Konfigurera registrering av Windows-enheter
Den här artikeln hjälper IT-administratörer att förenkla Windows-registrering för sina användare. När du har konfigurerat Intune kan användarna registrera Windows-enheter genom att logga in med sina arbets- eller skolkonton.
I egenskap av Intune-administratör kan du förenkla registreringen på följande sätt:
- Aktivera automatisk registrering (Azure AD Premium krävs).
- CNAME-registrering.
- Aktivera massregistrering (Azure AD Premium och Windows Configuration Designer krävs).
Två saker som innebär att du kan förenkla Windows-enhetsregistreringen:
- Använder du Azure Active Directory Premium? Azure AD Premium ingår i Enterprise Mobility + Security och andra licensieringsplaner.
- Vilka versioner av Windows-klienterna kommer användarna att registrera? Windows 10-enheter kan registreras automatiskt genom att lägga till ett arbets- eller skolkonto. Tidigare versioner måste registreras via företagsportalappen.
| Azure AD Premium | Övriga AD | |
|---|---|---|
| Windows 10 | Automatisk registrering | Användarregistrering |
| Tidigare Windows-versioner | Användarregistrering | Användarregistrering |
Organisationer som använder automatisk registrering kan också konfigurera massregistrering av enheter med hjälp av Windows Configuration Designer-appen.
Krav för enhetsregistrering
Innan en administratör kan registrera enheter till Intune för hantering bör licenser redan ha tilldelats till administratörskontot. Läs mer om att tilldela licenser för enhetsregistrering.
Du kan också låta olicensierade administratörer logga in på MEM. Mer information finns i Administratörer utan licens.
Stöd för flera användare
Intune stöder flera användare på enheter som båda:
- Kör Windows 10 Creators uppdatering
- Är Azure Active Directory domän-ansluten.
När vanliga användare loggar in med sina autentiseringsuppgifter för Azure AD får de tillgång till de appar och principer som har tilldelats deras användarnamn. Endast enhetens primära användare kan använda Företagsportal självbetjäningsscenarier som installation av appar och enhetsåtgärder (t.ex. Ta bort eller Återställ). För delade Windows 10 enheter som inte har en primär användare tilldelad kan Företagsportal fortfarande användas för att installera tillgängliga appar.
Aktivera automatisk registrering i Windows 10
Med automatisk registrering kan användarna registrera sina Windows 10-enheter i Intune. Användarna registrerar genom att lägga till sina arbetskonton till sina personligt ägda enheter eller genom att ansluta sina företagsägda enheter till Azure Active Directory. Enheten registreras och ansluts till Azure Active Directory i bakgrunden. När enheten har registrerats hanteras den med Intune.
Förutsättningar
- Azure Active Directory Premium-prenumeration (provprenumeration)
- Microsoft Intune-prenumeration
Konfigurera automatisk MDM-registrering
Logga in på Azure Portaloch välj Azure Active Directory > Mobility (MDM och MAM) > Microsoft Intune.
Konfigurera MDM-användaromfattning. Ange vilka användares enheter som ska hanteras av Microsoft Intune. Dessa Windows 10-enheter kan registreras automatiskt för hantering med Microsoft Intune.
Ingen – Automatisk registrering av MDM är inaktiverad
Vissa – Välj de grupper som automatiskt kan registrera sina Windows 10-enheter
Alla – Alla användare kan automatiskt registrera sina Windows 10-enheter
Viktigt
För Windows BYOD-enheter har MAM-användaromfånget företräde om både MAM- och MDM-användaromfånget (automatisk MDM-registrering) har aktiverats för alla användare (eller samma grupper av användare). Enheten MDM-registreras inte och Windows Information Protection-principer (WIP) tillämpas om du har konfigurerat dem.
Om avsikten är att aktivera automatisk registrering för Windows BYOD-enheter till en MDM: Konfigurera MDM-användaromfånget till Alla (eller Vissa och ange en grupp) och MAM-användaromfånget till Ingen (eller Vissa och ange en grupp; se till att användarna inte är medlemmar i en grupp som omfattas av både MDM- och MAM-användaromfång).
För företagsenheter får MDM-användaromfånget företräde om både MDM- och MAM-användaromfång är aktiverade. Enheten registreras automatiskt i den konfigurerade MDM:en.
Anteckning
MDM-användaromfånget måste vara inställt på en Azure AD-grupp som innehåller användarobjekt.
Använd standardvärdena för följande URL:er:
- Webbadress till MDM-användarvillkor
- Webbadress till MDM-identifiering
- Webbadress till MDM-kompatibilitet
Välj Spara.
Som standard är inte tvåfaktorautentisering aktiverat för tjänsten. Tvåfaktorautentisering rekommenderas dock när du registrerar en enhet. För att aktivera tvåfaktorautentisering konfigurerar du en provider för tvåfaktorautentisering i Azure AD och konfigurerar dina användarkonton för multifaktorautentisering. Se Komma igång med Azure Active Directory Multi-Factor Authentication-server.
Förenkla Windows-registreringen utan Azure AD Premium
Du kan förenkla registreringen genom att skapa ett DNS-alias (CNAME-posttyp) som omdirigerar registreringsbegäranden till Intune-servrarna. I annat fall måste användare som försöker ansluta till Intune ange Intune-servernamnet under registreringen.
Steg 1: Skapa CNAME (valfritt)
Skapa CNAME-DNS-resursposter för företagsdomänen. Om ditt företags webbplats till exempel är contoso.com så skapar du en CNAME-post i DNS som omdirigerar EnterpriseEnrollment.contoso.com till enterpriseenrollment-s.manage.microsoft.com.
Det är valfritt att skapa CNAME DNS-poster, men det blir enklare för användarna om du gör det. Om ingen CNAME-post hittas, uppmanas användarna att manuellt ange MDM-servernamnet, enrollment.manage.microsoft.com.
| Typ | Värdnamn | Pekar på | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.company_domain.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 timme |
| CNAME | EnterpriseRegistration.company_domain.com | EnterpriseRegistration.windows.net | 1 timme |
Om du har fler än ett UPN-suffix måste du skapa en CNAME-post för varje domännamn och leda var och en till EnterpriseEnrollment-s.manage.microsoft.com. Till exempel, användare på Contoso använder följande format som e-post/UPN:
- name@contoso.com
- name@us.contoso.com
- name@eu.contoso.com
Contosos DNS-administratör skapar följande CNAME-poster:
| Typ | Värdnamn | Pekar på | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 timme |
| CNAME | EnterpriseEnrollment.us.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 timme |
| CNAME | EnterpriseEnrollment.eu.contoso.com | EnterpriseEnrollment-s.manage.microsoft.com | 1 timme |
EnterpriseEnrollment-s.manage.microsoft.com – Stöder en omdirigering till Intune-tjänsten med domänidentifiering från e-postens domännamn
Distributionen av DNS-poständringarna kan ta upp till 72 timmar. Du kan inte verifiera DNS-ändringen i Intune förrän DNS-posten har spridits.
Steg 2: Verifiera CNAME (valfritt)
- I administrationscentret för Microsoft Endpoint Manager väljer du Enheter > Windows > Windows-registrering > CNAME-validering.
- I rutan Domän skriver du företagets webbplats och väljer Test.
Ytterligare slutpunkter som inte stöds
EnterpriseEnrollment-s.manage.microsoft.com är rekommenderad FQDN för registrering. Det finns två andra slutpunkter som har använts tidigare och fortfarande fungerar. De stöds dock inte längre. Både EnterpriseEnrollment.manage.microsoft.com (utan -s) och manage.microsoft.com fungerar som mål för servern för automatisk identifiering men användare måste trycka på OK på ett bekräftelsemeddelande. Om du EnterpriseEnrollment-s.manage.microsoft.com behöver användaren inte göra något annat bekräftelsesteg, så det här är den rekommenderade konfigurationen
Alternativa metoder för omdirigering stöds inte
Det går inte att använda en annan metod än CNAME-konfigurationen. Det går till exempel inte att använda en proxyserver för enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc till antingen enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc eller manage.microsoft.com/EnrollmentServer/Discovery.svc.
Berätta för användare hur de ska registrera Windows-enheter
Berätta för användarna hur de ska registrera sina Windows-enheter och vad de kan förvänta sig när de har registrerat sig för hantering.
Anteckning
Slutanvändare måste ansluta till webbplatsen för företagsportalen via Microsoft Edge för att se Windows-appar som du tilldelat för specifika Windows-versioner. Andra webbläsare, inklusive Google Chrome, Mozilla Firefox och Internet Explorer har inte stöd för den här typen av filtrering.
Registreringsanvisningar för slutanvändare finns i Registrera Windows 10-enhet och Registrera Windows 8.1 eller Windows RT 8.1-enhet. Du kan även be användarna granska vad IT-administratören kan se på enheten.
Viktigt
Om du inte har aktiverat automatisk MDM-registrering, men du har Windows 10-enheter som har anslutits till Azure AD, visas två poster i Intune-konsolen efter registreringen. Du kan stoppa detta genom att se till att användare med Azure AD-anslutna enheter går till Konton > Åtkomst för arbete eller skola och Anslut med samma konto.
Mer information om slutanvändarnas aktiviteter finns i Resurser om slutanvändarens upplevelse med Microsoft Intune.
CNAME-registrering
Azure Active Directory har ett annat CNAME som används för enhetsregistrering av iOS/iPadOS-, Android- och Windows-enheter. Villkorlig åtkomst i Intune kräver att enheterna blir registrerade, även kallat ”arbetsplatsanslutna”. Om du planerar att använda villkorlig åtkomst bör du även konfigurera EnterpriseRegistration CNAME för varje företagsnamn som du har.
| Typ | Värdnamn | Pekar på | TTL |
|---|---|---|---|
| CNAME | EnterpriseRegistration.company_domain.com | EnterpriseRegistration.windows.net | 1 timme |
Mer information om enhetsregistrering finns i Hantera enhetsidentiteter med hjälp av Azure Portal
Automatisk registrering av Windows 10 och enhetsregistrering
Det här avsnittet gäller för amerikanska myndigheters molnkunder.
Det är valfritt att skapa CNAME DNS-poster, men det blir enklare för användarna om du gör det. Om ingen CNAME-post för registreringen hittas, uppmanas användarna att manuellt ange MDM-servernamnet, enrollment.manage.microsoft.us.
| Typ | Värdnamn | Pekar på | TTL |
|---|---|---|---|
| CNAME | EnterpriseEnrollment.company_domain.com | EnterpriseEnrollment-s.manage.microsoft.us | 1 timme |
| CNAME | EnterpriseRegistration.company_domain.com | EnterpriseRegistration.windows.net | 1 timme |