设置移动设备管理机构

  • 项目

移动设备管理 (MDM) 机构设置决定了管理设备的方式。 作为 IT 管理员,必须先设置 MDM 机构,然后用户才能注册设备来进行管理。 还应为你分配一个 Intune 许可证来设置 MDM 颁发机构。

可能的设置包括:

  • Intune 独立版 - 仅限云的管理,可使用 Azure 门户进行配置。 包括 Intune 提供的所有功能。 在Microsoft Intune管理中心中设置 MDM 机构

  • Intune 共同管理 - 集成了 Intune 云解决方案和适用于 Windows 10 设备的 Configuration Manager。 可使用 Configuration Manager 控制台配置 Intune。 配置设备自动注册到 Intune

  • microsoft 365 的基本移动性和安全性 - 激活此配置后,MDM 机构将设置为“Office 365”。 若要开始使用 Intune,则需要购买 Intune 许可证。

  • Microsoft 365 共存基本移动性和安全性 - 如果你已在使用 Microsoft 365 基本移动性和安全性,则可以将 Intune 添加到租户。 可以将管理机构设置为 Intune 或 Microsoft 365 基本移动性和安全性,以便每个用户指定用于管理其 MDM 注册设备的服务。 每个用户的管理机构是根据分配给用户的许可证定义的:

    • microsoft 365 基本移动性和安全性管理只有Microsoft 365 基础版或标准版许可证的用户的设备。
    • Intune 管理拥有授权使用许可证的用户的设备。
    • 如果将授权 Intune 的许可证添加到以前由 microsoft 365 基本移动性和安全性 管理的用户,则其设备将切换到 Intune 管理。 为了避免丢失用户设备上的 Microsoft 365 配置基本移动性和安全性,请确保在将 Intune 配置切换到 Intune 之前将 Intune 配置分配给用户。

将 MDM 机构设置为 Intune

对于使用 1911 服务版本及更高版本的租户,MDM 机构会自动设置为 Intune。

对于使用 1911 服务版本及更高版本的租户,如果激活了基本移动性和安全性,请按照本部分中的步骤进行操作。

对于 1911 之前的服务发布租户,如果尚未设置 MDM 颁发机构,请按照本部分中的步骤进行操作。

  1. Microsoft Intune管理中心,选择橙色横幅以打开“移动设备管理机构”设置。 如果尚未设置 MDM 机构,则仅显示橙色横幅。

  2. 在“移动设备管理机构”下,从以下选项中选择你的 MDM 机构:

    • Intune MDM 机构

    Intune 设置移动设备管理机构屏幕的屏幕截图。

将出现一条消息,表明已成功将 MDM 机构设置为 Intune。

Intune 管理 UI 的工作流

启用 Android 或 Apple 设备管理后,Intune 将发送设备和用户信息来与这些第三方服务集成,以便管理其各自的设备。

可以同意共享数据的场景包括:

  • 启用 Android Enterprise 个人拥有或公司拥有的工作配置文件。
  • 启用并上传 Apple MDM Push Certificate 时。
  • 启用任何诸如设备注册计划、School Manager 或批量采购计划等 Apple 服务时。

不论在哪种情况下,该许可都与运行移动设备管理服务密切相关。 例如,确认 IT 管理员已授权 Google 或 Apple 设备注册。 以下位置提供当新的工作流上线时用于查阅共享了哪些信息的文档:

重要注意事项

切换到新的 MDM 机构后,在设备签入并与服务同步之前, (长达 8 小时的转换时间) 。 需要在新的 MDM 机构中配置设置,以确保注册的设备在更改后继续受到管理和保护。

  • 设备必须在更改后与服务连接,以便来自新 MDM 机构(Intune 独立版)的设置可替换设备上的现有设置。
  • 更改 MDM 机构后,来自先前 MDM 机构的一些基本设置(如配置文件)将在设备上最长保留 7 天,或直到设备首次连接到该服务为止。 应尽快在新 MDM 机构中配置应用和设置 (,例如策略、配置文件和应用) ,并将设置部署到包含具有现有注册设备的用户的用户组。 更改 MDM 机构后,一旦设备连接到服务,它将从新 MDM 机构接收新设置,并防止在管理和保护方面出现空白。
  • 不会将没有关联用户的设备(通常在具有 iOS/iPadOS 设备注册计划或批处理注册方案时)迁移到新的 MDM 机构。 对于这些设备,需要调用支持以获取将它们移动到新 MDM 机构的帮助。

共存

通过启用共存,可以将 Intune 用于一组新用户,同时继续对现有用户使用 基本移动性和安全性。 可以控制哪些设备通过用户由 Intune 管理。 如果用户具有 Intune 许可证或使用 Intune 与 Configuration Manager 共同管理,Intune 将管理用户注册的所有设备。 否则,用户将由基本移动性和安全性管理。

启用共存有三个主要步骤:

  1. 准备
  2. 添加 Intune MDM 机构
  3. 用户和设备迁移(可选)。

准备

在启用与基本移动性和安全性的共存之前,请考虑以下几点:

  • 确保你想要通过 Intune 管理的用户拥有足够的 Intune 许可证
  • 查看哪些用户分配有 Intune 许可证。 启用共存后,任何已分配有 Intune 许可证的用户都可以将其设备切换到 Intune。 若要避免意外的设备切换,我们建议你在启用共存之前不分配任何 Intune 许可证。
  • 创建并部署 Intune 策略来替换最初通过 Office 365 安全与合规门户部署的设备安全策略。 应为希望从基本移动性和安全性转换到 Intune 的任何用户执行此替换。 如果没有为这些用户分配 Intune 策略,则启用共存可能会导致其丢失基本移动性和安全性设置。 这些设置会丢失,无需替换,例如托管电子邮件配置文件。 即使将设备安全策略替换为 Intune 策略,在设备移到 Intune 管理后,也可能会提示用户重新对其电子邮件配置文件进行身份验证。
  • 设置基本移动性和安全性后,无法取消设置。 但是,你可以采取一些步骤来关闭这些策略。 有关详细信息,请参阅关闭基本移动性和安全性

添加 Intune MDM 机构

若要启用共存,必须为你的环境添加 Intune 作为 MDM 机构:

  1. 使用 Microsoft Entra 全局或 Intune 服务管理员权限登录到 Microsoft Intune 管理中心

  2. 导航到“设备”。

  3. 将显示“添加 MDM 机构”边栏选项卡。

  4. 若要将 MDM 机构从 Office 365 切换到 Intune 并启用共存,请选择“Intune MDM 机构”>“添加”

    “添加 MDM 机构”屏幕的屏幕截图。

迁移用户和设备(可选)

启用 Intune MDM 机构后,将激活共存,并开始通过 Intune 管理用户。 可以选择性地移动以前由 基本移动性和安全性 管理的设备,方法是为这些用户分配 Intune 许可证。 用户的设备将在下次 MDM 签入时切换到 Intune。 通过基本移动性和安全性应用于这些设备的设置将不再应用,并且将从设备中删除。

MDM 证书过期后的移动设备清理

当移动设备与 Intune 服务通信时,将自动续订 MDM 证书。 如果移动设备被擦除,或者它们在一段时间内无法与 Intune 服务通信,则不会续订 MDM 证书。 MDM 证书过期 180 天后,将从 Azure 门户中删除设备。

删除 MDM 机构

可将 MDM 机构更改回“未知”。 服务使用 MDM 机构确定已注册设备的目标报告门户(Microsoft Intune 或 Microsoft 365 的基本移动性和安全性)。

更改 MDM 机构的预期结果

  • 当 Intune 服务检测到租户的 MDM 机构中的更改时,它会向所有已注册的设备发送通知消息。 通知消息提示设备在其常规计划之外检查并与服务同步。 因此,所有开机和联机设备都连接到该服务并接收新的 MDM 机构。 新机构管理和保护设备而不会中断。 因此,在租户的 MDM 机构从 Intune 独立版更改后,设备将继续在新 MDM 机构下正常运行。

  • 在 MDM 机构更改期间或更改后不久打开和联机的设备遇到延迟。 延迟最多可以持续 8 小时,具体取决于下一个计划的常规检查的时间。 在延迟期间,设备不会在新 MDM 机构下向服务注册。 延迟后,设备将完全注册,并在新的 MDM 机构下运行。

    重要

    在更改 MDM 机构以及将续订的 APN 证书上传到新机构时,iOS/iPadOS 设备的新设备注册和设备签入将失败。 因此,更改 MDM 机构后,请务必尽快查看并将 APN 证书上传到新机构。

  • 用户可以通过手动启动从设备到服务的签入来快速更改为新的 MDM 机构。 用户可以通过使用公司门户应用轻松进行此更改,并启动设备符合性检查。

  • 更改 MDM 机构后,要验证设备签入并与服务同步后一切工作是否正常运行,可在新 MDM 机构中查找设备。

  • 在更改 MDM 机构期间设备处于脱机状态时,以及设备签入服务时,会存在一个过渡期。 在过渡期间,保护和维护设备的功能非常重要。 为了保护和维护设备的功能,以下配置文件保留在设备上。 这些配置文件在设备上保留最多 7 天或直到设备与新的 MDM 机构连接。 设备连接并接收新设置后,将覆盖现有配置文件:

    • 电子邮件配置文件
    • VPN 配置文件
    • 证书配置文件
    • Wi-Fi 配置文件
    • 配置文件

  • 更改为新的 MDM 机构后,Microsoft Intune管理中心中的合规性数据可能需要长达一周的时间才能准确报告。 但是,Microsoft Entra ID 和设备上的符合性状态是准确的,因此设备仍然受到保护。

  • 确保用于覆盖现有设置的新设置的名称与以前的设置相同,以确保覆盖旧设置。 否则,设备可能会出现冗余配置文件和策略。

    提示

    作为最佳做法,你应该在 MDM 机构更改完成后立即创建所有管理设置和配置以及部署。 这有助于确保在过渡期间对设备进行保护和主动管理。

  • 更改 MDM 机构后,请执行以下步骤来验证新设备是否成功注册到新的机构:

    • 注册新设备
    • 确保新注册的设备显示在新 MDM 机构中。
    • 执行从Microsoft Intune管理中心到设备的远程锁定等操作。 如果成功,则新的 MDM 机构正在管理设备。

  • 如果你对特定设备有疑问,可以取消注册然后重新注册设备,以使其连接到新的机构并尽快接受管理。

确认租户的 MDM 机构

若要确认 MDM 机构已设置为 Intune,请使用以下步骤:

  1. Microsoft Intune管理中心,选择“租户管理>租户状态”。
  2. “租户详细信息 ”选项卡下,找到 MDM 机构

后续步骤

设置 MDM 机构后即可开始注册设备