶。 您可以透過 [設定] 應用程式或透過任何許多 通用 Windows 平台 (UWP) 應用程式連線到公司或學校帳戶,例如通用 Office 應用程式。
在 Microsoft Entra ID 中註冊裝置並在 MDM 中註冊
若要建立本機帳戶並連線裝置:
啟動 [設定] 應用程式,然後選取 [ 帳戶>] [開始>設定>帳戶]。
流覽至 [存取公司或學校]。
選取 [連線]。
![[連線] 按鈕可存取公司或學校的選項。](images/unifiedenrollment-rs1-24-b.png)
輸入您的 Microsoft Entra 用戶名稱。 此使用者名稱是您用來登入 Office 365和類似服務的電子郵件位址。
如果租使用者是僅限雲端、密碼哈希同步處理或傳遞驗證租使用者,此頁面會變更以顯示組織的自定義商標,而且可以直接在頁面中輸入您的密碼。 如果租使用者是同盟網域的一部分,系統會將您重新導向至組織的內部部署同盟伺服器,例如 AD FS 以進行驗證。
根據 IT 原則,此時也可能會提示您提供第二個驗證要素。
如果您 Microsoft Entra 租用戶已設定自動註冊,您的裝置也會在此流程期間註冊到 MDM。 如需詳細資訊,請參閱此部落格文章。 如果您的租用戶未設定自動註冊,您必須第二次通過註冊流程,才能將 裝置連線到 MDM。
您可以看到狀態頁面,其中顯示正在設定裝置的進度。
完成流程之後,您的Microsoft帳戶將會連線到您的公司或學校帳戶。
協助連線個人擁有的裝置
在少數情況下,您的裝置可能無法連線到工作。
| 錯誤資訊 | 描述 |
|---|---|
| 您的裝置已連線到組織的雲端。 | 您的裝置已連線到 Microsoft Entra ID、公司或學校帳戶或 AD 網域。 |
| 我們無法在貴組織的雲端中找到您的身分識別。 | 在您的 Microsoft Entra 租使用者上找不到您輸入的用戶名稱。 |
| 您的裝置已由組織管理。 | 您的裝置已由 MDM 或 Microsoft Configuration Manager 管理。 |
| 您沒有執行此作業的正確許可權。 與您的系統管理員交談。 | 您無法以標準使用者的身分將裝置註冊到 MDM。 您必須使用系統管理員帳戶。 |
| 我們無法自動探索符合所輸入用戶名稱的管理端點。 檢查您的使用者名稱,然後再試一次。 如果您知道管理端點的 URL,請輸入它。 | 您必須提供 MDM 的伺服器 URL,或檢查您輸入的使用者名稱拼字。 |
僅註冊裝置管理
所有 Windows 裝置都可以連線到 MDM。 您可以透過 [設定] 應用程式連線到 MDM。 若要建立本機帳戶並連線裝置:
啟動 [設定] 應用程式。
接下來,流覽至 [ 帳戶]。
流覽至 [存取公司或學校]。
選取 [ 僅在裝置管理中註冊 ] 連結。
輸入您的工作電子郵件位址。
如果裝置找到只支持內部部署驗證的端點,此頁面會變更,並要求您輸入密碼。 如果裝置找到支援同盟驗證的 MDM 端點,您會看到新的視窗,要求您提供更多驗證資訊。
根據 IT 原則,此時也可能會提示您提供第二個驗證要素。 您可以在畫面上看到註冊進度。
完成流程之後,您的裝置會連線到組織的 MDM。
使用深層連結連接您的 Windows 裝置以運作
Windows 裝置可以使用深層連結連線到工作。 用戶可以從 Windows 的任何位置選取或開啟特定格式的連結,並導向至新的註冊體驗。
用來將裝置連線到工作的深層連結會使用下列格式。
ms-device-enrollment:?mode={mode_name}:
| 參數 | 描述 | Windows 支援的值 |
|---|---|---|
| mode | 描述在註冊應用程式中執行的模式。 | 行動 裝置管理 (MDM) 、新增工作帳戶 (AWA) ,Microsoft Entra 加入。 |
| username | 指定應註冊到 MDM 之使用者的電子郵件位址或 UPN。 | string |
| servername | 指定用來註冊裝置的 MDM 伺服器 URL。 | string |
| accesstoken | MDM 伺服器的自定義參數,可視方式使用。 一般而言,此參數的值可用來作為驗證註冊要求的令牌。 | string |
| deviceidentifier | MDM 伺服器的自定義參數,可視方式使用。 一般而言,此參數的值可用來傳入唯一的裝置標識碼。 | GUID |
| tenantidentifier | MDM 伺服器的自定義參數,可視方式使用。 一般而言,此參數的值可用來識別裝置或使用者所屬的租使用者。 | GUID 或字串 |
| 擁有權 | MDM 伺服器的自定義參數,可視方式使用。 一般而言,此參數的值可用來判斷裝置是 BYOD 還是 Corp Owned。 | 1、2 或 3。 其中 「1」 表示擁有權未知,“2” 表示裝置為個人擁有,而 “3” 表示裝置為公司擁有 |
使用深層連結連線到 MDM
注意
深層連結僅適用於 Internet Explorer 或 Microsoft Edge 瀏覽器。 可用來使用深層連結連線到 MDM 的 URI 範例:
- ms-device-enrollment:?mode=mdm
-
ms-device-enrollment:?mode=mdm&username=
someone@example.com&servername=https://example.server.com
若要使用深層連結將裝置連線到 MDM:
建立連結,以使用 URI ms-device-enrollment:?mode=mdm 和方便使用的顯示文字來啟動內建註冊應用程式,例如 按這裏將 Windows 聯機以運作:
此連結會啟動相當於 [註冊到裝置管理] 選項的流程。
IT 系統管理員可以將此連結新增至歡迎電子郵件,用戶可選取該電子郵件註冊到 MDM。
注意
請確定您的電子郵件篩選不會封鎖深層連結。
IT 系統管理員也可以將此連結新增至用戶參考註冊指示的內部網頁。
選取連結或執行連結之後,Windows 會以只允許 MDM 註冊的特殊模式啟動註冊應用程式, (類似於 [註冊到裝置管理] 選項) 。
輸入您的工作電子郵件位址。
如果裝置找到只支持內部部署驗證的端點,此頁面會變更,並要求您輸入密碼。 如果裝置找到支援同盟驗證的 MDM 端點,您會看到要求更多驗證資訊的新視窗。 根據 IT 原則,此時也可能會提示您提供第二個驗證要素。
完成流程之後,您的裝置將會連線到組織的 MDM。
管理連線
若要管理您的公司或學校連線,請選取> [設定帳戶>存取公司或學校]。 您的聯機會顯示在此頁面上,並選取其中一個展開該連線的選項。
資訊
您可以在涉及 MDM 的公司或學校連線上找到 [資訊] 按鈕。 這個按鈕包含在下列案例中:
- 將裝置連線到已自動註冊至已設定 MDM 的 Microsoft Entra 網域。
- 將您的裝置連線到已自動註冊至已設定 MDM 的工作或學校帳戶。
- 將裝置連線到 MDM。
選取 [ 資訊] 按鈕會在 [設定] 應用程式中開啟新的頁面,其中提供MDM連線的詳細數據。 如果已在此頁面上設定) ,您可以檢視組織的支持資訊 (。 您也可以啟動同步會話,強制裝置與 MDM 伺服器通訊,並視需要擷取原則的任何更新。
選取 [ 資訊] 按鈕會顯示組織所安裝的原則和企業營運應用程式清單。 以下是範例螢幕快照。
[中斷連線]
您可以在所有工作連線上找到 [ 中斷 連線] 按鈕。 一般而言,選取 [ 中斷連線] 按鈕會從裝置移除連線。 這項功能有一些例外狀況:
- 強制執行 AllowManualMDMUnenrollment 原則的裝置不允許使用者移除 MDM 註冊。 伺服器起始的取消註冊命令必須移除這些連線。
- 在行動裝置上,您無法與 Microsoft Entra ID 中斷連線。 這些連線只能透過抹除裝置來移除。
警告
中斷連線可能會導致裝置上的數據遺失。
收集診斷記錄
您可以移至 [設定>帳戶>存取公司或學校],然後選取 [相關設定] 底下的 [匯出管理記錄] 連結,以收集工作連線周圍的診斷記錄。 接下來,選取 [ 匯出],然後遵循顯示的路徑來擷取您的管理記錄檔。
您可以前往 [設定>帳戶>存取公司或學校],然後選取 [資訊] 按鈕,以取得進階診斷報告。 在 [設定] 頁面底部,您會看到建立報表的按鈕。
如需詳細資訊,請參閱 收集 MDM 記錄。