Microsoft Intune 规划指南
成功的 Microsoft Intune 部署或迁移从规划开始。 本指南可帮助你规划移动或采用Intune作为统一终结点管理解决方案。
Intune为组织提供了一些选项,以执行最适合他们和许多不同的用户设备。 可以在 Intune 中注册设备, (MDM) 进行移动设备管理。 还可以将应用保护策略用于移动应用程序管理 (专注于保护应用数据的 MAM) 。
本指南:
- Lists并介绍了设备管理的一些常见目标
- Lists潜在的许可需求
- 提供有关处理个人拥有的设备的指导
- 建议查看当前策略和基础结构
- 提供创建推出计划的示例
- 其他信息
使用本指南来规划移动到Intune或迁移。
提示
- 想要打印本指南或将本指南保存为 PDF? 在 Web 浏览器中,使用 “打印 ”选项 “另存为 PDF”。
- 本指南是一个活生生的东西。 因此,请务必添加或更新你发现的有用的现有提示和指南。
步骤 1 - 确定目标
组织使用移动设备管理 (MDM) 和移动应用管理 (MAM) 安全地控制组织数据,最大程度减少对用户造成的影响。 评估 MDM/MAM 解决方案(如Microsoft Intune)时,请查看目标是什么以及要实现的目标。
在本部分中,我们将讨论使用 Intune 时的常见目标或方案。
目标:访问组织应用和电子邮件
用户希望在使用组织应用的设备上工作,包括阅读和回复电子邮件、更新和共享数据等。 在 Intune 中,可以部署不同类型的应用,包括:
- Microsoft 365 应用
- Win32 应用
- 业务线 (LOB) 应用
- 自定义应用
- 内置应用
- 应用商店应用
✅ 任务:列出用户经常使用的应用
这些是你希望他们在设备上使用的应用。 注意事项:
许多组织部署所有Microsoft 365 个应用,例如 Word、Excel、OneNote、PowerPoint 和 Teams。 在较小的设备上(如移动电话)上,可以根据用户要求安装单个应用。
例如,销售团队可能需要 Teams、Excel 和 SharePoint。 在移动设备上,只能部署这些应用,而不是部署整个 Microsoft 365 产品系列。
用户更喜欢阅读 & 答复电子邮件,并在所有设备上(包括个人设备)上加入会议。 在组织拥有的设备上,可以部署 Outlook 和 Teams,并使用组织设置预配置这些应用。
在个人设备上,你可能没有此控制权。 因此,请确定是否要向用户授予对组织应用(如电子邮件和会议)的访问权限。
有关详细信息和注意事项,请转到本文) 中的 个人设备与组织拥有的设备 (。
如果计划在 Android 和 iOS/iPadOS 设备上使用 Microsoft Outlook,则可以使用Intune应用配置策略来预配置 Outlook。
查看设计用于Intune的受保护应用。 这些应用是受支持的合作伙伴应用,Microsoft通常与 Microsoft Intune 一起使用的应用。
目标:在所有设备上安全访问
当数据存储在移动设备上时,必须防止恶意活动。
✅ 任务:确定要如何保护设备
防病毒、恶意软件扫描、响应威胁和使设备保持最新状态都是重要的注意事项。 你还希望尽量减少恶意活动的影响。
注意事项:
防病毒 (AV) 和恶意软件保护是必须的。 Intune与Microsoft Defender for Endpoint和不同的移动威胁防御 (MTD) 合作伙伴集成,以帮助保护托管设备、个人设备和应用。
Microsoft Defender for Endpoint 包括安全功能和门户,以帮助监视和应对威胁。
如果设备遭到入侵,你希望使用条件访问来限制恶意影响。
例如,Microsoft Defender for Endpoint扫描设备,并可以确定设备是否遭到入侵。 条件访问可以自动阻止组织在此设备上访问,包括电子邮件。
条件访问有助于保护网络和资源免受设备(甚至未在Intune中注册的设备)的防护。
更新设备、OS 和应用,以帮助保护数据安全。 创建有关安装更新的方式和时间的计划。 Intune 中有一些策略可以帮助你管理更新,包括对应用商店应用的更新。
以下软件更新规划指南可帮助你确定更新策略:
确定用户如何从许多设备向组织资源进行身份验证 。 例如,你能够:
使用设备上的 证书 对功能和应用进行身份验证,例如连接到虚拟专用网络 (VPN) 、打开 Outlook 等。 这些证书支持“无密码”用户体验。 “无密码”被认为比要求用户输入其组织用户名和密码更安全。
如果计划使用证书,请使用支持的 公钥基础结构 (PKI) 基础结构 来创建和部署证书配置文件。
使用 多重身份验证 (MFA) 在组织拥有的设备上进行额外的身份验证层。 或者,使用 MFA 对个人设备上的应用进行身份验证。 也可以使用人脸识别和指纹等生物识别技术。
如果计划使用生物识别进行身份验证,请确保设备支持生物识别。 大多数新式设备都支持生物识别技术。
实现零信任部署。 借助 零信任,可以使用 Microsoft Entra ID 和 Microsoft Intune 中的功能来保护所有终结点,使用无密码身份验证等。
配置 Microsoft 365 应用附带的数据包含策略。 这些策略有助于防止组织数据与 IT 不管理的其他应用和存储位置共享。
如果某些用户只需要访问公司电子邮件和文档(这在个人拥有的设备中很常见),则可以要求用户使用具有应用保护策略的 Microsoft 365 应用。 设备不必在Intune中注册。
有关详细信息和注意事项,请转到本文) 中的 个人设备与组织拥有的设备 (。
目标:分布式 IT
许多组织希望让不同的管理员控制位置、部门等。 例如,“Charlotte IT 管理员”组控制和监视 Charlotte 园区中的策略。 这些“Charlotte IT 管理员”只能查看和管理 Charlotte 地点的策略。 他们无法查看和管理 Redmond 地点的策略。 这种方法称为“分布式 IT”。
在 Intune,分布式 IT 受益于以下功能:
范围标记 使用基于角色的访问控制 (RBAC) 。 因此,只有特定组中的用户才有权管理其范围内用户和设备的策略和配置文件。
使用 设备注册类别时,设备会根据创建的类别自动添加到组中。 此功能使用Microsoft Entra动态组,有助于更轻松地管理设备。
当用户注册其设备时,他们会选择一个类别,例如 Sales、IT 管理员、销售点设备等。 将设备添加到类别后,这些设备组已准备好接收策略。
管理员创建策略时,可以要求对特定策略进行 多个管理员批准 ,包括运行脚本或部署应用的策略。
Endpoint Privilege Management 允许标准非管理员用户完成需要提升权限的任务,例如安装应用和更新设备驱动程序。 Endpoint Privilege Management 是 Intune 套件的一部分。
✅ 任务:确定要如何分发规则和设置
使用不同的策略部署规则和设置。 注意事项:
确定你的管理结构。 例如,你可能希望按位置分隔,例如 Charlotte IT 管理员 或 Cambridge IT 管理员。 你可能希望按角色分隔,例如控制所有网络访问(包括 VPN)的网络 管理员 。
这些类别将成为 范围标记。
有关创建管理组的详细信息,请转到:
有时,组织需要在大量本地管理员连接到单个Intune租户的系统中使用分布式 IT。 例如,大型组织具有单个Intune租户。 组织具有大量本地管理员,每个管理员管理特定的系统、区域或位置。 每个管理员只需管理其位置,而不需要管理整个组织。
有关详细信息,请转到多个管理员位于同一Intune租户中的分布式 IT 环境。
许多组织按设备类型(如 iOS/iPadOS、Android 或 Windows 设备)将组分开。 例如:
- 将特定应用分布到特定设备。 例如,将Microsoft穿梭应用部署到 Redmond 网络中的移动设备。
- 将策略部署到特定地点。 例如,将 Wi-Fi 配置文件部署到 Charlotte 网络中的设备,以便它们在范围内时自动连接。
- 控制特定设备上的设置。 例如,在生产车间使用的 Android Enterprise 设备上禁用相机,为所有 Windows 设备创建 Windows Defender 防病毒配置文件,或向所有 iOS/iPadOS 设备添加电子邮件设置。
这些类别将成为 设备注册类别。
目标:将组织数据保存在组织内部
数据存储在移动设备上时,应防止其意外丢失或意外共享。 此目标还包括从个人和组织拥有的设备擦除组织数据。
✅ 任务:创建计划以涵盖影响组织的不同方案
一些示例方案:
设备丢失或被盗,或不再使用。 用户离开组织。
- 在 Intune 中,可以通过擦除、停用或手动取消注册的方式删除设备。 还可以自动删除 x 天内未使用 Intune 签入的设备。
- 在应用级别,可以从 Intune 管理的应用中删除组织数据。 选择性擦除对于个人设备非常有用,因为它将个人数据保留在设备上,只删除组织数据。
在个人设备上,你可能希望阻止用户复制/粘贴、截取屏幕截图或转发电子邮件。 应用保护策略可以阻止不受你管理的设备上的这些功能。
在受管理设备(在 Intune 中注册的设备)上,还可以使用设备配置配置文件控制这些功能。 设备配置配置文件控制设备上的设置,而不是应用上的设置。 在访问高度敏感或机密数据的设备上,设备配置配置文件可以阻止复制/粘贴、截图等操作。
有关详细信息和注意事项,请转到本文) 中的 个人设备与组织拥有的设备 (。
步骤 2 - 清点设备
组织拥有一系列设备,包括台式计算机、笔记本电脑、平板电脑、手持扫描仪和移动电话。 这些设备归组织所有,或归用户所有。 规划设备管理策略时,请考虑访问组织资源的所有内容,包括个人设备。
本部分包括应考虑的设备信息。
支持的平台
Intune支持常见和常用设备平台。 对于特定版本,请转到 支持的平台。
✅ 任务:升级或替换较旧的设备
如果设备使用不受支持的版本(主要是较旧的操作系统),则是时候升级 OS 或替换设备了。 这些较旧的操作系统和设备可能获得的支持有限,存在潜在的安全风险。 此任务包括运行 Windows 7 的台式计算机、运行原始 v10.0 操作系统的 iPhone 7 设备等。
个人设备与组织拥有的设备
在个人设备上,用户通常会检查电子邮件、加入会议、更新文件等。 许多组织允许个人设备访问组织资源。
BYOD/个人设备是移动应用程序管理 (MAM) 策略的一部分::
- 在许多组织中越来越受欢迎
- 对于希望保护组织数据但不想管理整个设备的组织来说,这是一个不错的选择
- 降低硬件成本。
- 可提高员工的移动工作效率选择,包括远程 & 混合辅助角色
- 仅从应用中删除组织数据,而不是从设备中删除所有数据
组织拥有的设备是移动设备管理 (MDM) 策略的一部分::
- 向组织中的 IT 管理员提供完全控制权
- 具有一组丰富的功能,用于管理应用、设备和用户
- 对于想要管理整个设备(包括硬件和软件)的组织来说,是一个不错的选择
- 可能会增加硬件成本,尤其是在现有设备已过时或不再受支持的情况下
- 可以删除设备中的所有数据,包括个人数据
作为组织和管理员,你决定是否允许个人设备。 如果允许个人设备,则需要做出重要决策,包括如何保护组织数据。
✅ 任务:确定要如何处理个人设备
如果移动或支持远程工作者对组织很重要,请考虑以下方法:
选项 1:允许个人设备访问组织资源。 用户可以 选择注册或不注册。
对于 注册其个人设备的用户,管理员完全管理这些设备,包括推送策略、控制设备功能 & 设置,甚至擦除设备。 作为管理员,你可能想要此控件,或者你可能 认为 需要此控件。
当用户注册其个人设备时,他们可能不会意识到或理解管理员可以在设备上执行任何操作,包括意外擦除或重置设备。 作为管理员,你可能不希望对组织不拥有的设备承担此责任或潜在影响。
此外,许多用户拒绝注册,并可以找到访问组织资源的其他方法。 例如,你要求先注册设备才能使用 Outlook 应用查看组织电子邮件。 若要跳过此要求,用户将在设备上打开任何 Web 浏览器,然后登录到 Outlook Web 访问,这可能不是你想要的。 或者,他们可以创建屏幕截图,并将图像保存在设备上,而这也不是你希望看到的。
如果选择此选项,请务必告知用户注册其个人设备的风险和好处。
对于 未注册其个人设备的用户,可以使用应用保护策略管理应用访问和保护应用数据。
将 条款和条件 声明与条件访问策略结合使用。 如果用户不同意,他们将无法访问应用。 如果用户同意声明,则会将设备记录添加到Microsoft Entra ID,并且设备将成为已知实体。 设备成为已知实体后,你可以跟踪从该设备访问的内容。
始终使用应用策略控制访问和安全性。
查看组织最常使用的任务,例如电子邮件和加入会议。 使用 应用配置策略 配置特定于应用的设置,例如 Outlook。 使用应用保护策略控制对这些应用的访问和安全性。
例如,用户可以在个人设备上使用 Outlook 应用查看工作电子邮件。 在 Intune 中,管理员创建 Outlook 应用保护策略。 每次打开 Outlook 应用时,此策略都会使用多重身份验证 (MFA) ,阻止复制和粘贴,并限制其他功能。
选项 2:你希望 对每台设备进行完全管理。 在此方案中,所有设备都注册到 Intune 并由组织管理,包括个人设备。
为了帮助强制实施注册,可以部署条件访问 (CA) 策略,该策略要求设备在Intune中注册。 在这些设备上,还可以:
- 为组织连接配置 WiFi/VPN 连接,并将这些连接策略部署到设备。 用户无需输入任何设置。
- 如果用户在其设备上需要特定应用,请部署应用。 还可以部署组织出于安全目的所需的应用,例如移动威胁防御应用。
- 使用 合规性策略来设置 组织必须遵循的任何规则,例如要求特定 MDM 控制措施的法规或策略。 例如,需要Intune来加密整个设备或生成设备上所有应用的报告。
如果还想要控制硬件,请为用户提供他们所需的所有设备,包括移动电话。 投资硬件更新计划,以便用户继续提高工作效率,并获取最新的内置安全功能。 在 Intune 中注册这些组织拥有的设备,并使用策略管理它们。
最佳做法是始终假设数据将离开设备。 确保跟踪和审核方法已到位。 有关详细信息,请参阅使用Microsoft Intune零信任。
管理台式计算机
Intune 可以管理运行 Windows 10 及更高版本的台式计算机。 Windows 客户端 OS 包括内置的新式设备管理功能,并删除了对本地 Active Directory (AD) 组策略的依赖项。 在 Intune 中创建规则和设置,并将这些策略部署到所有 Windows 客户端设备(包括台式计算机和电脑)时,你将获得云的优势。
有关详细信息,请转到 引导式方案 - 云托管的新式桌面。
如果你的 Windows 设备当前使用配置服务器进行管理,你仍然可以在 Intune 中注册这些设备。 此方法称为 共同管理。 共同管理提供了许多好处,包括 (重启在设备上运行远程操作、远程控制、恢复出厂设置) 、设备符合性的条件访问等。 也可以将设备通过云附加到 Intune。
有关详细信息,请转到:
✅ 任务:查看当前用于移动设备管理的内容
是否采用移动设备管理可能取决于组织当前使用的内容,包括该解决方案是否使用本地功能或程序。
安装部署指南提供了一些有用的信息。
注意事项:
如果当前未使用任何 MDM 服务或解决方案,则直接Intune可能是最佳选择。
如果当前使用本地组策略对象 (GPO) ,则转到Intune和使用Intune设置目录是类似的,并且可以更轻松地过渡到基于云的设备策略。 设置目录还包括 Apple 设备和 Google Chrome 的设置。
对于未在 Configuration Manager 或任何 MDM 解决方案中注册的新设备,则直接转到 Intune 可能是最佳选择。
如果当前使用 Configuration Manager,则你可以选择以下方式:
- 如果想保留现有的基础结构,并将一些工作负载转移到云端,可以使用共同管理。 你可以从这两种服务中获得好处。 现有设备可以从 Configuration Manager(本地)接收一些策略,从 Intune(云)接收其他策略。
- 如果要保留现有的基础结构,并使用 Intune 帮助监视本地设备,请使用租户附加。 可以使用 Intune 管理中心,同时仍使用 Configuration Manager 来管理设备。
- 如果你需要一个纯云解决方案来管理设备,那么请迁移到 Intune。 一些Configuration Manager用户更愿意继续使用具有租户附加或共同管理的Configuration Manager。
有关详细信息,请转到 共同管理工作负载。
一线员工 (FLW) 设备
共享平板电脑和设备对于一线员工 (FLW) 很常见。 它们用于许多行业,包括零售、医疗保健、制造业等。
有适用于不同平台的选项,包括 Android (AOSP) 虚拟现实设备、iPad 设备和 Windows 365 云电脑。
✅ 任务:确定 FLW 方案
FLW 设备是组织拥有的、注册到设备管理中的,由一个用户 (分配) 的用户使用,或者由许多用户 (共享设备) 使用。 这些设备对于一线员工完成其工作至关重要,并且通常以有限使用模式使用。 例如,它可以是扫描物品的设备、显示信息的展台,或者用于在医院或医疗机构检查患者的平板电脑。
有关详细信息,请转到 Microsoft Intune 中的一线员工设备管理。
步骤 3 - 确定成本和许可
管理设备是一种与不同服务之间的关系。 Intune 包括你可以在不同设备上控制的设置和功能。 还有其他一些服务也起着关键作用:
Microsoft 365 E5许可证中包含的Microsoft Entra ID P1 或 P2 () 包括管理设备的关键功能,包括:
- Windows Autopilot:Windows 客户端设备可以自动注册Intune,并自动接收策略。
- 多重身份验证 (MFA) :用户必须输入两种或更多验证方法,例如 PIN、验证器应用、指纹等。 将应用保护策略用于个人设备和需要额外安全性的组织拥有的设备时,MFA 是一个不错的选择。
- 条件访问:如果用户和设备遵循规则(如 6 位密码),则他们有权访问组织资源。 如果用户或设备不符合你的规则,则无法访问。
- 动态用户组和动态设备组:在满足条件(如城市、职务、OS 类型、OS 版本等)时,自动将用户或设备添加到组。
Microsoft 365 E5许可证 ( 包含Microsoft 365 个应用) 包括用户依赖的应用,包括 Outlook、Word、SharePoint、Teams、OneDrive 等。 可以使用 Intune 将这些应用部署到设备上。
Microsoft 365 E5许可证) 中包含的Microsoft Defender for Endpoint ( 可帮助监视和扫描 Windows 客户端设备是否存在恶意活动。 也可以设置一个可接受的威胁级别。 与条件访问结合使用时,如果超出威胁级别,可以阻止对组织资源的访问。
Microsoft Purview (包含在 Microsoft 365 E5 许可证) 通过应用标签对文档和电子邮件进行分类和保护。 在 Microsoft 365 应用上,可以使用此服务 来防止对组织数据(包括个人设备上的应用)进行未经授权的访问。
Intune 中的Microsoft Copilot是生成 AI 安全分析工具。 它可以访问Intune数据,并可以帮助你管理策略和设置、了解安全状况以及排查设备问题。
Intune中的 Copilot 通过 Microsoft Copilot for Security 获得许可。 有关详细信息,请转到安全Microsoft Copilot入门。
Intune套件提供高级终结点管理和安全功能,例如远程帮助、Microsoft 云 PKI、终结点特权管理等。 Intune套件作为单独的许可证提供。
有关详细信息,请转到:
✅ 任务:确定组织所需的许可服务
注意事项:
如果目标是部署策略 (规则) 和配置文件 (设置) ,则至少需要:
- Intune
可通过不同的订阅(包括作为独立服务)获得 Intune。 有关详细信息,请转到Microsoft Intune许可。
你当前使用的是 Configuration Manager,你希望为设备设置共同管理。 Configuration Manager 许可证中已包含 Intune。 如果希望Intune完全管理新设备或现有共同管理的设备,则需要单独的Intune许可证。
你希望强制执行你在 Intune 中创建的符合性或密码规则。 至少需要:
- Intune
- Microsoft Entra ID P1 或 P2
企业移动性 + 安全性提供Intune和Microsoft Entra ID P1 或 P2。 有关详细信息,请转到企业移动性 + 安全性定价选项。
你只想在设备上管理Microsoft 365 个应用。 至少需要:
- Microsoft 365 基础版移动性和安全性
有关详细信息,请转到:
你希望将Microsoft 365 个应用部署到设备,并创建策略来帮助保护运行这些应用的设备。 至少需要:
- Intune
- Microsoft 365 应用
你想要在 Intune 中创建策略,部署Microsoft 365 个应用,并强制实施规则和设置。 至少需要:
- Intune
- Microsoft 365 应用
- Microsoft Entra ID P1 或 P2
由于所有这些服务都包含在一些Microsoft 365 计划中,因此使用 Microsoft 365 许可证可能具有成本效益。 有关详细信息,请转到 Microsoft 365 许可计划。
步骤 4 - 查看现有策略和基础结构
许多组织拥有的现有策略和设备管理基础结构仅在“维护”中。 例如,你可能拥有 20 年的组策略,却不知道它们的用途。 在考虑迁移到云时,不要局限于自己一直采用的方法,而是要确定目标。
将这些目标纳入考虑,为你的策略建立一个基线。 如果有多个设备管理解决方案,现在可能是使用单个移动设备管理服务的时候了。
✅ 任务:查看在本地运行的任务
此任务包括查看可能迁移到云的服务。 请记住,不要局限于自己一直采用的方法,而是要确定目标。
提示
详细了解云原生终结点 是很好的资源。
注意事项:
查看现有策略及其结构。 某些策略可以全局应用,有些策略在站点级别应用,有些策略特定于设备。 目标是了解和理解全局策略的意图、本地策略的意图等。
本地 Active Directory 组策略按 LSDOU 顺序应用 - 本地、站点、域和组织单位 (OU) 。 在此层次结构中,OU 策略覆盖域策略,域策略覆盖站点策略,依此类推。
在 Intune 中,策略将应用于你创建的用户和组。 不存在层次结构。 如果两个策略更新相同的设置,则该设置将显示为冲突。 有关冲突行为的详细信息,请转到 设备策略和配置文件的常见问题、问题和解决方法。
查看策略后,AD 全局策略在逻辑上开始应用于你拥有的组或所需的组。 这些组包括你希望在全局级别、站点级别等面向的用户和设备。 此任务可让你了解Intune所需的组结构。 在大型Microsoft Intune环境中分组、定位和筛选的性能建议可能是一个很好的资源。
准备好在 Intune 中创建新策略。 Intune包括几个功能,涵盖你可能感兴趣的方案。 例如:
安全基线:在 Windows 客户端设备上, 安全基线 是预配置为建议值的安全设置。 如果你不熟悉保护设备,或者想要一个全面的基线,请查看安全基线。
设置见解 通过添加类似组织成功采用的见解来增强配置的信心。 见解可用于某些设置,而不是所有设置。 有关详细信息,请参阅 设置见解。
设置目录:在 Apple 和 Windows 客户端设备上, 设置目录 列出了可以配置的所有设置,其外观类似于本地 GPO。 创建策略时,请从头开始,并在精细级别配置设置。
管理模板 (ADMX) :在 Windows 客户端设备上,使用 ADMX 模板 为 Windows、Internet Explorer、Office 和 Microsoft Edge 版本 77 及更高版本配置组策略设置。 这些 ADMX 模板与本地 AD 组策略中使用的 ADMX 模板相同,但在 Intune 中是 100% 基于云的。
组策略:使用组策略分析导入和分析 GPO。 该功能可帮助你确定 GPO 在云中的转换方式。 输出显示 MDM 提供程序(包括 Microsoft Intune)支持的设置。 它还显示所有弃用的设置,或者不可用于 MDM 提供程序的设置。
还可以根据导入的设置创建Intune策略。 有关详细信息,请转到 使用导入的 GPO 创建设置目录策略。
引导式场景:引导式场景是一系列侧重于端到端用例的自定义步骤。 这些场景自动包括策略、应用、分配和其他管理配置。
创建包含最低目标的策略基线 。 例如:
安全电子邮件:你可能至少希望:
- 创建 Outlook 应用保护策略。
- 为Exchange Online启用条件访问,或连接到另一个本地电子邮件解决方案。
设备设置:你可能至少希望:
- 需要六个字符的 PIN 才能解锁设备。
- 阻止备份到个人云服务,例如 iCloud 或 OneDrive。
设备配置文件:你可能至少希望:
- 使用连接到 Contoso Wi-Fi 无线网络的预配置设置创建 Wi-Fi 配置文件。
- 使用证书创建一个 VPN 配置文件,自动进行身份验证并连接到组织 VPN。
- 使用连接到 Outlook 的预配置设置创建 电子邮件配置文件 。
应用:你可能至少希望:
- 使用应用保护策略部署Microsoft 365 个应用。
- 使用应用保护策略部署业务线 (LOB)。
有关最低建议设置的详细信息,请转到:
查看组的当前结构。 在Intune中,可以创建策略并将其分配给用户组、设备组以及动态用户和设备组, (需要Microsoft Entra ID P1 或 P2) 。
在云中创建组(如 Intune 或 Microsoft 365)时,将在 Microsoft Entra ID 中创建组。 你可能看不到Microsoft Entra ID品牌,但这就是你正在使用的。
创建新组可能是一项简单的任务。 可以在Microsoft Intune管理中心中创建它们。 有关详细信息,请转到 添加组以组织用户和设备。
将现有通讯组列表 (DL) 移动到Microsoft Entra ID可能更具挑战性。 在 DDL Microsoft Entra ID后,这些组可供Intune和Microsoft 365。 有关详细信息,请转到:
如果你有现有的 Office 365 组,则可以迁移到 Microsoft 365。 现有组将保留,你将获得 Microsoft 365 的所有功能和服务。 有关详细信息,请转到:
如果有多个设备管理解决方案,请 移动到单个移动设备管理解决方案。 我们建议使用 Intune 帮助保护应用和设备上的组织数据。
有关详细信息,请转到Microsoft Intune安全地管理标识、管理应用和管理设备。
步骤 5 - 创建推出计划
下一个任务是计划用户和设备接收策略的方式和时间。 在本任务中,还应考虑:
- 定义目标和成功标准。 使用这些数据点创建其他推出阶段。 确保目标符合 SMART(具体、可衡量、可达到、可实现和及时)模式。 制定计划,衡量每个阶段衡量的目标,确保推出的项目按预期推进。
- 有明确的目标和目的。 将这些目标纳入所有的认知和培训活动中,以便用户了解组织选择 Intune 的原因。
✅ 任务:创建计划以推出策略
然后,选择用户在 Intune 中注册其设备的方式。 注意事项:
分阶段推出策略。 例如:
从试点组或测试组开始。 这些组应该知道他们是首批用户,并愿意提供反馈。 使用此反馈来改进配置、文档、通知,以便用户能在以后的推出中更轻松使用。 这些用户不应是主管人员或 VIP。
初始测试后,将更多用户添加到试点组。 或者,创建更多侧重于不同推出的试点组,例如:
部门:每个部门可以为一个推出阶段。 一次针对整个部门。 在此类推出中,每个部门中的用户都有可能以相同的方式使用设备并访问相同的应用程序。 用户很可能具有相同类型的策略。
地理:将你的策略部署到特定地理位置中的所有用户,无论是在同一洲、同一国家/地区,还是在同一组织大楼。 这类推出让你能关注用户所在的特定地点。 可以为预配置的部署方法提供 Windows Autopilot,因为同时部署 Intune 的地点数量较少。 在同一个地点可能会有不同部门或不同用例。 因此,你可能同时测试不同的用例。
平台:此类推出会同时部署类似的平台。 例如,2 月将策略部署到所有 iOS/iPadOS 设备,3 月将策略部署到所有 Android 设备,4 月将策略部署到所有 Windows 设备。 这种方法可能会简化支持人员支持,因为他们一次只支持一个平台。
通过使用分阶段的方法,可以获得来自各种类型用户的反馈。
在一次成功试点之后,你就可以开始全面的生产推出了。 下面是包括目标组和时间线的 Intune 推出计划示例:
推出阶段 7 月 8 月 九月 10 月 小范围试点 IT(50 位用户) 扩展试点 IT(200 位用户),IT 主管人员(10 位用户) 产品推出阶段 1 销售和营销 (2,000 个用户) 产品推出阶段 2 零售 (1,000 个用户) 产品推出阶段 3 人力资源(50 位用户),财务(40 位用户),主管人员(30 位用户) 还可以通过 Intune 部署规划、设计和实现 - 表模板下载此模板。
选择用户注册 其个人和组织拥有的设备的方式。 你可以使用不同的注册方法,包括:
- 用户自助服务:用户按照 IT 组织提供的步骤注册自己的设备。 此方法最常用,而且相比用户辅助注册,可扩展性更强。
- 用户辅助注册:在此预先预配的部署方法中,IT 成员亲自或使用 Teams 帮助用户完成注册过程。 主管人员以及其他可能需要获得更多帮助的组经常使用此方法。
- IT 技术博览会:在本次活动中,IT 团队设立了 Intune 注册帮助展位。 用户可以了解关于 Intune 注册的信息、询问问题并获得注册设备的帮助。 该方法对 IT 和用户都大有益处,尤其是在 Intune 推出的早期阶段。
以下示例包括注册方法:
推出阶段 7 月 8 月 九月 10 月 小范围试点 自助式创建 IT 扩展试点 自助式创建 IT 已预配置 IT 主管人员 产品推出阶段 1 销售、营销 自助式创建 销售和营销 产品推出阶段 2 零售版 自助式创建 零售版 产品推出阶段 3 主管、人力资源、金融 自助式创建 人力资源、财务 已预配置 高级管理人员 有关每个平台的不同注册方法的详细信息,请转到部署指南:在 Microsoft Intune 中注册设备。
步骤 6 - 传达更改
变更管理依赖于与即将实行的变更相关的清楚有效的通信。 其思路是顺利Intune部署,并让用户了解更改 & 任何中断。
✅ 任务:推出通信计划应包含重要信息
此信息应包括如何通知用户以及何时进行通信。 注意事项:
确定要传达的信息。 分阶段向你的组和用户进行传达,从 Intune 推出启动、预注册开始,然后是注册后:
启动阶段:用于介绍 Intune 项目的广泛传达。 它应回答关键问题,例如:
- 什么是 Intune?
- 组织为什么使用 Intune,包括为组织和用户带来的好处
- 提供部署和推出的概要计划。
- 如果除非设备已注册, 否则 不允许使用个人设备,请说明你做出这一决定的原因。
预注册阶段:广泛沟通,包括有关 office、Outlook 和 OneDrive (Intune和其他服务的信息,) 、用户资源以及用户和组将在Intune中注册的具体时间线。
注册阶段:通信面向计划注册Intune的组织用户和组。 它应通知用户他们已准备好注册,包括注册步骤,以及联系谁寻求帮助和问题。
注册后阶段:通信面向在 Intune 中注册的组织用户和组。 它应提供更多可能对用户有用的资源,并在注册期间和注册后收集有关其体验的反馈。
选择如何将Intune推出信息传达给目标组和用户。 例如:
创建组织范围内的面对面会议,或使用 Microsoft Teams。
创建预注册电子邮件、注册电子邮件和注册后电子邮件。 例如:
- 电子邮件 1:解释好处、期望和计划。 利用此机会来展示各种服务,由 Intune 托管设备对这些服务授予访问权限。
- 电子邮件 2:宣布服务现已准备好通过 Intune 进行访问。 告知用户立即注册。 向用户提供在其访问受到之前的时间线。 提醒用户有关迁移的好处和战略原因。
使用一个组织网站,说明推出阶段、用户可以预期的内容以及可以提供帮助的联系人。
创建海报、使用组织社交媒体平台 ((如Microsoft Viva Engage) )或分发传单来宣布预注册阶段。
创建包含时间和人员时间线。 最初的 Intune 启动传达可以针对整个组织,也可以仅针对其中一部分。 信息传达可能会在 Intune 推出开始之前的几周内进行。 之后,信息可以分阶段传达给用户和组,与他们的 Intune 推出时间表保持一致。
以下是 Intune 推出传达计划概要:
通信计划 7 月 8 月 九月 10 月 阶段 1 全部 “启动”会议 第 1 周 阶段 2 IT 销售和营销 零售版 人力资源、财务和高级管理人员 预推出电子邮件 1 第 1 周 第 1 周 第 1 周 第 1 周 阶段 3 IT 销售和营销 零售版 人力资源、财务和高级管理人员 预推出电子邮件 2 第 2 周 第 2 周 第 2 周 第 2 周 阶段 4 IT 销售和营销 零售版 人力资源、财务和高级管理人员 注册电子邮件 第 3 周 第 3 周 第 3 周 第 3 周 阶段 5 IT 销售和营销 零售版 人力资源、财务和高级管理人员 注册后电子邮件 第 4 周 第 4 周 第 4 周 第 4 周
步骤 7 - 支持技术支持和最终用户
在 Intune 部署规划和试点工作的早期阶段添加 IT 支持和支持人员。 早期参与会让你的支持人员接触 Intune,他们会获得更高效地识别和解决问题的知识和经验。 他们还会为支持组织的全面生产推出做好准备。 经验丰富的支持人员和支持团队也会帮助用户采用这些更改。
✅ 任务:培训支持团队
通过部署计划中的成功指标来验证最终用户体验。 注意事项:
确定谁将支持最终用户。 组织可以具有 1-3) (不同的层或级别。 例如,第 1 层和第 2 层可能是支持团队的一部分。 第 3 层包括负责 Intune 部署的 MDM 团队的成员。
第 1 层通常是第一级支持,也是第一层联系。 如果第 1 层无法解决问题,则上报到第 2 层。 第 2 层会将问题上报至第 3 层。 Microsoft支持 可能被视为第 4 层。
- 在初始推出阶段,请确保支持团队中的所有层都记录了问题和解决方法。 寻找模式,并为下一个推出阶段调整你的传达。 例如:
- 如果不同的用户或组对注册个人设备犹豫不决,请考虑通过 Teams 通话回答常见问题。
- 如果用户在注册组织拥有的设备时遇到相同的问题,请主持一个亲自参与的活动,帮助用户注册设备。
- 在初始推出阶段,请确保支持团队中的所有层都记录了问题和解决方法。 寻找模式,并为下一个推出阶段调整你的传达。 例如:
创建技术支持工作流,并不断向支持团队中的所有层传达支持问题、趋势和其他重要信息。 例如,每天或每周召开 Teams 会议,以便所有层都了解趋势、模式,并能获得帮助。
以下示例演示 Contoso 如何实现其 IT 支持或支持人员工作流:
- 最终用户就注册问题联系第 1 层 IT 支持或帮助台。
- 如果第 1 层 IT 支持或帮助台无法确定根本原因,他们会上报给第 2 层。
- 第 2 层的 IT 支持或支持人员会进行调查。 第 2 层无法解决问题,将上报到第 3 层,并提供其他信息来帮助解决该问题。
- 第 3 层的 IT 支持人员或帮助台将进行调查,以确定根本原因,并将解决方法传至第 2 层和第 1 层。
- 然后第 1 层的 IT 支持/支持人员会与用户联系并解决问题。
该方法可以带来很多益处,尤其是在 Intune 推出的早期阶段,包括:
- 帮助了解技术
- 快速识别问题和解决方法
- 改善整体用户体验
培训技术支持和支持团队。 让他们注册运行组织中使用的不同平台的设备,以便他们熟悉该过程。 考虑使用支持人员和支持团队作为你的场景的试点组。
有可用的培训资源,包括 YouTube 视频、Microsoft有关 Windows Autopilot 方案、 合规性、 配置和通过培训合作伙伴的课程的教程。
以下示例是 Intune 支持培训日程:
- Intune 支持计划评审
- Intune 概述
- 常见问题故障排除
- 工具和资源
- 问与答