Windows 雲端配置 (cloud config) 是 Windows 用戶端裝置的一種裝置設定。 雲端設定旨在簡化終端使用者的使用體驗。 關於雲端設定的更多資訊,包括最低需求,請參閱 Windows 雲端配置導引情境概述。
使用雲端設定時,你會使用 Microsoft Intune 政策,將 Windows 用戶端裝置轉變為雲端優化裝置。 Windows 雲端設定:
透過設定裝置註冊至 Microsoft Entra 的 Intune 管理,來優化雲端。 使用者資料會自動儲存在 OneDrive,並設定了 已知資料夾移動 。
在裝置上安裝 Microsoft Teams 和 Microsoft Edge。
將終端使用者設定為裝置上的標準使用者,讓 IT 對裝置上安裝的應用程式有更多控制權。
移除內建應用程式與 Microsoft Store 應用程式,簡化終端使用者體驗。
套用端點安全設定與合規政策。 這些政策有助於維護裝置安全,並協助 IT 監控裝置健康狀況。
確保裝置會透過 Windows Update 用戶端政策自動更新。
另外,你也可以選擇:
- 新增其他 Microsoft 365 應用程式,如 Outlook、Word、Excel、PowerPoint。
- 加入關鍵業務線 (業務線(LOB)) 終端用戶成功所需的應用程式。 Microsoft 建議將這些應用程式降到最低,以保持設定簡單。
- 新增 Wi-Fi 設定檔、VPN 連線、憑證及印表機驅動程式等重要資源,這些對使用者工作流程至關重要。
提示
關於雲端配置中的 Windows 及其用途概述,請參見 Windows 雲端配置。
部署雲端設定有兩種方式:
- 選項一 - 自動:使用引導情境自動建立所有群組與政策及其設定值。 欲了解更多此選項資訊,請參閱 Windows 雲端配置引導情境概述。
- 選項二 - 本文 (手冊) :請依照本文步驟自行部署雲端設定。
本指南將協助你建立自己的雲端配置部署。 以下章節說明如何使用 Microsoft Intune 來設定雲端設定:
- Create a Microsoft Entra 群組
- 設定裝置註冊
- 部署腳本來設定已知資料夾移動並移除內建應用程式
- 部署應用程式
- 部署端點安全設定
- 設定 Windows Update 設定
- 部署 Windows 合規政策
- 查看可選配置
必要條件
- 請用內建政策與設定檔管理員角色的帳號登入 Microsoft Intune 管理中心。 欲了解更多內建角色資訊,請參閱 Microsoft Intune 的角色基礎存取控制。
步驟 1 - 建立 Microsoft Entra 群組
第一步是建立一個 Microsoft Entra 安全群組,該群組會接收你部署的設定。
這個專門的群組幫助你在 Intune 中整理裝置並管理雲端設定資源。 Microsoft 建議你只部署本指南中的設定。 然後,視需要加入更多必要的應用程式和其他裝置配置。
請依照以下步驟建立群組:
選擇 群組>所有群組>新群組。
在群組 類型中,選擇 安全性。
輸入 一個群組名稱,例如
Cloud config PCs。對於 會員類型,請選擇 指派。
如果你願意,現在可以把裝置加入你的新群組。 選擇 「無選取成員 」並新增成員到你的群組。
你也可以先從空群組開始,之後再加入裝置。
選取 [建立]。
提示
群組建立後,你可以將預先註冊的 Windows Autopilot 裝置加入此群組。
現有的裝置
如果你有已註冊在 Intune 的裝置,想要用雲端設定使用,我們建議你從頭開始使用這些裝置。 特別是:
- 移除部署在這些裝置上的現有應用程式和設定檔。
- 重置這些裝置。
- 重新在 Intune 註冊裝置並部署你的雲端設定。
這些額外步驟建議用於現有裝置,因為它們能提供更流暢的使用者體驗。 接著,你可以新增其他必要的應用程式,確保裝置只使用使用者所需的功能。
步驟 2 - 設定裝置註冊
在此步驟中,你會啟用 Intune 中的 MDM 自動註冊,並設定裝置如何註冊 Intune。
如果你已經使用 Windows Autopilot,請跳過此步驟,直接前往步驟 3 - 部署腳本來設定已知資料夾移動並移除內建應用程式 (,詳見本文) 。
✅ 1 - 啟用自動註冊
為你想使用的組織使用者啟用自動註冊,並設定雲端設定。雲端設定需要自動註冊。欲了解更多自動註冊資訊,請參閱 註冊指南 - Windows 自動註冊。
依平台>選擇裝置>Windows>裝置 入門>註冊>自動註冊。
在 MDM 使用者範圍中,請選擇以下之一:
- 選擇 「全部 」以套用雲端設定給你組織中使用者使用的所有 Windows 裝置。 在大多數雲端設定情境中,會選擇 「全部 」。
- 選擇 「部分 」以將雲端設定套用到組織中部分使用者使用的裝置。 如果你想分階段應用雲端設定, 那 Some 可能是個不錯的選擇。
不要設定 MAM 使用者範圍、MAM 使用者 URL 條款、MDM 發現 URL 或 MAM 合規 URL 設定。 這些設定保持空白。 MAM 設定沒有針對雲端設定設定。
選取 [儲存] 以儲存變更。
✅ 2 - 選擇裝置如何註冊並設定使用者為標準使用者
在 Windows 自動註冊啟用 Intune 後,下一步是判斷裝置如何註冊 Intune。 當他們註冊時,他們就能接收你的雲端設定政策。 你還需要將使用者設定為他們的裝置上的標準使用者。 Standard 使用者只能安裝經組織核准的應用程式。
報名時,你有三個選擇。 選擇一個報名選項。
- 建議使用 Windows Autopilot ()
- 使用配置套件進行批量註冊
- 在開箱即用的體驗中Microsoft Entra ID, (OOBE)
本節提供更多關於這些註冊選項及如何將使用者設定為標準使用者的資訊。
Microsoft 建議你使用 Windows Autopilot 的使用者驅動註冊功能,以及 ESP) (註冊狀態頁面。 此註冊方式與 ESP 提供一致的終端使用者體驗。
- 你可以預先註冊到 Windows Autopilot 部署服務。 使用 Windows Autopilot,管理員可以設定裝置啟動及如何註冊到裝置管理。
- Intune Windows Autopilot 政策會設定 OOBE) (即使用即用體驗。 在 OOBE 中,你選擇使用者為標準使用者。
- Intune Windows Autopilot 政策會將註冊狀態頁面 (ESP) 配置。 ESP 顯示的是設定進度。 使用者會一直使用 ESP,直到所有雲端設定都套用到裝置上。
要設定 Windows Autopilot 使用者驅動的註冊,請使用以下步驟:
將裝置加入 Windows Autopilot。
在 Windows Autopilot 中註冊你的裝置,請依 步驟 3 - 將裝置註冊到 Windows Autopilot (開啟一篇 Windows Autopilot 文章) 。
注意事項
步驟 3 - 將裝置註冊到 Windows Autopilot Windows Autopilot 文章是一系列步驟的一部分。 對於這個雲端設定,只需依 照步驟 3 - 將裝置註冊到 Windows Autopilot 來註冊你的裝置。 不要跟著其他步驟串聯走。 Windows Autopilot 系列的其他步驟是針對不同的 Windows Autopilot 情境。
你也可以 手動註冊裝置以使用 Windows Autopilot。 手動註冊裝置常被用來重新利用先前未使用 Windows Autopilot 設定的現有硬體。
在 Intune 中建立並指派 Windows Autopilot 部署設定檔。
依平台>選擇裝置>Windows>裝置上線>註冊>Windows Autopilot Deployment Program>部署設定檔。
選擇建立Windows PC設定檔>。 輸入個人檔案名稱。
在「 將所有目標裝置轉換為自動駕駛 」設定中,請選擇 「是」。 選取 [下一步]。
你可以對使用 Windows Autopilot 以外的註冊方式註冊的裝置套用雲端設定。 當你將這些裝置 (非 Windows Autopilot 裝置) 加入你的群組時,這些裝置會被轉換成 Windows Autopilot。 下一次裝置重置並進入 Windows 開箱即用體驗 (OOBE) 時,會透過 Windows Autopilot 註冊。
在開箱即用 體驗 (OOBE) 分頁中,輸入以下數值,然後選擇 「下一步」:
設定 值 部署模式 使用者驅動 加入 Microsoft Entra ID 作為 Microsoft Entra 加入 MICROSOFT 軟體授權條款 隱藏 隱私權設定 隱藏 隱藏變更帳戶選項 隱藏 使用者帳戶類型 標準版 允許預先配置部署 否 語言 (地區) 作業系統預設 自動設定鍵盤 是 應用程式裝置名稱範本 選用。 你可以套用裝置名稱範本。 使用一個名稱前綴,幫助你辨識雲端設定裝置,例如 Cloud-%SERIAL%.'在步驟 1 中將個人檔案指派到你建立的群組——在這篇文章) 建立Microsoft Entra群組 (,然後選擇下一步。
檢視新個人檔案後,選擇 建立。
在 Intune 建立並指派註冊狀態頁面。
依平台>選擇裝置>Windows>裝置入>>職註冊一般>註冊狀態頁面。
選擇 建立 並輸入姓名以進入 註冊狀態頁面。
在 設定 標籤中輸入以下數值,然後選擇 下一步:
設定 值 顯示應用程式與設定檔的流程 是 當安裝時間超過指定的分鐘數時顯示錯誤 60 發生時間限制錯誤時顯示自訂訊息 是的——你也可以更改預設訊息。 為終端使用者開啟日誌收集與診斷頁面 是 封鎖裝置使用者,直到所有應用程式和設定檔都安裝完成 是 發生安裝錯誤時允許使用者重設裝置 是 發生安裝錯誤時允許使用者使用裝置 否 如果這些應用程式被指派給使用者或裝置,請封鎖裝置使用者,直到安裝這些必要的應用程式 全部 注意事項
若發生安裝錯誤,我們建議您封鎖使用者使用該裝置。 封鎖使用者可以確保他們只有在雲端設定完全套用後才能開始使用裝置。
如果安裝出錯,根據你的部署需求,你可以允許使用者使用該裝置。 如果你允許使用該裝置,當裝置向 Intune 簽入時,Intune 仍會繼續嘗試套用設定。
在分配中,將你在步驟1中建立的組別指派註冊狀態頁面——在本篇文章) 建立Microsoft Entra組 (。
選取 [下一步]。
選擇 「建立 」以建立並指派登記狀態頁面。
步驟 3 - 設定 OneDrive 已知資料夾移動並部署腳本移除內建應用程式
當你設定 OneDrive 已知資料夾移動時,使用者檔案和資料會自動儲存在 OneDrive 裡。 當你移除內建的 Windows 應用程式和 Microsoft Store,開始選單和裝置體驗會變得更簡單。
此步驟有助於簡化 Windows 使用者體驗。
✅ 1 - 使用管理範本設定 OneDrive 已知資料夾移動
使用 Known Folder Move 時,使用者 (檔案和資料夾的資料會) 儲存到 OneDrive。 當使用者登入另一台裝置時,OneDrive 會自動將資料同步到新裝置。 使用者不需要手動移動檔案。
注意事項
由於 OneDrive 已知資料夾移動 和 SharedPC 設定的同步問題,Microsoft 不建議在多位使用者同時登出的裝置上使用 Windows 雲端設定。
要設定已知資料夾移動,請使用Intune中的ADMX範本:
選擇 裝置>依平台>Windows>管理裝置>配置>建立>新政策。
選擇 Windows 10 及以後版本為平台,並選擇範本以設定檔類型。
選擇 管理範本 並選擇 建立。
輸入個人檔案名稱,然後選擇 「下一頁」。
在 設定設定中,搜尋以下表格中的設定,並選擇其建議值:
設定名稱 值 靜默地將 Windows 已知資料夾移到 OneDrive 啟用的租戶 ID 輸入你組織的租戶編號。
您的租戶 ID 會顯示在 Microsoft Entra 系統管理中心>的物業頁面>租戶 ID。資料夾被重新導向後,請向使用者顯示通知 是。 你也可以選擇隱藏通知。 使用 Windows 認證以無訊息方式將使用者登入 OneDrive 同步處理應用程式 Enabled 防止使用者將其 Windows 已知資料夾移至 OneDrive Enabled 防止使用者將其 Windows 已知資料夾重新導向到其電腦 Enabled 使用 OneDrive 檔案隨選 Enabled 將個人檔案指派到你在步驟 1 中建立的群組——在這篇文章中建立Microsoft Entra群組 () 。
✅ 2 - 部署腳本移除內建應用程式
Microsoft 創建了一個 Windows PowerShell 腳本,內容包括:
- 移除裝置內建的應用程式。
- 從裝置上移除 Microsoft Store 應用程式。
該腳本部署到使用 Intune 的裝置。 要新增並部署腳本,請使用以下步驟:
下載 Cloud config Windows PowerShell 應用程式移除腳本。 此腳本會移除 Microsoft Store 應用程式及內建應用程式。
注意事項
如果你想讓 Microsoft Store 應用程式保留在裝置上,那你可以使用 腳本移除內建應用程式,但保留 Microsoft Store 。 要使用這個腳本,請下載並依照相同步驟操作。 這個腳本會嘗試移除內建應用程式,但可能無法全部移除。 你可能需要修改腳本,移除裝置上所有內建的應用程式。
依平台>選擇裝置>Windows>管理裝置>腳本與修復>平台腳本>標籤 新增。
在 基礎設定中輸入腳本政策名稱,並選擇 「下一步」。
在 腳本設定中,上傳你下載的腳本。 保持其他設定不變,選擇 「下一步」。
將腳本指派到你在步驟 1 中建立的群組 - 在這篇文章中建立Microsoft Entra群組 () 。
Microsoft Store 應用程式
如果你之前移除了 Microsoft Store 應用程式,現在可以用 Microsoft Intune 重新部署。 若要重新加入 Microsoft Store 應用程式 (或你想重新) 加入的其他應用程式,請將 Microsoft Store 應用程式加入你的私人組織應用程式庫。 接著,將應用程式部署到使用 Intune 的裝置上。 Microsoft Store 應用程式有助於保持應用程式的更新。
您的私人企業應用程式庫可以是 Intune 公司入口網站應用程式或網站。
使用 Intune,在 Windows Enterprise 和 Education 裝置上,你可以阻止終端使用者在組織私有應用程式庫之外安裝 Microsoft Store 應用程式。
為了防止這些外部應用程式,請採取以下步驟:
選擇 裝置>依平台>Windows>管理裝置>配置>建立>新政策。
選擇 Windows 10 及以後版本為平台,並選擇設定目錄以設定型別。 選取 [建立]。
在 基礎輸入你的個人檔案名稱。
在 設定設定中,選擇 新增設定。 然後:
- 在設定選擇器中搜尋
private store。 在搜尋結果中,Microsoft App Store 類別中,選擇「僅要求私人商店」。 - 將 「僅需私人商店 」設定為 「僅啟用私人商店」。
- 選取 [下一步]。
- 在設定選擇器中搜尋
在「分配」中,將個人檔案指派到你在步驟1中建立的群組——在這篇文章) 建立Microsoft Entra群組 (。
在 Review + 建立 中,請檢視你的個人檔案並選擇 建立。
步驟 4 - 部署應用程式
此步驟部署 Microsoft Edge 與 Microsoft Teams。 你可以在此步驟部署其他重要的應用程式。 記住,只部署使用者需要的設備。
✅ 1 - 部署 Microsoft Edge
- 把 Microsoft Edge 加入 Intune。
- 在 應用程式設定中,選擇 穩定頻道。
- 將 Microsoft Edge 應用程式指派到你在步驟 1 中建立的群組——在這篇文章中建立Microsoft Entra群組 () 。
✅ 2- 部署 Microsoft Teams
選擇 應用程式>視窗。
選擇 新增 以建立新應用程式。
對於 Microsoft 365 Apps,請選擇 Windows 10 及之後>的 Select。
對於 套房名稱,請輸入名稱或使用建議名稱。 選取 [下一步]。
對於 配置應用程式套件,只需選擇 Teams。
如果你想部署其他 Microsoft 365 應用程式,請從此清單中選擇它們。 記住,只部署使用者需要的設備。
提示
你不需要選擇 OneDrive。 OneDrive 內建於 Windows Pro、Enterprise 和 Education 版本中。
關於 應用程式套件的資訊,請設定以下設定:
設定 值 架構 64 位元
雲端設定也能支援 32 位元。 Microsoft 建議選擇 64 位元。更新通道 現行頻道 移除其他版本 是 安裝版本 最新 關於 屬性,請設定以下設定:
設定 值 使用共用電腦啟用 是 代表使用者接受 Microsoft 軟體授權條款 是 選取 [下一步]。
將套件指派到你在步驟 1 中建立的群組 - 在這篇文章中建立Microsoft Entra群組 () 。
步驟 5 - 部署端點安全設定
此步驟會設定端點安全設定,以協助維護裝置安全,包括內建的 Windows 安全基線與 BitLocker 設定。
✅ 1 - 部署 Windows MDM 安全基線
對於雲端配置的 Windows,我們建議你使用 Windows 安全基準。 你可以根據組織的偏好調整一些設定值。
在 Intune 中設定安全基線:
選擇端點安全>基線>Windows 10 及以後版本的安全基線。
選擇 建立個人檔案 以建立新的安全基準。
輸入你的安全基線名稱,然後選擇 「下一步」。
接受預設設定。 或者,您也可以根據組織需求調整以下設定:
設定類別 設定 更換原因 瀏覽器 封鎖密碼管理器 如果你想讓終端使用者使用密碼管理器,請關閉這個設定。 遠端協助 徵求遠端協助 此設定允許您的客服人員遠端連接裝置。 Microsoft 建議除非是必須的,否則關閉這個設定。 防火牆 所有防火牆設定 如果你需要根據組織需求允許特定裝置連線,請更改預設的防火牆設定。 選取 [下一步]。
在「指派」中,選擇你在步驟1中建立的群組——在本文) 建立Microsoft Entra群組 (。
選擇 建立 以建立並指派基線。
✅ 2 - 部署更多 BitLocker 設定,並搭配磁碟加密端點安全設定檔
還有更多 BitLocker 的設定可以幫助你保護裝置安全。 請在 Intune 中設定這些 BitLocker 的設定:
選擇端點安全>磁碟加密>,建立政策。
在平台選項中,選擇 Windows 10 及以後版本。
對於 設定檔,請選擇 BitLocker>建立。
在 基礎輸入你的個人檔案名稱。
在 設定中,選擇以下設定:
設定類別 設定 值 BitLocker – 基本設定 啟用作業系統及固定資料碟的完整磁碟加密 是 BitLocker – 固定磁碟機設定 BitLocker 固定磁碟政策 設定 對未受 BitLocker 保護的固定資料磁碟機區塊寫入存取 是 設定固定資料磁碟的加密方法 AES 128位元 XTS BitLocker – 作業系統磁碟機設定 BitLocker 系統驅動政策 設定 啟動驗證要求 是 相容的 TPM 啟動 允許 相容的 TPM 啟動 PIN 碼 允許 相容的 TPM 啟動金鑰 必要 相容的 TPM 啟動金鑰與 IN 允許 在 TPM 不相容的裝置上停用 BitLocker 是 設定作業系統磁碟機的加密方法 AES 128位元 XTS BitLocker – 可拆卸磁碟機設定 BitLocker 可拆卸磁碟機政策 設定 為可移動資料磁碟設定加密方法 AES 128位元 CBC 對未受 BitLocker 保護的可移除資料磁碟機的區塊寫入存取 是 在「指派」中,將個人檔案指派到你在步驟1中建立的群組——在這篇文章) 建立Microsoft Entra群組 (。
選擇 建立 以建立並指派個人檔案。
步驟 6 - 設定 Windows Update 設定
此步驟使用 Windows Update Ring 來保持裝置自動更新。 本指南中的設定與 Windows 更新基準線的建議相符。
在 Intune 中設定更新環:
選擇裝置>管理更新>Windows 10 及更新更新>更新 更新 環節 標籤 >建立設定檔。
在 基礎設定中,輸入更新環的名稱。
在 更新環設定中,設定以下數值並選擇 下一步:
設定 值 維護通道 半年通道 Microsoft 產品更新 允許 Windows 驅動程式 允許 品質更新延遲期 (天) 0 功能更新延遲期 (天) 0 設定功能更新卸載期間 10 自動更新行為 重置為預設值 重啟檢查 允許 暫停 Windows 更新的選項 啟用 檢查 Windows 更新的選項 啟用 要求使用者批准才能關閉重新啟動通知 否 在必須自動重啟前提醒使用者,並以可關閉的提醒在 (小時) 請保持此設定未設定 在必須自動重啟前提醒使用者,並於幾分鐘後永久提醒) ( 請保持此設定未設定 變更通知更新等級 使用預設的 Windows Update 通知 使用截止日期設定 允許 功能更新截止日期 7 品質更新的截止日期 2 寬限期 2 截止日前自動重啟 是 將更新環指派到你在步驟 1 中建立的群組——在這篇文章中建立Microsoft Entra群組 () 。
步驟 7 - 部署 Windows 合規政策
設定合規政策以協助監控裝置合規與健康狀況。 政策會報告違規,但仍允許用戶使用裝置。 您可以根據組織流程選擇如何處理其他違規行為。
在 Intune 中建立合規政策:
選擇裝置合規(Devices)、合規(Devices>)、>建立政策(Create Policy)。
在平台設定中,選擇 Windows 10 及之後>的「建立」。
在 基礎中,輸入合規政策的名稱。 選取 [下一步]。
在 合規設定中,設定以下數值,並選擇 下一步:
設定類別 設定 值 裝置健康狀況 要求 BitLocker 需要 要求裝置啟用安全開機 需要 要求程式碼完整性 需要 系統安全 防火牆 需要 防毒軟體 需要 反間諜軟體 需要 解鎖行動裝置需密碼 需要 簡單密碼 封鎖 密碼類型 字母數字 密碼最小長度 8 在密碼要求前,最多閒置分鐘數 1分鐘 密碼過期 (天) 41 防止重複使用的先前密碼數量 5 守衛者 Microsoft Defender 反惡意軟體 需要 Microsoft Defender 反惡意軟體安全智慧最新 需要 即時保護 需要 在 「不合規行動」中,對於 標記裝置不合規 動作,設定「 不合規後 (天的排程」) 當天
1。 你可以根據組織偏好設定不同的寬限期。如果你的組織使用條件存取政策,我們建議你設定寬限期。 寬限期可防止不合規裝置立即失去組織資源存取權。
你可以在電子郵件中新增一個動作,通知用戶未遵守規定的步驟,並取得合規步驟。
在第 1 步中將合規政策指派給你建立的群組——在這篇文章中建立Microsoft Entra群組 () 。
步驟8 - 可選配置
你可以用雲端設定建立並部署一些可選的政策。本節說明這些可選政策。
✅ 設定租戶網域名稱
設定裝置自動使用租戶的網域名稱進行使用者登入。當你新增網域名稱時,使用者不需要輸入完整的 UPN 即可登入。
在 Intune 中新增租戶網域名稱:
- 登入 Microsoft Intune 系統管理中心。
- 選擇 裝置>依平台>Windows>管理裝置>配置>建立>新政策。
- 至於平台,請選擇 Windows 10 及以後版本。
- 在設定檔類型中,選擇 範本>裝置限制>建立。
- 輸入個人檔案名稱,然後選擇 「下一頁」。
- 在設定設定中,關於密碼,設定 Microsoft Entra 首選租戶網域。 輸入使用者應該用來登入裝置的 Microsoft Entra 網域名稱。
- 將個人檔案指派到你在步驟 1 中建立的群組——在這篇文章中建立Microsoft Entra群組 () 。
✅ 部署其他重要的生產力與業務線, (LOB) 應用程式
你可能有一些所有裝置都需要的必備 LOB 應用程式。 選擇最少數量的這些應用程式來部署。 如果你是透過虛擬化解決方案交付應用程式,那麼也要部署虛擬化客戶端應用程式到裝置上。
對於新增應用程式到雲端設定後,其他應用程式的數量或規模沒有限制。 但 Microsoft 建議根據使用者角色需求,將這些其他應用程式盡量減少。 將這些重要應用程式指派到你在第一步建立的群組——在本文) 建立Microsoft Entra群組 (。
你可能需要在某些裝置上安裝特定的 LOB 應用程式。 或者,有些應用程式的包裝或程序要求相當複雜。 針對這些情境,考慮將這些應用程式從雲端配置中移出。 或者,將需要這些應用程式的裝置保留在現有的 Windows 管理模式中。
雲端設定建議只需幾個關鍵應用程式,並支援協作與瀏覽的裝置。
✅ 部署使用者對組織存取所需的資源
配置使用者可能需要的關鍵資源,這取決於你組織的流程。 基本資源可能包括憑證、印表機、VPN 連線及 Wi-Fi 設定檔。
在Intune中,將這些資源分配到你在步驟1中建立的群組——在這篇文章) 建立Microsoft Entra群組 (。
✅ 設定 OneDrive 已知資料夾移動的建議設定
還有更多設定可以改善 OneDrive 已知資料夾移動的使用者體驗。 這些設定不是已知 資料夾移動 的必要條件,但很有幫助。
想了解更多設定,請參考 OneDrive 建議的已知資料夾移動設定。
✅ 設定建議的 Microsoft Edge 設定
有些 Microsoft Edge 應用程式設定可以設定,以提升使用者體驗。 你可以根據需求或對最終使用者體驗的偏好來設定這些設定。
要設定這些建議的設定,請使用Intune:
選擇 裝置>依平台>Windows>管理裝置>配置>建立>新政策。
選擇 Windows 10 及以後版本為平台,並選擇範本作為設定檔類型。
選擇 管理範本 並選擇 建立。
輸入個人檔案名稱,然後選擇 「下一頁」。
在 設定設定中,搜尋以下設定並設定為建議值:
設定類別 設定 值 配置 Internet Explorer 整合 啟用後,Internet Explorer 模式 SmartScreen 設定 設定 Microsoft Defender SmartScreen Enabled Force Microsoft Defender SmartScreen 會檢查來自可信來源的下載資料 Enabled 設定 Microsoft Defender SmartScreen 以阻擋潛在的不受歡迎應用程式 Enabled 注意事項
SmartScreen 設定同樣由 Microsoft Defender 強制執行。 當你透過 Microsoft Edge 應用程式設定 SmartScreen 時,Microsoft Edge 會直接強制執行這些設定。
將個人檔案指派到你在步驟 1 中建立的群組——在這篇文章中建立Microsoft Entra群組 () 。
監控雲端設定狀態
當你對裝置套用雲端設定時,可以使用 Intune 來監控應用程式和裝置設定的狀態。
劇本狀態
你可以監控已部署腳本的安裝狀態:
- 在 Microsoft Intune 管理中心,請參閱裝置>依平台>Windows>腳本與修復>平台腳本。
- 選擇你部署的腳本。
- 在腳本細節頁面,選擇 裝置狀態。 劇本安裝細節也在展示中。
應用程式安裝
您可以監控已部署應用程式的安裝狀態:
- 在 Microsoft Intune 管理中心,請參閱 Windows>>應用程式。
- 選擇你已部署的應用程式,例如 Microsoft 365 應用程式套件。
- 選擇 裝置安裝狀態 或 使用者安裝狀態。 應用程式安裝細節會顯示。
關於針對個別裝置的應用程式問題故障排除,請參見「Intune 應用程式安裝問題故障排除」。
安全性基準
你可以監控已部署安全基線的安裝狀態。 欲了解更多資訊,請參閱 Intune 中的監控安全基準與設定檔。
磁碟加密設定檔
在 步驟 5 - 部署端點安全設定 (本文) 中,你可能已經設定並部署了 BitLocker 的設定。
您可以監控這個 BitLocker 設定檔的狀態:
- 在 Microsoft Intune 管理中心,請參見端點安全>磁碟加密。
- 選擇你在雲端設定中部署的磁碟加密設定檔。
- 選擇 裝置安裝狀態 或 使用者安裝狀態。 個人資料細節已顯示。
Windows Update 設定
你可以監控 Windows Update 環狀政策的狀態:
- 在 Microsoft Intune 管理中心,請參閱「裝置>管理更新>Windows 10 及後續更新>」標籤。
- 選擇你在雲端設定中部署的更新環。
- 選擇 裝置狀態、 使用者狀態或 終端使用者更新狀態。 更新環設定細節會顯示出來。
欲了解更多關於 Windows Update 環報表的資訊,請參閱 Windows 更新環政策報告。
合規政策
您可以監控合規政策的狀態:
- 在 Microsoft Intune 管理中心,請參閱裝置>合規。
- 選擇你在雲端設定中部署的合規政策。
裝置合規監控檢視包含您的合規政策的指派狀態與指派失敗詳細資訊。 它還具備快速偵測不合規裝置並採取行動的檢視功能。
欲了解更多關於在 Intune 中監控合規政策的詳細資訊,請參閱「監控您的 Intune 裝置合規政策結果」。