步骤 5 - 在 Microsoft Intune 中注册设备

在部署的最后阶段，设备在 Azure Active Directory (Azure AD) 中注册或加入，在 Microsoft Intune 中注册，并检查符合性。

在注册期间，Microsoft Intune在设备上安装移动设备管理 (MDM) 证书，使Intune能够强制实施注册配置文件、注册限制以及之前在本指南中创建的策略和配置文件。

本文内容：

• 如何为公司拥有和用户拥有的设备准备Microsoft Intune注册。
• 每个 OS 平台的注册选项。
• 注册后监视、故障排除和资源。

入门

如果这是你第一次使用 Intune 部署注册配置文件，或者你正在尝试新配置，请从小规模开始并使用分阶段方法。 将注册配置文件分配给试点组或测试组。 初始测试后，将更多用户添加到试点组。 如果一切顺利，请将注册配置文件分配给更多试点组。 有关详细信息和建议，请参阅 规划指南：步骤 5 - 创建推出计划。

在 Azure AD 中注册是Intune管理的必需步骤。 在设备可以注册Intune之前，设备的用户必须在组织的 Azure AD 中进行身份验证并建立设备标识。 此步骤授予用户对基于云的工作应用和其他资源的单一登录访问权限。 知道你正在使用的标识选项非常重要，因为它决定了你可以使用的注册方法，还决定了设备用户的登录体验。 标识选项包括：

• Azure AD 注册 是可用于个人和公司拥有的移动设备的设备标识选项。 这些设备上的用户使用其 Azure AD 工作帐户登录到工作资源（如应用和 Web 浏览器）进行身份验证。
• 已加入 Azure AD 是企业拥有的 Windows 10/11 设备可用的设备标识选项，它利用共同管理选项。 这些设备上的用户使用其 Azure AD 工作帐户登录到设备，从而进行身份验证。

预注册配置

通过配置注册功能（例如注册限制、设备分类和设备注册管理器）来准备设备进行注册。 这些配置有助于改进和简化你和设备用户的注册体验，并帮助你在管理中心保持井然有序。 在创建注册配置文件之前对其进行配置。

设置可用性因操作系统平台而异。

取消注册和重置现有设备

如果设备当前已在另一个 MDM 提供程序中注册，请在将设备注册到 Intune 之前，先从现有 MDM 提供程序中注册设备。 下表显示了在注册Intune之前需要恢复出厂设置的设备。

平台	是否需要恢复出厂设置？
Android Enterprise 个人拥有的工作配置文件设备 (BYOD)	否
Android Enterprise 公司拥有的工作配置文件 (COPE)	是
Android Enterprise 完全托管 (COBO)	是
Android Enterprise 专用设备 (COSU)	是
Android 设备管理员 (DA)	否
iOS/iPadOS	是
Linux	否
macOS	是
Windows	否

---

不需要重置的设备在注册后立即开始安装Intune配置文件。 如果在注册之前未在Intune中更改这些设置，则以前配置的设置可能会保留在设备上。

添加设备注册管理器

当你需要注册和准备大量设备以供分发时，建议使用设备注册管理器。 设备注册管理器帐户最多可以注册和管理 1，000 台设备，而标准非管理员帐户只能注册 15 台设备。 设备注册管理员是非管理员 Azure AD 用户，可以：

• 在 Intune 中注册最多 1000 个公司拥有的设备
• 登录到Intune 公司门户以获取公司应用
• 通过将特定于角色的应用部署到设备来配置对公司数据的访问权限

某些注册方法（如 Apple 自动设备注册）与设备注册管理器帐户不兼容，因此在开始设置之前，请确保所选方法受支持。

有关详细信息和限制，请参阅 添加设备注册管理器。

创建设备注册限制

在 Microsoft Intune 管理中心使用此功能可限制某些设备在 Intune 中注册。 可在 Microsoft Intune 中配置两种类型的设备注册限制：

• 设备平台限制：基于设备平台、版本、制造商或所有权类型限制设备。
• 设备限制：限制用户可以在Intune中注册的设备数。

注册限制不适用于 Linux 和某些 Windows 注册方案。 为 Android Enterprise 个人设备设置限制时，建议利用 Android 安全配置框架。 它包括基本安全 (级别 1) （我们建议在个人设备上使用的最低安全配置）所需的设备限制，以及高安全性 (级别 3) （用于特定用户或组具有唯一高风险的设备）。

有关更多信息，请参阅：

• 什么是注册限制？
• 建议的设备限制

创建条款和条件策略

使用Intune条款和条件策略在注册前向设备用户披露法律免责声明和合规性要求。 此策略要求设备用户在注册其设备或访问受保护的资源之前接受组织的条款和条件。 条款和条件显示在 Intune 公司门户 应用中的目标用户。

如果要寻求更多控制（包括条款的显示位置），请考虑 ) 使用条款配置 Azure Active Directory (Azure AD。 当用户登录到目标应用和资源时，Azure AD 条款会显示给用户，并提供比Intune条款和条件更精细的设置。

有关详细信息，请参阅 用户访问的条款和条件。

要求多重身份验证

要求用户在注册期间通过多重身份验证 (MFA) 进行身份验证。 如果需要 MFA，想要注册设备的用户必须先使用第二个设备和两种形式的凭据进行身份验证，然后才能注册其设备。 这是一次性的条件步骤，可确保设备上的人员是他们所说的。 可以通过将条件访问策略与 MFA 策略结合使用，为 Linux 以外的所有平台启用此行为。 需要 Azure AD Premium。

有关详细信息，请参阅要求对Intune设备注册进行多重身份验证。

将设备分类到组中

在Intune中创建设备类别，例如护理或市场营销，Intune将自动将该类别中的所有设备添加到Intune中的相应设备组。

此功能可用于除 Linux 之外的所有平台。 有关详细信息，请参阅 将设备分类到组中。

Android 设备的注册

可以在 Intune 中注册个人或公司拥有的 Android 设备。 对于使用 Google 移动服务的个人和公司拥有的设备，建议使用 Android Enterprise 注册解决方案。 对于没有 Google 移动服务且从 Android 开源项目 (AOSP) 生成的公司拥有的设备，请使用 AOSP 注册方法。

先决条件

将Intune连接到托管的 Google Play 帐户。 所有 Android Enterprise 管理选项都需要连接，包括：

• Android Enterprise 个人拥有的工作配置文件
• Android Enterprise 公司拥有的工作配置文件
• Android Enterprise 完全托管设备
• 专用 Android Enterprise

Android 注册方法

以下选项卡介绍Intune支持的 Android 和 AOSP 注册选项。

公司拥有

• 具有工作配置文件的公司自有设备：注册企业拥有的设备，这些设备也已获批准供个人使用。 此方法在设备上创建单独的工作配置文件，以便用户可以在个人应用和工作应用之间轻松安全地切换。 设备用户通过 Microsoft Intune 应用注册设备。 作为管理员，你可以管理工作配置文件中的应用和数据。 此方法与 Android Enterprise 公司拥有的工作配置文件 管理解决方案一致。

• 完全托管：注册公司拥有的设备专用于工作，而不是个人使用。 有一个用户与已注册的设备相关联。 可以管理整个设备并强制实施 Android Enterprise 工作配置文件方法中不可用的策略控制。 此方法与 Android Enterprise 完全托管 管理解决方案一致。

• 专用设备：注册用于数字标牌、票证打印或库存管理等设备的公司拥有的一次性使用或展台设备。 使用此方法，可以限制设备上可用的应用和 Web 链接，并防止用户使用超出预期范围的设备。 此方法与 Android Enterprise 专用设备 管理解决方案一致。

• 公司拥有的无用户设备：注册从 Android 开源项目 (AOSP) 且没有 Google Mobile 服务的设备作为 公司拥有的无用户设备。 这些设备没有与之关联的用户，旨在共享，例如在库或实验室中。

• 公司拥有的用户相关设备：将基于 AOSP 构建且没有 Google Mobile 服务的设备注册为 公司拥有的用户相关设备。 这些设备与单个用户关联，旨在专门用于工作。

• 零接触注册：建议对批量注册使用零接触注册，并简化远程工作者的注册。 此方法允许你提前准备公司拥有的设备，以便在用户打开它们时，它们自动预配和注册为完全托管的设备。

用户拥有

具有工作配置文件的个人拥有的设备：支持在 BYOD 方案中注册个人设备。 在注册期间，在设备上创建单独的工作配置文件，以便用户可以在个人应用和工作应用之间轻松安全地切换。 设备所有者通过 Intune 公司门户 应用注册其设备。 作为管理员，你可以管理工作配置文件中的应用和数据。 此方法与 个人拥有的设备管理解决方案的 Android Enterprise 工作配置文件 一致。

注意

Android Enterprise 设备管理功能取代了 Android 设备管理员功能，因此我们建议尽可能使用 Android Enterprise 管理解决方案。 对于以下情况，我们仍建议使用 Android 设备管理员管理解决方案 ：

• 适用于经过 Microsoft Teams 认证的 Android 设备。
• 当设备位于 Android Enterprise 不可用的区域时。
• 当设备无法与 Google 移动服务集成时，AOSP 注册选项将不起作用。 有关在 Google 移动服务不可用时使用 Android 设备管理员的详细信息，请参阅如何在没有 Google 移动服务的环境中使用Intune。

Apple 设备的注册

本部分介绍 Intune 中适用于 iOS/iPadOS 和 Mac 设备的注册选项。

先决条件

在为 Apple 设备创建注册配置文件之前，请完成以下先决条件：

• 将 Apple MDM 推送证书上传到Intune。 有关详细信息，请参阅 获取 MDM 推送证书。
• 如果计划通过 Apple 自动设备注册来注册设备，请获取 Apple 注册计划令牌。 有关更多信息，请参阅：
  • 获取适用于 iOS/iPadOS 的 Apple 注册计划令牌
  • 获取 macOS 的 Apple 注册计划令牌

Apple 注册解决方案

下表介绍了运行 iOS/iPadOS 和 macOS 的设备注册解决方案。

公司拥有

• 适用于 iOS/iPadOS 和 Mac 设备的自动设备注册：使用自动设备注册来注册从 Apple Business Manager 或 Apple School Manager 购买的新设备或擦除设备。 这种适用于公司拥有设备的自动注册方法可应用 Apple Business Manager 和 Apple School Manager 中的组织设置，支持监督模式，并且无需触摸设备即可注册设备。 当用户打开其设备时，Apple 设置助理会指导他们完成设置和注册。

• 适用于 iOS/iPadOS 和 Mac 设备的 Apple Configurator：通过 Apple Configurator 手动注册新的或现有的公司拥有的设备。 此选项非常适合批量注册以及无法访问 Apple School Manager、Apple Business Manager 或需要有线网络连接时。 你必须对设备具有物理访问权限，因为必须在 Mac 上连接和配置设备。 可以采用两种不同的路径：

  • 设置助理注册：此方法擦除设备，并准备在 Apple Configurator 中注册。 当用户打开其设备时，设置助理将开始，然后设备将Intune注册。 必须有权访问设备序列号，因为需要将它们输入管理中心。
  • 直接注册：此方法允许在分发之前注册设备，并且不会擦除设备。 以这种方式注册的设备不会与用户关联，因此我们建议将此选项用于共享设备或展台设备。 macOS 和 iOS 设备的说明有所不同，因此请务必对设备使用正确的操作方法文档。

用户拥有

• 适用于 Mac 的 BYOD 注册：在自带设备 (BYOD) 方案中为个人拥有的 Mac 启用Intune注册。 Intune许可的设备用户通过登录到其设备上的 公司门户 应用来初始化注册。

• Apple 用户注册：在 BYOD 方案中为个人拥有的 iOS/iPadOS 设备启用 Apple 用户注册。 此选项使设备所有者可以选择保护整个设备或仅与工作相关的应用和数据，并将托管数据和应用保存在单独的卷上，远离用户的个人数据。 注册在 公司门户 应用中进行。

• Apple 设备注册：在 BYOD 方案中为个人拥有的 iOS/iPadOS 设备启用 Apple 设备注册。 与用户注册相比，此方法可让你更好地控制设备配置设置。 例如，可以对密码应用更精细的要求。

适用于 Linux 的注册

BYOD 方案中的员工和学生可以在 Microsoft Intune 中注册个人 Linux 设备。 注册使他们能够访问 Microsoft Edge 中的工作资源。

作为Intune管理员，无需执行任何操作即可在管理中心启用 Linux 注册。 它会自动启用。 当用户注册其 Linux 设备时，你将在管理中心看到它们。 有关详细信息，请参阅在 Microsoft Intune 中注册 Linux 桌面设备。

Windows 注册

本部分介绍适用于运行Windows 10或Windows 11的个人和公司拥有的设备的注册解决方案。

注意

云环境中的设备支持Microsoft Intune注册。 本地环境中支持与 Configuration Manager 共同管理。

Windows 注册方法

下表介绍了运行 Windows 10 和 Windows 11 的设备支持的注册方法。

自动注册

通过为 Windows 启用自动注册，让员工和学生更轻松地注册Intune。 有关详细信息，请参阅 启用自动注册。

• 使用自动注册加入 Azure Active Directory：在由你或设备用户购买用于工作的设备上支持此选项。 在用户使用其工作帐户登录并加入 Azure AD 后，即在现用体验期间进行注册。 此解决方案适用于无权访问设备（例如在远程工作环境中）。 当这些设备注册时，其设备所有权将更改为 公司拥有，并且你可以访问标记为个人拥有的设备上不可用的管理功能。

• Windows Autopilot 全新体验：用户驱动或自部署的 Windows Autopilot 现装体验 (OOBE) 支持自动注册，最适合用于公司拥有的台式机、笔记本电脑和展台。 安装所需的软件和策略后，设备用户将获得桌面访问权限。 需要 Azure AD Premium 许可证。

• 适用于混合 Azure AD 联接的 Windows Autopilot：已加入混合 Azure AD 的设备的 Windows Autopilot 支持自动注册。 在 Windows Autopilot 开箱即用体验期间，Active Directory 的Intune连接器使 Active Directory 域服务中的设备能够加入 Azure AD，然后自动注册Intune。 必须在本地服务器上安装适用于 Active Directory 的 Intune 连接器，并在 Windows Autopilot 中注册设备。 对于使用 Active Directory 域服务且当前无法将其标识移动到 Azure AD 的本地环境，建议使用此注册解决方案。

• 与 Configuration Manager 共同管理：共同管理最适合那些已经使用Configuration Manager管理设备并希望集成Microsoft Intune工作负载的环境。 共同管理是将工作负载从Configuration Manager移动到Intune，并告知 Windows 客户端谁是该特定工作负载的管理机构。 例如，可以在 Intune 中使用符合性策略和设备配置工作负载来管理设备，并将Configuration Manager用于所有其他功能，例如应用部署和安全策略。

用户拥有

BYOD 的自动注册：自动注册适用于在 BYOD 方案中想要注册其个人设备的用户。 Intune许可的员工和学生可以使用其工作或学校帐户登录到公司门户应用来初始化注册和自动注册。

通过预配包批量注册

工作区在 Azure AD 中加入并注册大量公司拥有的设备，并Intune而无需重新映像。 此过程要求使用 Windows 配置设计器应用创建预配包。 可以在设备 OOBE 期间应用包，也可以在“设置”应用中将其上传到设备上。

更多 Windows 注册功能

Intune中还有其他 Windows 注册选项，可帮助改进或简化你和员工的设备管理体验：

• 共同管理设置：启用共同管理设置以将Configuration Manager工作负载与Intune集成。 通过共同管理，可以使用Intune和Configuration Manager功能来管理设备。
• CNAME 验证：) 创建的 DNS) 别名 ( (DNS) 别名验证域名服务器，以将注册请求重定向到Intune服务器。 别名简化了在没有 Azure AD Premium 和自动注册的情况下用户的注册。
• 注册状态页：启用“注册状态”页，以便完成设备设置的人员可以查看和跟踪安装进度。

报告和故障排除

跟踪 不完整和已放弃的用户注册。 此Microsoft Intune报告告知用户在公司门户未能完成注册过程的位置。

有关故障排除文档，请参阅 排查设备注册问题。

资源

Microsoft Intune文档中提供了其他注册指南。 这些指南包括每个受支持平台的可视化比较、操作方法步骤、提示和注册最佳做法。

• Android 注册指南
• iOS/iPadOS 注册指南
• Linux 注册指南
• macOS 注册指南
• Windows 注册指南

后续步骤

1. 设置 Microsoft Intune
2. 添加、配置和保护应用
3. 规划合规性策略
4. 创建设备配置文件
5. 🡺 注册设备 (你在这里)