Agrupamento de tempo de inscrição no Microsoft Intune

Configure o agrupamento de tempo de inscrição para acelerar o aprovisionamento de aplicações e políticas durante a inscrição de dispositivos. Com o agrupamento de tempo de inscrição, pode adicionar um grupo de segurança do Microsoft Entra na política de inscrição para que os dispositivos sejam adicionados ao grupo durante a inscrição, em vez de depois. Em seguida, pode atribuir aplicações e configurações de política necessárias ao grupo. Este pré-conhecimento do grupo de segurança do qual o dispositivo será membro após a inscrição permite que o Intune forneça rapidamente as configurações ao dispositivo durante a inscrição, reduzindo a latência pós-inscrição e melhorando o tempo de produtividade.

Se não configurar o agrupamento de tempo de inscrição, os dispositivos inscritos são agrupados com base nas propriedades de inventário e nos IDs de etiquetas de grupo. Em seguida, o Microsoft Intune fornece aplicações e políticas com base na associação ao grupo. O Microsoft Intune só pode determinar as aplicações e políticas de que um dispositivo precisa depois de o dispositivo estar agrupado, pelo que os dispositivos agrupados desta forma muitas vezes não estão prontos para utilização imediata. Pode demorar até 8 horas após a inscrição para os dispositivos receberem todas as aplicações e políticas.

Este artigo fornece uma descrição geral do agrupamento de tempo de inscrição, como configurá-lo e limitações de funcionalidades.

Requisitos

Requisitos da plataforma de dispositivos

O agrupamento de tempo de inscrição é suportado nas seguintes plataformas:

  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • tvOS
  • visionOS
  • Windows 11

Métodos de inscrição

O agrupamento de tempo de inscrição é suportado em dispositivos aprovisionados através de:

Para a inscrição automatizada de dispositivos iOS/iPadOS, o agrupamento de tempo de inscrição é suportado com os seguintes métodos de autenticação:

  • Inscrição com afinidade de utilizador:
    • Assistente de Configuração com autenticação moderna
    • Portal da Empresa
  • Inscrição sem afinidade de utilizador:
    • Inscrever-se no modo partilhado do Microsoft Entra
    • Inscrever com iPad partilhado

Para a inscrição de dispositivos automatizados macOS, o agrupamento de tempo de inscrição é suportado com os seguintes métodos de autenticação:

  • Inscrição com afinidade de utilizador:
    • Assistente de Configuração com autenticação moderna
  • Inscrição sem afinidade de utilizador

Para o Android Enterprise, o agrupamento de tempo de inscrição é suportado com as seguintes políticas de inscrição:

  • Android Enterprise totalmente gerenciado
  • Perfil de trabalho de propriedade corporativa do Android Enterprise
  • Android Enterprise dedicado

Requisitos de funções

As permissões necessárias dependem da plataforma que está a configurar:

  • Inscrição automatizada de dispositivos iOS/iPadOS, tvOS e visionOS: permissões para criar e modificar políticas de inscrição iOS/iPadOS, tvOS e visionOS e a permissão de atribuição de associação de dispositivos no tempo de inscrição (disponível em funções personalizadas em Programas de inscrição).
  • Inscrição automatizada de dispositivos macOS: permissões para criar e modificar políticas de inscrição do macOS e a permissão de atribuição de associação de dispositivos de tempo de inscrição (disponível em funções personalizadas em Programas de inscrição).
  • Windows Autopilot: permissões para criar e modificar políticas de preparação de dispositivos do Windows Autopilot e a permissão de atribuição de associação de dispositivos no tempo de inscrição (disponível em funções personalizadas em Programas de inscrição).
  • Android Enterprise: permissões para criar e modificar políticas de inscrição do Android Enterprise e a atribuição de associação a dispositivos de tempo de inscrição para a permissão Android Enterprise (disponível em funções personalizadas no Android Enterprise).

Para adicionar a aplicação original do Intune como proprietário de um grupo de segurança, tem de ser um Administrador do Grupo Microsoft Entra (ou ter a permissão microsoft.directory/groups/owners/update ) ou ser um proprietário existente do grupo de segurança.

O grupo designado tem de ser configurado como um grupo de âmbito para que o administrador o utilize na configuração do agrupamento de tempo de inscrição.

Dica

Para obter mais informações sobre como criar funções personalizadas, veja Controlo de acesso baseado em funções.

Atribuição de grupo de dispositivos durante a inscrição

Quando cria uma nova política de inscrição de dispositivos automatizada (ADE) da Apple que suporta o agrupamento de tempo de inscrição, é apresentado um separador Grupo de dispositivos na política de inscrição. O grupo de segurança que selecionar neste separador é aplicado ao dispositivo durante a inscrição para que o Intune possa fornecer as políticas, aplicações e definições corretas.

O separador Grupo de dispositivos só está disponível em novas políticas de inscrição. Não está disponível nas políticas de inscrição existentes.

Passo 1: Criar um grupo de segurança do Microsoft Entra

Crie um grupo de segurança estático do Microsoft Entra para utilização em políticas de inscrição. Para configurar o agrupamento de tempo de inscrição, tem de adicionar o Cliente de Aprovisionamento do Intune como proprietário do grupo de segurança. De momento, não precisa de adicionar dispositivos ou utilizadores a este grupo.

O procedimento seguinte descreve como criar um grupo de segurança no centro de administração do Microsoft Intune. Para obter mais informações e passos específicos do Windows 11, consulte Windows Autopilot - Criar um grupo de dispositivos.

Depois de configurar o agrupamento de tempo de inscrição na política de inscrição, pode voltar a este grupo de segurança para adicionar e remover dispositivos. Qualquer administrador do Intune com as permissões de grupo de segurança adequadas pode editar o grupo de segurança.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Aceda a Grupos.

  3. Selecione Todos os grupos e, em seguida, selecione Novo grupo.

  4. No ecrã Novo Grupo que é aberto, introduza as seguintes informações:

    1. Tipo de grupo: Selecione Segurança.

    2. Nome do grupo: introduza um nome para o grupo de dispositivos. Exemplo: Dispositivos de inventário partilhados

    3. Descrição do grupo: introduza uma descrição para o grupo de dispositivos.

    4. As funções do Microsoft Entra podem ser atribuídas ao grupo: Selecione Não.

    5. Tipo de associação: selecione Atribuído.

    6. Proprietários: selecione a ligação Sem proprietários selecionados .

    7. No ecrã Adicionar proprietários que é aberto, adicione o Cliente de Aprovisionamento do Intune como proprietário:

      1. Percorra a lista de objetos e selecione o principal de serviço Cliente de Aprovisionamento do Intune com AppId de f1346770-5b25-470b-88bd-d5744ab7952c. Em alternativa, utilize a Barra de pesquisa para procurar e selecionar Cliente de Aprovisionamento do Intune.

        Observação

        • Em alguns inquilinos, o principal de serviço pode ter o nome Intune Autopilot ConfidentialClient em vez do Cliente de Aprovisionamento do Intune. Desde que o AppID do principal de serviço seja f1346770-5b25-470b-88bd-d5744ab7952c, é o principal de serviço correto.

        • Se o principal de serviço Do Cliente de Aprovisionamento do Intune ou do Intune Autopilot ConfidentialClient com AppId de f1346770-5b25-470b-88bd-d5744ab7952c não estiver disponível na lista de objetos ou ao procurar, consulte Adicionar o principal de serviço do Cliente de Aprovisionamento do Intune para obter os passos seguintes.

      2. Escolha Selecionar.

    8. Selecione Criar para concluir a criação do grupo de dispositivos atribuído.

Passo 2: Configurar o agrupamento de tempo de inscrição na política de inscrição

A funcionalidade de agrupamento de tempo de inscrição aplica-se apenas a novas inscrições de dispositivos. Não afeta nem se aplica a dispositivos que já estão inscritos.

Pode adicionar um grupo de segurança estático do Microsoft Entra por política de inscrição. Enquanto administrador do Intune, só pode adicionar grupos do Microsoft Entra autorizados no grupo de âmbito para a sua função do Intune. Confirme que os grupos de âmbito e as etiquetas de grupo estão atribuídos às funções adequadas para que os administradores possam ver o grupo de segurança durante a criação da política.

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos.

  2. Expanda Integração de dispositivos e, em seguida, selecione Inscrição.

  3. Selecione o tipo de inscrição que está a configurar e crie uma política.

    Dica

    O agrupamento de tempo de inscrição não é suportado com o token de teste. Se estiver a configurar uma política para utilização com o agrupamento de tempo de inscrição, utilize o token pertencente à empresa, totalmente gerido (predefinição) ou o token de perfil de trabalho da empresa (predefinição).

Depois de guardar a política, pode voltar à mesma em qualquer altura para editar as definições do grupo. As atualizações efetuadas às definições de grupo não se aplicam aos dispositivos já inscritos na política. Se remover um dispositivo do grupo, o Microsoft Intune reavalia as configurações da política e força o dispositivo a dar entrada para obter novas configurações.

Passo 3: Inscrever dispositivos

Quando os dispositivos atribuídos à política de inscrição são inscritos, tornam-se membros do grupo de segurança Microsoft Entra e começam a receber aplicações e políticas. Depois de o administrador ou o utilizador final concluir a configuração inicial do dispositivo, acedem ao ecrã principal do dispositivo. Neste momento, todas as aplicações e políticas direcionadas já devem estar no dispositivo ou no processo de instalação.

Se remover um dispositivo do grupo, o Microsoft Intune reavalia as configurações da política e força o dispositivo a dar entrada para obter novas configurações.

Reporting

Para aceder a relatórios para o agrupamento de tempo de inscrição, aceda a Dispositivos>Monitorizar>falhas de agrupamento de tempo de inscrição. O relatório disponível mostra apenas falhas. Especificamente, informações sobre dispositivos que não se tornaram membros de um grupo de dispositivos estáticos específico durante estes processos de configuração:

  • Aprovisionamento de preparação do Windows Autopilot
  • Registro totalmente gerenciado do Android Enterprise
  • Inscrição de perfil de trabalho pertencente à empresa do Android Enterprise
  • Inscrição dedicada do Android Enterprise
  • Inscrição de dispositivos automatizados móveis da Apple

As informações recentemente atualizadas podem demorar até 20 minutos a aparecer no relatório. Tem de ter a permissão Microsoft.Intune/ManagedDevices/Ler RBAC para ver o relatório.

Importante

Este relatório fornece deteção sobre os dispositivos que não são adicionados aos grupos de segurança configurados nas políticas de inscrição. A não adesão ao grupo durante a inscrição pode fazer com que a configuração seja alterada ou removida do dispositivo após a inscrição, pelo que recomendamos que monitorize o relatório continuamente para que possa realizar imediatamente as ações de mitigação necessárias. Pode, por exemplo, utilizar uma aplicação personalizada que analisa os dados do relatório com base numa agenda normal. Em seguida, a aplicação gera uma notificação quando encontra novos dispositivos no relatório.

Limitações e problemas conhecidos

Não existem problemas ou limitações conhecidos com o agrupamento de tempo de inscrição.

Solução de problemas

Se ocorrer um comportamento inesperado, contacte o Suporte da Microsoft com as seguintes informações:

  • Número de série do dispositivo.
  • Os registos de aplicações do Portal da Empresa, se aplicável, com o ID de registo.
  • Carimbo de data/hora aproximado do evento e fuso horário onde ocorreu.
  • Capturas de ecrã do centro de administração ou dispositivo do Microsoft Intune.
  • Explicação detalhada do comportamento no dispositivo.
  • Last updated on