Настройка регистрации для устройств Windows

Область применения

  • Windows 10
  • Windows 11

Эта статья предназначена для ИТ-администраторов, чтобы они могли помочь сотрудникам организации зарегистрировать свои устройства Windows. После того, как вы настроите Intune, пользователи смогут зарегистрировать свои устройства Windows, войдя в систему с помощью своей рабочей или учебной учетной записи.

Как администратор Intune, вы можете упростить регистрацию одним из следующих способов:

Чтобы упростить регистрацию устройств Windows, ответьте себе на два вопроса.

  • Вы используете Azure Active Directory Premium? Azure AD Premium входит в состав плана Enterprise Mobility + Security и других планов лицензирования.
  • Какие версии Windows будут регистрировать пользователи? Устройства с Windows 11 или Windows 10 можно зарегистрировать автоматически, добавив рабочую или учебную учетную запись. Устройства с более ранними версиями необходимо регистрировать с помощью приложения "Корпоративный портал".
Azure AD Premium Другой план AD
Windows 10/11 Автоматическая регистрация Регистрация пользователей
Более ранние версии Windows Регистрация пользователей Регистрация пользователей

Организации, использующие автоматическую регистрацию, также могут настроить и массовую регистрацию устройств с помощью конструктора конфигураций Windows.

Предварительные условия для регистрации устройств

Чтобы администратор смог зарегистрировать устройства в Intune для управления, его учетной записи должны быть назначены лицензии. Узнайте о назначении лицензий для регистрации устройств.

Кроме того, можно разрешить нелицензированным администраторам входить в MEM. Дополнительные сведения см. в разделе Администраторы без лицензии.

Поддержка устройств с несколькими пользователями

Intune поддерживает устройства с несколькими пользователями, которые соответствуют следующим требованиям.

  • Работают под управлением Windows 11 или Windows 10 Creator.
  • Присоединены к домену Azure Active Directory.

Когда обычные пользователи входят в систему с помощью учетных данных Azure AD, они получают доступ ко всем приложениям и политикам, назначенным их именам. Только основной пользователь устройства может использовать Корпоративный портал для сценариев самообслуживания, таких как установка приложений и выполнение действий на устройстве (например, "Удаление" или "Сброс"). Общие устройства с Windows 10/11, которым не назначен основной пользователь, могут обращаться к Корпоративному порталу для установки доступных приложений.

Включение автоматической регистрации в Windows

Автоматическая регистрация позволяет пользователям зарегистрировать устройства с Windows в Intune. Чтобы зарегистрироваться, пользователям нужно добавить свои рабочие учетные записи на личные устройства или присоединить корпоративные устройства к Azure Active Directory. В фоновом режиме устройство регистрируется и присоединяется к Azure Active Directory. После регистрации устройство управляется с помощью Intune.

Необходимые компоненты

Настройка автоматической регистрации для MDM

  1. Войдите на портал Azure и выберите Azure Active Directory > Мобильность (MDM и MAM) > Microsoft Intune.

    На снимке экрана показаны выбранные элементы портала Azure.

  2. Настройте область пользователя MDM. Укажите, каким устройствами пользователей следует управлять с помощью Microsoft Intune. Устройства Windows 10 могут автоматически регистрироваться в системе управления Microsoft Intune.

    • Нет — автоматическая регистрация MDM отключена.

    • Некоторые — выберите группы, которые могут автоматически регистрировать свои устройства Windows 10.

    • Все — все пользователи могут автоматически регистрировать свои устройства Windows 10.

      Важно!

      Для устройств BYOD Windows область пользователей MAM имеет приоритет, если для всех пользователей (или одних и тех же групп пользователей) включены как область пользователей MAM, так и область пользователей MDM (автоматическая регистрация в MDM). Устройство не будет зарегистрировано в MDM, и будут применяться политики Windows Information Protection (WIP), если они настроены.

      Если ваша цель — включить автоматическую регистрацию для устройств Windows BYOD в MDM, настройте область пользователей MDM Все (или Некоторые и укажите группу), а область пользователя MAM — Нет (или Некоторые и укажите группу, но проследите, чтобы пользователи не были членами группы, на которую распространяются области пользователей и MDM и MAM).

      Для корпоративных устройств область пользователей MDM имеет приоритет, если включены области MDM и MAM. Устройство будет автоматически зарегистрировано в настроенном MDM.

    Примечание

    Для области пользователя MDM должна быть задана группа Azure Active Directory, содержащая объекты пользователей.

    Снимок экрана: портал Azure, где можно настроить область пользователя MDM.

  3. Используйте значения по умолчанию для следующих URL-адресов:

    • URL-адрес условий использования MDM;
    • URL-адрес обнаружения MDM;
    • URL-адрес соответствия MDM.
  4. Выберите Сохранить.

По умолчанию двухфакторная проверка подлинности для службы отключена. Тем не менее рекомендуется использовать двухфакторную проверку подлинности при регистрации устройства. Чтобы включить двухфакторную проверку подлинности, настройте ее поставщика в Azure Active Directory, а также учетные записи пользователей для использования многофакторной проверки подлинности. Ознакомьтесь со статьей Начало работы с сервером Многофакторной аутентификации Azure Active Directory.

Простая регистрация устройств с Windows без плана Azure AD Premium

Чтобы упростить регистрацию, создайте псевдоним сервера доменных имен (DNS-псевдоним; тип записи CNAME), который перенаправит запросы на регистрацию на серверы Intune. В противном случае пользователям, пытающимся подключиться к Intune, потребуется ввести имя сервера Intune при регистрации.

Шаг 1. Создание записи CNAME (необязательно)

Создайте запись ресурсов CNAME DNS для домена своей организации. Например, если компания имеет веб-сайт contoso.com, необходимо создать запись CNAME в DNS, перенаправляющую EnterpriseEnrollment.contoso.com на enterpriseenrollment-s.manage.microsoft.com.

Хотя создание записей CNAME в DNS необязательно, записи CNAME упрощают регистрацию пользователей. Если запись CNAME для регистрации не обнаружена, пользователям предлагается вручную ввести имя сервера MDM — enrollment.manage.microsoft.com.

Тип Имя узла Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.com 1 час
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 час

Если в организации используется несколько UPN-суффиксов, необходимо создать по одной записи CNAME для каждого доменного имени и указать для них EnterpriseEnrollment-s.manage.microsoft.com. Например, пользователи в компании Contoso используют следующие форматы электронной почты или UPN.

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

Администратор DNS в Contoso создает следующие записи CNAME.

Тип Имя узла Points to TTL
CNAME EnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 час
CNAME EnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 час
CNAME EnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 час

EnterpriseEnrollment-s.manage.microsoft.com — поддерживает перенаправление в службу Intune с распознаванием домена по имени домена электронной почты

Для распространения изменений в записях DNS может потребоваться до 72 часов. Проверить смену DNS в Intune невозможно, пока запись DNS не будет распространена.

Шаг 2. Проверка записи CNAME (необязательно)

  1. В Центре администрирования Microsoft Endpoint Manager выберите Устройства > Windows > Регистрация Windows > Проверка CNAME.
  2. В поле Домен укажите веб-сайт организации и нажмите кнопку Проверка.

Дополнительные неподдерживаемые конечные точки

EnterpriseEnrollment-s.manage.microsoft.com — предпочтительное полное доменное имя для регистрации. Существуют две другие конечные точки, которые использовались прежде и все еще работают. Однако они больше не поддерживаются. Как EnterpriseEnrollment.manage.microsoft.com (без "-s"), так и manage.microsoft.com могут быть назначениями для сервера автоматического обнаружения, однако пользователю необходимо нажать кнопку "ОК" в подтверждении. Если вы используете конечную точку EnterpriseEnrollment-s.manage.microsoft.com, пользователю не нужно подтверждать действие, поэтому это рекомендуемая конфигурация

Другие методы перенаправления не поддерживаются

Другие методы, кроме настройки CNAME, не поддерживаются. Например, не поддерживается использование прокси-сервера для перенаправления с enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc на enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc или manage.microsoft.com/EnrollmentServer/Discovery.svc.

Информирование пользователей о способах регистрации устройств Windows

Сообщите пользователям, как зарегистрировать устройства Windows и что произойдет при управлении ими.

Примечание

Чтобы просмотреть приложения Windows, назначенные для конкретных версий Windows, конечные пользователи должны зайти на веб-сайт Корпоративного портала с помощью Microsoft Edge. Другие браузеры, включая Google Chrome, Mozilla Firefox и Internet Explorer, не поддерживают этот тип фильтрации.

Инструкции по регистрации устройств см. в статье Регистрация устройств Windows 10/11 и Регистрация устройств Windows 8.1 или Windows RT 8.1. Посоветуйте пользователям изучить статью Какие сведения ИТ-администратор может просматривать на моем устройстве?.

Важно!

Если регистрация Auto-MDM не включена, но устройства Windows 10/11 присоединены к Azure AD, после регистрации в консоли Intune будут видны две записи. Чтобы этого не происходило, пользователи устройств, присоединенных к Azure Active Directory, должны выбрать элемент Учетные записи > Доступ к рабочей или учебной учетной записи и Подключиться, используя ту же учетную запись.

Дополнительные сведения о задачах пользователей см. в разделе Ресурсы по пользовательскому интерфейсу Microsoft Intune.

Регистрация записей CNAME

В Azure Active Directory есть другая запись CNAME, используемая для регистрации устройств iOS, iPadOS, Android и Windows. Условный доступ Intune требует регистрации устройств, также известной, как "подключение к рабочему месту". Если вы планируете использовать условный доступ, для каждого имени компании также необходимо настроить запись EnterpriseRegistration CNAME.

Тип Имя узла Points to TTL
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 час

Дополнительные сведения о регистрации устройств см. в статье Управление удостоверениями устройств с помощью портала Azure

Автоматическая регистрация устройств с Windows

Этот раздел применяется к государственным облачным организациям США на устройствах с Windows 10 или Windows 11.

Хотя создание записей CNAME в DNS необязательно, записи CNAME упрощают регистрацию пользователей. Если запись CNAME для регистрации не обнаружена, пользователям предлагается вручную ввести имя сервера MDM — enrollment.manage.microsoft.us.

Тип Имя узла Points to TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.us 1 час
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 час

Дальнейшие действия