Tijdgroepering van inschrijvingen in Microsoft Intune

Van toepassing op:

• Windows 11
• Android

Stel registratietijdgroepering in om de inrichting van apps en beleid tijdens de apparaatinschrijving te versnellen. Met registratietijdgroepering kunt u een Microsoft Entra beveiligingsgroep toevoegen in het inschrijvingsprofiel, zodat apparaten tijdens de inschrijving aan de groep worden toegevoegd in plaats van erna. Vervolgens kunt u de vereiste apps en beleidsconfiguratie toewijzen aan de groep. Dankzij deze voorkennis van de beveiligingsgroep waarvan het apparaat na de inschrijving lid wordt, kunnen Intune de configuraties snel aan het apparaat leveren bij de inschrijving, waardoor de latentie na de inschrijving wordt verminderd en de productiviteit wordt verbeterd.

Als u geen tijdgroepering voor inschrijving configureert, worden ingeschreven apparaten gegroepeerd op basis van inventariseigenschappen en groepstag-id's. Vervolgens levert Microsoft Intune apps en beleid op basis van het groepslidmaatschap. Microsoft Intune kunt alleen bepalen welke apps en beleidsregels een apparaat nodig heeft nadat het apparaat is gegroepeerd, zodat apparaten die op deze manier zijn gegroepeerd, vaak niet direct kunnen worden gebruikt. Het kan tot 8 uur na de inschrijving duren voordat apparaten alle apps en beleidsregels ontvangen.

In dit artikel vindt u een overzicht van tijdgroepering voor inschrijvingen, hoe u deze kunt configureren en functiebeperkingen.

Vereisten

Registratietijdgroepering wordt ondersteund op apparaten die zijn ingericht via:

• Windows Autopilot-apparaatvoorbereiding

• Android Enterprise

Voor Windows Autopilot moet u machtigingen hebben om windows Autopilot-apparaatvoorbereidingsbeleid te maken en te wijzigen. Als u Microsoft Entra groepen in een inschrijvingsprofiel wilt configureren, moet u beschikken over de toewijzingsmachtiging voor inschrijvingstijd voor apparaatlidmaatschap. Deze machtiging is beschikbaar voor aangepaste rollen, onder de categorie Inschrijvingsprogramma's in het Microsoft Intune-beheercentrum.

Voor Android Enterprise moet u machtigingen hebben om Android Enterprise-inschrijvingsprofielen te maken en te wijzigen. Als u Microsoft Entra groepen in een Android-inschrijvingsprofiel wilt configureren, moet u beschikken over de toewijzing van het apparaatlidmaatschap voor de inschrijvingstijd voor Android Enterprise. Deze machtiging is beschikbaar voor aangepaste rollen, onder de categorie Android Enterprise in het Microsoft Intune-beheercentrum. Registratietijdgroepering wordt ondersteund met de volgende inschrijvingsprofielen:

• Volledig beheerde Android Enterprise

• Android Enterprise-werkprofiel in bedrijfseigendom

• Toegewezen Android Enterprise

Tip

Zie Op rollen gebaseerd toegangsbeheer voor meer informatie over het maken van aangepaste rollen.

Als u Intune eigen app wilt toevoegen als eigenaar van een beveiligingsgroep, wat een vereiste stap is voor het groeperen van registratietijd, moet u voldoen aan een van de volgende vereisten:

• Moet een Microsoft Entra-groepsbeheerder of een andere rol zijn met de machtiging microsoft.directory/groups/owners/update.
• Moet een bestaande eigenaar van de Microsoft Entra beveiligingsgroep zijn.

Ten slotte moet de aangewezen groep worden geconfigureerd als bereikgroep voor de beheerder om deze te gebruiken in de configuratie van registratietijdgroepering.

Stap 1: Microsoft Entra beveiligingsgroep maken

Maak een statische Microsoft Entra beveiligingsgroep voor gebruik in inschrijvingsprofielen. Als u registratietijdgroepering wilt configureren, moet u de Intune Inrichtingsclient toevoegen als eigenaar van de beveiligingsgroep. U hoeft momenteel geen apparaten of gebruikers toe te voegen aan deze groep.

In de volgende procedure wordt beschreven hoe u een beveiligingsgroep maakt in het Microsoft Intune-beheercentrum. Zie Windows Autopilot - Een apparaatgroep maken voor meer informatie en stappen die specifiek zijn voor Windows 11.

Nadat u de registratietijdgroepering hebt geconfigureerd in het inschrijvingsprofiel, kunt u terugkeren naar deze beveiligingsgroep om apparaten toe te voegen en te verwijderen. Elke Intune beheerder met de juiste machtigingen voor beveiligingsgroepen kan de beveiligingsgroep bewerken.

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Ga naar Groepen.

3. Selecteer Alle groepen en selecteer vervolgens Nieuwe groep.

4. Voer in het scherm Nieuwe groep dat wordt geopend de volgende gegevens in:

   1. Groepstype: selecteer Beveiliging.

   2. Groepsnaam: voer een naam in voor de apparaatgroep. Voorbeeld: Gedeelde inventarisapparaten

   3. Groepsbeschrijving: voer een beschrijving in voor de apparaatgroep.

   4. Microsoft Entra rollen kunnen worden toegewezen aan de groep: Selecteer Nee.

   5. Lidmaatschapstype: Selecteer Toegewezen.

   6. Eigenaren: selecteer de koppeling Geen eigenaren geselecteerd .

   7. Voeg in het scherm Eigenaren toevoegen dat wordt geopend de Intune Inrichtingsclient toe als eigenaar:

      1. Blader door de lijst met objecten en selecteer de service-principal Intune Inrichtingsclient met AppId van f1346770-5b25-470b-88bd-d5744ab7952c. U kunt ook de zoekbalk gebruiken om Intune Inrichtingsclient te zoeken en te selecteren.

         Opmerking

         • In sommige tenants heeft de service-principal mogelijk de naam van Intune Autopilot ConfidentialClient in plaats van Intune Inrichtingsclient. Zolang de AppID van de service-principal f1346770-5b25-470b-88bd-d5744ab7952c is, is dit de juiste service-principal.

         • Als de Intune Inrichtingsclient of Intune Autopilot ConfidentialClient-service-principal met AppId van f1346770-5b25-470b-88bd-d5744ab7952c niet beschikbaar is in de lijst met objecten of tijdens het zoeken, raadpleegt u De service-principal van Intune Provisioning Client toevoegen voor de volgende stappen.

      2. Kies Selecteren.

   8. Selecteer Maken om het maken van de toegewezen apparaatgroep te voltooien.

Stap 2: registratietijdgroepering configureren in inschrijvingsprofiel

De functie voor het groeperen van registratietijd is alleen van toepassing op nieuwe apparaatinschrijvingen. Dit is niet van invloed op en is niet van toepassing op apparaten die al zijn ingeschreven.

U kunt één statische Microsoft Entra beveiligingsgroep per inschrijvingsprofiel toevoegen. Als Intune-beheerder kunt u alleen Microsoft Entra groepen toevoegen die zijn geautoriseerd in de bereikgroep voor uw Intune rol. Zorg ervoor dat bereikgroepen en groepstags zijn toegewezen aan de juiste rollen, zodat beheerders de beveiligingsgroep kunnen zien tijdens het maken van het profiel.

1. Ga in het Microsoft Intune-beheercentrum naar Apparaten.

2. Vouw Onboarding van apparaten uit en selecteer vervolgens Inschrijving.

3. Selecteer het type inschrijving dat u configureert en maak een profiel.

   • Windows: Windows Autopilot-apparaatvoorbereidingsbeleid maken

   • Android Enterprise met werkprofiel: Intune inschrijving instellen van Android Enterprise-apparaten in bedrijfseigendom met een werkprofiel

   • Toegewezen Android Enterprise: Intune inschrijving van toegewezen Android Enterprise-apparaten instellen

   • Volledig beheerde Android Enterprise: inschrijving instellen voor volledig beheerde Android Enterprise-apparaten

   Tip

   Registratietijdgroepering wordt niet ondersteund met het faseringstoken. Als u een profiel configureert voor gebruik met registratietijdgroepering, gebruikt u het token in bedrijfseigendom, volledig beheerd (standaard) of het werkprofiel in bedrijfseigendom (standaard).

Nadat u het profiel hebt opgeslagen, kunt u op elk gewenst moment terugkeren naar het profiel om de groepsinstellingen te bewerken. Updates die u op de groepsinstellingen aanbrengt, zijn niet van toepassing op apparaten die al zijn ingeschreven bij het profiel. Als u een apparaat uit de groep verwijdert, evalueert Microsoft Intune beleidsconfiguraties opnieuw en dwingt het apparaat om in te checken om nieuwe configuraties op te halen.

Stap 3: Apparaten inschrijven

Wanneer apparaten waaraan het inschrijvingsprofiel is toegewezen, worden ze lid van de Microsoft Entra beveiligingsgroep en ontvangen ze apps en beleidsregels. Nadat de beheerder of eindgebruiker de eerste installatie van het apparaat heeft voltooid, komt deze op het startscherm van het apparaat terecht. Op dit moment moeten alle beoogde apps en beleidsregels al op het apparaat staan of worden geïnstalleerd.

Als u een apparaat uit de groep verwijdert, evalueert Microsoft Intune beleidsconfiguraties opnieuw en dwingt het apparaat om in te checken om nieuwe configuraties op te halen.

Bekende problemen en beperkingen

Rapportage voor tijdgroepering van inschrijvingen is momenteel niet beschikbaar.

Problemen oplossen

Als er onverwacht gedrag optreedt, neemt u contact op met Microsoft Ondersteuning met de volgende informatie:

• Serienummer van apparaat.
• Bedrijfsportal app-logboeken, indien van toepassing, met logboek-id.
• Geschatte tijdstempel van de gebeurtenis en tijdzone waarin deze heeft plaatsgevonden.
• Schermopnamen van het Microsoft Intune-beheercentrum of apparaat.
• Gedetailleerde uitleg van het gedrag op het apparaat.