Inschrijving voor Windows-apparaten instellen

Met de informatie in dit artikel kunnen IT-beheerders de inschrijving van Windows-apparaten vereenvoudigen voor hun gebruikers. Zodra u Intune hebt ingesteld, kunnen gebruikers Windows-apparaten registreren door zich aan te melden met hun werk- of schoolaccount.

Als Intune-beheerder kunt u de registratie op de volgende manieren vereenvoudigen:

Vereenvoudiging van Windows-apparaatregistratie is afhankelijk van twee factoren:

  • Gebruikt u Azure Active Directory Premium? Azure AD Premium is opgenomen in Enterprise Mobility + Security en andere licentieplannen.
  • Welke versies van Windows-clients worden er geregistreerd door gebruikers? Windows 10-apparaten kunnen automatisch worden ingeschreven door het toevoegen van een werk- of schoolaccount. Eerdere versies moeten worden ingeschreven met de bedrijfsportal-app.
Azure AD Premium Overige AD
Windows 10 Automatische inschrijving Gebruikersinschrijving
Eerdere Windows-versies Gebruikersinschrijving Gebruikersinschrijving

Organisaties die gebruik kunnen maken van automatische registratie kunnen ook instellen dat apparaten bulksgewijs worden geregistreerd via de Windows Configuration Designer-app.

Vereisten voor apparaatinschrijving

Voordat een beheerder apparaten bij Intune kan inschrijven voor beheer, moeten de licenties al zijn toegewezen aan het account van de beheerder. Meer informatie over het toewijzen van licenties voor apparaatinschrijving.

U kunt ook niet-gelicenseerde beheerders zich laten aanmelden bij MEM. Zie Beheerders zonder licentie voor meer informatie.

Ondersteuning voor meerdere gebruikers

Intune ondersteunt meerdere gebruikers op apparaten waarop

  • De update Windows 10 Creator uitvoeren
  • Zijn Azure Active Directory lid van een domein.

Als standaardgebruikers zich aanmelden met hun Azure AD-referenties, krijgen ze apps en beleidsregels die zijn toegewezen aan hun gebruikersnaam. Alleen de primaire gebruiker van het apparaat kan de Bedrijfsportal gebruiken voor selfservicescenario's zoals het installeren van apps en apparaatacties (zoals Verwijderen of Opnieuw instellen). Voor gedeelde Windows 10 apparaten aan welke geen primaire gebruiker is toegewezen, kan de Bedrijfsportal nog steeds worden gebruikt om Beschikbare apps te installeren.

Automatische inschrijving voor Windows 10 inschakelen

Met automatische inschrijving kunnen gebruikers hun Windows 10-apparaten inschrijven in Intune. Voor inschrijving voegen gebruikers hun werkaccount toe aan hun apparaten die persoonlijk eigendom zijn, of koppelen ze apparaten die bedrijfseigendom zijn aan Azure Active Directory. Het apparaat wordt op de achtergrond geregistreerd en aangesloten bij Azure Active Directory. Wanneer het apparaat is geregistreerd, wordt het met Intune beheerd.

Vereisten

  • Azure Active Directory Premium-abonnement (proefabonnement)
  • Microsoft Intune-abonnement

Automatische MDM-registratie configureren

  1. Meld u aan bij Azure Portalen selecteer Azure Active Directory > Mobility (MDM en MAM) > Microsoft Intune.

    Schermopname van de Azure Portal selecties.

  2. Gebruikersbereik van MDM configureren. Geef op van welke gebruikers apparaten moeten worden beheerd met Microsoft Intune. Deze Windows 10-apparaten kunnen automatisch worden ingeschreven voor beheer met Microsoft Intune.

    • Geen - Automatische inschrijving voor MDM uitgeschakeld

    • Sommige - Selecteer Groepen die automatisch hun Windows 10-apparaten kunnen inschrijven

    • Alle - Alle gebruikers kunnen automatisch hun Windows 10-apparaten inschrijven

      Belangrijk

      Voor Windows BYOD-apparaten krijgt het MAM-gebruikersbereik voorrang als zowel het MAM-gebruikersbereik als het MDM-gebruikersbereik (automatische MDM-registratie) zijn ingeschakeld voor alle gebruikers (of dezelfde groepen of gebruikers). Het apparaat wordt niet via MDM geregistreerd, en WIP-beleid (Windows Information Protection) wordt toegepast als u dit hebt geconfigureerd.

      Als u automatische inschrijving wilt inschakelen voor Windows BYOD-apparaten aan een MDM: configureer het MDM-gebruikersbereik op Alle (of Een aantal, en geef een groep op) en configureer het MAM-gebruikersbereik op Geen (of Een aantal, en geef een groep op - en zorg ervoor dat gebruikers geen lid zijn van een groep waarop zowel MDM- als MAM-gebruikersbereiken zijn gericht).

      Voor zakelijke apparaten krijgt het MDM-gebruikersbereik voorrang als beide bereiken (MDM en MAM) zijn ingeschakeld. Het apparaat wordt automatisch ingeschreven bij het geconfigureerde MDM.

    Notitie

    Het MDM-gebruikersbereik moet worden ingesteld op een Azure AD-groep die gebruikersobjecten bevat.

    Schermopname van de Azure Portal, waar u het gebruikersbereik M D M kunt configureren.

  3. Gebruik de standaardwaarden voor de volgende URL's:

    • URL voor MDM-gebruiksvoorwaarden
    • Detectie-URL voor MDM
    • URL van MDM-naleving
  4. Selecteer Opslaan.

Tweeledige verificatie is standaard niet ingeschakeld voor de service. Tweeledige verificatie wordt echter aanbevolen bij het registreren van een apparaat. Om tweeledige verificatie in te schakelen, configureert u een provider voor tweeledige verificatie in Azure AD en configureert u uw gebruikersaccounts voor meervoudige verificatie. Zie Aan de slag met de Azure Active Directory Multi-Factor Authentication-server.

Windows-inschrijving vereenvoudigen zonder Azure AD Premium

Om de inschrijving te vereenvoudigen, maakt u een DNS-alias (domeinnaamserver) (CNAME-recordtype) waardoor inschrijvingsaanvragen worden doorgestuurd naar Intune-servers. Anders moeten gebruikers die verbinding met Intune proberen te maken, tijdens de inschrijving de naam van de Intune-server invoeren.

Stap 1: CNAME maken (optioneel)

Maak CNAME-DNS-bronrecords voor uw bedrijfsdomein. Als de website van uw bedrijf bijvoorbeeld contoso.com is, maakt u een CNAME in DNS die EnterpriseEnrollment.contoso.com omleidt naar enterpriseenrollment-s.manage.microsoft.com.

Hoewel het maken van CNAME-DNS-vermeldingen optioneel is, maken CNAME-records het voor gebruikers makkelijker om zich in te schrijven. Als er geen CNAME-inschrijvingsrecord wordt gevonden, wordt gebruikers gevraagd de MDM-servernaam (enrollment.manage.microscoft.com) handmatig in te voeren.

Type Hostnaam Verwijst naar TTL
CNAME EnterpriseEnrollment.bedrijfsdomein.com EnterpriseEnrollment-s.manage.microsoft.com 1 uur
CNAME EnterpriseRegistration.bedrijfsdomein.com EnterpriseRegistration.windows.net 1 uur

Als het bedrijf meer dan één UPN-achtervoegsel gebruikt, moet u een CNAME maken voor elke domeinnaam en die allemaal laten verwijzen naar EnterpriseEnrollment-s.manage.microsoft.com. Gebruikers van Contoso gebruiken bijvoorbeeld de volgende indelingen voor hun e-mail/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

De Contoso DNS-beheerder moet de volgende CNAME’s maken:

Type Hostnaam Verwijst naar TTL
CNAME EnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 uur
CNAME EnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 uur
CNAME EnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 uur

EnterpriseEnrollment-s.manage.microsoft.com: biedt ondersteuning voor een omleiding naar de Intune-service met domeinherkenning vanuit de domeinnaam van het e-mailadres

Het kan 72 uur duren voordat wijzigingen in DNS-records zijn doorgegeven. U kunt de DNS-wijziging in Intune pas controleren wanneer de DNS-record is doorgegeven.

Stap 2: CNAME controleren (optioneel)

  1. Kies in het Microsoft Endpoint Manager-beheercentrum de opties Apparaten > Windows > Windows-inschrijving > CNAME-validatie.
  2. Voer in het vak Domein de bedrijfswebsite in en kies Testen.

Aanvullende eindpunten die niet worden ondersteund

EnterpriseEnrollment-s.manage.microsoft.com is de voorkeurs-FQDN voor inschrijving. Er zijn twee andere eindpunten die eerder zijn gebruikt en nog steeds werken. Ze worden echter niet meer ondersteund. EnterpriseEnrollment.manage.microsoft.com (zonder de -s) en manage.microsoft.com werken beide als het doel voor de server met automatische detectie, maar de gebruiker moet op OK in een bevestigingsbericht tikken. Als u naar EnterpriseEnrollment-s.manage.microsoft.com, hoeft de gebruiker geen andere bevestigingsstap uit te geven. Dit is dus de aanbevolen configuratie

Alternatieve omleidingsmethoden worden niet ondersteund

Het gebruik van een andere methode dan de CNAME-configuratie wordt niet ondersteund. Het gebruik van een proxyserver om een enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc om te leiden naar enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc of manage.microsoft.com/EnrollmentServer/Discovery.svc wordt bijvoorbeeld niet ondersteund.

Gebruikers uitleggen hoe ze Windows-apparaten inschrijven

Laat uw gebruikers weten hoe ze hun Windows-apparaten kunnen inschrijven en wat ze kunnen verwachten nadat deze onder beheer zijn gebracht.

Notitie

Eindgebruikers moeten toegang hebben tot de bedrijfsportalwebsite via Microsoft Edge om Windows-apps te bekijken die u hebt toegewezen voor specifieke versies van Windows. Andere browsers, zoals Google Chrome, Mozilla Firefox en Internet Explorer bieden geen ondersteuning voor deze manier van filteren.

Zie voor inschrijvingsinstructies voor eindgebruikers Windows 10-apparaat inschrijven en Windows 8.1 of Windows RT 8.1-apparaat inschrijven. U kunt gebruikers ook verwijzen naar het artikel Welke gegevens kan mijn bedrijf zien wanneer ik mijn apparaat inschrijf in Intune?

Belangrijk

Als u automatische MDM-inschrijving niet hebt ingeschakeld maar Windows 10-apparaten hebt die zijn samengevoegd in Azure AD, worden na de inschrijving twee records weergegeven in de Intune-console. U kunt dit gedrag beëindigen. Hiervoor moeten gebruikers met samengevoegde apparaten in Azure AD met hetzelfde account naar Accounts > Toegang tot werk- of schoolaccount en Verbinden gaan.

Zie Bronnen over de eindgebruikerservaring in Microsoft Intune voor meer informatie over taken voor eindgebruikers.

CNAME's voor registratie en inschrijving

Azure Active Directory heeft een andere CNAME die wordt gebruikt voor apparaatregistratie voor iOS-/iPadOS-, Android- en Windows-apparaten. Voor voorwaardelijke toegang van Intune moeten apparaten worden geregistreerd, ook wel 'aan werkplek toegevoegd' genoemd. Als u voorwaardelijke toegang wilt gebruiken, moet u ook de CNAME voor EnterpriseRegistration configureren voor elke bedrijfsnaam die u hebt.

Type Hostnaam Verwijst naar TTL
CNAME EnterpriseRegistration.bedrijfsdomein.com EnterpriseRegistration.windows.net 1 uur

Zie Apparaat-id's beheren met de Azure-portal voor meer informatie over het registreren van apparaten.

Windows 10 auto-enrollment and device registration (Automatische inschrijving en apparaatregistratie in Windows 10)

Deze sectie is van toepassing op klanten van Cloud voor de Amerikaanse overheid.

Hoewel het maken van CNAME-DNS-vermeldingen optioneel is, maken CNAME-records het voor gebruikers makkelijker om zich in te schrijven. Als er geen CNAME-inschrijvingsrecord wordt gevonden, wordt gebruikers gevraagd de MDM-servernaam (enrollment.manage.microscoft.us) handmatig in te voeren.

Type Hostnaam Verwijst naar TTL
CNAME EnterpriseEnrollment.bedrijfsdomein.com EnterpriseEnrollment-s.manage.microsoft.us 1 uur
CNAME EnterpriseRegistration.bedrijfsdomein.com EnterpriseRegistration.windows.net 1 uur

Volgende stappen