修复准备情况评估工具发现的问题
对于每个检查,该工具将报告四个可能的结果之一:
| 结果 | 含义 |
|---|---|
| Ready | 完成注册前无需执行任何操作。 |
| 公告 | 请按照工具或本文中的步骤进行操作,以获得注册和用户的最佳体验。 可以完成注册,但必须先解决这些问题,然后才能部署第一台设备。 |
| 未就绪 |
如果不解决这些问题,注册将失败。 按照工具或本文中的步骤进行解析。 |
| 错误 | 你正在使用的 Microsoft Entra 角色没有足够的权限来运行此检查,或者你的租户未获得Microsoft Intune 的正确许可。 |
注意
此工具报告结果仅反映运行设置时的设置状态。 如果以后在 Microsoft Intune、Microsoft Entra ID 或 Microsoft 365 中对策略进行更改,则“就绪”的项可能会变为“未就绪”。若要避免Microsoft托管桌面操作出现问题,请在添加或更改任何策略之前检查本文中所述的特定设置。
Microsoft Intune 设置
访问 intune 管理中心Microsoft Intune 设置。
Autopilot 部署配置文件
不应有任何包含或目标分配组或动态组的现有 Autopilot 配置文件Microsoft托管桌面设备。 Microsoft 托管桌面使用 Autopilot 配置新设备。 如果现有 Autopilot 部署配置文件,则必须将 所有目标设备转换为 Autopilot 设置设置为“否”,Microsoft 托管桌面 Autopilot 就绪性测试才能成功。
| 结果 | 含义 |
|---|---|
| 未就绪 | 你有一个分配给所有设备的 Autopilot 配置文件。 有关详细信息,请参阅 使用 Windows Autopilot 在 Intune 中注册 Windows 设备。 Microsoft托管桌面注册后,将 Autopilot 策略设置为排除 新式工作区设备 - 所有 Microsoft Entra 组。 |
| 公告 | 确保 Autopilot 配置文件面向不包括Microsoft托管桌面设备的已分配或动态Microsoft Entra 组。 有关详细信息,请参阅 使用 Windows Autopilot 在 Intune 中注册 Windows 设备。 Microsoft托管桌面注册后,将 Autopilot 配置文件设置为排除 新式工作区设备 - 所有 Microsoft Entra 组。 |
证书连接器
如果有任何证书连接器将由要注册Microsoft 托管桌面的设备使用,则连接器不应有任何错误。 以下公告中只有一项适用于你的情况。 请仔细检查公告。
| 结果 | 含义 |
|---|---|
| 公告 | 不存在证书连接器。 可能不需要任何连接器,但应该评估是否可能需要一些连接来建立 Microsoft 托管桌面设备上的网络连接。 有关详细信息,请参阅 为 Microsoft 托管桌面准备证书和网络配置文件。 |
| 公告 | 至少有一个证书连接器出错。 如果需要此连接器向 Microsoft 托管桌面设备提供证书,则必须解决此错误。 有关详细信息,请参阅 为 Microsoft 托管桌面准备证书和网络配置文件。 |
| 公告 | 你至少有一个证书连接器,并且不会报告任何错误。 但是,在准备部署时,可能需要创建一个配置文件,以便为 Microsoft 托管桌面设备重复使用连接器。 有关详细信息,请参阅 为 Microsoft 托管桌面准备证书和网络配置文件。 |
公司门户
Microsoft 托管桌面要求 IT 管理员使用Microsoft 托管桌面设备为其用户安装Intune 公司门户。
| 结果 | 含义 |
|---|---|
| 公告 | 租户中没有可用的公司门户应用程序。 Microsoft托管桌面会在注册到服务时将其添加到租户,或者 可以使用 Microsoft 应用商店集成从 Intune 获取公司门户。 |
条件访问策略
条件访问策略无法阻止Microsoft托管桌面在 Intune 中管理 Microsoft Entra 组织 (租户) ,Microsoft Entra ID。
| 结果 | 含义 |
|---|---|
| 未就绪 | 你至少有一个面向所有用户的条件访问策略。 在注册期间,我们将尝试从相关条件访问策略中排除Microsoft托管桌面服务帐户,并应用新的条件访问策略来限制对这些帐户的访问。 但是,如果我们不成功,这可能会导致注册体验期间出现错误。 为获得最佳做法,请创建一个面向不包含托管桌面服务帐户的特定Microsoft Entra 组 Microsoft的分配。 注册后,可以在 Microsoft Intune 管理中心查看 Microsoft 托管桌面条件访问策略。 有关这些服务帐户的详细信息,请参阅 标准操作过程。 |
| 公告 | 条件访问策略可能会阻止Microsoft托管桌面管理Microsoft托管桌面服务。 在注册期间,我们将从相关条件访问策略中排除Microsoft托管桌面服务帐户,并应用新的条件访问策略来限制对这些帐户的访问。 有关这些服务帐户的详细信息,请参阅 标准操作过程。 |
| 错误 | Intune 管理员角色没有足够的权限对此进行检查。 还需要分配以下Microsoft Entra 角色才能运行此检查:
|
设备符合性策略
Microsoft Entra 组织中的 Intune 设备符合性策略可能会影响Microsoft托管桌面设备。
| 结果 | 含义 |
|---|---|
| 公告 | 你至少有一个适用于所有用户的符合性策略。 Microsoft 托管桌面还包括适用于Microsoft 托管桌面设备的符合性策略。 查看组织创建的所有适用于 Microsoft 托管桌面设备的合规性策略,以确保不存在冲突。 有关详细信息,请参阅 Microsoft Intune 中创建合规性策略。 |
设备配置文件
Microsoft Entra 组织中的 Intune 设备配置文件不能面向任何Microsoft管理桌面设备或用户。
| 结果 | 含义 |
|---|---|
| 未就绪 | 至少有一个配置文件适用于所有用户、所有设备或全部。 重置配置文件以应用于不包含任何Microsoft托管桌面设备的特定Microsoft Entra 组。 有关详细信息,请参阅在 Microsoft Intune 中使用自定义设置创建配置文件。 |
| 公告 | 请确保你拥有的任何配置策略都不包括任何 Microsoft 托管桌面设备或用户。 有关详细信息,请参阅在 Microsoft Intune 中使用自定义设置创建配置文件。 |
设备类型限制
必须允许 Microsoft 托管桌面设备在 Intune 中注册。
| 结果 | 含义 |
|---|---|
| 未就绪 | 目前 至少 配置了一个注册限制策略,以防止 Windows 设备在 Intune 中注册。 按照针对 Microsoft 托管桌面用户的每个注册限制策略设置注册限制中的步骤操作,并将 Windows (MDM) 设置更改为“允许”。 但是,可以将任何 个人拥有的Windows (MDM) 设备设置为 “阻止”。 |
注册状态页
当前已启用注册状态页 (ESP) 。 如果计划启用此功能的 Microsoft 托管桌面公共预览,可以忽略此项。 有关详细信息,请参阅 Autopilot 的首次运行体验和注册状态页。
| 结果 | 含义 |
|---|---|
| 未就绪 | 将 ESP 默认配置文件设置为“显示应用和配置文件配置进度”。 禁用此设置,或者按照 设置注册状态页中的步骤,确保对任何Microsoft Entra 组的分配不包括Microsoft托管桌面设备。 |
| 公告 | 确保未将具有 “显示应用和配置文件配置进度” 设置的任何配置文件分配给包含Microsoft托管桌面设备的任何Microsoft Entra 组。 有关详细信息,请参阅“设置注册状态页”。 |
多重身份验证
多重身份验证不应阻止Microsoft托管桌面在 Intune 和 Entra ID 中管理Microsoft Entra 组织 (租户 Microsoft) 。
| 结果 | 含义 |
|---|---|
| 未就绪 | 为分配给所有用户的条件访问策略设置了一些 必需的 多重身份验证策略。 在注册期间,我们将从相关条件访问策略中排除Microsoft托管桌面服务帐户,并应用新的条件访问策略来限制对这些帐户的访问。 有关这些服务帐户的详细信息,请参阅 标准操作过程。 |
| 公告 | 条件访问策略需要多重身份验证,这些身份验证可能会阻止Microsoft托管桌面管理Microsoft托管桌面服务。 在注册期间,我们将从相关条件访问策略中排除Microsoft托管桌面服务帐户,并应用新的条件访问策略来限制对这些帐户的访问。 有关这些服务帐户的详细信息,请参阅 标准操作过程。 |
| 错误 | 运行就绪情况评估的用户没有足够的权限进行此检查。 必须分配有以下Microsoft Entra 角色才能运行此检查:
|
PowerShell 脚本
无法以面向 Microsoft 托管桌面设备的方式分配 Windows PowerShell 脚本。
| 结果 | 含义 |
|---|---|
| 公告 | 请确保 Microsoft Entra 组织中的 Windows PowerShell 脚本不面向任何Microsoft管理桌面设备或用户。 请勿将 PowerShell 脚本分配给所有用户、所有设备或全部。 更改策略以使用面向特定Microsoft Entra 组的分配,该组不包含任何Microsoft托管桌面设备或用户。 有关详细信息,请参阅 在 Intune 中Windows 10 设备上使用 PowerShell 脚本。 |
地区
区域必须受 Microsoft 托管桌面支持。
| 结果 | 含义 |
|---|---|
| 未就绪 | Microsoft托管桌面当前不支持Microsoft Entra 组织区域。 有关详细信息,请参阅 Microsoft 托管桌面支持的区域和语言。 |
| 公告 | Microsoft托管桌面不支持Microsoft Entra 组织所在的一个或多个国家/地区。 有关详细信息,请参阅 Microsoft 托管桌面支持的区域和语言。 |
安全基线
安全基线策略不应面向任何 Microsoft 托管桌面设备。
| 结果 | 含义 |
|---|---|
| 未就绪 | 你有一个面向所有用户、所有设备或全部的安全基线配置文件。 更改策略以使用面向不包含任何Microsoft托管桌面设备的特定Microsoft Entra 组的分配。 有关详细信息,请参阅 使用安全基线在 Intune 中配置 Windows 10 设备。 在注册期间,我们向所有 Microsoft 托管桌面设备应用新的安全基线。 注册后,可以在 Microsoft Intune 管理中心的“配置策略”区域中查看Microsoft托管桌面安全基线策略。 |
| 公告 | 确保已排除的任何安全基线策略Microsoft 托管桌面设备。 有关详细信息,请参阅 使用安全基线在 Intune 中配置 Windows 10 设备。 在注册期间,我们向所有 Microsoft 托管桌面设备应用新的安全基线。 新式工作区设备 - 所有Microsoft Entra 组是我们在 Microsoft 托管桌面中注册时创建的动态组。 注册后,必须返回以排除此组。 |
未经授权的管理员
必须启用此设置,以避免在与Microsoft Entra 组织交互时出现“缺少权限”错误。
| 结果 | 含义 |
|---|---|
| 未就绪 | 应启用对未经许可的管理员访问权限。 有关详细信息,请参阅 来宾帐户的先决条件。 |
Windows 应用。
查看希望 Microsoft 托管桌面用户拥有的应用。
| 结果 | 含义 |
|---|---|
| 公告 | 应准备希望 Microsoft 托管桌面用户拥有的应用清单。 由于这些应用必须由 Intune 部署,因此评估现有 Intune 应用的重复使用。 考虑使用公司门户 (请参阅 在设备上安装 Intune 公司门户 和注册状态页 (ESP) 向用户分发应用。 有关详细信息,请参阅 使用Autopilot 的 Microsoft 托管桌面和首次运行体验中的应用和注册状态页。 可以在 Microsoft Endpoint Configuration Manager 中向 Microsoft 帐户代表请求查询,以确定那些准备迁移到 Intune 或需要调整的应用。 |
Windows Hello 企业版
Microsoft 托管桌面需要启用 Windows Hello 企业版。
| 结果 | 含义 |
|---|---|
| 公告 | Windows Hello 企业版已禁用或未设置。 按照“创建 Windows Hello 企业版策略”中的步骤启用。 |
Windows 10 或更高版本的更新通道
Intune 中的“Windows 10 或更高版本的更新通道”策略不得面向任何Microsoft托管桌面设备。
| 结果 | 含义 |
|---|---|
| 未就绪 | 你有一个适用所有设备、所有用户或两者兼有的“更新环”策略。 更改策略以使用面向不包含任何Microsoft托管桌面设备的特定Microsoft Entra 组的分配。 有关详细信息,请参阅 在 Intune 中管理 Windows 10 软件更新。 |
| 公告 | 确保你拥有的任何更新通道策略都排除了 新式工作区设备 - 所有 Microsoft Entra 组。 如果已向这些策略分配了Microsoft Entra 用户组,请确保你还排除了将 Microsoft 托管桌面用户添加到 (或等效组) 的新 式工作区 - 所有 Microsoft Entra 组的任何更新通道策略。 有关详细信息,请参阅 在 Intune 中管理 Windows 10 和 11 软件更新。 新式工作区设备 - 所有和新式工作区 - 所有Microsoft Entra 组都是我们在 Microsoft 托管桌面中注册时创建的组。 注册后,必须返回以排除此组。 |
Microsoft Entra 设置
可以在 Azure 门户中访问Microsoft Entra 设置。
Intune 注册
Microsoft Entra 组织中的 Windows 10 及更高版本设备必须能够在 Intune 中自动注册。
| 结果 | 含义 |
|---|---|
| 公告 | 确保 MDM 用户范围 设置为“部分”或“全部”,而不是“无”。 如果选择“ 某些”,请在注册后返回,然后选择“ 新式工作区 - 所有 Microsoft Entra 组” 或面向所有Microsoft托管桌面用户的等效组。 有关详细信息,请参阅 使用 Microsoft Intune 设置 Windows 设备的注册。 |
临时订阅
建议如何检查设置(如果设置为“false”)可能会阻止企业状态漫游正常工作。
| 结果 | 含义 |
|---|---|
| 公告 | 确保 AllowAdHocSubscriptions 设置为 True。 否则,企业状态漫游可能无法运行。 有关详细信息,请参阅 Set-SPAppPrincipalPermission。 |
企业状态漫游
应启用企业状态漫游。
| 结果 | 含义 |
|---|---|
| 公告 | 确保为“全部”或“选定”组启用了企业状态漫游。 有关详细信息,请参阅 在 entra ID Microsoft中启用企业状态漫游。 |
来宾邀请设置
Microsoft托管桌面建议调整来宾邀请设置,因为默认设置允许目录中的所有用户和来宾邀请来宾。
| 结果 | 含义 |
|---|---|
| 公告 | 确保已选择“分配有特定管理员角色的成员用户和用户可以邀请来宾用户,包括具有成员权限的来宾”。 有关详细信息,请参阅 来宾帐户的先决条件。 |
来宾用户访问
Microsoft 托管桌面建议调整来宾访问权限,因为默认设置允许目录中的所有来宾具有与成员相同的访问权限。
| 结果 | 含义 |
|---|---|
| 公告 | 应启用来宾用户对目录对象的属性和成员身份的有限访问权限。 有关详细信息,请参阅 来宾帐户的先决条件。 |
许可证
使用 Microsoft 托管桌面需要许多许可证。
| 结果 | 含义 |
|---|---|
| 未就绪 | 操作、配置和使用托管桌面服务需要有效许可证和足够许可证Microsoft。 有关详细信息,请参阅 Microsoft 托管桌面技术和有关许可证的详细信息。 |
Microsoft 托管桌面服务帐户
现有帐户名称可能会与Microsoft托管桌面创建的帐户名冲突,以管理Microsoft托管桌面服务。
| 结果 | 含义 |
|---|---|
| 未就绪 | 至少有一个帐户名称将与 Microsoft 托管桌面创建的帐户名称冲突。 请与 Microsoft 帐户代表协作,排除这些帐户名称。 我们不会公开列出帐户名称,以最大程度地降低安全风险。 |
安全管理员角色
具有特定安全角色的用户必须在 Microsoft Defender for Endpoint 中分配这些角色。
| 结果 | 含义 |
|---|---|
| 公告 | 如果将用户分配到 Microsoft Entra 组织中的任一角色,请确保他们在 Microsoft Defender for Endpoint 中也分配了这些角色。 否则,具有这些角色的管理员将无法访问管理中心。
有关详细信息,请参阅 创建和管理基于角色的访问控制角色。 |
安全默认值
Microsoft Entra ID 中的安全默认值将阻止Microsoft托管桌面管理设备。
| 结果 | 含义 |
|---|---|
| 未就绪 | 你已启用安全默认设置。 关闭安全默认值并设置条件访问策略。 有关详细信息,请参阅 通用条件访问策略。 |
自助式密码重置
可以为不包括 Microsoft 托管桌面服务帐户的所有 Microsoft 托管桌面用户启用自助式密码重置 (SSPR) 。
有关详细信息,请参阅 教程:让用户使用 Microsoft Entra 自助密码重置解锁其帐户或重置密码。
| 结果 | 含义 |
|---|---|
| 公告 | 确保 SSPR 所选设置包含Microsoft 托管桌面用户,但不包括Microsoft 托管桌面服务帐户。 启用 SSPR 时,Microsoft 托管桌面服务帐户无法按预期工作。 |
标准用户角色
默认情况下,Microsoft托管桌面用户将是没有本地管理员权限的“标准用户”。 成功注册后,将通过Microsoft托管桌面标准用户设备配置文件有效地为用户分配标准用户角色。
| 结果 | 含义 |
|---|---|
| 公告 | Microsoft 托管桌面注册后,用户在其Microsoft 托管桌面设备上将没有本地管理员权限。 |
Microsoft 365 企业应用版
OneDrive
仅在加入特定域设置的电脑上进行允许同步将与 Microsoft 托管桌面冲突。 可以在 OneDrive 管理中心访问 OneDrive 设置。
| 结果 | 含义 |
|---|---|
| 公告 |
仅在已加入特定域设置的电脑上使用允许同步。 此设置不适用于 Microsoft 托管桌面。 禁用此设置。 相反,将 OneDrive 设置为使用条件访问策略。 有关详细信息,请参阅 计划条件访问部署 以获取帮助。 |