Microsoft Intune 与 Microsoft Entra ID 一起简化了注册和注册想要访问内部资源的设备的安全、简化的过程。 在Microsoft Entra ID (也称为租户) 注册用户和设备后,可以使用 Intune 实现其终结点管理功能。 为设备启用设备管理的过程称为 设备注册。
注册期间,Intune 会在注册设备上安装移动设备管理 (MDM) 证书。 MDM 证书与 Intune 服务通信,并使 Intune 能够开始强制实施组织的策略,例如:
- 限制某人可注册的设备数量或类型的注册策略。
- 帮助用户和设备符合规则的合规性策略。
- 在设备上配置适合工作的功能和设置的配置文件。
通常,策略是在注册期间部署的。 某些组可能需要比其他组更严格的策略,具体取决于他们在组织中的角色。 许多组织首先为用户和设备创建所需策略的基线。 然后,根据需要为不同的组和用例添加到此基线。
可以注册在以下平台上运行的设备。 有关受支持的版本列表,请转到 支持的作系统。
- Android
- iOS/iPadOS
- Linux
- macOS
- Windows
默认情况下,为所有平台启用注册,但可以使用 Intune 注册限制策略来限制特定平台的注册。
本文介绍受支持的设备方案和注册先决条件,包含有关使用其他 MDM 提供程序的信息,并包含特定于平台的注册指南的链接。
提示
本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。
支持的设备方案
Microsoft Intune为以下项启用移动设备管理:
- 个人设备,包括个人拥有的手机、平板电脑和电脑。
- 公司拥有的设备,包括组织拥有的手机、平板电脑和电脑,并分发给员工和学生,以便在工作或学校使用。
个人设备
自带设备 (BYOD) 方案中的设备可以在 Intune 中注册 MDM。 支持的注册方法使员工和学生能够将其个人设备用于工作或学校任务。
作为管理员,可以在 Microsoft Intune 管理中心中添加设备用户,配置其注册体验,并设置 Intune 策略。 在 Intune 公司门户 应用中,设备用户启动并完成注册。
若要确定在 Intune 中注册个人设备是否适合你的组织,请转到 Intune 规划指南:个人设备与组织拥有的设备。
注意
Intune 将Microsoft Entra注册为个人拥有的设备进行标记。
公司拥有的设备。
Microsoft Intune 为分类为 公司拥有 或 组织拥有的设备提供更精细的设置和策略。 公司拥有的设备有更多密码设置可用。 因此,可以强制实施更严格的密码要求。
Microsoft Intune 自动将符合特定条件的设备标记为公司拥有的设备。 有关详细信息,请转到 将设备标识为公司拥有的设备。
先决条件
Intune 已设置好,可以开始注册用户和设备。 请确保以下几点:
- 即使将共同管理用于 Intune + Configuration Manager,也要将 MDM 授权设置为 Intune。
- 已分配 Intune 许可证。
有关详细信息,请转到 Intune 设置部署指南。
你的设备受支持。 此要求包括共同管理的设备,或Microsoft Entra混合联接的设备。
以 策略和配置文件管理器 内置 Intune 角色的成员身份登录。 有关此角色中的权限的信息,请转到 Microsoft Intune 的内置角色权限 - 策略和配置文件管理器。
如果创建了 Intune 试用版订阅,则创建订阅的帐户是Microsoft Entra全局管理员。
警告
全局管理员内置角色是特权Microsoft Entra角色,具有比 Intune 所需的权限更多的角色。 为了降低风险,请勿使用全局管理员角色来管理 Intune。
分配可以完成任务的最低特权角色。 有关内置角色及其功能的详细信息,请参阅 基于角色的访问控制 (具有 Intune 的 RBAC) 和 Intune 的内置角色权限。
某些注册平台可能需要更特权Microsoft Entra角色,例如 Intune 管理员内置角色。 有关此角色的信息,请转到Microsoft Entra内置角色 - Intune 管理员。
不同的平台可能有其他要求。 例如,iOS/iPadOS 和 macOS 设备需要 Apple 提供的 MDM 推送证书。 已列出任何其他平台要求。
平台 其他要求 Android 无 Android Enterprise 无 iOS/iPadOS MDM 推送证书
Apple IDLinux 无 macOS MDM 推送证书 Windows 无 准备好用户组和设备组以接收注册策略。 如果尚未查看或创建组结构,并且需要一些指导,请转到 规划指南:步骤 4 - 查看现有策略和基础结构。
如果要批量注册设备,请考虑创建“设备注册管理员”(DEM) 帐户。 DEM 帐户最多可以注册 1,000 个移动设备。 在将设备提供给用户前,使用此帐户注册和配置设备。 DEM 帐户是适用于Microsoft Entra用户帐户的 Intune 权限。 这种类型的帐户与所有注册方法(如 Apple 自动设备注册)不兼容。
有关详细信息,请转到 使用 DEM 帐户注册设备。
从现有 MDM 取消注册并恢复出厂设置
如果设备当前已在其他 MDM 提供程序中注册,则从现有 MDM 提供程序中取消注册设备。 通常,取消注册不会移除已配置的现有功能和设置。 大多数 MDM 提供程序都具有从设备中删除组织特定数据的远程操作。 在 Intune 中注册之前,可以从这些设备中删除组织特定的数据。 但是,这不是必需的。
在 Intune 中注册之前,可能需要恢复出厂设置,具体取决于平台。
| 平台 | 是否需要恢复出厂设置? |
|---|---|
| Android Enterprise 个人拥有的工作配置文件设备 (BYOD) | 否 |
| Android Enterprise 公司拥有的工作配置文件 (COPE) | 是 |
| Android Enterprise 完全托管 (COBO) | 是 |
| Android Enterprise 专用设备 (COSU) | 是 |
| Android 设备管理员 (DA) | 否 |
| iOS/iPadOS | 是 |
| Linux | 否 |
| macOS | 是 |
| Windows | 否 |
在不需要恢复出厂设置的平台上,当这些设备在 Intune 中注册时,它们会开始接收你的 Intune 策略。 如果未在 Intune 中配置设置,则 Intune 不会更改或更新相应设置。 因此,设备上可能仍保留以前配置的设置。
选择平台注册指南
每个平台都有一个注册指南。 选择你的场景,然后开始使用:
下载可视化注册指南
还有一个用于每个平台的不同注册选项的可视化指南:
试点组
分配配置文件时,请从小批量入手,并使用分阶段方法。 将注册配置文件分配给试点组或测试组。 初始测试后,将更多用户添加到试点组。 然后,将注册配置文件分配给更多的试点组。
有关详细信息和建议,请转到 规划指南:步骤 5 - 创建推出计划。
移动设备记录清理
只要注册的设备与Microsoft Intune服务通信,MDM 证书将自动续订。 对于已擦除的设备或长时间无法与 Microsoft Intune 同步的设备,MDM 证书不会续订。 Microsoft Intune在 MDM 证书过期 180 天后从记录中删除空闲设备。
报告和疑难解答
后续步骤
- 设置 Microsoft Intune
- 添加、配置和保护应用
- 规划合规性策略
- 配置设备功能
- 🡺 注册设备 (你在这里)
有关特定于平台的注册指南,请转到: