Krok 5 – Registrace zařízení v Microsoft Intune
V poslední fázi nasazení se zařízení zaregistrují nebo připojí do Microsoft Entra ID, zaregistrují se v Microsoft Intune a zkontrolují dodržování předpisů.
Během registrace Microsoft Intune na zařízení nainstaluje certifikát správy mobilních zařízení (MDM), který intune umožní vynucovat registrační profily, omezení registrace a zásady a profily, které jste vytvořili dříve v této příručce.
Tento článek popisuje:
- Příprava registrace zařízení vlastněných společností a uživatelů v Microsoft Intune v Microsoft Intune
- Možnosti registrace pro každou platformu operačního systému
- Monitorování po registraci, řešení potíží a prostředky
Začínáme
Pokud s Intune nasazujete registrační profily poprvé nebo zkoušíte novou konfiguraci, začněte v malém a použijte fázovaný přístup. Přiřaďte registrační profil k pilotní nebo testovací skupině. Po počátečním testování přidejte do pilotní skupiny další uživatele. Pokud všechno jde dobře, přiřaďte registrační profil k více pilotním skupinám. Další informace a návrhy najdete v průvodci plánováním: Krok 5 – vytvoření plánu zavedení.
Registrace v Microsoft Entra ID je povinným krokem pro správu Intune. Než se zařízení může zaregistrovat do Intune, musí se uživatel zařízení ověřit a vytvořit identitu zařízení v ID Microsoft Entra vaší organizace. Tento krok uděluje uživateli jednotné přihlašování k cloudovým pracovním aplikacím a dalším prostředkům. Je důležité vědět, kterou možnost identity používáte, protože určuje metody registrace, které můžete použít, a také prostředí přihlašování pro uživatele zařízení. Mezi možnosti identity patří:
- Registrace Microsoft Entra je možnost identity zařízení, která je dostupná pro osobní mobilní zařízení a mobilní zařízení vlastněná společností. Uživatelé na těchto zařízeních se ověřují přihlášením k pracovním prostředkům, jako jsou aplikace a webové prohlížeče, pomocí svého pracovního účtu Microsoft Entra ID.
- Microsoft Entra join je možnost identity zařízení dostupná pro zařízení s Windows 10/11 vlastněná společností využívající možnosti spolusprávy. Uživatelé na těchto zařízeních se ověřují přihlášením k zařízení pomocí svého pracovního účtu Microsoft Entra ID.
Konfigurace před registrací
Připravte zařízení na registraci konfigurací funkcí registrace, jako jsou omezení registrace, kategorizace zařízení a správci registrace zařízení. Tyto konfigurace pomáhají vylepšovat a zjednodušit registraci pro vás a uživatele zařízení a pomáhají vám udržet si přehled v Centru pro správu. Před vytvořením registračního profilu je nakonfigurujte.
Nastavení dostupnosti se liší podle platformy operačního systému.
Zrušení registrace a resetování existujících zařízení
Pokud jsou zařízení aktuálně zaregistrovaná u jiného poskytovatele MDM, zrušte jejich registraci u stávajícího poskytovatele MDM a teprve potom je zaregistrujte v Intune. Následující tabulka uvádí zařízení, která před registrací do Intune vyžadují obnovení továrního nastavení.
Platforma | Vyžaduje se obnovení továrního nastavení? |
---|---|
Zařízení s Androidem Enterprise v osobním vlastnictví s pracovním profilem (BYOD) | Ne |
Pracovní profil androidu Enterprise vlastněný společností (COPE) | Ano |
Plně spravovaný Android Enterprise (COBO) | Ano |
Vyhrazená zařízení s Androidem Enterprise (COSU) | Ano |
Správce zařízení s Androidem (DA) | Ne |
iOS/iPadOS (BYOD) | Ne |
iOS/iPadOS (ADE) | Ano |
Linux | Ne |
macOS (BYOD) | Ne |
macOS (ADE) | Ano |
Windows | Ne |
Zařízení, která nevyžadují resetování, začnou instalovat profily Intune, jakmile se zaregistrují. Dříve nakonfigurovaná nastavení můžou na zařízeních zůstat, pokud je před registrací v Intune nezměníte.
Přidání správců registrace zařízení
Pokud potřebujete zaregistrovat a připravit velký počet zařízení pro distribuci, doporučujeme využít správce registrace zařízení. Účet správce registrace zařízení může registrovat a spravovat až 1 000 zařízení, zatímco standardní účet bez oprávnění správce může registrovat pouze 15 zařízení. Správce registrace zařízení je uživatel Microsoft Entra bez oprávnění správce, který může:
- Registrace až 1 000 zařízení vlastněných společností v Intune
- Pokud chcete získat firemní aplikace, přihlaste se k Portálu společnosti Intune.
- Konfigurace přístupu k podnikovým datům nasazením aplikací specifických pro roli do zařízení
Některé metody registrace, například automatická registrace zařízení Apple, nejsou kompatibilní s účtem správce registrace zařízení, takže před zahájením instalace se ujistěte, že je metoda, kterou zvolíte, podporovaná.
Další informace a omezení najdete v tématu Přidání správců registrace zařízení.
Vytvoření omezení registrace zařízení
Pomocí této funkce v Centru pro správu Microsoft Intune můžete určitým zařízením zakázat registraci v Intune. V Microsoft Intune můžete nakonfigurovat dva typy omezení registrace zařízení:
- Omezení platformy zařízení: Omezte zařízení na základě platformy zařízení, verze, výrobce nebo typu vlastnictví.
- Omezení limitu zařízení: Omezte počet zařízení, která může uživatel zaregistrovat v Intune.
Omezení registrace nejsou k dispozici pro Linux a některé scénáře registrace Windows. Další informace najdete v tématu Přehled omezení registrace .
Vytvoření zásad podmínek a ujednání
Zásady podmínek a ujednání Intune můžete použít k tomu, abyste uživatelům zařízení před registrací sdělili právní omezení a požadavky na dodržování předpisů. Tato zásada vyžaduje, aby uživatel zařízení před registrací zařízení nebo přístupem k chráněným prostředkům přijal podmínky a ujednání vaší organizace. Podmínky a ujednání se zobrazují cílovým uživatelům v aplikaci Portál společnosti Intune.
Pokud hledáte větší kontrolu, včetně toho, kde se tyto termíny zobrazují, zvažte konfiguraci podmínek použití aplikace Microsoft Entra. Podmínky Microsoft Entra se uživatelům zobrazí, když se přihlásí k cílovým aplikacím a prostředkům a nabízejí podrobnější nastavení než podmínky a ujednání Intune.
Další informace najdete v tématu Podmínky a ujednání pro přístup uživatelů.
Vyžadovat vícefaktorové ověřování
Vyžadovat, aby se uživatelé během registrace ověřili prostřednictvím vícefaktorového ověřování (MFA). Pokud vyžadujete vícefaktorové ověřování, musí se lidé, kteří chtějí zařízení zaregistrovat, před registrací zařízení ověřit pomocí druhého zařízení a dvou formulářů přihlašovacích údajů. Jedná se o jednorázový podmíněný krok, který zajišťuje, že osoba na zařízení je tím, za koho říká, že je. Toto chování můžete povolit pro všechny platformy kromě Linuxu pomocí zásad podmíněného přístupu se zásadami vícefaktorového ověřování. Vyžaduje se Microsoft Entra ID P1 nebo P2.
Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro registrace zařízení v Intune.
Kategorizace zařízení do skupin
Vytvořte v Intune kategorii zařízení, například ošetřovatelství nebo marketing, a Intune automaticky přidá všechna zařízení, která spadají do této kategorie, do odpovídající skupiny zařízení v Intune.
Tato funkce je dostupná pro všechny platformy kromě Linuxu. Další informace najdete v tématu Kategorizace zařízení do skupin.
Registrace zařízení s Androidem
V Intune můžete zaregistrovat osobní zařízení s Androidem nebo zařízení s Androidem vlastněná společností. Doporučujeme řešení registrace Androidu Enterprise pro osobní zařízení a zařízení vlastněná společností, která používají Google Mobile Services. U zařízení vlastněných společností, která nemají google Mobile Services a jsou vytvořená z open source projektu pro Android (AOSP), použijte metody registrace AOSP.
Požadavky
Připojte Intune ke spravovanému účtu Google Play. Připojení se vyžaduje pro všechny možnosti správy Androidu Enterprise, včetně:
- Pracovní profil Androidu Enterprise v osobním vlastnictví
- Pracovní profil Androidu Enterprise vlastněný společností
- Plně spravovaný Android Enterprise
- Android Enterprise Dedicated
Metody registrace Androidu
Následující karty popisují možnosti registrace Androidu a AOSP podporované Intune.
Zařízení vlastněná společností s pracovním profilem: Zaregistrujte zařízení vlastněná společností, která jsou také schválená pro osobní použití. Tato metoda vytvoří na zařízení samostatný pracovní profil, aby uživatel mohl snadno a bezpečně přepínat mezi svými osobními a pracovními aplikacemi. Uživatel zařízení zaregistruje zařízení prostřednictvím aplikace Microsoft Intune. Jako správce můžete spravovat aplikace a data v pracovním profilu. Tato metoda je v souladu s řešením správy pracovních profilů ve vlastnictví firmy v Androidu Enterprise .
Plně spravovaná: Registrace zařízení vlastněných společností výhradně pro pracovní a ne osobní použití. K zaregistrovaným zařízením je přidružený jeden uživatel. Můžete spravovat celé zařízení a vynucovat řízení zásad, které nejsou dostupné pomocí metody pracovního profilu Androidu Enterprise. Tato metoda je v souladu s plně spravovaným řešením správy Android Enterprise .
Vyhrazené zařízení: Zaregistrujte zařízení vlastněná společností, zařízení pro jedno použití nebo beznabídkový terminál, která se používají k digitálnímu značení, tisku lístků nebo správě inventáře. Pomocí této metody můžete omezit aplikace a webové odkazy dostupné na zařízení a zabránit uživatelům v používání zařízení mimo zamýšlený rozsah. Tato metoda je v souladu s řešením pro správu vyhrazených zařízení Android Enterprise .
Zařízení vlastněná společností bez uživatelů: Zařízení, která jsou vytvořená z AOSP (Android Open Source Project) a chybí služby Google Mobile, zaregistrujte jako zařízení vlastněná společností a bez uživatelů. Tato zařízení nemají přidruženého uživatele a jsou určená ke sdílení, například v knihovně nebo testovacím prostředí.
Zařízení vlastněná společností a uživatelem: Zařízení, která jsou sestavená z AOSP a která chybí ve službách Google Mobile, zaregistrujte jako zařízení vlastněná společností a uživatelem. Tato zařízení jsou přidružená k jednomu uživateli a jsou určená výhradně pro pracovní použití.
Nulová registrace: Pro hromadné registrace a zjednodušení registrace pro vzdálené pracovníky doporučujeme používat bezdotykovou registraci. Tato metoda umožňuje předem připravit zařízení vlastněná společností tak, aby automaticky zřídila a zaregistrovala jako plně mangovaná zařízení, když je uživatelé zapnou.
Důležité
31. prosince 2024 končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS). Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.
Registrace zařízení Apple
Tato část popisuje možnosti registrace dostupné pro zařízení s iOS/iPadOS a Mac v Intune.
Požadavky
Před vytvořením registračního profilu pro zařízení Apple splňte následující požadavky:
- Nahrajte certifikát Apple MDM Push Certificate do Intune. Další informace najdete v tématu Získání certifikátu MDM Push Certificate.
- Pokud plánujete registrovat zařízení prostřednictvím automatizované registrace zařízení Apple, získejte token programu registrace Apple. Další informace najdete tady:
Řešení registrace Apple
Následující tabulka popisuje řešení registrace pro zařízení se systémem iOS/iPadOS a macOS.
Automatická registrace zařízení pro zařízení se systémem iOS/iPadOS a mac: Zaregistrujte nová nebo vymazaná zařízení zakoupená v Apple Business Manageru nebo Apple School Manageru pomocí automatizované registrace zařízení. Tato metoda automatizované registrace pro zařízení vlastněná společností aplikuje nastavení vaší organizace z Apple Business Manageru a Apple School Manageru, podporuje režim dohledu a registruje zařízení, aniž byste se jich museli dotýkat. Když si uživatelé zařízení zapnou, průvodce Apple Setup Assistant je provede nastavením a registrací.
Apple Configurator pro zařízení se systémem iOS/iPadOS a mac: Ručně zaregistrujte nová nebo existující zařízení vlastněná společností pomocí Apple Configuratoru. Tato možnost je ideální pro hromadné registrace a v případě, že nemáte přístup k Apple School Manageru, Apple Business Manageru nebo když potřebujete kabelové připojení k síti. Musíte mít fyzický přístup k zařízením, protože se musíte připojit k zařízením mac a nakonfigurovat je. Existují dvě různé cesty, které můžete použít:
- Registrace v Pomocníkovi s nastavením: Tato metoda vymaže zařízení a připraví ho k registraci v Apple Configuratoru. Když uživatelé zařízení zapnou, spustí se Pomocník s nastavením a pak se zařízení zaregistrují do Intune. Musíte mít přístup k sériovým číslům zařízení, protože je potřebujete zadat do Centra pro správu.
- Přímá registrace: Tato metoda umožňuje zaregistrovat zařízení před distribucí a nevymaže zařízení. Zařízení zaregistrovaná tímto způsobem nejsou přidružená k uživateli, proto tuto možnost doporučujeme pro sdílená zařízení nebo zařízení v beznabídkovém režimu. Pokyny pro zařízení s macOS a iOS se liší, proto pro zařízení nezapomeňte použít správnou dokumentaci s postupy.
Registrace pro Linux
Zaměstnanci a studenti ve scénářích BYOD můžou registrovat osobní zařízení s Linuxem v Microsoft Intune. Registrace jim umožňuje přístup k pracovním prostředkům v Microsoft Edgi.
Jako správce Intune nemusíte dělat nic, abyste v Centru pro správu povolili registraci Linuxu. Povolí se automaticky. Když si uživatelé zaregistrují svoje zařízení s Linuxem, uvidíte je v Centru pro správu. Další informace najdete v tématu Registrace desktopových zařízení s Linuxem v Microsoft Intune.
Registrace pro Windows
Tato část popisuje řešení registrace, která jsou k dispozici pro osobní zařízení a zařízení vlastněná společností s Windows 10 nebo Windows 11.
Poznámka
Registrace Microsoft Intune se podporuje na zařízeních v cloudových prostředích. V místních prostředích se podporuje spoluspráva s nástrojem Configuration Manager.
Metody registrace Windows
Následující tabulka popisuje podporované metody registrace pro zařízení s Windows 10 a Windows 11.
- Automatická registrace
- Registrace modelu BYOD
- Hromadná registrace prostřednictvím zřizovacího balíčku
Povolením automatické registrace pro Windows můžete zaměstnancům a studentům usnadnit registraci v Intune. Další informace najdete v tématu Povolení automatické registrace.
Připojení k Microsoft Entra s automatickou registrací: Tato možnost je podporovaná na zařízeních, která jste vy nebo uživatel zařízení získali pro pracovní použití. K registraci dochází během počátečního prostředí, poté, co se uživatel přihlásí pomocí svého pracovního účtu a připojí se k Microsoft Entra ID, nebo když se při připojování k pracovnímu nebo školnímu účtu z aplikace Nastavení rozhodnete připojit zařízení pomocí Microsoft Entra ID (jak je popsáno v průvodci registrací zařízení s Windows – Úlohy koncového uživatele). Toto řešení je určené, když nemáte přístup k zařízení, například ve vzdálených pracovních prostředích. Když se tato zařízení zaregistrují, změní se jejich vlastnictví na firemní vlastnictví a získáte přístup k funkcím správy, které nejsou dostupné na zařízeních označených jako osobní vlastnictví.
Režim Windows Autopilot řízený uživatelem nebo režim samoobslužného nasazení: Automatická registrace se podporuje u profilů windows Autopilotu řízených uživatelem (pro scénáře hybridního připojení k Microsoft Entra i Microsoft Entra Join) nebo s vlastním nasazením (pouze microsoft Entra join) a je možné ji použít pro stolní počítače, přenosné počítače a veřejné terminály ve vlastnictví společnosti. Uživatelé zařízení získají po instalaci požadovaného softwaru a zásad přístup ke stolnímu počítači. Vyžaduje se licence Microsoft Entra ID P1 nebo P2. Doporučujeme používat pouze microsoft Entra join, který poskytuje nejlepší uživatelské prostředí a usnadňuje konfiguraci. Ve scénářích, kdy je stále potřeba místní služba Active Directory, je možné použít hybridní připojení Microsoft Entra, ale musíte nainstalovat konektor Intune pro Službu Active Directory a vaše zařízení se musí mít možnost připojit k řadiči domény přes místní síť nebo připojení VPN.
Spoluspráva s Configuration Managerem: Spoluspráva je nejvhodnější pro prostředí, která už spravují zařízení pomocí Configuration Manageru a chtějí integrovat úlohy Microsoft Intune. Spoluspráva je přesun úloh z Configuration Manageru do Intune a oznámení klientovi Windows, kdo je autoritou pro správu pro danou konkrétní úlohu. Můžete například spravovat zařízení se zásadami dodržování předpisů a úlohami konfigurace zařízení v Intune a využívat Configuration Manager pro všechny ostatní funkce, jako jsou nasazení aplikací a zásady zabezpečení.
Registrace pomocí zásad skupiny: Zásady skupiny se dají použít k aktivaci automatické registrace hybridních zařízení Microsoft Entra bez zásahu uživatele. Proces registrace se spustí na pozadí (prostřednictvím naplánované úlohy) poté, co se k zařízení přihlásí uživatel synchronizovaný s Id Microsoft Entra. Tuto metodu doporučujeme v prostředích, kde jsou zařízení hybridně připojená k Microsoft Entra a nespravují se pomocí Configuration Manageru.
Další funkce registrace Windows
V Intune existují další možnosti registrace windows, které vám a vašim zaměstnancům pomůžou zlepšit nebo zjednodušit prostředí správy zařízení:
- Nastavení spolusprávy: Povolením nastavení spolusprávy můžete integrovat úlohy Configuration Manageru s Intune. Spoluspráva umožňuje používat funkce Intune i Configuration Manageru ke správě zařízení.
- Ověření CNAME: Ověřte alias dns (domain name server) (typ záznamu CNAME), který jste vytvořili, abyste přesměrovávali žádosti o registraci na servery Intune. Alias zjednodušuje registraci uživatelů bez id Microsoft Entra P1 nebo P2 a automatickou registraci.
- Stránka stavu registrace: Povolte stránku Stavu registrace, aby uživatelé, kteří procházejí nastavením zařízení, mohli zobrazit a sledovat průběh instalace.
Hlášení a řešení potíží
Sledujte neúplné a opuštěné registrace uživatelů. Tato sestava Microsoft Intune vám řekne, kde se uživatelům na Portálu společnosti nepodařilo dokončit proces registrace.
Dokumentaci k řešení potíží najdete v tématu Řešení potíží s registrací zařízení.
Zdroje
Další příručky k registraci najdete v dokumentaci k Microsoft Intune. Tyto příručky zahrnují vizuální porovnání, postupy, tipy a osvědčené postupy registrace pro každou podporovanou platformu.
- Průvodce registrací Androidu
- Průvodce registrací pro iOS/iPadOS
- Průvodce registrací v Linuxu
- Průvodce registrací macOS
- Průvodce registrací Windows
Další kroky
- Nastavení Microsoft Intune
- Přidání, konfigurace a ochrana aplikací
- Plánování zásad dodržování předpisů
- Vytvoření konfiguračních profilů zařízení
- 🡺 Registrace zařízení (jste tady)