Поделиться через


Автоматическая регистрация устройства Windows с помощью групповой политики

Групповую политику можно использовать для активации автоматической регистрации в службе управления мобильными устройствами (MDM) для устройств, присоединенных к домену Active Directory (AD).

Групповая политика, созданная в локальной службе AD, активирует регистрацию в Intune без какого-либо взаимодействия с пользователем. Этот механизм причинно-следственных действий означает, что вы можете автоматически массово зарегистрировать большое количество корпоративных устройств, присоединенных к домену, в Microsoft Intune. Процесс регистрации начинается в фоновом режиме после входа на устройство с помощью учетной записи Microsoft Entra.

Требования

Автоматическая регистрация зависит от наличия службы MDM и регистрации Microsoft Entra для компьютера. После того как предприятие зарегистрировало ad с идентификатором Microsoft Entra ID, компьютер с Windows, присоединенный к домену, автоматически регистрируется Microsoft Entra.

Примечание.

В Windows 10 версии 1709 протокол регистрации обновлен, чтобы проверить, присоединено ли устройство к домену. Дополнительные сведения см. в разделе [MS-MDE2]: Протокол регистрации мобильных устройств версии 2. Примеры см. в разделе 4.3.1 RequestSecurityToken документации по протоколу MS-MDE2.

Когда включена групповая политика автоматической регистрации, в фоновом режиме создается задача, которая инициирует регистрацию MDM. Задача использует существующую конфигурацию службы MDM из сведений о пользователе Microsoft Entra. Если требуется многофакторная проверка подлинности, пользователю будет предложено выполнить проверку подлинности. После настройки регистрации пользователь может проверить состояние на странице Параметры.

  • Начиная с Windows 10 версии 1709, когда та же политика настроена в групповой политике и MDM, политика групповой политики имеет приоритет над MDM.
  • Начиная с Windows 10 версии 1803, новый параметр позволяет изменять приоритет mdm. Дополнительные сведения см. в разделе Групповая политика Windows и Политика MDM Intune, кто выигрывает?.

Чтобы эта политика работала, необходимо убедиться, что поставщик службы MDM разрешает регистрацию MDM, инициированную групповой политикой, для устройств, присоединенных к домену.

Настройка автоматической регистрации для группы устройств

Чтобы настроить автоматическую регистрацию с помощью групповой политики, выполните следующие действия.

  1. Создайте объект групповой политики (GPO) и включите конфигурацию> компьютера групповой политикиАдминистративные шаблоны>Компоненты> WindowsMDM>Включить автоматическую регистрацию MDM с использованием учетных данных Microsoft Entra по умолчанию.
  2. Создайте группу безопасности для компьютеров.
  3. Связывание объекта групповой политики.
  4. Фильтрация с помощью групп безопасности.

Если политика не отображается, получите последнюю версию ADMX для своей версии Windows. Чтобы устранить эту проблему, используйте следующие процедуры. Последняя версия MDM.admx является обратной совместимостью.

  1. Скачайте административные шаблоны для нужной версии:

  2. Установите пакет на контроллере домена.

  3. Перейдите по адресу C:\Program Files (x86)\Microsoft Group Policyи найдите соответствующий подкаталог в зависимости от установленной версии.

  4. Скопируйте папку PolicyDefinitions в \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions.

    Если эта папка не существует, скопируйте файлы в центральное хранилище политик для вашего домена.

  5. Дождитесь завершения репликации SYSVOL DFSR, чтобы политика была доступна.

Настройка групповой политики автоматической регистрации для одного компьютера

Эта процедура предназначена только для иллюстрации, чтобы показать, как работает новая политика автоматической регистрации. Это не рекомендуется для рабочей среды на предприятии.

  1. Выполните команду GPEdit.msc. Нажмите кнопку Пуск, а затем в текстовом поле введите gpedit.

  2. В разделе Лучшее соответствие выберите Изменить групповую политику , чтобы запустить ее.

  3. В разделе Политика локального компьютера выберите Административные шаблоны>Компоненты> WindowsMDM.

  4. Дважды щелкните Включить автоматическую регистрацию MDM с использованием учетных данных Microsoft Entra по умолчанию. Выберите Включить, выберите Учетные данные пользователя в раскрывающемся списке Выберите тип учетных данных для использования, а затем нажмите кнопку ОК.

    Политика автоматической регистрации MDM.

    Примечание.

    В Windows 10 версии 1903 и более поздних версиях файл MDM.admx был обновлен, чтобы включить параметр Учетные данные устройства , чтобы выбрать учетные данные, используемые для регистрации устройства. Поведение по умолчанию для более старых выпусков — возврат к учетным данным пользователя.

    Учетные данные устройства поддерживаются только для регистрации Microsoft Intune в сценариях с совместным управлением или пулами узлов с несколькими сеансами Виртуального рабочего стола Azure , так как подписка Intune ориентирована на пользователей. Учетные данные пользователя поддерживаются для пулов личных узлов Виртуального рабочего стола Azure.

При обновлении групповой политики на клиенте создается задача, которая планируется выполняться каждые пять минут в течение одного дня. Задача называется Расписание, созданное клиентом регистрации для автоматической регистрации в MDM из Идентификатора Microsoft Entra. Чтобы просмотреть запланированную задачу, запустите приложение Планировщик задач.

Если требуется двухфакторная проверка подлинности, вам будет предложено завершить процесс. Ниже приведен пример снимка экрана.

Снимок экрана: уведомление о двухфакторной проверке подлинности.

Совет

Этого можно избежать с помощью политик условного доступа в Microsoft Entra ID. Дополнительные сведения см. в статье Что такое условный доступ?

Проверка регистрации

Чтобы проверить успешную регистрацию в MDM, перейдите в раздел Пуск>Параметры>Учетные> записиДоступ к рабочей или учебной программе, а затем выберите учетную запись домена. Выберите Сведения, чтобы просмотреть сведения о регистрации MDM.

Снимок экрана: параметры рабочего учебного заведения.

Примечание.

Если вы не видите кнопку "Сведения" или сведения о регистрации, возможно, регистрация завершилась ошибкой. Проверьте состояние в приложении планировщика задач и ознакомьтесь с разделом Диагностика регистрации MDM.

Приложение планировщика задач

Нажмите кнопку Пуск, а затем в текстовом поле введите task scheduler. В разделе Лучшее соответствие выберите Планировщик задач , чтобы запустить его.

В библиотеке планировщика задач откройте Microsoft > Windows и выберите EnterpriseMgmt.

Автоматическая регистрация запланированной задачи.

Чтобы увидеть результат задачи, переместите полосу прокрутки, чтобы увидеть результат последнего запуска. Журналы отображаются на вкладке Журнал .

Сообщение 0x80180026 является сообщением об ошибке (MENROLL_E_DEVICE_MANAGEMENT_BLOCKED), которое может быть вызвано включением политики Отключить регистрацию MDM .

Примечание.

Консоль GPEdit не отражает состояние политик, установленных вашей организацией на вашем устройстве. Он используется только пользователем для настройки политик.