如果没有适当的工具和资源,在学校环境中管理数百或数千台设备可能是一项复杂而耗时的任务。 Microsoft Intune是一系列服务,可简化对设备的大规模管理。
可以通过不同的方式管理Microsoft Intune服务。
Intune管理中心是支持整个设备生命周期(从注册阶段到停用)的主要Intune界面。 IT 管理员可以跨所有Intune支持的平台管理所有设置。
Intune教育版是Intune的特选视图,支持从注册阶段到停用的整个设备生命周期。 IT 管理员可以使用批量注册选项和简化的部署开始管理教室设备。 在学年结束时,IT 管理员可以重置设备,确保设备为下一年做好准备。
有关详细信息,请参阅教育版Intune文档。
提示
Intune和Intune教育版都配置Intune服务。 在一个控制台中所做的更改将反映在另一个控制台中。 但是,Intune教育版仅支持一部分策略和应用,这些策略和应用适合 Windows 和 iPadOS 上的简单 K-12 方案。
在本节中,你将:
- 查看Intune的许可先决条件
- 为教育设备配置Intune服务
先决条件
✅ 查看设备管理的要求
使用 Intune 配置设置之前,请考虑以下先决条件:
- Intune订阅。 Microsoft Intune以三种方式获得许可:
- 作为独立服务
- 作为企业移动性 + 安全性的一部分
- 作为Microsoft 365 教育版订阅的一部分
- 适用于教育版设备平台的Intune。 Intune教育版可以管理运行受支持版本的 Windows 10、Windows 11、Windows 11 SE 和 iPadOS 的设备
- Intune设备平台。 Intune可以管理运行受支持版本的Windows 10、Windows 11、Windows 11 SE、iOS、iPadOS、macOS、Android 和 Linux 的设备
- 网络要求。 确认无需 SSL 检查或任何类型的筛选即可访问所有必需的网络终结点。 有关终结点列表,请参阅Microsoft Intune的网络终结点。
有关详细信息,请参阅Intune许可和此比较表,其中包括一个详细Microsoft现代教育工作计划的表。
为教育设备配置Intune服务
可以根据学校的需求,以不同的方式配置Intune服务。 在本部分中,将使用 K-12 学区通常实现的设置配置Intune服务。
配置注册限制
✅ 限制可以管理的设备
借助注册限制,可以控制哪些设备可以通过Intune进行注册和管理。 例如,可以阻止注册个人设备。
若要阻止个人拥有的设备注册,请执行以下作:
- 登录到 Microsoft Intune 管理中心。
- 选择“ 设备>注册设备”>“设备平台限制”。
- 选择要限制的平台的选项卡。
- 选择”创建限制”。
- 在“基本信息”页上,提供限制的名称以及(可选)“下一步”的说明>。
- 在 “平台设置” 页上的“ 个人拥有的设备 ”字段中,选择“ 阻止>下一步”。
- (可选)在“ 作用域标记 ”页上,添加范围标记 >“下一步”。
- 在“分配”页上,选择“添加组”,然后使用搜索框查找和选择要应用“下一步”限制>的组。
- 在“ 查看 + 创建 ”页上,选择“ 创建 ”以保存限制。
有关详细信息,请参阅创建设备平台限制。
可选配置
✅ 配置可选租户配置
- 根据组织策略自定义品牌。 有关详细信息,请参阅如何配置Intune 公司门户应用、公司门户网站和Intune应用。
- 根据组织策略创建条款和条件。 有关详细信息,请参阅 用户访问的条款和条件。
配置 Windows 注册
✅ 配置哪些用户可以注册 Windows 设备
- 登录到 Microsoft Intune 管理中心。
- 选择 “设备>注册设备>自动注册”。
- 将 MDM 用户范围 设置为 “全部 ”或“ 部分 ”,如果想要将注册限制为某些用户,请选择一个组。
重要
如果使用预配 pacakg 来注册设备,则必须将 MDM 用户范围设置为 “全部 ”。
- 将 MAM 用户范围 设置为 “无”。
- 选择“保存”。
有关详细信息,请参阅 启用 Windows 自动注册。
禁用Windows Hello 企业版
✅ 禁用学生通常无法访问的功能
Windows Hello 企业版是一项生物识别身份验证功能,允许用户使用 PIN、密码或指纹登录到其设备。 Windows Hello 企业版在 Windows 设备上默认启用,用户必须执行多重身份验证 (MFA) 进行设置。 因此,此功能可能不适合未启用 MFA 的学生。
在租户级别禁用Windows Hello 企业版很常见。 然后,可以在需要策略的用户或设备上执行策略。 例如,教职员工和教师。
若要在租户级别禁用Windows Hello 企业版,请执行以下作:
- 登录到 Microsoft Intune 管理中心。
- 选择 “设备>按平台>”“Windows>设备载入>注册”。
- 选择“Windows Hello 企业版”。
- 确保“配置Windows Hello 企业版”设置为“禁用”。
- 选择“保存”。
有关如何在特定设备上启用Windows Hello 企业版的详细信息,请参阅创建Windows Hello 企业版策略。
配置Intune数据收集策略
✅ 配置终结点分析
Intune需要权限才能在 Windows 设备上收集数据进行终结点分析。
若要启用数据收集,请:
- 登录到 Microsoft Intune 管理中心。
- 选择“ 报表>终结点分析>设置”。
- 在“Intune数据收集策略”下,选择“Intune数据收集策略”。
- 选择“属性”。
- 在 “配置设置” 下,选择 “编辑”。
- 将 “运行状况监视 ”设置为 “启用”。
- 选择“ 作用域 ”,并勾选 “终结点分析”。
- 选择“查看 + 保存”。
- 选择“保存”。
有关数据收集的详细信息,请参阅 终结点分析数据收集。
配置 Windows 数据
✅ 配置租户 Windows 数据设置
Intune需要权限才能收集 Windows 设备上的 Windows 更新报告的某些数据。
- 登录到 Microsoft Intune 管理中心。
- 选择 租户管理>连接器和令牌>Windows 数据
- 在 “Windows 数据 ”下,选择“ 打开”。
- 查看 Windows 许可证验证 部分,并按照许可进行配置。
- 单击保存。
有关详细信息,请参阅启用通过Intune使用 Windows 诊断数据。
配置 Windows 设备诊断
✅ 允许远程检索诊断信息
- 登录到 Microsoft Intune 管理中心。
- 选择“租户管理>设备诊断”。
- 根据要求配置设置。
此表提供客户最常设置的设置,但可以根据学校需求进行自定义。
| Setting | 通用配置 |
|---|---|
| 设备诊断适用于运行 Windows 10 版本 1909 及更高版本或Windows 11的公司托管设备。 诊断可能包括用户身份信息,例如用户或设备名称。 | 已启用 |
| 当设备在 Windows 10 版本 1909 或更高版本的 Windows Autopilot 过程中遇到故障并Windows 11时自动捕获诊断。 诊断可能包括用户身份信息,例如用户或设备名称。 | 已启用 |
有关详细信息,请参阅从 Windows 设备收集诊断。
(可选) 配置注册状态页
如果计划使用 Windows Autopilot 在 Intune 中注册 Windows 设备,请考虑启用注册状态页。
注册状态页 (ESP) 显示注册 Windows 设备和首次登录的人员的预配状态。 可以将 ESP 配置为在安装所有必需的策略和应用程序前阻止设备使用。 设备用户可以查看 ESP,以跟踪其设备在安装过程中的进展。
其他信息:
此表提供客户最常设置的设置,但可以根据学校需求进行自定义。
| 叶片 | 配置组 | 设置 | 值 |
|---|---|---|---|
| Windows 注册 | “常规\注册状态”页 | 默认\显示应用和配置文件配置进度 | 是 |
| Windows 注册 | “常规\注册状态”页 | 默认\在安装时间超过指定的分钟数时显示错误 | 120 |
| Windows 注册 | “常规\注册状态”页 | Default\在发生时间限制或错误时显示自定义消息 | 是 |
| Windows 注册 | “常规\注册状态”页 | Default\为最终用户启用日志收集和诊断页 | 是 |
| Windows 注册 | “常规\注册状态”页 | Default\Only show page to device by-of-box experience (OOBE) | 是 |
| Windows 注册 | “常规\注册状态”页 | 注册状态页\默认\阻止设备使用,直到安装所需的应用(如果它们分配给用户/设备) |
“全部”或“已选择”,其中需要最少的应用。 例如,Microsoft 365 个应用或 Web 内容筛选软件 |
设置 Apple MDM 证书
若要设置 Apple MDM 证书,请参阅 获取 Apple MDM 推送证书。
重要
Apple MDM 证书需要每年续订一次。 在日历中记下,在添加证书后一年内续订证书。 可以随时在控制台中查看到期日期。
(VPP) 配置批量购买计划
若要设置 Apple VPP,请参阅如何使用 Microsoft Intune管理通过 Apple Business Manager 购买的 iOS 和 macOS 应用。
重要
Apple VPP 令牌需要每年续订一次。 在日历中记下,在添加令牌后一年内续订令牌。 可以随时在控制台中查看到期日期。
配置自动设备注册 (ADE)
如果计划集成 Apple School Manager 并使用自动设备注册,请执行以下步骤。
若要设置 Apple MDM 证书,请参阅在 Intune 中设置自动设备注册。
重要
苹果ADE令牌需要每年续订一次。 在日历中记下,在添加令牌后一年内续订令牌。 可以随时在控制台中查看到期日期。
后续步骤
配置Intune服务后,可以配置策略和应用程序,为学生和教师设备的部署做准备。