使用 Microsoft Intune 配置和保护设备

使用 Intune，可以为学校中的设备配置设置，以确保它们符合特定策略。 例如，可能需要保护设备，确保设备保持最新状态。 或者，可能需要使用相同的外观配置所有设备。

可将设置分配给组：

• 如果将设置面向一 组用户，则无论目标用户登录到哪个托管设备，这些设置都适用
• 如果将设置定位到一 组设备，则无论谁使用设备，这些设置都适用

简介

✅ 了解不同类型的设置

Intune

使用设备配置文件，可以添加和配置设置，然后将这些设置推送到组织中的设备。 创建策略时，可以选择以下选项：

• 基线：基线包括预配置的安全设置。 如果要使用 Microsoft 安全团队的建议创建安全策略，则安全基线适合你。

  有关详细信息，请参阅安全基线。

• 设置目录：使用设置目录在一个位置查看所有可用设置。 例如，你可以查看适用于 BitLocker 的所有设置，并创建仅侧重于 BitLocker 的策略。

  有关详细信息，请参阅设置目录。

• 模板：模板包括配置功能或概念（例如 VPN、电子邮件、展台设备等）的设置的逻辑分组。 如果你熟悉如何在 Microsoft Intune 中创建设备配置策略，那么已经在使用这些模板。

  有关详细信息（包括可用模板），请参阅对使用设备配置文件的设备应用功能和设置。

提示

可以在 Common Education 配置概述中找到 K-12 组织中使用的常见配置列表。

Intune 教育版

可通过两种方法管理 Intune for Education 中的设置：

• Express 配置。 此选项用于配置学校环境中常用的所选设置
• 组设置。 此选项用于配置 Intune for Education 提供的所有设置

注意

快速配置是入门时的理想选择。 设置已预先配置为Microsoft建议的值，但可以根据学校的需求进行更改。

使用快速配置，只需几个步骤即可启动并运行 Intune for Education。 你可以选择一组设备或用户，选择要分发的应用程序，并从学校最常用的设置中选择设置。

Intune

使用设备配置文件，可以添加和配置设置，然后将这些设置推送到组织中的设备。 创建策略时，可以选择以下选项：

• 设置目录：使用设置目录在一个位置查看所有可用设置。 例如，可以查看应用于网络的所有设置，并创建一个仅侧重于网络的策略。

  有关详细信息，请参阅设置目录。

• 模板：模板包括配置功能或概念（例如 VPN、电子邮件、展台设备等）的设置的逻辑分组。 如果你熟悉如何在 Microsoft Intune 中创建设备配置策略，那么已经在使用这些模板。

  有关详细信息（包括可用模板），请参阅对使用设备配置文件的设备应用功能和设置。

Intune 教育版

可通过两种方法管理 Intune for Education 中的设置：

• Express 配置。 此选项用于配置学校环境中常用的设置选择。
• 组设置。 此选项用于配置 Intune for Education 提供的所有设置。

注意

快速配置是入门时的理想选择。 设置已预先配置为Microsoft建议的值，但可以根据学校的需求进行更改。

使用快速配置，只需几个步骤即可启动并运行 Intune for Education。 你可以选择一组设备或用户，选择要分发的应用程序，并从学校最常用的设置中选择设置。

提示

若要了解详细信息并在 Intune for Education 中逐步练习 Express 配置，请尝试 此交互式演示。

设备设置

✅ 配置设置并将其分配给设备

Intune

若要在 Microsoft Intune 中创建设备配置文件，需要执行以下步骤：

• 登录到 Microsoft Intune 管理中心。
• 转到 “设备>管理设备>配置>+ 创建配置文件”。
• 选择“ 平台 ”作为 Windows 10 及更高版本。
• 选择 “配置文件类型”：
  • 对于常规设置，请选择 “设置目录”。
  • 对于包括证书、Wi-Fi 和 VPN 在内的模板，请选择“ 模板 ”，然后选择所需的模板。
• 按照步骤根据需要创建和配置配置文件。

Intune 教育版

组用于管理具有类似管理需求的用户和设备，使你可以一次将更改应用于许多设备或用户。 若要查看可用的组设置，请执行以下操作：

1. 登录到 Intune for Education 门户。
2. 选择“ 组> ” 选择要管理的组。
3. 选择 “Windows 设备设置”。
4. 展开不同的类别并查看有关各个设置的信息。

通常为学生设备配置的设置包括：

• 壁纸和锁屏界面背景。 请参阅 锁屏界面和桌面。
• Wi-Fi 连接。 请参阅 添加 Wi-Fi 配置文件。
• 启用集成的测试和评估解决方案 参加测试。 请参阅 添加参加测试配置文件。

有关详细信息，请参阅 Intune for Education 中的 Windows 设备设置。

注意

如果需要更复杂的设备设置，可以在 Microsoft Intune 中创建它们。 有关详细信息，请参阅 使用设备配置文件在设备上应用功能和设置。

Intune

若要在 Microsoft Intune 中创建设备配置文件，需要执行以下步骤：

• 登录到 Microsoft Intune 管理中心。
• 转到 “设备>管理设备>配置>+ 创建配置文件”。
• 选择 “平台 ”作为 “iOS/iPadOS”。
• 选择 “配置文件类型”：
  • 对于常规设置，请选择 “设置目录”。
  • 对于包括证书、Wi-Fi 和 VPN 在内的模板，请选择“ 模板 ”，然后选择所需的模板。
• 按照步骤根据需要创建和配置配置文件。

Intune 教育版

组用于管理具有类似管理需求的用户和设备，使你可以一次将更改应用于许多设备或用户。 若要查看可用的组设置，请执行以下操作：

1. 登录到 Intune for Education 门户。
2. 选择“ 组> ” 选择要管理的组。
3. 选择 “iOS 设备设置”。
4. 展开不同的类别并查看有关各个设置的信息。

通常为学生设备配置的设置包括：

• 锁屏界面和壁纸。 请参阅 锁屏界面和壁纸。
• Wi-Fi 连接。 请参阅 添加 Wi-Fi 配置文件。

有关详细信息，请参阅 Intune for Education 中的 iOS 设备设置。

注意

如果需要更复杂的设备设置，可以在 Microsoft Intune 中创建它们。 有关详细信息，请参阅 使用设备配置文件在设备上应用功能和设置。

更新策略

✅ 配置更新策略并分配给设备

Intune

请务必使用最新的安全更新使 Windows 设备保持最新状态。 可以使用 Intune 创建 Windows 更新策略。

• 什么是适用于企业的 Windows 更新？
• 在 Intune 中管理 Windows 软件更新

Intune 教育版

请务必使用最新的安全更新使 Windows 设备保持最新状态。 可以使用 Intune for Education 创建 Windows 更新策略。

若要创建 Windows 更新策略，请执行以下操作：

1. 选择“ 组> ” 选择要管理的组。
2. 选择 “Windows 设备设置”。
3. 展开“ 更新和升级”类别。
4. 根据需要配置所需的设置。

有关详细信息，请参阅 更新和升级。

注意

如果需要更复杂的 Windows 更新策略，可以在 Microsoft Intune 中创建它。 有关详细信息，请参阅：

• 什么是适用于企业的 Windows 更新？
• 在 Intune 中管理 Windows 软件更新

Intune

请务必使用最新的安全更新使 iOS 设备保持最新状态。 可以使用三种不同的方法通过 Intune 创建控件更新：

• 选项 1 - iOS 和 iPadOS 17.0 及更新的设备 (建议) - 托管软件更新策略。
• 选项 2 - iOS 和 iPadOS 17.0 及更早版本 (建议) - 软件更新策略。
• 选项 3 (不建议) - 最终用户手动安装更新。

在 “设备>管理设备>配置>创建>设置目录>限制”中，可以使用以下设置来延迟发布更新后用户可手动安装更新的时长。

• 延迟软件更新：是/否
• 延迟软件更新的默认可见性：0-90

提示

设置目录>声明性设备管理>软件更新设置优先于设置目录>限制设置。 有关详细信息，请转到 iOS 更新策略中设置的优先级。

有关详细信息，请参阅 Microsoft Intune 中受监督的 iOS/iPadOS 设备的软件更新规划指南和方案。

Intune 教育版

请务必使用最新的安全更新使 iOS 设备保持最新状态。 可以使用 Intune for Education 控制 Intune 何时触发 iOS 设备进行更新。

若要创建 iOS 更新限制策略，请执行以下操作：

1. 选择“ 组> ” 选择要管理的组。
2. 选择 “iOS 设备设置”。
3. 展开“ 更新限制”类别。
4. 根据需要配置所需的设置。

有关 Intune 控制台中其他更新选项的详细信息，请参阅 Intune Microsoft 中受监督的 iOS/iPadOS 设备的软件更新规划指南和方案。

安全策略

✅ 配置安全策略并将其分配给设备

Intune

确保使用 Windows 中提供的不同安全技术保护你管理的设备至关重要。

• 防病毒
• 磁盘加密
• 防火墙
• 终结点检测和响应
• 减少攻击面
• 帐户保护
• 安全基线
• 本地管理员密码解决方案

Intune 教育版

确保使用 Windows 中提供的不同安全技术保护你管理的设备至关重要。 Intune for Education 提供不同的设置来保护设备。

若要创建安全策略，请执行以下操作：

1. 选择“ 组> ” 选择要管理的组。
2. 选择 “Windows 设备设置”。
3. 展开“ 安全”类别。
4. 根据需要配置所需的设置，包括：
   • Windows Defender
   • Windows 加密
   • Windows SmartScreen

有关详细信息，请参阅 安全性。

注意

如果需要更复杂的安全策略，可以在 Microsoft Intune 中创建它们。 有关更多信息，请参阅：

• 防病毒
• 磁盘加密
• 防火墙
• 终结点检测和响应
• 减少攻击面
• 帐户保护
• 安全基线
• 本地管理员密码解决方案

Intune

在 Intune 中，可以使用设置目录配置 iOS 安全设置。

若要在 Microsoft Intune 中创建设置目录设备配置文件，需要执行以下步骤：

• 登录到 Microsoft Intune 管理中心。
• 转到 “设备>管理设备>配置>+ 创建配置文件”。
• 选择 “平台 ”作为 “iOS/iPadOS”。
• 选择“ 配置文件类型”。
• 选择 “设置目录”。
• 按照步骤根据需要创建和配置配置文件。

安全性的常见领域包括：

• 限制
• 安全性

Intune 教育版

在 Intune for Education 中，可以使用组配置 iOS 安全设置。

1. 选择“ 组> ” 选择要管理的组。
2. 选择 “iOS 设备设置”。
3. 根据需要配置所需的设置。

安全性的常见领域包括：

• 设备限制
• 密码、触控 ID 和人脸 ID

注意

如果需要更复杂的安全设置，可以在 Microsoft Intune 中创建这些设置。 有关详细信息，请参阅 使用设备配置文件在设备上应用功能和设置。

---

后续步骤

配置设备设置后，可以配置应用程序以部署到学生和教师的设备。

下一步：配置应用程序 >