Samouczek: konfigurowanie natywnego dla chmury punktu końcowego systemu Windows przy użyciu Microsoft Intune

  • Artykuł

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

  • Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
  • Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasady grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
  • Punkty końcowe natywne dla chmury: punkty końcowe, które są przyłączone do Azure AD. Nie są one przyłączone do lokalnej usługi AD.
  • Obciążenie: dowolny program, usługa lub proces.

W tym przewodniku przedstawiono kroki tworzenia konfiguracji punktu końcowego systemu Windows natywnego dla chmury dla organizacji. Aby zapoznać się z omówieniem punktów końcowych natywnych dla chmury i ich korzyści, przejdź do tematu Co to są punkty końcowe natywne dla chmury.

Ta funkcja ma zastosowanie do:

  • Punkty końcowe natywne dla chmury systemu Windows

Porada

Jeśli chcesz, aby zalecane przez firmę Microsoft, ustandaryzowane rozwiązanie było bazowane na rozwiązaniach, być może interesuje Cię konfiguracja systemu Windows w chmurze. W Intune można skonfigurować konfigurację systemu Windows w chmurze przy użyciu scenariusza z przewodnikiem.

W poniższej tabeli opisano kluczową różnicę między tym przewodnikiem a konfiguracją systemu Windows w chmurze:

Rozwiązanie Cel
Samouczek: wprowadzenie do punktów końcowych systemu Windows natywnych dla chmury (ten przewodnik) Przeprowadzi Cię przez proces tworzenia własnej konfiguracji środowiska na podstawie zalecanych ustawień firmy Microsoft i pomoże Ci rozpocząć testowanie.
Konfiguracja systemu Windows w chmurze Środowisko scenariusza z przewodnikiem, które tworzy i stosuje wstępnie utworzoną konfigurację opartą na najlepszych rozwiązaniach firmy Microsoft dla pracowników pierwszej linii, zdalnych i innych pracowników o bardziej ukierunkowanych potrzebach.

Tego przewodnika można użyć w połączeniu z systemem Windows w konfiguracji chmury , aby jeszcze bardziej dostosować wstępnie utworzone środowisko.

Jak rozpocząć pracę

Skorzystaj z pięciu etapów uporządkowanych w tym przewodniku, które są oparte na sobie nawzajem, aby ułatwić przygotowanie konfiguracji punktu końcowego systemu Windows natywnego dla chmury. Po wykonaniu tych faz w kolejności widać wymierny postęp i można je aprowizować na nowych urządzeniach.

Fazy:

Pięć faz konfigurowania punktów końcowych systemu Windows natywnych dla chmury przy użyciu Microsoft Intune i rozwiązania Windows Autopilot.

  • Faza 1 — konfigurowanie środowiska
  • Faza 2 — tworzenie pierwszego natywnego dla chmury punktu końcowego systemu Windows
  • Faza 3 — zabezpieczanie natywnego dla chmury punktu końcowego systemu Windows
  • Faza 4 — stosowanie niestandardowych ustawień i aplikacji
  • Faza 5 — wdrażanie na dużą skalę za pomocą rozwiązania Windows Autopilot

Na końcu tego przewodnika masz natywny dla chmury punkt końcowy systemu Windows gotowy do rozpoczęcia testowania w środowisku. Przed rozpoczęciem warto zapoznać się z przewodnikiem planowania dołączania do Microsoft Entra w temacie Jak zaplanować implementację Microsoft Entra dołączenia.

Faza 1 — konfigurowanie środowiska

Faza 1.

Przed utworzeniem pierwszego punktu końcowego systemu Windows natywnego dla chmury istnieją pewne kluczowe wymagania i konfiguracja, które należy sprawdzić. Ta faza przeprowadzi Cię przez sprawdzanie wymagań, konfigurowanie rozwiązania Windows Autopilot i tworzenie niektórych ustawień i aplikacji.

Krok 1 . Wymagania dotyczące sieci

Natywny dla chmury punkt końcowy systemu Windows wymaga dostępu do kilku usług internetowych. Rozpocznij testowanie w otwartej sieci. Możesz też użyć sieci firmowej po zapewnieniu dostępu do wszystkich punktów końcowych wymienionych w wymaganiach dotyczących sieci rozwiązania Windows Autopilot.

Jeśli sieć bezprzewodowa wymaga certyfikatów, możesz rozpocząć od połączenia Ethernet podczas testowania, podczas gdy określisz najlepsze podejście do połączeń bezprzewodowych na potrzeby aprowizacji urządzeń.

Krok 2. Rejestracja i licencjonowanie

Zanim będzie można dołączyć do Microsoft Entra i zarejestrować się w Intune, należy sprawdzić kilka elementów. Możesz utworzyć nową grupę Microsoft Entra, taką jak nazwa Intune Użytkownicy mdm. Następnie dodaj określone konta użytkowników testowych i ukiekuj każdą z następujących konfiguracji w tej grupie, aby ograniczyć liczbę osób, które mogą rejestrować urządzenia podczas konfigurowania konfiguracji. Aby utworzyć grupę Microsoft Entra, przejdź do pozycji Utwórz grupę podstawową i dodaj członków.

  • Ograniczenia rejestracji
    Ograniczenia rejestracji umożliwiają kontrolowanie typów urządzeń, które mogą zostać zarejestrowane w zarządzaniu za pomocą Intune. Aby ten przewodnik zakończył się pomyślnie, upewnij się, że rejestracja w systemie Windows (MDM) jest dozwolona, co jest konfiguracją domyślną.

    Aby uzyskać informacje na temat konfigurowania ograniczeń rejestracji, przejdź do tematu Ustawianie ograniczeń rejestracji w Microsoft Intune.

  • Azure AD ustawienia zarządzania urządzeniami przenośnymi
    Po dołączeniu urządzenia z systemem Windows do Microsoft Entra można skonfigurować Microsoft Entra w celu poinformowania urządzeń o automatycznym rejestrowaniu w rozwiązaniu MDM. Ta konfiguracja jest wymagana do działania rozwiązania Windows Autopilot.

    Aby sprawdzić, czy ustawienia zarządzania urządzeniami przenośnymi na Microsoft Entra są prawidłowo włączone, przejdź do sekcji Szybki start — konfigurowanie automatycznej rejestracji w Intune.

  • znakowanie firmy Azure AD
    Dodanie firmowego logo i obrazów do Microsoft Entra gwarantuje, że użytkownicy zobaczą znajomy i spójny wygląd podczas logowania się do platformy Microsoft 365. Ta konfiguracja jest wymagana do działania rozwiązania Windows Autopilot.

    Aby uzyskać informacje na temat konfigurowania znakowania niestandardowego w Microsoft Entra, przejdź do strony Dodawanie znakowania do strony logowania Microsoft Entra organizacji.

  • Licencjonowanie:
    Użytkownicy rejestrujący urządzenia z systemem Windows z środowiska OOBE (Out Of Box Experience) w Intune wymagają dwóch kluczowych możliwości.

    Użytkownicy wymagają następujących licencji:

    • Licencja Microsoft Intune lub Microsoft Intune for Education
    • Licencja, taka jak jedna z następujących opcji, która umożliwia automatyczną rejestrację w rozwiązaniu MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune dla edukacji

    Aby przypisać licencje, przejdź do obszaru Przypisywanie licencji Microsoft Intune.

    Uwaga

    Oba typy licencji są zwykle dołączane do pakietów licencjonowania, takich jak Microsoft 365 E3 (lub A3) i nowszych. Zapoznaj się z porównaniami licencjonowania M365 tutaj.

Krok 3. Importowanie urządzenia testowego

Aby przetestować natywny dla chmury punkt końcowy systemu Windows, musimy zacząć od przygotowania maszyny wirtualnej lub urządzenia fizycznego do testowania. Poniższe kroki umożliwiają pobranie szczegółów urządzenia i przekazanie ich do usługi Windows Autopilot, która jest używana w dalszej części tego artykułu.

Uwaga

Poniższe kroki umożliwiają zaimportowanie urządzenia na potrzeby testowania, ale partnerzy i OEM mogą importować urządzenia do rozwiązania Windows Autopilot w Twoim imieniu w ramach zakupów. Więcej informacji na temat rozwiązania Windows Autopilot znajduje się w fazie 5.

  1. Zainstaluj system Windows (najlepiej 20H2 lub nowszy) na maszynie wirtualnej lub zresetuj urządzenie fizyczne, aby oczekiwać na ekranie konfiguracji OOBE. W przypadku maszyny wirtualnej możesz opcjonalnie utworzyć punkt kontrolny.

  2. Wykonaj kroki niezbędne do nawiązania połączenia z Internetem.

  3. Otwórz wiersz polecenia przy użyciu kombinacji klawiatury Shift + F10 .

  4. Sprawdź, czy masz dostęp do Internetu, wysyłając polecenie ping do bing.com:

    • ping bing.com

  5. Przełącz się do programu PowerShell, uruchamiając polecenie:

    • powershell.exe

  6. Pobierz skrypt Get-WindowsAutopilotInfo , uruchamiając następujące polecenia:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Po wyświetleniu monitu wprowadź wartość Y , aby zaakceptować.

  8. Wpisz następujące polecenie:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Uwaga

    Tagi grupy umożliwiają tworzenie dynamicznych grup Microsoft Entra na podstawie podzestawu urządzeń. Tagi grupy można ustawić podczas importowania urządzeń lub zmieniać je później w centrum administracyjnym Microsoft Intune. Użyjemy tagu grupy CloudNative w kroku 4. Możesz ustawić nazwę tagu na inną dla testowania.

  9. Po wyświetleniu monitu o podanie poświadczeń zaloguj się przy użyciu konta administratora Intune.

  10. Pozostaw komputer w środowisku wyjściowym do fazy 2.

Krok 4. Tworzenie grupy dynamicznej Microsoft Entra dla urządzenia

Aby ograniczyć konfiguracje z tego przewodnika do urządzeń testowych importowanych do rozwiązania Windows Autopilot, utwórz dynamiczną grupę Microsoft Entra. Ta grupa powinna automatycznie obejmować urządzenia importowane do rozwiązania Windows Autopilot i mają tag grupy CloudNative. Następnie można kierować wszystkie konfiguracje i aplikacje w tej grupie.

  1. Otwórz centrum administracyjne Microsoft Intune.

  2. Wybierz pozycję Grupy>Nowa grupa. Wprowadź następujące szczegóły:

    • Typ grupy: wybierz pozycję Zabezpieczenia.
    • Nazwa grupy: wprowadź pozycję Autopilot Cloud-Native punkty końcowe systemu Windows.
    • Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.

  3. Wybierz pozycję Dodaj zapytanie dynamiczne.

  4. W sekcji Składnia reguł wybierz pozycję Edytuj.

  5. Wklej następujący tekst:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Wybierz przycisk OK>Zapisz>utwórz.

Porada

Wypełnianie grup dynamicznych po wprowadzeniu zmian zajmuje kilka minut. W dużych organizacjach może to potrwać znacznie dłużej. Po utworzeniu nowej grupy poczekaj kilka minut, zanim sprawdzisz, czy urządzenie jest teraz członkiem grupy.

Aby uzyskać więcej informacji na temat grup dynamicznych dla urządzeń, przejdź do pozycji Reguły dla urządzeń.

Krok 5. Konfigurowanie strony ze stanem rejestracji

Strona stanu rejestracji (ESP) to mechanizm używany przez specjalistę IT do kontrolowania środowiska użytkownika końcowego podczas aprowizacji punktu końcowego. Zobacz Konfigurowanie strony ze stanem rejestracji. Aby ograniczyć zakres strony stanu rejestracji, możesz utworzyć nowy profil i skierować grupę punktów końcowych rozwiązania Autopilot Cloud-Native systemu Windows utworzoną w poprzednim kroku, Create Microsoft Entra dynamic group for the device (Utwórz grupę dynamiczną Microsoft Entra dla urządzenia).

  • Na potrzeby testowania zalecamy następujące ustawienia, ale możesz dostosować je zgodnie z wymaganiami:
    • Pokaż postęp konfiguracji aplikacji i profilu — Tak
    • Pokazywanie strony tylko urządzeniom aprowizowanym przez środowisko OOBE (out-of-box experience) — tak (domyślnie)

Krok 6. Tworzenie i przypisywanie profilu rozwiązania Windows Autopilot

Teraz możemy utworzyć profil rozwiązania Windows Autopilot i przypisać go do urządzenia testowego. Ten profil informuje urządzenie o dołączeniu do Microsoft Entra i ustawień, które należy zastosować podczas OOBE.

  1. Otwórz centrum administracyjne Microsoft Intune.

  2. Wybierz pozycjęUrządzeniaRejestracja>>profilów wdrażaniarozwiązania Windows Autopilot>.

  3. Wybierz pozycję Utwórz profilkomputera z systemem> Windows.

  4. Wprowadź nazwę Autopilot Cloud-Native punkt końcowy systemu Windows, a następnie wybierz pozycję Dalej.

  5. Przejrzyj i pozostaw ustawienia domyślne, a następnie wybierz pozycję Dalej.

  6. Pozostaw tagi zakresu i wybierz przycisk Dalej.

  7. Przypisz profil do utworzonej grupy Microsoft Entra o nazwie Autopilot Cloud-Native punkt końcowy systemu Windows, wybierz pozycję Dalej, a następnie wybierz pozycję Utwórz.

Krok 7. Synchronizowanie urządzeń z rozwiązaniem Windows Autopilot

Usługa Windows Autopilot synchronizuje się kilka razy dziennie. Możesz również natychmiast wyzwolić synchronizację, aby urządzenie było gotowe do testowania. Aby natychmiast zsynchronizować:

  1. Otwórz centrum administracyjne Microsoft Intune.

  2. Wybierz pozycjęUrządzeniarejestracja>>urządzeń z rozwiązaniemWindows Autopilot>.

  3. Wybierz pozycję Synchronizuj.

Synchronizacja trwa kilka minut i jest kontynuowana w tle. Po zakończeniu synchronizacji stan profilu zaimportowanego urządzenia zostanie wyświetlony jako przypisany.

Krok 8. Konfigurowanie ustawień dla optymalnego środowiska platformy Microsoft 365

Wybraliśmy kilka ustawień do skonfigurowania. Te ustawienia przedstawiają optymalne środowisko użytkownika końcowego platformy Microsoft 365 na urządzeniu natywnym dla chmury systemu Windows. Te ustawienia są konfigurowane przy użyciu profilu katalogu ustawień konfiguracji urządzenia. Aby uzyskać więcej informacji, przejdź do tematu Tworzenie zasad przy użyciu wykazu ustawień w Microsoft Intune.

Po utworzeniu profilu i dodaniu ustawień przypisz profil do utworzonej wcześniej grupy punktów końcowych rozwiązania Autopilot Cloud-Native Windows .

  • Microsoft Outlook
    Aby ulepszyć środowisko pierwszego uruchomienia programu Microsoft Outlook, następujące ustawienie automatycznie konfiguruje profil po pierwszym otwarciu programu Outlook.

    • Microsoft Outlook 2016\Account Settings\Exchange (ustawienie użytkownika)
      • Automatycznie skonfiguruj tylko pierwszy profil na podstawie podstawowego adresu SMTP usługi Active Directory — włączone

  • Microsoft Edge
    Aby ulepszyć środowisko pierwszego uruchomienia przeglądarki Microsoft Edge, następujące ustawienia umożliwiają skonfigurowanie przeglądarki Microsoft Edge w celu zsynchronizowania ustawień użytkownika i pominięcia środowiska pierwszego uruchomienia.

    • Microsoft Edge
      • Ukryj środowisko pierwszego uruchomienia i ekran powitalny — włączone
      • Wymuś synchronizację danych przeglądarki i nie pokazuj monitu o zgodę na synchronizację — włączone

  • Microsoft OneDrive

    Aby ulepszyć środowisko pierwszego logowania, następujące ustawienia umożliwiają skonfigurowanie usługi Microsoft OneDrive do automatycznego logowania i przekierowywania aplikacji Desktop, Pictures i Documents do usługi OneDrive. Zalecane jest również stosowanie plików na żądanie (FOD). Jest ona domyślnie włączona i nie znajduje się na poniższej liście. Aby uzyskać więcej informacji na temat zalecanej konfiguracji aplikacji synchronizacja usługi OneDrive, przejdź do tematu Zalecana konfiguracja aplikacji synchronizacji dla usługi Microsoft OneDrive.

    • OneDrive

      • Dyskretne logowanie użytkowników do aplikacji synchronizacja usługi OneDrive przy użyciu poświadczeń systemu Windows — włączone
      • Dyskretne przenoszenie znanych folderów systemu Windows do usługi OneDrive — włączone

      Uwaga

      Aby uzyskać więcej informacji, przejdź do pozycji Przekierowanie znanych folderów.

Poniższy zrzut ekranu przedstawia przykład profilu katalogu ustawień z każdym z sugerowanych ustawień skonfigurowanych:

Obraz przedstawiający przykład profilu katalogu ustawień w Microsoft Intune.

Krok 9. Tworzenie i przypisywanie niektórych aplikacji

Punkt końcowy natywny dla chmury wymaga pewnych aplikacji. Aby rozpocząć, zalecamy skonfigurowanie następujących aplikacji i kierowanie ich do utworzonej wcześniej grupy punktów końcowych rozwiązania Autopilot Cloud-Native Windows .

  • Aplikacje Microsoft 365 (dawniej Office 365 ProPlus)
    Aplikacje Microsoft 365, takie jak Word, Excel i Outlook, można łatwo wdrożyć na urządzeniach przy użyciu wbudowanego profilu aplikacji platformy Microsoft 365 dla systemu Windows w Intune.

    • Wybierz projektanta konfiguracji dla formatu ustawień, a nie xml.
    • Wybierz pozycję Bieżący kanał dla kanału aktualizacji.

    Aby wdrożyć Aplikacje Microsoft 365, przejdź do pozycji Dodawanie aplikacji platformy Microsoft 365 do urządzeń z systemem Windows przy użyciu Microsoft Intune

  • aplikacja Portal firmy
    Zaleca się wdrożenie aplikacji Portal firmy Intune na wszystkich urządzeniach jako wymaganej aplikacji. Portal firmy aplikacja to centrum samoobsługowe dla użytkowników, których używają do instalowania aplikacji z wielu źródeł, takich jak Intune, Microsoft Store i Configuration Manager. Użytkownicy korzystają również z aplikacji Portal firmy, aby zsynchronizować swoje urządzenie z Intune, sprawdzić stan zgodności itd.

    Aby wdrożyć Portal firmy zgodnie z wymaganiami, zobacz Dodawanie i przypisywanie aplikacji Portal firmy systemu Windows dla urządzeń zarządzanych Intune.

  • Aplikacja ze Sklepu Microsoft (Whiteboard)
    Chociaż Intune mogą wdrażać szeroką gamę aplikacji, wdrażamy aplikację ze sklepu (Microsoft Whiteboard), aby ułatwić wykonywanie prostych czynności w tym przewodniku. Wykonaj kroki opisane w temacie Dodawanie aplikacji ze Sklepu Microsoft, aby Microsoft Intune, aby zainstalować usługę Microsoft Whiteboard.

Faza 2 — tworzenie natywnego dla chmury punktu końcowego systemu Windows

Faza 2.

Aby utworzyć pierwszy natywny dla chmury punkt końcowy systemu Windows, użyj tej samej maszyny wirtualnej lub urządzenia fizycznego, które zostało zebrane, a następnie przekazano skrót sprzętu do usługi Windows Autopilot w kroku 1>. Na tym urządzeniu przejdź przez proces rozwiązania Windows Autopilot.

  1. Wznów (lub w razie potrzeby zresetuj) komputer z systemem Windows do środowiska OOBE (Out of Box Experience).

    Uwaga

    Jeśli zostanie wyświetlony monit o wybranie konfiguracji dla użytkownika lub organizacji, proces rozwiązania Autopilot nie został wyzwolony. W takiej sytuacji uruchom ponownie urządzenie i upewnij się, że ma ono dostęp do Internetu. Jeśli nadal nie działa, spróbuj zresetować komputer lub ponownie zainstalować system Windows.

  2. Zaloguj się przy użyciu poświadczeń Microsoft Entra (UPN lub AzureAD\username).

  3. Na stronie stanu rejestracji jest wyświetlany stan konfiguracji urządzenia.

Gratulacje! Aprowizowano pierwszy natywny dla chmury punkt końcowy systemu Windows.

Niektóre elementy, które należy wyewidencjonować w nowym punkcie końcowym systemu Windows natywnym dla chmury:

  • Foldery usługi OneDrive są przekierowywane. Po otwarciu programu Outlook jest on automatycznie konfigurowany do nawiązywania połączenia z Office 365.

  • Otwórz aplikację Portal firmy z menu Start i zwróć uwagę, że program Microsoft Whiteboard jest dostępny do instalacji.

  • Rozważ przetestowanie dostępu z urządzenia do zasobów lokalnych, takich jak udziały plików, drukarki i witryny intranetowe.

    Uwaga

    Jeśli nie skonfigurowano Windows Hello dla firm hybrydowe, może zostać wyświetlony monit Windows Hello logowania w celu wprowadzenia haseł w celu uzyskania dostępu do zasobów lokalnych. Aby kontynuować testowanie dostępu do logowania jednokrotnego, można skonfigurować Windows Hello dla firm hybrydowe lub logowanie do urządzenia przy użyciu nazwy użytkownika i hasła, a nie Windows Hello. W tym celu wybierz ikonę w kształcie klucza na ekranie logowania.

Faza 3 — zabezpieczanie natywnego dla chmury punktu końcowego systemu Windows

Faza 3.

Ta faza ma na celu ułatwienie tworzenia ustawień zabezpieczeń dla organizacji. Ta sekcja zwraca uwagę na różne składniki zabezpieczeń punktu końcowego w Microsoft Intune, w tym:

program antywirusowy Microsoft Defender (MDAV)

Poniższe ustawienia są zalecane jako minimalna konfiguracja programu antywirusowego Microsoft Defender, wbudowanego składnika systemu operacyjnego systemu Windows. Te ustawienia nie wymagają żadnej konkretnej umowy licencyjnej, takiej jak E3 lub E5, i mogą być włączone w centrum administracyjnym Microsoft Intune. W centrum administracyjnym przejdź do obszaru Programantywirusowy> zabezpieczeń >punktu końcowegoUtwórz zasady>systemu Windows, a później>typ = profilu Microsoft Defender Program antywirusowy.

Usługa Cloud Protection:

  • Włącz ochronę dostarczaną przez chmurę: Tak
  • Poziom ochrony dostarczanej w chmurze: Nie skonfigurowano
  • Rozszerzony limit czasu usługi Defender Cloud w sekundach: 50

Ochrona w czasie rzeczywistym:

  • Włącz ochronę w czasie rzeczywistym: Tak
  • Włącz ochronę dostępu: Tak
  • Monitorowanie plików przychodzących i wychodzących: monitorowanie wszystkich plików
  • Włączanie monitorowania zachowania: Tak
  • Włącz zapobieganie włamaniom: Tak
  • Włączanie ochrony sieci: Włącz
  • Przeskanuj wszystkie pobrane pliki i załączniki: Tak
  • Skanuj skrypty używane w przeglądarkach firmy Microsoft: Tak
  • Skanowanie plików sieciowych: nie skonfigurowano
  • Skanuj wiadomości e-mail: Tak

Korygowanie:

  • Liczba dni (0–90) do przechowywania złośliwego oprogramowania poddanej kwarantannie: 30
  • Zgoda na przesyłanie przykładów: automatyczne wysyłanie bezpiecznych próbek
  • Akcja do wykonania w potencjalnie niechcianych aplikacjach: Włącz
  • Akcje dotyczące wykrytych zagrożeń: Konfigurowanie
    • Niskie zagrożenie: kwarantanna
    • Umiarkowane zagrożenie: Kwarantanna
    • Wysokie zagrożenie: kwarantanna
    • Poważne zagrożenie: Kwarantanna

Ustawienia skonfigurowane w profilu MDAV w programie Endpoint Security:

Zrzut ekranu przedstawiający przykład profilu programu antywirusowego Microsoft Defender w Microsoft Intune.

Aby uzyskać więcej informacji na temat konfiguracji Windows Defender, w tym Ochrona punktu końcowego w usłudze Microsoft Defender licencji klienta na E3 i E5, przejdź do:

zapora Microsoft Defender

Użyj zabezpieczeń punktu końcowego w Microsoft Intune, aby skonfigurować reguły zapory i zapory. Aby uzyskać więcej informacji, przejdź do tematu Zasady zapory dla zabezpieczeń punktu końcowego w Intune.

Microsoft Defender Zapora może wykryć zaufaną sieć przy użyciu dostawcy CSP NetworkListManager. Ponadto może przełączyć się do profilu zapory domeny w punktach końcowych z uruchomionymi następującymi wersjami systemu operacyjnego:

Użycie profilu sieci domeny umożliwia oddzielenie reguł zapory na podstawie zaufanej sieci, sieci prywatnej i sieci publicznej. Te ustawienia można zastosować przy użyciu profilu niestandardowego systemu Windows.

Uwaga

Microsoft Entra przyłączone punkty końcowe nie mogą używać protokołu LDAP do wykrywania połączenia z domeną w taki sam sposób, jak punkty końcowe przyłączone do domeny. Zamiast tego użyj dostawcy CSP NetworkListManager , aby określić punkt końcowy protokołu TLS, który, gdy jest dostępny, przełączy punkt końcowy na profil zapory domeny .

Szyfrowanie funkcją BitLocker

Użyj zabezpieczeń punktu końcowego w Microsoft Intune, aby skonfigurować szyfrowanie za pomocą funkcji BitLocker.

Te ustawienia można włączyć w centrum administracyjnym Microsoft Intune. W centrum administracyjnym przejdź do pozycjiSzyfrowanie>dysków zabezpieczeń> punktu końcowegoUtwórz zasady>Systemu Windows i nowszego> funkcjiBitLockerprofilu = .

Podczas konfigurowania następujących ustawień funkcji BitLocker w trybie dyskretnym włączają one szyfrowanie 128-bitowe dla użytkowników standardowych, co jest typowym scenariuszem. Organizacja może jednak mieć różne wymagania dotyczące zabezpieczeń, dlatego użyj dokumentacji funkcji BitLocker , aby uzyskać więcej ustawień.

BitLocker — ustawienia podstawowe:

  • Włącz pełne szyfrowanie dysków dla systemów operacyjnych i stałych dysków danych: Tak
  • Wymagaj szyfrowania kart pamięci (tylko urządzenia przenośne): nies skonfigurowano
  • Ukryj monit o szyfrowanie innych firm: Tak
    • Zezwalaj standardowym użytkownikom na włączanie szyfrowania podczas rozwiązania Autopilot: Tak
  • Konfigurowanie rotacji haseł odzyskiwania opartej na kliencie: włączanie rotacji na urządzeniach przyłączonych do Azure AD

BitLocker — ustawienia dysku stałego:

  • Zasady dysków stałych funkcji BitLocker: Konfigurowanie
  • Odzyskiwanie dysku stałego: konfigurowanie
    • Tworzenie pliku klucza odzyskiwania: zablokowane
    • Konfigurowanie pakietu odzyskiwania funkcji BitLocker: hasło i klucz
    • Wymagaj od urządzenia tworzenia kopii zapasowych informacji odzyskiwania w celu Azure AD: Tak
    • Tworzenie hasła odzyskiwania: dozwolone
    • Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker: Nie skonfigurowano
    • Włącz funkcję BitLocker po informacjach odzyskiwania do przechowywania: Nie skonfigurowano
    • Blokuj użycie agenta odzyskiwania danych opartego na certyfikatach (DRA): Nie skonfigurowano
    • Blokuj dostęp do zapisu na stałych dyskach danych, które nie są chronione przez funkcję BitLocker: Nie skonfigurowano
    • Konfigurowanie metody szyfrowania dla stałych dysków danych: nieskonfigurowane

BitLocker — ustawienia dysku systemu operacyjnego:

  • Zasady dysków systemowych funkcji BitLocker: Konfigurowanie
    • Wymagane jest uwierzytelnianie uruchamiania: Tak
    • Uruchamianie zgodnego modułu TPM: wymagane
    • Zgodny numer PIN uruchamiania modułu TPM: blokuj
    • Zgodny klucz uruchamiania modułu TPM: Blokuj
    • Zgodny klucz startowy modułu TPM i numer PIN: Blokuj
    • Wyłącz funkcję BitLocker na urządzeniach, na których moduł TPM jest niezgodny: Nie skonfigurowano
    • Włącz preboot recovery message and url: Not configured (Włączanie preboot recovery message and url: Not configured (Włącz preboot recovery message and url: Not configur
  • Odzyskiwanie dysku systemowego: konfigurowanie
    • Tworzenie pliku klucza odzyskiwania: zablokowane
    • Konfigurowanie pakietu odzyskiwania funkcji BitLocker: hasło i klucz
    • Wymagaj od urządzenia tworzenia kopii zapasowych informacji odzyskiwania w celu Azure AD: Tak
    • Tworzenie hasła odzyskiwania: dozwolone
    • Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker: Nie skonfigurowano
    • Włącz funkcję BitLocker po informacjach odzyskiwania do przechowywania: Nie skonfigurowano
    • Blokuj użycie agenta odzyskiwania danych opartego na certyfikatach (DRA): Nie skonfigurowano
    • Minimalna długość numeru PIN: pozostaw wartość pustą
    • Konfigurowanie metody szyfrowania dla dysków systemu operacyjnego: nieskonfigurowane

BitLocker — ustawienia dysku wymiennego:

  • Zasady dysków wymiennych funkcji BitLocker: Konfigurowanie
    • Konfigurowanie metody szyfrowania dla wymiennych dysków danych: nieskonfigurowane
    • Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker: Nie skonfigurowano
    • Blokuj dostęp do zapisu na urządzeniach skonfigurowanych w innej organizacji: Nie skonfigurowano

Rozwiązanie haseł administratora lokalnego systemu Windows (LAPS)

Domyślnie wbudowane konto administratora lokalnego (dobrze znany identyfikator SID S-1-5-500) jest wyłączone. Istnieją pewne scenariusze, w których konto administratora lokalnego może być korzystne, takie jak rozwiązywanie problemów, obsługa użytkowników końcowych i odzyskiwanie urządzeń. Jeśli zdecydujesz się włączyć wbudowane konto administratora lub utworzyć nowe konto administratora lokalnego, ważne jest zabezpieczenie hasła dla tego konta.

Rozwiązanie haseł administratora lokalnego systemu Windows (LAPS) jest jedną z funkcji, których można użyć do losowego i bezpiecznego przechowywania hasła w Microsoft Entra. Jeśli używasz Intune jako usługi MDM, wykonaj następujące kroki, aby włączyć usługę LAPS systemu Windows.

Ważna

W systemie Windows LAPS przyjęto założenie, że domyślne konto administratora lokalnego jest włączone, nawet jeśli jego nazwa została zmieniona lub utworzono inne konto administratora lokalnego. Usługa Windows LAPS nie tworzy ani nie włącza żadnych kont lokalnych.

Musisz utworzyć lub włączyć dowolne konta lokalne niezależnie od konfigurowania systemu Windows LAPS. Możesz wykonać skrypt tego zadania lub użyć dostawców usług konfiguracji (CSP), takich jak dostawca CSP kont lub dostawca CSP zasad.

  1. Upewnij się, że urządzenia Windows 10 (20H2 lub nowsze) lub Windows 11 mają zainstalowaną aktualizację zabezpieczeń z kwietnia 2023 r. (lub nowszą).

    Aby uzyskać więcej informacji, przejdź do Microsoft Entra aktualizacji systemu operacyjnego.

  2. Włącz usługę Windows LAPS w Microsoft Entra:

    1. Zaloguj się do Microsoft Entra.
    2. W obszarze Włącz rozwiązanie laps (Local Administrator Password Solution) wybierz pozycję Tak>zapisz (u góry strony).

    Aby uzyskać więcej informacji, przejdź do tematu Włączanie systemu Windows LAPS za pomocą Microsoft Entra.

  3. W Intune utwórz zasady zabezpieczeń punktu końcowego:

    1. Zaloguj się do centrum administracyjnego Microsoft Intune.
    2. Wybierz pozycjęOchrona> konta zabezpieczeń> punktu końcowegoUtwórz zasady>Windows 10 i nowsze>rozwiązanie haseł administratora lokalnego (Windows LAPS)>Utwórz.

    Aby uzyskać więcej informacji, przejdź do tematu Tworzenie zasad LAPS w Intune.

Punkty odniesienia zabezpieczeń

Punkty odniesienia zabezpieczeń umożliwiają zastosowanie zestawu konfiguracji, które są znane w celu zwiększenia bezpieczeństwa punktu końcowego systemu Windows. Aby uzyskać więcej informacji na temat punktów odniesienia zabezpieczeń, przejdź do pozycji Ustawienia punktu odniesienia zabezpieczeń rozwiązania MDM systemu Windows dla Intune.

Linie bazowe można stosować przy użyciu sugerowanych ustawień i dostosowywać zgodnie z wymaganiami. Niektóre ustawienia w punktach odniesienia mogą powodować nieoczekiwane wyniki lub być niezgodne z aplikacjami i usługami uruchomionymi w punktach końcowych systemu Windows. W związku z tym punkty odniesienia powinny być testowane oddzielnie. Zastosuj punkt odniesienia tylko do selektywnej grupy testowych punktów końcowych bez żadnych innych profilów konfiguracji lub ustawień.

Znane problemy dotyczące punktów odniesienia zabezpieczeń

Następujące ustawienia w punkcie odniesienia zabezpieczeń systemu Windows mogą powodować problemy z rozwiązaniem Windows Autopilot lub próbą zainstalowania aplikacji jako użytkownik standardowy:

  • Opcje zabezpieczeń zasad lokalnych\Zachowanie monitu o podniesienie uprawnień przez administratora (domyślne = Monituj o zgodę na bezpiecznym pulpicie)
  • Zachowanie monitu o podniesienie uprawnień użytkownika w warstwie Standardowa (wartość domyślna = Automatyczne odrzucanie żądań podniesienia uprawnień)

Aby uzyskać więcej informacji, przejdź do tematu Konflikty zasad rozwiązania Windows Autopilot.

Windows Update dla firm

Windows Update dla firm to technologia w chmurze umożliwiająca kontrolowanie sposobu i momentu instalowania aktualizacji na urządzeniach. W Intune można skonfigurować Windows Update dla firm przy użyciu:

Aby uzyskać więcej informacji, zobacz:

Jeśli chcesz bardziej szczegółową kontrolę dla systemu Windows Aktualizacje i używasz Configuration Manager, rozważ współzarządzanie.

Faza 4 — stosowanie dostosowań i przeglądanie konfiguracji lokalnej

Faza 4.

W tej fazie zastosujesz ustawienia, aplikacje specyficzne dla organizacji i przejrzysz konfigurację lokalną. Faza ułatwia tworzenie dostosowań specyficznych dla organizacji. Zwróć uwagę na różne składniki systemu Windows, sposób przeglądania istniejących konfiguracji z lokalnego środowiska usługi AD zasady grupy i stosowania ich do punktów końcowych natywnych dla chmury. Istnieją sekcje dla każdego z następujących obszarów:

Microsoft Edge

Wdrażanie w przeglądarce Microsoft Edge

Przeglądarka Microsoft Edge jest dostępna na urządzeniach z systemem:

  • Windows 11
  • Windows 10 20H2 lub nowszym
  • Windows 10 1803 lub nowszym z aktualizacją zbiorczą zabezpieczeń z maja 2021 r. lub nowszą aktualizacją zbiorczą

Po zalogowaniu się użytkowników przeglądarka Microsoft Edge zostanie zaktualizowana automatycznie. Aby wyzwolić aktualizację przeglądarki Microsoft Edge podczas wdrażania, można uruchomić następujące polecenie:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Aby wdrożyć przeglądarkę Microsoft Edge w poprzednich wersjach systemu Windows, przejdź do pozycji Dodawanie przeglądarki Microsoft Edge dla systemu Windows do Microsoft Intune.

Konfiguracja przeglądarki Microsoft Edge

Dwa składniki środowiska przeglądarki Microsoft Edge, które mają zastosowanie podczas logowania użytkowników przy użyciu poświadczeń platformy Microsoft 365, można skonfigurować z poziomu centrum Administracja Microsoft 365.

  • Logo strony początkowej w przeglądarce Microsoft Edge można dostosować, konfigurując sekcję Twoja organizacja w Centrum administracyjne platformy Microsoft 365. Aby uzyskać więcej informacji, przejdź do tematu Dostosowywanie motywu platformy Microsoft 365 dla organizacji.

  • Domyślne środowisko strony nowej karty w przeglądarce Microsoft Edge obejmuje Office 365 informacji i spersonalizowanych wiadomości. Sposób wyświetlania tej strony można dostosować z poziomu Centrum administracyjne platformy Microsoft 365 na stronie Ustawienia> ustawienia >organizacjiAktualności>na nowej karcie przeglądarki Microsoft Edge.

Możesz również ustawić inne ustawienia przeglądarki Microsoft Edge przy użyciu profilów wykazu ustawień. Możesz na przykład skonfigurować określone ustawienia synchronizacji dla organizacji.

  • Microsoft Edge
    • Konfigurowanie listy typów wykluczonych z synchronizacji — hasła

Układ paska zadań i uruchamiania

Możesz dostosować i ustawić standardowy układ uruchamiania i paska zadań przy użyciu Intune.

Wykaz ustawień

Katalog ustawień to pojedyncza lokalizacja, w której są wyświetlane wszystkie konfigurowalne ustawienia systemu Windows. Ta funkcja upraszcza sposób tworzenia zasad i wyświetlanie wszystkich dostępnych ustawień. Aby uzyskać więcej informacji, przejdź do tematu Tworzenie zasad przy użyciu wykazu ustawień w Microsoft Intune.

Uwaga

Poniżej przedstawiono niektóre ustawienia dostępne w katalogu ustawień, które mogą być istotne dla Twojej organizacji:

  • Preferowana domena dzierżawy usługi Azure Active Directory
    To ustawienie umożliwia skonfigurowanie preferowanej nazwy domeny dzierżawy do nazwy użytkownika użytkownika. Preferowana domena dzierżawy umożliwia użytkownikom logowanie się w celu Microsoft Entra punktów końcowych tylko przy użyciu nazwy użytkownika, a nie całej nazwy UPN, o ile nazwa domeny użytkownika jest zgodna z preferowaną domeną dzierżawy. W przypadku użytkowników, którzy mają różne nazwy domen, mogą wpisać całą nazwę UPN.

    Ustawienie można znaleźć w następujących elementach:

    • Uwierzytelnianie
      • Preferowana nazwa domeny dzierżawy usługi AAD — określ nazwę domeny, na przykład contoso.onmicrosoft.com.

  • W centrum uwagi Windows
    Domyślnie włączono kilka funkcji konsumenckich systemu Windows, co powoduje instalowanie wybranych aplikacji ze Sklepu i sugestie innych firm na ekranie blokady. Możesz to kontrolować, korzystając z sekcji Środowisko katalogu ustawień.

    • Możliwości
      • Zezwalaj na funkcje użytkownika systemu Windows — blokuj
      • Zezwalaj na sugestie innych firm w funkcji W centrum uwagi Windows (użytkownik) — blokuj

  • Microsoft Store
    Organizacje zazwyczaj chcą ograniczyć aplikacje, które można zainstalować w punktach końcowych. Użyj tego ustawienia, jeśli twoja organizacja chce kontrolować, które aplikacje mogą instalować ze Sklepu Microsoft. To ustawienie uniemożliwia użytkownikom instalowanie aplikacji, chyba że zostaną zatwierdzone.

  • Blokuj gry
    Organizacje mogą preferować, że firmowe punkty końcowe nie mogą być używane do grania w gry. Strona Gry w aplikacji Ustawienia może zostać całkowicie ukryta przy użyciu następującego ustawienia. Aby uzyskać dodatkowe informacje na temat widoczności strony ustawień, przejdź do dokumentacji dostawcy CSP i dokumentacji schematu identyfikatora URI ms-settings.

    • Ustawienia
      • Lista widoczności strony — hide:gaming-gamebar; gaming-gamedvr; nadawanie gier; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Widoczność ikony czatu sterowania na pasku zadań Widoczność ikony Czat na pasku zadań Windows 11 można kontrolować przy użyciu dostawcy CSP zasad.

    • Możliwości
      • Konfigurowanie ikony czatu — wyłączone

  • Kontrolowanie dzierżaw, do których klient stacjonarny usługi Teams może się zalogować

    Po skonfigurowaniu tych zasad na urządzeniu użytkownicy mogą logować się tylko przy użyciu kont znajdujących się w dzierżawie Microsoft Entra, która znajduje się na liście dozwolonych dzierżaw zdefiniowanych w tych zasadach. "Lista dozwolonych dzierżaw" to rozdzielana przecinkami lista identyfikatorów dzierżawy Microsoft Entra. Określając te zasady i definiując dzierżawę Microsoft Entra, możesz również zablokować logowanie do aplikacji Teams do użytku osobistego. Aby uzyskać więcej informacji, przejdź do tematu Jak ograniczyć logowanie na urządzeniach stacjonarnych.

    • Szablony administracyjne \ Microsoft Teams
      • Ograniczanie logowania do aplikacji Teams do kont w określonych dzierżawach (użytkownik) — włączone

Ograniczenia dotyczące urządzeń

Szablony ograniczeń urządzeń z systemem Windows zawierają wiele ustawień wymaganych do zabezpieczenia punktu końcowego systemu Windows i zarządzania nim przy użyciu dostawców usług konfiguracji systemu Windows. Więcej z tych ustawień zostanie udostępnionych w katalogu ustawień w czasie. Aby uzyskać więcej informacji, przejdź do obszaru Ograniczenia urządzenia.

Aby utworzyć profil, który korzysta z szablonu Ograniczenia urządzenia, w centrum administracyjnym Microsoft Intune przejdź do pozycjiKonfiguracja>urządzeń>Utwórz> wybierz Windows 10 i nowsze ustawienia lub Platforma i szablony dlaograniczeń urządzeniatypu> Profil.

  • Adres URL obrazu tła pulpitu (tylko pulpit)
    Użyj tego ustawienia, aby ustawić tapetę na jednostkach SKU systemu Windows Enterprise lub Windows Education. Hostujesz plik w trybie online lub odwołujesz się do pliku, który został skopiowany lokalnie. Aby skonfigurować to ustawienie, na karcie Ustawienia konfiguracji w profilu Ograniczenia urządzenia rozwiń węzeł Personalizacja i skonfiguruj adres URL obrazu tła pulpitu (tylko komputery stacjonarne).

  • Wymaganie od użytkowników nawiązywania połączenia z siecią podczas konfigurowania urządzenia
    To ustawienie zmniejsza ryzyko, że urządzenie może pominąć rozwiązanie Windows Autopilot, jeśli komputer zostanie zresetowany. To ustawienie wymaga, aby urządzenia miały połączenie sieciowe w fazie out of box experience. Aby skonfigurować to ustawienie, na karcie Ustawienia konfiguracji w profilu Ograniczenia urządzenia rozwiń węzeł Ogólne i skonfiguruj pozycję Wymagaj od użytkowników nawiązywania połączenia z siecią podczas konfigurowania urządzenia.

    Uwaga

    Ustawienie staje się skuteczne przy następnym wyczyszczoniu lub zresetowaniu urządzenia.

Optymalizacja dostarczania

Optymalizacja dostarczania służy do zmniejszania zużycia przepustowości przez udostępnianie pracy związanej z pobieraniem obsługiwanych pakietów między wieloma punktami końcowymi. Optymalizacja dostarczania to samoorganizująca się rozproszona pamięć podręczna, która umożliwia klientom pobieranie tych pakietów z alternatywnych źródeł, takich jak elementy równorzędne w sieci. Te źródła równorzędne uzupełniają tradycyjne serwery internetowe. Informacje o wszystkich ustawieniach dostępnych dla optymalizacji dostarczania i o tym, jakie typy pobierania są obsługiwane, można znaleźć w temacie Optymalizacja dostarczania dla aktualizacji systemu Windows.

Aby zastosować ustawienia optymalizacji dostarczania, utwórz profil optymalizacji dostarczania Intune lub profil katalogu ustawień.

Niektóre ustawienia, które są często używane przez organizacje, to:

  • Ogranicz wybór elementu równorzędnego — podsieć. To ustawienie ogranicza buforowanie równorzędne do komputerów w tej samej podsieci.
  • Identyfikator grupy. Klientów optymalizacji dostarczania można skonfigurować do udostępniania zawartości tylko urządzeniom w tej samej grupie. Identyfikatory grup można skonfigurować bezpośrednio, wysyłając identyfikator GUID za pośrednictwem zasad lub używając opcji DHCP w zakresach DHCP.

Klienci korzystający z Microsoft Configuration Manager mogą wdrażać serwery połączonej pamięci podręcznej, które mogą służyć do hostowania zawartości optymalizacji dostarczania. Aby uzyskać więcej informacji, przejdź do witryny Microsoft Connected Cache w Configuration Manager.

Administratorzy lokalni

Jeśli istnieje tylko jedna grupa użytkowników, która wymaga dostępu administratora lokalnego do wszystkich urządzeń z systemem Windows przyłączonych do Microsoft Entra, możesz dodać je do administratora lokalnego urządzenia przyłączonych do Microsoft Entra.

Może być wymagane, aby pomoc techniczna IT lub inny personel pomocy technicznej miał uprawnienia administratora lokalnego w wybranej grupie urządzeń. W systemie Windows 2004 lub nowszym możesz spełnić to wymaganie, korzystając z następujących dostawców usług konfiguracji.

Aby uzyskać więcej informacji, zobacz Jak zarządzać lokalną grupą administratorów na urządzeniach przyłączonych do Microsoft Entra

zasady grupy do migracji ustawień mdm

Istnieje kilka opcji tworzenia konfiguracji urządzenia podczas rozważania migracji z zasady grupy do zarządzania urządzeniami natywnymi dla chmury:

  • Rozpocznij od nowa i zastosuj ustawienia niestandardowe zgodnie z wymaganiami.
  • Przejrzyj istniejące zasady grupy i zastosuj wymagane ustawienia. Możesz użyć narzędzi, aby pomóc, na przykład zasady grupy analizy.
  • Użyj zasady grupy analytics, aby tworzyć profile konfiguracji urządzeń bezpośrednio dla obsługiwanych ustawień.

Przejście do natywnego dla chmury punktu końcowego systemu Windows stanowi okazję do przejrzenia wymagań obliczeniowych użytkowników końcowych i ustanowienia nowej konfiguracji na przyszłość. Tam, gdzie to możliwe, zacznij od nowa od minimalnego zestawu zasad. Unikaj przenoszenia niepotrzebnych lub starszych ustawień ze środowiska przyłączanego do domeny lub starszych systemów operacyjnych, takich jak Windows 7 lub Windows XP.

Aby rozpocząć od nowa, przejrzyj bieżące wymagania i zaimplementuj minimalną kolekcję ustawień, aby spełnić te wymagania. Wymagania mogą obejmować ustawienia i ustawienia zabezpieczeń regulacyjne lub obowiązkowe, aby ulepszyć środowisko użytkownika końcowego. Firma tworzy listę wymagań, a nie IT. Każde ustawienie powinno być udokumentowane, zrozumiałe i powinno służyć celowi.

Migrowanie ustawień z istniejących zasad grupy do rozwiązania MDM (Microsoft Intune) nie jest preferowanym podejściem. Po przejściu do systemu Windows natywnego dla chmury nie powinno być celem podnoszenia i przenoszenia istniejących ustawień zasad grupy. Zamiast tego należy wziąć pod uwagę docelowych odbiorców i ustawienia, których potrzebują. Przeglądanie poszczególnych ustawień zasad grupy w środowisku w celu określenia jego istotności i zgodności z nowoczesnym urządzeniem zarządzanym jest czasochłonne i prawdopodobnie niepraktyczne. Unikaj prób oceny wszystkich zasad grupy i poszczególnych ustawień. Zamiast tego skoncentruj się na ocenie tych typowych zasad, które obejmują większość urządzeń i scenariuszy.

Zamiast tego zidentyfikuj ustawienia zasad grupy, które są obowiązkowe, i przejrzyj te ustawienia pod kątem dostępnych ustawień zarządzania urządzeniami przenośnymi. Wszelkie luki reprezentują blokery, które mogą uniemożliwić kontynuowanie pracy z urządzeniem natywnym dla chmury, jeśli nie zostanie rozwiązane. Narzędzia takie jak zasady grupy analytics mogą służyć do analizowania ustawień zasad grupy i określania, czy można je migrować do zasad mdm, czy nie.

Skrypty

Skryptów programu PowerShell można używać dla dowolnych ustawień lub dostosowań, które należy skonfigurować poza wbudowanymi profilami konfiguracji. Aby uzyskać więcej informacji, przejdź do tematu Dodawanie skryptów programu PowerShell do urządzeń z systemem Windows w Microsoft Intune.

Mapowanie dysków sieciowych i drukarek

Scenariusze natywne dla chmury nie mają wbudowanego rozwiązania dla zamapowanych dysków sieciowych. Zamiast tego zalecamy migrowanie użytkowników do aplikacji Teams, SharePoint i OneDrive dla Firm. Jeśli migracja nie jest możliwa, w razie potrzeby rozważ użycie skryptów.

W przypadku magazynu osobistego w kroku 8 — konfigurowanie ustawień dla optymalnego środowiska platformy Microsoft 365 skonfigurowaliśmy przenoszenie znanego folderu usługi OneDrive. Aby uzyskać więcej informacji, przejdź do pozycji Przekierowanie znanych folderów.

W przypadku magazynu dokumentów użytkownicy mogą również korzystać z integracji programu SharePoint z Eksplorator plików i możliwości lokalnej synchronizacji bibliotek, jak opisano tutaj: Synchronizowanie plików programu SharePoint i aplikacji Teams z komputerem.

Jeśli używasz firmowych szablonów dokumentów pakietu Office, które zazwyczaj znajdują się na serwerach wewnętrznych, rozważ nowszy odpowiednik oparty na chmurze, który umożliwia użytkownikom dostęp do szablonów z dowolnego miejsca.

W przypadku rozwiązań do drukowania rozważ użycie usługi Universal Print. Aby uzyskać więcej informacji, zobacz:

Aplikacje

Intune obsługuje wdrażanie wielu różnych typów aplikacji systemu Windows.

Jeśli masz aplikacje korzystające z instalatorów msi, exe lub skryptów, możesz wdrożyć wszystkie te aplikacje przy użyciu zarządzania aplikacjami Win32 w Microsoft Intune. Zawijanie tych instalatorów w formacie Win32 zapewnia większą elastyczność i korzyści, w tym powiadomienia, optymalizację dostarczania, zależności, reguły wykrywania i obsługę strony stanu rejestracji w rozwiązaniu Windows Autopilot.

Uwaga

Aby zapobiec konfliktom podczas instalacji, zalecamy, aby trzymać się wyłącznie funkcji aplikacji biznesowych systemu Windows lub aplikacji Win32. Jeśli masz aplikacje spakowane jako .msi lub .exe, można je przekonwertować na aplikacje Win32 (.intunewin) przy użyciu narzędzia Microsoft Win32 Content Prep Tool, które jest dostępne w usłudze GitHub.

Faza 5 — wdrażanie na dużą skalę za pomocą rozwiązania Windows Autopilot

Faza 5.

Teraz, po skonfigurowaniu punktu końcowego systemu Windows natywnego dla chmury i aprowizowaniu go przy użyciu rozwiązania Windows Autopilot, rozważ sposób importowania większej liczby urządzeń. Rozważ również, jak możesz współpracować z partnerem lub dostawcą sprzętu, aby rozpocząć aprowizowanie nowych punktów końcowych z chmury. Przejrzyj następujące zasoby, aby określić najlepsze podejście dla organizacji.

Jeśli z jakiegoś powodu rozwiązanie Windows Autopilot nie jest dla Ciebie właściwą opcją, istnieją inne metody rejestracji dla systemu Windows. Aby uzyskać więcej informacji, przejdź do Intune metod rejestracji dla urządzeń z systemem Windows.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

  1. Omówienie: Co to są punkty końcowe natywne dla chmury?
  2. 🡺 Samouczek: wprowadzenie do punktów końcowych systemu Windows natywnych dla chmury (jesteś tutaj)
  3. Koncepcja: przyłączone Microsoft Entra a przyłączone Microsoft Entra hybrydowe
  4. Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
  5. Przewodnik planowania wysokiego poziomu
  6. Znane problemy i ważne informacje

Przydatne zasoby online