Регистрация устройств с Windows в системе MDM

В современном облачном мире ИТ-отделы предприятия все чаще хотят разрешить пользователям использовать свои собственные устройства или даже выбирать и приобретать корпоративные устройства. Подключение устройств к работе упрощает доступ к ресурсам организации, таким как приложения, корпоративная сеть и электронная почта.

Примечание.

При подключении устройства с помощью регистрации управления мобильными устройствами (MDM) ваша организация может применять определенные политики на вашем устройстве.

Подключение корпоративных устройств Windows

Для работы корпоративные устройства можно подключить, присоединив устройство к домену Active Directory или домену Microsoft Entra. Для Windows не требуется личная учетная запись Майкрософт на устройствах, присоединенных к Идентификатору Microsoft Entra, или локальному домену Active Directory.

вход в Active Directory Microsoft Entra.

Примечание.

Сведения об устройствах, присоединенных к локальной службе Active Directory, см. в разделе Регистрация групповой политики.

Подключение устройства к домену Microsoft Entra (присоединение к идентификатору Microsoft Entra)

Все устройства с Windows можно подключить к домену Microsoft Entra. Эти устройства можно подключить во время запуска запуска. Кроме того, классические устройства можно подключить к домену Microsoft Entra с помощью приложения "Параметры".

Встроенный интерфейс

Присоединение к домену:

  1. Выберите Моя работа или учебное заведение, а затем нажмите кнопку Далее.

    oobe — создание локальной учетной записи

  2. Выберите Присоединиться к Идентификатору Microsoft Entra, а затем нажмите кнопку Далее.

    выберите домен или идентификатор Microsoft Entra

  3. Введите имя пользователя Microsoft Entra. Это имя пользователя — это адрес электронной почты, используемый для входа в Microsoft Office 365 и аналогичные службы.

    Если клиент является клиентом только для облака, синхронизации хэша паролей или сквозной проверки подлинности, эта страница изменится, чтобы отобразить настраиваемую фирменную символику организации, и вы можете ввести пароль непосредственно на этой странице. Если клиент является частью федеративного домена, вы будете перенаправлены на локальный сервер федерации организации, например службы федерации Active Directory (AD FS) для проверки подлинности.

    В зависимости от ИТ-политики вам также может быть предложено указать второй фактор проверки подлинности на этом этапе.

    Если в клиенте Microsoft Entra настроена автоматическая регистрация, устройство также регистрируется в MDM во время этого потока. Дополнительные сведения см. в этих шагах. Если клиент не настроен для автоматической регистрации, необходимо пройти поток регистрации во второй раз, чтобы подключить устройство к MDM. После завершения потока устройство будет подключено к домену Microsoft Entra вашей организации.

    Вход в Microsoft Entra во время запуска OOBE.

Использование приложения "Параметры"

Чтобы создать локальную учетную запись и подключить устройство, выполните следующие действия:

  1. Запустите приложение "Параметры".

    экран с параметрами окна

  2. Затем перейдите в раздел Учетные записи.

    Выбор учетных записей параметров Windows

  3. Перейдите в раздел Доступ к рабочей или учебной работе.

    выберите вариант доступа к рабочей или учебной работе

  4. Выберите Подключиться.

    Возможность подключения к работе или учебному заведении

  5. В разделе Альтернативные действия выберите Присоединить это устройство к Идентификатору Microsoft Entra.

    параметр для присоединения рабочей или учебной учетной записи к идентификатору Microsoft Entra

  6. Введите имя пользователя Microsoft Entra. Это имя пользователя является адресом электронной почты, который вы используете для входа в Office 365 и аналогичные службы.

    Вход в Microsoft Entra с помощью приложения

    Если клиент является только облачным клиентом, клиентом синхронизации хэша паролей или сквозной проверки подлинности, эта страница изменится, чтобы отобразить настраиваемую фирменную символику организации, и вы можете ввести пароль непосредственно на этой странице. Если клиент является частью федеративного домена, вы будете перенаправлены на локальный сервер федерации организации, например AD FS, для проверки подлинности.

    В зависимости от ИТ-политики вам также может быть предложено указать второй фактор проверки подлинности на этом этапе.

    Если в клиенте Microsoft Entra настроена автоматическая регистрация, устройство также регистрируется в MDM во время этого потока. Дополнительные сведения см. в этой записи блога. Если клиент не настроен для автоматической регистрации, необходимо пройти поток регистрации во второй раз, чтобы подключить устройство к MDM.

    После завершения потока устройство должно быть подключено к домену Microsoft Entra вашей организации. Теперь вы можете выйти из текущей учетной записи и войти с помощью имени пользователя Microsoft Entra.

    Экран корпоративного входа

Справка по подключению к домену Microsoft Entra

Существует несколько случаев, когда устройство не может быть подключено к домену Microsoft Entra.

Проблема с подключением Описание
Устройство подключено к домену Microsoft Entra. Одновременно устройство может быть подключено только к одному домену Microsoft Entra.
Устройство уже подключено к домену Active Directory. Устройство может быть подключено к домену Microsoft Entra или домену Active Directory. Вы не можете подключиться к обоим одновременно.
На вашем устройстве уже есть пользователь, подключенный к рабочей учетной записи. Вы можете подключиться к домену Microsoft Entra или к рабочей или учебной учетной записи. Вы не можете подключиться к обоим одновременно.
Вы вошли в систему как обычный пользователь. Устройство можно подключить к домену Microsoft Entra, только если вы вошли в систему с правами администратора. Для продолжения необходимо переключиться на учетную запись администратора.
Устройство уже управляется MDM. Поток подключения к Идентификатору Microsoft Entra пытается зарегистрировать устройство в MDM, если у клиента Microsoft Entra есть предварительно настроенная конечная точка MDM. Чтобы в этом случае можно было подключиться к Идентификатору Microsoft Entra, устройство должно быть отменено в MDM.
На вашем устройстве запущен выпуск Home. Эта функция недоступна в выпуске Windows Home, поэтому вы не можете подключиться к домену Microsoft Entra. Для продолжения необходимо выполнить обновление до выпуска Pro, Enterprise или Education.

Подключение личных устройств

Личные устройства, также известные как перенос собственного устройства (BYOD), могут быть подключены к рабочей или учебной учетной записи или к MDM. Устройствам Windows не требуется личная учетная запись Майкрософт на устройствах для подключения к рабочим или учебным заведениям.

Все устройства Windows можно подключить к рабочей или учебной учетной записи. Вы можете подключиться к рабочей или учебной учетной записи с помощью приложения "Параметры" или любого из многочисленных приложений универсальной платформы Windows (UWP), таких как универсальные приложения Office.

Регистрация устройства в Microsoft Entra ID и регистрация в MDM

Чтобы создать локальную учетную запись и подключить устройство, выполните следующие действия:

  1. Запустите приложение Параметры, а затем выберите Учетные> записиЗапуск>параметров Учетные>записи.

    экран параметров windows

  2. Перейдите в раздел Доступ к рабочей или учебной работе.

    возможность доступа пользователя к работе или учебному заведение

  3. Выберите Подключиться.

    кнопка

  4. Введите имя пользователя Microsoft Entra. Это имя пользователя является адресом электронной почты, который вы используете для входа в Office 365 и аналогичные службы.

    синхронизация рабочей или учебной учетной записи с Azure AD.

  5. Если клиент является клиентом только облачной синхронизации хэша паролей или клиентом сквозной проверки подлинности, эта страница изменится, чтобы отобразить настраиваемую фирменную символику организации, и может ввести пароль непосредственно на странице. Если клиент является частью федеративного домена, вы будете перенаправлены на локальный сервер федерации организации, например AD FS, для проверки подлинности.

    В зависимости от ИТ-политики вам также может быть предложено указать второй фактор проверки подлинности на этом этапе.

    Если в клиенте Microsoft Entra настроена автоматическая регистрация, устройство также регистрируется в MDM во время этого потока. Дополнительные сведения см. в этой записи блога. Если клиент не настроен для автоматической регистрации, необходимо пройти поток регистрации во второй раз, чтобы подключить устройство к MDM.

    Вы увидите страницу состояния, на которой отображается ход настройки устройства.

    Корпоративный вход — экран и параметр

  6. После завершения потока ваша учетная запись Майкрософт будет подключена к вашей рабочей или учебной учетной записи.

    учетная запись успешно добавлена.

Справка по подключению личных устройств

Существует несколько случаев, когда устройство не сможет подключиться к работе.

Сообщение об ошибке Описание
Устройство уже подключено к облаку вашей организации. Устройство уже подключено к идентификатору Microsoft Entra, рабочей или учебной учетной записи или домену AD.
Не удалось найти ваше удостоверение в облаке вашей организации. Введенное имя пользователя не найдено в клиенте Microsoft Entra.
Ваше устройство уже управляется организацией. Устройство уже управляется MDM или Microsoft Configuration Manager.
У вас нет прав доступа для выполнения этой операции. Обратитесь к администратору. Вы не можете зарегистрировать устройство в MDM в качестве обычного пользователя. У вас должна быть учетная запись администратора.
Не удалось автоматически обнаружить конечную точку управления, соответствующую указанному имени пользователя. Проверьте имя пользователя и повторите попытку. Если вы знаете URL-адрес конечной точки управления, введите его. Необходимо указать URL-адрес сервера для MDM или проверить правильность введенного имени пользователя.

Регистрация только в управлении устройствами

Все устройства Windows можно подключить к MDM. Вы можете подключиться к MDM с помощью приложения "Параметры". Чтобы создать локальную учетную запись и подключить устройство, выполните следующие действия:

  1. Запустите приложение "Параметры".

    экран, на котором отображаются параметры windows

  2. Затем перейдите в раздел Учетные записи.

    страница учетных записей параметров windows.

  3. Перейдите в раздел Доступ к рабочей или учебной работе.

    получить доступ к работе или учебному заведении.

  4. Выберите ссылку Регистрация только в управлении устройствами .

    подключение к рабочему или учебному экрану

  5. Введите рабочий адрес электронной почты.

    экран настройки рабочей или учебной учетной записи

  6. Если устройство находит конечную точку, которая поддерживает только локальную проверку подлинности, эта страница изменится и запросит пароль. Если устройство находит конечную точку MDM, которая поддерживает федеративную проверку подлинности, появится новое окно с запросом дополнительных сведений о проверке подлинности.

    В зависимости от ИТ-политики вам также может быть предложено указать второй фактор проверки подлинности на этом этапе. Ход регистрации отображается на экране.

    экран для настройки устройства

    После завершения потока устройство будет подключено к MDM вашей организации.

Устройства Windows могут быть подключены к работе с помощью прямой связи. Пользователи могут выбрать или открыть ссылку в определенном формате из любой точки Windows и перейти к новому интерфейсу регистрации.

Прямая ссылка, используемая для подключения устройства к работе, использует следующий формат.

ms-device-enrollment:?mode={mode_name}:

Параметр Описание Поддерживаемое значение для Windows
mode Описывает, какой режим выполняется в приложении регистрации. Управление мобильными устройствами (MDM), добавление рабочей учетной записи (AWA) и Microsoft Entra присоединены.
имя_пользователя Указывает адрес электронной почты или имя участника-пользователя, который должен быть зарегистрирован в MDM. string
имя_сервера Указывает URL-адрес сервера MDM, используемый для регистрации устройства. string
accesstoken Пользовательский параметр для серверов MDM для использования по мере необходимости. Как правило, значение этого параметра можно использовать в качестве маркера для проверки запроса на регистрацию. string
deviceidentifier Пользовательский параметр для серверов MDM для использования по мере необходимости. Как правило, значение этого параметра можно использовать для передачи уникального идентификатора устройства. Код GUID
tenantidentifier Пользовательский параметр для серверов MDM для использования по мере необходимости. Как правило, значение этого параметра можно использовать для определения клиента, к которому принадлежит устройство или пользователь. GUID или строка
собственность Пользовательский параметр для серверов MDM для использования по мере необходимости. Как правило, значение этого параметра можно использовать, чтобы определить, является ли устройство BYOD или Corp Owned. 1, 2 или 3. Если "1" означает, что владение неизвестно, "2" означает, что устройство принадлежит лично, а "3" означает, что устройство является корпоративным

Примечание.

Прямые ссылки работают только с браузерами Internet Explorer или Microsoft Edge. Примеры URI, которые можно использовать для подключения к MDM с помощью глубокой ссылки:

  • ms-device-enrollment:?mode=mdm
  • ms-device-enrollment:?mode=mdm&username=someone@example.com&servername=https://example.server.com

Чтобы подключить устройства к MDM с помощью прямых ссылок, выполните следующие действия:

  1. Создайте ссылку для запуска встроенного приложения регистрации с помощью URI ms-device-enrollment:?mode=mdm и понятного текста, например щелкните здесь, чтобы подключить Windows к работе:

    Эта ссылка запускает поток, эквивалентный параметру Регистрация в управлении устройствами.

    • ИТ-администраторы могут добавить эту ссылку в приветственное сообщение электронной почты, которое пользователи могут выбрать для регистрации в MDM.

      использование прямой ссылки регистрации в электронной почте.

      Примечание.

      Убедитесь, что фильтры электронной почты не блокируют глубокие ссылки.

    • ИТ-администраторы также могут добавить эту ссылку на внутреннюю веб-страницу, на которую пользователи ссылаются на инструкции по регистрации.

  2. После того как вы выберете ссылку или запустите ее, Windows запускает приложение регистрации в специальном режиме, который разрешает только регистрацию MDM (аналогично параметру Регистрация в управлении устройствами).

    Введите рабочий адрес электронной почты.

    настройка экрана рабочей или учебной учетной записи

  3. Если устройство находит конечную точку, которая поддерживает только локальную проверку подлинности, эта страница изменится и запросит пароль. Если устройство находит конечную точку MDM, поддерживающую федеративную проверку подлинности, появится новое окно с запросом дополнительных сведений о проверке подлинности. В зависимости от ИТ-политики вам также может быть предложено указать второй фактор проверки подлинности на этом этапе.

    После завершения потока устройство будет подключено к MDM вашей организации.

    Экран корпоративного входа

Управление подключениями

Чтобы управлять рабочими или учебными подключениями, выберите Параметры Учетные>>записиДоступ к рабочим или учебным заведениям. Ваши подключения отображаются на этой странице, и выбор одного из них расширяет параметры для этого подключения.

управление рабочей или учебной учетной записью.

Info

Кнопка "Сведения " находится на рабочих или учебных подключениях с использованием MDM. Эта кнопка включена в следующие сценарии:

  • Подключение устройства к домену Microsoft Entra, для которого настроена автоматическая регистрация в MDM.
  • Подключение устройства к рабочей или учебной учетной записи, для которого настроена автоматическая регистрация в MDM.
  • Подключение устройства к MDM.

При нажатии кнопки "Сведения " откроется новая страница в приложении "Параметры", на которую будут представлены сведения о подключении MDM. Вы можете просмотреть сведения о поддержке вашей организации (если это настроено) на этой странице. Вы также можете запустить сеанс синхронизации, который заставляет устройство взаимодействовать с сервером MDM и при необходимости получать любые обновления политик.

При нажатии кнопки "Сведения " отображается список политик и бизнес-приложений, установленных вашей организацией. Ниже приведен пример снимка экрана.

сведения о работе или учебном заведении.

"Отключить"

Кнопка Отключить находится во всех рабочих подключениях. Как правило, нажатие кнопки Отключить удаляет подключение с устройства. Существует несколько исключений из этой функции:

  • Устройства, которые применяют политику AllowManualMDMUnenrollment, не позволяют пользователям удалять регистрации MDM. Эти подключения должны быть удалены командой отмены регистрации, инициированной сервером.
  • На мобильных устройствах нельзя отключиться от Microsoft Entra ID. Эти подключения можно удалить только путем очистки устройства.

Warning

Отключение может привести к потере данных на устройстве.

Сбор журналов диагностики

Журналы диагностики для рабочих подключений можно собирать, перейдя в раздел Параметры>Учетные> записиДоступ к рабочей или учебной программе, а затем щелкнув ссылку Экспорт журналов управления в разделе Связанные параметры. Затем выберите Экспорт и следуйте по пути, отображаемого для получения файлов журнала управления.

Чтобы получить расширенный диагностический отчет, перейдите в раздел Параметры>Учетные> записиДоступ к рабочей или учебной среде и нажмите кнопку Сведения. В нижней части страницы Параметры отображается кнопка для создания отчета.

Дополнительные сведения см. в разделе Сбор журналов MDM.