logo_intune

Intune - 通过Windows公司标识符阻止非公司设备注册

        之前 gOxiA 分享了“Intune - Windows 公司设备标识符”,通过收集 Windows 设备的制造商(Manufacturer)、型号(Model)和序列号(SerialNumber),可将其添加至 Windows 公司标识符,以标注该设备属于公司拥有的。

wmiobject-Manufacturer_Model_SerialNumber

add-corp-device-identifier-windows

        当我们完成 Windows 公司标识符的添加后,可以配置“设备 - 注册 - 设备平台限制”策略,将 “Windows (MDM)” 的 “个人拥有” 改为 “阻止”,这样一来当用户使用非公司拥有的设备或个人设备在 OOBE 阶段通过公司账号(M365)登录和配置时将提示“80180014”错误,从而有效的阻止了非授权或不合规的设备加入到公司环境,避免了组织资源和数据的泄露风险。

intune-deviceplatformrestriction

Intune-80180014

        需要注意的是 Windows 公司标识符仅受 Windows 10 的2024年6月累计更新及以上版本,或 Windows 11 的204年3月累计更新及以上版本支持。

Intune-80180014-Win10

        如果当前组织无法为设备进行 Windows Autopilot 设备注册,那么可以考虑利用 Windows 公司标识符和 Windows Autopilot device preparation 方案来实现,尤其是在使用 21v 租户和使用 Windows 11 的组织。Windows Autopilot device preparation 的过程可参考下面的 Demo 视频。

https://weibo.com/tv/show/1034:5056036852138048

https://www.youtube.com/watch?v=73vOVzd-bhg

推荐官方文档:

Understand Intune and Microsoft Entra device limit restrictions | Microsoft Learn

logo_intune

HOWTO: 解决“注册工作或学校账户”时发生 80180014 错误

        当我们在 Windows OOBE 阶段使用“注册工作或学校账户”配置电脑时,通常会使用企业分配的 M365 账号进行登录,来完成设备的注册并从 Intune 获取设备或用户的企业标准化配置。

Setup_up_for_Work_or_School

Setup_up_for_Work_or_School-login

        但在完成身份验证开始执行后续的设备设置过程时发生了 80180014 错误,如下图所示。

Intune-80180014

        80180014 错误说明设备注册被组织而导致失败。这通常是由于设备未符合注册策略所致,我们可以访问 Intune Portal 并转至“设备 - 注册 - 设备平台限制”,检查当前策略。

intune-main

intune-deviceplatformrestriction

        当 Windows (MDM) 阻止 个人拥有 的设备进行注册时,将发生 80180014 错误。要解决此问题我们需要允许个人拥有的设备。当阻止 Windows (MDM) 注册,或对系统版本进行限制时也会发生 80180014 错误,提示“你的组织不支持这个 Windows 版本”。

intune-deviceplatformrestriction-setup


官方参考:

MDM 注册错误值参考

注册限制概述

创建设备平台限制

Intune - Windows 公司设备标识符

[ 2024/08/19 11:52 | by gOxiA ]

logo_intune

Intune - Windows 公司设备标识符

        Windows 公司设备标识符,很容易理解的一个词,即公司所属的 Windows 设备。它是 Intune 提供的一种新的解决方案,可以帮 ITPro 更轻松,更安全的识别和管理企业的 Windows 设备。该方案标识设备的方法是通过 PC 硬件内置的序列号、制造商和型号组合实现的,只需企业 IT 事先收集整理设备的特定信息到一个 CSV 文件中,上传到 Intune 即可。

        下表列出了在没有公司设备标识符的情况下注册设备以及使用公司标识符进行注册时授予设备的所有权类型。

corp-device-identifier

        综上,为了确保公司设备能够在注册后被正确的进行标识,建议应当使用公司设备标识符进行预先定义。为此,我们可以使用如下命令收集整理注册所需的信息。

(Get-WmiObject -Class Win32_ComputerSystem | ForEach-Object {$_.Manufacturer, $_.Model, (Get-WmiObject -Class Win32_BIOS).SerialNumber -join ',' })

        对于商用设备,IT 在进行入库时可以通过设备包装上的条码进行收集,或从供应商那里获得。将收集到信息保存为 CSV 格式文件,然后访问 Intune Portal,转至 "设备 - 注册 - 公司设备标识符"。

intune-corp-device-identifier

        然后,选择“添加 - 上传 CSV 文件”,对于 Windows 平台当前仅支持 CSV 文件添加,不支持手动。

add-corp-device-identifier

        进入 CSV 添加模式后请选择“制造商、型号和序列号(仅限Windows)”这个选项,然后上传整理好的 CSV 文件,添加完成。

 add-corp-device-identifier-windows

        此外,这里需要特别留意,通过 CSV 批量添加设备时请确保满足以下要求:

1. CSV 文件中的内容格式务必为:制造商, 型号, 序列号;

2. 客户端操作系统版本至少 Windows 10(19045.4598)或 Windows 11(22621.3374/22631.3374)

3. CSV 中的设备记录 ≤ 5000,且 CSV 文件大小 ≤ 5MB

        提示,对于现有注册的设备当移除其对应的公司设备标识符后,其所有权将恢复到以前的状态。

        借助公司设备标识符我们可以实现更灵活的资产注册和管理方案,尤其是那些在使用 21v 的企业客户,可通过该解决方案配合设备准备策略实施设备交付。我们也可以借助该公司设备标识符来进行注册限制,后面 gOxiA 将会再与大家分享。


官方参考文档:

Identify devices as corporate-owned | Microsoft Learn

分页: 3/474 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]