成功的 Microsoft Intune 部署或遷移始於規劃。 本指南協助您規劃搬遷或採用 Intune 作為統一端點管理解決方案的方案。
Intune 為組織提供對自己及眾多使用者裝置最有利的選擇。 你可以在 Intune 中註冊裝置, (MDM) 進行行動裝置管理。 你也可以使用應用程式保護政策來管理行動應用程式 (MAM) ,專注於保護應用程式資料。
本指南:
- 列出並描述一些常見的裝置管理目標
- 列出潛在的授權需求
- 提供個人擁有裝置的處理指導
- 建議檢視現行政策與基礎設施
- 舉例說明如何制定推廣計畫
- 以及其他選項
請參考本指南規劃搬遷或遷移至 Intune。
提示
- 想要列印或儲存這份指南的 PDF 嗎? 在你的網頁瀏覽器中,使用 列印 選項,儲存 為 PDF。
- 這本指南是活生生的。 所以,務必補充或更新你覺得有用的現有建議和指引。
步驟一 - 確定你的目標
組織使用行動裝置管理 (MDM) 及行動應用程式管理 (MAM) ,以安全控制組織資料,並盡量減少對使用者的干擾。 在評估像 Microsoft Intune 這樣的 MDM/MAM 解決方案時,請看看目標是什麼,以及你想達成什麼。
在本節中,我們將討論使用 Intune 時常見的目標或情境。
目標:存取組織應用程式與電子郵件
使用者預期能在使用組織應用程式的裝置上工作,包括閱讀與回覆電子郵件、更新與分享資料等。 在 Intune 中,你可以部署不同類型的應用程式,包括:
- Microsoft 365 應用程式
- Win32 應用程式
- 業務線 (LOB) 應用程式
- 自訂應用程式
- 內建應用程式
- 市集應用程式
✅ 任務:列出用戶經常使用的應用程式清單
這些應用程式就是你想在他們裝置上使用的應用程式。 一些考量:
許多組織部署所有 Microsoft 365 應用程式,如 Word、Excel、OneNote、PowerPoint 和 Teams。 在較小的裝置上,例如手機,你可以根據使用者需求安裝個別應用程式。
例如,銷售團隊可能需要 Teams、Excel 和 SharePoint。 在行動裝置上,你只能部署這些應用程式,而不必部署整個 Microsoft 365 產品系列。
使用者偏好在所有裝置上閱讀 & 回覆電子郵件,並加入會議,包括個人裝置。 在組織自有的裝置上,你可以部署 Outlook 和 Teams,並用組織設定預先配置這些應用程式。
在個人裝置上,你可能沒有這種控制。 所以,請決定是否要讓使用者使用組織應用程式,例如電子郵件和會議。
欲了解更多資訊與考量,請參閱本文) (的「 個人裝置與組織擁有裝置 」。
如果你打算在 Android 和 iOS/iPadOS 裝置上使用 Microsoft Outlook,可以用 Intune 應用程式設定政策預先設定 Outlook。
檢視那些設計來支援 Intune 的受保護應用程式。 這些應用程式是支援的合作夥伴應用程式,以及與 Microsoft Intune 常用的 Microsoft 應用程式。
目標:所有裝置的安全存取
當資料儲存在行動裝置上時,必須對其進行防範惡意活動的保護。
✅ 任務:決定你想如何保護你的裝置
防毒軟體、惡意軟體掃描、應對威脅以及保持裝置更新都是重要的考量。 你也要盡量減少惡意活動的影響。
一些考量:
防毒軟體 (防毒軟體) 和惡意軟體防護是必須的。 Intune 與 適用於端點的 Microsoft Defender 及其他行動威脅防禦(Mobile Threat Defense) (MTD) 合作夥伴整合,協助保護您的受管裝置、個人裝置與應用程式。
適用於端點的 Microsoft Defender 包含安全功能與入口網站,協助監控與回應威脅。
如果裝置遭到入侵,你要利用條件存取來限制惡意影響。
例如,適用於端點的 Microsoft Defender 會掃描裝置,並判斷該裝置是否遭到入侵。 條件存取可以自動阻擋組織對此裝置的存取,包括電子郵件。
條件存取有助於保護您的網路和資源免受裝置(即使是未註冊在 Intune 的裝置)的傷害。
更新裝置、作業系統和應用程式,幫助保護你的資料安全。 制定計畫,說明何時以及如何安裝更新。 Intune 有政策可以幫助你管理更新,包括商店應用程式的更新。
以下軟體更新規劃指南可協助您制定更新策略:
決定使用者如何從多台裝置驗證組織資源 。 例如,您可以:
在裝置上使用 憑證 來驗證功能和應用程式,例如連接虛擬私人網路 (VPN) 、開啟 Outlook 等。 這些憑證允許「無密碼」使用者體驗。 無密碼被認為比要求使用者輸入組織的使用者名稱和密碼更安全。
如果你打算使用憑證,請使用支援的 公鑰基礎架構 (PKI) 基礎架構 來建立和部署憑證設定檔。
在組織自有裝置上使用 多重身份驗證 ( 多重驗證) ,作為額外的認證層。 或者,使用多重驗證(MFA)來驗證個人裝置上的應用程式。 生物辨識技術,如臉部辨識和指紋,也可被使用。
如果你打算使用生物辨識來驗證,請確保你的裝置支援生物辨識。 大多數現代裝置都有。
實施零信任部署。 使用零信任,你可以利用 Microsoft Entra ID 和 Microsoft Intune 的功能來保護所有端點,並採用無密碼認證等功能。
設定 Microsoft 365 應用程式附帶的資料封存政策。 這些政策有助於防止組織資料與 IT 未管理的其他應用程式和儲存空間共享。
如果部分使用者只需要存取企業電子郵件和文件,這在個人擁有的裝置中很常見,那麼你可以要求使用者使用帶有應用程式保護政策的 Microsoft 365 應用程式。 這些裝置不一定要註冊在 Intune。
欲了解更多資訊與考量,請參閱本文) (的「 個人裝置與組織擁有裝置 」。
目標:分散 IT
許多組織希望讓不同的管理員掌控地點、部門等。 例如, 夏洛特 IT 管理員團隊負責 控制並監控夏洛特校區的政策。 這些夏洛特的 IT 管理員只能看到並管理夏洛特地點的政策。 他們無法看到或管理 Redmond 分店的政策。 這種方式稱為分散式 IT。
在 Intune 中,分散式 IT 享有以下功能:
範圍標籤 使用基於角色的存取控制 (RBAC) 。 因此,只有特定群組的使用者有權限管理其範圍內使用者和裝置的政策與設定檔。
使用 裝置註冊類別時,裝置會根據你建立的類別自動加入群組。 此功能使用 Microsoft Entra 動態群組,幫助管理裝置更簡單。
用戶註冊裝置時,會選擇一個類別,例如銷售、IT 管理員、銷售點裝置等等。 當裝置被加入某個類別時,這些裝置群組就能隨時接收你的政策。
當管理員建立政策時,你可以要求針對特定政策(包括執行腳本或部署應用程式的政策)取得 多重管理員批准 。
端點權限管理允許標準的非管理員使用者完成任務,這些任務需要提升權限,例如安裝應用程式和更新裝置驅動程式。 端點權限管理是 Intune 套件的一部分。
✅ 任務:決定你想如何分配規則和設定
規則和設定是用不同的政策部署的。 一些考量:
決定你的行政架構。 例如,你可能想依地點分開,比如 夏洛特 IT 管理員 或 劍橋 IT 管理員。 你可能想依角色分開,比如控制所有網路存取(包括 VPN)的 網路管理員 。
這些分類成為你的 範圍標籤。
欲了解更多關於建立管理員群組的資訊,請前往:
有時組織需要在大量本地管理員連接單一 Intune 租戶的系統中使用分散式 IT。 例如,一家大型組織只有一個 Intune 租戶。 該組織擁有大量本地管理員,每位管理員管理特定的系統、區域或地點。 每位管理員只需管理自己的地點,而不必管理整個組織。
欲了解更多資訊,請參閱同一 Intune 租戶中多管理員的分散式 IT 環境。
許多組織依裝置類型分組,例如 iOS/iPadOS、Android 或 Windows 裝置。 部分範例:
- 將特定的應用程式分發給特定的裝置。 例如,將 Microsoft 的 shuttle 應用程式部署到雷德蒙網路的行動裝置。
- 將政策部署到特定地點。 例如,在 Charlotte 網路中部署一個 Wi-Fi 設定檔,讓它們在範圍內自動連接。
- 控制特定裝置的設定。 例如,關閉製造現場使用的 Android 企業級裝置的相機,為所有 Windows 裝置建立 Windows Defender 防毒設定檔,或為所有 iOS/iPadOS 裝置新增電子郵件設定。
這些類別成為你的 裝置註冊類別。
目標:將組織資料保留在組織內部
當資料儲存在行動裝置上時,應保護資料免於意外遺失或被分享。 此目標同時包括從個人及組織擁有的裝置中清除組織資料。
✅ 任務:制定計畫,涵蓋影響組織的不同情境
以下是一些範例情境:
裝置遺失、被竊,或不再使用。 使用者離開組織。
- 在 Intune 中,你可以透過清除、退休或手動取消註冊來移除裝置。 你也可以自動移除那些連續幾天沒在 Intune 報到的裝置。
- 在應用程式層級,你可以從 Intune 管理的應用程式中移除組織資料。 選擇性清除對個人裝置非常有效,因為它會保留個人資料,只移除組織資料。
在個人裝置上,你可能想防止使用者複製貼上、截圖或轉寄電子郵件。 應用程式防護政策可能會阻擋你未管理的裝置上的這些功能。
在受管理裝置 (註冊於 Intune) 的裝置上,你也可以透過裝置設定檔來控制這些功能。 裝置設定檔控制 的是裝置本身的設定,而不是應用程式。 對於存取高度敏感或機密資料的裝置,裝置設定檔可以防止複製貼上、截圖等行為。
欲了解更多資訊與考量,請參閱本文) (的「 個人裝置與組織擁有裝置 」。
步驟二 - 清點你的裝置
組織擁有多種裝置,包括桌上型電腦、筆記型電腦、平板電腦、手持式掃描器及行動電話。 這些裝置屬於組織所有,或是你的使用者擁有。 在規劃裝置管理策略時,請考慮所有存取組織資源的因素,包括個人裝置。
本節包含您應該考慮的裝置資訊。
支援的平台
Intune 支援常見且熱門的裝置平台。 關於特定版本,請前往 支援的平台。
✅ 任務:升級或更換舊裝置
如果你的裝置使用不支援的版本,主要是較舊的作業系統,那就該升級作業系統或更換裝置了。 這些較舊的作業系統和裝置支援可能有限,且可能構成安全風險。 這項任務包括運行 Windows 7 的桌上型電腦、運行原始 v10.0 作業系統的 iPhone 7 裝置等等。
個人裝置與組織自有裝置
在個人裝置上,使用者查看電子郵件、加入會議、更新檔案等是正常且預期的。 許多組織允許個人裝置存取組織資源。
自帶裝置/個人裝置是行動應用程式管理 (MAM) 策略的一部分,該策略:
- 它在許多組織中持續受到歡迎
- 對於想保護組織資料,但又不想管理整個裝置的組織來說,是個不錯的選擇
- 降低硬體成本。
- 能增加員工的行動生產力選擇,包括遠端 & 混合工作者
- 只會從應用程式中移除組織資料,而不是從裝置中移除所有資料
組織擁有的裝置是行動裝置管理 (MDM) 策略的一部分,該策略包括:
- 將組織內的 IT 管理員完全控制權
- 擁有豐富的功能管理應用程式、裝置與使用者
- 對於想要管理整個裝置,包括硬體和軟體的組織來說,是個不錯的選擇
- 這可能會增加硬體成本,尤其是當現有裝置過時或不再支援時
- 可以從裝置中移除所有資料,包括個人資料
作為組織和管理員,你決定是否允許使用個人裝置。 如果你允許使用個人裝置,那麼你需要做出重要決策,包括如何保護你的組織資料。
✅ 任務:決定你想如何處理個人裝置
如果你的組織重視行動或支援遠端工作者,請考慮以下方法:
選項一:允許個人裝置存取組織資源。 使用者可 選擇是否註冊。
對於 註冊個人裝置的使用者,管理員會完全管理這些裝置,包括推送政策、控制裝置功能 & 設定,甚至清除裝置。 作為管理員,你可能想要這種控制,或者 你可能認為 你想要這種控制。
當使用者註冊個人裝置時,他們可能不知道或不了解管理員可以對裝置做任何事,包括不小心清除或重設裝置。 作為管理員,你可能不想承擔這種責任或可能影響組織不擁有的裝置。
此外,許多用戶拒絕註冊,並能找到其他方式取得組織資源。 例如,你要求裝置必須註冊才能使用 Outlook 應用程式來查看組織電子郵件。 要跳過這個要求,使用者只需在裝置上開啟任何瀏覽器,並登入 Outlook 網頁版,這可能不是你想要的。 或者,他們會截圖,然後把圖片存到裝置上,這也不是你想要的。
若選擇此選項,務必教育使用者關於個人裝置註冊的風險與好處。
對於 沒有註冊個人裝置的用戶,則可透過應用程式保護政策管理應用程式存取並保護應用程式資料。
使用條款 與條件 聲明搭配條件存取政策。 如果使用者不同意,他們就無法使用應用程式。 若使用者同意該聲明,裝置紀錄會被加入 Microsoft Entra ID,裝置即成為已知實體。 當裝置被知道時,你就能追蹤該裝置存取的內容。
一定要用應用程式政策來控制存取和安全性。
看看你組織最常用的任務,比如電子郵件和參加會議。 使用 應用程式設定政策 來設定應用程式專屬的設定,例如 Outlook。 使用 應用程式保護政策 來控制這些應用程式的安全性與存取權限。
例如,使用者可以在個人裝置上使用 Outlook 應用程式查看工作郵件。 在 Intune 中,管理員會建立 Outlook 應用程式的保護政策。 此政策在 Outlook 應用程式每次開啟時使用多重驗證 (多重認證) ,防止複製貼上,並限制其他功能。
選項二:你希望 每台裝置都能完全受控。 在這種情況下,所有裝置都註冊在 Intune 中,並由組織管理,包括個人裝置。
為了協助強制註冊,你可以部署條件存取 (CA) 政策,要求裝置必須在Intune中註冊。 在這些裝置上,你還可以:
- 為 組織連線設定 WiFi/VPN 連線 ,並將這些連線政策部署到裝置上。 使用者不需要輸入任何設定。
- 如果 使用者需要特定應用程式 ,就部署這些應用程式。 你也可以部署組織為安全目的所需的應用程式,例如行動威脅防禦應用程式。
- 利用 合規政策來設定 組織必須遵守的規則,例如規範或明確指出特定 MDM 控制的政策。 例如,你需要 Intune 來加密整個裝置,或產生裝置上所有應用程式的報告。
如果你也想控制硬體,就給使用者所有他們需要的裝置,包括手機。 投資硬體更新計畫,讓使用者持續高效運作,並獲得最新的內建安全功能。 將這些組織擁有的裝置註冊到 Intune,並使用政策來管理它們。
最佳做法是,永遠假設資料會從裝置中流出。 務必確保你的追蹤與稽核方法已到位。 欲了解更多資訊,請參閱 Microsoft Intune 的零信任。
管理桌上型電腦
Intune 可以管理執行 Windows 的桌上型電腦。 Windows 用戶端作業系統內建現代裝置管理功能,並移除對本地 Active Directory (AD) 群組政策的依賴。 你可以在 Intune 中建立規則和設定,並將這些政策部署到所有 Windows 用戶端裝置,包括桌上型電腦和個人電腦,從而享有雲端的好處。
欲了解更多資訊,請參考 「引導情境-雲端管理現代桌面」。
如果你的 Windows 裝置目前是用 Configuration Manager 管理,你仍然可以把這些裝置註冊到 Intune。 這種做法稱為 共管理。 共同管理有許多好處,包括重新啟動 (遠端執行裝置操作、遠端控制、恢復出廠設定) 、具備裝置相容性的條件存取等功能。 你也可以將裝置雲端連接到 Intune。
如需詳細資訊,請移至:
✅ 任務:看看你目前用什麼來管理行動裝置
您是否採用行動裝置管理,取決於您組織目前使用的是什麼,包括該解決方案是否使用本地部署的功能或程式。
設定部署指南有一些不錯的資訊。
一些考量:
如果你目前沒有使用任何 MDM 服務或解決方案,直接使用 Intune 可能是最好的選擇。
如果你目前使用 GPO) (本地 群組原則 物件,那麼進入 Intune 並使用 Intune 設定目錄是類似的,且會更容易轉換到雲端裝置政策。 設定目錄也包含蘋果裝置和 Google Chrome 的設定。
對於沒有註冊在 Configuration Manager 或任何 MDM 解決方案的新裝置,直接使用 Intune 可能是最好的選擇。
如果你目前使用 Configuration Manager,那麼你的選項包括:
- 如果你想保留現有基礎設施,並把部分工作負載移到雲端,那就用共管理。 你可以同時享受這兩種服務的好處。 現有裝置可從Configuration Manager (本地) 接收部分政策,並從Intune (雲端) 接收其他政策。
- 如果你想保留現有基礎設施,並使用 Intune 來監控本地設備,那就用租戶附加。 你可以使用 Intune 管理中心,同時使用 Configuration Manager 來管理裝置。
- 如果你想要純雲端解決方案來管理裝置,那就換成 Intune。 部分 Configuration Manager 使用者偏好繼續使用 Configuration Manager,並以租戶連接或共同管理方式進行。
欲了解更多資訊,請參閱 共同管理工作負載。
前線工作者 (FLW) 裝置
共用平板和裝置在第一線工作者中 (FLW) 很常見。 它們被廣泛應用於許多行業,包括零售、醫療保健、製造業等。
不同平台提供多種選項,包括 Android (AOSP) 虛擬實境裝置、iPad 裝置,以及 Windows 365 雲端 PC。
✅ 任務:確定你的FLW情境
FLW 裝置由組織擁有,登錄於裝置管理系統,且由一名使用者 (使用者分配的) ,或多位使用者 (共用裝置) 使用。 這些裝置對前線工作者至關重要,且常以有限使用方式使用。 例如,它可以是掃描物品的裝置、顯示資訊的自助機,或是用於醫院或醫療機構報到病患的平板電腦。
欲了解更多資訊,請前往 Microsoft Intune 中的前線工作者裝置管理。
步驟三 - 確定成本與授權
管理裝置是與不同服務的關係。 Intune 包含了你可以在不同裝置上控制的設定和功能。 還有其他服務也扮演關鍵角色:
Microsoft Entra ID P1 或 P2 (包含在 Microsoft 365 E5 授權中) 包含多項管理裝置的關鍵功能,包括:
- Windows Autopilot:Windows 用戶端裝置可以自動註冊 Intune,並自動收到您的政策。
- 多重驗證 (多重驗證) :使用者必須輸入兩種或以上驗證方式,如 PIN、驗證應用程式、指紋等。 MFA 是使用個人裝置及組織自有裝置保護政策時的絕佳選擇,尤其需要額外安全。
- 條件存取:如果使用者和裝置遵守你的規則,例如六位數密碼,他們就能取得組織資源的存取權。 如果使用者或裝置不符合你的規則,他們就無法取得存取權限。
- 動態使用者群組與動態裝置群組:當使用者或裝置符合城市、職稱、作業系統類型、作業系統版本等條件時,會自動將其加入群組。
Microsoft 365 E5授權 (包含Microsoft 365 應用程式) 包含用戶依賴的應用程式,包括 Outlook、Word、SharePoint、Teams、OneDrive 等。 你可以用 Intune 部署這些應用程式到裝置上。
適用於端點的 Microsoft Defender (包含在Microsoft 365 E5授權中) 協助監控和掃描你的 Windows 用戶端裝置是否有惡意活動。 你也可以設定一個可接受的威脅等級。 結合條件存取時,當威脅等級超過時,你可以封鎖對組織資源的存取。
Microsoft Purview (包含在Microsoft 365 E5授權中) 透過貼標籤來分類並保護文件與電子郵件。 在 Microsoft 365 應用程式中,你可以使用此服務 防止未經授權存取組織資料,包括個人裝置上的應用程式。
Microsoft Copilot in Intune 是一款生成式 AI 安全分析工具。 它會存取您的 Intune 資料,協助您管理政策與設定、了解安全狀況,並排除裝置問題。
Intune 中的 Copilot 由 Microsoft Security Copilot 授權使用。 欲了解更多資訊,請前往「開始使用 Microsoft Security Copilot」。
Intune Suite 提供先進的端點管理與安全功能,如遠端協助、Microsoft Cloud PKI、端端點權限管理等。 Intune 套件則以獨立授權形式提供。
如需詳細資訊,請移至:
✅ 任務:確定您的組織需要的授權服務
一些考量:
如果你的目標是部署政策 (規則) 和設定檔 () 設定,且至少不強制執行,至少你需要:
- Intune
Intune 提供多種訂閱服務,包括獨立服務。 欲了解更多資訊,請參閱 Microsoft Intune 授權。
你目前使用 Configuration Manager,想要為你的裝置設置共同管理。 Intune 已經包含在你的 Configuration Manager 授權中。 如果你想讓 Intune 完全管理新裝置或現有的共管裝置,那你需要另外的 Intune 授權。
你要執行你在 Intune 中建立的合規或密碼規則。 至少你需要:
- Intune
- Microsoft Entra ID P1 或 P2
Intune 與 Microsoft Entra ID P1 或 P2 可搭配 Enterprise Mobility + Security 使用。 欲了解更多資訊,請參閱 Enterprise Mobility + Security 定價選項。
你只想在裝置上管理 Microsoft 365 應用程式。 至少你需要:
- Microsoft 365 基本版行動性與安全性
如需詳細資訊,請移至:
你想將 Microsoft 365 應用程式部署到你的裝置,並建立政策來幫助保護執行這些應用程式的裝置安全。 至少你需要:
- Intune
- Microsoft 365 應用程式
你想在 Intune 中建立政策、部署 Microsoft 365 應用程式,並執行你的規則和設定。 至少你需要:
- Intune
- Microsoft 365 應用程式
- Microsoft Entra ID P1 或 P2
由於這些服務都包含在部分 Microsoft 365 方案中,使用Microsoft 365授權可能更具成本效益。 欲了解更多資訊,請參閱 Microsoft 365 授權方案。
步驟四 - 檢視現有政策與基礎設施
許多組織都有現有的政策和設備管理基礎設施,只是被「維護」而已。 舉例來說,你可能有20年前的團體保單,卻不知道它們做什麼。 考慮搬遷雲端時,不要只看過去的做法,先確定目標。
帶著這些目標,制定你的保單基準。 如果你有多個裝置管理解決方案,現在可能是使用單一行動裝置管理服務的好時機。
✅ 任務:看看你在本地執行的任務
這項任務包括尋找可能遷移到雲端的服務。 記住,不要只看你過去做過的事,而是要確定目標。
提示
了解更多關於雲端原生端點 的資訊是很好的資源。
一些考量:
檢視現有政策及其結構。 有些政策可以全局適用,有些則適用於站點層級,還有些是針對特定裝置的。 目標是了解並理解全球政策的意圖、地方政策的意圖等等。
本地 Active Directory 群組政策依 LSDOU 順序套用——本地、站點、網域及組織單位 (OU) 。 在這個階層結構中,OU 政策覆蓋網域政策,網域政策覆蓋網站政策,依此類推。
在 Intune 中,政策會套用到你建立的使用者和群組。 沒有階級制度。 如果兩個政策同時更新同一個設定,該設定就會顯示為衝突。 欲了解更多衝突行為資訊,請參閱 「常見問題、問題與裝置政策與設定檔解決方案」。
在你檢視政策後,AD 全域政策會理所當然地套用到你擁有的群組,或你需要的群組。 這些群組包含你想在全球層級、網站層級鎖定的使用者和裝置。 這個任務讓你了解 Intune 中所需的群組結構。 在大型 Microsoft Intune 環境中,針對分組、目標鎖定和過濾的效能建議可能是個不錯的資源。
準備好在 Intune 中建立新政策。 Intune 包含多項功能,涵蓋您可能感興趣的情境。 部分範例:
安全基線:在 Windows 用戶端裝置上, 安全基線 是預先設定為建議值的安全設定。 如果你是裝置安全新手,或想要完整的基準,可以參考安全基準。
設定洞察 透過加入類似組織成功採用的見解,提供對配置的信心。 洞見是針對某些設定,但不是所有設定都有。 欲了解更多資訊,請參閱 設定洞察。
設定目錄: 設定目錄 列出所有可設定的設定,外觀類似本地的 GPO 和 ADMX 範本。 當你建立政策時,你從零開始,並在細緻層級設定設定。
群組政策:使用群組政策分析來匯入並分析你的 GPO。 此功能幫助您判斷 GPO 在雲端的轉換方式。 輸出顯示 MDM 提供者 (包括 Microsoft Intune) 支援哪些設定。 它還顯示任何已過時的設定,或 MDM 提供者無法使用的設定。
你也可以根據匯入的設定建立 Intune 政策。 欲了解更多資訊,請前往 「使用匯入的 GPO 建立設定目錄政策」。
導引式情境: 導引式情境 是一系列針對端到端應用情境的客製化步驟。 這些情境會自動包含政策、應用程式、指派及其他管理設定。
建立包含你目標最低標準的保單基準。 例如:
安全電子郵件:至少,你可能想:
- 建立 Outlook 應用程式的保護政策。
- 啟用 Exchange Online 的條件存取,或連接至其他本地電子郵件解決方案。
裝置設定:至少,你可能想:
- 需要輸入六個字元的 PIN 碼才能解鎖裝置。
- 避免備份到個人雲端服務,如 iCloud 或 OneDrive。
裝置設定檔:至少,你可能想要:
應用程式:至少你可能想要:
- 部署帶有應用程式保護政策的 Microsoft 365 應用程式。
- 部署業務線 (LOB) 搭配應用程式保護政策。
欲了解更多最低建議設定資訊,請前往:
檢視你目前的團體結構。 在 Intune 中,你可以建立並指派政策給使用者群組、裝置群組,以及動態使用者與裝置群組, (需要Microsoft Entra ID P1 或 P2) 。
當你在雲端建立群組,例如 Intune 或 Microsoft 365,群組會建立在 Microsoft Entra ID 中。 你可能看不到 Microsoft Entra ID 的品牌標誌,但你就是用這個。
建立新群組其實很容易。 它們可以在 Microsoft Intune 管理中心建立。 欲了解更多資訊,請前往 新增群組以組織使用者與裝置。
將現有的發行清單 () 轉移到Microsoft Entra ID可能會比較困難。 一旦這些 DL 進入 Microsoft Entra ID,這些群組就能在 Intune 和 Microsoft 365 上使用。 如需詳細資訊,請移至:
如果你已有 Office 365 群組,可以搬到 Microsoft 365。 你現有的群組依然存在,並且擁有 Microsoft 365 的所有功能和服務。 如需詳細資訊,請移至:
如果你有多個裝置管理解決方案,那就 改用單一行動裝置管理解決方案。 我們建議使用 Intune 來協助保護應用程式和裝置上的組織資料。
欲了解更多資訊,請參閱 Microsoft Intune 安全管理身份、應用程式及裝置。
步驟五 - 制定推廣計畫
接下來的任務是規劃使用者和裝置何時以及如何接收你的政策。 在此任務中,也請考慮:
- 定義你的目標與成功指標。 利用這些數據點來建立其他推廣階段。 確保目標是 SMART (具體、可衡量、可達成、現實且及時) 。 在每個階段都要規劃與目標相符的衡量,確保你的推廣專案能順利進行。
- 要有明確的目標和宗旨。 將這些目標納入所有宣導與培訓活動,讓使用者了解貴組織為何選擇 Intune。
✅ 任務:制定計畫來推行你的保單
並且,你可以選擇使用者如何將裝置註冊到 Intune。 一些考量:
分階段推出你的保單。 例如:
先從試點或測試小組開始。 這些群組應該知道自己是第一批使用者,並願意提供回饋。 利用這些回饋來改善設定、文件、通知,讓未來推出時使用者更輕鬆。 這些用戶不應該是高層主管或貴賓。
初步測試後,增加更多使用者加入試點群組。 或者,建立更多專注於不同推廣的試點團體,例如:
部門:每個部門都可以作為一個推廣階段。 你一次鎖定整個部門。 在這次推廣中,各部門的使用者可能會以相同方式使用裝置,並存取相同的應用程式。 使用者很可能也有相同類型的政策。
地理位置:將你的政策部署給特定地理區域的所有使用者,無論是同一大陸、國家/地區,或同一組織大樓。 此部署讓你能專注於使用者的特定位置。 你可以提供 Windows Autopilot 來預先配置部署,因為同時部署 Intune 的地點較少。 同一地點可能有不同部門或不同的使用場景。 所以,你可能會同時測試不同的使用情境。
平台:這次部署同時部署了類似的平台。 例如,2月部署政策至所有iOS/iPadOS裝置,3月部署所有Android裝置,4月部署所有Windows裝置。 這種做法可能簡化客服支援,因為他們一次只支援一個平台。
採用分階段方法,你可以從各種使用者類型獲得回饋。
試點成功後,你就準備好開始全面生產部署了。 以下範例是包含目標群組與時間表的 Intune 部署計畫:
推出階段 七月 八月 九月 十月 Limited Pilot IT (50 名使用者) 擴展試播集 IT (200 名使用者) ,IT 高階主管 (10 名使用者) 生產推廣第一階段 銷售與行銷 (2,000名用戶) 生產推廣階段 2 零售 (1,000 名用戶) 生產推廣階段 3 人力資源 (50名用戶) ,財務 (40名) 用戶,主管 (30名用戶) 此範本亦可於 Intune 部署規劃、設計與實施 - 表格範本下載。
選擇使用者如何註冊 個人及組織擁有的裝置。 您可以採用多種報名方式,包括:
- 使用者自助服務:使用者依照其 IT 組織提供的步驟註冊自己的裝置。 這種方式最為常見,且比使用者輔助註冊更具擴展性。
- 使用者協助註冊:在這種預先配置部署方式中,IT 成員協助使用者完成註冊流程,無論是親自到訪或使用 Teams。 這種做法在行政人員及其他可能需要更多協助的團體中很常見。
- IT 科技展:在這個活動中,IT 團隊設置了 Intune 註冊協助攤位。 使用者可獲得 Intune 註冊資訊、提問及協助註冊裝置。 此選項對 IT 與使用者特別有利,尤其是在 Intune 部署初期。
以下範例包含了登記方法:
推出階段 七月 八月 九月 十月 Limited Pilot 自助 IT 擴展試播集 自助 IT 預先配置 資訊科技高管 生產推廣第一階段 銷售、行銷 自助 銷售與行銷 生產推廣階段 2 零售業 自助 零售業 生產推廣階段 3 主管、人力資源、財務 自助 人力資源,財務 預先配置 行政人員 欲了解更多關於各平台不同註冊方法的資訊,請參閱部署指引:在 Microsoft Intune 中註冊裝置。
步驟 6 - 溝通變更
變革管理依賴於清晰且有幫助的溝通,說明即將發生的變更。 目標是讓Intune部署順暢,並讓使用者知道變更 & 任何中斷。
✅ 任務:你的推廣溝通計畫應包含重要資訊
這些資訊應包括如何通知用戶,以及何時溝通。 一些考量:
決定要傳達哪些資訊。 分階段與你的群組和使用者溝通,從 Intune 啟動啟動、預先註冊,接著是註冊後進行:
啟動階段:廣泛溝通,介紹 Intune 專案。 它應該回答關鍵問題,例如:
- 什麼是 Intune?
- 組織為何使用 Intune,包括對組織與使用者的好處
- 提供部署與部署的高層次計畫。
- 如果 個人裝置必須註冊 就不被允許,那就說明你為什麼這麼做。
預先註冊階段:廣泛的溝通,涵蓋 Office、Outlook 和 OneDrive) 等Intune及其他服務 (資訊、使用者資源,以及使用者和團體何時註冊 Intune。
註冊階段:通訊針對已排程在 Intune 註冊的組織使用者與群組。 它應該告知使用者是否準備好註冊,包含註冊步驟,以及該聯絡誰尋求協助和問題。
註冊後階段:溝通針對已註冊 Intune 的組織用戶與群組。 它應該提供更多可能對使用者有幫助的資源,並收集他們在註冊期間及之後的體驗回饋。
選擇如何向目標群體和使用者傳達 Intune 推出資訊。 例如:
建立全組織性的面對面會議,或使用 Microsoft Teams。
預先註冊時建立電子郵件、報名電子郵件及後登記電子郵件。 例如:
- Email 1:說明福利、期望與排班。 藉此機會展示其他由 Intune 管理的裝置所獲得存取權限的服務。
- Email 2:宣布服務現已準備好透過 Intune 存取。 請立即告訴用戶註冊。 給用戶一個時間表,讓他們的存取權受到影響。 提醒使用者遷移的好處與策略性理由。
使用說明推廣階段、使用者可期待的事項及尋求協助的組織網站。
製作海報、使用組織社群媒體平台 (Microsoft Viva Engage) ,或發放傳單來宣布預先報名階段。
建立 包含時間軸,包含時間與人員。 第一次 Intune 啟動通訊可以針對整個組織,或只針對部分組織。 這些活動可能在 Intune 推出前的數週內進行。 之後,資訊可以分階段傳達給使用者和群組,並依照他們的 Intune 部署時程。
以下範例是一個高階的 Intune 推廣通訊計畫:
溝通計畫 七月 八月 九月 十月 第一階段 全部 啟動會議 第一週 第二階段 IT 銷售與行銷 零售業 人力資源、財務與高階主管 預發布 Email 1 第一週 第一週 第一週 第一週 第三階段 IT 銷售與行銷 零售業 人力資源、財務與高階主管 預推 Email 2 第二週 第二週 第二週 第二週 第四階段 IT 銷售與行銷 零售業 人力資源、財務與高階主管 報名電子郵件 第三週 第三週 第三週 第三週 第五階段 IT 銷售與行銷 零售業 人力資源、財務與高階主管 報名後電子郵件 第四週 第四週 第四週 第四週
步驟7 - 支援客服台及終端使用者
將您的 IT 支援與客服服務納入 Intune 部署規劃與試點的早期階段。 早期參與能讓您的支援人員接觸 Intune,並獲得更有效地識別與解決問題的知識與經驗。 同時也讓他們能支持組織的完整生產部署。 具備專業知識的客服與支援團隊也協助使用者採用這些變更。
✅ 任務:訓練你的支援團隊
在部署計畫中,透過成功指標來驗證終端使用者體驗。 一些考量:
決定誰會支持終端使用者。 組織可以有不同的層級或等級, (1到3) 。 例如,第一和第二層可能是支援團隊的一員。 第三層級包括負責 Intune 部署的 MDM 團隊成員。
第一層通常是支援的第一層級,也是最先聯絡的層級。 如果第一級無法解決問題,他們就會升級到第二級。 第二級會升級到第三級。 Microsoft 支援 可視為第四級。
- 在初期部署階段,務必讓支援團隊各層級都記錄問題與解決方案。 尋找模式,並調整你的溝通方式,準備下一階段的推廣。 例如:
- 如果不同使用者或群組對註冊個人裝置猶豫不決,可以考慮透過 Teams 通話來回答常見問題。
- 如果使用者在註冊組織自有裝置時遇到同樣問題,請舉辦實體活動協助用戶註冊裝置。
- 在初期部署階段,務必讓支援團隊各層級都記錄問題與解決方案。 尋找模式,並調整你的溝通方式,準備下一階段的推廣。 例如:
建立客服台工作流程,並持續向各層級的客服團隊溝通支援問題、趨勢及其他重要資訊。 例如,每天或每週召開 Teams 會議,讓所有層級都能了解趨勢、模式,並能獲得協助。
以下範例展示了 Contoso 如何實作其 IT 支援或客服支援工作流程:
- 終端使用者會聯絡 IT 支援或第一級客服,反映註冊問題。
- IT 支援或第一級客服無法找出根本原因,會升級到第二級。
- IT 支援或客服二級調查。 第二層級無法解決問題,會升級到第三層級,並提供額外資訊以協助解決問題。
- IT 支援或客服三級會調查、找出根本原因,並將解決方案傳達給第二級和第一級。
- IT 支援/客服一級接著聯絡使用者,解決問題。
這種做法,特別是在 Intune 推出初期階段,帶來了許多好處,包括:
- 幫助學習這項技術
- 快速識別問題並解決
- 提升整體使用者體驗
訓練你的客服台和支援團隊。 讓他們註冊運行你組織中不同平台的裝置,讓他們熟悉流程。 考慮用客服台和支援團隊作為你情境的試點小組。
有各種訓練資源,包括 YouTube 影片、Microsoft 關於 Windows Autopilot 情境、合規性、設定的教學,以及透過訓練夥伴提供的課程。
以下範例是 Intune 支援訓練議程:
- Intune 支援方案審查
- Intune 概述
- 故障排除常見問題
- 工具與資源
- 問 &
社群基礎的 Intune 論壇和終端使用者文件也是很棒的資源。