開始使用您的 Microsoft Intune 部署
Microsoft Intune 是雲端式服務,可協助您管理裝置和應用程式。 如需 Intune 可為組織執行哪些Microsoft詳細資訊,請移至 Intune Microsoft功能。
本文提供開始 Intune 部署步驟的概觀。
提示
做為本文的隨附,Microsoft 365 系統管理中心也有一些設定指引。 本指南會根據您的環境自定義您的體驗。 若要存取此部署指南,請移至 Microsoft 365 系統管理中心的 Microsoft Intune 設定指南,並至少) 使用 全域讀取器 (登入。 如需這些部署指南和所需角色的詳細資訊,請移至 Microsoft 365 和 Office 365 產品的進階部署指南。
若要檢閱最佳做法,而不登入並啟用自動化安裝功能,請移至 M365 安裝程式入口網站。
開始之前
若要協助規劃 Intune 部署,請使用 規劃指南移至 Microsoft Intune。 其中涵蓋個人裝置、授權考慮、建立首度發行計劃、將變更傳達給使用者等等。
下列文章是不錯的資源:
判斷您的授權需求以及 Intune 部署的任何其他必要條件。 下列清單提供一些最常見的必要條件:
Intune 訂用帳戶:包含在某些Microsoft 365 訂用帳戶中。 您也可以存取 Microsoft Intune 系統管理中心,這是用來管理裝置、應用程式和使用者的 Web 型控制台。
Microsoft 365 應用程式:隨附於 Microsoft 365,並用於生產力應用程式,包括 Outlook 和 Teams。
Microsoft編碼標識碼:Microsoft Entra ID 用於使用者、群組和裝置的身分識別管理。 它隨附於您的 Intune 訂用帳戶,可能還有您的 Microsoft 365 訂用帳戶。
Microsoft Entra ID P1 或 P2 可能會產生額外成本,讓您擁有組織常用的更多功能,包括條件式存取、多重要素驗證 (MFA) 和動態群組。
Windows Autopilot:隨附於某些Microsoft 365 訂閱。 Windows Autopilot 為您提供目前支援之 Windows 用戶端裝置版本的新式 OS 部署。
平臺特定必要條件:根據您裝置的平台,還有其他需求。
例如,如果您管理 iOS/iPadOS 和 macOS 裝置,您需要 Apple MDM 推播憑證,而且可能需要 Apple 令牌。 如果您管理 Android 裝置,您可能需要受控 Google Play 帳戶。 如果您使用憑證驗證,您可能需要 SCEP 或 PKCS 憑證。
如需詳細資訊,請移至:
步驟 1 - 設定 Intune
在此步驟中:
✅ 確認您的裝置受到支援、建立 Intune 租使用者、新增使用者 & 群組、指派授權等等。
此步驟著重於設定 Intune,並讓您準備好管理使用者身分識別、應用程式和裝置。 Intune 會在 Microsoft Entra ID 中使用許多功能,包括您的網域、使用者和群組。
如需詳細資訊,請移至 步驟 1 - 設定Microsoft Intune。
步驟 2 - 新增和保護應用程式
在此步驟中:
✅ 在將註冊 Intune 的裝置上,建立裝置必須擁有的應用程式基準,然後在註冊期間指派這些應用程式原則。 在需要額外安全性的應用程式上,也請使用應用程式保護原則。
✅ 在不會在 Intune 註冊的裝置 上,使用應用程式保護原則和多重要素驗證 (MFA) :
- 應用程式保護原則可協助保護個人裝置上的組織數據。
- MFA 可協助保護貴組織的數據免於未經授權的存取。
如需詳細資訊,請移至 步驟 2 - 使用 Intune 新增、設定及保護應用程式。
每個組織都有一組應該安裝在裝置上的基底應用程式。 在用戶註冊其裝置之前,您可以使用 Intune 將這些應用程式指派給其裝置。 在註冊期間,會自動部署應用程式原則。 註冊完成時,應用程式會安裝並準備好使用。
如果您想要的話,您可以註冊您的裝置,然後指派應用程式。 這是您的選擇。 下次使用者檢查新的應用程式時,會看到新的可用應用程式。
如果使用者具有自己的個人裝置存取組織資源,則您至少必須使用行動應用程式管理 (MAM) 來保護任何存取組織數據的應用程式。 您可以為 Outlook、Teams、SharePoint 和其他應用程式建立 MAM 原則。 Microsoft Intune 規劃指南提供管理個人裝置的一些指引。
注意事項
MFA 是 Microsoft Entra ID 的功能,必須在您的 Microsoft Entra 租使用者中啟用。 然後,您會為您的應用程式設定 MFA。 如需詳細資訊,請移至:
步驟 3 - 檢查合規性並開啟條件式存取
在此步驟中:
✅建立裝置必須具備的合規性原則基準,然後在註冊期間指派這些合規性原則。
✅ 啟用條件式存取 以強制執行合規性原則。
如需詳細資訊,請移至 步驟 3 – 規劃合規性政策。
Intune 之類的 MDM 解決方案可以設定裝置應該符合的規則,而且可以報告這些規則的合規性狀態。 這些規則稱為合規性原則。 當您結合合規性原則與條件式存取時,您可以要求裝置必須符合特定安全性需求,才能存取您組織的數據。
當使用者在 Intune 中註冊其裝置時,註冊程式可以自動部署您的合規性政策。 註冊完成時,系統管理員可以檢查合規性狀態,並取得不符合您規則的裝置清單。
如果您想要的話,您可以先註冊裝置,再檢查合規性。 這是您的選擇。 在下一次 Intune 簽入時,會指派合規性原則。
注意事項
條件式存取是 Microsoft Entra ID 的功能,必須在您的 Microsoft Entra 租使用者中啟用。 然後,您可以為使用者身分識別、應用程式和裝置建立條件式存取原則。 如需詳細資訊,請移至:
步驟 4 - 設定裝置功能
在此步驟中:
✅建立應啟用或封鎖之安全性功能和裝置功能的基準。 在註冊期間指派這些配置檔。
如需詳細資訊,請移至 步驟 4 - 建立裝置組態配置檔以保護裝置和存取組織資源。
您的組織可以有一組基本的裝置和安全性功能,這些功能應該設定或封鎖。 這些設定會新增至裝置組態和端點安全性配置檔。 Microsoft建議您在註冊期間指派金鑰安全性和裝置設定原則。 註冊開始時,系統會自動指派裝置組態配置檔。 註冊完成時,會設定這些裝置和安全性功能。
如果您想要的話,您可以先註冊裝置,再建立組態配置檔。 這是您的選擇。 在下一次 Intune 簽入時,會指派配置檔。
在 Microsoft Intune 系統管理中心,您可以根據您的裝置平臺建立不同的配置檔 - Android、iOS/iPadOS、macOS 和 Windows。
下列文章是不錯的資源:
步驟 5 - 註冊您的裝置
在此步驟中:
✅在 Intune 中註冊您的裝置。
如需更具體的資訊,請移至 步驟 5 - 部署指引:在 Microsoft Intune 中註冊裝置。
若要完全管理裝置,裝置必須在 Intune 中註冊,才能接收您所建立 & 條件式存取原則、應用程式原則、裝置設定原則和安全策略的合規性。 身為系統管理員,您可以為用戶和裝置建立註冊原則。 每個裝置平臺 (Android、iOS/iPadOS、Linux、macOS 和 Windows) 都有不同的註冊選項。 您可以選擇最適合您的環境、案例,以及裝置的使用方式。
根據您選擇的註冊選項,用戶可以自行註冊。 或者,您可以將註冊自動化,讓使用者只需要使用其組織帳戶登入裝置。
當裝置註冊時,裝置會收到安全的 MDM 憑證。 此憑證會與 Intune 服務通訊。
不同的平臺有不同的註冊需求。 下列文章可協助您深入瞭解裝置註冊,包括平臺特定的指引:
使用 Configuration Manager 的雲端連結
Microsoft Configuration Manager 可協助保護內部部署 Windows Server、裝置、應用程式和數據。 如果您需要管理雲端和內部部署端點的組合,您可以在雲端將 Configuration Manager 環境連結至 Intune。
如果您使用 Configuration Manager,則雲端鏈接內部部署裝置有兩個步驟:
租用戶連結:向 Configuration Manager 部署註冊您的 Intune 租使用者。 您的 Configuration Manager 裝置會顯示在 Microsoft Intune 系統管理中心。 在這些裝置上,您可以執行不同的動作,包括安裝應用程式,以及使用Web型Intune系統管理中心執行 Windows PowerShell 腳本。
[共同管理 (../../configmgr/comanage/overview.md) :使用 Configuration Manager 和 Microsoft Intune 管理 Windows 用戶端裝置。 Configuration Manager 會管理某些工作負載,而 Intune 會管理其他工作負載。
例如,您可以使用 Configuration Manager 來管理 Windows 更新,並使用 Intune 來管理合規性 & 條件式存取原則。
如果您目前使用 Configuration Manager,則可透過租使用者附加取得立即價值,並透過共同管理獲得更多價值。
如需適用於您組織的 Microsoft Intune 設定指引,請移至 部署指南:設定或移至 Microsoft Intune。