使用 群組原則 自動註冊 Windows 裝置

• 適用於:

  ✅ Windows 11, ✅ Windows 10

您可以使用 群組原則 來觸發 Active Directory (AD) 已加入網域裝置的行動 裝置管理 (MDM) 自動註冊。

Intune 的註冊是由您本機 AD 上建立的組策略所觸發，而且不會進行任何用戶互動。 此原因和效果機制表示您可以自動將大量加入網域的公司裝置大量註冊到 Microsoft Intune。 註冊程式會在您使用 Microsoft Entra 帳戶登入裝置后，在背景中開始。

需求：

• 已加入 Active Directory 的裝置必須執行 支援的 Windows 版本。
• 企業已設定行動 裝置管理 (MDM) 服務。
• 內部部署的 Active Directory 必須透過 Microsoft Entra Connect) 與 Microsoft Entra ID (整合。
• 服務連接點 (SCP) 組態。 如需詳細資訊，請參閱使用 Microsoft Entra Connect 設定 SCP。 如需未將 SCP 數據發佈至 AD 的環境，請參閱 Microsoft Entra 混合式加入目標部署。
• 使用傳統代理程式 (使用代理程式管理的裝置無法註冊) ，就不應該在 Intune 中註冊error 0x80180026裝置。
• 最低 Windows Server 版本需求是以 Microsoft Entra 混合式聯結需求為基礎。 如需詳細資訊，請參閱如何規劃 Microsoft Entra 混合式聯結實作。

提示

如需相關資訊，請參閱下列主題：

• 如何使用 Microsoft Entra ID 設定已加入網域之 Windows 裝置的自動註冊
• 如何規劃 Microsoft Entra 混合式聯結實作
• Microsoft Entra 與 MDM 整合

自動註冊取決於 MDM 服務的存在，以及計算機的 Microsoft Entra 註冊。 一旦企業向 Microsoft Entra ID 註冊其 AD，就會自動註冊已加入網域的 Windows 電腦 Microsoft Entra。

注意

在 Windows 10 1709 版中，註冊通訊協定已更新，以檢查裝置是否已加入網域。 如需詳細資訊，請 參閱 [MS-MDE2]： 行動裝置註冊通訊協定第 2 版。 如需範例，請參閱 MS-MDE2 通訊協定檔的第 4.3.1 節 RequestSecurityToken。

啟用自動註冊 群組原則 時，會在起始 MDM 註冊的背景中建立工作。 工作會使用來自使用者 Microsoft Entra 信息的現有 MDM 服務組態。 如果需要多重要素驗證，系統會提示使用者完成驗證。 設定註冊之後，使用者就可以在 [設定] 頁面中檢查狀態。

• 從 Windows 10 1709 版開始，在 群組原則 和 MDM 中設定相同的原則時，群組原則 原則優先於 MDM。
• 從 Windows 10 1803 版開始，新的設定可讓您將優先順序變更為 MDM。 如需詳細資訊，請參閱 Windows 群組原則 與 Intune MDM 原則誰獲勝？。

若要讓此原則能夠運作，您必須確認 MDM 服務提供者允許針對已加入網域的裝置 群組原則 起始的 MDM 註冊。

設定一組裝置的自動註冊

若要使用組策略設定自動註冊，請使用下列步驟：

1. 建立 群組原則 物件 (GPO) ，並啟用 群組原則 計算機>設定系統管理>範本Windows 元件>MDM>使用預設 Microsoft Entra 認證啟用自動 MDM 註冊。
2. 建立電腦的安全組。
3. 連結 GPO。
4. 使用安全組進行篩選。

如果您沒有看到原則，請取得 Windows 版本的最新 ADMX。 若要修正此問題，請使用下列程式。 最新的 MDM.admx 回溯相容。

1. 下載所需版本的系統管理範本：

   • Windows 11 版本 23H2
   • Windows 11 版本 22H2
   • Windows 10 版本 22H2

2. 在域控制器上安裝套件。

3. 流覽至 C:\Program Files (x86)\Microsoft Group Policy，並根據安裝的版本找出適當的子目錄。

4. 將 PolicyDefinitions 資料夾複製到 \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions。

   如果此資料夾不存在，請將檔案複製到網域 的中央原則存放 區。

5. 等候SSVOL DFSR複寫完成，原則才能使用。

設定單一計算機的自動註冊 群組原則

此程式僅供說明，以顯示新自動註冊原則的運作方式。 不建議用於企業中的生產環境。

1. 執行 GPEdit.msc。 選擇 [開始]，然後在文字框中輸入 gpedit。

2. 在 [最佳比對] 底下，選取 [編輯組策略 ] 以啟動它。

3. 在 [本機計算機原則] 中，選取 [系統管理>範本] [Windows 元件>MDM]。

4. 按兩下 [使用預設 Microsoft Entra 認證啟用自動 MDM 註冊]。 選 取 [啟用] ，從下 拉式清單中選取 [ 選取要使用的認證類型]，然後選取 [ 確定]。

   

   注意

   在 Windows 10 1903 版和更新版本中，MDM.admx 檔案已更新為包含 [裝置認證] 選項，以選取要用來註冊裝置的認證。 舊版的預設行為是還原為 用戶認證。

   只有在共同管理或 Azure 虛擬桌面多重會話主機集區的情況下，裝置認證才支援 Microsoft Intune 註冊，因為 Intune 訂用帳戶是以使用者為中心。 Azure 虛擬桌面個人主機集區支援用戶認證。

當用戶端上發生組策略重新整理時，系統會建立工作，並排定每隔五分鐘執行一天。 此工作稱為註冊用戶端所建立的排程，可從 Microsoft Entra ID 自動註冊 MDM。 若要查看排程的工作，請啟動 工作排程器應用程式。

如果需要雙因素驗證，系統會提示您完成程式。 以下是範例螢幕快照。

提示

您可以在 Microsoft Entra ID 中使用條件式存取原則來避免此行為。 若要深入瞭解，請閱讀 什麼是條件式存取？。

確認註冊

若要確認 MDM 註冊成功，請移至 [ 開始>設定>帳戶>存取公司或學校]，然後選取您的網域帳戶。選取 [資訊 ] 以查看 MDM 註冊資訊。

注意

如果您沒有看到 [ 資訊 ] 按鈕或註冊資訊，註冊可能會失敗。 檢查 工作排程器應用程式 中的狀態，並參閱 診斷 MDM 註冊。

工作排程器應用程式

選擇 [開始]，然後在文字框中輸入 task scheduler。 在 [最佳比對] 底下，選取 [ 工作排程器 ] 以啟動它。

在 [工作排程器連結庫] 中，開啟 [Microsoft > Windows ]，然後選取 [EnterpriseMgmt]。

若要查看工作的結果，請移動滾動條以查看 上次執行結果。 您可以在 [歷程記錄] 索引 標籤中 看到記錄。

訊 息0x80180026 是 () 的失敗訊息 MENROLL_E_DEVICE_MANAGEMENT_BLOCKED ，可能是因為啟用 [ 停用 MDM 註冊 ] 原則所造成。

注意

GPEdit 控制台不會反映貴組織在裝置上設定的原則狀態。 使用者只會使用它來設定原則。

相關文章

• 群組原則 管理主控台
• 建立和編輯 群組原則物件
• 連結 群組原則物件
• 使用安全組進行篩選
• 強制執行 群組原則 對象連結
• 開始使用雲端原生 Windows 端點