步骤 1:设置 Microsoft Intune
部署 intune Microsoft 的第一步是设置 Intune 环境。
本文介绍设置 intune Microsoft 过程中的每个步骤。 本文还提供了在设置终结点管理解决方案(如 Intune)时需要做出的选择和注意事项。
本文的目的是帮助你更好地了解 Intune 支持的配置。 查看本文后,应能够注册 Microsoft Intune 的免费试用版、添加最终用户、定义用户组、向用户分配许可证,并设置其他所需的设置以开始使用 Microsoft Intune。 本文中提供的所有步骤都有助于使用 Intune 添加和管理设备和应用。
先决条件
在开始设置 Microsoft Intune 之前,请查看 规划指南。 规划指南可帮助你规划移动到 Intune 或迁移到 Intune。
规划指南还有助于解决以下问题:
- 设备管理的一些常见目标是什么?
- 如何满足潜在的许可需求?
- 如何处理个人拥有的设备?
- 如何查看当前策略和基础结构?
- 创建推出计划的一些示例有哪些?
1 - 查看支持的配置
✔️ 支持的配置入门
在开始设置 Microsoft Intune 之前,应:
- 查看 Intune 支持的设备平台和操作系统。
- 使用 intune 管理中心查看访问 Intune 时支持哪些 Web 浏览器Microsoft。
- 熟悉使用 Intune 执行安装和更新的网络带宽要求。
有关开始之前的指导和需要知道的信息,请转到 支持的配置。
提示
默认情况下,可以在 Intune 中注册所有设备平台。 如果要阻止特定平台,请创建限制。 有关详细信息,请转到 创建设备平台限制。
2 - 注册 Microsoft Intune
✔️ 注册 入门或登录到 Intune
注册 Intune 之前,请确定是否已有 Microsoft Online Services 帐户、企业协议或等效的批量许可协议。 Microsoft 批量许可协议或其他 Microsoft 云服务订阅(如 Microsoft 365)通常包含工作或学校帐户。
如果已有工作或学校帐户,请使用该帐户进行“登录”,并将 Intune 添加到订阅中。 否则,也可通过“注册”创建新帐户,以便为组织使用 Intune。
有关指导,请转到 登录到 Intune。
3 - 为 Intune 租户配置自定义域名
✔️ 为 Intune 租户配置自定义域名入门
组织注册 Microsoft Intune 时,系统会提供托管在 Microsoft Entra ID 中的初始域名,该 ID 类似于 your-domain.onmicrosoft.com。
onmicrosoft.com 后缀将分配给添加到订阅的所有帐户。
可以选择 在 Intune 中配置组织的自定义域,例如 contoso.com
。 如果不添加域帐户,则可以使用例如 contoso.onmicrosoft.com
。
设置 DNS 注册以将公司的域名与 Intune 连接。 将公司的域名与 Intune 连接时,用户在连接到 Intune 并使用资源时会遇到熟悉的域。
如果只是使用免费试用版评估 Intune,则可以跳过此步骤。
如果要从 Office 365 订阅迁移到 Microsoft 365,则域可能已在 Entra ID Microsoft 中。 Intune 使用相同的Microsoft Entra ID,并且可以使用现有域。
有关指导,请转到 配置域名。
4 - 将用户添加到 Intune
✔️ 开始将用户添加到 Intune
用户存储在 Microsoft Entra ID 中,该 ID 也包含在 Microsoft 365 中。 Microsoft Entra ID 控制对资源的访问,并对用户进行身份验证。
可以添加用户,或连接 Active Directory 以与 Intune 同步。 除非设备是“无用户”展台设备,否则 此步骤是必需的 。
有关指导,请转到 添加用户。
组织中的人员都需要一个用户帐户,然后才能登录并访问 Microsoft Intune。 若要创建用户帐户,可以将用户添加到 Intune。 添加后,可以向用户授予权限和分配许可证。 然后,可以稍后向用户分配不同类型的策略,以帮助和保护他们。
作为管理员,你可以单独或批量地将用户添加到 Intune。
你必须是全局管理员 (许可证或用户管理员) 才能将用户添加到 Intune。 如果使用免费试用版设置 Intune,则你是全局管理员。
5 - 在 Intune 中创建组
✔️ 开始将组添加到 Intune
添加组以分配应用、设置和其他资源。 有关一些指导,请转到 添加组。
Intune 使用 Microsoft Entra 组来组织和管理设备和用户。 Intune 管理员可以设置组以适合组织需求。 例如,可以创建组,以按地理位置、部门或硬件特征来组织用户或设备。 此外,可以使用组大规模管理任务。 例如,可以为许多用户设置策略,或者根据组将应用部署到一组设备。
6 - 管理许可证
可通过不同的订阅(包括作为独立服务)获得 Intune。 确定组织所需的许可服务,然后继续为每个用户分配 Intune 许可证,然后用户才能在 Intune 中注册其设备。
✔️ 确定许可证需求
Microsoft Intune 适用于不同的组织规模和需求;从适用于学校和小型企业的易于使用的管理体验,到企业客户所需的更高级功能。 除非你选择允许未经许可的管理员) ,否则管理员必须向其分配许可证才能管理 Intune (。
有关指导,请转到 Microsoft Intune 许可。
✔️ 向用户分配许可证入门
无论是一次添加一个用户还是一次添加所有用户,都必须为每个用户分配 Intune 许可证,然后用户才能在 Intune 中注册其设备。 Microsoft Intune 免费试用版提供 25 个 Intune 许可证。 如需查看许可证的列表,请参阅 包括 Intune 的许可证。 授予用户使用 Intune 的权限。 所有用户设备和无用户设备都需要 Intune 许可证才能访问服务。
有关指导,请转到 分配许可证。
✔️ 未授权的管理员
你可以向管理员授予对 Microsoft Intune 的访问权限,而不需要 Intune 许可证。 此功能适用于任何管理员,包括 Intune 管理员、全局管理员Microsoft Entra 管理员等。
有关指导,请转到 未授权的管理员。
7 - 管理角色并授予 Intune 的管理员权限
将用户添加到 Intune 租户后,建议创建管理团队。
Microsoft Intune 包括一组管理员角色,可以使用 intune 管理中心Microsoft分配给组织中的用户。 每个管理员角色都映射到常用的业务功能,并授予这些用户在管理中心执行特定任务的权限。
✔️ 管理角色入门
可以使用基于角色的访问控制 (RBAC) 来管理谁有权访问组织的资源,以及他们可以对这些资源执行的操作。 有关指导,请转到 使用 Microsoft Intune (RBAC) 的基于角色的访问控制。
可以向 Intune 用户分配角色,并限制他们可以看到和更改的内容。 有关指导,请转到 将角色分配给 Intune 用户。
可以使用内置和自定义角色。 内置角色涵盖一些常见的 Intune 方案。 可以使用所需的确切权限集创建自己的自定义角色。 有关指导,请转到 在 Intune 中创建自定义角色。
可以使用基于角色的访问控制和范围标记来确保正确的管理员对所需的 Intune 对象具有正确的访问权限和可见性。 角色确定管理员对哪些对象具有哪些访问权限。 范围标记确定管理员可以查看的对象。 有关指导,请转到 使用基于角色的访问控制 (分布式 IT 的 RBAC) 和范围标记。
8 - 设置移动设备管理机构
✔️ MDM 机构入门
移动设备管理 (MDM) 机构设置确定设备的管理方式。 默认情况下,Intune 免费试用版会将 MDM 机构设置为 Intune。 作为 IT 管理员,必须先设置 MDM 机构,然后用户才能注册设备来进行管理。 设置 MDM 机构后即可开始注册设备。
如果要更改租户以支持 Intune,则需要更改 MDM 颁发机构配置。
有关指导,请转到 设置移动设备管理机构。
9 - 自定义 Intune 公司门户
在公司门户应用、公司门户网站和 Android 上 Intune 应用中,用户可以访问公司数据并执行常见任务。 常见任务可能包括注册设备、安装应用,以及查找信息(如从 IT 部门获得帮助)。
✔️ 配置 公司门户入门
自定义用户用于注册设备和安装应用的 Intune 公司门户。 公司门户应用中和 Intune 公司门户网站上均显示这些设置。 还可以自定义公司门户应用,使其包含组织详细信息。
有关指导,请转到 配置公司门户。
遵循建议的最低基线策略
- 🡺 设置 Microsoft Intune (你在这里)
- 添加、配置和保护应用
- 规划合规性策略
- 配置设备功能
- 注册设备