Определение устройства как корпоративного
Область применения: Android, iOS/iPadOS, Windows 10, Windows 11
Убедитесь, что корпоративные устройства помечены как корпоративные, как только они регистрируются, заранее добавив свои корпоративные идентификаторы в центре администрирования Microsoft Intune. Преимущество управления корпоративными устройствами заключается в том, что они обеспечивают больше возможностей управления устройствами, чем личные устройства. Например, Microsoft Intune может собирать полный номер телефона и данные о приложении с корпоративного устройства, но могут собирать только частичный номер телефона и данные о приложении для личных устройств. Чтобы добавить корпоративные идентификаторы в Microsoft Intune, можно отправить файл корпоративных идентификаторов в Центр администрирования или ввести каждый идентификатор отдельно.
Не нужно добавлять корпоративные идентификаторы для всех развертываний. Во время регистрации Intune автоматически назначает корпоративное состояние устройствам, которые присоединяются к Microsoft Entra через:
- Учетная запись диспетчера регистрации устройств (все платформы)
- Программа регистрации устройств Apple, например Apple School Manager, Apple Business Manager или Apple Configurator (только для iOS/iPadOS);
- Windows Autopilot
- Совместное управление с Microsoft Intune и групповой политикой (GPO)
- Виртуальный рабочий стол Azure
- Автоматическая регистрация управления мобильными устройствами (MDM) с помощью пакета подготовки
- Регистрация мобильных устройств Knox
- Управление Android Enterprise:
- Управление проектом Android с открытым исходным кодом (AOSP):
Microsoft Intune помечает устройства, которые регистрируются с помощью Microsoft Entra, как личные.
Управление доступом на основе ролей
Чтобы добавить корпоративные идентификаторы в Microsoft Intune, необходимо назначить одну из следующих ролей:
- Диспетчер политик и профилей, встроенная роль Microsoft Intune
- администратор Intune, встроенная роль Microsoft Entra
Эти роли могут считывать, удалять, создавать и обновлять идентификаторы корпоративных устройств.
Разрешение | Описание |
---|---|
Чтение | Просмотр IMEI или серийных номеров, используемых в качестве идентификаторов корпоративных устройств. |
Удалить | Удаление IMEI или серийных номеров, используемых в качестве идентификаторов корпоративных устройств. |
Создание | Создание новых идентификаторов корпоративных устройств или импорт CSV-файла, содержащего список идентификаторов корпоративных устройств. |
Обновление | Изменение IMEI или серийных номеров, используемых в качестве идентификаторов корпоративных устройств. |
Вы также можете создать настраиваемую роль Intune для пользователей, управляющих корпоративными идентификаторами, и назначить разрешения для идентификаторов корпоративных устройств. Дополнительные сведения о встроенных и пользовательских ролях см. в разделе RBAC с Microsoft Intune.
Поддерживаемые корпоративные идентификаторы
Прежде чем приступить к работе, определите тип корпоративных идентификаторов, которые нужно добавить. Вы можете добавить один тип корпоративного идентификатора на CSV-файл. Устройства, зарегистрированные без корпоративных идентификаторов, помечаются как личные. Intune поддерживает следующие идентификаторы:
- IMEI
- Серийный номер
- Серийный номер, производитель и модель (только Для Windows)
Поддержка по платформам
В следующей таблице показаны идентификаторы, поддерживаемые для каждой платформы. Когда устройство с соответствующим идентификатором регистрируется, Intune помечает его как корпоративное.
Платформа | Номер IMEI | Серийный номер | Серийный номер, модель, производитель |
---|---|---|---|
Windows 11 | Не поддерживается | Не поддерживается | ✔️ Поддерживается в Windows 11 версии 22H2 и более поздних версий с KB5035942 (сборки ОС 22621.3374 и 22631.3374). |
Windows 10 | Не поддерживается | Не поддерживается | ✔️ Поддерживается в Windows 10 версии 22H2 и более поздних версий с KB5039299 (сборка ОС 19045.4598). |
iOS/iPadOS | ✔️ В некоторых случаях поддерживается. Дополнительные сведения см. в статье Добавление корпоративных идентификаторов Android и iOS. |
✔️ Мы рекомендуем по возможности использовать серийный номер для идентификации iOS/iPadOS. |
Не поддерживается |
macOS | Не поддерживается | ✔️ | Не поддерживается |
Администратор устройств Android | ✔️ Поддерживается в Android 9 и более ранних версиях. |
✔️ Поддерживается в Android 9 и более ранних версиях. |
Не поддерживается |
Android Enterprise, личный рабочий профиль | ✔️ Поддерживается в Android 11 и более ранних версиях. |
✔️ Поддерживается в Android 11 и более ранних версиях. |
Не поддерживается |
Шаг 1. Создание CSV-файла
Создайте список корпоративных идентификаторов и сохраните его как CSV-файл. Вы можете добавить до 5000 строк или 5 МБ данных на файл в зависимости от того, что происходит раньше. Не добавляйте заголовки.
Важно!
Помните, что на CSV-файл следует добавлять только один тип корпоративного идентификатора.
Добавление корпоративных идентификаторов Android и iOS
Чтобы добавить корпоративные идентификаторы для платформ Android и iOS/iPadOS, выведите один IMEI или серийный номер на строку, как показано в следующем примере.
01234567890123,device details
02234567890123,device details
Прежде чем добавлять его в файл, удалите из серийного номера все точки (если применимо). Вы можете добавить сведения об устройстве после каждого корпоративного идентификатора. Сведения ограничены 128 символами и предназначены только для администратора. Они не отображаются на устройстве.
Устройства Android и iOS/iPadOS могут иметь несколько номеров IMEI. Intune считывает и записывает один IMEI на зарегистрированное устройство. При импорте IMEI, который отличается от того, который уже Intune, Intune помечает устройство как личное. При импорте нескольких номеров IMEI для одного устройства идентификаторы, которые не были зарегистрированы, отображаются с неизвестным состоянием регистрации.
Серийные номера Android не гарантируются уникальными или присутствуют. Обратитесь к поставщику устройства, чтобы узнать, является ли серийный номер надежным идентификатором устройства. Серийные номера, передаваемые устройством для Intune, могут не совпадать с идентификатором, отображаемым на устройстве в параметрах Android или сведениях об устройстве Android. Проверьте тип серийного номера, предоставленный изготовителем устройства.
Добавление корпоративных идентификаторов Windows
Важно!
Корпоративные идентификаторы поддерживаются для устройств под управлением Windows 10 KB5039299 (со сборкой ОС 19045.4598) и более поздних версий. Если вы регистрируете Windows 10 устройствах с более ранней сборкой, не используйте функцию корпоративного идентификатора.
Чтобы добавить корпоративные идентификаторы для корпоративных устройств под управлением Windows 11, укажите изготовителя, модель и серийный номер для каждого устройства, как показано в следующем примере.
Microsoft,surface 5,01234567890123
Lenovo,thinkpad t14,02234567890123
Прежде чем добавлять его в файл, удалите из серийного номера все точки (если применимо).
После добавления корпоративных идентификаторов Windows Intune помечают устройства, которые соответствуют всем трем идентификаторам, как корпоративные, и помечают все остальные устройства регистрации в клиенте как личные. Это означает, что все, что вы исключаете из корпоративных идентификаторов Windows, помечается как личное. Чтобы изменить тип владения после регистрации, необходимо вручную настроить его в Центре администрирования.
В следующей таблице перечислены типы владения, предоставляемые устройствам при регистрации без корпоративных идентификаторов и при регистрации с корпоративными идентификаторами.
Типы регистрации Windows | Без корпоративных идентификаторов | С корпоративными идентификаторами |
---|---|---|
Устройство регистрируется с помощью Windows Autopilot | Корпоративные | Корпоративные |
Устройство регистрируется через объект групповой политики или автоматическую регистрацию из Configuration Manager для совместного управления | Корпоративные | Корпоративные |
Устройство регистрируется с помощью пакета массовой подготовки. | Корпоративные | Корпоративные |
Зарегистрированный пользователь использует учетную запись диспетчера регистрации устройств. | Корпоративные | Корпоративные |
Устройство регистрируется с помощью Виртуального рабочего стола Azure (не гибридного) | Корпоративные | Корпоративные |
Автоматическая регистрация MDM с помощью Microsoft Entra присоединения во время установки Windows | Корпоративный, но будет заблокирован личным ограничением регистрации | Личные, если они не определены корпоративными идентификаторами |
Автоматическая регистрация MDM с помощью Microsoft Entra присоединения из параметров Windows | Корпоративный, но будет заблокирован личным ограничением регистрации | Личные, если они не определены корпоративными идентификаторами |
Автоматическая регистрация MDM с Microsoft Entra присоединением или гибридным присоединением Entra через Windows Autopilot для существующих устройств | Корпоративный, но будет заблокирован личным ограничением регистрации | Личные, если они не определены корпоративными идентификаторами |
Профиль подготовки устройства Autopilot | Корпоративный, но будет заблокирован личным ограничением регистрации | Личные, если они не определены корпоративными идентификаторами |
Автоматическая регистрация MDM с помощью добавления рабочей учетной записи из параметров Windows | Персональный | Личные, если они не определены корпоративными идентификаторами |
Параметр "Только регистрация MDM" в разделе "Параметры Windows" | Персональный | Личные, если они не определены корпоративными идентификаторами |
Регистрация с помощью приложения Корпоративный портал Intune | Персональный | Личные, если они не определены корпоративными идентификаторами |
Регистрация через приложение Microsoft 365, которая происходит, когда пользователи выбирают параметр Разрешить моей организации управлять устройством во время входа в приложение. | Персональный | Личные, если они не определены корпоративными идентификаторами |
Корпоративные идентификаторы Windows могут изменять тип владения только в том случае, если кто-то добавляет их в Microsoft Intune. Если у вас нет корпоративных идентификаторов Windows в Intune или вы удаляете их, устройства, присоединенные к домену Microsoft Entra, помечаются как корпоративные. Сюда входят устройства, зарегистрированные с помощью автоматической регистрации MDM с помощью:
Шаг 2. Добавление корпоративных идентификаторов в Центр администрирования
Вы можете отправить CSV-файл с корпоративными идентификаторами или вручную ввести корпоративные идентификаторы в центре администрирования Microsoft Intune. Запись вручную недоступна для корпоративных идентификаторов Windows.
Отправка CSV-файла
Отправьте CSV-файл, созданный на шаге 1. Создание CSV-файла , чтобы добавить корпоративные идентификаторы.
Войдите в Центр администрирования Microsoft Intune.
Перейдите в разделРегистрацияустройств>.
Выберите вкладку Корпоративные идентификаторы устройств .
Выберите Добавить>отправить CSV-файл.
Выберите тип идентификатора. Доступны следующие параметры:
- IMEI
- Серийный
- Производитель, модель и серийный номер (только Для Windows)
В разделе Импорт идентификаторов найдите и выберите CSV-файл.
Подождите, пока Intune проверит CSV-файл. Когда на экране отображается общее число идентификаторов устройств, проверка завершается.
Совет
В случае сбоя импорта проверка, что CSV-файл соответствует требованиям к форматированию.
Нажмите кнопку Добавить, а затем найдите уведомление об успешном выполнении в верхней части Центра администрирования, чтобы убедиться, что файл импортирован.
Примечание.
Если CSV-файл содержит корпоративные идентификаторы, которые уже находятся в Intune, но имеют разные сведения об устройстве, появится всплывающее окно с запросом на просмотр повторяющихся идентификаторов. Чтобы разрешить дубликаты, выберите идентификаторы, которые нужно перезаписать в Intune. Затем нажмите кнопку ОК , чтобы добавить идентификаторы. Intune сравнивает только первую копию каждого идентификатора.
Ввод корпоративных идентификаторов вручную
Применимо к Android и iOS/iPadOS
Вручную добавьте корпоративные идентификаторы в Центр администрирования Microsoft Intune.
В Центре администрирования перейдите в раздел Регистрация устройств>.
Выберите вкладку Корпоративные идентификаторы устройств .
Нажмите кнопку Добавить>ввод вручную.
Выберите тип идентификатора. Доступны следующие параметры:
- IMEI
- Серийный
Введите корпоративный идентификатор и сведения. Завершив ввод идентификаторов, нажмите кнопку Добавить.
Выберите Обновить , чтобы перезагрузить список. Добавленные корпоративные идентификаторы теперь должны быть видны.
Примечание.
Если ваши записи содержат корпоративные идентификаторы, которые уже находятся в Intune, но имеют разные сведения об устройстве, появится всплывающее окно с запросом на просмотр повторяющихся идентификаторов. Чтобы разрешить дубликаты, выберите идентификаторы, которые нужно перезаписать. Затем нажмите кнопку ОК , чтобы добавить идентификаторы. Intune сравнивает только первую копию каждого идентификатора.
Проверка состояния регистрации
Следите за импортированными устройствами, чтобы убедиться, что они зарегистрированы в Intune. После добавления корпоративных идентификаторов можно просмотреть состояние устройств в Центре администрирования:
- Зарегистрировано. Регистрация устройства завершена.
- Не связался. Устройство не связалось со службой Microsoft Intune.
- Не применимо
- Сбой: устройство не завершило регистрацию.
Удаление корпоративных идентификаторов
- В Центре администрирования перейдите в раздел Регистрация устройств>.
- Выберите вкладку Корпоративные идентификаторы устройств .
- Выберите идентификаторы устройств, которые требуется удалить, и нажмите Удалить.
- Подтвердите удаление.
Удаление корпоративного идентификатора для зарегистрированного устройства не приводит к изменению владения устройством.
Смена владения устройством
Чтобы изменить идентификацию устройства после регистрации, измените его параметр владения в Центре администрирования. Свойство владения отображается для каждой записи устройства в Microsoft Intune.
Перейдите в раздел Устройства>Все устройства.
Выберите устройство:
Выберите Свойства.
В разделе Владение устройством выберите Личный или Корпоративный.
При изменении типа владения устройством с корпоративного на личное Intune удаляет всю информацию о приложении, ранее собранную с этого устройства, в течение семи дней. Если применимо, Intune также удаляет записанный номер телефона. Intune по-прежнему собирает список приложений, установленных ИТ-администратором на устройстве, и частичный номер телефона.
При смене владельца устройства iOS/iPad или Android с личного на корпоративное, через приложение Корпоративный портал отправляется push-уведомление, информирующее пользователя устройства об изменении. Чтобы настроить push-уведомления, перейдите в разделНастройкаадминистрирования> клиента. Дополнительные сведения см. в разделе Конфигурация корпоративного портала.
Блокировка персональных устройств
Чтобы предотвратить регистрацию всех личных устройств, настройте ограничение платформы регистрации для личных устройств.
Чтобы подтвердить причину сбоя регистрации, перейдите в разделСбои регистрацииустройств> и просмотрите таблицу в разделе Причина сбоя. В этом случае причина заключается в том, что ограничение регистрации не выполнено. Выберите причину для открытия сведений о сбое.
Известные проблемы и ограничения
Идентификаторы корпоративных устройств Windows поддерживаются только для устройств под управлением:
Windows 10 версии 22H2 (сборка ОС 19045.4598) или более поздней.
Windows 11 версии 22H2 (сборка ОС 22621.3374) или более поздней.
Windows 11 версии 23H2 (сборка ОС 22631.3374) или более поздней.
В более ранних версиях не удается отобразить модель и свойство производителя. В результате свойство отображается в Центре администрирования как Неизвестно.
Вы можете отправить до 10 CSV-файлов для корпоративных идентификаторов Windows в Центре администрирования. Если требуется отправить дополнительные данные, рекомендуется использовать PowerShell или Microsoft Intune API Graph для добавления корпоративных идентификаторов.
В настоящее время Windows не поддерживает сведения об устройстве в CSV-файлах.
Регистрация пользователей Apple с корпоративными идентификаторами регистрации Корпоративный портал и учетной записью, управляемыми пользователем, в настоящее время не поддерживается, так как MDM не получает доступ к серийному номеру устройства, IMEI и UDID.
Ресурсы
Дополнительные сведения об идентификаторах международного мобильного оборудования см. в статье 3GGPP TS 23.003.
Чтобы получить сведения об устройстве, необходимые для корпоративных идентификаторов Windows, можно использовать следующий скрипт:
(Get-WmiObject -Class Win32_ComputerSystem | ForEach-Object {$_.Manufacturer, $_.Model, (Get-WmiObject -Class Win32_BIOS).SerialNumber -join ',' })
Чтобы запросить сведения об устройстве удаленно, используйте следующий скрипт:
Get-CimInstance -ClassName Win32_ComputerSystem | ForEach-Object {$_.Manufacturer, $_.Model, (Get-CimInstance -ClassName Win32_BIOS).SerialNumber -join ','}
Дополнительные сведения о поиске серийного номера см. в разделе Поиск серийного номера Surface.