Группирование времени регистрации в Microsoft Intune

Область применения:

• Windows 11
• Android
• visionOS
• tvOS

Настройте группирование времени регистрации, чтобы ускорить подготовку приложений и политик во время регистрации устройства. С помощью группирования времени регистрации можно добавить Microsoft Entra группу безопасности в политику регистрации, чтобы устройства добавлялись в группу во время регистрации, а не после. Затем вы можете назначить группе необходимые приложения и конфигурацию политики. Это предварительное представление о группе безопасности, в которую устройство станет членом после регистрации, позволяет Intune быстро доставлять конфигурации на устройство при регистрации, уменьшая задержки после регистрации и повышая производительность.

Если не настроить группирование времени регистрации, зарегистрированные устройства группируются на основе свойств инвентаризации и идентификаторов тегов групп. Затем Microsoft Intune доставляет приложения и политики на основе членства в группе. Microsoft Intune может определять приложения и политики, необходимые устройству только после группировки устройства, поэтому устройства, сгруппированные таким образом, часто не готовы к немедленному использованию. Получение всех приложений и политик может занять до 8 часов после регистрации устройств.

В этой статье приводятся общие сведения о группирования времени регистрации, способах его настройки и ограничениях функций.

Требования

Группирование времени регистрации поддерживается на устройствах, подготовленных с помощью:

• Подготовка устройства Windows Autopilot

• Android Enterprise

• Автоматическая регистрация устройств для tvOS и visionOS

Для Windows Autopilot необходимо иметь разрешения на создание и изменение политик подготовки устройств Windows Autopilot. Чтобы настроить Microsoft Entra группы в политике регистрации, необходимо иметь разрешение на назначение членства устройства во время регистрации. Это разрешение доступно для пользовательских ролей в категории Программы регистрации в Центре администрирования Microsoft Intune.

Для tvOS и visionOS необходимо иметь разрешения на создание и изменение политик регистрации tvOS и visionOS. Чтобы настроить Microsoft Entra группы в политике регистрации, необходимо иметь разрешение на назначение членства устройства во время регистрации. Это разрешение доступно для пользовательских ролей в категории Программы регистрации в Центре администрирования Microsoft Intune.

Для Android Enterprise необходимо иметь разрешения на создание и изменение политик регистрации Android Enterprise. Чтобы настроить Microsoft Entra группы в политике регистрации Android, необходимо иметь назначение членства устройства во время регистрации для разрешения Android Enterprise. Это разрешение доступно для пользовательских ролей в категории Android Enterprise в Центре администрирования Microsoft Intune. Группирование времени регистрации поддерживается следующими политиками регистрации:

• Полностью управляемый Android Enterprise

• Корпоративный рабочий профиль Android Enterprise

• Выделенные устройства Android Enterprise

Чтобы добавить Intune стороннее приложение в качестве владельца группы безопасности, что является обязательным шагом для группирования времени регистрации, необходимо выполнить одно из следующих предварительных требований:

• Должен быть администратором группы Microsoft Entra или другой ролью с разрешением microsoft.directory/groups/owners/update.
• Должен быть владельцем группы безопасности Microsoft Entra.

Наконец, указанная группа должна быть настроена в качестве область группы, чтобы администратор использовал ее в конфигурации группирования времени регистрации.

Шаг 1. Создание группы безопасности Microsoft Entra

Создайте статическую Microsoft Entra группу безопасности для использования в политиках регистрации. Чтобы настроить группирование времени регистрации, необходимо добавить клиент подготовки Intune в качестве владельца группы безопасности. Вам не нужно добавлять устройства или пользователей в эту группу прямо сейчас.

В следующей процедуре описывается создание группы безопасности в Центре администрирования Microsoft Intune. Дополнительные сведения и действия, относящиеся к Windows 11, см. в статье Windows Autopilot — создание группы устройств.

После настройки группирования времени регистрации в политике регистрации вы можете вернуться к этой группе безопасности, чтобы добавить и удалить устройства. Любой администратор Intune с соответствующими разрешениями группы безопасности может изменить группу безопасности.

1. Войдите в Центр администрирования Microsoft Intune.

2. Перейдите в раздел Группы.

3. Выберите Все группы, а затем — Создать группу.

4. На открывавшемся экране Создать группу введите следующие сведения:

   1. Тип группы: выберите Безопасность.

   2. Имя группы. Введите имя группы устройств. Пример. Общие устройства инвентаризации

   3. Описание группы. Введите описание для группы устройств.

   4. Microsoft Entra роли могут быть назначены группе: выберите Нет.

   5. Тип членства: выберите Назначено.

   6. Владельцы. Выберите ссылку Нет выбранных владельцев .

   7. На открываемом экране Добавление владельцев добавьте клиент подготовки Intune в качестве владельца:

      1. Прокрутите список объектов и выберите субъект-службу Intune Клиент подготовки с идентификатором AppId f1346770-5b25-470b-88bd-d57444ab7952c. Кроме того, используйте панель поиска, чтобы найти и выбрать клиент подготовки Intune.

         Примечание.

         • В некоторых клиентах субъект-служба может иметь имя Intune Autopilot ConfidentialClient вместо клиента подготовки Intune. Если appID субъекта-службы имеет значение f1346770-5b25-470b-88bd-d5744ab7952c, это правильный субъект-служба.

         • Если клиент подготовки Intune Intune или субъект-служба Autopilot ConfidentialClient с идентификатором приложения f1346770-5b25-470b-88bd-d5744ab7952c недоступен ни в списке объектов, ни при поиске, см. раздел Добавление субъекта-службы Intune Подготовки клиента.

      2. Нажмите Выбрать.

   8. Нажмите кнопку Создать , чтобы завершить создание назначенной группы устройств.

Шаг 2. Настройка группирования времени регистрации в политике регистрации

Функция группирования времени регистрации применяется только к регистрации новых устройств. Это не влияет и не применяется к уже зарегистрированным устройствам.

Для каждой политики регистрации можно добавить одну статическую Microsoft Entra группу безопасности. Администратор Intune может добавлять только Microsoft Entra группы, авторизованные в группе область для Intune роли. Убедитесь, что область группы и теги групп назначены соответствующим ролям, чтобы администраторы могли видеть группу безопасности во время создания политики.

1. В центре администрирования Microsoft Intune перейдите в раздел Устройства.

2. Разверните узел Подключение устройств, а затем выберите Регистрация.

3. Выберите тип настраиваемой регистрации и создайте политику.

   • Windows: создание политики подготовки устройств Windows Autopilot

   • Android Enterprise с рабочим профилем: настройка Intune регистрации корпоративных устройств Android Enterprise с рабочим профилем

   • Выделенный android enterprise: настройка Intune регистрации выделенных устройств Android Enterprise

   • Android Enterprise полностью управляемый: настройка регистрации для полностью управляемых устройств Android Enterprise

   • tvOS: настройка политики регистрации для tvOS

   • visionOS: настройка политики регистрации visionOS

   Совет

   Группирование времени регистрации не поддерживается с промежуточным маркером. Если вы настраиваете политику для использования с группировкой времени регистрации, используйте корпоративный, полностью управляемый маркер (по умолчанию) или корпоративный рабочий профиль (по умолчанию).

После сохранения политики вы можете в любое время вернуться к ней, чтобы изменить параметры группы. Обновления, которые вы вносите в параметры группы, не применяются к устройствам, уже зарегистрированным в политике. При удалении устройства из группы Microsoft Intune переоценит конфигурации политик и принудительно проверка устройство для получения новых конфигураций.

Шаг 3. Регистрация устройств

Когда устройствам назначена регистрация политики регистрации, они становятся членами Microsoft Entra группы безопасности и начинают получать приложения и политики. После завершения начальной настройки устройства администратор или конечный пользователь приземлится на начальном экране устройства. На этом этапе все целевые приложения и политики должны уже находиться на устройстве или в процессе установки.

При удалении устройства из группы Microsoft Intune переоценит конфигурации политик и принудительно проверка устройство для получения новых конфигураций.

Reporting

Чтобы получить доступ к отчетам о группировке времени регистрации, перейдитекразделу Сбои группирования времени регистрации длямониторинга> устройств>. В доступном отчете отображаются только сбои. В частности, сведения об устройствах, которые не смогли стать членами определенной статической группы устройств во время этих процессов настройки:

• Подготовка Windows Autopilot
• Полностью управляемая регистрация для Android Enterprise
• Регистрация корпоративного рабочего профиля Android Enterprise
• Выделенная регистрация Android Enterprise
• Автоматическая регистрация мобильных устройств Apple

Для отображения недавно обновленных сведений в отчете может потребоваться до 20 минут. У вас должен быть Microsoft.IntuneРазрешение /ManagedDevices/Чтение RBAC для просмотра отчета.

Известные проблемы и ограничения

С группировкой времени регистрации не существует известных проблем или ограничений.

Устранение неполадок

При возникновении непредвиденного поведения обратитесь к служба поддержки Майкрософт со следующими сведениями:

• Серийный номер устройства.
• Корпоративный портал журналы приложений, если применимо, с идентификатором журнала.
• Приблизительная отметка времени события и часового пояса, в котором оно произошло.
• Снимок экрана центра администрирования Microsoft Intune или устройства.
• Подробное описание поведения на устройстве.