使用 组策略 自动注册 Windows 设备

• 适用于:

  ✅ Windows 11, ✅ Windows 10

可以使用组策略为 Active Directory (AD) 已加入域的设备触发对移动设备管理 (MDM) 的自动注册。

注册到Intune由本地 AD 上创建的组策略触发，无需任何用户交互。 此因果机制意味着你可以自动将大量已加入域的公司设备批量注册到Microsoft Intune。 使用 Microsoft Entra 帐户登录设备后，注册过程将在后台启动。

要求：

• 已加入 Active Directory 的设备必须运行 受支持的 Windows 版本。
• 企业已配置移动设备管理 (MDM) 服务。
• 本地 Active Directory必须通过 Microsoft Entra Connect) 与 Microsoft Entra ID (集成。
• SCP) 配置 (服务连接点。 有关详细信息，请参阅使用 Microsoft Entra Connect 配置 SCP。 对于未将 SCP 数据发布到 AD 的环境，请参阅Microsoft Entra混合联接目标部署。
• 不应使用经典代理在Intune中注册设备， (使用代理管理的设备注册失败，) error 0x80180026 。
• 最低 Windows Server 版本要求基于Microsoft Entra混合联接要求。 有关详细信息，请参阅如何规划Microsoft Entra混合联接实现。

提示

有关详细信息，请参阅以下主题：

• 如何使用 Microsoft Entra ID 配置已加入域的 Windows 设备的自动注册
• 如何规划Microsoft Entra混合联接实现
• Microsoft Entra与 MDM 的集成

自动注册依赖于 MDM 服务的存在以及电脑的Microsoft Entra注册。 企业向 Microsoft Entra ID 注册 AD 后，将自动Microsoft Entra注册已加入域的 Windows 电脑。

注意

在 Windows 10 版本 1709 中，注册协议已更新为检查设备是否已加入域。 有关详细信息，请参阅 [MS-MDE2]：移动设备注册协议版本 2。 有关示例，请参阅 MS-MDE2 协议文档的第 4.3.1 节 RequestSecurityToken。

启用自动注册组策略后，在后台创建一个启动 MDM 注册的任务。 该任务使用用户Microsoft Entra信息中的现有 MDM 服务配置。 如果需要多重身份验证，系统会提示用户完成身份验证。 配置注册后，用户可以在“设置”页中检查状态。

• 从 Windows 10 版本 1709 开始，在 组策略 和 MDM 中配置了相同的策略时，组策略策略优先于 MDM。
• 从 Windows 10 版本 1803 开始，新设置允许将优先级更改为 MDM。 有关详细信息，请参阅 Windows 组策略与Intune MDM 策略谁获胜？。

若要使此策略生效，必须验证 MDM 服务提供程序是否允许组策略已启动的已加入域的设备进行 MDM 注册。

为一组设备配置自动注册

若要使用组策略配置自动注册，请使用以下步骤：

1. 创建组策略对象 (GPO) ，并启用组策略计算机配置>管理模板>Windows 组件>MDM>使用默认Microsoft Entra凭据启用自动 MDM 注册。
2. 为电脑创建安全组。
3. 链接 GPO。
4. 使用安全组进行筛选。

如果未看到该策略，请获取适用于 Windows 版本的最新 ADMX。 若要解决此问题，请使用以下过程。 最新的 MDM.admx 向后兼容。

1. 下载所需版本的管理模板：

   • Windows 11 版本 23H2
   • Windows 11 版本 22H2
   • Windows 10 版本 22H2

2. 在域控制器上安装包。

3. 导航到 C:\Program Files (x86)\Microsoft Group Policy，并根据安装的版本找到相应的子目录。

4. 将 PolicyDefinitions 文件夹复制到 \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions。

   如果此文件夹不存在，请将文件复制到域的 中央策略存储 。

5. 等待 SYSVOL DFSR 复制完成，策略可用。

为单个电脑配置自动注册组策略

此过程仅用于演示新的自动注册策略的工作原理。 不建议将其用于企业中的生产环境。

1. 运行 GPEdit.msc。 选择 “开始”，然后在文本框中键入 gpedit。

2. 在 “最佳匹配”下，选择 “编辑组策略 ”以启动它。

3. 在“ 本地计算机策略”中，选择“ 管理模板>”“Windows 组件>MDM”。

4. 双击“使用默认Microsoft Entra凭据启用自动 MDM 注册”。 选择“启用”，从“选择要使用的凭据类型”下拉列表中选择“用户凭据”，然后选择“确定”。

   

   注意

   在 Windows 10 版本 1903 及更高版本中，MDM.admx 文件已更新为包含“设备凭据”选项，以选择用于注册设备的凭据。 较旧版本的默认行为是还原用户凭据。

   只有使用共同管理或 Azure 虚拟桌面多会话主机池进行Microsoft Intune注册才支持设备凭据，因为Intune订阅以用户为中心。 Azure 虚拟桌面个人主机池支持用户凭据。

当客户端上发生组策略刷新时，将创建一个任务，并计划在一天内每五分钟运行一次。 该任务称为计划，由注册客户端创建，用于从 Microsoft Entra ID 自动注册 MDM。 若要查看计划任务，请启动 任务计划程序应用。

如果需要双重身份验证，系统会提示你完成该过程。 下面是示例屏幕截图。

提示

可以通过在 Microsoft Entra ID 中使用条件访问策略来避免此行为。 有关详细信息，请阅读 什么是条件访问？。

验证注册

若要验证是否成功注册到 MDM，请转到 “启动>设置>帐户>访问工作或学校”，然后选择域帐户。选择“ 信息 ”以查看 MDM 注册信息。

注意

如果未看到 “信息 ”按钮或注册信息，则表示注册可能已失败。 在 任务计划程序应用中 检查状态，并参阅 诊断 MDM 注册。

任务计划程序应用

选择“ 开始”，然后在文本框中键入 task scheduler。 在 “最佳匹配”下，选择“ 任务计划程序” 以启动它。

在 “任务计划程序库”中，打开 “Microsoft > Windows ”，然后选择“ EnterpriseMgmt”。

若要查看任务的结果，请移动滚动条以查看 “上次运行结果”。 可以在“ 历史记录 ”选项卡中查看日志。

消息 0x80180026 是 () MENROLL_E_DEVICE_MANAGEMENT_BLOCKED 失败消息，可能是启用 “禁用 MDM 注册 ”策略导致的。

注意

GPEdit 控制台不会反映组织在设备上设置的策略的状态。 它仅由用户用来设置策略。

相关文章

• 组策略管理控制台
• 创建和编辑组策略对象
• 链接组策略对象
• 使用安全组进行筛选
• 强制实施组策略对象链接
• 云原生 Windows 终结点入门