設定行動裝置管理授權單位

行動裝置管理 (MDM) 授權設定會決定您管理裝置的方式。 做為 IT 管理員, 您必須先設定 MDM 授權, 使用者才能註冊管理裝置。 您也應該獲指派 Intune 授權,以設定 MDM 授權單位。

可能的設定包括:

  • Intune 獨立 - 僅限雲端管理,您可以使用 Azure 入口網站 進行設定。 包含 Intune 提供的一組完整功能。 在 Microsoft Intune 系統管理中心設定 MDM 授權單位

  • Intune 共同管理 - 整合 Intune 雲端解決方案與 Windows 10 裝置的 Configuration Manager。 您可以使用 Configuration Manager 主控台來設定 Intune。 設定將裝置自動註冊至 Intune

  • 基本行動性和安全性 Microsoft 365 - 啟用此設定之後,MDM 授權單位會設定為 “Office 365”。 如果您想要開始使用 Intune,您必須購買 Intune 授權。

  • 基本行動性和安全性 Microsoft 365 共存 - 如果您已經使用適用於 Microsoft 365 的 基本行動性和安全性,您可以將 Intune 新增至您的租使用者。 您可以為每個使用者將管理授權單位設定為 Intune 或 microsoft 365 基本行動性和安全性,以規定要使用哪個服務來管理其已註冊 MDM 的裝置。 每個使用者的管理授權單位都是根據指派給使用者的授權來定義:

    • 適用於 Microsoft 365 的 基本行動性和安全性 會管理只有 Microsoft 365 基本版 或 Standard 授權的用戶裝置。
    • Intune 會管理具有授權的用戶裝置,讓他們能夠使用它。
    • 如果您將授權實體 Intune 新增至先前由 Microsoft 365 基本行動性和安全性 所管理的使用者,則其裝置會切換至 Intune 管理。 若要避免遺失用戶裝置上 Microsoft 365 設定的 基本行動性和安全性,請務必先將 Intune 設定指派給使用者,再將其切換至 Intune。

將 MDM 授權單位設定為 Intune

對於使用 1911 服務版本和更新版本的租使用者,MDM 授權單位會自動設定為 Intune。

對於使用 1911 服務版本和更新版本的租使用者,如果您啟用 基本行動性和安全性,請遵循本節中的步驟。

針對 1911 前的服務發行租使用者,如果您尚未設定 MDM 授權單位,請遵循本節中的步驟。

  1. Microsoft Intune 系統管理中心,選取橙色橫幅以開啟 [行動 裝置管理 授權單位] 設定。 只有在您尚未設定 MDM 授權單位時,才會顯示橙色橫幅。

  2. 在 [行動 裝置管理 授權單位] 下,從下列選項中選擇您的 MDM 授權單位:

    • Intune MDM 授權單位

    Intune 設定行動裝置管理授權單位畫面的螢幕快照。

訊息指出您已成功將 MDM 授權單位設定為 Intune。

Intune 管理 UI 的工作流程

啟用 Android 或 Apple 裝置管理時,Intune 會傳送裝置和使用者資訊,以與這些第三方服務整合,以管理其各自的裝置。

當下列情況時,會包含新增同意共享數據的案例:

  • 您可以啟用 Android Enterprise 個人擁有或公司擁有的工作配置檔。
  • 您可以啟用並上傳 Apple MDM 推播憑證。
  • 您可以啟用任何 Apple 服務,例如裝置註冊計劃、學校經理或大量採購方案。

在每個案例中,同意與執行行動裝置管理服務完全相關。 例如,確認 IT 管理員 已授權 Google 或 Apple 裝置註冊。 可從下列位置取得新工作流程上線時所共用信息的檔:

重要考慮

切換至新的 MDM 授權單位之後,在裝置簽入並與服務同步處理之前,最多 (8 小時) 一些轉換時間。 您必須在新的 MDM 授權單位中設定設定,以確保已註冊的裝置會在變更後繼續受到管理和保護。

  • 裝置必須在變更之後與服務連線,才能讓來自新 MDM 授權單位 (Intune 獨立部署的設定) 取代裝置上的現有設定。
  • 變更 MDM 授權單位之後,一些基本設定 (,例如來自先前 MDM 授權單位的配置檔) ,最多會保留在裝置上七天,或直到裝置第一次連線到服務為止。 您應該儘快在新的 MDM 授權單位中設定應用程式和設定 (,例如原則、配置檔和應用程式) ,並將設定部署至包含現有已註冊裝置之使用者的使用者群組。 一旦裝置在 MDM 授權單位變更後連線到服務,就會收到來自新 MDM 授權單位的新設定,並防止管理和保護的缺口。
  • 當您有 iOS/iPadOS 裝置註冊計劃或大量註冊案例) 未移轉至新的 MDM 授權單位時,通常沒有相關聯使用者的裝置 (。 針對這些裝置,您需要呼叫支援以取得協助,以將其移至新的 MDM 授權單位。

共存

藉由啟用共存,您可以針對一組新的使用者使用 Intune,同時繼續為現有的使用者使用 基本行動性和安全性。 您可以透過使用者控制 Intune 所管理的裝置。 如果使用者具有 Intune 授權,或使用 Intune 共同管理與 Configuration Manager,Intune 會管理用戶註冊的所有裝置。 否則,使用者會由 基本行動性和安全性 管理。

啟用共存有三個主要步驟:

  1. 準備
  2. 新增 Intune MDM 授權單位
  3. 用戶和裝置移轉 (選擇性) 。

準備

啟用與 基本行動性和安全性 共存之前,請考慮下列幾點:

  • 請確定您有足夠的 Intune 授權 供您想要透過 Intune 管理的使用者使用。
  • 檢閱哪些用戶獲指派 Intune 授權。 啟用共存之後,任何已獲指派 Intune 授權的用戶都會將其裝置切換至 Intune。 為了避免非預期的裝置切換,建議您在啟用共存之前,不要指派任何 Intune 授權。
  • 建立和部署 Intune 原則,以取代原本透過 Office 365 Security & Compliance 入口網站部署的裝置安全策略。 您應該為任何預期從 基本行動性和安全性 移至 Intune 的使用者完成這項取代。 如果沒有指派給這些使用者的 Intune 原則,啟用共存可能會導致他們失去 基本行動性和安全性 設定。 這些設定會遺失而不取代,例如受管理的電子郵件設置檔。 即使將裝置安全策略取代為 Intune 原則,在裝置移至 Intune 管理之後,系統仍可能會提示使用者重新驗證其電子郵件設置檔。
  • 您無法在設定之後取消布建 基本行動性和安全性。 不過,您可以採取一些步驟來關閉原則。 如需詳細資訊,請參閱關閉 基本行動性和安全性

新增 Intune MDM 授權單位

若要啟用共存,您必須將 Intune 新增為環境的 MDM 授權單位:

  1. 使用 Microsoft Entra Global 或 Intune 服務系統管理員許可權登入 Microsoft Intune 系統管理中心

  2. 流覽至 [裝置]

  3. [ 新增 MDM 授權單位] 刀鋒視窗隨即 顯示。

  4. 若要將 MDM 授權單位從 Office 365 切換至 Intune 並啟用共存,請選取 [Intune MDM 授權單位>新增]

    [新增 MDM 授權單位] 畫面的螢幕快照。

將使用者和裝置移轉 (選擇性)

啟用 Intune MDM 授權單位之後,共存就會啟動,而且您可以透過 Intune 開始管理使用者。 您可以選擇性地將先前由 基本行動性和安全性 管理的裝置移至 Intune 管理,方法是將 Intune 授權指派給這些使用者。 用戶的裝置會在下一次 MDM 簽入時切換至 Intune。 已透過 基本行動性和安全性 套用至這些裝置的設定已不再套用,並會從裝置中移除。

MDM 憑證到期后的行動裝置清除

當行動裝置與 Intune 服務通訊時,MDM 憑證會自動更新。 如果抹除行動裝置,或在一段時間內無法與 Intune 服務通訊,則不會更新 MDM 憑證。 裝置會在 MDM 憑證到期後的 180 天內從 Azure 入口網站 移除。

拿掉 MDM 授權單位

MDM 授權單位無法變更回未知。 服務會使用 MDM 授權單位來判斷向 Microsoft 365) (Microsoft Intune 或 基本行動性和安全性 報告哪些入口網站註冊的裝置。

變更 MDM 授權單位之後的預期事項

  • 當 Intune 服務偵測到租使用者 MDM 授權單位中的變更時,它會傳送通知訊息給所有已註冊的裝置。 通知訊息會提示裝置在正常排程之外簽入服務並與之同步處理。 因此,所有開啟電源的裝置和在線裝置都會與服務連線,並接收新的 MDM 授權單位。 新的授權單位會管理及保護裝置,而不會有任何中斷。 因此,從 Intune 獨立部署變更租使用者的 MDM 授權單位之後,裝置會繼續在新的 MDM 授權單位下正常運作。

  • 在 MDM 授權單位變更期間或稍後開啟電源並上線的裝置會遇到延遲。 延遲最多可持續八小時,視下一次排定的定期簽入時間而定。 在延遲期間,裝置不會在新的 MDM 授權單位下向服務註冊。 延遲之後,裝置會在新的 MDM 授權單位下完整註冊並運作。

    重要事項

    從您變更 MDM 授權單位到將更新的 APNs 憑證上傳至新的授權單位之間,iOS/iPadOS 裝置的新裝置註冊和裝置簽入都會失敗。 因此,請務必在變更 MDM 授權單位之後,儘快檢閱 APNs 憑證並上傳至新的授權單位。

  • 用戶可以手動啟動從裝置到服務的簽入,以快速變更為新的 MDM 授權單位。 使用者可以使用 公司入口網站 應用程式並啟動裝置合規性檢查,輕鬆進行這項變更。

  • 若要驗證在 MDM 授權單位變更之後,裝置已簽入服務並與服務同步處理之後,是否正常運作,請在新的 MDM 授權單位中尋找裝置。

  • 在 MDM 授權單位的變更期間,以及該裝置簽入服務時,有一段過渡期間裝置離線。 在過渡期間,請務必保護和維護裝置的功能。 為了保護和維護裝置的功能,下列配置檔會保留在裝置上。 這些配置檔最多會在裝置上停留七天,或直到裝置與新的 MDM 授權單位連線為止。 一旦裝置連線並接收新的設定,就會覆寫現有的配置檔:

    • 電子郵件設置檔
    • VPN 設定檔
    • 憑證配置檔
    • Wi-Fi 配置檔
    • 組態配置檔
  • 在您變更為新的 MDM 授權單位之後,Microsoft Intune 系統管理中心的合規性數據最多可能需要一周的時間才能正確回報。 不過,Microsoft Entra標識符和裝置上的合規性狀態是精確的,因此裝置仍然受到保護。

  • 請確定要覆寫現有設定的新設定與先前的設定名稱相同,以確保覆寫舊的設定。 否則,裝置最後可能會有備援配置檔和原則。

    提示

    最佳做法是在 MDM 授權單位的變更完成之後,建立所有管理設定和組態,以及部署。 這有助於確保裝置在過渡期間受到保護並主動管理。

  • 變更 MDM 授權單位之後,請執行下列步驟來驗證新裝置是否已成功向新的授權單位註冊:

    • 註冊新裝置
    • 請確定新註冊的裝置顯示在新的 MDM 授權單位中。
    • 從 Microsoft Intune系統管理中心到裝置執行遠端鎖定等動作。 如果成功,則新的 MDM 授權單位會管理裝置。
  • 如果您有特定裝置的問題,您可以取消註冊並重新註冊裝置,使其連線到新的授權單位,並儘快進行管理。

確認租使用者的 MDM 授權單位

若要確認您的 MDM 授權單位已設定為 Intune,請使用下列步驟:

  1. [Microsoft Intune 系統管理中心] 中,選取 [租用戶系統管理>租用戶狀態]
  2. 在 [ 租使用者詳細數據] 索引標籤下,尋找 [MDM 授權單位]

後續步驟

設定 MDM 授權單位後,您就可以開始 註冊裝置