共用方式為


Windows 10/11 雲端設定逐步設定指南

雲端設定 (雲端設定) 中的 Windows 10/11 是 Windows 用戶端裝置的裝置設定。 其設計目的是要簡化用戶體驗。 如需什麼是雲端設定的詳細資訊,包括最低需求,請移至 Windows 雲端設定引導式案例概觀

透過雲端設定,您可以使用 Microsoft Intune 原則,將 Windows 用戶端裝置轉換成雲端優化裝置。 Windows 10/11 雲端設定:

  • 將裝置設定為使用 Microsoft Entra 註冊 Intune 管理,以優化雲端的裝置。 用戶數據會自動儲存在 OneDrive 中,並已設定 已知資料夾移動

  • 在裝置上安裝 Microsoft Teams 和 Microsoft Edge。

  • 將終端使用者設定為裝置上的標準使用者,讓IT能夠更充分掌控裝置上安裝的應用程式。

  • 拿掉內建應用程式和Microsoft市集應用程式,簡化終端用戶體驗。

  • 套用端點安全性設定和合規性政策。 這些原則可協助保護裝置的安全,並協助IT監視裝置健康情況。

  • 確保裝置會透過商務用 Windows Update 自動更新。

  • 您也可以選擇性地:

    • 新增其他Microsoft 365 應用程式,例如 Outlook、Word、Excel、PowerPoint。
    • 新增基本的企業營運 (LOB) 使用者需要成功的應用程式。 Microsoft建議將這些應用程式保持在最低限度,讓設定保持簡單。
    • 新增必要的資源,例如 Wi-Fi 配置檔、VPN 連線、憑證,以及使用者工作流程所需的印表機驅動程式。

提示

如需雲端設定中 Windows 10/11 及其用途的概觀,請移至雲端設定中的 Windows 10/11

有兩種方式可以部署雲端設定:

  • 選項 1 - 自動:使用引導式案例,以其設定的值自動建立所有群組和原則。 如需此選項的詳細資訊,請移至 Windows 雲端設定引導式案例概觀
  • 選項 2 - 手動 (本文) :使用本文中的步驟自行部署雲端設定。

本指南可協助您建立自己的雲端組態部署。 下列各節說明如何使用 Microsoft Intune 來設定雲端設定:

  1. 建立 Microsoft Entra 群組
  2. 設定裝置註冊
  3. 部署文稿以設定已知資料夾移動和移除內建應用程式
  4. 部署應用程式
  5. 部署端點安全性設定
  6. 設定 Windows Update 設定
  7. 部署 Windows 合規性政策
  8. 選擇性設定

步驟 1 - 建立 Microsoft Entra 群組

第一個步驟是建立 Microsoft Entra 安全組,以接收您部署的設定。

此專用群組可協助您組織裝置,並在 Intune 中管理雲端設定資源。 Microsoft建議您只部署本指南中的設定。 然後,視需要新增更基本的應用程式和其他裝置組態。

使用下列步驟來建立群組:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [群組>所有群組>][新增群組]

  3. 針對 [群組類型],選取 [ 安全性]

  4. 輸入 群組名稱,例如 Cloud config PCs

  5. 針對 [成員資格類型],選 取 [已指派]

  6. 如有需要,您現在可以將裝置新增至新的群組。 選 取 [未選取成員 ],並將成員新增至您的群組。

    您也可以從空白群組開始,稍後再新增裝置。

  7. 選取 [建立]

提示

建立群組時,您可以將預先註冊的 Windows Autopilot 裝置新增至此群組。

現有的裝置

如果您已在 Intune 中註冊想要與雲端設定搭配使用的現有裝置,建議您從這些裝置開始使用。 特別是:

  • 拿掉部署到這些裝置的現有應用程式和配置檔。
  • 重設這些裝置。
  • 在 Intune 中重新註冊裝置,並部署您的雲端設定。

這些額外的步驟建議用於現有的裝置,因為它們提供簡化的用戶體驗。 然後,您可以新增其他基本應用程式,並確保裝置只有使用者需要的應用程式。

步驟 2 - 設定裝置註冊

在此步驟中,您會在 Intune 中啟用 MDM 自動註冊,並設定裝置在 Intune 中註冊的方式。

如果您已經使用 Windows Autopilot,請略過此步驟,然後移至步驟 3 - 部署腳本以設定已知資料夾移動,並移除本文中 (的內建應用程式) 。

✅ 1 - 啟用自動註冊

為您想要使用雲端設定的組織使用者啟用自動註冊。雲端設定需要自動註冊。如需自動註冊的詳細資訊,請移至 註冊指南 - Windows 自動註冊

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>依據平臺>][Windows>裝置上線>註冊>自動註冊]

  3. [MDM 用戶範圍] 下,選取下列其中一項:

    • 選取 [全部 ] 以將雲端設定套用至組織中使用者使用的所有 Windows 裝置。 在大部分的雲端設定案例中, 選取 [全部]。
    • 取 [部分 ] 將雲端設定套用至組織中使用者子集所使用的裝置。 如果您想要以分段方式套用雲端設定,則 有些 可能是不錯的選擇。
  4. 請勿設定 MAM 用戶範圍、MAM 使用者 URL 條款、MDM 探索 URL 和 MAM 合規性 URL 設定。 將這些設定保留空白。 未針對雲端設定設定 MAM 設定。

  5. 選取 [儲存] 以儲存變更。

✅ 2 - 選擇裝置註冊和設定用戶成為裝置上標準使用者的方式

在 Intune 中啟用 Windows 自動註冊之後,下一個步驟是決定裝置在 Intune 中註冊的方式。 註冊時,他們可接收您的雲端設定原則。 您也需要將使用者設定為其裝置上的標準使用者。 標準使用者只能安裝貴組織核准的應用程式。

針對註冊,您有三個選項。 選取一個註冊選項。

  • 使用 Windows Autopilot (建議)
  • 使用布建套件進行大量註冊
  • 使用全新體驗中的 Microsoft Entra ID (OOBE)

本節提供這些註冊選項的詳細資訊,並將用戶設定為其裝置上的標準使用者。

建議您使用 Windows Autopilot 註冊和註冊狀態頁面 (ESP) 。 此註冊方法和 ESP 提供一致的用戶體驗。

  • 您可以使用 Windows Autopilot 部署服務預先註冊裝置。 透過 Windows Autopilot,系統管理員會設定裝置的啟動和註冊裝置管理方式。
  • Intune Windows Autopilot 原則會 (OOBE) 設定全新體驗。 在 OOBE 中,您會選取要成為標準使用者的使用者。
  • Intune Windows Autopilot 原則會設定 ESP) (註冊狀態頁面。 ESP 會顯示設定進度。 使用者會停留在 ESP 上,直到所有雲端組態設定都套用至裝置為止。

若要設定 Windows Autopilot 使用者驅動註冊,請使用下列步驟:

  1. 將裝置新增至 Windows Autopilot

    使用 步驟 3 - 向 Windows Autopilot 註冊裝置中的步驟在 Windows Autopilot 中註冊您的裝置 (開啟 Windows Autopilot 文章) 。

    注意事項

    步驟 3 - 向 Windows Autopilot 註冊裝置 Windows Autopilot 一文是一系列步驟的一部分。 針對此雲端設定,請只遵循 步驟 3 - 向 Windows Autopilot 註冊裝置 以註冊您的裝置。 請勿遵循系列中的其他步驟。 Windows Autopilot 系列中的其他步驟適用於不同的 Windows Autopilot 案例。

    您也可以 手動註冊裝置以使用 Windows Autopilot。 手動註冊裝置通常用來重新規劃先前未使用 Windows Autopilot 設定的現有硬體。

  2. 在 Intune 中建立和指派 Windows Autopilot 部署配置檔

    1. 登入 Microsoft Intune 系統管理中心

    2. 取 [裝置>依據平臺>][Windows>裝置上線>註冊>Windows Autopilot Deployment 方案>部署設定檔]

    3. 取 [建立配置檔>Windows 計算機]。 輸入配置檔的名稱。

    4. 針對 [ 將所有目標裝置轉換成 Autopilot ] 設定,選取 [ 是]。 選取 [下一步]

      您可以將雲端設定套用至使用 Windows Autopilot 以外的註冊方法註冊的裝置。 當您將這些裝置 (非 Windows Autopilot 裝置) 新增至您的群組時,裝置會轉換成 Windows Autopilot。 下次重設裝置並經歷 Windows 全新體驗 (OOBE) 時,它們會透過 Windows Autopilot 註冊。

    5. 在 [ OOBE) ] 索引標籤 (全新體驗 中,輸入下列值,然後選取 [ 下一步]

      設定
      部署模式 用戶驅動
      聯結至 Microsoft Entra ID 為 Microsoft Entra 聯結
      MICROSOFT 軟體授權條款 隱藏
      隱私權設定 隱藏
      隱藏變更帳戶選項 隱藏
      使用者帳戶類型 標準版
      允許預先布建的部署
      語言 (地區) 操作系統預設值
      自動設定鍵盤
      應用程式裝置名稱範本 選用。 您可以套用裝置名稱範本。 使用可協助您識別雲端組態裝置的名稱前置詞,例如 Cloud-%SERIAL%。'
    6. 將配置檔指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組,然後選取 [下一步]

    7. 檢閱新的配置檔,然後選取 [ 建立]

  3. 在 Intune 中建立並指派註冊狀態頁面

    1. 登入 Microsoft Intune 系統管理中心

    2. 取 [裝置>依據平臺>][Windows>裝置上線>註冊>一般>註冊狀態頁面]

    3. 取 [建立 ],然後輸入 註冊狀態頁面的名稱。

    4. 在 [ 設定] 索引標籤中 ,輸入下列值,然後選取 [ 下一步]

      設定
      顯示應用程式和配置檔設定程式
      當安裝時間超過指定的分鐘數時顯示錯誤 60
      發生時間限制錯誤時顯示自訂訊息 是 - 您也可以變更預設訊息。
      允許使用者收集安裝錯誤記錄
      封鎖裝置使用者,直到安裝所有應用程式和配置檔為止
      發生安裝錯誤時允許使用者重設裝置
      發生安裝錯誤時允許使用者使用裝置
      封鎖裝置使用者,直到將這些必要的應用程式指派給使用者/裝置時才安裝 全部

      注意事項

      如果發生安裝錯誤,建議您封鎖使用者使用裝置。 封鎖用戶可確保他們只能在完全套用雲端設定之後,才開始使用裝置。

      如果發生安裝錯誤,您可以根據您的部署需求,允許使用者使用裝置。 如果您允許使用裝置,當裝置簽入 Intune 時,Intune 繼續嘗試套用設定。

    5. 在 [指派] 中,將註冊狀態頁面指派給您在本文中 (步驟 1 - 建立 Microsoft Entra 群組中建立的群組) 。

      選取 [下一步]

    6. 取 [建立 ] 以建立並指派註冊狀態頁面。

註冊選項 2:使用布建套件進行大量註冊

您可以使用使用 Windows 組態 Designer 或 設定學校電腦 應用程式建立的布建套件來註冊裝置。

如需大量註冊的詳細資訊,請移至 Windows 裝置的大量註冊

使用大量註冊:

  • 在裝置註冊 Intune 之後,您會將其新增至您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。 當他們新增至群組時,他們會收到您的雲端設定。
  • 所有使用者都是裝置上的自動標準使用者。
  • 沒有註冊狀態頁面。 用戶無法檢視進度,因為所有雲端組態設定都已套用。 用戶可以在完全套用雲端設定之前開始使用裝置。
  • 將裝置散發給使用者之前,Microsoft建議您確認裝置上有設定和應用程式。

註冊選項 3:使用全新體驗中的 Microsoft Entra ID 註冊 (OOBE)

在 Intune 中啟用 MDM 自動註冊後,使用者會在 OOBE 期間使用其 Microsoft Entra 帳戶登入。 當他們登入時,註冊會自動啟動。

使用此註冊選項,您可以:

  1. 設定 Microsoft Intune 自定義配置檔,以限制裝置上的本機系統管理員。 原則 CSP 包含您可以在自訂配置檔中使用的範例原則定義 XML。

    提示

    在此自定義配置檔中,有另一個設定可新增可為裝置上本機系統管理員的群組。 此本機系統管理員群組應該只在您的環境中包含IT系統管理員。

  2. 將自訂配置檔指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

步驟 3 - 設定 OneDrive 已知資料夾移動和部署腳本以移除內建應用程式

當您設定 OneDrive 已知資料夾移動時,使用者檔案和資料會自動儲存在 OneDrive 中。 當您移除內建的 Windows 應用程式和Microsoft市集時,[開始] 功能表和裝置體驗會簡化。

此步驟有助於簡化 Windows 用戶體驗。

✅ 1 - 使用系統管理範本設定 OneDrive 已知資料夾移動

使用 已知資料夾移動時,使用者 (檔案和資料夾) 資料會儲存至 OneDrive。 當使用者登入另一個裝置時,OneDrive 會自動將數據同步處理至新裝置。 使用者不需要手動移動其檔案。

注意事項

由於 OneDrive 已知資料夾行動 和 SharedPC 設定的同步問題,Microsoft 不建議在具有多個使用者登入和註銷的裝置的雲端設定中使用 Windows。

若要設定已知資料夾移動,請在 Intune 中使用ADMX樣本:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>依據平臺>][Windows>管理裝置>設定>][建立>新原則]

  3. 針對平台選取 [Windows 10 及更新版本],然後選取 [配置檔類型的範本]。

  4. 選取 [系統管理範本] ,然後選取 [ 建立]

  5. 輸入配置檔的名稱,然後選取 [ 下一步]

  6. 在 [ 組態設定] 中,搜尋下表中的設定,然後選取其建議值:

    設定名稱
    以無訊息方式將 Windows 已知資料夾移至已啟用 OneDrive 的租使用者識別碼 輸入您組織的租用戶標識碼。

    您的租使用者識別碼會顯示在 [屬性] 頁面> [租用戶標識符] Microsoft Entra 系統管理中心>。
    重新導向資料夾之後向用戶顯示通知 是。 您也可以選擇隱藏通知。
    使用 Windows 認證以無訊息方式將使用者登入 OneDrive 同步處理應用程式 Enabled
    防止使用者將其 Windows 已知資料夾移至 OneDrive Enabled
    防止使用者將其 Windows 已知資料夾重新導向到其電腦 Enabled
    使用 OneDrive 檔案隨選 Enabled
  7. 將配置檔指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

✅ 2 - 部署腳本以移除內建應用程式

Microsoft建立 Windows PowerShell 腳本:

  • 從裝置移除內建應用程式。
  • 從裝置移除 Microsoft Store 應用程式。

腳本會在 Intune 中使用 部署到裝置。 若要新增和部署腳本,請使用下列步驟:

  1. 下載 雲端設定視窗 PowerShell 應用程式移除腳本。 此腳本會移除Microsoft市集應用程式和內建應用程式。

    注意事項

    如果您想要將Microsoft市集應用程式保留在裝置上,則可以使用 腳本來移除內建應用程式,但改為保留Microsoft市集 。 若要使用此腳本,請改為下載它,並遵循相同的步驟。 此腳本會嘗試移除內建應用程式,但可能不會移除所有應用程式。 您可能需要修改文稿,以移除裝置上的所有內建應用程式。

  2. 登入 Microsoft Intune 系統管理中心

  3. 取 [裝置>依據平臺>][Windows>管理裝置>腳本和補救>平臺腳本] 索引卷 標 [ >新增]

  4. [基本概念] 中,輸入腳本原則的名稱,然後選取 [ 下一步]

  5. [腳本設定] 中,上傳您下載的腳本。 讓其他設定保持不變,然後選取 [ 下一步]

  6. 將腳本指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

Microsoft市集應用程式

如果您先前已移除 Microsoft 市集應用程式,您可以使用 Microsoft Intune 來重新部署它。 若要重新新增 Microsoft 市集應用程式 (或您想要重新新增) 的任何其他應用程式,請將 Microsoft 市集應用程式新增至您的私人組織應用程式存放庫。 然後,使用 Intune 將應用程式部署至裝置。 Microsoft市集應用程式可協助讓應用程式保持更新。 如需如何設定存取 Microsoft 市集應用程式的相關信息,請參閱 管理私人市集的存取權

您的私人組織應用程式存放庫可以是 Intune 公司入口網站 應用程式或網站。

使用 Intune,在 Windows 10/11 企業版和教育版裝置上,您可以封鎖終端使用者在組織的私人應用程式存放庫外部安裝 Microsoft 市集應用程式。

若要防止這些外部應用程式,請使用下列步驟:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>依據平臺>][Windows>管理裝置>設定>][建立>新原則]

  3. 針對平台選取 [Windows 10 和更新版本],然後選取 [配置檔類型的設定目錄]。 選取 [建立]

  4. [基本概念] 中,輸入配置文件的名稱。

  5. 在 [ 組態設定] 中,選取 [ 新增設定]。 然後:

    1. 設定選擇器中, 搜尋 private store。 在 [Microsoft App Store] 類別底下的搜尋結果中,選取 [僅限私人市集]
    2. 將 [ 僅限私人市集] 設定設為 [僅限私人市集] 已啟用
    3. 選取 [下一步]
  6. 在 [指派] 中,將配置檔指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

  7. 在 [ 檢閱 + 建立] 中 檢閱您的配置檔,然後選取 [ 建立]

步驟 4 - 部署應用程式

此步驟會Microsoft Edge 和 Microsoft Teams 部署。 您可以在此步驟中部署其他基本應用程式。 請記住,只部署使用者需要的專案。

✅ 1 - 部署 Microsoft Edge

  1. 將 Microsoft Edge 新增至 Intune
  2. 針對 [應用程式設定],選取 [穩定通道]
  3. 將 Microsoft Edge 應用程式指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

✅ 2- 部署 Microsoft Teams

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [應用程式>視窗]

  3. 選取 [新增 ] 以建立新的應用程式。

  4. 針對 [Microsoft 365 Apps],選取 [Windows 10],然後選取 [>選取]

  5. 針對 [套件名稱],輸入名稱或使用建議的名稱。 選取 [下一步]

  6. 針對 [設定應用程式套件],僅選取 [Teams]。

    如果您想要部署其他Microsoft 365 應用程式,請從此清單中選取它們。 請記住,只部署使用者需要的專案。

    提示

    您不需要選擇 OneDrive。 OneDrive 內建於 Windows 10/11 專業版、企業版和教育版。

  7. 如需 應用程式套件資訊,請設定下列設定:

    設定
    架構 64 位元

    雲端設定也適用於 32 位。 Microsoft建議您選擇 64 位。
    更新通道 目前通道
    拿掉其他版本
    要安裝的版本 最新
  8. 針對 [屬性],設定下列設定:

    設定
    使用共用電腦啟用
    代表使用者接受Microsoft軟體授權條款
  9. 選取 [下一步]

  10. 將套件指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

步驟 5 - 部署端點安全性設定

此步驟會設定端點安全性設定,以協助保護裝置的安全,包括內建的 Windows 安全性基準和 BitLocker 設定。

✅1 - 部署 Windows 10/11 MDM 安全性基準

針對雲端中的 Windows 設定,建議使用 Windows 10/11 安全性基準。 您可以根據組織的喜好設定來變更一些設定值。

在下 Intune 中設定安全性基準:

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [端點安全>>基準] Windows 10 和更新版本的安全性基準

  3. 取 [建立配置檔 ] 以建立新的安全性基準。

  4. 輸入安全性基準的名稱,然後選取 [ 下一步]

  5. 接受預設組態設定。 或者,您可以根據組織需求變更下列設定:

    設定類別 設定 變更的原因
    瀏覽器 封鎖密碼管理員 如果您想要允許終端使用者使用密碼管理員,請停用此設定。
    遠端協助 請求遠端協助 此設定可讓您的支援人員從遠端連線到裝置。 Microsoft建議停用此設定,除非必要。
    防火牆 所有防火牆設定 如果您需要根據組織的需求允許裝置的特定連線,請變更預設的防火牆設定。

    選取 [下一步]

  6. 在 [指派] 中,選取您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

  7. 取 [建立 ] 以建立並指派基準。

✅ 2 - 使用磁碟驅動器加密端點安全性配置檔部署更多 BitLocker 設定

還有更多 BitLocker 設定可協助保護您的裝置安全。 在 Intune 中設定這些 BitLocker 設定:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [端點安全>性磁碟加密>建立原則]

  3. 針對 [平臺],選取 [Windows 10 及更新版本]

  4. 針對 [配置檔],選取 [BitLocker>建立]

  5. [基本概念] 中,輸入配置文件的名稱。

  6. 在 [ 組態設定] 中,選取下列設定:

    設定類別 設定
    BitLocker – 基底設定 啟用 OS 和固定數據磁碟驅動器的完整磁碟加密
         
    BitLocker – 固定磁碟驅動器設定 BitLocker 固定磁碟驅動器原則 設定
      封鎖未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取
      設定固定數據磁碟驅動器的加密方法 AES 128 位 XTS
         
    BitLocker – OS 磁碟驅動器設定 BitLocker 系統磁碟驅動器原則 設定
      需要啟動驗證
      相容的 TPM 啟動 允許
      相容的 TPM 啟動 PIN 已允許
      相容的 TPM 啟動金鑰 必要
      相容的 TPM 啟動金鑰和 PIN 允許
      在 TPM 不相容的裝置上停用 BitLocker
      設定作業系統磁碟驅動器的加密方法 AES 128 位 XTS
         
    BitLocker – 卸除式磁碟驅動器設定 BitLocker 卸除式磁碟驅動器原則 設定
      設定抽取式數據磁碟驅動器的加密方法 AES 128 位 CBC
      封鎖對不受 BitLocker 保護之抽取式數據磁碟驅動器的寫入存取
  7. 在 [指派] 中,將配置檔指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

  8. 取 [建立 ] 以建立並指派配置檔。

步驟 6 - 設定 Windows Update 設定

此步驟會使用 Windows Update Ring 讓裝置保持自動更新。 本指南中的設定與 Windows Update 基準中的建議設定一致。

在 Intune 中設定更新通道:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>管理更新>Windows 10 及更新>通道] 索引卷標 >[建立配置檔]

  3. [基本] 中,輸入更新通道的名稱。

  4. [更新通道設定] 中,設定下列值,然後選取 [ 下一步]

    設定
    維護通道 半年通道
    Microsoft產品更新 允許
    Windows 驅動程式 允許
    品質更新延遲期間 (天) 0
    功能更新延遲期間 (天) 0
    設定功能更新卸載期間 10
    自動更新行為 重設為預設值
    重新啟動檢查 允許
    暫停 Windows 更新的選項 啟用
    檢查 Windows 更新的選項 啟用
    需要使用者核准才能關閉重新啟動通知
    在需要自動重新啟動之前提醒使用者,可關閉的提醒 (小時) 讓此設定保持未設定
    在需要自動重新啟動之前提醒使用者,並使用永久提醒 (分鐘) 讓此設定保持未設定
    變更通知更新層級 使用預設 Windows Update 通知
    使用期限設定 允許
    功能更新的期限 7
    品質更新的期限 2
    寬限期 2
    在期限前自動重新啟動
  5. 將更新通道指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

步驟 7 - 部署 Windows 合規性政策

設定合規性政策以協助監視裝置合規性和健康情況。 原則會報告不符合規範,而且仍然允許使用者使用裝置。 您可以根據組織的程式,選擇如何解決與其他動作不相容的問題。

在 Intune 中建立合規性政策:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>合規性>建立原則]

  3. 針對 [平臺],選取 [Windows 10],然後選取 [>建立]

  4. [基本] 中,輸入合規性原則的名稱。 選取 [下一步]

  5. 在 [ 兼容性設定] 中,設定下列值,然後選取 [ 下一步]

    設定類別 設定
    裝置健康狀況 需要 BitLocker 需要
      需要在裝置上啟用安全開機 需要
      需要程式代碼完整性 需要
         
    系統安全性 防火牆 需要
      防毒軟體 需要
      Antispyware 需要
      需要密碼才能解除鎖定行動裝置 需要
      簡單密碼 封鎖
      密碼類型 字母
      密碼最小長度 8
      在需要密碼之前,閑置最長分鐘數 1 分鐘
      密碼到期 (天) 41
      防止重複使用的先前密碼數目 5
         
    守衛者 Microsoft Defender 反惡意代碼軟體 需要
      Microsoft Defender 最新的反惡意代碼安全情報 需要
      即時保護 需要
  6. 在 [不符合 規範的動作] 中,針對 [ 標示裝置不相容 ] 動作,將 [排 程 (不符合規範后的天數) 1 每天。 您可以根據組織喜好設定來設定不同的寬限期。

    如果您在組織中使用條件式存取原則,則建議您設定寬限期。 寬限期可防止不符合規範的裝置立即失去對組織資源的存取權。

  7. 您可以將動作新增至電子郵件使用者,告知他們不符合規範的步驟符合規範。

  8. 將合規性政策指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

步驟 8 - 選擇性設定

您可以使用雲端設定來建立和部署選擇性原則。本節說明這些選擇性原則。

✅ 設定租用戶功能變數名稱

將裝置設定為自動使用租使用者的功能變數名稱進行使用者登入。當您新增功能變數名稱時,使用者不需要輸入完整的UPN即可登入。

在 Intune 中新增租使用者功能變數名稱:

  1. 登入 Microsoft Intune 系統管理中心
  2. 取 [裝置>依據平臺>][Windows>管理裝置>設定>][建立>新原則]
  3. 針對平臺,選取 [Windows 10 及更新版本]
  4. 針對 [配置檔類型],選取 [ 範本>裝置限制>建立]
  5. 輸入配置檔的名稱,然後選取 [ 下一步]
  6. 在 [組態設定] 中,針對 [密碼] 設定 [慣用 Microsoft Entra 租使用者網域。 輸入用戶應該用來登入裝置的 Microsoft Entra功能變數名稱。
  7. 將配置檔指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

✅ 部署其他基本生產力和企業營運 (LOB) 應用程式

您可能有一些所有裝置都需要的基本 LOB 應用程式。 選擇要部署的應用程式數目下限。 如果您使用虛擬化解決方案傳遞應用程式,則也會將虛擬化用戶端應用程式部署到裝置。

可以使用新增至雲端組態的應用程式來部署的其他應用程式數目或大小沒有任何限制。 但是,Microsoft建議根據使用者的角色需求,將這些其他應用程式保持在最低限度。 將這些基本應用程式指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

您可能需要在某些裝置上使用特定的 LOB 應用程式。 或者,可能有一些應用程式具有複雜的封裝或程式需求。 針對這些案例,請考慮將這些應用程式移出您的雲端組態部署。 或者,將需要這些應用程式的裝置保留在您現有的 Windows 管理模型中。

建議您將雲端設定用於只需要幾個重要應用程式的裝置,以及共同作業和流覽。

✅ 部署使用者需要以供組織存取的資源

設定使用者可能需要的基本資源,這取決於您組織的程式。 基本資源可以包含憑證、印表機、VPN 連線和 Wi-Fi 配置檔。

在 Intune 中,將這些資源指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

還有更多設定可改善 OneDrive 已知資料夾行動的用戶體驗。 已知資料夾移動不需要設定即可運作,但很有説明。

如需這些設定的詳細資訊,請移至 [已知資料夾移動] 建議的 OneDrive 設定

有一些Microsoft Edge 應用程式設定可以設定,以獲得更佳的用戶體驗。 您可以根據用戶體驗的需求或喜好設定來設定這些設定。

若要設定這些建議的設定,請使用 Intune:

  1. 登入 Microsoft Intune 系統管理中心

  2. 取 [裝置>依據平臺>][Windows>管理裝置>設定>][建立>新原則]

  3. 針對配置檔類型的平臺和範本,選取 [Windows 10] 和 [更新版本]。

  4. 選取 [系統管理範本] ,然後選取 [ 建立]

  5. 輸入配置檔的名稱,然後選取 [ 下一步]

  6. 在 [ 組態設定] 中,搜尋下列設定,並將其設定為其建議值:

    設定類別 設定 值 (的)
      設定 Internet Explorer 整合 已啟用 Internet Explorer 模式
       
    SmartScreen 設定 設定 Microsoft Defender SmartScreen Enabled
      強制 Microsoft Defender SmartScreen 檢查來自信任來源的下載 Enabled
      設定 Microsoft Defender SmartScreen 來封鎖潛在的垃圾應用程式 Enabled

    注意事項

    Microsoft Defender 也會強制執行 SmartScreen 設定。 當您透過 Microsoft Edge 應用程式設定 SmartScreen 設定時,Microsoft Edge 會直接強制執行設定。

  7. 將配置檔指派給您在本文) 的步驟 1 - 建立 Microsoft Entra 群組 (中建立的群組。

監視雲端設定的狀態

當您將雲端設定套用至裝置時,可以使用 Intune 來監視應用程式和裝置組態的狀態。

腳本狀態

您可以監視已部署文稿的安裝狀態:

  1. Microsoft Intune 系統管理中心,移至 [依平台>的裝置>] [Windows>腳本和補救>平臺腳本]
  2. 選取您部署的腳本。
  3. 在腳本詳細數據頁面中,選取 [ 裝置狀態]。 腳本安裝詳細數據隨即顯示。

應用程式安裝

您可以監視已部署應用程式的安裝狀態:

  1. Microsoft Intune 系統管理中心,移至 [應用程式>] [Windows>應用程式]
  2. 選取您部署的應用程式,例如 Microsoft 365 App Suite。
  3. 取 [裝置安裝狀態 ] 或 [ 使用者安裝狀態]。 應用程式安裝詳細數據隨即顯示。

如需針對個別裝置上的應用程式問題進行疑難解答的詳細資訊,請移至針對應用程式安裝問題進行疑難解答 Intune

安全性基準

您可以監視已部署安全性基準的安裝狀態。 如需詳細資訊,請移至在 Intune 中監視安全性基準和配置檔

磁碟加密配置檔

在本文) 的 步驟 5 - 部署端點安全性設定 (中,您可能已設定並部署 BitLocker 設定。

您可以監視此 BitLocker 設定檔的狀態:

  1. Microsoft Intune 系統管理中心,移至 [端點安全>性磁碟加密]
  2. 選取您在雲端設定中部署的磁碟加密設定檔。
  3. 取 [裝置安裝狀態 ] 或 [ 使用者安裝狀態]。 配置檔詳細數據會顯示。

Windows Update 設定

您可以監視 Windows Update 環原則的狀態:

  1. Microsoft Intune 系統管理中心,移至 [裝置>管理更新>Windows 10 及更新>通道] 索引標籤
  2. 選取您在雲端設定中部署的更新通道。
  3. 取 [裝置狀態]、[ 用戶狀態] 或 [ 使用者更新狀態]。 更新通道設定詳細數據隨即顯示。

如需有關報告 Windows Update 通道的詳細資訊,請移至 Windows 10 和更新版本原則的更新通道報告

合規性政策

您可以監視合規性原則的狀態:

  1. Microsoft Intune 系統管理中心,移至 [裝置>合規性]
  2. 選取您在雲端設定中部署的合規性政策。

裝置合規性監視檢視包含合規性政策指派狀態和指派失敗的詳細資訊。 它也具有檢視,可快速尋找不符合規範的裝置並採取動作。

如需在 Intune 中監視合規性原則的更深入資訊,請移至監視 Intune 裝置合規性原則的結果