教學課程:使用 Microsoft Intune 設定雲端原生 Windows 端點
提示
閱讀雲端原生端點時,您會看到下列詞彙:
- 端點:端點是裝置,例如行動電話、平板電腦、膝上型電腦或桌面電腦。 「端點」和「裝置」會交替使用。
- 受控端點:使用 MDM 解決方案或組策略對象從組織接收原則的端點。 這些裝置通常是組織所擁有的裝置,但也可以是 BYOD 或個人擁有的裝置。
- 雲端原生端點:已聯結至 Microsoft Entra 的端點。 它們未加入內部部署AD。
- 工作負載:任何程序、服務或程式。
本指南將逐步引導您為組織建立雲端原生 Windows 端點設定。 如需雲端原生端點及其優點的概觀,請參閱 什麼是雲端原生端點。
本功能適用於:
- Windows 雲端原生端點
提示
如果您想要Microsoft建議的標準化解決方案來建置,則您可能會對 雲端設定中的 Windows 感興趣。 如需 Intune 引導式案例,請參閱 雲端設定中的 Windows 10/11。
下表說明本指南與 Windows 在雲端設定中的主要差異:
解決方案 | 目標 |
---|---|
教學課程:本指南 (開始使用雲端原生 Windows 端點) | 根據Microsoft建議的設定,引導您建立自己的環境設定,並協助您開始測試。 |
雲端中的 Windows 設定 | 引導式案例體驗,可根據Microsoft最符合需求的第一線、遠端和其他背景工作角色,建立並套用預先建置的組態。 |
您可以使用本指南與 雲端設定中的 Windows 結合,進而自定義預先建置的體驗。
如何開始使用
使用本指南中的五個已排序階段,這會彼此建置,以協助您準備雲端原生 Windows 端點設定。 藉由依序完成這些階段,您會看到有形的進度,並準備好布建新的裝置。
階段:
- 階段 1 – 設定您的環境
- 階段 2 – 建置您的第一個雲端原生 Windows 端點
- 階段 3 – 保護雲端原生 Windows 端點
- 階段 4 – 套用您的自訂設定和應用程式
- 階段 5 – 使用 Windows Autopilot 大規模部署
在本指南結尾,您已準備好在環境中開始測試的雲端原生 Windows 端點。 開始之前,您可能想要參閱如何 規劃 Microsoft Entra Join 實作中的 Microsoft Entra join 規劃指南。
階段 1 – 設定您的環境
在您建置第一個雲端原生 Windows 端點之前,有一些需要檢查的重要需求和設定。 此階段會逐步引導您檢查需求、設定 Windows Autopilot,以及建立一些設定和應用程式。
步驟 1 - 網路需求
您的雲端原生 Windows 端點需要存取數個因特網服務。 在開放式網路上開始測試。 或者,在提供 Windows Autopilot 網路需求所列所有端點的存取權之後,請使用您的公司網路。
如果您的無線網路需要憑證,您可以在測試期間從乙太網路連線開始,同時判斷裝置布建無線連線的最佳方法。
步驟 2 - 註冊和授權
您必須先檢查幾件事,才能加入 Microsoft Entra 並註冊 Intune。 您可以建立新的 Microsoft Entra 群組,例如名稱 Intune MDM Users。 然後,新增特定的測試用戶帳戶,並以該群組中的下列每個設定為目標,以限制在您設定組態時可以註冊裝置的人員。 若要建立 Microsoft Entra 群組,請移至管理 Microsoft Entra 群組和群組成員資格。
註冊限制 註冊限制可讓您控制哪些類型的裝置可以向Intune 註冊管理。 若要讓本指南成功,請確定允許 Windows (MDM) 註冊,這是預設組態。
如需設定註冊限制的相關信息,請移至 在 Microsoft Intune 中設定註冊限制。
Microsoft Entra Device MDM 設定 當您將 Windows 裝置加入 Microsoft Entra 時,可以設定 Microsoft Entra 來指示您的裝置自動向 MDM 註冊。 需要此設定,Windows Autopilot 才能運作。
若要檢查您的Microsoft已正確啟用 Entra Device MDM 設定,請移至 快速入門 - 在 Intune 中設定自動註冊。
Microsoft Entra 公司商標 將公司標誌和影像新增至 Microsoft Entra 可確保使用者在登入 Microsoft 365 時,能看到熟悉且一致的外觀與風格。 需要此設定,Windows Autopilot 才能運作。
如需在 Microsoft Entra 中設定自訂商標的相關信息,請移至將 商標新增至組織的 Microsoft Entra 登入頁面。
發 牌 從「現成體驗 (OOBE) 到 Intune 註冊 Windows 裝置的使用者需要兩個主要功能。
使用者需要下列授權:
- Microsoft Intune 或 Microsoft Intune 教育版授權
- 允許自動 MDM 註冊的授權,如下列其中一個選項所示:
- Microsoft Entra Premium P1
- Microsoft Intune 教育版
若要指派授權,請移至指派Microsoft Intune 授權。
注意事項
這兩種類型的授權通常會隨附於授權套件組合,例如Microsoft 365 E3 (或 A3) 和更新版本。 在這裏檢視 M365 授權的比較。
步驟 3 - 匯入測試裝置
若要測試雲端原生 Windows 端點,我們必須先讓虛擬機或實體裝置準備好進行測試。 下列步驟會取得裝置詳細數據,並將其上傳至 Windows Autopilot 服務,本文稍後會使用此服務。
注意事項
雖然下列步驟提供匯入裝置以進行測試的方式,但合作夥伴和 OEM 可以代表您將裝置匯入 Windows Autopilot,作為購買的一部分。 階段 5 中有關於 Windows Autopilot 的詳細資訊。
在虛擬機中安裝 Windows (最好是 20H2 或更新版本) ,或重設實體裝置,讓它在 OOBE 安裝畫面等候。 針對虛擬機,您可以選擇性地建立檢查點。
完成連線到因特網的必要步驟。
使用 Shift + F10 鍵盤組合開啟命令提示字元。
藉由 ping bing.com,確認您具有因特網存取權:
ping bing.com
執行 命令以切換至 PowerShell:
powershell.exe
執行下列命令以下載 Get-WindowsAutopilotInfo 文稿:
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
Install-Script Get-WindowsAutopilotInfo
出現提示時,輸入要接受的 Y 。
輸入下列命令:
Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online
注意事項
群組卷標可讓您根據裝置子集建立動態Microsoft Entra 群組。 匯入裝置或稍後在 Microsoft Intune 系統管理中心變更時,可以設定群組標籤。 我們將在步驟 4 中使用群組標籤 CloudNative 。 您可以將標籤名稱設定為不同的測試名稱。
當系統提示您輸入認證時,請使用您的 Intune 系統管理員帳戶登入。
將計算機保留為現用體驗,直到 階段 2 為止。
步驟 4 - 建立裝置的 Microsoft Entra 動態群組
若要將本指南中的設定限制為您匯入 Windows Autopilot 的測試裝置,請建立動態Microsoft Entra 群組。 此群組應該會自動包含匯入 Windows Autopilot 並具有群組標籤 CloudNative 的裝置。 然後,您可以將此群組中的所有組態和應用程式設為目標。
選 取 [群組>][新增群組]。 輸入下列詳細資料:
- 群組類型:選取 [安全性]。
- 組名:輸入 Autopilot Cloud-Native Windows 端點。
- 成員資格類型:選取 [動態裝置]。
選 取 [新增動態查詢]。
在 [ 規則語法] 區段中,選取 [ 編輯]。
貼上下列文字:
(device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))
選 取 [確定>儲存>建立]。
提示
動態群組在發生變更之後需要幾分鐘的時間來填入。 在大型組織中, 可能需要更長的時間。 建立新群組之後,請稍候幾分鐘,再檢查確認裝置現在是群組的成員。
如需裝置動態群組的詳細資訊,請移至 裝置的規則。
步驟 5 - 設定註冊狀態頁面
ESP) (註冊狀態頁面是 IT 專業人員在端點布建期間用來控制用戶體驗的機制。 請參閱 設定註冊狀態頁面。 若要限制註冊狀態頁面的範圍,您可以建立新的配置檔,並將目標設為上一個步驟中建立的 Autopilot Cloud-Native Windows 端點 群 組:為裝置建立 Microsoft Entra 動態群組。
- 基於測試目的,我們建議使用下列設定,但您可以視需要調整這些設定:
- 顯示應用程式和設定檔設定進度 - 是
- 僅顯示以全新體驗布建的裝置頁面 (OOBE) – 是 (預設)
步驟 6 - 建立和指派 Windows Autopilot 配置檔
現在我們可以建立 Windows Autopilot 配置檔,並將它指派給測試裝置。 此配置檔會告知您的裝置加入 Microsoft Entra,以及要在 OOBE 期間套用哪些設定。
選 取 [裝置>裝置上線>註冊>] [Windows>Autopilot>部署配置檔]。
選 取 [建立配置檔>Windows 計算機]。
輸入名稱 Autopilot Cloud-Native Windows 端點,然後選取 [ 下一步]。
檢閱並保留預設設定,然後選取 [ 下一步]。
保留範圍標籤,然後選取 [ 下一步]。
將配置檔指派給您在 Windows 端點 Cloud-Native 建立名為 Autopilot 的 Microsoft Entra 群組,選取 [ 下一步],然後選取 [ 建立]。
步驟 7 - 同步處理 Windows Autopilot 裝置
Windows Autopilot 服務一天同步數次。 您也可以立即觸發同步處理,讓您的裝置準備好進行測試。 若要立即同步處理:
選 取 [裝置>裝置上線>註冊>Windows>Autopilot>裝置]。
選取 [同步處理]。
同步處理需要幾分鐘的時間,並在背景中繼續進行。 同步處理完成時,匯入裝置的配置文件狀態會顯示 [ 已指派]。
步驟 8 - 設定最佳Microsoft 365 體驗的設定
我們已選取一些要設定的設定。 這些設定示範 Windows 雲端原生裝置上的最佳Microsoft 365 用戶體驗。 這些設定是使用裝置組態設定目錄配置檔來設定。 如需詳細資訊,請移至 在 Microsoft Intune 中使用設定目錄建立原則。
建立配置檔並新增設定之後,請將配置檔指派給先前建立 的 Autopilot Cloud-Native Windows 端點 群組。
Microsoft Outlook 為了改善 Microsoft Outlook 的第一次執行體驗,下列設定會在第一次開啟 Outlook 時自動設定設定檔。
- Microsoft Outlook 2016\Account Settings\Exchange (User setting)
- 根據 Active Directory 主要 SMTP 位址自動設定第一個設定檔 - 已啟用
- Microsoft Outlook 2016\Account Settings\Exchange (User setting)
Microsoft Edge 為了改善 Microsoft Edge 的第一次執行體驗,下列設定會設定 Microsoft Edge 來同步用戶的設定,並略過第一次執行體驗。
- Microsoft Edge
- 隱藏初次執行體驗和啟動顯示畫面 - 已啟用
- 強制同步處理瀏覽器數據,但不顯示同步同意提示 - 已啟用
- Microsoft Edge
Microsoft OneDrive
為了改善第一次登入體驗,下列設定會設定 Microsoft OneDrive 自動登入,並將 Desktop、圖片和檔重新導向至 OneDrive。 也建議使用檔案隨選 (FOD) 。 默認會啟用,且不會包含在下列清單中。 如需 OneDrive 同步處理應用程式建議設定的詳細資訊,請移至 Microsoft OneDrive 的建議同步處理應用程式設定。
OneDrive
- 使用其 Windows 認證以無訊息方式將使用者登入 OneDrive 同步處理應用程式 - 已啟用
- 以無訊息方式將 Windows 已知資料夾移至 OneDrive - 已啟用
注意事項
如需詳細資訊,請移至 重新導向已知資料夾。
下列螢幕快照顯示已設定每個建議設定的設定目錄設定檔範例:
步驟 9 - 建立和指派一些應用程式
您的雲端原生端點需要一些應用程式。 若要開始使用,建議您設定下列應用程式,並將目標設為先前建立的 Autopilot Cloud-Native Windows 端點 群組。
Microsoft 365 Apps (先前稱為 Office 365 專業增強版) Microsoft 365 Apps,例如 Word、Excel 和 Outlook,可以使用 Intune 中適用於 Windows 應用程式配置檔的內建 Microsoft 365 應用程式 ,輕鬆地部署到裝置。
- 選 取 設定格式的組態設計工具,而不是 XML。
- 針對更新 通道選取 [目前通道 ]。
若要部署 Microsoft 365 Apps,請移至 使用 Microsoft Intune 將 Microsoft 365 應用程式新增至 Windows 裝置
公司入口網站應用程式 建議您將 Intune 公司入口網站 應用程式部署至所有裝置,作為必要的應用程式。 公司入口網站應用程式是自助中樞,可供使用者用來安裝來自多個來源的應用程式,例如 Intune、Microsoft Store 和 Configuration Manager。 使用者也會使用公司入口網站應用程式來同步處理其裝置與 Intune、檢查合規性狀態等等。
若要視需要部署 公司入口網站 ,請參閱 為 Intune 受控裝置新增和指派 Windows 公司入口網站應用程式。
Microsoft市集應用程式 (白板) 雖然 Intune 可以部署各種不同的應用程式,但我們會將市集應用程式部署 (Microsoft Whiteboard) ,以協助簡化本指南。 請遵循將 Microsoft 市集應用程式新增至 Microsoft Intune 中的步驟,安裝 Microsoft Whiteboard。
階段 2 - 建置雲端原生 Windows 端點
若要建置您的第一個雲端原生 Windows 端點,請使用您所收集的相同虛擬機或實體裝置,然後將硬體哈希上傳至 階段 1 > 步驟 3 中的 Windows Autopilot 服務。 使用此裝置,請流覽 Windows Autopilot 程式。
視需要繼續 (或重設,) Windows 計算機移至 OOBE) (現成體驗。
注意事項
如果系統提示您選擇個人或組織的設定,則不會觸發 Autopilot 程式。 在此情況下,請重新啟動裝置,並確定其具有因特網存取權。 如果仍然無法運作,請嘗試重設計算機或重新安裝 Windows。
(UPN 或 AzureAD\username) 使用 Microsoft Entra 認證登入。
註冊狀態頁面會顯示裝置設定的狀態。
恭喜您! 您已布建第一個雲端原生 Windows 端點!
要查看新雲端原生 Windows 端點的一些事項:
OneDrive 資料夾會重新導向。 當 Outlook 開啟時,它會自動設定為連線到 Office 365。
從 [開始] 功能表開啟公司入口網站應用程式,並注意Microsoft白板可供安裝。
請考慮測試從裝置到內部部署資源的存取,例如檔案共用、印表機和內部網路網站。
注意事項
如果您尚未設定 Windows Hello 企業版混合式,可能會在 Windows Hello 登入上提示您輸入密碼以存取內部部署資源。 若要繼續測試單一登錄存取,您可以設定 Windows Hello 企業版混合式或使用使用者名稱和密碼登入裝置,而不是使用 Windows Hello。 若要這樣做,請選取登入畫面上的按鍵形狀圖示。
階段 3 – 保護雲端原生 Windows 端點
此階段旨在協助您為組織建置安全性設定。 本節會將您注意 Microsoft Intune 中的各種端點安全性元件,包括:
- Microsoft Defender 防病毒軟體 (MDAV)
- Microsoft Defender 防火牆
- BitLocker 加密
- WINDOWS 本機系統管理員密碼解決方案 (LAPS)
- 安全性基準
- 商務用 Windows Update
Microsoft Defender 防病毒軟體 (MDAV)
建議使用下列設定作為 Microsoft Defender 防病毒軟體的最低設定,這是 Windows 的內建 OS 元件。 這些設定不需要任何特定的許可協定,例如 E3 或 E5,而且可以在 Microsoft Intune 系統管理中心啟用。 在系統管理中心中,移至 [端點安全>性防病毒軟體>建立>原則] 視窗,然後前往 [>MicrosoftDefender 防病毒軟體]的 [配置檔類型 = ]。
雲端保護:
- 開啟雲端式保護: 是
- 雲端式保護層級: 未設定
- Defender Cloud 擴充逾時以秒為單位: 50
即時保護:
- 開啟實時保護: 是
- 啟用存取保護: 是
- 監視傳入和傳出檔案: 監視所有檔案
- 開啟行為監視: 是
- 開啟入侵預防: 是
- 啟用網路保護: 啟用
- 掃描所有下載的檔案和附件: 是
- 掃描瀏覽器中使用的腳本Microsoft: 是
- 掃描網路檔案: 未設定
- 掃描電子郵件: 是
補救:
- (0-90) 保留隔離惡意代碼的天數: 30
- 提交範例同意: 自動傳送安全範例
- 對潛在垃圾應用程式採取的動作: 啟用
- 偵測到的威脅動作: 設定
- 低威脅: 隔離
- 中度威脅: 隔離
- 高威脅: 隔離
- 嚴重威脅: 隔離
在端點安全性內的 MDAV 設定檔中設定的設定:
如需 Windows Defender 設定的詳細資訊,包括Microsoft適用於客戶的適用於端點的 Defender 授權 E3 和 E5,請移至:
Microsoft Defender 防火牆
在 Microsoft Intune 中使用端點安全性來設定防火牆和防火牆規則。 如需詳細資訊,請移至 Intune 中端點安全性的防火牆原則。
Microsoft Defender 防火牆可以使用 NetworkListManager CSP 偵測受信任的網路。 此外,它可以切換至執行下列操作系統版本之端點上的網 域 防火牆配置檔:
- Windows 11 22H2
- 具有 2022-12 累積更新的 Windows 11 21H2
- 具有 2022-12 累積更新的 Windows 10 20H2 或更新版本
使用 網域 網路配置檔可讓您根據信任的網路、專用網和公用網路來分隔防火牆規則。 這些設定可以使用 Windows 自訂配置檔來套用。
注意事項
Microsoft加入 Entra 的端點無法利用LDAP來偵測網域連線,方式與已加入網域的端點相同。 相反地,使用 NetworkListManager CSP 來指定 TLS 端點,當可存取時,會將端點切換至 網域 防火牆配置檔。
BitLocker 加密
使用 Microsoft Intune 中的端點安全性,以使用 BitLocker 設定加密。
- 如需管理 BitLocker 的詳細資訊,請移至 在 Intune 中使用 BitLocker 加密 Windows 10/11 裝置。
- 請參閱使用 Microsoft Intune 啟用 BitLocker 中的 BitLocker 部落格系列。
您可以在 Microsoft Intune 系統管理中心啟用這些設定。 在系統管理中心,移至 [端點安全>性] [管理>磁碟加密>] [建立>原則視窗] 和更新版本>的 [配置檔 = BitLocker]。
當您設定下列 BitLocker 設定時,他們會以無訊息方式為標準使用者啟用 128 位加密,這是常見的案例。 不過,您的組織可能會有不同的安全性需求,因此請使用 BitLocker 檔 以取得更多設定。
BitLocker – 基底設定:
- 啟用 OS 和固定數據磁碟驅動器的完整磁碟加密: 是
- 僅限行動裝置) 需要加密記憶體卡 (: 未設定
- 隱藏有關第三方加密的提示: 是
- 允許標準使用者在 Autopilot 期間啟用加密: 是
- 設定客戶端驅動的復原密碼輪替: 在已加入 Entra 的裝置上啟用Microsoft輪替
BitLocker – 固定磁碟驅動器設定:
- BitLocker 固定磁碟驅動器原則: 設定
- 固定磁碟驅動器復原: 設定
- 修復金鑰檔案建立: 已封鎖
- 設定 BitLocker 修復套件: 密碼和金鑰
- 需要裝置將復原資訊備份至 Azure AD: 是
- 復原密碼建立: 允許
- 在 BitLocker 安裝期間隱藏復原選項: 未設定
- 在復原資訊儲存后啟用 BitLocker: 未設定
- 封鎖使用憑證型數據復原代理程式 (DRA) : 未設定
- 封鎖未受 BitLocker 保護之固定數據磁碟驅動器的寫入存取: 未設定
- 設定固定數據磁碟驅動器的加密方法: 未設定
BitLocker – OS 磁碟驅動器設定:
- BitLocker 系統磁碟驅動器原則: 設定
- 需要啟動驗證: 是
- 相容的 TPM 啟動: 必要
- 相容的 TPM 啟動 PIN: 封鎖
- 相容的 TPM 啟動金鑰: 封鎖
- 相容的 TPM 啟動金鑰和 PIN: 封鎖
- 在 TPM 不相容的裝置上停用 BitLocker: 未設定
- 啟用啟動前修復訊息和 URL: 未設定
- 系統磁碟驅動器復原: 設定
- 修復金鑰檔案建立: 已封鎖
- 設定 BitLocker 修復套件: 密碼和金鑰
- 需要裝置將復原資訊備份至 Azure AD: 是
- 復原密碼建立: 允許
- 在 BitLocker 安裝期間隱藏復原選項: 未設定
- 在復原資訊儲存后啟用 BitLocker: 未設定
- 封鎖使用憑證型數據復原代理程式 (DRA) : 未設定
- PIN 長度下限: 保留空白
- 設定作業系統磁碟驅動器的加密方法: 未設定
BitLocker – 卸除式磁碟驅動器設定:
- BitLocker 卸除式磁碟驅動器原則: 設定
- 設定抽取式數據磁碟驅動器的加密方法: 未設定
- 封鎖對不受 BitLocker 保護之抽取式數據磁碟驅動器的寫入存取: 未設定
- 封鎖對另一個組織中所設定裝置的寫入存取: 未設定
WINDOWS 本機系統管理員密碼解決方案 (LAPS)
根據預設,已停用已知 SID S-1-5-500) (內建本機系統管理員帳戶。 在某些情況下,本機系統管理員帳戶可能會有説明,例如疑難解答、用戶支援和裝置復原。 如果您決定啟用內建系統管理員帳戶,或建立新的本機系統管理員帳戶,請務必保護該帳戶的密碼。
WINDOWS 本機系統管理員密碼解決方案 (LAPS) 是其中一項功能,可用來將密碼隨機化並安全地儲存在 Microsoft Entra 中。 如果您使用 Intune 作為 MDM 服務,請使用下列步驟來啟用 Windows LAPS。
重要事項
Windows LAPS 假設已啟用預設的本機系統管理員帳戶,即使已重新命名或您建立另一個本機系統管理員帳戶也一樣。 Windows LAPS 不會為您建立或啟用任何本機帳戶。
您必須建立或啟用與設定 Windows LAPS 分開的任何本機帳戶。 您可以編寫此工作的腳本,或使用設定服務提供者 (CSP 的) ,例如 帳戶 CSP 或 原則 CSP。
請確定您的 Windows 10 (20H2 或更新版本) 或 Windows 11 裝置已安裝 2023 年 4 月 (或更新版本) 安全性更新。
如需詳細資訊,請移至 Microsoft Entra 操作系統更新。
在 Microsoft Entra 中啟用 Windows LAPS:
- 登入 Microsoft Entra。
- 針對 [啟用本機系統管理員密碼解決方案 (LAPS) ] 設定,選取頁面) 頂端的 [是>儲存 (]。
如需詳細資訊,請移至 使用 Microsoft Entra 啟用 Windows LAPS。
在 Intune 中,建立端點安全策略:
- 登入 Microsoft Intune 系統管理中心。
- 選取 [端點安全>性帳戶保護>] [建立原則>] [Windows 10] 和更新>版本的 [本機系統管理員密碼解決方案] ([Windows LAPS) >建立]。
如需詳細資訊,請移至 在 Intune 中建立 LAPS 原則。
安全性基準
您可以使用安全性基準來套用一組已知可提高 Windows 端點安全性的組態。 如需安全性基準的詳細資訊,請移至 Intune 的 Windows MDM 安全性基準設定。
您可以使用建議的設定來套用基準,並根據您的需求自定義。 基準內的某些設定可能會導致非預期的結果,或與在 Windows 端點上執行的應用程式和服務不相容。 因此,應該隔離測試基準。 只將基準套用至不含任何其他組態配置檔或設定的選擇性測試端點群組。
安全性基準已知問題
Windows 安全性基準中的下列設定可能會導致 Windows Autopilot 發生問題,或嘗試以標準使用者身分安裝應用程式:
- 本機原則安全性選項\系統管理員提高許可權提示行為 (預設值 = 在安全桌面) 提示要求同意
- 標準使用者提高許可權提示行為 (預設值 = 自動拒絕提高許可權要求)
如需詳細資訊,請參閱 針對與 Windows Autopilot 的原則衝突進行疑難解答。
商務用 Windows Update
商務用 Windows Update 是一種雲端技術,可控制在裝置上安裝更新的方式和時間。 在 Intune 中,您可以使用下列項目來設定商務用 Windows Update:
如需詳細資訊,請移至:
- 瞭解如何在 Microsoft Intune 中使用商務用 Windows Update
- 模組 4.2 - Intune 教育版部署工作坊影片系列中的商務用 Windows Update 基本概念
如果您想要更細微的 Windows Update 控制並使用 Configuration Manager,請考慮 共同管理。
階段 4 – 套用自定義並檢閱內部部署設定
在此階段中,您會套用組織特定的設定、應用程式,並檢閱您的內部部署設定。 此階段可協助您建置組織專屬的任何自定義專案。 請注意 Windows 的各種元件、如何從內部部署 AD 組策略環境檢閱現有的設定,並將其套用至雲端原生端點。 下列各區域各有各區段:
Microsoft Edge
Microsoft Edge 部署
Microsoft Edge 包含在執行的裝置上:
- Windows 11
- Windows 10 20H2 或更新版本
- Windows 10 1803 或更新版本,含 2021 年 5 月或更新版本的累積每月安全性更新
使用者登入之後,Microsoft Edge 會自動更新。 若要在部署期間觸發 Microsoft Edge 的更新,您可以執行下列命令:
Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"
若要將 Microsoft Edge 部署至舊版 Windows,請移至 將 Microsoft Edge for Windows 新增至 Microsoft Intune。
Microsoft Edge 設定
Microsoft Edge 體驗的兩個元件,可在使用者使用其Microsoft 365 認證登入時套用,可從 Microsoft 365 系統管理中心進行設定。
您可以在 Microsoft 365 系統管理中心內設定您的 組織 區段,以自定義 Microsoft Microsoft Edge 中的起始頁標誌。 如需詳細資訊,請移至 為您的組織自定義Microsoft 365 主題。
Microsoft Edge 中的預設新索引標籤面體驗包含 Office 365 資訊和個人化新聞。 您可以從 [設定組織設定] [新聞>Microsoft Edge 新索引標籤] 頁面的 Microsoft 365 系統管理中心>自定義此頁面的>顯示方式。
您也可以使用設定目錄設定檔來設定 Microsoft Edge 的其他設定。 例如,您可能想要為組織設定特定的同步處理設定。
-
Microsoft Edge
- 設定從同步處理中排除的類型清單 - 密碼
[開始] 和 [任務欄] 配置
您可以使用 Intune 自訂和設定標準的開始和任務列配置。
針對 Windows 10:
- 如需開始和工作列自訂的詳細資訊,請移至 管理 Windows 開始和工作列設定 (Windows) 。
- 若要建立開始和工作列配置,請移至 自訂和匯出 [開始] 設定 (Windows) 。
建立版面配置之後,即可藉由設定 裝置限制 配置檔將其上傳至 Intune。 此設定位於 [ 開始 ] 類別之下。
針對 Windows 11:
- 若要建立並套用 [開始] 功能表配置,請移至 自定義 Windows 11 上的 [開始] 功能表配置。
- 若要建立並套用任務列配置,請移至 自定義 Windows 11 上的任務列。
設定目錄
設定目錄是列出所有可設定 Windows 設定的單一位置。 此功能可簡化您如何建立原則,以及如何查看所有可用的設定。 如需詳細資訊,請移至 在 Microsoft Intune 中使用設定目錄建立原則。
注意事項
有些設定可能無法在目錄中使用,但可在 Intune 裝置組態配置檔的範本中使用。
您熟悉的許多組策略設定都已可在設定目錄中使用。 如需詳細資訊,請移至 行動裝置管理中最新的組策略設定同位。
如果您想要利用 ADMX 範本或設定目錄 (建議的) ,請務必使用 Windows 10 2004 版和更新版本的 2021 年 9 月「修補星期二」更新 (KB5005565) 更新您的裝置。 此每月更新包含 KB5005101 ,可將 1,400個以上的組策略設定帶入MDM。 套用此更新失敗會導致 Intune 系統管理中心內的設定旁邊出現「不適用」訊息。 從 2022 年 5 月起,雖然一開始僅適用於 Windows 的 Enterprise 和 Edu 版本,但這些額外的設定現在也適用於 Windows 10/11 的 Pro 版本。 如果使用 Windows 10/11 的 Pro 版本,請確定您在 Windows 10 上安裝 KB5013942 或更新版本,並在 Windows 11 上安裝 KB5013943 或更新版本,如行動 裝置管理中最新的組策略設定同位中所述。
以下是設定目錄中可能與您組織相關的一些設定:
Azure Active Directory 慣用租用戶網域 此設定會設定要附加至用戶使用者名稱的慣用租使用者功能變數名稱。 慣用的租使用者網域可讓使用者只要使用者的功能變數名稱符合慣用的租使用者網域,就可以使用其用戶名稱而非整個UPN來登入Microsoft Entra 端點。 對於具有不同功能變數名稱的使用者,他們可以輸入其整個UPN。
您可以在下列位置找到設定:
- 驗證
- 慣用的 AAD 租使用者功能變數名稱 ─ 指定功能變數名稱, 例如
contoso.onmicrosoft.com
。
- 慣用的 AAD 租使用者功能變數名稱 ─ 指定功能變數名稱, 例如
- 驗證
Windows 焦點 根據預設,會啟用 Windows 的數個取用者功能,這會導致在鎖定畫面上安裝選取的市集應用程式和第三方建議。 您可以使用設定目錄的 [體驗] 區段來控制此專案。
- 體驗
- 允許 Windows 消費者功能 - 封鎖
- 允許 Windows 焦點中的第三方建議 (使用者) - 封鎖
- 體驗
Microsoft市集 組織通常會想要限制可在端點上安裝的應用程式。 如果您的組織想要控制哪些應用程式可以從 Microsoft Store 安裝,請使用此設定。 此設定可防止使用者安裝應用程式,除非已核准。
- Microsoft App Store
僅要求私人市集 - 僅啟用私人市集
注意事項
此設定適用於 Windows 10。 在 Windows 11 上,此設定會封鎖對公用Microsoft存放區的存取。 Windows 11 即將推出私人市集。 如需詳細資訊,請移至:
- Microsoft App Store
封鎖遊戲 組織可能偏好公司端點無法用來玩遊戲。 您可以使用下列設定完全隱藏 [設定] 應用程式內的 [遊戲] 頁面。 如需設定頁面可見性的詳細資訊,請移至 CSP 檔 和 ms-settings URI 配置參考。
- 設定
- 頁面可見度清單 – hide:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame
- 設定
控制任務列中的聊天圖示可見度 您可以使用原則 CSP 來控制 Windows 11 任務欄中聊天圖示的可見度。
- 體驗
- 設定聊天圖示 - 已停用
- 體驗
控制 Teams 桌面用戶端可以登入的租使用者
在裝置上設定此原則時,使用者只能使用位於此原則中定義之「租用戶允許清單」中所包含Microsoft Entra 租使用者中的帳戶登入。 「租用戶允許清單」是以逗號分隔的Microsoft租用戶標識符清單。 藉由指定此原則並定義 Microsoft Entra 租使用者,您也會封鎖登入 Teams 以供個人使用。 如需詳細資訊,請移 至如何限制在桌面裝置上登入。
- 系統管理範本 \ Microsoft Teams
- 將登入 Teams 限制為特定租使用者中的帳戶 (使用者) - 已啟用
- 系統管理範本 \ Microsoft Teams
裝置限制
Windows 裝置限制範本包含許多使用 Windows 設定服務提供者 (CSP) 來保護及管理 Windows 端點所需的設定。 這些設定會隨著時間在設定目錄中提供。 如需詳細資訊,請移至 [裝置限制]。
若要建立使用裝置限制範本的配置檔,請在 Microsoft Intune 系統管理中心中,移至 [裝置>管理裝置>>設定][建立>新原則>] 選取 [Windows 10 及更新版本] 作為平台>範本設定檔類型的 [裝置限制]。
只限桌面電腦 (桌面背景圖片 URL) 使用此設定可在 Windows 企業版或 Windows 教育版 SKU 上設定桌布。 您可以在線裝載檔案,或參考已在本機複製的檔案。 若要設定此設定,請在 [裝置限制] 設定檔的 [組態設定] 索引標籤上,展開 [個人化],並將 [桌面背景圖片 URL] 設定 (桌面僅) 。
要求使用者在裝置設定期間連線到網路 如果電腦重設,此設定可降低裝置略過 Windows Autopilot 的風險。 此設定需要裝置在現成體驗階段期間擁有網路連線。 若要設定此設定,請在 [裝置限制配置檔] 的 [組態設定] 索引標籤上,展開 [一般],然後設定 [需要使用者在裝置設定期間連線到網络]。
注意事項
下次抹除或重設裝置時,設定就會生效。
傳遞最佳化
傳遞優化可用來減少頻寬耗用量,方法是在多個端點之間共用下載支援套件的工作。 傳遞優化是自我組織分散式快取,可讓用戶端從替代來源下載這些套件,例如網路上的對等。 這些對等來源可補充傳統的因特網伺服器。 您可以在 Windows 更新的傳遞優化中,瞭解傳遞優化可用的所有設定,以及支援哪些類型的下載。
若要套用傳遞優化設定,請建立 Intune 傳遞優化配置檔 或設定目錄設定檔。
組織常用的一些設定如下:
- 限制對等選取 – 子網。 此設定會將對等快取限制為相同子網上的計算機。
- 群組標識碼。 傳遞優化客戶端可以設定為只與相同群組中的裝置共享內容。 透過原則傳送 GUID 或使用 DHCP 範圍中的 DHCP 選項,即可直接設定群組識別碼。
使用 Microsoft Configuration Manager 的客戶可以部署可用來裝載傳遞優化內容的連線快取伺服器。 如需詳細資訊,請移 至Microsoft Configuration Manager 中的連線快取。
本機系統管理員
如果只有一個使用者群組需要本機系統管理員存取所有Microsoft加入 Entra 的 Windows 裝置,則您可以將它們新增至 Microsoft加入的裝置本機系統管理員。
您可能需要 IT 技術服務人員或其他支持人員,才能在選取的裝置群組上擁有本機系統管理員許可權。 使用 Windows 2004 或更新版本,您可以使用下列設定服務提供者 (CSP) 來符合此需求。
- 在理想情況下,使用需要 Windows 10 20H2 或更新版本的本機 使用者和群組 CSP。
- 如果您有 Windows 10 20H1 (2004) 使用 限制群組 CSP (沒有更新動作,請只取代) 。
- Windows 10 20H1 (2004 之前的 Windows 版本) 無法使用群組,只能使用個別帳戶。
如需詳細資訊,請 移至如何在已加入 Entra 的裝置上管理本機系統管理員群組Microsoft
組策略至 MDM 設定移轉
考慮從組策略移轉至雲端原生裝置管理時,有數個選項可建立您的裝置設定:
- 重新開始,並視需要套用自定義設定。
- 檢閱現有的組策略並套用必要的設定。 您可以使用工具來提供協助,例如 組策略分析。
- 使用組策略分析,直接針對支持的設定建立裝置組態配置檔。
轉換至雲端原生 Windows 端點代表有機會檢閱您的用戶運算需求,併為未來建立新的設定。 盡可能以最少的原則集合啟動全新。 避免從已加入網域的環境或較舊的操作系統,例如 Windows 7 或 Windows XP,進行不必要的或舊版設定。
若要重新開始,請檢閱您目前的需求,並實作最低限度的設定集合以符合這些需求。 需求可能包括法規或強制安全性設定和設定,以增強用戶體驗。 企業會建立需求清單,而不是IT。 每個設定都應該記載、瞭解,而且應該有目的。
將設定從現有的組策略移轉至 MDM (Microsoft Intune) 不是慣用的方法。 當您轉換至雲端原生 Windows 時,其目的不應該是隨即轉移現有的組策略設定。 相反地,請考慮目標物件及其所需的設定。 檢閱環境中的每個組策略設定,以判斷其與新式受控裝置的相關性和相容性,是很耗時且可能不切實際的。 避免嘗試評估每個組策略和個別設定。 相反地,請專注於評估涵蓋大部分裝置和案例的常見原則。
請改為識別必要的組策略設定,並針對可用的 MDM 設定檢閱這些設定。 任何間距都代表封鎖程式,如果無法解決,您就無法繼續使用雲端原生裝置。 組策略分析之類的工具可用來分析組策略設定,並判斷它們是否可以移轉至 MDM 原則。
指令碼
您可以將 PowerShell 腳稿用於您需要在內建組態設定檔外部設定的任何設定或自訂。 如需詳細資訊,請移至在 Microsoft Intune 中將 PowerShell 腳本新增至 Windows 裝置。
對應網路驅動器機和印表機
雲端原生案例沒有對應網路驅動器機的內建解決方案。 相反地,我們建議使用者移轉至 Teams、SharePoint 和商務用 OneDrive。 如果無法進行移轉,請視需要考慮使用腳本。
針對個人記憶體,在 步驟 8 - 設定設定以獲得最佳Microsoft 365 體驗中,我們設定了 OneDrive 已知資料夾移動。 如需詳細資訊,請移至 重新導向已知資料夾。
對於文件記憶體,使用者也可以受益於 SharePoint 與檔案總管的整合,以及在本機同步連結庫的能力,如下所述:將 SharePoint 和 Teams 檔案與您的電腦同步。
如果您使用通常位於內部伺服器上的公司 Office 檔範本,請考慮較新的雲端式對等專案,讓使用者可以從任何地方存取範本。
針對列印解決方案,請考慮使用通用列印。 如需詳細資訊,請移至:
應用程式
Intune 支援部署許多不同的 Windows 應用程式類型。
- Windows Installer (MSI) – 將 Windows 企業營運應用程式新增至 Microsoft Intune
- MSIX – 將 Windows 企業營運應用程式新增至 Microsoft Intune
- Win32 應用程式 (MSI、EXE、腳本安裝程式) – Microsoft Intune 中的 Win32 應用程式管理
- 市集應用程式 – 將 Microsoft 市集應用程式新增至 Microsoft Intune
- Web 連結 – 將 Web 應用程式新增至 Microsoft Intune
如果您有使用 MSI、EXE 或腳本安裝程式的應用程式,您可以 在 Microsoft Intune 中使用 Win32 應用程式管理來部署所有這些應用程式。 以 Win32 格式包裝這些安裝程式可提供更多彈性和優點,包括通知、傳遞優化、相依性、偵測規則,以及 Windows Autopilot 中註冊狀態頁面的支援。
注意事項
若要避免安裝期間發生衝突,建議您只使用 Windows 企業營運應用程式或 Win32 應用程式功能。 如果您有封裝為 .msi
或.exe
的應用程式,這些應用程式可以使用可從 GitHub 取得的 Microsoft.intunewin
Win32 內容準備工具, () 轉換成 Win32 應用程式。
階段 5 – 使用 Windows Autopilot 大規模部署
現在您已設定雲端原生 Windows 端點,並使用 Windows Autopilot 進行布建,請考慮如何匯入更多裝置。 另請考慮如何與合作夥伴或硬體供應商合作,開始從雲端布建新的端點。 請檢閱下列資源,以判斷您組織的最佳方法。
如果基於某些原因,Windows Autopilot 不適合您,則還有其他適用於 Windows 的註冊方法。 如需詳細資訊,請移至 適用於 Windows 裝置的 Intune 註冊方法。
遵循雲端原生端點指引
- 概觀:什麼是雲端原生端點?
- 🡺 教學課程:開始使用雲端原生 Windows 端點 (您在這裡)
- 概念:Microsoft已加入 Entra 與已加入混合式Microsoft
- 概念:雲端原生端點和內部部署資源
- 高階規劃指南
- 已知問題和重要資訊
實用的在線資源
- Windows 裝置的共同管理
- Windows 訂閱啟用
- 設定 Intune 裝置合規性政策,根據 Microsoft Entra 條件式存取原則來允許或拒絕存取資源
- 新增 市集應用程式
- 新增 Win32 應用程式
- 使用憑證以在 Intune 中驗證
- 部署網路配置檔,包括 VPN 和 Wi-Fi
- 部署 Multi-Factor Authentication
- Microsoft Edge 的安全性基準