成功的 Microsoft Intune 部署或移轉會從規劃開始。 本指南可協助您規劃移動或採用 Intune 作為統一端點管理解決方案。
Intune 為組織提供選項,以執行最適合其和許多不同使用者裝置的動作。 您可以在 Intune 中註冊裝置,以 (MDM) 進行行動裝置管理。 您也可以使用應用程式保護原則來管理行動應用程式管理 (著重於保護應用程式資料的 MAM) 。
本指南:
- 清單並描述裝置管理的一些常見目標
- 清單潛在的授權需求
- 提供處理個人擁有設備的指導
- 建議審查當前政策和基礎設施
- 提供建立首度發行計劃的範例
- 以及其他選項
使用本指南來規劃您移轉或移轉至 Intune。
提示
- 想要列印本指南或儲存為 PDF 嗎? 在網頁瀏覽器中,使用 「列印」 選項「 另存為 PDF」。
- 本指南是一個活生生的東西。 因此,請務必添加或更新您認為有用的現有提示和指南。
步驟 1 - 確定您的目標
組織使用行動裝置管理 (MDM) ,以及 MAM) (行動應用程式管理,以安全地控制組織資料,並將對使用者的干擾降到最低。 評估 MDM/MAM 解決方案時,例如 Microsoft Intune,請查看目標是什麼,以及您想要達成的目標。
在本節中,我們會討論使用 Intune 時的常見目標或案例。
目標:存取組織應用程式和電子郵件
使用者期望使用組織應用程式在裝置上工作,包括閱讀和回覆電子郵件、更新和共用資料等。 在 Intune 中,您可以部署不同類型的應用程式,包括:
- Microsoft 365 應用程式
- Win32 應用程式
- 企業營運 (LOB) 應用程式
- 自訂應用程式
- 內建應用程式
- 市集應用程式
✅ 工作:列出使用者經常使用的應用程式
這些應用程式是您想要在其裝置上使用的應用程式。 一些考慮因素:
許多組織會部署所有 Microsoft 365 應用程式,例如 Word、Excel、OneNote、PowerPoint 和 Teams。 在較小的裝置 (例如行動電話) 上,您可以根據使用者需求安裝個別應用程式。
例如,銷售小組可能需要 Teams、Excel 和 SharePoint。 在行動裝置上,您只能部署這些應用程式,而不是部署整個 Microsoft 365 產品系列。
使用者偏好在所有裝置 (包括個人裝置) 上閱讀 & 回覆電子郵件,以及加入會議。 在組織擁有的裝置上,您可以部署 Outlook 和 Teams,並使用組織設定預先設定這些應用程式。
在個人裝置上,您可能沒有此控制權。 因此,請決定是否要授予使用者組織應用程式的存取權,例如電子郵件和會議。
如需詳細資訊和考慮,請移至本文) 中的 個人裝置與組織擁有的裝置 (。
如果您打算在 Android 和 iOS/iPadOS 裝置上使用 Microsoft Outlook,您可以使用 Intune 應用程式設定原則預先設定 Outlook。
檢閱設計 為與 Intune 搭配使用的受保護應用程式。 這些應用程式是支援的合作夥伴應用程式,以及通常與 Microsoft Intune 搭配使用的 Microsoft 應用程式。
目標:所有裝置上的安全存取
當資料儲存在行動裝置上時,必須保護資料免受惡意活動的侵害。
✅ 工作:決定您要如何保護裝置
防毒、惡意軟體掃描、回應威脅以及保持設備最新都是重要的考慮因素。 您也想要將惡意活動的影響降到最低。
一些考慮因素:
防毒 (AV) 和惡意軟體防護是必須的。 Intune 會與 適用於端點的 Microsoft Defender 和不同的行動威脅防禦 (MTD) 合作夥伴整合,以協助保護您的受控裝置、個人裝置和應用程式。
適用於端點的 Microsoft Defender 包含安全性功能和入口網站,可協助監視和回應威脅。
如果裝置遭到入侵,您想要使用條件式存取來限制惡意影響。
例如,適用於端點的 Microsoft Defender 會掃描裝置,並可以判斷裝置是否遭到入侵。 條件式存取可以自動封鎖此裝置上的組織存取,包括電子郵件。
條件式存取有助於保護您的網路和資源免受裝置的侵害,即使是未在 Intune 中註冊的裝置。
更新裝置、作業系統和應用程式,以協助保護資料安全。 建立有關安裝更新的方式和時間的計劃。 Intune 中有原則可協助您管理更新,包括市集應用程式的更新。
下列軟體更新規劃指南可協助您判斷更新策略:
決定使用者如何從其許多裝置向組織資源進行驗證。 例如,您可以:
使用裝置上的 憑證 來驗證功能和應用程式,例如連線到虛擬私人網路 (VPN) 、開啟 Outlook 等等。 這些憑證可提供「無密碼」使用者體驗。 無密碼被認為比要求使用者輸入其組織使用者名稱和密碼更安全。
如果您打算使用憑證,請使用支援的 公開金鑰基礎結構 (PKI) 基礎結構 來建立和部署憑證設定檔。
使用 多重要素驗證 (MFA) ,在組織擁有的裝置上提供額外的驗證層。 或者,使用 MFA 來驗證個人裝置上的應用程式。 也可以使用人臉辨識和指紋等生物辨識技術。
如果您打算使用生物辨識技術進行身份驗證,請確保您的裝置支援生物辨識技術。 大多數現代設備都可以。
實作零信任部署。 透過零信任,您可以使用 Microsoft Entra ID 和 Microsoft Intune 中的功能來保護所有端點、使用無密碼驗證等等。
設定 Microsoft 365 應用程式隨附的資料內含原則。 這些原則有助於防止組織資料與 IT 無法管理的其他應用程式和儲存位置共用。
如果某些使用者只需要存取公司電子郵件和檔,這對於個人擁有的裝置來說很常見,那麼您可以要求使用者使用具有應用程式保護原則的 Microsoft 365 應用程式。 裝置不需要在 Intune 中註冊。
如需詳細資訊和考慮,請移至本文) 中的 個人裝置與組織擁有的裝置 (。
目標:分散 IT
許多組織都希望讓不同的系統管理員控制位置、部門等。 例如, 夏洛特 IT 管理員 群組會控制和監視夏洛特園區中的原則。 這些夏洛特 IT 管理員只能查看和管理夏洛特位置的政策。 他們無法查看和管理雷德蒙德位置的原則。 這種方法稱為分散式 IT。
在 Intune 中,分散式 IT 受益於下列功能:
範圍標籤使用 角色型存取控制 (RBAC) 。 因此,只有特定群組中的使用者有權管理其範圍內使用者和裝置的原則和配置檔。
當您使用 裝置註冊類別時,裝置會根據您建立的類別自動新增至群組。 此功能使用 Microsoft Entra 動態群組,並有助於更輕鬆地管理裝置。
當使用者註冊其裝置時,他們會選擇類別,例如銷售、IT 管理員、銷售點裝置等。 將裝置新增至類別時,這些裝置群組已準備好接收您的原則。
當系統管理員建立原則時,您可以要求特定原則的 多個系統管理員核准 ,包括執行指令碼或部署應用程式的原則。
端點權限管理允許標準非管理員使用者完成需要提高權限的工作,例如安裝應用程式和更新裝置驅動程式。 端點權限管理是 Intune 套件的一部分。
✅ 工作:決定您要如何散發規則和設定
規則和設定會使用不同的原則來部署。 一些考慮因素:
決定您的系統管理結構。 例如,您可能想要依位置分隔,例如 Charlotte IT 管理員 或 Cambridge IT 管理員。 您可能想要按角色分隔,例如控制所有網路存取(包括 VPN)的 網路管理員 。
這些類別會成為您的 範圍標籤。
如需建立管理員群組的詳細資訊,請移至:
有時,組織需要在大量本機系統管理員連線到單一 Intune 租使用者的系統中使用分散式 IT。 例如,大型組織有單一 Intune 租用戶。 組織有大量本機管理員,每個管理員都會管理特定的系統、區域或位置。 每個管理員只需要管理自己的位置,而不是整個組織。
如需詳細資訊,請移至 分散 式 IT 環境,其中包含相同 Intune 租使用者中的許多系統管理員。
許多組織依裝置類型來區隔群組,例如 iOS/iPadOS、Android 或 Windows 裝置。 部分範例:
- 將特定應用程式分發到特定裝置。 例如,將 Microsoft Shuttle 應用程式部署至 Redmond 網路中的行動裝置。
- 將原則部署至特定位置。 例如,將 Wi-Fi 設定檔部署至夏洛特網路中的裝置,以便它們在範圍內自動連線。
- 控制特定裝置上的設定。 例如,在製造車間使用的 Android Enterprise 裝置上停用相機、為所有 Windows 裝置建立 Windows Defender 防病毒軟體設定檔,或將電子郵件設定新增至所有 iOS/iPadOS 裝置。
這些類別會成為您的 裝置註冊類別。
目標:將組織資料保留在組織內
當資料儲存在行動裝置上時,應保護資料免遭意外遺失或分享。 此目標也包括從個人和組織擁有的裝置抹除組織資料。
✅ 任務:建立計劃以涵蓋影響組織的不同案例
一些範例案例:
裝置遺失或遭竊,或不再使用。 使用者離開組織。
- 在 Intune 中,您可以使用 抹除、淘汰或手動取消註冊裝置來移除裝置。 您也可以自動移除 x 天數未簽入 Intune 的裝置。
- 在應用程式層級,您可以 從 Intune 管理的應用程式移除組織數據。 選擇性抹除非常適合個人裝置,因為它會將個人資料保留在裝置上,而且只會移除組織資料。
在個人裝置上,您可能想要防止使用者複製/貼上、截取螢幕截圖或轉寄電子郵件。 應用程式防護原則可能會封鎖您不管理的裝置上的這些功能。
在受控裝置 (在 Intune) 中註冊的裝置上,您也可以使用裝置組態配置檔來控制這些功能。 裝置組態設定檔會 控制裝置上的設定,而不是應用程式上的設定。 在存取高度敏感或機密資料的裝置上,裝置組態設定檔可以防止複製/貼上、截取螢幕截圖等。
如需詳細資訊和考慮,請移至本文) 中的 個人裝置與組織擁有的裝置 (。
步驟 2 - 清查您的裝置
組織擁有一系列設備,包括桌上型電腦、筆記型電腦、平板電腦、手持式掃描器和行動電話。 這些裝置由組織擁有,或由您的使用者擁有。 規劃裝置管理策略時,請考慮存取組織資源的所有項目,包括個人裝置。
本節包含您應該考慮的裝置資訊。
支援的平台
Intune 支援常見且熱門的裝置平臺。 如需特定版本,請前往 支援的平台。
✅ 工作:升級或更換舊裝置
如果您的裝置使用不受支援的版本(主要是較舊的作業系統),那麼是時候升級作業系統或更換裝置了。 這些較舊的操作系統和設備的支持可能有限,並且存在潛在的安全風險。 此工作包括執行 Windows 7 的桌上型電腦、執行原始 v10.0 作業系統的 iPhone 7 裝置等。
個人裝置與組織擁有的裝置
在個人裝置上,使用者檢查電子郵件、加入會議、更新檔案等是正常且預期的。 許多組織允許個人裝置存取組織資源。
BYOD/個人裝置是行動應用程式管理 (MAM) 策略的一部分,該策略:
- 在許多組織中持續流行
- 對於想要保護組織資料但又不想管理整個裝置的組織來說,這是一個不錯的選擇
- 降低硬體成本。
- 可以增加員工的行動生產力選擇,包括遠端 & 混合工作者
- 只會從應用程式移除組織資料,而不是從裝置移除所有資料
組織擁有的裝置是行動裝置管理 (MDM) 策略的一部分,該策略:
- 將完全控制權交給組織中的 IT 管理員
- 擁有一組豐富的功能來管理應用程序、設備和用戶
- 對於想要管理整個設備(包括硬件和軟件)的組織來說是一個不錯的選擇
- 可能會增加硬體成本,尤其是在現有設備過時或不再支援的情況下
- 可以從設備中刪除所有數據,包括個人數據
身為組織和管理員,您可以決定是否允許個人裝置。 如果您確實允許個人裝置,則需要做出重要決策,包括如何保護您的組織數據。
✅ 工作:決定您要如何處理個人裝置
如果行動或支援遠端工作者對您的組織很重要,請考慮以下方法:
選項 1:允許個人裝置存取組織資源。 使用者可以 選擇註冊或不註冊。
對於 註冊個人裝置的使用者,系統管理員會全面管理這些裝置,包括推送原則、控制裝置功能 & 設定,甚至抹除裝置。 身為系統管理員,您可能想要此控制項,或者您可能 認為 自己想要此控制項。
當使用者註冊其個人裝置時,他們可能沒有意識到或瞭解管理員可以在裝置上執行任何動作,包括意外抹除或重設裝置。 身為系統管理員,您可能不希望對組織不擁有的裝置產生此責任或潛在影響。
此外,許多使用者拒絕註冊,並可以找到其他方式來存取組織資源。 例如,您需要註冊裝置才能使用 Outlook 應用程式來檢查組織電子郵件。 若要略過此需求,使用者請在裝置上開啟任何網頁瀏覽器,然後登入 Outlook Web Access,這可能不是您想要的。 或者,他們創建屏幕截圖,並將圖像保存在設備上,這也不是您想要的。
如果您選擇此選項,請務必教育使用者註冊其個人裝置的風險和好處。
對於 未註冊其個人裝置的使用者,您可以使用應用程式保護原則來管理應用程式存取並保護應用程式資料。
使用搭配條件式存取原則的 條款及條件 陳述式。 如果使用者不同意,則他們無法存取應用程式。 如果使用者同意陳述式,則會將裝置記錄新增至 Microsoft Entra ID,而裝置會變成已知實體。 當已知裝置時,您可以追蹤從裝置存取的內容。
始終使用應用程式策略控制存取和安全性。
查看貴組織最常使用的工作,例如電子郵件和加入會議。 使用 應用程式設定原則 來設定應用程式特定的設定,例如 Outlook。 使用 應用程式保護原則 來控制這些應用程式的安全性和存取權。
例如,用戶可以使用個人設備上的 Outlook 應用程序來檢查工作電子郵件。 在 Intune 中,系統管理員會建立 Outlook 應用程式保護原則。 此原則會在每次開啟 Outlook 應用程式時使用多重要素驗證 (MFA) 、防止複製和貼上,以及限制其他功能。
選項 2:您希望 每個裝置都受到完全管理。 在此案例中,所有裝置都會在 Intune 中註冊,並由組織管理,包括個人裝置。
若要協助強制執行註冊,您可以部署條件式存取 (CA) 原則,以要求裝置在 Intune 中註冊。 在這些裝置上,您還可以:
- 設定 組織連線的 WiFi/VPN 連線 ,並將這些連線原則部署至裝置。 使用者不需要輸入任何設定。
- 如果 使用者需要在其 裝置上的特定應用程式,請部署應用程式。 您也可以部署組織出於安全目的所需的應用程式,例如行動威脅防禦應用程式。
- 使用 合規性原則來設定 組織必須遵循的任何規則,例如調用特定 MDM 控制項的法規或原則。 例如,您需要 Intune 來加密整個裝置,或產生裝置上所有應用程式的報告。
如果您還想控制硬件,請為用戶提供他們需要的所有設備,包括手機。 投資硬體更新計劃,讓使用者繼續保持生產力,並獲得最新的內建安全功能。 在 Intune 中註冊這些組織擁有的裝置,並使用原則來管理它們。
最佳做法是一律假設資料會離開裝置。 確保您的追蹤和稽核方法已到位。 如需詳細資訊,請參閱 Microsoft Intune 的零信任。
管理桌上型電腦
Intune 可以管理執行 Windows 的桌面電腦。 Windows 用戶端作業系統包含內建的新式裝置管理功能,並移除本機 Active Directory 的相依性 (AD) 群組原則。 在 Intune 中建立規則和設定,並將這些原則部署至所有 Windows 用戶端裝置,包括桌上型電腦和電腦時,您會獲得雲端的優點。
如需詳細資訊,請移至 引導式案例 - 雲端管理的新式桌面。
如果您的 Windows 裝置目前是使用 Configuration Manager 來管理,您仍然可以在 Intune 中註冊這些裝置。 這種方法稱為 共同管理。 共同管理提供許多優點,包括在裝置上執行遠端動作 (重新啟動、遠端控制、恢復原廠設定) 、具有裝置合規性的條件式存取等等。 您也可以將裝置雲端附加至 Intune。
如需詳細資訊,請移至:
✅ 工作:查看您目前用於行動裝置管理的內容
您採用行動裝置管理可能取決於組織目前使用的內容,包括該解決方案是否使用內部部署功能或程式。
安裝部署 指南 有一些很好的資訊。
一些考慮因素:
如果您目前未使用任何 MDM 服務或解決方案,則直接移至 Intune 可能是最佳選擇。
如果您目前使用內部部署 群組原則 物件 (GPO) ,則移至 Intune 並使用 Intune 設定目錄類似,而且可以更輕鬆地轉換至雲端式裝置原則。 設定目錄也包含 Apple 裝置和 Google Chrome 的設定。
對於未在 Configuration Manager 或任何 MDM 解決方案中註冊的新裝置,則直接移至 Intune 可能是最佳選擇。
如果您目前使用 Configuration Manager,則您的選項包括:
- 如果您想要保留現有的基礎結構,並將某些工作負載移至雲端,請使用共同管理。 您可以從這兩項服務中受益。 現有的裝置可以從Configuration Manager (內部部署) 接收某些原則,以及來自 Intune (雲端) 的其他原則。
- 如果您想要保留現有的基礎結構,並使用 Intune 來協助監視內部部署裝置,請使用租用戶附加。 您可以獲得使用 Intune 系統管理中心的好處,同時仍使用 Configuration Manager 來管理裝置。
- 如果您想要純雲端解決方案來管理裝置,請移至 Intune。 某些 Configuration Manager 使用者偏好繼續將 Configuration Manager 與租用戶連結或共同管理搭配使用。
如需詳細資訊,請移至 共同管理工作負載。
FLW) 裝置 (一線員工
共用平板電腦和裝置對於 FLW) (一線員工來說很常見。 它們用於許多行業,包括零售、醫療保健、製造等。
有適用於不同平台的選項,包括 Android (AOSP) 虛擬實境裝置、iPad 裝置和 Windows 365 雲端 PC。
✅ 作業:判斷您的 FLW 實務範例
FLW 裝置是組織擁有的,已註冊到裝置管理中,並由一個使用者 (指派) 的使用者使用,或由多個使用者使用, (共用裝置) 。 這些設備對於第一線員工完成工作至關重要,並且通常以有限使用模式使用。 例如,它可以是掃描物品的設備、顯示資訊的資訊亭或在醫院或醫療機構檢查患者的平板電腦。
如需詳細資訊,請移至 Microsoft Intune 中的第一線背景工作者裝置管理。
步驟 3 - 判斷成本和授權
管理裝置是與不同服務的關係。 Intune 包含您可以在不同裝置上控制的設定和功能。 還有其他服務也發揮關鍵作用:
Microsoft Entra ID P1 或 P2 (包含在 Microsoft 365 E5 授權) 包含管理裝置的關鍵功能,包括:
- Windows Autopilot:Windows 用戶端裝置可以自動註冊 Intune,並自動接收您的原則。
- 多重要素驗證 ( MFA) :使用者必須輸入兩種或多種驗證方法,例如 PIN、驗證器應用程式、指紋等。 針對個人裝置和需要額外安全性的組織擁有的裝置使用應用程式保護原則時,MFA 是絕佳的選項。
- 條件式存取:如果使用者和裝置遵循您的規則,例如 6 位數密碼,則他們可以存取組織資源。 如果使用者或裝置不符合您的規則,則無法存取。
- 動態使用者群組和動態裝置群組:當使用者或裝置符合條件時,自動將使用者或裝置新增至群組,例如城市、職稱、作業系統類型、作業系統版本等。
Microsoft 365 應用程式 (包含在 Microsoft 365 E5 授權中) 包括使用者所依賴的應用程式,包括 Outlook、Word、SharePoint、Teams、OneDrive 等。 您可以使用 Intune 將這些應用程式部署至裝置。
適用於端點的 Microsoft Defender (包含在 Microsoft 365 E5 授權) 中,有助於監控和掃描您的 Windows 用戶端裝置是否有惡意活動。 您也可以設定可接受的威脅層級。 與條件式存取結合使用時,如果超過威脅層級,您可以封鎖對組織資源的存取。
Microsoft Purview (包含在 Microsoft 365 E5 授權中) 藉由套用標籤來分類和保護檔和電子郵件。 在 Microsoft 365 應用程式上,您可以使用這項服務 來防止未經授權存取組織數據,包括個人裝置上的應用程式。
Intune 中的 Microsoft Copilot 是生成式 AI 安全性分析工具。 它會存取您的 Intune 數據,並協助您管理原則和設定、瞭解安全性狀態,以及針對裝置問題進行疑難排解。
Intune 中的 Copilot 是透過 Microsoft Security Copilot 授權。 如需詳細資訊,請移至 開始使用 Microsoft Security Copilot。
Intune Suite 提供進階端點管理和安全性功能,例如遠端說明、Microsoft 雲端 PKI、端點權限管理等等。 Intune Suite 可作為單獨的許可證使用。
如需詳細資訊,請移至:
✅ 工作:判斷您的組織所需的授權服務
一些考慮因素:
如果您的目標是部署原則 (規則) ,並配置檔 (設定) ,而不進行任何強制執行,您至少需要:
- Intune
Intune 可搭配不同的訂用帳戶使用,包括作為獨立服務。 如需詳細資訊,請移至 Microsoft Intune 授權。
您目前使用 Configuration Manager,而且想要設定裝置的共同管理。 Intune 已包含在您的 Configuration Manager 授權中。 如果您想要 Intune 完全管理新裝置或現有的共同管理裝置,則需要個別的 Intune 授權。
您想要強制執行您在 Intune 中建立的合規性或密碼規則。 您至少需要:
- Intune
- Microsoft Entra ID P1 或 P2
Intune 和 Microsoft Entra ID P1 或 P2 可與 Enterprise Mobility + Security 搭配使用。 如需詳細資訊,請移至 Enterprise Mobility + Security 定價選項。
您只想管理裝置上的 Microsoft 365 應用程式。 您至少需要:
- Microsoft 365 基本版行動性和安全性
如需詳細資訊,請移至:
您想要將 Microsoft 365 應用程式部署至您的裝置,並建立原則來協助保護執行這些應用程式的裝置。 您至少需要:
- Intune
- Microsoft 365 應用程式
您想要在 Intune 中建立原則、部署 Microsoft 365 應用程式,以及強制執行您的規則和設定。 您至少需要:
- Intune
- Microsoft 365 應用程式
- Microsoft Entra ID P1 或 P2
由於所有這些服務都包含在某些 Microsoft 365 方案中,因此使用 Microsoft 365 授權可能具有成本效益。 如需詳細資訊,請移至 Microsoft 365 授權方案。
步驟 4 - 檢閱現有的原則和基礎結構
許多組織都有現有的原則和裝置管理基礎結構,這些基礎結構只會「維護」。 例如,您可能有 20 年前的群組原則,但不知道它們的作用。 在考慮遷移到雲端時,不要查看您一直做的事情,而是確定目標。
牢記這些目標後,請建立政策的基準。 如果您有多個裝置管理解決方案,現在可能是使用單一行動裝置管理服務的時候了。
✅ 工作:查看您在內部部署執行的工作
此任務包括查看可以遷移到雲端的服務。 請記住,不要只看你一直在做的事情,而是確定目標。
提示
了解有關雲原生端點的更多信息是 很好的資源。
一些考慮因素:
檢閱現有政策及其結構。 有些原則可以全域套用,有些原則適用於網站層級,有些原則特定於裝置。 目標是瞭解並瞭解全域政策的意圖、本機政策的意圖等等。
內部部署 Active Directory 群組原則會依 LSDOU 順序套用 - 本機、網站、網域和組織單位 (OU) 。 在此階層中,OU 原則會覆寫網域原則,網域原則會覆寫網站原則,依此類推。
在 Intune 中,原則會套用至您建立的使用者和群組。 沒有等級制度。 如果兩個原則更新相同的設定,則該設定會顯示為衝突。 如需衝突行為的詳細資訊,請移至 裝置政策和設定檔的常見問題、問題和解決方案。
檢閱原則之後,您的 AD 全域原則會在邏輯上開始套用至您擁有的群組或您需要的群組。 這些群組包括您要在全域層級、網站層級等鎖定目標的使用者和裝置。 此工作可讓您瞭解 Intune 中所需的群組結構。 大型 Microsoft Intune 環境中分組、目標和篩選的效能建議 可能是很好的資源。
準備好在 Intune 中建立新的原則。 Intune 包含數個功能,涵蓋您可能感興趣的案例。 部分範例:
安全性基準:在 Windows 用戶端裝置上, 安全性基準 是預先設定為建議值的安全性設定。 如果您不熟悉保護裝置,或想要完整的基準,請查看安全性基準。
設定深入解析 會藉由新增類似組織成功採用的深入解析,提供設定的信心。 深入解析適用於某些設定,但並非所有設定都可用。 如需詳細資訊,請參閱 設定深入解析。
設定目錄: 設定目錄 會列出您可以設定的所有設定,而且看起來類似於內部部署 GPO 和 ADMX 範本。 當您建立原則時,您會從頭開始,並在精細層級設定設定。
群組原則:使用 群組原則分析 來匯入和分析您的 GPO。 這項功能可協助您判斷 GPO 在雲端中的轉譯方式。 輸出顯示 MDM 提供者 (包括 Microsoft Intune) 支援哪些設定。 它還顯示任何已過時的設定,或 MDM 提供者無法使用的設定。
您也可以根據匯入的設定建立 Intune 原則。 如需詳細資訊,請移至 使用 匯入的 GPO 建立設定目錄原則。
引導式案例: 引導式案例 是一系列著重於端對端使用案例的自訂步驟。 這些案例會自動包含原則、應用程式、指派和其他管理設定。
建立包含最低目標的原則基準。 例如:
安全電子郵件:您至少可能想要:
- 建立 Outlook 應用程式保護原則。
- 啟用 Exchange Online 的條件式存取,或連線到另一個內部部署電子郵件解決方案。
裝置設定:您至少可以執行下列動作:
- 需要六個字元的 PIN 碼才能解鎖裝置。
- 防止備份到個人雲端服務,例如 iCloud 或 OneDrive。
裝置設定檔:您至少可以執行下列動作:
應用程式:您至少可以:
- 使用應用程式保護原則部署 Microsoft 365 應用程式。
- 使用應用程式保護原則部署商務營運 (LOB) 。
如需建議最低設定的詳細資訊,請移至:
檢閱群組的目前結構。 在 Intune 中,您可以建立原則並將其指派給使用者群組、裝置群組,以及需要Microsoft Entra識別碼 P1 或 P2) 的動態使用者和裝置群組 (。
當您在雲端中建立群組時,例如 Intune 或 Microsoft 365,群組會在 Microsoft Entra ID 中建立。 您可能看不到 Microsoft Entra ID 品牌,但這就是您正在使用的。
創建新群組可能是一項簡單的任務。 您可以在 Microsoft Intune 系統管理中心建立它們。 如需詳細資訊,請移至 新增群組以組織使用者和裝置。
將現有的通訊群組清單 (DL) 移至 Microsoft Entra ID 可能會更具挑戰性。 一旦它們的 DL 位於 Microsoft Entra ID 中,這些群組就可供 Intune 和 Microsoft 365 使用。 如需詳細資訊,請移至:
如果您有現有的 Office 365 群組,您可以移至 Microsoft 365。 您現有的群組會保留,而且您可以取得 Microsoft 365 的所有功能和服務。 如需詳細資訊,請移至:
如果您有多個裝置管理解決方案,請 移至單一行動裝置管理解決方案。 建議您使用 Intune 來協助保護應用程式和裝置上的組織數據。
如需詳細資訊,請移至 Microsoft Intune 安全地管理身分識別、管理應用程式和管理裝置。
步驟 5 - 建立推出計劃
下一個工作是規劃使用者和裝置接收原則的方式和時間。 在此作業中,也要考慮:
- 定義您的目標和成功指標。 使用這些資料點來建立其他首度推出階段。 確保目標是 SMART (具體的、可衡量的、可實現的、現實的和及時的) 。 規劃在每個階段衡量您的目標,以便您的推出專案保持在正軌上。
- 有明確的目標和目的。 將這些目標包含在所有意識和訓練活動中,讓使用者瞭解貴組織選擇 Intune 的原因。
✅ 工作:建立計劃以推出您的原則
此外,選擇使用者如何在 Intune 中註冊其裝置。 一些考慮因素:
分階段推出您的政策。 例如:
從試驗或測試小組開始。 這些群組應該知道他們是第一批使用者,並願意提供意見反應。 使用此意見反應來改善設定、文件、通知,並讓使用者在未來的推出中更輕鬆。 這些使用者不應該是高階主管或 VIP。
初始測試之後,將更多使用者新增至試驗群組。 或者,建立更多試驗群組,著重於不同的首發,例如:
部門:每個部門都可以是首度發行階段。 您一次針對整個部門。 在此首度推出中,每個部門的使用者可能會以相同的方式使用其裝置,並存取相同的應用程式。 使用者可能具有相同類型的原則。
地理位置:將您的原則部署至特定地理位置中的所有使用者,無論是相同的大陸、國家/地區或相同的組織建置。 此首度展出可讓您專注於使用者的特定位置。 您可以針對預先布建的部署方法提供 Windows Autopilot,因為同時部署 Intune 的位置數目較少。 同一地點有可能出現不同的部門或不同的用例。 因此,您可以同時測試不同的使用案例。
平台:此部署會同時部署類似的平台。 例如,在 2 月將原則部署至所有 iOS/iPadOS 裝置、在 3 月部署所有 Android 裝置,以及在 4 月部署所有 Windows 裝置。 這種方法可能會簡化服務台支持,因為它們一次只支援一個平台。
使用分階段方法,您可以從各種使用者類型獲得回饋。
試用成功後,您就可以開始完整的生產推出。 下列範例是包含目標群組和時間表的 Intune 推出計劃:
首度推出階段 七月 八月 九月 十月 有限試點 IT (50 個使用者) 擴展試點 IT (200 個用戶) ,IT 高管 (10 個用戶) 生產推出階段 1 銷售和行銷 (2,000 名用戶) 生產推出階段 2 零售 (1,000 名用戶) 生產推出階段 3 人力資源 (50 個用戶) ,財務 (40 個用戶) ,高管 (30 個用戶) 此範本也可在 Intune 部署規劃、設計和實作 - 資料表範本下載。
選擇使用者如何註冊 其個人和組織擁有的裝置。 您可以使用不同的註冊方法,包括:
- 使用者自助服務:使用者會依照其 IT 組織提供的步驟註冊自己的裝置。 此方法最常見,而且比使用者輔助註冊更具擴充性。
- 使用者協助註冊:在此預先佈建的部署方法中,IT 成員會親自或使用 Teams 協助使用者完成註冊程式。 這種方法在行政人員和其他可能需要更多幫助的群體中很常見。
- IT 技術博覽會:在本次活動中,IT 小組設置了 Intune 註冊協助攤位。 使用者會收到 Intune 註冊的相關資訊、提出問題,以及取得註冊其裝置的協助。 此選項對 IT 和使用者都有好處,尤其是在 Intune 推出的早期階段。
下列範例包含註冊方法:
首度推出階段 七月 八月 九月 十月 有限試點 自助 IT 擴展試點 自助 IT 預先佈建 IT 主管 生產推出階段 1 銷售、行銷 自助 銷售和營銷 生產推出階段 2 零售業 自助 零售業 生產推出階段 3 行政人員、人力資源、財務 自助 人力資源、財務 預先佈建 高階主管 如需每個平臺不同註冊方法的詳細資訊,請移至 部署指引:在 Microsoft Intune 中註冊裝置。
步驟 6 - 傳達變更
變更管理依賴於有關即將發生的變更的清晰且有用的溝通。 這個想法是讓 Intune 部署順暢,並讓使用者知道變更 & 任何中斷。
✅ 任務:您的推出溝通計劃應包含重要資訊
此資訊應包括如何通知使用者,以及何時進行通訊。 一些考慮因素:
確定要傳達哪些資訊。 分階段與您的群組和使用者溝通,從 Intune 推出啟動、預先註冊,然後在註冊後開始:
啟動階段:引進 Intune 專案的廣泛通訊。 它應該回答關鍵問題,例如:
- 什麼是 Intune?
- 組織使用的原因,包括組織和使用者的優點
- 提供部署和推出的高階計劃。
- 如果除非已註冊裝置 ,否則 不允許使用個人裝置,請說明您做出決定的原因。
預先註冊階段:廣泛的通訊,包括 Intune 和其他服務 ((例如 Office、Outlook 和 OneDrive) 、使用者資源,以及使用者和群組在 Intune 中註冊的特定時間表的相關資訊)。
註冊階段:通訊以排程在 Intune 中註冊的組織使用者和群組為目標。 它應該通知使用者他們已準備好註冊、包括註冊步驟,以及要聯絡誰以取得協助和問題。
註冊後階段:通訊以在 Intune 中註冊的組織使用者和群組為目標。 它應該提供更多可能對使用者有幫助的資源,並在註冊期間和註冊後收集有關他們體驗的回饋。
選擇溝通方式 Intune 將資訊推出至您的目標群組和使用者。 例如:
建立組織範圍的面對面會議,或使用 Microsoft Teams。
建立預先註冊的電子郵件、註冊的電子郵件和註冊後的電子郵件。 例如:
- Email 1:解釋好處、期望和時間表。 藉此機會展示在 Intune 管理的裝置上授與存取權的任何其他服務。
- Email 2:宣告服務現在已準備好透過 Intune 存取。 告訴使用者立即註冊。 在使用者的存取受到影響之前,為使用者提供時間表。 提醒使用者遷移的好處和策略原因。
使用組織網站,說明推出階段、使用者可以預期的內容,以及要連絡的人員尋求協助。
創建海報,使用組織社交媒體平台 (Microsoft Viva Engage) ,或分發傳單來宣布預註冊階段。
建立包含 時間和人員的時間表。 第一個 Intune 啟動通訊可以以整個組織為目標,或只是子集。 它們可能會在 Intune 推出開始之前進行數週。 之後,資訊可以分階段傳達給使用者和群組,以符合其 Intune 推出排程。
下列範例是高階 Intune 推出通訊計劃:
溝通計劃 七月 八月 九月 十月 第一階段 全部 啟動會議 第一週 第二階段 IT 銷售和營銷 零售業 人力資源、財務和高階主管 推出前 Email 1 第一週 第一週 第一週 第一週 第三階段 IT 銷售和營銷 零售業 人力資源、財務和高階主管 推出前 Email 2 第二週 第二週 第二週 第二週 第四階段 IT 銷售和營銷 零售業 人力資源、財務和高階主管 註冊電子郵件 第三週 第三週 第三週 第三週 第五階段 IT 銷售和營銷 零售業 人力資源、財務和高階主管 註冊後電子郵件 第四週 第四週 第四週 第四週
步驟 7 - 支援技術支援中心和終端使用者
將您的 IT 支援和技術支援人員納入 Intune 部署規劃和試驗工作的早期階段。 早期參與會讓您的支援人員接觸 Intune,而且他們會獲得更有效地識別和解決問題的知識和經驗。 它還為支持組織的全面生產部署做好準備。 知識淵博的服務台和支援團隊也幫助使用者採用這些變更。
✅ 任務:培訓您的支援團隊
使用部署計劃中的成功指標來驗證使用者體驗。 一些考慮因素:
決定誰將支援終端使用者。 組織可以有不同的層級或層級 (1-3) 。 例如,第 1 層和第 2 層可能是支援團隊的一部分。 第 3 層包括負責 Intune 部署的 MDM 小組成員。
第 1 層通常是第一層支援,也是第一個要聯絡的層。 如果第 1 層無法解決問題,則會升級至第 2 層。 第 2 層將其升級為第 3 層。 Microsoft 支援服務 可能被視為第 4 層。
- 在初始推出階段,請確定支援團隊中的所有層級都記錄問題和解決方案。 尋找模式,並調整您的通訊以進入下一個推出階段。 例如:
- 如果不同的使用者或群組對註冊其個人裝置猶豫不決,請考慮使用 Teams 通話來回答常見問題。
- 如果使用者在註冊組織擁有的裝置時遇到相同的問題,請舉辦現場活動以協助使用者註冊裝置。
- 在初始推出階段,請確定支援團隊中的所有層級都記錄問題和解決方案。 尋找模式,並調整您的通訊以進入下一個推出階段。 例如:
建立服務台工作流程,並不斷向支援團隊中的所有層級傳達支援問題、趨勢和其他重要資訊。 例如,舉行每日或每週的 Teams 會議,讓所有層級都能了解趨勢、模式,並取得協助。
下列範例顯示 Contoso 如何實作其 IT 支援或技術支援人員工作流程:
- 使用者連絡 IT 支援或技術支援人員第 1 層,提出註冊問題。
- IT 支援或技術支援人員第 1 層無法判斷根本原因,並呈報至第 2 層。
- IT 支援或技術支援人員第 2 層會進行調查。 第 2 層無法解決問題,並呈報至第 3 層,並提供其他資訊來協助解決問題。
- IT 支援或技術支援人員第 3 層會調查、判斷根本原因,並將解決方案傳達給第 2 層和第 1 層。
- 然後,IT 支援/技術支援人員第 1 層會聯絡使用者,並解決問題。
這種方法,特別是在 Intune 推出的早期階段,增加了許多優點,包括:
- 幫助學習技術
- 快速識別問題並解決問題
- 改善整體使用者體驗
培訓您的服務台和支援團隊。 讓他們註冊執行您組織中使用的不同平台的裝置,以便他們熟悉該流程。 請考慮使用技術支援中心和支援小組作為案例的試驗群組。
有可用的訓練資源,包括 YouTube 影片、Windows Autopilot 案例的 Microsoft 教學課程、 合規性、 設定,以及透過訓練合作夥伴提供的課程。
下列範例是 Intune 支援訓練議程:
- Intune 支援方案檢閱
- Intune 概觀
- 疑難排解常見問題
- 工具與資源
- 問 &