Lý thuyết cần nắm
Các phương thức enrollment thiết bị vào Intune MDM
5.1 Tổng quan Enrollment Methods
| Phương thức | Platform | Cách thực hiện | Tự động? |
|---|---|---|---|
| Windows Autopilot | Windows | User OOBE, zero-touch từ OEM/Reseller | ✓ Fully automated |
| Entra Join + MDM Auto-enroll | Windows | Join Entra ID → Intune tự nhận | ✓ Auto |
| GPO MDM Enrollment | Windows (Hybrid) | Group Policy trigger MDM enrollment | ✓ Auto (Hybrid) |
| Enrollment package (PPKG) | Windows | USB/file Provisioning Package, bulk enroll | Bán tự động |
| Company Portal (iOS/Android) | iOS, Android | User tự cài app và đăng ký | ✗ Manual |
| Apple DEP / ABM | iOS/macOS | Apple Business Manager → Intune zero-touch | ✓ Auto |
| Android Enterprise | Android | QR code, NFC, Zero-touch (Google ZTE) | ✓ / Manual |
5.2 MDM vs MAM — Phân biệt rõ ràng
MDM — Mobile Device Management
- Quản lý toàn bộ thiết bị
- Remote Wipe (xóa toàn máy)
- Push apps, config, certs
- Enforce compliance policies
- Yêu cầu: device phải enrolled
- Dùng cho: corporate-owned devices
MAM — Mobile App Management
- Chỉ quản lý apps (Outlook, Teams...)
- Selective Wipe (chỉ xóa corp data)
- App Protection Policies (PIN, encrypt)
- Không cần device enrolled
- User privacy được bảo vệ
- Dùng cho: BYOD
Có thể dùng cả hai: Thiết bị corporate dùng MDM + MAM. Thiết bị cá nhân (BYOD) chỉ dùng MAM without enrollment (MAM-WE). Đây là "MAM without enrollment" — không cần device phải join Intune.
5.3 Windows Autopilot Modes
| Mode | Mô tả | Dùng khi nào |
|---|---|---|
| User-Driven (Entra Join) | User tự OOBE, join Entra ID + Intune | Remote workers, cloud-only |
| User-Driven (Hybrid Join) | User OOBE, join cả AD DS + Entra ID | Hybrid org, cần GPO |
| Self-Deploying | Zero user interaction, kiosk/shared device | Kiosk, meeting room devices |
| Pre-Provisioned (White Glove) | IT setup trước, user nhận máy sẵn | VIP users, IT dept delivery |
Thực hành
Enroll Windows device và iOS vào Intune
Lab 5.1 — Enroll Windows 11 vào Intune (Manual)
Thực hành tại: intune.microsoft.com + Windows 11 VM đã Entra Joined
- Bật MDM Auto-enrollment
Intune → Devices → Enrollment → Windows → Automatic enrollment → MDM user scope: All → Save - Enroll từ Windows Settings
Settings → Accounts → Access work or school → Connect → nhập email Entra ID → máy tự đăng ký Intune - Verify enrollment
Settings → Access work or school → thấy "Connected to [TenantName]'s Azure AD" với MDM info - Kiểm tra trong Intune portal
Intune → Devices → All devices → máy xuất hiện với Managed by: Intune
Kết quả đầu ra
- Device xuất hiện trong Intune → Devices → All devices
- Managed by: Intune · Compliance: Pending (chờ policy check)
- Ownership: Corporate (nếu serial đã register Autopilot) hoặc Personal
Lab 5.2 — Enroll iOS/Android qua Company Portal
- Cấu hình iOS Enrollment
Intune → Devices → Enrollment → Apple → Enrollment types → chọn Company Portal - Download Company Portal
Trên iPhone/iPad → App Store → tìm "Microsoft Intune Company Portal" → Download - Đăng ký
Mở Company Portal → Sign in với Entra ID account → Begin → Install Management Profile → Cài trong Settings → General → VPN & Device Management - Verify
Intune → Devices → iOS/iPadOS → device xuất hiện
Lab 5.3 — Kiểm tra Enrollment Status qua PowerShell
# Xem tất cả managed devices
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"
Get-MgDeviceManagementManagedDevice | Select-Object DeviceName, OperatingSystem, ComplianceState, ManagementAgent, EnrolledDateTime | Format-Table -AutoSize
# Lọc theo OS
Get-MgDeviceManagementManagedDevice -Filter "operatingSystem eq 'Windows'" | Select-Object DeviceName, OsVersion, ComplianceState
Output mẫu
DeviceName OS ComplianceState ManagementAgent ---------- -- --------------- --------------- DESKTOP-TEST01 Windows Compliant MdmAndWindowsPC iPhone-NGUYEN iOS Compliant Mdm ANDROID-TRAN Android NonCompliant Mdm
Tình huống thực tế
MoMo — Triển khai Mobile Device Management cho 500 nhân viên
FinTech · iOS (dev team) + Android (field agents) + Windows (back office)
Thách thức: MoMo có 3 nhóm người dùng với nhu cầu khác nhau. IT cần kiểm soát thiết bị mà không xâm phạm privacy cá nhân.
Dev Team (Corporate iPhone)
MDM full enrollment qua ABM (Apple Business Manager) → Zero-touch → DEP profile áp ngay khi bật máy
Field Agents (BYOD Android)
MAM only (no MDM enrollment) → App Protection Policy → PIN bắt buộc khi mở Outlook/Teams → Selective Wipe khi nghỉ việc
Back Office (Windows)
Entra Join + Autopilot User-Driven → IT order laptop từ Dell → ship thẳng đến nhân viên → zero-touch setup trong 30 phút
ROI: Tiết kiệm 3 ngày/lần deploy × 50 máy mỗi tháng = 150 ngày công/năm. Selective Wipe BYOD giúp tuân thủ PDPA (Luật Bảo vệ dữ liệu cá nhân Việt Nam).