Udostępnij za pośrednictwem

Windows 10/11 in cloud configuration step by step setup guide (Konfiguracja systemu Windows 10/11 w chmurze — przewodnik krok po kroku)

  • Artykuł

Konfiguracja systemu Windows 10/11 w chmurze (konfiguracja chmury) to konfiguracja urządzenia dla urządzeń klienckich z systemem Windows. Została ona zaprojektowana w celu uproszczenia środowiska użytkownika końcowego. Aby uzyskać więcej informacji na temat konfiguracji chmury, w tym minimalne wymagania, przejdź do artykułu Omówienie scenariusza z przewodnikiem konfiguracji chmury systemu Windows.

W przypadku konfiguracji w chmurze zasady usługi Microsoft Intune umożliwiają przekształcenie urządzenia klienckiego z systemem Windows w urządzenie zoptymalizowane pod kątem chmury. Konfiguracja systemu Windows 10/11 w chmurze:

  • Optymalizuje urządzenia pod kątem chmury, konfigurując je tak, aby rejestrowały się w usłudze Intune za pomocą usługi Microsoft Entra. Dane użytkownika są automatycznie przechowywane w usłudze OneDrive ze skonfigurowanym przenoszeniem znanych folderów .

  • Instaluje aplikacje Microsoft Teams i Microsoft Edge na urządzeniach.

  • Konfiguruje użytkowników końcowych jako użytkowników standardowych na urządzeniach, zapewniając it większą kontrolę nad aplikacjami zainstalowanymi na urządzeniach.

  • Usuwa wbudowane aplikacje i aplikację ze Sklepu Microsoft, co upraszcza środowisko użytkownika końcowego.

  • Stosuje ustawienia zabezpieczeń punktu końcowego i zasady zgodności. Te zasady ułatwiają zabezpieczanie urządzeń i ułatwiają IT monitorowanie kondycji urządzeń.

  • Zapewnia, że urządzenia są automatycznie aktualizowane za pośrednictwem usługi Windows Update dla firm.

  • Opcjonalnie można również:

    • Dodaj inne aplikacje platformy Microsoft 365, takie jak Outlook, Word, Excel, PowerPoint.
    • Dodaj podstawowe aplikacje biznesowe, które użytkownicy końcowi muszą odnieść sukces. Firma Microsoft zaleca, aby te aplikacje były minimalne, aby zachować prostotę konfiguracji.
    • Dodaj podstawowe zasoby, takie jak profile Wi-Fi, połączenia sieci VPN, certyfikaty i sterowniki drukarek, które są niezbędne dla przepływów pracy użytkowników.

Porada

Aby zapoznać się z omówieniem konfiguracji systemu Windows 10/11 w chmurze i jej zastosowań, przejdź do pozycji Windows 10/11 w konfiguracji chmury.

Istnieją dwa sposoby wdrażania konfiguracji chmury:

  • Opcja 1 — automatyczne: użyj scenariusza z przewodnikiem, aby automatycznie utworzyć wszystkie grupy i zasady ze skonfigurowanymi wartościami. Aby uzyskać więcej informacji na temat tej opcji, przejdź do artykułu Omówienie scenariusza z przewodnikiem konfiguracji chmury systemu Windows.
  • Opcja 2 — ręczne (ten artykuł): wykonaj kroki opisane w tym artykule, aby samodzielnie wdrożyć konfigurację chmury.

Ten przewodnik ułatwia tworzenie własnego wdrożenia konfiguracji chmury. W poniższych sekcjach opisano sposób konfigurowania konfiguracji chmury za pomocą usługi Microsoft Intune:

  1. Tworzenie grupy Microsoft Entra
  2. Konfigurowanie rejestracji urządzeń
  3. Wdrażanie skryptu w celu skonfigurowania znanego przenoszenia folderów i usuwania wbudowanych aplikacji
  4. Wdrażanie aplikacji
  5. Wdrażanie ustawień zabezpieczeń punktu końcowego
  6. Konfigurowanie ustawień usługi Windows Update
  7. Wdrażanie zasad zgodności systemu Windows
  8. Konfiguracje opcjonalne

Krok 1. Tworzenie grupy Microsoft Entra

Pierwszym krokiem jest utworzenie grupy zabezpieczeń Microsoft Entra, która odbiera wdrażane konfiguracje.

Ta dedykowana grupa ułatwia organizowanie urządzeń i zarządzanie zasobami konfiguracji chmury w usłudze Intune. Firma Microsoft zaleca wdrożenie tylko konfiguracji w tym przewodniku. Następnie, w razie potrzeby, dodaj bardziej istotne aplikacje i inne konfiguracje urządzeń.

Aby utworzyć grupę, wykonaj następujące kroki:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Grupy>Wszystkie grupy>Nowa grupa.

  3. W polu Typ grupy wybierz pozycję Zabezpieczenia.

  4. Wprowadź nazwę grupy, na przykład Cloud config PCs.

  5. W polu Typ członkostwa wybierz pozycję Przypisano.

  6. Jeśli chcesz, możesz teraz dodać urządzenia do nowej grupy. Wybierz pozycję Nie wybrano członków i dodaj członków do grupy.

    Możesz również zacząć od pustej grupy i dodać urządzenia później.

  7. Wybierz pozycję Utwórz.

Porada

Po utworzeniu grupy można dodać do tej grupy wstępnie zarejestrowane urządzenia z rozwiązaniem Windows Autopilot.

Istniejące urządzenia

Jeśli masz istniejące urządzenia zarejestrowane w usłudze Intune, których chcesz używać z konfiguracją w chmurze, zaleca się rozpoczęcie od nowa od tych urządzeń. Konkretnie:

  • Usuń istniejące aplikacje i profile wdrożone na tych urządzeniach.
  • Zresetuj te urządzenia.
  • Ponownie zarejestruj urządzenie w usłudze Intune i wdróż konfigurację chmury.

Te dodatkowe kroki są zalecane w przypadku istniejących urządzeń, ponieważ zapewniają one usprawnione środowisko użytkownika. Następnie możesz dodać inne podstawowe aplikacje i upewnić się, że urządzenia mają tylko to, czego potrzebują użytkownicy.

Krok 2. Konfigurowanie rejestracji urządzeń

W tym kroku włączysz automatyczną rejestrację mdm w usłudze Intune i skonfigurujesz sposób rejestrowania urządzeń w usłudze Intune.

Jeśli korzystasz już z rozwiązania Windows Autopilot, pomiń ten krok i przejdź do kroku 3 — wdrażanie skryptu w celu skonfigurowania znanego przenoszenia folderów i usuwania wbudowanych aplikacji (w tym artykule).

✅ 1 — Włączanie rejestracji automatycznej

Włącz automatyczną rejestrację dla użytkowników organizacji, którzy mają korzystać z konfiguracji chmury. Automatyczna rejestracja jest wymagana w przypadku konfiguracji w chmurze. Aby uzyskać więcej informacji na temat automatycznej rejestracji, przejdź do przewodnika rejestracji — automatyczna rejestracja systemu Windows.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy> Rejestracjaautomatycznarejestracji> urządzeńz systemem>Windows>.

  3. W obszarze Zakres użytkownika rozwiązania MDM wybierz jedną z następujących opcji:

    • Wybierz pozycję Wszystkie , aby zastosować konfigurację chmury do wszystkich urządzeń z systemem Windows używanych przez użytkowników w organizacji. W większości scenariuszy konfiguracji chmury wybrano pozycję Wszystkie .
    • Wybierz pozycję Niektóre , aby zastosować konfigurację chmury do urządzeń używanych przez podzestaw użytkowników w organizacji. Jeśli chcesz zastosować konfigurację chmury w podejściu etapowym , to niektóre mogą być dobrym wyborem.

  4. Nie konfiguruj zakresu użytkownika mam, warunków zarządzania aplikacjami mobilnymi adresu URL użytkownika, adresu URL odnajdywania mdm i ustawień adresu URL zgodności zarządzania aplikacjami mobilnymi. Pozostaw te ustawienia puste. Ustawienia zarządzania aplikacjami mobilnymi nie są konfigurowane dla konfiguracji chmury.

  5. Wybierz opcję Zapisz, aby zapisać zmiany.

✅ 2 — Wybieranie sposobu rejestrowania i konfigurowania użytkowników na urządzeniach jako użytkowników standardowych

Po włączeniu automatycznej rejestracji systemu Windows w usłudze Intune następnym krokiem jest określenie sposobu rejestrowania urządzeń w usłudze Intune. Po zarejestrowaniu są one dostępne do odbierania zasad konfiguracji chmury. Należy również skonfigurować użytkowników, aby na ich urządzeniach mogli być użytkownikami standardowymi. Użytkownicy standardowi mogą instalować tylko aplikacje zatwierdzane przez organizację.

W przypadku rejestracji dostępne są trzy opcje. Wybierz jedną opcję rejestracji.

  • Korzystanie z rozwiązania Windows Autopilot (zalecane)
  • Rejestrowanie zbiorcze przy użyciu pakietu aprowizacji
  • Użyj identyfikatora Microsoft Entra w środowisku out-of-box (OOBE)

Ta sekcja zawiera więcej informacji na temat tych opcji rejestracji i konfigurowania użytkowników jako użytkowników standardowych na ich urządzeniach.

Zaleca się korzystanie z rejestracji rozwiązania Windows Autopilot i strony ze stanem rejestracji (ESP). Ta metoda rejestracji i esp zapewniają spójne środowisko użytkownika końcowego.

  • Urządzenia należy wstępnie zarejestrować za pomocą usługi wdrażania rozwiązania Windows Autopilot. Dzięki rozwiązaniu Windows Autopilot administratorzy konfigurują sposób uruchamiania i rejestrowania urządzeń w zarządzaniu urządzeniami.
  • Zasady rozwiązania Windows Autopilot w usłudze Intune konfigurują wbudowane środowisko (OOBE). W obszarze OOBE wybierasz użytkowników, którzy mają być użytkownikami standardowymi.
  • Zasady rozwiązania Windows Autopilot w usłudze Intune konfigurują stronę ze stanem rejestracji (ESP). Esp pokazuje postęp konfiguracji. Użytkownicy pozostają na serwerze ESP do momentu zastosowania wszystkich ustawień konfiguracji chmury do urządzenia.

Aby skonfigurować rejestrację opartą na użytkownikach rozwiązania Windows Autopilot, wykonaj następujące kroki:

  1. Dodaj urządzenia do rozwiązania Windows Autopilot.

    Zarejestruj swoje urządzenia w rozwiązaniu Windows Autopilot, wykonując kroki opisane w kroku 3 — rejestrowanie urządzeń w rozwiązaniu Windows Autopilot (otwiera artykuł dotyczący rozwiązania Windows Autopilot).

    Uwaga

    Artykuł Krok 3 — rejestrowanie urządzeń w rozwiązaniu Windows Autopilot rozwiązania Windows Autopilot jest częścią serii kroków. W przypadku tej konfiguracji chmury postępuj zgodnie z instrukcjami krok 3 — rejestrowanie urządzeń w rozwiązaniu Windows Autopilot w celu zarejestrowania urządzeń. Nie postępuj zgodnie z innymi krokami w serii. Inne kroki w tej serii rozwiązania Windows Autopilot dotyczą innego scenariusza rozwiązania Windows Autopilot.

    Możesz również ręcznie zarejestrować urządzenia, aby korzystać z rozwiązania Windows Autopilot. Ręczne rejestrowanie urządzeń jest często używane do zmiany przeznaczenia istniejącego sprzętu, który nie został wcześniej skonfigurowany przy użyciu rozwiązania Windows Autopilot.

  2. Utwórz i przypisz profil wdrożenia rozwiązania Windows Autopilot w usłudze Intune.

    1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

    2. Wybierz pozycję Urządzenia>według platformy>Rejestrowanie urządzeń z systememWindows> Podczas dołączania>>profilów wdrażania programu >wdrażania rozwiązania Windows Autopilot.

    3. Wybierz pozycję Utwórz profilkomputera z systemem> Windows. Wprowadź nazwę profilu.

    4. W przypadku ustawienia Konwertuj wszystkie urządzenia docelowe na rozwiązanie Autopilot wybierz pozycję Tak. Wybierz pozycję Dalej.

      Konfigurację chmury można zastosować do urządzeń zarejestrowanych przy użyciu metod rejestracji innych niż Windows Autopilot. Po dodaniu tych urządzeń (urządzeń innych niż Windows Autopilot) do grupy urządzenia zostaną przekonwertowane na rozwiązanie Windows Autopilot. Następnym razem, gdy urządzenia zostaną zresetowane i przejdą przez środowisko OOBE (Out-of-Box Experience) systemu Windows, zarejestrują się za pośrednictwem rozwiązania Windows Autopilot.

    5. Na karcie Środowisko out-of-box (OOBE) wprowadź następujące wartości, a następnie wybierz pozycję Dalej:

      Ustawienie Value
      Tryb wdrażania Sterowane przez użytkownika
      Dołącz do identyfikatora Microsoft Entra jako Dołączono do aplikacji Microsoft Entra
      Postanowienia licencyjne dotyczące oprogramowania firmy Microsoft Ukrywać
      Ustawienia prywatności Ukrywać
      Ukryj opcje zmiany konta Ukrywać
      Typ konta użytkownika Standardowy
      Zezwalaj na wdrożenie wstępnie aprowizowane Nie
      Język (region) Domyślne ustawienie systemu operacyjnego
      Automatyczne konfigurowanie klawiatury Tak
      Stosowanie szablonu nazwy urządzenia Fakultatywny. Możesz zastosować szablon nazwy urządzenia. Użyj prefiksu nazwy, który może ułatwić identyfikację urządzeń konfiguracji w chmurze, takich jak Cloud-%SERIAL%.'

    6. Przypisz profil do grupy utworzonej w kroku 1 — utwórz grupę Microsoft Entra (w tym artykule), a następnie wybierz pozycję Dalej.

    7. Przejrzyj nowy profil, a następnie wybierz pozycję Utwórz.

  3. Utwórz i przypisz stronę stanu rejestracji w usłudze Intune.

    1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

    2. Wybierz pozycję Urządzenia>według platformy> Stronaogólnego>stanu rejestracji urządzeńz systemem Windows Dołączanieurządzenia> z systemem >Windows>.

    3. Wybierz pozycję Utwórz i wprowadź nazwę strony ze stanem rejestracji.

    4. Na karcie Ustawienia wprowadź następujące wartości, a następnie wybierz pozycję Dalej:

      Ustawienie Value
      Pokaż proces konfiguracji aplikacji i profilu Tak
      Wyświetl błąd, gdy instalacja trwa dłużej niż określona liczba minut 60
      Pokaż komunikat niestandardowy, gdy wystąpi błąd limitu czasu Tak — możesz również zmienić domyślny komunikat.
      Zezwalaj użytkownikom na zbieranie dzienników dotyczących błędów instalacji Tak
      Blokuj użytkownika urządzenia, dopóki nie zostaną zainstalowane wszystkie aplikacje i profile Tak
      Zezwalaj użytkownikom na resetowanie urządzenia w przypadku wystąpienia błędu instalacji Tak
      Zezwalaj użytkownikom na korzystanie z urządzenia w przypadku wystąpienia błędu instalacji Nie
      Blokuj użytkownika urządzenia, dopóki te wymagane aplikacje nie zostaną zainstalowane, jeśli zostaną przypisane do użytkownika/urządzenia Wszystkie

      Uwaga

      Jeśli wystąpi błąd instalacji, zaleca się zablokowanie użytkownikom korzystania z urządzenia. Blokowanie użytkowników zapewnia, że mogą oni rozpocząć korzystanie z urządzenia dopiero po pełnym zastosowaniu konfiguracji chmury.

      Jeśli wystąpi błąd instalacji w zależności od potrzeb wdrożenia, możesz zezwolić użytkownikowi na korzystanie z urządzenia. Jeśli zezwolisz na korzystanie z urządzenia, podczas zaewidencjonowania urządzenia w usłudze Intune usługa Intune będzie nadal próbować zastosować konfiguracje.

    5. W obszarze Przypisania przypisz stronę Stan rejestracji do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

      Wybierz pozycję Dalej.

    6. Wybierz pozycję Utwórz , aby utworzyć i przypisać stronę ze stanem rejestracji.

Opcja rejestracji 2: rejestracja zbiorcza przy użyciu pakietu aprowizacji

Urządzenia można zarejestrować przy użyciu pakietu aprowizacji utworzonego przy użyciu projektanta konfiguracji systemu Windows lub aplikacji Konfigurowanie komputerów szkolnych .

Aby uzyskać więcej informacji na temat rejestracji zbiorczej, przejdź do pozycji Rejestracja zbiorcza dla urządzeń z systemem Windows.

Z rejestracją zbiorczą:

  • Po zarejestrowaniu urządzeń w usłudze Intune należy dodać je do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule). Po dodaniu ich do grupy otrzymują konfigurację chmury.
  • Wszyscy użytkownicy są automatycznie standardowymi użytkownikami na urządzeniu.
  • Nie ma strony ze stanem rejestracji. Użytkownicy nie mogą wyświetlać postępu w miarę stosowania wszystkich ustawień konfiguracji chmury. Użytkownicy mogą rozpocząć korzystanie z urządzenia, zanim konfiguracja chmury zostanie w pełni zastosowana.
  • Przed dystrybucją urządzeń do użytkowników firma Microsoft zaleca sprawdzenie, czy ustawienia i aplikacje znajdują się na urządzeniach.

Opcja rejestracji 3: Rejestrowanie przy użyciu identyfikatora Entra firmy Microsoft w środowisku out-of-box (OOBE)

Po włączeniu automatycznej rejestracji mdm w usłudze Intune podczas OOBE użytkownicy logują się przy użyciu kont Microsoft Entra. Po zalogowaniu rejestracja jest uruchamiana automatycznie.

Ta opcja rejestracji obejmuje następujące elementy:

  1. Skonfiguruj profil niestandardowy usługi Microsoft Intune, aby ograniczyć administratorów lokalnych na urządzeniach. Dostawca CSP zasad zawiera przykładowy kod XML definicji zasad, którego można użyć w profilu niestandardowym.

    Porada

    W tym profilu niestandardowym istnieje inne ustawienie, które dodaje grupę, która może być administratorami lokalnymi na urządzeniu. Ta lokalna grupa administratorów powinna obejmować tylko administratorów IT w twoim środowisku.

  2. Przypisz profil niestandardowy do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 3. Konfigurowanie przenoszenia znanego folderu w usłudze OneDrive i wdrażania skryptu w celu usunięcia wbudowanych aplikacji

Podczas konfigurowania funkcji Przenoszenie znanych folderów w usłudze OneDrive pliki użytkownika i dane są automatycznie zapisywane w usłudze OneDrive. Po usunięciu wbudowanych aplikacji systemu Windows i sklepu Microsoft Store menu Start i środowisko urządzenia są uproszczone.

Ten krok pomaga uprościć środowisko użytkownika systemu Windows.

✅ 1 — Konfigurowanie przenoszenia znanego folderu w usłudze OneDrive za pomocą szablonu administracyjnego

W przypadku przenoszenia znanych folderów dane użytkowników (pliki i foldery) są zapisywane w usłudze OneDrive. Gdy użytkownicy logują się do innego urządzenia, usługa OneDrive automatycznie synchronizuje dane z nowym urządzeniem. Użytkownicy nie muszą ręcznie przenosić swoich plików.

Uwaga

Ze względu na problem z synchronizacją z konfiguracją przenoszenia znanych folderów w usłudze OneDrive i konfiguracji sharedPC firma Microsoft nie zaleca używania systemu Windows w konfiguracji w chmurze z urządzeniem, na którym loguje się i wylogowuje wielu użytkowników.

Aby skonfigurować przenoszenie znanych folderów, użyj szablonu ADMX w usłudze Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.

  3. Wybierz pozycję Windows 10 i nowsze dla platformy i wybierz pozycję Szablony dla typu profilu.

  4. Wybierz pozycję Szablony administracyjne i wybierz pozycję Utwórz.

  5. Wprowadź nazwę profilu i wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracji wyszukaj ustawienia w poniższej tabeli i wybierz zalecane wartości:

    Nazwa ustawienia Value
    Dyskretne przenoszenie znanych folderów systemu Windows do identyfikatora dzierżawy z obsługą usługi OneDrive Wprowadź identyfikator dzierżawy organizacji.

    Identyfikator dzierżawy jest wyświetlany na stronie> Właściwości centrum administracyjnego > Microsoft Entraidentyfikator dzierżawy.
    Pokaż powiadomienia użytkownikom po przekierowaniu folderów Tak. Możesz również ukryć powiadomienie.
    Dyskretne logowanie użytkowników do aplikacji synchronizacji usługi OneDrive przy użyciu poświadczeń systemu Windows Włączone
    Uniemożliwianie użytkownikom przenoszenia znanych folderów systemu Windows do usługi OneDrive Włączone
    Uniemożliwiaj użytkownikom przekierowywanie znanych folderów systemu Windows do komputera Włączone
    Używanie plików usługi OneDrive na żądanie Włączone

  7. Przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ 2 — Wdrażanie skryptu w celu usunięcia wbudowanych aplikacji

Firma Microsoft utworzyła skrypt programu Windows PowerShell, który:

  • Usuwa wbudowane aplikacje z urządzeń.
  • Usuwa aplikację ze sklepu Microsoft Store z urządzeń.

Skrypt jest wdrażany na urządzeniach korzystających z usługi Intune. Aby dodać i wdrożyć skrypt, wykonaj następujące kroki:

  1. Pobierz skrypt usuwania aplikacji programu PowerShell w oknie konfiguracji chmury. Ten skrypt usuwa aplikację ze Sklepu Microsoft i wbudowane aplikacje.

    Uwaga

    Jeśli chcesz zachować aplikację ze Sklepu Microsoft na urządzeniach, możesz użyć skryptu, który usuwa wbudowane aplikacje, ale zamiast tego przechowuje sklep Microsoft Store . Aby użyć tego skryptu, pobierz go zamiast niego i wykonaj te same kroki. Ten skrypt próbuje usunąć wbudowane aplikacje, ale może nie usunąć wszystkich z nich. Może być konieczne zmodyfikowanie skryptu w celu usunięcia wszystkich wbudowanych aplikacji na urządzeniach.

  2. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  3. Wybierz pozycję Urządzenia>według platformy>Zarządzanie>urządzeniami Zarządzanie urządzeniami>Skrypty i korygowanieKarta Skrypty>> platformy Dodaj.

  4. W obszarze Podstawy wprowadź nazwę zasad skryptu i wybierz pozycję Dalej.

  5. W obszarze Ustawienia skryptu przekaż pobrany skrypt. Pozostaw inne ustawienia bez zmian i wybierz przycisk Dalej.

  6. Przypisz skrypt do grupy utworzonej w kroku 1 — tworzenie grupy Entra firmy Microsoft (w tym artykule).

Aplikacja ze Sklepu Microsoft

Jeśli aplikacja ze Sklepu Microsoft została wcześniej usunięta, możesz ją ponownie wdrożyć przy użyciu usługi Microsoft Intune. Aby ponownie dodać aplikację ze Sklepu Microsoft (lub dowolne inne aplikacje, które chcesz ponownie dodać), dodaj aplikację ze Sklepu Microsoft do repozytorium aplikacji organizacji prywatnej. Następnie wdróż aplikację na urządzeniach przy użyciu usługi Intune. Aplikacja ze Sklepu Microsoft pomaga aktualizować aplikacje.

Repozytorium aplikacji organizacji prywatnej może być następujące:

Korzystając z usługi Intune, na urządzeniach z systemem Windows 10/11 Enterprise i Education możesz zablokować użytkownikom końcowym możliwość instalowania aplikacji ze Sklepu Microsoft poza repozytorium aplikacji prywatnych organizacji.

Aby zapobiec tym aplikacjom zewnętrznym, wykonaj następujące kroki:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.

  3. Wybierz pozycję Windows 10 i nowsze dla platformy i wybierz pozycję Katalog ustawień dla typu profilu. Wybierz pozycję Utwórz.

  4. W obszarze Podstawy wprowadź nazwę profilu.

  5. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia. Wtedy:

    1. W selektorze ustawień wyszukaj ciąg private store. W wynikach wyszukiwania w kategorii Microsoft App Store wybierz pozycję Wymagaj tylko sklepu prywatnego.
    2. Ustaw ustawienie Wymagaj tylko magazynu prywatnego na wartość Tylko magazyn prywatny jest włączony.
    3. Wybierz pozycję Dalej.

  6. W obszarze Przypisania przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

  7. W obszarze Przeglądanie i tworzenie przejrzyj swój profil i wybierz pozycję Utwórz.

Krok 4. Wdrażanie aplikacji

Ten krok umożliwia wdrożenie przeglądarki Microsoft Edge i usługi Microsoft Teams. W tym kroku możesz wdrożyć inne podstawowe aplikacje. Pamiętaj, że wdrażaj tylko to, czego potrzebują użytkownicy.

✅ 1 — Wdrażanie przeglądarki Microsoft Edge

  1. Dodaj przeglądarkę Microsoft Edge do usługi Intune.
  2. W obszarze Ustawienia aplikacji wybierz pozycję Stabilny kanał.
  3. Przypisz aplikację Microsoft Edge do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ 2 — Wdrażanie usługi Microsoft Teams

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Aplikacje>systemu Windows.

  3. Wybierz pozycję Dodaj , aby utworzyć nową aplikację.

  4. W obszarze Aplikacje platformy Microsoft 365 wybierz pozycję Windows 10 i nowsze>pozycje Wybierz.

  5. W polu Nazwa pakietu wprowadź nazwę lub użyj sugerowanej nazwy. Wybierz pozycję Dalej.

  6. W obszarze Konfigurowanie pakietu aplikacji wybierz tylko pozycję Teams.

    Jeśli chcesz wdrożyć inne aplikacje platformy Microsoft 365, wybierz je z tej listy. Pamiętaj, że wdrażaj tylko to, czego potrzebują użytkownicy.

    Porada

    Nie musisz wybierać usługi OneDrive. Usługa OneDrive jest wbudowana w systemy Windows 10/11 Pro, Enterprise i Education.

  7. W przypadku informacji o pakiecie aplikacji skonfiguruj następujące ustawienia:

    Ustawienie Value
    Architektura 64-bitowe

    Konfiguracja chmury działa również z 32-bitową konfiguracją. Firma Microsoft zaleca wybranie wersji 64-bitowej.
    Aktualizowanie kanału Bieżący kanał
    Usuwanie innych wersji Tak
    Wersja do zainstalowania Najnowszy

  8. W obszarze Właściwości skonfiguruj następujące ustawienia:

    Ustawienie Value
    Używanie aktywacji komputera udostępnionego Tak
    Akceptowanie postanowień licencyjnych dotyczących oprogramowania firmy Microsoft w imieniu użytkowników Tak

  9. Wybierz pozycję Dalej.

  10. Przypisz pakiet do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 5. Wdrażanie ustawień zabezpieczeń punktu końcowego

Ten krok umożliwia skonfigurowanie ustawień zabezpieczeń punktu końcowego w celu zapewnienia bezpieczeństwa urządzeń, w tym wbudowanego punktu odniesienia zabezpieczeń systemu Windows i ustawień funkcji BitLocker.

✅ 1 — Wdrażanie punktu odniesienia zabezpieczeń mdm systemu Windows 10/11

W przypadku konfiguracji systemu Windows w chmurze zaleca się użycie punktu odniesienia zabezpieczeń systemu Windows 10/11. Istnieją pewne wartości ustawień, które można zmienić w zależności od preferencji organizacji.

Skonfiguruj punkt odniesienia zabezpieczeń w usłudze Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęPunkty odniesienia zabezpieczeń>punktu końcowegoPunktodniesienia zabezpieczeń Punkt odniesienia zabezpieczeń dla systemu Windows 10 lub nowszego.>

  3. Wybierz pozycję Utwórz profil , aby utworzyć nowy punkt odniesienia zabezpieczeń.

  4. Wprowadź nazwę punktu odniesienia zabezpieczeń i wybierz pozycję Dalej.

  5. Zaakceptuj domyślne ustawienia konfiguracji. Możesz też zmienić następujące ustawienia w zależności od potrzeb organizacji:

    Ustawianie kategorii Ustawienie Powód zmiany
    Przeglądarka Blokuj menedżera haseł Jeśli chcesz zezwolić użytkownikom końcowym na korzystanie z menedżerów haseł, wyłącz to ustawienie.
    Pomoc zdalna Pomoc zdalna na żądanie To ustawienie umożliwia pracownikom pomocy technicznej zdalne łączenie się z urządzeniami. Firma Microsoft zaleca wyłączenie tego ustawienia, chyba że jest to wymagane.
    Zapora Wszystkie ustawienia zapory Jeśli chcesz zezwolić na określone połączenia z urządzeniami w zależności od potrzeb organizacji, zmień domyślne ustawienia zapory.

    Wybierz pozycję Dalej.

  6. W obszarze Przypisania wybierz grupę utworzoną w kroku 1 — tworzenie grupy Entra firmy Microsoft (w tym artykule).

  7. Wybierz pozycję Utwórz , aby utworzyć i przypisać punkt odniesienia.

✅ 2 — Wdrażanie większej liczby ustawień funkcji BitLocker przy użyciu profilu zabezpieczeń punktu końcowego szyfrowania dysku

Istnieje więcej ustawień funkcji BitLocker, które pomagają zapewnić bezpieczeństwo urządzeń. Skonfiguruj następujące ustawienia funkcji BitLocker w usłudze Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Zabezpieczenia punktu końcowego>Szyfrowanie> dyskówUtwórz zasady.

  3. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.

  4. W obszarze Profil wybierz pozycję Utwórz funkcję BitLocker>.

  5. W obszarze Podstawy wprowadź nazwę profilu.

  6. W obszarze Ustawienia konfiguracji wybierz następujące ustawienia:

    Ustawianie kategorii Ustawienie Value
    BitLocker — ustawienia podstawowe Włączanie pełnego szyfrowania dysków dla systemów operacyjnych i stałych dysków danych Tak
         
    BitLocker — stałe ustawienia dysku Zasady dysków stałych funkcji BitLocker Konfiguruj
      Blokuj dostęp do zapisu na stałych dyskach danych, które nie są chronione przez funkcję BitLocker Tak
      Konfigurowanie metody szyfrowania dla stałych dysków danych AES 128-bitowy XTS
         
    BitLocker — ustawienia dysku systemu operacyjnego Zasady dysków systemowych funkcji BitLocker Konfiguruj
      Wymagane jest uwierzytelnianie uruchamiania Tak
      Uruchamianie zgodnego modułu TPM Dozwolone
      Numer PIN uruchamiania zgodnego modułu TPM Dozwolone
      Zgodny klucz uruchamiania modułu TPM Wymagany
      Zgodny klucz startowy modułu TPM i numer PIN Dozwolone
      Wyłączanie funkcji BitLocker na urządzeniach, na których moduł TPM jest niezgodny Tak
      Konfigurowanie metody szyfrowania dla dysków systemu operacyjnego AES 128-bitowy XTS
         
    BitLocker — ustawienia dysku wymiennego Zasady dysków wymiennych funkcji BitLocker Konfiguruj
      Konfigurowanie metody szyfrowania dla wymiennych dysków danych AES 128bit CBC
      Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker Tak

  7. W obszarze Przypisania przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

  8. Wybierz pozycję Utwórz , aby utworzyć i przypisać profil.

Krok 6. Konfigurowanie ustawień usługi Windows Update

W tym kroku jest używany pierścień usługi Windows Update do automatycznego aktualizowania urządzeń. Ustawienia w tym przewodniku są zgodne z zalecanymi ustawieniami w punkcie odniesienia usługi Windows Update.

Skonfiguruj pierścień aktualizacji w usłudze Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Zarządzaj aktualizacjami>Systemu Windows 10 i nowszych aktualizacji Na karcie>Pierścienie> aktualizacji Utwórz profil.

  3. W obszarze Podstawy wprowadź nazwę pierścienia aktualizacji.

  4. W obszarze Ustawienia pierścienia aktualizacji skonfiguruj następujące wartości i wybierz pozycję Dalej:

    Ustawienie Value
    Kanał obsługi Półroczny kanał
    Aktualizacje produktów firmy Microsoft Zezwalaj
    Sterowniki systemu Windows Zezwalaj
    Okres odroczenia aktualizacji jakości (dni) 0
    Okres odroczenia aktualizacji funkcji (dni) 0
    Ustawianie okresu odinstalowywania aktualizacji funkcji 10
    Zachowanie automatycznej aktualizacji Resetuj do wartości domyślnej
    Ponowne uruchamianie testów Zezwalaj
    Opcja wstrzymania aktualizacji systemu Windows Umożliwiać
    Opcja sprawdzania dostępności aktualizacji systemu Windows Umożliwiać
    Wymagaj zatwierdzenia przez użytkownika w celu odrzucenia powiadomienia o ponownym uruchomieniu Nie
    Przypominanie użytkownikowi przed wymaganym automatycznym ponownym uruchomieniem przy użyciu przypomnienia z możliwością odrzucenia (godziny) Pozostaw to ustawienie nieskonfigurowane
    Przypominanie użytkownikowi o konieczności automatycznego ponownego uruchamiania przy użyciu przypomnienia trwałego (w minutach) Pozostaw to ustawienie nieskonfigurowane
    Zmienianie poziomu aktualizacji powiadomień Używanie domyślnych powiadomień usługi Windows Update
    Używanie ustawień terminu ostatecznego Zezwalaj
    Ostateczny termin aktualizacji funkcji 7
    Ostateczny termin aktualizacji jakości 2
    Ulgowe 2
    Automatyczny ponowny rozruch przed upływem terminu ostatecznego Tak

  5. Przypisz pierścień aktualizacji do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 7. Wdrażanie zasad zgodności systemu Windows

Skonfiguruj zasady zgodności, aby ułatwić monitorowanie zgodności i kondycji urządzeń. Zasady raportuje niezgodność i nadal zezwalają użytkownikom na korzystanie z urządzeń. Możesz wybrać sposób rozwiązywania problemów z niezgodnością z innymi akcjami opartymi na procesach organizacji.

Utwórz zasady zgodności w usłudze Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęZasady tworzenia zgodności>urządzeń>.

  3. W obszarze Platforma wybierz pozycję Windows 10 i nowsze>pozycje Utwórz.

  4. W obszarze Podstawy wprowadź nazwę zasad zgodności. Wybierz pozycję Dalej.

  5. W obszarze Ustawienia zgodności skonfiguruj następujące wartości, a następnie wybierz pozycję Dalej:

    Ustawianie kategorii Ustawienie Value
    Kondycja urządzenia Wymagaj funkcji BitLocker Wymagać
      Wymagaj włączenia bezpiecznego rozruchu na urządzeniu Wymagać
      Wymagaj integralności kodu Wymagać
         
    Zabezpieczenia systemu Zapora Wymagać
      Program antywirusowy Wymagać
      Oprogramowanie chroniące przed złośliwym oprogramowaniem Wymagać
      Wymagaj hasła do odblokowania urządzeń przenośnych Wymagać
      Proste hasła Blokuj
      Typ hasła Alfanumeryczny
      Minimalna długość hasła 8
      Maksymalna liczba minut braku aktywności przed wymaganiem hasła 1 minuta
      Wygaśnięcie hasła (dni) 41
      Liczba poprzednich haseł, aby zapobiec ponownemu użyciu 5
         
    Defender Microsoft Defender Antimalware Wymagać
      Aktualna analiza zabezpieczeń ochrony przed złośliwym kodem w usłudze Microsoft Defender Wymagać
      Ochrona w czasie rzeczywistym Wymagać

  6. W obszarze Akcje w przypadku niezgodności dla akcji Oznaczanie niezgodności urządzenia skonfiguruj harmonogram (dni po niezgodności) do 1 dnia. Możesz skonfigurować inny okres prolongaty na podstawie preferencji organizacji.

    Jeśli używasz zasad dostępu warunkowego w organizacji, zaleca się skonfigurowanie okresu prolongaty. Okresy prolongaty uniemożliwiają niezgodnym urządzeniom natychmiastowe utratę dostępu do zasobów organizacji.

  7. Możesz dodać akcję do wiadomości e-mail informującej użytkowników o niezgodności z krokami uzyskiwania zgodności.

  8. Przypisz zasady zgodności do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 8 . Konfiguracje opcjonalne

Istnieją opcjonalne zasady, które można tworzyć i wdrażać przy użyciu konfiguracji chmury. W tej sekcji opisano te opcjonalne zasady.

✅ Konfigurowanie nazwy domeny dzierżawy

Skonfiguruj urządzenia tak, aby automatycznie używały nazwy domeny dzierżawy na potrzeby logowania użytkowników. Po dodaniu nazwy domeny użytkownicy nie muszą wpisywać pełnej nazwy UPN, aby się zalogować.

Dodaj nazwę domeny dzierżawy w usłudze Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.
  3. Dla platformy wybierz pozycję Windows 10 i nowsze.
  4. W polu Typ profilu wybierz pozycję Szablony>Ograniczenia> urządzeniaUtwórz.
  5. Wprowadź nazwę profilu i wybierz pozycję Dalej.
  6. W obszarze Ustawienia konfiguracji dla pozycji Hasło skonfiguruj preferowaną domenę dzierżawy Microsoft Entra. Wprowadź nazwę domeny Microsoft Entra, która powinna być używana przez użytkowników do logowania się na urządzeniach.
  7. Przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ Wdrażanie innych podstawowych aplikacji zwiększających produktywność i biznesowych (LOB)

Może istnieć kilka podstawowych aplikacji biznesowych, których potrzebują wszystkie urządzenia. Wybierz minimalną liczbę tych aplikacji do wdrożenia. Jeśli dostarczasz aplikacje przy użyciu rozwiązania wirtualizacji, wdróż również aplikację kliencką wirtualizacji na urządzeniach.

Nie ma żadnych ograniczeń dotyczących liczby lub rozmiaru innych aplikacji, które można wdrożyć z aplikacjami dodanymi do konfiguracji chmury. Firma Microsoft zaleca jednak, aby te inne aplikacje były minimalne w zależności od tego, czego użytkownicy potrzebują do swoich ról. Przypisz te podstawowe aplikacje do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Na niektórych urządzeniach mogą być potrzebne określone aplikacje biznesowe. Mogą też istnieć aplikacje, które mają złożone wymagania dotyczące pakowania lub procedury. W tych scenariuszach rozważ przeniesienie tych aplikacji z wdrożenia konfiguracji chmury. Możesz też zachować urządzenia, które potrzebują tych aplikacji w istniejącym modelu zarządzania systemem Windows.

Konfiguracja chmury jest zalecana dla urządzeń, które potrzebują tylko kilku kluczowych aplikacji, a także współpracy i przeglądania.

✅ Wdrażanie zasobów potrzebnych użytkownikom do uzyskania dostępu do organizacji

Skonfiguruj podstawowe zasoby, których mogą potrzebować użytkownicy, co zależy od procesów organizacji. Podstawowe zasoby mogą obejmować certyfikaty, drukarki, połączenia sieci VPN i profile Wi-Fi.

W usłudze Intune przypisz te zasoby do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ Konfigurowanie zalecanych ustawień dla funkcji Przenoszenie znanych folderów w usłudze OneDrive

Istnieje więcej ustawień, które poprawiają środowisko użytkownika dla funkcji Przenoszenie znanych folderów w usłudze OneDrive. Ustawienia nie są wymagane do działania funkcji Przenoszenie znanego folderu , ale są przydatne.

Aby uzyskać więcej informacji na temat tych ustawień, przejdź do pozycji Ustawienia usługi OneDrive zalecane w przypadku przenoszenia znanego folderu.

✅ Konfigurowanie zalecanych ustawień przeglądarki Microsoft Edge

Istnieją pewne ustawienia aplikacji przeglądarki Microsoft Edge, które można skonfigurować pod kątem lepszego środowiska użytkownika. Te ustawienia można skonfigurować na podstawie wymagań lub preferencji dotyczących środowiska użytkownika końcowego.

Aby skonfigurować te zalecane ustawienia, użyj usługi Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.

  3. Wybierz pozycję Windows 10 lub nowsze , aby wybrać platformę i szablony dla typu profilu.

  4. Wybierz pozycję Szablony administracyjne i wybierz pozycję Utwórz.

  5. Wprowadź nazwę profilu i wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracji wyszukaj następujące ustawienia i skonfiguruj je do zalecanych wartości:

    Ustawianie kategorii Ustawienie Wartości
      Konfigurowanie integracji z programem Internet Explorer Włączone, tryb programu Internet Explorer
       
    Ustawienia filtru SmartScreen Konfigurowanie filtru Microsoft Defender SmartScreen Włączone
      Wymuszanie kontroli filtru Microsoft Defender SmartScreen w przypadku pobierania z zaufanych źródeł Włączone
      Konfigurowanie filtru Microsoft Defender SmartScreen w celu blokowania potencjalnie niechcianych aplikacji Włączone

    Uwaga

    Ustawienia filtru SmartScreen są również wymuszane przez usługę Microsoft Defender. Podczas konfigurowania ustawień filtru SmartScreen za pośrednictwem aplikacji Microsoft Edge przeglądarka Microsoft Edge bezpośrednio wymusza ustawienia.

  7. Przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Monitorowanie stanu konfiguracji chmury

Po zastosowaniu konfiguracji chmury do urządzeń możesz użyć usługi Intune do monitorowania stanu aplikacji i konfiguracji urządzeń.

Stan skryptu

Stan instalacji wdrożonych skryptów można monitorować:

  1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Urządzenia>według platformy> Skryptysystemu Windows> iskrypty platformykorygowania>.
  2. Wybierz wdrożony skrypt.
  3. Na stronie szczegółów skryptu wybierz pozycję Stan urządzenia. Wyświetlane są szczegóły instalacji skryptu.

Instalacje aplikacji

Stan instalacji wdrożonych aplikacji można monitorować:

  1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Aplikacje>aplikacji systemu Windows dla systemu Windows>.
  2. Wybierz wdrożoną aplikację, taką jak Pakiet aplikacji platformy Microsoft 365.
  3. Wybierz pozycję Stan instalacji urządzenia lub Stan instalacji użytkownika. Wyświetlane są szczegóły instalacji aplikacji.

Aby uzyskać informacje na temat rozwiązywania problemów z aplikacjami na poszczególnych urządzeniach, zobacz Rozwiązywanie problemów z instalacją aplikacji usługi Intune.

Punkt odniesienia zabezpieczeń

Stan instalacji wdrożonego punktu odniesienia zabezpieczeń można monitorować. Aby uzyskać więcej informacji, przejdź do tematu Monitorowanie punktów odniesienia zabezpieczeń i profilów w usłudze Intune.

Profil szyfrowania dysków

W kroku 5 — wdrażanie ustawień zabezpieczeń punktu końcowego (w tym artykule) być może skonfigurowano i wdrożono ustawienia funkcji BitLocker.

Stan tego profilu funkcji BitLocker można monitorować:

  1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Zabezpieczenia punktu końcowego>Szyfrowanie dysków.
  2. Wybierz profil szyfrowania dysku wdrożony w konfiguracji chmury.
  3. Wybierz pozycję Stan instalacji urządzenia lub Stan instalacji użytkownika. Zostaną wyświetlone szczegóły profilu.

Ustawienia usługi Windows Update

Możesz monitorować stan zasad pierścienia usługi Windows Update:

  1. W centrum administracyjnym usługi Microsoft Intune przejdź do karty Urządzenia>Zarządzaj aktualizacjami>systemu Windows 10 i nowszych aktualizacji Pierścienie>aktualizacji .
  2. Wybierz pierścień aktualizacji wdrożony w ramach konfiguracji chmury.
  3. Wybierz pozycję Stan urządzenia, Stan użytkownika lub Stan aktualizacji użytkownika końcowego. Wyświetlane są szczegóły ustawień pierścienia aktualizacji.

Aby uzyskać więcej informacji na temat raportowania pierścieni usługi Windows Update, przejdź do obszaru Raporty dotyczące pierścieni aktualizacji dla systemu Windows 10 i nowszych zasad.

Zasady zgodności

Stan zasad zgodności można monitorować:

  1. W centrum administracyjnym usługi Microsoft Intune przejdź do pozycjiZgodnośćurządzeń>.
  2. Wybierz wdrożone zasady zgodności w ramach konfiguracji chmury.

Widok monitorowania zgodności urządzeń zawiera szczegółowe informacje na temat stanu przypisania i niepowodzeń przypisywania zasad zgodności. Ma również widoki, aby szybko znaleźć niezgodne urządzenia i podjąć działania.

Aby uzyskać bardziej szczegółowe informacje na temat monitorowania zasad zgodności w usłudze Intune, przejdź do tematu Monitorowanie wyników zasad zgodności urządzeń usługi Intune.

Zawartość pokrewna