Configurar o registro para dispositivos Windows

Aplica-se a

  • Windows 10
  • Windows 11

Este tópico ajuda os administradores de TI a simplificarem o registro do Windows para os usuários. Depois que você configurar o Intune, os usuários registram os dispositivos Windows entrando com sua conta corporativa ou de estudante.

Como administrador do Intune, é possível simplificar o registro das seguintes maneiras:

Dois fatores determinam como você pode simplificar o registro do dispositivo do Windows:

  • Você usa o Azure Active Directory Premium? O Azure AD Premium está incluído no Enterprise Mobility + Security e outros planos de licenciamento.
  • Quais versões de clientes Windows os usuários registrarão? Os dispositivos que executam o Windows 11 ou o Windows 10 podem se registrar automaticamente adicionando uma conta corporativa ou de estudante. Os dispositivos que executam versões anteriores devem ser registrados usando o aplicativo Portal da Empresa.
Azure AD Premium Outro AD
Windows 10/11 Registro automático Registro de usuário
Versões anteriores do Windows Registro de usuário Registro de usuário

As organizações que podem usar o registro automático também podem configurar dispositivos de registro em massa usando o aplicativo Designer de Configuração do Windows.

Pré-requisitos de registro do dispositivo

Antes que um administrador possa registrar dispositivos no Intune para gerenciamento, as licenças já deverão ter sido atribuídas à conta do administrador. Leia mais sobre como atribuir licenças para registro de dispositivo.

Você também pode permitir que os administradores não licenciados entrem no MEM. Para obter mais informações, confira Administradores sem licença.

Compatibilidade multiusuário

O Intune dá suporte a vários usuários em dispositivos que:

  • Executar a Atualização do criador do Windows 11 ou Windows 10
  • O Microsoft Azure AD está associado a um domínio

Quando os usuários padrão entrarem com as credenciais do Microsoft Azure AD, eles receberão os aplicativos e políticas atribuídas ao nome de usuário deles. Somente o Usuário primário do dispositivo pode utilizar o Portal da empresa para cenários de autoatendimento, como instalar aplicativos e ações do dispositivo (como Remover ou Redefinir). Para dispositivos Windows 10/11 compartilhados que não têm um usuário primário atribuído, o Portal da empresa ainda pode ser usado para instalar aplicativos disponíveis.

Habilitar o registro automático do Windows

O registro automático permite que os usuários registrem seus dispositivos Windows no Intune. Para se registrar, os usuários adicionam sua conta corporativa aos seus dispositivos pessoais ou ingressam dispositivos de propriedade da empresa no Azure Active Directory. O dispositivo se registra e ingressa no Azure Active Directory em segundo plano. Após ter sido registrado, o dispositivo é gerenciado com o Intune.

Pré-requisitos

Configurar o registro automático do MDM

  1. Entre no portal do Azure e selecione Azure Active Directory > Mobilidade (MDM e MAM) > Microsoft Intune.

    Captura de tela que mostra as seleções no portal do Azure.

  2. Configure o escopo do Usuário MDM. Especifique quais dispositivos dos usuários devem ser gerenciados pelo Microsoft Intune. Esses dispositivos Windows 10 podem ser registrados automaticamente para gerenciamento com o Microsoft Intune.

    • Nenhum - Registro automático do MDM desabilitado

    • Alguns - selecione os Grupos que podem inscrever seus dispositivos com Windows 10 automaticamente

    • Todos - Todos os usuários podem inscrever seus dispositivos Windows 10 automaticamente

      Importante

      Para dispositivos Windows BYOD, o escopo do usuário do MAM terá precedência se o escopo do usuário do MAM e o escopo do usuário do MDM (registro automático do MDM) estiverem habilitados para todos os usuários (ou para os mesmos grupos de usuários). O dispositivo não será registrado no MDM, e as políticas da WIP (Proteção de Informações do Windows) serão aplicadas se você as tiver configurado.

      Se a sua intenção é habilitar o registro automático para dispositivos Windows BYOD em um MDM: configure o escopo de usuário do MDM como Todos (ou Alguns e especifique um grupo) e configure o escopo do usuário do MAM como Nenhum (ou Alguns e especifique um grupo, verificando se os usuários não são membros de um grupo direcionado pelos escopos de usuário do MDM e do MAM).

      Para dispositivos corporativos, o escopo do usuário do MDM terá precedência se os escopos do MDM e do MAM estiverem habilitados. O dispositivo será registrado automaticamente no MDM configurado.

    Observação

    O escopo de usuário do MDM deve ser definido como um grupo do Microsoft Azure AD que contém objetos do usuário.

    A captura de tela mostra o portal do Azure, onde você pode configurar o escopo de usuário do MDM.

  3. Use os valores padrão para os seguintes URLs:

    • URL dos termos de uso MDM
    • URL de Descoberta do MDM
    • URL de Conformidade do MDM
  4. Selecione Salvar.

Por padrão, autenticação de dois fatores não está habilitada para o serviço. No entanto, a autenticação de dois fatores é recomendável ao registrar um dispositivo. Para habilitar a autenticação de dois fatores, configure um provedor de autenticação de dois fatores no Microsoft Azure AD e as suas contas de usuário para a autenticação multifator. Confira Introdução ao Servidor de Autenticação Multifator do Azure Active Directory.

Simplificar a inscrição do Windows sem o Azure AD Premium

Para simplificar o registro, crie um alias do servidor de nomes de domínio (DNS) (tipo de registro CNAME) que redirecione as solicitações de registro para os servidores do Intune. Caso contrário, os usuários que tentarem se conectar ao Intune precisam inserir o nome do servidor do Intune durante o registro.

Etapa 1: Criar o CNAME (opcional)

Crie registros de recursos DNS CNAME para o domínio da sua empresa. Por exemplo, se o site da empresa fosse contoso.com, você criaria um CNAME no DNS que redirecione EnterpriseEnrollment.contoso.com para enterpriseenrollment-s.manage.microsoft.com.

Embora a criação de entradas de DNS de CNAME seja opcional, os registros CNAME facilitam o registro para os usuários. Se não for possível encontrar nenhum registro CNAME no registro, os usuários deverão inserir manualmente o nome do servidor MDM enrollment.manage.microsoft.com.

Tipo Nome do host Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 hora

Se a empresa usar mais de um sufixo UPN, você precisará criar um CNAME para cada nome de domínio e apontar cada um para EnterpriseEnrollment-s.manage.microsoft.com. Por exemplo, os usuários da Contoso usam os seguintes formatos como seu email/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

O administrador de DNS da Contoso precisará criar os seguintes CNAMEs:

Tipo Nome do host Points to TTL
CNAME EnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora
CNAME EnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora
CNAME EnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 hora

EnterpriseEnrollment-s.manage.microsoft.com – Dá suporte ao redirecionamento para o serviço Intune com o reconhecimento de domínio com base no nome de domínio do email

As alterações nos registros DNS podem levar até 72 horas para serem propagadas. Não é possível verificar a alteração do DNS no Intune até que o registro de DNS seja propagado.

Etapa 2: Verificar o CNAME (opcional)

  1. No Centro de Administração do Microsoft Endpoint Manager, escolha Dispositivos > Windows > Registro do Windows > Validação do CNAME.
  2. Na caixa Domínio, digite o site da empresa e escolha Testar.

Pontos de extremidade adicionais sem suporte

EnterpriseEnrollment-s.manage.microsoft.com é o FQDN preferencial para registro. Existem dois outros pontos de extremidade que foram usados ​​anteriormente e ainda funcionam. No entanto, não há mais suporte para eles. EnterpriseEnrollment.manage.microsoft.com (sem o -s) e manage.microsoft.com funcionam como destino para o servidor de descoberta automática, mas o usuário terá que tocar em OK em uma mensagem de confirmação. Se você apontar para EnterpriseEnrollment-s.manage.microsoft.com, o usuário não precisará executar outra etapa de confirmação. Portanto, essa é a configuração recomendada.

Não há suporte para métodos alternativos de redirecionamento

Não há suporte para o uso de um método que não seja a configuração CNAME. Por exemplo, não há suporte para o uso de um servidor proxy para redirecionar enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc para enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc ou manage.microsoft.com/EnrollmentServer/Discovery.svc.

Informe aos usuários como registrar dispositivos Windows

Informe aos usuários como registrar seus dispositivos Windows e o que esperar quando eles forem incluídos no gerenciamento.

Observação

Os usuários finais devem acessar o site do Portal da Empresa por meio do Microsoft Edge para exibir os aplicativos Windows que você atribuiu para versões específicas do Windows. Outros navegadores, incluindo o Google Chrome, Mozilla Firefox e Internet Explorer, não são suportam esse tipo de filtragem.

Para obter as instruções de registro do usuário final, consulte Registrar um dispositivo Windows 10/11 e Registrar um dispositivo Windows 8.1 ou Windows RT 8.1. Você também pode pedir para os usuários lerem O que meu administrador de TI poderá ver em meu dispositivo.

Importante

Se você não tiver o registro MDM automático habilitado, mas tiver dispositivos Windows 10/11 que ingressaram no Microsoft Azure AD, dois registros ficarão visíveis no console do Intune após o registro. Você pode interromper isso certificando-se de que os usuários com dispositivos ingressados no Microsoft Azure AD acessem Contas > Acessar o trabalho ou a escola e Conectar usando a mesma conta.

Para obter mais informações sobre as tarefas do usuário final, consulte Recursos sobre a experiência do usuário final com o Microsoft Intune.

Registro e CNAMEs de Registro

O Azure Active Directory tem um CNAME diferente que ele usa para registro de dispositivo para dispositivos iOS/iPadOS, Android e Windows. O acesso condicional do Intune exige que os dispositivos sejam registrados, também chamados de “ingresso no local de trabalho”. Se você planeja usar acesso condicional, também deverá configurar o CNAME EnterpriseRegistration de cada nome de empresa que possui.

Tipo Nome do host Points to TTL
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 hora

Para obter mais informações sobre o registro do dispositivo, consulte Gerenciar identidades de dispositivo usando o portal do Azure

Registro automático do Windows e registro do dispositivo

Esta seção se aplica a clientes de nuvem do governo dos EUA em dispositivos que executam o Windows 10 ou o Windows 11.

Embora a criação de entradas de DNS de CNAME seja opcional, os registros CNAME facilitam o registro para os usuários. Se nenhum registro CNAME de registro for encontrado, os usuários deverão inserir manualmente o nome do servidor MDM: enrollment.manage.microsoft.us.

Tipo Nome do host Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.us 1 hora
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 hora

Próximas etapas