在 Microsoft Intune 中使用裝置設定檔在裝置上套用功能和設定

  • 發行項

重要事項

在 2022 年 10 月 22 日,Microsoft Intune終止對執行Windows 8.1裝置的支援。 在該日期之後,就無法在這些裝置上使用技術協助和自動更新。 如需詳細資訊,請移至規劃變更:終止對Windows 8.1的支援

如果您目前使用 Windows 8.1,建議您移至Windows 10/11 裝置。 Microsoft Intune具有管理Windows 10/11 用戶端裝置的內建安全性和裝置功能。 如需詳細資訊,請移至Windows 7 和 Windows 8.1 終止支援

Microsoft Intune 包含您可以在組織內的不同裝置上啟用或停用的設定和功能。 這些設定和功能會新增至「組態設定檔」。 您可以為不同裝置和不同平台 (包括 iOS/iPadOS、Android 裝置系統管理員、Android 企業版和 Windows) 建立設定檔。 然後,使用 Intune 來套用或「指派」設定檔到裝置。

作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些組態設定檔來完成不同的工作。 Intune有許多範本,其中包含功能特有的設定群組,例如憑證、VPN、電子郵件等等。

部分設定檔範例包括:

  • 在 Windows 10/11 裝置上,使用在 Internet Explorer 中封鎖 ActiveX 控制項的設定檔範本。
  • 在 iOS/iPadOS 和 macOS 裝置上,允許使用者在組織中使用 AirPrint 印表機。
  • 允許或防止存取裝置上的藍牙。
  • 建立可讓不同裝置存取公司網路的 WiFi 或 VPN 設定檔。
  • 管理軟體更新,包括安裝時。
  • 以可執行一個應用程式或執行許多應用程式的專用 kiosk 裝置身分執行 Android 裝置。

本文提供您可以建立的不同類型設定檔的概觀。 使用這些設定檔來允許或防止裝置上的某些功能。

系統管理範本和群組原則

系統管理範本包含數百個您可以針對 Internet Explorer、Microsoft Edge、OneDrive、遠端桌面、Word、Excel 和其他 Office 程式設定的設定。 這些範本為系統管理員提供了類似於群組原則的簡化設定檢視,並且它們為 100% 雲端式。

群組原則分析會分析您的內部部署 GPO,並顯示哪些原則設定受到支援、已被取代等等。

此功能支援:

  • Windows 11
  • Windows 10

憑證

憑證 會設定指派給裝置的受信任、SCEP 和 PKCS 憑證。 這些憑證會驗證 WiFi、VPN 和電子郵件設定檔。

此功能支援:

  • Android 裝置系統管理員
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

自訂設定檔

自訂設定可讓系統管理員將未內建的裝置設定指派給Intune。 在 Android 裝置上,您可以輸入 OMA-URI 值。 針對 iOS/iPadOS 裝置,您可以匯入您在 Apple Configurator 中建立的組態檔。

此功能支援:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

傳遞最佳化

傳遞優化 提供更好的傳遞軟體更新體驗。 這些設定會取代軟體更新>Windows 10更新通道設定。

使用這些設定來控制如何將軟體更新下載到組織中的裝置。 例如,您可以讓使用者取得自己的更新,或使用裝置設定檔中的傳遞優化雲端服務來取得更新。

此功能支援:

  • Windows 11
  • Windows 10

衍生認證

衍生認證 是智慧卡上的憑證,可進行驗證、簽署和加密。 在Intune中,您可以使用這些認證來建立設定檔,以用於應用程式、電子郵件設定檔、連線至 VPN、S/MIME 和 Wi-Fi。

此功能支援:

  • Android Enterprise
  • iOS/iPadOS

裝置功能

裝置功能 可控制 iOS/iPadOS 和 macOS 裝置上的功能,例如 AirPrint、通知和鎖定畫面訊息。

此功能支援:

  • iOS/iPadOS
  • macOS

裝置韌體設定介面

裝置韌體設定介面 (DFCI) 可讓系統管理員使用 Intune 啟用或停用 UEFI (BIOS) 設定。 使用這些設定來增強韌體層級的安全性,這通常對惡意攻擊更具復原能力。

此功能支援:

  • 在支援的韌體上Windows 11
  • Windows 10 1809 及更新版本支援韌體

裝置限制

裝置限制 可控制裝置上的安全性、硬體、資料共用和更多設定。 例如,建立裝置限制設定檔,以防止 iOS/iPadOS 裝置使用者使用裝置相機。

此功能支援:

  • Android 裝置系統管理員
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 10 團隊

網域加入

網域加入會設定內部部署的 Active Directory網域資訊。 使用 Windows Autopilot 和 Intune 布建時,此資訊會部署到已加入混合式 Azure AD 的裝置。 此設定檔會告訴裝置要加入的網域和 OU。

此功能支援:

  • Windows 11
  • Windows 10

版本升級和模式切換

Windows 10/11 版升級會自動將執行某些 Windows 用戶端版本的裝置升級至較新的版本。

此功能支援:

  • Windows 11
  • Windows 10

教育版

教育設定 - Windows 10設定Windows 進行測驗應用程式的選項。 當您設定這些選項時,在測試完成之前,裝置上無法執行任何其他應用程式。

教育設定 - iOS/iPadOS 使用 iOS/iPadOS Classroom 應用程式來引導學習,並控制教室中的學生裝置。 您可以設定 iPad 裝置,讓許多學生可以共用單一裝置。

電子郵件

Email會在裝置上建立、指派及監視Exchange ActiveSync電子郵件設定。 Email設定檔有助於一致性、減少支援通話,以及讓使用者在其個人裝置上存取公司電子郵件,而不需要進行任何設定。

此功能支援:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • Windows 11
  • Windows 10

Endpoint Protection

Endpoint Protection會設定 Windows 用戶端裝置的 BitLocker 和 Microsoft Defender 設定。 在 macOS 裝置上,您也可以設定防火牆、閘道和其他資源。

若要使用Microsoft Intune將適用於端點的 Microsoft Defender上線,請參閱使用行動裝置裝置管理 (MDM) 工具設定端點

此功能支援:

  • macOS
  • Windows 11
  • Windows 10

eSIM 行動資料 - 公開預覽

eSIM 行動資料設定檔 可讓系統管理員在受控裝置上設定行動通話方案,以進行網際網路和資料存取。 從您的電信業者取得啟用代碼之後,請使用Intune匯入這些啟用代碼,然後指派給支援 eSIM 的裝置。

此功能支援:

  • Windows 11
  • Windows 10 Fall Creators Update和更新版本

擴充功能

macOS 系統延伸模組和核心延伸 模組可讓系統管理員新增擴充作業系統原生功能的功能或程式。 將這些設定設定為信任特定開發人員或合作夥伴的所有延伸模組,或允許特定擴充功能。

此功能支援:

  • macOS

身分識別保護

身分識別保護可控制 Windows 用戶端裝置上的Windows Hello 企業版體驗。 設定這些設定,讓使用者和裝置能夠使用 Windows Hello 企業版,並指定裝置 PIN 和手勢的需求。

此功能支援:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

Kiosk

Kiosk 設定 設定檔會將裝置設定為執行一個應用程式,或執行許多應用程式。 您也可以自訂資訊站上的其他功能,包括開始功能表和網頁瀏覽器。

此功能支援:

  • 僅Windows 11 (單一應用程式 kiosk)
  • Windows 10

Kiosk 設定也可作為 AndroidAndroid EnterpriseiOS/iPadOS的裝置限制。

Zebra (MX 設定檔)

行動延伸模組 (MX) 擴充內建的Intune設定,以自訂或新增 Zebra 裝置特有的更多設定。 Zebra 裝置通常用於工廠樓層和零售環境。 如果您有數百或數千部 Zebra 裝置,您可以使用Intune來設定和管理這些裝置。

此功能支援:

  • Android 裝置系統管理員

適用於端點的 Microsoft Defender

適用於端點的 Microsoft Defender與Intune整合,以監視及協助保護裝置。 您可以設定風險層級,並判斷裝置超過該層級時會發生什麼情況。 與條件式存取結合時,您可以協助防止組織中的惡意活動。

此功能支援:

  • Windows 11
  • Windows 10

網路界限

網路界限 會建立組織信任的網站清單。 這項功能會與 Microsoft Defender 應用程式防護 和 Microsoft Edge 搭配使用,以協助保護您的裝置。

此功能支援:

  • Windows 11
  • Windows 10

OEMConfig

在 Android Enterprise 裝置上, OEMConfig 是標準。 它可讓原始設備製造商 (原始設備製造商) 和 EMM (企業行動管理) 以標準化方式建置及支援 OEM 特定功能。 使用 OEMConfig 時,OEM 會建立架構來定義 OEM 特定的管理功能,並將它內嵌在上傳至 Google Play 的應用程式中。 Intune從應用程式讀取架構,並允許Intune系統管理員設定架構中的設定。

此功能支援:

  • Android Enterprise (OEMConfig)

PowerShell 指令碼

PowerShell 腳本會使用 Intune 管理延伸模組,在 Intune 中上傳 PowerShell 腳本,然後在您的裝置上執行這些腳本。 另請參閱使用擴充功能所需的專案、如何將其新增至Intune,以及其他重要資訊。

此功能支援:

  • Windows 11
  • Windows 10

喜好設定檔案

macOS 裝置上的喜好設定檔案包含應用程式的相關資訊。 例如,您可以使用喜好設定檔案來控制網頁瀏覽器設定、自訂應用程式等等。

此功能支援:

  • macOS

提示

macOS 設定會持續新增至 設定目錄。 其中一些設定可以取代喜好設定檔案。 如需詳細資訊,請移至您可以在Intune中使用設定目錄完成的工作

設定目錄

設定目錄會列出您可以設定的設定。 它不是範本或設定的邏輯群組。

在 Windows 上,有數千個可用的設定,包括範本中找不到的許多設定。 當您想要所有設定的完整清單時,請使用設定目錄來建立原則。 如果您想要使用設定的邏輯群組,請繼續使用範本。

在 macOS 上,您可以使用設定目錄來設定 Microsoft Edge 77 版和更新版本。 在您的原則中,您可以設定個別設定。 它不需要喜好設定檔案。

此功能支援:

  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10

共用多使用者裝置

Windows 10/11Windows Holographic for Business包含使用多個使用者管理裝置的設定。 這些裝置稱為共用裝置或共用電腦。 當使用者登入裝置時,您可以選擇使用者是否可以變更睡眠選項,或將檔案儲存在裝置上。 在另一個範例中,若要節省空間,您可以建立從 Windows HoloLens 裝置刪除非使用中認證的設定檔。

這些共用的多使用者裝置設定可讓系統管理員控制某些裝置功能,並使用Intune來管理這些共用裝置。

此功能支援:

  • Windows 11
  • Windows 10
  • Windows Holographic for Business

更新原則

iOS/iPadOS 更新原則 會示範如何建立和指派 iOS/iPadOS 原則,以在 iOS/iPadOS 裝置上安裝軟體更新。 您也可以檢閱安裝狀態。

如需 Windows 裝置上的更新原則,請參閱 傳遞優化

此功能支援:

  • iOS/iPadOS

VPN

VPN 設定會 將 VPN 設定檔指派給組織中的使用者和裝置,讓他們可以輕鬆且安全地連線到網路。

虛擬私人網路 (VPN) 可讓使用者安全地從遠端存取公司網路。 裝置使用 VPN 連線設定檔來開始與您的 VPN 伺服器的連線。

此功能支援:

  • Android 裝置系統管理員
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • Windows 8.1

Wi-Fi

Wi-Fi 設定會 將無線網路設定指派給使用者和裝置。 當您指派 WiFi 設定檔時,使用者不需要自行設定即可存取您的公司 WiFi。

此功能支援:

  • Android 裝置系統管理員
  • Android (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows 11
  • Windows 10
  • 僅Windows 8.1 (匯入)

Windows 健康情況監視

Windows 健康情況監視 可讓您收集資料事件,然後由端點分析進行分析。 您可以使用此資料來取得 Windows 裝置的見解,包括軟體更新和啟動效能。

此功能支援:

  • Windows 11
  • Windows 10

有線網路

有線網路 可讓您建立及管理 macOS 和 Windows 桌上型電腦和裝置的 802.1x 有線連線。 在您的設定檔中,選擇網路介面、選取接受的 EAP 類型,然後輸入伺服器信任設定,包括 PKCS 和 SCEP 憑證。

當您指派設定檔時,使用者不需要自行設定即可存取您的公司有線網路。

此功能支援:

  • macOS
  • Windows 11
  • Windows 10

Zebra Mobility Extensions (MX)

Zebra Mobility Extensions (MX) 可讓系統管理員在Intune中使用和管理 Zebra 裝置。 您可以使用您的設定建立 StageNow 設定檔,然後使用Intune將這些設定檔指派並部署到 Zebra 裝置。 StageNow 記錄和常見問題是一項絕佳的資源,可用來針對設定檔進行疑難排解,並查看使用 StageNow 時的一些潛在問題。

此功能支援:

  • Android 裝置系統管理員 (行動延伸模組)

管理和疑難排解

管理您的設定檔 ,以檢查裝置的狀態,以及指派的設定檔。 也可藉由查看造成衝突的設定,以及包含這些設定的設定檔,協助解決衝突。 常見問題和解決方法 可協助系統管理員使用設定檔。 其中描述刪除設定檔時會發生什麼事、導致通知傳送至裝置等等。

後續步驟

選擇設定檔並開始使用。