Oktatóanyag: Natív felhőbeli Windows-végpont beállítása és konfigurálása Microsoft Intune

  • Cikk

Tipp

A natív felhőbeli végpontok olvasásakor a következő kifejezések jelennek meg:

  • Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
  • Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy Csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
  • Natív felhőbeli végpontok: A Azure AD csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
  • Számítási feladat: Bármely program, szolgáltatás vagy folyamat.

Ez az útmutató végigvezeti a szervezet natív felhőbeli Windows-végpontkonfigurációjának létrehozásának lépésein. A natív felhőbeli végpontokról és azok előnyeiről a Mi a natív felhőbeli végpontok? című témakörben talál áttekintést.

Ez a funkció az alábbiakra vonatkozik:

  • Natív Windows-felhőbeli végpontok

Tipp

Ha egy microsoftos ajánlott, szabványosított megoldást szeretne a megoldásra építeni, akkor lehet, hogy érdekli a Windows a felhőkonfigurációban. A Intune a Windows felhőbeli konfigurációját interaktív forgatókönyv használatával konfigurálhatja.

A következő táblázat ismerteti az útmutató és a Windows közötti fő különbséget a felhőkonfigurációban:

Megoldás Célkitűzés
Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal (ez az útmutató) Végigvezeti a saját konfigurációjának létrehozásán a Microsoft által javasolt beállítások alapján, és segít a tesztelés megkezdésében.
Windows a felhőben – konfiguráció Irányított forgatókönyv, amely előre elkészített konfigurációt hoz létre és alkalmaz a Microsoft ajánlott eljárásai alapján az előtérbeli, távoli és más, koncentráltabb igényekkel rendelkező dolgozók számára.

Ezt az útmutatót a windowsos felhőkonfigurációval kombinálva még jobban testre szabhatja az előre elkészített felületet.

Első lépések

Használja az útmutató öt rendezett fázisát, amelyek egymásra épülnek a natív felhőbeli Windows-végpont konfigurációjának előkészítéséhez. Ezeknek a fázisoknak a sorrendben történő elvégzésével kézzelfogható előrehaladást láthat, és készen áll az új eszközök kiépítésére.

Fázisok:

Öt fázis a natív felhőbeli Windows-végpontok beállításához a Microsoft Intune és a Windows Autopilot használatával.

  • 1. fázis – A környezet beállítása
  • 2. fázis – Az első natív felhőbeli Windows-végpont létrehozása
  • 3. fázis – A natív felhőbeli Windows-végpont védelme
  • 4. fázis – Egyéni beállítások és alkalmazások alkalmazása
  • 5. fázis – Nagy léptékű üzembe helyezés a Windows Autopilottal

Az útmutató végén egy natív felhőbeli Windows-végpont áll rendelkezésére, amely készen áll a tesztelés megkezdésére a környezetben. Mielőtt nekilátna, érdemes lehet megnéznie a Microsoft Entra csatlakozástervezési útmutatót, amely a Microsoft Entra illesztés implementációjának megtervezését ismerteti.

1. fázis – A környezet beállítása

1. fázis.

Az első natív felhőbeli Windows-végpont létrehozása előtt ellenőrizni kell néhány fő követelményt és konfigurációt. Ez a fázis végigvezeti a követelmények ellenőrzésén, a Windows Autopilot konfigurálásán, valamint bizonyos beállítások és alkalmazások létrehozásán.

1. lépés – Hálózati követelmények

A natív felhőbeli Windows-végpontnak több internetszolgáltatáshoz is hozzá kell férnie. Indítsa el a tesztelést egy nyitott hálózaton. Vagy használhatja a vállalati hálózatot, miután hozzáférést biztosított a Windows Autopilot hálózatkezelési követelményei között felsorolt összes végponthoz.

Ha a vezeték nélküli hálózat tanúsítványokat igényel, a tesztelés során kezdhet Ethernet-kapcsolattal, miközben ön határozza meg a vezeték nélküli kapcsolatok eszközkiépítéshez legjobb megközelítését.

2. lépés – Regisztráció és licencelés

Mielőtt csatlakozhatna Microsoft Entra, és regisztrálna a Intune, ellenőriznie kell néhány dolgot. Létrehozhat egy új Microsoft Entra csoportot, például az MDM-felhasználók Intune nevet. Ezután adjon hozzá adott tesztfelhasználói fiókokat, és a következő konfigurációk mindegyikét megcélzva korlátozza, hogy ki regisztrálhat eszközöket a konfiguráció beállításakor. Microsoft Entra csoport létrehozásához lépjen az Alapszintű csoport létrehozása és tagok hozzáadása lapra.

  • Regisztrációs korlátozások
    A regisztrációs korlátozások lehetővé teszik annak szabályozását, hogy milyen típusú eszközök regisztrálhatók a felügyeletre Intune. Ahhoz, hogy ez az útmutató sikeres legyen, győződjön meg arról, hogy a Windows (MDM) regisztrációja engedélyezve van, ez az alapértelmezett konfiguráció.

    A regisztrációs korlátozások konfigurálásáról további információt a Regisztrációs korlátozások beállítása a Microsoft Intune-ben című témakörben talál.

  • eszköz MDM-beállításainak Azure AD
    Amikor windowsos eszközt csatlakoztat a Microsoft Entra, Microsoft Entra konfigurálható úgy, hogy az eszközök automatikusan regisztráljanak az MDM-ben. Ez a konfiguráció szükséges a Windows Autopilot működéséhez.

    Ha ellenőrizni szeretné, hogy az Microsoft Entra eszköz MDM-beállításai megfelelően vannak-e engedélyezve, olvassa el a Gyorsútmutató – Automatikus regisztráció beállítása Intune című témakört.

  • Azure AD céges arculat
    Ha hozzáadja a vállalati emblémát és a képeket Microsoft Entra biztosíthatja, hogy a felhasználók ismerős és egységes megjelenést lássanak, amikor bejelentkeznek a Microsoft 365-be. Ez a konfiguráció szükséges a Windows Autopilot működéséhez.

    Az egyéni márkajelzések Microsoft Entra való konfigurálásáról további információt a Márkajelzés hozzáadása a szervezet Microsoft Entra bejelentkezési oldalához című témakörben talál.

  • Licencelés
    A Windows-eszközöket a kezdőélményből (OOBE) Intune regisztráló felhasználóknak két fő képességre van szükségük.

    A felhasználóknak a következő licencekre van szükségük:

    • Microsoft Intune vagy Microsoft Intune for Education licenc
    • Az alábbi lehetőségek egyikéhez hasonló licenc, amely lehetővé teszi az automatikus MDM-regisztrációt:
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    A licencek hozzárendeléséhez lépjen a Licencek hozzárendelése Microsoft Intune elemre.

    Megjegyzés:

    A licenccsomagok általában mindkét licenctípust tartalmazzák, például Microsoft 365 E3 (vagy A3) és újabb licenccsomagokat. Az M365-licencelés összehasonlítását itt tekintheti meg.

3. lépés – A teszteszköz importálása

A natív felhőbeli Windows-végpont teszteléséhez először egy virtuális gépet vagy fizikai eszközt kell előkészítenünk tesztelésre. Az alábbi lépések lekérik az eszköz adatait, és feltöltik azokat a Windows Autopilot szolgáltatásba, amelyet a cikk későbbi részében használunk.

Megjegyzés:

Bár az alábbi lépések lehetővé teszik egy eszköz importálását tesztelés céljából, a partnerek és az OEM-ek a vásárlás részeként az Ön nevében importálhatnak eszközöket a Windows Autopilotba. A Windows Autopilotról az 5. fázisban talál további információt.

  1. Telepítse a Windowst (lehetőleg 20H2 vagy újabb verzió) egy virtuális gépre, vagy állítsa alaphelyzetbe a fizikai eszközt, hogy az az OOBE beállítási képernyőjén várakozzon. Virtuális gép esetén szükség esetén létrehozhat egy ellenőrzőpontot.

  2. Végezze el az internethez való csatlakozáshoz szükséges lépéseket.

  3. Nyisson meg egy parancssort a Shift + F10 billentyűkombinációval.

  4. Ellenőrizze, hogy rendelkezik-e internetkapcsolattal az bing.com pingelésével:

    • ping bing.com

  5. Váltson a PowerShellre a következő parancs futtatásával:

    • powershell.exe

  6. Töltse le a Get-WindowsAutopilotInfo szkriptet a következő parancsok futtatásával:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Amikor a rendszer kéri, az elfogadáshoz írja be az Y értéket.

  8. Írja be az alábbi parancsot:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Megjegyzés:

    A csoportcímkék lehetővé teszik, hogy dinamikus Microsoft Entra csoportokat hozzon létre az eszközök egy részhalmaza alapján. A csoportcímkéket beállíthatja az eszközök importálásakor, vagy később módosíthatja a Microsoft Intune Felügyeleti központban. A 4. lépésben a CloudNative csoportcímkét fogjuk használni. A címke nevét a teszteléshez másra is beállíthatja.

  9. Amikor a rendszer hitelesítő adatokat kér, jelentkezzen be a Intune rendszergazdai fiókjával.

  10. A 2. fázisig hagyja a számítógépet a "házon kívül" felületen.

4. lépés – Microsoft Entra dinamikus csoport létrehozása az eszközhöz

Ha az útmutatóban szereplő konfigurációkat a Windows Autopilotba importált teszteszközökre szeretné korlátozni, hozzon létre egy dinamikus Microsoft Entra csoportot. Ennek a csoportnak automatikusan tartalmaznia kell a Windows Autopilotba importált és a CloudNative csoportcímkével rendelkező eszközöket. Ezután az összes konfigurációt és alkalmazást megcélzhatja ebben a csoportban.

  1. Nyissa meg a Microsoft Intune Felügyeleti központot.

  2. Válassza a Csoportok>Új csoport lehetőséget. Adja meg a következő adatokat:

    • Csoport típusa: Válassza a Biztonság lehetőséget.
    • Csoport neve: Adja meg az Autopilot Cloud-Native Windows-végpontokat.
    • Tagság típusa: Válassza a Dinamikus eszköz lehetőséget.

  3. Válassza a Dinamikus lekérdezés hozzáadása lehetőséget.

  4. A Szabályszintaxis szakaszban válassza a Szerkesztés lehetőséget.

  5. Illessze be a következő szöveget:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Válassza az OK>Mentés>létrehozása lehetőséget.

Tipp

A dinamikus csoportok feltöltése néhány percet vesz igénybe a módosítások után. Nagy szervezetekben ez sokkal tovább is tarthat. Új csoport létrehozása után várjon néhány percet, és ellenőrizze, hogy az eszköz most már tagja-e a csoportnak.

Az eszközök dinamikus csoportjairól további információt az Eszközök szabályai című témakörben talál.

5. lépés – A Regisztrációs állapot lap konfigurálása

A regisztrációs állapotlap (ESP) az a mechanizmus, amelyet az informatikai szakemberek a végfelhasználói élmény szabályozására használnak a végpontok kiépítése során. Lásd: Regisztrációs állapotlap beállítása. A regisztrációs állapotlap hatókörének korlátozásához létrehozhat egy új profilt, és megcélzhatja az előző lépésben létrehozott Autopilot Cloud-Native Windows-végpontok csoportot, Microsoft Entra dinamikus csoport létrehozása az eszközhöz.

  • Tesztelés céljából a következő beállításokat javasoljuk, de igény szerint szabadon módosíthatja őket:
    • Alkalmazás- és profilkonfiguráció állapotának megjelenítése – Igen
    • Csak a kezdőélmény (OOBE) által kiépített eszközök lapjának megjelenítése – Igen (alapértelmezett)

6. lépés – A Windows Autopilot-profil létrehozása és hozzárendelése

Most már létrehozhatjuk a Windows Autopilot-profilt, és hozzárendelhetjük a teszteszközhöz. Ez a profil arra utasítja az eszközt, hogy csatlakozzon Microsoft Entra és milyen beállításokat kell alkalmazni az OOBE során.

  1. Nyissa meg a Microsoft Intune Felügyeleti központot.

  2. Válassza az Eszközök>regisztrálása>Windows Autopilot-telepítési>profilok lehetőséget.

  3. Válassza a Profil> létrehozásaWindows-számítógép lehetőséget.

  4. Adja meg az Autopilot Cloud-Native Windows-végpont nevet, majd válassza a Tovább gombot.

  5. Tekintse át és hagyja meg az alapértelmezett beállításokat, és válassza a Tovább gombot.

  6. Hagyja meg a hatókörcímkéket, és válassza a Tovább gombot.

  7. Rendelje hozzá a profilt az Autopilot Cloud-Native Windows-végpont nevű Microsoft Entra csoporthoz, válassza a Tovább, majd a Létrehozás lehetőséget.

7. lépés – Windows Autopilot-eszközök szinkronizálása

A Windows Autopilot szolgáltatás naponta többször szinkronizál. A szinkronizálást azonnal elindíthatja, hogy az eszköz készen álljon a tesztelésre. Azonnali szinkronizálás:

  1. Nyissa meg a Microsoft Intune Felügyeleti központot.

  2. Válassza az Eszközök>regisztrálása>Windows Autopilot-eszközök>lehetőséget.

  3. Válassza a Szinkronizálás lehetőséget.

A szinkronizálás több percig is eltarthat, és a háttérben folytatódik. Ha a szinkronizálás befejeződött, az importált eszköz profilállapota a Hozzárendelt állapotot jeleníti meg.

8. lépés – Az optimális Microsoft 365-élmény beállításainak konfigurálása

Kiválasztottunk néhány konfigurálni kívánt beállítást. Ezek a beállítások a Microsoft 365 optimális végfelhasználói élményét mutatják be a Windows felhőalapú natív eszközén. Ezek a beállítások egy eszközkonfigurációs beállításkatalógus-profil használatával vannak konfigurálva. További információt a Szabályzat létrehozása a Microsoft Intune beállításkatalógusával című témakörben talál.

Miután létrehozta a profilt, és hozzáadta a beállításokat, rendelje hozzá a profilt a korábban létrehozott Autopilot Cloud-Native Windows-végpontok csoporthoz.

  • Microsoft Outlook
    A Microsoft Outlook első futtatási élményének javítása érdekében az alábbi beállítás automatikusan konfigurálja a profilt az Outlook első megnyitásakor.

    • Microsoft Outlook 2016\Account Settings\Exchange (Felhasználói beállítás)
      • Csak az első profil automatikus konfigurálása az Active Directory elsődleges SMTP-címe alapján – Engedélyezve

  • Microsoft Edge
    A Microsoft Edge első futtatási élményének javítása érdekében az alábbi beállítások úgy konfigurálják a Microsoft Edge-et, hogy szinkronizálja a felhasználói beállításokat, és hagyja ki az első futtatási felületet.

    • Microsoft Edge
      • Az első futtatáskor megjelenő felület és a kezdőképernyő elrejtése – Engedélyezve
      • Böngészőadatok szinkronizálásának kényszerítése, és nem jelenik meg a szinkronizálási hozzájárulás kérése – Engedélyezve

  • Microsoft OneDrive

    Az első bejelentkezési élmény javítása érdekében az alábbi beállítások úgy konfigurálják a Microsoft OneDrive-ot, hogy automatikusan jelentkezzen be, és átirányítsa az asztalt, a képeket és a dokumentumokat a OneDrive-ra. Igény szerinti fájlok (FOD) használata is ajánlott. Alapértelmezés szerint engedélyezve van, és nem szerepel az alábbi listában. A OneDrive szinkronizálási app alkalmazás ajánlott konfigurációjáról a Javasolt szinkronizálási alkalmazáskonfiguráció a Microsoft OneDrive-hoz című témakörben talál további információt.

    • OneDrive

      • Felhasználók csendes bejelentkezése az OneDrive szinkronizálási app alkalmazásba a Windows-hitelesítő adataikkal – Engedélyezve
      • Windows ismert mappák csendes áthelyezése a OneDrive-ra – Engedélyezve

      Megjegyzés:

      További információt az Ismert mappák átirányítása című témakörben talál.

Az alábbi képernyőképen egy példa látható egy beállításkatalógus-profilra, amelyen minden javasolt beállítás konfigurálva van:

Példa a Microsoft Intune beállításkatalógus-profiljára.

9. lépés – Alkalmazások létrehozása és hozzárendelése

A natív felhőbeli végpontnak szüksége van néhány alkalmazásra. Elsőként javasoljuk, hogy konfigurálja a következő alkalmazásokat, és célozza meg őket a korábban létrehozott Autopilot Cloud-Native Windows-végpontok csoportban.

  • Microsoft 365-alkalmazások (korábban Office 365 ProPlus)
    Microsoft 365-alkalmazások, például a Word, az Excel és az Outlook egyszerűen üzembe helyezhető eszközökre a windowsos Microsoft 365-alkalmazások beépített alkalmazásprofiljának használatával a Intune.

    • Az XML helyett válassza a konfigurációtervezőt a beállításformátumhoz.
    • A frissítési csatorna esetében válassza az Aktuális csatorna lehetőséget.

    A Microsoft 365-alkalmazások üzembe helyezéséhez lépjen a Microsoft 365-alkalmazások hozzáadása Windows-eszközökhöz Microsoft Intune

  • Céges portál alkalmazás
    A Intune Céges portál alkalmazás telepítése minden eszközön kötelező alkalmazásként ajánlott. Céges portál alkalmazás az önkiszolgáló központ, amellyel a felhasználók alkalmazásokat telepíthetnek több forrásból, például Intune, Microsoft Store-ból és Configuration Manager. A felhasználók az Céges portál alkalmazással is szinkronizálhatják eszközüket Intune, ellenőrizhetik a megfelelőségi állapotot stb.

    A Céges portál szükség szerint történő üzembe helyezéséről a Windows Céges portál alkalmazás hozzáadása és hozzárendelése Intune felügyelt eszközökhöz című témakörben olvashat.

  • Microsoft Store app (Whiteboard)
    Bár Intune számos alkalmazást telepíthet, egy áruházbeli alkalmazást (Microsoft Whiteboard) helyezünk üzembe, hogy megkönnyítsük a jelen útmutatóban szereplő egyszerűségüket. A Microsoft Whiteboard telepítéséhez kövesse a Microsoft Store-alkalmazások hozzáadása Microsoft Intune című cikk lépéseit.

2. fázis – Natív felhőbeli Windows-végpont létrehozása

2. fázis.

Az első natív felhőbeli Windows-végpont létrehozásához használja ugyanazt a virtuális gépet vagy fizikai eszközt, amelyet összegyűjtött, majd feltöltötte a hardverkivonatot a Windows Autopilot szolgáltatásba az 1 > . fázis 3. lépésében. Ezzel az eszközzel végighaladhat a Windows Autopilot folyamatán.

  1. Folytassa (vagy szükség esetén állítsa vissza) Windows rendszerű számítógépét a Kezdőélmény (OOBE) szolgáltatásra.

    Megjegyzés:

    Ha a rendszer arra kéri, hogy válassza ki a beállítást a személyes vagy egy szervezet számára, akkor az Autopilot-folyamat nem aktiválódott. Ebben az esetben indítsa újra az eszközt, és győződjön meg arról, hogy rendelkezik internetkapcsolattal. Ha továbbra sem működik, próbálja meg alaphelyzetbe állítani a számítógépet, vagy telepítse újra a Windowst.

  2. Jelentkezzen be Microsoft Entra hitelesítő adatokkal (UPN vagy AzureAD\username).

  3. A regisztrációs állapotlap az eszközkonfiguráció állapotát mutatja.

Gratulálunk! Kiépítette az első natív felhőbeli Windows-végpontot!

Néhány dolog, amit érdemes megnézni az új natív felhőbeli Windows-végponton:

  • A Rendszer átirányítja a OneDrive-mappákat. Amikor megnyílik az Outlook, a rendszer automatikusan csatlakozik a Office 365.

  • Nyissa meg a Céges portál alkalmazást a Start menüből, és figyelje meg, hogy a Microsoft Whiteboard elérhető a telepítéshez.

  • Érdemes lehet tesztelni az eszközről a helyszíni erőforrásokhoz, például fájlmegosztásokhoz, nyomtatókhoz és intranetes helyekhez való hozzáférést.

    Megjegyzés:

    Ha még nem állította be a hibrid Vállalati Windows Hello, előfordulhat, hogy Windows Hello bejelentkezéskor a rendszer arra kéri, hogy adjon meg jelszavakat a helyszíni erőforrások eléréséhez. Az egyszeri bejelentkezéses hozzáférés tesztelésének folytatásához konfigurálhatja Vállalati Windows Hello hibrid vagy bejelentkezést az eszközre felhasználónévvel és jelszóval ahelyett, hogy Windows Hello. Ehhez válassza a bejelentkezési képernyőn a kulcs alakú ikont.

3. fázis – A natív felhőbeli Windows-végpont védelme

3. fázis.

Ezt a fázist úgy alakítottuk ki, hogy segítséget nyújtsunk a szervezet biztonsági beállításainak kialakításában. Ez a szakasz a Microsoft Intune különböző Endpoint Security-összetevőire hívja fel a figyelmet, többek között a következőkre:

Microsoft Defender víruskereső (MDAV)

A windowsos beépített operációsrendszer-összetevőhöz, a Microsoft Defender víruskeresőhöz az alábbi beállítások ajánlottak minimális konfigurációként. Ezekhez a beállításokhoz nincs szükség konkrét licencszerződésre( például E3 vagy E5), és engedélyezhető a Microsoft Intune Felügyeleti központban. A felügyeleti központban lépjen az Endpoint Security>víruskereső>Házirend létrehozása>Windows és újabb>profiltípusaMicrosoft Defender Víruskereső elemre = .

Felhővédelem:

  • A felhőben biztosított védelem bekapcsolása: Igen
  • Felhőben biztosított védelmi szint: Nincs konfigurálva
  • A Defender Cloud hosszabb időtúllépése másodpercben: 50

Valós idejű védelem:

  • Valós idejű védelem bekapcsolása: Igen
  • Hozzáférés-védelem engedélyezése: Igen
  • Bejövő és kimenő fájlok figyelése: Az összes fájl figyelése
  • Viselkedésfigyelés bekapcsolása: Igen
  • Behatolásmegelőzés bekapcsolása: Igen
  • Hálózatvédelem engedélyezése: Engedélyezés
  • Az összes letöltött fájl és melléklet vizsgálata: Igen
  • A Microsoft-böngészőkben használt szkriptek vizsgálata: Igen
  • Hálózati fájlok vizsgálata: Nincs konfigurálva
  • E-mailek vizsgálata: Igen

Szervizelés:

  • A karanténba helyezett kártevők megtartására vonatkozó napok száma (0-90): 30
  • Mintabeküldési hozzájárulás: Biztonságos minták automatikus küldése
  • A potenciálisan nemkívánatos alkalmazásokon végrehajtandó művelet: Engedélyezés
  • Észlelt fenyegetésekre vonatkozó műveletek: Konfigurálás
    • Alacsony fenyegetés: Karantén
    • Mérsékelt fenyegetés: Karantén
    • Magas fenyegetés: Karantén
    • Súlyos fenyegetés: Karantén

Az Endpoint Security MDAV-profiljában konfigurált beállítások:

Képernyőkép egy Microsoft Defender víruskereső profilról a Microsoft Intune-ben.

A Windows Defender konfigurációval kapcsolatos további információkért, beleértve az ügyfél E3 és E5 licenccel rendelkező Végponthoz készült Microsoft Defender, látogasson el az alábbiakra:

Microsoft Defender tűzfal

Az Endpoint Security használatával konfigurálhatja a tűzfalat és a tűzfalszabályokat a Microsoft Intune. További információért tekintse meg a végpontbiztonság tűzfalszabályzatát Intune.

Microsoft Defender tűzfal a NetworkListManager CSP használatával képes megbízható hálózatot észlelni. A következő operációsrendszer-verziókat futtató végpontokon pedig átválthat a tartományi tűzfalprofilra:

A tartományi hálózati profil használatával elkülönítheti a tűzfalszabályokat egy megbízható hálózat, egy magánhálózat és egy nyilvános hálózat alapján. Ezek a beállítások egyéni Windows-profillal alkalmazhatók.

Megjegyzés:

Microsoft Entra csatlakoztatott végpontok nem tudják az LDAP-t arra használni, hogy ugyanúgy észleljék a tartományi kapcsolatot, mint a tartományhoz csatlakoztatott végpontok. Ehelyett a NetworkListManager CSP-vel adjon meg egy TLS-végpontot, amely ha elérhető, átváltja a végpontot a tartományi tűzfalprofilra.

BitLocker-titkosítás

A Titkosítás konfigurálása a BitLockerrel az Endpoint Security használatával Microsoft Intune.

Ezek a beállítások az Microsoft Intune Felügyeleti központban engedélyezhetők. A felügyeleti központban lépjen az Endpoint Security Disk encryption Create PolicyWindows és újabb> ProfileBitLocker( = Végpontbiztonság>lemeztitkosítása>házirend> létrehozása) lapra.

A következő BitLocker-beállítások konfigurálásakor csendesen engedélyezik a 128 bites titkosítást a standard felhasználók számára, ami gyakori forgatókönyv. Előfordulhat azonban, hogy a szervezet különböző biztonsági követelményekkel rendelkezik, ezért további beállításokért használja a BitLocker dokumentációját .

BitLocker – Alapbeállítások:

  • Teljes lemeztitkosítás engedélyezése operációs rendszerhez és rögzített adatmeghajtókhoz: Igen
  • Tárolókártyák titkosításának megkövetelése (csak mobilon): Nincs konfigurálva
  • Harmadik féltől származó titkosításra vonatkozó kérdés elrejtése: Igen
    • Titkosítás engedélyezése a standard felhasználók számára az Autopilot során: Igen
  • Ügyfélalapú helyreállítási jelszórotálás konfigurálása: Forgatás engedélyezése Azure AD csatlakoztatott eszközökön

BitLocker – Rögzített meghajtóbeállítások:

  • BitLocker rögzített meghajtószabályzat: Konfigurálás
  • Rögzített meghajtó-helyreállítás: Konfigurálás
    • Helyreállítási kulcsfájl létrehozása: Letiltva
    • A BitLocker helyreállítási csomag konfigurálása: Jelszó és kulcs
    • Helyreállítási adatok biztonsági mentésének megkövetelése az eszköztől a Azure AD: Igen
    • Helyreállítási jelszó létrehozása: Engedélyezett
    • Helyreállítási beállítások elrejtése a BitLocker beállítása során: Nincs konfigurálva
    • A BitLocker engedélyezése a helyreállítási adatok tárolását követően: Nincs konfigurálva
    • Tanúsítványalapú adat-helyreállítási ügynök (DRA) használatának letiltása: Nincs konfigurálva
    • Írási hozzáférés letiltása a BitLocker által nem védett rögzített adatmeghajtókhoz: Nincs konfigurálva
    • Titkosítási módszer konfigurálása rögzített adatmeghajtókhoz: Nincs konfigurálva

BitLocker – Operációsrendszer-meghajtó beállításai:

  • BitLocker rendszermeghajtó-szabályzat: Konfigurálás
    • Indítási hitelesítés szükséges: Igen
    • Kompatibilis TPM-indítás: Kötelező
    • Kompatibilis TPM indítási PIN-kód: Letiltás
    • Kompatibilis TPM-indítási kulcs: Blokk
    • Kompatibilis TPM-indítási kulcs és PIN-kód: Letiltás
    • Tiltsa le a BitLockert azokon az eszközökön, ahol a TPM nem kompatibilis: Nincs konfigurálva
    • Helyreállítási üzenet és URL-cím engedélyezése: Nincs konfigurálva
  • Rendszermeghajtó helyreállítása: Konfigurálás
    • Helyreállítási kulcsfájl létrehozása: Letiltva
    • A BitLocker helyreállítási csomag konfigurálása: Jelszó és kulcs
    • Helyreállítási adatok biztonsági mentésének megkövetelése az eszköztől a Azure AD: Igen
    • Helyreállítási jelszó létrehozása: Engedélyezett
    • Helyreállítási beállítások elrejtése a BitLocker beállítása során: Nincs konfigurálva
    • A BitLocker engedélyezése a helyreállítási adatok tárolását követően: Nincs konfigurálva
    • Tanúsítványalapú adat-helyreállítási ügynök (DRA) használatának letiltása: Nincs konfigurálva
    • PIN-kód minimális hossza: hagyja üresen
    • Titkosítási módszer konfigurálása operációsrendszer-meghajtókhoz: Nincs konfigurálva

BitLocker – Cserélhető meghajtó beállításai:

  • BitLocker cserélhető meghajtóházirend: Konfigurálás
    • Titkosítási módszer konfigurálása cserélhető adatmeghajtókhoz: Nincs konfigurálva
    • Írási hozzáférés letiltása a BitLocker által nem védett cserélhető adatmeghajtókhoz: Nincs konfigurálva
    • Más szervezetben konfigurált eszközök írási hozzáférésének letiltása: Nincs konfigurálva

Windows helyi rendszergazdai jelszómegoldás (LAPS)

Alapértelmezés szerint a beépített helyi rendszergazdai fiók (jól ismert SID S-1-5-500) le van tiltva. Vannak olyan helyzetek, amikor a helyi rendszergazdai fiók hasznos lehet, például hibaelhárítás, végfelhasználói támogatás és eszköz-helyreállítás. Ha úgy dönt, hogy engedélyezi a beépített rendszergazdai fiókot, vagy új helyi rendszergazdai fiókot hoz létre, fontos, hogy biztonságossá tegye az adott fiók jelszavát.

A Windows helyi rendszergazdai jelszómegoldás (LAPS) az egyik olyan funkció, a szolgáltatásokat, amelyekkel véletlenszerűen és biztonságosan tárolhatja a jelszót Microsoft Entra. Ha az Intune-t használja MDM-szolgáltatásként, az alábbi lépésekkel engedélyezheti a Windows LAPS-t.

Fontos

A Windows LAPS feltételezi, hogy az alapértelmezett helyi rendszergazdai fiók engedélyezve van, még akkor is, ha átnevezték, vagy ha létrehoz egy másik helyi rendszergazdai fiókot. A Windows LAPS nem hoz létre és nem engedélyez helyi fiókokat.

A Windows LAPS konfigurálását nem kell külön létrehoznia vagy engedélyeznie. Ezt a feladatot szkriptelheti, vagy használhatja a konfigurációs szolgáltatókat (CSP-eket), például a fiókok CSP-jét vagy a házirend CSP-jét.

  1. Győződjön meg arról, hogy a Windows 10 (20H2 vagy újabb) vagy Windows 11 eszközökön telepítve van a 2023. áprilisi (vagy újabb) biztonsági frissítés.

    További információ: Microsoft Entra operációsrendszer-frissítések.

  2. A Windows LAPS engedélyezése Microsoft Entra:

    1. Jelentkezzen be a Microsoft Entra.
    2. A Helyi rendszergazdai jelszómegoldás (LAPS) engedélyezése beállításnál válassza az Igen>mentés lehetőséget (a lap tetején).

    További információ: A Windows LAPS engedélyezése Microsoft Entra.

  3. A Intune hozzon létre egy végpontbiztonsági szabályzatot:

    1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.
    2. Válassza az Endpoint Security>Account Protection>Create Policy>Windows 10 és újabb>Helyi rendszergazdai jelszómegoldás (Windows LAPS)>Létrehozás lehetőséget.

    További információ: LAPS-szabályzat létrehozása Intune.

Biztonsági alapkonfigurációk

A biztonsági alapkonfigurációkkal olyan konfigurációkat alkalmazhat, amelyekről ismert, hogy növelik a Windows-végpontok biztonságát. A biztonsági alapkonfigurációkkal kapcsolatos további információkért tekintse meg a Windows MDM biztonsági alapkonfigurációjának beállításait Intune.

Az alaptervek a javasolt beállításokkal alkalmazhatók, és a követelményeknek megfelelően testre szabhatók. Az alapkonfigurációk egyes beállításai váratlan eredményeket okozhatnak, vagy nem kompatibilisek a Windows-végpontokon futó alkalmazásokkal és szolgáltatásokkal. Ennek eredményeképpen az alapkonfigurációkat elkülönítve kell tesztelni. Az alapkonfigurációt csak a tesztvégpontok egy szelektív csoportjára alkalmazza más konfigurációs profilok vagy beállítások nélkül.

Biztonsági alapkonfigurációk ismert problémái

A Windows biztonsági alapkonfigurációjának alábbi beállításai problémákat okozhatnak a Windows Autopilottal kapcsolatban, vagy szabványos felhasználóként próbálnak alkalmazásokat telepíteni:

  • Helyi házirendek biztonsági beállításai\Rendszergazdai jogosultságszint-emelési kérés viselkedése (alapértelmezett = Hozzájárulás kérése a biztonságos asztalon)
  • Normál jogosultságszint-emelési kérés viselkedése (alapértelmezett = Jogosultságszint-emelési kérések automatikus megtagadása)

További információt a Windows Autopilot-szabályzatütközések című témakörben talál.

Windows Update Vállalati verzió

Windows Update Vállalati verzió a felhőbeli technológia, amely a frissítések eszközökre való telepítésének módját és mikori telepítését szabályozza. A Intune Windows Update vállalati verzió a következővel konfigurálható:

További információt a következő témakörben talál:

Ha részletesebb vezérlést szeretne a Windows Frissítések és Configuration Manager használ, fontolja meg a közös felügyeletet.

4. fázis – Testreszabások alkalmazása és a helyszíni konfiguráció áttekintése

4. fázis.

Ebben a fázisban szervezetspecifikus beállításokat, alkalmazásokat alkalmaz, és áttekinti a helyszíni konfigurációt. A fázis segít a szervezetre jellemző testreszabások összeállításában. Figyelje meg a Windows különböző összetevőit, hogyan tekintheti át a meglévő konfigurációkat egy helyszíni AD-Csoportházirend környezetből, és hogyan alkalmazhatja őket a natív felhőbeli végpontokra. A következő területekhez tartoznak szakaszok:

Microsoft Edge

Microsoft Edge üzembe helyezése

A Microsoft Edge a következőt futtató eszközökön érhető el:

  • Windows 11
  • 20H2 vagy újabb Windows 10
  • Windows 10 1803-at vagy újabb verziót, a 2021. májusi vagy újabb összegző havi biztonsági frissítéssel

Miután a felhasználók bejelentkeztek, a Microsoft Edge automatikusan frissül. A Microsoft Edge frissítésének aktiválásához az üzembe helyezés során futtassa a következő parancsot:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Ha a Microsoft Edge-et a Windows korábbi verzióiban szeretné üzembe helyezni, lépjen a WindowsHoz készült Microsoft Edge hozzáadása Microsoft Intune című témakörhöz.

Microsoft Edge-konfiguráció

A Microsoft Edge felületének két összetevője, amelyek akkor érvényesek, amikor a felhasználók a Microsoft 365-ös hitelesítő adataikkal jelentkeznek be, a Microsoft 365 Felügyeleti központ Centerből konfigurálhatók.

  • A Microsoft Edge kezdőlapjának emblémája testre szabható a Microsoft 365 Felügyeleti központ a Szervezet szakaszának konfigurálásával. További információt a Microsoft 365-téma testreszabása a szervezet számára című témakörben talál.

  • A Microsoft Edge alapértelmezett új lapfelülete Office 365 információkat és személyre szabott híreket tartalmaz. A lap megjelenítésének módját a Beállítások>Szervezeti beállítások>Hírek>Microsoft Edge új lap lapjának Microsoft 365 Felügyeleti központ szabhatja testre.

A Microsoft Edge-hez egyéb beállításokat is beállíthat a beállításkatalógus-profilok használatával. Előfordulhat például, hogy konkrét szinkronizálási beállításokat szeretne konfigurálni a szervezet számára.

  • Microsoft Edge
    • A szinkronizálásból kizárt típusok listájának konfigurálása – jelszavak

Start menü és tálca elrendezése

A Intune segítségével testre szabhatja és beállíthatja a szokásos kezdőképernyő- és tálcaelrendezést.

Beállításkatalógus

A beállításkatalógus egyetlen hely, ahol az összes konfigurálható Windows-beállítás megjelenik. Ez a funkció leegyszerűsíti a szabályzatok létrehozását és az összes elérhető beállítás megjelenítését. További információt a Szabályzat létrehozása a Microsoft Intune beállításkatalógusával című témakörben talál.

Megjegyzés:

A következő beállítások érhetők el a beállításkatalógusban, amelyek a szervezet szempontjából relevánsak lehetnek:

  • Az Azure Active Directory előnyben részesített bérlői tartománya
    Ez a beállítás úgy konfigurálja az előnyben részesített bérlői tartománynevet, hogy hozzá legyen fűzve egy felhasználó felhasználónevéhez. Az előnyben részesített bérlői tartomány lehetővé teszi, hogy a felhasználók csak a saját felhasználónevükkel jelentkezzenek be Microsoft Entra végpontokra a teljes egyszerű felhasználónév helyett, amennyiben a felhasználó tartományneve megegyezik az előnyben részesített bérlői tartománnyal. A különböző tartománynevekkel rendelkező felhasználók a teljes egyszerű felhasználónevet beírhatják.

    A beállítás a következő helyen található:

    • Hitelesítés
      • Előnyben részesített AAD-bérlő tartományneve – Adja meg a tartománynevet, például contoso.onmicrosoft.com: .

  • Windows Reflektorfény
    Alapértelmezés szerint a Windows számos fogyasztói funkciója engedélyezve van, így a kiválasztott Áruházbeli alkalmazások telepítése és külső javaslatok jelennek meg a zárolási képernyőn. Ezt a beállításkatalógus Élmény szakaszában szabályozhatja.

    • Funkció
      • A Windows fogyasztói funkcióinak engedélyezése – Letiltás
      • Külső javaslatok engedélyezése a Windows Reflektorfényben (felhasználó) – Letiltás

  • Microsoft Áruház
    A szervezetek általában korlátozni szeretnék a végpontokra telepíthető alkalmazásokat. Akkor használja ezt a beállítást, ha a szervezet szeretné szabályozni, hogy mely alkalmazások telepíthetők a Microsoft Store-ból. Ez a beállítás megakadályozza, hogy a felhasználók alkalmazásokat telepítsenek, kivéve, ha jóváhagyták őket.

  • Játék letiltása
    A szervezetek előnyben részesíthetik, hogy a vállalati végpontok nem használhatók játékhoz. A Gépházban található Játék lap teljes egészében elrejthető az alábbi beállítással. A beállítások oldalának láthatóságával kapcsolatos további információkért tekintse meg a CSP dokumentációját és az ms-settings URI-séma referenciáját.

    • Beállítások
      • Oldal láthatósági listája – hide:gaming-gamebar; gaming-gamedvr; játékközvetítés; game-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Csevegés ikon láthatóságának szabályozása a tálcán A csevegés ikon láthatósága a Windows 11 tálcán a Házirend CSP használatával szabályozható.

    • Funkció
      • Csevegési ikon konfigurálása – Letiltva

  • Annak szabályozása, hogy a Teams asztali ügyfél mely bérlőkbe tud bejelentkezni

    Ha ez a szabályzat egy eszközön van konfigurálva, a felhasználók csak olyan Microsoft Entra bérlői fiókokkal jelentkezhetnek be, amelyek szerepelnek a házirendben meghatározott "Bérlői engedélyezési listán". A bérlői engedélyezési lista Microsoft Entra bérlőazonosítók vesszővel tagolt listája. Ennek a szabályzatnak a megadásával és egy Microsoft Entra-bérlő definiálásával személyes használatra is letilthatja a Teamsbe való bejelentkezést. További információt a Bejelentkezés korlátozása asztali eszközökön című témakörben talál.

    • Felügyeleti sablonok \ Microsoft Teams
      • A Teamsbe való bejelentkezés korlátozása adott bérlőkben lévő fiókokra (felhasználó) – Engedélyezve

Eszközkorlátozások

A Windows eszközkorlátozási sablonjai számos olyan beállítást tartalmaznak, amelyek a Windows-végpontok Windows konfigurációs szolgáltatókkal (CSP-k) történő védelméhez és kezeléséhez szükségesek. Ezek a beállítások idővel elérhetővé válnak a beállításkatalógusban. További információt az Eszközkorlátozások című témakörben talál.

Az Eszközkorlátozások sablont használó profil létrehozásához az Microsoft Intune Felügyeleti központban lépjen az Eszközök>konfigurációja>> Válassza Windows 10 és újabb verziók vagy a Platform és sablonokprofiltípushozEszközkorlátozások lehetőséget>.

  • Asztali háttérkép URL-címe (csak asztali)
    Ezzel a beállítással háttérképet állíthat be Windows Enterprise vagy Windows Education termékváltozatokon. A fájlt online üzemeltetheti, vagy hivatkozhat egy helyileg másolt fájlra. A beállítás konfigurálásához az Eszközkorlátozások profil Konfigurációs beállítások lapján bontsa ki a Személyre szabás elemet, és konfigurálja az Asztali háttérkép URL-címét (csak asztali).

  • A felhasználók csatlakozásának megkövetelése egy hálózathoz az eszköz beállítása során
    Ez a beállítás csökkenti annak kockázatát, hogy az eszköz átugorja a Windows Autopilotot, ha a számítógép alaphelyzetbe áll. Ehhez a beállításhoz az eszközöknek hálózati kapcsolattal kell rendelkezniük a "házon kívül" folyamat során. A beállítás konfigurálásához az Eszközkorlátozások profil Konfigurációs beállítások lapján bontsa ki az Általános elemet, és konfigurálja a Felhasználók csatlakozása a hálózathoz az eszköz beállítása során beállítást.

    Megjegyzés:

    A beállítás az eszköz következő törlésekor vagy alaphelyzetbe állításakor lép életbe.

Kézbesítésoptimalizálás

A kézbesítésoptimalizálás a sávszélesség-használat csökkentésére szolgál azáltal, hogy több végpont között osztja meg a támogatott csomagok letöltésével kapcsolatos munkát. A kézbesítésoptimalizálás egy önszervező elosztott gyorsítótár, amely lehetővé teszi az ügyfelek számára, hogy ezeket a csomagokat alternatív forrásokból, például a hálózaton lévő társhálózatokból töltsék le. Ezek a társforrások kiegészítik a hagyományos internetes kiszolgálókat. A Kézbesítésoptimalizáláshoz elérhető összes beállításról, valamint arról, hogy milyen típusú letöltések támogatottak a Windows-frissítések kézbesítésoptimalizálási szolgáltatásában.

A kézbesítésoptimalizálási beállítások alkalmazásához hozzon létre egy Intune Kézbesítésoptimalizálási profilt vagy egy beállításkatalógus-profilt.

A szervezetek által gyakran használt beállítások a következők:

  • Társválasztás korlátozása – Alhálózat. Ez a beállítás korlátozza a társ-gyorsítótárazást az ugyanazon alhálózaton található számítógépekre.
  • Csoportazonosító. A kézbesítésoptimalizálási ügyfelek úgy konfigurálhatók, hogy csak az azonos csoportban lévő eszközökkel osszanak meg tartalmakat. A csoportazonosítók konfigurálhatók közvetlenül a GUID-azonosítók házirenden keresztüli elküldésével vagy DHCP-beállításokkal a DHCP-hatókörökben.

A Microsoft Configuration Manager használó ügyfelek olyan csatlakoztatott gyorsítótár-kiszolgálókat helyezhetnek üzembe, amelyek a kézbesítésoptimalizálási tartalmak üzemeltetésére használhatók. További információ: Microsoft Connected Cache in Configuration Manager.

Helyi rendszergazdák

Ha csak egy felhasználói csoporthoz van szükség helyi rendszergazdai hozzáférésre az összes Microsoft Entra csatlakoztatott Windows-eszközhöz, hozzáadhatja őket a Microsoft Entra csatlakoztatott eszköz helyi rendszergazdájához.

Előfordulhat, hogy az informatikai ügyfélszolgálatnak vagy más támogatási munkatársaknak helyi rendszergazdai jogosultságokkal kell rendelkezniük egy adott eszközcsoporton. A Windows 2004-ben vagy újabb verzióban a következő konfigurációs szolgáltatók (CSP-k) használatával elégítheti ki ezt a követelményt.

  • Ideális esetben használja a Helyi felhasználók és csoportok CSP-t, amelyhez 20H2 vagy újabb Windows 10 szükséges.
  • Ha Windows 10 20H1 (2004) verzióval rendelkezik, használja a Korlátozott csoportok CSP-t (nincs frissítési művelet, csak cserélje le).
  • A 20H1 (2004) Windows 10 előtti Windows-verziók nem használhatnak csoportokat, csak egyéni fiókokat.

További információt a Helyi rendszergazdák csoport kezelése Microsoft Entra csatlakoztatott eszközökön című témakörben talál.

Csoportházirend MDM-beállítás migrálása

Az eszközkonfiguráció létrehozásának több lehetősége is van, ha a Csoportházirend-ról a natív felhőbeli eszközfelügyeletre való migrálást fontolgatja:

  • Kezdjen újra, és szükség szerint alkalmazza az egyéni beállításokat.
  • Tekintse át a meglévő csoportházirendeket, és alkalmazza a szükséges beállításokat. Az eszközök segítségével például Csoportházirend elemzéseket végezhet.
  • Az Csoportházirend analytics használatával közvetlenül a támogatott beállításokhoz hozhat létre eszközkonfigurációs profilokat.

A natív felhőbeli Windows-végpontra való áttérés lehetőséget kínál a végfelhasználói számítástechnikai követelmények áttekintésére és egy új konfiguráció létrehozására a jövőben. Ahol csak lehetséges, kezdje újra a minimális szabályzatkészlettel. Kerülje a szükségtelen vagy örökölt beállítások továbbítását tartományhoz csatlakoztatott környezetből vagy régebbi operációs rendszerekből, például a Windows 7-ből vagy a Windows XP-ből.

A friss kezdéshez tekintse át az aktuális követelményeket, és implementáljon egy minimális beállításgyűjteményt, hogy megfeleljen ezeknek a követelményeknek. A követelmények tartalmazhatnak szabályozási vagy kötelező biztonsági beállításokat és beállításokat a végfelhasználói élmény javítása érdekében. A vállalat a követelmények listáját hozza létre, nem pedig az informatikai részleget. Minden beállítást dokumentálni, értelmezni kell, és egy célt kell szolgálnia.

A beállítások migrálása a meglévő csoportházirendekből az MDM-be (Microsoft Intune) nem az előnyben részesített módszer. A natív felhőbeli Windowsra való áttéréskor nem szabad a meglévő csoportházirend-beállításokat átvenni és átvenni. Ehelyett vegye figyelembe a célközönséget és a szükséges beállításokat. A környezet minden csoportházirend-beállításának áttekintése időigényes és valószínűleg nem praktikus annak relevanciája és kompatibilitása egy modern felügyelt eszközzel. Ne próbálja meg kiértékelni az összes csoportházirendet és egyéni beállítást. Ehelyett összpontosítson a legtöbb eszközre és forgatókönyvre vonatkozó közös szabályzatok értékelésére.

Ehelyett azonosítsa a kötelező csoportházirend-beállításokat, és tekintse át ezeket a beállításokat az elérhető MDM-beállítások alapján. A hézagok olyan blokkolókat jelentenek, amelyek megakadályozhatják a natív felhőbeli eszközökkel való előrelépést, ha nincs megoldva. Az olyan eszközök, mint a Csoportházirend analytics, felhasználhatók a csoportházirend-beállítások elemzésére, és annak meghatározására, hogy migrálhatók-e MDM-szabályzatokba, vagy sem.

Parancsfájlok

PowerShell-szkripteket használhat minden olyan beállításhoz vagy testreszabáshoz, amelyet a beépített konfigurációs profilokon kívül kell konfigurálnia. További információ: PowerShell-szkriptek hozzáadása Windows-eszközökhöz Microsoft Intune.

Hálózati meghajtók és nyomtatók leképezése

A natív felhőbeli forgatókönyvek nem rendelkeznek beépített megoldásokkal a leképezett hálózati meghajtókhoz. Ehelyett azt javasoljuk, hogy a felhasználók térjenek át a Teamsbe, a SharePointba és a OneDrive Vállalati verzió. Ha a migrálás nem lehetséges, fontolja meg a szkriptek használatát, ha szükséges.

Személyes tárhely esetén a 8. lépés – Beállítások konfigurálása az optimális Microsoft 365-élmény érdekében című lépésben konfiguráltuk a OneDrive ismert mappáinak áthelyezését. További információt az Ismert mappák átirányítása című témakörben talál.

A dokumentumok tárolásához a felhasználók a SharePoint és a Fájlkezelő integrációját, valamint a tárak helyi szinkronizálásának lehetőségét is kihasználhatják, ahogy az itt olvasható: SharePoint- és Teams-fájlok szinkronizálása a számítógéppel.

Ha vállalati Office-dokumentumsablonokat használ, amelyek általában belső kiszolgálókon találhatók, vegye figyelembe az újabb felhőalapú megfelelőt, amely lehetővé teszi a felhasználók számára, hogy bárhonnan elérhessék a sablonokat.

Nyomtatási megoldások esetén fontolja meg az Univerzális nyomtatást. További információt a következő témakörben talál:

Alkalmazások

Intune számos különböző Windows-alkalmazástípus üzembe helyezését támogatja.

Ha msi-, EXE- vagy szkripttelepítőt használó alkalmazásokkal rendelkezik, ezeket az alkalmazásokat a Win32 alkalmazásfelügyeletével helyezheti üzembe Microsoft Intune. A Telepítők Win32 formátumban való körbefuttatása nagyobb rugalmasságot és előnyöket biztosít, beleértve az értesítéseket, a kézbesítésoptimalizálást, a függőségeket, az észlelési szabályokat és a Windows Autopilot regisztrációs állapotlapjának támogatását.

Megjegyzés:

A telepítés során előforduló ütközések elkerülése érdekében javasoljuk, hogy kizárólag a Windows üzletági alkalmazások vagy a Win32-alkalmazások funkcióit használja. Ha vagy .execsomagban .msi lévő alkalmazásokkal rendelkezik, azokat a GitHubról elérhetőMicrosoft Win32 Content Prep tool eszközzel () Konvertálhatja Win32-alkalmazásokká (.intunewin).

5. fázis – Nagy léptékű üzembe helyezés a Windows Autopilottal

5. fázis.

Most, hogy konfigurálta a natív felhőbeli Windows-végpontot, és kiépítette a Windows Autopilottal, gondolja át, hogyan importálhat további eszközöket. Azt is gondolja át, hogyan dolgozhat partnerével vagy hardverszállítójával új végpontok kiépítésében a felhőből. Tekintse át az alábbi forrásanyagokat a szervezet legjobb megközelítésének meghatározásához.

Ha valamilyen okból kifolyólag a Windows Autopilot nem a megfelelő lehetőség Az Ön számára más regisztrációs módszerek is léteznek a Windowshoz. További információt a Windows-eszközök Intune regisztrációs módszereit ismertető cikkben talál.

Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót

  1. Áttekintés: Mik azok a natív felhőbeli végpontok?
  2. 🡺 Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal (Ön itt van)
  3. Fogalom: Microsoft Entra csatlakoztatott és hibrid Microsoft Entra csatlakoztatott
  4. Koncepció: Natív felhőbeli végpontok és helyszíni erőforrások
  5. Magas szintű tervezési útmutató
  6. Ismert problémák és fontos információk

Hasznos online források