Tijdgroepering van inschrijvingen in Microsoft Intune

Stel registratietijdgroepering in om de inrichting van apps en beleid tijdens de apparaatinschrijving te versnellen. Met registratietijdgroepering kunt u een Microsoft Entra beveiligingsgroep toevoegen aan het inschrijvingsbeleid, zodat apparaten tijdens de inschrijving aan de groep worden toegevoegd in plaats van erna. Vervolgens kunt u de vereiste apps en beleidsconfiguratie toewijzen aan de groep. Dankzij deze voorkennis van de beveiligingsgroep waarvan het apparaat na de inschrijving lid wordt, kunnen Intune de configuraties snel aan het apparaat leveren bij de inschrijving, waardoor de latentie na de inschrijving wordt verminderd en de productiviteit wordt verbeterd.

Als u geen tijdgroepering voor inschrijving configureert, worden ingeschreven apparaten gegroepeerd op basis van inventariseigenschappen en groepstag-id's. Vervolgens levert Microsoft Intune apps en beleid op basis van het groepslidmaatschap. Microsoft Intune kunt alleen bepalen welke apps en beleidsregels een apparaat nodig heeft nadat het apparaat is gegroepeerd, zodat apparaten die op deze manier zijn gegroepeerd, vaak niet direct kunnen worden gebruikt. Het kan tot 8 uur na de inschrijving duren voordat apparaten alle apps en beleidsregels ontvangen.

In dit artikel vindt u een overzicht van tijdgroepering voor inschrijvingen, hoe u deze kunt configureren en functiebeperkingen.

Vereisten

Vereisten voor apparaatplatform

Registratietijdgroepering wordt ondersteund op de volgende platforms:

  • Windows 11
  • Android Enterprise
  • tvOS
  • visionOS

Inschrijvingsmethoden

Registratietijdgroepering wordt ondersteund op apparaten die zijn ingericht via:

Voor Android Enterprise wordt registratietijdgroepering ondersteund met het volgende inschrijvingsbeleid:

  • Volledig beheerde Android Enterprise
  • Android Enterprise-werkprofiel in bedrijfseigendom
  • Toegewezen Android Enterprise

Vereisten voor rollen

Welke machtigingen u nodig hebt, is afhankelijk van het platform dat u configureert:

  • Windows Autopilot: machtigingen voor het maken en wijzigen van windows Autopilot-apparaatvoorbereidingsbeleid en de machtiging voor het toewijzen van apparaatlidmaatschappen voor inschrijvingstijd (beschikbaar in aangepaste rollen onder Inschrijvingsprogramma's).
  • tvOS en visionOS: machtigingen voor het maken en wijzigen van tvOS- en visionOS-inschrijvingsbeleid en de toewijzingsmachtiging voor apparaatlidmaatschap voor inschrijvingstijd (beschikbaar in aangepaste rollen onder Inschrijvingsprogramma's).
  • Android Enterprise: machtigingen voor het maken en wijzigen van android enterprise-inschrijvingsbeleid en de toewijzing van het apparaatlidmaatschap voor de inschrijvingstijd voor Android Enterprise-machtigingen (beschikbaar in aangepaste rollen onder Android Enterprise).

Als u de Intune eigen app wilt toevoegen als eigenaar van een beveiligingsgroep, moet u een Microsoft Entra-groepsbeheerder zijn (of de machtiging microsoft.directory/groups/owners/update hebben) of een bestaande eigenaar van de beveiligingsgroep zijn.

De aangewezen groep moet worden geconfigureerd als een bereikgroep zodat de beheerder deze kan gebruiken in de configuratie van registratietijdgroepering.

Tip

Zie Op rollen gebaseerd toegangsbeheer voor meer informatie over het maken van aangepaste rollen.

Stap 1: Microsoft Entra beveiligingsgroep maken

Maak een statische Microsoft Entra beveiligingsgroep voor gebruik in inschrijvingsbeleid. Als u registratietijdgroepering wilt configureren, moet u de Intune Inrichtingsclient toevoegen als eigenaar van de beveiligingsgroep. U hoeft momenteel geen apparaten of gebruikers toe te voegen aan deze groep.

In de volgende procedure wordt beschreven hoe u een beveiligingsgroep maakt in het Microsoft Intune-beheercentrum. Zie Windows Autopilot - Een apparaatgroep maken voor meer informatie en stappen die specifiek zijn voor Windows 11.

Nadat u registratietijdgroepering hebt geconfigureerd in het inschrijvingsbeleid, kunt u terugkeren naar deze beveiligingsgroep om apparaten toe te voegen en te verwijderen. Elke Intune beheerder met de juiste machtigingen voor beveiligingsgroepen kan de beveiligingsgroep bewerken.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Groepen.

  3. Selecteer Alle groepen en selecteer vervolgens Nieuwe groep.

  4. Voer in het scherm Nieuwe groep dat wordt geopend de volgende gegevens in:

    1. Groepstype: selecteer Beveiliging.

    2. Groepsnaam: voer een naam in voor de apparaatgroep. Voorbeeld: Gedeelde inventarisapparaten

    3. Groepsbeschrijving: voer een beschrijving in voor de apparaatgroep.

    4. Microsoft Entra rollen kunnen worden toegewezen aan de groep: Selecteer Nee.

    5. Lidmaatschapstype: Selecteer Toegewezen.

    6. Eigenaren: selecteer de koppeling Geen eigenaren geselecteerd .

    7. Voeg in het scherm Eigenaren toevoegen dat wordt geopend de Intune Inrichtingsclient toe als eigenaar:

      1. Blader door de lijst met objecten en selecteer de service-principal Intune Inrichtingsclient met AppId van f1346770-5b25-470b-88bd-d5744ab7952c. U kunt ook de zoekbalk gebruiken om Intune Inrichtingsclient te zoeken en te selecteren.

        Opmerking

        • In sommige tenants heeft de service-principal mogelijk de naam van Intune Autopilot ConfidentialClient in plaats van Intune Inrichtingsclient. Zolang de AppID van de service-principal f1346770-5b25-470b-88bd-d5744ab7952c is, is dit de juiste service-principal.

        • Als de Intune Inrichtingsclient of Intune Autopilot ConfidentialClient-service-principal met AppId van f1346770-5b25-470b-88bd-d5744ab7952c niet beschikbaar is in de lijst met objecten of tijdens het zoeken, raadpleegt u De service-principal van Intune Provisioning Client toevoegen voor de volgende stappen.

      2. Kies Selecteren.

    8. Selecteer Maken om het maken van de toegewezen apparaatgroep te voltooien.

Stap 2: registratietijdgroepering configureren in inschrijvingsbeleid

De functie voor het groeperen van registratietijd is alleen van toepassing op nieuwe apparaatinschrijvingen. Dit is niet van invloed op en is niet van toepassing op apparaten die al zijn ingeschreven.

U kunt per inschrijvingsbeleid één statische Microsoft Entra beveiligingsgroep toevoegen. Als Intune-beheerder kunt u alleen Microsoft Entra groepen toevoegen die zijn geautoriseerd in de bereikgroep voor uw Intune rol. Zorg ervoor dat bereikgroepen en groepstags zijn toegewezen aan de juiste rollen, zodat beheerders de beveiligingsgroep kunnen zien tijdens het maken van beleid.

  1. Ga in het Microsoft Intune-beheercentrum naar Apparaten.

  2. Vouw Onboarding van apparaten uit en selecteer vervolgens Inschrijving.

  3. Selecteer het type inschrijving dat u configureert en maak een beleid.

    Tip

    Registratietijdgroepering wordt niet ondersteund met het faseringstoken. Als u een beleid configureert voor gebruik met registratietijdgroepering, gebruikt u het token in bedrijfseigendom, volledig beheerd (standaard) of het werkprofiel in bedrijfseigendom (standaard).

Nadat u het beleid hebt opgeslagen, kunt u er op elk gewenst moment naar terugkeren om de groepsinstellingen te bewerken. Updates die u op de groepsinstellingen maakt, zijn niet van toepassing op apparaten die al zijn ingeschreven met het beleid. Als u een apparaat uit de groep verwijdert, evalueert Microsoft Intune beleidsconfiguraties opnieuw en dwingt het apparaat om in te checken om nieuwe configuraties op te halen.

Stap 3: Apparaten inschrijven

Wanneer apparaten het inschrijvingsbeleid hebben toegewezen, worden ze lid van de Microsoft Entra beveiligingsgroep en beginnen ze apps en beleidsregels te ontvangen. Nadat de beheerder of eindgebruiker de eerste installatie van het apparaat heeft voltooid, komt deze op het startscherm van het apparaat terecht. Op dit moment moeten alle beoogde apps en beleidsregels al op het apparaat staan of worden geïnstalleerd.

Als u een apparaat uit de groep verwijdert, evalueert Microsoft Intune beleidsconfiguraties opnieuw en dwingt het apparaat om in te checken om nieuwe configuraties op te halen.

Rapportage

Voor toegang tot rapportage voor registratietijdgroepering gaat u naar Apparaten>Registratietijdgroeperingsfoutenbewaken>. In het beschikbare rapport worden alleen fouten weergegeven. Met name informatie over apparaten die geen lid zijn geworden van een specifieke statische apparaatgroep tijdens deze installatieprocessen:

  • Inrichting van Windows Autopilot-voorbereiding
  • Volledig beheerde Android Enterprise-inschrijving
  • Inschrijving van android enterprise-werkprofielen in bedrijfseigendom
  • Toegewezen android enterprise-inschrijving
  • Inschrijving van mobiele apparaten van Apple voor mobiele apparaten

Het kan tot 20 minuten duren voordat onlangs bijgewerkte informatie in het rapport wordt weergegeven. U moet microsoft.Intune/ManagedDevices/Read RBAC-machtiging om het rapport weer te geven.

Belangrijk

Dit rapport biedt informatie over apparaten die niet kunnen worden toegevoegd aan de beveiligingsgroepen die zijn geconfigureerd in het inschrijvingsbeleid. Als u tijdens de inschrijving niet deelneemt aan de groep, kan dit ertoe leiden dat de configuratie na de inschrijving wordt gewijzigd of van het apparaat wordt verwijderd. Daarom raden we u aan het rapport continu te bewaken, zodat u direct de benodigde beperkingsacties kunt uitvoeren. U kunt bijvoorbeeld een aangepaste app gebruiken waarmee de rapportgegevens regelmatig worden gescand. De app genereert vervolgens een melding wanneer er nieuwe apparaten in het rapport worden gevonden.

Bekende problemen en beperkingen

Er zijn geen bekende problemen of beperkingen met het groeperen van inschrijvingstijd.

Problemen oplossen

Als er onverwacht gedrag optreedt, neemt u contact op met Microsoft Ondersteuning met de volgende informatie:

  • Serienummer van apparaat.
  • Bedrijfsportal app-logboeken, indien van toepassing, met logboek-id.
  • Geschatte tijdstempel van de gebeurtenis en tijdzone waarin deze heeft plaatsgevonden.
  • Schermopnamen van het Microsoft Intune-beheercentrum of apparaat.
  • Gedetailleerde uitleg van het gedrag op het apparaat.
  • Last updated on