Configurar a inscrição para dispositivos Windows
Este artigo ajuda os administradores de TI a simplificar a inscrição de dispositivos Windows para os seus utilizadores. Assim que tiver configurado o Intune, os utilizadores inscrevem os dispositivos do Windows ao iniciar sessão na respetiva conta escolar ou profissional.
Enquanto administrador do Intune, pode simplificar a inscrição das seguintes formas:
- Ativar a inscrição automática (Azure AD Premium necessária).
- Registo CNAME.
- Ativar a inscrição a granel (Azure AD Premium e Windows Designer de Configuração necessário).
Dois fatores determinam como pode simplificar a inscrição de dispositivos do Windows:
- Utiliza o Azure Active Directory Premium? O Azure AD Premium está incluído com o Enterprise Mobility + Security e outros planos de licenciamento.
- Que versões de clientes do Windows serão inscritas pelos utilizadores? Os dispositivos Windows 10 podem ser inscritos automaticamente ao adicionar uma conta escolar ou profissional. As versões anteriores têm de ser inscritas através da aplicação Portal da Empresa.
| Azure AD Premium | Outros AD | |
|---|---|---|
| Windows 10 | Inscrição automática | Inscrição do utilizador |
| Versões do Windows anteriores | Inscrição do utilizador | Inscrição do utilizador |
As organizações que podem utilizar a inscrição automática também podem configurar a inscrição de dispositivos em massa com a aplicação Windows Configuration Designer.
Pré-requisitos de inscrição de dispositivos
Antes de um administrador poder inscrever dispositivos no Intune para gestão, as licenças já deveriam ter sido atribuídas à conta do administrador. Leia sobre a atribuição de licenças para inscrição de dispositivos.
Também pode deixar os administradores não licenciados iniciarem sinssubragem no MEM. Para mais informações, consulte administradores não licenciados.
Suporte para múltiplos utilizadores
A Intune suporta vários utilizadores em dispositivos que ambos:
- Executar a atualização do Windows 10 Creator
- Estão Azure Ative Directory união de domínios.
Quando os utilizadores padrão iniciam sessão com as suas credenciais do Azure AD, recebem aplicações e políticas atribuídas ao respetivo nome de utilizador. Apenas o utilizador principal do dispositivo pode utilizar o Portal da Empresa para cenários de autosserviço, como instalar apps e ações do dispositivo (como Remover ou Redefinir). Para dispositivos Windows 10 partilhados que não tenham um utilizador primário atribuído, o Portal da Empresa ainda pode ser usado para instalar aplicações disponíveis.
Ativar a inscrição automática de dispositivos Windows 10
A inscrição automática permite que os utilizadores inscrevam os respetivos dispositivos com Windows 10 no Intune. Para se inscreverem, os utilizadores adicionam as respetivas contas profissionais aos dispositivos pessoais ou associam os dispositivos pertencentes à empresa ao Azure Active Directory. Em segundo plano, o dispositivo é registado e associa-se ao Azure Active Directory. Depois de registado, o dispositivo é gerido com o Intune.
Pré-requisitos
- Subscrição do Azure Active Directory Premium (subscrição de avaliação)
- Subscrição do Microsoft Intune
Configurar a inscrição MDM automática
Inscreva-se no portal Azuree selecione Microsoft Intune de > Mobilidade Azure Ative Directory (MDM e MAM). >
Configure Âmbito do Utilizador de MDM. Especificar quais os dispositivos dos utilizadores que devem ser geridos por Microsoft Intune. Os dispositivos com Windows 10 podem ser automaticamente inscritos na gestão com o Microsoft Intune.
Nenhum – Inscrição automática de MDM desativada
Alguns – Selecione os Grupos que podem inscrever automaticamente os dispositivos Windows 10
Todos – Todos os utilizadores podem inscrever automaticamente os dispositivos Windows 10
Importante
Para Windows dispositivos BYOD, o âmbito do utilizador MAM tem precedência se tanto o âmbito do utilizador MAM como o âmbito do utilizador MDM (inscrição automática de MDM) forem ativados para todos os utilizadores (ou para os mesmos grupos de utilizadores). O dispositivo não será matriculado em MDM e Windows Políticas de Proteção de Informação (WIP) serão aplicadas se as configurar.
Se a sua intenção é permitir a inscrição automática de Windows dispositivos BYOD a um MDM: configurar o âmbito do utilizador MDM para Todos (ou Alguns, e especificar um grupo) e configurar o âmbito do utilizador MAM para Nenhum (ou Alguns, e especificar um grupo – garantindo que os utilizadores não são membros de um grupo direcionado tanto pelo MDM como pelo MAM user scopes).
No que diz respeito a dispositivos corporativos,o âmbito do utilizador MDM tem precedência se estiverem ativados os âmbitos de utilização do MDM e do MAM. O dispositivo será automaticamente matriculado no MDM configurado.
Nota
O âmbito do utilizador DOM deve ser definido para um grupo Azure AD que contenha objetos de utilizador.
Utilize os valores predefinidos para os seguintes URLs:
- URL dos Termos de utilização de MDM
- URL de Deteção de MDM
- URL de Conformidade de MDM
Selecione Guardar.
Por predefinição, a autenticação de dois fatores não está ativada para o serviço. No entanto, recomenda-se a autenticação de dois fatores aquando do registo de um dispositivo. Para ativar a autenticação de dois fatores, configure um fornecedor de autenticação de dois fatores no AD e configure as contas de utilizador para a autenticação multifator. Ver Começar com o Azure Ative Directory Servidor de Autenticação Multi-Factor.
Simplificar a inscrição do Windows sem o Azure AD Premium
Para simplificar a inscrição, crie um alias (tipo de registo CNAME) de servidor de nomes de domínio (DNS) que redirecione os pedidos de inscrição para os servidores do Intune. Caso contrário, os utilizadores que tentem ligar ao Intune terão de introduzir o nome de servidor do Intune durante a inscrição.
Passo 1: criar o registo CNAME (opcional)
Crie registos de recursos DNS CNAME para o domínio da sua empresa. Por exemplo, se o website da sua empresa for contoso.com, criaria um CNAME no DNS que redireciona EnterpriseEnrollment.contoso.com para enterpriseenrollment-s.manage.microsoft.com.
Apesar de a criação de entradas DNS CNAME ser opcional, os registos CNAME facilitam a inscrição para os utilizadores. Se não for encontrado nenhum registo CNAME de inscrição, os utilizadores receberão um pedido para introduzir manualmente o nome do servidor MDM, enrollment.manage.microsoft.com.
| Tipo | Nome do anfitrião | Aponta para | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.dominio_da_empresa.com | EnterpriseEnrollment-s.manage.microsoft.com | Uma hora |
| CNAME | EnterpriseRegistration.dominio_da_empresa.com | EnterpriseRegistration.windows.net | Uma hora |
Se a empresa utilizar mais do que um sufixo UPN, tem de criar um CNAME para cada nome de domínio e apontar cada um para EnterpriseEnrollment-s.manage.microsoft.com. Por exemplo, os utilizadores na Contoso utilizam os seguintes formatos como e-mail/UPN:
- name@contoso.com
- name@us.contoso.com
- name@eu.contoso.com
Os administradores de DNS da Contoso devem criar os seguintes CNAMEs:
| Tipo | Nome do anfitrião | Aponta para | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | Uma hora |
| CNAME | EnterpriseEnrollment.us.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | Uma hora |
| CNAME | EnterpriseEnrollment.eu.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | Uma hora |
EnterpriseEnrollment-s.manage.microsoft.com – Suporta um redirecionamento para o serviço Intune com reconhecimento de domínio a partir do nome de domínio do e-mail
As alterações aos registos DNS podem demorar até 72 horas a serem propagadas. Não é possível verificar a alteração de DNS no Intune até o registo DNS ser propagado.
Passo 2: verificar o CNAME (opcional)
- No centro de administração Microsoft Endpoint Manager,escolha Dispositivos > Windows > Windows inscrição > CNAME Validation.
- Na caixa Domínio, introduza o site da empresa e, em seguida, selecione Testar.
Pontos finais adicionais que não são suportados
EnterpriseEnrollment-s.manage.microsoft.com é a FQDN preferida para a inscrição. Há dois outros pontos finais que foram usados anteriormente e ainda funcionam. No entanto, já não são apoiados. EnterpriseEnrollment.manage.microsoft.com (sem o -s) e manage.microsoft.com ambos funcionam como o destino para o servidor de deteção automática, mas o utilizador vai ter de selecionar OK numa mensagem de confirmação. Se apontar para EnterpriseEnrollment-s.manage.microsoft.com, o utilizador não terá de fazer outro passo de confirmação, pelo que esta é a configuração recomendada.
Os métodos alternativos de reorientação não são suportados
A utilização de um método diferente da configuração CNAME não é suportada. Por exemplo, usar um servidor proxy para redirecionar enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc para enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc ou manage.microsoft.com/EnrollmentServer/Discovery.svc não é suportado.
Informar os utilizadores sobre como inscrever dispositivos Windows
Informe os seus utilizadores sobre como inscrever os dispositivos Windows e o que esperar após começarem a ser geridos.
Nota
Os utilizadores finais têm de aceder ao site do Portal da Empresa através do Microsoft Edge para verem as aplicações do Windows que atribuiu a versões específicas do Windows. Os outros browsers, incluindo o Google Chrome, o Mozilla Firefox e o Internet Explorer, não suportam este tipo de filtragem.
Para obter instruções de inscrição no utilizador final, consulte o dispositivo de inscrição Windows 10 e inscreva-se Windows 8.1 ou Windows RT dispositivo 8.1. Também pode dizer aos utilizadores para consultarem Que informações pode o administrador de TI ver no meu dispositivo.
Importante
Se não tiver a Inscrição automática de MDM ativada, mas tiver dispositivos Windows 10 que foram associados ao Azure AD, serão visíveis dois registos na consola do Intune após a inscrição. Pode parar isto certificando-se de que os utilizadores com dispositivos aderidos a Azure vão para o trabalho de acesso às contas > ou escola e Ligação usando a mesma conta.
Para obter mais informações sobre as tarefas do utilizador final, consulte Recursos sobre a experiência do utilizador final com o Microsoft Intune.
Inscrições e Inscrições CNAMEs
Azure Ative Directory tem um CNAME diferente que utiliza para o registo de dispositivos para dispositivos iOS/iPadOS, Android e Windows dispositivos. O acesso condicional intune exige que os dispositivos sejam registados, também chamados de "local de trabalho aderidos". Se pretender utilizar o acesso condicional, também deverá configurar o EnterpriseRegistration CNAME para cada nome da empresa que tiver.
| Tipo | Nome do anfitrião | Aponta para | TTL |
|---|---|---|---|
| CNAME | EnterpriseRegistration.dominio_da_empresa.com | EnterpriseRegistration.windows.net | Uma hora |
Para obter mais informações sobre o registo do dispositivo, consulte Gerir as identidades do dispositivo utilizando o portal Azure
Windows 10 registo de auto-inscrição e dispositivo
Esta secção aplica-se aos clientes de nuvem do governo dos EUA.
Apesar de a criação de entradas DNS CNAME ser opcional, os registos CNAME facilitam a inscrição para os utilizadores. Se não for encontrado nenhum registo CNAME de inscrição, os utilizadores são solicitados a introduzir manualmente o nome do servidor MDM, enrollment.manage.microsoft.us.
| Tipo | Nome do anfitrião | Aponta para | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.dominio_da_empresa.com | EnterpriseEnrollment-s.manage.microsoft.us | Uma hora |
| CNAME | EnterpriseRegistration.dominio_da_empresa.com | EnterpriseRegistration.windows.net | Uma hora |