产品和功能

FastTrack 支持的服务和方案

本主题详细介绍了 FastTrack 支持的工作负载方案，以及开始之前所需的源环境预期。 根据你当前的设置，我们会与你一起创建一个修正计划，使你的源环境达到成功载入的最低要求。

FastTrack 提供的指导可帮助你首先使用所有 Microsoft Online Services) (通用的核心功能，然后加入每个符合条件的服务：

• 常规
• 安全性和符合性
• Office 365
• 员工体验
• 企业移动性 + 安全性
• Windows 11
• Windows 365 企业版
• Azure 虚拟桌面
• 通用打印
• 应用保证
• Microsoft Edge
• Microsoft Surface

注意

若要了解 Office 365 US Government 的源环境预期，请参阅 Office 365 US Government 的源环境预期。

一般信息

服务	FastTrack 指南详细信息	源环境预期
核心入门	我们提供有关核心载入的远程指导，涉及服务预配、租户和标识集成。 它还包括为加入 Exchange Online、SharePoint Online 和 Microsoft Teams 等服务提供基础的步骤，包括有关安全性、网络连接和合规性的讨论。 在核心载入完成后，便可以开始载入一个或多个符合条件的服务。 标识集成 我们提供远程指南： 准备本地 Active Directory标识以同步到 Azure Active Directory (Azure AD) 包括安装和配置 Azure AD Connect (单林或多林) 和许可 (包括基于组的许可) 。 创建云标识，包括批量导入和许可，包括使用基于组的许可。 为云旅程、密码哈希同步、直通身份验证或Active Directory 联合身份验证服务 (AD FS) 选择并启用正确的身份验证方法。 使用 Fast Identity Online (FIDO) 2、Microsoft Authenticator 应用或Windows Hello 企业版云信任，通过无密码身份验证为用户选择和启用更方便的身份验证体验。 提供Windows Hello 企业版混合密钥或证书信任的规划指南。 使用单个 Active Directory 林和标识与 Azure AD Connect 工具同步的客户启用 AD FS。 这需要Windows Server 2012 R2 Active Directory 联合身份验证服务 2.0 或更高版本。 使用密码哈希同步或直通身份验证将身份验证从 AD FS 迁移到 Azure AD。 将预集成应用 (（例如 Azure AD 库软件即服务 (SaaS) 应用) 从 AD FS 迁移到 Azure AD），以 (SSO) 进行单一登录。 启用 SaaS 应用与 Azure AD 库中的 SSO 的集成。 为应用 集成教程列表 中列出的预集成 SaaS 应用启用自动用户预配 (仅限于 Azure AD 库 SaaS 应用和出站预配) 。	网络启用 作为 FastTrack 权益的一部分，我们建议你了解连接到云服务的最佳做法，以确保 Microsoft 365 的最高性能级别。 Active Directory 林 这些功能林级别设置为 Windows Server 2003 及更高版本，并具有以下林配置： 单个 Active Directory 林。 单个 Active Directory 帐户林和资源林 (Exchange、Lync 2013 或Skype for Business) 拓扑。 多个 Active Directory 帐户林和资源林 (Exchange、Lync 2013 或 Skype for Business) 拓扑。 多个 Active Directory 帐户林，其中一个林是集中式 Active Directory 帐户林，其中包括 Exchange、Lync 2013 或 Skype for Business。 多个 Active Directory 帐户林，每一个都有自己的 Exchange 组织。 租户配置和与 Azure Active Directory 集成所需的任务（如果需要）。  重要说明 对于多林 Active Directory 方案，如果部署了 Lync 2013 或 Skype for Business，则必须将其部署在 Exchange 所在的同一 Active Directory 林中。 在 Exchange 多混合配置中通过多个 Exchange 组织实现多个 Active Directory 林时，不支持源林之间的共享用户主体名称 (UPN) 命名空间。 Exchange 组织之间的主要 SMTP 命名空间也应该进行分隔。 有关详细信息，请参阅 具有多个 Active Directory 林的混合部署。 对于所有多个林配置，Active Directory 联合身份验证服务 (AD FS) 部署范围外。 请联系 Microsoft 合作伙伴 获取有关此方面的帮助。
Microsoft 365 应用版	我们提供远程部署指南：： 解决部署问题。 使用 Microsoft 365 管理中心和 Windows PowerShell 分配基于最终用户和设备的许可证。 使用即点即用从 Office 365 门户安装 Microsoft 365 应用版。 在 iOS 或 Android 设备上安装 Office Mobile 应用（如 Outlook Mobile、Word Mobile、Excel Mobile 和 PowerPoint Mobile）。 使用 Office 365 部署工具配置更新设置。 本地或云安装的选择和设置。 使用 Office 自定义工具或用于配置部署包的本地 XML 创建 Office 部署工具配置 XML。 使用 Microsoft Endpoint Configuration Manager 的部署，包括帮助创建 Microsoft Endpoint Configuration Manager 打包。 此外，如果你有一个与早期版本的 Office 一起使用的宏或加载项，并且你遇到兼容性问题，我们会提供指导，通过应用保证计划免费修正兼容性问题。 有关更多详细信息，请参阅Windows 10的应用保证部分。	联机客户端软件必须处于 Microsoft 365 和 Office 系统要求中定义的最低级别。
网络运行状况	我们提供远程指导，从你的环境中获取和解释关键网络连接数据，显示组织的站点与 Microsoft 网络连接原则的一致程度。 这会突出显示直接影响迁移速度、用户体验、服务性能和可靠性的网络分数。 我们还指导你完成此数据突出显示的任何修正步骤，以帮助你提高网络分数。	Microsoft 365 管理中心访问权限。 需要最新版本的 Microsoft 365 应用。 根据 Microsoft 365 管理 Center 中的网络性能建议启用的位置服务 (预览版) 。

安全性和合规性

服务	FastTrack 指南详细信息	源环境预期
Azure Active Directory (Azure AD) 和 Azure AD Premium	我们提供了远程指南，用于在以下情况下保护云标识。 保护基础基础结构 为标识配置和启用强身份验证，包括使用 Azure 多重身份验证 (MFA) (仅限云) 进行保护、Microsoft Authenticator 应用，以及 Azure MFA 和自助密码重置 (SSPR) 的组合注册。 对于非 Azure AD Premium 客户，提供了使用安全默认值保护标识的指导。 对于 Azure AD 高级版客户，提供了使用条件访问保护标识的指南。 通过 Azure AD 密码保护检测和阻止弱密码的使用。 使用 Azure AD 应用程序代理保护对本地 Web 应用的远程访问。 使用 Azure 标识保护启用基于风险的检测和修正。 启用自定义登录屏幕，包括带有自定义品牌的徽标、文本和图像。 使用 Azure AD B2B 与来宾用户安全共享应用和服务。 使用基于角色的访问控制管理Office 365管理员的访问权限， (RBAC) 内置管理角色并减少特权管理员帐户的数量。 配置混合 Azure AD 联接。 配置 Azure AD 联接。 监视和报告 使用 Azure AD Connect Health 为 AD FS、Azure AD Connect 和域控制器启用远程监视。 治理 使用 Azure AD 权利管理大规模管理 Azure AD 标识和访问生命周期。 使用 Azure AD 访问评审管理 Azure AD 组成员身份、企业应用访问和角色分配。 查看 Azure AD 使用条款。 使用 Azure AD Privileged Identity Management管理和控制对特权管理员帐户的访问。 自动化和效率 启用 Azure AD SSPR。 允许用户使用 Azure AD 自助服务组管理创建和管理自己的云安全性或Office 365组。 使用 Azure AD 委派的组管理来管理对企业应用的委托访问。 启用 Azure AD 动态组。 使用集合在 我的应用 门户中组织应用。	本地 Active Directory及其环境已针对 Azure AD Premium 进行了准备，包括修正阻止与 Azure AD 和 Azure AD Premium 功能集成的已确定的问题。
Microsoft 365 Defender	Microsoft 365 Defender是一个统一的入侵前和入侵后企业防御套件，可跨终结点、标识、电子邮件和应用本机协调检测、预防、调查和响应，以提供针对复杂攻击的集成保护。 我们提供远程指南： 提供Microsoft 365 安全中心的概述。 查看跨产品事件，包括通过确保完整的攻击范围、受影响的资产和组合在一起的自动修正操作来关注关键事件。 演示Microsoft 365 Defender如何协调资产、用户、设备和邮箱的调查，这些资产、用户、设备和邮箱可能已通过自动自我修复受到威胁。 说明并提供客户如何主动搜寻跨多个数据集影响电子邮件、数据、设备和帐户的入侵尝试和违规活动的示例。 向客户展示如何使用 Microsoft 安全功能分数全面查看和改进其安全状况。 以下内容在范围外 客户补救活动的项目管理。 持续管理、威胁响应和修正。 部署指南或有关以下内容的教育： 如何修正或解释各种警报类型和监视的活动。 如何调查用户、计算机、横向移动路径或实体。 自定义威胁搜寻。 支持GCC-High或GCC-DoD (Office 365美国政府) 。 安全信息和事件管理 (SIEM) 或 API 集成。
Microsoft Defender for Cloud Apps	Microsoft Defender for Cloud Apps是一种多用途软件即服务 (SaaS) 安全解决方案，它结合了 SaaS 安全态势管理、数据丢失防护、应用到应用防护和集成威胁防护，以确保应用的全面覆盖。 通过采用 SaaS 安全方法，可以轻松识别错误配置，以改善整体应用状况，实施策略以保护敏感数据，并保护应用到应用方案，以确保只有应用具有访问其他应用数据的可接受权限。 通过本机集成到Microsoft 365 Defender，像你这样的组织受益于使用来自 SaaS 的信号在其环境中主动搜寻，并跨应用、设备、标识和电子邮件应对事件。 我们提供远程指南： 配置门户，包括： 导入用户组。 管理管理员访问权限和设置。 确定部署范围以选择要监视或从监视中排除的特定用户组。 如何设置 IP 范围和标记。 使用徽标和自定义消息个性化最终用户体验。 集成第一方服务，包括： Microsoft Defender for Endpoint。 Microsoft Defender for Identity。 Azure AD 身份保护。 Microsoft Purview 信息保护。 使用设置云发现： 终结点的Microsoft Defender。 Zscaler。 iboss。 创建应用标记和类别。 根据组织的优先级自定义应用风险分数。 批准和取消批准应用。 查看 Defender for Cloud Apps 和 Cloud Discovery 仪表板。 启用应用治理 引导客户浏览概述页，并创建最多 5 (5 个) 应用治理策略。 使用 应用 连接器连接特色应用。 在 Azure AD 和 Defender for Cloud Apps 门户中使用条件访问应用控制保护应用。 为特色应用部署条件访问应用控制。 查看针对可用应用的安全功能分数建议中的 Saas 安全态势管理 (SSPM) 功能。 使用活动和文件日志。 管理 OAuth 应用。 查看和配置策略模板。 为 顶级 SaaS 用例 提供配置帮助 (包括创建或更新多达 6 个 (6 个) 策略) 。 了解Microsoft 365 Defender门户中的事件关联。 以下内容在范围外 客户补救活动的项目管理。 持续管理、威胁响应和修正。 讨论将 Defender for Cloud Apps 与其他 Cloud Access Security Broker (CASB) 或 SaaS 安全产品/服务进行比较。 配置 Defender for Cloud Apps 以满足特定的合规性或法规要求。 将服务部署到非生产测试环境。 部署云应用发现作为概念证明。 支持GCC-High或GCC-DoD (Office 365美国政府) 。 使用 Docker 或日志收集器为连续报表设置自动日志上传的基础结构、安装或部署。 创建 Cloud Discovery 快照报表。 使用块脚本阻止应用使用。 将自定义应用添加到 Cloud Discovery。 使用条件访问应用控制连接自定义应用。 为任何应用载入和部署条件访问应用控制。 与第三方标识提供者集成 (IdP) 和数据丢失防护 (DLP) 提供程序。 有关高级搜寻的培训或指导。 自动调查和修正，包括 Microsoft Power Automate playbook。 安全信息和事件管理 (SIEM) 或 API 集成 (包括 Microsoft Sentinel) 。
Microsoft Defender for Endpoint	Microsoft Defender for Endpoint是一个平台，旨在帮助企业网络预防、检测、调查和响应高级威胁。 我们提供远程指南： 评估 OS 版本和设备管理 (，包括 Microsoft Endpoint Manager、Microsoft Endpoint Configuration Manager、组策略 对象 (GPO) 、) 第三方配置以及Windows Defender AV 服务或其他终结点安全软件的状态。 加入Microsoft Defender for Endpoint P1 和 P2 客户 (包括具有Windows 365 云电脑) 的客户。 为 Microsoft 流量提供建议的配置指南，以便通过代理和防火墙，限制无法直接连接到 Internet 的设备的网络流量。 通过说明如何使用受支持的管理方法之一 (EDR) 代理配置文件部署Microsoft Defender for Endpoint终结点检测和响应来启用Microsoft Defender for Endpoint服务。 以下方面的部署指南、配置帮助和教育： 威胁和漏洞管理。 攻击面减少。* 新一代保护。 EDR。 自动调查和修复。 设备的安全功能分数。 使用 Microsoft Endpoint Manager Microsoft Defender SmartScreen 配置。 设备发现。** 专门为以下方面提供Windows 365 云电脑安全基线指南： 攻击面减少规则。 Microsoft Defender。 Microsoft Defender防病毒。 Microsoft Defender防病毒排除项。 Microsoft Defender SmartScreen 查看模拟和教程 (，例如练习方案、虚假恶意软件和自动调查) 。 报告和威胁分析功能概述。 将Microsoft Defender for Office 365、Microsoft Defender for Identity和Microsoft Defender for Cloud Apps与 集成Microsoft Defender for Endpoint。 执行Microsoft 365 Defender门户的演练。 载入和配置以下操作系统： Windows 10/11。 Windows Server 2012 R2.*** Windows Server 2016.*** Windows Server 2019.*** Windows Server 2022.*** Windows Server 2019 Core Edition.*** 支持的 macOS 版本 (有关更多详细信息) ，请参阅 系统要求 。 Android。**** Ios。**** *仅支持攻击面减少规则、受控文件夹访问和网络保护。 所有其他攻击面减少功能不在范围内。 有关更多详细信息，请参阅以下 范围外 部分。 **仅支持设备发现的某些方面。 有关更多详细信息，请参阅以下 范围外 部分。 Windows Server 2012 R2 和 2016 支持仅限于统一代理的载入和配置。 所有 Windows 版本都必须由 Configuration Manager 或 Microsoft Endpoint Configuration Manager 2017 (管理，其中包含最新的修补程序更新或更高) 。 有关移动威胁防御详细信息，请参阅以下 范围外 部分。 以下内容在范围外 预览版功能的载入和启用指南。 客户补救活动的项目管理。 排查参与期间遇到的问题 (包括无法载入) 的设备。 中断/修复问题的管理。 支持GCC-High或GCC-DoD (Office 365美国政府) 。 支持Microsoft Defender 商业版。 现场支持。 持续管理和威胁响应。 以下Microsoft Defender for Endpoint代理的载入或配置： Windows Server 2008。 Linux。 虚拟桌面基础结构 (VDI) (持久性或非持久性) 。 服务器载入和配置： 为脱机通信配置代理服务器。 在下层Configuration Manager实例和版本上配置Configuration Manager部署包。 不由 Configuration Manager 管理的服务器。 将 Defender for Endpoint 与 Defender for Servers 集成 (Defender for Cloud) 。 macOS 载入和配置： 基于 JAMF 的部署。 其他移动设备管理 (MDM) 基于产品的部署。 手动部署。 Android & iOS) (移动威胁防御加入和配置： 非托管自带设备 (BYOD) 或其他企业移动管理系统管理的设备。 (设置应用保护策略，例如移动应用管理 (MAM) ) 。 Android 设备管理员注册的设备。 与多个 VPN 配置文件并存的坚持。 将设备载入到Intune。 有关载入帮助的详细信息，请参阅Microsoft Intune部分。 配置以下攻击面减少功能： 基于硬件的应用和浏览器隔离 (包括应用程序防护) 。 应用控件。 设备控制。 Exploit Protection。 网络和终结点防火墙。 配置或管理帐户保护功能，例如： Credential Guard。 本地用户组成员身份。 BitLocker 的配置或管理。 注意：有关 Windows 11 的 BitLocker 帮助信息，请参阅 Windows 11。 配置或管理网络设备发现。 配置或管理以下设备发现功能： 载入不在 FastTrack (范围内的非托管设备，例如 Linux) 。 配置或修正物联网 (IoT) 设备，包括通过 Defender for IoT 对 IoT 设备的漏洞评估。 与第三方工具集成。 设备发现的排除项。 初步网络帮助。 排查网络问题。 攻击模拟 (包括渗透测试) 。 注册或配置 Microsoft 威胁专家。 配置或培训查看 API 或安全信息和事件管理 (SIEM) 连接。 有关高级搜寻的培训或指导。 有关使用或创建 Kusto 查询的培训或指导。 有关使用 组策略 对象 (GPO) 、Windows 安全中心 或 Microsoft Edge Microsoft Defender SmartScreen 配置的培训或指导。 一些Windows 365功能，包括： 排查客户Windows 365部署的项目管理问题。 Windows 365 云电脑的配置。 第三方应用虚拟化和部署。 自定义映像。 未列为Windows 365范围的所有其他区域。 请联系 Microsoft 合作伙伴 获取这些服务的帮助。	Windows 365的载入要求包括： Microsoft Endpoint Manager 作为已部署的管理工具。 所有其他Microsoft Defender for Endpoint FastTrack 范围内活动，包括： 威胁和漏洞管理。 攻击面减少。 新一代保护。 EDR。 自动调查和修复。
Microsoft Defender for Identity	Microsoft Defender for Identity 是一种基于云的安全解决方案，可利用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、已遭入侵标识和恶意内部行为。 我们提供远程指南： 运行大小调整工具进行资源容量规划。 创建 Defender for Identity 实例。 将 Defender for Identity 连接到 Active Directory。 部署传感器以直接从域控制器捕获和分析网络流量和 Windows 事件，包括： 下载传感器包。 配置传感器。 以无提示方式在域控制器上安装传感器。 将传感器部署到多林环境。 配置 Windows 事件收集器。 配置门户，包括： ) 不需要将 Defender for Identity 与 Microsoft Defender for Cloud Apps (Defender for Cloud Apps 许可集成。 配置实体标记。 标记敏感帐户。 接收运行状况问题和安全警报电子邮件通知。 配置警报排除项。 提供有关以下方面的部署指南、配置帮助和教育： 了解标识安全态势评估报告。 了解用户调查优先级分数和用户调查排名报告。 了解非活动用户报表。 说明已泄露帐户的修正选项。 促进从高级威胁分析 (ATA) 迁移到 Defender for Identity。 以下内容在范围外 客户补救活动的项目管理。 持续管理、威胁响应和修正。 部署 Defender for Identity 作为概念证明。 支持GCC-High或GCC-DoD (Office 365美国政府) 。 部署或执行以下 Defender for Identity 传感器活动： 手动容量规划。 运行审核工具。 部署独立传感器。 部署到 Active Directory 联合身份验证服务 (AD FS) 服务器。 使用网络接口卡 (NIC) 组合适配器部署传感器。 通过第三方工具部署传感器。 通过 Web 代理连接连接到 Defender for Identity 云服务。 在 Active Directory 中配置 Microsoft 帐户 (MSA) 。 创建和管理蜜标。 (NNR) 启用网络名称解析。 “已删除的对象”容器的配置。 部署指南或有关以下内容的教育： 修正或解释各种警报类型和监视的活动。 调查用户、计算机、横向移动路径或实体。 威胁或高级搜寻。 事件响应。 为 Defender for Identity 提供安全警报实验室教程。 通过指定的传感器向 syslog 服务器发送安全警报，在 Defender for Identity 检测到可疑活动时提供通知。 配置 Defender for Identity 以使用安全帐户管理器远程 (SAMR) 协议来执行查询，以标识特定计算机上的本地管理员。 配置 VPN 解决方案，以将 VPN 连接中的信息添加到用户的配置文件页。 安全信息和事件管理 (SIEM) 或 API 集成 (包括 Microsoft Sentinel) 。	符合Microsoft Defender for Identity先决条件。 已部署 Active Directory。 要安装 Defender for Identity 传感器的域控制器与 Defender for Identity 云服务建立 Internet 连接。 防火墙和代理必须处于打开状态才能与 Defender for Identity 云服务通信 (*.atp.azure.com 端口 443 必须打开) 。 在以下其中一个上运行的域控制器： Windows Server 2008 R2 SP1。 Windows Server 2012。 Windows Server 2012 R2。 Windows Server 2016。 带 KB4487044 (操作系统内部版本 17763.316 或更高版本的 Windows Server 2019) 。 Microsoft .NET Framework 4.7 或更高版本。 至少需要 5 (5) GB 的磁盘空间，建议使用 10 GB。 域控制器上安装两个 (2 个) 核心和六个 (6) GB RAM。
Microsoft Defender for Office 365	Microsoft Defender for Office 365 可保护你的组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。 Defender for Office 365 包括： 威胁防护策略：定义威胁防护策略，为组织设置适当的保护级别。 报告：查看实时报告，监视组织中的 Defender for Office 365 性能。 威胁调查和响应功能：使用前沿工具调查、理解、模拟和阻止威胁。 自动化调查和响应功能：节省时间和精力来调查和缓解威胁。 我们提供远程指南： 查看Defender for Office 365建议的配置分析器 (ORCA) 。 设置评估模式。 启用预设策略、安全链接 (包括安全文档) 、安全附件、反恶意软件、防钓鱼、反垃圾邮件、反欺骗、模拟和隔离策略。 配置用户报告的消息设置。 使用攻击模拟器。 提交、电子邮件实体页、报告、市场活动和威胁分析概述。 零小时自动清除 (ZAP) 自动化以及 AIR) 调查和响应 (概述。 了解Microsoft 365 Defender门户中的事件关联。 遵循 Microsoft 最佳做法指南从第三方提供商转换，但创建当前设置的清单、将修改消息的功能移动到 Microsoft 365 以及配置连接器的增强筛选除外。 以下内容在范围外 客户补救活动的项目管理。 持续管理、威胁响应和修正。 支持GCC-High或GCC-DoD (Office 365美国政府) 。 讨论Defender for Office 365与其他安全产品/服务进行比较。 部署Defender for Office 365作为概念证明。 邮件流分析。 高级传递和增强筛选。 有关高级搜寻的培训或指导。 与 Microsoft Power Automate playbook 集成。 安全信息和事件管理 (SIEM) 或 API 集成 (包括 Microsoft Sentinel) 。	除了“常规”中的“核心载入”部分外，还必须配置 Exchange Online。
Microsoft Intune	我们提供有关准备将 Intune 用作基于云的移动设备管理 (MDM) 和移动应用管理的远程指导， (MAM) 提供商为你的应用和设备。 具体步骤取决于你的源环境，并且基于你的移动设备和移动应用管理需求。 所包含的具体步骤如下： 许可最终用户。 通过利用 Azure AD) (本地 Active Directory或云标识来配置Intune使用的标识。 将 Intune 订阅添加到用户，定义 IT 管理角色并创建用户和设备组。 根据管理需求配置 MDM 机构，包括： 如果 Intune 是唯一的 MDM 解决方案，将 Intune 设置为 MDM 颁发机构。 为以下操作提供 MDM 指南: 配置用于验证 MDM 管理策略的测试组。 配置 MDM 管理策略和服务，如： 通过 Web 链接或深层链接为每个受支持的平台部署应用。 条件访问策略。 如果组织中已有证书颁发机构、无线网络或 VPN 基础结构，则部署电子邮件、无线网络和 VPN 配置文件。 连接到Intune Data Warehouse。 将 Intune 与以下内容进行集成： ) 需要团队查看器订阅 (远程协助的团队查看器。 ) 需要 MTD 订阅 (移动威胁防御 (MTD) 合作伙伴解决方案。 ) 需要电信费用管理解决方案订阅 (电信费用管理解决方案。 将每个受支持平台的设备注册到 Intune。 提供有关以下方面的应用保护指南： 为每个受支持的平台配置应用保护策略。 为托管应用配置条件访问策略。 面向具有前面提到的 MAM 策略的相应用户组。 使用托管应用使用情况报告。 提供从旧版电脑管理到 Intune MDM 的迁移指南。 证书传递 我们提供远程指南： 简单证书注册协议 (SCEP) 和网络设备注册服务 (NDES) 。 配置与企业证书颁发机构相关的项。 创建和颁发 SCEP 证书模板。 安装和配置 NDES。 安装和配置适用于 SCEP 的 Microsoft Intune 连接器。 安装和配置 Azure AD 应用程序代理和 Azure AD 应用程序连接器。 在 Microsoft Endpoint Manager 中创建和分配受信任的证书设备配置文件。 在 Microsoft Endpoint Manager 上创建和分配 SCEP 证书设备配置文件。 Public-Key加密标准 (PKCS) 和 PFX (PKCS#12) 证书。 配置与企业证书颁发机构相关的项。 创建和颁发 PKCS 证书模板。 安装和配置 PFX 证书连接器。 在 Microsoft Endpoint Manager 中创建和分配受信任的证书设备配置文件。 在 Microsoft Endpoint Manager 中创建和分配 PKCS 证书设备配置文件。 以下内容在范围外 帮助客户使用公钥基础结构 (PKI) 证书或企业证书颁发机构。 支持高级方案，包括： 将 NDES 服务器置于客户的外围网络中。 配置或使用 Web 应用程序代理 服务器将 NDES URL 从外部发布到公司网络。 建议并提供有关使用 Azure AD 应用程序代理来实现此目的的指导。 使用导入的 PKCS 证书。 使用硬件安全模块配置Intune认证部署 (HSM) 。 云附加 我们将指导你准备好使用Intune将现有Configuration Manager环境连接到云。 具体步骤取决于源环境。 这些步骤包括： 许可最终用户。 通过利用本地 Active Directory 和云标识，配置供 Intune 使用的标识。 将 Intune 订阅添加到用户，定义 IT 管理角色并创建用户和设备组。 提供设置混合 Azure AD 联接的指导。 提供有关为 MDM 自动注册设置 Azure AD 的指导。 提供有关在用作共同管理基于 Internet 的远程设备管理解决方案时如何设置云管理网关的指导。 配置要切换到 Intune 的受支持工作负载。 在 Intune 注册的设备中安装 Configuration Manager 客户端。 安全部署适用于 iOS 和 Android 的 Outlook 移动版 我们可以提供指导，帮助你在你的组织中安全地部署 Outlook mobile for iOS 和 Android，以确保你的用户已安装所有必需的应用。 使用Intune安全部署适用于 iOS 和 Android 的 Outlook mobile 的步骤取决于源环境。 它们可以包括： 通过 Apple App Store 或 Google Play Store 下载 Outlook for iOS 和 Android、Microsoft Authenticator 和 Intune 公司门户 应用。 提供有关设置的指导： Outlook for iOS 和 Android、Microsoft Authenticator 和 Intune 公司门户 应用部署Intune。 应用保护策略。 条件访问策略。 应用配置策略。 终结点分析 我们可以提供指导，帮助你为组织启用终结点分析。 执行此操作的步骤取决于源环境。 它们可以包括： 确认终结点和用户的许可证。 确认组织环境满足终结点分析功能的先决条件。 使用正确的策略配置终结点以启用终结点分析功能。 设置组织基线以跟踪进度。 提供有关在终结点分析中使用主动修正的指导，包括： 使用 Microsoft 创作的修正脚本。 创建自定义修正脚本。	IT 管理员在计划使用Intune部署无线网络和 VPN 配置文件时，需要让现有的证书颁发机构、无线网络和 VPN 基础结构在其生产环境中工作。 使用 Intune 启用 PKCS 和 SCEP 证书传递之前，客户环境应具有现有的正常运行的 PKI。 终结点设备必须由 Intune 管理。 注意：FastTrack 服务权益不包括为Intune设置或配置证书颁发机构、无线网络、VPN 基础结构或 Apple MDM 推送证书的帮助。 注意：FastTrack 服务权益不包括有关将配置管理器站点服务器或配置管理器客户端设置或升级到支持云附加所需的最低要求的帮助。 请联系 Microsoft 合作伙伴 获取有关此方面的帮助。 与 Microsoft Defender for Endpoint 集成的Intune 注意：我们提供有关将Intune与Microsoft Defender for Endpoint集成以及根据其Windows 10风险级别评估创建设备合规性策略方面的帮助。 我们不提供有关购买、许可或激活的帮助。 请联系 Microsoft 合作伙伴 获取有关此方面的帮助。 Windows Autopilot IT 管理员负责通过让硬件供应商代表他们上载其硬件 ID 或自己将其上载到 Windows Autopilot 服务中来向其组织注册设备。
Microsoft Purview 合规性管理器	我们提供远程指南： 查看角色类型。 添加和配置评估。 通过实施改进操作并确定这如何影响合规性分数来评估合规性。 查看内置控件映射和评估控件。 在评估中生成报告。 以下内容在范围外 自定义脚本或编码。 Purview 电子数据展示 API。 数据连接器。 合规性边界和安全筛选器。 数据调查。 数据主体请求。 设计、架构师和第三方文档评审。 符合行业和区域法规和要求。 在 Purview 合规性管理器中实际实施建议的评估改进操作。	除了“常规”中的“核心载入”部分之外，没有最低系统要求。
Microsoft Purview 信息保护	我们提供远程指南： 激活和配置租户。 E3 和 E5) 中支持数据分类 (。 E3 和 E5) 中 (支持的敏感信息类型。 (E3 和 E5) 中支持创建敏感度标签。 (E3 和 E5) 中支持应用敏感度标签。 E5) 中支持可训练的分类器 (。 精确数据匹配 (EDM) E5) 中 (支持的自定义敏感信息类型。 在 E5) 中， (支持使用内容资源管理器和活动资源管理器了解数据。 使用 E5) 中支持的手动和自动) (策略 (发布标签。 为 E5) 中支持的Windows 10 (及更高) 设备创建终结点数据丢失防护 ( (DLP) 策略。 (E5) 中支持为 macOS 设备创建终结点 DLP 策略。 为 Microsoft Teams 聊天和频道创建 DLP 策略。 安装和配置 Microsoft Purview DLP 迁移助手。 了解 Microsoft Purview DLP 迁移助手的迁移报告输出。 微调Microsoft Purview 合规门户中的迁移策略。 (E3 和 E5) 中支持创建和设置标签和策略。 将信息保护应用于 E3 和 E5) 中 (支持的文档。 使用 E5) 中支持的 Microsoft Purview 信息保护 客户端) (在 Windows 上运行的 Office 应用（如 Word、PowerPoint、Excel 和 Outlook） (自动分类和标记信息。 将敏感度标签扩展到 E5) 中 (支持的 Outlook 约会、邀请和 Teams 联机会议。 E3 和 E5) 支持使用Microsoft Purview 信息保护扫描程序发现和标记静态文件 (。 使用 Exchange Online 邮件流规则监视传输中的电子邮件。 从 Azure 信息保护 加载项到 Office 应用的内置标签的迁移指南 在合规性门户中为 Power BI 启用敏感度标签要求。 如果想要使用 Microsoft Azure Rights Management Services (Azure RMS) 、Office 365消息加密 (OME) 和 DLP 应用保护，我们还提供了指导。 以下内容在范围外 客户密钥。 自定义正则表达式 (正则表达式) 敏感信息类型的开发。 创建或修改关键字 (keyword) 字典。 与客户数据交互或配置 EDM 敏感信息类型的特定准则。 自定义脚本和编码。 Azure Purview。 设计、架构师和第三方文档评审。 配置企业状态漫游。	除了“常规”中的“核心载入”部分之外，除了Microsoft Purview 信息保护之外，没有最低系统要求。 Microsoft Purview 信息保护 客户先决条件职责包括： 要扫描的文件共享位置的列表。 已批准的分类。 了解有关密钥管理的任何法规限制或要求。 为已与 Azure AD 同步的本地 Active Directory创建的服务帐户。 为分类和保护配置的标签。 Microsoft Purview 信息保护扫描程序的所有先决条件都已就绪。 有关详细信息，请参阅安装和部署Microsoft Purview 信息保护统一标记扫描程序的先决条件。 确保用户设备运行的是受支持的操作系统，并且已安装必要的先决条件。 有关详细信息，请参阅管理员指南：为用户安装Microsoft Purview 信息保护统一标记客户端和什么是适用于 iOS 或 Android 的 Microsoft Purview 信息保护 应用？ 安装和配置 Azure RMS 连接器和服务器，包括 Active Directory RMS (AD RMS) 连接器，以便获得混合支持。 设置和配置“自带密钥 (BYOK) 、双密钥加密 (DKE 仅) (统一标记客户端) ”或“仅将自己的密钥 (HYOK) (经典客户端”) （如果需要以下部署选项之一）。
Microsoft Purview 数据生命周期管理和记录管理	我们提供远程指南： E3 和 E5) 中 (支持创建和应用保留策略。 E3 和 E5) 支持创建和发布保留标签 (。 E5) 中 (支持创建和应用基于事件的保留标签。 E5) (支持创建和应用自适应策略范围。 查看 E5) 中支持的文件计划创建 (。 查看 E5) 中支持的处置 (。 E5) 中 (支持策略查找。 以下内容在范围外 制定记录管理文件计划。 数据连接器。 在 SharePoint 中开发信息体系结构。 自定义脚本和编码。 设计、架构师和第三方文档评审。 将 PST 文件导入到Office 365。	除了“常规”中的“核心载入”部分之外，没有最低系统要求。
Microsoft Purview 内部风险管理	Purview Insider Risk Management 我们提供远程指南： 创建策略并查看设置。 访问报表和警报。 创建案例。 启用和配置取证证据。 Purview 通信合规性 我们提供远程指南： 创建策略并查看设置。 访问报表和警报。 创建通知模板。 以下内容在范围外 创建和管理 Power Automate 流。 数据连接器 (HR 连接器) 之外。 自定义正则表达式 (正则表达式) 配置。 设计、架构师和第三方文档评审。 信息屏障。 特权访问管理。	除了“常规”中的“核心载入”部分之外，没有最低系统要求。
Microsoft Purview 电子数据展示	Purview 电子数据展示 (Premium) 我们提供远程指南： 创建新案例。 搁置保管人。 执行搜索。 将搜索结果添加到审阅集。 对评审集运行分析。 查看和标记文档。 从审阅集导出数据。 导入非Office 365数据。 Purview Audit (Premium) 仅在 E5) 中受支持 ( 我们提供远程指南： 启用高级审核。 执行搜索审核日志 UI 和基本审核 PowerShell 命令。 以下内容在范围外 自定义脚本或编码。 Purview 电子数据展示 API。 数据连接器。 合规性边界和安全筛选器。 数据调查。 数据主体请求。 设计、架构师和第三方文档评审。	除了“常规”中的“核心载入”部分之外，没有最低系统要求。

Office 365

服务	FastTrack 指南详细信息	源环境预期
Exchange Online	对于 Exchange Online，我们会全程指导你，直到你的组织可以使用电子邮件为止。 具体步骤取决于源环境和电子邮件迁移计划。 我们提供远程指南： 为 Office 365 中验证的所有启用邮件的域设置 Exchange Online Protection (EOP) 功能。 将邮件交换 (MX) 记录指向Office 365。 设置Microsoft Defender for Office 365功能（如果它是订阅服务的一部分）。 有关详细信息，请参阅此表的Microsoft Defender for Office 365部分。 为订阅服务Office 365中验证的所有已启用邮件的域设置数据丢失防护 (DLP) 功能。 一旦 MX 记录指向Office 365，就会完成此操作。 为作为订阅服务的一部分在 Office 365 中验证的所有已启用邮件的域设置Office 365邮件加密 (OME) 。 一旦 MX 记录指向Office 365，就会完成此操作。 注意：邮箱复制服务 (MRS) 尝试将信息权限托管 (IRM) 电子邮件从本地邮箱迁移到相应的Exchange Online邮箱。 可读取受保护内容迁移后的能力取决于客户映射和将 Active Directory Rights Managed Services (AD RMS) 模板复制到 Azure Rights Management Service (Azure RMS)。 配置防火墙端口。 根据需要) 设置 DNS，包括所需的自动发现、发件人策略框架 (SPF) 、域密钥标识邮件 (DKIM) 、基于域的邮件身份验证、报告和符合性 (DMARC) 和 MX 记录 (。 设置源邮件环境和 Exchange Online 之间的电子邮件流（根据需要）。 执行从源邮件环境到 Office 365 的邮件迁移。 配置邮箱客户端（Outlook for Windows、Outlook 网页版以及 Outlook for iOS 和 Outlook for Android）。 数据迁移 有关使用 FastTrack 权益将数据迁移到Office 365的信息，请参阅数据迁移。	源环境必须具有以下最低级别之一： Exchange Server 2010 年起的单个或多个 Exchange 组织。 单个 Google Workspace 环境仅 (Gmail、联系人和日历) 。 有关多地理位置功能的信息，请参阅 Exchange Online 中的多地理位置功能。 联机客户端软件（如 Project for Office 365、Outlook for Windows、Outlook for iOS 和 Android、OneDrive for Business同步客户端、Power BI Desktop和Skype for Business）必须处于 Microsoft 365 系统要求中定义的最低级别Office。
Microsoft Defender for Office 365	有关详细信息，请参阅安全性和合规性中的Microsoft Defender for Office 365。
Microsoft Purview 数据生命周期	有关详细信息，请参阅安全性和合规性中的 Microsoft Purview 数据生命周期。
Microsoft Purview 信息保护	有关详细信息，请参阅安全性和合规性中的Microsoft Purview 信息保护。
Microsoft Teams	我们提供远程指南： Teams 先决条件： 确认 Exchange Online、SharePoint Online、Office 365 组和 Azure AD 中支持 Teams 的最低要求。 配置防火墙端口。 设置 DNS。 确认是否已在 Office 365 租户上启用 Teams。 启用或禁用用户许可证。 基线网络指南： 端口和终结点检查。 连接质量检查。 带宽预估。 (Teams Web 应用、Teams 桌面应用和 Teams for iOS 和 Android 应用) 配置 Teams 应用策略。 载入 Teams： Teams 核心支持，包括聊天、协作和会议。 使用呼叫质量仪表板配置 Microsoft PowerBI (CQD) 模板。 启用音频会议。 会议桥默认设置的组织设置。 向许可用户分配会议桥。 启用 Teams 实时事件。 Microsoft Teams 会议室： 网络准备，包括端口和防火墙、代理设置、优化建议和报告指南。 创建和配置受支持的Teams 会议室设备所需的资源帐户，包括许可证分配和邮箱设置。 管理Teams 会议室设备，包括 Teams 管理中心配置和策略以及Teams 会议室专业版管理。 制定治理和合规性策略，包括硬件安全性和帐户安全 (，例如多重身份验证 (MFA) 指南和密码策略) 。 Microsoft Teams 电话： 网络准备，包括端口和防火墙、代理设置、优化建议和报告指南。 开发治理和合规性策略，包括硬件安全性和帐户安全 (，如 MFA 指南和密码策略) 。 配置 Teams 电话功能，包括呼叫队列、自动助理、通话套餐 E911、语音邮件和语音策略。 使用呼叫质量仪表板配置 Microsoft PowerBI (CQD) 模板。 公用电话交换网 (PSTN) 连接： 通话套餐指南，包括号码转网、运营商连接 (（如果有可用) ）和直接路由 (包括媒体旁路和本地媒体优化) 。 从本地Skype for Business迁移到 Teams 电话。 以下内容在范围外 A/V 和会议室设计和安装。 设备采购。 第三方集成 (，例如云视频互操作 (CVI) ) 。 会话边界控制器 (SBC) 中继到运营商或旧版 PBX。 排查现有部署问题。 最终用户培训。 动手键盘支持。	在 Azure AD 中为Office 365启用的标识。 对 SharePoint Online 启用的用户。 Exchange 邮箱 (联机和本地存在于 Exchange 混合配置) 中。 针对 Office 365 组启用。 注意：如果未为用户分配并启用 SharePoint Online 许可证，则他们在 Office 365 中将没有OneDrive for Business存储。 文件共享继续在频道中工作，但用户无法在聊天中共享文件，如果没有OneDrive for Business存储Office 365。 Teams 不支持本地 SharePoint。 注意：理想状态是所有用户的邮箱都位于Exchange Online上。 驻留在本地的邮箱的用户必须通过 Azure AD Connect 将其标识同步到 Office 365 目录。 对于这些 Exchange 混合客户，如果用户的邮箱位于本地，则用户无法添加或配置连接器。 可以从 https://go.microsoft.com/fwlink/?linkid=839411 下载 Microsoft Teams Windows 和 Mac 桌面客户端的安装程序。
IOS 和 Android 版 Outlook	我们提供远程指南： 从 Apple App Store 和 Google Play 下载 Outlook for iOS 和 Outlook for Android。 配置帐户和访问 Exchange Online 邮箱。 保护 Outlook 移动 (请参阅在 Exchange Online 中保护 Outlook for iOS 和 Android，了解) 的详细信息。	在 Azure AD 中为Office 365启用的标识。 配置了 Exchange Online 并分配了许可证。
Power BI	我们提供远程指南： 分配 Power BI 许可证。 部署 Power BI Desktop 应用。	联机客户端软件（如 Power BI Desktop）必须处于 Microsoft 365 和 Office 系统要求中定义的最低级别。
Project Online	我们提供远程指南： 验证 Project Online 依赖的基本 SharePoint 功能。 向你的租户添加 Project Online 服务（包括向用户添加订阅）。 设置企业资源池 (ERP)。 创建你的首个项目。	联机客户端软件（如 Project for Office 365）必须处于 Microsoft 365 和 Office 系统要求中定义的最低级别。
Project Online Professional和高级版	我们提供远程指南： 解决部署问题。 使用 Microsoft 365 管理中心和 Windows PowerShell 分配最终用户许可证。 使用即点即用从 Office 365 门户安装 Project Online 桌面客户端。 使用 Office 365 部署工具配置更新设置。 为 Project Online 桌面客户端 设置一个现场分发服务器，包括帮助创建 configuration.xml 文件以与 Office 365 部署工具一起使用。 将 Project Online 桌面客户端 连接到 Project Online Professional 或 Project Online 高级版。	联机客户端软件（如 Project for Office 365）必须处于 Microsoft 365 和 Office 系统要求中定义的最低级别。
SharePoint Online 和 OneDrive for Business	我们提供远程指南： 规划网站集。 保护内容安全和管理权限。 配置 SharePoint Online 功能。 配置 SharePoint 混合功能，如混合搜索、混合网站、混合分类、内容类型、混合自助式网站创建（仅适用于 SharePoint Server 2013）、扩展的应用启动器、混合 OneDrive for Business 和 Extranet 网站。 迁移方法。 外部用户共享。 条件访问。 针对OneDrive for Business提供了其他指南，例如： 将已知文件夹重定向或移动到 OneDrive。 部署OneDrive for Business同步客户端。 数据迁移 有关使用 FastTrack 权益将数据迁移到Office 365的信息，请参阅数据迁移。	对于 SharePoint 混合： SharePoint 混合配置包括配置混合搜索、网站、分类、内容类型、OneDrive for Business、扩展应用启动器、Extranet 网站以及从本地连接到单个目标 SharePoint Online 环境的自助式网站创建。 若要启用 SharePoint 混合，必须具有以下本地 SharePoint Server 环境之一：2013、2016 或 2019。 注意： 将本地 SharePoint 环境升级到 SharePoint Server 不在范围内。 请联系 Microsoft 合作伙伴 寻求帮助。 有关详细信息，请参阅 SharePoint 混合功能的最低公共更新级别。 注意：有关多地理位置功能的信息，请参阅 OneDrive 中的多地理位置功能和 Office 365 中的 SharePoint Online。
Yammer 企业版	我们提供远程部署指南：： 配置 Yammer 网络。 自定义 Yammer 网络的外观。 为 Yammer 用户强制实施Office 365标识。 为 Microsoft 365 配置本机模式。 在 Yammer 中配置安全性和合规性。 配置 Yammer 使用策略。 管理 Yammer 管理员。 使用 Azure AD 企业到企业 (B2B) Yammer 社区中的来宾。 在 Yammer 中加入和创建社区。 管理社区。 在 Yammer 中创建动态组。 在 Yammer 中配置实时事件。 监视 Yammer 使用情况。 在 SharePoint 页面中包括 Yammer 源。 安装适用于 Microsoft Teams 的 Yammer 社区应用。	联机客户端软件必须处于 Microsoft 365 和 Office 系统要求中定义的最低级别。

员工体验

服务	FastTrack 指南详细信息	源环境预期
具有Microsoft Viva的员工体验方案	Microsoft Viva是一个将通信、知识、学习、资源和见解汇集在一起的员工体验平台。 Microsoft Viva由 Microsoft 365 提供支持，主要通过 Microsoft Teams 体验，营造了一种文化，使人员和团队能够随时随地发挥出最佳水平。 员工体验方案包括： 具有Viva Connections和Viva Engage的连接。 具有Viva Insights功能的见解。 以Viva Topics和学习为特色的增长。 我们提供远程指南： 确认需要Microsoft Viva中的哪些模块和功能来支持业务目标。 评估源环境和方案要求。 如何运行员工体验高级设置指南，具体说明需要采取哪些操作才能使源环境达到成功方案配置的最低要求，并指导你完成方案配置。 以下内容在范围外 客户项目管理。 现场支持。 自定义开发支持。	Microsoft Viva基于当前使用的 Microsoft 365 套件。 核心部署应包括 Office 365、Teams、新式 SharePoint 和 Yammer。 以下Microsoft Viva部分列出了每个服务的其他方案配置详细信息。
Viva Connections	Viva Connections鼓励有意义的联系，同时培养包容性文化，使整个组织围绕愿景、使命和战略优先事项保持一致。 我们提供远程指南： 为Viva Connections创建新式通信网站。 SharePoint 主网站的品牌打造。 配置新闻框架 (例如，新闻帖子、受众定位和 Yammer 集成) 。 配置 SharePoint 主网站、全局导航和应用栏。 启用Viva Connections源。 部署 Viva Connections Teams 应用。
Viva Engage	Viva Engage提供高价值体验，包括社区建设、领导力参与、知识共享和自我表达。 我们提供远程指南： 配置 Yammer 网络。 自定义 Yammer 网络的外观。 为 Yammer 用户强制实施Office 365标识。 为 Microsoft 365 配置本机模式。 在 Yammer 中配置安全设置。 配置 Yammer 使用策略。 管理 Yammer 管理员。 使用 Azure Active Directory (Azure AD) Yammer 社区中的企业到企业 (B2B) 来宾。 在 Yammer 中加入和创建社区。 管理社区。 在 Yammer 中创建动态组。 在 Yammer 中管理实时事件。 监视 Yammer 使用情况。 在 SharePoint 页面上包括 Yammer 源。 配置故事情节。 推出适用于 Microsoft Teams 的 Viva Engage 应用。	联机客户端软件必须处于 Microsoft 365 和 Office 系统要求中定义的最低级别。
Viva Insights	Viva Insights可帮助个人、经理和业务领导者获得个性化的见解和可操作的建议。 我们提供远程指南： 将许可证分配给最终用户。 为管理员分配角色。 启用个人见解。 培养团队合作习惯和组织趋势。 部署 Viva Insights Teams 应用。	客户必须在 Exchange Online 中拥有其邮箱。
Viva Topics	Viva Topics使员工能够找到答案和专家，并与部门内外的其他人联系。 我们提供远程指南： 将许可证分配给最终用户。 为知识经理和管理员分配角色。 创建和配置主题中心。 设置和管理主题。 SharePoint Online 网站的安全修整。 部署 Viva Topics Teams 应用。
Viva Learning	Viva Learning使员工能够发现、共享和跟踪从各种内容源中学习的内容。 它使业务领导者能够通过授权的时间管理和指导来推动学习文化。 我们提供远程指南： 将许可证分配给最终用户。 为知识管理员分配角色。 配置学习内容源的设置。 将 SharePoint 配置为学习内容源。 部署 Viva Learning Teams 应用。
Viva Goals	Viva Goals通过目标一致性解决方案让每个人都沉浸在公司的宗旨和首要任务中，从而创造一种员工敬业、取得成果的文化。 我们提供远程指南： 向用户和组分配许可证。 实现组织创建规则。 分配Viva Goals管理员角色。 允许Viva Goals集成。 允许网站进行仪表板嵌入。 分配应用内Viva Goals组织管理员角色。 在 Microsoft Teams 应用中固定Viva Goals。 OKR) 创建、推出策略和培训 (目标和关键结果。 规划和推动组织中Viva Goals的采用。 向员工推广Viva Goals并衡量参与度。 连接到支持通道。

企业移动性 + 安全性

服务	FastTrack 指南详细信息	源环境预期
Azure Active Directory (Azure AD) 和 Azure AD Premium	有关详细信息，请参阅安全性和合规性中的 Azure Active Directory (Azure AD) 和 Azure AD Premium。
Microsoft Purview 信息保护	有关Microsoft Purview 信息保护的详细信息，请参阅安全性和合规性中的Microsoft Purview 信息保护。
Microsoft Intune	有关详细信息，请参阅安全性和合规性中的Microsoft Intune。

Windows 11

服务	FastTrack 指南详细信息	源环境预期
Windows 11	我们提供从 Windows 7 专业版、Windows 8.1 Professional 和 Windows 10 企业版 更新到Windows 11 企业版的指导。 注意：电脑必须满足Windows 11硬件要求。 我们提供远程指南： 规划Windows 11部署。 评估源环境和要求 (确保 Microsoft Endpoint Configuration Manager 升级到所需的级别，以支持Windows 11部署) 。 使用 Microsoft Intune 或 Configuration Manager 部署Windows 11 企业版和Microsoft 365 应用版。 推荐用于评估Windows 11应用和驱动程序就绪情况的选项。 Microsoft 365 应用版兼容性评估，方法是利用 Configuration Manager 中的Office 365就绪情况仪表板，或者使用适用于 Office 的独立就绪工具包以及部署Microsoft 365 应用版的帮助。 创建修正清单，说明需要执行哪些操作才能使源环境达到成功部署的最低要求。 为满足Windows 11系统要求的Windows 11 企业版设备提供更新指南。 提供有关使用 Windows 更新 for Business 进行从 Windows 10 到Windows 11的就地更新指南，以及使用 Windows 更新 for Business 和 Intune Windows 11服务的指导。 提供有关使用 Windows Autopilot 部署新Windows 11设备的指导。 提供使用 Endpoint Analytics 和 Windows 更新 for Business 报表查看符合条件的设备和监视设备部署的指导。 提供有关启用共同管理和将更新工作负载移动到Intune的指导。 提供有关将 Windows 更新 for Business 与 Configuration Manager 配合使用的指导。 提供指导，帮助组织及时了解Windows 11 企业版和Microsoft 365 应用版。 BitLocker 我们提供远程指南： 评估 BitLocker 配置的Windows 11环境和硬件。 建议从 Microsoft Endpoint Manager 配置 BitLocker 策略的最佳做法。 从 Microsoft Endpoint Manager 和 Microsoft Endpoint Configuration Manager启用 BitLocker 的合规性报告 提供有关为 Windows Autopilot 方案配置 BitLocker 的指导。 提供有关 BitLocker 密钥恢复最佳做法的指导。 Windows Hello 企业版 我们提供远程指南： 评估 Windows 10/11 环境和硬件以Windows Hello 企业版配置。 使用Windows Hello 企业版云信任启用 Windows 无密码身份验证。 Windows Hello 企业版混合密钥或证书信任的规划指南。 以下内容在范围外 将 Configuration Manager 升级到当前分支。 为Windows 11部署创建自定义映像。 创建和支持用于Windows 11部署的部署脚本。 将Windows 11系统从 BIOS 转换为统一可扩展固件接口 (UEFI) 。 启用Windows 11安全功能。 配置用于启动前执行环境 (PXE) 启动的 Windows 部署服务 (WDS)。 使用 Microsoft Deployment Toolkit (MDT) 捕获和部署Windows 11映像。 使用用户状态迁移工具 (USMT)。 请联系 Microsoft 合作伙伴 获取这些服务的帮助。 Windows 自动修补 我们提供远程指南： 帮助你了解 Windows 自动修补服务的功能、验证环境先决条件，以及该服务与其他 Microsoft 更新工具的关系。 使用就绪情况评估工具评估 Windows 自动修补加入的准备情况，并解决该工具确定的问题。 了解注册到 Windows 自动修补服务的过程。 将物理设备和虚拟设备注册到 Windows 自动修补服务。 验证设备更新和了解报告。	对于电脑更新，必须满足以下要求： 源 OS：Windows 10 企业版 或 Professional。 设备：台式机、笔记本或平板电脑外形规格。 目标 OS：Window 11 Enterprise。 若要升级基础结构，必须满足以下要求： Microsoft Endpoint Configuration Manager。 Configuration Manager版本必须受Windows 11目标版本支持，Configuration Manager必须通过云附加。 有关详细信息，请参阅Configuration Manager中Windows 11支持中的Configuration Manager支持表。
Microsoft Defender for Endpoint	有关详细信息，请参阅安全性和合规性中的Microsoft Defender for Endpoint。

Windows 365 企业版

服务	FastTrack 指南详细信息	源环境预期
Windows 365 企业版	向 Microsoft 客户提供了远程部署指南，用于加入Windows 365 企业版。 Windows 365将操作系统带到 Microsoft 云，将完整的 Windows 体验（包括你的所有应用、数据和设置）安全地流式传输到个人或公司设备。 你可以预配云电脑 (部署在 Windows 365 服务上的设备，) 立即在全球范围内，并使用 Microsoft Endpoint Manager 与物理电脑资产一起无缝管理它们。 此桌面即服务 (DaaS) 解决方案将桌面云托管的优势与 Microsoft 365 的简单性、安全性和见解相结合。 我们针对以下事项提供远程指导： 向用户分配许可证。 (ANC) 创建和修改 Azure 网络连接。 添加和删除设备映像，包括标准Azure 市场库映像和自定义映像。 有关使用Windows 365语言安装程序脚本部署具有自定义映像的语言包，可能会提供一些指导。 创建、编辑和删除预配策略。 为动态组和筛选提供动态查询表达式的帮助。 使用 Intune 为云电脑部署Windows 更新策略。 使用 Intune 将应用 (包括Microsoft 365 企业应用版和 Microsoft Teams 在内的媒体优化) 部署到云电脑。 保护云电脑，包括条件访问、多重身份验证 (MFA) ，以及管理远程桌面协议 (RDP) 设备重定向。 在 Microsoft Endpoint Manager 上管理云电脑，包括远程操作、调整大小和其他管理任务。 优化最终用户体验。 查找Windows 365的其他支持。 注意：有关适用于Microsoft Defender for Endpoint 和安全基线范围的详细信息，请参阅安全性和合规性中的Microsoft 365 Defender和Microsoft Defender for Endpoint部分Windows 365。 以下内容在范围外 客户Windows 365部署的项目管理。 现场支持。 创建 Azure 订阅功能，包括 Azure 虚拟网络 (VNet) 、ExpressRoute 和站点到站点 (S2S) VPN。 支持高级网络主题。 代表客户自定义云电脑的图像。 独立使用Configuration Manager来管理云电脑。 使用 Configuration Manager 为云电脑部署 Windows 更新。 将虚拟桌面基础结构 (VDI) 或 Azure 虚拟桌面虚拟机迁移到Windows 365。 将 Configuration Manager 或 Microsoft Deployment Toolkit (MDT) 映像迁移到 Azure。 将用户配置文件迁移到 Windows 电脑或从 Windows 电脑迁移。 代表客户配置网络设备。 支持第三方集成。 请联系 Microsoft 合作伙伴或 Azure Microsoft FastTrack，以获取有关超出范围和/或未满足源环境期望的项目的帮助。 如果对应用兼容性有疑问，请联系 Microsoft App Assure。	在加入之前，必须具备以下条件： Windows 365 企业版许可要求。 如果未使用 Microsoft 托管的网络： 与部署许可证的 Azure AD 租户关联的 Azure 订阅。 在 Windows 365 支持的区域中部署的 VNet。 VNet 应： 为要部署的云电脑的数量提供足够的专用 IP 地址。 仅针对已加入混合 Azure AD 的配置) ， (连接到 Active Directory。 为内部名称解析配置 DNS 服务器。

Azure 虚拟桌面

服务	FastTrack 指南详细信息	源环境预期
Azure 虚拟桌面	Azure 虚拟桌面的载入帮助由 FastTrack for Azure 提供。 客户应联系 FastTrack for Azure，以检查资格。 如果客户不符合条件，他们应与 Azure 合作伙伴合作。 注意：适用于 Azure 的 FastTrack 具有单独的 资格要求。

通用打印

服务	FastTrack 指南详细信息	源环境预期
通用打印	我们提供远程指南： 载入和配置通用打印。 通用打印连接器。 通用打印就绪打印机。 使用 Microsoft Endpoint Manager 部署打印机。 打印机和打印作业管理。  配置通用打印 PowerShell 模块。 以下内容在范围外 合作伙伴集成。 第三方应用虚拟化和部署。 使用通用打印 PowerShell 模块创建自定义脚本。 通用打印开发人员功能 (包括 API) 。 配置用于打印的 Windows 服务器。	以下许可证之一： Microsoft 365 企业版 F3、E3 或 E5。  Microsoft 365 教育版 A3 或 A5。  Microsoft 365 商业高级版。 Windows 10/11 企业版 E3 或 E5。  Windows 10/11 教育版 A3 或 A5。 Azure Active Directory (Azure AD) 租户 (任何版本) 设置。  通用打印连接器主机和/或通用打印就绪打印机。  客户端设备必须运行Windows 11或Windows 10版本 1903 或更高版本。

应用保证

服务	FastTrack 指南详细信息	源环境预期
应用保证	应用保证是一项服务，旨在解决 Windows 和Microsoft 365 应用版应用兼容性问题，可供所有 Microsoft 客户使用。 当你请求应用保证服务时，我们会与你一起解决有效的应用问题。 若要请求应用保证协助，请完成 应用保证服务请求。 我们还为在部署 Windows 365 云电脑、Windows 虚拟桌面和 Microsoft Edge 时遇到兼容性问题并尽一切合理努力解决兼容性问题的客户提供指导。 我们为部署在以下 Microsoft 产品上的应用提供修正帮助： Windows 10/11 (包括 arm64 设备) 。 Microsoft 365 应用版。 Microsoft Edge 有关部署指南，请参阅 Microsoft Edge 通道概述。 Windows 虚拟桌面 - 有关详细信息，请参阅什么是 Windows 虚拟桌面？和Windows 10 企业版多会话常见问题解答。 Windows 365 云电脑 – 有关详细信息，请参阅引入混合个人计算的新时代：Windows 365 云电脑。 注意：FastTrack 的 资格条件 不适用于应用保证服务，但受 Microsoft 自行决定。 以下内容在范围外 应用清单和测试，以确定哪些功能在 Windows 和 Microsoft 365 应用版上不起作用。 有关此过程的更多指导，请参阅 Windows 和 Office 365 部署实验室工具包。 如果有兴趣获取有关实现终结点现代化或部署Windows 11的指导，请向 FastTrack 请求帮助。 研究用于 Windows 兼容性和支持声明的第三方 ISV 应用。 仅限应用打包的服务。 但是，应用保证团队打包我们已针对 Windows 修正的应用，以确保它们可以部署在客户的环境中。 尽管 Windows 11 上的 Android 应用可供 Windows 预览体验成员使用，但 App Assure 目前不支持 Android 应用或设备，包括 Surface Duo 设备。 客户职责包括 创建应用清单。 在 Windows 和 Microsoft 365 应用版 上验证这些应用。 使用 Microsoft 365 测试库验证应用。 注意： Microsoft 无法对源代码进行更改。 但是，如果可提供应用的源代码，则应用保证团队可向应用开发人员提供指导。 请联系 Microsoft 合作伙伴 获取这些服务的帮助。	Windows 和 Microsoft 365 应用版 适用于 Windows 7、Windows 8.1、Windows 10和Windows 11的应用也适用于 Windows 10/11。 适用于 Office 2010、Office 2013、Office 2016 和 Office 2019 的应用也适用于Microsoft 365 应用版 (32 位和 64 位版本) 。 Windows 365 云电脑 适用于 Windows 7、Windows 8.1、Windows 10和Windows 11的应用也适用于Windows 365 云电脑。 Arm 上的 Windows 适用于 Windows 7、Windows 8.1、Windows 10和Windows 11的应用也适用于 arm64 设备上的 Windows 10/11。 注意： Windows 11 Arm 设备上提供 x64 (64 位) 仿真。 Microsoft Edge 如果你的 Web 应用或网站适用于 Internet Explorer 11、支持的 Google Chrome 版本或任何 Microsoft Edge 版本，它们也将与 Microsoft Edge 配合使用。 随着 Web 的不断发展，请务必查看 Microsoft Edge 的已知 网站兼容性更改的已发布列表。 注意： 应用保证可帮助你配置 IE 模式以支持旧版 Internet Explorer Web 应用或站点。 此权益中未涵盖对将 Internet Explorer Web 应用或网站现代化以在 Chromium 引擎上本机运行的开发支持。 Windows 虚拟桌面 在 Windows 7、Windows 8.1、Windows 10、Windows 11 或 Windows Server 上运行的应用 (虚拟化应用) 也运行在： Windows 10/11 企业版。 Windows 10/11 企业版多会话。 注意： Windows 企业版多会话兼容性排除项和限制包括： 硬件重定向受到限制。 A/V 密集型应用可能功能受限。 64 位 Windows 虚拟桌面不支持 16 位应用。

Microsoft Edge

服务	FastTrack 指南详细信息	源环境预期
Microsoft Edge	我们针对以下方面提供远程部署和采用指南以及兼容性帮助： 使用 Microsoft Endpoint Manager 在 Windows 10/11 上部署 Microsoft Edge (Microsoft Endpoint Configuration Manager 或 Intune) 。 使用组策略或Intune应用配置和应用策略) 配置 Microsoft Edge (。 清点可能需要在 Internet Explorer 模式下使用的网站列表。 使用现有企业站点列表启用 Internet Explorer 模式。 (有关详细信息，请参阅 参与 FastTrack。 此外，如果你有一个适用于 Internet Explorer 或 Google Chrome 的 Web 应用或网站，并且你遇到兼容性问题，我们会提供指导来解决问题，无需额外付费。 若要请求 App Assure 的兼容性支持，请登录到 FastTrack 门户 以开始参与。 发布企业站点列表以支持 Microsoft Edge 中的 IE 模式。 这包括在本地发布列表或使用 Microsoft 365 中的云站点列表管理功能。 通过策略限制 Internet Explorer。 Microsoft 搜索书签的 Edge 采用规划指南和配置指南。 以下内容在范围外 客户的 Microsoft Edge 部署的项目管理。 现场支持。

Microsoft Surface

服务	FastTrack 指南详细信息	源环境预期
Surface PC	向符合条件的客户提供远程部署指南，用于部署 Surface PC 设备并将其加入 Microsoft 365 服务。 芯片到云安全性有助于保护客户的员工免受安全威胁。 Surface 设备还有助于确保公司的安全和合规。 我们提供远程指南： 向用户分配许可证。 配置设备注册。 配置 Windows Autopilot 配置文件和注册状态页 (ESP) ，包括用户和自驱动、混合 Azure AD 加入以及 Azure AD 联接。 注册设备。 配置混合 Azure AD 联接和证书连接器。 配置策略、基线和配置策略。 配置： BitLocker 配置文件。 安全基线。 ADMX 模板。 设置目录。 合规性策略。 设备固件配置接口 (DFCI) 策略。 部署应用，包括业务线 (LOB) 、Win32 和 Microsoft Store (此处列出的每个类型) 一个应用的限制。 部署 PowerShell 脚本。 启用云附加和部署云管理网关 (CMG) 。 通过更新通道以及质量和功能更新策略为设备提供服务。 了解故障排除机制 (诊断、图形和日志) 。 在生产试点中验证部署。 Surface 管理门户的帮助。 以下内容在范围外 客户部署的项目管理。 现场支持。 自定义图像。 部署Configuration Manager。 独立使用Configuration Manager来管理 Surface 设备。 排查问题。 对设备进行映像处理或重置映像。 客户重置映像的设备 (设备必须具有工厂映像) 。 部署应用保护策略。 软件和应用打包。 启用 Windows 或第三方安全功能，这些功能超出了此处前面列出的功能。 创建脚本 (，例如 PowerShell 自定义脚本) 。 通过 VPN 配置混合 Azure AD 联接。 请联系 Microsoft 合作伙伴或 Azure Microsoft FastTrack，以获取有关超出范围或未满足源环境期望的项目的帮助。 如果你正在处理有关应用兼容性的问题，请联系 Microsoft App Assure。	在加入之前，必须具备以下条件： Microsoft 365 企业版许可要求。 设备已准备好进行部署。 至少一台 (1) Surface PC 设备需要现场。 Microsoft Endpoint Manager 许可证。 具有全局管理员角色权限的管理帐户。 对于 DFCI 策略，需要 Windows Autopilot 合作伙伴注册。
Surface Hub 2S 设备	我们提供远程指南： 规划和设置用于 Microsoft 365 集成的设备帐户。 资源帐户的租户和许可分配。 创建资源帐户和邮箱。 配置资源帐户 (设置，例如自动接受、会议室信息和邮件提示。) 。 为资源帐户配置Exchange ActiveSync (EAS) 策略。 为 Microsoft 365 和 Azure AD 联接配置设备。 配置阻止共享的租户和 Azure AD 白板设置。 配置体验设置 (，例如超时和先前会话恢复) 。 为 Microsoft 365 多重身份验证配置设备 (MFA) (包括无密码登录) 。 与 Microsoft Teams 集成 (包括设备访问 Teams 会议) 。 (PPKG 提供Microsoft Intune和预配包) 选项， (包括邻近加入配置和 A/V 会议加入默认值) 。 使用 SurfaceHub 配置服务提供程序 (CSP) 管理Intune。 部署 Microsoft Edge (非通用 Windows 平台 (UWP) 版本) 。 使用 Intune 查看 2020 Windows 10 协同版 云解决方案提供商策略。 使用 Azure AD 中的设备模型属性来帮助创建动态组来查找和管理 Surface Hub 设备。 使用 Windows 更新 for Business 部署固件更新。 升级到 Windows 10 协同版 2020、Windows 10 专业版 或 Windows 10 企业版。 以下内容在范围外 客户部署的项目管理。 现场支持。 支持处于受限环境 (（如美国政府/GCC-High）或限制现 (OOB) 功能) 的客户。 现场开箱、装载、A/V、会议室系统集成或第三方电话会议集成 (Zoom 和 Cisco) 。 将第三方标识、移动设备管理 (MDM) 或移动应用管理 (MAM) 系统集成。 Surface Hub 运行状况检查。 不支持或自定义应用安装。 部署现场资源。 支持第三方标识提供者。 支持Wi-Fi基础结构 (，例如网络策略服务器 (NPS) 、远程身份验证拨入用户服务 (RADIUS) 或公钥基础结构 (PKI) 。 Surface Hub (v1) 支持。 支持Microsoft Teams 会议室和 Surface Hub 2S。 请联系 Microsoft 合作伙伴或 Azure Microsoft FastTrack，以获取有关超出范围或未满足源环境期望的项目的帮助。 如果你正在处理有关应用兼容性的问题，请联系 Microsoft App Assure。	在加入之前，必须具备以下条件： Microsoft 365 企业版许可要求。 设备已准备好进行部署。 至少一个 (1) Surface Hub 2S 设备需要现场。 Microsoft Endpoint Manager 许可证。 具有全局管理员角色权限的管理帐户。