設定 Windows 裝置的註冊

本文將協助 IT 管理員為其使用者簡化 Windows 註冊。 一旦您設定 Intune,使用者以其工作或學校帳戶登入即可註冊 Windows 裝置。

身為 Intune 系統管理員,您可以用下列方式來簡化註冊:

有兩個因素會決定如何簡化 Windows 裝置註冊:

  • 您是否有使用 Azure Active Directory Premium? Azure AD Premium 包含在企業行動力 + 安全性和其他授權計劃中。
  • 使用者會註冊哪些版本的 Windows 用戶端? 加入工作或學校帳戶即可自動註冊 Windows 10 裝置。 較舊版本則必須使用公司入口網站應用程式進行註冊。
Azure AD Premium 其他 AD
Windows 10 自動註冊 使用者註冊
舊版 Windows 使用者註冊 使用者註冊

可以使用自動註冊的組織,也可以使用 Windows 設定設計工具應用程式來設定大量註冊裝置

裝置註冊先決條件

您必須先將授權指派給系統管理員的帳戶,該系統管理員才能向 Intune 註冊裝置以進行管理。 瞭解如何指派裝置註冊的授權

您也可以讓未授權的系統管理員登入記憶體。 如需詳細資訊,請參閱未經授權的系統管理員

多重使用者的支援

Intune 在下列兩種裝置上可支援多個使用者:

  • 執行 Windows 10 Creator 的更新
  • Azure Active Directory 加入網域。

當標準使用者使用其 Azure AD 認證登入時,他們會收到指派給其使用者名稱的應用程式和原則。 只有裝置的主要使用者可以使用適用于自助案例的公司入口網站,例如安裝應用程式和裝置動作 (例如移除或重設) 。 針對未獲指派主要使用者的共用 Windows 10 裝置,仍然可以使用公司入口網站來安裝可用的應用程式。

啟用 Windows 10 自動註冊

使用者可利用自動註冊,在 Intune 中註冊其 Windows 10 裝置。 若要註冊,使用者必須將其公司帳戶新增至個人擁有的裝置,或將公司擁有的裝置加入 Azure Active Directory。 裝置會於背景註冊及加入 Azure Active Directory。 註冊之後,會使用 Intune 來管理裝置。

先決條件

  • Azure Active Directory Premium 訂閱 (試用訂閱)
  • Microsoft Intune 訂閱

設定自動執行 MDM 註冊

  1. 登入 Azure 入口網站,然後選取 Azure Active Directory > 行動 (MDM 和 MAM) > Microsoft Intune

    螢幕擷取畫面:顯示 Azure 入口網站選項。

  2. 設定 [MDM 使用者範圍] 。 指定哪些使用者的裝置應該由 Microsoft Intune 管理。 這些 Windows 10 裝置將會自動註冊,而由 Microsoft Intune 管理。

    • :停用 MDM 自動註冊

    • 部分:選取可以自動註冊其 Windows 10 裝置的「群組」

    • 全部:所有使用者都可以自動註冊其 Windows 10 裝置

      重要

      針對 Windows BYOD 裝置,若為所有使用者 (或相同的使用者群組) 同時啟用了 MAM 使用者範圍和 MDM 使用者範圍 (自動 MDM 註冊),則 MAM 使用者範圍優先順序會較高。 若有進行設定,裝置便不會註冊 MDM,且會套用 Windows 資訊保護 (WIP) 原則。

      若您的目的是為 Windows BYOD 裝置啟用 MDM 自動註冊:請將 MDM 使用者範圍設為 [全部] (或 [部分] ,然後指定群組),並將 MAM 使用者範圍設為 [無] (或 [部分] ,然後指定群組。請確認使用者並非同時是 MDM 和 MAM 使用者範圍所瞄準群組的成員)。

      針對企業裝置,若同時啟用了 MDM 和 MAM 使用者範圍,則 MDM 使用者範圍的優先順序會較高。 裝置將會自動在設定的 MDM 中註冊。

    注意

    MDM 使用者範圍必須設定為包含使用者物件的 Azure AD 群組。

    螢幕擷取畫面顯示 Azure 入口網站,您可以在其中設定 M D M 使用者範圍。

  3. 使用下列 URL 的預設值:

    • MDM 使用條款 URL
    • MDM 探索 URL
    • MDM 合規性 URL
  4. 選取 [儲存] 。

根據預設,並未對服務啟用雙因素驗證。 不過,於註冊裝置時,會建議使用雙因素驗證。 若要啟用雙重要素驗證,請在 Azure AD 中設定雙重要素驗證提供者,並將您的使用者帳戶設定為進行雙重要素驗證。 請參閱開始使用 Azure Active Directory Multi-Factor Authentication Server

在沒有 Azure AD Premium 的情況下簡化 Windows 註冊

若要簡化註冊,請建立網域名稱伺服器 (DNS) 別名 (CNAME 記錄類型),將註冊要求重新導向至 Intune 伺服器。 否則,嘗試連線至 Intune 的使用者必須在註冊期間輸入 Intune 伺服器名稱。

步驟 1:建立 CNAME (選用)

建立公司網域的 CNAME DNS 資源記錄。 例如,假設公司網站為 contoso.com,則必須在 DNS 中建立 CNAME,將 EnterpriseEnrollment.contoso.com 重新導向 enterpriseenrollment-s.manage.microsoft.com。

雖然建立 CNAME DNS 項目並非必要,但 CNAME 記錄可以方便使用者進行註冊。 若找不到任何 CNAME 記錄,將會提示使用者手動輸入 MDM 伺服器名稱 enrollment.manage.microsoft.com。

類型 主機名稱 指向 TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.com 1 小時
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 小時

如果公司使用多個 UPN 尾碼,您需要為每個網域名稱建立一個 CNAME,並將其一一指向至 EnterpriseEnrollment-s.manage.microsoft.com。 例如,Contoso 上的使用者使用下列格式作為其電子郵件/UPN:

  • name@contoso.com
  • name@us.contoso.com
  • name@eu.contoso.com

Contoso DNS 系統管理員應該建立下列 CNAME:

類型 主機名稱 指向 TTL
CNAME EnterpriseEnrollment.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 小時
CNAME EnterpriseEnrollment.us.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 小時
CNAME EnterpriseEnrollment.eu.contoso.com EnterpriseEnrollment-s.manage.microsoft.com 1 小時

EnterpriseEnrollment-s.manage.microsoft.com – 支援從電子郵件的網域名稱辨識網域重新導向至 Intune 服務

DNS 記錄變更可能需要 72 小時才會傳播完成。 在 DNS 記錄傳播完成之前,您無法在 Intune 中驗證 DNS 變更。

步驟 2:驗證 CNAME (選用)

  1. Microsoft 端點管理員系統管理中心內,選擇 [裝置] > [Windows] > [Windows 註冊] > [CNAME 驗證]。
  2. 在 [網域] 方塊中輸入公司網站,然後選擇 [測試]。

不支援的其他端點

EnterpriseEnrollment-s.manage.microsoft.com 是註冊慣用的 FQDN。 先前已使用其他兩個端點,但仍可運作。 不過,不再支援它們。 EnterpriseEnrollment.manage.microsoft.com (沒有 -s) 和 manage.microsoft.com 會作為自動探索伺服器的目標,但使用者必須在確認訊息上觸控 [確定]。 如果您指向 EnterpriseEnrollment-s.manage.microsoft.com,使用者就不需要執行其他確認步驟,因此這是建議的設定

不支援重新導向的替代方法

不支援使用 CNAME 設定以外的方法。 例如,不支援使用 proxy 伺服器將 enterpriseenrollment.contoso.com/EnrollmentServer/Discovery.svc 重新導向至 enterpriseenrollment-s.manage.microsoft.com/EnrollmentServer/Discovery.svc 或 manage.microsoft.com/EnrollmentServer/Discovery.svc。

告訴使用者如何註冊 Windows 裝置

告訴使用者如何註冊其 Windows 裝置,以及開始管理之後會發生的情況。

注意

使用者必須透過 Microsoft Edge 存取公司入口網站,檢視針對特定 Windows 版本指派的 Windows 應用程式。 其他瀏覽器,包括 Google Chrome、Mozilla Firefox 和 Internet Explorer 均不支援這種篩選。

如需終端使用者註冊指示,請參閱註冊 Windows 10 裝置註冊 Windows 8.1 或 Windows RT 8.1 裝置。 您也可以告訴使用者檢閱我的 IT 系統管理員可以在我的裝置上看到哪些資訊

重要

如果您未啟用 Auto-MDM 註冊,但您的 Windows 10 裝置已加入至 Azure AD,則會在註冊之後於 Intune 主控台中顯示兩筆記錄。 停止方式是使用相同的帳戶確定具有加入 Azure AD 之裝置的使用者移至 [帳戶] > [Access work or school] (存取工作或學校) 和 [連線]。

如需終端使用者工作的詳細資訊,請參閱使用 Microsoft Intune 之使用者體驗的相關資源

登錄和註冊 CNAME

Azure Active Directory 使用不同的 CNAME 註冊 iOS/iPadOS、Android 和 Windows 裝置。 Intune 條件式存取要求裝置必須註冊,也稱為「已加入工作場所」。 如果打算使用條件式存取,您也應該為所擁有的每個公司名稱設定 EnterpriseRegistration CNAME。

類型 主機名稱 指向 TTL
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 小時

如需裝置註冊的詳細資訊,請參閱 Manage device identities using the Azure portal (使用 Azure 入口網站管理裝置身分識別)

Windows 10 自動註冊和裝置註冊

此節適用於美國政府雲端客戶。

雖然建立 CNAME DNS 項目並非必要,但 CNAME 記錄可以方便使用者進行註冊。 若找不到任何註冊 CNAME 記錄,將會提示使用者手動輸入 MDM 伺服器名稱 enrollment.manage.microsoft.tw。

類型 主機名稱 指向 TTL
CNAME EnterpriseEnrollment.company_domain.com EnterpriseEnrollment-s.manage.microsoft.tw 1 小時
CNAME EnterpriseRegistration.company_domain.com EnterpriseRegistration.windows.net 1 小時

後續步驟