注册指南:Microsoft Intune注册
Microsoft Intune与Microsoft Entra ID 一起,为注册想要访问内部资源的设备提供了一个安全、简化的过程。 在Microsoft Entra ID (也称为租户) 注册用户和设备后,可以使用 Intune 实现其终结点管理功能。 为设备启用设备管理的过程称为 设备注册。
在注册期间,Intune 会在注册设备上安装 MDM 证书。 MDM 证书与 Intune 服务通信,并使 Intune 能够开始强制实施组织的策略,例如:
- 限制某人可注册的设备数量或类型的注册策略。
- 帮助用户和设备符合规则的合规性策略。
- 在设备上配置适合工作的功能和设置的配置文件。
通常,策略是在注册期间部署的。 某些组可能需要比其他组更严格的策略,具体取决于他们在组织中的角色。 许多组织首先为用户和设备创建所需策略的基线,并根据需要为不同的组和用例构建这些策略。
可以注册在以下平台上运行的设备。 有关受支持版本的列表,请参阅 支持的操作系统。
- Android
- iOS/iPadOS
- Linux
- macOS
- Windows
默认情况下,为所有平台启用注册,但可以使用 Intune 注册限制策略来限制特定平台的注册。
本文介绍受支持的设备方案和注册先决条件,包含有关使用其他 MDM 提供程序的信息,并包含特定于平台的注册指南的链接。
提示
本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。
支持的设备方案
Microsoft Intune为以下项启用移动设备管理:
- 个人设备,包括个人拥有的手机、平板电脑和电脑。
- 公司拥有的设备,包括组织拥有的手机、平板电脑和电脑,并分发给员工和学生,以便在工作或学校使用。
个人设备
可以在 Intune 中注册自带设备 (BYOD) 方案中的设备。 支持的注册方法使员工和学生能够将其个人设备用于工作或学校。 作为管理员,你需要在Microsoft Intune管理中心中添加设备用户,配置其注册体验,并设置 Intune 策略。 在 Intune 公司门户 应用中,设备用户启动并完成注册。
注意
Intune 将Microsoft Entra注册为个人拥有的设备进行标记。
公司拥有的设备。
Microsoft Intune为分类为公司拥有的设备提供更精细的设置和策略。 例如,对于公司拥有的设备,Intune 中有更多密码策略可供选择,因此可以强制实施更严格的密码要求。 Microsoft Intune自动将符合特定条件的设备标记为公司拥有的设备。 有关详细信息,请参阅 将设备标识为公司拥有的设备。
先决条件
Intune 已设置好,可以开始注册用户和设备。 请确保以下几点:
- 即使将共同管理用于 Intune + Configuration Manager,也要将 MDM 授权设置为 Intune。
- 已分配 Intune 许可证。
有关详细信息,请参阅 Intune 设置部署指南。
你的设备受支持。 此要求包括共同管理的设备,或Microsoft Entra混合联接的设备。
以全局管理员或 Intune 服务管理员Microsoft Entra角色的成员身份登录。 Intune 的基于角色的访问控制 (RBAC)提供了详细信息。 如果创建了 Intune 试用订阅,则已创建订阅的帐户是全局管理员。
不同的平台可能有其他要求。 例如,iOS/iPadOS 和 macOS 设备需要 Apple 提供的 MDM 推送证书。 已列出任何其他平台要求。
平台 其他要求 Android 无 Android Enterprise 无 iOS/iPadOS MDM 推送证书
Apple IDLinux 无 macOS MDM 推送证书 Windows 无 准备好用户组和设备组以接收注册策略。 如果尚未查看或创建组结构,并且需要一些指导,请参阅 规划指南:步骤 4 - 查看现有策略和基础结构。
如果要批量注册设备,请考虑创建“设备注册管理员”(DEM) 帐户。 DEM 帐户最多可以注册 1,000 个移动设备。 在将设备提供给用户前,使用此帐户注册和配置设备。 DEM 帐户是应用于Microsoft Entra用户帐户的 Intune 权限。 这种类型的帐户与所有注册方法(例如 Apple 自动设备注册)不兼容。
有关详细信息,请参阅使用 DEM 帐户注册设备。
从现有 MDM 取消注册并恢复出厂设置
如果设备当前已在其他 MDM 提供程序中注册,则从现有 MDM 提供程序中取消注册设备。 通常,取消注册不会移除已配置的现有功能和设置。 大多数 MDM 提供程序都具有从设备中删除组织特定数据的远程操作。 在 Intune 中注册之前,可以从这些设备中删除组织特定的数据。 但此操作不是必需的。
在 Intune 中注册之前,可能需要恢复出厂设置,具体取决于平台。
| 平台 | 是否需要恢复出厂设置? |
|---|---|
| Android Enterprise 个人拥有的工作配置文件设备 (BYOD) | 否 |
| Android Enterprise 公司拥有的工作配置文件 (COPE) | 是 |
| Android Enterprise 完全托管 (COBO) | 是 |
| Android Enterprise 专用设备 (COSU) | 是 |
| Android 设备管理员 (DA) | 否 |
| iOS/iPadOS | 是 |
| Linux | 否 |
| macOS | 是 |
| Windows | 否 |
在不要求恢复出厂设置的平台上,这些设备在 Intune 中注册后,它们将开始接收 Intune 策略。 如果未在 Intune 中配置设置,则 Intune 不会更改或更新相应设置。 因此,设备上可能仍保留以前配置的设置。
选择平台注册指南
每个平台都有一个注册指南。 选择你的场景,然后开始使用:
下载可视化注册指南
还有一个用于每个平台的不同注册选项的可视化指南:
试点组
分配配置文件时,请从小批量入手,并使用分阶段方法。 将注册配置文件分配给试点组或测试组。 初始测试后,将更多用户添加到试点组。 然后,将注册配置文件分配给更多的试点组。
有关详细信息和建议,请参阅 规划指南:步骤 5 - 创建推出计划。
移动设备记录清理
只要注册的设备与Microsoft Intune服务通信,MDM 证书将自动续订。 对于已擦除的设备或长时间无法与Microsoft Intune同步的设备,MDM 证书不会续订。 Microsoft Intune在 MDM 证书过期 180 天后从记录中删除空闲设备。
报告和疑难解答
后续步骤
- 设置 Microsoft Intune
- 添加、配置和保护应用
- 规划合规性策略
- 配置设备功能
- 🡺 注册设备 (你在这里)
有关特定于平台的注册指南,请参阅:
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈