教學課程：使用 Microsoft Intune 設定雲端原生 Windows 端點

提示

閱讀雲端原生端點時，您會看到下列詞彙：

• 端點：端點是裝置，例如行動電話、平板電腦、膝上型電腦或桌面電腦。 「端點」和「裝置」會交替使用。
• 受控端點：使用 MDM 解決方案或 群組原則 對象從組織接收原則的端點。 這些裝置通常是組織所擁有的裝置，但也可以是 BYOD 或個人擁有的裝置。
• 雲端原生端點：已加入 Microsoft Entra 的端點。 它們未加入內部部署AD。
• 工作負載：任何程序、服務或程式。

本指南將逐步引導您為組織建立雲端原生 Windows 端點設定。 如需雲端原生端點及其優點的概觀，請參閱 什麼是雲端原生端點。

本功能適用於：

• Windows 雲端原生端點

提示

如果您想要Microsoft建議的標準化解決方案來建置，則您可能會對 雲端設定中的 Windows 感興趣。 如需 Intune 引導式案例，請參閱雲端設定中的 Windows 10/11。

下表說明本指南與 Windows 在雲端設定中的主要差異：

---

解決方案	目標
教學課程：本指南 (開始使用雲端原生 Windows 端點)	根據Microsoft建議的設定，引導您建立自己的環境設定，並協助您開始測試。
雲端中的 Windows 設定	引導式案例體驗，可根據Microsoft最符合需求的第一線、遠端和其他背景工作角色，建立並套用預先建置的組態。

---

您可以使用本指南與 雲端設定中的 Windows 結合，進而自定義預先建置的體驗。

如何開始使用

使用本指南中的五個已排序階段，這會彼此建置，以協助您準備雲端原生 Windows 端點設定。 藉由依序完成這些階段，您會看到有形的進度，並準備好布建新的裝置。

階段：

• 階段 1 – 設定您的環境
• 階段 2 – 建置您的第一個雲端原生 Windows 端點
• 階段 3 – 保護雲端原生 Windows 端點
• 階段 4 – 套用您的自訂設定和應用程式
• 階段 5 – 使用 Windows Autopilot 大規模部署

在本指南結尾，您已準備好在環境中開始測試的雲端原生 Windows 端點。 開始之前，您可能想要參閱如何規劃 Microsoft Entra 加入實作 Microsoft Entra 加入規劃指南。

階段 1 – 設定您的環境

在您建置第一個雲端原生 Windows 端點之前，有一些需要檢查的重要需求和設定。 此階段會逐步引導您檢查需求、設定 Windows Autopilot，以及建立一些設定和應用程式。

步驟 1 - 網路需求

您的雲端原生 Windows 端點需要存取數個因特網服務。 在開放式網路上開始測試。 或者，在提供 Windows Autopilot 網路需求所列所有端點的存取權之後，請使用您的公司網路。

如果您的無線網路需要憑證，您可以在測試期間從乙太網路連線開始，同時判斷裝置布建無線連線的最佳方法。

步驟 2 - 註冊和授權

您必須先檢查幾件事，才能加入 Microsoft Entra 並註冊 Intune。 您可以建立新的 Microsoft Entra 組，例如 MDM 使用者 Intune 名稱。 然後，新增特定的測試用戶帳戶，並以該群組中的下列每個設定為目標，以限制在您設定組態時可以註冊裝置的人員。 若要建立 Microsoft Entra 群組，請移至管理 Microsoft Entra 群組和群組成員資格。

• 註冊限制註冊限制可讓您控制哪些類型的裝置可以使用 Intune 註冊管理。 若要讓本指南成功，請確定允許 Windows (MDM) 註冊，這是預設組態。

  如需設定註冊限制的資訊，請移至在 Microsoft Intune 中設定註冊限制。

• Microsoft Entra 裝置 MDM 設定 當您將 Windows 裝置加入 Microsoft Entra 時，Microsoft Entra 可以設定為告知您的裝置自動向 MDM 註冊。 需要此設定，Windows Autopilot 才能運作。

  若要檢查您的 Microsoft Entra 裝置 MDM 設定是否已正確啟用，請移至快速入門 - 在 Intune 中設定自動註冊。

• Microsoft Entra 公司商標 將您的公司標誌和影像新增至 Microsoft Entra 可確保使用者在登入 Microsoft 365 時，能看到熟悉且一致的外觀與風格。 需要此設定，Windows Autopilot 才能運作。

  如需在 Microsoft Entra 中設定自定義商標的詳細資訊，請移至將商標新增至組織的 Microsoft Entra 登入頁面。

• 發 牌從「現成體驗」 (OOBE) 註冊 Windows 裝置的使用者 Intune 需要兩個主要功能。

  使用者需要下列授權：

  • 教育用 Microsoft Intune 或 Microsoft Intune 授權
  • 允許自動 MDM 註冊的授權，如下列其中一個選項所示：
    • Microsoft Entra 進階 P1
    • Microsoft Intune 教育版

  若要指派授權，請移至指派 Microsoft Intune 授權。

  注意事項

  這兩種類型的授權通常會隨附於授權套件組合中，例如 Microsoft 365 E3 (或 A3) 和更新版本。 在這裏檢視 M365 授權的比較。

步驟 3 - 匯入測試裝置

若要測試雲端原生 Windows 端點，我們必須先讓虛擬機或實體裝置準備好進行測試。 下列步驟會取得裝置詳細數據，並將其上傳至 Windows Autopilot 服務，本文稍後會使用此服務。

注意事項

雖然下列步驟提供匯入裝置以進行測試的方式，但合作夥伴和 OEM 可以代表您將裝置匯入 Windows Autopilot，作為購買的一部分。 階段 5 中有關於 Windows Autopilot 的詳細資訊。

1. 在虛擬機中安裝 Windows (最好是 20H2 或更新版本) ，或重設實體裝置，讓它在 OOBE 安裝畫面等候。 針對虛擬機，您可以選擇性地建立檢查點。

2. 完成連線到因特網的必要步驟。

3. 使用 Shift + F10 鍵盤組合開啟命令提示字元。

4. 藉由 ping bing.com，確認您具有因特網存取權：

   • ping bing.com

5. 執行 命令以切換至 PowerShell：

   • powershell.exe

6. 執行下列命令以下載 Get-WindowsAutopilotInfo 文稿：

   • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
   • Install-Script Get-WindowsAutopilotInfo

7. 出現提示時，輸入要接受的 Y 。

8. 輸入下列命令：

   • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

   注意事項

   群組卷標可讓您根據裝置子集建立動態 Microsoft Entra 群組。 匯入裝置或稍後在 Microsoft Intune 系統管理中心變更時，可以設定群組標籤。 我們將在步驟 4 中使用群組標籤 CloudNative 。 您可以將標籤名稱設定為不同的測試名稱。

9. 當系統提示您輸入認證時，請使用 Intune 系統管理員帳戶登入。

10. 將計算機保留為現用體驗，直到 階段 2 為止。

步驟 4 - 建立裝置的 Microsoft Entra 動態群組

若要將本指南中的設定限制為您匯入 Windows Autopilot 的測試裝置，請建立動態 Microsoft Entra 群組。 此群組應該會自動包含匯入 Windows Autopilot 並具有群組標籤 CloudNative 的裝置。 然後，您可以將此群組中的所有組態和應用程式設為目標。

1. 開啟 Microsoft Intune 系統管理中心。

2. 選 取 [群組>][新增群組]。 輸入下列詳細資料：

   • 群組類型：選取 [安全性]。
   • 組名：輸入 Autopilot Cloud-Native Windows 端點。
   • 成員資格類型：選取 [動態裝置]。

3. 選 取 [新增動態查詢]。

4. 在 [ 規則語法] 區段中，選取 [ 編輯]。

5. 貼上下列文字：

   (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

6. 選 取 [確定>儲存>建立]。

提示

動態群組在發生變更之後需要幾分鐘的時間來填入。 在大型組織中， 可能需要更長的時間。 建立新群組之後，請稍候幾分鐘，再檢查確認裝置現在是群組的成員。

如需裝置動態群組的詳細資訊，請移至 裝置的規則。

步驟 5 - 設定註冊狀態頁面

ESP) (註冊狀態頁面是 IT 專業人員在端點布建期間用來控制用戶體驗的機制。 請參閱 設定註冊狀態頁面。 若要限制註冊狀態頁面的範圍，您可以建立新的配置檔，並將目標設為在上一個步驟中建立的 Autopilot Cloud-Native Windows 端點群組：為裝置建立 Microsoft Entra 動態群組。

• 基於測試目的，我們建議使用下列設定，但您可以視需要調整這些設定：
  • 顯示應用程式和設定檔設定進度 - 是
  • 僅顯示以全新體驗布建的裝置頁面 (OOBE) – 是 (預設)

步驟 6 - 建立和指派 Windows Autopilot 配置檔

現在我們可以建立 Windows Autopilot 配置檔，並將它指派給測試裝置。 此設定檔會告訴您的裝置加入 Microsoft Entra，以及要在 OOBE 期間套用哪些設定。

1. 開啟 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>裝置上線>註冊>] [Windows>Autopilot>部署配置檔]。

3. 選 取 [建立配置檔>Windows 計算機]。

4. 輸入 Autopilot Cloud Native Windows 端點名稱，然後選取 [ 下一步]。

5. 檢閱並保留預設設定，然後選取 [ 下一步]。

6. 保留範圍標籤，然後選取 [ 下一步]。

7. 將配置檔指派給您在 Windows 端點 Cloud-Native 建立名為 Autopilot 的 Microsoft Entra 群組，選取 [下一步]，然後選取 [建立]。

步驟 7 - 同步處理 Windows Autopilot 裝置

Windows Autopilot 服務一天同步數次。 您也可以立即觸發同步處理，讓您的裝置準備好進行測試。 若要立即同步處理：

1. 開啟 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>裝置上線>註冊>Windows>Autopilot>裝置]。

3. 選取 [同步處理]。

同步處理需要幾分鐘的時間，並在背景中繼續進行。 同步處理完成時，匯入裝置的配置文件狀態會顯示 [ 已指派]。

步驟 8 - 設定最佳Microsoft 365 體驗的設定

我們已選取一些要設定的設定。 這些設定示範 Windows 雲端原生裝置上的最佳Microsoft 365 用戶體驗。 這些設定是使用裝置組態設定目錄配置檔來設定。 如需詳細資訊，請移至在 Microsoft Intune 中使用設定目錄建立原則。

建立配置檔並新增設定之後，請將配置檔指派給先前建立 的 Autopilot Cloud-Native Windows 端點 群組。

• Microsoft Outlook 為了改善 Microsoft Outlook 的第一次執行體驗，下列設定會在第一次開啟 Outlook 時自動設定設定檔。

  • Microsoft Outlook 2016\Account Settings\Exchange (User setting)
    • 根據 Active Directory 主要 SMTP 位址自動設定第一個設定檔 - 已啟用

• Microsoft Edge 為了改善 Microsoft Edge 的第一次執行體驗，下列設定會設定 Microsoft Edge 來同步用戶的設定，並略過第一次執行體驗。

  • Microsoft Edge
    • 隱藏初次執行體驗和啟動顯示畫面 - 已啟用
    • 強制同步處理瀏覽器數據，但不顯示同步同意提示 - 已啟用

• Microsoft OneDrive

  為了改善第一次登入體驗，下列設定會設定 Microsoft OneDrive 自動登入，並將 Desktop、圖片和檔重新導向至 OneDrive。 也建議使用檔案隨選 (FOD) 。 默認會啟用，且不會包含在下列清單中。 如需 OneDrive 同步處理 應用程式建議設定的詳細資訊，請移至 Microsoft OneDrive 的建議同步處理應用程式設定。

  • OneDrive

    • 使用其 Windows 認證以無訊息方式將使用者登入 OneDrive 同步處理 應用程式 - 已啟用
    • 以無訊息方式將 Windows 已知資料夾移至 OneDrive - 已啟用

    注意事項

    如需詳細資訊，請移至 重新導向已知資料夾。

下列螢幕快照顯示已設定每個建議設定的設定目錄設定檔範例：

步驟 9 - 建立和指派一些應用程式

您的雲端原生端點需要一些應用程式。 若要開始使用，建議您設定下列應用程式，並將目標設為先前建立的 Autopilot Cloud-Native Windows 端點 群組。

• Microsoft 365 Apps (先前 Office 365 專業增強版) Microsoft 365 Apps，例如 Word、Excel 和 Outlook，可以使用 Intune 中的內建 Microsoft 365 apps for Windows 應用程式配置檔，輕鬆地部署到裝置。

  • 選 取 設定格式的組態設計工具，而不是 XML。
  • 針對更新 通道選取 [目前通道 ]。

  若要部署 Microsoft 365 Apps，請移至使用 Microsoft Intune 將 Microsoft 365 應用程式新增至 Windows 裝置

• 建議 公司入口網站 應用程式將 Intune 公司入口網站 應用程式部署至所有裝置作為必要應用程式。 公司入口網站 應用程式是自助中樞，可供使用者用來安裝來自多個來源的應用程式，例如 Intune、Microsoft Store 和 Configuration Manager。 使用者也會使用 公司入口網站 應用程式來同步處理其裝置與 Intune、檢查合規性狀態等等。

  若要視需要部署 公司入口網站，請參閱為 Intune 受控裝置新增和指派 Windows 公司入口網站 應用程式。

• Microsoft市集應用程式 (Whiteboard) 雖然 Intune 可以部署各種不同的應用程式，但我們會部署市集應用程式 (Microsoft Whiteboard) ，以協助簡化本指南。 請遵循將 Microsoft 市集應用程式新增至 Microsoft Intune 中的步驟來安裝 Microsoft Whiteboard。

階段 2 - 建置雲端原生 Windows 端點

若要建置您的第一個雲端原生 Windows 端點，請使用您所收集的相同虛擬機或實體裝置，然後將硬體哈希上傳至 階段 1 > 步驟 3 中的 Windows Autopilot 服務。 使用此裝置，請流覽 Windows Autopilot 程式。

1. 視需要繼續 (或重設，) Windows 計算機移至 OOBE) (現成體驗。

   注意事項

   如果系統提示您選擇個人或組織的設定，則不會觸發 Windows Autopilot 程式。 在此情況下，請重新啟動裝置，並確定其具有因特網存取權。 如果仍然無法運作，請嘗試重設計算機或重新安裝 Windows。

2. (UPN 或 AzureAD\username) 使用 Microsoft Entra 認證登入。

3. 註冊狀態頁面會顯示裝置設定的狀態。

恭喜您！ 您已布建第一個雲端原生 Windows 端點！

要查看新雲端原生 Windows 端點的一些事項：

• OneDrive 資料夾會重新導向。 當 Outlook 開啟時，它會自動設定為連線到 Office 365。

• 從 [開始] 功能表開啟 公司入口網站 應用程式，並注意Microsoft Whiteboard 可供安裝。

• 請考慮測試從裝置到內部部署資源的存取，例如檔案共用、印表機和內部網路網站。

  注意事項

  如果您尚未設定混合式 Windows Hello 企業版，系統可能會在 Windows Hello 登入時提示您輸入密碼以存取內部部署資源。 若要繼續測試單一登錄存取，您可以設定 Windows Hello 企業版 混合式或使用使用者名稱和密碼登入裝置，而不是 Windows Hello。 若要這樣做，請選取登入畫面上的按鍵形狀圖示。

階段 3 – 保護雲端原生 Windows 端點

此階段旨在協助您為組織建置安全性設定。 本節會將您注意 Microsoft Intune 中的各種端點安全性元件，包括：

• Microsoft Defender 防病毒軟體 (MDAV)
• Microsoft Defender 防火牆
• BitLocker 加密
• WINDOWS 本機系統管理員密碼解決方案 (LAPS)
• 安全性基準
• Windows Update客戶端原則

Microsoft Defender 防病毒軟體 (MDAV)

建議使用下列設定作為 Windows 內建 OS 元件 Microsoft Defender 防病毒軟體的最低設定。 這些設定不需要任何特定的許可協定，例如 E3 或 E5，而且可以在 Microsoft Intune 系統管理中心啟用。 在系統管理中心，移至 [端點安全>性防病毒軟體>] [建立原則>視窗]，然後前往更新>版本的 [配置檔類型 = Microsoft Defender 防病毒軟體]。

Defender：

• 允許行為監視： 允許。開啟實時行為監視。
• 允許雲端保護： 允許。開啟雲端保護。
• 允許 Email 掃描：允許。開啟電子郵件掃描。
• 允許掃描所有下載的檔案和附件： 允許。
• 允許即時監視： 允許。開啟並執行即時監視服務。
• 允許掃描網路檔案： 允許。掃描網路檔案。
• 允許文稿掃描： 允許。
• 雲端延伸逾時： 50
• 保留已清除惡意代碼的天數： 30
• 開啟網路保護： 啟用 (稽核模式)
• PUA 保護： 開啟 PUA 保護。已封鎖偵測到的專案。它們會與其他威脅一起顯示在歷程記錄中。
• 實時掃描方向： 監視雙向) (的所有檔案。
• 提交範例同意： 自動傳送安全範例。
• 允許存取保護： 允許。
• 嚴重威脅的補救動作： 隔離。將檔案移至隔離區。
• 低嚴重性威脅的補救動作： 隔離。將檔案移至隔離區。
• 中等嚴重性威脅的補救動作： 隔離。將檔案移至隔離區。
• 高嚴重性威脅的補救動作： 隔離。將檔案移至隔離區。

如需 Windows Defender 設定的詳細資訊，包括客戶的 E3 和 E5 授權 適用於端點的 Microsoft Defender，請移至：

• Windows、Windows Server 2016 和 Windows Server 2019 的新一代保護
• 評估 Microsoft Defender 防毒軟體

Microsoft Defender 防火牆

使用 Microsoft Intune 中的端點安全性來設定防火牆和防火牆規則。 如需詳細資訊，請移至 Intune 中端點安全性的防火牆原則。

Microsoft Defender 防火牆可以使用 NetworkListManager CSP 偵測受信任的網路。 此外，它可以切換至執行下列作系統版本之端點上的網 域 防火牆配置檔：

• Windows 11 22H2
• Windows 11 21H2 與 2022-12 累積更新
• Windows 10 20H2 或更新版本與 2022-12 累積更新

使用 網域 網路配置檔可讓您根據信任的網路、專用網和公用網路來分隔防火牆規則。 這些設定可以使用 Windows 自訂配置檔來套用。

注意事項

Microsoft Entra 加入的端點無法利用LDAP來偵測網域連線，方式與已加入網域的端點相同。 相反地，使用 NetworkListManager CSP 來指定 TLS 端點，當可存取時，會將端點切換至 網域 防火牆配置檔。

BitLocker 加密

在 Microsoft Intune 中使用端點安全性，以使用 BitLocker 設定加密。

• 如需管理 BitLocker 的詳細資訊，請移至使用 Intune 中的 BitLocker 加密 Windows 10/11 裝置。
• 請參閱使用 Microsoft Intune 啟用 BitLocker 中的 BitLocker 部落格系列。

您可以在 Microsoft Intune 系統管理中心啟用這些設定。 在系統管理中心，移至 [端點安全>性] [管理>磁碟加密>] [建立>原則視窗] 和更新版本>的 [配置檔 = BitLocker]。

當您設定下列 BitLocker 設定時，他們會以無訊息方式為標準使用者啟用 128 位加密，這是常見的案例。 不過，您的組織可能會有不同的安全性需求，因此請使用 BitLocker 檔 以取得更多設定。

BitLocker：

• 需要裝置加密： 已啟用
• 允許其他磁碟加密的警告： 已停用
  • 允許 Standard 使用者加密：已啟用
• 設定復原密碼輪替： 重新整理已加入 Azure AD 的裝置

BitLocker 磁碟驅動器加密：

• 選擇磁碟驅動器加密方法和加密強度 (Windows 10 [版本 1511] 和更新版本) ：未設定
• 為您的組織提供唯一標識碼： 未設定

作系統磁碟驅動器：

• 在作系統磁碟驅動器上強制執行磁碟驅動器加密類型： 已啟用
  • 選取加密類型： (裝置) ： 僅限使用的空間加密
• 啟動時需要額外的驗證： 已啟用
  • 允許沒有相容 TPM 的 BitLocker (需要 USB 快閃磁碟驅動器上的密碼或啟動密鑰) ： False
  • 設定 TPM 啟動金鑰和 PIN： 允許使用 TPM 的啟動金鑰和 PIN
  • 設定 TPM 啟動金鑰： 允許搭配 TPM 的啟動金鑰
  • 設定 TPM 啟動 PIN： 允許使用 TPM 啟動 PIN
  • 設定 TPM 啟動： 需要 TPM
  • 設定啟動的最小 PIN 長度： 未設定
  • 允許增強型 PIN 啟動： 未設定
• 不允許標準使用者變更 PIN 或密碼： 未設定
• 允許符合 InstantGo 或 HSTI 規範的裝置退出開機前 PIN： 未設定
• 在平板上啟用需要預先啟動鍵盤輸入的 BitLocker 驗證： 未設定
• 選擇如何復原受 BitLocker 保護的作系統磁碟驅動器： 已啟用
  • 設定 BitLocker 復原資訊的用戶記憶體： 需要 48 位數的修復密碼
  • 允許數據復原代理程式： False
  • 設定將 BitLocker 修復資訊儲存至 AD DS： 儲存修復密碼和密鑰套件
  • 在作系統磁碟驅動器的復原資訊儲存至 AD DS 之前，請勿啟用 BitLocker： True
  • 省略 BitLocker 安裝精靈的復原選項： True
  • 將作系統磁碟驅動器的 BitLocker 修復資訊儲存至 AD DS： True
• 設定開機前復原訊息和 URL： 未設定

固定資料磁碟驅動器：

• 在固定數據磁碟驅動器上強制執行磁碟驅動器加密類型： 已啟用
  • 選擇加密類型： (裝置) ： 允許使用者選擇預設 ()
• 選擇如何復原受 BitLocker 保護的固定磁碟驅動器： 已啟用
  • 設定 BitLocker 復原資訊的用戶記憶體： 需要 48 位數的修復密碼
  • 允許數據復原代理程式： False
  • 設定將 BitLocker 復原資訊儲存至 AD DS： 備份修復密碼和金鑰套件
  • 在固定數據磁碟驅動器的復原資訊儲存至 AD DS 之前，請勿啟用 BitLocker： True
  • 省略 BitLocker 安裝精靈的復原選項： True
  • 將固定數據磁碟驅動器的 BitLocker 修復資訊儲存至 AD DS： True
• 拒絕寫入不受 BitLocker 保護的固定磁碟驅動器： 未設定

卸載式資料磁碟驅動器：

• 控制卸載式磁碟驅動器上的 BitLocker 使用： 已啟用
  • 允許使用者在裝置) (卸除式數據磁碟驅動器上套用 BitLocker 保護： False
  • 允許使用者在裝置) (卸載式數據磁碟驅動器上暫停及解密 BitLocker 保護： False
• 拒絕存取不受 BitLocker 保護的卸除式磁碟驅動器： 未設定

WINDOWS 本機系統管理員密碼解決方案 (LAPS)

根據預設，已停用已知 SID S-1-5-500) (內建本機系統管理員帳戶。 在某些情況下，本機系統管理員帳戶可能會有説明，例如疑難解答、用戶支援和裝置復原。 如果您決定啟用內建系統管理員帳戶，或建立新的本機系統管理員帳戶，請務必保護該帳戶的密碼。

WINDOWS 本機系統管理員密碼解決方案 (LAPS) 是其中一項功能，可用來將密碼隨機化並安全地儲存在 Microsoft Entra 中。 如果您使用 Intune 作為 MDM 服務，請使用下列步驟來啟用 Windows LAPS。

重要事項

Windows LAPS 假設已啟用預設的本機系統管理員帳戶，即使已重新命名或您建立另一個本機系統管理員帳戶也一樣。 除非您設定自動 帳戶管理模式，否則 Windows LAPS 不會為您建立或啟用任何本機帳戶。

您必須建立或啟用與設定 Windows LAPS 分開的任何本機帳戶。 您可以編寫此工作的腳本，或使用設定服務提供者 (CSP 的) ，例如 帳戶 CSP 或 原則 CSP。

1. 請確定您的 Windows 10 (20H2 或更新版本) 或 Windows 11 裝置已安裝 2023 年 4 月 (或更新版本) 安全性更新。

   如需詳細資訊，請移至 Microsoft Entra作系統更新。

2. 在 Microsoft Entra 中啟用 Windows LAPS：

   1. 登入 Microsoft Entra。
   2. 針對 [啟用本機系統管理員密碼解決方案 (LAPS) ] 設定，選取頁面) 頂端的 [是>儲存 (]。

   如需詳細資訊，請移至使用 Microsoft Entra 啟用 Windows LAPS。

3. 在 Intune 中，建立端點安全策略：

   1. 登入 Microsoft Intune 系統管理中心。
   2. 選取 [端點安全>性帳戶保護>建立原則>Windows 10 和更新版本>的本機系統管理員密碼解決方案 (Windows LAPS) >建立]。

   如需詳細資訊，請移至在 Intune 中建立LAPS原則。

安全性基準

您可以使用安全性基準來套用一組已知可提高 Windows 端點安全性的組態。 如需安全性基準的詳細資訊，請移至 Intune 的 Windows MDM 安全性基準設定。

您可以使用建議的設定來套用基準，並根據您的需求自定義。 基準內的某些設定可能會導致非預期的結果，或與在 Windows 端點上執行的應用程式和服務不相容。 因此，應該隔離測試基準。 只將基準套用至不含任何其他組態配置檔或設定的選擇性測試端點群組。

安全性基準已知問題

Windows 安全性基準中的下列設定可能會導致 Windows Autopilot 發生問題，或嘗試以標準使用者身分安裝應用程式：

• 本機原則安全性選項\系統管理員提高許可權提示行為 (預設值 = 在安全桌面) 提示要求同意
• Standard 使用者提高許可權提示行為 (預設值 = 自動拒絕提高許可權要求)

如需詳細資訊，請參閱 針對與 Windows Autopilot 的原則衝突進行疑難解答。

Windows Update客戶端原則

Windows Update 客戶端原則是雲端技術，可用來控制裝置上安裝更新的方式和時間。 在 Intune 中，Windows Update 可以使用下列項目來設定客戶端原則：

• Windows 更新通道
• Windows 功能 匯報

如需詳細資訊，請移至:

• 瞭解如何在 Microsoft Intune 中使用 Windows Update 客戶端原則
• 課程模組 4.2 - Windows Update 教育用 Intune 部署工作坊影片系列中的商務基本概念

如果您想要更精細地控制 Windows 匯報 並使用 Configuration Manager，請考慮共同管理。

階段 4 – 套用自定義並檢閱內部部署設定

在此階段中，您會套用組織特定的設定、應用程式，並檢閱您的內部部署設定。 此階段可協助您建置組織專屬的任何自定義專案。 請注意 Windows 的各種元件、如何從內部部署 AD 群組原則 環境檢閱現有的設定，並將其套用至雲端原生端點。 下列各區域各有各區段：

• Microsoft Edge
• [開始] 和 [任務欄] 配置
• 設定目錄
• 裝置限制
• 傳遞最佳化
• 本機系統管理員
• 群組原則 移轉至 MDM 設定
• 指令碼
• 對應網路驅動器機和印表機
• 應用程式

Microsoft Edge

Microsoft Edge 部署

Microsoft Edge 包含在執行的裝置上：

• Windows 11
• Windows 10 20H2 或更新版本
• Windows 10 1803 或更新版本，以及 2021 年 5 月或更新版本的累積每月安全性更新

使用者登入之後，Microsoft Edge 會自動更新。 若要在部署期間觸發 Microsoft Edge 的更新，您可以執行下列命令：

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

若要將 Microsoft Edge 部署至舊版 Windows，請移至將 Microsoft Edge for Windows 新增至 Microsoft Intune。

Microsoft Edge 設定

Microsoft Edge 體驗的兩個元件，可在使用者使用其Microsoft 365 認證登入時套用，可從 Microsoft 365 系統管理 中心進行設定。

• Microsoft Edge 中的起始頁標誌可藉由在 Microsoft 365 系統管理中心 內設定您的組織區段來自定義。 如需詳細資訊，請移至 為您的組織自定義Microsoft 365 主題。

• Microsoft Edge 中的預設新索引標籤面體驗包含 Office 365 資訊和個人化新聞。 您可以從 [設定組織設定] [新聞>] Microsoft [Edge 新索引標籤] 頁面的>> Microsoft 365 系統管理中心 自定義此頁面的顯示方式。

您也可以使用設定目錄設定檔來設定 Microsoft Edge 的其他設定。 例如，您可能想要為組織設定特定的同步處理設定。

• Microsoft Edge
  • 設定從同步處理中排除的類型清單 - 密碼

[開始] 和 [任務欄] 配置

您可以使用 Intune 來自定義和設定標準的開始和任務列配置。

• 針對 Windows 10：

  • 如需開始和工作列自訂的詳細資訊，請移至 管理 Windows 開始和工作列設定 (Windows) 。
  • 若要建立開始和工作列配置，請移至 自訂和匯出 [開始] 設定 (Windows) 。

  建立版面配置之後，您可以藉由設定裝置限制配置檔，將其上傳至 Intune。 此設定位於 [ 開始 ] 類別之下。

• 針對 Windows 11：

  • 若要建立並套用 [開始] 功能表配置，請移至 [在 Windows 11 上自定義 [開始] 功能表配置。
  • 若要建立並套用任務列配置，請移至 [在 Windows 11 上自定義任務欄]。

設定目錄

設定目錄是列出所有可設定 Windows 設定的單一位置。 此功能可簡化您如何建立原則，以及如何查看所有可用的設定。 如需詳細資訊，請移至在 Microsoft Intune 中使用設定目錄建立原則。

注意事項

• 有些設定可能無法在目錄中使用，但可在 Intune 裝置組態配置檔的範本中取得。

• 您熟悉的許多組策略設定都已可在設定目錄中使用。 如需詳細資訊，請移至行動裝置 裝置管理 中最新的 群組原則 設定同位。

• 如果您想要利用 ADMX 範本或設定目錄 (建議的) ，請務必使用 2021 年 9 月的「星期二修補程式」更新來更新您的裝置， (KB5005565 2004 版和更新版本的 Windows 10) 。 此每月更新包含 KB5005101 ，可將 1,400個以上的組策略設定帶入MDM。 若無法套用此更新，會導致 Intune 系統管理中心內的設定旁邊出現「不適用」訊息。 從 2022 年 5 月起，雖然一開始僅適用於 Windows 的企業版和教育版，但這些額外的設定現在也適用於 Pro 版本的 Windows 10/11。 如果使用 Windows 10/11 的 Pro 版本，請確定您在 Windows 10 上安裝 KB5013942 或更新版本，並在 Windows 11 上安裝KB5013943或更新版本，如行動裝置 裝置管理 中最新的 群組原則 設定同位中所述。

以下是設定目錄中可能與您組織相關的一些設定：

• Azure Active Directory 慣用租用戶網域 此設定會設定要附加至用戶使用者名稱的慣用租使用者功能變數名稱。 偏好的租使用者網域可讓使用者登入 Microsoft Entra 端點，只要使用者的功能變數名稱符合慣用的租用戶網域，就只能使用其用戶名稱，而不是整個UPN。 對於具有不同功能變數名稱的使用者，他們可以輸入其整個UPN。

  您可以在下列位置找到設定：

  • 驗證
    • 慣用的 AAD 租使用者功能變數名稱 ─ 指定功能變數名稱， 例如 contoso.onmicrosoft.com。

• Windows 焦點 根據預設，會啟用 Windows 的數個取用者功能，這會導致在鎖定畫面上安裝選取的市集應用程式和第三方建議。 您可以使用設定目錄的 [體驗] 區段來控制此專案。

  • 體驗
    • 允許 Windows 消費者功能 - 封鎖
    • 允許 Windows 焦點中的第三方建議 (使用者) - 封鎖

• Microsoft市集 組織通常會想要限制可在端點上安裝的應用程式。 如果您的組織想要控制哪些應用程式可以從 Microsoft Store 安裝，請使用此設定。 此設定可防止使用者安裝應用程式，除非已核准。

  • Microsoft App Store

    • 僅要求私人市集 - 僅啟用私人市集

      注意事項

      此設定適用於 Windows 10。 在 Windows 11 上，此設定會封鎖對公用Microsoft存放區的存取。 如需詳細資訊，請移至:

      • 更新以 Intune 與 Windows 上的 Microsoft 市集整合
      • 常見問題：支援受管理裝置上的Microsoft市集體驗

• 封鎖遊戲 組織可能偏好公司端點無法用來玩遊戲。 您可以使用下列設定完全隱藏 [設定] 應用程式內的 [遊戲] 頁面。 如需設定頁面可見性的詳細資訊，請移至 CSP 檔 和 ms-settings URI 配置參考。

  • 設定
    • 頁面可見度清單 – hide：gaming-gamebar;gaming-gamedvr;gaming-broadcasting;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;quietmomentsgame

• 控制 Teams 桌面用戶端可以登入的租使用者

  在裝置上設定此原則時，使用者只能使用位於此原則中定義之「租用戶允許清單」中所包含 Microsoft Entra 租使用者中的帳戶登入。 「租用戶允許清單」是以逗號分隔的 Microsoft Entra 租使用者標識符清單。 藉由指定此原則並定義 Microsoft Entra 租使用者，您也會封鎖登入 Teams 以供個人使用。 如需詳細資訊，請移 至如何限制在桌面裝置上登入。

  • 系統管理範本 \ Microsoft Teams
    • 將登入 Teams 限制為特定租使用者中的帳戶 (使用者) - 已啟用

裝置限制

Windows 裝置限制範本包含許多使用 Windows 設定服務提供者 (CSP) 來保護及管理 Windows 端點所需的設定。 這些設定會隨著時間在設定目錄中提供。 如需詳細資訊，請移至 [裝置限制]。

若要建立使用裝置限制範本的配置檔，請在 Microsoft Intune 系統管理中心，移至 [裝置>管理裝置>>設定][建立>新原則>] 選取 [Windows 10] 和更新版本，以取得配置檔類型的平臺>範本裝置限制。

• 只限桌面電腦 (桌面背景圖片 URL) 使用此設定可在 Windows 企業版或 Windows 教育版 SKU 上設定桌布。 您可以在線裝載檔案，或參考已在本機複製的檔案。 若要設定此設定，請在 [裝置限制] 設定檔的 [組態設定] 索引標籤上，展開 [個人化]，並將 [桌面背景圖片 URL] 設定 (桌面僅) 。

• 要求使用者在裝置設定期間連線到網路 如果電腦重設，此設定可降低裝置略過 Windows Autopilot 的風險。 此設定需要裝置在現成體驗階段期間擁有網路連線。 若要設定此設定，請在 [裝置限制配置檔] 的 [組態設定] 索引標籤上，展開 [一般]，然後設定 [需要使用者在裝置設定期間連線到網络]。

  注意事項

  下次抹除或重設裝置時，設定就會生效。

傳遞最佳化

傳遞優化可用來減少頻寬耗用量，方法是在多個端點之間共用下載支援套件的工作。 傳遞優化是自我組織分散式快取，可讓用戶端從替代來源下載這些套件，例如網路上的對等。 這些對等來源可補充傳統的因特網伺服器。 您可以在 Windows 更新的傳遞優化中，瞭解傳遞優化可用的所有設定，以及支援哪些類型的下載。

若要套用傳遞優化設定，請建立 Intune 傳遞優化配置檔或設定目錄設定檔。

組織常用的一些設定如下：

• 限制對等選取 – 子網。 此設定會將對等快取限制為相同子網上的計算機。
• 群組標識碼。 傳遞優化客戶端可以設定為只與相同群組中的裝置共享內容。 透過原則傳送 GUID 或使用 DHCP 範圍中的 DHCP 選項，即可直接設定群組識別碼。

使用 Microsoft Configuration Manager的客戶可以部署可用來裝載傳遞優化內容的連線快取伺服器。 如需詳細資訊，請移至 Configuration Manager 中Microsoft連線快取。

本機系統管理員

如果只有一個使用者群組需要所有已加入 Microsoft Entra Windows 裝置的本機系統管理員存取權，您可以將它們新增至已加入 Microsoft Entra 裝置本機系統管理員。

您可能需要 IT 技術服務人員或其他支持人員，才能在選取的裝置群組上擁有本機系統管理員許可權。 使用 Windows 2004 或更新版本，您可以使用下列設定服務提供者 (CSP) 來符合此需求。

• 在理想情況下，使用需要 Windows 10 20H2 或更新版本的本機使用者和群組 CSP。
• 如果您 Windows 10 20H1 (2004) 使用限制群組 CSP (沒有更新動作，請僅取代) 。
• Windows 10 20H1 (2004 之前的 Windows 版本) 無法使用群組，只能使用個別帳戶。

如需詳細資訊，請移至如何在已加入 Microsoft Entra 裝置上管理本機系統管理員群組

群組原則 移轉至 MDM 設定

考慮從 群組原則 移轉至雲端原生裝置管理時，有數個選項可建立您的裝置設定：

• 重新開始，並視需要套用自定義設定。
• 檢閱現有的組策略並套用必要的設定。 您可以使用工具來提供協助，例如 群組原則 分析。
• 使用 群組原則 分析直接針對支持的設定建立裝置組態配置檔。

轉換至雲端原生 Windows 端點代表有機會檢閱您的用戶運算需求，併為未來建立新的設定。 盡可能以最少的原則集合啟動全新。 避免從已加入網域的環境或較舊的作系統，例如 Windows 7 或 Windows XP，進行不必要的或舊版設定。

若要重新開始，請檢閱您目前的需求，並實作最低限度的設定集合以符合這些需求。 需求可能包括法規或強制安全性設定和設定，以增強用戶體驗。 企業會建立需求清單，而不是IT。 每個設定都應該記載、瞭解，而且應該有目的。

將設定從現有的組策略移轉至 MDM (Microsoft Intune) 不是慣用的方法。 當您轉換至雲端原生 Windows 時，其目的不應該是隨即轉移現有的組策略設定。 相反地，請考慮目標物件及其所需的設定。 檢閱環境中的每個組策略設定，以判斷其與新式受控裝置的相關性和相容性，是很耗時且可能不切實際的。 避免嘗試評估每個組策略和個別設定。 相反地，請專注於評估涵蓋大部分裝置和案例的常見原則。

請改為識別必要的組策略設定，並針對可用的 MDM 設定檢閱這些設定。 任何間距都代表封鎖程式，如果無法解決，您就無法繼續使用雲端原生裝置。 群組原則 分析等工具可用來分析組策略設定，並判斷它們是否可以移轉至 MDM 原則。

指令碼

您可以將 PowerShell 腳稿用於您需要在內建組態設定檔外部設定的任何設定或自訂。 如需詳細資訊，請移至在 Microsoft Intune 中將PowerShell腳本新增至 Windows 裝置。

對應網路驅動器機和印表機

雲端原生案例沒有對應網路驅動器機的內建解決方案。 相反地，我們建議使用者移轉至 Teams、SharePoint 和 商務用 OneDrive。 如果無法進行移轉，請視需要考慮使用腳本。

針對個人記憶體，在 步驟 8 - 設定設定以獲得最佳Microsoft 365 體驗中，我們設定了 OneDrive 已知資料夾移動。 如需詳細資訊，請移至 重新導向已知資料夾。

對於文件記憶體，使用者也可以受益於 SharePoint 與 檔案總管 整合，以及在本機同步連結庫的能力，如下所述：將 SharePoint 和 Teams 檔案與您的電腦同步。

如果您使用通常位於內部伺服器上的公司 Office 檔範本，請考慮較新的雲端式對等專案，讓使用者可以從任何地方存取範本。

• 建立組織資產庫

針對列印解決方案，請考慮使用通用列印。 如需詳細資訊，請移至:

• 什麼是通用列印？
• 宣佈正式推出通用列印
• 您可以在 Intune 中使用 [設定目錄] 來完成的工作

應用程式

Intune 支援部署許多不同的 Windows 應用程式類型。

• Windows Installer (MSI) – 將 Windows 企業營運應用程式新增至 Microsoft Intune
• MSIX – 將 Windows 企業營運應用程式新增至 Microsoft Intune
• Win32 應用程式 (MSI、EXE、腳本安裝程式) – Microsoft Intune 中的 Win32 應用程式管理
• 市集應用程式 – 將Microsoft市集應用程式新增至 Microsoft Intune
• Web 連結 – 將 Web 應用程式新增至 Microsoft Intune

如果您有使用 MSI、EXE 或腳本安裝程式的應用程式，您可以在 Microsoft Intune 中使用 Win32 應用程式管理來部署所有這些應用程式。 以 Win32 格式包裝這些安裝程式可提供更多彈性和優點，包括通知、傳遞優化、相依性、偵測規則，以及 Windows Autopilot 中註冊狀態頁面的支援。

注意事項

若要避免安裝期間發生衝突，建議您只使用 Windows 企業營運應用程式或 Win32 應用程式功能。 如果您有封裝為 .msi 或.exe的應用程式，這些應用程式可以使用可從 GitHub 取得的 Microsoft.intunewin Win32 內容準備工具， () 轉換成 Win32 應用程式。

階段 5 – 使用 Windows Autopilot 大規模部署

現在您已設定雲端原生 Windows 端點，並使用 Windows Autopilot 進行布建，請考慮如何匯入更多裝置。 另請考慮如何與合作夥伴或硬體供應商合作，開始從雲端布建新的端點。 請檢閱下列資源，以判斷您組織的最佳方法。

• Windows Autopilot 概觀
• 模組 6.4 - Windows Autopilot 基本概念 - YouTube

如果基於某些原因，Windows Autopilot 不適合您，則還有其他適用於 Windows 的註冊方法。 如需詳細資訊，請移至 Intune Windows 裝置的註冊方法。

遵循雲端原生端點指引

1. 概觀：什麼是雲端原生端點？
2. 🡺 教學課程：開始使用雲端原生 Windows 端點 (您在這裡)
3. 概念：已加入 Microsoft Entra 與已加入混合式 Microsoft Entra
4. 概念：雲端原生端點和內部部署資源
5. 高階規劃指南
6. 已知問題和重要資訊

實用的在線資源

• Windows 裝置的共同管理
• Windows 訂閱啟用
• 設定可根據 Microsoft Entra 條件式存取原則來允許或拒絕存取資源的 Intune 裝置合規性原則
• 新增 市集應用程式
• 新增 Win32 應用程式
• 使用憑證以在 Intune 中驗證
• 部署網路配置檔，包括 VPN 和 Wi-Fi
• 部署 Multi-Factor Authentication
• Microsoft Edge 的安全性基準