教程:使用 Intune 将应用程序部署到 Windows 11 SE
本指南介绍如何在教育环境中将应用程序部署到由 Microsoft Intune 托管的 Windows 11 SE 设备。 本指南还介绍了如何验证应用,以及如何创建策略以允许无法安装或不按预期方式运行的应用。
Windows 11 SE 和应用程序部署
Windows 11 SE 旨在为学生提供简化且安全的体验。 Windows 11 SE 使用名为“Windows Defender 应用程序控制 (WDAC)”的技术阻止安装和执行第三方应用程序。
WDAC 应用名为“Windows 11 SE 基本策略”的允许列表策略,以确保不需要的应用不会运行或安装。 但是,它还会阻止 IT 管理员将应用部署到 Windows 11 SE 设备,除非这些应用已包含在 Windows 11 SE 基本策略中。
通过使用 WDAC 补充策略,Intune 允许安装和执行特定的第三方应用程序。 允许列表过程是在逐个应用的基础上完成的,请求允许应用程序并部署补充策略的时间可能很长。
从 Windows 11 SE 版本 22H2 开始,IT 管理员可以更灵活地将应用程序部署到 Windows 11 SE 设备。 当 Windows 11 SE 设备在 Intune 教育租户中注册时,它将自动收到一个 AppLocker 策略,该策略将 Intune 管理扩展 (IME) 设置为托管安装程序。
作为托管安装程序,通过 IME 部署的应用程序将在 Windows 11 SE 上自动允许,从而删除允许列表进程要求。 有关托管安装程序的详细信息,请参阅 托管安装程序如何工作?
注意
Windows 11 SE 设备的最终用户仍然无法在不受阻止的情况下安装和使用任意应用程序。 仅 IT 管理员可以控制允许的应用。
教程目标
即使使用托管安装程序,某些应用程序也可能由于其类型或复杂性而无法执行。 在这些方案中,IT 管理员必须创建自己的策略来允许应用执行。
然后,可以通过 Intune 将这些策略部署到 Windows SE 设备。
在本教程中,你将了解:
- 哪些类型的应用可以通过 Intune 部署到 Windows 11 SE 设备
- 如何验证应用是否已正确安装
- 如何缓解应用安装问题
- 将应用部署到 Windows 11 SE 时的特殊注意事项
安装过程
使用托管安装程序在 Windows 11 SE 上安装应用程序有三个主要步骤。 本教程的后续部分将详细介绍每个步骤:
通过 Microsoft Intune 部署应用程序
通过 Microsoft Intune 部署应用程序。 与托管安装程序兼容的应用类型存在一些限制,但该过程与非 Windows 11 SE 设备相同
验证应用程序
验证应用程序以确保它们已成功安装并执行。 对于非 Windows 11 SE 设备,此过程相同。 某些应用程序可能因安装方式、执行方式或更新方式而不兼容。 你将在本教程的后面部分了解已知限制
(可选)创建其他策略
若要允许无法安装或无法按预期方式运行的应用,可以创建和部署更多策略,以便使用这些应用
所有步骤均由 IT 管理员完成。 完成这些步骤后,Windows 11 SE 设备的用户应能够运行通过 Intune 部署的应用程序。
必备条件
若要在 Windows 11 SE 设备上接收策略,允许从 Intune 安装应用,必须具备:
- Windows 11 SE 版本 22H2,KB5019980 及更高版本
- Intune 教育版许可证。 许可证要求是托管安装程序通过 Intune 部署应用和补充策略
如果你还没有适用于设备的 Intune 教育版许可证,请参阅 Microsoft Intune for Education 获取免费试用版。
后续步骤
继续学习下一篇文章,了解哪些应用程序可以部署到 Windows 11 SE 设备,以及如何通过 Intune 部署这些应用程序。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈