Configurar o registro para dispositivos WindowsSet up enrollment for Windows devices

Este tópico ajuda os administradores de TI a simplificarem o registro do Windows para os usuários.This article helps IT administrators simplify Windows enrollment for their users. Depois que você configurar o Intune, os usuários registram os dispositivos Windows entrando com sua conta corporativa ou de estudante.Once you've set up Intune, users enroll Windows devices by signing in with their work or school account.

Como administrador do Intune, é possível simplificar o registro das seguintes maneiras:As an Intune admin, you can simplify enrollment in the following ways:

Dois fatores determinam como você pode simplificar o registro de dispositivos do Windows:Two factors determine how you can simplify Windows device enrollment:

  • Você usa o Azure Active Directory Premium?Do you use Azure Active Directory Premium?
    O Azure AD Premium está incluído no Enterprise Mobility + Security e outros planos de licenciamento.Azure AD Premium is included with Enterprise Mobility + Security and other licensing plans.
  • Quais versões de clientes Windows os usuários registrarão?What versions of Windows clients will users enroll?
    Dispositivos Windows 10 podem registrar automaticamente adicionando uma conta corporativa ou escolar.Windows 10 devices can automatically enroll by adding a work or school account. Versões anteriores devem ser registrados usando o aplicativo de Portal da Empresa.Earlier versions must enroll using the Company Portal app.
Azure AD PremiumAzure AD Premium Outro ADOther AD
Windows 10Windows 10 Registro automáticoAutomatic enrollment Registro de usuáriosUser enrollment
Versões anteriores do WindowsEarlier Windows versions Registro de usuáriosUser enrollment Registro de usuáriosUser enrollment

As organizações que podem usar o registro automático também podem configurar dispositivos de registro em massa usando o aplicativo de Designer de Configuração do Windows.Organizations that can use automatic enrollment can also configure bulk enroll devices by using the Windows Configuration Designer app.

Pré-requisitos de registro do dispositivoDevice enrollment prerequisites

Antes que um administrador possa registrar dispositivos no Intune para gerenciamento, as licenças já deverão ter sido atribuídas à conta do administrador.Before an administrator can enroll devices to Intune for management, licenses should have already been assigned to the administrator's account. Leia sobre como atribuir licenças para registro de dispositivoRead about assigning licenses for device enrollment

Compatibilidade multiusuárioMulti-user support

O Intune dá suporte a vários usuários em dispositivos que:Intune supports multiple users on devices that both:

  • executaram a Atualização do Windows 10 para Criadoresrun the Windows 10 Creator's update
  • ingressaram no domínio do Azure Active Directory.are Azure Active Directory domain-joined.

Quando os usuários padrão entrarem com as credenciais do Microsoft Azure AD, eles receberão os aplicativos e políticas atribuídas ao nome de usuário deles.When standard users sign in with their Azure AD credentials, they receive apps and policies assigned to their user name. Somente o Usuário principal do dispositivo pode usar o Portal da Empresa para cenários de autoatendimento, como instalação de aplicativos e execução de ações de dispositivo (remover, redefinir).Only the device’s Primary user can use the Company Portal for self-service scenarios like installing apps and performing device actions (Remove, Reset). Para dispositivos Windows 10 compartilhados que não têm um usuário primário atribuído, o Portal da Empresa ainda pode ser usado para instalar aplicativos Disponíveis.For shared Windows 10 devices that do not have a primary user assigned, the Company Portal can still be used to install Available apps.

Habilitar o registro automático do Windows 10Enable Windows 10 automatic enrollment

O registro automático permite que os usuários registrem seus dispositivos Windows 10 no Intune.Automatic enrollment lets users enroll their Windows 10 devices in Intune. Para fazer o registro, os usuários adicionam a conta de trabalho aos seus dispositivos pessoais ou ingressam os dispositivos corporativos no Azure Active Directory.To enroll, users add their work account to their personally owned devices or join corporate-owned devices to Azure Active Directory. Em segundo plano, o dispositivo registra-se e ingressa no Azure Active Directory.In the background, the device registers and joins Azure Active Directory. Depois de registrado, o dispositivo é gerenciado com o Intune.Once registered, the device is managed with Intune.

Pré-requisitosPrerequisites

Configurar o registro automático do MDMConfigure automatic MDM enrollment

  1. Entre no Portal do Azure e selecione Azure Active Directory.Sign in to the Azure portal, and select Azure Active Directory.

    Captura de tela do portal do Azure

  2. Selecione Mobilidade (MDM e MAM) .Select Mobility (MDM and MAM).

    Captura de tela do portal do Azure

  3. Selecione Microsoft Intune.Select Microsoft Intune.

    Captura de tela do portal do Azure

  4. Configure Escopo de Usuário MDM.Configure MDM User scope. Especifique quais dispositivos dos usuários devem ser gerenciados pelo Microsoft Intune.Specify which users’ devices should be managed by Microsoft Intune. Esses dispositivos Windows 10 podem ser registrados automaticamente para gerenciamento com o Microsoft Intune.These Windows 10 devices can automatically enroll for management with Microsoft Intune.

    • Nenhum - registro automático do MDM desabilitadoNone - MDM automatic enrollment disabled

    • Alguns - selecione os Grupos que podem inscrever seus dispositivos com Windows 10 automaticamenteSome - Select the Groups that can automatically enroll their Windows 10 devices

    • Todos - todos os usuários podem inscrever seus dispositivos com Windows 10 automaticamenteAll - All users can automatically enroll their Windows 10 devices

      Importante

      Para dispositivos BYOD, o escopo do usuário de MAM terá precedência se o escopo do usuário de MAM e o escopo do usuário de MDM (registro automático de MDM) estiverem habilitados para todos os usuários (ou para os mesmos grupos de usuários).For BYOD devices, the MAM user scope takes precedence if both MAM user scope and MDM user scope (automatic MDM enrollment) are enabled for all users (or the same groups of users). Se você tiver configurado as políticas de WIP (Proteção de Informações do Windows), o dispositivo as usará em vez de registrar-se no MDM.The device will use Windows Information Protection (WIP) Policies (if you configured them) rather than being MDM enrolled.

      Para dispositivos corporativos, o escopo do usuário MDM terá precedência se ambos os escopos estiverem habilitados.For corporate devices, the MDM user scope takes precedence if both scopes are enabled. Os dispositivos são registrados no MDM.The devices get MDM enrolled.

    Observação

    O escopo de usuário do MDM deve ser definido como um grupo do Azure AD que contém objetos de usuário.MDM user scope must be set to an Azure AD group that contains user objects.

    Captura de tela do portal do Azure

  5. Use os valores padrão para as seguintes URLs:Use the default values for the following URLs:

    • URL dos Termos de uso do MDMMDM Terms of use URL
    • URL de Descoberta do MDMMDM Discovery URL
    • URL da Conformidade do MDMMDM Compliance URL
  6. Selecione Salvar.Select Save.

Por padrão, autenticação de dois fatores não está habilitada para o serviço.By default, two-factor authentication is not enabled for the service. No entanto, a autenticação de dois fatores é recomendável ao registrar um dispositivo.However, two-factor authentication is recommended when registering a device. Para habilitar a autenticação de dois fatores, configure um provedor de autenticação de dois fatores no Azure AD e as suas contas de usuário para a autenticação multifator.To enable two-factor authentication, configure a two-factor authentication provider in Azure AD and configure your user accounts for multi-factor authentication. Consulte Guia de Introdução com o servidor de autenticação multifator do Azure.See Getting started with the Azure Multi-Factor Authentication Server.

Simplificar a inscrição do Windows sem o Azure AD PremiumSimplify Windows enrollment without Azure AD Premium

Para simplificar o registro, crie um alias (tipo de registro CNAME) de DNS (servidor de nomes de domínio) que redireciona as solicitações de registro para os servidores do Intune.To simplify enrollment, create a domain name server (DNS) alias (CNAME record type) that redirects enrollment requests to Intune servers. Caso contrário, os usuários que tentarem se conectar ao Intune precisam inserir o nome do servidor do Intune durante o registro.Otherwise, users trying to connect to Intune must enter the Intune server name during enrollment.

Etapa 1: criar um CNAME (opcional)Step 1: Create CNAME (optional)
Criar registros de recurso DNS CNAME para o domínio da sua empresa.Create CNAME DNS resource records for your company’s domain. Por exemplo, se o site da empresa fosse contoso.com, você criaria um CNAME no DNS que redirecione EnterpriseEnrollment.contoso.com para enterpriseenrollment-s.manage.microsoft.com.For example, if your company’s website is contoso.com, you would create a CNAME in DNS that redirects EnterpriseEnrollment.contoso.com to enterpriseenrollment-s.manage.microsoft.com.

Embora a criação de entradas de DNS CNAME seja opcional, os registros CNAME facilitam o registro para os usuários.Although creating CNAME DNS entries is optional, CNAME records make enrollment easier for users. Se não for possível encontrar nenhum registro CNAME no registro, os usuários deverão inserir manualmente o nome do servidor MDM: enrollment.manage.microsoft.com.If no enrollment CNAME record is found, users are prompted to manually enter the MDM server name, enrollment.manage.microsoft.com.

TipoType Nome do hostHost name Aponta paraPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.company_domain.comEnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour
CNAMECNAME EnterpriseRegistration.company_domain.comEnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 hora1 hour

Se a empresa usar mais de um sufixo UPN, você precisará criar um CNAME para cada nome de domínio e apontar cada um para EnterpriseEnrollment-s.manage.microsoft.com.If the company uses more than one UPN suffix, you need to create one CNAME for each domain name and point each one to EnterpriseEnrollment-s.manage.microsoft.com. Por exemplo, os usuários da Contoso usam os seguintes formatos como seu email/UPN:For example, users at Contoso use the following formats as their email/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

O administrador de DNS da Contoso precisarão criar os seguintes CNAMEs:The Contoso DNS admin should create the following CNAMEs:

TipoType Nome do hostHost name Aponta paraPoints to TTLTTL
CNAMECNAME EnterpriseEnrollment.contoso.comEnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour
CNAMECNAME EnterpriseEnrollment.us.contoso.comEnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour
CNAMECNAME EnterpriseEnrollment.eu.contoso.comEnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.comEnterpriseEnrollment-s.manage.microsoft.com 1 hora1 hour

EnterpriseEnrollment-s.manage.microsoft.com – Dá suporte ao redirecionamento para o serviço Intune com o reconhecimento de domínio a partir do nome de domínio do emailEnterpriseEnrollment-s.manage.microsoft.com – Supports a redirect to the Intune service with domain recognition from the email’s domain name

Alterações em registros DNS podem levar até 72 horas para serem propagadas.Changes to DNS records might take up to 72 hours to propagate. Não é possível verificar a alteração do DNS no Intune até que o registro de DNS seja propagado.You can't verify the DNS change in Intune until the DNS record propagates.

EnterpriseEnrollment-s.manage.microsoft.com é o FQDN preferencial para o registro, mas há dois outros pontos de extremidade que foram usados pelos clientes no passado e que têm suporte.EnterpriseEnrollment-s.manage.microsoft.com is the preferred FQDN for enrollment, but there are two other endpoints that have been used by customers in the past and are supported. EnterpriseEnrollment.manage.microsoft.com (sem -s) e manage.microsoft.com funcionam conforme o destino para o servidor de descoberta automática, mas o usuário terá que tocar em OK em uma mensagem de confirmação.EnterpriseEnrollment.manage.microsoft.com (without the -s) and manage.microsoft.com both work as the target for the auto-discovery server, but the user will have to touch OK on a confirmation message. Se você apontar para EnterpriseEnrollment-s.manage.microsoft.com, o usuário não precisará fazer a etapa de confirmação adicional, portanto, essa é a configuração recomendadaIf you point to EnterpriseEnrollment-s.manage.microsoft.com, the user won’t have to do the additional confirmation step, so this is the recommended configuration

Não Há Suporte para Métodos Alternativos de RedirecionamentoAlternate Methods of Redirection Are Not Supported

Não há suporte para usar um método que não seja a configuração CNAME.Using a method other than the CNAME configuration is not supported. Por exemplo, não há suporte para usar um servidor proxy para redirecionar enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc para qualquer um dos enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc ou manage.microsoft.com/EnrollmentServer/Discovery.svc.For example, using a proxy server to redirect enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc to either enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc or manage.microsoft.com/EnrollmentServer/Discovery.svc is not supported.

Etapa 2: verifique o CNAME (opcional)Step 2: Verify CNAME (optional)

  1. No Centro de Administração do Gerenciador de Ponto de Extremidade da Microsoft, selecione Dispositivos > Windows > Registro do Windows > Validação do CNAME.In the Microsoft Endpoint Manager Admin Center, choose Devices > Windows > Windows enrollment > CNAME Validation.
  2. Na caixa Domínio, digite o site da empresa e escolha Testar.In the Domain box, enter the company website and then choose Test.

Informe aos usuários como registrar dispositivos WindowsTell users how to enroll Windows devices

Informe aos usuários como registrar seus dispositivos Windows e o que esperar quando eles forem incluídos no gerenciamento.Tell your users how to enroll their Windows devices and what to expect after they're brought into management.

Observação

Os usuários finais devem acessar o site do Portal da Empresa por meio do Microsoft Edge para exibir aplicativos Windows atribuídos a você para versões específicas do Windows.End users must access the Company Portal website through Microsoft Edge to view Windows apps that you've assigned for specific versions of Windows. Outros navegadores, incluindo o Google Chrome, Mozilla Firefox e Internet Explorer, não são compatíveis com esse tipo de filtragem.Other browsers, including Google Chrome, Mozilla Firefox, and Internet Explorer do not support this type of filtering.

Para obter instruções de registro de usuário final, consulte Registrar seu dispositivo com Windows no Intune.For end-user enrollment instructions, see Enroll your Windows device in Intune. Você também pode pedir para os usuários lerem O que meu administrador de TI poderá ver em meu dispositivo.You can also tell users to review What can my IT admin see on my device.

Importante

Se o registro de MDM automático não estiver habilitado, mas você tiver dispositivos com Windows 10 que ingressaram no Azure AD, dois registros estarão visíveis no console do Intune após o registro.If you do not have Auto-MDM enrollment enabled, but you have Windows 10 devices that have been joined to Azure AD, two records will be visible in the Intune console after enrollment. É possível interromper isso certificando-se de que esses usuários com dispositivos ingressados no Azure AD acessem Contas > Acessar trabalho ou escola e Conectar usando a mesma conta.You can stop this by making sure that users with Azure AD joined devices go to Accounts > Access work or school and Connect using the same account.

Para obter mais informações sobre as tarefas do usuário final, consulte Recursos sobre a experiência do usuário final com o Microsoft Intune.For more information about end-user tasks, see Resources about the end-user experience with Microsoft Intune.

Registro e CNAMEs de registroRegistration and Enrollment CNAMEs

O Azure Active Directory tem um CNAME diferente que ele usa para registro de dispositivo para dispositivos iOS, Android e Windows.Azure Active Directory has a different CNAME that it uses for device registration for iOS, Android, and Windows devices. O acesso condicional do Intune requer que os dispositivos sejam registrados, também chamado de "ingressado no espaço de trabalho".Intune conditional access requires devices to be registered, also called "workplace joined". Se você planeja usar acesso condicional, também deverá configurar o CNAME EnterpriseRegistration de cada nome de empresa que possui.If you plan to use conditional access, you should also configure the EnterpriseRegistration CNAME for each company name you have.

TipoType Nome do hostHost name Aponta paraPoints to TTLTTL
NOMENAME EnterpriseRegistration.EnterpriseRegistration. company_domain.comcompany_domain.com EnterpriseRegistration.windows.netEnterpriseRegistration.windows.net 1 hora1 hour

Para saber mais sobre registro de dispositivo, confira Gerenciar identidades de dispositivo usando o portal do AzureFor more information about device registration, see Manage device identities using the Azure portal

Próximas etapasNext steps