步骤 2. 使用 Intune 将设备注册到管理

有多种方法可保护终结点,终结点是通常用于指代组合实体(包括设备、应用和用户标识)的术语。 必须在应用和设备本身上持续、可靠地强制实施安全策略。 将设备注册到Intune并向云标识提供者(例如Microsoft Entra ID)注册是一个很好的开端。

无论设备是个人拥有的自带设备 (BYOD) 还是公司拥有的完全托管设备,最好能够查看访问组织资源的终结点,以确保仅允许正常运行且合规的设备。 这包括在终结点上运行的移动和桌面应用的运行状况和可信度。 你希望确保这些应用正常且合规,并防止通过恶意意图或意外方式将企业数据泄漏到使用者应用或服务。

设备注册流程会在用户、设备和 Microsoft Intune 服务之间建立关系。 将 Microsoft Intune 用作独立服务便于使用单个基于 Web 的管理控制台以管理 Windows 电脑、macOS 和最热门的移动设备平台。

本文推荐了将设备注册到Intune的方法。 有关这些方法以及如何部署每个方法的详细信息,请参阅 部署指南: 在 Microsoft Intune 中注册设备

在 Intune 中注册设备的移动设备管理的第一步。

将本文中的指南与每个平台的注册选项此演示版本一起使用。

Intune注册选项海报两页的缩略图
PDF | Visio
更新时间:2022 年 6 月

Windows 注册

有多种选项可用于注册 Windows 10 和 Windows 11 设备。 最常见的方法包含以下两种:

  • Microsoft Entra ID加入:使用 Microsoft Entra ID 加入设备,并使用户使用其Microsoft Entra凭据登录到 Windows。 如果启用了自动注册,则设备将自动注册到 Intune 中。 自动注册的好处在于,用户可以单步执行过程。 否则,他们必须通过仅限 MDM 注册单独注册并重新输入其凭据。 用户在初始 Windows OOBE 或“设置”期间以这种方式注册。 该设备在 Intune 中标记为公司拥有的设备。

  • 自动驾驶仪:自动Microsoft Entra加入,并将新的公司拥有的设备注册到Intune。 此方法简化了开箱即用体验,无需将自定义操作系统映像应用到设备上。 当管理员使用 Intune 管理 Autopilot 设备时,他们可以在注册后管理策略、配置文件、应用等内容。 有四种类型的 Autopilot 部署:

    • 展台、数字标牌或共享设备) 的 Self-Deploying 模式 (

    • 传统用户) 的用户驱动模式 (

    • 用于预预配部署的 Windows Autopilot 使合作伙伴或 IT 人员能够预预配运行Windows 10或Windows 11的电脑,以便完全配置和业务就绪。

    • 适用于现有设备的 Autopilot 可让你轻松将最新版本的 Windows 部署到现有设备。

有关其他选项(包括注册 BYOD Windows 设备),请参阅 在 Microsoft Intune 中注册 Windows 设备

iOS 和 iPadOS 注册

对于用户拥有的 (BYOD) 设备,可以让用户使用以下方法之一向 Intune 注册其个人设备。

  • 设备注册是你可能认为的典型 BYOD 注册。 它为管理员提供各种管理选项。
  • 用户注册是更简化的注册流程,为管理员提供设备管理选项子集。 此功能目前处于预览阶段。

对于为其用户购买设备的组织,Intune 支持以下 iOS/iPadOS 公司所有的设备注册方法:

  • Apple 的自动设备注册 (ADE)
  • Apple School Manager
  • Apple Configurator 设置助理注册
  • Apple Configurator 直接注册

有关详细信息,请参阅 在 Microsoft Intune 中注册 iOS 和 iPadOS 设备

Android 注册

Android 注册有多种选项,具体取决于设备类型、要支持的注册类型,以及正在使用的 Android 版本,甚至制造商 (尤其是 Samsung) 。 大多数组织为其最终用户使用 Android 工作配置文件,尤其是在 BYOD 方案中。

使用 Android 工作配置文件时,最终用户的信息与数据容器以及用于工作和个人用途的单独应用分开。 对于用户来说,要注册设备并仍然维护其自身数据的隐私和企业数据的安全性,这是一种理想的方式。

但是,如果你的组织提供 Android 设备,则你可能会选择使用所谓的完全托管(用户关联)或专用(无用户关联)设备。

要了解有关 Android 注册的更多信息,请参阅 在 Microsoft Intune 中注册 Android 设备

macOS 注册

对于许多 IT 组织来说,macOS 注册可能是一个棘手的问题。 除非大多数用户是 Mac 用户,否则你可能在很大程度上无法管理这些类型的设备。 如果有少量 macOS 用户,则我们推荐仅限 Intune 注册。 如果有大量 macOS 用户,则我们推荐 Intune + Jamf 注册。

  • 仅Intune注册:这是用于 macOS 设备的基本管理。 它需要手动过程,就像大多数其他基于用户的注册选项一样。 但是,如果有少量 Mac 设备,则这可能比仅为少数用户设置完整的自动化基础结构更简单。 使用仅Intune注册,可以部署证书、密码配置和应用程序等内容。 还可以配置合规性策略并启发条件访问以及强制执行加密和设备擦除的功能。
  • Intune和 Jamf 注册:对于希望使用 Jamf + Intune 进行条件访问的 Mac 管理提供最深入支持的用户,Microsoft 提供了一个很好的解决方案,它将 Jamf 的广泛 Mac 管理功能与条件访问策略Intune合规性相结合。 在此方案中,你仍使用 Jamf 完全管理设备,同时能够从 Jamf 获取这些信号以提高安全性。

要了解有关 macOS 注册的更多信息,请参阅 在 Microsoft Intune 中注册 macOS 设备

后续步骤

转到步骤 3。为具有Intune的设备设置符合性策略