步驟 5: 在 Microsoft Intune 中部署裝置設定檔
Microsoft Intune 包含您可以在組織內的不同裝置上啟用或停用的設定和功能。 這些設定和功能會新增至「組態配置檔」。您可以為不同的裝置和不同的平臺建立配置檔,包括iOS/iPadOS、Android裝置系統管理員、Android Enterprise 和 Windows。 然後,使用 Intune 來套用或「指派」設定檔到裝置。
本文提供開始使用組態設定檔的指導。
組態設定檔讓您能夠設定重要保護,並讓裝置符合合規性,使得裝置可以存取您的資源。 之前,這些類型的設定變更是使用 Active Directory 網域服務中的群組原則設定來設定。 新式安全性策略包括將安全性控件移至雲端,其中強制執行這些控件並不相依於內部部署資源和存取。 Intune 組態設定檔是將這些安全性控制轉換至雲端的方法。
為提供您可以建立的組態設定檔類型的想法,請參閱在 Microsoft Intune 中使用裝置設定檔在裝置上套用功能和設定。
為 Intune 部署 Windows 安全性基準
作為起點,如果您想要將裝置設定與 Microsoft 安全性基準對齊,建議您在 Microsoft Intune 內使用安全性基準。 這個方法的優點是您可以仰賴 Microsoft 在 Windows 10 和 11 功能發行時將基準保持在最新。
部署可供 Windows 10 和 Windows 11 使用的 Intune 的 Windows 安全性基準。 若要了解可用的基準,請參閱在 Intune 中使用安全性基準來設定 Windows 裝置。
目前,只要部署最適合的 MDM 安全性基準。 請參閱在 Microsoft Intune 中管理安全性基準配置檔,以建立配置檔並選擇基準版本。
稍後,當適用於端點的 Microsoft Defender 已設定且已連接 Intune 時,請部署適用於端點的 Defender 基準。 本系列的下一篇文章主題涵蓋此主題:步驟 6:監視裝置風險和安全性基準的合規性。
請務必瞭解這些安全性基準不符合 CIS 或 NIST 規範,但會密切反映其建議。 如需詳細資訊,請參閱 Intune 安全性基準 CIS 或 NIST 是否相容?
為您的組織自訂組態設定檔。
除了部署預先設定的基準,許多企業規模組織也會實作組態設定檔,以進行更細微的控制。 此組態有助於減少內部部署 Active Directory 環境中群組原則物件的相依性,以及將安全性控制移至雲端。
您可以使用組態設定檔設定的許多設定可以分成四個類別,如下圖所示。
下表說明該圖例。
類別 | 描述 | 範例 |
---|---|---|
裝置功能 | 控制裝置上的功能。 此類別僅適用於 iOS/iPadOS 和 macOS 裝置。 | Airprint、通知、鎖定畫面訊息 |
裝置限制 | 控制裝置上的安全性、硬體、資料共用和其他設定 | 需要 PIN、資料加密 |
存取設定 | 設定裝置以存取組織的資源 | 電子郵件設定檔、VPN 設定檔、Wi-Fi 設定、憑證 |
自訂 | 設定自訂設定或執行自訂設定動作 | 設定 OEM 設定,執行 PowerShell 指令碼 |
自訂組織的組態設定檔時,請使用下列指導:
- 將整體原則數目維持在少量,以簡化您的安全性控管策略。
- 將設定分組為以上所列的類別,或對您的組織有意義的類別。
- 將安全性控制從 群組原則 Objects (GPO) 移至 Intune 組態配置檔時,請考慮每個 GPO 所設定的設定是否仍然相關,而且需要為整體雲端安全性策略做出貢獻。 條件式存取和許多可跨雲端服務設定的原則,包括 Intune,提供比原本設計自定義 GPO 的內部部署環境中所設定更複雜的保護。
- 利用 群組原則 Analytics 來比較目前的 GPO 設定,並將它對應至 Microsoft Intune 內的功能。 請參閱在 Microsoft Intune 中使用 群組原則 分析, (GPO) 分析您的內部部署組策略物件。
- 使用自訂組態設定檔時,請務必使用這裡的指導:在 Intune 中使用自訂設定來建立設定檔。
其他資源
如果您不確定從何處開始使用裝置設定檔,以下會有所幫助:
如果您的環境包含內部部署 GPO,則下列功能可順利轉換至雲端: