移动到云原生终结点的高级规划指南

提示

阅读有关云本机终结点的信息时，会看到以下术语：

• 终结点：终结点是一种设备，例如移动电话、平板电脑、笔记本电脑或台式计算机。 “终结点”和“设备”可互换使用。
• 托管终结点：使用 MDM 解决方案或组策略对象从组织接收策略的终结点。 这些设备通常是组织拥有的，但也可以是 BYOD 或个人拥有的设备。
• 云本机终结点：联接到 Microsoft Entra 的终结点。 它们未加入本地 AD。
• 工作负载：任何程序、服务或进程。

本高级规划指南包含在采用和迁移到云原生终结点时需要考虑的想法和建议。 它讨论如何管理设备、如何查看和转换现有工作负载、如何进行组织更改、如何使用 Windows Autopilot 等。

此功能适用于：

• Windows 云原生终结点

将 Windows 终结点迁移到云原生具有许多优点，包括长期优势。 这不是一蹴而就的过程，必须计划好以避免问题、停机和对用户的负面影响。

有关组织和用户权益的详细信息，请转到 什么是云原生终结点。

若要取得成功，请考虑本文中描述的关键领域来计划和部署。 通过适当的计划、通信和流程更新，组织可以是云原生。

使用云原生 MDM 提供程序管理设备

管理终结点（包括云原生终结点）是所有组织的重要任务。 对于云原生终结点，无论终结点位于何处，必须使用管理工具对其进行管理。

如果当前未使用移动设备管理 (MDM) 解决方案，或者想要迁移到Microsoft解决方案，则以下文章是很好的资源：

• 什么是 Microsoft Intune？
• Microsoft Intune 入门

使用 Microsoft Intune 系列产品和服务，可使用以下终结点管理选项：

• Microsoft Intune：Intune 是 100% 基于云的，使用 Intune 管理中心来管理设备、管理设备上的应用、创建 & 部署策略、查看报告数据等。

  有关使用 Intune 管理终结点的详细信息，请转到：

  • Microsoft Intune 可安全地管理标识、管理应用，以及管理设备
  • 部署指南: 设置或移动到 Microsoft Intune
  • Microsoft Intune 规划指南

• Microsoft Configuration Manager：Configuration Manager 使用本地基础结构，并且可以管理服务器。 使用共同管理时，某些工作负载使用 Configuration Manager (本地)，某些工作负载使用 Microsoft Intune (云)。

  对于云原生终结点，Configuration Manager 解决方案应使用云管理网关 (CMG) 和共同管理。

查看终结点和用户工作负载

在高级别上，部署云原生终结点需要针对标识、软件分发、设备管理、操作系统更新以及管理用户数据和配置的新式策略。 Microsoft 提供支持这些领域的解决方案，为云原生终结点提供支持。

若要开始，请查看每个工作负载，并确定它能够或将如何支持云原生终结点。 某些工作负载可能已支持云原生终结点。 本机支持取决于特定的工作负载、组织如何实现工作负载服务，以及用户如何使用这些服务。

若要确定工作负载是否支持云原生终结点，需要调查并验证这些服务。

如果服务或解决方案不支持云原生终结点，则确定其对用户和组织的影响和重要性。 获取此信息后，可以确定后续步骤，其中可能包括：

• 与服务供应商合作
• 更新到新版本
• 使用新服务
• 实现从云原生终结点访问和使用该服务的解决方案
• 验证服务要求
• 接受该服务不适用于云原生，用户和组织则可能会接受此服务

无论哪种方式，都应计划更新工作负载以支持云原生终结点。

工作负载应具有以下特征：

• 从用户所在的任意位置安全访问应用和数据。 访问不需要连接到企业或内部网络。
• 在云服务中托管、由云服务托管或通过云服务托管。
• 不需要或不依赖于特定设备。

常见工作负载和解决方案

云原生终结点还包括支持终结点的服务和工作负载。

以下工作负载包括配置、工具、流程和服务，用于提高用户的工作效率和终结点管理。

具体的工作负载、详细信息以及如何更新云原生终结点的工作负载可能有所不同。 此外，无需转换每个工作负载。 但是，确实需要考虑每个工作负载、其对用户工作效率的影响以及设备管理能力。 将某些工作负载转换为使用云原生终结点可能需要比其他工作负载更长的时间。 工作负载也可能相互依赖。

• 设备标识

  设备的标识由了解设备并与设备建立安全信任的标识提供者 (IdP) 确定。 对于 Windows 终结点，最常见的 IdP 是本地 Active Directory (AD) 和 Microsoft Entra ID。 具有其中一个 IdP 的标识的终结点通常联接到一个或同时联接到两个终结点。

  • 对于云原生终结点，Microsoft Entra 联接是设备标识的最佳选择。 它不需要与本地网络、资源或服务建立任何连接。
  • 本地 AD 联接和混合Microsoft Entra 联接需要连接到本地域控制器。 它们需要连接以进行初始用户登录、传递组策略和更改密码。 这些选项不适用于云原生终结点。

  注意

  Microsoft Entra 注册（有时称为工作区加入）仅用于将自己的设备 (BYOD) 方案。 不应将其用于组织拥有的 Windows 终结点。 某些功能可能不受支持，或者在已注册的 Windows 终结点Microsoft按预期工作。

• 预配终结点

  对于新部署的 Microsoft Entra 联接终结点，请使用 Windows Autopilot 来预配置设备。 加入Microsoft Entra 通常是用户驱动的任务，Windows Autopilot 的设计考虑到了用户。 Windows Autopilot 允许任何用户从 Internet 上的任何位置使用云进行配置。

  有关详细信息，请转到：

  • Windows Autopilot 概述
  • Windows Autopilot 方案和功能

• 部署软件和应用程序

  大多数用户需要并使用核心操作系统中未包含的软件和应用程序。 在许多情况下，IT 人员不知道或不了解特定的应用要求。 但是，交付和管理这些应用程序仍由 IT 团队负责。 用户应能够请求和安装完成其工作所需的应用程序，无论他们使用的终结点是什么，或者从何处使用。

  • 若要部署软件和应用程序，请使用基于云的系统，例如 Intune 或 Configuration Manager（带有 CMG 和共同管理）。

  • 创建终结点必须具有的应用基线，如 Microsoft Outlook 和 Teams。 对于其他应用，允许用户安装自己的应用。

    在终结点上，可以使用公司门户应用作为应用存储库。 或者，使用列出可安装应用的面向用户的门户。 此自助服务选项可缩短新设备和现有设备的预配时间。 它还减轻了 IT 负担，无需部署用户不需要的应用。

  有关详细信息，请转到：

  • 使用 Microsoft Intune 部署 Windows 10/11 应用
  • Configuration Manager 中的应用管理简介
  • Windows 11 中的专用应用存储库

• 使用策略配置设备设置

  策略和安全管理是终结点管理的核心。 终结点策略允许组织在托管终结点上强制执行特定的安全基线和标准配置。 可在终结点上管理和控制许多设置。 创建 仅配置基线中所需内容的策略。 不要 创建控制常见用户首选项的策略。

  • 云原生终结点无法使用组策略执行传统策略。 相反，可以使用 Intune 创建策略来配置许多设置，包括内置功能，如“设置目录”和“管理模板”。

    Intune 中的组策略分析可分析本地 GPO，查看云中是否支持这些相同设置，并使用这些设置创建策略。

  • 如果你有颁发证书、管理 BitLocker 和提供终结点保护的现有策略，则需要在 Intune 或 Configuration Manager 中创建新策略（使用 CMG 和共同管理）。

    有关详细信息，请转到：

    • 在 Microsoft Intune 中将证书用于身份验证
    • Intune 中用于终结点安全的磁盘加密策略
    • 在 Intune 中添加终结点保护设置
    • Configuration Manager 中的证书
    • Configuration Manager 中的 BitLocker 管理
    • Configuration Manager 中的终结点保护

• 部署安全性、功能和应用更新

  许多本地解决方案无法将更新部署到云原生终结点或有效地部署它们。 从安全角度来看，此工作负载可能是最重要的。 它应该是转换为支持云原生 Windows 终结点的第一个工作负载。

  • 使用基于云的系统（如适用于企业的 Windows 更新）部署 Windows 更新。 使用 Intune 或 Configuration Manager（具有 CMG 和共同管理），可以使用适用于企业的 Windows 更新来部署安全更新和功能更新。

    有关详细信息，请转到：

    • 在 Intune 中管理 Windows 10 和 Windows 11 软件更新
    • 将 Configure Manager 与适用于企业的 Windows 更新集成
    • 选择如何管理 Microsoft 365 应用版的更新

  • 使用以下选项部署 Microsoft 365 应用更新：

    • Intune：创建设置更新通道、删除其他应用版本等的策略。
    • Configuration Manager（带有 CMG 和共同管理）：管理应用，包括更新统计信息、复制、停用等。

    有关详细信息，请转到：

    • 使用 Microsoft Intune 将 Microsoft 365 应用添加到 Windows 10/11 设备
    • Configuration Manager 应用的管理任务

• 管理用户数据和设置

  用户数据包括以下项目：

  • 用户文档
  • 邮件应用配置
  • Web 浏览器收藏夹
  • 业务线 (LOB) 应用程序特定数据
  • 业务线 (LOB) 应用程序特定配置设置

  用户需要从任何终结点创建和访问其数据。 还需要保护此数据，并且可能需要与其他用户共享。

  • 将用户数据和设置存储在云存储空间服务提供商中，例如 Microsoft OneDrive。 云存储空间服务提供商可以处理数据同步、共享、脱机访问、冲突解决方法等。

    有关详细信息，请转到 OneDrive 企业指南。

  重要

  某些用户设置（如操作系统首选项或特定于应用程序的设置）存储在注册表中。 从任何位置访问这些设置可能不现实，并且可能禁止与不同终结点同步。

  可以导出这些设置，然后导入到另一台设备中。 例如，可以从 Outlook、Word 和其他 Office 应用导出用户设置。

• 访问本地资源

  某些组织无法将某些工作负载转换为云原生解决方案。 唯一的选择可能是从云原生终结点访问现有本地资源或服务。 对于这些方案，用户需要访问权限。

  对于这些本地服务、资源和应用程序，请考虑以下任务：

  • 身份验证和授权：若要从云原生终结点访问本地资源，用户需要进行身份验证并验证其身份。 有关更具体的信息，请转到 使用云原生终结点进行身份验证和访问本地资源。

  • 连接性：查看和评估仅位于本地的应用 & 资源。 应在外部提供这些资源的连接和访问权限，并且没有任何直接连接（如 VPN）。 此任务可能包括使用 Microsoft Entra 应用程序代理、 Azure 虚拟桌面、 Windows 365、 SharePoint、 OneDrive 或 Microsoft Teams 迁移到 SaaS 版本。

  注意

  Microsoft Entra 不支持 Kerberos 身份验证协议。 本地 AD 确实支持 Kerberos 身份验证协议。 在规划中，可以详细了解 Microsoft Entra Kerberos。 配置后，用户使用其 Microsoft Entra 帐户登录到云原生终结点，并且可以访问使用 Kerberos 身份验证的本地应用或服务。

  Microsoft Entra Kerberos：

  • 不用于云原生解决方案。
  • 无法解决需要通过 Microsoft Entra 进行身份验证的资源的任何连接问题。
  • 不是通过 Microsoft Entra 满足任何域身份验证要求的答案或解决方法。
  • 不解决“已知问题和重要信息”中列出的计算机身份验证挑战。

  若要更深入地了解Microsoft Entra Kerberos 及其可以解决的方案，请转到以下博客：

  • 为什么生成 Microsoft Entra Kerberos (打开外部网站)
  • 深入探讨：Microsoft Entra Kerberos 的工作原理 (打开另一个Microsoft网站)
  • Microsoft Entra Kerberos 的工作原理 (syfuhs.net) (打开外部网站)

分阶段转换工作负载

对工作负载进行现代化改造和采用云原生终结点需要对操作流程和过程进行更改。 例如：

• 管理员需要了解更改现有工作负载将如何更改其进程。
• 服务台需要了解他们将要支持的新应用场景。

查看终结点和工作负荷时，将转换分解为多个阶段。 此部分概述了组织可以使用的一些建议阶段。 这些阶段可以按需要重复多次。

✅ 第 1 阶段：获取有关工作负载的信息

此阶段是信息收集阶段。 它可帮助你确定组织过渡到云原生时必须考虑的范围。 它涉及准确定义环境中每个工作负载涉及的服务、产品和应用程序。

在此阶段：

1. 清点当前工作负载信息和详细信息。 例如，了解其当前状态、提供的内容、服务人员、维护人员、它们是否对云原生至关重要以及托管方式。

   拥有此信息后，可以理解并定义最终目标，应为：

   • 支持云原生终结点
   • 了解每个工作负载使用的服务、产品和应用程序

   你需要与不同服务、产品和应用程序的所有者协调。 你希望确保云原生终结点支持用户的工作效率，而无需连接或位置约束。

   常见服务和应用程序的示例包括业务线 (LOB) 应用程序、内部网站、文件共享、身份验证要求、应用程序和操作系统更新机制以及应用程序配置。 基本上，它们包括用户完全完成工作所需的一切。

2. 验证每个工作负载的最终状态。 识别阻止进入此最终状态或阻止支持云原生终结点的已知阻止程序。

   某些工作负载及其服务和应用程序可能已对云友好或已启用。 有些可能没有。 若要达到每个工作负载的最终状态，可能需要组织投入 & 努力。 它可能包括更新软件、“提升和转移”到新平台、迁移到新解决方案或进行配置更改。

   每个组织的各个工作负载所需的步骤都不同。 它们取决于用户如何托管和访问服务或应用程序。 此最终状态应解决使用户能够在云原生终结点上完成工作的主要挑战，而不考虑位置或与内部网络的连接。

   根据每个定义的最终状态，你可能会发现或定义启用云的服务或应用程序很困难或已阻止。 出现这种情况的原因可能不同，包括技术或财务限制。 需要明确和理解这些限制。 你需要查看其影响，并确定如何移动每个工作负载，使其适合云原生。

✅ 第 2 阶段: 确定任何阻止程序的优先级

确定密钥工作负载及其最终状态阻止程序后，请执行以下操作：

1. 确定每个阻止程序的优先级，并评估每个阻止程序的解决方法。

   你可能不希望或不需要解决所有阻止程序。 例如，组织可能有不支持云原生终结点的工作负载或部分工作负载。 这种缺乏支持可能对组织或用户意义重大，也可能不重要。 你和组织可以做出此决定。

2. 若要支持测试和概念验证 (POC)，请从一组最少的工作负载开始。 目标是测试和验证工作负载的示例。

   作为 POC 的一部分，在试点中确定一组用户和设备，以运行真实的生产方案。 此步骤有助于证明最终状态是否支持用户工作效率。

   在许多组织中，有一个更容易迁移的角色或业务组。 例如，可以在 POC 中针对以下应用场景：

   • 高度流动的销售团队，其主要需求是生产力工具和在线客户关系管理解决方案
   • 主要访问已在云中且严重依赖 Microsoft 365 应用的内容的知识工作者
   • 高度移动的前线员工设备，或处于无法访问组织网络的环境中的前线员工设备

   对于这些组，请查看其工作负载。 确定这些工作负载如何移动到新式管理，包括标识、软件分发、设备管理等。

   对于试点中的每个区域，项目数或任务数应较低。 此初始试点可帮助你创建更多组所需的流程和过程。 它还有助于创建长期策略。

   有关更多指南和提示，请转到 Microsoft Intune 规划指南。 它适用于 Intune，但在使用试点组和创建推出计划时也包含一些指南。

✅ 第 3 阶段：转换工作负载

在此阶段，你已准备好实施更改。

1. 将未阻止的工作负载移动到计划的云原生解决方案或最终状态。 理想情况下，此步骤分为较小的工作项。 目标是在最小中断的情况下继续业务运营。

2. 第一组工作负载支持云原生终结点后，识别更多工作负载并继续此过程。

✅ 第 4 阶段：准备用户

用户在其设备上接收、部署和支持方面有不同的体验。 管理员应：

• 查看现有流程和文档，确定更改对用户可见的位置。
• 更新文档。
• 创建教育策略以共享用户将体验到的更改和好处。

分阶段转换组织

以下阶段是组织移动其环境以支持云原生 Windows 终结点的高级方法。 这些阶段与转换终结点和用户工作负载是平行的。 它们可能依赖于部分或完全转换的某些工作负荷，以支持云原生 Windows 终结点。

✅ 第 1 阶段：定义终结点、依赖关系和里程碑

此阶段是组织迁移为完全云原生的第一步。 查看当前拥有的内容，定义成功条件，并开始规划如何将设备添加到 Microsoft Entra。

1. 定义需要云标识的终结点

   • 使用 Internet 访问的终结点需要云标识。 将这些终结点添加到 Microsoft Entra。
   • 不使用 Internet 或仅在本地使用的终结点不应具有云标识。 请勿将这些方案迁移为云原生方案。

2. 定义依赖关系

   工作负载、用户和设备具有技术和非技术依赖关系。 若要在对用户和组织影响最小的情况下进行转换，必须考虑这些依赖关系。

   例如，依赖关系可以是：

   • 业务流程和连续性
   • 安全标准
   • 本地法律法规
   • 用户对工作负载的了解和使用
   • 资本、运营成本和预算

   对于每个工作负载，请询问“如果我们更改此工作负载提供的服务，会有什么影响？”。 必须考虑到此更改的影响。

3. 为每个工作负载定义里程碑和成功条件

   每个工作负载都有自己的里程碑和成功条件。 它们可以基于组织对工作负载的使用及其对特定终结点和用户的适用性。

   若要了解和定义转换的进度，请跟踪和监视此信息。

4. 规划 Windows Autopilot 部署

   • 确定如何以及何时向组织注册设备。
   • 确定并创建必要的组标记，以针对 Windows Autopilot 策略。
   • 使用其配置设置创建 Windows Autopilot 配置文件，并面向将接收配置文件的设备。

   有关详细信息，请转到：

   • Windows Autopilot 概述
   • Windows Autopilot 方案和功能

✅ 第 2 阶段：启用终结点云混合标识 (可选)

若要完全采用云原生，Microsoft建议在硬件刷新周期中重置现有 Windows 终结点。 重置时，终结点将还原到出厂设置。 将删除设备上的所有应用、设置和个人数据。

如果尚未准备好重置终结点，可以启用混合Microsoft Entra 联接。 为混合Microsoft Entra 联接终结点创建云标识。 请记住，混合Microsoft Entra 联接仍需要本地连接。

请记住，混合Microsoft Entra 联接是过渡到云原生的步骤，不是最终目标。 最终目标是使所有现有终结点都完全为云原生终结点。

当终结点完全为云原生终结点时，用户数据将存储在云存储提供程序中，如 OneDrive。 因此，重置终结点时，用户应用程序、配置和数据仍可访问，并且可以复制到新预配的终结点。

有关详细信息，请转到：

• Microsoft Entra 联接与已加入混合Microsoft Entra
• 配置混合Microsoft Entra 联接

注意

Microsoft没有迁移实用工具，无法将现有终结点从已加入本地域或已加入的混合Microsoft Entra 转换为已加入 Microsoft Entra。 Microsoft建议在硬件刷新过程中重置和重新部署这些设备。

✅ 第 3 阶段：云附加 Configuration Manager (可选)

如果使用 Configuration Manager，则云会将环境附加到 Microsoft Intune。 如果不使用 Configuration Manager，请跳过此步骤。

云附加时，可以远程管理客户端终结点，使用 Intune (云) 和 Configuration Manager 共同管理终结点， (本地) ，以及访问 Intune 管理中心。

有关更具体的信息，请转到 云附加 Configuration Manager 环境 并 演练 intune 管理中心Microsoft。

✅ 阶段 4：创建Microsoft Entra 联接的概念证明

此关键阶段可随时启动。 它有助于识别可能的问题、未知问题，并验证这些问题的总体功能和解决方法。 与所有 POC 一样，目标是在实际的企业环境中而不是实验室环境中证明和验证功能。

此阶段的重要步骤包括：

1. 使用 Intune 实现最小基线配置

   此步骤非常重要。 你不希望将终结点引入网络或生产环境，因为：

   • 不遵循组织的安全标准
   • 未配置为让用户完成其工作。

   此最小配置不会也不应应用所有可能的配置。 请记住，目的是发现用户成功所需的更多配置。

2. 为已加入 Microsoft Entra 的终结点配置 Windows Autopilot

   使用 Windows Autopilot 预配新终结点和重新预配现有终结点是向组织引入Microsoft Entra 联接系统的最快方法。 这是 POC 的重要组成部分。

3. 为已加入 Microsoft Entra 的系统部署 POC

   • 混合使用代表不同配置和用户的终结点。 需要尽可能多地验证此新系统状态。

   • 只有实际生产用户的实际生产使用才能完全验证工作负载及其功能。 通过日常自然使用 POC Microsoft Entra 终结点，用户有机地测试和验证工作负载。

   • 创建业务关键功能和方案的清单，并向 POC 用户提供这些列表。 该清单特定于每个组织，并且可能会随着工作负载转换为云原生友好工作负载而更改。

4. 验证功能

   验证是一个重复过程。 它基于组织中的工作负载及其配置。

   • 收集有关 POC 终结点、工作负载及其功能的用户反馈。 此反馈应来自使用云原生终结点的用户。

     可能会发现其他阻止程序，以及以前未知或未解释的工作负载/应用场景。

   • 使用以前为每个工作负载建立的里程碑和成功条件。 它们将有助于确定 POC 的进度和范围。

✅ 阶段 5：Microsoft Entra 加入现有 Windows 终结点

此阶段将新的 Windows 终结点预配转换为已加入 Entra Microsoft。 解决所有阻止程序和问题后，可以将现有设备移动为完全云原生设备。 可以选择下列选项：

• 选项 1：替换设备。 如果设备生命周期结束或不支持新式安全性，则将其替换是最佳选择。 新式设备支持新的和增强的安全功能，包括受信任的平台模块 (TPM) 技术。

• 选项 2：重置 Windows 设备。 如果现有设备支持较新的安全功能，则可以重置设备。 在 OOBE) (现用体验期间，或者在用户登录时，他们可以将设备加入到 Microsoft Entra。

  在重置现有 Windows 终结点之前，请务必：

  1. 删除 Intune 中的设备。
  2. 删除 Windows Autopilot 设备注册。
  3. 删除现有 Microsoft Entra 设备对象。

  然后，重置设备，并重新预配该终结点。

设备准备就绪后，使用最适合组织的选项将这些设备加入到 Microsoft Entra。 有关更具体的信息，请转到Microsoft Entra 联接设备和如何：规划Microsoft Entra 联接实现。

从组策略对象 (GPO)

许多组织使用 GPO 来配置和管理其 Windows 终结点。

随着时间推移，由于缺乏文档、策略的目的或要求不明确、使用旧策略或非功能性策略以及使用复杂的功能，它变得越来越复杂。 例如，可能存在包含 WMI 筛选器、具有复杂 OU 结构以及使用继承阻止、环回或安全筛选的策略。

使用 Intune 管理设置

Microsoft Intune 具有许多内置设置，可以配置并部署到云原生终结点。 迁移到 Intune 进行策略管理时，有一些选项。

这些选项并不一定相互排斥。 可以迁移一部分策略，并为其他人启动新策略。

• 选项 1：新建（推荐）：Intune 具有许多用于配置和管理终结点的设置。 可以在策略中创建策略、添加和配置设置，然后部署策略。

  许多现有组策略包括可能不适用于云原生终结点的策略。 重新启动使组织能够验证和简化其现有的强制策略，同时消除旧策略、遗忘策略甚至有害策略。 Intune 具有内置模板，可将常用设置组合在一起，例如 VPN、Wi-Fi、终结点保护等。

• 选项 2：迁移：此选项涉及提升现有策略并将其转移到 Intune 策略引擎。 这可能既繁琐又耗时。 例如，你可能有许多现有组策略，并且与本地设置和云中的设置存在差异。

  如果选择此选项，则必须查看和分析现有组策略，并确定这些策略在云原生终结点上是否仍需要或有效。 你希望消除不必要的策略，包括可能导致开销或降低系统性能或用户体验的策略。 在了解组策略的作用之前，不要将其移动到 Intune。

应了解的 Intune 功能

Intune 还具有内置功能，可帮助配置云原生终结点：

• 组策略分析：可以在 Microsoft Intune 管理中心中导入 GPO，并针对策略运行分析。 可查看 Intune 中的现有策略，并查看已弃用策略。

  如果使用 GPO，则使用此工具是有价值的第一步。

  有关详细信息，请转到 Intune 中的组策略分析。

• 设置目录：查看 Intune 中提供的所有设置，并使用这些设置创建、配置和部署策略。 使用 Intune 中的设置目录完成的任务可能也是很好的资源。 如果创建 GPO，则设置目录是向云原生终结点配置的自然过渡。

  与 组策略分析结合使用时，可以将本地使用的策略部署到云原生终结点。

  有关详细信息，请转到 Intune 中的设置目录。

• 管理模板：这些模板类似于本地使用的 ADMX 模板，并内置在 Intune 中。 不要下载它们。 这些模板包括许多控制 Microsoft Edge、Internet Explorer、Microsoft Office 应用、远程桌面、OneDrive、密码、PIN 等功能的设置。

  如果在本地使用管理模板，则在 Intune 中使用它们是一种自然过渡。

  有关详细信息，请转到 Intune 中的管理模板。

  还可为 Win32 和桌面桥应用引入一组现有 ADMX 策略。 有关详细信息，请转到：

  • 了解 ADMX 策略 - Windows 客户端管理
  • 在 MDM 中启用 ADMX 策略 - Windows 客户端管理
  • Win32 和桌面桥应用 ADMX 策略引入 - Windows 客户端管理

  注意

  从 Windows 10 版本 1703 开始，移动设备管理 (MDM) 策略配置支持得到扩展，以允许使用策略配置服务提供商 (CSP) 访问 Windows 电脑的所选组策略管理模板集 (ADMX 策略)。 在策略 CSP 中配置 ADMX 策略不同于配置传统 MDM 策略的典型方式。

• 安全基线：安全基线是一组预配置的 Windows 设置。 它们可帮助应用和实施安全团队推荐的精细安全设置。 创建安全基线时，还可以自定义每个基线，以仅强制执行所需的设置。

  可以为 Windows、Microsoft Edge 等创建安全基线。 如果不确定从何处开始，或者需要安全专家推荐的安全设置，请查看安全基线。

  有关详细信息，请转到 Intune 中的安全基线。

使用 Windows Autopilot 预配新的或现有 Windows 终结点

如果从 OEM 或合作伙伴购买终结点，则应使用 Windows Autopilot。

一些优势包括：

• 内置 Windows 安装流程：它提供品牌化、引导式和简化的最终用户体验。

• 将终结点直接发送给最终用户：供应商和 OEM 可以直接将终结点发送给用户。 用户接收终结点，使用其组织帐户登录 (user@contoso.com)，然后 Windows Autopilot 自动预配终结点。

  此功能有助于限制与高接触内部 IT 流程和运输所涉及的开销和成本。

  为获取最佳结果，请向 OEM 或供应商预注册终结点。 预注册有助于避免手动注册终结点时可能发生的任何延迟。

• 用户可以自行重置现有终结点：如果用户有现有 Windows 终结点，则可以自行重置设备。 重置时，它会将终结点还原到最小基线和托管状态。 它不需要高成本的 IT 干预或对终结点的物理访问。

注意

不建议使用 Windows Autopilot 混合Microsoft Entra 加入新预配的终结点。 它有效，但也存在一些挑战。 在新预配的终结点上，使用 Windows Autopilot Microsoft Entra 联接 (而不是混合Microsoft Entra 联接) 。

若要帮助确定适合你的组织的联接方法，请转到 Microsoft Entra joined vs. Hybrid Microsoft Entra joined。

有关 Windows Autopilot 的详细信息，请转到：

• Windows Autopilot 概述
• Windows Autopilot 方案和功能
• Windows Autopilot 常见问题解答

遵循云原生终结点指南

1. 概述：什么是云原生终结点？
2. 教程 - 云原生 Windows 终结点入门
3. 概念：Microsoft Entra 联接与已联接的混合Microsoft Entra
4. 概念：云原生终结点和本地资源
5. 🡺 高级规划指南 (你的位置)
6. 已知问题和重要信息