管理組織中的 Windows 裝置 - 轉換至新式管理

使用個人裝置來工作,以及在辦公室外工作的員工,可能會變更貴組織管理裝置的方式。 組織的特定部分可能需要對裝置深入、嚴密的控制,而其他部分則可能尋求輕便、以案例為基礎的管理,來提供現代化的工作力。 Windows 提供彈性來回應這些變更的需求,而且可以輕鬆地部署在混合環境中。 您可以依照組織中使用的一般升級排程,逐漸轉移 Windows 裝置的百分比。

您的組織可以跨各種裝置類型支援各種操作系統,並透過一組常見的工具進行管理,例如 Microsoft Configuration Manager、Microsoft Intune 或其他第三方產品。 此「受控多樣性」可讓您的使用者受益於其新 Windows 裝置上提供的生產力增強功能, (包括豐富的觸控和筆跡支援) ,同時仍維持您的安全性與管理性標準。 它可協助您和您的組織更快地從 Windows 獲益。

本文提供部署和管理 Windows 裝置的策略指引,包括在混合環境中部署 Windows。 其中涵蓋 管理選項 以及裝置生命週期的四個階段:

檢閱 Windows 的管理選項

Windows 提供一系列的管理選項,如下圖所示:

新式IT路徑的圖表。

如圖表所示,Microsoft 會透過組策略、Active Directory 和 Configuration Manager 等技術,繼續提供深度管理和安全性的支援。 它也提供使用雲端式裝置管理解決方案的簡化現代化管理的「行動優先、雲端優先」方法,例如 Microsoft Enterprise Mobility + Security (EMS) 。 未來的 Windows 創新透過 Windows 即服務提供,並由雲端服務補充,例如 Microsoft Intune、Microsoft Entra ID、Azure 資訊保護 和 Microsoft 365。

部署和布建

透過 Windows,您可以繼續使用傳統的 OS 部署,但您也可以「現成管理」。 若要將新裝置轉換成完全設定且完全受控的裝置,您可以:

  • 避免使用 Windows Autopilot 或 Microsoft Intune 等雲端式裝置管理服務所啟用的動態布建來重新建立映

  • 使用 Windows 設定設計工具 建立獨立佈建套件。 如需詳細資訊,請參閱 布建 Windows 套件

  • 使用傳統的映像處理技術,例如使用 Configuration Manager 部署自定義映像

您有多個選項可升級至 Windows 10 和 Windows 11。 對於執行 Windows 10 的現有裝置,您可以使用健全的就地升級程式,快速可靠地移至 Windows 11,同時自動保留所有現有的應用程式、數據和設定。 此程式使用量可能表示較低的部署成本,並提升生產力,因為終端使用者可以立即提高生產力 - 所有專案都位於他們離開的地方。 如果您想要的話,也可以使用您目前使用的相同工具,使用傳統的抹除和載入方法。

身分識別和驗證

您可以使用 Windows 和服務,例如 Microsoft Entra ID 雲端式身分識別、驗證和管理的新方式。 您可以讓使用者在 BYOD) (「 攜帶您自己的裝置」 ,或從您提供的選取專案中 「選擇您自己的裝置」 (CYOD) 。 同時,您可能正在管理必須加入網域的電腦和平板電腦,因為它們會使用特定的應用程式或資源。

您可以將使用者和裝置管理想像成以下兩種類別:

  • 行動使用者用於 SaaS 應用程式 (例如 Office 365) 的公司 (CYOD) 或個人 (BYOD) 裝置。 使用 Windows,您的員工可以自行布建其裝置:

    • 對於公司裝置,他們可以使用 Microsoft Entra 聯結來設定公司存取權。 當您提供它們 Microsoft Entra 使用自動 Intune MDM 註冊加入時,它們可以在一個步驟中讓裝置進入公司管理的狀態,全都來自雲端。

      Microsoft Entra 加入也是臨時員工、合作夥伴或其他非全時員工的絕佳解決方案。 這些帳戶可以與其他內部部署 AD 網域區隔,但仍可存取所需的公司資源。

    • 同樣地,針對個人裝置,員工可以使用新的簡化 BYOD 體驗來將他們的工作帳戶新增到 Windows,然後在裝置上存取工作資源。

  • 加入網域的電腦與平板電腦用於傳統應用程式,並且可以存取重要資源。 這些應用程式和資源可能是需要驗證或存取內部部署高度敏感或分類資源的傳統應用程序和資源。

    使用 Windows 時,如果您有與 Microsoft Entra ID 整合的內部部署 Active Directory 網域,當員工裝置加入時,他們會自動向 Microsoft Entra ID 註冊。 此註冊提供:

    加入網域的電腦和平板電腦可以繼續使用 Configuration Manager 用戶端或組策略來管理。

當您檢視組織中的角色時,您可以使用下列一般化的決策樹,來開始識別需要加入網域的使用者或裝置。 請考慮將其餘使用者切換至 Microsoft Entra ID。

裝置驗證選項的判定樹圖。

設定和組態

您的組態需求是由多項因素定義,包括所需的管理層級、所管理的裝置和資料,以及業界需求。 同時,員工經常對於 IT 套用到其個人裝置的嚴格原則有所顧慮,但仍想要存取公司電子郵件和文件。 您可以透過通用 MDM 層,跨電腦、平板電腦和手機建立一組一致的組態。

  • MDM:MDM 可讓您進行設定,達到您的系統管理意圖,而不需要公開每一個可能的設定。 (相較之下,組策略會公開您個別控制的更細緻設定。) MDM 的優點之一是,它可讓您透過較輕且更有效率的工具套用更廣泛的隱私權、安全性和應用程式管理設定。 MDM 也可讓您以連線到因特網的裝置為目標來管理原則,而不需要使用需要已加入內部部署網域之裝置的組策略。 此布建讓 MDM 成為持續使用裝置的最佳選擇。

  • 組策略Configuration Manager:您的組織可能仍然需要使用組策略設定,以細微層級管理已加入網域的計算機。 如果是,組策略和 Configuration Manager 仍然是絕佳的管理選擇:

    • 組策略 是使用 Windows 型工具,以細微方式設定已加入網域的 Windows 計算機和連線到公司網路的平板電腦。 Microsoft 會繼續使用每個新版本的 Windows 新增組策略設定。

    • Configuration Manager 仍然是使用強固軟體部署、Windows 更新和OS部署進行細微設定的建議解決方案。

更新和服務

有了「Windows 即服務」,IT 部門就不再需要於每個新的 Windows 版本執行複雜的映像處理 (抹除並載入) 程序。 不論是在一般可用性通道或 Long-Term 維護通道上,裝置都會透過簡單且通常自動的修補程式來接收最新的功能和品質更新。 如需詳細資訊,請參閱 Windows 部署案例

MDM 與 Intune 提供將 Windows 更新套用至組織中用戶端電腦的工具。 Configuration Manager 提供這些更新的豐富管理功能和追蹤功能,包括維護時段和自動部署規則。

後續步驟

您可以採取各種步驟來開始在組織中將裝置管理現代化的程式:

評定目前的管理做法,並尋找您可能會立即進行的投資。 哪些目前的做法需要維持不變,而哪些可以改變? 具體而言,您需要保留哪些傳統管理的元素,而哪些可以現代化? 無論您採取步驟將自定義映像處理最小化、重新評估設定管理,或重新評估驗證和合規性,都能立即獲得好處。 您可以在 Microsoft Intune 中使用組策略分析,以協助判斷雲端式 MDM 提供者支援的組策略,包括 Microsoft Intune。

評定環境中不同的使用案例,以及管理需求。 是否有裝置群組可受益於更輕便、簡化的管理? 例如 BYOD 裝置,自然是雲端式管理的候選。 處理高度管制資料的使用者或裝置,可能需要內部部署 Active Directory 網域進行驗證。 Configuration Manager 和 EMS 可讓您彈性地暫存新式管理案例的實作,同時以最符合您業務需求的方式將不同裝置設為目標。

請檢閱本文章中的決策樹。 透過 Windows 中的不同選項,加上 Configuration Manager 和 Enterprise Mobility + Security,您可以彈性地處理任何案例的映射處理、驗證、設定和管理工具。

採取增量步驟。 邁向現代化裝置管理不一定要是一夜轉換。 在帶入新的作業系統和裝置的同時,仍可保留舊版。 透過這種「受控多樣性」,使用者可以受益於新式 Windows 裝置上的生產力增強功能,同時您仍可根據安全性與管理性的標準繼續維護較舊的裝置。 當組策略和其對等的 MDM 原則在裝置上設定時,CSP 原則 MDMWinsOverGP 可讓 MDM 原則優先於組策略。 您可以開始實作 MDM 原則,同時保留組策略環境。 如需詳細資訊,包括具有對等組策略的 MDM 原則清單,請參閱 組策略支持的原則

最佳化現有的投資。 從傳統內部部署管理到現代化雲端式管理的過程中,可充分利用 Configuration Manager 和 Intune 彈性、混合的架構。 共同管理可讓您同時使用 Configuration Manager 和 Intune 來管理 Windows 裝置。 如需詳細資訊,請參閱下列文章: