Руководство по регистрации: регистрация Microsoft Intune

Microsoft Intune вместе с Microsoft Entra ID упрощает безопасный и упрощенный процесс регистрации устройств, которым требуется доступ к внутренним ресурсам. После регистрации пользователей и устройств в Microsoft Entra ID (также называемой клиентом), вы можете использовать Intune для управления конечными точками. Процесс, который позволяет управлять устройствами, называется регистрацией устройств.

Во время регистрации Intune устанавливает сертификат мобильного Управление устройствами (MDM) на регистрируемом устройстве. Сертификат MDM взаимодействует со службой Intune и позволяет Intune начать применять политики вашей организации, например:

  • Политики регистрации, ограничивающие количество или тип устройств, которые могут быть зарегистрированы.
  • Политики соответствия требованиям, которые помогают пользователям и устройствам соответствовать вашим правилам.
  • Профили конфигурации, которые настраивают подходящие для работы функции и параметры на устройствах.

Схема регистрации устройства, объект создается в Microsoft Entra ID, а сертификат MDM отправляется на эти устройства в Microsoft Intune.

Как правило, политики развертываются во время регистрации. Для некоторых групп в зависимости от их ролей в организации могут потребоваться более строгие политики, чем для других. Многие организации начинают с создания базовых политик, необходимых для пользователей и устройств. Затем добавьте в этот базовый план по мере необходимости для различных групп и вариантов использования.

Вы можете зарегистрировать устройства, работающие на следующих платформах. Список поддерживаемых версий см. в разделе Поддерживаемые операционные системы.

  • Android
  • iOS/iPadOS
  • Linux
  • macOS
  • Windows

Регистрация включена для всех платформ по умолчанию, но вы можете ограничить регистрацию определенных платформ с помощью политики ограничения регистрации Intune.

В этой статье описываются поддерживаемые сценарии устройств и предварительные требования к регистрации, содержатся сведения об использовании других поставщиков MDM, а также ссылки на рекомендации по регистрации для конкретной платформы.

Совет

Это пошаговое руководство. Поэтому обязательно добавьте или обновите существующие советы и рекомендации, которые вы нашли полезными.

Поддерживаемые сценарии устройств

Microsoft Intune включает управление мобильными устройствами:

  • Для личных устройств, включая личные телефоны, планшеты и компьютеры.
  • Для корпоративных устройств, включая телефоны, планшеты и компьютеры, принадлежащие вашей организации и распространяемые среди сотрудников и учащихся для использования на работе или в учебном заведении.

Личные устройства

Устройства в сценариях использования собственных устройств (BYOD) можно зарегистрировать в Intune. Поддерживаемые методы регистрации позволяют сотрудникам и учащимся использовать свои личные устройства для рабочих или учебных задач.

Как администратор, вы добавляете пользователей устройств в Центр администрирования Microsoft Intune, настраиваете их процесс регистрации и настраиваете политики Intune. В приложении Корпоративный портал Intune пользователь устройства запускается и завершает регистрацию.

Чтобы определить, подходит ли регистрация личных устройств в Intune вашей организации, перейдите к руководству по планированию Intune: Личные устройства и устройства, принадлежащие организации.

Примечание.

Intune помечает устройства, которые Microsoft Entra зарегистрированы как личные устройства.

Корпоративные устройства

Microsoft Intune предлагает более детализированные параметры и политики для устройств, классифицированных как корпоративные или корпоративные. Для корпоративных устройств доступны дополнительные параметры пароля. Таким образом, можно применять более строгие требования к паролю.

Microsoft Intune автоматически помечают устройства, соответствующие определенным критериям, как корпоративные. Дополнительные сведения см. в статье Определение устройств как корпоративных.

Предварительные требования

  • Intune настроена и готова к регистрации пользователей и устройств. Убедитесь, что:

    Дополнительные сведения см. в руководстве по развертыванию Intune установки.

  • Ваши устройства поддерживаются. Это требование относится к устройствам, которые совместно управляются или Microsoft Entra устройствами с гибридным присоединением.

  • Войдите как член встроенной роли диспетчера политик и профилей Intune. Сведения о разрешениях в этой роли см. в статье Разрешения встроенных ролей для Microsoft Intune — диспетчер политик и профилей.

    Если вы создали пробную подписку на Intune, то учетная запись, создающая подписку, является глобальным администратором.

    Глобальный администратор имеет больше разрешений, чем требуется для создания политик регистрации. Для выполнения этой задачи рекомендуется использовать роль с наименьшими привилегиями, которая является встроенной ролью диспетчера политик и профилей Intune.

    Возможно, для некоторых платформ регистрации может потребоваться более привилегированная роль Microsoft Entra, например встроенная роль администратора Intune. Дополнительные сведения об этой роли см. в статье Microsoft Entra встроенные роли Intune администратор.

  • У разных платформ могут быть другие требования. Например, устройствам iOS/iPadOS и macOS требуется сертификат push-уведомлений MDM от Apple. Перечисляются все другие требования платформ.

    Платформа Другие требования
    Android Нет
    Android Enterprise Нет
    iOS/iPadOS Сертификат push-уведомлений MDM
    Apple ID
    Linux none
    macOS Сертификат push-уведомлений MDM
    Windows Нет
  • Подготовьте группы пользователей и устройств к приему политик регистрации. Если вы не проверяли или не создавали структуру группы и хотите получить некоторые рекомендации, перейдите к разделу Руководство по планированию. Шаг 4. Проверка существующих политик и инфраструктуры.

  • Если вы регистрируете большое количество устройств, рассмотрите возможность создания учетной записи Диспетчера регистрации устройств (DEM). Учетная запись DEM может зарегистрировать до 1000 мобильных устройств. Используйте эту учетную запись для регистрации и настройки устройств перед их предоставлением пользователям. Учетная запись DEM — это разрешение Intune, которое применяется к учетной записи пользователя Microsoft Entra. Этот тип учетной записи не совместим со всеми методами регистрации, такими как автоматическая регистрация устройств Apple.

    Дополнительные сведения см. в статье Регистрация устройств с помощью учетной записи DEM.

Отмена регистрации у существующего MDM и сброс к заводским настройкам

Если устройства в настоящее время зарегистрированы в другом поставщике MDM, отмените регистрацию устройств у существующего поставщика MDM. Как правило, отмена регистрации не приводит к удалению существующих компонентов и параметров, которые вы настроили. Большинство поставщиков MDM имеют удаленные действия, которые удаляют с устройств данные, относящиеся к определенной организации. Перед регистрацией в Intune можно удалить с этих устройств данные, относящиеся к определенной организации. Но это не обязательно.

В зависимости от платформы перед регистрацией в Intune может потребоваться сброс до заводских настроек.


Платформа Требуется сброс до заводских настроек?
Личные устройства Android Enterprise с рабочим профилем (BYOD) Нет
Android Enterprise — корпоративный рабочий профиль (COPE) Да
Полностью управляемая среда Android Enterprise (COBO) Да
Android Enterprise — выделенные устройства (COSU) Да
Администратор устройства Android (DA) Нет
iOS/iPadOS Да
Linux Нет
macOS Да
Windows Нет

На платформах, для которых не требуется сброс до заводских настроек, когда эти устройства регистрируются в Intune, они начинают получать политики Intune. Если вы не настраиваете параметр в Intune, Intune не изменит или не обновит этот параметр. Таким образом, параметры, установленные ранее, останутся настроенными на устройствах.

Выберите свое руководство по регистрации для платформы

Для каждой платформы есть руководство по регистрации. Выберите сценарий и приступайте к работе.

Скачивание наглядного руководства по регистрации

Также есть наглядное руководство по различным вариантам регистрации для каждой платформы:

Визуальное представление параметров регистрации Intune по платформе
Скачать версию PDF | Скачать версию Visio

Пилотные группы

При назначении профилей начинайте с малого и используйте поэтапный подход. Назначьте профиль регистрации пилотной или тестовой группе. После первоначального тестирования добавьте дополнительных пользователей в пилотную группу. Затем назначьте профиль регистрации еще нескольким пилотным группам.

Дополнительные сведения и рекомендации см. в руководстве по планированию. Шаг 5. Создание плана развертывания.

Очистка записей мобильных устройств

Сертификат MDM обновляется автоматически при условии, что зарегистрированные устройства взаимодействуют со службой Microsoft Intune. Сертификат MDM не обновляется для устройств, которые очищаются, или устройств, которые не синхронизируются с Microsoft Intune в течение длительного периода времени. Microsoft Intune удаляет неактивные устройства из записи через 180 дней после истечения срока действия сертификата MDM.

Отчеты и устранение неисправностей

Дальнейшие действия

  1. Настройка Microsoft Intune
  2. Добавление, настройка и защита приложений
  3. Планирование политик соответствия требованиям
  4. Настройка функций устройства
  5. 🡺 Регистрация устройств (вы находитесь здесь)

Инструкции по регистрации для конкретной платформы см. по следующим причинам: