Seskupování času registrace v Microsoft Intune

Nastavením seskupování času registrace urychlíte zřizování aplikací a zásad během registrace zařízení. Při seskupování času registrace můžete do zásad registrace přidat skupinu zabezpečení Microsoft Entra, aby se zařízení přidala do skupiny během registrace, a ne po ní. Potom můžete skupině přiřadit požadované aplikace a konfiguraci zásad. Tato předběžná informace o skupině zabezpečení, do které se zařízení po registraci stane členem, umožňuje Intune rychle doručovat konfigurace do zařízení při registraci, což snižuje latenci po registraci a zkracuje čas na produktivitu.

Pokud nenakonfigurujete seskupení času registrace, zaregistrovaná zařízení se seskupí na základě vlastností inventáře a ID značek skupin. Pak Microsoft Intune dodává aplikace a zásady na základě členství ve skupině. Microsoft Intune může určit aplikace a zásady, které zařízení potřebuje, až když je zařízení seskupené, takže zařízení seskupené tímto způsobem často nejsou připravená k okamžitému použití. Po registraci může trvat až 8 hodin, než zařízení obdrží všechny aplikace a zásady.

Tento článek obsahuje přehled seskupování času registrace, jeho konfigurace a omezení funkcí.

Požadavky

Požadavky na platformu zařízení

Seskupování času registrace se podporuje na následujících platformách:

• Windows 11
• Android Enterprise
• tvOS
• visionOS

Metody registrace

Seskupení času registrace se podporuje na zařízeních zřízených prostřednictvím:

• Příprava zařízení Windows Autopilot
• Android Enterprise
• Automatizovaná registrace zařízení pro tvOS a visionOS

U Androidu Enterprise se seskupení času registrace podporuje pomocí následujících zásad registrace:

• Plně spravovaný Android Enterprise
• Pracovní profil Androidu Enterprise vlastněný společností
• Android Enterprise Dedicated

Požadavky na role

Potřebná oprávnění závisí na platformě, kterou konfigurujete:

• Windows Autopilot: Oprávnění k vytváření a úpravám zásad přípravy zařízení Windows Autopilot a oprávnění k přiřazení členství zařízení v čase registrace (k dispozici ve vlastních rolích v části Programy registrace).
• tvOS a visionOS: Oprávnění k vytváření a úpravám zásad registrace pro tvOS a visionOS a oprávnění k přiřazení členství zařízení v čase registrace (k dispozici ve vlastních rolích v části Programy registrace).
• Android Enterprise: Oprávnění k vytvoření a úpravě zásad registrace Androidu Enterprise a přiřazení členství zařízení čas registrace pro oprávnění Android Enterprise (k dispozici ve vlastních rolích v androidu Enterprise).

Pokud chcete přidat Intune vlastní aplikaci jako vlastníka skupiny zabezpečení, musíte být správcem skupiny Microsoft Entra (nebo mít oprávnění microsoft.directory/groups/owners/update) nebo být stávajícím vlastníkem skupiny zabezpečení.

Určená skupina musí být nakonfigurovaná jako skupina rozsahu, aby ji správce použil v konfiguraci seskupování času registrace.

Tip

Další informace o vytváření vlastních rolí najdete v tématu Řízení přístupu na základě rolí.

Krok 1: Vytvoření skupiny zabezpečení Microsoft Entra

Vytvořte statickou skupinu zabezpečení Microsoft Entra pro použití v zásadách registrace. Pokud chcete nakonfigurovat seskupování času registrace, musíte přidat klienta Intune Provisioning Client jako vlastníka skupiny zabezpečení. Do této skupiny teď nemusíte přidávat zařízení ani uživatele.

Následující postup popisuje, jak vytvořit skupinu zabezpečení v Centru pro správu Microsoft Intune. Další informace a kroky specifické pro Windows 11 najdete v tématu Windows Autopilot – vytvoření skupiny zařízení.

Po nakonfigurování seskupení času registrace v zásadách registrace se můžete vrátit k této skupině zabezpečení a přidat a odebrat zařízení. Skupinu zabezpečení může upravit každý správce Intune s příslušnými oprávněními skupiny zabezpečení.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Přejděte do části Skupiny.

3. Vyberte Všechny skupiny a pak vyberte Nová skupina.

4. Na obrazovce Nová skupina , která se otevře, zadejte následující informace:

   1. Typ skupiny: Vyberte Zabezpečení.

   2. Název skupiny: Zadejte název skupiny zařízení. Příklad: Zařízení sdíleného inventáře

   3. Popis skupiny: Zadejte popis skupiny zařízení.

   4. Microsoft Entra role je možné přiřadit skupině: Vyberte Ne.

   5. Typ členství: Vyberte Přiřazeno.

   6. Vlastníci: Vyberte odkaz Nebyli vybráni žádní vlastníci .

   7. Na obrazovce Přidat vlastníky, která se otevře, přidejte jako vlastníka klienta zřizování Intune:

      1. Projděte si seznam objektů a vyberte instanční objekt Intune Zřizování klienta s Id aplikace f1346770-5b25-470b-88bd-d5744ab7952c. Případně můžete pomocí panelu hledání vyhledat a vybrat Intune zřizovacího klienta.

         Poznámka

         • V některých tenantech může mít instanční objekt název Intune Autopilot ConfidentialClient místo Intune Provisioning Client. Pokud je AppID instančního objektu f1346770-5b25-470b-88bd-d5744ab7952c, jedná se o správný instanční objekt.

         • Pokud Intune Provisioning Client nebo Intune Instanční objekt Autopilot ConfidentialClient s AppId f1346770-5b25-470b-88bd-d5744ab7952c není v seznamu objektů ani při hledání dostupný, přečtěte si další kroky v tématu Přidání instančního objektu Intune Zřizování klienta.

      2. Zvolte Vybrat.

   8. Vyberte Vytvořit a dokončete vytváření přiřazené skupiny zařízení.

Krok 2: Konfigurace seskupení času registrace v zásadách registrace

Funkce seskupování času registrace se vztahuje jenom na nové registrace zařízení. Nemá vliv ani se nevztahuje na zařízení, která jsou už zaregistrovaná.

Pro každou zásadu registrace můžete přidat jednu statickou skupinu zabezpečení Microsoft Entra. Jako správce Intune můžete přidávat jenom skupiny Microsoft Entra, které jsou ve skupině oborů autorizované pro vaši roli Intune. Ujistěte se, že jsou skupiny oborů a značky skupin přiřazené k příslušným rolím, aby správci viděli skupinu zabezpečení při vytváření zásad.

1. V Centru pro správu Microsoft Intune přejděte na Zařízení.

2. Rozbalte onboarding zařízení a pak vyberte Registrace.

3. Vyberte typ registrace, kterou konfigurujete, a vytvořte zásadu.

   • Windows: Vytvoření zásad přípravy zařízení Windows Autopilot

   • Android Enterprise s pracovním profilem: Nastavení Intune registrace zařízení s Androidem Enterprise vlastněných společností s pracovním profilem

   • Android Enterprise Dedicated: Nastavení Intune registrace vyhrazených zařízení s Androidem Enterprise

   • Plně spravovaný Android Enterprise: Nastavení registrace pro plně spravovaná zařízení s Androidem Enterprise

   • tvOS: Nastavení zásad registrace pro tvOS

   • visionOS: Nastavení zásad registrace visionOS

   Tip

   Seskupování času registrace se u přípravného tokenu nepodporuje. Pokud konfigurujete zásadu pro použití se seskupováním času registrace, použijte plně spravovaný token společnosti (výchozí) nebo token firemního pracovního profilu (výchozí).

Po uložení zásady se k ní můžete kdykoli vrátit a upravit nastavení skupiny. Aktualizace nastavení skupiny se nevztahují na zařízení, která jsou už zaregistrovaná v zásadách. Pokud odeberete zařízení ze skupiny, Microsoft Intune znovu vyhodnocuje konfigurace zásad a vynutí, aby se zařízení se změnami získalo nové konfigurace.

Krok 3: Registrace zařízení

Když se zařízení s přiřazenou zásadou registrace zaregistrují, stanou se členy skupiny zabezpečení Microsoft Entra a začnou přijímat aplikace a zásady. Jakmile správce nebo koncový uživatel dokončí počáteční nastavení zařízení, zobrazí se na domovské obrazovce zařízení. V tomto okamžiku by už všechny cílové aplikace a zásady měly být na zařízení nebo v procesu instalace.

Pokud odeberete zařízení ze skupiny, Microsoft Intune znovu vyhodnocuje konfigurace zásad a vynutí, aby se zařízení se změnami získalo nové konfigurace.

Vytváření sestav

Pokud chcete získat přístup k sestavám pro seskupování času registrace, přejděte na Zařízení>Monitorující>selhání seskupování času registrace. Dostupná sestava zobrazuje pouze selhání. Konkrétně informace o zařízeních, která se během těchto procesů nastavení nestala členy konkrétní statické skupiny zařízení:

• Zřizování přípravy Windows Autopilotu
• Plně spravovaná registrace Androidu Enterprise
• Registrace pracovního profilu ve vlastnictví firmy v Androidu Enterprise
• Vyhrazená registrace Androidu Enterprise
• Registrace mobilních zařízení Apple

Zobrazení nedávno aktualizovaných informací v sestavě může trvat až 20 minut. Musíte mít microsoft.Intune/ManagedDevices/Read RBAC oprávnění k zobrazení sestavy.

Důležité

Tato sestava poskytuje informace o zařízeních, která se nepodaří přidat do skupin zabezpečení nakonfigurovaných v zásadách registrace. Neúspěšné připojení ke skupině během registrace může způsobit, že se konfigurace po registraci změní nebo se ze zařízení odebere, proto doporučujeme sestavu průběžně monitorovat, abyste mohli okamžitě provést potřebné akce pro zmírnění rizik. Můžete například použít vlastní aplikaci, která pravidelně kontroluje data sestavy. Aplikace pak vygeneruje oznámení, když v sestavě najde nová zařízení.

Známé problémy a omezení

Neexistují žádné známé problémy nebo omezení seskupování času registrace.

Řešení problémů

Pokud dojde k neočekávanému chování, kontaktujte podpora Microsoftu s následujícími informacemi:

• Sériové číslo zařízení.
• Portál společnosti protokoly aplikací, pokud jsou k dispozici, s ID protokolu.
• Přibližné časové razítko události a časového pásma, ve kterém k události došlo.
• Snímky obrazovky z centra pro správu Microsoft Intune nebo zařízení
• Podrobné vysvětlení chování zařízení