云配置中的 Windows 10/11 分步设置指南

云配置中的 Windows 10/11 (云配置) 是 Windows 客户端设备的设备配置。 它旨在简化最终用户体验。 有关云配置的详细信息（包括最低要求），请转到 Windows 云配置引导式方案概述。

使用云配置，可以使用Microsoft Intune策略将 Windows 客户端设备转换为云优化设备。 云配置中的 Windows 10/11：

• 通过将设备配置为使用 Microsoft Entra 注册到Intune管理，优化云设备。 配置 了“已知文件夹移动” 后，用户数据会自动存储在 OneDrive 中。

• 在设备上安装 Microsoft Teams 和 Microsoft Edge。

• 将最终用户配置为设备上的标准用户，使 IT 能够更好地控制设备上安装的应用。

• 删除内置应用和 Microsoft 应用商店应用，从而简化最终用户体验。

• 应用终结点安全设置和合规性策略。 这些策略有助于保护设备的安全，并帮助 IT 监视设备运行状况。

• 确保设备通过 Windows 更新 for Business 自动更新。

• （可选）还可以：

  • 添加其他Microsoft 365 应用，例如 Outlook、Word、Excel、PowerPoint。
  • 添加基本业务线 (LOB) 最终用户需要取得成功的应用。 Microsoft建议将这些应用保持在最低水平，以使配置保持简单。
  • 添加用户工作流所需的基本资源，例如 Wi-Fi 配置文件、VPN 连接、证书和打印机驱动程序。

提示

有关云配置中的 Windows 10/11 及其用法的概述，请转到云配置中的 Windows 10/11。

可通过两种方式部署云配置：

• 选项 1 - 自动：使用引导式方案自动创建具有其配置值的所有组和策略。 有关此选项的详细信息，请转到 Windows 云配置引导方案概述。
• 选项 2 - 手动 (本文) ：使用本文中的步骤自行部署云配置。

本指南可帮助你创建自己的云配置部署。 以下部分介绍如何使用 Microsoft Intune 设置云配置：

1. 创建Microsoft Entra组
2. 配置设备注册
3. 部署脚本以配置已知文件夹移动和删除内置应用
4. 部署应用
5. 部署终结点安全设置
6. 配置Windows 更新设置
7. 部署 Windows 符合性策略
8. 可选配置

步骤 1 - 创建Microsoft Entra组

第一步是创建接收部署配置的Microsoft Entra安全组。

此专用组可帮助你在 Intune 中组织设备和管理云配置资源。 Microsoft建议仅部署本指南中的配置。 然后，根据需要添加更多必要的应用和其他设备配置。

使用以下步骤创建组：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“组>”所有组>“”新建组”。

3. 对于组类型，选择安全组。

4. 输入 组名称，例如 Cloud config PCs。

5. 对于 “成员身份类型”，选择“ 已分配”。

6. 如果需要，可以立即将设备添加到新组。 选择“ 未选择任何成员” ，并将成员添加到组。

   还可以从空组开始，稍后再添加设备。

7. 选择“创建”。

提示

创建组后，可以将预注册的 Windows Autopilot 设备添加到此组。

现有设备

如果在Intune中注册了想要与云配置一起使用的现有设备，则建议重新开始使用这些设备。 具体来说：

• 删除部署到这些设备的现有应用和配置文件。
• 重置这些设备。
• 在 Intune 中重新注册设备并部署云配置。

建议对现有设备执行这些额外步骤，因为它们提供简化的用户体验。 然后，可以添加其他基本应用，并确保设备仅具有用户所需的应用。

步骤 2 - 配置设备注册

在此步骤中，你将在 Intune 中启用 MDM 自动注册，并配置设备在Intune中注册的方式。

如果已使用 Windows Autopilot，请跳过此步骤，转到 步骤 3 - 部署脚本以配置已知文件夹移动并删除本文 (的内置应用) 。

✅ 1 - 启用自动注册

为想要使用云配置的组织用户启用自动注册。云配置需要自动注册。有关自动注册的详细信息，请转到 注册指南 - Windows 自动注册。

1. 登录到 Microsoft Intune 管理中心。

2. 选择“ 设备>按平台>”“Windows>设备载入>注册>自动注册”。

3. 在 “MDM 用户范围”下，选择以下选项之一：

   • 选择“ 全部 ”，将云配置应用于组织中用户使用的所有 Windows 设备。 在大多数云配置方案中，选择 “全部 ”。
   • 选择“ 一些 ”，将云配置应用于组织中部分用户使用的设备。 如果要在分阶段方法中应用云配置，则 “某些 ”可能是一个不错的选择。

4. 不要配置 MAM 用户范围、MAM 用户 URL 条款、MDM 发现 URL 和 MAM 符合性 URL 设置。 将这些设置留空。 未为云配置配置 MAM 设置。

5. 选择保存以保存所做的更改。

✅ 2 - 选择设备注册和配置用户的方式，以成为设备上的标准用户

在 Intune 中启用 Windows 自动注册后，下一步是确定设备如何注册Intune。 注册后，他们可接收云配置策略。 还需要将用户配置为其设备上的标准用户。 标准用户只能安装组织批准的应用。

对于注册，有三个选项。 选择一个注册选项。

• 建议使用 Windows Autopilot ()
• 使用预配包批量注册
• (OOBE) 使用现用体验中的Microsoft Entra ID

本部分提供有关这些注册选项的详细信息，以及将用户配置为其设备上的标准用户。

注册选项 1：Windows Autopilot 用户驱动的注册 (建议)

建议使用 Windows Autopilot 注册和注册状态页 (ESP) 。 此注册方法和 ESP 提供一致的最终用户体验。

• 使用 Windows Autopilot 部署服务预注册设备。 使用 Windows Autopilot，管理员配置设备启动和注册到设备管理的方式。
• Intune Windows Autopilot 策略 (OOBE) 配置现用体验。 在 OOBE 中，选择用户为标准用户。
• Intune Windows Autopilot 策略配置注册状态页 (ESP) 。 ESP 显示配置进度。 用户一直使用 ESP，直到所有云配置设置都应用到设备。

若要设置 Windows Autopilot 用户驱动注册，请使用以下步骤：

1. 将设备添加到 Windows Autopilot。

   使用 步骤 3 - 将设备注册到 Windows Autopilot 中的步骤在 Windows Autopilot 中注册设备 (打开 windows Autopilot 文章) 。

   注意

   步骤 3 - 将设备注册到 Windows Autopilot Windows Autopilot 一文是一系列步骤的一部分。 对于此云配置，请仅按照 步骤 3 - 将设备注册到 Windows Autopilot 来注册设备。 不要遵循系列中的其他步骤。 该 Windows Autopilot 系列中的其他步骤适用于不同的 Windows Autopilot 方案。

   还可以 手动注册设备以使用 Windows Autopilot。 手动注册设备通常用于重新调整以前未使用 Windows Autopilot 设置的现有硬件的用途。

2. 在 Intune 中创建和分配 Windows Autopilot 部署配置文件。

   1. 登录到 Microsoft Intune 管理中心。

   2. 选择“设备>按平台>”“Windows>设备载入>注册>Windows Autopilot Deployment计划>部署配置文件”。

   3. 选择“创建配置文件”>“Windows 电脑”。 输入配置文件的名称。

   4. 对于“ 将所有目标设备转换为 Autopilot ”设置，请选择“ 是”。 选择 下一步。

      可以将云配置应用于使用 Windows Autopilot 以外的注册方法注册的设备。 将这些设备 (非 Windows Autopilot 设备) 添加到组中时，这些设备将转换为 Windows Autopilot。 下次重置设备并 (OOBE) 完成 Windows 开箱即用体验时，它们将通过 Windows Autopilot 注册。

   5. 在“ (OOBE) ”选项卡中，输入以下值，然后选择“ 下一步”：

      设置	值
      部署模式	用户驱动
      加入到Microsoft Entra ID为	已加入Microsoft Entra
      Microsoft 软件许可条款	隐藏
      隐私设置	隐藏
      隐藏更改帐户选项	隐藏
      用户帐户类型	标准
      允许预先预配的部署	否
      语言（区域）	操作系统默认值
      自动配置键盘	是
      应用设备名称模板	可选。 可以应用设备名称模板。 使用有助于标识云配置设备的名称前缀，例如 Cloud-%SERIAL%。'

   6. 将配置文件分配给在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组，然后选择“下一步”。

   7. 查看新配置文件，然后选择“ 创建”。

3. 在 Intune 中创建并分配注册状态页。

   1. 登录到 Microsoft Intune 管理中心。

   2. 选择 “设备>按平台>”“Windows>设备载入>注册>常规>注册状态”页。

   3. 选择“ 创建 ”，并为 “注册状态”页输入名称。

   4. 在 “设置” 选项卡中，输入以下值，然后选择“ 下一步”：

      设置	值
      显示应用和配置文件配置过程	是
      安装时间超出指定的分钟数时显示错误	60
      发生时间限制错误时显示自定义消息	是 - 还可以更改默认消息。
      使用户可以收集有关安装错误的日志	是
      在安装所有应用和配置文件之前阻止设备用户	是
      出现安装错误时允许用户重置设备	是
      出现安装错误时允许用户使用设备	否
      阻止设备用户，直到安装这些必需的应用（如果它们已分配给用户/设备）	全部

      注意

      如果发生安装错误，建议阻止用户使用设备。 阻止用户可确保他们只能在完全应用云配置后开始使用设备。

      如果发生安装错误，可以根据部署需求，允许用户使用设备。 如果确实允许使用设备，则当设备使用 Intune 签入时，Intune继续尝试应用配置。

   5. 在“分配”中，将“注册状态”页分配给在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

      选择 下一步。

   6. 选择“ 创建 ”以创建并分配“注册状态”页。

注册选项 2：使用预配包批量注册

可以使用使用 Windows 配置Designer或设置学校电脑应用创建的预配包来注册设备。

有关批量注册的详细信息，请转到 Windows 设备的批量注册。

使用批量注册：

• 设备在Intune注册后，将其添加到本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。 当他们添加到组时，他们会收到你的云配置。
• 所有用户都自动是设备上的标准用户。
• 没有注册状态页。 在应用所有云配置设置时，用户无法查看进度。 在完全应用云配置之前，用户可以开始使用设备。
• 在向用户分发设备之前，Microsoft建议验证设备上的设置和应用。

注册选项 3：在 OOBE) 的现装体验中使用 (Microsoft Entra ID进行注册

在 Intune 中启用 MDM 自动注册后，在 OOBE 期间，用户使用其Microsoft Entra帐户登录。 当他们登录时，会自动开始注册。

使用此注册选项，可以：

1. 配置Microsoft Intune自定义配置文件以限制设备上的本地管理员。 策略 CSP 包含可在自定义配置文件中使用的示例策略定义 XML。

   提示

   在此自定义配置文件中，还有另一个设置，用于添加可以是设备上的本地管理员的组。 此本地管理员组应仅包括环境中的 IT 管理员。

2. 将自定义配置文件分配给在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

步骤 3 - 配置 OneDrive 已知文件夹移动并部署脚本以删除内置应用

配置 OneDrive 已知文件夹移动时，用户文件和数据将自动保存在 OneDrive 中。 删除内置 Windows 应用和 Microsoft 应用商店时，“开始”菜单和设备体验将得到简化。

此步骤有助于简化 Windows 用户体验。

✅ 1 - 使用管理模板配置 OneDrive 已知文件夹移动

使用 已知文件夹移动，用户数据 (文件和文件夹) 保存到 OneDrive。 当用户登录到另一台设备时，OneDrive 会自动将数据同步到新设备。 用户无需手动移动其文件。

注意

由于 OneDrive 已知文件夹移动 和 SharedPC 配置的同步问题，Microsoft不建议在具有多个用户登录和注销的设备中使用云配置中的 Windows。

若要配置已知文件夹移动，请在 Intune 中使用 ADMX 模板：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“ 设备>按平台>”“Windows>管理设备>”“配置>创建新>策略”。

3. 对于平台，请选择“Windows 10及更高版本”，然后选择“模板”用于配置文件类型。

4. 选择“ 管理模板 ”，然后选择“ 创建”。

5. 输入配置文件的名称，然后选择“ 下一步”。

6. 在 “配置设置”中，搜索下表中的设置并选择其建议值：

   设置名称	值
   以无提示方式将 Windows 已知文件夹移动到已启用 OneDrive 的租户 ID	输入组织的租户 ID。 租户 ID 显示在Microsoft Entra 管理中心>“属性”页>“租户 ID” 中。
   重定向文件夹后向用户显示通知	是。 还可以选择隐藏通知。
   让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用	已启用
   阻止用户将 Windows 已知文件夹移动到 OneDrive	已启用
   阻止用户将其 Windows 已知文件夹重定向到电脑	已启用
   使用 OneDrive 文件随选	已启用

7. 将配置文件分配给本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

✅ 2 - 部署脚本以删除内置应用

Microsoft创建了一个Windows PowerShell脚本，用于：

• 从设备中删除内置应用。
• 从设备中删除Microsoft应用商店应用。

脚本在 Intune 中使用 部署到设备。 若要添加和部署脚本，请使用以下步骤：

1. 下载 云配置窗口 PowerShell 应用删除脚本。 此脚本删除Microsoft应用商店应用和内置应用。

   注意

   如果要在设备上保留 Microsoft 应用商店应用，则可以使用 删除内置应用的脚本，但改为保留 Microsoft 应用商店 。 若要使用此脚本，请改为下载它，并按照相同的步骤操作。 此脚本尝试删除内置应用，但可能不会删除所有这些应用。 可能需要修改脚本以删除设备上的所有内置应用。

2. 登录到 Microsoft Intune 管理中心。

3. 选择 “设备>按平台>”“Windows>管理设备”>“脚本和修正>平台脚本 ”选项卡“ >添加”。

4. 在 “基本信息”中，输入脚本策略的名称，然后选择“ 下一步”。

5. 在 “脚本设置”中，上传下载的脚本。 使其他设置保持不变，然后选择“ 下一步”。

6. 将脚本分配给本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

Microsoft应用商店应用

如果之前删除了 Microsoft Store 应用，则可以使用 Microsoft Intune 重新部署它。 若要重新添加Microsoft应用商店应用 (或任何其他要重新添加) 的应用，请将 Microsoft Store 应用添加到专用组织应用存储库。 然后，使用 Intune 将应用部署到设备。 Microsoft应用商店应用有助于保持应用更新。 有关如何配置对 Microsoft Store 应用的访问权限的信息，请参阅 管理对专用应用商店的访问。

专用组织应用存储库可以是Intune 公司门户应用或网站。

使用 Intune，可以在 Windows 10/11 企业和教育设备上阻止最终用户在组织的专用应用存储库外部安装 Microsoft 应用商店应用。

若要防止这些外部应用，请使用以下步骤：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“ 设备>按平台>”“Windows>管理设备>”“配置>创建新>策略”。

3. 为平台选择“Windows 10及更高版本”，并为配置文件类型选择“设置目录”。 选择“创建”。

4. 在 “基本信息”中，输入配置文件的名称。

5. 在“配置设置”中，选择“添加设置”。 则：

   1. 在设置选取器中，搜索 private store。 在“Microsoft App Store”类别下的搜索结果中，选择“仅需要专用存储”。
   2. 将“ 仅需要专用存储” 设置设置为 “仅启用专用存储”。
   3. 选择 下一步。

6. 在“分配”中，将配置文件分配给本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

7. 在 “查看 + 创建” 中，查看个人资料，然后选择“ 创建”。

步骤 4 - 部署应用

此步骤部署 Microsoft Edge 和 Microsoft Teams。 可以在此步骤中部署其他基本应用。 请记住，仅部署用户所需的内容。

✅ 1 - 部署 Microsoft Edge

1. 将 Microsoft Edge 添加到 Intune。
2. 对于 “应用设置”，请选择“ 稳定通道”。
3. 将 Microsoft Edge 应用分配给在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

✅ 2 - 部署Microsoft Teams

1. 登录到 Microsoft Intune 管理中心。

2. 选择 “应用>Windows”。

3. 选择“ 添加” 以创建新应用。

4. 对于Microsoft 365 应用版，请选择“Windows 10”，然后选择“>选择”。

5. 对于 “套件名称”，请输入名称或使用建议的名称。 选择 下一步。

6. 对于 “配置应用套件”，仅选择“Teams”。

   如果要部署其他 Microsoft 365 应用，请从此列表中选择它们。 请记住，仅部署用户所需的内容。

   提示

   无需选择 OneDrive。 OneDrive 内置于 Windows 10/11 专业版、企业版和教育版中。

7. 对于 应用套件信息，请配置以下设置：

   设置	值
   体系结构	64 位 云配置也适用于 32 位。 Microsoft建议选择 64 位。
   更新频道	当前通道
   删除其他版本	是
   要安装的版本	最新版本

8. 对于 “属性”，请配置以下设置：

   设置	值
   使用共享计算机激活	是
   代表用户接受Microsoft软件许可条款	是

9. 选择 下一步。

10. 将套件分配给本文 ) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

步骤 5 - 部署终结点安全设置

此步骤配置终结点安全设置以帮助确保设备安全，包括内置的 Windows 安全基线和 BitLocker 设置。

✅1 - 部署 Windows 10/11 MDM 安全基线

对于云中的 Windows 配置，建议使用 Windows 10/11 安全基线。 可以根据组织的首选项更改一些设置值。

在 Intune 中配置安全基线：

1. 登录到 Microsoft Intune 管理中心。

2. 为Windows 10及更高版本选择“终结点安全性>>基线”“安全基线”。

3. 选择“ 创建配置文件 ”以创建新的安全基线。

4. 输入安全基线的名称，然后选择“ 下一步”。

5. 接受默认配置设置。 或者，可以根据组织需求更改以下设置：

   设置类别	Setting	更改原因
   浏览器	阻止密码管理器	如果要允许最终用户使用密码管理器，请禁用此设置。
   远程协助	请求的远程协助	此设置允许支持人员远程连接到设备。 Microsoft建议禁用此设置，除非需要此设置。
   防火墙	所有防火墙设置	如果需要根据组织的需求允许与设备建立某些连接，请更改默认防火墙设置。

   选择 下一步。

6. 在“工作分配”中，选择在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

7. 选择“ 创建 ”以创建并分配基线。

✅ 2 - 使用驱动器加密终结点安全配置文件部署更多 BitLocker 设置

还有更多 BitLocker 设置可帮助确保设备安全。 在 Intune 中配置这些 BitLocker 设置：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“终结点安全”>“磁盘加密”>“创建策略”。

3. 对于 平台，请选择 Windows 10 和更高版本。

4. 对于 “配置文件”，请选择“ BitLocker>创建”。

5. 在 “基本信息”中，输入配置文件的名称。

6. 在 “配置设置”中，选择以下设置：

   设置类别	设置	值
   BitLocker - 基本设置	为 OS 和固定数据驱动器启用完整磁盘加密	是
   BitLocker - 固定驱动器设置	BitLocker 固定驱动器策略	配置
   	阻止对不受 BitLocker 保护的固定数据驱动器的写入访问	是
   	为固定数据驱动器配置加密方法	AES 128 位 XTS
   BitLocker - OS 驱动器设置	BitLocker 系统驱动器策略	配置
   	需要启动身份验证	是
   	兼容的 TPM 启动	Allowed
   	兼容的 TPM 启动 PIN	Allowed
   	兼容的 TPM 启动密钥	必需
   	兼容的 TPM 启动密钥和 PIN	Allowed
   	在 TPM 不兼容的设备上禁用 BitLocker	是
   	为操作系统驱动器配置加密方法	AES 128 位 XTS
   BitLocker - 可移动驱动器设置	BitLocker 可移动驱动器策略	配置
   	为可移动数据驱动器配置加密方法	AES 128 位 CBC
   	阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问	是

7. 在“分配”中，将配置文件分配给在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

8. 选择“ 创建 ”以创建并分配配置文件。

步骤 6 - 配置Windows 更新设置

此步骤使用 Windows 更新 Ring 来使设备保持自动更新。 本指南中的设置与 Windows 更新基线中的建议设置一致。

在 Intune 中配置更新通道：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“设备>管理更新>Windows 10及更高版本的更新>”“更新通道”选项卡“>创建配置文件”。

3. 在 “基本信息”中，输入更新环的名称。

4. 在 “更新通道设置”中，配置以下值，然后选择“ 下一步”：

   设置	值
   服务频道	半年频道
   Microsoft 产品更新	允许
   Windows 驱动程序	允许
   质量更新延迟期 (天)	0
   功能更新延迟期 (天)	0
   设置功能更新卸载期	10
   自动更新行为	重置为默认值
   重启检查	允许
   用于暂停 Windows 更新的选项	启用
   用于为 Windows 更新检查的选项	启用
   需要用户批准才能消除重启通知	否
   在要求自动重启之前提醒用户，并提醒 (小时)	使此设置保持未配置
   在需要自动重启之前提醒用户，并永久提醒 (分钟)	使此设置保持未配置
   更改通知更新级别	使用默认Windows 更新通知
   使用截止时间设置	允许
   功能更新的截止时间	7
   质量更新的最后期限	2
   宽限期	2
   截止时间前自动重启	是

5. 将 Update ring 分配给在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

步骤 7 - 部署 Windows 符合性策略

配置符合性策略以帮助监视设备符合性和运行状况。 策略报告不符合要求，但仍允许用户使用设备。 可以根据组织的流程选择如何解决其他操作的不合规问题。

在 Intune 中创建符合性策略：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“ 设备>符合性>创建策略”。

3. 对于“平台”，请选择“Windows 10及更高版本的>”创建”。

4. 在 “基本信息”中，输入符合性策略的名称。 选择 下一步。

5. 在 “符合性设置”中，配置以下值，然后选择“ 下一步”：

   设置类别	设置	值
   设备运行状况	需要 BitLocker	需要
   	要求在设备上启用安全启动	需要
   	要求代码完整性	需要
   系统安全	防火墙	需要
   	防病毒	需要
   	反间谍软件	需要
   	需要密码才可解锁移动设备	需要
   	简单密码	阻止
   	密码类型	字母数字
   	最短密码长度	8
   	最长经过多少分钟的非活动状态后需要提供密码	1 分钟
   	密码过期(天数)	41
   	阻止重用的曾用密码数	5
   Defender	Microsoft Defender 反恶意软件	需要
   	Microsoft Defender 反恶意软件安全智能为最新版本	需要
   	实时保护	需要

6. 在 “针对不合规的操作”中，对于 “标记设备不合规 ”操作，请配置 “计划” (天之后的不合规) 1 。 可以根据组织首选项配置不同的宽限期。

   如果在组织中使用条件访问策略，建议配置宽限期。 宽限期可防止不符合要求的设备立即失去对组织资源的访问权限。

7. 可以向电子邮件用户添加操作，告知他们不符合要求，并执行符合性的步骤。

8. 将符合性策略分配给在本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

步骤 8 - 可选配置

可以使用云配置创建和部署可选策略。本部分介绍这些可选策略。

✅ 配置租户域名

将设备配置为自动使用租户的域名进行用户登录。添加域名时，用户无需键入完整的 UPN 即可登录。

在 Intune 中添加租户域名：

1. 登录到 Microsoft Intune 管理中心。
2. 选择“ 设备>按平台>”“Windows>管理设备>”“配置>创建新>策略”。
3. 对于平台，请选择“Windows 10及更高版本”。
4. 对于“配置文件类型”，请选择“ 模板>”“设备限制>创建”。
5. 输入配置文件的名称，然后选择“ 下一步”。
6. 在“配置设置”中，为“密码”配置首选Microsoft Entra租户域。 输入用户登录设备时应使用的Microsoft Entra域名。
7. 将配置文件分配给本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

✅ (LOB) 应用部署其他基本生产力和业务线

你可能有一些所有设备都需要的基本 LOB 应用。 选择要部署的这些应用的最小数量。 如果使用虚拟化解决方案交付应用，则还要将虚拟化客户端应用部署到设备。

对于可以通过添加到云配置的应用部署的其他应用的数量或大小没有限制。 但是，Microsoft建议根据用户对其角色的需求将这些其他应用保持在最低水平。 将这些基本应用分配给本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

你可能在某些设备上需要特定的 LOB 应用。 或者，可能有一些应用具有复杂的打包或过程要求。 对于这些方案，请考虑将这些应用从云配置部署中移出。 或者，将需要这些应用的设备保留在现有 Windows 管理模型中。

对于只需要几个关键应用以及协作和浏览的设备，建议使用云配置。

✅ 部署用户组织访问权限所需的资源

配置用户可能需要的基本资源，具体取决于组织的流程。 基本资源可以包括证书、打印机、VPN 连接和 Wi-Fi 配置文件。

在 Intune 中，将这些资源分配给本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

✅ 配置 OneDrive 已知文件夹移动的建议设置

有更多设置可改善 OneDrive 已知文件夹移动的用户体验。 已知文件夹移动不需要这些设置才能正常工作，但很有用。

有关这些设置的详细信息，请转到 为已知文件夹移动推荐的 OneDrive 设置。

✅ 配置建议的 Microsoft Edge 设置

可以配置一些 Microsoft Edge 应用设置，以提供更好的用户体验。 可以根据最终用户体验的要求或首选项配置这些设置。

若要配置这些建议的设置，请使用Intune：

1. 登录到 Microsoft Intune 管理中心。

2. 选择“ 设备>按平台>”“Windows>管理设备>”“配置>创建新>策略”。

3. 对于配置文件类型的平台和模板，请选择Windows 10及更高版本。

4. 选择“ 管理模板 ”，然后选择“ 创建”。

5. 输入配置文件的名称，然后选择“ 下一步”。

6. 在 “配置设置”中，搜索以下设置并将其配置为建议的值：

   设置类别	Setting	值 (s)
   	配置 Internet Explorer 集成	已启用，Internet Explorer 模式
   SmartScreen 设置	配置 Microsoft Defender SmartScreen	已启用
   	强制Microsoft Defender SmartScreen 检查来自受信任源的下载	已启用
   	配置 Microsoft Defender SmartScreen 以阻止可能不需要的应用	已启用

   注意

   SmartScreen 设置也由 Microsoft Defender 强制执行。 通过 Microsoft Edge 应用配置 SmartScreen 设置时，Microsoft Edge 会直接强制实施这些设置。

7. 将配置文件分配给本文) 的步骤 1 - 创建Microsoft Entra组 (中创建的组。

监视云配置的状态

将云配置应用于设备时，可以使用 Intune 监视应用和设备配置的状态。

脚本状态

可以监视已部署脚本的安装状态：

1. 在Microsoft Intune管理中心，转到“设备>按平台>”“Windows>脚本和修正>平台脚本”。
2. 选择部署的脚本。
3. 在脚本详细信息页中，选择“ 设备状态”。 将显示脚本安装详细信息。

应用安装

可以监视已部署应用的安装状态：

1. 在Microsoft Intune管理中心中，转到“Windows>应用>”。
2. 选择已部署的应用，例如 Microsoft 365 应用套件。
3. 选择 “设备安装状态 ”或“ 用户安装状态”。 将显示应用安装详细信息。

有关排查单个设备上的应用问题的信息，请转到排查Intune应用安装问题。

安全基线

可以监视已部署安全基线的安装状态。 有关详细信息，请转到监视Intune中的安全基线和配置文件。

磁盘加密配置文件

在本文) 的步骤 5 - 部署终结点安全设置 (中，你可能已配置和部署 BitLocker 设置。

可以监视此 BitLocker 配置文件的状态：

1. 在Microsoft Intune管理中心，转到“终结点安全>磁盘加密”。
2. 选择在云配置中部署的磁盘加密配置文件。
3. 选择 “设备安装状态 ”或“ 用户安装状态”。 将显示配置文件详细信息。

Windows 更新设置

可以监视Windows 更新环策略的状态：

1. 在Microsoft Intune管理中心，转到“设备>管理更新>Windows 10及更高版本的更新>”“更新通道”选项卡。
2. 选择部署为云配置的一部分的更新圈。
3. 选择 “设备状态”、“ 用户状态”或 “最终用户更新状态”。 将显示更新通道设置详细信息。

有关Windows 更新环的报告的详细信息，请转到针对Windows 10及更高策略的更新通道的报告。

合规性策略

可以监视合规性策略的状态：

1. 在Microsoft Intune管理中心，转到“设备>符合性”。
2. 选择部署为云配置的一部分的符合性策略。

设备符合性监视视图包含有关合规性策略的分配状态和分配失败的详细信息。 它还具有快速查找不合规设备并采取措施的视图。

有关在 Intune 中监视合规性策略的更深入信息，请转到监视Intune设备符合性策略的结果。

相关内容

• Windows 云配置引导方案概述