Registrare automaticamente un dispositivo Windows usando Criteri di gruppo
È possibile usare Criteri di gruppo per attivare la registrazione automatica a Mobile Device Management (MDM) per i dispositivi aggiunti al dominio Active Directory (AD).
I criteri di gruppo creati in Active Directory locale attivano la registrazione in Intune senza alcuna interazione dell'utente. Questo meccanismo causa-effetto consente di registrare automaticamente in massa un numero elevato di dispositivi aziendali aggiunti a un dominio in Microsoft Intune. Il processo di registrazione viene avviato in background dopo l'accesso al dispositivo con l'account Microsoft Entra.
Requisiti:
- Il dispositivo aggiunto ad Active Directory deve eseguire una versione supportata di Windows.
- L'organizzazione ha configurato un servizio MDM (Mobile Device Management).
- Active Directory locale deve essere integrato con Microsoft Entra ID (tramite Microsoft Entra Connect).
- Configurazione del punto di connessione del servizio (SCP). Per altre informazioni, vedere Configurazione di SCP tramite Microsoft Entra Connect. Per gli ambienti che non pubblicano dati SCP in AD, vedere Distribuzione di destinazione dell'aggiunta ibrida di Microsoft Entra.
- Il dispositivo non deve essere già registrato in Intune usando gli agenti classici .Devices managed using agents fail enrollment with
error 0x80180026
. - Il requisito di versione minima di Windows Server si basa sul requisito di aggiunta ibrida di Microsoft Entra. Per altre informazioni, vedere Come pianificare l'implementazione dell'aggiunta ibrida di Microsoft Entra.
Suggerimento
Per altre informazioni, vedi gli argomenti seguenti:
La registrazione automatica si basa sulla presenza di un servizio MDM e sulla registrazione di Microsoft Entra per il PC. Dopo che l'azienda ha registrato il proprio AD con l'ID Microsoft Entra, un PC Windows aggiunto a un dominio viene automaticamente registrato in Microsoft Entra.
Nota
In Windows 10, versione 1709, il protocollo di registrazione è stato aggiornato per verificare se il dispositivo è aggiunto a un dominio. Per informazioni dettagliate, vedere [MS-MDE2]: Mobile Device Enrollment Protocol versione 2. Per esempi, vedere la sezione 4.3.1 RequestSecurityToken della documentazione del protocollo MS-MDE2.
Quando i Criteri di gruppo di registrazione automatica sono abilitati, viene creata un'attività in background che avvia la registrazione MDM. L'attività usa la configurazione del servizio MDM esistente dalle informazioni di Microsoft Entra dell'utente. Se è necessaria l'autenticazione a più fattori, all'utente viene richiesto di completare l'autenticazione. Dopo aver configurato la registrazione, l'utente può controllare lo stato nella pagina Impostazioni.
- A partire da Windows 10 versione 1709, quando lo stesso criterio è configurato in Criteri di gruppo e MDM, i criteri di gruppo hanno la precedenza su MDM.
- A partire da Windows 10 versione 1803, una nuova impostazione consente di modificare la precedenza su MDM. Per altre informazioni, vedere Criteri di gruppo di Windows e Criteri MDM di Intune che vince?.
Per il funzionamento di questo criterio, è necessario verificare che il provider di servizi MDM consenta la registrazione MDM avviata da Criteri di gruppo per i dispositivi aggiunti a un dominio.
Configurare la registrazione automatica per un gruppo di dispositivi
Per configurare la registrazione automatica usando criteri di gruppo, seguire questa procedura:
- Creare un oggetto Criteri di gruppo e abilitare imodelli> amministrativi di Configurazione> computer criteri di gruppoComponenti> di WindowsMDM>Abilita la registrazione MDM automatica usando le credenziali predefinite di Microsoft Entra.
- Creare un gruppo di sicurezza per i PC.
- Collegare l'oggetto Criteri di gruppo.
- Filtrare usando i gruppi di sicurezza.
Se i criteri non vengono visualizzati, ottenere l'admx più recente per la versione di Windows. Per risolvere il problema, usare le procedure seguenti. La versione più recente di MDM.admx è compatibile con le versioni precedenti.
Scaricare i modelli amministrativi per la versione desiderata:
Installare il pacchetto nel controller di dominio.
Passare a
C:\Program Files (x86)\Microsoft Group Policy
e individuare la sottodirectory appropriata a seconda della versione installata.Copiare la cartella PolicyDefinitions in
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
.Se questa cartella non esiste, copiare i file nell'archivio criteri centrale per il dominio.
Attendere il completamento della replica DFSR SYSVOL per rendere disponibili i criteri.
Configurare i Criteri di gruppo di registrazione automatica per un singolo PC
Questa procedura è solo a scopo illustrativo per mostrare come funzionano i nuovi criteri di registrazione automatica. Non è consigliabile per l'ambiente di produzione nell'azienda.
Esegui
GPEdit.msc
. Scegliere Start, quindi nella casella di testo digitaregpedit
.In Corrispondenza migliore selezionare Modifica criteri di gruppo per avviarlo.
In Criteri computer locali selezionare Modelli> amministrativiComponenti> di WindowsMDM.
Fare doppio clic su Abilita registrazione MDM automatica usando le credenziali predefinite di Microsoft Entra. Selezionare Abilita, selezionare Credenziali utente nell'elenco a discesa Seleziona tipo di credenziali da usare e quindi selezionare OK.
Nota
In Windows 10, versione 1903 e successive, il file MDM.admx è stato aggiornato per includere l'opzione Device Credential per selezionare le credenziali usate per registrare il dispositivo. Il comportamento predefinito per le versioni precedenti consiste nel ripristinare le credenziali utente.
Device Credential è supportato solo per la registrazione di Microsoft Intune in scenari con pool di host multisessione di Co-management o Desktop virtuale Azure perché la sottoscrizione di Intune è incentrata sull'utente. Le credenziali utente sono supportate per i pool di host personali di Desktop virtuale Azure.
Quando si verifica un aggiornamento dei criteri di gruppo nel client, viene creata un'attività che viene pianificata per l'esecuzione ogni cinque minuti per un giorno. L'attività è denominata Pianificazione creata dal client di registrazione per la registrazione automatica in MDM da Microsoft Entra ID. Per visualizzare l'attività pianificata, avviare l'app Utilità di pianificazione.
Se è necessaria l'autenticazione a due fattori, viene richiesto di completare il processo. Ecco uno screenshot di esempio.
Suggerimento
È possibile evitare questo comportamento usando i criteri di accesso condizionale in Microsoft Entra ID. Per altre informazioni , vedere Che cos'è l'accesso condizionale?.
Verificare la registrazione
Per verificare l'esito positivo della registrazione in MDM, passare a Start Settings Accounts Access work or school ( Avvia>impostazioni>Account>di accesso all'azienda o all'istituto di istruzione) e quindi selezionare l'account di dominio. Selezionare Info per visualizzare le informazioni di registrazione MDM.
Nota
Se non viene visualizzato il pulsante Info o le informazioni di registrazione, la registrazione potrebbe non riuscire. Controllare lo stato nell'app Utilità di pianificazione e vedere Diagnosticare la registrazione MDM.
App utilità di pianificazione
Selezionare Start, quindi nella casella di testo digitare task scheduler
. In Corrispondenza migliore selezionare Utilità di pianificazione per avviarla.
In Libreria utilità di pianificazione aprire Microsoft > Windows e quindi selezionare EnterpriseMgmt.
Per visualizzare il risultato dell'attività, spostare la barra di scorrimento per visualizzare il risultato dell'ultima esecuzione. È possibile visualizzare i log nella scheda Cronologia .
Il messaggio 0x80180026 è un messaggio di errore (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED
), che può essere causato dall'abilitazione del criterio Disabilita registrazione MDM .
Nota
La console GPEdit non riflette lo stato dei criteri impostati dall'organizzazione nel dispositivo. Viene usato solo dall'utente per impostare i criteri.