Inscrever um dispositivo Windows automaticamente com a Política de Grupo
Pode utilizar uma Política de Grupo para acionar a inscrição automática na Gestão de Dispositivos Móveis (MDM) para dispositivos associados a um domínio do Active Directory (AD).
A política de grupo criada no AD local aciona a inscrição no Intune sem qualquer interação do utilizador. Este mecanismo de causa e efeito significa que pode inscrever automaticamente um grande número de dispositivos empresariais associados a um domínio no Microsoft Intune. O processo de inscrição é iniciado em segundo plano assim que iniciar sessão no dispositivo com a sua conta do Microsoft Entra.
Requisitos:
- O dispositivo associado ao Active Directory tem de estar a executar uma versão suportada do Windows.
- A empresa configurou um serviço de Gestão de Dispositivos Móveis (MDM).
- O Active Directory no local tem de ser integrado com o Microsoft Entra ID (através do Microsoft Entra Connect).
- Configuração do ponto de ligação de serviço (SCP). Para obter mais informações, veja Configurar o SCP com o Microsoft Entra Connect. Para ambientes que não publicam dados SCP no AD, veja Implementação direcionada da associação híbrida do Microsoft Entra.
- O dispositivo não deve já estar inscrito no Intune com os agentes clássicos (os dispositivos geridos através de agentes falham a inscrição com
error 0x80180026
). - O requisito mínimo de versão do Windows Server baseia-se no requisito de associação híbrida do Microsoft Entra. Para obter mais informações, veja How to plan your Microsoft Entra hybrid join implementation (Como planear a implementação da associação híbrida do Microsoft Entra).
Dica
Para saber mais, veja os seguintes tópicos:
A inscrição automática depende da presença de um serviço MDM e do registo do Microsoft Entra para o PC. Assim que a empresa tiver registado o respetivo AD com o Microsoft Entra ID, um PC Windows associado a um domínio é automaticamente registado no Microsoft Entra.
Observação
No Windows 10, versão 1709, o protocolo de inscrição foi atualizado para verificar se o dispositivo está associado a um domínio. Para obter detalhes, consulte [MS-MDE2]: Mobile Device Enrollment Protocol Versão 2. Para obter exemplos, veja a secção 4.3.1 RequestSecurityToken da documentação do protocolo MS-MDE2.
Quando a Política de Grupo de Inscrição Automática está ativada, é criada uma tarefa em segundo plano que inicia a inscrição MDM. A tarefa utiliza a configuração do serviço MDM existente a partir das informações do Microsoft Entra do utilizador. Se a autenticação multifator for necessária, é pedido ao utilizador que conclua a autenticação. Assim que a inscrição estiver configurada, o utilizador pode verificar o estado na página Definições.
- A partir do Windows 10, versão 1709, quando a mesma política está configurada na Política de Grupo e MDM, a política de Política de Grupo tem precedência sobre a MDM.
- A partir do Windows 10, versão 1803, uma nova definição permite-lhe alterar a precedência para MDM. Para obter mais informações, consulte Política de Grupo do Windows vs. Política de MDM do Intune quem ganha?.
Para que esta política funcione, tem de verificar se o fornecedor de serviços MDM permite a inscrição mdm iniciada pela Política de Grupo para dispositivos associados a um domínio.
Configurar a inscrição automática para um grupo de dispositivos
Para configurar a inscrição automática com uma política de grupo, utilize os seguintes passos:
- Crie um Objeto de Política de Grupo (GPO) e ative a Política de Grupo Configuração> do ComputadorModelos Administrativos Componentes>>>do Windows MdmAtivar inscrição mdm automática com credenciais predefinidas do Microsoft Entra.
- Crie um Grupo de Segurança para os PCs.
- Ligue o GPO.
- Filtre através de Grupos de Segurança.
Se não vir a política, obtenha o ADMX mais recente para a sua versão do Windows. Para corrigir o problema, utilize os seguintes procedimentos. O MDM.admx mais recente é retrocompatível.
Transfira os modelos administrativos para a versão pretendida:
Instale o pacote no Controlador de Domínio.
Navegue para
C:\Program Files (x86)\Microsoft Group Policy
e localize o subdiretório adequado consoante a versão instalada.Copie a pasta PolicyDefinitions para
\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
.Se esta pasta não existir, copie os ficheiros para o arquivo de políticas central do seu domínio.
Aguarde que a replicação SYSVOL DFSR seja concluída para que a política esteja disponível.
Configurar a Política de Grupo de Inscrição Automática para um único PC
Este procedimento destina-se apenas a fins ilustrativos para mostrar como funciona a nova política de inscrição automática. Não é recomendado para o ambiente de produção na empresa.
Execute
GPEdit.msc
. Selecione Iniciar e, em seguida, na caixa de texto, escrevagpedit
.Em Melhor correspondência, selecione Editar política de grupo para a iniciar.
Em Política de Computador Local, selecione Modelos Administrativos Componentes>> doWindowsMDM.
Faça duplo clique em Ativar inscrição mdm automática com as credenciais predefinidas do Microsoft Entra. Selecione Ativar, selecione Credencial de Utilizador no menu pendente Selecionar Tipo de Credencial a Utilizar e, em seguida, selecione OK.
Observação
No Windows 10, versão 1903 e posterior, o ficheiro MDM.admx foi atualizado para incluir a opção Credencial do Dispositivo para selecionar a credencial utilizada para inscrever o dispositivo. O comportamento predefinido para versões mais antigas é reverter para Credencial de Utilizador.
A Credencial do Dispositivo só é suportada para a inscrição do Microsoft Intune em cenários com Agrupamentos de anfitriões de várias sessões do Azure Virtual Desktop ou cogestão porque a subscrição do Intune é centrada no utilizador. As credenciais de utilizador são suportadas para conjuntos de anfitriões pessoais do Azure Virtual Desktop.
Quando ocorre uma atualização da política de grupo no cliente, é criada uma tarefa e agendada para ser executada a cada cinco minutos durante um dia. A tarefa é denominada Agenda criada pelo cliente de inscrição para inscrição automática na MDM a partir do ID do Microsoft Entra. Para ver a tarefa agendada, inicie a aplicação Programador de Tarefas.
Se for necessária a autenticação de dois fatores, ser-lhe-á pedido para concluir o processo. Eis uma captura de ecrã de exemplo.
Dica
Pode evitar este comportamento através das Políticas de Acesso Condicional no ID do Microsoft Entra. Saiba mais ao ler O que é o Acesso Condicional?.
Verificar a inscrição
Para verificar a inscrição com êxito na MDM, aceda a Iniciar>Definições>Contas>Acesso profissional ou escolar e, em seguida, selecione a sua conta de domínio. Selecione Informações para ver as informações de inscrição mdm.
Observação
Se não vir o botão Informações ou as informações de inscrição, a inscrição poderá ter falhado. Verifique o estado na aplicação Programador de Tarefas e veja Diagnosticar inscrição MDM.
Aplicação Programador de Tarefas
Selecione Iniciar e, em seguida, na caixa de texto, escreva task scheduler
. Em Melhor correspondência, selecione Programador de Tarefas para o iniciar.
Na Biblioteca do Programador de Tarefas, abra o Microsoft > Windows e, em seguida, selecione EnterpriseMgmt.
Para ver o resultado da tarefa, mova a barra de deslocamento para ver o Resultado da Última Execução. Pode ver os registos no separador Histórico .
A mensagem 0x80180026 é uma mensagem de falha (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED
), que pode ser causada pela ativação da política Desativar Inscrição MDM .
Observação
A consola GPEdit não reflete o estado das políticas definidas pela sua organização no seu dispositivo. Só é utilizado pelo utilizador para definir políticas.