Samouczek: konfigurowanie punktów końcowych systemu Windows natywnych dla chmury przy użyciu Microsoft Intune

W tym samouczku krok po kroku pokazano, jak skonfigurować natywny dla chmury punkt końcowy systemu Windows przy użyciu Microsoft Intune i rozwiązania Windows Autopilot. Natywny dla chmury punkt końcowy systemu Windows (czasami zapisywany jako natywny dla chmury system Windows) jest Microsoft Entra przyłączony, zarejestrowany w Microsoft Intune i zarządzany w całości z chmury — bez przyłączania do domeny usługi Active Directory, nie jest wymagana infrastruktura lokalna.

Na koniec tego samouczka masz w pełni skonfigurowane urządzenie z systemem Windows, które:

  • Microsoft Entra przyłączone i zarejestrowane w Microsoft Intune
  • Zabezpieczone za pomocą programu antywirusowego Microsoft Defender, szyfrowania funkcji BitLocker, systemu Windows LAPS i punktów odniesienia zabezpieczeń
  • Aprowizowane za pośrednictwem rozwiązania Windows Autopilot przy użyciu aplikacji platformy Microsoft 365, przenoszenia znanych folderów w usłudze OneDrive i Portal firmy
  • Gotowe do skalowania do pozostałej części floty systemu Windows

Aby uzyskać informacje, zobacz Co to są punkty końcowe natywne dla chmury? i Jak zaplanować implementację dołączania Microsoft Entra.

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

  • Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
  • Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasady grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
  • Punkty końcowe natywne dla chmury: punkty końcowe, które są przyłączone do Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.
  • Obciążenie: dowolny program, usługa lub proces.

Jak rozpocząć pracę

Ukończ pięć faz w kolejności — każda opiera się na poprzedniej.

Pięć faz konfigurowania punktów końcowych systemu Windows natywnych dla chmury przy użyciu Microsoft Intune i rozwiązania Windows Autopilot.

Faza Cel
Faza 1 — konfigurowanie środowiska Przygotowywanie dzierżawy, urządzenia testowego i podstawowych zasad rozwiązania Autopilot
Faza 2 — tworzenie natywnego dla chmury punktu końcowego systemu Windows Aprowizowanie pierwszego punktu końcowego za pomocą rozwiązania Autopilot
Faza 3 — zabezpieczanie natywnego dla chmury punktu końcowego systemu Windows Stosowanie zabezpieczeń punktu końcowego: Defender, BitLocker, LAPS, punkty odniesienia, aktualizacje
Faza 4 — stosowanie dostosowań i przeglądanie konfiguracji lokalnej Dodawanie aplikacji, ustawień i migracji specyficznych dla organizacji z zasady grupy
Faza 5 — skalowanie wdrożenia za pomocą rozwiązania Windows Autopilot Skalowanie aprowizowania do floty przy użyciu rejestracji, osób i pierścieni wdrażania OEM

Po wdrożeniu punktów końcowych użyj sekcji Monitorowanie natywnych dla chmury punktów końcowych systemu Windows, aby zweryfikować stan zasad, aplikacji i zgodności z centrum administracyjnego Intune w ramach bieżących operacji.

Faza 1 — konfigurowanie środowiska

Przed utworzeniem pierwszego punktu końcowego systemu Windows natywnego dla chmury istnieją pewne kluczowe wymagania i konfiguracja, które należy sprawdzić. Ta faza przeprowadzi Cię przez sprawdzanie wymagań, konfigurowanie rozwiązania Windows Autopilot i tworzenie niektórych ustawień i aplikacji.

Krok 1 . Wymagania dotyczące sieci

Natywny dla chmury punkt końcowy systemu Windows wymaga dostępu do kilku usług internetowych. Rozpocznij testowanie w otwartej sieci. Możesz też użyć sieci firmowej po zapewnieniu dostępu do wszystkich punktów końcowych wymienionych w wymaganiach dotyczących sieci rozwiązania Windows Autopilot.

Jeśli sieć bezprzewodowa wymaga certyfikatów, możesz rozpocząć od połączenia Ethernet podczas testowania, podczas gdy określisz najlepsze podejście do połączeń bezprzewodowych na potrzeby aprowizacji urządzeń.

Krok 2. Rejestracja i licencjonowanie

Zanim będzie można dołączyć do Microsoft Entra i zarejestrować się w Intune, należy sprawdzić kilka elementów. Możesz utworzyć nową grupę Microsoft Entra, taką jak nazwa Intune Użytkownicy mdm. Następnie dodaj określone konta użytkowników testowych i ukiekuj każdą z następujących konfiguracji w tej grupie, aby ograniczyć liczbę osób, które mogą rejestrować urządzenia podczas konfigurowania konfiguracji. Aby utworzyć grupę Microsoft Entra, przejdź do pozycji Zarządzanie grupami Microsoft Entra i członkostwem w grupach.

  • Ograniczenia rejestracji Ograniczenia rejestracji umożliwiają kontrolowanie typów urządzeń, które mogą zostać zarejestrowane w zarządzaniu za pomocą Intune. Aby ten przewodnik zakończył się pomyślnie, upewnij się, że rejestracja w systemie Windows (MDM) jest dozwolona, co jest konfiguracją domyślną.

    Aby uzyskać informacje na temat konfigurowania ograniczeń rejestracji, przejdź do tematu Ustawianie ograniczeń rejestracji w Microsoft Intune.

  • Microsoft Entra ustawienia zarządzania urządzeniami przenośnymi podczas dołączania urządzenia z systemem Windows do Microsoft Entra można skonfigurować Microsoft Entra, aby poinformować urządzenia o automatycznym rejestrowaniu w rozwiązaniu MDM. Ta konfiguracja jest wymagana do działania rozwiązania Windows Autopilot.

    Aby sprawdzić, czy ustawienia zarządzania urządzeniami przenośnymi na Microsoft Entra są prawidłowo włączone, przejdź do sekcji Szybki start — konfigurowanie automatycznej rejestracji w Intune.

  • Microsoft Entra znakowanie firmowe Dodawanie firmowego logo i obrazów do Microsoft Entra gwarantuje, że użytkownicy będą widzieć znajomy i spójny wygląd podczas logowania się do platformy Microsoft 365. Ta konfiguracja jest wymagana do działania rozwiązania Windows Autopilot.

    Aby uzyskać informacje na temat konfigurowania znakowania niestandardowego w Microsoft Entra, przejdź do strony Dodawanie znakowania do strony logowania Microsoft Entra organizacji.

  • Licencjonowania Użytkownicy rejestrujący urządzenia z systemem Windows z środowiska OOBE (Out Of Box Experience) w Intune wymagają dwóch kluczowych możliwości.

    Użytkownicy wymagają następujących licencji:

    • Licencja Microsoft Intune lub Microsoft Intune for Education
    • Licencja, taka jak jedna z następujących opcji, która umożliwia automatyczną rejestrację w rozwiązaniu MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune dla edukacji

    Aby przypisać licencje, przejdź do obszaru Przypisywanie licencji Microsoft Intune.

    Uwaga

    Oba typy licencji są zwykle dołączane do pakietów licencjonowania, takich jak Microsoft 365 E3 (lub A3) i nowszych. Zapoznaj się z porównaniami licencjonowania platformy Microsoft 365 tutaj.

Krok 3. Importowanie urządzenia testowego

Aby przetestować natywny dla chmury punkt końcowy systemu Windows, musimy zacząć od przygotowania maszyny wirtualnej lub urządzenia fizycznego do testowania. Poniższe kroki umożliwiają pobranie szczegółów urządzenia i przekazanie ich do usługi Windows Autopilot, która jest używana w dalszej części tego artykułu.

Uwaga

Poniższe kroki umożliwiają zaimportowanie urządzenia na potrzeby testowania, ale partnerzy i OEM mogą importować urządzenia do rozwiązania Windows Autopilot w Twoim imieniu w ramach zakupów. Więcej informacji na temat rozwiązania Windows Autopilot można znaleźć w fazie 5.

  1. Zainstaluj system Windows na maszynie wirtualnej lub zresetuj urządzenie fizyczne, aby czekało na ekranie konfiguracji OOBE. W przypadku maszyny wirtualnej możesz opcjonalnie utworzyć punkt kontrolny.

  2. Wykonaj kroki niezbędne do nawiązania połączenia z Internetem.

  3. Otwórz wiersz polecenia przy użyciu kombinacji klawiatury Shift + F10 .

  4. Sprawdź, czy masz dostęp do Internetu, wysyłając polecenie ping do bing.com:

    • ping bing.com

  5. Przełącz się do programu PowerShell, uruchamiając polecenie:

    • powershell.exe

  6. Pobierz skrypt Get-WindowsAutopilotInfo , uruchamiając następujące polecenia:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Po wyświetleniu monitu wprowadź wartość Y , aby zaakceptować.

  8. Wpisz następujące polecenie:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Uwaga

    Tagi grupy umożliwiają tworzenie dynamicznych grup Microsoft Entra na podstawie podzestawu urządzeń. Tagi grupy można ustawić podczas importowania urządzeń lub zmieniać je później w centrum administracyjnym Microsoft Intune. W kroku 4 używamy tagu grupy CloudNative . Możesz ustawić nazwę tagu na inną dla testowania.

  9. Po wyświetleniu monitu o podanie poświadczeń zaloguj się przy użyciu konta administratora Intune.

  10. Pozostaw komputer w środowisku wyjściowym do fazy 2.

Krok 4. Tworzenie grupy dynamicznej Microsoft Entra dla urządzenia

Aby ograniczyć konfiguracje z tego przewodnika do urządzeń testowych importowanych do rozwiązania Windows Autopilot, utwórz dynamiczną grupę Microsoft Entra. Ta grupa powinna automatycznie obejmować urządzenia importowane do rozwiązania Windows Autopilot i mają tag grupy CloudNative. Następnie można kierować wszystkie konfiguracje i aplikacje w tej grupie.

  1. Otwórz centrum administracyjne Microsoft Intune.

  2. Wybierz pozycję Grupy>Nowa grupa. Wprowadź następujące szczegóły:

    • Typ grupy: wybierz pozycję Zabezpieczenia.
    • Nazwa grupy: wprowadź pozycję Autopilot Cloud-Native punkty końcowe systemu Windows.
    • Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.

  3. Wybierz pozycję Dodaj zapytanie dynamiczne.

  4. W sekcji Składnia reguł wybierz pozycję Edytuj.

  5. Wklej następujący tekst:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Wybierz przycisk OK>Zapisz>utwórz.

Porada

Wypełnianie grup dynamicznych po wprowadzeniu zmian zajmuje kilka minut. W dużych organizacjach może to potrwać dłużej. Po utworzeniu nowej grupy poczekaj kilka minut, zanim sprawdzisz, czy urządzenie jest teraz członkiem grupy.

Aby uzyskać więcej informacji na temat grup dynamicznych dla urządzeń, przejdź do pozycji Reguły dla urządzeń.

Krok 5. Konfigurowanie strony ze stanem rejestracji

Strona stanu rejestracji (ESP) to mechanizm używany przez specjalistę IT do kontrolowania środowiska użytkownika końcowego podczas aprowizacji punktu końcowego. Zobacz Konfigurowanie strony ze stanem rejestracji. Aby ograniczyć zakres strony stanu rejestracji, możesz utworzyć nowy profil i skierować grupę punktów końcowych rozwiązania Autopilot Cloud-Native systemu Windows utworzoną w poprzednim kroku, Create Microsoft Entra dynamic group for the device (Utwórz grupę dynamiczną Microsoft Entra dla urządzenia).

  • Na potrzeby testowania zalecamy następujące ustawienia, ale możesz dostosować je zgodnie z wymaganiami:

    Ustawienie Value
    Pokaż postęp konfiguracji aplikacji i profilu Tak
    Pokaż stronę tylko urządzeniom aprowizowanym przez środowisko wbudowane (OOBE) Tak (wartość domyślna)

Krok 6. Tworzenie i przypisywanie profilu rozwiązania Windows Autopilot

Teraz możemy utworzyć profil rozwiązania Windows Autopilot i przypisać go do urządzenia testowego. Ten profil informuje urządzenie o dołączeniu do Microsoft Entra i ustawień, które należy zastosować podczas OOBE.

  1. Otwórz centrum administracyjne Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Rejestracja urządzeń>z>profilami wdrażaniarozwiązania Windows Autopilot> systemuWindows>.

  3. Wybierz pozycję Utwórz profilkomputera z systemem> Windows.

  4. Wprowadź nazwę Autopilot Cloud-Native punktów końcowych systemu Windows, a następnie wybierz przycisk Dalej.

  5. W ustawieniach Środowiska out-of-box (OOBE) potwierdź następujące wartości klucza i wybierz pozycję Dalej:

    Ustawienie Value
    Tryb wdrażania Sterowane przez użytkownika
    Dołącz do Microsoft Entra ID jako Microsoft Entra przyłączone
    Typ konta użytkownika Standardowy
    Stosowanie szablonu nazwy urządzenia Opcjonalne. Szablon nazewnictwa, taki jak CloudPC-%SERIAL% , ułatwia identyfikowanie urządzeń w centrum administracyjnym.

    Ważna

    Ustawienie typu konta użytkownika na Standardowa jest najlepszym rozwiązaniem w zakresie zabezpieczeń. Uniemożliwia to użytkownikom instalowanie niezatwierdzone oprogramowanie i zmniejsza obszar ataków na punkty końcowe natywne dla chmury.

  6. Pozostaw tagi zakresu i wybierz przycisk Dalej.

  7. Przypisz profil do utworzonej grupy Microsoft Entra o nazwie Autopilot Cloud-Native punktów końcowych systemu Windows, wybierz pozycję Dalej, a następnie wybierz pozycję Utwórz.

Krok 7. Synchronizowanie urządzeń z rozwiązaniem Windows Autopilot

Usługa Windows Autopilot synchronizuje się kilka razy dziennie. Możesz również natychmiast wyzwolić synchronizację, aby urządzenie było gotowe do testowania. Aby natychmiast zsynchronizować:

  1. Otwórz centrum administracyjne Microsoft Intune.

  2. Wybierz pozycję Urządzenia Device onboarding EnrollmentWindowsAutopilot Devices (Urządzenia>) Device onboarding Enrollment Windows Autopilot Devices (Urządzenia zrejestracją urządzeń zrozwiązaniem>> Windows >Autopilot>).

  3. Wybierz pozycję Synchronizuj.

Synchronizacja trwa kilka minut i jest kontynuowana w tle. Po zakończeniu synchronizacji stan profilu zaimportowanego urządzenia zostanie wyświetlony jako przypisany.

Krok 8. Konfigurowanie ustawień dla optymalnego środowiska platformy Microsoft 365

Wybraliśmy kilka ustawień do skonfigurowania. Te ustawienia przedstawiają optymalne środowisko użytkownika końcowego platformy Microsoft 365 na urządzeniu natywnym dla chmury systemu Windows. Te ustawienia są konfigurowane przy użyciu profilu katalogu ustawień konfiguracji urządzenia. Aby uzyskać więcej informacji, przejdź do tematu Tworzenie zasad przy użyciu wykazu ustawień w Microsoft Intune.

Po utworzeniu profilu i dodaniu ustawień przypisz profil do utworzonej wcześniej grupy punktów końcowych rozwiązania Autopilot Cloud-Native Windows .

  • Microsoft Outlook — aby ulepszyć środowisko pierwszego uruchomienia programu Microsoft Outlook, następujące ustawienie automatycznie konfiguruje profil po pierwszym otwarciu programu Outlook.

    Ustawianie kategorii Ustawienie Value
    Microsoft Outlook 2016\Account Settings\Exchange (ustawienie użytkownika) Automatycznie skonfiguruj tylko pierwszy profil na podstawie podstawowego adresu SMTP usługi Active Directory Włączone

  • Microsoft Edge — aby ulepszyć środowisko pierwszego uruchomienia przeglądarki Microsoft Edge, następujące ustawienia konfiguruje przeglądarkę Microsoft Edge do synchronizowania ustawień użytkownika i pomijania pierwszego środowiska uruchamiania.

    Ustawianie kategorii Ustawienie Value
    Microsoft Edge Ukryj środowisko pierwszego uruchomienia i ekran powitalny Włączone
      Wymuś synchronizację danych przeglądarki i nie pokazuj monitu o zgodę synchronizacji Włączone

  • Microsoft OneDrive — aby ulepszyć środowisko pierwszego logowania, następujące ustawienia konfigurują usługę Microsoft OneDrive do automatycznego logowania i przekierowywania aplikacji Desktop, Pictures i Documents do usługi OneDrive. Files na żądanie (FOD) jest również zalecane. Jest ona domyślnie włączona i nie znajduje się na poniższej liście. Aby uzyskać więcej informacji na temat zalecanej konfiguracji aplikacji synchronizacja usługi OneDrive, przejdź do tematu Zalecana konfiguracja aplikacji synchronizacji dla usługi Microsoft OneDrive.

    Ustawianie kategorii Ustawienie Value
    OneDrive Dyskretne logowanie użytkowników do aplikacji synchronizacja usługi OneDrive przy użyciu poświadczeń systemu Windows Włączone
      Dyskretne przenoszenie znanych folderów systemu Windows do usługi OneDrive Włączone

    Uwaga

    Aby uzyskać więcej informacji, przejdź do pozycji Przekierowanie znanych folderów.

Poniższy zrzut ekranu przedstawia przykład profilu katalogu ustawień z każdym z sugerowanych ustawień skonfigurowanych:

Zrzut ekranu przedstawiający przykład profilu katalogu ustawień w Microsoft Intune.

Krok 9. Tworzenie i przypisywanie niektórych aplikacji

Punkt końcowy natywny dla chmury wymaga pewnych aplikacji. Aby rozpocząć, zalecamy skonfigurowanie następujących aplikacji i kierowanie ich do utworzonej wcześniej grupy punktów końcowych rozwiązania Autopilot Cloud-Native Windows .

  • Aplikacje Microsoft 365 (dawniej Office 365 ProPlus) — Aplikacje Microsoft 365, takie jak Word, Excel i Outlook, można łatwo wdrożyć na urządzeniach przy użyciu wbudowanego profilu aplikacji platformy Microsoft 365 dla systemu Windows w Intune.

    • Wybierz projektanta konfiguracji dla formatu ustawień, a nie xml.
    • Wybierz pozycję Bieżący kanał dla kanału aktualizacji.

    Aby wdrożyć Aplikacje Microsoft 365, przejdź do pozycji Dodawanie aplikacji platformy Microsoft 365 do urządzeń z systemem Windows przy użyciu Microsoft Intune

  • Portal firmy aplikacji — zalecane jest wdrożenie aplikacji Portal firmy Intune na wszystkich urządzeniach jako wymaganej aplikacji. Portal firmy aplikacja to centrum samoobsługowe dla użytkowników, których używają do instalowania aplikacji z wielu źródeł, takich jak Intune, Microsoft Store i Configuration Manager. Użytkownicy korzystają również z aplikacji Portal firmy, aby zsynchronizować swoje urządzenie z Intune, sprawdzić stan zgodności itd.

    Aby wdrożyć Portal firmy zgodnie z wymaganiami, zobacz Dodawanie i przypisywanie aplikacji Portal firmy systemu Windows dla urządzeń zarządzanych Intune.

  • Aplikacja ze sklepu Microsoft Store (Tablica) — mimo że Intune może wdrażać szeroką gamę aplikacji, wdrażamy aplikację ze sklepu (Microsoft Whiteboard), aby ułatwić obsługę tego przewodnika. Wykonaj kroki opisane w temacie Dodawanie aplikacji ze Sklepu Microsoft, aby Microsoft Intune, aby zainstalować usługę Microsoft Whiteboard.

Dalej: Faza 2 — tworzenie natywnego dla chmury punktu końcowego systemu Windows

Faza 2 — tworzenie natywnego dla chmury punktu końcowego systemu Windows

Aby utworzyć pierwszy natywny dla chmury punkt końcowy systemu Windows, użyj tej samej maszyny wirtualnej lub urządzenia fizycznego, które zostało zebrane, a następnie przekazano skrót sprzętu do usługi Windows Autopilot w fazie 1, krok 3 — importowanie urządzenia testowego. Na tym urządzeniu przejdź przez proces rozwiązania Windows Autopilot.

  1. Wznów (lub w razie potrzeby zresetuj) komputer z systemem Windows do środowiska OOBE (Out of Box Experience).

    Uwaga

    Jeśli zostanie wyświetlony monit o wybranie konfiguracji dla użytkownika lub organizacji, proces rozwiązania Windows Autopilot nie został uruchomiony. W takiej sytuacji uruchom ponownie urządzenie i upewnij się, że ma ono dostęp do Internetu. Jeśli nadal nie działa, spróbuj zresetować komputer lub ponownie zainstalować system Windows.

  2. Zaloguj się przy użyciu poświadczeń Microsoft Entra (UPN lub AzureAD\username).

  3. Na stronie stanu rejestracji jest wyświetlany stan konfiguracji urządzenia.

Gratulacje! Pierwszy punkt końcowy systemu Windows natywny dla chmury został zainicjowany.

Weryfikowanie punktu końcowego

Przed przejściem do fazy 3 sprawdź następujące zadania na nowym urządzeniu:

  • Foldery usługi OneDrive (pulpit, dokumenty, obrazy) są przekierowywane i synchronizowane.
  • Program Outlook otwiera i automatycznie konfiguruje profil platformy Microsoft 365.
  • Portal firmy jest zainstalowany i jest dostępna usługa Microsoft Whiteboard.
  • Możesz zalogować się przy użyciu poświadczeń Microsoft Entra i uzyskać dostęp do zasobów w chmurze.
  • Zasoby lokalne (udziały plików, witryny intranetowe, drukarki) są dostępne w razie potrzeby.

Jeśli zostanie wyświetlony monit o wprowadzenie hasła podczas korzystania z Windows Hello w celu uzyskania dostępu do zasobów lokalnych, Windows Hello dla firm hybrydowy nie jest jeszcze skonfigurowany. Możesz kontynuować testowanie, wybierając ikonę klucza na ekranie logowania i używając nazwy użytkownika i hasła. Aby uzyskać więcej informacji, zobacz Windows Hello dla firm Hybrid (Hybrydowy).

Dalej: Faza 3 — zabezpieczanie natywnego dla chmury punktu końcowego systemu Windows

Faza 3 — zabezpieczanie natywnego dla chmury punktu końcowego systemu Windows

Ta faza ma na celu ułatwienie tworzenia ustawień zabezpieczeń dla organizacji. Ta sekcja zwraca uwagę na różne składniki zabezpieczeń punktu końcowego w Microsoft Intune, w tym:

program antywirusowy Microsoft Defender (MDAV)

Poniższe ustawienia są zalecane jako minimalna konfiguracja programu antywirusowego Microsoft Defender, wbudowanego składnika systemu operacyjnego systemu Windows. Te ustawienia nie wymagają żadnej konkretnej umowy licencyjnej, takiej jak E3 lub E5, i mogą być włączone w centrum administracyjnym Microsoft Intune.

W centrum administracyjnym przejdź do obszaru Programantywirusowy> zabezpieczeń >punktu końcowegoUtwórz zasady>systemu Windows, a później>typ = profilu Microsoft Defender Program antywirusowy.

Defender:

  • Zezwalaj na monitorowanie zachowania: dozwolone. Włącza monitorowanie zachowania w czasie rzeczywistym.
  • Zezwalaj na ochronę w chmurze: dozwolone. Włącza usługę Cloud Protection.
  • Zezwalaj na skanowanie Email: dozwolone. Włącza skanowanie poczty e-mail.
  • Zezwalaj na skanowanie wszystkich pobranych plików i załączników: Dozwolone.
  • Zezwalaj na monitorowanie w czasie rzeczywistym: dozwolone. Włącza i uruchamia usługę monitorowania w czasie rzeczywistym.
  • Zezwalaj na skanowanie Files sieci: dozwolone. Skanuje pliki sieciowe.
  • Zezwalaj na skanowanie skryptów: dozwolone.
  • Rozszerzony limit czasu chmury: 50
  • Dni zachowania czyszczonego złośliwego oprogramowania: 30
  • Włącz ochronę sieci: włączone (tryb inspekcji)
  • Ochrona pua: pua ochrony na. Wykryte elementy są blokowane. Będą one wyświetlane w historii wraz z innymi zagrożeniami.
  • Kierunek skanowania w czasie rzeczywistym: monitoruj wszystkie pliki (dwukierunkowe).
  • Prześlij przykłady Zgoda: automatycznie wysyłaj bezpieczne próbki.
  • Zezwalaj na ochronę dostępu: dozwolone.
  • Akcja korygowania poważnych zagrożeń: kwarantanna. Przenosi pliki do kwarantanny.
  • Akcja korygowania dla zagrożenia o niskiej ważności: Kwarantanna. Przenosi pliki do kwarantanny.
  • Akcja korygowania dla zagrożeń o umiarkowanej ważności: Kwarantanna. Przenosi pliki do kwarantanny.
  • Akcja korygowania dla zagrożeń o wysokiej ważności: Kwarantanna. Przenosi pliki do kwarantanny.

Aby uzyskać więcej informacji na temat konfiguracji usługi Windows Defender, w tym Ochrona punktu końcowego w usłudze Microsoft Defender licencji klienta na E3 i E5, przejdź do:

zapora Microsoft Defender

Użyj zabezpieczeń punktu końcowego w Microsoft Intune, aby skonfigurować reguły zapory i zapory. Aby uzyskać więcej informacji, przejdź do tematu Zasady zapory dla zabezpieczeń punktu końcowego w Intune.

Microsoft Defender Zapora może wykryć zaufaną sieć przy użyciu dostawcy CSP NetworkListManager. Ponadto może przełączyć się do profilu zapory domeny w punktach końcowych z systemem Windows.

Użycie profilu sieci domeny umożliwia oddzielenie reguł zapory na podstawie zaufanej sieci, sieci prywatnej i sieci publicznej. Te ustawienia można zastosować przy użyciu profilu niestandardowego systemu Windows.

Uwaga

Microsoft Entra przyłączone punkty końcowe nie mogą używać protokołu LDAP do wykrywania połączenia z domeną w taki sam sposób, jak punkty końcowe przyłączone do domeny. Zamiast tego użyj dostawcy CSP NetworkListManager , aby określić punkt końcowy protokołu TLS, który, gdy jest dostępny, przełącza punkt końcowy do profilu zapory domeny .

Szyfrowanie funkcją BitLocker

Użyj zabezpieczeń punktu końcowego w Microsoft Intune, aby skonfigurować szyfrowanie za pomocą funkcji BitLocker.

Te ustawienia można włączyć w centrum administracyjnym Microsoft Intune. W centrum administracyjnym przejdź do pozycji Zabezpieczenia punktu końcowego> Zarządzanieszyfrowaniem>dysków>Utwórz zasady>Systemu Windows i nowszego> funkcjiBitLockerprofilu = .

Podczas konfigurowania następujących ustawień funkcji BitLocker w trybie dyskretnym włączają one szyfrowanie 128-bitowe dla użytkowników standardowych, co jest typowym scenariuszem. Organizacja może jednak mieć różne wymagania dotyczące zabezpieczeń, dlatego użyj dokumentacji funkcji BitLocker , aby uzyskać więcej ustawień.

Ustawianie kategorii Ustawienie Value
Funkcją bitlocker Wymagaj szyfrowania urządzenia Włączone
  Zezwalaj na ostrzeżenie dotyczące innego szyfrowania dysków Wyłączona
  Zezwalaj na standardowe szyfrowanie użytkowników Włączone
  Konfigurowanie rotacji haseł odzyskiwania Odświeżanie dla urządzeń przyłączonych do Azure AD
Szyfrowanie dysków funkcji BitLocker Wybieranie metody szyfrowania dysku i siły szyfrowania Nie skonfigurowano
  Podaj unikatowe identyfikatory dla organizacji Nie skonfigurowano
Dyski systemu operacyjnego Wymuszanie typu szyfrowania dysku na dyskach systemu operacyjnego Włączone
  Wybierz typ szyfrowania (Urządzenie) Używane szyfrowanie tylko miejsca
  Wymagaj dodatkowego uwierzytelniania podczas uruchamiania Włączone
  Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM (wymaga hasła lub klucza startowego na dysku flash USB) False
  Konfigurowanie klucza uruchamiania modułu TPM i numeru PIN Zezwalaj na klucz startowy i numer PIN za pomocą modułu TPM
  Konfigurowanie klucza uruchamiania modułu TPM Zezwalaj na klucz uruchamiania przy użyciu modułu TPM
  Konfigurowanie numeru PIN uruchamiania modułu TPM Zezwalaj na uruchamianie numeru PIN przy użyciu modułu TPM
  Konfigurowanie uruchamiania modułu TPM Wymagaj modułu TPM
  Konfigurowanie minimalnej długości numeru PIN na potrzeby uruchamiania Nie skonfigurowano
  Zezwalaj na rozszerzone numery PIN na potrzeby uruchamiania Nie skonfigurowano
  Nie zezwalaj standardowym użytkownikom na zmianę numeru PIN lub hasła Nie skonfigurowano
  Zezwalanie urządzeniom zgodnym z rozwiązaniem InstantGo lub HSTI na rezygnację z numeru PIN przed rozruchem Nie skonfigurowano
  Włączanie korzystania z uwierzytelniania funkcją BitLocker wymagającego wstępnego wprowadzania klawiatury na listwach Nie skonfigurowano
  Wybieranie sposobu odzyskiwania dysków systemu operacyjnego chronionych przez funkcję BitLocker Włączone
  Konfigurowanie magazynu użytkowników informacji odzyskiwania funkcji BitLocker Wymagaj 48-cyfrowego hasła odzyskiwania
  Zezwalaj na agenta odzyskiwania danych False
  Konfigurowanie magazynu informacji odzyskiwania funkcji BitLocker w usługach AD DS Przechowywanie haseł odzyskiwania i pakietów kluczy
  Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania nie będą przechowywane w usługach AD DS dla dysków systemu operacyjnego True
  Pomiń opcje odzyskiwania z kreatora konfiguracji funkcji BitLocker True
  Zapisywanie informacji odzyskiwania funkcji BitLocker w usługach AD DS dla dysków systemu operacyjnego True
  Konfigurowanie komunikatu i adresu URL odzyskiwania przed rozruchem Nie skonfigurowano
Stałe dyski danych Wymuszanie typu szyfrowania dysku na stałych dyskach danych Włączone
  Wybierz typ szyfrowania: (Urządzenie) Zezwalaj użytkownikowi na wybór (ustawienie domyślne)
  Wybieranie sposobu odzyskiwania dysków stałych chronionych przez funkcję BitLocker Włączone
  Konfigurowanie magazynu użytkowników informacji odzyskiwania funkcji BitLocker Wymagaj 48-cyfrowego hasła odzyskiwania
  Zezwalaj na agenta odzyskiwania danych False
  Konfigurowanie magazynu informacji odzyskiwania funkcji BitLocker w usługach AD DS Tworzenie kopii zapasowych haseł odzyskiwania i pakietów kluczy
  Nie włączaj funkcji BitLocker, dopóki informacje odzyskiwania nie będą przechowywane w usługach AD DS dla stałych dysków danych True
  Pomiń opcje odzyskiwania z kreatora konfiguracji funkcji BitLocker True
  Zapisywanie informacji odzyskiwania funkcji BitLocker w usługach AD DS dla stałych dysków danych True
  Odmowa dostępu do zapisu na dyskach stałych, które nie są chronione przez funkcję BitLocker Nie skonfigurowano
Wymienne dyski danych Sterowanie użyciem funkcji BitLocker na dyskach wymiennych Włączone
  Zezwalaj użytkownikom na stosowanie ochrony funkcji BitLocker na wymiennych dyskach danych (urządzenie) False
  Zezwalaj użytkownikom na zawieszanie i odszyfrowywanie ochrony funkcji BitLocker na wymiennych dyskach danych (urządzenie) False
  Odmowa dostępu do zapisu na dyskach wymiennych, które nie są chronione przez funkcję BitLocker Nie skonfigurowano

Rozwiązanie haseł administratora lokalnego systemu Windows (LAPS)

Domyślnie wbudowane konto administratora lokalnego (dobrze znany identyfikator SID S-1-5-500) jest wyłączone. Istnieją pewne scenariusze, w których konto administratora lokalnego może być korzystne, takie jak rozwiązywanie problemów, obsługa użytkowników końcowych i odzyskiwanie urządzeń. Jeśli zdecydujesz się włączyć wbudowane konto administratora lub utworzyć nowe konto administratora lokalnego, ważne jest zabezpieczenie hasła dla tego konta.

Rozwiązanie haseł administratora lokalnego systemu Windows (LAPS) jest jedną z funkcji, których można użyć do losowego i bezpiecznego przechowywania hasła w Microsoft Entra. Jeśli używasz Intune jako usługi MDM, wykonaj następujące kroki, aby włączyć usługę LAPS systemu Windows.

Ważna

W systemie Windows LAPS przyjęto założenie, że domyślne konto administratora lokalnego jest włączone, nawet jeśli jego nazwa została zmieniona lub utworzono inne konto administratora lokalnego. Usługa Windows LAPS nie tworzy ani nie włącza żadnych kont lokalnych, chyba że zostanie skonfigurowany tryb automatycznego zarządzania kontami.

Musisz utworzyć lub włączyć dowolne konta lokalne niezależnie od konfigurowania systemu Windows LAPS. Możesz wykonać skrypt tego zadania lub użyć dostawców usług konfiguracji, takich jak dostawca CSP kont lub dostawca CSP zasad.

  1. Upewnij się, że na urządzeniach z systemem Windows zainstalowano aktualizację zabezpieczeń z kwietnia 2023 r. (lub nowszą).

    Aby uzyskać więcej informacji, przejdź do Microsoft Entra aktualizacji systemu operacyjnego.

  2. Włącz usługę Windows LAPS w Microsoft Entra:

    1. Zaloguj się do Microsoft Entra.
    2. W obszarze Włącz rozwiązanie laps (Local Administrator Password Solution) wybierz pozycję Tak>zapisz (u góry strony).

    Aby uzyskać więcej informacji, przejdź do tematu Włączanie systemu Windows LAPS za pomocą Microsoft Entra.

  3. W Intune utwórz zasady zabezpieczeń punktu końcowego:

    1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
    2. Wybierz pozycjęOchrona> konta zabezpieczeń> punktu końcowegoUtwórz zasady>Rozwiązanie haseł administratora lokalnego systemu Windows> (Windows LAPS)>Utwórz.

    Aby uzyskać więcej informacji, przejdź do tematu Tworzenie zasad LAPS w Intune.

Punkty odniesienia zabezpieczeń

Punkty odniesienia zabezpieczeń umożliwiają zastosowanie zestawu konfiguracji, które są znane w celu zwiększenia bezpieczeństwa punktu końcowego systemu Windows. Aby uzyskać więcej informacji na temat punktów odniesienia zabezpieczeń, przejdź do pozycji Ustawienia punktu odniesienia zabezpieczeń rozwiązania MDM systemu Windows dla Intune.

Linie bazowe można stosować przy użyciu sugerowanych ustawień i dostosowywać zgodnie z wymaganiami. Niektóre ustawienia w punktach odniesienia mogą powodować nieoczekiwane wyniki lub być niezgodne z aplikacjami i usługami uruchomionymi w punktach końcowych systemu Windows. W związku z tym punkty odniesienia powinny być testowane oddzielnie. Zastosuj punkt odniesienia tylko do selektywnej grupy testowych punktów końcowych bez żadnych innych profilów konfiguracji lub ustawień.

Znane problemy dotyczące punktów odniesienia zabezpieczeń

Następujące ustawienia w punkcie odniesienia zabezpieczeń systemu Windows mogą powodować problemy z rozwiązaniem Windows Autopilot lub próbą zainstalowania aplikacji jako użytkownik standardowy:

  • Opcje zabezpieczeń zasad lokalnych\Zachowanie monitu o podniesienie uprawnień przez administratora (domyślne = Monituj o zgodę na bezpiecznym pulpicie)
  • Zachowanie monitu o podniesienie uprawnień użytkownika w warstwie Standardowa (wartość domyślna = Automatyczne odrzucanie żądań podniesienia uprawnień)

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z konfliktami zasad z rozwiązaniem Windows Autopilot.

zasady klienta Windows Update

Windows Update zasady klienta to technologia chmury umożliwiająca kontrolowanie sposobu i momentu instalowania aktualizacji na urządzeniach. W Intune można skonfigurować zasady klienta Windows Update przy użyciu:

Aby uzyskać więcej informacji, zobacz:

Porada

W przypadku środowisk natywnych dla chmury należy wziąć pod uwagę funkcję Autopatch systemu Windows. Autopatch automatyzuje zarządzanie pierścieniami aktualizacji i raportowanie, eliminując konieczność ręcznego dostrojenia okresów odroczenia i terminów ostatecznych. Jest on dołączony do Microsoft Intune i jest zalecanym podejściem dla organizacji, które chcą w pełni zautomatyzowanych aktualizacji systemu Windows opartych na zasadach z minimalnym obciążeniem administracyjnym.

Zasady zgodności

Zasady zgodności raportują kondycję punktów końcowych systemu Windows natywnych dla chmury — na przykład o tym, czy funkcja BitLocker jest włączona, czy bezpieczny rozruch jest włączony, a program antywirusowy Microsoft Defender jest uruchomiony. Zasady są również podstawą dostępu warunkowego, dzięki czemu można zablokować niezgodnym urządzeniom dostęp do zasobów organizacji.

Aby utworzyć zasady zgodności systemu Windows:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęZgodność>urządzeń>Utwórz zasady.

  3. W obszarze Platforma wybierz pozycję Windows 10, a następnie>pozycję Utwórz.

  4. W obszarze Podstawy wprowadź nazwę zasad i wybierz pozycję Dalej.

  5. W obszarze Ustawienia zgodności skonfiguruj następujące zalecane wartości i wybierz pozycję Dalej:

    Ustawianie kategorii Ustawienie Value
    Kondycja urządzenia Wymagaj funkcji BitLocker Wymagają
      Wymagaj włączenia bezpiecznego rozruchu na urządzeniu Wymagają
      Wymagaj integralności kodu Wymagają
    Zabezpieczenia systemu Zapora Wymagają
      Program antywirusowy Wymagają
      Antyspyware Wymagają
      Wymagaj hasła do odblokowania urządzeń przenośnych Wymagają
      Proste hasła Blokuj
      Typ hasła Alfanumerycznych
      Minimalna długość hasła 14
      Maksymalna liczba minut braku aktywności przed wymaganiem hasła 1 minuta
      Wygaśnięcie hasła (dni) 365
      Liczba poprzednich haseł, aby zapobiec ponownemu użyciu 5
    Defender ochrona przed złośliwym kodem Microsoft Defender Wymagają
      Microsoft Defender Analiza zabezpieczeń oprogramowania chroniącego przed złośliwym kodem jest aktualna Wymagają
      Ochrona w czasie rzeczywistym Wymagają

    Porada

    Firma Microsoft i bieżące wskazówki dotyczące NIST nie zalecają już okresowego wygasania haseł. Punkt odniesienia zabezpieczeń systemu Windows usunął wygaśnięcie hasła w 2019 roku. W przypadku punktów końcowych natywnych dla chmury najsilniejszą postawą jest przeniesienie użytkowników do logowania bez hasła przy użyciu Windows Hello dla firm i kluczy dostępu / kluczy zabezpieczeń FIDO2 oraz zablokowanie słabych haseł przy użyciu Microsoft Entra ochrony haseł. Dostosuj powyższe wartości, aby były zgodne z zasadami organizacji. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie bez hasła za pomocą Microsoft Intune.

  6. W obszarze Akcje w przypadku niezgodności ustaw opcję Oznacz niezgodny harmonogram urządzenia na 1 dzień (lub inny okres prolongaty odpowiadający Twojej organizacji).

    Porada

    Jeśli używasz dostępu warunkowego, skonfiguruj okres prolongaty, aby niezgodne urządzenia nie utracić natychmiast dostępu do zasobów organizacji. Możesz również dodać akcję do użytkowników poczty e-mail, wykonując kroki umożliwiające uzyskanie zgodności.

  7. Przypisz zasady do grupy punktów końcowych rozwiązania Autopilot Cloud-Native Windows z kroku 4 — tworzenie grupy dynamicznej Microsoft Entra dla urządzenia.

Aby uzyskać więcej informacji na temat ustawień zgodności systemu Windows, zobacz Ustawienia zgodności urządzeń z systemem Windows w Microsoft Intune.

Dostęp warunkowy

Dostęp warunkowy w Microsoft Entra używa sygnału zgodności z Intune, aby zezwolić lub zablokować dostęp do zasobów organizacji. Najczęstszy wzorzec natywny dla chmury to wymaganie zgodnego urządzenia dla aplikacji platformy Microsoft 365 i innych usług w chmurze. Ten wzorzec zapewnia dostęp do danych tylko zarządzanych przez Intune urządzeń w dobrej kondycji.

Typowy punkt odniesienia dostępu warunkowego natywnego dla chmury obejmuje:

  • Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
  • Wymagaj zgodnego urządzenia (lub urządzenia przyłączonych hybrydowo Microsoft Entra) dla aplikacji w chmurze.
  • Blokuj starsze protokoły uwierzytelniania .

Ważna

Najpierw przetestuj zasady dostępu warunkowego w grupie pilotażowej. Błędnie skonfigurowane zasady mogą blokować administratorów z centrum administracyjne Microsoft Entra.

Aby uzyskać szczegółowe wskazówki, zobacz:

Dalej: Faza 4 — stosowanie dostosowań i przeglądanie konfiguracji lokalnej

Faza 4 — stosowanie dostosowań i przeglądanie konfiguracji lokalnej

W tej fazie zastosujesz ustawienia, aplikacje specyficzne dla organizacji i przejrzysz konfigurację lokalną. Faza ułatwia tworzenie dostosowań specyficznych dla organizacji. Zwróć uwagę na różne składniki systemu Windows, sposób przeglądania istniejących konfiguracji z lokalnego środowiska usługi AD zasady grupy i stosowania ich do punktów końcowych natywnych dla chmury. Istnieją sekcje dla każdego z następujących obszarów:

Microsoft Edge

Wdrażanie w przeglądarce Microsoft Edge

Przeglądarka Microsoft Edge jest dostępna na urządzeniach z systemem:

  • System Windows

Po zalogowaniu się użytkowników przeglądarka Microsoft Edge zostanie zaktualizowana automatycznie. Aby wyzwolić aktualizację przeglądarki Microsoft Edge podczas wdrażania, można uruchomić następujące polecenie:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Aby wdrożyć przeglądarkę Microsoft Edge w poprzednich wersjach systemu Windows, przejdź do pozycji Dodawanie przeglądarki Microsoft Edge dla systemu Windows do Microsoft Intune.

Konfiguracja przeglądarki Microsoft Edge

Dwa składniki środowiska przeglądarki Microsoft Edge, które mają zastosowanie podczas logowania użytkowników przy użyciu poświadczeń platformy Microsoft 365, można skonfigurować z poziomu centrum Administracja Microsoft 365.

  • Logo strony początkowej w przeglądarce Microsoft Edge można dostosować, konfigurując sekcję Twoja organizacja w Centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji, przejdź do tematu Dostosowywanie motywu platformy Microsoft 365 dla organizacji.

  • Domyślne środowisko strony nowej karty w przeglądarce Microsoft Edge obejmuje Office 365 informacji i spersonalizowanych wiadomości. Sposób wyświetlania tej strony można dostosować z poziomu Centrum administracyjne platformy Microsoft 365 na stronie Ustawienia> ustawienia >organizacjiAktualności>na nowej karcie przeglądarki Microsoft Edge.

Możesz również ustawić inne ustawienia przeglądarki Microsoft Edge przy użyciu profilów wykazu ustawień. Możesz na przykład skonfigurować określone ustawienia synchronizacji dla organizacji.

  • Microsoft Edge
    • Konfigurowanie listy typów wykluczonych z synchronizacji — hasła

Układ paska zadań i uruchamiania

Możesz dostosować i ustawić standardowy układ uruchamiania i paska zadań przy użyciu Intune.

Katalog ustawień

Katalog ustawień to pojedyncza lokalizacja, w której są wyświetlane wszystkie konfigurowalne ustawienia systemu Windows. Ta funkcja upraszcza sposób tworzenia zasad i wyświetlanie wszystkich dostępnych ustawień. Aby uzyskać więcej informacji, przejdź do tematu Tworzenie zasad przy użyciu wykazu ustawień w Microsoft Intune.

Porada

Wiele ustawień, które znasz z zasad grupy, jest wbudowanych w wykaz ustawień. Jeśli ustawienia nie są dostępne w katalogu ustawień, sprawdź szablony profilów konfiguracji urządzenia.

Poniżej przedstawiono niektóre ustawienia dostępne w katalogu ustawień, które mogą być istotne dla Twojej organizacji:

  • Azure preferowanej domeny dzierżawy usługi Active Directory — to ustawienie konfiguruje preferowaną nazwę domeny dzierżawy, która ma być dołączana do nazwy użytkownika użytkownika. Preferowana domena dzierżawy umożliwia użytkownikom logowanie się w celu Microsoft Entra punktów końcowych tylko przy użyciu nazwy użytkownika, a nie całej nazwy UPN, o ile nazwa domeny użytkownika jest zgodna z preferowaną domeną dzierżawy. W przypadku użytkowników, którzy mają różne nazwy domen, mogą wpisać całą nazwę UPN.

    Ustawianie kategorii Ustawienie Value
    Uwierzytelnianie Preferowana nazwa domeny dzierżawy usługi AAD Wprowadź nazwę domeny, na przykład contoso.onmicrosoft.com.

    Uwaga

    Etykieta ustawienia używa starszej terminologii. "AAD" odnosi się do Microsoft Entra ID.

  • Funkcja W centrum uwagi Windows — domyślnie włączono kilka funkcji konsumenckich systemu Windows, co powoduje instalowanie wybranych aplikacji ze Sklepu i sugestie innych firm na ekranie blokady. Możesz to kontrolować, korzystając z sekcji Środowisko katalogu ustawień.

    Ustawianie kategorii Ustawienie Value
    Środowisko > zezwala na funkcję W centrum uwagi Windows Zezwalaj na funkcje użytkownika systemu Windows Blokuj
      Zezwalaj na sugestie innych firm w funkcji W centrum uwagi Windows (użytkownik) Blokuj

  • Microsoft Store — organizacje zazwyczaj chcą ograniczyć aplikacje, które można zainstalować w punktach końcowych. Użyj tego ustawienia, jeśli twoja organizacja chce kontrolować, które aplikacje mogą instalować ze Sklepu Microsoft. To ustawienie uniemożliwia użytkownikom instalowanie aplikacji, chyba że zostaną zatwierdzone.

    Ustawianie kategorii Ustawienie Value
    Microsoft App Store Wymagaj tylko magazynu prywatnego Włączono tylko magazyn prywatny

    Uwaga

    To ustawienie dotyczy Windows 10. Na Windows 11 to ustawienie blokuje dostęp do publicznego sklepu Microsoft Store. Aby uzyskać więcej informacji, zobacz:

  • Blokuj gry — organizacje mogą preferować, aby firmowe punkty końcowe nie mogły być używane do grania w gry. Strona Gry w aplikacji Ustawienia może zostać całkowicie ukryta przy użyciu następującego ustawienia. Aby uzyskać dodatkowe informacje na temat widoczności strony ustawień, przejdź do dokumentacji dostawcy CSP i dokumentacji schematu identyfikatora URI ms-settings.

    Ustawianie kategorii Ustawienie Value
    Ustawienia Lista widoczności strony hide:gaming-gamebar; gaming-gamedvr; nadawanie gier; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Kontroluj dzierżawy, do których klient stacjonarny usługi Teams może się zalogować — gdy te zasady są skonfigurowane na urządzeniu, użytkownicy mogą logować się tylko przy użyciu kont znajdujących się w dzierżawie Microsoft Entra, która jest uwzględniona w "liście dozwolonych dzierżaw" zdefiniowanej w tych zasadach. "Lista dozwolonych dzierżaw" to rozdzielana przecinkami lista identyfikatorów dzierżawy Microsoft Entra. Określając te zasady i definiując dzierżawę Microsoft Entra, możesz również zablokować logowanie do aplikacji Teams do użytku osobistego. Aby uzyskać więcej informacji, przejdź do tematu Jak ograniczyć logowanie na urządzeniach stacjonarnych.

    Ustawianie kategorii Ustawienie Value
    Microsoft Teams Ograniczanie logowania do aplikacji Teams do kont w określonych dzierżawach (użytkownik) Włączone

Ograniczenia dotyczące urządzeń

Szablony ograniczeń urządzeń z systemem Windows zawierają wiele ustawień wymaganych do zabezpieczenia punktu końcowego systemu Windows i zarządzania nim przy użyciu dostawców usług konfiguracji systemu Windows. Więcej z tych ustawień zostanie udostępnionych w katalogu ustawień w czasie. Aby uzyskać więcej informacji, przejdź do obszaru Ograniczenia urządzenia.

Aby utworzyć profil korzystający z szablonu Ograniczenia urządzenia, w centrum administracyjnym Microsoft Intune przejdź do pozycji Urządzenia>Zarządzaj urządzeniami>Konfiguracja>Utwórz>nowe zasady> Wybierz Windows 10 inowsze w obszarze Szablony platformy >Ograniczenia urządzenia dla typu profilu.

  • Adres URL obrazu tła pulpitu (tylko dla komputerów stacjonarnych) — użyj tego ustawienia, aby ustawić tapetę na jednostkach SKU systemu Windows Enterprise lub Windows Education. Hostujesz plik w trybie online lub odwołujesz się do pliku skopiowanego lokalnie. Aby skonfigurować to ustawienie, na karcie Ustawienia konfiguracji w profilu Ograniczenia urządzenia rozwiń węzeł Personalizacja i skonfiguruj adres URL obrazu tła pulpitu (tylko pulpit).

  • Wymagaj od użytkowników nawiązywania połączenia z siecią podczas konfigurowania urządzenia — to ustawienie zmniejsza ryzyko, że urządzenie może pominąć rozwiązanie Windows Autopilot, jeśli komputer zostanie zresetowany. To ustawienie wymaga, aby urządzenia miały połączenie sieciowe w fazie out of box experience. Aby skonfigurować to ustawienie, na karcie Ustawienia konfiguracji w profilu Ograniczenia urządzenia rozwiń węzeł Ogólne i skonfiguruj opcję Wymagaj od użytkowników nawiązywania połączenia z siecią podczas konfigurowania urządzenia.

    Uwaga

    Ustawienie staje się skuteczne przy następnym wyczyszczoniu lub zresetowaniu urządzenia.

Optymalizacja dostarczania

Optymalizacja dostarczania służy do zmniejszania zużycia przepustowości przez udostępnianie pracy związanej z pobieraniem obsługiwanych pakietów między wieloma punktami końcowymi. Optymalizacja dostarczania to samoorganizująca się rozproszona pamięć podręczna, która umożliwia klientom pobieranie tych pakietów z alternatywnych źródeł, takich jak elementy równorzędne w sieci. Te źródła równorzędne uzupełniają tradycyjne serwery internetowe. Informacje o wszystkich ustawieniach dostępnych dla optymalizacji dostarczania i o tym, jakie typy pobierania są obsługiwane, można znaleźć w temacie Optymalizacja dostarczania dla aktualizacji systemu Windows.

Aby zastosować ustawienia optymalizacji dostarczania, utwórz profil optymalizacji dostarczania Intune lub profil katalogu ustawień.

Niektóre ustawienia, które są często używane przez organizacje, to:

  • Ogranicz wybór elementu równorzędnego — podsieć — to ustawienie ogranicza buforowanie równorzędne do komputerów w tej samej podsieci.
  • Identyfikator grupy — klienci optymalizacji dostarczania można skonfigurować do udostępniania zawartości tylko urządzeniom w tej samej grupie. Identyfikatory grup można skonfigurować bezpośrednio, wysyłając identyfikator GUID za pośrednictwem zasad lub używając opcji DHCP w zakresach DHCP.

Klienci korzystający z Microsoft Configuration Manager mogą wdrażać serwery połączonej pamięci podręcznej, które mogą służyć do hostowania zawartości optymalizacji dostarczania. Aby uzyskać więcej informacji, przejdź do witryny Microsoft Connected Cache w Configuration Manager.

Administratorzy lokalni

Jeśli istnieje tylko jedna grupa użytkowników, która wymaga dostępu administratora lokalnego do wszystkich urządzeń z systemem Windows przyłączonych do Microsoft Entra, możesz dodać je do administratora lokalnego urządzenia przyłączonych do Microsoft Entra.

Może być wymagane, aby pomoc techniczna IT lub inny personel pomocy technicznej miał uprawnienia administratora lokalnego w wybranej grupie urządzeń. To wymaganie można spełnić, korzystając z następujących dostawców usług konfiguracji.

Aby uzyskać więcej informacji, zobacz Jak zarządzać lokalną grupą administratorów na urządzeniach przyłączonych do Microsoft Entra

zasady grupy do migracji ustawień mdm

Istnieje kilka opcji tworzenia konfiguracji urządzenia podczas rozważania migracji z zasady grupy do zarządzania urządzeniami natywnymi dla chmury:

  • Rozpocznij od nowa i zastosuj ustawienia niestandardowe zgodnie z wymaganiami.
  • Przejrzyj istniejące zasady grupy i zastosuj wymagane ustawienia. Możesz użyć narzędzi, aby pomóc, na przykład zasady grupy analizy.
  • Użyj zasady grupy analytics, aby tworzyć profile konfiguracji urządzeń bezpośrednio dla obsługiwanych ustawień.

Przejście do natywnego dla chmury punktu końcowego systemu Windows stanowi okazję do przejrzenia wymagań obliczeniowych użytkowników końcowych i ustanowienia nowej konfiguracji na przyszłość. Tam, gdzie to możliwe, zacznij od nowa od minimalnego zestawu zasad. Unikaj przenoszenia niepotrzebnych lub starszych ustawień ze środowiska przyłączanego do domeny lub starszych systemów operacyjnych, takich jak Windows 7 lub Windows XP.

Aby rozpocząć od nowa, przejrzyj bieżące wymagania i zaimplementuj minimalną kolekcję ustawień, aby spełnić te wymagania. Wymagania mogą obejmować ustawienia i ustawienia zabezpieczeń regulacyjne lub obowiązkowe, aby ulepszyć środowisko użytkownika końcowego. Firma tworzy listę wymagań, a nie IT. Każde ustawienie powinno być udokumentowane, zrozumiałe i powinno służyć celowi.

Migrowanie ustawień z istniejących zasad grupy do rozwiązania MDM (Microsoft Intune) nie jest preferowanym podejściem. Po przejściu do systemu Windows natywnego dla chmury nie powinno być celem podnoszenia i przenoszenia istniejących ustawień zasad grupy. Zamiast tego należy wziąć pod uwagę docelowych odbiorców i ustawienia, których potrzebują. Przeglądanie poszczególnych ustawień zasad grupy w środowisku w celu określenia jego istotności i zgodności z nowoczesnym urządzeniem zarządzanym jest czasochłonne i prawdopodobnie niepraktyczne. Unikaj prób oceny wszystkich zasad grupy i poszczególnych ustawień. Zamiast tego skoncentruj się na ocenie tych typowych zasad, które obejmują większość urządzeń i scenariuszy.

Zamiast tego zidentyfikuj ustawienia zasad grupy, które są obowiązkowe, i przejrzyj te ustawienia pod kątem dostępnych ustawień zarządzania urządzeniami przenośnymi. Wszelkie luki reprezentują blokery, które mogą uniemożliwić kontynuowanie pracy z urządzeniem natywnym dla chmury, jeśli nie zostanie rozwiązane. Narzędzia takie jak zasady grupy analytics mogą służyć do analizowania ustawień zasad grupy i określania, czy można je migrować do zasad mdm, czy nie.

Skrypty

Skryptów programu PowerShell można używać dla dowolnych ustawień lub dostosowań, które należy skonfigurować poza wbudowanymi profilami konfiguracji. Aby uzyskać więcej informacji, przejdź do tematu Dodawanie skryptów programu PowerShell do urządzeń z systemem Windows w Microsoft Intune.

Mapowanie dysków sieciowych i drukarek

Scenariusze natywne dla chmury nie mają wbudowanego rozwiązania dla zamapowanych dysków sieciowych. Zamiast tego zalecamy migrowanie użytkowników do aplikacji Teams, SharePoint i OneDrive. Jeśli migracja nie jest możliwa, w razie potrzeby rozważ użycie skryptów.

W przypadku magazynu osobistego w kroku 8 — konfigurowanie ustawień dla optymalnego środowiska platformy Microsoft 365 skonfigurowaliśmy przenoszenie znanego folderu usługi OneDrive. Aby uzyskać więcej informacji, przejdź do pozycji Przekierowanie znanych folderów.

W przypadku magazynu dokumentów użytkownicy mogą również korzystać z integracji programu SharePoint z Eksplorator plików i możliwości lokalnej synchronizacji bibliotek, jak opisano tutaj: Synchronizowanie plików programu SharePoint i aplikacji Teams z komputerem.

Jeśli używasz firmowych szablonów dokumentów pakietu Office, które zazwyczaj znajdują się na serwerach wewnętrznych, rozważ nowszy odpowiednik oparty na chmurze, który umożliwia użytkownikom dostęp do szablonów z dowolnego miejsca.

W przypadku rozwiązań do drukowania rozważ użycie usługi Universal Print. Aby uzyskać więcej informacji, zobacz:

Aplikacje

Intune obsługuje wdrażanie wielu różnych typów aplikacji systemu Windows.

Jeśli masz aplikacje korzystające z instalatorów msi, exe lub skryptów, możesz wdrożyć wszystkie te aplikacje przy użyciu zarządzania aplikacjami Win32 w Microsoft Intune. Zawijanie tych instalatorów w formacie Win32 zapewnia większą elastyczność i korzyści, w tym powiadomienia, optymalizację dostarczania, zależności, reguły wykrywania i obsługę strony stanu rejestracji w rozwiązaniu Windows Autopilot.

Uwaga

Aby zapobiec konfliktom podczas instalacji, zalecamy, aby trzymać się wyłącznie funkcji aplikacji biznesowych systemu Windows lub aplikacji Win32. Jeśli masz aplikacje spakowane jako .msi lub .exe, można je przekonwertować na aplikacje Win32 (.intunewin) przy użyciu narzędzia Microsoft Win32 Content Prep Tool dostępnego w witrynie GitHub.

Dalej: Faza 5 — skalowanie wdrożenia za pomocą rozwiązania Windows Autopilot

Faza 5 — skalowanie wdrożenia za pomocą rozwiązania Windows Autopilot

Sprawdzono działanie natywne dla chmury na jednym urządzeniu. W tej fazie opisano sposób przenoszenia z urządzenia testowego do floty produkcyjnej — sposobu rejestrowania urządzeń, grupowania ich według osób, sposobu wdrażania i obsługi istniejących komputerów, które już zarządzasz.

Rejestrowanie urządzeń na dużą skalę

W fazie 1 skrót sprzętu został przekazany ręcznie. To dobrze w przypadku laboratorium, ale nie jest skalowane. Opcje gotowe do produkcji to:

Źródło rejestracji Jak to działa Najlepsze dla
OEM lub partner sprzętowy Urządzenia są dostarczane od dostawcy już zarejestrowanego w dzierżawie (Dell, HP, Lenovo, Microsoft, Surface i inne). Nowe zaopatrzenie w sprzęt — zalecany stan docelowy.
Odsprzedawca lub dostawca CSP Partner firmy Microsoft rejestruje urządzenia w Twoim imieniu. Pośrednie lub mieszane łańcuchy dostaw.
Ręczne przekazywanie skrótów (CSV) Ten sam Get-WindowsAutopilotInfo przepływ z fazy 1, krok 3, przekazywany zbiorczo jako wolumin CSV. Piloci, urządzenia laboratoryjne, małe partie, istniejące urządzenia są dołączane.
łącznik Intune / rejestracja bezpośrednia Nowsze ścieżki rejestracji pojawiły się w centrum administracyjnym. Konkretne scenariusze rejestracji — zobacz omówienie rejestracji rozwiązania Autopilot.

Aby uzyskać szczegółowe informacje, zobacz Rejestrowanie urządzeń rozwiązania Autopilot.

Porada

Za każdym razem, gdy kupujesz nowy sprzęt z systemem Windows, poproś odsprzedawcę lub producenta OEM o zarejestrowanie urządzeń w Microsoft Entra identyfikatorze dzierżawy w momencie zakupu. Takie podejście jest długoterminowym wzorcem o najniższym stopniu tarcia i eliminuje konieczność ręcznego zbierania skrótu.

Używanie tagów grupy dla osób

Tag grupy został już użyty CloudNative w fazie 1 do kierowania grupą dynamiczną. Ten sam wzorzec jest skalowany do wielu osób urządzeń. Zdefiniuj jeden tag grupy na osobę, jedną dynamiczną grupę Microsoft Entra na tag i jeden profil wdrożenia rozwiązania Autopilot oraz stronę stanu rejestracji na grupę.

Osoba Sugerowany tag grupy Profil rozwiązania Autopilot Typ konta użytkownika
Proces roboczy wiedzy KnowledgeWorker Sterowane przez użytkownika Użytkownik standardowy
Deweloper/użytkownik zasilania Developer Sterowane przez użytkownika Administrator
Kiosk lub urządzenie udostępnione Kiosk Samodzielne wdrażanie Nie dotyczy
Wstępnie aprowizowane (białe rękawiczki) PreProvisioned Wstępnie aprowizowane Użytkownik standardowy

Ten wzorzec zapewnia izolowanie konfiguracji, aplikacji i zasad zabezpieczeń dla poszczególnych osób i pozwala uniknąć jednorazowych wyjątków rozrastania się w całej dzierżawie.

Rozwałkuj w pierścieniach

Nie wdrażaj jednocześnie całej floty. Użyj tej samej koncepcji pierścienia, która jest używana w systemie Windows Aktualizacje:

Pierścień Odbiorcy Celu
Pilot Zespół IT i niewielka grupa wolontariuszy Weryfikowanie kompleksowej aprowizacji i zasad.
Wcześni użytkownicy Około 5% użytkowników, rozsianych po różnych działach Wychwyć problemy związane z osobami i aplikacjami.
Szerokie Pozostała flota, wystawiona według regionu lub działu Wdrożenie produkcyjne.

Użyj filtrów przypisań do pierścieni docelowych, zamiast tworzyć zduplikowane grupy dla każdej zasady. Monitoruj każdy pierścień przy użyciu sekcji Monitorowanie punktów końcowych systemu Windows natywnych dla chmury przed przejściem do następnego.

Obsługa istniejących urządzeń

W przypadku komputerów z systemem Windows, którymi już zarządzasz, firma Microsoft zaleca przejście do rozwiązania Autopilot podczas następnego odświeżania sprzętu zamiast ponownej aprowizacji całej floty. System Windows natywny dla chmury zapewnia pełne korzyści dzięki czystemu uruchomieniu OOBE, a cykle odświeżania pozwalają przejść naturalnie przy minimalnych zakłóceniach użytkowników.

Jeśli nie możesz się doczekać odświeżenia, dostępne są dwie ścieżki:

  • Zarejestruj się i zresetuj w miejscu. Zbierz skrót dla istniejącego urządzenia, zarejestruj go w rozwiązaniu Autopilot, a następnie zresetuj komputer. Urządzenie wraca za pośrednictwem OOBE jako punkt końcowy natywny dla chmury. Zobacz Dodawanie istniejących urządzeń do rozwiązania Windows Autopilot.
  • Reimage przy odświeżać. Tylko nowy lub odświeżony sprzęt jest rejestrowany jako natywny dla chmury. Istniejące urządzenia pozostają w bieżącym zarządzaniu, dopóki nie dotrą do końca życia.

Uwaga

Nie rejestruj urządzeń, które są aktywnie zarządzane przez Microsoft Configuration Manager bez planu współzarządzania. Zdecyduj, czy urządzenie będzie zarządzane w chmurze, współzarządzane, czy pozostanie na Configuration Manager przed zarejestrowaniem go w rozwiązaniu Autopilot. Aby uzyskać więcej informacji, zobacz Współzarządzanie urządzeniami z systemem Windows.

Dowiedz się więcej

Jeśli rozwiązanie Windows Autopilot nie jest odpowiednie dla Danego scenariusza, zobacz Intune metody rejestracji dla urządzeń z systemem Windows, aby uzyskać alternatywy.

Dalej: Monitorowanie punktów końcowych systemu Windows natywnych dla chmury

Monitorowanie punktów końcowych systemu Windows natywnych dla chmury

Po aprowizacji i skonfigurowaniu punktów końcowych systemu Windows natywnych dla chmury użyj widoków monitorowania w centrum administracyjnym Microsoft Intune, aby potwierdzić pomyślne wdrożenie zasad, skryptów i aplikacji — oraz wcześnie wykryć problemy. Monitorowanie to trwające zadanie operacyjne, a nie jednorazowy krok konfiguracji.

Co należy monitorować W centrum administracyjnym Co należy przejrzeć Więcej informacji
Stan skryptu Urządzeń>Według platformy>Windows>Zarządzanie urządzeniami>Skrypty i korygowania>Skrypty platformy Wybieranie skryptu >Stan urządzenia
Stan instalacji aplikacji Aplikacje>Windows>Aplikacje systemu Windows Wybierz aplikację >Stan instalacji urządzenia lub Stan instalacji użytkownika Rozwiązywanie problemów z instalacjami aplikacji
Punkty odniesienia zabezpieczeń Monitorowanie punktów odniesienia zabezpieczeń w Intune
Szyfrowanie dysków (BitLocker) Zabezpieczenia> punktu końcowegoSzyfrowanie dysków Wybierz zasady > funkcji BitLocker Stan instalacji urządzenia. Klucze odzyskiwania: urządzenia z> systememWindows> wybierają klucze odzyskiwania urządzenia >
pierścienie Windows Update Urządzeń>Zarządzanie aktualizacjami>Windows 10 i nowsze aktualizacje>pierścieni aktualizacji Wybierz pierścień >Stan urządzenia Raporty dotyczące pierścieni aktualizacji
Zgodności Urządzeń>Zgodności Wybierz zasady, aby wyświetlić wyniki przypisania, niezgodne urządzenia i błędy dotyczące ustawień Monitorowanie zasad zgodności
Analiza punktów końcowych Raporty>Analiza punktów końcowych Wydajność uruchamiania, niezawodność aplikacji i proaktywne korygowanie całej floty Omówienie analizy punktów końcowych · raporty Intune

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

  1. Omówienie: Co to są punkty końcowe natywne dla chmury?
  2. 🡺 Samouczek: konfigurowanie punktów końcowych systemu Windows natywnych dla chmury przy użyciu Microsoft Intune (jesteś tutaj)
  3. Koncepcja: przyłączone Microsoft Entra a przyłączone Microsoft Entra hybrydowe
  4. Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
  5. Przewodnik planowania wysokiego poziomu
  6. Znane problemy i ważne informacje

Często zadawane pytania

Co to jest natywny dla chmury punkt końcowy systemu Windows?

Natywny dla chmury punkt końcowy systemu Windows to urządzenie z systemem Windows, które jest Microsoft Entra przyłączone i zarejestrowane w Microsoft Intune — bez zależności od lokalna usługa Active Directory, zasady grupy lub kontrolerów domeny. Wszystkie wdrożenia konfiguracji, zabezpieczeń i aplikacji są zarządzane z chmury przy użyciu Microsoft Intune i rozwiązania Windows Autopilot.

Jaka jest różnica między Microsoft Entra natywne dla chmury i hybrydowe?

Urządzenie przyłączone do hybrydowego Microsoft Entra jest przyłączone zarówno do lokalna usługa Active Directory, jak i do Microsoft Entra. Nadal zależy to od kontrolerów domeny na potrzeby uwierzytelniania i zasady grupy konfiguracji. Urządzenie natywne dla chmury (tylko Microsoft Entra przyłączone) nie ma zależności lokalnej — tożsamość, zasady i aplikacje pochodzą z chmury. Aby uzyskać szczegółowe porównanie, zobacz przyłączone Microsoft Entra a przyłączone Microsoft Entra hybrydowe.

Czy potrzebuję Windows 11 dla punktów końcowych natywnych dla chmury?

L.p. System Windows natywny dla chmury współpracuje z systemem Windows 10 22H2 lub nowszym. Firma Microsoft zaleca Windows 11 w celu zapewnienia najlepszego środowiska rozwiązania Windows Autopilot, Windows Hello dla firm i nowoczesnych funkcji zabezpieczeń.

Czy mogę przenieść istniejące urządzenia przyłączone do domeny do urządzeń natywnych dla chmury?

Tak, ale firma Microsoft zaleca wykonanie tego podczas następnego odświeżania sprzętu zamiast ponownej aprowizacji całej floty. System Windows natywny dla chmury zapewnia pełne korzyści dzięki czystemu uruchomieniu OOBE. W przypadku urządzeń, na które nie można się doczekać odświeżania, zobacz Handle existing devices in Phase 5 ( Obsługa istniejących urządzeń w fazie 5).

Czy system Windows natywny dla chmury współpracuje z zasobami lokalnymi, takimi jak udziały plików i drukarki?

Tak, z pewnym planowaniem. Urządzenia natywne dla chmury mogą uzyskiwać dostęp do zasobów lokalnych za pośrednictwem sieci VPN lub za pośrednictwem serwera proxy aplikacji Microsoft Entra. W przypadku magazynu plików firma Microsoft zaleca migrację do usług OneDrive i SharePoint. W przypadku drukowania rozważ użycie funkcji Universal Print. Aby uzyskać szczegółowe wskazówki, zobacz Punkty końcowe natywne dla chmury i zasoby lokalne .

Przydatne zasoby online

  • Last updated on