共用方式為


在 Microsoft Intune 中使用裝置設定檔在裝置上套用功能和設定

Microsoft Intune 包含您可以在組織內的不同裝置上啟用或停用的設定和功能。 這些設定和功能會新增至 組態配置檔

當您使用組態設定檔設定裝置功能時,您可以協助終端使用者更快速地在其裝置上提高生產力。

您可以為不同的裝置和不同的平臺建立配置檔,包括 Android、iOS/iPadOS、macOS 和 Windows。 每個平臺都有一些唯一的組態設定。 每個平臺也經常有許多裝置配置檔,範圍從防病毒軟體設定到自定義設定。

配置文件準備就緒時,您可以使用 Intune 將配置檔套用或「指派」給使用者群組或裝置群組。

重要事項

Microsoft Intune 於 2024 年 12 月 31 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些組態配置檔來完成不同的工作。 部分設定檔範例包括:

  • 允許或防止存取裝置上的藍牙。
  • 建立可讓不同裝置存取公司網路的WiFi或 VPN 配置檔。
  • 管理軟體更新,包括安裝時。
  • 以可執行一個應用程式或執行許多應用程式的專用 kiosk 裝置身分執行 Android 裝置。
  • 在 iOS/iPadOS 和 macOS 裝置上,允許使用者在組織中使用 AirPrint 印表機。

提示

如果您使用 Microsoft Configuration Manager 管理內部部署裝置,則可以使用共同管理來將內部部署裝置連結至雲端。 透過共同管理,您可以使用 Configuration Manager 和 Microsoft Intune 來管理 Windows 用戶端裝置。

您可以根據您目前在 Configuration Manager 中的原則,在 Intune 中建立所需的裝置配置檔和原則。 如需共同管理的詳細資訊,請移至瞭解使用共同管理 Microsoft Configuration Manager。 如需相關資訊,請參閱為 共同管理準備 Intune

使用範本或設定目錄

在 Intune 中,針對大部分的平臺,當您建立裝置組態配置檔時,您有兩種原則類型:範本設定目錄

設定目錄會列出您可以設定的所有設定,以及所有設定在一個位置。 範本包含設定功能或概念的設定邏輯群組,例如電子郵件、kiosk 裝置和裝置韌體。

Intune 有許多範本,其中包含著重於裝置管理不同部分的設定群組,包括存取資源 (VPN、Wi-Fi) 、安全性 (防病毒軟體、防火牆、憑證) 和 群組原則 物件 (ADMX 系統管理範本) 。

您可以建立所有裝置都必須擁有的配置檔基準,也可以根據組織需求和安全性層級來設定特定功能。 如需詳細資訊,請移至 Microsoft Intune 中的保護和設定層級

本文提供您可以建立的不同類型配置檔的概觀。 使用這些配置檔來允許或防止裝置上的某些功能。

系統管理範本和組策略

系統管理範本包含數百個您可以針對 Internet Explorer、Microsoft Edge、OneDrive、遠端桌面、Word、Excel 和其他 Office 應用程式設定的設定。 這些範本為系統管理員提供了類似於群組原則的簡化設定檢視,並且它們為 100% 雲端式。

群組原則 分析會分析您的內部部署 GPO。 此工具可協助您判斷 GPO 在雲端中的轉譯方式。 輸出會顯示任何已淘汰的設定,以及 (或無法) MDM 提供者使用的設定,包括 Microsoft Intune。

此功能支援:

  • Windows 11
  • Windows 10

憑證

您可以使用 Intune 中的憑證來驗證您的使用者,讓他們可以透過 VPN、Wi-Fi 或電子郵件設置檔存取應用程式和公司資源。 當您使用憑證來驗證這些連線時,您的終端使用者不需要輸入使用者名稱和密碼。

憑證也用於使用 S/MIME 簽署和加密電子郵件。 Intune 中使用的常見憑證類型包括信任的根憑證、簡單憑證註冊通訊協定 (SCEP) 憑證和公開金鑰加密標準 (PKCS) 憑證。

此功能支援:

  • Android 裝置系統管理員
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

自訂設定檔

自訂設定可讓系統管理員將未內建的裝置設定指派給 Intune。 在 Android 裝置上,您可以輸入 OMA-URI 值。 針對 iOS/iPadOS 裝置,您可以匯入您在 Apple Configurator 中建立的組態檔。

此功能支援:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

傳遞最佳化

傳遞優化 提供更好的傳遞軟體更新體驗。 這些設定會取代軟體 匯報>Windows 10 更新通道設定。

使用這些設定來控制如何將軟體更新下載到組織中的裝置。 例如,您可以讓使用者取得自己的更新,或使用裝置配置檔中的傳遞優化雲端服務來取得更新。

此功能支援:

  • Windows 11
  • Windows 10

衍生認證

如果您的組織使用智慧卡進行驗證、簽署或加密,則您可以使用 衍生的認證。 在 Intune 中,您可以設定及部署衍生自用戶智慧卡的憑證。 衍生認證通常用於 Wi-Fi & VPN 連線、應用程式 & 電子郵件驗證,或 S/MIME 簽署 & 加密。

Intune 支援數個衍生認證簽發者。 每個平臺也有自己的一組設定。

此功能支援:

  • Android Enterprise
  • iOS/iPadOS

裝置功能

裝置功能 可控制 iOS/iPadOS 和 macOS 裝置上的功能,例如 AirPrint、通知和鎖定畫面訊息。

此功能支援:

  • iOS/iPadOS
  • macOS

BIOS 設定和 DFCI

透過 BIOS 設定,系統管理員可以密碼保護對 BIOS 的存取,並使用 OEM 工具搭配他們想要的 BIOS 設定來建立組態檔。 然後,他們會將此組態檔新增至 Intune 原則。

裝置韌體設定介面 (DFCI) 可讓系統管理員使用 Intune 啟用或停用 UEFI (BIOS) 設定。 使用這些設定來增強韌體層級的安全性,這通常對惡意攻擊更具復原能力。

此功能支援:

  • Windows 11
  • Windows 10

裝置限制

裝置限制 可控制裝置上的安全性、硬體、數據共用和更多設定。 例如,建立裝置限制配置檔,以防止 iOS/iPadOS 裝置使用者使用裝置相機。

另外還有一些設定可管理應用程式市集的存取權、限制使用者在非受控應用程式中檢視公司檔、需要密碼才能解除鎖定裝置,或要求裝置只使用特定 Wi-Fi 網路。

此功能支援:

  • Android 裝置系統管理員
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 10 團隊

網域加入

網域加入會設定 內部部署的 Active Directory 網域資訊。 使用 Windows Autopilot 和 Intune 布建時,此資訊會部署到 Microsoft Entra 混合式聯結裝置。 此配置檔會告訴裝置要加入的網域和 OU。

此功能支援:

  • Windows 11
  • Windows 10

版本升級和模式切換

Windows 10/11 版升級會自動將執行某些 Windows 用戶端版本的裝置升級至較新的版本。

此功能支援:

  • Windows 11
  • Windows 10

Education

教育設定 - Windows 10 設定 Windows 進行測驗應用程式的選項。 當您設定這些選項時,在測試完成之前,裝置上無法執行任何其他應用程式。

教育設定 - iOS/iPadOS 使用 iOS/iPadOS Classroom 應用程式來引導學習和控制教室中的學生裝置。 您可以設定 iPad 裝置,讓許多學生可以共用單一裝置。

電子郵件

Email 會在裝置上建立、指派及監視 Exchange ActiveSync 電子郵件設置。 Email 配置文件有助於一致性、減少支援通話,以及讓使用者在其個人裝置上存取公司電子郵件,而不需要進行任何設定。

此功能支援:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • Windows 11
  • Windows 10

Endpoint Protection

重要事項

此範本在 2024 年 8 月服務版本 (2408) 中已被取代。 現有原則會繼續運作。 但是,您無法使用此範本建立新的原則。

請改用設定目錄來建立新的原則,以設定 FileVault、防火牆和系統原則控制 (閘道守衛) 承載。 若要深入瞭解,請移至 macOS設定目錄

Endpoint Protection 會設定 Windows 用戶端裝置的 BitLocker 和 Microsoft Defender 設定。 在macOS裝置上,您也可以設定防火牆、閘道和其他資源。

若要使用 Microsoft Intune 將 適用於端點的 Microsoft Defender 上線,請參閱使用行動裝置 裝置管理 (MDM) 工具設定端點

此功能支援:

  • macOS
  • Windows 11
  • Windows 10

eSIM 行動數據

eSIM 行動數據配置檔 可讓系統管理員在受控裝置上設定行動數據計劃,以進行因特網和數據存取。 從您的電信業者取得啟用代碼之後,請使用 Intune 匯入這些啟用代碼,然後指派給支援 eSIM 的裝置。

此功能支援:

  • Windows 11
  • Windows 10 Fall Creators Update和更新版本

Extensions

重要事項

此範本在 2024 年 8 月服務版本 (2408) 中已被取代。 現有原則會繼續運作。 但是,您無法使用此範本建立新的原則。

請改用設定目錄來建立設定系統延伸模組承載的新原則。 若要深入瞭解,請移至 macOS設定目錄

macOS 系統延伸模組和核心延伸 模組可讓系統管理員新增擴充操作系統原生功能的功能或程式。 將這些設定設定為信任特定開發人員或合作夥伴的所有延伸模組,或允許特定擴充功能。

此功能支援:

  • macOS

Kiosk

Kiosk 設定 設定檔會將裝置設定為執行一個應用程式,或執行許多應用程式。 您也可以自訂資訊站上的其他功能,包括開始功能表和網頁瀏覽器。

此功能支援:

  • 僅 Windows 11 (單一應用程式 kiosk)
  • Windows 10

Kiosk 設定也可作為 AndroidAndroid EnterpriseiOS/iPadOS 的裝置限制。

Zebra (MX 設定檔)

行動延伸模組 (MX) 擴充內建的 Intune 設定,以自定義或新增 Zebra 裝置專屬的更多設定。 Zebra 裝置通常用於工廠樓層和零售環境。 如果您有數百或數千部 Zebra 裝置,您可以使用 Intune 來設定和管理這些裝置。

此功能支援:

  • Android 裝置系統管理員

適用於端點的 Microsoft Defender

適用於端點的 Microsoft Defender 與 Intune整合,以監視及協助保護裝置。 您可以設定風險層級,並判斷裝置超過該層級時會發生什麼情況。 與條件式存取結合時,您可以協助防止組織中的惡意活動。

此功能支援:

  • Windows 11
  • Windows 10

網路界限

網路界限 會建立您組織信任的網站清單。 這項功能會與 Microsoft Defender 應用程式防護 和 Microsoft Edge 搭配使用,以協助保護您的裝置。

此功能支援:

  • Windows 11
  • Windows 10

OEMConfig

在 Android Enterprise 裝置上, OEMConfig 是標準。 它可讓原始設備製造商 (原始設備製造商) 和 EMM (企業行動管理) 以標準化方式建置及支援 OEM 特定功能。

使用 OEMConfig 時,OEM 會建立架構來定義 OEM 特定的管理功能,並將它內嵌在上傳至 Google Play 的應用程式中。 Intune 從應用程式讀取架構,並允許 Intune 系統管理員設定架構中的設定。

此功能支援:

  • Android Enterprise (OEMConfig)

喜好設定檔案

macOS 裝置上的喜好設定檔案包含應用程式的相關信息。 例如,您可以使用喜好設定檔案來控制網頁瀏覽器設定、自定義應用程式等等。

此功能支援:

  • macOS

提示

macOS 設定會持續新增至 設定目錄。 其中一些設定可以取代喜好設定檔案。 如需詳細資訊,請移至您可以在 Intune 中使用設定目錄完成的工作

設定目錄

設定 目錄 會列出您可以設定的所有可用設定,而且全部位於一個位置。 它不是範本或設定的邏輯群組。 設定目錄類似於設定內部部署 群組原則 物件 (GPO) ,但為雲端原生。

在 Windows 上,有數千個可用的設定,包括範本中找不到的許多設定。 當您想要所有設定的完整清單時,請使用設定目錄來建立原則。 如果您想要使用設定的邏輯群組,請繼續使用範本。

您可以使用 Intune 設定目錄來完成的工作是不錯的資源。

此功能支援:

  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

共用多使用者裝置

Windows 10/11Windows Holographic for Business 包含使用多個使用者管理裝置的設定。 這些裝置稱為共用裝置或共享電腦。 當使用者登入裝置時,您可以選擇使用者是否可以變更睡眠選項,或將檔案儲存在裝置上。 在另一個範例中,若要節省空間,您可以建立從 Windows HoloLens 裝置刪除非使用中認證的設定檔。

這些共用的多使用者裝置設定可讓系統管理員控制某些裝置功能,並使用 Intune 來管理這些共用裝置。

此功能支援:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

殼層腳本

在 Linux 裝置上,您可以 新增現有的 Bash 腳本 ,以自定義這些裝置上的設定和功能。 此概念類似於建立自定義裝置組態配置檔,以及將原則部署到您的裝置。 使用 Linux 時,您會使用現有的 Bash 腳本來設定未內建於 Intune 的功能和設定。

在macOS裝置上,您可以 新增現有的殼層腳本,然後將這些腳本部署到macOS裝置。

在 Windows 裝置上,您可以使用 Intune 管理延伸模組在 Intune 中上傳 PowerShell 腳本,然後在您的裝置上執行這些腳本。 另請參閱使用擴充功能所需的專案、如何將其新增至 Intune,以及其他重要資訊。

此功能支援:

  • Linux
  • macOS
  • Windows 11
  • Windows 10

更新原則

iOS/iPadOS 更新原則 會示範如何建立和指派 iOS/iPadOS 原則,以在 iOS/iPadOS 裝置上安裝軟體更新。 您也可以檢閱安裝狀態。

如需 Windows 裝置上的更新原則,請參閱 傳遞優化

此功能支援:

  • iOS/iPadOS

VPN

VPN 設定會 將 VPN 配置檔指派給組織中的使用者和裝置,讓他們可以輕鬆且安全地連線到網路。

虛擬私人網路 (VPN) 可讓使用者安全地從遠端存取公司網路。 裝置使用 VPN 連線設定檔來開始與您的 VPN 伺服器的連線。

此功能支援:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Wi-Fi

Wi-Fi 設定會 將無線網路設定指派給用戶和裝置。 當您指派WiFi設定檔時,使用者不需要自行設定即可存取您的公司WiFi。

此功能支援:

  • Android 裝置系統管理員
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • 僅 Windows 8.1 (匯入)

Windows 健康情況監視

Windows 健康情況監視 可讓 Endpoint Analytics 收集並分析您的事件數據。 您可以使用此資料來取得 Windows 裝置的見解,包括軟體更新和啟動效能。

此功能支援:

  • Windows 11
  • Windows 10

有線網路

有線網路 可讓您建立及管理 macOS 和 Windows 桌面電腦和裝置的 802.1x 有線連線。 在您的配置檔中,選擇網路介面、選取接受的 EAP 類型,然後輸入伺服器信任設定,包括 PKCS 和 SCEP 憑證。

當您指派配置檔時,使用者不需要自行設定即可存取您的公司有線網路。

此功能支援:

  • macOS
  • Windows 11
  • Windows 10

Zebra Mobility Extensions (MX)

Zebra Mobility Extensions (MX) 可讓系統管理員在 Intune 中使用和管理 Zebra 裝置。 您可以使用您的設定建立 StageNow 設定檔,然後使用 Intune 將這些配置檔指派並部署到 Zebra 裝置。 StageNow 記錄和常見問題是一項絕佳的資源,可用來針對配置檔進行疑難解答,並查看使用 StageNow 時的一些潛在問題。

此功能支援:

  • Android 裝置系統管理員 (行動延伸模組)

管理和疑難解答

管理您的配置檔 ,以檢查裝置的狀態,以及指派的配置檔。 也可藉由查看造成衝突的設定,以及包含這些設定的配置文件,協助解決衝突。

原則和配置檔的常見問題和行為可 協助系統管理員使用配置檔。 其中描述刪除配置檔時會發生什麼事、導致通知傳送至裝置等等。

後續步驟

選擇設定檔並開始使用。