Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här stegvisa självstudien visar hur du konfigurerar en molnbaserad Windows-slutpunkt med hjälp av Microsoft Intune och Windows Autopilot. En molnbaserad Windows-slutpunkt (ibland skriven som molnbaserad Windows) är Microsoft Entra ansluten, registrerad i Microsoft Intune och hanteras helt från molnet – ingen služba Active Directory-domänanslutning, ingen lokal infrastruktur krävs.
I slutet av den här självstudien har du en fullständigt konfigurerad Windows-enhet som är:
- Microsoft Entra ansluten och registrerad i Microsoft Intune
- Skyddas med Microsoft Defender Antivirus, BitLocker-kryptering, Windows LAPS och säkerhetsbaslinjer
- Etableras via Windows Autopilot med Microsoft 365-appar, Flytt av kända OneDrive-mappar och Företagsportal
- Redo att skala till resten av din Windows-flotta
Bakgrund finns i Vad är molnbaserade slutpunkter? och Hur planerar du din Microsoft Entra gå med i implementeringen.
Tips
När du läser om molnbaserade slutpunkter visas följande termer:
- Slutpunkt: En slutpunkt är en enhet, till exempel en mobiltelefon, surfplatta, bärbar dator eller stationär dator. "Slutpunkter" och "enheter" används utan åtskillnad.
- Hanterade slutpunkter: Slutpunkter som tar emot principer från organisationen med hjälp av en MDM-lösning eller grupprincip objekt. Dessa enheter är vanligtvis organisationsägda, men kan också vara BYOD- eller personligt ägda enheter.
- Molnbaserade slutpunkter: Slutpunkter som är anslutna till Microsoft Entra. De är inte anslutna till lokal AD.
- Arbetsbelastning: Alla program, tjänster eller processer.
Så här kommer du igång
Slutför de fem faserna i ordning – var och en bygger på den föregående.
| Fas | Mål |
|---|---|
| Fas 1 – Konfigurera din miljö | Förbereda din klientorganisation, testa enhet och baslinje för Autopilot-principer |
| Fas 2 – Skapa en molnbaserad Windows-slutpunkt | Etablera din första slutpunkt via Autopilot |
| Fas 3 – Skydda din molnbaserade Windows-slutpunkt | Tillämpa slutpunktssäkerhet: Defender, BitLocker, LAPS, baslinjer, uppdateringar |
| Fas 4 – Tillämpa anpassningar och granska din lokala konfiguration | Lägga till organisationsspecifika appar, inställningar och migrera från grupprincip |
| Fas 5 – Skala distributionen med Windows Autopilot | Skala etablering till din flotta med OEM-registrering, personas och distributionsringar |
När dina slutpunkter har distribuerats använder du avsnittet Övervaka dina molnbaserade Windows-slutpunkter för att verifiera princip-, app- och efterlevnadsstatus från Intune administrationscenter som en del av pågående åtgärder.
Fas 1 – Konfigurera din miljö
Innan du skapar din första molnbaserade Windows-slutpunkt finns det några viktiga krav och konfigurationer som måste kontrolleras. Den här fasen vägleder dig genom att kontrollera kraven, konfigurera Windows Autopilot och skapa vissa inställningar och program.
Steg 1 – Nätverkskrav
Din molnbaserade Windows-slutpunkt behöver åtkomst till flera Internettjänster. Starta testningen i ett öppet nätverk. Du kan också använda företagets nätverk när du har gett åtkomst till alla slutpunkter som anges i Windows Autopilot-nätverkskrav.
Om det trådlösa nätverket kräver certifikat kan du börja med en Ethernet-anslutning under testningen medan du fastställer den bästa metoden för trådlösa anslutningar för enhetsetablering.
Steg 2 – Registrering och licensiering
Innan du kan gå med i Microsoft Entra och registrera dig i Intune finns det några saker du behöver kontrollera. Du kan skapa en ny Microsoft Entra grupp, till exempel namnet Intune MDM-användare. Lägg sedan till specifika testanvändarkonton och rikta var och en av följande konfigurationer i gruppen för att begränsa vem som kan registrera enheter när du konfigurerar konfigurationen. Om du vill skapa en Microsoft Entra grupp går du till Hantera Microsoft Entra grupper och gruppmedlemskap.
Registreringsbegränsningar Med registreringsbegränsningar kan du styra vilka typer av enheter som kan registreras för hantering med Intune. För att den här guiden ska lyckas kontrollerar du att Windows-registrering (MDM) tillåts, vilket är standardkonfigurationen.
Information om hur du konfigurerar registreringsbegränsningar finns i Ange registreringsbegränsningar i Microsoft Intune.
Microsoft Entra ENHETS-MDM-inställningar När du ansluter en Windows-enhet till Microsoft Entra kan Microsoft Entra konfigureras så att enheterna automatiskt registreras med en MDM. Den här konfigurationen krävs för att Windows Autopilot ska fungera.
Om du vill kontrollera att mdm-inställningarna för din Microsoft Entra-enhet är korrekt aktiverade går du till Snabbstart – Konfigurera automatisk registrering i Intune.
Microsoft Entra företagsanpassning Lägga till företagets logotyp och bilder i Microsoft Entra säkerställer att användarna ser en välbekant och konsekvent look-and-feel när de loggar in på Microsoft 365. Den här konfigurationen krävs för att Windows Autopilot ska fungera.
Information om hur du konfigurerar anpassad varumärkesanpassning i Microsoft Entra finns i Lägg till varumärkesanpassning på organisationens Microsoft Entra inloggningssida.
Licensiering Användare som registrerar Windows-enheter från OOBE (Out Of Box Experience) till Intune kräver två viktiga funktioner.
Användarna behöver följande licenser:
- En Microsoft Intune- eller Microsoft Intune for Education-licens
- En licens som något av följande alternativ som möjliggör automatisk MDM-registrering:
- Microsoft Entra Premium P1
- Microsoft Intune för utbildning
Om du vill tilldela licenser går du till Tilldela Microsoft Intune licenser.
Obs!
Båda typerna av licenser ingår vanligtvis i licenspaket, till exempel Microsoft 365 E3 (eller A3) och högre. Visa jämförelser av Microsoft 365-licensiering här.
Steg 3 – Importera testenheten
För att testa den molnbaserade Windows-slutpunkten måste vi börja med att förbereda en virtuell dator eller fysisk enhet för testning. Följande steg hämtar enhetsinformationen och laddar upp dem till Windows Autopilot-tjänsten, som används senare i den här artikeln.
Obs!
Följande steg är ett sätt att importera en enhet för testning, men partner och OEM-tillverkare kan importera enheter till Windows Autopilot för din räkning som en del av köpet. Det finns mer information om Windows Autopilot i fas 5.
Installera Windows på en virtuell dator eller återställ en fysisk enhet så att den väntar på OOBE-konfigurationsskärmen. För en virtuell dator kan du även skapa en kontrollpunkt.
Slutför de steg som krävs för att ansluta till Internet.
Öppna en kommandotolk med hjälp av tangentkombinationen Skift + F10 .
Kontrollera att du har internetåtkomst genom att pinga bing.com:
ping bing.com
Växla till PowerShell genom att köra kommandot:
powershell.exe
Ladda ned skriptet Get-WindowsAutopilotInfo genom att köra följande kommandon:
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope ProcessInstall-Script Get-WindowsAutopilotInfo
När du uppmanas till det anger du Y som ska accepteras.
Skriv följande kommando:
Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online
Obs!
Med grupptaggar kan du skapa dynamiska Microsoft Entra grupper baserat på en delmängd av enheterna. Grupptaggar kan anges när enheter importeras eller ändras senare i Microsoft Intune administrationscenter. Vi använder grupptaggen CloudNative i steg 4. Du kan ange taggnamnet till något annat för testningen.
Logga in med ditt Intune administratörskonto när du uppmanas att ange autentiseringsuppgifter.
Låt datorn vara borta till fas 2.
Steg 4 – Skapa Microsoft Entra dynamisk grupp för enheten
Om du vill begränsa konfigurationerna från den här guiden till de testenheter som du importerar till Windows Autopilot skapar du en dynamisk Microsoft Entra grupp. Den här gruppen bör automatiskt inkludera de enheter som importerar till Windows Autopilot och ha grupptaggen CloudNative. Du kan sedan rikta in dig på alla dina konfigurationer och program i den här gruppen.
Välj Grupper>Ny grupp. Ange följande information:
- Grupptyp: Välj Säkerhet.
- Gruppnamn: Ange Autopilot Cloud-Native Windows-slutpunkter.
- Medlemskapstyp: Välj Dynamisk enhet.
Välj Lägg till dynamisk fråga.
I avsnittet Regelsyntax väljer du Redigera.
Klistra in följande text:
(device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))Välj OK>Spara>skapa.
Tips
Det tar några minuter för dynamiska grupper att fyllas i när ändringarna har inträffat. I stora organisationer kan det ta längre tid. När du har skapat en ny grupp väntar du några minuter innan du kontrollerar att enheten nu är medlem i gruppen.
Mer information om dynamiska grupper för enheter finns i Regler för enheter.
Steg 5 – Konfigurera registreringsstatussidan
Registreringsstatussidan (ESP) är den mekanism som IT-proffs använder för att styra slutanvändarupplevelsen under slutpunktsetablering. Se Konfigurera sidan Registreringsstatus. Om du vill begränsa omfånget för registreringsstatussidan kan du skapa en ny profil och rikta autopilot-gruppen Cloud-Native Windows-slutpunkter som skapades i föregående steg, Skapa Microsoft Entra dynamisk grupp för enheten.
För testning rekommenderar vi följande inställningar, men du kan justera dem efter behov:
Inställning Värde Visa förlopp för app- och profilkonfiguration Ja Visa endast sida för enheter som etablerats av OOBE (Out-of-Box Experience) Ja (standard)
Steg 6 – Skapa och tilldela Windows Autopilot-profilen
Nu kan vi skapa Windows Autopilot-profilen och tilldela den till vår testenhet. Den här profilen instruerar enheten att ansluta Microsoft Entra och vilka inställningar som ska tillämpas under OOBE.
Välj Enheter>Registrering av enhetsregistrering>>Windows>WindowsAutopilot-distributionsprofiler>.
Välj Skapa profil för>Windows-dator.
Ange namnet Autopilot Cloud-Native Windows-slutpunkter och välj sedan Nästa.
I inställningarna för out-of-box experience (OOBE) bekräftar du följande nyckelvärden och väljer Nästa:
Inställning Värde Distributionsläge Användardriven Anslut till Microsoft Entra ID som Microsoft Entra ansluten Typ av användarkonto Standard Använd mall för enhetsnamn Valfri. En namngivningsmall som CloudPC-%SERIAL%gör enheter enkla att identifiera i administrationscentret.Viktigt
Att ange Typ av användarkonto till Standard är en säkerhetsmetod. Det hindrar användare från att installera icke-godkänd programvara och minskar attackytan på molnbaserade slutpunkter.
Lämna omfångstaggar och välj Nästa.
Tilldela profilen till den Microsoft Entra grupp som du skapade med namnet Autopilot Cloud-Native Windows-slutpunkter, välj Nästa och välj sedan Skapa.
Steg 7 – Synkronisera Windows Autopilot-enheter
Windows Autopilot-tjänsten synkroniseras flera gånger om dagen. Du kan också utlösa en synkronisering omedelbart så att enheten är redo att testa. Så här synkroniserar du omedelbart:
Välj Enheter>Registrering av enheter Registrering>> avWindows>WindowsAutopilot-enheter>.
Välj Synkronisera.
Synkroniseringen tar flera minuter och fortsätter i bakgrunden. När synkroniseringen är klar visas profilstatusen för den importerade enheten Tilldelad.
Steg 8 – Konfigurera inställningar för en optimal Microsoft 365-upplevelse
Vi har valt några inställningar som ska konfigureras. De här inställningarna visar en optimal Microsoft 365-slutanvändarupplevelse på din molnbaserade Windows-enhet. De här inställningarna konfigureras med en katalogprofil för enhetskonfigurationsinställningar. Mer information finns i Skapa en princip med hjälp av inställningskatalogen i Microsoft Intune.
När du har skapat profilen och lagt till inställningarna tilldelar du profilen till gruppen Autopilot Cloud-Native Windows-slutpunkter som skapades tidigare.
Outlook – För att förbättra den första körningen för Outlook konfigurerar följande inställning automatiskt en profil när Outlook öppnas för första gången.
Ange kategori Inställning Värde Outlook 2016\Kontoinställningar\Exchange (användarinställning) Konfigurera endast den första profilen automatiskt baserat på Den primära SMTP-adressen för služba Active Directory Aktiverat Microsoft Edge – För att förbättra den första körningsupplevelsen för Microsoft Edge konfigurerar följande inställningar Microsoft Edge för att synkronisera användarens inställningar och hoppa över den första körningen.
Ange kategori Inställning Värde Microsoft Edge Dölj välkomstskärmen och välkomstskärmen Aktiverat Framtvinga synkronisering av webbläsardata och visa inte frågan om synkroniseringsmedgivande Aktiverat Microsoft OneDrive – För att förbättra den första inloggningen konfigurerar följande inställningar Microsoft OneDrive för automatisk inloggning och omdirigering av Skrivbord, Bilder och Dokument till OneDrive. Files på begäran (FOD) rekommenderas också. Den är aktiverad som standard och ingår inte i följande lista. Mer information om den rekommenderade konfigurationen för OneDrive-synkronisering-appen finns i Rekommenderad appkonfiguration för synkronisering för Microsoft OneDrive.
Ange kategori Inställning Värde OneDrive Logga tyst in användare till OneDrive-synkronisering-appen med sina Windows-autentiseringsuppgifter Aktiverat Flytta windows-kända mappar tyst till OneDrive Aktiverat Obs!
Mer information finns i Omdirigera kända mappar.
Följande skärmbild visar ett exempel på en inställningskatalogprofil med var och en av de föreslagna inställningarna konfigurerade:
Steg 9 – Skapa och tilldela vissa program
Din molnbaserade slutpunkt behöver vissa program. För att komma igång rekommenderar vi att du konfigurerar följande program och riktar in dem på gruppen Autopilot Cloud-Native Windows-slutpunkter som skapades tidigare.
Microsoft 365-applikationer (tidigare Office 365 ProPlus) – Microsoft 365-applikationer som Word, Excel och Outlook kan enkelt distribueras till enheter med hjälp av den inbyggda Microsoft 365-appprofilen för Windows i Intune.
- Välj configuration designer för inställningsformatet, till skillnad från XML.
- Välj Aktuell kanal för uppdateringskanalen.
Om du vill distribuera Microsoft 365-applikationer går du till Lägg till Microsoft 365-appar på Windows-enheter med hjälp av Microsoft Intune
Företagsportal app – Vi rekommenderar att du distribuerar Intune Företagsportal till alla enheter som ett obligatoriskt program. Företagsportal app är självbetjäningshubben för användare som de använder för att installera program från flera källor, till exempel Intune, Microsoft Store och Configuration Manager. Användarna använder också Företagsportal-appen för att synkronisera sin enhet med Intune, kontrollera efterlevnadsstatus och så vidare.
Information om hur du distribuerar Företagsportal efter behov finns i Lägga till och tilldela Windows Företagsportal-appen för Intune hanterade enheter.
Microsoft Store-app (Whiteboard) – Även om Intune kan distribuera en mängd olika appar distribuerar vi en store-app (Microsoft Whiteboard) för att hålla det enkelt för den här guiden. Följ stegen i Lägg till Microsoft Store-appar för att Microsoft Intune för att installera Microsoft Whiteboard.
Fas 2 – Skapa en molnbaserad Windows-slutpunkt
Om du vill skapa din första molnbaserade Windows-slutpunkt använder du samma virtuella dator eller fysiska enhet som du samlade in och laddade sedan upp maskinvaruhashen till Windows Autopilot-tjänsten i fas 1, steg 3 – Importera testenheten. Med den här enheten går du igenom Windows Autopilot-processen.
Återuppta (eller återställ vid behov) din Windows-dator till OOBE (Out of Box Experience).
Obs!
Om du uppmanas att välja konfiguration för personlig eller en organisation startades inte Windows Autopilot-processen. I så fall startar du om enheten och ser till att den har internetåtkomst. Om det fortfarande inte fungerar kan du prova att återställa datorn eller installera om Windows.
Logga in med Microsoft Entra autentiseringsuppgifter (UPN eller AzureAD\username).
Registreringsstatussidan visar status för enhetskonfigurationen.
Grattis! Du etablerade din första molnbaserade Windows-slutpunkt!
Verifiera din slutpunkt
Kontrollera följande uppgifter på den nya enheten innan du går över till fas 3:
- OneDrive-mappar (Desktop, Dokument, Bilder) omdirigeras och synkroniseras.
- Outlook öppnas och konfigurerar din Microsoft 365-profil automatiskt.
- Företagsportal installeras och Microsoft Whiteboard är tillgängligt.
- Du kan logga in med dina Microsoft Entra autentiseringsuppgifter och komma åt molnresurser.
- Lokala resurser (filresurser, intranätplatser, skrivare) är tillgängliga om det behövs.
Om du uppmanas att ange ett lösenord när du använder Windows Hello för att komma åt lokala resurser Windows Hello för företag Hybrid inte har konfigurerats ännu. Du kan fortsätta testa genom att välja nyckelikonen på inloggningsskärmen och använda ditt användarnamn och lösenord i stället. Mer information finns i Windows Hello för företag Hybrid.
Fas 3 – Skydda din molnbaserade Windows-slutpunkt
Den här fasen är utformad för att hjälpa dig att skapa säkerhetsinställningar för din organisation. I det här avsnittet uppmärksammas de olika endpoint Security-komponenterna i Microsoft Intune inklusive:
- Microsoft Defender Antivirus (MDAV)
- Microsoft Defender-brandväggen
- BitLocker-kryptering
- Lösenordslösning för lokal Windows-administratör (LAPS)
- Säkerhetsbaslinjer
- Windows Update klientprinciper
- Efterlevnadsprincip
- Villkorsstyrd åtkomst
Microsoft Defender Antivirus (MDAV)
Följande inställningar rekommenderas som en minsta konfiguration för Microsoft Defender Antivirus, en inbyggd OS-komponent i Windows. De här inställningarna kräver inget specifikt licensavtal, till exempel E3 eller E5, och kan aktiveras i Microsoft Intune administrationscenter.
Intune-administrationscenter
Microsoft GraphI administrationscentret går du till Endpoint Security>Antivirus>Skapa princip>Windows och senare>Profiltyp = Microsoft Defender Antivirus.
Defender:
- Tillåt beteendeövervakning: Tillåts. Aktiverar beteendeövervakning i realtid.
- Tillåt molnskydd: Tillåts. Aktiverar Cloud Protection.
- Tillåt Email genomsökning: Tillåts. Aktiverar e-postgenomsökning.
- Tillåt genomsökning av alla nedladdade filer och bifogade filer: Tillåts.
- Tillåt realtidsövervakning: Tillåts. Aktiverar och kör realtidsövervakningstjänsten.
- Tillåt genomsökning av Files: Tillåts. Söker igenom nätverksfiler.
- Tillåt skriptgenomsökning: Tillåts.
- Utökad tidsgräns för molnet: 50
- Dagar för att behålla rensad skadlig kod: 30
- Aktivera nätverksskydd: Aktiverat (granskningsläge)
- PUA-skydd: PUA-skydd på. Identifierade objekt blockeras. De visas i historiken tillsammans med andra hot.
- Genomsökningsriktning i realtid: Övervaka alla filer (dubbelriktade).
- Skicka exempelmedgivande: Skicka säkra exempel automatiskt.
- Tillåt vid åtkomstskydd: Tillåts.
- Åtgärd för allvarliga hot: Karantän. Flyttar filer till karantän.
- Åtgärd för hot med låg allvarlighetsgrad: Karantän. Flyttar filer till karantän.
- Åtgärd för hot med måttlig allvarlighetsgrad: Karantän. Flyttar filer till karantän.
- Åtgärd för hot med hög allvarlighetsgrad: Karantän. Flyttar filer till karantän.
användarikonen längst upp till höger för att logga in och logga in med ditt Intune administratörsorganisationskonto.Mer information om Windows Defender-konfiguration, inklusive Microsoft Defender för Endpoint för kundens licens för E3 och E5, finns i:
- Nästa generations skydd i Windows, Windows Server 2016 och Windows Server 2019
- Utvärdera Microsoft Defender Antivirus
Microsoft Defender-brandväggen
Använd Endpoint Security i Microsoft Intune för att konfigurera brandväggs- och brandväggsreglerna. Mer information finns i Brandväggsprincip för slutpunktssäkerhet i Intune.
Microsoft Defender-brandväggen kan identifiera ett betrott nätverk med hjälp av CSP:n NetworkListManager. Och den kan växla till domänbrandväggsprofilen på slutpunkter som kör Windows.
Med domännätverksprofilen kan du separera brandväggsregler baserat på ett betrott nätverk, ett privat nätverk och ett offentligt nätverk. De här inställningarna kan tillämpas med en anpassad Windows-profil.
Obs!
Microsoft Entra anslutna slutpunkter kan inte använda LDAP för att identifiera en domänanslutning på samma sätt som domänanslutna slutpunkter gör. Använd i stället CSP:n NetworkListManager för att ange en TLS-slutpunkt som när den är tillgänglig växlar slutpunkten till domänbrandväggsprofilen.
BitLocker-kryptering
Använd Endpoint Security i Microsoft Intune för att konfigurera kryptering med BitLocker.
- Mer information om hur du hanterar BitLocker finns i Kryptera Windows-enheter med BitLocker i Intune.
- Kolla in vår bloggserie om BitLocker på Enabling BitLocker with Microsoft Intune (Aktivera BitLocker med Microsoft Intune).
De här inställningarna kan aktiveras i Microsoft Intune administrationscenter. I administrationscentret går du till Endpoint Security>Hantera>diskkryptering>Skapa princip>Windows och senare>Profil = BitLocker.
När du konfigurerar följande BitLocker-inställningar aktiverar de tyst 128-bitarskryptering för standardanvändare, vilket är ett vanligt scenario. Din organisation kan dock ha olika säkerhetskrav, så använd BitLocker-dokumentationen för fler inställningar.
| Ange kategori | Inställning | Värde |
|---|---|---|
| BitLocker | Kräv enhetskryptering | Aktiverat |
| Tillåt varning för annan diskkryptering | Inaktiverad | |
| Tillåt standardanvändarkryptering | Aktiverat | |
| Konfigurera återställning av lösenordsrotation | Uppdatera på för Azure AD-anslutna enheter | |
| BitLocker-diskkryptering | Välj enhetskrypteringsmetod och chifferstyrka | Inte konfigurerad |
| Ange unika identifierare för din organisation | Inte konfigurerad | |
| Operativsystemenheter | Framtvinga enhetskrypteringstyp på operativsystemenheter | Aktiverat |
| Välj krypteringstyp (enhet) | Kryptering med endast använt utrymme | |
| Kräv ytterligare autentisering vid start | Aktiverat | |
| Tillåt BitLocker utan en kompatibel TPM (kräver ett lösenord eller en startnyckel på ett USB-flashminne) | Falskt | |
| Konfigurera TPM-startnyckel och PIN-kod | Tillåt startnyckel och PIN-kod med TPM | |
| Konfigurera TPM-startnyckel | Tillåt startnyckel med TPM | |
| Konfigurera PIN-kod för TPM-start | Tillåt pin-kod för start med TPM | |
| Konfigurera TPM-start | Kräv TPM | |
| Konfigurera minsta PIN-kodslängd för start | Inte konfigurerad | |
| Tillåt utökade PIN-koder för start | Inte konfigurerad | |
| Tillåt inte att standardanvändare ändrar PIN-koden eller lösenordet | Inte konfigurerad | |
| Tillåt enheter som är kompatibla med InstantGo eller HSTI att välja bort PIN-kod före start | Inte konfigurerad | |
| Aktivera användning av BitLocker-autentisering som kräver indata från förstartstangentbord på skiffer | Inte konfigurerad | |
| Välj hur BitLocker-skyddade operativsystemenheter kan återställas | Aktiverat | |
| Konfigurera användarlagring av BitLocker-återställningsinformation | Kräv 48-siffrigt återställningslösenord | |
| Tillåt dataåterställningsagent | Falskt | |
| Konfigurera lagring av BitLocker-återställningsinformation till AD DS | Lagra återställningslösenord och nyckelpaket | |
| Aktivera inte BitLocker förrän återställningsinformationen har lagrats i AD DS för operativsystemenheter | Sant | |
| Utelämna återställningsalternativ från installationsguiden för BitLocker | Sant | |
| Spara BitLocker-återställningsinformation i AD DS för operativsystemenheter | Sant | |
| Konfigurera återställningsmeddelande och URL före start | Inte konfigurerad | |
| Fasta dataenheter | Framtvinga enhetskrypteringstyp på fasta dataenheter | Aktiverat |
| Välj krypteringstyp: (Enhet) | Tillåt användare att välja (standard) | |
| Välj hur BitLocker-skyddade fasta enheter kan återställas | Aktiverat | |
| Konfigurera användarlagring av BitLocker-återställningsinformation | Kräv 48-siffrigt återställningslösenord | |
| Tillåt dataåterställningsagent | Falskt | |
| Konfigurera lagring av BitLocker-återställningsinformation till AD DS | Säkerhetskopiera återställningslösenord och nyckelpaket | |
| Aktivera inte BitLocker förrän återställningsinformationen har lagrats i AD DS för fasta dataenheter | Sant | |
| Utelämna återställningsalternativ från installationsguiden för BitLocker | Sant | |
| Spara BitLocker-återställningsinformation i AD DS för fasta dataenheter | Sant | |
| Neka skrivåtkomst till fasta enheter som inte skyddas av BitLocker | Inte konfigurerad | |
| Flyttbara dataenheter | Kontrollera användningen av BitLocker på flyttbara enheter | Aktiverat |
| Tillåt användare att använda BitLocker-skydd på flyttbara dataenheter (enhet) | Falskt | |
| Tillåt användare att pausa och dekryptera BitLocker-skydd på flyttbara dataenheter (enhet) | Falskt | |
| Neka skrivåtkomst till flyttbara enheter som inte skyddas av BitLocker | Inte konfigurerad |
Lösenordslösning för lokal Windows-administratör (LAPS)
Som standard är det inbyggda lokala administratörskontot (välkänd SID S-1-5-500) inaktiverat. Det finns vissa scenarier där ett lokalt administratörskonto kan vara fördelaktigt, till exempel felsökning, slutanvändarsupport och enhetsåterställning. Om du väljer att aktivera det inbyggda administratörskontot eller skapa ett nytt lokalt administratörskonto är det viktigt att skydda lösenordet för det kontot.
Windows Local Administrator Password Solution (LAPS) är en av de funktioner som du kan använda för att slumpmässigt och säkert lagra lösenordet i Microsoft Entra. Om du använder Intune som MDM-tjänst använder du följande steg för att aktivera Windows LAPS.
Viktigt
Windows LAPS förutsätter att det lokala standardadministratörskontot är aktiverat, även om det har bytt namn eller om du skapar ett annat lokalt administratörskonto. Windows LAPS skapar eller aktiverar inte några lokala konton åt dig om du inte konfigurerar läget för automatisk kontohantering.
Du måste skapa eller aktivera lokala konton separat från att konfigurera Windows LAPS. Du kan skripta den här uppgiften eller använda CSP:er (Configuration Service Providers), till exempel CSP för konton eller PRINCIP-CSP.
Kontrollera att säkerhetsuppdateringen för April 2023 (eller senare) är installerad på dina Windows-enheter.
Mer information finns i Microsoft Entra uppdateringar av operativsystemet.
Aktivera Windows LAPS i Microsoft Entra:
- Logga in på Microsoft Entra.
- För inställningen Aktivera lokal administratörslösenordslösning (LAPS) väljer du Ja>Spara (överst på sidan).
Mer information finns i Aktivera Windows LAPS med Microsoft Entra.
Skapa en slutpunktssäkerhetsprincip i Intune:
- Logga in på Microsoft Intune administrationscenter.
- Välj Endpoint Security>Account Protection>Create Policy>Windows>Local admin password solution (Windows LAPS)>Create.
Mer information finns i Skapa en LAPS-princip i Intune.
Säkerhetsbaslinjer
Du kan använda säkerhetsbaslinjer för att tillämpa en uppsättning konfigurationer som är kända för att öka säkerheten för en Windows-slutpunkt. Mer information om säkerhetsbaslinjer finns i Säkerhetsbaslinjeinställningar för Windows MDM för Intune.
Baslinjer kan tillämpas med hjälp av de föreslagna inställningarna och anpassas enligt dina krav. Vissa inställningar i baslinjer kan orsaka oväntade resultat eller vara inkompatibla med appar och tjänster som körs på dina Windows-slutpunkter. Därför bör baslinjer testas isolerat. Använd endast baslinjen på en selektiv grupp med testslutpunkter utan några andra konfigurationsprofiler eller inställningar.
Kända problem med säkerhetsbaslinjer
Följande inställningar i Windows säkerhetsbaslinje kan orsaka problem med Windows Autopilot eller försök att installera appar som en standardanvändare:
- Säkerhetsalternativ för lokala principer\Beteende vid frågor om utökade administratörsbehörigheter (standard = Fråga efter medgivande på det skyddade skrivbordet)
- Standardbeteende för fråga om utökade privilegier (standard = Neka begäranden om utökade privilegier automatiskt)
Mer information finns i Felsöka principkonflikter med Windows Autopilot.
Windows Update klientprinciper
Windows Update klientprinciper är molntekniken för att styra hur och när uppdateringar installeras på enheter. I Intune kan Windows Update klientprinciper konfigureras med hjälp av:
Mer information finns i:
- Lär dig mer om att använda Windows Update klientprinciper i Microsoft Intune
- Modul 4.2 – Windows Update för affärsprinciper från videoserien Intune for Education Deployment Workshop
Tips
För molnbaserade miljöer bör du överväga Windows Autopatch. Autopatch automatiserar hantering och rapportering av uppdateringsringar, vilket tar bort behovet av att manuellt justera uppskjutningsperioder och tidsgränser. Det ingår i Microsoft Intune och är den rekommenderade metoden för organisationer som vill ha helt automatiserade, principdrivna Windows-uppdateringar med minimal administratörskostnad.
Efterlevnadsprincip
En efterlevnadsprincip rapporterar om hälsotillståndet för dina molnbaserade Windows-slutpunkter, till exempel om BitLocker är aktiverat, säker start är aktiverat och Microsoft Defender Antivirus körs. Principen är också grunden för villkorsstyrd åtkomst, så du kan blockera inkompatibla enheter från att komma åt organisationsresurser.
Så här skapar du en Windows-efterlevnadsprincip:
Logga in på Microsoft Intune administrationscenter.
VäljEnhetsefterlevnad>>Skapa princip.
För Plattform väljer du Windows 10 och senare>Skapa.
I Grundläggande anger du ett namn för principen och väljer Nästa.
I Kompatibilitetsinställningar konfigurerar du följande rekommenderade värden och väljer Nästa:
Ange kategori Inställning Värde Enhetshälsotillstånd Kräv BitLocker Kräver Kräv säker start för att aktiveras på enheten Kräver Kräv kodintegritet Kräver Systemsäkerhet Brandvägg Kräver Antivirus Kräver Antispyware Kräver Kräv lösenord för att låsa upp mobila enheter Kräver Enkla lösenord Blockera Lösenordstyp Alfanumeriska Minsta längd på lösenord 14 Maximalt antal minuter av inaktivitet innan lösenord krävs 1 minut Lösenordets giltighetstid (dagar) 365 Antal tidigare lösenord för att förhindra återanvändning 5 Defender Microsoft Defender program mot skadlig kod Kräver Microsoft Defender Säkerhetsinformation för program mot skadlig kod uppdaterad Kräver Realtidsskydd Kräver Tips
Microsoft och den aktuella NIST-vägledningen rekommenderar inte längre regelbunden giltighetstid för lösenord. Windows säkerhetsbaslinje tog bort lösenordets giltighetstid 2019. För molnbaserade slutpunkter är den starkaste hållningen att flytta användare till lösenordslös inloggning med Windows Hello för företag och nycklar/FIDO2-säkerhetsnycklar och blockera svaga lösenord med Microsoft Entra lösenordsskydd. Justera värdena ovan så att de matchar organisationens princip. Mer information finns i Lösenordsfri autentisering med Microsoft Intune.
I Åtgärder för inkompatibilitet anger du schemat Markera enheten som inkompatibel till
1dag (eller en annan respitperiod som passar din organisation).Tips
Om du använder villkorsstyrd åtkomst konfigurerar du en respitperiod så att inkompatibla enheter inte omedelbart förlorar åtkomsten till organisationsresurser. Du kan också lägga till en åtgärd för e-postanvändare med steg för att bli kompatibla.
Tilldela principen till gruppen Autopilot Cloud-Native Windows-slutpunkter från steg 4 – Skapa Microsoft Entra dynamisk grupp för enheten.
Mer information om kompatibilitetsinställningar för Windows finns i kompatibilitetsinställningar för Windows-enheter i Microsoft Intune.
Villkorsstyrd åtkomst
Villkorlig åtkomst i Microsoft Entra använder efterlevnadssignal från Intune för att tillåta eller blockera åtkomst till organisationsresurser. Det vanligaste molnbaserade mönstret är att kräva en kompatibel enhet för Microsoft 365-appar och andra molntjänster. Det här mönstret säkerställer att endast Intune hanterade, felfria enheter kan komma åt dina data.
En typisk baslinje för molnbaserad villkorsstyrd åtkomst omfattar:
- Kräv multifaktorautentisering för alla användare.
- Kräv en kompatibel enhet (eller hybrid Microsoft Entra ansluten enhet) för molnappar.
- Blockera äldre autentiseringsprotokoll .
Viktigt
Testa principer för villkorsstyrd åtkomst i en pilotgrupp först. En felkonfigurerad princip kan låsa administratörer från Microsoft Entra administrationscenter.
Stegvisa anvisningar finns i:
- Villkorlig åtkomst: Kräv kompatibel eller hybrid Microsoft Entra ansluten enhet
- Planera en distribution av villkorsstyrd åtkomst
- Vanliga principer för villkorsstyrd åtkomst
Fas 4 – Tillämpa anpassningar och granska din lokala konfiguration
I den här fasen tillämpar du organisationsspecifika inställningar, appar och granskar din lokala konfiguration. Fasen hjälper dig att skapa eventuella anpassningar som är specifika för din organisation. Observera de olika komponenterna i Windows, hur du kan granska befintliga konfigurationer från en lokal AD-grupprincip-miljö och tillämpa dem på molnbaserade slutpunkter. Det finns avsnitt för vart och ett av följande områden:
- Användarupplevelse
- Enhetskonfiguration
- Migrera från en lokal plats
- Program
Microsoft Edge
Microsoft Edge-distribution
Microsoft Edge ingår på enheter som kör:
- Windows
När användarna har loggat in uppdateras Microsoft Edge automatiskt. Om du vill utlösa en uppdatering för Microsoft Edge under distributionen kan du köra följande kommando:
Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"
Om du vill distribuera Microsoft Edge till tidigare versioner av Windows går du till Lägg till Microsoft Edge för Windows för att Microsoft Intune.
Microsoft Edge-konfiguration
Två komponenter i Microsoft Edge-upplevelsen, som gäller när användare loggar in med sina Microsoft 365-autentiseringsuppgifter, kan konfigureras från Microsoft 365 Admin Center.
Du kan anpassa logotypen för startsidan i Microsoft Edge genom att konfigurera avsnittet Din organisation i Administrationscenter för Microsoft 365. Mer information finns i Anpassa Microsoft 365-temat för din organisation.
Standardupplevelsen för den nya fliksidan i Microsoft Edge innehåller Office 365 information och anpassade nyheter. Hur den här sidan visas kan anpassas från Administrationscenter för Microsoft 365 på inställningar>organisationsinställningar>Nyheter>Microsoft Edge ny fliksida.
Du kan också ange andra inställningar för Microsoft Edge med hjälp av katalogprofiler för inställningar. Du kanske till exempel vill konfigurera specifika synkroniseringsinställningar för din organisation.
-
Microsoft Edge
- Konfigurera listan över typer som undantas från synkronisering – lösenord
Start- och aktivitetsfältets layout
Du kan anpassa och ange en standardlayout för start och aktivitetsfältet med hjälp av Intune.
För Windows 11:
- Om du vill skapa och använda en Start-menylayout går du till Anpassa Start-menylayouten på Windows 11.
- Om du vill skapa och använda en layout för aktivitetsfältet går du till Anpassa aktivitetsfältet på Windows 11.
För Windows 10:
- Mer information om anpassning av start- och aktivitetsfältet finns i Hantera Windows Start- och aktivitetsfältets layout (Windows).
- Om du vill skapa en start- och aktivitetsfältslayout går du till Anpassa och exportera Startlayout (Windows).
När layouten har skapats kan den laddas upp till Intune genom att konfigurera en profil för enhetsbegränsningar. Inställningen finns under kategorin Start .
Viktigt
Den 14 oktober 2025 upphörde Windows 10 supporten och får inte kvalitets- och funktionsuppdateringar. Windows 10 är en tillåten version i Intune. Enheter som kör den här versionen kan fortfarande registreras i Intune och använda berättigade funktioner, men funktionerna garanteras inte och kan variera.
Katalog för inställningar
Inställningskatalogen är en enda plats där alla konfigurerbara Windows-inställningar visas. Den här funktionen förenklar hur du skapar en princip och hur du ser alla tillgängliga inställningar. Mer information finns i Skapa en princip med hjälp av inställningskatalogen i Microsoft Intune.
Tips
Många av de inställningar som du är bekant med från grupprinciper är inbyggda i inställningskatalogen. Om inställningarna inte är tillgängliga i inställningskatalogen kontrollerar du mallarna för enhetskonfigurationsprofiler.
Följande är några inställningar som är tillgängliga i inställningskatalogen som kan vara relevanta för din organisation:
Azure Active Directory-önskad klientdomän – Den här inställningen konfigurerar att det önskade klientdomännamnet läggs till i en användares användarnamn. Med en önskad klientdomän kan användarna logga in på Microsoft Entra slutpunkter med endast sitt användarnamn i stället för hela UPN så länge användarens domännamn matchar den önskade klientdomänen. För användare som har olika domännamn kan de skriva hela sitt UPN.
Ange kategori Inställning Värde Autentisering Önskat domännamn för AAD-klientorganisation Ange domännamn, till exempel contoso.onmicrosoft.com.Obs!
Inställningsetiketten använder äldre terminologi. "AAD" refererar till Microsoft Entra ID.
Windows Spotlight – Som standard är flera konsumentfunktioner i Windows aktiverade, vilket resulterar i att valda Store-appar installeras och förslag från tredje part på låsskärmen. Du kan styra detta med hjälp av avsnittet Erfarenhet i inställningskatalogen.
Ange kategori Inställning Värde Experience > Allow Windows Spotlight Tillåt Windows-konsumentfunktioner Blockera Tillåt förslag från tredje part i Windows Spotlight (användare) Blockera Microsoft Store – Organisationer vill vanligtvis begränsa de program som kan installeras på slutpunkter. Använd den här inställningen om din organisation vill styra vilka program som kan installeras från Microsoft Store. Den här inställningen hindrar användare från att installera program om de inte är godkända.
Ange kategori Inställning Värde Microsoft App Store Kräv endast privat lagring Endast privat lagring är aktiverat Obs!
Den här inställningen gäller för Windows 10. På Windows 11 blockerar den här inställningen åtkomsten till den offentliga Microsoft Store. Mer information finns i:
Blockera spel – Organisationer kanske föredrar att företagsslutpunkter inte kan användas för att spela spel. Sidan Spel i appen Inställningar kan döljas helt med hjälp av följande inställning. Mer information på inställningssidans synlighet finns i CSP-dokumentationen och URI-schemareferensen för ms-settings.
Ange kategori Inställning Värde Inställningar Synlighetslista för sida hide:gaming-gamebar; gaming-gamedvr; spelsändningar. gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame Kontrollera vilka klientorganisationer som Teams-skrivbordsklienten kan logga in på – När den här principen har konfigurerats på en enhet kan användarna bara logga in med konton som finns i en Microsoft Entra klientorganisation som ingår i listan över tillåtna klientorganisationer som definieras i den här principen. Listan över tillåtna klientorganisationer är en kommaavgränsad lista över Microsoft Entra klientorganisations-ID:t. Genom att ange den här principen och definiera en Microsoft Entra klientorganisation blockerar du även inloggning till Teams för personligt bruk. Mer information finns i Så här begränsar du inloggningen på stationära enheter.
Ange kategori Inställning Värde Microsoft Teams Begränsa inloggningen till Teams till konton i specifika klientorganisationer (användare) Aktiverat
Enhetsbegränsningar
Mallar för Begränsningar för Windows-enheter innehåller många av de inställningar som krävs för att skydda och hantera en Windows-slutpunkt med hjälp av Windows Configuration Service Providers (CSP:er). Fler av de här inställningarna kommer att göras tillgängliga i inställningskatalogen över tid. Mer information finns i Enhetsbegränsningar.
Om du vill skapa en profil som använder mallen Enhetsbegränsningar går du till Microsoft Intune administrationscenter för Enheter>Hantera enheter>Konfiguration>Skapa>ny princip> Välj Windows 10 och senare för plattformsmallar>Enhetsbegränsningar för profiltyp.
URL för skrivbordsbakgrundsbild (endast stationär dator) – Använd den här inställningen för att ange en bakgrundsbild på Windows Enterprise- eller Windows Education-SKU:er. Du är värd för filen online eller refererar till en fil som kopieras lokalt. Om du vill konfigurera den här inställningen går du till fliken Konfigurationsinställningar i profilen Enhetsbegränsningar , expanderar Anpassning och konfigurerar URL för skrivbordsbakgrundsbild (endast skrivbord).
Kräv att användare ansluter till ett nätverk under enhetskonfigurationen – Den här inställningen minskar risken för att en enhet kan hoppa över Windows Autopilot om datorn återställs. Den här inställningen kräver att enheter har en nätverksanslutning under välkomstfasen. Om du vill konfigurera den här inställningen går du till fliken Konfigurationsinställningar i profilen Enhetsbegränsningar , expanderar Allmänt och konfigurerar Kräv att användare ansluter till nätverket under enhetsinstallationen.
Obs!
Inställningen börjar gälla nästa gång enheten rensas eller återställs.
Leveransoptimering
Leveransoptimering används för att minska bandbreddsförbrukningen genom att dela arbetet med att ladda ned paket som stöds mellan flera slutpunkter. Leveransoptimering är en självorganisering av distribuerad cache som gör det möjligt för klienter att ladda ned dessa paket från alternativa källor, till exempel peer-datorer i nätverket. Dessa peer-källor kompletterar de traditionella Internetbaserade servrarna. Du kan ta reda på alla inställningar som är tillgängliga för leveransoptimering och vilka typer av nedladdningar som stöds i Leveransoptimering för Windows-uppdateringar.
Om du vill använda inställningar för leveransoptimering skapar du en Intune profil för leveransoptimering eller en katalogprofil för inställningar.
Några inställningar som ofta används av organisationer är:
- Begränsa peer-markering – Undernät – Den här inställningen begränsar peer-cachelagring till datorer i samma undernät.
- Grupp-ID – Leveransoptimeringsklienter kan konfigureras för att endast dela innehåll med enheter i samma grupp. Grupp-ID:t kan konfigureras direkt genom att skicka ett GUID via en princip eller använda DHCP-alternativ i DHCP-omfång.
Kunder som använder Microsoft Configuration Manager kan distribuera anslutna cacheservrar som kan användas som värd för leveransoptimeringsinnehåll. Mer information finns i Microsoft Connected Cache i Configuration Manager.
Lokala administratörer
Om det bara finns en användargrupp som behöver lokal administratörsåtkomst till alla Microsoft Entra anslutna Windows-enheter kan du lägga till dem i den Microsoft Entra anslutna lokala administratören för enheten.
Du kan ha ett krav på att IT-supportavdelningen eller annan supportpersonal ska ha lokal administratörsbehörighet för en utvald grupp med enheter. Du kan uppfylla det här kravet med hjälp av följande konfigurationstjänstleverantörer (CSP:er).
- CSP för lokala användare och grupper (rekommenderas)
- CSP för begränsade grupper (ingen uppdateringsåtgärd, ersätt endast)
Mer information finns i Så här hanterar du den lokala administratörsgruppen på Microsoft Entra anslutna enheter
migrering av grupprincip till MDM-inställning
Det finns flera alternativ för att skapa enhetskonfigurationen när du överväger en migrering från grupprincip till molnbaserad enhetshantering:
- Börja om och tillämpa anpassade inställningar efter behov.
- Granska befintliga grupprinciper och tillämpa nödvändiga inställningar. Du kan använda verktyg för att hjälpa till, till exempel grupprincip analys.
- Använd grupprincip analys för att skapa profiler för enhetskonfiguration direkt för inställningar som stöds.
Övergången till en molnbaserad Windows-slutpunkt utgör en möjlighet att granska dina krav på slutanvändarberäkning och upprätta en ny konfiguration för framtiden. Börja om möjligt med en minimal uppsättning principer. Undvik att vidarebefordra onödiga eller äldre inställningar från en domänansluten miljö eller äldre operativsystem, till exempel Windows 7 eller Windows XP.
Börja om på nytt genom att granska dina aktuella krav och implementera en minimal samling inställningar för att uppfylla dessa krav. Kraven kan omfatta reglerande eller obligatoriska säkerhetsinställningar och inställningar för att förbättra slutanvändarupplevelsen. Företaget skapar en lista med krav, inte IT. Varje inställning ska dokumenteras, förstås och bör tjäna ett syfte.
Att migrera inställningar från befintliga grupprinciper till MDM (Microsoft Intune) är inte den bästa metoden. När du övergår till molnbaserade Windows bör avsikten inte vara att lyfta och ändra befintliga grupprincipinställningar. Tänk i stället på målgruppen och vilka inställningar de behöver. Det är tidskrävande och sannolikt opraktiskt att granska varje grupprincipinställning i din miljö för att fastställa dess relevans och kompatibilitet med en modern hanterad enhet. Undvik att försöka utvärdera varje grupprincip och individuell inställning. Fokusera i stället på att utvärdera de vanliga principer som täcker de flesta enheter och scenarier.
Identifiera i stället de grupprincipinställningar som är obligatoriska och granska inställningarna mot tillgängliga MDM-inställningar. Eventuella luckor skulle representera blockerare som kan hindra dig från att gå vidare med en molnbaserad enhet om de inte är lösta. Verktyg som grupprincip analys kan användas för att analysera grupprincipinställningar och avgöra om de kan migreras till MDM-principer eller inte.
Skript
Du kan använda PowerShell-skript för alla inställningar eller anpassningar som du behöver konfigurera utanför de inbyggda konfigurationsprofilerna. Mer information finns i Lägga till PowerShell-skript till Windows-enheter i Microsoft Intune.
Mappa nätverksenheter och skrivare
Molnbaserade scenarier har ingen inbyggd lösning för mappade nätverksenheter. I stället rekommenderar vi att användarna migrerar till Teams, SharePoint och OneDrive. Om migrering inte är möjligt bör du överväga att använda skript om det behövs.
För personlig lagring, i steg 8 – Konfigurera inställningar för en optimal Microsoft 365-upplevelse, konfigurerade vi flytt av onedrive-känd mapp. Mer information finns i Omdirigera kända mappar.
För dokumentlagring kan användarna också dra nytta av SharePoint-integrering med Utforskaren och möjligheten att synkronisera bibliotek lokalt, enligt beskrivningen här: Synkronisera SharePoint- och Teams-filer med datorn.
Om du använder office-dokumentmallar för företag, som vanligtvis finns på interna servrar, bör du överväga den nyare molnbaserade motsvarigheten som gör att användarna kan komma åt mallarna var som helst.
För utskriftslösningar bör du överväga Universell utskrift. Mer information finns i:
- Vad är Universell utskrift?
- Tillkännagivande av allmän tillgänglighet för universell utskrift
- Uppgifter som du kan utföra med hjälp av inställningskatalogen i Intune
Program
Intune stöder distribution av många olika Typer av Windows-program.
- Windows Installer (MSI) – Lägg till en verksamhetsspecifik Windows-app i Microsoft Intune
- MSIX – Lägg till en verksamhetsspecifik Windows-app i Microsoft Intune
- Win32-appar (MSI, EXE, skriptinstallationsprogram) – Win32-apphantering i Microsoft Intune
- Store-appar – Lägga till Microsoft Store-appar i Microsoft Intune
- Webblänkar – Lägga till webbappar i Microsoft Intune
Om du har program som använder INSTALLATIONsprogram för MSI, EXE eller skript kan du distribuera alla dessa program med win32-apphantering i Microsoft Intune. Omsluter dessa installationsprogram i Win32-format ger mer flexibilitet och fördelar, inklusive meddelanden, leveransoptimering, beroenden, identifieringsregler och stöd för sidan Registreringsstatus i Windows Autopilot.
Obs!
För att förhindra konflikter under installationen rekommenderar vi att du håller dig till att använda verksamhetsspecifika Windows-appar eller Win32-appfunktioner exklusivt. Om du har program som paketeras som .msi eller .exekan de konverteras till Win32-appar (.intunewin) med hjälp av Microsoft Win32 Content Prep Tool som är tillgängligt på GitHub.
Fas 5 – Skala distributionen med Windows Autopilot
Du har bevisat att molnbaserade fungerar på en enhet. Den här fasen beskriver hur du går från en testenhet till din produktionsflotta – hur enheter registreras, hur du grupperar dem efter persona, hur du mellanlagra distributionen och hur du hanterar de befintliga datorer som du redan hanterar.
Registrera enheter i stor skala
I fas 1 laddade du upp en maskinvaruhash manuellt. Det är bra för ett labb, men skalas inte. De produktionsklara alternativen är:
| Registreringskälla | Så här fungerar det | Bäst för |
|---|---|---|
| OEM- eller maskinvarupartner | Enheter levereras från leverantören som redan är registrerad i din klientorganisation (Dell, HP, Lenovo, Microsoft, Surface och andra). | Ny maskinvaruanskaffning – det rekommenderade måltillståndet. |
| Återförsäljare eller CSP | En Microsoft-partner registrerar enheter åt dig. | Indirekta eller blandade leveranskedjor. |
| Manuell hashuppladdning (CSV) | Samma Get-WindowsAutopilotInfo flöde från fas 1, steg 3, massuppladdat som en CSV. |
Piloter, labbenheter, små batchar, befintliga enheter som registreras. |
| Intune Connector/direktregistrering | Nyare registreringssökvägar visas i administrationscentret. | Specifika registreringsscenarier – se Översikt över Autopilot-registrering. |
Fullständig information finns i Registrera Autopilot-enheter.
Tips
När du köper ny Windows-maskinvara ber du återförsäljaren eller OEM-tillverkaren att registrera enheter till din Microsoft Entra klientorganisations-ID vid inköpstillfället. Den här metoden är det långsiktiga mönstret med lägst friktion och tar bort behovet av att någonsin samla in en hash manuellt.
Använda grupptaggar för personer
Du har redan använt CloudNative grupptaggen i fas 1 för att köra en dynamisk grupp. Samma mönster skalas till flera enhetspersonas. Definiera en grupptagg per persona, en dynamisk Microsoft Entra grupp per tagg och en Autopilot-distributionsprofil plus registreringsstatussidan per grupp.
| Persona | Föreslagen grupptagg | Autopilot-profil | Typ av användarkonto |
|---|---|---|---|
| Kunskapsarbetare | KnowledgeWorker |
Användardriven | Standardanvändare |
| Utvecklare/power-användare | Developer |
Användardriven | Administratör |
| Helskärmsläge eller delad enhet | Kiosk |
Självdistribution | EJ TILLÄMPLIGT |
| Företablerad (vit handske) | PreProvisioned |
Företablerad | Standardanvändare |
Det här mönstret håller konfigurations-, app- och säkerhetsprinciper isolerade per persona och undviker engångsfel som sprids över klientorganisationen.
Rulla ut i ringar
Distribuera inte till hela flottan samtidigt. Använd samma ringkoncept som du använder för Windows Uppdateringar:
| Ring | Målgrupp | Syfte |
|---|---|---|
| Pilot | IT-teamet och en liten grupp volontärer | Verifiera etablering från slutpunkt till slutpunkt och princip. |
| Tidiga användare | ~5 % av användarna, fördelade på avdelningar | Fånga persona- och appspecifika problem. |
| Bred | Den återstående flottan, mellanlagrad efter region eller avdelning | Produktionsdistribution. |
Använd tilldelningsfilter för målringar i stället för att skapa dubblettgrupper för varje princip. Övervaka varje ring med hjälp av avsnittet Övervaka dina molnbaserade Windows-slutpunkter innan du höjer upp till nästa.
Hantera befintliga enheter
För Windows-datorer som du redan hanterar rekommenderar Microsoft att du flyttar till Autopilot vid nästa maskinvaruuppdatering i stället för att återetablera hela din flotta idag. Molnbaserade Windows får alla fördelar med en ren OOBE-start, och med uppdateringscykler kan du övergå naturligt med minimala användarstörningar.
Om du inte kan vänta på uppdatering är två sökvägar tillgängliga:
- Registrera och återställa på plats. Samla in hashen för en befintlig enhet, registrera den på Autopilot och återställ sedan datorn. Enheten kommer tillbaka via OOBE som en molnbaserad slutpunkt. Se Lägga till befintliga enheter i Windows Autopilot.
- Återskapa vid uppdatering. Endast ny eller uppdaterad maskinvara registreras som molnbaserad. Befintliga enheter är kvar på den aktuella hanteringen tills de når slutet av sin livslängd.
Försiktighet
Registrera inte enheter som hanteras aktivt av Microsoft Configuration Manager utan en samhanteringsplan. Bestäm om enheten ska vara molnhanterad, samhanterad eller behålla Configuration Manager innan du registrerar den på Autopilot. Mer information finns i Samhantering för Windows-enheter.
Mer information
- Översikt över Windows Autopilot
- Windows Autopilot-distributionsprofiler
- Modul 6.4 – Grunderna för Windows Autopilot – YouTube
Om Windows Autopilot inte passar för ditt scenario kan du se Intune registreringsmetoder för Windows-enheter för alternativ.
Övervaka dina molnbaserade Windows-slutpunkter
När dina molnbaserade Windows-slutpunkter har etablerats och konfigurerats använder du övervakningsvyerna i Microsoft Intune administrationscenter för att bekräfta principer, skript och appar som distribueras korrekt – och för att upptäcka problem tidigt. Övervakning är en pågående driftsuppgift, inte ett engångskonfigurationssteg.
| Vad du ska övervaka | I administrationscentret | Vad du ska granska | Mer information |
|---|---|---|---|
| Skriptstatus | Enheter>Efter plattform>Windows>Hantera enheter>Skript och åtgärder>Plattformsskript | Välj ett skript >Enhetsstatus | — |
| Appinstallationsstatus | Apps>Windows>Windows-appar | Välj en app Installationsstatus för enhet > eller Installationsstatus för användare | Felsöka appinstallationer |
| Säkerhetsbaslinjer | — | — | Övervaka säkerhetsbaslinjer i Intune |
| Diskkryptering (BitLocker) | Slutpunktssäkerhet>Diskkryptering | Välj BitLocker-principen >Enhetsinstallationsstatus. Återställningsnycklar: Enheter>Windows> väljer en enhetsåterställningsnycklar> | — |
| Windows Update ringar | Enheter>Hantera uppdateringar>Windows 10 och senare uppdaterar>uppdateringsringar | Välj en ring >Enhetsstatus | Rapporter för uppdateringsringar |
| Efterlevnad | Enheter>Överensstämmelse | Välj principen för att se tilldelningsresultat, inkompatibla enheter och fel per inställning | Övervaka efterlevnadsprinciper |
| Slutpunktsanalys | Rapporter>Slutpunktsanalys | Startprestanda, apptillförlitlighet och proaktiva åtgärder i hela flottan | Översikt över slutpunktsanalys · Intune rapporter |
Följ vägledningen för molnbaserade slutpunkter
- Översikt: Vad är molnbaserade slutpunkter?
- 🡺 Självstudie: Konfigurera molnbaserade Windows-slutpunkter med Microsoft Intune (du är här)
- Koncept: Microsoft Entra ansluten jämfört med Hybrid Microsoft Entra ansluten
- Koncept: Molnbaserade slutpunkter och lokala resurser
- Planeringsguide på hög nivå
- Kända problem och viktig information
Vanliga frågor och svar
Vad är en molnbaserad Windows-slutpunkt?
En molnbaserad Windows-slutpunkt är en Windows-enhet som är Microsoft Entra ansluten och registrerad i Microsoft Intune – utan beroende av lokal Active Directory, grupprincip eller domänkontrollanter. All konfiguration, säkerhet och appdistribution hanteras från molnet med hjälp av Microsoft Intune och Windows Autopilot.
Vad är skillnaden mellan molnbaserad och hybrid Microsoft Entra ansluten?
En hybrid Microsoft Entra ansluten enhet är ansluten till både lokal Active Directory och Microsoft Entra. Det är fortfarande beroende av domänkontrollanter för autentisering och grupprincip för konfiguration. En molnbaserad enhet (endast Microsoft Entra ansluten) har inget lokalt beroende – identitet, princip och appar kommer från molnet. En detaljerad jämförelse finns i Microsoft Entra ansluten jämfört med Hybrid Microsoft Entra ansluten.
Behöver jag Windows 11 för molnbaserade slutpunkter?
Nej. Molnbaserade Windows fungerar med Windows 10 22H2 eller senare. Microsoft rekommenderar Windows 11 för bästa möjliga upplevelse med Windows Autopilot, Windows Hello för företag och moderna säkerhetsfunktioner.
Kan jag flytta befintliga domänanslutna enheter till molnbaserade?
Ja, men Microsoft rekommenderar att du gör det vid nästa maskinvaruuppdatering i stället för att återetablera hela flottan. Molnbaserade Windows får alla fördelar med en ren OOBE-start. Information om enheter som du inte kan vänta med att uppdatera finns i Hantera befintliga enheter i fas 5.
Fungerar molnbaserade Windows med lokala resurser som filresurser och skrivare?
Ja, med lite planering. Molnbaserade enheter kan komma åt lokala resurser via VPN eller via Microsoft Entra programproxy. För fillagring rekommenderar Microsoft att du migrerar till OneDrive och SharePoint. För utskrift bör du överväga Universell utskrift. Mer information finns i Molnbaserade slutpunkter och lokala resurser .
Användbara onlineresurser
- Samhantering för Windows-enheter
- Aktivering av Windows-prenumeration
- Konfigurera en Intune princip för enhetsefterlevnad som kan tillåta eller neka åtkomst till resurser baserat på en Microsoft Entra princip för villkorsstyrd åtkomst
- Lägg till Store-appar
- Lägga till Win32-appar
- Använda certifikat för autentisering i Intune
- Distribuera nätverksprofiler, inklusive VPN och Wi-Fi
- Distribuera multifaktorautentisering
- Säkerhetsbaslinje för Microsoft Edge