通过

管理组织中的 Windows 设备 - 过渡到新式管理

将个人设备用于工作,以及用户在办公室外工作,可能会改变组织管理设备的方式。 你的组织的某些部分可能需要深入细化的设备控制,而其他部分可能寻求更简化的基于方案的管理,以便增强现代劳动力。 Windows 提供响应这些不断变化的要求的灵活性,并且可以轻松地在混合环境中部署。 可以按照组织中使用的正常升级计划,逐步改变 Windows 设备的百分比。

你的组织可以跨各种设备类型支持各种操作系统,并通过一组通用工具(如 Microsoft Configuration Manager、Microsoft Intune 或其他第三方产品)对其进行管理。 这种“托管的多样性”使你能够让用户从其新 Windows 设备上提供的生产力增强中受益, (包括丰富的触摸和墨迹支持) ,同时仍保持安全性和可管理性的标准。 它可以帮助你和你的组织更快地从 Windows 中受益。

本文提供有关部署和管理 Windows 设备(包括在混合环境中部署 Windows)的策略的指导。 它涵盖 管理选项 和设备生命周期的四个阶段:

查看 Windows 的管理选项

Windows 提供了一系列管理选项,如下图所示:

新式 IT 路径示意图。

如图所示,Microsoft继续通过组策略、Active Directory 和 Configuration Manager 等技术为深层可管理性和安全性提供支持。 它还使用基于云的设备管理解决方案(例如,Microsoft企业移动性 + 安全性 (EMS) )提供简化的新式管理“移动优先、云优先”方法。 未来通过 Windows 即服务交付的 Windows 创新由 Microsoft Intune、Microsoft Entra ID、Azure 信息保护和 Microsoft 365 等云服务补充。

部署和预配

借助 Windows,你可以继续使用传统的 OS 部署,但也可以“现用管理”。 若要将新设备转换为完全配置的完全托管设备,可以:

有多个选项可用于 升级到 Windows 10 和 Windows 11。 对于运行 Windows 10 的现有设备,可以使用可靠的就地升级过程快速可靠地迁移到 Windows 11,同时自动保留所有现有应用、数据和设置。 此过程的使用可能意味着降低部署成本并提高工作效率,因为最终用户可以立即提高工作效率 - 一切都在他们离开的地方。 如果需要,还可以使用与当前相同的工具,使用传统的擦除和加载方法。

标识和身份验证

可以通过基于云的标识、身份验证和管理的新方式使用 Windows 和服务(如 Microsoft Entra ID )。 你可以为用户提供 (BYOD) “自带设备” 的功能,或者从可用选项 (CYOD) “选择自己的设备 ”。 同时,你可能管理由于其上使用的特定应用程序或资源而必须加入域的 PC 和平板电脑。

你可以设想用户和设备管理分为以下两个类别:

  • 由 SaaS 应用的移动用户使用的公司 (CYOD) 或个人 (BYOD) 设备,例如 Office 365。 使用 Windows,用户可以自行预配其设备:

    • 对于公司设备,可以使用 entra 加入Microsoft设置公司访问权限。 通过自动 Intune MDM 注册为他们提供Microsoft Entra 联接时,他们可以 在一个步骤中将设备置于企业托管状态,全部从云中完成。

      Microsoft Entra 加入对于临时员工、合作伙伴或其他兼职用户来说也是一个很好的解决方案。 这些帐户可以独立于本地 AD 域,但仍访问所需的公司资源。

    • 同样,对于个人设备,用户可以使用简化的新 BYOD 体验 将其工作帐户添加到 Windows,然后访问设备上的工作资源。

  • 用于传统应用程序并且可访问重要资源的加入域的 PC 和平板电脑。 这些应用程序和资源可能是需要身份验证或访问本地高度敏感或分类资源的传统应用程序和资源。

    使用 Windows 时,如果有一个与 Microsoft Entra ID 集成的本地 Active Directory 域,则加入员工设备时,它们会自动注册Microsoft Entra ID。 此注册提供:

    已加入域的电脑和平板电脑可以继续使用 Configuration Manager 客户端或组策略进行管理。

当你查看组织中的角色时,可使用以下一般化决策树开始标识需要域加入的用户或设备。 请考虑将剩余用户切换到Microsoft Entra ID。

设备身份验证选项的决策树示意图。

设置和配置

配置要求由多个因素配置,包括所需的管理级别、管理的设备和数据以及你的行业要求。 同时,用户经常担心 IT 对其个人设备应用严格的策略,但他们仍希望访问公司电子邮件和文档。 可以通过通用 MDM 层跨电脑、平板电脑和手机创建一组一致的配置。

  • MDM:MDM 向你提供一种配置设置方法,可实现你的管理目的,不会公开每个可能的设置。 (相反,组策略公开了可单独控制的精细设置。) MDM 的一个好处是,它使你能够通过更轻量、更高效的工具应用更广泛的隐私、安全性和应用程序管理设置。 MDM 还允许面向连接到 Internet 的设备来管理策略,而无需使用需要加入本地域的设备的组策略。 此预配使 MDM 成为经常外出的设备的最佳选择。

  • 组策略配置管理器:组织可能仍需要使用组策略设置在精细级别管理已加入域的计算机。 如果是这样,组策略和 Configuration Manager 仍然是出色的管理选择:

    • 组策略 是使用基于 Windows 的工具精细配置连接到企业网络的已加入域的 Windows 电脑和平板电脑的最佳方式。 Microsoft继续为每个新版本的 Windows 添加组策略设置。

    • Configuration Manager 仍然是推荐的解决方案,用于通过可靠的软件部署、Windows 更新和 OS 部署进行精细配置。

更新和维护

借助 Windows 即服务,你的 IT 部门不需要再使用每个新的 Windows 版本执行复杂映像(擦除和加载)进程。 无论是在正式发布频道还是 Long-Term 服务频道上,设备都通过简单的(通常是自动)修补过程接收最新功能和质量更新。 有关详细信息,请参阅 Windows 部署方案

Intune MDM 提供用于在你的组织中将 Windows 更新应用到客户端计算机的工具。 Configuration Manager 支持这些更新的丰富管理和跟踪功能,包括维护 Windows 和自动部署规则。

后续步骤

可以采取各种步骤开始在组织中实现设备管理的现代化过程:

评估当前管理做法,并查找你可能在今天进行的投资。 当前哪些做法需要保持不变,哪些做法需要更改? 具体来说,需要保留传统管理的哪些元素,需要现代化哪些元素? 无论是采取措施来最大程度地减少自定义映像、重新评估设置管理,还是重新评估身份验证和符合性,都可以立即获得好处。 可以使用 Microsoft Intune 中的组策略分析 来帮助确定基于云的 MDM 提供程序支持的组策略,包括 Microsoft Intune。

在你的环境中评估不同的用例和管理需求。 是否存在可从更简化的简单管理中受益的设备组? 例如,BYOD 设备是基于云的管理的自然候选项。 处理监管力度更严格的数据的用户和设备可能需要本地 Active Directory 域进行身份验证。 Configuration Manager 和 EMS 使你能够灵活地分阶段实施新式管理方案,同时以最适合业务需求的方式面向不同的设备。

查看本文中的决策树。 借助 Windows 中的不同选项以及 Configuration Manager 和企业移动性 + 安全性,你可以灵活地处理任何方案的映像、身份验证、设置和管理工具。

采取增量步骤。 转向新式设备管理不一定是一夜之间转换。 保留较旧操作系统和设备的同时,也可引入新的操作系统和设备。 借助这种“托管多样性”,用户可以从新式 Windows 设备上的工作效率增强中受益,同时你继续根据安全性和可管理性标准维护旧设备。 在设备上设置组策略及其等效 MDM 策略时,CSP 策略 MDMWinsOverGP 允许 MDM 策略优先于组策略。 可以开始实现 MDM 策略,同时保留组策略环境。 有关详细信息,包括具有等效组策略的 MDM 策略列表,请参阅 组策略支持的策略

优化你的现有投资。 在从传统本地管理过渡到现代基于云的管理过程中,充分利用 Configuration Manager 和 Intune 的灵活混合体系结构。 通过共同管理,可以使用 Configuration Manager 和 Intune 同时管理 Windows 设备。 有关详细信息,请参阅以下文章: