教程:使用 Microsoft Intune 设置和配置云原生 Windows 终结点

  • 项目

提示

阅读有关云本机终结点的信息时,你将看到以下术语:

  • 终结点:终结点是一种设备,例如移动电话、平板电脑、笔记本电脑或台式计算机。 “终结点”和“设备”可互换使用。
  • 托管终结点:使用 MDM 解决方案或组策略对象从组织接收策略的终结点。 这些设备通常是组织拥有的,但也可以是 BYOD 或个人拥有的设备。
  • 云本机终结点:已加入 Azure AD 的终结点。 它们未加入本地 AD。
  • 工作负载:任何程序、服务或进程。

本指南将指导你完成为组织创建云本机 Windows 终结点配置的步骤。 有关云原生终结点及其优点的概述,请转到什么是云原生终结点

此功能适用于:

  • Windows 云原生终结点

提示

如果希望基于 Microsoft 推荐的标准化解决方案进行构建,则可能对 云配置中的 Windows 感兴趣。 在 Intune 中,可以使用 引导式方案 在云配置中配置 Windows。

下表介绍了本指南与云配置中的 Windows 之间的主要区别:

解决方案 目标
教程:云本机 Windows 终结点入门 (本指南) 指导你根据 Microsoft 推荐设置创建自己的环境配置,并帮助你开始测试。
云配置中的 Windows 一种引导式方案体验,基于 Microsoft 针对一线、远程和其他员工的最佳做法创建和应用具有更集中需求的预建配置。

可以结合使用本指南和 云配置中的 Windows 来自定义预建体验。

如何开始使用

使用本指南中的五个循序渐进的阶段,可帮助你准备云本机 Windows 终结点配置。 按顺序完成这些阶段后,你将看到切实的进展,并准备好预配新设备。

阶段

使用 Microsoft Intune 和 Windows Autopilot 设置云原生 Windows 终结点的五个阶段。

  • 第 1 阶段 - 设置环境
  • 第 2 阶段 - 构建首个云本机 Windows 终结点
  • 第 3 阶段 - 保护云本机 Windows 终结点
  • 第 4 阶段 - 应用自定义设置和应用程序
  • 第 5 阶段–使用 Windows Autopilot 大规模部署

本指南结束时,你已准备好一个云原生 Windows 终结点,可在环境中开始测试。 在开始之前,你可能希望在如何规划Microsoft Entra联接实现中检查Microsoft Entra联接规划指南。

第 1 阶段 - 设置环境

第 1 阶段.

构建首个云本机 Windows 终结点之前,需要检查一些关键要求和配置。 此阶段将引导你完成检查要求、配置 Windows Autopilot 以及创建一些设置和应用程序。

步骤 1 - 网络要求

云原生 Windows 终结点需要访问多个 Internet 服务。 在开放网络上开始测试。 或在对 Windows Autopilot 网络要求 中列出的所有终结点提供访问权限后,使用公司网络。

如果无线网络需要证书,可以在测试期间先测试以太网连接,同时确定用于设备预配的无线连接的最佳方法。

步骤 2 - 注册和许可

在加入Microsoft Entra和注册Intune之前,需要检查一些事项。 可以创建新的Microsoft Entra组,例如INTUNE MDM 用户的名称。 然后,添加特定的测试用户帐户,并针对该组的以下每个配置,以限制在设置配置时可以注册设备的人员。 若要创建Microsoft Entra组,请转到创建基本组并添加成员

  • 注册限制
    注册限制允许你控制哪些类型的设备可以使用 Intune 注册到管理中。 若要使本指南成功,请确保允许 Windows (MDM) 注册,这是默认配置。

    有关配置注册限制的信息,请转到在 Microsoft Intune 中设置注册限制

  • Azure AD 设备 MDM 设置
    将 Windows 设备加入到Microsoft Entra时,可以将Microsoft Entra配置为告知设备自动注册 MDM。 Windows Autopilot 需要此配置才能正常工作。

    若要检查正确启用Microsoft Entra设备 MDM 设置,请转到快速入门 - 在 Intune 中设置自动注册

  • Azure AD 公司品牌打造
    将公司徽标和图像添加到Microsoft Entra可确保用户在登录 Microsoft 365 时看到熟悉且一致的外观。 Windows Autopilot 需要此配置才能正常工作。

    有关在 Microsoft Entra 中配置自定义品牌的信息,请转到将品牌添加到组织的Microsoft Entra登录页

  • 许可
    从“开箱即用体验” (OOBE) 到Intune注册 Windows 设备的用户需要两项关键功能。

    用户需要以下许可证:

    • 适用于 Microsoft IntuneMicrosoft Intune教育版的许可证
    • 允许自动 MDM 注册的许可证,如以下选项之一:
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    若要分配许可证,请转到 分配 Microsoft Intune 许可证

    注意

    这两种类型的许可证通常包含在许可捆绑包中,例如Microsoft 365 E3 (或 A3) 及更高版本。 在此处查看 M365 许可的比较。

步骤 3 - 导入测试设备

若要测试云本机 Windows 终结点,首先需要准备好虚拟机或物理设备进行测试。 以下步骤获取设备详细信息并将其上传到 Windows Autopilot 服务,本文稍后会用到该服务中。

注意

尽管以下步骤提供了一种导入设备进行测试的方法,但合作伙伴和 OEM 可以在购买时代表你将设备导入 Windows Autopilot。 阶段 5中有关于 Windows Autopilot 的详细信息。

  1. 在虚拟机中安装 Windows (最好是 20H2 或更高版本) ,或者重置物理设备,使其在 OOBE 设置屏幕上等待。 对于虚拟机,可以选择创建检查点。

  2. 完成连接到 Internet 的必要步骤。

  3. 使用 Shift + F10 键盘组合打开命令提示符。

  4. 通过 ping bing.com 验证你是否具有 Internet 访问权限:

    • ping bing.com

  5. 通过运行命令切换到 PowerShell:

    • powershell.exe

  6. 运行以下命令,下载 Get-WindowsAutopilotInfo 脚本:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. 当系统提示时,输入 Y 接受。

  8. 键入以下命令:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    注意

    组标记允许基于设备的子集创建动态Microsoft Entra组。 可以在导入设备时设置组标记,也可以在稍后Microsoft Intune管理中心进行更改。 我们将在步骤 4 中使用组标记 CloudNative。 可以将标记名称设置为其他名称以进行测试。

  9. 当系统提示输入凭据时,请使用 Intune 管理员帐户登录。

  10. 将计算机保留为开箱即用体验,直到 阶段 2

步骤 4 - 为设备创建Microsoft Entra动态组

若要将本指南中的配置限制为导入到 Windows Autopilot 的测试设备,请创建动态Microsoft Entra组。 此组应自动包括导入到 Windows Autopilot 并具有组标记 CloudNative 的设备。 然后,可以将所有配置和应用程序定向到该组。

  1. 打开Microsoft Intune管理中心

  2. 选择 “组>”“新建组”。 输入以下详细信息:

    • 组类型:选择“安全组”
    • 组名称:输入 Autopilot Cloud-Native Windows 终结点
    • 成员身份类型:选择“ 动态设备”。

  3. 选择“添加动态查询”。

  4. 在“规则语法”部分,选择“编辑”。

  5. 粘贴以下文本:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. 选择 “确定>保存>创建”。

提示

发生更改后,动态组需要几分钟时间来填充。 在大型组织中, 可能需要更长的时间。 创建新组后,请等待几分钟,然后再检查以确认设备现在是组的成员。

有关设备的动态组的详细信息,请转到 设备规则

步骤 5 - 配置注册状态页

注册状态页 (ESP) 是 IT 专业人员用于在终结点预配期间控制最终用户体验的机制。 请参阅 设置注册状态页。 若要限制注册状态页的范围,可以创建新的配置文件,并将 Autopilot Cloud-Native 在上一步(为设备创建Microsoft Entra动态组)中创建的 Windows 终结点组作为目标。

  • 为了进行测试,我们建议使用以下设置,但可以根据需要随时调整:
    • 显示应用和配置文件配置进度 - 是
    • 仅向由开箱即用体验 (OOBE) 预配的设备显示页面– 是 (默认)

步骤 6 - 创建和分配 Windows Autopilot 配置文件

现在,我们可以创建 Windows Autopilot 配置文件并将其分配到测试设备。 此配置文件告知设备加入Microsoft Entra以及 OOBE 期间应用哪些设置。

  1. 打开Microsoft Intune管理中心

  2. 选择 “设备>注册>”“Windows Autopilot>部署配置文件”。

  3. 选择“创建配置文件”>“Windows 电脑”。

  4. 输入名称“Autopilot 云本机 Windows 终结点”,然后选“下一步”。

  5. 查看并保留默认设置,然后选择“下一步”。

  6. 保留范围标记,然后选择“下一步”。

  7. 将配置文件分配给创建的名为“Autopilot Cloud-Native Windows 终结点”的Microsoft Entra组,选择“下一步”,然后选择“创建”。

步骤 7 - 同步 Windows Autopilot 设备

Windows Autopilot 服务每天同步多次。 还可以立即触发同步,以便使设备准备好进行测试。 若要立即同步,请执行以下操作:

  1. 打开Microsoft Intune管理中心

  2. 选择 “设备>注册>”“Windows Autopilot>设备”。

  3. 选择“同步”。

同步需要几分钟时间,并在后台继续。 同步完成后,导入设备的配置文件状态将显示为“已分配”。

步骤 8 - 配置设置以实现最佳 Microsoft 365 体验

我们选择了一些要配置的设置。 这些设置演示了 Windows 云原生设备上的最佳 Microsoft 365 最终用户体验。 这些设置是使用设备配置设置目录配置文件配置的。 有关详细信息,请转到 使用 Microsoft Intune 中的设置目录创建策略

创建配置文件并添加设置后,将配置文件分配给之前创建的 Autopilot Cloud-Native Windows 终结点 组。

  • Microsoft Outlook
    为了改进 Microsoft Outlook 的首次运行体验,以下设置会在 Outlook 首次打开时自动配置配置文件。

    • Microsoft Outlook 2016\Account Settings\Exchange (用户设置)
      • 根据 Active Directory 主 SMTP 地址仅自动配置第一个配置文件 - 已启用

  • Microsoft Edge
    为了改进 Microsoft Edge 的首次运行体验,以下设置将 Microsoft Edge 配置为同步用户的设置并跳过第一次运行体验。

    • Microsoft Edge
      • 隐藏首次运行体验和初始屏幕 - 已启用
      • 强制同步浏览器数据,且不显示同步同意提示 - 已启用

  • Microsoft OneDrive

    为了改善首次登录体验,以下设置将 Microsoft OneDrive 配置为自动登录并将桌面、图片和文档重定向到 OneDrive。 还建议使用按需文件 (FOD)。 它默认为启用,不包含在以下列表中。 有关 OneDrive 同步应用的建议配置的详细信息,请转到 Microsoft OneDrive 的建议同步应用配置

    • OneDrive

      • 使用 Windows 凭据以无提示方式将用户登录到 OneDrive 同步应用 -已启用
      • 以无提示方式将 Windows 已知文件夹移动到 OneDrive –已启用

      注意

      有关详细信息,请转到重定向已知文件夹

以下屏幕截图显示了配置了每个建议设置的设置目录配置文件的示例:

显示Microsoft Intune中的设置目录配置文件示例的图像。

步骤 9 - 创建和分配一些应用程序

云原生终结点需要一些应用程序。 若要开始,我们建议配置以下应用程序,并将它们定向到之前创建的 Autopilot 云本机 Windows 终结点 组。

  • Microsoft 365 应用版 (以前称为 Office 365 专业增强版)
    Microsoft 365 应用版 (如Word、Excel 和 Outlook 等应用) 可以通过使用 Intune 中内置的适用于 Windows 的 Microsoft 365 应用版应用配置文件轻松部署到设备。

    • 选择 配置设计器 设置格式,而不是 XML。
    • 选择“当前频道”作为更新频道。

    若要部署 Microsoft 365 应用版,请转到 使用 Microsoft Intune 将 Microsoft 365 应用版添加到 Windows 设备

  • 公司门户应用
    建议将 Intune 公司门户 应用作为必需应用程序部署到所有设备。 公司门户应用是用户的自助服务中心,用户可以使用这些中心从多个源(如 Intune、Microsoft Store 和 Configuration Manager)安装应用程序。 用户还使用 公司门户 应用将其设备与Intune、检查符合性状态等同步。

    若要根据需要部署公司门户,请参阅为Intune托管设备添加和分配 Windows 公司门户 应用

  • Microsoft Store 应用 (Whiteboard)
    虽然Intune可以部署各种应用,但我们 (Microsoft Whiteboard) 部署应用商店应用,以帮助使本指南保持简单。 按照将 Microsoft Store 应用添加到Microsoft Intune中的步骤安装 Microsoft Whiteboard

第 2 阶段 - 构建云本机 Windows 终结点

第 2 阶段.

若要生成第一个云原生 Windows 终结点,请使用收集的相同虚拟机或物理设备,然后将硬件哈希上传到 第 1 > 阶段步骤 3 中的 Windows Autopilot 服务。 使用此设备,完成 Windows Autopilot 过程。

  1. 将你的 Windows 电脑恢复 (或根据需要重置) 为开箱即用体验 (OOBE)。

    注意

    如果系统提示你为个人或组织选择设置,则未触发 Autopilot 进程。 在这种情况下,请重新启动设备并确保其可以访问 Internet。 如果仍不起作用,请尝试重置电脑或重新安装 Windows。

  2. (UPNAzureAD\username) 使用Microsoft Entra凭据登录。

  3. 注册状态页显示设备配置的状态。

祝贺你! 你已预配第一个云原生 Windows 终结点!

在新的云本机 Windows 终结点上需要检查的一些事项:

  • 重定向 OneDrive 文件夹。 Outlook 打开时,它会自动配置为连接到 Office 365。

  • “开始”菜单打开公司门户应用,并注意到 Microsoft Whiteboard可供安装。

  • 请考虑测试从设备到本地资源 (如文件共享、打印机和 Intranet 网站) 的访问权限。

    注意

    如果尚未设置Windows Hello 企业版混合,可能会在Windows Hello登录时提示输入密码以访问本地资源。 若要继续测试单一登录访问权限,可以使用用户名和密码 (而不是Windows Hello) 配置Windows Hello 企业版混合模式或登录到设备。 为此,请在登录屏幕上选择键形图标。

第 3 阶段 - 保护云本机 Windows 终结点

第 3 阶段.

此阶段旨在帮助你为组织构建安全设置。 本部分将提请你注意Microsoft Intune中的各种 Endpoint Security 组件,包括:

Microsoft Defender 防病毒 (MDAV)

建议将以下设置作为 Microsoft Defender 防病毒 (Windows 的内置 OS 组件) 的最低配置。 这些设置不需要任何特定的许可协议(如 E3 或 E5),可以在Microsoft Intune管理中心启用。 在管理中心,转到 Endpoint Security>防病毒>创建策略>Windows 和更高版本的>配置文件类型 = Microsoft Defender防病毒

云保护

  • 启用云提供的保护:
  • 云提供的保护级别:未配置
  • Defender 云扩展超时(以秒数表示):50

实时保护

  • 启用实时保护:
  • 启用访问保护:
  • 监视传入和传出文件: 监视所有文件
  • 启用行为监视:
  • 启用入侵防护:
  • 启用网络保护: 启用
  • 扫描所有下载的文件和附件:
  • 扫描 Microsoft 浏览器中使用的脚本:
  • 扫描网络文件: 未配置
  • 扫描电子邮件:

修正

  • 保留隔离恶意软件的天数 (0-90):30
  • 提交示例同意: 自动发送安全示例
  • 对潜在有害应用执行的操作:启用
  • 针对检测到的威胁的操作: 配置
    • 低威胁: 隔离
    • 中等威胁: 隔离
    • 高威胁: 隔离
    • 严重威胁: 隔离

终结点安全性中的 MDAV 配置文件中配置的设置:

显示Microsoft Intune中Microsoft Defender防病毒配置文件示例的屏幕截图。

有关Windows Defender配置的详细信息,包括客户的 E3 和 E5 许可Microsoft Defender for Endpoint,请转到:

Microsoft Defender 防火墙

使用 Microsoft Intune 中的 Endpoint Security 配置防火墙和防火墙规则。 有关详细信息,请转到 Intune 中终结点安全性的防火墙策略

Microsoft Defender防火墙可以使用 NetworkListManager CSP 检测受信任的网络。 并且,它可以在运行以下 OS 版本的终结点上切换到 防火墙配置文件:

使用 网络配置文件可以根据受信任的网络、专用网络和公共网络来分隔防火墙规则。 可以使用 Windows 自定义配置文件应用这些设置。

注意

Microsoft Entra加入的终结点无法使用 LDAP 来检测域连接,其方式与加入域的终结点相同。 相反,使用 NetworkListManager CSP 指定 TLS 终结点,当可访问该终结点时,该终结点将切换到 防火墙配置文件。

BitLocker 加密

使用 Microsoft Intune 中的 Endpoint Security 配置 BitLocker 加密。

可以在Microsoft Intune管理中心启用这些设置。 在管理中心中,转到 “终结点安全>磁盘加密>”“创建策略>Windows 和更高版本的>配置文件 = BitLocker”。

配置以下 BitLocker 设置时,它们以无提示方式为标准用户启用 128 位加密,这是一种常见方案。 但是,你的组织可能有不同的安全要求,因此请使用 BitLocker 文档 进行更多设置。

BitLocker – 基本设置

  • 为操作系统和固定数据驱动器启用完全磁盘加密:
  • 要求对存储卡进行加密(仅限移动设备): 未配置
  • 隐藏有关第三方加密的提示:
    • 允许标准用户在 Autopilot 期间启用加密:
  • 配置客户端驱动的恢复密码轮换:在已加入 Azure AD 设备上启用轮换

BitLocker – 固定驱动器设置

  • BitLocker 固定驱动器策略: 配置
  • 固定驱动器恢复: 配置
    • 恢复密钥文件创建: 已阻止
    • 配置 BitLocker 恢复程序包:密码和密钥
    • 要求设备将恢复信息备份到 Azure AD:
    • 恢复密码创建: 允许
    • 在 BitLocker 安装过程中隐藏恢复选项: 未配置
    • 存储恢复信息后启用 BitLocker: 未配置
    • 阻止使用基于证书的数据恢复代理 (DRA):未配置
    • 阻止对不受 BitLocker 保护的固定数据驱动器的写入访问:未配置
    • 配置固定数据驱动器的加密方法: 未配置

BitLocker – 操作系统驱动器设置

  • BitLocker 系统驱动器策略: 配置
    • 需要启动身份验证:
    • 兼容的 TPM 启动: 必需
    • 兼容的 TPM 启动 PIN: Block
    • 兼容的 TPM 启动密钥:Block
    • 兼容的 TPM 启动密钥和 PIN: Block
    • 在 TPM 不兼容的设备上禁用 BitLocker: 未配置
    • 启用预启动恢复消息和 URL: 未配置
  • 系统驱动器恢复: 配置
    • 恢复密钥文件创建: 已阻止
    • 配置 BitLocker 恢复程序包:密码和密钥
    • 要求设备将恢复信息备份到 Azure AD:
    • 恢复密码创建: 允许
    • 在 BitLocker 安装过程中隐藏恢复选项: 未配置
    • 存储恢复信息后启用 BitLocker: 未配置
    • 阻止使用基于证书的数据恢复代理 (DRA):未配置
    • 最小 PIN 长度: 保留为空
    • 配置操作系统驱动器的加密方法: 未配置

BitLocker – 可移动驱动器设置

  • BitLocker 可移动驱动器策略: 配置
    • 配置可移动数据驱动器的加密方法: 未配置
    • 阻止对不受 BitLocker 保护的可移动数据驱动器的写入访问: 未配置
    • 阻止对在另一个组织中配置的设备的写入访问: 未配置

Windows 本地管理员密码解决方案 (LAPS)

默认情况下,内置本地管理员帐户 (众所周知的 SID S-1-5-500) 处于禁用状态。 在某些情况下,本地管理员帐户可能会带来好处,例如故障排除、最终用户支持和设备恢复。 如果决定启用内置管理员帐户或创建新的本地管理员帐户,请务必保护该帐户的密码。

Windows 本地管理员密码解决方案 (LAPS) 是可用于随机化密码并将其安全地存储在 Microsoft Entra 中的功能之一。 如果使用 Intune 作为 MDM 服务,请使用以下步骤启用 Windows LAPS

重要

Windows LAPS 假定默认本地管理员帐户已启用,即使它已重命名,或者你创建另一个本地管理员帐户也是如此。 Windows LAPS 不会为你创建或启用任何本地帐户。

需要独立于配置 Windows LAPS 创建或启用任何本地帐户。 可以编写此任务脚本,或使用配置服务提供程序 (CSP 的) ,例如 帐户 CSP策略 CSP

  1. 请确保Windows 10 (20H2 或更高版本) 或Windows 11设备已安装 2023 年 4 月 (或更高版本) 安全更新。

    有关详细信息,请转到Microsoft Entra操作系统更新

  2. 在 Microsoft Entra 中启用 Windows LAPS:

    1. 登录到 Microsoft Entra
    2. 对于“启用本地管理员密码解决方案 (LAPS) ”设置,请选择>页面顶部) (保存

    有关详细信息,请转到使用Microsoft Entra启用 Windows LAPS

  3. 在 Intune 中创建终结点安全策略:

    1. 登录到Microsoft Intune管理中心
    2. 选择“终结点安全>帐户保护>创建策略>Windows 10更高版本的>本地管理员密码解决方案 (Windows LAPS) >创建”。

    有关详细信息,请转到在 Intune 中创建 LAPS 策略

安全基线

可以使用安全基线应用一组已知可以提高 Windows 的安全性的配置。 有关安全基线的详细信息,请转到 Intune 的 Windows MDM 安全基线设置

基线可以使用建议设置应用,并根据需要进行自定义。 基线中的某些设置可能会导致意外结果或与在 Windows 终结点上运行的应用和服务不兼容。 因此,应隔离测试基线。 仅将基线应用于一组选择性测试终结点,而不使用任何其他配置文件或设置。

安全基线已知问题

Windows 安全基线中的以下设置可能会导致 Windows Autopilot 或尝试以标准用户身份安装应用时出现问题:

  • 本地策略安全选项\管理员提升提示行为(默认 = 在安全桌面上提示同意)
  • 标准用户提升提示行为(默认 = 自动拒绝提升请求)

有关详细信息,请转到 Windows Autopilot 策略冲突

适用于企业的 Windows 更新

Windows 更新 for Business 是用于控制设备上安装更新的方式和时间的云技术。 在 Intune 中,可以使用以下方式配置适用于企业的 Windows 更新:

有关详细信息,请转到:

如果你想要对 Windows 汇报进行更精细的控制,并且使用Configuration Manager,请考虑共同管理

第 4 阶段 – 应用自定义项并查看本地配置

第 4 阶段.

在此阶段,你将应用特定于组织的设置、应用,并查看本地配置。 该阶段可帮助你生成特定于组织的任何自定义项。 请注意 Windows 的各种组件,如何从本地 AD 组策略环境中查看现有配置,并将其应用到云原生终结点。 以下每项都有专门的部分介绍:

Microsoft Edge

Microsoft Edge部署

运行以下操作系统的设备随附 Microsoft Edge:

  • Windows 11
  • Windows 10 20H2 或更高版本
  • Windows 10 1803 或更高版本,包含 2021 年 5 月或更高版本的累积每月安全更新

用户登录后,Microsoft Edge 将自动更新。 若要在部署期间触发Microsoft Edge更新,可以运行以下命令:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

若要将Microsoft Edge部署到以前版本的 Windows,请转到 向 Microsoft Intune 添加适用于 Windows 的Microsoft Edge

Microsoft Edge配置

可以从 Microsoft 365 管理中心配置用户使用 Microsoft 365 凭据登录时应用的 Microsoft Edge 体验的两个组件。

  • Microsoft Edge 中的起始页徽标可以通过在Microsoft 365 管理中心中配置“组织”部分进行自定义。 有关详细信息,请转到“为组织自定义 Microsoft 365 主题”。

  • Microsoft Edge 中默认的新选项卡页体验包括 Office 365 信息和个性化新闻。 可以从“设置”>组织设置>“”新闻>Microsoft Edge 新建“选项卡页中的Microsoft 365 管理中心自定义此页面的显示方式。

还可以使用设置目录配置文件为 Microsoft Edge 设置其他设置。 例如,你可能想要为组织配置特定的同步设置。

  • Microsoft Edge
    • 配置从同步中排除的类型列表 - 密码

"开始"菜单和任务栏布局

可以使用 Intune 自定义和设置标准"开始"菜单和任务栏布局。

设置目录

设置目录是列出所有可配置 Windows 设置的单个位置。 此功能简化了创建策略以及查看所有可用设置的方式。 有关详细信息,请转到 使用 Microsoft Intune 中的设置目录创建策略

注意

  • 某些设置可能在目录中不可用,但在 Intune 设备配置文件的模板中可用。

  • 你熟悉的许多来自组策略的设置已在设置目录中可用。 有关详细信息,请转到 移动设备管理中的组策略设置奇偶校验中的最新内容

  • 如果你打算利用 ADMX 模板或设置目录 (建议) ,请确保使用 2021 年 9 月“补丁星期二”更新 (KB5005565) 更新设备,Windows 10版本 2004 及更高版本。 此月度更新包括 KB5005101,这会将 1,400 多个组策略设置引入 MDM。 未能应用此更新将导致在Intune管理中心的设置旁边显示“不适用”消息。 虽然最初仅适用于 Windows 企业版和教育版,但截至 2022 年 5 月,这些附加设置现在也适用于 Windows 10/11 的 Pro 版本。 如果使用 Windows 10/11 的 Pro 版本,请确保在 Windows 10 上安装 KB5013942 或更高版本,在 Windows 11 上安装 KB5013943 或更高版本,如在移动设备管理中的最新组策略设置奇偶校验中所述。

以下是设置目录中可能与组织相关的一些设置:

  • Azure Active Directory 首选租户域
    此设置配置要追加到用户用户名的首选租户域名。 首选租户域允许用户仅使用其用户名而不是整个 UPN 登录到Microsoft Entra终结点,前提是用户的域名与首选租户域匹配。 具有不同域名的用户可以键入其完整 UPN。

    可在以下位置找到该设置:

    • 身份验证
      • 首选 AAD 租户域名 - 指定域名,如 contoso.onmicrosoft.com

  • Windows 聚焦
    默认情况下,将启用 Windows 的多个使用者功能,从而在锁屏界面上安装所选的应用商店应用和第三方建议。 可以使用设置目录的"体验"部分来控制此功能。

    • 体验
      • 允许 Windows 使用者功能 - 阻止
      • 允许 Windows 聚焦中的第三方建议(用户)- 阻止

  • Microsoft Store
    组织通常希望限制可在终结点上安装的应用程序。 如果你的组织想要控制哪些应用程序可以从 Microsoft Store 安装,请使用该设置。 此设置会阻止用户安装应用程序,除非这些应用程序获得批准。

  • 阻止游戏
    组织可能希望公司终结点不能用于玩游戏。 可以使用以下设置完全隐藏"设置"应用中的"游戏"页面。 有关设置页面可见性的其他信息,请转到 CSP 文档 和 ms-settings URI 方案参考

    • 设置
      • 页面可见性列表 –隐藏:gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame

  • 控制任务栏中的聊天图标可见性 可以使用 策略 CSP 控制 Windows 11 任务栏中“聊天”图标的可见性。

    • 体验
      • 配置聊天图标 - 禁用

  • 控制 Teams 桌面客户端可以登录到的租户

    在设备上配置此策略时,用户只能使用驻留在此策略中定义的“租户允许列表”中包含的Microsoft Entra租户中的帐户登录。 “租户允许列表”是Microsoft Entra租户 ID 的逗号分隔列表。 通过指定此策略并定义Microsoft Entra租户,还可以阻止登录 Teams 供个人使用。 有关详细信息,请转到 如何限制在桌面设备上登录

    • 管理模板 \ Microsoft Teams
      • 将登录 Teams 限制为特定租户(用户)中的帐户 - 启用

设备限制

Windows 设备限制模板包含使用 Windows 配置服务提供程序 (CSP) 保护和管理 Windows 终结点所需的许多设置。 随着时间推移,这些设置中的更多设置将在设置目录中提供。 有关详细信息,请转到“设备限制”。

若要创建使用“设备限制”模板的配置文件,请在Microsoft Intune管理中心,转到“设备>配置>”“创建>选择Windows 10及更高版本”或“平台模板”“配置文件”类型>“”设备限制”。

  • 桌面背景图片 URL(仅限桌面)
    使用此设置在 Windows 企业版或 Windows 教育版 SKU 上设置壁纸。 联机托管文件或引用已在本地复制的文件。 若要配置此设置,请在设备限制配置文件的配置设置选项卡上,展开个性化设置并配置桌面背景图片 URL(仅限桌面)

  • 要求用户在设备设置期间连接到网络
    此设置可降低重置计算机时设备可以跳过 Windows Autopilot 的风险。 此设置要求设备在开箱即用体验阶段具有网络连接。 若要配置此设置,请在设备限制配置文件的配置设置选项卡上,展开常规,并配置要求用户在设备设置期间连接到网络

    注意

    该设置在下次擦除或重置设备时生效。

传递优化

传递优化是用来减少带宽消耗,方法是在多个终结点之间共享下载受支持包的工作量。 传递优化是一种自组织分布式缓存,使客户端能够从备用源(如网络上的对等)下载这些包。 这些对等源补充了传统的基于 Internet 的服务器。 你可以在适用于 Windows 更新的传递优化了解可用于传递优化的所有设置,以及支持哪些类型的下载。

若要应用传递优化设置,请创建 Intune 传递优化配置文件 或设置目录配置文件。

组织常用的一些设置包括:

  • 限制对等选择 – 子网。 此设置将对等缓存限制为位于同一子网上的计算机。
  • 组 ID。 传递优化客户端可以配置为仅与同一组的设备共享内容。 可以通过策略发送 GUID 或在 DHCP 作用域中使用 DHCP 选项直接配置组 ID。

使用 Microsoft Configuration Manager 的客户可以部署可用于托管传递优化内容的连接缓存服务器。 有关详细信息,请转到 Configuration Manager 中的 Microsoft 联网缓存

本地管理员

如果只有一个用户组需要对所有已加入Microsoft Entra的 Windows 设备的本地管理员访问权限,则可以将它们添加到加入Microsoft Entra设备本地管理员

你可能要求 IT 支持人员或其他支持人员对一组选定的设备拥有本地管理员权限。 在 Windows 2004 或更高版本中,可以使用以下配置服务提供程序 (CSP) 满足此要求。

  • 理想情况下,请使用需要 Windows 10 20H2 或更高版本的本地用户和组 CSP
  • 如果拥有 Windows 10 20H1 (2004),请使用 受限组 CSP (无更新操作,仅替换)。
  • Windows 10 20H1 (2004) 之前的 Windows 版本不能使用组,只能使用单个帐户。

有关详细信息,请转到如何管理已加入Microsoft Entra设备上的本地管理员组

组策略到 MDM 设置迁移

考虑从组策略迁移到云本机设备管理时,有多种创建设备配置的选项:

  • 重新开始并根据需要应用自定义设置。
  • 查看现有组策略并应用所需的设置。 可以使用工具提供帮助,例如组策略分析
  • 使用组策略分析直接为受支持的设置创建设备配置文件。

过渡到云本机 Windows 终结点的过程提供了一个查看最终用户计算要求并在将来建立新配置的机会。 尽可能使用最少的一组策略重新开始。 避免从已加入域的环境或较旧的操作系统(如 Windows 7 或 Windows XP)中带入不必要的或旧版设置。

若要重新开始,请查看当前要求并实现最少的设置集合以满足这些要求。 要求可能包括法规或强制性安全设置,以及用于增强最终用户体验的设置。 业务创建要求列表,而不是 IT。 每个设置都应被记录、理解,并且有一个明确目的。

将设置从现有组策略迁移到 MDM (Microsoft Intune) 不是首选方法。 过渡到云原生 Windows 时,目的不应是直接迁移现有组策略设置。 相反,请考虑目标受众及其所需的设置。 查看环境中的每个组策略设置以确定其与新式托管设备的相关性和兼容性非常耗时,可能不切实际。 避免尝试评估每个组策略和单个设置。 相反,应专注于评估涵盖大多数设备和方案的常见策略。

相反,应确定强制的组策略设置,并针对可用的 MDM 设置审核这些设置。 如果有差距,且不得到解决,可能会成为阻止你进一步使用云本机设备的障碍。 组策略分析等工具可用于分析组策略设置,并确定它们是否可以迁移到 MDM 策略。

脚本

可以将 PowerShell 脚本用于在内置配置文件之外需要配置的任何设置或自定义项。 有关详细信息,请转到 在 Microsoft Intune 中将 PowerShell 脚本添加到 Windows 设备

映射网络驱动器和打印机

云本机方案没有用于映射网络驱动器的内置解决方案。 相反,我们建议用户迁移到 Teams、SharePoint 和 OneDrive for Business。 如果无法迁移,请考虑使用脚本(如有必要)。

对于个人存储,在步骤 8 - 配置设置以实现最佳 Microsoft 365 体验中,我们配置了 OneDrive 已知文件夹移动。 有关详细信息,请转到重定向已知文件夹

对于文档存储,用户还可以从 SharePoint 与文件资源管理器的集成以及在本地同步库的能力中获益,如下所述:将 SharePoint 和 Teams 文件与计算机同步

如果使用公司 Office 文档模板(通常位于内部服务器上),请考虑使用较新的基于云的等效项,以允许用户从任何位置访问模板。

对于打印解决方案,请考虑使用通用打印。 有关详细信息,请转到:

应用程序

Intune 支持部署许多不同的 Windows 应用程序类型。

如果你有使用 MSI、EXE 或脚本安装程序的应用程序,则可以使用Microsoft Intune 中的 Win32 应用管理部署所有这些应用程序。 将这些安装程序包装为 Win32 格式可提供更大的灵活性和优势,包括通知、传递优化、依赖项、检测规则以及 Windows Autopilot 中注册状态页的支持。

注意

为了防止安装期间发生冲突,我们建议仅使用 Windows 业务线应用或 Win32 应用功能。 如果应用程序打包为 .msi.exe,则可以通过使用 GitHub 提供的Microsoft Win32 内容准备工具将其转换为 Win32 应用 .intunewin () 。

第 5 阶段–使用 Windows Autopilot 大规模部署

第 5 阶段.

配置云原生 Windows 终结点并使用 Windows Autopilot 进行预配后,请考虑如何导入更多设备。 此外,还应考虑如何与合作伙伴或硬件供应商合作,以开始从云中预配新终结点。 查看以下资源以确定最适合组织的方法。

如果出于某种原因,Windows Autopilot 不适合你,则还有其他适用于 Windows 的注册方法。 有关详细信息,请转到 适用于 Windows 设备的 Intune 注册方法

遵循云原生终结点的指南

  1. 概述:什么是云原生终结点?
  2. 🡺 教程:云本机 Windows 终结点入门你在此处
  3. 概念:Microsoft Entra联接与混合Microsoft Entra联接
  4. 概念:云原声终结点和本地资源
  5. 高级规划指南
  6. 已知问题和重要信息

有用的联机资源