为 Windows 设备设置自动注册

适用对象

• Windows 10
• Windows 11

通过在 Microsoft Intune 中启用 自动注册 来简化设备注册。 此注册方法允许设备在加入或注册Microsoft Entra ID 时自动注册。 Intune 中的注册发生在：

• Microsoft Entra 用户将其工作或学校帐户添加到其个人设备。
• 公司拥有的设备会加入到Microsoft Entra ID。

可在以下设备管理和预配方案中使用自动注册：

• 自带设备 (BYOD) 、个人设备
• 批量注册
• 组策略
• Windows Autopilot (用户驱动和自部署)
• 使用 Configuration Manager 共同管理

本文介绍如何为个人和公司拥有的设备启用自动移动设备管理 (MDM) 注册。

先决条件

您必须具有：

• 用于自动 MDM 注册和自定义公司品牌的 Microsoft Entra ID P1 或 P2 订阅 或 高级试用版订阅 。

• Microsoft Intune 订阅。

基于角色的访问控制

若要在 Microsoft Intune 中管理自动 MDM 注册，必须分配以下角色之一：

• 策略和配置文件管理器，Microsoft Intune 内置角色
• Intune 管理员，Microsoft Entra 内置角色

有关基于角色的访问控制 (RBAC) 的详细信息，请参阅 RBAC with Microsoft Intune。

启用 Windows 自动注册

1. 登录到 Microsoft Intune 管理中心。

2. 转到 “设备>注册”。

3. 转到“ Windows ”选项卡。然后选择“ 自动注册”。

   注意

   自动 MDM 注册是一项高级Microsoft Entra 功能，可供Microsoft Entra ID Premium 订阅者使用。 如果看不到自动注册设置，请选择“ 自动 MDM 注册仅适用于Microsoft Entra ID Premium 订阅者 ”以激活免费试用版。

4. 选择 “Microsoft Intune”。

5. 配置 MDM 用户范围。 此设置为 Microsoft Entra 用户启用自动 MDM 注册，以便可以在 Intune 中管理其设备。

   

   可用的选项包括：

   • 无 - 对所有用户禁用自动 MDM 注册。 你仍可以在 Microsoft Intune 中管理设备，但用户必须启动 MDM 注册。
   • 某些 - 为所选用户启用自动 MDM 注册。
   • All - 为所有用户启用自动 MDM 注册。 其设备在加入或注册到 Microsoft Entra ID 时，会自动在 Intune 中注册。

   提示

   如果打算为 Windows BYOD 设备启用自动 MDM 注册，请针对 MDM 用户范围选择“ 全部 ”或“ 部分 ”。 然后，请确保 WIP 用户范围为 None 或 Some，并且用户不是这两个用户范围的成员。

6. 使用以下 URL 的默认值：

   • MDM 使用条款 URL
   • MDM 发现 URL
   • MDM 符合性 URL

7. 对于 WIP 用户范围，请选择“ 无”。 如果 WIP 用户范围设置为任何其他值，请确保所选用户不属于 MDM 用户范围。

   重要

   当用户同时处于 MDM 用户范围和 WIP 用户范围时：

   • 如果 MDM 用户范围位于公司拥有的设备上，则它们优先。 设备在设置工作时自动注册 Microsoft Intune。
   • 如果 WIP 用户范围自带设备，则优先使用 WIP 用户范围。 设备未在 Microsoft Intune 中注册，以便进行设备管理。 如果配置了 Purview 信息保护策略，Microsoft应用这些策略。

8. 选择“保存”。

多重身份验证

默认情况下，不会为自动注册启用双重身份验证。 建议在设备注册期间要求进行多重身份验证。 有关详细信息，请参阅 Azure 多重身份验证服务器入门。

对设备用户的支持

Microsoft Intune 用户帮助文档为员工和学生设置工作设备提供了概念信息、教程和操作指南。 可以将用户直接指向 Intune 文档，或者在开发和更新自己的设备管理文档时使用这些文章作为指导。

运行 Windows 11 或 Windows 10 的个人设备上的用户可以通过在其设备上添加其工作或学校帐户或使用 Intune 公司门户应用来自动注册。 运行早期版本的 Windows 的设备必须使用 Intune 公司门户应用进行注册。 有关详细信息，请参阅 注册 Windows 10/11 设备。

还可以让未授权的管理员登录到 Intune 管理中心，以帮助进行故障排除和支持。 有关详细信息，请参阅未经许可的管理员。

最佳做法和故障排除

• 设备用户必须通过 Microsoft Edge 访问公司门户网站，才能查看为特定版本的 Windows 分配的应用。 Google Chrome、Mozilla Firefox 和 Internet Explorer 等其他浏览器不支持这种类型的筛选。

• 注册后，如果禁用自动 MDM 注册，并且设备已加入 Microsoft Entra ID，你将在 Microsoft Intune 管理中心看到两条记录。 若要停止重复记录，请指示已加入设备上的用户访问 “设置>帐户>”访问工作或学校。 然后，他们可以使用同一帐户 进行连接 。

后续步骤

有关如何在预配设备时集成和使用自动注册的信息，请参阅：

• Windows Autopilot 方案
• 使用组策略自动注册 Windows 客户端设备
• 在 Configuration Manager 中启用共同管理

如果不在注册或预配解决方案中使用自动注册，我们建议创建一个域名服务器， (DNS) 别名 (称为 CNAME 记录类型，) 将注册请求重定向到 Intune 服务器。 有关详细信息，请参阅 启用 Intune 注册服务器的自动发现。