Nastavení registrace pro zařízení s Windows
Platí pro
- Windows 10
- Windows 11
Tento článek pomáhá správcům IT zjednodušit registraci uživatelů ve Windows. Po nastavení Intune zaregistrují uživatelé zařízení s Windows tak, že se přihlásí pomocí svého pracovního nebo školního účtu.
Jako správce Intune můžete registraci zjednodušit následujícími způsoby:
- Povolte automatickou registraci (vyžaduje se Azure AD Premium).
- Registrace CNAME.
- Povolte hromadnou registraci (vyžaduje se Azure AD Premium a Windows Configuration Designer).
Způsob zjednodušení registrace zařízení s Windows určují dva faktory:
- Používáte Azure Active Directory Premium?Azure AD Premium je součástí licenčních plánů Enterprise Mobility + Security a dalších.
- Jaké verze klientů Windows budou uživatelé registrovat? Zařízení se systémem Windows 11 nebo Windows 10 se můžou automaticky zaregistrovat přidáním pracovního nebo školního účtu. Zařízení se staršími verzemi se musí zaregistrovat pomocí aplikace Portál společnosti.
| Azure AD Premium | Jiná služba AD | |
|---|---|---|
| Windows 10/11 | Automatická registrace | Registrace uživatelů |
| Starší verze Windows | Registrace uživatelů | Registrace uživatelů |
Organizace, které můžou používat automatickou registraci, můžou také nakonfigurovat hromadnou registraci zařízení pomocí aplikace Windows Configuration Designer.
Požadavky na registraci zařízení
Než správce může zaregistrovat zařízení do Intune pro správu, měly by už být licence přiřazené k účtu správce. Přečtěte si o přiřazování licencí pro registraci zařízení.
Můžete také povolit, aby se k MEM přihlásili nelicencované správce. Další informace najdete v tématu Nelicencovaný správce.
Podpora více uživatelů
Intune podporuje více uživatelů na zařízeních, která:
- Spuštění Windows 11 nebo aktualizace Windows 10 Creatoru
- Jsou připojené k doméně Azure Active Directory?
Když se standardní uživatelé přihlásí pomocí svých přihlašovacích údajů Azure AD, dostanou aplikace a zásady přiřazené ke svému uživatelskému jménu. Portál společnosti může používat jenom primární uživatel zařízení pro samoobslužné scénáře, jako je instalace aplikací a akcí zařízení (jako je odebrání nebo obnovení továrního nastavení). Pro sdílená zařízení Windows 10/11, která nemají přiřazeného primárního uživatele, můžete k instalaci dostupných aplikací použít Portál společnosti.
Povolení automatické registrace Windows
Automatická registrace uživatelům umožňuje zaregistrovat jejich zařízení s Windows v Intune. Při registraci si uživatelé přidají pracovní účet do svého vlastního zařízení nebo připojí zařízení, která patří společnosti, ke službě Azure Active Directory. Na pozadí se zařízení zaregistruje a připojí ke službě Azure Active Directory. Po registraci je zařízení spravováno přes Intune.
Požadavky
- Předplatné Azure Active Directory Premium (zkušební předplatné)
- Předplatné služby Microsoft Intune
- Oprávnění globálního správce
Konfigurace automatického zápisu MDM
Přihlaste se k portálu Azure Portala vyberte Azure Active Directory>Mobility (MDM a MAM)>Microsoft Intune.
Konfigurujte Obor uživatele MDM. Určete, která uživatelská zařízení by měla být spravována přes službu Microsoft Intune. Tato zařízení s Windows 10 se mohou automaticky zaregistrovat pro správu přes Microsoft Intune.
Žádná – automatická registrace MDM je zakázaná
Některá – vyberte Skupiny, které můžou automaticky zaregistrovat svá zařízení s Windows 10.
Všechna – všichni uživatelé můžou automaticky zaregistrovat svá zařízení s Windows 10
Důležité
U zařízení Windows BYOD má obor uživatele MAM přednost, pokud je pro všechny uživatele (nebo pro stejné skupiny uživatelů) povolený obor uživatele MAM i obor uživatele MDM (automatická registrace MDM). Zařízení nebude zaregistrované pomocí MDM a použijí se zásady Windows Information Protection, pokud jste je nakonfigurovali.
Pokud máte v úmyslu povolit automatickou registraci pro zařízení WINDOWS BYOD do MDM: Nakonfigurujte obor uživatele MDM na Všechna (nebo Některá a určete skupinu) a nakonfigurujte obor uživatele MAM na Žádná (nebo Některá a určete skupinu – ujistěte se, že uživatelé nejsou členy skupiny, na kterou jsou zacíleny obory uživatelů MDM i MAM).
U podnikových zařízení má obor uživatele MDM přednost, pokud jsou povolené uživatelské obory MDM i MAM. Zařízení se automaticky zaregistruje do nakonfigurovaného MDM.
Poznámka
Obor uživatele MDM musí být nastavený na skupinu Azure AD, která obsahuje objekty uživatelů.
Použijte výchozí hodnoty pro následující adresy URL:
- Adresa URL podmínek použití MDM
- Adresa URL zjišťování MDM
- Adresa URL s předpisy služby MDM
Vyberte Uložit.
Ve výchozím nastavení není pro službu povolené dvoufaktorové ověřování. Při registraci zařízení ale dvoufaktorové ověřování doporučujeme. Pokud chcete povolit dvoufaktorové ověřování, nakonfigurujte v Azure AD zprostředkovatele dvoufaktorového ověřování a u uživatelských účtů nakonfigurujte vícefaktorové ověřování. Další informace najdete v tématu Začínáme se serverem Azure Active Directory Multi-Factor Authentication.
Zjednodušení registrace windows bez Azure AD Premium
Pro zjednodušení registrace vytvořte alias dns (dns) (typ záznamu CNAME), který přesměruje žádosti o registraci na Intune servery. Jinak uživatelé, kteří se pokoušejí připojit k Intune, musí během registrace zadat název Intune serveru.
Krok 1: Vytvoření CNAME (volitelné)
Vytvořte záznamy prostředků DNS CNAME pro doménu vaší společnosti. Pokud je například web vaší společnosti contoso.com, vytvořili byste v DNS CNAME, který přesměruje EnterpriseEnrollment.contoso.com na enterpriseenrollment-s.manage.microsoft.com.
I když je vytváření záznamů DNS CNAME volitelné, záznamy CNAME usnadňují uživatelům registraci. Pokud se nenajde žádný záznam CNAME registrace, zobrazí se uživatelům výzva k ručnímu zadání názvu serveru MDM enrollment.manage.microsoft.com.
| Typ | Název hostitele | Odkazuje na | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.company_domain.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 hour (1 hodina) |
| CNAME | EnterpriseRegistration.company_domain.com | EnterpriseRegistration.windows.net | 1 hour (1 hodina) |
Pokud společnost používá více než jednu příponu hlavního názvu uživatele (UPN), musíte pro každý název domény vytvořit jeden název CNAME a každý z nich nasměrovat na EnterpriseEnrollment-s.manage.microsoft.com. Například uživatelé ve společnosti Contoso používají jako svůj e-mail nebo hlavní název uživatele (UPN) následující formáty:
- name@contoso.com
- name@us.contoso.com
- name@eu.contoso.com
Správce DNS společnosti Contoso by měl vytvořit následující objekty CNÁME:
| Typ | Název hostitele | Odkazuje na | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 hour (1 hodina) |
| CNAME | EnterpriseEnrollment.us.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 hour (1 hodina) |
| CNAME | EnterpriseEnrollment.eu.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 hour (1 hodina) |
EnterpriseEnrollment-s.manage.microsoft.com– Podporuje přesměrování na službu Intune s rozpoznáváním domény z názvu domény e-mailu.
Šíření změn záznamů DNS může trvat až 72 hodin. Změnu DNS v Intune nemůžete ověřit, dokud se záznam DNS nešísí.
Krok 2: Ověření CNAME (volitelné)
- Přihlaste se do Centra pro správu Microsoft Endpoint Manageru a přejděte na Zařízení> sWindows>Registrace.
- Vyberte Ověření CNAME.
- Do pole Doména zadejte web společnosti a pak zvolte Test.
Další koncové body, které se nepodporují
EnterpriseEnrollment-s.manage.microsoft.com je upřednostňovaný plně kvalifikovaný název domény pro registraci. Existují dva další koncové body, které se dříve používaly a stále fungují. Už se ale nepodporují. EnterpriseEnrollment.manage.microsoft.com (bez -s) i manage.microsoft.com fungují jako cíl pro server automatického zjišťování, ale uživatel se bude muset v potvrzovací zprávě dotknout tlačítka OK. Pokud přejdete na EnterpriseEnrollment-s.manage.microsoft.com, uživatel nebude muset provádět další potvrzovací krok, takže se jedná o doporučenou konfiguraci.
Alternativní metody přesměrování se nepodporují.
Použití jiné metody než konfigurace CNAME se nepodporuje. Například použití proxy serveru k přesměrování enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc na enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc nebo manage.microsoft.com/EnrollmentServer/Discovery.svc se nepodporuje.
Řekněte uživatelům, jak zaregistrovat zařízení s Windows
Dokumentace Microsoft Intune nápovědy pro uživatele poskytuje koncepční informace, kurzy a návody pro zaměstnance a studenty, kteří nastavují svá zařízení. Můžete na ně nasměrovat přímo nebo tyto články použít jako vodítko při vývoji a aktualizaci vlastní dokumentace ke správě zařízení vaší organizace.
Tyto články popisují, jak zaregistrovat zařízení s Windows:
Informace o tom, jak registrace ovlivňuje zařízení, a informace o něm najdete v tématu Jaké informace moje organizace uvidí při registraci zařízení?
Poznámka
Koncoví uživatelé musí přistupovat k webu Portál společnosti přes Microsoft Edge, aby mohli zobrazit aplikace pro Windows, které jste přiřadili pro konkrétní verze Windows. Jiné prohlížeče, včetně Google Chrome, Mozilla Firefox a Internet Exploreru, tento typ filtrování nepodporují.
Důležité
Pokud nemáte povolenou automatickou registraci MDM, ale máte zařízení Windows 10/11, která jsou připojená k Azure AD, budou po registraci v Centru pro správu Microsoft Endpoint Manageru viditelné dva záznamy. Můžete to zastavit tím, že zajistíte, aby uživatelé s Azure AD připojenými zařízeními přešli na Účty>Přístup do práce nebo do školy a Připojit se pomocí stejného účtu.
CNAME pro registraci a registraci
Azure Active Directory má jiný název CNAME, který používá k registraci zařízení pro zařízení s iOS/iPadOS, Androidem a Windows. Intune podmíněný přístup vyžaduje registraci zařízení, která se označuje také jako "připojení k pracovišti". Pokud plánujete používat podmíněný přístup, měli byste také nakonfigurovat CNAME EnterpriseRegistration pro každý název společnosti, který máte.
| Typ | Název hostitele | Odkazuje na | TTL |
|---|---|---|---|
| CNAME | EnterpriseRegistration.company_domain.com | EnterpriseRegistration.windows.net | 1 hour (1 hodina) |
Další informace o registraci zařízení najdete v tématu Správa identit zařízení pomocí Azure Portal
Automatická registrace windows a registrace zařízení
Tato část se týká cloudových zákazníků státní správy USA na zařízeních s Windows 10 nebo Windows 11.
I když je vytváření záznamů DNS CNAME volitelné, záznamy CNAME usnadňují uživatelům registraci. Pokud se nenajde žádný záznam CNAME registrace, zobrazí se uživatelům výzva k ručnímu zadání názvu serveru MDM enrollment.manage.microsoft.us.
| Typ | Název hostitele | Odkazuje na | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.company_domain.com | EnterpriseEnrollment-s.manage.microsoft.us | 1 hour (1 hodina) |
| CNAME | EnterpriseRegistration.company_domain.com | EnterpriseRegistration.windows.net | 1 hour (1 hodina) |