Microsoft Intune 中的注册时间分组

适用于：

• Windows 11
• Android

设置注册时间分组，以在设备注册期间加快应用和策略预配。 使用注册时间分组，可以在注册配置文件中添加Microsoft Entra安全组，以便在注册期间（而不是之后）将设备添加到组。 然后，可以将所需的应用和策略配置分配给组。 此预知设备在注册后将成为其成员的安全组，使 Intune 能够在注册时将配置快速传送到设备，从而减少注册后延迟并缩短工作效率时间。

如果未配置注册时间分组，则会根据清单属性和组标记 ID 对已注册的设备进行分组。 然后，Microsoft Intune 基于组成员身份提供应用和策略。 Microsoft Intune 只能在设备分组后确定设备所需的应用和策略，因此以这种方式分组的设备通常无法立即使用。 注册后，设备最多可能需要 8 小时才能接收所有应用和策略。

本文概述了注册时间分组、配置方法以及功能限制。

要求

通过以下方式预配的设备上支持注册时间分组：

• Windows Autopilot 设备准备

• Android Enterprise

对于 Windows Autopilot，你必须有权创建和修改 Windows Autopilot 设备准备策略。 若要在注册配置文件中配置Microsoft Entra组，必须具有注册时间设备成员身份分配权限。 此权限可用于自定义角色，位于 Microsoft Intune 管理中心的 “注册计划 ”类别下。

对于 Android Enterprise，必须有权创建和修改 Android Enterprise 注册配置文件。 若要在 Android 注册配置文件中配置Microsoft Entra组，必须具有 Android Enterprise 的注册时间设备成员身份分配权限。 此权限适用于 Intune 管理中心Microsoft Android Enterprise 类别下的自定义角色。 以下注册配置文件支持注册时间分组：

• Android Enterprise 完全托管设备

• Android Enterprise 公司拥有的工作配置文件

• 专用 Android Enterprise

若要将 Intune 第一方应用添加为安全组所有者（这是注册时间分组的必需步骤），必须满足以下先决条件之一：

• 必须是Microsoft Entra组管理员，或者具有 microsoft.directory/groups/owners/update 权限的另一个角色。
• 必须是Microsoft Entra安全组的现有所有者。

最后，应将指定组配置为范围组，以便管理员在注册时间分组配置中使用它。

步骤 1：创建Microsoft Entra安全组

创建用于注册配置文件的静态Microsoft Entra安全组。 若要配置注册时间分组，必须将 Intune 预配客户端添加为安全组的所有者。 现在无需将设备或用户添加到此组。

以下过程介绍如何在 Microsoft Intune 管理中心中创建安全组。 有关特定于Windows 11的详细信息和步骤，请参阅 Windows Autopilot - 创建设备组。

在注册配置文件中配置注册时间分组后，可以返回到此安全组来添加和删除设备。 具有相应安全组权限的任何 Intune 管理员可以编辑安全组。

1. 登录到 Microsoft Intune 管理中心。

2. 转到 “组”。

3. 选择“ 所有组”，然后选择“ 新建组”。

4. 在打开的 “新建组” 屏幕上，输入以下信息：

   1. 组类型：选择“安全组”。

   2. 组名称：输入设备组的名称。 示例： 共享清单设备

   3. 组说明：输入设备组的说明。

   4. Microsoft Entra角色可分配给组：选择“否”。

   5. 成员身份类型：选择“ 已分配”。

   6. 所有者：选择“ 未选择所有者” 链接。

   7. 在打开的 “添加所有者 ”屏幕上，将 Intune 预配客户端添加为所有者：

      1. 滚动浏览对象列表，并选择 AppId 为 f1346770-5b25-470b-88bd-d5744ab7952c 的服务主体 Intune 预配客户端。 或者，使用 搜索 栏搜索并选择“ Intune 预配客户端”。

         注意

         • 在某些租户中，服务主体的名称可能是 Intune Autopilot ConfidentialClient ，而不是 Intune 预配客户端。 只要服务主体的 AppID 为 f1346770-5b25-470b-88bd-d5744ab7952c，它就是正确的服务主体。

         • 如果 AppId 为 f1346770-5b25-470b-88bd-d5744ab7952c 的 Intune 预配客户端或 Intune Autopilot ConfidentialClient 服务主体在对象列表中或搜索时不可用，请参阅添加 Intune 预配客户端服务主体了解后续步骤。

      2. 选择“选择”。

   8. 选择“ 创建 ”以完成创建分配的设备组。

步骤 2：在注册配置文件中配置注册时间分组

注册时间分组功能仅适用于新设备注册。 它不会影响或适用于已注册的设备。

可以为每个注册配置文件添加一个静态Microsoft Entra安全组。 作为 Intune 管理员，只能添加在 Intune 角色的范围组中授权的Microsoft Entra组。 确保 将范围组 和组标记分配给相应的角色，以便管理员可以在配置文件创建期间看到安全组。

1. 在 intune 管理中心Microsoft，转到 “设备”。

2. 展开 “设备载入”，然后选择“ 注册”。

3. 选择要配置的注册类型并创建配置文件。

   • Windows： 创建 Windows Autopilot 设备准备策略

   • 具有工作配置文件的 Android Enterprise： 使用工作配置文件设置 Android Enterprise 公司拥有的设备的 Intune 注册

   • Android Enterprise 专用： 设置 Android Enterprise 专用设备的 Intune 注册

   • Android Enterprise 完全托管： 为 Android Enterprise 完全托管设备设置注册

   提示

   暂存令牌不支持注册时间分组。 如果要配置用于注册时间分组的配置文件，请使用公司拥有的完全托管 (默认) 令牌或公司拥有的工作配置文件 (默认) 令牌。

保存配置文件后，可以随时返回到该配置文件来编辑组设置。 对组设置进行汇报不适用于已注册配置文件的设备。 如果从组中删除设备，Microsoft Intune 会重新评估策略配置，并强制设备检查以获取新配置。

步骤 3：注册设备

当设备分配注册配置文件时，它们将成为Microsoft Entra安全组的成员，并开始接收应用和策略。 管理员或最终用户完成初始设备设置后，将进入设备的主屏幕。 此时，所有目标应用和策略都应已在设备上或安装过程中。

如果从组中删除设备，Microsoft Intune 会重新评估策略配置，并强制设备检查以获取新配置。

Reporting

若要访问注册时间分组报告，请转到“设备>监视>注册时间分组失败”。 可用报表仅显示失败。 具体而言，有关在以下安装过程中未能成为特定静态设备组成员的设备的信息：

• Windows Autopilot 准备预配
• Android Enterprise 完全托管注册
• Android Enterprise 公司拥有的工作配置文件注册
• Android Enterprise 专用注册

最近更新的信息最多可能需要 20 分钟才能显示在报表中。 必须具有 Microsoft.Intune/ManagedDevices/Read RBAC 权限才能查看报表。

已知问题和限制

注册时间分组没有已知问题或限制。

疑难解答

如果发生意外行为，请使用以下信息联系Microsoft 支持部门：

• 设备序列号。
• 公司门户应用日志（如果适用）和日志 ID。
• 事件的大致时间戳和事件发生的时区。
• Microsoft Intune 管理中心或设备的屏幕截图。
• 设备上行为的详细说明。