Registrare automaticamente un dispositivo Windows usando Criteri di gruppo

È possibile usare un Criteri di gruppo per attivare la registrazione automatica in Dispositivi mobili Gestione dispositivi (MDM) per dispositivi aggiunti al dominio Active Directory (AD).

La registrazione in Intune viene attivata da un criterio di gruppo creato in Active Directory locale e viene eseguita senza alcuna interazione dell'utente. Questo meccanismo causa-effetto consente di registrare automaticamente in massa un numero elevato di dispositivi aziendali aggiunti al dominio in Microsoft Intune. Il processo di registrazione viene avviato in background dopo l'accesso al dispositivo con l'account Microsoft Entra.

Requisiti:

Suggerimento

Per altre informazioni, vedi gli argomenti seguenti:

La registrazione automatica si basa sulla presenza di un servizio MDM e sulla registrazione Microsoft Entra per il PC. Una volta che l'organizzazione ha registrato il proprio AD con Microsoft Entra ID, un PC Windows aggiunto a un dominio viene automaticamente Microsoft Entra registrato.

Nota

In Windows 10 versione 1709, il protocollo di registrazione è stato aggiornato per verificare se il dispositivo è aggiunto a un dominio. Per informazioni dettagliate, vedere [MS-MDE2]: Mobile Device Enrollment Protocol versione 2. Per esempi, vedere la sezione 4.3.1 RequestSecurityToken della documentazione del protocollo MS-MDE2.

Quando la registrazione automatica Criteri di gruppo è abilitata, viene creata un'attività in background che avvia la registrazione MDM. L'attività usa la configurazione del servizio MDM esistente dalle informazioni Microsoft Entra dell'utente. Se è necessaria l'autenticazione a più fattori, all'utente viene richiesto di completare l'autenticazione. Dopo aver configurato la registrazione, l'utente può controllare lo stato nella pagina Impostazioni.

  • A partire da Windows 10 versione 1709, quando lo stesso criterio è configurato in Criteri di gruppo e MDM, Criteri di gruppo criterio ha la precedenza su MDM.
  • A partire da Windows 10 versione 1803, una nuova impostazione consente di modificare la precedenza in MDM. Per altre informazioni, vedere Windows Criteri di gruppo e Intune criteri MDM che vince?.

Per il funzionamento di questo criterio, è necessario verificare che il provider di servizi MDM consenta Criteri di gruppo registrazione MDM avviata per i dispositivi aggiunti a un dominio.

Configurare la registrazione automatica per un gruppo di dispositivi

Per configurare la registrazione automatica usando criteri di gruppo, seguire questa procedura:

  1. Creare un oggetto Criteri di gruppo (GPO) e abilitare l'Criteri di gruppo Configurazione> computerModelli> amministrativiComponenti>di Windows MDM>Abilita la registrazione MDM automatica usando le credenziali di Microsoft Entra predefinite.
  2. Creare un gruppo di sicurezza per i PC.
  3. Collegare l'oggetto Criteri di gruppo.
  4. Filtrare usando i gruppi di sicurezza.

Se i criteri non vengono visualizzati, ottenere l'admx più recente per la versione di Windows. Per risolvere il problema, usare le procedure seguenti. La versione più recente di MDM.admx è compatibile con le versioni precedenti.

  1. Scaricare i modelli amministrativi per la versione desiderata:

  2. Installare il pacchetto nel controller di dominio.

  3. Passare a C:\Program Files (x86)\Microsoft Group Policye individuare la sottodirectory appropriata a seconda della versione installata.

  4. Copiare la cartella PolicyDefinitions in \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.

    Se questa cartella non esiste, copiare i file nell'archivio criteri centrale per il dominio.

  5. Attendere il completamento della replica DFSR SYSVOL per rendere disponibili i criteri.

Configurare la registrazione automatica Criteri di gruppo per un singolo PC

Questa procedura è solo a scopo illustrativo per mostrare come funzionano i nuovi criteri di registrazione automatica. Non è consigliabile per l'ambiente di produzione nell'azienda.

  1. Esegui GPEdit.msc. Scegliere Start, quindi nella casella di testo digitare gpedit.

  2. In Corrispondenza migliore selezionare Modifica criteri di gruppo per avviarlo.

  3. In Criteri computer locali selezionare Modelli> amministrativiComponenti> di WindowsMDM.

  4. Fare doppio clic su Abilita registrazione MDM automatica usando le credenziali di Microsoft Entra predefinite. Selezionare Abilita, selezionare Credenziali utente nell'elenco a discesa Seleziona tipo di credenziali da usare e quindi selezionare OK.

    Criteri di registrazione automatica MDM.

    Nota

    In Windows 10 versione 1903 e successive, il file MDM.admx è stato aggiornato per includere l'opzione Device Credential per selezionare le credenziali usate per registrare il dispositivo. Il comportamento predefinito per le versioni precedenti consiste nel ripristinare le credenziali utente.

    Device Credential è supportato solo per la registrazione Microsoft Intune in scenari con pool di host multisessione di Desktop virtuale Azure o co-gestione perché la sottoscrizione Intune è incentrata sull'utente. Le credenziali utente sono supportate per i pool di host personali di Desktop virtuale Azure.

Quando si verifica un aggiornamento dei criteri di gruppo nel client, viene creata un'attività che viene pianificata per l'esecuzione ogni cinque minuti per un giorno. L'attività è denominata Pianificazione creata dal client di registrazione per la registrazione automatica in MDM da Microsoft Entra ID. Per visualizzare l'attività pianificata, avviare l'app Utilità di pianificazione.

Se è necessaria l'autenticazione a due fattori, viene richiesto di completare il processo. Ecco uno screenshot di esempio.

Screenshot della notifica di autenticazione a due fattori.

Suggerimento

È possibile evitare questo comportamento usando i criteri di accesso condizionale in Microsoft Entra ID. Per altre informazioni , vedere Che cos'è l'accesso condizionale?.

Verificare la registrazione

Per verificare l'esito positivo della registrazione in MDM, passare a Start Settings Accounts Access work or school ( Avvia>impostazioni>Account>di accesso all'azienda o all'istituto di istruzione) e quindi selezionare l'account di dominio. Selezionare Info per visualizzare le informazioni di registrazione MDM.

Screenshot delle impostazioni dell'istituto di istruzione di lavoro.

Nota

Se non viene visualizzato il pulsante Info o le informazioni di registrazione, la registrazione potrebbe non riuscire. Controllare lo stato nell'app Utilità di pianificazione e vedere Diagnosticare la registrazione MDM.

App utilità di pianificazione

Selezionare Start, quindi nella casella di testo digitare task scheduler. In Corrispondenza migliore selezionare Utilità di pianificazione per avviarla.

In Libreria utilità di pianificazione aprire Microsoft > Windows e quindi selezionare EnterpriseMgmt.

Attività pianificata di registrazione automatica.

Per visualizzare il risultato dell'attività, spostare la barra di scorrimento per visualizzare il risultato dell'ultima esecuzione. È possibile visualizzare i log nella scheda Cronologia .

Il messaggio 0x80180026 è un messaggio di errore (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED), che può essere causato dall'abilitazione del criterio Disabilita registrazione MDM .

Nota

La console GPEdit non riflette lo stato dei criteri impostati dall'organizzazione nel dispositivo. Viene usato solo dall'utente per impostare i criteri.