步骤 5 - 在 Microsoft Intune 中注册设备

在部署的最后阶段，设备注册或加入Microsoft Entra ID，在Microsoft Intune注册，并检查符合性。

在注册期间，Microsoft Intune在设备上安装移动设备管理 (MDM) 证书，使Intune能够强制实施注册配置文件、注册限制以及之前在本指南中创建的策略和配置文件。

本文内容：

• 如何为公司拥有和用户拥有的设备准备Microsoft Intune注册。
• 每个 OS 平台的注册选项。
• 注册后监视、故障排除和资源。

入门

如果这是你第一次使用 Intune 部署注册配置文件，或者你正在尝试新配置，请从小规模开始并使用分阶段方法。 将注册配置文件分配给试点组或测试组。 初始测试后，将更多用户添加到试点组。 如果一切顺利，请将注册配置文件分配给更多试点组。 有关详细信息和建议，请参阅 规划指南：步骤 5 - 创建推出计划。

在 Microsoft Entra ID 中注册是Intune管理的必需步骤。 在设备可以注册Intune之前，设备的用户必须在组织的Microsoft Entra ID中进行身份验证并建立设备标识。 此步骤授予用户对基于云的工作应用和其他资源的单一登录访问权限。 知道你正在使用的标识选项非常重要，因为它决定了你可以使用的注册方法，还决定了设备用户的登录体验。 标识选项包括：

• Microsoft Entra注册是个人和公司拥有的移动设备可用的设备标识选项。 这些设备上的用户使用其Microsoft Entra ID工作帐户登录到工作资源（如应用和 Web 浏览器）进行身份验证。
• 加入Microsoft Entra是企业拥有的 Windows 10/11 设备可用的设备标识选项，它利用共同管理选项。 这些设备上的用户使用其Microsoft Entra ID工作帐户登录到设备进行身份验证。

预注册配置

通过配置注册功能（例如注册限制、设备分类和设备注册管理器）来准备设备进行注册。 这些配置有助于改进和简化你和设备用户的注册体验，并帮助你在管理中心保持井然有序。 在创建注册配置文件之前对其进行配置。

设置可用性因操作系统平台而异。

取消注册和重置现有设备

如果设备当前已在另一个 MDM 提供程序中注册，请在将设备注册到 Intune 之前，先从现有 MDM 提供程序中注册设备。 下表显示了在注册Intune之前需要恢复出厂设置的设备。

平台	是否需要恢复出厂设置？
Android Enterprise 个人拥有的工作配置文件设备 (BYOD)	否
Android Enterprise 公司拥有的工作配置文件 (COPE)	是
Android Enterprise 完全托管 (COBO)	是
Android Enterprise 专用设备 (COSU)	是
Android 设备管理员 (DA)	否
iOS/iPadOS (BYOD)	否
iOS/iPadOS (ADE)	是
Linux	否
macOS (BYOD)	否
macOS (ADE)	是
Windows	否

---

不需要重置的设备在注册后立即开始安装Intune配置文件。 如果在注册之前未在Intune中更改以前配置的设置，则这些设置可能会保留在设备上。

添加设备注册管理器

当你需要注册和准备大量设备以供分发时，建议使用设备注册管理器。 设备注册管理器帐户最多可以注册和管理 1,000 台设备，而标准非管理员帐户只能注册 15 台设备。 设备注册管理器是非管理员Microsoft Entra用户，可以：

• 在 Intune 中注册最多 1000 个公司拥有的设备
• 登录到Intune 公司门户以获取公司应用
• 通过将特定于角色的应用部署到设备来配置对公司数据的访问权限

某些注册方法（如 Apple 自动设备注册）与设备注册管理器帐户不兼容，因此在开始设置之前，请确保所选方法受支持。

有关详细信息和限制，请参阅 添加设备注册管理器。

创建设备注册限制

在 Microsoft Intune 管理中心使用此功能可限制某些设备在 Intune 中注册。 可在 Microsoft Intune 中配置两种类型的设备注册限制：

• 设备平台限制：基于设备平台、版本、制造商或所有权类型限制设备。
• 设备限制：限制用户可以在Intune中注册的设备数。

注册限制不适用于 Linux 和某些 Windows 注册方案。 有关详细信息，请参阅 注册限制概述 。

创建条款和条件策略

可以使用Intune条款和条件策略在注册前向设备用户披露法律免责声明和合规性要求。 此策略要求设备用户在注册其设备或访问受保护的资源之前接受组织的条款和条件。 条款和条件显示在 Intune 公司门户 应用中的目标用户。

如果你正在寻找更多的控制权，包括术语的显示位置，请考虑配置Microsoft Entra使用条款。 Microsoft Entra用户登录到目标应用和资源时会显示条款，并提供比Intune条款和条件更精细的设置。

有关详细信息，请参阅 用户访问的条款和条件。

要求多重身份验证

要求用户在注册期间通过多重身份验证 (MFA) 进行身份验证。 如果需要 MFA，则想要注册设备的用户必须先使用第二个设备和两种形式的凭据进行身份验证，然后才能注册其设备。 这是一次性的条件步骤，可确保设备上的人员是他们所说的。 可以通过将条件访问策略与 MFA 策略结合使用，为 Linux 以外的所有平台启用此行为。 需要Microsoft Entra ID P1 或 P2。

有关详细信息，请参阅要求对Intune设备注册进行多重身份验证。

将设备分类到组中

在Intune中创建设备类别，例如护理或市场营销，Intune将自动将该类别中的所有设备添加到Intune中的相应设备组。

此功能可用于除 Linux 之外的所有平台。 有关详细信息，请参阅 将设备分类到组中。

Android 设备的注册

可以在 Intune 中注册个人或公司拥有的 Android 设备。 对于使用 Google 移动服务的个人和公司拥有的设备，建议使用 Android Enterprise 注册解决方案。 对于没有 Google 移动服务且从 Android 开源项目 (AOSP) 生成的公司拥有的设备，请使用 AOSP 注册方法。

先决条件

将Intune连接到托管的 Google Play 帐户。 所有 Android Enterprise 管理选项都需要连接，包括：

• Android Enterprise 个人拥有的工作配置文件
• Android Enterprise 公司拥有的工作配置文件
• Android Enterprise 完全托管设备
• 专用 Android Enterprise

Android 注册方法

以下选项卡介绍Intune支持的 Android 和 AOSP 注册选项。

公司拥有

• 具有工作配置文件的公司自有设备：注册企业拥有的设备，这些设备也已获批准供个人使用。 此方法在设备上创建单独的工作配置文件，以便用户可以在个人应用和工作应用之间轻松安全地切换。 设备用户通过 Microsoft Intune 应用注册设备。 作为管理员，你可以管理工作配置文件中的应用和数据。 此方法与 Android Enterprise 公司拥有的工作配置文件 管理解决方案保持一致。

• 完全托管：注册公司拥有的设备专用于工作，而不是个人使用。 有一个用户与已注册的设备相关联。 可以管理整个设备并强制实施 Android Enterprise 工作配置文件方法中不可用的策略控制。 此方法与 Android Enterprise 完全托管 管理解决方案一致。

• 专用设备：注册用于数字标牌、票证打印或库存管理等设备的公司拥有的单一用途或展台设备。 使用此方法，可以限制设备上可用的应用和 Web 链接，并防止用户使用超出预期范围的设备。 此方法与 Android Enterprise 专用设备 管理解决方案一致。

• 公司拥有的无用户设备：注册从 Android 开源项目 (AOSP) 且没有 Google Mobile 服务的设备作为 公司拥有的无用户设备。 这些设备没有与之关联的用户，旨在共享，例如在库或实验室中。

• 公司拥有的用户相关设备：将基于 AOSP 构建且没有 Google Mobile 服务的设备注册为 公司拥有的用户相关设备。 这些设备与单个用户关联，旨在专门用于工作。

• 零接触注册：建议对批量注册使用零接触注册，并简化远程工作者的注册。 此方法允许你提前准备公司拥有的设备，以便在用户打开它们时，它们自动预配和注册为完全托管的设备。

用户拥有

具有工作配置文件的个人拥有的设备：支持在 BYOD 方案中注册个人设备。 在注册期间，在设备上创建单独的工作配置文件，以便用户可以在个人应用和工作应用之间轻松安全地切换。 设备所有者通过 Intune 公司门户 应用注册其设备。 作为管理员，你可以管理工作配置文件中的应用和数据。 此方法与 个人拥有的设备管理解决方案的 Android Enterprise 工作配置文件 一致。

注意

Microsoft Intune还支持 Android 设备管理员管理，但将于 2024 年 8 月 30 日终止对有权访问 Google 移动服务 (GMS) 的设备的支持。 在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。 有关详细信息，请阅读 在 GMS 设备上终止对 Android 设备管理员的支持。

Apple 设备的注册

本部分介绍 Intune 中适用于 iOS/iPadOS 和 Mac 设备的注册选项。

先决条件

在为 Apple 设备创建注册配置文件之前，请完成以下先决条件：

• 将 Apple MDM 推送证书上传到Intune。 有关详细信息，请参阅 获取 MDM 推送证书。
• 如果计划通过 Apple 自动设备注册来注册设备，请获取 Apple 注册计划令牌。 有关更多信息，请参阅：
  • 获取适用于 iOS/iPadOS 的 Apple 注册计划令牌
  • 获取 macOS 的 Apple 注册计划令牌

Apple 注册解决方案

下表介绍了运行 iOS/iPadOS 和 macOS 的设备注册解决方案。

公司拥有

• iOS/iPadOS 和 Mac 设备的自动设备注册：使用自动设备注册注册从 Apple Business Manager 或 Apple School Manager 购买的新设备或擦除设备。 这种适用于公司拥有设备的自动注册方法可应用 Apple Business Manager 和 Apple School Manager 中的组织设置，支持监督模式，并且无需触摸设备即可注册设备。 当用户打开其设备时，Apple 设置助理会指导他们完成设置和注册。

• 适用于 iOS/iPadOS 和 Mac 设备的 Apple Configurator：通过 Apple Configurator 手动注册新的或现有的公司拥有的设备。 此选项非常适合批量注册以及无法访问 Apple School Manager、Apple Business Manager 或需要有线网络连接时。 你必须对设备具有物理访问权限，因为必须在 Mac 上连接和配置设备。 可以采用两种不同的路径：

  • 设置助理注册：此方法擦除设备，并准备在 Apple Configurator 中注册。 当用户打开其设备时，设置助理将开始，然后设备将Intune注册。 必须有权访问设备序列号，因为需要将它们输入管理中心。
  • 直接注册：此方法允许在分发之前注册设备，并且不会擦除设备。 以这种方式注册的设备不会与用户关联，因此我们建议将此选项用于共享设备或展台设备。 macOS 和 iOS 设备的说明有所不同，因此请务必对设备使用正确的操作方法文档。

用户拥有

• 适用于 Mac 的 BYOD 注册：在自带设备 (BYOD) 方案中为个人拥有的 Mac 启用Intune注册。 Intune许可的设备用户通过登录到其设备上的 公司门户 应用来初始化注册。

• Apple 用户注册：在 BYOD 方案中为个人拥有的 iOS/iPadOS 设备启用 Apple 用户注册。 此选项使设备所有者可以选择保护整个设备或仅保护与工作相关的应用和数据，并将托管数据和应用保存在单独的卷上，远离用户的个人数据。 注册在 公司门户 应用中进行。

• Apple 设备注册：在 BYOD 方案中为个人拥有的 iOS/iPadOS 设备启用 Apple 设备注册。 与用户注册相比，此方法可让你更好地控制设备配置设置。 例如，可以对密码应用更精细的要求。

适用于 Linux 的注册

BYOD 方案中的员工和学生可以在 Microsoft Intune 中注册个人 Linux 设备。 注册使他们能够访问 Microsoft Edge 中的工作资源。

作为Intune管理员，无需执行任何操作即可在管理中心启用 Linux 注册。 它会自动启用。 当用户注册其 Linux 设备时，你将在管理中心看到它们。 有关详细信息，请参阅在 Microsoft Intune 中注册 Linux 桌面设备。

Windows 注册

本部分介绍适用于运行Windows 10或Windows 11的个人和公司拥有的设备的注册解决方案。

注意

云环境中的设备支持Microsoft Intune注册。 本地环境中支持与 Configuration Manager 共同管理。

Windows 注册方法

下表介绍了运行 Windows 10 和 Windows 11 的设备支持的注册方法。

自动注册

通过为 Windows 启用自动注册，让员工和学生更轻松地注册Intune。 有关详细信息，请参阅 启用自动注册。

• 使用自动注册Microsoft Entra加入：此选项在由你或设备用户购买的设备上受支持，以供工作使用。 注册发生在现成体验期间，用户使用其工作帐户登录并Microsoft Entra ID加入，或者在从“设置”应用 (连接工作或学校帐户时选择加入设备Microsoft Entra ID，如 Windows 设备注册指南 - 最终用户任务) 中所述。 此解决方案适用于无权访问设备（例如在远程工作环境中）。 当这些设备注册时，其设备所有权将更改为公司拥有，并且你可以访问标记为个人拥有的设备上不可用的管理功能。

• Windows Autopilot 用户驱动或自部署模式：Windows Autopilot 用户驱动 (支持自动注册，适用于Microsoft Entra混合加入和Microsoft Entra加入方案，) 或自部署 (Microsoft Entra 仅) 配置文件加入，并且可用于公司拥有的台式机、笔记本电脑和展台。 安装所需的软件和策略后，设备用户将获得桌面访问权限。 需要Microsoft Entra ID P1 或 P2 许可证。 建议仅使用Microsoft Entra联接，这样可以提供最佳用户体验，并且更易于配置。 在仍需要本地 Active Directory的情况下，可以使用Microsoft Entra混合联接，但必须安装适用于 Active Directory 的 Intune 连接器，并且设备必须能够通过本地网络或 VPN 连接连接到域控制器。

• 与 Configuration Manager 共同管理：共同管理最适合已使用Configuration Manager管理设备并希望集成Microsoft Intune工作负载的环境。 共同管理是将工作负载从Configuration Manager移动到Intune，并告知 Windows 客户端该特定工作负载的管理权限。 例如，可以在 Intune 中使用符合性策略和设备配置工作负载来管理设备，并将Configuration Manager用于所有其他功能，例如应用部署和安全策略。

• 使用组策略注册：组策略可用于触发Microsoft Entra混合联接设备的自动注册，而无需进行任何用户交互。 注册过程在后台 (通过计划任务) 在Microsoft Entra ID同步的用户登录设备后启动。 建议在设备Microsoft Entra混合联接且不使用Configuration Manager进行管理的环境中使用此方法。

BYOD 注册

在 BYOD 方案中，想要注册其个人设备而不将其加入域的用户可以使用这些选项。

• 连接工作或学校帐户：用户转到其设备上的“设置”应用并添加其工作或学校帐户。 他们添加其工作电子邮件地址，而无需选择域加入选项。
• 使用 Intune 公司门户 应用注册：用户使用其工作帐户登录到 Intune 公司门户 应用，以注册其设备。 他们可以从 Microsoft Store 安装公司门户。
• 通过 Microsoft 365 应用登录进行注册：用户使用其工作帐户从未托管和未注册的设备登录到 Microsoft 365 应用或服务（例如Exchange Online）。 在登录提示下，选择“ 允许我的组织管理我的设备”。

在所有这些 BYOD 方案中，Intune Microsoft Entra注册和管理设备。 如果在Intune自动注册配置中为某个用户启用了 MDM 和 MAM 用户范围，则 MAM 用户范围将优先，并且不会通过Intune注册和管理设备。

通过预配包批量注册

在 Microsoft Entra ID 和 Intune 中加入并注册大量公司拥有的设备，而无需重新创建映像。 此过程要求使用 Windows 配置Designer应用创建预配包。 可以在设备 OOBE 期间应用包，也可以在“设置”应用中将其上传到设备上。

更多 Windows 注册功能

Intune中还有其他 Windows 注册选项，可帮助改进或简化你和员工的设备管理体验：

• 共同管理设置：启用共同管理设置以将Configuration Manager工作负载与Intune集成。 通过共同管理，可以使用Intune和Configuration Manager功能来管理设备。
• CNAME 验证：) 创建的 DNS) 别名 ( (DNS) 别名验证域名服务器，以将注册请求重定向到Intune服务器。 别名简化了在没有Microsoft Entra ID P1 或 P2 和自动注册的情况下用户的注册。
• 注册状态页：启用“注册状态”页，以便完成设备设置的人员可以查看和跟踪安装进度。

报告和故障排除

跟踪 不完整和已放弃的用户注册。 此Microsoft Intune报告告知用户在公司门户未能完成注册过程的位置。

有关故障排除文档，请参阅 排查设备注册问题。

资源

Microsoft Intune文档中提供了其他注册指南。 这些指南包括每个受支持平台的可视化比较、操作方法步骤、提示和注册最佳做法。

• Android 注册指南
• iOS/iPadOS 注册指南
• Linux 注册指南
• macOS 注册指南
• Windows 注册指南

后续步骤

1. 设置 Microsoft Intune
2. 添加、配置和保护应用
3. 规划合规性策略
4. 创建设备配置文件
5. 🡺 注册设备 (你在这里)