Hoe automatiseer je de inschrijving van Active Directory-apparaten in Intune met groepsbeleid?
Het automatisch inschrijven van on-premises Active Directory-apparaten in Intune klinkt eenvoudig, maar het is vreemd dat Windows dit soms gewoon weigert. Deze handleiding beschrijft dat proces – vooral om de gebruikelijke frustraties te voorkomen wanneer uw machines niet automatisch worden ingeschreven zoals het hoort. Als alles correct is ingesteld, zouden uw gebruikers gewoon moeten inloggen met hun Microsoft 365-accounts en zou hun apparaat vrijwel automatisch in Intune moeten worden geregistreerd, waardoor u gecentraliseerde controle krijgt zonder veel gedoe. Maar laten we eerlijk zijn: geduld is geboden en soms moet u in Groepsbeleid of de ADM-sjablonen aan de slag om ontbrekende of verkeerd geconfigureerde zaken te herstellen.
Hoe u Active Directory (AD) Windows-apparaten automatisch kunt inschrijven bij Intune.
Vereiste: Uw on-premises Active Directory moet gesynchroniseerd zijn met Microsoft Entra ID via Microsoft Entra Connect (ook bekend als Azure AD Connect).Als dat niet werkt, zal dit hele proces niet automatisch van start gaan.
Schakel automatische MDM-inschrijving in met behulp van standaard Azure-referenties in Groepsbeleid.
Waarom dit helpt: Het geeft Windows expliciet de opdracht om apparaten automatisch in te schrijven bij Intune, met behulp van de referenties die zijn gekoppeld aan uw Azure AD-gebruiker. Normaal gesproken blijven apparaten niet ingeschreven als dit beleid niet is ingeschakeld, of moeten gebruikers ze handmatig inschrijven, wat niet ideaal is voor grotere omgevingen. Wanneer u dit instelt, zouden uw apparaten naadloos moeten worden ingeschreven zodra het beleid van kracht is, ervan uitgaande dat de synchronisatie en machtigingen correct zijn geconfigureerd.
Wanneer moet je dit proberen? Als gebruikers zich aanmelden met hun Microsoft 365-gegevens, maar hun apparaten niet in Intune verschijnen, of als er geen automatische inschrijving plaatsvindt, zelfs niet na het aanmelden van de gebruiker.
- Ga naar Serverbeheer, vervolgens naar Hulpmiddelen en kies Groepsbeleidsbeheer.
- Maak een nieuw groepsbeleidsobject (GPO) aan en koppel dit aan uw domein of de specifieke organisatie-eenheid (OU) met uw gebruikers/apparaten. Zorg ervoor dat u het juiste bereik selecteert, anders wordt het niet toegepast.
- Ga naar Computerconfiguratie > Beheersjablonen > Windows-onderdelen > MDM.
- Zoek naar ‘Automatische MDM-inschrijving inschakelen met standaard Azure AD-referenties’. Als deze optie er niet staat, geen paniek: zie hieronder hoe u deze kunt toevoegen.
- Zet het op ‘Ingeschakeld’ en selecteer ‘Gebruikersreferentie’ als referentietype, klik vervolgens op ‘Toepassen’ en ‘OK’.
- Voer dit
gpupdate /forcecommando uit in de opdrachtprompt (als beheerder) om de wijzigingen direct door te voeren. Op sommige systemen kan het echter even duren voordat de wijzigingen zijn toegepast.
Open Groepsbeleidsbeheer en maak een nieuw GPO aan.
Bewerk het nieuwe GPO om het juiste beleid in te stellen.
Pas het beleid toe.
Wat als het beleid “Automatische MDM-inschrijving inschakelen met standaard Azure-referenties” niet aanwezig is?
Omdat Windows-updates en ADMX-sjablonen verschillen, ontbreekt die instelling soms. Geen probleem, zo kunt u het oplossen:
- Controleer welke Windows-versie op uw aan het domein gekoppelde computers draait. Download vervolgens de bijbehorende beheersjablonen van Microsoft:
- Windows 11, versie 25H2
- Windows 11, versie 24H2
- Windows 11, versie 23H2
- Windows 11, versie 22H2
- Windows 10, versie 22H2
Methode 1: De juiste ADMX-sjablonen verkrijgen
- Download het juiste pakket en installeer het vervolgens op uw domeincontroller.
- Na de installatie moet je de map vinden waar de ADMX-bestanden zich bevinden, bijvoorbeeld:
C:\Program Files (x86)\Microsoft Group Policy\Windows 11 October 2023 Update (23H2)\- Kopieer de volledige
PolicyDefinitionsmap van die locatie naar de SYSVOL-share: - \\
\SYSVOL\ .local\Policies\ - Wacht een paar seconden totdat de DFSR-replicatie is gesynchroniseerd tussen de domeincontrollers.
- Ga vervolgens terug naar Groepsbeleidsbeheer en maak of bewerk uw GPO om die instelling in te schakelen.
Methode 2: Installeer de ADMX-sjablonen op uw domeincontroller.
Volgende stap: Automatische inschrijving inschakelen in Intune
Zodra uw beleid is ingesteld, gaat u naar het Intune-beheercentrum.
- Ga naar Apparaten > Windows > Inschrijving > Automatische inschrijving.
- Stel het MDM-gebruikersbereik in op ‘ Alles’, zodat elk apparaat zich probeert aan te melden. Schakel ook Windows Information Protection (WIP) voor iedereen in.
- Klik op Opslaan. Houd rekening met enige vertraging, maar zodra gebruikers inloggen of machines het beleid vernieuwen, zou de automatische inschrijving moeten starten. Dat is doorgaans het plan.
Controleer of de apparaten correct worden geregistreerd.
Nadat alles is geconfigureerd, wacht u een paar minuten – idealiter na de volgende Azure AD-synchronisatie. Wanneer gebruikers zich aanmelden met hun werkaccounts, zouden hun Windows-computers automatisch moeten worden geregistreerd bij Intune. U kunt dit controleren door naar Intune-apparaten te gaan en te zoeken naar nieuwe vermeldingen.
Extra tips voor handmatige inschrijving of het oplossen van problemen met vastgelopen apparaten.
- Om handmatig een apparaat toe te voegen, ga je naar Instellingen > Accounts > Toegang tot werk of school, klik je op Een werk- of schoolaccount toevoegen en meld je je aan.
- Als een apparaat eerder geregistreerd was maar niet wordt weergegeven als hybride gekoppeld, probeer
dsregcmd.exe /leavedan de opdrachtprompt met beheerdersrechten uit te voeren, start de computer opnieuw op en meld u opnieuw aan.
Dat dekt zo’n beetje de essentie. Eerlijk gezegd duurt het bij sommige configuraties gewoon wat langer voordat alles goed op elkaar is afgestemd, maar zodra alles is bijgewerkt, registreren de apparaten zich meestal automatisch. Ik weet niet precies waarom het soms wel werkt, maar met de juiste sjablonen en beleidsregels is het minder een gok.
Samenvatting
- Zorg ervoor dat AD is gesynchroniseerd met Entra ID via Entra Connect.
- Maak een groepsbeleidsobject (GPO) aan en koppel dit om automatische MDM-inschrijving mogelijk te maken.
- Download en installeer indien nodig ADMX-sjablonen die overeenkomen met uw Windows-versie.
- Implementeer het beleid ‘Automatische MDM-inschrijving inschakelen’ en voer het uit
gpupdate /force. - Stel automatische inschrijving in Intune in en controleer de apparaatstatus na de synchronisatie.
Samenvatting
Hopelijk helpt dit de onduidelijkheid rondom problemen met automatische inschrijving weg te nemen. Soms is het gewoon een kwestie van de beleidsregels goed instellen, wachten op synchronisatie of de instellingen forceren. Zodra het lukt, verloopt het beheren van apparaten een stuk soepeler. En ja, het voelt misschien een beetje omslachtig, maar het is in ieder geval mogelijk.