Krok 5 – Registrace zařízení v Microsoft Intune

V poslední fázi nasazení se zařízení zaregistrují nebo připojí v Azure Active Directory (Azure AD), zaregistrují se v Microsoft Intune a zkontrolují dodržování předpisů.

Během registrace Microsoft Intune na zařízení nainstaluje certifikát správy mobilních zařízení (MDM), který Intune umožňuje vynucovat profily registrace, omezení registrace a zásady a profily, které jste vytvořili dříve v tomto průvodci.

Tento článek popisuje:

• Příprava registrace v Microsoft Intune pro zařízení vlastněná společností a uživatelem
• Možnosti registrace pro každou platformu operačního systému
• Monitorování po registraci, řešení potíží a prostředky

Začínáme

Pokud s Intune nasazujete registrační profily poprvé nebo zkoušíte novou konfiguraci, začněte v malém a použijte fázovaný přístup. Přiřaďte registrační profil k pilotní nebo testovací skupině. Po počátečním testování přidejte do pilotní skupiny další uživatele. Pokud všechno jde dobře, přiřaďte registrační profil k více pilotním skupinám. Další informace a návrhy najdete v průvodci plánováním: Krok 5 – vytvoření plánu zavedení.

Registrace v Azure AD je povinným krokem pro správu Intune. Než se zařízení může zaregistrovat do Intune, musí se uživatel zařízení ověřit a vytvořit identitu zařízení v Azure AD vaší organizace. Tento krok uděluje uživateli jednotné přihlašování k cloudovým pracovním aplikacím a dalším prostředkům. Je důležité vědět, kterou možnost identity používáte, protože určuje metody registrace, které můžete použít, a také prostředí přihlašování pro uživatele zařízení. Mezi možnosti identity patří:

• Azure AD registrace je možnost identity zařízení, která je dostupná pro osobní mobilní zařízení a mobilní zařízení vlastněná společností. Uživatelé na těchto zařízeních se ověřují přihlášením k pracovním prostředkům, jako jsou aplikace a webové prohlížeče, pomocí svého Azure AD pracovního účtu.
• Azure AD připojeno je možnost identity zařízení dostupná pro zařízení ve vlastnictví společnosti Windows 10/11 využívající možnosti spolusprávy. Uživatelé na těchto zařízeních se ověřují přihlášením k zařízení pomocí svého Azure AD pracovního účtu.

Konfigurace před registrací

Připravte zařízení na registraci konfigurací funkcí registrace, jako jsou omezení registrace, kategorizace zařízení a správci registrace zařízení. Tyto konfigurace pomáhají vylepšovat a zjednodušit registraci pro vás a uživatele zařízení a pomáhají vám udržet si přehled v Centru pro správu. Před vytvořením registračního profilu je nakonfigurujte.

Nastavení dostupnosti se liší podle platformy operačního systému.

Zrušení registrace a resetování existujících zařízení

Pokud jsou zařízení aktuálně zaregistrovaná u jiného poskytovatele MDM, zrušte jejich registraci u stávajícího poskytovatele MDM, než je zaregistrujete v Intune. Následující tabulka uvádí zařízení, která před registrací do Intune vyžadují obnovení továrního nastavení.

Platforma	Vyžaduje se obnovení továrního nastavení?
Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem (BYOD)	Ne
Pracovní profil androidu Enterprise vlastněný společností (COPE)	Ano
Plně spravovaný Android Enterprise (COBO)	Ano
Vyhrazená zařízení s Androidem Enterprise (COSU)	Ano
Správce zařízení s Androidem (DA)	Ne
iOS/iPadOS	Ano
Linux	Ne
macOS	Ano
Windows	Ne

---

Zařízení, která nevyžadují resetování, začnou Intune profily instalovat hned po registraci. Dříve nakonfigurovaná nastavení můžou na zařízeních zůstat, pokud je nezměníte v Intune před registrací.

Přidání správců registrace zařízení

Pokud potřebujete zaregistrovat a připravit velký počet zařízení pro distribuci, doporučujeme využít správce registrace zařízení. Účet správce registrace zařízení může registrovat a spravovat až 1 000 zařízení, zatímco standardní účet bez oprávnění správce může registrovat pouze 15 zařízení. Správce registrace zařízení je uživatel bez oprávnění správce Azure AD, který může:

• Registrace až 1 000 zařízení vlastněných společností v Intune
• Přihlaste se k Portál společnosti Intune a získejte firemní aplikace.
• Konfigurace přístupu k podnikovým datům nasazením aplikací specifických pro roli do zařízení

Některé metody registrace, například automatická registrace zařízení Apple, nejsou kompatibilní s účtem správce registrace zařízení, takže před zahájením instalace se ujistěte, že je metoda, kterou zvolíte, podporovaná.

Další informace a omezení najdete v tématu Přidání správců registrace zařízení.

Vytvoření omezení registrace zařízení

Pomocí této funkce v Centru pro správu Microsoft Intune můžete určitým zařízením zakázat registraci do Intune. V Microsoft Intune můžete nakonfigurovat dva typy omezení registrace zařízení:

• Omezení platformy zařízení: Omezte zařízení na základě platformy zařízení, verze, výrobce nebo typu vlastnictví.
• Omezení limitu zařízení: Omezte počet zařízení, do Intune se může uživatel zaregistrovat.

Omezení registrace nejsou k dispozici pro Linux a některé scénáře registrace Windows. Při nastavování omezení pro osobní zařízení s Androidem Enterprise doporučujeme využít naši architekturu konfigurace zabezpečení Androidu. Zahrnuje omezení zařízení potřebná pro základní zabezpečení (úroveň 1), což je minimální konfigurace zabezpečení, kterou doporučujeme mít na osobních zařízeních, a vysoké zabezpečení (úroveň 3), což je pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce riziková.

Další informace najdete tady:

• Co jsou omezení registrace?
• Doporučená omezení zařízení

Vytvoření zásad podmínek a ujednání

Pomocí zásad Intune podmínek a ujednání můžete uživatelům zařízení před registrací zpřístupnit právní omezení a požadavky na dodržování předpisů. Tato zásada vyžaduje, aby uživatel zařízení před registrací zařízení nebo přístupem k chráněným prostředkům přijal podmínky a ujednání vaší organizace. Podmínky a ujednání se zobrazují cílovým uživatelům v aplikaci Portál společnosti Intune.

Pokud hledáte větší kontrolu, včetně toho, kde se tyto termíny zobrazují, zvažte konfiguraci podmínek použití služby Azure Active Directory (Azure AD). Azure AD podmínky se uživatelům zobrazí, když se přihlásí k cílovým aplikacím a prostředkům a nabízejí podrobnější nastavení než Intune podmínek a ujednání.

Další informace najdete v tématu Podmínky a ujednání pro přístup uživatelů.

Vyžadovat vícefaktorové ověřování

Vyžadovat, aby se uživatelé během registrace ověřili prostřednictvím vícefaktorového ověřování (MFA). Pokud vyžadujete vícefaktorové ověřování, musí se lidé, kteří chtějí zařízení zaregistrovat, před registrací zařízení ověřit pomocí druhého zařízení a dvou formulářů přihlašovacích údajů. Jedná se o jednorázový podmíněný krok, který zajišťuje, že osoba na zařízení je tím, za koho říká, že je. Toto chování můžete povolit pro všechny platformy kromě Linuxu pomocí zásad podmíněného přístupu se zásadami vícefaktorového ověřování. Azure AD Je vyžadována verze Premium.

Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro registraci Intune zařízení.

Kategorizace zařízení do skupin

Vytvořte kategorii zařízení v Intune, například ošetřovatelství nebo marketing, a Intune automaticky přidá všechna zařízení, která spadají do této kategorie, do odpovídající skupiny zařízení v Intune.

Tato funkce je dostupná pro všechny platformy kromě Linuxu. Další informace najdete v tématu Kategorizace zařízení do skupin.

Registrace zařízení s Androidem

V Intune můžete zaregistrovat osobní zařízení s Androidem nebo zařízení s Androidem vlastněná společností. Doporučujeme řešení registrace Androidu Enterprise pro osobní zařízení a zařízení vlastněná společností, která používají Google Mobile Services. U zařízení vlastněných společností, která nemají google Mobile Services a jsou vytvořená z open source projektu pro Android (AOSP), použijte metody registrace AOSP.

Požadavky

Připojte Intune ke spravovanému účtu Google Play. Připojení se vyžaduje pro všechny možnosti správy Androidu Enterprise, včetně:

• Pracovní profil Androidu Enterprise v osobním vlastnictví
• Pracovní profil Androidu Enterprise vlastněný společností
• Plně spravovaný Android Enterprise
• Android Enterprise Dedicated

Metody registrace Androidu

Následující karty popisují možnosti registrace androidu a AOSP s podporou Intune.

Vlastněné společností

• Zařízení vlastněná společností s pracovním profilem: Zaregistrujte zařízení vlastněná společností, která jsou také schválená pro osobní použití. Tato metoda vytvoří na zařízení samostatný pracovní profil, aby uživatel mohl snadno a bezpečně přepínat mezi svými osobními a pracovními aplikacemi. Uživatel zařízení zaregistruje zařízení prostřednictvím aplikace Microsoft Intune. Jako správce můžete spravovat aplikace a data v pracovním profilu. Tato metoda je v souladu s řešením správy pracovních profilů ve vlastnictví firmy v Androidu Enterprise .

• Plně spravovaná: Registrace zařízení vlastněných společností výhradně pro pracovní a ne osobní použití. K zaregistrovaným zařízením je přidružený jeden uživatel. Můžete spravovat celé zařízení a vynucovat řízení zásad, které nejsou dostupné pomocí metody pracovního profilu Androidu Enterprise. Tato metoda je v souladu s plně spravovaným řešením správy Android Enterprise .

• Vyhrazené zařízení: Zaregistrujte zařízení vlastněná společností, zařízení pro jedno použití nebo beznabídkový terminál, která se používají k digitálnímu značení, tisku lístků nebo správě inventáře. Pomocí této metody můžete omezit aplikace a webové odkazy dostupné na zařízení a zabránit uživatelům v používání zařízení mimo zamýšlený rozsah. Tato metoda je v souladu s řešením pro správu vyhrazených zařízení Android Enterprise .

• Zařízení vlastněná společností bez uživatelů: Zařízení, která jsou vytvořená z AOSP (Android Open Source Project) a chybí služby Google Mobile, zaregistrujte jako zařízení vlastněná společností a bez uživatelů. Tato zařízení nemají přidruženého uživatele a jsou určená ke sdílení, například v knihovně nebo testovacím prostředí.

• Zařízení vlastněná společností a uživatelem: Zařízení, která jsou sestavená z AOSP a která chybí ve službách Google Mobile, zaregistrujte jako zařízení vlastněná společností a uživatelem. Tato zařízení jsou přidružená k jednomu uživateli a jsou určená výhradně pro pracovní použití.

• Nulová registrace: Pro hromadné registrace a zjednodušení registrace pro vzdálené pracovníky doporučujeme používat bezdotykovou registraci. Tato metoda umožňuje předem připravit zařízení vlastněná společností tak, aby automaticky zřídila a zaregistrovala jako plně mangovaná zařízení, když je uživatelé zapnou.

Vlastněné uživatelem

Zařízení v osobním vlastnictví s pracovním profilem: Podpora registrace osobních zařízení ve scénářích BYOD Během registrace se na zařízení vytvoří samostatný pracovní profil, aby lidé mohli snadno a bezpečně přepínat mezi svými osobními a pracovními aplikacemi. Vlastník zařízení zaregistruje své zařízení prostřednictvím aplikace Portál společnosti Intune. Jako správce můžete spravovat aplikace a data v pracovním profilu. Tato metoda je v souladu s pracovním profilem Android Enterprise pro řešení správy zařízení v osobním vlastnictví .

Poznámka

Možnosti správy zařízení s Androidem Enterprise nahrazují možnosti správce zařízení s Androidem, proto doporučujeme používat řešení pro správu Android Enterprise, pokud je to možné. Pro tyto scénáře přesto doporučujeme řešení správy zařízení s Androidem :

• Pro zařízení s Androidem certifikovaná v Microsoft Teams.
• Pokud je zařízení v oblasti, ve které není Android Enterprise dostupný.
• Když se zařízení nemůžou integrovat se službou Google Mobile Services a možnosti registrace AOSP s nimi nebudou fungovat. Další informace o používání správce zařízení s Androidem v případě, že jsou služby Google Mobile Services nedostupné, najdete v tématu Jak používat Intune v prostředích bez Google Mobile Services.

Registrace zařízení Apple

Tato část popisuje možnosti registrace dostupné pro zařízení s iOS/iPadOS a Mac v Intune.

Požadavky

Před vytvořením registračního profilu pro zařízení Apple splňte následující požadavky:

• Nahrajte certifikát Apple MDM Push Certificate do Intune. Další informace najdete v tématu Získání certifikátu MDM Push Certificate.
• Pokud plánujete registrovat zařízení prostřednictvím automatizované registrace zařízení Apple, získejte token programu registrace Apple. Další informace najdete tady:
  • Získání tokenu programu registrace Apple pro iOS/iPadOS
  • Získání tokenu programu registrace Apple pro macOS

Řešení registrace Apple

Následující tabulka popisuje řešení registrace pro zařízení se systémem iOS/iPadOS a macOS.

Vlastněné společností

• Automatická registrace zařízení pro zařízení se systémem iOS/iPadOS a mac: Zaregistrujte nová nebo vymazaná zařízení zakoupená v Apple Business Manageru nebo Apple School Manageru pomocí automatizované registrace zařízení. Tato metoda automatizované registrace pro zařízení vlastněná společností aplikuje nastavení vaší organizace z Apple Business Manageru a Apple School Manageru, podporuje režim dohledu a registruje zařízení, aniž byste se jich museli dotýkat. Když si uživatelé zařízení zapnou, průvodce Apple Setup Assistant je provede nastavením a registrací.

• Apple Configurator pro zařízení se systémem iOS/iPadOS a mac: Ručně zaregistrujte nová nebo existující zařízení vlastněná společností pomocí Apple Configuratoru. Tato možnost je ideální pro hromadné registrace a v případě, že nemáte přístup k Apple School Manageru, Apple Business Manageru nebo když potřebujete kabelové připojení k síti. Musíte mít fyzický přístup k zařízením, protože se musíte připojit k zařízením mac a nakonfigurovat je. Existují dvě různé cesty, které můžete použít:

  • Registrace v Pomocníkovi s nastavením: Tato metoda vymaže zařízení a připraví ho k registraci v Apple Configuratoru. Když uživatelé zařízení zapnou, spustí se Pomocník s nastavením a pak se zařízení zaregistrují do Intune. Musíte mít přístup k sériovým číslům zařízení, protože je potřebujete zadat do Centra pro správu.
  • Přímá registrace: Tato metoda umožňuje zaregistrovat zařízení před distribucí a nevymaže zařízení. Zařízení zaregistrovaná tímto způsobem nejsou přidružená k uživateli, proto tuto možnost doporučujeme pro sdílená zařízení nebo zařízení v beznabídkovém režimu. Pokyny pro zařízení s macOS a iOS se liší, proto pro zařízení nezapomeňte použít správnou dokumentaci s postupy.

Vlastněné uživatelem

• Registrace byOD pro Počítače Mac: Povolte registraci v Intune pro osobní počítače Mac ve scénářích přineste si vlastní zařízení (BYOD). Intune licencovaní uživatelé zařízení inicializují registraci přihlášením k Portál společnosti aplikaci na svém zařízení.

• Registrace uživatelů Apple: Povolte registraci uživatelů Apple pro zařízení s iOS/iPadOS v osobním vlastnictví ve scénářích BYOD. Tato možnost dává vlastníkům zařízení možnost zabezpečit celé zařízení nebo jenom aplikace a data související s prací a udržuje spravovaná data a aplikace na samostatném svazku mimo osobní data uživatele. Registrace probíhá v aplikaci Portál společnosti.

• Registrace zařízení Apple: Povolte registraci zařízení Apple pro zařízení s iOS/iPadOS v osobním vlastnictví ve scénářích BYOD. Tato metoda poskytuje větší kontrolu nad nastavením konfigurace zařízení než registrace uživatelů. Můžete například použít podrobnější požadavky na hesla.

Registrace pro Linux

Zaměstnanci a studenti ve scénářích BYOD můžou registrovat osobní zařízení s Linuxem v Microsoft Intune. Registrace jim umožňuje přístup k pracovním prostředkům v Microsoft Edgi.

Jako správce Intune nemusíte dělat nic pro povolení registrace Linuxu v Centru pro správu. Povolí se automaticky. Když si uživatelé zaregistrují svoje zařízení s Linuxem, uvidíte je v Centru pro správu. Další informace najdete v tématu Registrace desktopových zařízení s Linuxem v Microsoft Intune.

Registrace pro Windows

Tato část popisuje řešení registrace, která jsou k dispozici pro osobní zařízení a zařízení vlastněná společností s Windows 10 nebo Windows 11.

Poznámka

Microsoft Intune registrace se podporuje na zařízeních v cloudových prostředích. V místních prostředích se podporuje spoluspráva s Configuration Manager.

Metody registrace Windows

Následující tabulka popisuje podporované metody registrace pro zařízení s Windows 10 a Windows 11.

Automatická registrace

Povolením automatické registrace pro Windows můžete zaměstnancům a studentům usnadnit registraci v Intune. Další informace najdete v tématu Povolení automatické registrace.

• Připojení ke službě Azure Active Directory s automatickou registrací: Tato možnost je podporovaná na zařízeních, která jste vy nebo uživatel zařízení získali pro pracovní použití. K registraci dochází během počátečního prostředí poté, co se uživatel přihlásí pomocí svého pracovního účtu a připojí se k Azure AD. Toto řešení je určené, když nemáte přístup k zařízení, například ve vzdálených pracovních prostředích. Když se tato zařízení zaregistrují, změní se jejich vlastnictví na firemní vlastnictví a vy získáte přístup k funkcím správy, které nejsou dostupné na zařízeních označených jako osobní.

• Windows Autopilot řízený uživatelem nebo režim samoobslužného nasazení: Automatická registrace se podporuje s prostředím windows autopilotu řízeného uživatelem nebo vlastním nasazením při počátečním nastavení počítače a je nejvhodnější pro stolní počítače, přenosné počítače a veřejné terminály. Uživatelé zařízení získají po instalaci požadovaného softwaru a zásad přístup ke stolnímu počítači. Vyžaduje se licence Azure AD Premium.

• Windows Autopilot for Hybrid Azure AD join: Automatická registrace je podporována ve Windows Autopilotu pro zařízení připojená k hybridním Azure AD. Během automatického používání windows autopilotu konektor Intune pro Službu Active Directory umožňuje zařízením ve službě Active Directory Domain Services připojit se k Azure AD a pak se automaticky zaregistrovat do Intune. Musíte nainstalovat konektor Intune pro Službu Active Directory na místní server a zaregistrovat zařízení ve Windows Autopilotu. Toto řešení registrace doporučujeme pro místní prostředí, která používají službu Active Directory Domain Services a momentálně nemůžou přesunout své identity do Azure AD.

• Spoluspráva s Configuration Manager: Spoluspráva je nejvhodnější pro prostředí, která už spravují zařízení s Configuration Manager a chtějí integrovat Microsoft Intune úlohy. Spoluspráva je přesun úloh z Configuration Manager do Intune a oznámení klientovi Windows, kdo je pro danou úlohu autoritou pro správu. Můžete například spravovat zařízení se zásadami dodržování předpisů a úlohami konfigurace zařízení v Intune a využívat Configuration Manager pro všechny ostatní funkce, jako je nasazení aplikací a zásady zabezpečení.

Vlastněné uživatelem

Automatická registrace modelu BYOD: Automatická registrace je k dispozici uživatelům ve scénářích BYOD, kteří chtějí zaregistrovat svá osobní zařízení. Zaměstnanci a studenti, kteří mají licenci Intune, můžou registraci inicializovat a automatickou registraci tak, že se do aplikace Portál společnosti přihlásí pomocí svého pracovního nebo školního účtu.

Hromadná registrace prostřednictvím zřizovacího balíčku

Připojení na pracovišti a registrace velkého počtu zařízení vlastněných společností v Azure AD a Intune bez nutnosti jejich opětovného vytvoření. Tento proces vyžaduje vytvoření zřizovacího balíčku pomocí aplikace Windows Configuration Designer. Balíček můžete použít během počátečního nastavení počítače zařízení nebo ho nahrát do zařízení v aplikaci Nastavení.

Další funkce registrace Windows

V Intune existují další možnosti registrace windows, které vám a vašim zaměstnancům pomůžou zlepšit nebo zjednodušit správu zařízení:

• Nastavení spolusprávy: Povolením nastavení spolusprávy můžete integrovat Configuration Manager úlohy s Intune. Spoluspráva umožňuje používat funkce Intune i Configuration Manager ke správě zařízení.
• Ověření CNAME: Ověřte alias serveru DNS (typu záznamu CNAME), který jste vytvořili pro přesměrování žádostí o registraci na Intune servery. Alias zjednodušuje registraci uživatelů bez Azure AD Premium a automatické registrace.
• Stránka stavu registrace: Povolte stránku Stavu registrace, aby uživatelé, kteří procházejí nastavením zařízení, mohli zobrazit a sledovat průběh instalace.

Hlášení a řešení potíží

Sledujte neúplné a opuštěné registrace uživatelů. Tato Microsoft Intune sestava vám řekne, kde se uživatelům v Portál společnosti nepodařilo dokončit proces registrace.

Dokumentaci k řešení potíží najdete v tématu Řešení potíží s registrací zařízení.

Zdroje

Další příručky k registraci jsou k dispozici v dokumentaci k Microsoft Intune. Tyto příručky zahrnují vizuální porovnání, postupy, tipy a osvědčené postupy registrace pro každou podporovanou platformu.

• Průvodce registrací Androidu
• Průvodce registrací pro iOS/iPadOS
• Průvodce registrací v Linuxu
• Průvodce registrací macOS
• Průvodce registrací Windows

Další kroky

1. Nastavení Microsoft Intune
2. Přidání, konfigurace a ochrana aplikací
3. Plánování zásad dodržování předpisů
4. Vytvoření konfiguračních profilů zařízení
5. 🡺 Registrace zařízení (jste tady)