Microsoft Intune 是一項基於雲的服務,可幫助您管理設備和應用程序。 如需 Microsoft Intune 可以為您的組織執行哪些動作的詳細資訊,請移至 什麼是 Microsoft Intune。
本文提供啟動 Intune 部署步驟的概觀。
提示
作為本文的隨附,Microsoft 365 系統管理中心也有一些設定指引。 該指南會根據您的環境自訂您的體驗。 若要存取此部署指南,請移至Microsoft 365 系統管理中心中的 Microsoft Intune 設定指南,並以至少) 使用全域讀取器 (登入。 如需這些部署指南和所需角色的詳細資訊,請移至 Microsoft 365 和 Office 365 產品的進階部署指南。
若要檢閱最佳做法,而不登入並啟用自動設定功能,請前往 M365 設定入口網站。
開始之前
若要協助規劃 Intune 部署,請使用 規劃指南移至 Microsoft Intune。 它涵蓋個人裝置、授權考量、建立推出計劃、向使用者傳達變更等等。
以下文章是很好的資源:
判斷您的授權需求,以及 Intune 部署的任何其他必要條件。 下列清單提供一些最常見的必要條件:
Intune 訂用帳戶:包含在某些 Microsoft 365 訂用帳戶中。 您也可以存取 Microsoft Intune 系統管理中心,這是用於管理裝置、應用程式和使用者的 Web 型主控台。
Microsoft 365 應用程式:隨附於 Microsoft 365,用於生產力應用程式,包括 Outlook 和 Teams。
Microsoft Entra ID:Microsoft Entra ID 用於使用者、群組和裝置的身分識別管理。 它隨附您的 Intune 訂用帳戶,可能還附帶您的 Microsoft 365 訂用帳戶。
Microsoft Entra識別碼 P1 或 P2 可能會額外付費,但會提供組織常用的更多功能,包括條件式存取、多重要素驗證 (MFA) ,以及動態群組。
Windows Autopilot:包含在某些 Microsoft 365 訂閱中。 Windows Autopilot 可讓您針對目前支援的 Windows 用戶端裝置版本進行新式 OS 部署。
平台特定先決條件:視您裝置的平台而定,還有其他需求。
例如,如果您管理 iOS/iPadOS 和 macOS 裝置,則需要 Apple MDM 推送憑證,而且可能需要 Apple 權杖。 如果您管理 Android 裝置,可能需要受管理的 Google Play 帳戶。 如果您使用憑證驗證,則可能需要 SCEP 或 PKCS 憑證。
如需詳細資訊,請移至:
檢閱並判斷成功部署和管理 Microsoft Intune 所需的 網路端點 。 檢閱需要設定的 IP 位址、埠設定和網域名稱,以允許受控裝置與 Intune 服務之間的通訊。
步驟 1 - 設定 Intune
在此步驟中:
✅ 確認您的裝置受支援、建立 Intune 租使用者、新增使用者 & 群組、指派授權等等。
此步驟著重於設定 Intune,並準備好管理使用者身分識別、應用程式和裝置。 Intune 會使用 Microsoft Entra ID 中的許多功能,包括您的網域、使用者和群組。
如需詳細資訊,請移至 步驟 1 - 設定 Microsoft Intune。
步驟 2 - 新增和保護應用程式
在此步驟中:
✅在將在 Intune 中註冊的裝置上,建立裝置必須擁有的應用程式基準,然後在註冊期間指派這些應用程式原則。 在需要額外安全性的應用程式上,也請使用應用程式保護原則。
✅在不會在 Intune 中註冊的裝置上,請使用 MFA) (應用程式保護原則和多重要素驗證:
- 應用程式防護原則有助於保護個人裝置上的組織數據。
- MFA 有助於保護組織的資料免遭未經授權的存取。
如需詳細資訊,請移至 步驟 2 - 使用 Intune 新增、設定及保護應用程式。
每個組織都有一組應該安裝在裝置上的基本應用程式。 在使用者註冊其裝置之前,您可以使用 Intune 將這些應用程式指派給其裝置。 在註冊期間,會自動部署應用程式原則。 註冊完成後,應用程式會安裝並可供使用。
如果您願意,您可以註冊您的裝置,然後指派應用程式。 這是你的選擇。 下次用戶檢查新應用程式時,他們會看到可用的新應用程式。
如果使用者擁有自己的個人裝置存取組織資源,則您至少需要保護使用行動應用程式管理 (MAM) 來存取組織資料的任何應用程式。 您可以為 Outlook、Teams、SharePoint 和其他應用程式建立 MAM 原則。 Microsoft Intune 規劃指南有一些管理個人裝置的指引。
注意事項
MFA 是 Microsoft Entra ID 的一項功能,必須在您的 Microsoft Entra 租用戶中啟用。 然後,您可以為應用程式設定 MFA。 如需詳細資訊,請移至:
步驟 3 - 檢查合規性並開啟條件式存取
在此步驟中:
✅建立裝置必須具有的合規性原則基準,然後在註冊期間指派這些合規性原則。
✅ 啟用條件式存取 以強制執行您的合規性原則。
如需詳細資訊,請移至 步驟 3 – 規劃合規性原則。
Intune 等 MDM 解決方案可以設定裝置應該符合的規則,並可以報告這些規則的合規性狀態。 這些規則稱為合規性原則。 當您將合規性原則與條件式存取結合時,您可以要求裝置符合特定安全性需求,才能存取組織的數據。
當使用者在 Intune 中註冊其裝置時,註冊程式可以自動部署您的合規性原則。 註冊完成後,系統管理員可以檢查合規性狀態,並取得不符合規則的裝置清單。
如果您願意,可以在檢查合規性之前註冊您的設備。 這是你的選擇。 在下次 Intune 簽入時,會指派合規性原則。
注意事項
條件式存取是 Microsoft Entra ID 的一項功能,必須在 Microsoft Entra 租使用者中啟用。 然後,您可以為使用者身分識別、應用程式和裝置建立條件式存取原則。 如需詳細資訊,請移至:
步驟 4 - 設定裝置功能
在此步驟中:
✅建立應啟用或封鎖的安全性功能和裝置功能的基準。 在註冊期間指派這些設定檔。
如需詳細資訊,請移至 步驟 4 - 建立裝置組態設定檔以保護裝置並存取組織資源。
您的組織可以有一組應設定或封鎖的基本裝置和安全性功能。 這些設定會新增至裝置組態和端點安全性設定檔。 Microsoft 建議您在註冊期間指派金鑰安全性和裝置設定原則。 註冊開始時,會自動指派裝置組態設定檔。 註冊完成後,會設定這些裝置和安全功能。
如果你願意,可以在建立設定描述檔之前註冊裝置。 這是你的選擇。 在下次 Intune 簽入時,會指派配置檔。
在 Microsoft Intune 系統管理中心中,您可以根據裝置平臺建立不同的配置檔 - Android、iOS/iPadOS、macOS 和 Windows。
以下文章是很好的資源:
步驟 5 - 註冊您的裝置
在此步驟中:
✅在 Intune 中註冊您的裝置。
如需更具體的資訊,請移至 步驟 5 - 註冊指引:在 Microsoft Intune 中註冊裝置。
若要完全管理裝置,裝置必須在 Intune 中註冊,才能接收您建立 & 條件式存取原則、應用程式原則、裝置設定原則和安全性原則的合規性。 身為系統管理員,您可以為使用者和裝置建立註冊原則。 每個裝置平台 (Android、iOS/iPadOS、Linux、macOS 和 Windows) 都有不同的註冊選項。 您可以選擇最適合您的環境、案例和裝置使用方式。
根據您選擇的註冊選項,使用者可以自行註冊。 或者,您可以自動註冊,讓使用者只需要使用其組織帳戶登入裝置。
當裝置註冊時,裝置會獲發安全 MDM 憑證。 此憑證會與 Intune 服務通訊。
不同的平台有不同的註冊要求。 下列文章可協助您深入瞭解裝置註冊,包括平臺特定的指引:
使用 Configuration Manager 進行雲端附加
Microsoft Configuration Manager 可協助保護內部部署 Windows Server、裝置、應用程式和數據。 如果您需要管理雲端和內部部署端點的組合,您可以雲端將 Configuration Manager 環境連結至 Intune。
如果您使用 Configuration Manager,則有兩個步驟可雲端連結內部部署裝置:
租用戶連結:向 Configuration Manager 部署註冊您的 Intune 租用戶。 您的 Configuration Manager 裝置會顯示在 Microsoft Intune 系統管理中心。 在這些裝置上,您可以執行不同的動作,包括安裝應用程式,以及使用 Web 型 Intune 系統管理中心執行 Windows PowerShell 腳本。
共同管理:使用 Configuration Manager 和 Microsoft Intune 管理 Windows 用戶端裝置。 Configuration Manager 會管理某些工作負載,而 Intune 會管理其他工作負載。
例如,您可以使用 Configuration Manager 來管理 Windows 更新,並使用 Intune 來管理條件式存取原則 & 合規性。
如果您目前使用 Configuration Manager,您會透過租用戶連結取得立即價值,並透過共同管理取得更多價值。
如需適合您組織之 Microsoft Intune 設定的指引,請移至 部署 指南:設定或移至 Microsoft Intune。