Шаг 5. Регистрация устройств в Microsoft Intune

На заключительном этапе развертывания устройства регистрируются или присоединяются к Microsoft Entra идентификатору, регистрируются в Microsoft Intune и проверяются на соответствие требованиям.

Схема, на которой показано начало работы с Microsoft Intune с шагом 5, который представляет собой регистрацию устройств, управляемых Intune.

Во время регистрации Microsoft Intune устанавливает на устройство сертификат управления мобильными устройствами (MDM), который позволяет Intune применять профили регистрации, ограничения регистрации, а также политики и профили, созданные ранее в этом руководстве.

В этой статье описываются:

  • Как подготовить регистрацию в Microsoft Intune для корпоративных и пользовательских устройств.
  • Параметры регистрации для каждой платформы ОС.
  • Мониторинг после регистрации, устранение неполадок и ресурсы.

Начало работы

Если вы впервые развертываете профили регистрации в Intune или пытаетесь создать новую конфигурацию, начните с малого и используйте поэтапный подход. Назначьте профиль регистрации пилотной или тестовой группе. После первоначального тестирования добавьте дополнительных пользователей в пилотную группу. Если все идет хорошо, назначьте профиль регистрации нескольким пилотным группам. Дополнительные сведения и рекомендации см. в руководстве по планированию. Шаг 5. Создание плана развертывания.

Регистрация в Microsoft Entra идентификаторе является обязательным шагом для управления Intune. Прежде чем устройство сможет зарегистрироваться в Intune, пользователь устройства должен пройти проверку подлинности и установить удостоверение устройства в идентификаторе Microsoft Entra вашей организации. На этом шаге пользователю предоставляется доступ единого входа к облачным рабочим приложениям и другим ресурсам. Важно знать, какой параметр удостоверения вы используете, так как он определяет методы регистрации, которые вы можете использовать, а также определяет интерфейс входа для пользователя устройства. Параметры удостоверений включают:

  • Microsoft Entra регистрация — это вариант удостоверения устройства, доступный для личных и корпоративных мобильных устройств. Пользователи на этих устройствах проходят проверку подлинности, войдя в рабочие ресурсы, такие как приложения и веб-браузеры, с помощью рабочей учетной записи идентификатора Microsoft Entra.
  • Microsoft Entra присоединено — это вариант удостоверения устройства, доступный для корпоративных Windows 10/11 устройств, использующих варианты совместного управления. Пользователи на этих устройствах проходят проверку подлинности, войдите на устройство с помощью рабочей учетной записи идентификатора Microsoft Entra.

Конфигурации предварительной регистрации

Подготовьте устройства к регистрации, настроив такие функции регистрации, как ограничения регистрации, классификация устройств и диспетчеры регистрации устройств. Эти конфигурации помогают улучшить и упростить процесс регистрации для вас и пользователей устройств, а также обеспечить организованность в Центре администрирования. Настройте их перед созданием профиля регистрации.

Настройка доступности зависит от платформы ОС.

Отмена регистрации и сброс существующих устройств

Если устройства в настоящее время зарегистрированы в другом поставщике MDM, отмените регистрацию устройств у существующего поставщика MDM, прежде чем регистрировать их в Intune. В следующей таблице показаны устройства, которым требуется сброс до заводских настроек перед регистрацией в Intune.

Платформа Требуется сброс до заводских настроек?
Личные устройства Android Enterprise с рабочим профилем (BYOD) Нет
Android Enterprise — корпоративный рабочий профиль (COPE) Да
Полностью управляемая среда Android Enterprise (COBO) Да
Android Enterprise — выделенные устройства (COSU) Да
Администратор устройства Android (DA) Нет
iOS/iPadOS (BYOD) Нет
iOS/iPadOS (ADE) Да
Linux Нет
macOS (BYOD) Нет
macOS (ADE) Да
Windows Нет

Устройства, для которых не требуется сброс, начинают установку профилей Intune сразу после регистрации. Ранее настроенные параметры могут оставаться на устройствах, если вы не изменили их в Intune до регистрации.

Добавление менеджеров регистрации устройств

Мы рекомендуем использовать диспетчеры регистрации устройств, когда вам нужно зарегистрировать и подготовить большое количество устройств для распространения. Учетная запись диспетчера регистрации устройств может зарегистрировать и управлять до 1000 устройств, а стандартная учетная запись без прав администратора может зарегистрировать только 15 устройств. Диспетчер регистрации устройств — это неадминистратор Microsoft Entra пользователь, который может:

  • Регистрация до 1000 корпоративных устройств в Intune
  • Войдите в Корпоративный портал Intune, чтобы получить корпоративные приложения
  • Настройка доступа к корпоративным данным путем развертывания приложений для конкретных ролей на устройствах

Некоторые методы регистрации, такие как автоматическая регистрация устройств Apple, несовместимы с учетной записью диспетчера регистрации устройств, поэтому убедитесь, что выбранный метод поддерживается, прежде чем приступать к настройке.

Дополнительные сведения и ограничения см. в статье Добавление диспетчеров регистрации устройств.

Создание ограничений регистрации устройств

Используйте эту функцию в Центре администрирования Microsoft Intune, чтобы запретить регистрацию определенных устройств в Intune. В Microsoft Intune можно настроить два типа ограничений регистрации устройств:

  • Ограничения платформы устройств. Ограничьте устройства на основе платформы устройства, версии, производителя или типа владения.
  • Ограничения на количество устройств. Ограничьте количество устройств, которые пользователь может зарегистрировать в Intune.

Ограничения регистрации недоступны для Linux и некоторых сценариев регистрации Windows. При настройке ограничений для личных устройств Android Enterprise рекомендуется использовать нашу платформу конфигурации безопасности Android. Он включает ограничения устройств, необходимые для базовой безопасности (уровень 1), который является минимальной конфигурацией безопасности, которую мы рекомендуем использовать на личных устройствах, и высокий уровень безопасности (уровень 3), который предназначен для устройств, используемых конкретными пользователями или группами, которые имеют уникальный высокий риск.

Дополнительные сведения см. в разделе:

Создание политики условий

Используйте политику условий Intune, чтобы раскрывать юридические заявления об отказе от ответственности и требования к соответствию пользователям устройств перед регистрацией. Эта политика требует, чтобы пользователь устройств принял условия вашей организации, прежде чем зарегистрировать свое устройство или получить доступ к защищенным ресурсам. Условия отображаются целевым пользователям в приложении Корпоративный портал Intune.

Если вам нужен дополнительный контроль, включая то, где отображаются термины, рассмотрите возможность настройки Microsoft Entra условий использования. Microsoft Entra условия отображаются пользователям при входе в целевые приложения и ресурсы и предлагают более детализированные параметры, чем условия Intune.

Дополнительные сведения см. в разделе Условия доступа пользователей.

Включите обязательную многофакторную проверку подлинности.

Требовать от пользователей проверки подлинности с помощью многофакторной проверки подлинности (MFA) во время регистрации. Если требуется MFA, пользователи, желающие зарегистрировать устройства, должны пройти проверку подлинности с помощью второго устройства и двух форм учетных данных, прежде чем они смогут зарегистрировать свое устройство. Это однократный условный шаг, который гарантирует, что пользователь на устройстве является тем, за кого он говорит. Это поведение можно включить для всех платформ, кроме Linux, с помощью политики условного доступа с политикой MFA. требуется Microsoft Entra идентификатор P1 или P2.

Дополнительные сведения см. в статье Требование многофакторной проверки подлинности для регистрации устройств Intune.

Разделение устройств на группы

Создайте в Intune категорию устройств, например уход за больными или маркетинг, и Intune автоматически добавит все устройства, падающие в эту категорию, в соответствующую группу устройств в Intune.

Эта функция доступна для всех платформ, кроме Linux. Дополнительные сведения см. в разделе Классификация устройств по группам.

Регистрация для устройств Android

Вы можете зарегистрировать личные или корпоративные устройства Android в Intune. Мы рекомендуем решения для регистрации Android Enterprise для личных и корпоративных устройств, использующих мобильные службы Google. Для корпоративных устройств, которые не имеют Google Mobile Services и созданы на основе проекта Android с открытым исходным кодом (AOSP), используйте методы регистрации AOSP.

Предварительные требования

Подключите Intune к управляемой учетной записи Google Play. Подключение требуется для всех параметров управления Android Enterprise, включая:

  • Личные устройства Android Enterprise с рабочим профилем
  • Корпоративный рабочий профиль Android Enterprise
  • Полностью управляемый Android Enterprise
  • Выделенные устройства Android Enterprise

Методы регистрации устройств Android

На следующих вкладках описаны параметры регистрации Android и AOSP, поддерживаемые Intune.

  • Корпоративные устройства с рабочим профилем. Зарегистрируйте корпоративные устройства, которые также утверждены для личного использования. Этот метод создает отдельный рабочий профиль на устройстве, чтобы пользователь легко и безопасно переключаться между своими личными и рабочими приложениями. Пользователь устройства регистрирует устройство через приложение Microsoft Intune. Администратор может управлять приложениями и данными в рабочем профиле. Этот метод согласуется с корпоративным решением управления рабочими профилями Android Enterprise .

  • Полностью управляемое. Регистрация корпоративных устройств исключительно для работы, а не для личного использования. С зарегистрированным устройством связан один пользователь. Вы можете управлять всем устройством и применять элементы управления политикой, недоступные с помощью метода рабочего профиля Android Enterprise. Этот метод соответствует полностью управляемому решению управления Android Enterprise .

  • Выделенное устройство. Регистрация корпоративных устройств, устройств одноразового использования или киосков, используемых для таких вещей, как цифровые вывески, печать билетов или управление запасами. С помощью этого метода можно ограничить приложения и веб-ссылки, доступные на устройстве, и запретить пользователям использовать устройство за пределами предполагаемого область. Этот метод соответствует решению для управления выделенными устройствами Android Enterprise .

  • Корпоративные устройства без пользователей. Зарегистрируйте устройства, созданные на основе проекта Android с открытым исходным кодом (AOSP) и отсутствующие службы Google Mobile, в качестве корпоративных устройств без пользователей. С этими устройствами не связан пользователь, и они предназначены для общего доступа, например в библиотеке или лаборатории.

  • Корпоративные устройства, связанные с пользователями. Регистрация устройств, созданных на основе AOSP и отсутствующих служб Google Mobile, в качестве корпоративных устройств, связанных с пользователем. Эти устройства связаны с одним пользователем и предназначены исключительно для рабочего использования.

  • Регистрация без касания. Мы рекомендуем использовать регистрацию с нулевым касанием для массовой регистрации и для упрощения регистрации удаленных сотрудников. Этот метод позволяет заранее подготовить корпоративные устройства, чтобы они автоматически подготавливали и регистрировались как полностью управляемые устройства, когда пользователи включили их.

Примечание.

Microsoft Intune также поддерживает управление администраторами устройств Android, но 30 августа 2024 г. прекращается поддержка на устройствах с доступом к Google Mobile Services (GMS). После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

Регистрация для устройств Apple

В этом разделе описаны варианты регистрации, доступные для устройств iOS/iPadOS и Mac в Intune.

Предварительные требования

Прежде чем создавать профиль регистрации для устройств Apple, выполните следующие предварительные требования.

Решения для регистрации Apple

В следующей таблице описаны решения регистрации для устройств под управлением iOS/iPadOS и macOS.

  • Автоматическая регистрация устройств для устройств iOS/iPadOS и Mac. Регистрация новых или очищаемых устройств, приобретенных у Apple Business Manager или Apple School Manager, с автоматической регистрацией устройств. Этот метод автоматической регистрации для корпоративных устройств применяет параметры вашей организации из Apple Business Manager и Apple School Manager, поддерживает режим контроля и регистрирует устройства без необходимости касаться их. Когда пользователи включают свои устройства, помощник по настройке Apple поможет им выполнить настройку и регистрацию.

  • Конфигуратор Apple для устройств iOS/iPadOS и Mac: вручную зарегистрируйте новые или существующие корпоративные устройства с помощью Apple Configurator. Этот вариант идеально подходит для массовой регистрации, а также в случаях, когда у вас нет доступа к Apple School Manager, Apple Business Manager или когда требуется подключение к проводной сети. У вас должен быть физический доступ к устройствам, так как необходимо подключаться к устройствам и настраивать их на компьютере Mac. Вы можете выбрать два разных пути:

    • Регистрация в помощнике по настройке. Этот метод очищает устройство и подготавливает его к регистрации в Apple Configurator. Когда пользователи включают свои устройства, начинается помощник по настройке, а затем устройства регистрятся в Intune. У вас должен быть доступ к серийным номерам устройств, так как необходимо ввести их в Центр администрирования.
    • Прямая регистрация. Этот метод позволяет зарегистрировать устройство до распространения и не очищает устройство. Устройства, зарегистрированные таким образом, не связаны с пользователем, поэтому мы рекомендуем использовать этот параметр для общих устройств или устройств киоска. Инструкции отличаются для устройств macOS и iOS, поэтому используйте правильную документацию по устройствам.

Регистрация для Linux

Сотрудники и учащиеся в сценариях BYOD могут регистрировать личные устройства Linux в Microsoft Intune. Регистрация позволяет им получать доступ к рабочим ресурсам в Microsoft Edge.

Администратору Intune не нужно ничего делать, чтобы включить регистрацию Linux в Центре администрирования. Он включается автоматически. Когда пользователи регистрят свои устройства Linux, вы увидите их в Центре администрирования. Дополнительные сведения см. в разделе Регистрация настольных устройств Linux в Microsoft Intune.

Регистрация для Windows

В этом разделе описываются решения для регистрации, доступные для личных и корпоративных устройств, работающих под управлением Windows 10 или Windows 11.

Примечание.

Microsoft Intune регистрация поддерживается на устройствах в облачных средах. Совместное управление с Configuration Manager поддерживается в локальных средах.

Методы регистрации Windows

В следующей таблице описаны поддерживаемые методы регистрации для устройств под управлением Windows 10 и Windows 11.

Упростите регистрацию в Intune для сотрудников и учащихся, включив автоматическую регистрацию для Windows. Дополнительные сведения см. в разделе Включение автоматической регистрации.

  • Microsoft Entra присоединение с автоматической регистрацией. Этот вариант поддерживается на устройствах, приобретенных вами или пользователем устройства для использования на работе. Регистрация происходит во время работы со своей рабочей учетной записью и присоединением Microsoft Entra идентификатора или путем присоединения устройства к Microsoft Entra идентификатору при подключении рабочей или учебной учетной записи из приложения "Параметры" (как описано в руководстве по регистрации устройств Windows — задачи конечных пользователей). Это решение предназначено для случаев, когда у вас нет доступа к устройству, например в удаленных рабочих средах. Когда эти устройства регистрируются, их владелец устройства меняется на корпоративный, и вы получите доступ к функциям управления, которые недоступны на устройствах, помеченных как личные.

  • Режим windows Autopilot, управляемый пользователем или самостоятельное развертывание. Автоматическая регистрация поддерживается с профилями Windows Autopilot, управляемыми пользователем (как для сценариев гибридного присоединения, Microsoft Entra так и Microsoft Entra присоединения) или с самостоятельным развертыванием (только для Microsoft Entra присоединения) и может использоваться для корпоративных настольных компьютеров, ноутбуков и киосков. Пользователи устройств получают доступ к рабочему столу после установки необходимого программного обеспечения и политик. Требуется лицензия Microsoft Entra С идентификатором P1 или P2. Рекомендуется использовать только Microsoft Entra соединения, что обеспечивает лучший пользовательский интерфейс и упрощает настройку. В сценариях, где локальная служба Active Directory по-прежнему требуется, можно использовать Microsoft Entra гибридное соединение, но необходимо установить соединитель Intune для Active Directory, а устройства должны иметь возможность подключаться к контроллеру домена через локальную сеть или VPN-подключение.

  • Совместное управление с Configuration Manager. Совместное управление лучше всего подходит для сред, которые уже управляют устройствами с Configuration Manager и хотят интегрировать Microsoft Intune рабочие нагрузки. Совместное управление — это перемещение рабочих нагрузок из Configuration Manager в Intune и указание клиенту Windows, кто является центром управления для этой конкретной рабочей нагрузки. Например, вы можете управлять устройствами с помощью политик соответствия требованиям и рабочих нагрузок конфигурации устройств в Intune, а также использовать Configuration Manager для всех других функций, таких как развертывание приложений и политики безопасности.

  • Регистрация с помощью групповая политика. Групповая политика можно использовать для активации автоматической регистрации Microsoft Entra гибридных присоединенных устройств без какого-либо взаимодействия с пользователем. Процесс регистрации начинается в фоновом режиме (с помощью запланированной задачи) после входа пользователя, синхронизированного с Microsoft Entra идентификатором, на устройстве. Этот метод рекомендуется использовать в средах, где устройства Microsoft Entra гибридным присоединением и не управляются с помощью Configuration Manager.

Дополнительные функции регистрации Windows

В Intune есть другие варианты регистрации Windows, которые помогут вам и вашим сотрудникам улучшить или упростить процесс управления устройствами:

  • Параметры совместного управления. Включите параметры совместного управления для интеграции Configuration Manager рабочих нагрузок с Intune. Совместное управление позволяет использовать функции Intune и Configuration Manager для управления устройствами.
  • Проверка CNAME. Проверьте созданный псевдоним сервера доменных имен (DNS) (тип записи CNAME), чтобы перенаправить запросы на регистрацию на серверы Intune. Псевдоним упрощает регистрацию пользователей при отсутствии Microsoft Entra идентификатора P1 или P2 и автоматической регистрации.
  • Страница состояния регистрации. Включите страницу состояние регистрации, чтобы пользователи, которые проходят настройку устройства, могли просматривать и отслеживать ход установки.

Отчет и устранение неполадок

Отслеживание неполных и отмененных регистраций пользователей. В этом Microsoft Intune отчете показано, где в Корпоративный портал пользователям не удалось завершить процесс регистрации.

Документация по устранению неполадок см. в разделе Устранение неполадок с регистрацией устройств.

Ресурсы

Дополнительные руководства по регистрации доступны в документации по Microsoft Intune. Эти руководства включают визуальные сравнения, практические инструкции, советы и рекомендации по регистрации для каждой поддерживаемой платформы.

Дальнейшие действия

  1. Настройка Microsoft Intune
  2. Добавление, настройка и защита приложений
  3. Планирование политик соответствия требованиям
  4. Создание профилей конфигурации устройств
  5. 🡺 Регистрация устройств (вы находитесь здесь)