通过排错 Intune for Education 80180014 了解 Intune 注册限制
通过排错 Intune 80180014 了解注册限制
今天 gOxiA 开通了一套教育版的 M365 测试环境,对其功能和特性进行简单和快速的体验。M365 for EDU 完全基于现有的 AAD、Intune 等云服务,在面向教育领域和其 IT 人员的操作页面等方面进行了优化,显得更为直观和友好。我们可以通过域名“https://intuneeducation.portal.azure.com”访问 Intune for Education 管理门户。当然也可以继续通过“Azure Portal”访问管理。
在 Intune for Education 门户,我们可以通过“启动快速配置”为教育场景完成了应用的分配和客户端系统的配置。对于国内一些学校,其 IT 人员通常都由计算机课老师担当,虽然有一定的 IT 基础,但由于行业不同在上手配置时可能还是会存在一些问题,所以 Intune for Education 提供了换一套非常便捷的配置向导,可以帮助学校 IT 人员快速继续配置。
接着 gOxiA 开启了一台安装有 Windows 10 Pro 1903 的虚拟机,在 Windows 10 的 OOBE 阶段通过“针对组织进行配置”进行了安装配置。这个过程非常简单。
但在开始进行配置时发生了错误,服务器错误代码给出的是 80180014,通过微软官方文档“MDM 注册错误值”查询到该错误代码是因为“不支持特定平台(例如Windows)或版本。此错误的一般解决方法是升级设备。”针对这一提示,gOxiA 首先想到的“难道是因为需要Windows 10 教育版才能注册到 Intune for Education?!”,但回过神一想,很明显这个“认为”是错误的!!!即使真的对 Windows SKU 有限制,也应该是后台某个设置中对其进行了配置,所以我们需要进入后台去找到它。
如果进入的是 Intune for Education 的管理门户,将无法找到这些设置,正如前面 gOxiA 所讲的教育版也同样基于 Intune,所以我们需要转到 Azure Portal 下的 “Microsoft Intune” 管理界面。如果你经常与 Intune 和 Autopilot 打交道,相信会了解到一项管理功能 - “注册限制”,利用该项功能 Intune 管理员可以创建和管理注册限制,例如限制用户的设备注册数量,或注册设备的操作系统和版本。这些系统可以是基于 Android 的,也可以是基于 iOS/iPadOS 或 macOS 的,当然也包括我们常用的 Windows,此外还可以针对这些平台的版本进行限制。除此之外,还可以对注册的设备类型进行限制,如:公司拥有的设备(COD),或 个人设备 即 自带设备办公(BYOD)。
针对出现的故障现象,对“注册限制”策略进行了检查,发现评估环境默认会阻止个人设备的注册,为此更改为“允许”,保存后生效速度很快,可以马上在客户端进行测试。
如果作为 Intune 管理员需要结合公司安规对注册设备继续限制,例如需要对注册的设备系统版本进行限制,则参考如下:
- Android 版本格式为:major.minor.rev.build
- iOS/iPadOS版本格式为:major.minor.rev
- Windows 仅对 Windows 10 支持 major.minor.build.rev(如:10.0.18363.657)
注:要按照厂商进行配置,则可以输入厂商名称并以逗号进行分隔。
引用参考:https://docs.microsoft.com/zh-cn/intune/enrollment/enrollment-restrictions-set
HOWTO: 使用 Intune 远程停用设备
HOWTO: 使用 Intune 远程停用设备
回顾:
"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"
"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"
"HOWTO: 使用 Intune 部署 Microsoft Edge"
今天 gOxiA 将继续分享 Intune 中的设备管理功能 - 停用(Retire),使用“停用”可以删除托管设备上的应用数据、设置和电子邮件配置文件等内容,但是会将用户个人数据保留在设备上,整体的体验像是之前退域一样。当我们在 Intune 后台设备管理中点击“停用”后会显示停用设备的说明,其重点是此设备将不再由 Intune 托管,且不能再访问公司资源,由 Intune 部署的“现代应用”会被卸载,但不会卸载已经部署的 Win32 应用,Win32 应用包含的数据仍会保留在设备中,用户数据也不会被清理掉。
即使 AAD 账号已经登录,也可以使用“停用”,当停用执行完毕后会看到如下图的通知,当打开 Outlook 时会遇到修复提示,如果此时重启系统你会发现登录界面将会显示最后一次登录的 AAD 账号名称,但是您无法使用密码登录,因为该计算机上的 AAD 账号已经被移除,此时如果用户希望登录系统必须进入 Windows 的安全模式,在 Windows 安全模式下可以使用本地管理员 - Administrator 账号登录(密码为空),进入系统后可以创建一个新的本地管理员账号,用于从正常启动环境登录系统桌面。
登录系统后,你可以在 Users 目录中看到以往登录的用户账户目录,可以提取其中的用户数据。下表展示了“停用”后主要清理的内容:
Intune安装的公司应用和关联数据:卸载应用,删除bypass加载密钥,不会删除Office365专业版,不会卸载 Win32应用。
设置:不再强制实施 Intune 下发的策略。
WiFi和VPN配置文件设置:相关设置会被删除。
证书配置文件设置:删除并吊销证书。
电子邮件:删除已启用EFS的电子邮件及附件,并删除由 Intune 预配的邮件账户。
AzureAD脱离: 删除 AAD 记录。
前面 gOxiA 说过停用会保留用户数据,其中就包括 OneDrive for Business 中的数据,所以组织 IT 人员在使用“停用”时一定要进行谨慎的评估,这意味着 AAD 用户的数据会被保留在设备上,但设备将不再受到组织管控。在停用设备后,用户可以重新加入到 AAD 并托管到 Intune 中,此时用 AAD 账号登录会继续使用之前匹配的用户目录。
HOWTO: 使用 Intune 远程重启设备
HOWTO: 使用 Intune 远程重启设备
我们继续 Intune 的相关知识学习,开始前也可通过以下链接回顾之前的内容。
"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"
"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"
"HOWTO: 使用 Intune 部署 Microsoft Edge"
今天 gOxiA 将介绍如何通过 Intune 远程重启设备。当组织的设备已经开始通过 Intune 管理,那么你会在设备概述中看到可管理的操作选项,如下图所示。
在顶部的选项中我们能看到支持的管理功能,其中“重启”功能很容易理解,当发起重启后客户端设备将会收到从 Intune 发来的重启指令,如果当前用户为锁定状态,那么当再次解锁登录到系统后会收到注销登录的提示,倒计时为2分钟,如下图所示。
如果当前用户为已登录状态,也会收到提示,如下图所示,大概3分钟后会收到如上一截图一样的通知,开始2分钟倒计时,之后强制重启。
如果当前设备未有用户登录,当发起重启后,设备并不会立刻重启,当用户再次登录系统,才会收到注销通知,如果点击关闭则会等待3分钟出现2分钟倒计时,最后强制重启。
但是……但是……重点提示来了!
如果当前设备未有用户登录,或为锁定状态,那么在发起重启指令5分钟后,便会执行强制重启。
以上这些测试结果与 Docs 上的介绍有所出入,在当前文档中介绍发出重启指令后设备端不会收到重启通知,且可能会导致当前工作内容丢失。也许正因为涉及数据的原因,重启机制才发生了变更,并未如文档描述的那样执行。
不过现在这个重启功能其实也失去了它的真正意义,因为在某些特定场景下确实需要管理员立刻!马上!强制重启客户端设备。PS:或许这里的重启应该换个名字叫“紧急重启”!
最后,再与大家分享的是由 Intune 发起重启指令后,是可以通过 shutdown /a 来取消重启的。
