步驟 5 – 在 Microsoft Intune 中註冊裝置
在部署的最後一個階段,裝置會註冊或加入 Microsoft Entra ID、在 Microsoft Intune 中註冊,並檢查合規性。
在註冊期間,Microsoft Intune 會在裝置上安裝行動裝置管理 (MDM) 憑證,讓 Intune 強制執行註冊配置檔、註冊限制,以及您稍早在本指南中建立的原則和配置檔。
本文說明:
- 如何在 Microsoft Intune 中為公司擁有和用戶擁有的裝置準備註冊。
- 每個OS平台的註冊選項。
- 註冊後監視、疑難解答和資源。
快速入門
如果這是您第一次使用 Intune 部署註冊配置檔,或您嘗試新的設定,請從小型開始,並使用分段方法。 將註冊配置檔指派給試驗或測試群組。 初始測試之後,將更多使用者新增至試驗群組。 如果一切順利,請將註冊配置檔指派給更多試驗群組。 如需詳細資訊和建議,請參閱 規劃指南:步驟 5 - 建立首度發行計劃。
Microsoft Entra ID 中的註冊是 Intune 管理的必要步驟。 裝置必須先在組織 Microsoft Entra ID 中驗證並建立裝置身分識別,裝置才能註冊 Intune。 此步驟會授與使用者對雲端式工作應用程式和其他資源的單一登錄存取權。 請務必知道您使用的身分識別選項,因為它會決定您可以使用的註冊方法,也會決定裝置使用者的登入體驗。 身分識別選項包括:
- Microsoft Entra 註冊是個人和公司擁有的行動裝置可用的裝置身分識別選項。 這些裝置上的使用者使用其 Microsoft Entra ID 工作帳戶登入工作資源來進行驗證,例如應用程式和網頁瀏覽器。
- Microsoft Entra 加入是使用共同管理選項的公司擁有 Windows 10/11 裝置可用的裝置身分識別選項。 這些裝置上的使用者使用其 Microsoft Entra ID 工作帳戶登入裝置來進行驗證。
註冊前設定
設定註冊功能來準備裝置以進行註冊,例如註冊限制、裝置分類和裝置註冊管理員。 這些設定有助於改善和簡化您和裝置用戶的註冊體驗,並協助您在系統管理中心保持井然有序。 在您建立註冊配置檔之前,請先進行設定。
設定可用性會因OS平臺而異。
取消註冊並重設現有的裝置
如果裝置目前已在另一個 MDM 提供者中註冊,請先從現有的 MDM 提供者取消註冊裝置,然後再將其註冊到 Intune。 下表顯示在註冊 Intune 之前需要重設出廠預設值的裝置。
平台 | 需要重設出廠預設值嗎? |
---|---|
Android Enterprise 個人擁有的裝置,其工作配置檔 (BYOD) | 否 |
Android Enterprise 公司擁有的工作配置檔 (COPE) | 是 |
Android Enterprise 完全受控 (COBO) | 是 |
(COSU) 的 Android Enterprise 專用裝置 | 是 |
Android 裝置系統管理員 (DA) | 否 |
iOS/iPadOS (BYOD) | 否 |
iOS/iPadOS (ADE) | 是 |
Linux | 否 |
macOS (BYOD) | 否 |
macOS (ADE) | 是 |
Windows | 否 |
不需要重設的裝置會在註冊后立即開始安裝 Intune 配置檔。 如果您在註冊之前未在 Intune 中變更這些設定,則先前設定的設定可能會保留在裝置上。
新增裝置註冊管理員
當您需要註冊並準備大量裝置以進行散發時,建議您使用裝置註冊管理員。 裝置註冊管理員帳戶最多可以註冊和管理 1,000 部裝置,而標準非系統管理員帳戶只能註冊 15 部裝置。 裝置註冊管理員是非系統管理員 Microsoft Entra 使用者,可以:
- 在 Intune 中註冊最多 1000 部公司擁有的裝置
- 登入 Intune 公司入口網站 以取得公司應用程式
- 將角色特定應用程式部署至裝置,以設定公司數據的存取權
某些註冊方法,例如 Apple 自動化裝置註冊,與裝置註冊管理員帳戶不相容,因此在開始安裝之前,請確定您選擇的方法受到支援。
如需詳細資訊和限制,請 參閱新增裝置註冊管理員。
建立裝置註冊限制
在 Microsoft Intune 系統管理中心使用這項功能,以限制特定裝置無法在 Intune 中註冊。 您可以在 Microsoft Intune 中設定兩種類型的裝置註冊限制:
- 裝置平臺限制:根據裝置平臺、版本、製造商或擁有權類型來限制裝置。
- 裝置限制:限制用戶可以在 Intune 註冊的裝置數目。
註冊限制不適用於Linux和某些 Windows 註冊案例。 如需詳細資訊,請參閱 註冊限制概觀 。
建立條款和條件原則
您可以使用 Intune 條款及條件原則,在註冊之前向裝置使用者揭露法律免責聲明和合規性需求。 此原則會要求裝置用戶在註冊裝置或存取受保護的資源之前,先接受組織條款和條件。 條款和條件會顯示給 Intune 公司入口網站 應用程式中的目標使用者。
如果您要尋找更多控制權,包括字詞出現的位置,請考慮設定 Microsoft Entra 使用規定。 Microsoft Entra 條款會在使用者登入目標應用程式和資源時向用戶顯示,並提供比 Intune 條款和條件更細微的設定。
如需詳細資訊,請參 閱使用者存取的條款及條件。
需要多重要素驗證
要求用戶在註冊期間透過多重要素驗證 (MFA) 進行驗證。 如果您需要 MFA,想要註冊裝置的人員必須先使用第二個裝置和兩種形式的認證進行驗證,才能註冊其裝置。 這是一次性的條件式步驟,可確保裝置上的人員是其所稱的身分。 您可以使用條件式存取原則搭配 MFA 原則,為 Linux 以外的所有平台啟用此行為。 Microsoft Entra ID 需要 P1 或 P2。
如需詳細資訊,請參閱需要多重要素驗證 Intune 裝置註冊。
將裝置分類為群組
在 Intune 中建立裝置類別,例如銷售或行銷,Intune 會自動將屬於該類別的所有裝置新增至 Intune 中的對應裝置群組。
此功能適用於Linux以外的所有平臺。 如需詳細資訊,請 參閱將裝置分類為群組。
Android 裝置的註冊
您可以在 Intune 中註冊個人或公司擁有的 Android 裝置。 針對使用Google行動服務的個人和公司擁有裝置,我們建議使用Android Enterprise 註冊解決方案。 對於沒有Google行動服務且是從Android開放原始碼專案 (AOSP) 建置的公司擁有裝置,請使用AOSP註冊方法。
必要條件
將 Intune 連線到受控 Google Play 帳戶。 所有 Android Enterprise 管理選項都需要連線,包括:
- Android Enterprise 個人擁有的工作配置檔
- Android Enterprise 公司擁有的工作配置檔
- Android Enterprise 完全受控
- Android Enterprise 專用
Android 註冊方法
下列索引標籤說明 Intune 支援的Android和 AOSP 註冊選項。
具有工作配置檔的公司擁有裝置:註冊公司擁有且也已核准供個人使用的裝置。 此方法會在裝置上建立個別的工作配置檔,讓使用者可以輕鬆且安全地在其個人應用程式與工作應用程式之間切換。 裝置用戶會透過 Microsoft Intune 應用程式註冊裝置。 身為系統管理員,您可以管理工作配置檔中的應用程式和數據。 此方法與 Android Enterprise 公司擁有的工作配置檔 管理解決方案一致。
完全受控:以獨佔方式註冊公司擁有的裝置,以供工作而非個人使用。 有一位使用者與已註冊的裝置相關聯。 您可以管理整個裝置,並強制執行 Android Enterprise 工作配置檔方法無法使用的原則控制件。 此方法與 Android Enterprise完全受控 管理解決方案一致。
專用裝置:註冊公司擁有的單一用途或 kiosk 裝置,以用於數位簽名、票證列印或庫存管理等專案。 使用此方法,您可以限制裝置上可用的應用程式和 Web 連結,並防止人員在預期的範圍之外使用裝置。 此方法與 Android Enterprise專用裝置 管理解決方案一致。
公司擁有的無使用者裝置:註冊從 Android 開放原始碼專案建置的裝置 (AOSP) ,且 Google Mobile 服務沒有作為 公司擁有的無使用者裝置。 這些裝置沒有與其相關聯的使用者,而且想要共用,例如在連結庫或實驗室中。
公司擁有的使用者相關聯裝置:將從 AOSP 建置且 Google Mobile 服務不存在的裝置註冊為 公司擁有的使用者相關聯裝置。 這些裝置會與單一使用者相關聯,並專門供工作使用。
零觸控註冊:我們建議針對大量註冊使用零觸控註冊,並簡化遠端工作者的註冊。 此方法可讓您事先準備公司擁有的裝置,讓它們在用戶開啟時自動布建並註冊為完全受控的裝置。
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
Apple 裝置的註冊
本節說明適用於 Intune 中 iOS/iPadOS 和 Mac 裝置的註冊選項。
必要條件
建立 Apple 裝置的註冊設定檔之前,請先完成下列必要條件:
- 將 Apple MDM 推播憑證上傳至 Intune。 如需詳細資訊,請 參閱取得 MDM 推播憑證。
- 如果您打算透過Apple自動化裝置註冊註冊裝置,請取得Apple註冊計劃令牌。 如需詳細資訊,請參閱:
Apple 註冊解決方案
下表說明執行 iOS/iPadOS 和 macOS 之裝置的註冊解決方案。
iOS/iPadOS 和 Mac 裝置的自動裝置註冊:使用自動裝置註冊註冊從 Apple Business Manager 或 Apple School Manager 購買的新裝置或抹除裝置。 此公司擁有裝置的自動化註冊方法會從 Apple Business Manager 和 Apple School Manager 套用貴組織的設定、支持監督模式,以及註冊裝置,而不需要觸控裝置。 當用戶開啟裝置時,Apple 設定助理會引導他們完成安裝和註冊。
適用於 iOS/iPadOS 和 Mac 裝置的 Apple Configurator:透過 Apple Configurator 手動註冊新的或現有的公司擁有裝置。 當您無法存取 Apple School Manager、Apple Business Manager 或需要有線網路連線時,此選項非常適合用於大量註冊。 您必須具有裝置的實體存取權,因為您必須在Mac上連線並設定裝置。 您可以採用兩個不同的路徑:
- 設定助理註冊:此方法會抹除裝置,並準備在Apple Configurator中註冊。 當用戶開啟其裝置時,設定助理會開始,然後裝置會註冊 Intune。 您必須能夠存取裝置序號,因為您需要將它們輸入系統管理中心。
- 直接註冊:此方法可讓您在發佈之前註冊裝置,而且不會抹除裝置。 以這種方式註冊的裝置不會與使用者相關聯,因此我們建議共用或 kiosk 裝置使用此選項。 macOS 和 iOS 裝置的指示不同,因此請務必針對裝置使用正確的操作說明檔。
Linux 註冊
BYOD 案例中的員工和學生可以在 Microsoft Intune 中註冊個人 Linux 裝置。 註冊可讓他們存取 Microsoft Edge 中的工作資源。
身為 Intune 系統管理員,您不需要執行任何動作,即可在系統管理中心啟用 Linux 註冊。 它會自動啟用。 當用戶註冊其 Linux 裝置時,您會在系統管理中心看到這些裝置。 如需詳細資訊,請參閱在 Microsoft Intune 中註冊 Linux 桌面裝置。
Windows 註冊
本節說明執行 Windows 10 或 Windows 11 的個人和公司擁有裝置可用的註冊解決方案。
注意事項
Microsoft Intune 雲端環境中的裝置上支持註冊。 內部部署環境中支援與 Configuration Manager 共同管理。
Windows 註冊方法
下表說明執行 Windows 10 和 Windows 11 之裝置支援的註冊方法。
藉由啟用 Windows 的自動註冊,讓員工和學生更容易使用 Intune 註冊。 如需詳細資訊,請 參閱啟用自動註冊。
Microsoft Entra 加入自動註冊:在您或裝置用戶購買以供工作使用的裝置上支援此選項。 註冊會在全新體驗期間發生,在使用者使用其工作帳戶登入並加入 Microsoft Entra ID 之後,或選擇從 [設定] 應用程式連線工作或學校帳戶時加入 Microsoft Entra ID 中的裝置 (,如 Windows 裝置註冊指南 - 使用者工作) 中所述。 此解決方案適用於您無法存取裝置,例如在遠端工作環境中。 當這些裝置註冊時,其裝置擁有權會變更為公司擁有,而且您可以存取標示為個人擁有之裝置上無法使用的管理功能。
Windows Autopilot 使用者驅動或自我部署模式:Windows Autopilot 使用者驅動 (支援自動註冊,適用於 Microsoft Entra 混合式聯結和 Microsoft Entra 聯結案例,) 或自我部署 (僅 Microsoft Entra 聯結) 配置檔,且可用於公司擁有的桌面計算機、膝上型計算機和 kiosk。 裝置使用者會在安裝必要的軟體和原則之後,取得桌面存取權。 需要 Microsoft Entra ID P1 或 P2 授權。 我們建議只使用 Microsoft Entra 聯結,這可提供最佳的用戶體驗,而且更容易設定。 在仍然需要 內部部署的 Active Directory 的情況下,可以使用 Microsoft Entra 混合式聯結,但您必須安裝適用於 Active Directory 的 Intune 連接器,而且您的裝置必須能夠透過內部部署網路或 VPN 連線連線連線到域控制器。
與 Configuration Manager 共同管理:共同管理最適合已使用 Configuration Manager 管理裝置,且想要整合 Microsoft Intune 工作負載的環境。 共同管理是將工作負載從 Configuration Manager 移至 Intune,並告知 Windows 用戶端管理授權單位適用於該特定工作負載的動作。 例如,您可以在 Intune 中使用合規性原則和裝置設定工作負載來管理裝置,並針對所有其他功能使用 Configuration Manager,例如應用程式部署和安全策略。
使用 群組原則 註冊:群組原則 可用來觸發 Microsoft Entra 混合式聯結裝置的自動註冊,而不需要任何用戶互動。 註冊程式會在 Microsoft Entra ID 同步使用者登入裝置之後,透過排程工作) 在背景 (開始。 建議您在裝置 Microsoft Entra 混合式聯結且未使用 Configuration Manager 管理的環境中使用此方法。
更多 Windows 註冊功能
Intune 中還有其他 Windows 註冊選項,可協助改善或簡化您和員工的裝置管理體驗:
- 共同管理設定:啟用共同管理設定,以整合 Configuration Manager 工作負載與 Intune。 共同管理可讓您使用 Intune 和 Configuration Manager 功能來管理裝置。
- CNAME 驗證:驗證您建立的域名伺服器 (DNS) 別名 (CNAME 記錄類型,) 將註冊要求重新導向至 Intune 伺服器。 此別名可簡化用戶在沒有 P1 或 P2 Microsoft Entra ID 以及自動註冊時的註冊。
- 註冊狀態頁面:啟用註冊狀態頁面,讓進行裝置設定的人員可以檢視和追蹤安裝進度。
報告和疑難解答
追蹤 不完整和已放棄的用戶註冊。 此 Microsoft Intune 報告會告訴您 公司入口網站 用戶無法完成註冊程式的位置。
如需疑難解答檔,請參閱 針對裝置註冊進行疑難解答。
資源
您可以在 Microsoft Intune 檔中取得其他註冊指南。 這些指南包括每個支援平臺的視覺比較、操作說明步驟、秘訣和註冊最佳做法。
後續步驟
- 設定 Microsoft Intune
- 新增、設定及保護應用程式
- 規劃合規性政策
- 建立裝置組態設定檔
- 🡺 註冊裝置 (您在這裡)