Поделиться через


Шаг 5. Регистрация устройств в Microsoft Intune

На заключительном этапе развертывания устройства регистрируются или присоединяются к ним с идентификатором Microsoft Entra, регистрируются в Microsoft Intune и проверяются на соответствие требованиям.

Схема, на которой показано начало работы с Microsoft Intune с помощью шага 5, на котором регистрируется устройство под управлением Intune.

Во время регистрации Microsoft Intune устанавливает на устройство сертификат управления мобильными устройствами (MDM), который позволяет Intune применять профили регистрации, ограничения регистрации, а также политики и профили, созданные ранее в этом руководстве.

В этой статье описываются:

  • Как подготовить регистрацию в Microsoft Intune для корпоративных и пользовательских устройств.
  • Параметры регистрации для каждой платформы ОС.
  • Мониторинг после регистрации, устранение неполадок и ресурсы.

Начало работы

Если вы впервые развертываете профили регистрации в Intune или пытаетесь создать новую конфигурацию, начните с малого и используйте поэтапный подход. Назначьте профиль регистрации пилотной или тестовой группе. После первоначального тестирования добавьте дополнительных пользователей в пилотную группу. Если все идет хорошо, назначьте профиль регистрации нескольким пилотным группам. Дополнительные сведения и рекомендации см. в руководстве по планированию. Шаг 5. Создание плана развертывания.

Регистрация в Microsoft Entra ID является обязательным шагом для управления Intune. Прежде чем устройство сможет зарегистрироваться в Intune, пользователь устройства должен пройти проверку подлинности и установить удостоверение устройства в идентификаторе Microsoft Entra вашей организации. На этом шаге пользователю предоставляется доступ единого входа к облачным рабочим приложениям и другим ресурсам. Важно знать, какой параметр удостоверения вы используете, так как он определяет методы регистрации, которые вы можете использовать, а также определяет интерфейс входа для пользователя устройства. Параметры удостоверений включают:

  • Регистрация Microsoft Entra — это параметр удостоверения устройства, доступный для личных и корпоративных мобильных устройств. Пользователи на этих устройствах проходят проверку подлинности, войдя в рабочие ресурсы, такие как приложения и веб-браузеры, с помощью рабочей учетной записи Microsoft Entra ID.
  • Присоединение к Microsoft Entra — это вариант удостоверения устройства, доступный для корпоративных устройств с Windows 10/11, использующих варианты совместного управления. Пользователи на этих устройствах проходят проверку подлинности, войдите на устройство с помощью рабочей учетной записи Microsoft Entra ID.

Конфигурации предварительной регистрации

Подготовьте устройства к регистрации, настроив такие функции регистрации, как ограничения регистрации, классификация устройств и диспетчеры регистрации устройств. Эти конфигурации помогают улучшить и упростить процесс регистрации для вас и пользователей устройств, а также обеспечить организованность в Центре администрирования. Настройте их перед созданием профиля регистрации.

Настройка доступности зависит от платформы ОС.

Отмена регистрации и сброс существующих устройств

Если устройства в настоящее время зарегистрированы в другом поставщике MDM, отмените регистрацию устройств у существующего поставщика MDM, прежде чем регистрировать их в Intune. В следующей таблице показаны устройства, которым требуется сброс до заводских настроек перед регистрацией в Intune.

Платформа Требуется сброс до заводских настроек?
Личные устройства Android Enterprise с рабочим профилем (BYOD) Нет
Android Enterprise — корпоративный рабочий профиль (COPE) Да
Полностью управляемая среда Android Enterprise (COBO) Да
Android Enterprise — выделенные устройства (COSU) Да
Администратор устройства Android (DA) Нет
iOS/iPadOS (BYOD) Нет
iOS/iPadOS (ADE) Да
Linux Нет
macOS (BYOD) Нет
macOS (ADE) Да
Windows Нет

Устройства, для которых не требуется сброс, начинают установку профилей Intune сразу после регистрации. Ранее настроенные параметры могут оставаться на устройствах, если вы не изменили их в Intune до регистрации.

Добавление менеджеров регистрации устройств

Мы рекомендуем использовать диспетчеры регистрации устройств, когда вам нужно зарегистрировать и подготовить большое количество устройств для распространения. Учетная запись диспетчера регистрации устройств может зарегистрировать и управлять до 1000 устройств, а стандартная учетная запись без прав администратора может зарегистрировать только 15 устройств. Менеджер регистрации устройств — это пользователь Microsoft Entra, не являющийся администратором, который может:

  • Регистрация до 1000 корпоративных устройств в Intune
  • Войдите на корпоративный портал Intune, чтобы получить корпоративные приложения
  • Настройка доступа к корпоративным данным путем развертывания приложений для конкретных ролей на устройствах

Некоторые методы регистрации, такие как автоматическая регистрация устройств Apple, несовместимы с учетной записью диспетчера регистрации устройств, поэтому убедитесь, что выбранный метод поддерживается, прежде чем приступать к настройке.

Дополнительные сведения и ограничения см. в статье Добавление диспетчеров регистрации устройств.

Создание ограничений регистрации устройств

Используйте эту функцию в Центре администрирования Microsoft Intune, чтобы запретить регистрацию определенных устройств в Intune. В Microsoft Intune можно настроить два типа ограничений регистрации устройств:

  • Ограничения платформы устройств. Ограничьте устройства на основе платформы устройства, версии, производителя или типа владения.
  • Ограничения на количество устройств. Ограничьте количество устройств, которые пользователь может зарегистрировать в Intune.

Ограничения регистрации недоступны для Linux и некоторых сценариев регистрации Windows. Дополнительные сведения см. в статье Общие сведения об ограничениях регистрации .

Создание политики условий

Вы можете использовать политику условий Intune для раскрытия юридических отказов и требований к соответствию пользователям устройств перед регистрацией. Эта политика требует, чтобы пользователь устройств принял условия вашей организации, прежде чем зарегистрировать свое устройство или получить доступ к защищенным ресурсам. Условия отображаются для целевых пользователей в приложении корпоративного портала Intune.

Если вам нужен дополнительный контроль, включая расположение терминов, рассмотрите возможность настройки условий использования Microsoft Entra. Условия Microsoft Entra отображаются пользователям при входе в целевые приложения и ресурсы и предлагают более детализированные параметры, чем условия Intune.

Дополнительные сведения см. в разделе Условия доступа пользователей.

Включите обязательную многофакторную проверку подлинности.

Требовать от пользователей проверки подлинности с помощью многофакторной проверки подлинности (MFA) во время регистрации. Если требуется MFA, пользователи, желающие зарегистрировать устройства, должны пройти проверку подлинности с помощью второго устройства и двух форм учетных данных, прежде чем они смогут зарегистрировать свое устройство. Это однократный условный шаг, который гарантирует, что пользователь на устройстве является тем, за кого он говорит. Это поведение можно включить для всех платформ, кроме Linux, с помощью политики условного доступа с политикой MFA. Требуется идентификатор Microsoft Entra P1 или P2.

Дополнительные сведения см. в статье Требование многофакторной проверки подлинности для регистрации устройств Intune.

Разделение устройств на группы

Создайте в Intune категорию устройств, например уход за больными или маркетинг, и Intune автоматически добавит все устройства, падающие в эту категорию, в соответствующую группу устройств в Intune.

Эта функция доступна для всех платформ, кроме Linux. Дополнительные сведения см. в разделе Классификация устройств по группам.

Регистрация для устройств Android

Вы можете зарегистрировать личные или корпоративные устройства Android в Intune. Мы рекомендуем решения для регистрации Android Enterprise для личных и корпоративных устройств, использующих мобильные службы Google. Для корпоративных устройств, которые не имеют Google Mobile Services и созданы на основе проекта Android с открытым исходным кодом (AOSP), используйте методы регистрации AOSP.

Предварительные условия

Подключите Intune к управляемой учетной записи Google Play. Подключение требуется для всех параметров управления Android Enterprise, включая:

  • Личные устройства Android Enterprise с рабочим профилем
  • Корпоративный рабочий профиль Android Enterprise
  • Полностью управляемый Android Enterprise
  • Выделенные устройства Android Enterprise

Методы регистрации устройств Android

На следующих вкладках описаны параметры регистрации Android и AOSP, поддерживаемые Intune.

  • Корпоративные устройства с рабочим профилем. Зарегистрируйте корпоративные устройства, которые также утверждены для личного использования. Этот метод создает отдельный рабочий профиль на устройстве, чтобы пользователь легко и безопасно переключаться между своими личными и рабочими приложениями. Пользователь устройства регистрирует устройство с помощью приложения Microsoft Intune. Администратор может управлять приложениями и данными в рабочем профиле. Этот метод согласуется с корпоративным решением управления рабочими профилями Android Enterprise .

  • Полностью управляемое. Регистрация корпоративных устройств исключительно для работы, а не для личного использования. С зарегистрированным устройством связан один пользователь. Вы можете управлять всем устройством и применять элементы управления политикой, недоступные с помощью метода рабочего профиля Android Enterprise. Этот метод соответствует полностью управляемому решению управления Android Enterprise .

  • Выделенное устройство. Регистрация корпоративных устройств, устройств одноразового использования или киосков, используемых для таких вещей, как цифровые вывески, печать билетов или управление запасами. С помощью этого метода можно ограничить приложения и веб-ссылки, доступные на устройстве, и запретить пользователям использовать устройство за пределами предполагаемой области. Этот метод соответствует решению для управления выделенными устройствами Android Enterprise .

  • Корпоративные устройства без пользователей. Зарегистрируйте устройства, созданные на основе проекта Android с открытым исходным кодом (AOSP) и отсутствующие службы Google Mobile, в качестве корпоративных устройств без пользователей. С этими устройствами не связан пользователь, и они предназначены для общего доступа, например в библиотеке или лаборатории.

  • Корпоративные устройства, связанные с пользователями. Регистрация устройств, созданных на основе AOSP и отсутствующих служб Google Mobile, в качестве корпоративных устройств, связанных с пользователем. Эти устройства связаны с одним пользователем и предназначены исключительно для рабочего использования.

  • Регистрация без касания. Мы рекомендуем использовать регистрацию с нулевым касанием для массовой регистрации и для упрощения регистрации удаленных сотрудников. Этот метод позволяет заранее подготовить корпоративные устройства, чтобы они автоматически подготавливали и регистрировались как полностью управляемые устройства, когда пользователи включили их.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Регистрация для устройств Apple

В этом разделе описаны варианты регистрации, доступные для устройств iOS/iPadOS и Mac в Intune.

Предварительные условия

Прежде чем создавать профиль регистрации для устройств Apple, выполните следующие предварительные требования.

Решения для регистрации Apple

В следующей таблице описаны решения регистрации для устройств под управлением iOS/iPadOS и macOS.

  • Автоматическая регистрация устройств для устройств iOS/iPadOS и Mac. Регистрация новых или очищаемых устройств, приобретенных у Apple Business Manager или Apple School Manager, с автоматической регистрацией устройств. Этот метод автоматической регистрации для корпоративных устройств применяет параметры вашей организации из Apple Business Manager и Apple School Manager, поддерживает режим контроля и регистрирует устройства без необходимости касаться их. Когда пользователи включают свои устройства, помощник по настройке Apple поможет им выполнить настройку и регистрацию.

  • Конфигуратор Apple для устройств iOS/iPadOS и Mac: вручную зарегистрируйте новые или существующие корпоративные устройства с помощью Apple Configurator. Этот вариант идеально подходит для массовой регистрации, а также в случаях, когда у вас нет доступа к Apple School Manager, Apple Business Manager или когда требуется подключение к проводной сети. У вас должен быть физический доступ к устройствам, так как необходимо подключаться к устройствам и настраивать их на компьютере Mac. Вы можете выбрать два разных пути:

    • Регистрация в помощнике по настройке. Этот метод очищает устройство и подготавливает его к регистрации в Apple Configurator. Когда пользователи включают свои устройства, начинается помощник по настройке, а затем устройства регистрятся в Intune. У вас должен быть доступ к серийным номерам устройств, так как необходимо ввести их в Центр администрирования.
    • Прямая регистрация. Этот метод позволяет зарегистрировать устройство до распространения и не очищает устройство. Устройства, зарегистрированные таким образом, не связаны с пользователем, поэтому мы рекомендуем использовать этот параметр для общих устройств или устройств киоска. Инструкции отличаются для устройств macOS и iOS, поэтому используйте правильную документацию по устройствам.

Регистрация для Linux

Сотрудники и учащиеся в сценариях BYOD могут регистрировать личные устройства Linux в Microsoft Intune. Регистрация позволяет им получать доступ к рабочим ресурсам в Microsoft Edge.

Администратору Intune не нужно ничего делать, чтобы включить регистрацию Linux в Центре администрирования. Он включается автоматически. Когда пользователи регистрят свои устройства Linux, вы увидите их в Центре администрирования. Дополнительные сведения см. в статье Регистрация настольных устройств Linux в Microsoft Intune.

Регистрация для Windows

В этом разделе описываются решения для регистрации, доступные для личных и корпоративных устройств под управлением Windows 10 или Windows 11.

Примечание.

Регистрация Microsoft Intune поддерживается на устройствах в облачных средах. Совместное управление с Configuration Manager поддерживается в локальных средах.

Методы регистрации Windows

В следующей таблице описаны поддерживаемые методы регистрации для устройств под управлением Windows 10 и Windows 11.

Упростите регистрацию в Intune для сотрудников и учащихся, включив автоматическую регистрацию для Windows. Дополнительные сведения см. в разделе Включение автоматической регистрации.

  • Присоединение к Microsoft Entra с автоматической регистрацией. Этот вариант поддерживается на устройствах, приобретенных вами или пользователем устройства для использования на работе. Регистрация происходит во время встроенного взаимодействия, после того, как пользователь входит со своей рабочей учетной записью и присоединяется к идентификатору Microsoft Entra или при подключении к рабочей или учебной учетной записи из приложения "Параметры" (как описано в руководстве по регистрации устройств с Windows — задачи конечного пользователя). Это решение предназначено для случаев, когда у вас нет доступа к устройству, например в удаленных рабочих средах. Когда эти устройства регистрируются, их владелец устройства меняется на корпоративный, и вы получите доступ к функциям управления, которые недоступны на устройствах, помеченных как личные.

  • Режим windows Autopilot, управляемый пользователем или самостоятельное развертывание. Автоматическая регистрация поддерживается с профилями Windows Autopilot, управляемыми пользователем (как для гибридного присоединения к Microsoft Entra, так и для присоединения к Microsoft Entra) или с самостоятельным развертыванием (только для присоединения к Microsoft Entra) и может использоваться для корпоративных настольных компьютеров, ноутбуков и киосков. Пользователи устройств получают доступ к рабочему столу после установки необходимого программного обеспечения и политик. Требуется лицензия Microsoft Entra ID P1 или P2. Рекомендуется использовать только присоединение к Microsoft Entra, которое обеспечивает лучший пользовательский интерфейс и упрощает настройку. В сценариях, когда по-прежнему требуется локальная служба Active Directory, можно использовать гибридное соединение Microsoft Entra, но необходимо установить соединитель Intune для Active Directory, а устройства должны иметь возможность подключаться к контроллеру домена через локальную сеть или VPN-подключение.

  • Совместное управление с Помощью Configuration Manager. Совместное управление лучше всего подходит для сред, которые уже управляют устройствами с помощью Configuration Manager и хотят интегрировать рабочие нагрузки Microsoft Intune. Совместное управление — это перемещение рабочих нагрузок из Configuration Manager в Intune и указание клиенту Windows, кто является центром управления для этой конкретной рабочей нагрузки. Например, вы можете управлять устройствами с помощью политик соответствия требованиям и рабочих нагрузок конфигурации устройств в Intune, а также использовать Configuration Manager для всех других функций, таких как развертывание приложений и политики безопасности.

  • Регистрация с помощью групповой политики. Групповую политику можно использовать для активации автоматической регистрации устройств с гибридным присоединением Microsoft Entra без какого-либо взаимодействия с пользователем. Процесс регистрации начинается в фоновом режиме (с помощью запланированной задачи) после входа пользователя, синхронизированного с идентификатором Microsoft Entra, на устройстве. Этот метод рекомендуется использовать в средах, где устройства являются гибридными, присоединенными к Microsoft Entra и не управляемыми с помощью Configuration Manager.

Дополнительные функции регистрации Windows

В Intune есть другие варианты регистрации Windows, которые помогут вам и вашим сотрудникам улучшить или упростить процесс управления устройствами:

  • Параметры совместного управления. Включите параметры совместного управления для интеграции рабочих нагрузок Configuration Manager с Intune. Совместное управление позволяет использовать функции Intune и Configuration Manager для управления устройствами.
  • Проверка CNAME. Проверьте созданный псевдоним сервера доменных имен (DNS) (тип записи CNAME), чтобы перенаправить запросы на регистрацию на серверы Intune. Псевдоним упрощает регистрацию пользователей при отсутствии Идентификатора Microsoft Entra P1 или P2 и автоматической регистрации.
  • Страница состояния регистрации. Включите страницу состояние регистрации, чтобы пользователи, которые проходят настройку устройства, могли просматривать и отслеживать ход установки.

Отчет и устранение неполадок

Отслеживание неполных и отмененных регистраций пользователей. В этом отчете Microsoft Intune показано, где на корпоративном портале пользователям не удалось завершить процесс регистрации.

Документация по устранению неполадок см. в разделе Устранение неполадок с регистрацией устройств.

Ресурсы

Дополнительные руководства по регистрации доступны в документации по Microsoft Intune. Эти руководства включают визуальные сравнения, практические инструкции, советы и рекомендации по регистрации для каждой поддерживаемой платформы.

Дальнейшие действия

  1. Настройка Microsoft Intune
  2. Добавление, настройка и защита приложений
  3. Планирование политик соответствия требованиям
  4. Создание профилей конфигурации устройств
  5. 🡺 Регистрация устройств (вы находитесь здесь)