本分步教程介绍如何使用 Microsoft Intune 和 Windows Autopilot 设置云原生 Windows 终结点。 云原生 Windows 终结点 (有时编写为云原生 Windows) Microsoft Entra加入、注册Microsoft Intune,并且完全从云进行管理 - 无需 Active Directory 域加入,无需本地基础结构。
在本教程结束时,你已拥有一个完全配置的 Windows 设备,该设备包括:
- Microsoft Entra已加入并注册Microsoft Intune
- 使用Microsoft Defender防病毒、BitLocker 加密、Windows LAPS 和安全基线进行保护
- 通过 Windows Autopilot预配Microsoft 365 应用、OneDrive 已知文件夹移动和公司门户
- 准备好扩展到 Windows 队列的其余部分
有关背景信息,请参阅什么是云原生终结点?和如何规划Microsoft Entra联接实现。
提示
阅读有关云本机终结点的信息时,会看到以下术语:
- 终结点:终结点是一种设备,例如移动电话、平板电脑、笔记本电脑或台式计算机。 “终结点”和“设备”可互换使用。
- 托管终结点:使用 MDM 解决方案或组策略对象从组织接收策略的终结点。 这些设备通常是组织拥有的,但也可以是 BYOD 或个人拥有的设备。
- 云本机终结点:联接到Microsoft Entra的终结点。 它们未加入本地 AD。
- 工作负载:任何程序、服务或进程。
如何开始使用
按顺序完成五个阶段 - 每个阶段都基于上一个阶段。
| 阶段 | 目标 |
|---|---|
| 阶段 1 - 设置环境 | 准备租户、测试设备和基线 Autopilot 策略 |
| 阶段 2 - 生成云原生 Windows 终结点 | 通过 Autopilot 预配第一个终结点 |
| 阶段 3 - 保护云原生 Windows 终结点 | 应用终结点安全性:Defender、BitLocker、LAPS、基线、更新 |
| 阶段 4 - 应用自定义项并查看本地配置 | 添加特定于组织的应用、设置,并从组策略迁移 |
| 阶段 5 - 使用 Windows Autopilot 缩放部署 | 使用 OEM 注册、角色和推出圈将预配缩放到你的车队 |
部署终结点后,使用监视云原生 Windows 终结点部分从Intune管理中心验证策略、应用和符合性状态,作为正在进行的操作的一部分。
第 1 阶段 - 设置环境
构建首个云本机 Windows 终结点之前,需要检查一些关键要求和配置。 此阶段将引导你完成检查要求、配置 Windows Autopilot 以及创建一些设置和应用程序。
步骤 1 - 网络要求
云原生 Windows 终结点需要访问多个 Internet 服务。 在开放网络上开始测试。 或在对 Windows Autopilot 网络要求 中列出的所有终结点提供访问权限后,使用公司网络。
如果无线网络需要证书,可以在测试期间先测试以太网连接,同时确定用于设备预配的无线连接的最佳方法。
步骤 2 - 注册和许可
在加入Microsoft Entra和注册Intune之前,需要检查一些事项。 可以创建新的Microsoft Entra组,例如INTUNE MDM 用户的名称。 然后,添加特定的测试用户帐户,并针对该组的以下每个配置,以限制在设置配置时可以注册设备的人员。 若要创建Microsoft Entra组,请转到管理Microsoft Entra组和组成员身份。
注册限制注册限制允许你控制哪些类型的设备可以通过Intune注册到管理中。 若要使本指南成功,请确保允许 Windows (MDM) 注册,这是默认配置。
有关配置注册限制的信息,请转到在 Microsoft Intune 中设置注册限制。
Microsoft Entra设备 MDM 设置 将 Windows 设备加入到Microsoft Entra时,可以将Microsoft Entra配置为告知设备自动注册 MDM。 Windows Autopilot 需要此配置才能正常工作。
若要检查正确启用Microsoft Entra设备 MDM 设置,请转到快速入门 - 在 Intune 中设置自动注册。
Microsoft Entra公司品牌:将公司徽标和图像添加到Microsoft Entra可确保用户在登录到 Microsoft 365 时看到熟悉且一致的外观。 Windows Autopilot 需要此配置才能正常工作。
有关在 Microsoft Entra 中配置自定义品牌的信息,请转到将品牌添加到组织的Microsoft Entra登录页。
发 牌从“开箱即用体验” (OOBE) 到Intune注册 Windows 设备的用户需要两项关键功能。
用户需要以下许可证:
- 适用于 Microsoft Intune 或 Microsoft Intune教育版的许可证
- 允许自动 MDM 注册的许可证,如以下选项之一:
- Microsoft Entra Premium P1
- Microsoft Intune for Education
若要分配许可证,请转到 分配 Microsoft Intune 许可证。
注意
这两种类型的许可证通常包含在许可捆绑包中,例如Microsoft 365 E3 (或 A3) 及更高版本。 在此处查看 Microsoft 365 许可 的比较。
步骤 3 - 导入测试设备
若要测试云本机 Windows 终结点,首先需要准备好虚拟机或物理设备进行测试。 以下步骤获取设备详细信息并将其上传到 Windows Autopilot 服务,本文稍后会用到该服务中。
注意
尽管以下步骤提供了一种导入设备进行测试的方法,但合作伙伴和 OEM 可以在购买时代表你将设备导入 Windows Autopilot。 阶段 5 中详细介绍了 Windows Autopilot。
在虚拟机中安装 Windows 或重置物理设备,使其在 OOBE 设置屏幕中等待。 对于虚拟机,可以选择创建检查点。
完成连接到 Internet 的必要步骤。
使用 Shift + F10 键盘组合打开命令提示符。
通过 ping bing.com 验证你是否具有 Internet 访问权限:
ping bing.com
通过运行命令切换到 PowerShell:
powershell.exe
运行以下命令,下载 Get-WindowsAutopilotInfo 脚本:
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope ProcessInstall-Script Get-WindowsAutopilotInfo
当系统提示时,输入 Y 接受。
键入以下命令:
Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online
注意
组标记允许基于设备的子集创建动态Microsoft Entra组。 可以在导入设备时设置组标记,也可以在稍后Microsoft Intune管理中心进行更改。 我们在步骤 4 中使用 Group Tag CloudNative 。 可以将标记名称设置为其他名称以进行测试。
当系统提示输入凭据时,请使用 Intune 管理员帐户登录。
将计算机保留为开箱即用体验,直到 阶段 2。
步骤 4 - 为设备创建Microsoft Entra动态组
若要将本指南中的配置限制为导入到 Windows Autopilot 的测试设备,请创建动态Microsoft Entra组。 此组应自动包括导入到 Windows Autopilot 并具有组标记 CloudNative 的设备。 然后,可以将所有配置和应用程序定向到该组。
选择 “组>”“新建组”。 输入以下详细信息:
- 组类型:选择“安全组”。
- 组名称:输入 Autopilot Cloud-Native Windows 终结点。
- 成员身份类型:选择“ 动态设备”。
选择“添加动态查询”。
在“规则语法”部分,选择“编辑”。
粘贴以下文本:
(device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))选择 “确定>保存>创建”。
步骤 5 - 配置注册状态页
注册状态页 (ESP) 是 IT 专业人员用于在终结点预配期间控制最终用户体验的机制。 请参阅 设置注册状态页。 若要限制注册状态页的范围,可以创建新的配置文件,并将 Autopilot Cloud-Native 在上一步(为设备创建Microsoft Entra动态组)中创建的 Windows 终结点组作为目标。
为了进行测试,我们建议使用以下设置,但可以根据需要随时调整:
设置 值 显示应用和配置文件配置进度 是 仅向通过全新安装体验 (OOBE) 预配的设备显示页面 是 (默认)
步骤 6 - 创建和分配 Windows Autopilot 配置文件
现在,我们可以创建 Windows Autopilot 配置文件并将其分配到测试设备。 此配置文件告知设备加入Microsoft Entra以及 OOBE 期间应用哪些设置。
选择“ 设备>设备载入>注册>Windows>Autopilot>部署配置文件”。
选择“创建配置文件”>“Windows 电脑”。
输入名称 Autopilot Cloud-Native Windows 终结点,然后选择“ 下一步”。
在“ 开箱即用体验 (OOBE) 设置”中,确认以下键值,然后选择“ 下一步”:
设置 值 部署模式 用户驱动 加入到Microsoft Entra ID为 已加入Microsoft Entra 用户帐户类型 Standard 应用设备名称模板 可选。 使用等 CloudPC-%SERIAL%命名模板,可以在管理中心轻松识别设备。重要
将用户帐户类型设置为Standard是一种安全最佳做法。 它可以防止用户安装未经批准的软件,并减少云原生终结点上的攻击面。
保留范围标记,然后选择“下一步”。
将配置文件分配给创建的名为 Autopilot Cloud-Native Windows 终结点的Microsoft Entra组,选择“下一步”,然后选择“创建”。
步骤 7 - 同步 Windows Autopilot 设备
Windows Autopilot 服务每天同步多次。 还可以立即触发同步,以便使设备准备好进行测试。 若要立即同步,请执行以下操作:
选择“ 设备>”“设备载入>注册>”“Windows>Autopilot>设备”。
选择“同步”。
同步需要几分钟时间,并在后台继续。 同步完成后,导入设备的配置文件状态将显示为“已分配”。
步骤 8 - 配置设置以实现最佳 Microsoft 365 体验
我们选择了一些要配置的设置。 这些设置演示了 Windows 云原生设备上的最佳Microsoft 365 最终用户体验。 这些设置是使用设备配置设置目录配置文件配置的。 有关详细信息,请转到 使用 Microsoft Intune 中的设置目录创建策略。
创建配置文件并添加设置后,将配置文件分配给之前创建的 Autopilot Cloud-Native Windows 终结点 组。
Microsoft Outlook - 为了改善Microsoft Outlook 的首次运行体验,以下设置会在 Outlook 首次打开时自动配置配置文件。
设置类别 设置 值 Microsoft Outlook 2016\Account Settings\Exchange (用户设置) 基于 Active Directory 主 SMTP 地址自动配置第一个配置文件 Enabled Microsoft Edge - 若要改善 Microsoft Edge 的首次运行体验,以下设置配置 Microsoft Edge 以同步用户的设置并跳过首次运行体验。
设置类别 设置 值 Microsoft Edge 隐藏首次运行体验和初始屏幕 Enabled 强制同步浏览器数据,但不显示同步同意提示 Enabled Microsoft OneDrive - 为了改善首次登录体验,以下设置将 Microsoft OneDrive 配置为自动登录并将桌面、图片和文档重定向到 OneDrive。 还建议使用按需文件 (FOD)。 它默认为启用,不包含在以下列表中。 有关 OneDrive 同步应用的建议配置的详细信息,请转到 Microsoft OneDrive 的建议同步应用配置。
设置类别 设置 值 OneDrive 让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用 Enabled 将 Windows 已知文件夹以无提示方式移动到 OneDrive Enabled 注意
有关详细信息,请转到重定向已知文件夹。
以下屏幕截图显示了配置了每个建议设置的设置目录配置文件的示例:
步骤 9 - 创建和分配一些应用程序
云原生终结点需要一些应用程序。 若要开始,我们建议配置以下应用程序,并将它们定向到之前创建的 Autopilot 云本机 Windows 终结点 组。
Microsoft 365 应用版 (以前Office 365 专业增强版) - Microsoft 365 应用版(如 Word、Excel 和 Outlook)可以使用 Intune 中的内置 Microsoft 365 应用配置文件轻松部署到设备。
- 选择 配置设计器 设置格式,而不是 XML。
- 选择“当前频道”作为更新频道。
若要部署 Microsoft 365 应用版,请转到 使用 Microsoft Intune 将 Microsoft 365 应用版添加到 Windows 设备
公司门户应用 - 建议将Intune公司门户应用作为所需应用程序部署到所有设备。 公司门户应用是用户的自助服务中心,用户可以使用这些中心从多个源(例如Intune、Microsoft Store 和 Configuration Manager)安装应用程序。 用户还使用 公司门户 应用将其设备与Intune、检查符合性状态等同步。
若要根据需要部署公司门户,请参阅为Intune托管设备添加和分配 Windows 公司门户 应用。
Microsoft应用商店应用 (Whiteboard) - 虽然Intune可以部署各种应用,但我们 (Microsoft Whiteboard) 部署应用商店应用,以帮助简化本指南的事项。 按照将 Microsoft Store 应用添加到 Microsoft Intune 中的步骤安装 Microsoft Whiteboard。
阶段 2 - 生成云原生 Windows 终结点
若要生成第一个云原生 Windows 终结点,请使用收集的同一虚拟机或物理设备,然后将硬件哈希上传到 第 1 阶段的步骤 3 - 导入测试设备中的 Windows Autopilot 服务。 使用此设备,完成 Windows Autopilot 过程。
将你的 Windows 电脑恢复 (或根据需要重置) 为开箱即用体验 (OOBE)。
注意
如果系统提示你为个人或组织选择设置,则表示 Windows Autopilot 进程未启动。 在这种情况下,请重新启动设备并确保其可以访问 Internet。 如果仍不起作用,请尝试重置电脑或重新安装 Windows。
(UPN 或 AzureAD\username) 使用Microsoft Entra凭据登录。
注册状态页显示设备配置的状态。
恭喜! 你预配了第一个云原生 Windows 终结点!
验证终结点
在转到阶段 3 之前,请在新设备上验证以下任务:
- (桌面、文档、图片) 的 OneDrive 文件夹将重定向和同步。
- Outlook 将打开并自动配置Microsoft 365 配置文件。
- 已安装公司门户,Microsoft Whiteboard 可用。
- 可以使用Microsoft Entra凭据登录并访问云资源。
- 如果需要,可以访问本地资源 (文件共享、Intranet 站点、打印机) 。
如果使用 Windows Hello 访问本地资源时系统提示输入密码,则尚未配置混合Windows Hello 企业版。 可以通过选择登录屏幕上的密钥图标并改用用户名和密码来继续测试。 有关详细信息,请参阅 Windows Hello 企业版 混合。
第 3 阶段 - 保护云本机 Windows 终结点
此阶段旨在帮助你为组织构建安全设置。 本部分将提请你注意Microsoft Intune中的各种 Endpoint Security 组件,包括:
- Microsoft Defender 防病毒 (MDAV)
- Microsoft Defender 防火墙
- BitLocker 加密
- Windows 本地管理员密码解决方案 (LAPS)
- 安全基线
- Windows 更新客户端策略
- 合规性策略
- 条件访问
Microsoft Defender 防病毒 (MDAV)
建议将以下设置作为 Microsoft Defender 防病毒 (Windows 的内置 OS 组件) 的最低配置。 这些设置不需要任何特定的许可协议(如 E3 或 E5),可以在Microsoft Intune管理中心启用。
Intune 管理中心
Microsoft Graph在管理中心,转到 Endpoint Security>防病毒>创建策略>Windows 和更高版本的>配置文件类型 = Microsoft Defender防病毒。
Defender:
- 允许行为监视: 允许。启用实时行为监视。
- 允许云保护: 允许。打开云保护。
- 允许Email扫描:允许。启用电子邮件扫描。
- 允许扫描所有下载的文件和附件: 允许。
- 允许实时监视: 允许。打开并运行实时监视服务。
- 允许扫描网络Files:允许。扫描网络文件。
- 允许脚本扫描: 允许。
- 云扩展超时: 50
- 保留已清理恶意软件的天数: 30
- 启用网络保护: 启用 (审核模式)
- PUA 保护: PUA 保护打开。检测到的项目被阻止。它们将与其他威胁一起出现在历史记录中。
- 实时扫描方向: (双向) 监视所有文件。
- 提交示例同意: 自动发送安全示例。
- 允许访问保护: 允许。
- 严重威胁的修正操作: 隔离。将文件移动到隔离区。
- 针对低严重性威胁的修正操作: 隔离。将文件移动到隔离区。
- 中等严重性威胁的修正操作: 隔离。将文件移动到隔离区。
- 针对高严重性威胁的修正操作: 隔离。将文件移动到隔离区。
右上角的用户图标以使用Intune管理员组织帐户登录和登录。有关 Windows Defender 配置的详细信息,包括客户的 E3 和 E5 许可Microsoft Defender for Endpoint,请转到:
Microsoft Defender 防火墙
使用 Microsoft Intune 中的 Endpoint Security 配置防火墙和防火墙规则。 有关详细信息,请转到 Intune 中终结点安全性的防火墙策略。
Microsoft Defender防火墙可以使用 NetworkListManager CSP 检测受信任的网络。 并且,它可以在运行 Windows 的终结点上切换到 域 防火墙配置文件。
使用 域 网络配置文件可以根据受信任的网络、专用网络和公共网络来分隔防火墙规则。 可以使用 Windows 自定义配置文件应用这些设置。
注意
Microsoft Entra加入的终结点无法使用 LDAP 来检测域连接,其方式与加入域的终结点相同。 相反,使用 NetworkListManager CSP 指定 TLS 终结点,该终结点在可访问时将终结点切换到 域 防火墙配置文件。
BitLocker 加密
使用 Microsoft Intune 中的 Endpoint Security 配置 BitLocker 加密。
- 有关管理 BitLocker 的详细信息,请转到 Intune 中使用 BitLocker 加密 Windows 设备。
- 查看有关 BitLocker 的博客系列,请参阅使用 Microsoft Intune 启用 BitLocker。
可以在Microsoft Intune管理中心启用这些设置。 在管理中心,转到 “终结点安全性>管理>磁盘加密>”“创建策略>Windows 和更高版本的>配置文件 = BitLocker”。
配置以下 BitLocker 设置时,它们以无提示方式为标准用户启用 128 位加密,这是一种常见方案。 但是,你的组织可能有不同的安全要求,因此请使用 BitLocker 文档 进行更多设置。
| 设置类别 | 设置 | 值 |
|---|---|---|
| BitLocker | 要求设备加密 | Enabled |
| 允许对其他磁盘加密发出警告 | Disabled | |
| 允许Standard用户加密 | Enabled | |
| 配置恢复密码轮换 | Azure已加入 AD 的设备刷新 | |
| BitLocker 驱动器加密 | 选择驱动器加密方法和密码强度 | 未配置 |
| 为组织提供唯一标识符 | 未配置 | |
| 操作系统驱动器 | 强制操作系统驱动器上的驱动器加密类型 | Enabled |
| (设备) 选择加密类型 | 仅使用的空间加密 | |
| 启动时需要其他身份验证 | Enabled | |
| 允许没有兼容的 TPM 的 BitLocker (需要 USB 闪存驱动器上的密码或启动密钥) | False | |
| 配置 TPM 启动密钥和 PIN | 允许使用 TPM 的启动密钥和 PIN | |
| 配置 TPM 启动密钥 | 允许使用 TPM 的启动密钥 | |
| 配置 TPM 启动 PIN | 允许使用 TPM 启动 PIN | |
| 配置 TPM 启动 | 需要 TPM | |
| 为启动配置最小 PIN 长度 | 未配置 | |
| 允许增强型启动 PIN | 未配置 | |
| 不允许标准用户更改 PIN 或密码 | 未配置 | |
| 允许符合 InstantGo 或 HSTI 的设备选择退出预启动 PIN | 未配置 | |
| 启用 BitLocker 身份验证,要求盖板上的预启动键盘输入 | 未配置 | |
| 选择如何恢复受 BitLocker 保护的操作系统驱动器 | Enabled | |
| 配置 BitLocker 恢复信息的用户存储 | 需要 48 位恢复密码 | |
| 允许数据恢复代理 | False | |
| 配置将 BitLocker 恢复信息存储到 AD DS | 存储恢复密码和密钥包 | |
| 在将恢复信息存储到操作系统驱动器的 AD DS 之前,请勿启用 BitLocker | True | |
| 省略 BitLocker 安装向导中的恢复选项 | True | |
| 将 BitLocker 恢复信息保存到操作系统驱动器的 AD DS | True | |
| 配置预启动恢复消息和 URL | 未配置 | |
| 固定数据驱动器 | 强制固定数据驱动器上的驱动器加密类型 | Enabled |
| 选择加密类型: (设备) | 允许用户选择 (默认) | |
| 选择如何恢复受 BitLocker 保护的固定驱动器 | Enabled | |
| 配置 BitLocker 恢复信息的用户存储 | 需要 48 位恢复密码 | |
| 允许数据恢复代理 | False | |
| 配置将 BitLocker 恢复信息存储到 AD DS | 备份恢复密码和密钥包 | |
| 在将恢复信息存储到固定数据驱动器的 AD DS 之前,请勿启用 BitLocker | True | |
| 省略 BitLocker 安装向导中的恢复选项 | True | |
| 将 BitLocker 恢复信息保存到固定数据驱动器的 AD DS | True | |
| 拒绝对不受 BitLocker 保护的固定驱动器的写入访问权限 | 未配置 | |
| 可移动数据驱动器 | 控制在可移除驱动器上对 BitLocker 的使用 | Enabled |
| 允许用户对可移动数据驱动器 (设备) 应用 BitLocker 保护 | False | |
| 允许用户暂停和解密可移动数据驱动器上的 BitLocker 保护 (设备) | False | |
| 拒绝对不受 BitLocker 保护的可移动驱动器的写入访问权限 | 未配置 |
Windows 本地管理员密码解决方案 (LAPS)
默认情况下,内置本地管理员帐户 (众所周知的 SID S-1-5-500) 处于禁用状态。 在某些情况下,本地管理员帐户可能会带来好处,例如故障排除、最终用户支持和设备恢复。 如果决定启用内置管理员帐户或创建新的本地管理员帐户,请务必保护该帐户的密码。
Windows 本地管理员密码解决方案 (LAPS) 是可用于随机化密码并将其安全地存储在 Microsoft Entra 中的功能之一。 如果使用 Intune 作为 MDM 服务,请使用以下步骤启用 Windows LAPS。
重要
Windows LAPS 假定默认本地管理员帐户已启用,即使它已重命名,或者你创建另一个本地管理员帐户也是如此。 除非配置 自动帐户管理模式,否则 Windows LAPS 不会为你创建或启用任何本地帐户。
需要独立于配置 Windows LAPS 创建或启用任何本地帐户。 可以编写此任务脚本,或使用配置服务提供程序 (CSP) ,例如 帐户 CSP 或 策略 CSP。
请确保 Windows 设备已安装 2023 年 4 月 (或更高版本) 安全更新。
有关详细信息,请转到Microsoft Entra操作系统更新。
在 Microsoft Entra 中启用 Windows LAPS:
- 登录到 Microsoft Entra。
- 对于“启用本地管理员密码解决方案 (LAPS) ”设置,请选择>页面顶部) (保存。
有关详细信息,请转到使用Microsoft Entra启用 Windows LAPS。
在 Intune 中创建终结点安全策略:
- 登录到 Microsoft Intune 管理中心。
- 选择“ 终结点安全>帐户保护>”“创建策略>”“Windows>本地管理员密码解决方案” (“Windows LAPS) >创建”。
有关详细信息,请转到在 Intune 中创建 LAPS 策略。
安全基线
可以使用安全基线应用一组已知可以提高 Windows 的安全性的配置。 有关安全基线的详细信息,请转到 Intune 的 Windows MDM 安全基线设置。
基线可以使用建议设置应用,并根据需要进行自定义。 基线中的某些设置可能会导致意外结果或与在 Windows 终结点上运行的应用和服务不兼容。 因此,应隔离测试基线。 仅将基线应用于一组选择性测试终结点,而不使用任何其他配置文件或设置。
安全基线已知问题
Windows 安全基线中的以下设置可能会导致 Windows Autopilot 或尝试以标准用户身份安装应用时出现问题:
- 本地策略安全选项\管理员提升提示行为(默认 = 在安全桌面上提示同意)
- 标准用户提升提示行为(默认 = 自动拒绝提升请求)
有关详细信息,请参阅 排查与 Windows Autopilot 的策略冲突问题。
Windows 更新客户端策略
Windows 更新客户端策略是用于控制设备上安装更新的方式和时间的云技术。 在 Intune 中,可以使用以下方式配置Windows 更新客户端策略:
有关详细信息,请转到:
- 了解如何在 Microsoft Intune 中使用Windows 更新客户端策略
- 模块 4.2 - 适用于企业的 Windows 更新基础知识 ,来自 Intune for Education 部署研讨会视频系列
提示
对于云原生环境,请考虑 Windows 自动修补。 自动修补可自动执行更新环管理和报告,无需手动优化延迟期和截止时间。 它包含在 Microsoft Intune并且是希望完全自动化、策略驱动的 Windows 更新且管理开销最小的组织的建议方法。
合规性策略
合规性策略报告云原生 Windows 终结点的运行状况,例如,是否已启用 BitLocker、是否打开安全启动以及防病毒Microsoft Defender正在运行。 该策略也是条件访问的基础,因此你可以阻止不符合的设备访问组织资源。
若要创建 Windows 符合性策略,请执行以下操作:
选择“ 设备>符合性>创建策略”。
对于“平台”,请选择“Windows 10及更高版本的>”创建”。
在 “基本信息”中,输入策略的名称,然后选择“ 下一步”。
在 “符合性设置”中,配置以下建议值,然后选择“ 下一步”:
设置类别 设置 值 设备运行状况 需要 BitLocker 需要 要求在设备上启用安全启动 需要 要求代码完整性 需要 系统安全 防火墙 需要 防病毒 需要 反间谍软件 需要 需要密码才可解锁移动设备 需要 简单密码 阻止 密码类型 字母数字 最短密码长度 14 最长经过多少分钟的非活动状态后需要提供密码 1 分钟 密码过期(天数) 365 阻止重用的曾用密码数 5 Defender Microsoft Defender 反恶意软件 需要 Microsoft Defender 反恶意软件安全智能为最新版本 需要 实时保护 需要 提示
Microsoft和当前 NIST 指南 不再建议定期密码过期。 Windows 安全基线在 2019 年删除了密码过期时间。 对于云原生终结点,最强的姿态是使用Windows Hello 企业版和密钥/FIDO2 安全密钥将用户移动到无密码登录,并使用Microsoft Entra密码保护阻止弱密码。 调整上述值以符合组织的策略。 若要了解详细信息,请参阅使用 Microsoft Intune 进行无密码身份验证。
在“针对不合规的操作”中,将“将设备不符合
1计划标记为每日 (或适合组织) 的另一个宽限期。提示
如果使用条件访问,请配置宽限期,以便不符合条件的设备不会立即失去对组织资源的访问权限。 还可以向电子邮件用户添加操作,其中包含符合要求的步骤。
从步骤 4 - 为设备创建Microsoft Entra动态组,将策略分配给 Autopilot Cloud-Native Windows 终结点组。
有关 Windows 符合性设置的详细信息,请参阅 Microsoft Intune 中的 Windows 设备符合性设置。
条件访问
Microsoft Entra 中的条件访问使用来自Intune的符合性信号来允许或阻止对组织资源的访问。 最常见的云原生模式是要求Microsoft 365 应用和其他云服务使用 合规设备 。 此模式可确保只有Intune管理的正常设备可以访问你的数据。
典型的云原生条件访问基线包括:
- 要求所有用户进行多重身份验证。
- 对于云应用,需要合规设备 (或已加入混合Microsoft Entra的设备) 。
- 阻止旧式身份验证 协议。
重要
首先在试点组上测试条件访问策略。 配置错误的策略可能会将管理员锁定Microsoft Entra 管理中心。
有关分步指南,请参阅:
第 4 阶段 – 应用自定义项并查看本地配置
在此阶段,你将应用特定于组织的设置、应用,并查看本地配置。 该阶段可帮助你生成特定于组织的任何自定义项。 请注意 Windows 的各种组件,如何从本地 AD 组策略环境中查看现有配置,并将其应用到云原生终结点。 以下每项都有专门的部分介绍:
- 用户体验
- 设备配置
- 从本地迁移
- 应用
Microsoft Edge
Microsoft Edge部署
运行以下操作系统的设备随附 Microsoft Edge:
- Windows
用户登录后,Microsoft Edge 将自动更新。 若要在部署期间触发Microsoft Edge更新,可以运行以下命令:
Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"
若要将Microsoft Edge部署到以前版本的 Windows,请转到 向 Microsoft Intune 添加适用于 Windows 的Microsoft Edge。
Microsoft Edge配置
可以从 Microsoft 365 管理中心配置用户使用 Microsoft 365 凭据登录时应用的 Microsoft Edge 体验的两个组件。
Microsoft Edge 中的起始页徽标可以通过在Microsoft 365 管理中心中配置“组织”部分进行自定义。 有关详细信息,请转到“为组织自定义 Microsoft 365 主题”。
Microsoft Edge 中默认的新选项卡页体验包括 Office 365 信息和个性化新闻。 可以从“设置组织设置>”>“新闻>MicrosoftEdge”新选项卡页中的Microsoft 365 管理中心自定义此页面的显示方式。
还可以使用设置目录配置文件为 Microsoft Edge 设置其他设置。 例如,你可能想要为组织配置特定的同步设置。
-
Microsoft Edge
- 配置从同步中排除的类型列表 - 密码
"开始"菜单和任务栏布局
可以使用 Intune 自定义和设置标准"开始"菜单和任务栏布局。
对于Windows 11:
- 若要创建和应用“开始”菜单布局,请转到 Windows 11 上的“自定义‘开始’菜单布局”。
- 若要创建和应用任务栏布局,请转到“在 Windows 11 上自定义任务栏”。
对于 Windows 10:
- 有关“开始”菜单和任务栏自定义的详细信息,请转到 管理 Windows“开始”菜单和任务栏布局 (Windows) 。
- 若要创建“开始”菜单和任务栏布局,请转到 自定义并导出“开始”菜单布局 (Windows) 。
创建布局后,可以通过配置设备限制配置文件将其上传到Intune。 该设置位于"开始"类别下。
重要
2025 年 10 月 14 日,Windows 10终止支持,不会收到质量和功能更新。 Windows 10 是 Intune 中允许的版本。 运行此版本的设备仍可以注册Intune并使用符合条件的功能,但无法保证功能并可能有所不同。
设置目录
设置目录是列出所有可配置 Windows 设置的单个位置。 此功能简化了创建策略以及查看所有可用设置的方式。 有关详细信息,请转到 使用 Microsoft Intune 中的设置目录创建策略。
提示
从组策略中熟悉的许多设置都内置于设置目录中。 如果设置在设置目录中不可用,则检查设备配置文件模板。
以下是设置目录中可能与组织相关的一些设置:
Azure Active Directory 首选租户域 - 此设置将首选租户域名配置为追加到用户的用户名。 首选租户域允许用户仅使用其用户名而不是整个 UPN 登录到Microsoft Entra终结点,前提是用户的域名与首选租户域匹配。 具有不同域名的用户可以键入其完整 UPN。
设置类别 设置 值 身份验证 首选 AAD 租户域名 输入域名,例如 contoso.onmicrosoft.com。注意
设置标签使用旧术语。 “AAD”是指Microsoft Entra ID。
Windows 聚焦 - 默认情况下,会启用 Windows 的多个使用者功能,这会导致在锁屏界面上安装选定的应用商店应用和第三方建议。 可以使用设置目录的"体验"部分来控制此功能。
设置类别 设置 值 体验 > 允许 Windows 聚焦 允许 Windows 使用者功能 阻止 在 Windows 聚焦中允许第三方建议 (用户) 阻止 Microsoft存储 - 组织通常希望限制可在终结点上安装的应用程序。 如果你的组织想要控制哪些应用程序可以从 Microsoft Store 安装,请使用该设置。 此设置会阻止用户安装应用程序,除非这些应用程序获得批准。
设置类别 设置 值 Microsoft App Store 仅需要专用存储 仅启用专用存储 注意
此设置适用于Windows 10。 在Windows 11,此设置会阻止访问公共Microsoft存储。 有关详细信息,请转到:
阻止游戏 - 组织可能希望公司终结点不能用于玩游戏。 可以使用以下设置完全隐藏"设置"应用中的"游戏"页面。 有关设置页面可见性的其他信息,请转到 CSP 文档 和 ms-settings URI 方案参考。
设置类别 设置 值 设置 页面可见性列表 hide:gaming-gamebar;gaming-gamedvr;游戏广播;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame 控制 Teams 桌面客户端可以登录的租户 - 在设备上配置此策略时,用户只能使用此策略中定义的“租户允许列表”中包含的Microsoft Entra租户中的帐户登录。 “租户允许列表”是Microsoft Entra租户 ID 的逗号分隔列表。 通过指定此策略并定义Microsoft Entra租户,还可以阻止登录 Teams 供个人使用。 有关详细信息,请转到 如何限制在桌面设备上登录。
设置类别 设置 值 Microsoft Teams 将 Teams 登录限制为特定租户中的帐户 (用户) Enabled
设备限制
Windows 设备限制模板包含使用 Windows 配置服务提供程序 (CSP) 保护和管理 Windows 终结点所需的许多设置。 随着时间推移,这些设置中的更多设置将在设置目录中提供。 有关详细信息,请转到“设备限制”。
若要创建使用设备限制模板的配置文件,请在Microsoft Intune管理中心,转到“设备>管理设备>”“配置>创建新>策略>”“选择Windows 10及更高版本”,了解平台>模板“”配置文件类型的设备限制”。
桌面背景图片 URL (仅限桌面) - 使用此设置设置 Windows 企业版或 Windows 教育版 SKU 上的壁纸。 联机托管文件或引用本地复制的文件。 若要配置此设置,请在“设备限制配置文件”的“配置设置”选项卡上展开“个性化”,然后配置“桌面背景图片 URL” (“仅桌面”) 。
要求用户在设备设置期间连接到网络 - 此设置可降低设备在计算机重置时可以跳过 Windows Autopilot 的风险。 此设置要求设备在开箱即用体验阶段具有网络连接。 若要配置此设置,请在“设备限制配置文件”中的“配置设置”选项卡上展开“常规”,然后配置“要求用户在设备设置期间连接到网络”。
注意
该设置在下次擦除或重置设备时生效。
传递优化
传递优化是用来减少带宽消耗,方法是在多个终结点之间共享下载受支持包的工作量。 传递优化是一种自组织分布式缓存,使客户端能够从备用源(如网络上的对等)下载这些包。 这些对等源补充了传统的基于 Internet 的服务器。 你可以在适用于 Windows 更新的传递优化了解可用于传递优化的所有设置,以及支持哪些类型的下载。
若要应用传递优化设置,请创建 Intune 传递优化配置文件 或设置目录配置文件。
组织常用的一些设置包括:
- 限制对等选择 - 子网 - 此设置将对等缓存限制为同一子网上的计算机。
- 组 ID - 传递优化客户端可以配置为仅与同一组中的设备共享内容。 可以通过策略发送 GUID 或在 DHCP 作用域中使用 DHCP 选项直接配置组 ID。
使用 Microsoft Configuration Manager 的客户可以部署可用于托管传递优化内容的连接缓存服务器。 有关详细信息,请转到 Configuration Manager 中的 Microsoft 联网缓存。
本地管理员
如果只有一个用户组需要对所有已加入Microsoft Entra的 Windows 设备的本地管理员访问权限,则可以将它们添加到加入Microsoft Entra设备本地管理员。
你可能要求 IT 支持人员或其他支持人员对一组选定的设备拥有本地管理员权限。 可以通过使用以下配置服务提供程序 (CSP) 来满足此要求。
- 本地用户和组 CSP (首选)
- 受限组 CSP (无更新操作,仅替换)
有关详细信息,请转到如何管理已加入Microsoft Entra设备上的本地管理员组
组策略到 MDM 设置迁移
考虑从组策略迁移到云本机设备管理时,有多种创建设备配置的选项:
- 重新开始并根据需要应用自定义设置。
- 查看现有组策略并应用所需的设置。 可以使用工具提供帮助,例如组策略分析。
- 使用组策略分析直接为受支持的设置创建设备配置文件。
过渡到云本机 Windows 终结点的过程提供了一个查看最终用户计算要求并在将来建立新配置的机会。 尽可能使用最少的一组策略重新开始。 避免从已加入域的环境或较旧的操作系统(如 Windows 7 或 Windows XP)中带入不必要的或旧版设置。
若要重新开始,请查看当前要求并实现最少的设置集合以满足这些要求。 要求可能包括法规或强制性安全设置,以及用于增强最终用户体验的设置。 业务创建要求列表,而不是 IT。 每个设置都应被记录、理解,并且有一个明确目的。
将设置从现有组策略迁移到 MDM (Microsoft Intune) 不是首选方法。 过渡到云原生 Windows 时,目的不应是直接迁移现有组策略设置。 相反,请考虑目标受众及其所需的设置。 查看环境中的每个组策略设置以确定其与新式托管设备的相关性和兼容性非常耗时,可能不切实际。 避免尝试评估每个组策略和单个设置。 相反,应专注于评估涵盖大多数设备和方案的常见策略。
相反,应确定强制的组策略设置,并针对可用的 MDM 设置审核这些设置。 如果有差距,且不得到解决,可能会成为阻止你进一步使用云本机设备的障碍。 组策略分析等工具可用于分析组策略设置,并确定它们是否可以迁移到 MDM 策略。
脚本
可以将 PowerShell 脚本用于在内置配置文件之外需要配置的任何设置或自定义项。 有关详细信息,请转到 在 Microsoft Intune 中将 PowerShell 脚本添加到 Windows 设备。
映射网络驱动器和打印机
云本机方案没有用于映射网络驱动器的内置解决方案。 相反,我们建议用户迁移到 Teams、SharePoint 和 OneDrive。 如果无法迁移,请考虑使用脚本(如有必要)。
对于个人存储,在步骤 8 - 配置设置以实现最佳 Microsoft 365 体验中,我们配置了 OneDrive 已知文件夹移动。 有关详细信息,请转到重定向已知文件夹。
对于文档存储,用户还可以从 SharePoint 与文件资源管理器的集成以及在本地同步库的能力中获益,如下所述:将 SharePoint 和 Teams 文件与计算机同步。
如果使用公司 Office 文档模板(通常位于内部服务器上),请考虑使用较新的基于云的等效项,以允许用户从任何位置访问模板。
对于打印解决方案,请考虑使用通用打印。 有关详细信息,请转到:
应用程序
Intune 支持部署许多不同的 Windows 应用程序类型。
- Windows Installer (MSI) –将 Windows 业务线应用添加到Microsoft Intune
- MSIX –将 Windows 业务线应用添加到 Microsoft Intune
- Win32 应用(MSI、EXE、脚本安装程序)–Microsoft Intune 中的Win32 应用管理
- Microsoft Store 应用 –将 Microsoft Store 应用添加到Microsoft Intune
- Web 链接 –将 Web 应用添加到 Microsoft Intune
如果你有使用 MSI、EXE 或脚本安装程序的应用程序,则可以使用Microsoft Intune 中的 Win32 应用管理部署所有这些应用程序。 将这些安装程序包装为 Win32 格式可提供更大的灵活性和优势,包括通知、传递优化、依赖项、检测规则以及 Windows Autopilot 中注册状态页的支持。
注意
为了防止安装期间发生冲突,我们建议仅使用 Windows 业务线应用或 Win32 应用功能。 如果你有打包为 .msi 或 .exe的应用程序,则可以使用 GitHub 上提供的 Microsoft .intunewinWin32 内容准备工具将其转换为 Win32 应用 () 。
阶段 5 - 使用 Windows Autopilot 缩放部署
你已证明云原生可在一台设备上运行。 此阶段介绍了如何从测试设备迁移到生产队列 -- 如何注册设备,如何按角色对设备进行分组,如何暂存推出,以及如何处理已管理的现有电脑。
大规模注册设备
在第 1 阶段中,你手动上传了硬件哈希。 这适用于实验室,但无法缩放。 生产就绪选项包括:
| 注册源 | 运作方式 | 最适合 |
|---|---|---|
| OEM 或硬件合作伙伴 | 设备从已注册到租户的供应商发货, (Dell、HP、Lenovo、Microsoft、Surface 和其他) 。 | 新硬件采购 - 建议的目标状态。 |
| 经销商或 CSP | Microsoft合作伙伴代表你注册设备。 | 间接或混合供应链。 |
| 手动上传哈希 (CSV) | 第 1 阶段步骤 3 中的相同Get-WindowsAutopilotInfo流以 CSV 的形式批量上传。 |
试点、实验室设备、小批量、正在载入的现有设备。 |
| Intune连接器/直接注册 | 管理中心中显示了较新的注册路径。 | 特定注册方案 - 请参阅 Autopilot 注册概述。 |
有关完整详细信息,请参阅 注册 Autopilot 设备。
提示
每当购买新的 Windows 硬件时,请要求经销商或 OEM 在购买时将设备注册到Microsoft Entra租户 ID。 此方法是摩擦最小的长期模式,无需手动收集哈希。
对角色使用组标记
已在 CloudNative 阶段 1 中使用了组标记来驱动动态组。 同一模式可缩放到多个设备角色。 每个角色定义一个组标记、每个标记一个动态Microsoft Entra组,以及每个组一个 Autopilot 部署配置文件以及每个组的注册状态页。
| Persona | 建议的组标记 | Autopilot 配置文件 | 用户帐户类型 |
|---|---|---|---|
| 知识工作者 | KnowledgeWorker |
用户驱动 | Standard用户 |
| 开发人员/Power 用户 | Developer |
用户驱动 | 管理员 |
| 展台或共享设备 | Kiosk |
自部署 | 不适用 |
| 预配置的 (白手套) | PreProvisioned |
已预配置 | Standard用户 |
此模式使每个角色的配置、应用和安全策略保持隔离,并避免租户中出现一次性异常。
在戒指中推出
不要一次性部署到整个机群。 使用用于 Windows 汇报的同一环概念:
| 环 | 受众 | 用途 |
|---|---|---|
| 飞行员 | IT 团队和一小群志愿者 | 验证端到端预配和策略。 |
| 早期采用者 | 大约 5% 的用户,分布在各个部门 | 捕获特定于角色和应用的问题。 |
| 宽泛 | 按区域或部门暂存的剩余舰队 | 生产推出。 |
使用 分配筛选器 定位环,而不是为每个策略创建重复组。 使用 监视云原生 Windows 终结点 部分监视每个环,然后再升级到下一个。
处理现有设备
对于已管理的 Windows 电脑,Microsoft建议 在下一次硬件刷新 时迁移到 Autopilot,而不是立即重新预配整个机群。 云原生 Windows 从干净的 OOBE 开始获得其全部优势,并且刷新周期使你能够自然过渡,并将用户中断降到最低。
如果无法等待刷新,则有两个路径可用:
- 就地注册和重置。 收集现有设备的哈希,将其注册到 Autopilot,然后重置电脑。 设备通过 OOBE 作为云原生终结点返回。 请参阅 将现有设备添加到 Windows Autopilot。
- 刷新时重置映像。 只有新的或已刷新的硬件注册为云原生硬件。 现有设备将一直保持其当前管理状态,直到其生命周期结束。
警告
请勿在没有共同管理计划的情况下注册由 Microsoft Configuration Manager 主动管理的设备。 在将设备注册到 Autopilot 之前,确定设备是云托管的、共同管理的还是保持Configuration Manager。 有关详细信息,请参阅 Windows 设备的共同管理。
了解详细信息
如果 Windows Autopilot 不适合你的方案,请参阅Intune适用于 Windows 设备的注册方法了解替代方案。
监视云原生 Windows 终结点
预配和配置云原生 Windows 终结点后,使用 Microsoft Intune 管理中心中的监视视图确认策略、脚本和应用成功部署,并尽早发现问题。 监视是一项正在进行的操作任务,而不是一次性设置步骤。
| 要监视的内容 | 在管理中心 | 要查看的内容 | 更多信息 |
|---|---|---|---|
| 脚本状态 | 设备>按平台>窗户>管理设备>脚本和修正>平台脚本 | 选择脚本>“设备状态” | — |
| 应用安装状态 | 应用程序>窗户>Windows 应用 | 选择应用 >“设备安装状态” 或 “用户安装状态” | 排查应用安装问题 |
| 安全基线 | — | — | 监视Intune中的安全基线 |
| BitLocker) (磁盘加密 | 终结点安全性>磁盘加密 | 选择 BitLocker 策略 >“设备安装状态”。 恢复密钥: 设备>Windows> 选择设备 >恢复密钥 | — |
| Windows 更新环 | 设备>管理更新>Windows 10及更高版本的更新>更新通道 | 选择响铃 >设备状态 | 更新通道的报告 |
| 合规性 | 设备>合 规 | 选择策略以查看分配结果、不符合设备和按设置失败 | 监视合规性策略 |
| 终结点分析 | 报告>终结点分析 | 整个队列中的启动性能、应用可靠性和主动修正 | 终结点分析概述 ·Intune报表 |
遵循云原生终结点的指南
- 概述:什么是云原生终结点?
- 🡺 教程:使用Microsoft Intune (设置云原生 Windows 终结点)
- 概念:Microsoft Entra联接与混合Microsoft Entra联接
- 概念:云原声终结点和本地资源
- 高级规划指南
- 已知问题和重要信息
常见问题解答
什么是云原生 Windows 终结点?
云原生 Windows 终结点是Microsoft Entra加入并在Microsoft Intune中注册的 Windows 设备,不依赖于本地 Active Directory、组策略或域控制器。 使用 Microsoft Intune 和 Windows Autopilot 从云管理所有配置、安全性和应用部署。
加入的云原生和混合Microsoft Entra有何区别?
已加入混合Microsoft Entra的设备将加入本地 Active Directory和Microsoft Entra。 它仍然依赖于域控制器进行身份验证和配置组策略。 仅加入的云原生 (Microsoft Entra) 设备没有本地依赖项 - 标识、策略和应用都来自云。 有关详细比较,请参阅联接Microsoft Entra与混合Microsoft Entra联接。
是否需要为云原生终结点Windows 11?
不正确。 云原生 Windows 适用于 Windows 10 22H2 或更高版本。 Microsoft建议Windows 11,以获得最佳 Windows Autopilot、Windows Hello 企业版和新式安全功能的体验。
是否可以将现有的已加入域的设备移动到云原生设备?
可以,但Microsoft建议 在下一次硬件刷新 时执行此操作,而不是重新预配整个队列。 云原生 Windows 从干净的 OOBE 开始获得其全部优势。 对于等不及要刷新的设备,请参阅在阶段 5 中 处理现有设备 。
云原生 Windows 是否适用于文件共享和打印机等本地资源?
是的,有一些计划。 云原生设备可以通过 VPN 或通过Microsoft Entra应用程序代理访问本地资源。 对于文件存储,Microsoft建议迁移到 OneDrive 和 SharePoint。 对于打印,请考虑 通用打印。 有关详细指导 ,请参阅云原生终结点和本地资源 。
有用的联机资源
- 共同管理 Windows 设备
- Windows 订阅激活
- 配置Intune设备符合性策略,该策略可以根据Microsoft Entra条件访问策略来允许或拒绝对资源的访问
- 添加 Microsoft Store 应用
- 添加 Win32 应用
- 在 Intune 中使用证书进行身份验证
- 部署网络配置文件,包括 VPN 和 Wi-Fi
- 部署 多重身份验证
- Microsoft Edge 的安全基线