Microsoft Intune pre helpdesk: Sprievodca správou zariadení a riešením problémov

Prečo je Microsoft Intune kľúčový nástroj pre moderný helpdesk

Ak pracujete na helpdesku v roku 2026, Microsoft Intune je prakticky všade. Táto cloudová platforma na správu koncových bodov (Unified Endpoint Management) umožňuje IT tímom centrálne spravovať počítače, notebooky, tablety aj smartfóny — všetko z jednej konzoly. A práve preto je pre helpdesk technikov absolútne nevyhnutné vedieť, ako s Intune pracovať.

Od registrácie zariadení cez nasadzovanie aplikácií až po tie nepríjemné chybové kódy pri enrollmente — toto všetko pokryjeme v tomto sprievodcovi. Vrátane noviniek roku 2026 ako Windows Autopilot Device Preparation, hotpatch aktualizácie a integrácia Copilota do Intune admin centra.

Tak poďme na to.

Základné koncepty Microsoft Intune pre helpdesk

Čo je Microsoft Intune a ako funguje

Microsoft Intune je cloudová služba, súčasť balíka Microsoft Endpoint Manager. V skratke — umožňuje organizáciám:

• Spravovať zariadenia — nastavovať konfiguračné profily, vynucovať bezpečnostné politiky a monitorovať stav zariadení
• Spravovať aplikácie — nasadzovať, aktualizovať a odstraňovať aplikácie na spravovaných zariadeniach
• Vynucovať compliance — definovať pravidlá, ktoré musia zariadenia spĺňať, aby mali prístup k firemným zdrojom
• Chrániť firemné dáta — pomocou Conditional Access a App Protection Policies

Licenčné požiadavky

Pre správne fungovanie Intune potrebujú používatelia jednu z nasledujúcich licencií:

• Microsoft 365 E3/E5 — zahŕňa plnú funkcionalitu Intune
• Microsoft 365 Business Premium — obsahuje Intune s obmedzeniami pre SMB segment
• Enterprise Mobility + Security (EMS) E3/E5 — samostatná licencia pre Intune a ďalšie bezpečnostné nástroje
• Intune Plan 1/Plan 2 — samostatné licencie; Plan 2 prináša pokročilé funkcie ako Endpoint Privilege Management a Cloud PKI

Dobrá správa pre rok 2026 — Microsoft integroval do licencie M365 E5 aj pokročilé funkcie ako Remote Help, Advanced Analytics a Enterprise App Management. To výrazne zjednodušuje licencovanie pre väčšie organizácie (a menej bolestí hlavy pre helpdesk pri overovaní, čo kto vlastne má).

Registrácia zariadení (Enrollment) — najčastejšie scenáre

Metódy registrácie Windows zariadení

Toto je oblasť, kde helpdesk technici trávia asi najviac času. Poznať hlavné metódy enrollmentu je základ:

1. Windows Autopilot — plne automatizovaný enrollment pri prvom zapnutí zariadenia. Zariadenie sa pripojí k sieti, stiahne profil a automaticky sa zaregistruje do Entra ID a Intune.
2. Autopilot Device Preparation (v2) — novšia verzia Autopilotu, ktorá podporuje až 25 aplikácií počas OOBE a má integráciu s Enterprise App Catalog.
3. Automatický MDM enrollment — zariadenie sa zaregistruje automaticky po pripojení k Entra ID (Azure AD Join). Jednoduché a funkčné.
4. Manuálny enrollment — používateľ ide do Nastavenia → Účty → Prístup do práce alebo školy → Pripojiť a zaregistruje sa ručne. Nie je to elegantné, ale funguje.
5. Bulk enrollment — hromadná registrácia pomocou provisioning balíka (Windows Configuration Designer). Užitočné, keď nastavujete desiatky zariadení naraz.

Predpoklady pre úspešnú registráciu

Poviem vám z praxe — väčšina problémov s enrollmentom vzniká ešte pred samotnou registráciou. Takže než začnete hľadať zložité príčiny, skontrolujte tieto základy:

• Licencia — používateľ musí mať priradenú platnú Intune licenciu
• MDM User Scope — v Entra ID → Mobilita (MDM a MAM) → Microsoft Intune musí byť MDM scope nastavený na „All" alebo na skupinu obsahujúcu používateľa
• Sieťové požiadavky — firewall a proxy musia povoliť prístup k Intune endpointom (toto sa prehliadne častejšie, než by ste čakali)
• Device enrollment limit — predvolený limit je 15 zariadení na používateľa
• Enrollment restrictions — skontrolujte, či platforma a typ zariadenia nie sú blokované

Overenie sieťových požiadaviek pomocou PowerShell

Microsoft poskytuje šikovný nástroj na validáciu sieťových požiadaviek. Stačí spustiť na zariadení:

# Stiahnutie a spustenie Intune Network Requirements validation tool
Install-Module -Name IntuneNetworkRequirements -Force
Test-IntuneNetworkRequirements -Verbose

Nástroj overí DNS rozlíšenie, TCP/UDP konektivitu, HTTP/S odpovede aj TLS/SSL validáciu pre všetky požadované Intune endpointy. Ušetrí vám to kopec manuálneho testovania.

Riešenie najčastejších chybových kódov pri enrollmente

A teraz k tej menej zábavnej časti — chybové kódy. Ale aj tu existujú osvedčené postupy, ako sa s nimi vysporiadať.

Chyba 0x8007064c — „Zariadenie je už zaregistrované"

Klasika. Tento problém sa objavuje, keď zariadenie obsahuje zostatkový certifikát z predchádzajúcej registrácie — napríklad po reimagovaní z klonovaného obrazu.

Riešenie:

1. Otvorte certlm.msc (Certifikáty lokálneho počítača)
2. Prejdite do Osobné → Certifikáty
3. Nájdite certifikát vydaný autoritou SC_Online_Issuing a odstráňte ho
4. Potom spustite vyčistenie registrácie:

# Vyčistenie starej registrácie
dsregcmd /leave
# Reštartujte zariadenie a skúste enrollment znova

Chyba 0x8018002a / 0x80070003 — Conditional Access blokuje enrollment

Táto chyba sa objavuje, keď Conditional Access politiky vyžadujú MFA pre všetky cloudové aplikácie — vrátane samotného Intune Enrollment. Trochu paradoxné, ale stáva sa to.

Riešenie:

1. V Entra ID admin centre prejdite do Conditional Access → Politiky
2. V problematickej politike nájdite sekciu Cloud apps
3. Pridajte výnimku pre aplikáciu „Microsoft Intune Enrollment"
4. Uložte politiku a počkajte na replikáciu (zvyčajne 5–15 minút)

Chyba 0x80180014 — Enrollment zablokovaný

Jedna z najčastejších chýb v podnikovom prostredí. Zariadenie zostane zaseknuté na Enrollment Status Page (ESP) a jednoducho sa nepohne ďalej.

Príčiny a riešenie:

• Zariadenie nie je označené ako firemné — Autopilot zariadenia sa stávajú firemnými až po úspešnom pripojení. Skontrolujte enrollment restrictions a uistite sa, že osobné zariadenia nie sú blokované pre platformu Windows.
• Enrollment restriction blokovanie — v Intune admin centre → Zariadenia → Enrollment restrictions overte, že typ zariadenia je povolený
• BYOD politika — ak organizácia blokuje osobné zariadenia, Autopilot enrollment môže zlyhať, pretože zariadenie ešte nie je rozpoznané ako firemné. Je to taký začarovaný kruh.

Chyba 0x8018000a — Zariadenie je registrované v inom MDM

Ak je zariadenie stále registrované v inom MDM riešení (Sophos Mobile, VMware Workspace ONE a podobne), Intune enrollment jednoducho neprejde.

Riešenie:

# Overenie aktuálneho stavu registrácie
dsregcmd /status

# Ak je zariadenie registrované v inom MDM, najprv ho odregistrujte
# z pôvodného MDM riešenia a potom spustite:
dsregcmd /leave
# Reštartujte zariadenie a vykonajte nový enrollment

Prekročený limit zariadení

Každý používateľ má predvolený limit 15 zariadení. Po jeho dosiahnutí enrollment zlyhá — a je to celkom bežné u ľudí, ktorí často menia hardware.

Overenie: V Intune admin centre → Používatelia → vyberte používateľa → Zariadenia. Ak je limit dosiahnutý, odstráňte nepoužívané zariadenia alebo zvýšte limit v Enrollment restrictions.

Windows Autopilot — sprievodca riešením problémov

Autopilot v1 vs. Device Preparation (v2)

V roku 2026 existujú dve verzie Autopilotu. Môžu koexistovať v jednom tenante, ale každé zariadenie môže používať len jednu z nich. Tu je prehľad rozdielov:

Vlastnosť	Autopilot v1	Device Preparation (v2)
Profil priradený	Zariadeniu	Používateľovi
Max. aplikácií v OOBE	Závisí od ESP nastavení	Až 25 (od 2026)
Self-deploying mode	Áno (GA od 2026)	Áno (automatický režim)
Cloud PC podpora	Obmedzená	Windows 365 Enterprise, Frontline
Enterprise App Catalog	Nie	Áno (od verzie 2506)

Autopilot chyba 80180005 — Mismatch profilu

Chybová správa „Mismatch between ZTD Profile and enrollment request intent" sa objavuje pri konflikte medzi Autopilot profilom a enrollmentom. Naštastie, riešenie je pomerne priamočiare:

# Odstráňte súbor Autopilot konfigurácie
Remove-Item "C:\Windows\ServiceState\wmansvc\AutopilotDDSZTDFile.json" -Force
# Reštartujte zariadenie a skúste enrollment znova

TPM chyby pri Self-Deploying Mode

Self-deploying mode vyžaduje TPM 2.0 s podporou attestácie. A práve tu to niekedy škrípe:

• „A failure to secure the hardware" — TPM nie je podporovaný, alebo sa pokúšate nasadiť na virtuálny stroj. Self-deploying mode totiž VM nepodporuje.
• TPM attestácia zlyhala — skúste vyčistiť TPM v BIOS/UEFI nastaveniach a reštartovať zariadenie. Väčšinou to pomôže.

Chyba 800004005 — Hybrid Join zlyhanie

Organizácie používajúce hybridné pripojenie k Entra ID môžu naraziť na túto chybu po zadaní prihlasovacích údajov.

Odporúčanie Microsoft: Prejdite na čistý Entra ID Join namiesto hybridného pripojenia. Microsoft aktívne odporúča migráciu z Hybrid Join na Entra ID Join pre nové zariadenia. Úprimne, ak máte možnosť prejsť na čistý cloud join, je to najlepšia cesta.

Zber diagnostických logov počas OOBE

Ak Autopilot zlyhá počas OOBE, logy získate takto:

# Počas OOBE stlačte Shift + F10 pre otvorenie príkazového riadku
# Spustite diagnostický nástroj:
MdmDiagnosticsTool.exe -area Autopilot;TPM -cab C:\AutopilotDiag.cab

# Exportujte výsledok na USB disk:
Copy-Item C:\AutopilotDiag.cab D:\ -Force

Helpdesk Troubleshooting Dashboard v Intune

Prístup k troubleshooting panelu

Intune má špeciálny dashboard pre helpdesk operátorov — a úprimne, je to jeden z najužitočnejších nástrojov, aké máte k dispozícii. Prístup vyžaduje rolu Help Desk Operator:

1. Prihláste sa do Intune admin centra (intune.microsoft.com)
2. Vyberte Troubleshooting + support → Troubleshoot
3. Zadajte meno alebo e-mail používateľa
4. Vyberte zariadenie, ak má používateľ viacero zariadení

Dostupné záložky v troubleshooting paneli

• Súhrn — počty problémov podľa kategórií (politiky, compliance, aplikácie, zariadenia)
• Zariadenia — OS verzia, Intune compliance stav, posledný check-in
• Politiky — priradenie, typ, platforma, posledná úprava a stav aplikácie
• Aplikácie — stav inštalácie, priradenie, platforma
• App Protection Policy — názov, platforma, stav registrácie
• Skupiny — členstvo a typ skupiny

Monitorovanie enrollment zlyhaní

Pre systematické sledovanie problémov s registráciou:

1. V Intune admin centre prejdite do Zariadenia → Monitor → Enrollment failures
2. Filtrujte podľa platformy a chybového kódu
3. Kontrolujte Autopilot deployment report pre stav jednotlivých zariadení

Compliance politiky — riešenie bežných problémov

Zariadenie hlási „Not Compliant"

Toto je asi najčastejší typ tiketu, ktorý helpdesk dostáva. Najčastejšie dôvody:

• Zastaralý OS — zariadenie nemá nainštalované požadované aktualizácie
• Chýbajúci BitLocker — šifrovanie disku nie je aktívne
• Firewall vypnutý — Windows Firewall je deaktivovaný
• Antivírus nie je aktuálny — definície Windows Defender nie sú aktualizované
• TPM nie je aktívny — Trusted Platform Module nie je povolený v BIOS

Overenie compliance stavu pomocou PowerShell

# Kontrola stavu zariadenia v Intune pomocou Microsoft Graph
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"

# Získanie compliance stavu zariadenia
$device = Get-MgDeviceManagementManagedDevice -Filter "deviceName eq 'MENO-POCITACA'"
$device | Select-Object DeviceName, ComplianceState, LastSyncDateTime,
    OperatingSystem, OsVersion

# Získanie detailov compliance politík
Get-MgDeviceManagementDeviceCompliancePolicyDeviceStatus -DeviceCompliancePolicyId $policyId

Postupné vynucovanie compliance (Grace Period)

Toto je dôležitá rada — nikdy nenastavujte okamžité blokovanie prístupu pri nových compliance politikách. Verte mi, telefón vám bude zvoniť non-stop. Namiesto toho použite postupný model:

1. Deň 1–3 — len notifikácia používateľovi o nesúlade
2. Deň 4–7 — označenie zariadenia ako non-compliant
3. Deň 8+ — blokovanie prístupu cez Conditional Access

Tento prístup výrazne znižuje počet helpdesk tiketov a dáva používateľom čas na nápravu. Všetci z toho profitujú.

Novinky Intune 2026 — čo musí helpdesk vedieť

Copilot v Intune (GA)

Od roku 2026 je Copilot v Intune všeobecne dostupný pre komerčných zákazníkov. Pre helpdesk technikov je to skutočný game-changer:

• Dotazy v prirodzenom jazyku na Intune dáta — žiadne zložité filtre
• Rýchle vyhľadávanie zariadení a používateľov
• Analýza Autopilot deploymentov a compliance stavu
• Navigácia v Intune admin centre pomocou hlasových príkazov

Hotpatch aktualizácie (od mája 2026)

Od mája 2026 sú hotpatch aktualizácie predvolene zapnuté pre zariadenia spravované cez Windows Autopatch. Čo to znamená v praxi?

• Aktualizácie sa inštalujú rýchlejšie a vyžadujú menej reštartov (používatelia budú nadšení)
• Organizácie sa môžu odhlásiť cez nastavenie na úrovni tenanta (dostupné od 1. apríla 2026)
• Quality update policy umožňuje kontrolovať hotpatch správanie pre konkrétne skupiny zariadení

Vylepšené notifikácie (WNS cez Teams protokol)

Od marca 2026 Windows Notification Service (WNS) používa rovnaký protokol ako Microsoft Teams. Praktický dopad:

• Spoľahlivejšie push notifikácie na zariadenia
• Rýchlejšie check-iny zariadení po zmene politík
• Presnejšie vynucovanie akcií z Intune admin centra

Admin Tasks — zjednotený pohľad

Nová sekcia Admin Tasks (public preview) v Intune admin centre konsoliduje všetko na jedno miesto:

• Endpoint Privilege Management (EPM) požiadavky na eleváciu súborov
• Defender for Endpoint bezpečnostné úlohy
• Multi-Admin Approval požiadavky

Konečne nemusíte skákať medzi tromi rôznymi sekciami.

Vzdialená pomoc (Remote Help) pre helpdesk

Nastavenie Remote Help

Microsoft Intune Remote Help umožňuje helpdesk technikom pripojiť sa k zariadeniu používateľa a poskytnúť vzdialenú podporu priamo z Intune admin centra. Je to oveľa lepšie než klasický TeamViewer alebo podobné nástroje, pretože všetko je integrované.

Požiadavky:

• Intune Plan 2 alebo Intune Suite licencia
• Zariadenie musí byť registrované v Intune
• Zariadenie musí spĺňať compliance požiadavky (ak je nastavená kontrola compliance)

Bezpečnostné funkcie Remote Help

• Silné overovanie — helpdesk technik aj používateľ musia byť autentifikovaní cez Entra ID
• RBAC kontrola — prístup je riadený pomocou Intune rolí
• Compliance kontrola — pripojenie môže byť podmienené stavom zariadenia
• Audit trail — všetky relácie sú zaznamenané vrátane času, zariadenia a operačného systému
• ServiceNow integrácia — incidenty je možné riešiť priamo z Intune konzoly

Užitočné PowerShell príkazy pre helpdesk

Na záver tejto sekcie — tu sú príkazy, ktoré budete používať najčastejšie. Odporúčam si ich uložiť niekam po ruke:

# === DIAGNOSTIKA STAVU ZARIADENIA ===

# Overenie stavu Entra ID / Azure AD pripojenia
dsregcmd /status

# Overenie stavu MDM enrollmentu
Get-ChildItem "HKLM:\SOFTWARE\Microsoft\Enrollments" | ForEach-Object {
    Get-ItemProperty $_.PSPath | Select-Object EnrollmentType, ProviderID, UPN
}

# === INTUNE MANAGEMENT EXTENSION LOGY ===

# Otvorenie logov Intune Management Extension
Get-Content "C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log" -Tail 50

# === MICROSOFT GRAPH API ===

# Pripojenie k Microsoft Graph
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"

# Vyhľadanie zariadenia podľa mena
Get-MgDeviceManagementManagedDevice -Filter "deviceName eq 'PC-HELPDESK-01'" |
    Select-Object DeviceName, ComplianceState, EnrolledDateTime,
    LastSyncDateTime, ManagementAgent, OperatingSystem

# Synchronizácia zariadenia
Invoke-MgGraphRequest -Method POST `
    -Uri "https://graph.microsoft.com/v1.0/deviceManagement/managedDevices/{deviceId}/syncDevice"

# === RESETOVANIE ENROLLMENTU ===

# Vyčistenie starej registrácie (spúšťať s admin právami)
dsregcmd /leave
# Po reštarte zariadenia vykonajte nový enrollment

Kontrolný zoznam pre helpdesk — riešenie problémov s Intune

Keď vám používateľ nahlási problém s Intune zariadením, postupujte podľa tohto zoznamu. Je to osvedčený postup, ktorý pokryje väčšinu scenárov:

1. Overte licenciu — má používateľ priradenú platnú Intune licenciu?
2. Skontrolujte enrollment stav — je zariadenie registrované v Intune? (dsregcmd /status)
3. Skontrolujte posledný check-in — kedy sa zariadenie naposledy synchronizovalo?
4. Overte compliance — aký je compliance stav a aké pravidlá sú porušené?
5. Preskúmajte politiky — sú konfiguračné profily správne priradené a aplikované?
6. Skontrolujte aplikácie — sú požadované aplikácie nainštalované a v správnej verzii?
7. Preskúmajte logy — Event Viewer → Applications and Services Logs → Microsoft → Windows → DeviceManagement-Enterprise-Diagnostics-Provider
8. Vyskúšajte synchronizáciu — vynúťte manuálnu synchronizáciu z Intune admin centra alebo zo zariadenia
9. Eskalujte ak treba — použite Intune Troubleshooting Dashboard pre detailnú analýzu

Januárová aktualizácia 2026 — známy problém s unenrollmentom

Na toto si dajte pozor. Januárové aktualizácie 2026 (KB5074109 a KB5074752) spôsobili, že niektoré zariadenia boli automaticky odregistrované z Intune. Aktualizácia resetovala MDM enrollment certifikáty alebo modifikovala workplace join stav počas reštartu.

Identifikácia problému:

# Overenie stavu Azure AD / Entra ID join
dsregcmd /status

# Skontrolujte, či MDM enrollment certifikát existuje:
# certlm.msc → Personal → Certificates
# Hľadajte certifikát od SC_Online_Issuing

Riešenie:

1. Overte stav Entra ID pripojenia pomocou dsregcmd /status
2. Skontrolujte, či MDM enrollment certifikát je prítomný v Local Computer certificate store
3. Ak zariadenie nie je pripojené alebo chýba certifikát, re-enrollujte cez Nastavenia → Účty → Prístup do práce alebo školy → Pripojiť
4. Uistite sa, že najnovšia verzia Intune Management Extension je nainštalovaná

Často kladené otázky (FAQ)

Ako zistím, či je zariadenie registrované v Microsoft Intune?

Najrýchlejší spôsob je spustiť príkaz dsregcmd /status v príkazovom riadku. Hľadajte sekciu „MDM" — ak je zobrazená URL adresa MDM servera a stav „YES", zariadenie je registrované. Prípadne môžete skontrolovať v Nastavenia → Účty → Prístup do práce alebo školy, kde by malo byť viditeľné pripojenie k organizácii.

Čo robiť, keď Autopilot enrollment zostane zaseknutý na Enrollment Status Page?

Najčastejšou príčinou je problém s inštaláciou aplikácií alebo konfiguračných profilov. Stlačte Shift + F10 pre otvorenie príkazového riadku a spustite diagnostiku: MdmDiagnosticsTool.exe -area Autopilot;TPM -cab C:\AutopilotDiag.cab. Skontrolujte tiež, či nemáte príliš veľa blokujúcich aplikácií v ESP profile — Microsoft odporúča maximálne 5 aplikácií pre plynulý deployment.

Ako vynútiť synchronizáciu zariadenia s Intune?

Máte tri možnosti: (1) Z Intune admin centra — vyberte zariadenie a kliknite na „Sync". (2) Na zariadení — prejdite do Nastavenia → Účty → Prístup do práce alebo školy, vyberte pripojenie a kliknite na „Informácie" → „Sync". (3) Pomocou PowerShell a Microsoft Graph API príkazu Invoke-MgGraphRequest na endpoint syncDevice.

Prečo zariadenie zobrazuje stav „Not Compliant" aj keď spĺňa všetky požiadavky?

Compliance stav sa neaktualizuje okamžite — to je dôležité si zapamätať. Po oprave problému vykonajte manuálnu synchronizáciu a počkajte 15–30 minút na vyhodnotenie. Ak problém pretrváva, skontrolujte v Intune Troubleshooting Dashboard konkrétne compliance pravidlá. Môže ísť o grace period, ktorý ešte neuplynul, alebo o politiku, ktorá sa ešte nesynchronizovala na zariadenie.

Je možné mať Autopilot v1 a Device Preparation v2 súčasne v jednom tenante?

Áno, oba profily môžu koexistovať v jednom tenante. Ale pozor — každé zariadenie môže používať len jednu metódu. Autopilot v1 používa deployment profil priradený zariadeniu, zatiaľ čo Device Preparation v2 používa profil priradený používateľovi. Ak zariadenie má priradený Autopilot v1 profil, Device Preparation sa nepoužije.