Azure 解决方案：如何将混合Azure AD加入设备注册到Intune MDM

51CTO 博客地址：​ ​​​​​https://blog.51cto.com/14669127​​​

许多公司使用本地域控制器+ 使用Azure或Intune等云技术来扩展其功能。比如说采用Intune的管理，可以只允许加入公司域的笔记本电脑才可以访问公司内部资源，这样就有效地阻止了内部网络以外的设备或未加入域的设备访问公司资源的情况，减少了IT用于管理设备的时间。

今天跟大家介绍一下如何将混合Azure AD加入设备注册到Intune MDM，混合Azure AD加入设备是加入本地域控制器并注册到Azure AD的设备，如果您需要从Intune MDM管理设备，但已加入域，则必须使用混合Azure AD加入类型。

前提条件：

1. Windows 10 1706 版本或者以上.
2. 设备必须注册到Azure AD
3. 用户必须有以下License确保用户的Device可以被enrollment，以下是可以用Microsoft Intune的license

• Microsoft 365 E5
• Microsoft 365 E3
• Enterprise Mobility + Security E5
• Enterprise Mobility + Security E3
• Microsoft 365 Business Premium
• Microsoft 365 F1
• Microsoft 365 F3
• Microsoft 365 Government G5
• Microsoft 365 Government G3
• Intune for Education

首先我们要确保Intune Portal中的Authoenrollment功能是启用的，具体操作如下：

1.       登录Microsoft Endpoint Manager Admin Center

2.      点击Device，然后选择Enroll Devices

3.      然后点击“Automaic Enrollment”如下所以：

4.      验证MDM User Scope设置为All or Some，如下所示：

确保上述操作完成之后，我们来确保本地AD中的OU可以apply GPO，具体操作步骤如下所示：

1.       打开本地Activity Directory，新建OU，命名Win10，如下所示：

2.       打开Group Policy Management Console，新建Group Policy->Administative Templates->Windows Components->MDM, 编辑Enable Automatic MDM enrollment using default Azure AD Credentials，如下所示：

3.       选择enabled，然后选择user credentials，如下所示：

4.       将GPO 分配给到Device上

上述完成之后，我们可以到Azure AD->Device中验证MDM情况，如果显示Microsoft Intune，说明配置成功。

希望本文的分享有效的帮助你将混合AD加入设备注册到Intune进行管理，对公司的资源增加了一层防护，谢谢大家的阅读。