部署指南:管理執行 Windows 10/11 的裝置
本指南說明如何使用 Microsoft Intune 來保護和管理 Windows 應用程式和端點,並包含從必要條件到註冊的設定建議和資源。
針對本指南中的每個章節,檢閱相關聯的工作。 有些工作是必要的,有些是選擇性的,例如設定Microsoft Entra 條件式存取。 選取每個區段中提供的連結,以移至我們關於 Microsoft Learn 的建議說明檔,您可以在其中找到更詳細的資訊和操作說明指示。
步驟 1:必要條件
完成下列必要條件,以啟用租使用者的端點管理功能:
如需Microsoft Intune 角色和許可權的相關信息,請參閱 RBAC 與 Microsoft Intune。 Microsoft全域 管理員和 Intune 系統管理員 角色在 Microsoft Intune 內具有完整許可權。 這些角色具有高度特殊許可權,且具有比 Intune 中許多裝置管理工作所需的更多存取權Microsoft。 建議您使用最低許可權的內建角色來完成工作。
如需有關如何準備組織、上線或採用 Intune 進行行動裝置管理的詳細數據和建議,請參閱 移轉指南:設定或移至 Microsoft Intune。
步驟 2:規劃部署
使用 Microsoft Intune 規劃指南來定義您的裝置管理目標、使用案例和需求。 使用指南來規劃推出、通訊、支援、測試和驗證。 例如,在某些情況下,當員工和學生註冊其裝置時,您不需要存在。 我們建議您使用通訊計劃,讓使用者知道哪裡可以找到安裝和使用 Intune 公司入口網站的相關信息。
如需詳細資訊,請參閱 Microsoft Intune 規劃指南。
步驟 3:建立合規性政策
使用合規性原則來確保存取您數據的裝置安全且符合貴組織的標準。 註冊程序的最後一個階段是合規性評估,其會確認裝置上的設定符合您的原則。 裝置用戶必須解決所有合規性問題,才能存取受保護的資源。 Intune 會將不符合合規性需求的裝置標示為 不符合規範 ,並在 (採取其他動作,例如根據您的 不相容設定動作 ,將通知傳送給使用者、限制存取或抹除裝置) 。
您可以使用 Microsoft Entra 條件式存取原則搭配裝置合規性原則,來控制對 Windows 計算機、公司電子郵件和 Microsoft 365 服務的存取。 例如,您可以建立原則來封鎖員工在Edge中存取 Microsoft Teams,而不需要先註冊或保護其裝置。
提示
如需裝置合規性政策的概觀,請參閱 合規性概觀。
| 工作 | 詳細資料 |
|---|---|
| 建立合規性政策 | 取得如何建立合規性政策並指派給使用者和裝置群組的逐步指引。 |
| 新增不符合規範的動作 | 選擇當裝置不再符合合規性政策的條件時,會發生什麼事。 動作範例包括傳送警示、遠端鎖定裝置或淘汰裝置。 您可以在設定裝置合規性政策時新增不符合規範的動作,或藉由編輯原則來新增後續動作。 |
| 建立裝置型或應用程式型條件式存取原則 | 選取您想要保護的應用程式或服務,並定義存取的條件。 |
| 封鎖對未使用新式驗證之應用程式的存取 | 建立以應用程式為基礎的條件式存取原則,以封鎖使用 OAuth2 以外的驗證方法的應用程式;例如,使用基本和窗體型驗證的應用程式。 不過,在封鎖存取之前,請先登入 Microsoft Entra ID 並檢閱 驗證方法活動報告 ,以查看使用者是否使用基本身份驗證來存取您忘記或不知道的重要事項。 例如,會議室行事曆 Kiosk 之類的專案會使用基本身份驗證。 |
| 新增自定義合規性設定 | 透過自定義合規性設定,您可以撰寫自己的Bash腳本,以解決尚未包含在intune內建裝置合規性選項中的合規性案例Microsoft。 本文說明如何建立、監視及疑難解答 Windows 裝置的自定義合規性原則。 自定義合規性設定需要您 建立自定義腳本 ,以識別設定和值組。 |
步驟 4:設定端點安全性
使用 Intune 端點安全性功能來設定裝置安全性,以及管理有風險裝置的安全性工作。
| 工作 | 詳細資料 |
|---|---|
| 使用端點安全性功能管理裝置 | 使用 Intune 中的端點安全性設定,有效地管理裝置安全性,並修復裝置的問題。 |
| 新增端點保護設定 | 設定常見的端點保護安全性功能,例如防火牆、BitLocker 和 Microsoft Defender。 如需此區域中設定的描述,請參閱 Endpoint Protection 設定參考。 |
| 在 Intune 中設定適用於端點的 Microsoft Defender | 在整合 Intune 與適用於端點的 Microsoft Defender 時,您不僅有助於防止安全性缺口,還可以利用適用於端點的 Microsoft Defender 威脅 & 弱點管理 (TVM) ,並使用 Intune 來補救 TVM 所識別的端點弱點。 |
| 管理 BitLocker 原則 | 藉由建立在受管理裝置上設定 BitLocker 的原則,確保裝置在註冊時已加密。 |
| 管理安全性基準配置檔 | 使用 Intune 中的安全性基準,協助您保護使用者和裝置的安全。 安全性基準包含影響安全性之設定的最佳做法和建議。 |
| 使用商務用 Windows Update 進行軟體更新 | 使用商務用 Windows Update 設定 Windows Update 推出策略。 本文將介紹可用來管理 Windows 10/11 軟體更新的原則類型,以及如何從更新通道延遲轉換為功能更新原則。 |
步驟 5:設定裝置設定
使用 Microsoft Intune 來啟用或停用裝置上的 Windows 設定和功能。 若要設定並強制執行這些設定,請建立裝置組態配置檔,然後將配置檔指派給組織中的群組。 裝置在註冊後會收到配置檔。
| 工作 | 詳細資料 |
|---|---|
| 建立裝置配置檔 | 在 Microsoft Intune 中建立裝置設定檔,並尋找所有裝置配置檔類型的相關資源。 您也可以使用 設定目錄 從頭開始建立原則。 |
| 設定組策略設定 | 使用 Windows 10 範本在 Microsoft Intune 中設定組策略設定。 系統管理範本包含數百個您可以針對 Internet Explorer、Microsoft Edge、OneDrive、遠端桌面、Word、Excel 和其他 Office 程式設定的設定。 這些範本為系統管理員提供了類似於群組原則的簡化設定檢視,並且它們為 100% 雲端式。 |
| 設定 Wi-Fi 設定檔 | 此配置檔可讓人員尋找並連線到組織的 Wi-Fi 網路。 如需此區域中設定的描述,請參閱 Windows 10 和更新版本的Wi-Fi 設定參考。 |
| 設定 VPN 設定檔 | 為連線到您組織網路的人員設定安全的 VPN 選項,例如 Microsoft Tunnel。 如需此區域中設定的描述,請參閱 VPN 設定參考。 |
| 設定電子郵件設置檔 | 設定電子郵件設置,讓人員可以連線到郵件伺服器,並存取其公司或學校電子郵件。 如需此區域中設定的描述,請參閱 電子郵件設置參考。 |
| 限制裝置功能 | 藉由限制使用者可在公司或學校使用的裝置功能,保護使用者免於未經授權的存取和干擾。 如需此區域中設定的描述,請參閱 Windows 10/11 和 Windows 10 Teams 的裝置限制參考。 |
| 設定自訂配置檔 | 新增和指派未內建於 Intune 的裝置設定和功能。 如需此區域中設定的描述,請參閱 自定義設定參考。 |
| 設定 BIOS 設定 | 設定 Intune,讓您可以使用裝置韌體設定介面 (DFCI) ,在已註冊的裝置上控制 UEFI (BIOS) 設定 |
| 設定網域加入 | 如果您打算註冊Microsoft加入 Entra 的裝置,請務必建立網域加入配置檔,讓 Intune 知道要加入哪個內部部署網域。 |
| 設定傳遞優化設定 | 使用這些設定來減少下載應用程式和更新之裝置上的頻寬耗用量。 |
| 自定義商標和註冊體驗 | 使用您組織自己的文字、商標、畫面喜好設定和連絡資訊,自定義Intune公司入口網站並Microsoft Intune 應用程式體驗。 |
| 設定 kiosk 和專用裝置 | 建立 kiosk 設定檔來管理以 kiosk 模式執行的裝置。 |
| 自定義共享裝置 | 控制共用或多用戶裝置上的存取、帳戶和電源功能。 |
| 設定網路界限 | 建立網路界限配置檔,以保護您的環境不受您不信任的網站。 |
| 設定 Windows 健康情況監視 | 建立 Windows 健康情況監視配置檔,以允許Microsoft收集有關效能的數據,並提供改進的建議。 建立配置檔可在 Microsoft Intune 中啟用端點分析功能,以分析收集的數據、建議軟體、協助改善啟動效能,以及修正常見的支持問題。 |
| 為學生設定進行測驗應用程式 | 為在已註冊裝置上進行測驗或測驗的學生設定「進行測驗」應用程式。 |
| 設定 eSim 行動數據配置檔 | 您可以為支援 ESIM 的裝置設定 eSIM,例如 Surface LTE Pro,以透過行動數據連線連線到因特網。 此設定非常適合需要在旅行時保持連線和彈性的全球旅行者,並消除對 SIM 卡的需求。 |
步驟 6:設定安全的驗證方法
在 Intune 中設定驗證方法,以確保只有授權的人員才能存取您的內部資源。 Intune 支援多重要素驗證、憑證和衍生認證。 憑證也可用於使用 S/MIME 簽署和加密電子郵件。
| 工作 | 詳細資料 |
|---|---|
| 需要多重要素驗證 (MFA) | 要求人員在裝置註冊時提供兩種形式的認證。 此原則可與Microsoft條件式存取原則搭配運作。 |
| 建立受信任的憑證配置檔 | 在您建立 SCEP、PKCS 或 PKCS 匯入的憑證配置檔之前,請先建立並部署受信任的憑證配置檔。 受信任的憑證配置檔會使用 SCEP、PKCS 和 PKCS 匯入的憑證,將受信任的跟證書部署到裝置和使用者。 |
| 搭配 Intune 使用 SCEP 憑證 | 瞭解搭配 Intune 使用 SCEP 憑證所需的專案,並設定必要的基礎結構。 然後,您可以 建立 SCEP 憑證配置檔 ,或 使用 SCEP 設定第三方證書頒發機構單位。 |
| 搭配 Intune 使用 PKCS 憑證 | 設定必要的基礎結構 (,例如內部部署憑證連接器) 、匯出 PKCS 憑證,以及將憑證新增至 Intune 裝置組態配置檔。 |
| 搭配 Intune 使用匯入的 PKCS 憑證 | 設定匯入的 PKCS 憑證,可讓您 設定及使用 S/MIME 來加密電子郵件。 |
| 設定衍生認證簽發者 | 使用衍生自用戶智慧卡的憑證來布建 Windows 裝置。 |
| 整合 Windows Hello 企業版與 Microsoft Intune | 建立 Windows Hello 企業版原則,以在裝置註冊期間啟用或停用 Windows Hello 企業版。 Hello 企業版是使用 Active Directory 或 Microsoft Entra 帳戶取代密碼、智慧卡或虛擬智慧卡的替代登入方法。 |
步驟 7:部署應用程式
當您設定應用程式和應用程式原則時,請考慮組織的需求,例如您將支援的平臺、人員執行的工作、完成這些工作所需的應用程式類型,以及需要這些工作的人。 您可以使用 Intune 來管理整個裝置 (包括應用程式) 或使用 Intune 只管理應用程式。
| 工作 | 詳細資料 |
|---|---|
| 新增企業營運應用程式 | 將 macOS 企業營運 (LOB) 應用程式新增至 Intune 並指派給群組。 |
| 新增 Microsoft Edge | 新增並指派 Microsoft Edge for Windows。 |
| 從 Microsoft Store 新增 Intune 公司入口網站應用程式 | 手動新增並指派 Intune 公司入口網站應用程式作為必要應用程式。 |
| 新增適用於 Autopilot 的 Intune 公司入口網站應用程式 | 將公司入口網站應用程式新增至 Windows Autopilot 所布建的裝置。 |
| 新增 Microsoft 365 應用程式 | 新增Microsoft 365 Apps 企業版。 |
| 將應用程式指派給群組 | 將應用程式新增至 Intune 之後,請將它們指派給用戶和裝置。 |
| 包含和排除應用程式指派 | 藉由在指派中包含和排除選取的群組,來控制應用程式的存取和可用性。 |
| 使用 PowerShell 腳本 | 上傳 PowerShell 腳本以擴充 Intune 中的 Windows 裝置管理功能,並讓您更輕鬆地移至新式管理。 |
步驟 8:註冊裝置
在註冊期間,裝置會向 Microsoft Entra ID 註冊並評估合規性。 如需每個註冊方法的相關信息,以及如何選擇適合您組織的註冊方法,請參閱 適用於 Microsoft Intune 的 Windows 裝置註冊指南。
| 工作 | 詳細資料 |
|---|---|
| 啟用 MDM 自動註冊 | 啟用自動註冊以簡化註冊,這會在Intune中自動註冊聯結或向您的 Microsoft Entra ID 註冊的裝置。 自動註冊可簡化 Windows Autopilot 部署、BYOD 註冊、使用組策略註冊,以及透過布建套件進行大量註冊。 |
| 啟用 MDM 伺服器的自動探索 | 如果您沒有 Microsoft Entra ID P1 或 P2,建議您為 Intune 註冊伺服器建立 CNAME 記錄類型。 CNAME 記錄會將註冊要求重新導向至正確的伺服器,讓註冊使用者不需要手動輸入伺服器名稱。 |
| Windows Autopilot 案例 | 藉由設定 Microsoft Intune 裝置註冊在 Windows Autopilot 期間自動進行,為您和您的使用者簡化使用者驅動或自我部署 OOBE。 |
| 使用 Windows Autopilot 註冊Microsoft混合式聯結裝置 | Active Directory 的 Intune 連接器可讓 Active Directory 網域服務中的裝置加入Microsoft Entra ID,然後自動在 Intune 中註冊。 對於使用 Active Directory 網域服務且目前無法將其身分識別移至 Microsoft Entra ID 的內部部署環境,建議使用此註冊選項。 |
| 使用組策略註冊裝置 | 使用組策略觸發自動註冊 Intune。 |
| 大量註冊裝置 | 在 Windows 設定設計工具中建立布建套件,這兩者都會聯結大量新的 Windows 裝置來Microsoft Entra ID,並在 Intune 中註冊它們。 |
| 設定 ESP) (註冊狀態頁面 | 建立具有自定義設定的註冊狀態頁面配置檔,以引導使用者完成裝置設定和註冊。 |
| 變更裝置擁有權標籤 | 註冊裝置之後,您可以將其在 Intune 中的擁有權標籤變更為公司擁有或個人擁有。 這項調整會變更您管理裝置的方式,而且可以在 Intune 中啟用更多管理和識別功能,或加以限制。 |
| 設定 Intune Active Directory 連接器的 Proxy | 設定 Intune Connector for Active Directory 以使用現有的輸出 Proxy 伺服器。 |
| 疑難排解註冊問題 | 針對註冊期間發生的問題進行疑難解答並尋找解決方法。 |
步驟 9:執行遠端動作
設定裝置之後,您可以使用支援的遠端動作來管理和疑難解答距離的裝置。 下列文章將介紹 Windows 的遠端動作。 如果入口網站中沒有或停用動作,則 Windows 不支援該動作。
| 工作 | 詳細資料 |
|---|---|
| 在裝置上採取遠端動作 | 瞭解如何向下切入及從遠端管理 Intune 中的個別裝置並進行疑難解答。 本文列出 Intune 中所有可用的遠端動作,以及這些程序的連結。 |
| 使用 TeamViewer 遠端管理 Intune 裝置 | 在 Intune 內設定 TeamViewer,並瞭解如何從遠端管理裝置。 |
| 使用安全性工作來檢視威脅和弱點 | 使用 Intune 來補救適用於端點Microsoft Defender 所識別的端點弱點。 您必須先將適用於端點的Defender與Intune整合Microsoft才能使用安全性工作。 |
步驟 10:協助員工和學生
本節中的資源位於 Microsoft Intune 使用者說明檔中。 本檔適用於註冊個人或公司提供裝置的員工、學生和其他 Intune 授權裝置使用者。 檔案連結可在整個 Intune 公司入口網站應用程式中取得,並指向下列相關信息:
- 註冊方法,以及如何註冊的逐步解說
- 公司入口網站設定和功能
- 如何取消註冊和移除儲存的數據
- 更新符合性需求的裝置設定
- 如何報告應用程式問題
提示
讓貴組織的操作系統需求和裝置密碼需求易於在您的網站上或上線電子郵件中找到,讓員工不需要延遲註冊即可尋找該資訊。
| 工作 | 詳細資料 |
|---|---|
| 安裝適用於 Windows 的 Intune 公司入口網站應用程式 | 瞭解取得公司入口網站應用程式的位置,以及如何登入。 |
| 更新公司入口網站應用程式 | 本文說明如何安裝最新版的公司入口網站,以及如何開啟自動應用程式更新。 |
| 註冊裝置 | 本文說明如何註冊執行 Windows 10 或 Windows 11 的個人裝置。 |
| 取消註冊裝置 | 本文說明如何從 Intune 取消註冊裝置,並刪除公司入口網站的預存快取和記錄。 |
後續步驟
如需Microsoft Intune 系統管理中心的概觀及其流覽方式,請參閱 教學課程:逐步解說 intune 系統管理中心Microsoft。 教學課程是 100 – 200 層級的內容,適用於 Intune 或特定案例的新使用者。
如需本指南的其他版本,請參閱: