Udostępnij za pośrednictwem

Windows 10/11 w konfiguracji chmury — krok po kroku — przewodnik konfiguracji

  • Artykuł

Windows 10/11 w konfiguracji chmury (konfiguracja chmury) to konfiguracja urządzenia dla urządzeń klienckich z systemem Windows. Została ona zaprojektowana w celu uproszczenia środowiska użytkownika końcowego. Aby uzyskać więcej informacji na temat konfiguracji chmury, w tym minimalne wymagania, przejdź do artykułu Omówienie scenariusza z przewodnikiem konfiguracji chmury systemu Windows.

W przypadku konfiguracji w chmurze używasz zasad Microsoft Intune, aby przekształcić urządzenie klienckie z systemem Windows w urządzenie zoptymalizowane pod kątem chmury. Windows 10/11 w konfiguracji chmury:

  • Optymalizuje urządzenia pod kątem chmury, konfigurując je do rejestrowania w Intune zarządzania przy użyciu Microsoft Entra. Dane użytkownika są automatycznie przechowywane w usłudze OneDrive ze skonfigurowanym przenoszeniem znanych folderów .

  • Instaluje aplikacje Microsoft Teams i Microsoft Edge na urządzeniach.

  • Konfiguruje użytkowników końcowych jako użytkowników standardowych na urządzeniach, zapewniając it większą kontrolę nad aplikacjami zainstalowanymi na urządzeniach.

  • Usuwa wbudowane aplikacje i aplikację ze Sklepu Microsoft, co upraszcza środowisko użytkownika końcowego.

  • Stosuje ustawienia zabezpieczeń punktu końcowego i zasady zgodności. Te zasady ułatwiają zabezpieczanie urządzeń i ułatwiają IT monitorowanie kondycji urządzeń.

  • Zapewnia, że urządzenia są automatycznie aktualizowane za pośrednictwem Windows Update dla firm.

  • Opcjonalnie można również:

    • Dodaj inne aplikacje platformy Microsoft 365, takie jak Outlook, Word, Excel, PowerPoint.
    • Dodaj podstawowe aplikacje biznesowe, które użytkownicy końcowi muszą odnieść sukces. Firma Microsoft zaleca, aby te aplikacje były minimalne, aby zachować prostotę konfiguracji.
    • Dodaj podstawowe zasoby, takie jak profile Wi-Fi, połączenia sieci VPN, certyfikaty i sterowniki drukarek, które są niezbędne dla przepływów pracy użytkowników.

Porada

Aby zapoznać się z omówieniem konfiguracji Windows 10/11 w chmurze i jej zastosowań, przejdź do Windows 10/11 w konfiguracji chmury.

Istnieją dwa sposoby wdrażania konfiguracji chmury:

  • Opcja 1 — automatyczne: użyj scenariusza z przewodnikiem, aby automatycznie utworzyć wszystkie grupy i zasady ze skonfigurowanymi wartościami. Aby uzyskać więcej informacji na temat tej opcji, przejdź do artykułu Omówienie scenariusza z przewodnikiem konfiguracji chmury systemu Windows.
  • Opcja 2 — ręczne (ten artykuł): wykonaj kroki opisane w tym artykule, aby samodzielnie wdrożyć konfigurację chmury.

Ten przewodnik ułatwia tworzenie własnego wdrożenia konfiguracji chmury. W poniższych sekcjach opisano sposób używania Microsoft Intune do konfigurowania konfiguracji chmury:

  1. Tworzenie grupy Microsoft Entra
  2. Konfigurowanie rejestracji urządzeń
  3. Wdrażanie skryptu w celu skonfigurowania znanego przenoszenia folderów i usuwania wbudowanych aplikacji
  4. Wdrażanie aplikacji
  5. Wdrażanie ustawień zabezpieczeń punktu końcowego
  6. Konfigurowanie ustawień Windows Update
  7. Wdrażanie zasad zgodności systemu Windows
  8. Konfiguracje opcjonalne

Krok 1. Tworzenie grupy Microsoft Entra

Pierwszym krokiem jest utworzenie grupy zabezpieczeń Microsoft Entra, która odbiera wdrażane konfiguracje.

Ta dedykowana grupa ułatwia organizowanie urządzeń i zarządzanie zasobami konfiguracji chmury w Intune. Firma Microsoft zaleca wdrożenie tylko konfiguracji w tym przewodniku. Następnie, w razie potrzeby, dodaj bardziej istotne aplikacje i inne konfiguracje urządzeń.

Aby utworzyć grupę, wykonaj następujące kroki:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Grupy>Wszystkie grupy>Nowa grupa.

  3. W polu Typ grupy wybierz pozycję Zabezpieczenia.

  4. Wprowadź nazwę grupy, na przykład Cloud config PCs.

  5. W polu Typ członkostwa wybierz pozycję Przypisano.

  6. Jeśli chcesz, możesz teraz dodać urządzenia do nowej grupy. Wybierz pozycję Nie wybrano członków i dodaj członków do grupy.

    Możesz również zacząć od pustej grupy i dodać urządzenia później.

  7. Wybierz pozycję Utwórz.

Porada

Po utworzeniu grupy można dodać do tej grupy wstępnie zarejestrowane urządzenia z rozwiązaniem Windows Autopilot.

Istniejące urządzenia

Jeśli masz istniejące urządzenia zarejestrowane w Intune, których chcesz używać z konfiguracją w chmurze, zaleca się rozpoczęcie od nowa z tymi urządzeniami. Konkretnie:

  • Usuń istniejące aplikacje i profile wdrożone na tych urządzeniach.
  • Zresetuj te urządzenia.
  • Ponownie zarejestruj urządzenie w Intune i wdróż konfigurację chmury.

Te dodatkowe kroki są zalecane w przypadku istniejących urządzeń, ponieważ zapewniają one usprawnione środowisko użytkownika. Następnie możesz dodać inne podstawowe aplikacje i upewnić się, że urządzenia mają tylko to, czego potrzebują użytkownicy.

Krok 2. Konfigurowanie rejestracji urządzeń

W tym kroku włączysz automatyczną rejestrację mdm w Intune i skonfigurujesz sposób rejestrowania urządzeń w Intune.

Jeśli korzystasz już z rozwiązania Windows Autopilot, pomiń ten krok i przejdź do kroku 3 — wdrażanie skryptu w celu skonfigurowania znanego przenoszenia folderów i usuwania wbudowanych aplikacji (w tym artykule).

✅ 1 — Włączanie rejestracji automatycznej

Włącz automatyczną rejestrację dla użytkowników organizacji, którzy mają korzystać z konfiguracji chmury. Automatyczna rejestracja jest wymagana w przypadku konfiguracji w chmurze. Aby uzyskać więcej informacji na temat automatycznej rejestracji, przejdź do przewodnika rejestracji — automatyczna rejestracja systemu Windows.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy> Rejestracjaautomatycznarejestracji> urządzeńz systemem>Windows>.

  3. W obszarze Zakres użytkownika rozwiązania MDM wybierz jedną z następujących opcji:

    • Wybierz pozycję Wszystkie , aby zastosować konfigurację chmury do wszystkich urządzeń z systemem Windows używanych przez użytkowników w organizacji. W większości scenariuszy konfiguracji chmury wybrano pozycję Wszystkie .
    • Wybierz pozycję Niektóre , aby zastosować konfigurację chmury do urządzeń używanych przez podzestaw użytkowników w organizacji. Jeśli chcesz zastosować konfigurację chmury w podejściu etapowym , to niektóre mogą być dobrym wyborem.

  4. Nie konfiguruj zakresu użytkownika mam, warunków zarządzania aplikacjami mobilnymi adresu URL użytkownika, adresu URL odnajdywania mdm i ustawień adresu URL zgodności zarządzania aplikacjami mobilnymi. Pozostaw te ustawienia puste. Ustawienia zarządzania aplikacjami mobilnymi nie są konfigurowane dla konfiguracji chmury.

  5. Wybierz opcję Zapisz, aby zapisać zmiany.

✅ 2 — Wybieranie sposobu rejestrowania i konfigurowania użytkowników na urządzeniach jako użytkowników standardowych

Po włączeniu automatycznej rejestracji systemu Windows w Intune następnym krokiem jest określenie sposobu rejestrowania urządzeń w Intune. Po zarejestrowaniu są one dostępne do odbierania zasad konfiguracji chmury. Należy również skonfigurować użytkowników, aby na ich urządzeniach mogli być użytkownikami standardowymi. Użytkownicy standardowi mogą instalować tylko aplikacje zatwierdzane przez organizację.

W przypadku rejestracji dostępne są trzy opcje. Wybierz jedną opcję rejestracji.

  • Korzystanie z rozwiązania Windows Autopilot (zalecane)
  • Rejestrowanie zbiorcze przy użyciu pakietu aprowizacji
  • Korzystanie z Tożsamość Microsoft Entra w środowisku out-of-box (OOBE)

Ta sekcja zawiera więcej informacji na temat tych opcji rejestracji i konfigurowania użytkowników jako użytkowników standardowych na ich urządzeniach.

Zaleca się korzystanie z rejestracji rozwiązania Windows Autopilot i strony ze stanem rejestracji (ESP). Ta metoda rejestracji i esp zapewniają spójne środowisko użytkownika końcowego.

  • Urządzenia należy wstępnie zarejestrować za pomocą usługi wdrażania rozwiązania Windows Autopilot. Dzięki rozwiązaniu Windows Autopilot administratorzy konfigurują sposób uruchamiania i rejestrowania urządzeń w zarządzaniu urządzeniami.
  • Zasady rozwiązania Windows Autopilot Intune konfigurują środowisko OOBE (out-of-box experience). W obszarze OOBE wybierasz użytkowników, którzy mają być użytkownikami standardowymi.
  • Zasady Intune Windows Autopilot konfigurują stronę ze stanem rejestracji (ESP). Esp pokazuje postęp konfiguracji. Użytkownicy pozostają na serwerze ESP do momentu zastosowania wszystkich ustawień konfiguracji chmury do urządzenia.

Aby skonfigurować rejestrację opartą na użytkownikach rozwiązania Windows Autopilot, wykonaj następujące kroki:

  1. Dodaj urządzenia do rozwiązania Windows Autopilot.

    Zarejestruj swoje urządzenia w rozwiązaniu Windows Autopilot, wykonując kroki opisane w kroku 3 — rejestrowanie urządzeń w rozwiązaniu Windows Autopilot (otwiera artykuł dotyczący rozwiązania Windows Autopilot).

    Uwaga

    Artykuł Krok 3 — rejestrowanie urządzeń w rozwiązaniu Windows Autopilot rozwiązania Windows Autopilot jest częścią serii kroków. W przypadku tej konfiguracji chmury postępuj zgodnie z instrukcjami krok 3 — rejestrowanie urządzeń w rozwiązaniu Windows Autopilot w celu zarejestrowania urządzeń. Nie postępuj zgodnie z innymi krokami w serii. Inne kroki w tej serii rozwiązania Windows Autopilot dotyczą innego scenariusza rozwiązania Windows Autopilot.

    Możesz również ręcznie zarejestrować urządzenia, aby korzystać z rozwiązania Windows Autopilot. Ręczne rejestrowanie urządzeń jest często używane do zmiany przeznaczenia istniejącego sprzętu, który nie został wcześniej skonfigurowany przy użyciu rozwiązania Windows Autopilot.

  2. Utwórz i przypisz profil wdrożenia rozwiązania Windows Autopilot w Intune.

    1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

    2. Wybierz pozycję Urządzenia>według platformy> Rejestracjaurządzeń z systemem>>Windows> Windows Autopilot DeploymentProfile wdrażaniaprogramu>.

    3. Wybierz pozycję Utwórz profilkomputera z systemem> Windows. Wprowadź nazwę profilu.

    4. W przypadku ustawienia Konwertuj wszystkie urządzenia docelowe na rozwiązanie Autopilot wybierz pozycję Tak. Wybierz pozycję Dalej.

      Konfigurację chmury można zastosować do urządzeń zarejestrowanych przy użyciu metod rejestracji innych niż Windows Autopilot. Po dodaniu tych urządzeń (urządzeń innych niż Windows Autopilot) do grupy urządzenia zostaną przekonwertowane na rozwiązanie Windows Autopilot. Następnym razem, gdy urządzenia zostaną zresetowane i przejdą przez środowisko OOBE (Out-of-Box Experience) systemu Windows, zarejestrują się za pośrednictwem rozwiązania Windows Autopilot.

    5. Na karcie Środowisko out-of-box (OOBE) wprowadź następujące wartości, a następnie wybierz pozycję Dalej:

      Ustawienie Value
      Tryb wdrażania Sterowane przez użytkownika
      Dołącz do Tożsamość Microsoft Entra jako Microsoft Entra przyłączone
      Postanowienia licencyjne dotyczące oprogramowania firmy Microsoft Ukrywać
      Ustawienia prywatności Ukrywać
      Ukryj opcje zmiany konta Ukrywać
      Typ konta użytkownika Standardowy
      Zezwalaj na wdrożenie wstępnie aprowizowane Nie
      Język (region) Domyślne ustawienie systemu operacyjnego
      Automatyczne konfigurowanie klawiatury Tak
      Stosowanie szablonu nazwy urządzenia Fakultatywny. Możesz zastosować szablon nazwy urządzenia. Użyj prefiksu nazwy, który może ułatwić identyfikację urządzeń konfiguracji w chmurze, takich jak Cloud-%SERIAL%.'

    6. Przypisz profil do grupy utworzonej w kroku 1 — utwórz grupę Microsoft Entra (w tym artykule), a następnie wybierz przycisk Dalej.

    7. Przejrzyj nowy profil, a następnie wybierz pozycję Utwórz.

  3. Utwórz i przypisz stronę stanu rejestracji w Intune.

    1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

    2. Wybierz pozycję Urządzenia>według platformy> Stronaogólnego>stanu rejestracji urządzeńz systemem Windows Dołączanieurządzenia> z systemem >Windows>.

    3. Wybierz pozycję Utwórz i wprowadź nazwę strony ze stanem rejestracji.

    4. Na karcie Ustawienia wprowadź następujące wartości, a następnie wybierz pozycję Dalej:

      Ustawienie Value
      Pokaż proces konfiguracji aplikacji i profilu Tak
      Wyświetl błąd, gdy instalacja trwa dłużej niż określona liczba minut 60
      Pokaż komunikat niestandardowy, gdy wystąpi błąd limitu czasu Tak — możesz również zmienić domyślny komunikat.
      Zezwalaj użytkownikom na zbieranie dzienników dotyczących błędów instalacji Tak
      Blokuj użytkownika urządzenia, dopóki nie zostaną zainstalowane wszystkie aplikacje i profile Tak
      Zezwalaj użytkownikom na resetowanie urządzenia w przypadku wystąpienia błędu instalacji Tak
      Zezwalaj użytkownikom na korzystanie z urządzenia w przypadku wystąpienia błędu instalacji Nie
      Blokuj użytkownika urządzenia, dopóki te wymagane aplikacje nie zostaną zainstalowane, jeśli zostaną przypisane do użytkownika/urządzenia Wszystkie

      Uwaga

      Jeśli wystąpi błąd instalacji, zaleca się zablokowanie użytkownikom korzystania z urządzenia. Blokowanie użytkowników zapewnia, że mogą oni rozpocząć korzystanie z urządzenia dopiero po pełnym zastosowaniu konfiguracji chmury.

      Jeśli wystąpi błąd instalacji w zależności od potrzeb wdrożenia, możesz zezwolić użytkownikowi na korzystanie z urządzenia. Jeśli zezwolisz na korzystanie z urządzenia, podczas zaewidencjonowania urządzenia za pomocą Intune Intune nadal próbuje zastosować konfiguracje.

    5. W obszarze Przypisania przypisz stronę Stan rejestracji do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

      Wybierz pozycję Dalej.

    6. Wybierz pozycję Utwórz , aby utworzyć i przypisać stronę ze stanem rejestracji.

Opcja rejestracji 2: rejestracja zbiorcza przy użyciu pakietu aprowizacji

Urządzenia można zarejestrować przy użyciu pakietu aprowizacji utworzonego przy użyciu Designer konfiguracji systemu Windows lub aplikacji Konfigurowanie komputerów szkolnych.

Aby uzyskać więcej informacji na temat rejestracji zbiorczej, przejdź do pozycji Rejestracja zbiorcza dla urządzeń z systemem Windows.

Z rejestracją zbiorczą:

  • Po zarejestrowaniu urządzeń w Intune dodaj je do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule). Po dodaniu ich do grupy otrzymują konfigurację chmury.
  • Wszyscy użytkownicy są automatycznie standardowymi użytkownikami na urządzeniu.
  • Nie ma strony ze stanem rejestracji. Użytkownicy nie mogą wyświetlać postępu w miarę stosowania wszystkich ustawień konfiguracji chmury. Użytkownicy mogą rozpocząć korzystanie z urządzenia, zanim konfiguracja chmury zostanie w pełni zastosowana.
  • Przed dystrybucją urządzeń do użytkowników firma Microsoft zaleca sprawdzenie, czy ustawienia i aplikacje znajdują się na urządzeniach.

Opcja rejestracji 3: Rejestrowanie przy użyciu Tożsamość Microsoft Entra w środowisku out-of-box (OOBE)

Po włączeniu automatycznej rejestracji mdm w Intune podczas OOBE użytkownicy logują się przy użyciu swoich kont Microsoft Entra. Po zalogowaniu rejestracja jest uruchamiana automatycznie.

Ta opcja rejestracji obejmuje następujące elementy:

  1. Skonfiguruj profil niestandardowy Microsoft Intune, aby ograniczyć administratorów lokalnych na urządzeniach. Dostawca CSP zasad zawiera przykładowy kod XML definicji zasad, którego można użyć w profilu niestandardowym.

    Porada

    W tym profilu niestandardowym istnieje inne ustawienie, które dodaje grupę, która może być administratorami lokalnymi na urządzeniu. Ta lokalna grupa administratorów powinna obejmować tylko administratorów IT w twoim środowisku.

  2. Przypisz profil niestandardowy do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 3. Konfigurowanie przenoszenia znanego folderu w usłudze OneDrive i wdrażania skryptu w celu usunięcia wbudowanych aplikacji

Podczas konfigurowania funkcji Przenoszenie znanych folderów w usłudze OneDrive pliki użytkownika i dane są automatycznie zapisywane w usłudze OneDrive. Po usunięciu wbudowanych aplikacji systemu Windows i sklepu Microsoft Store menu Start i środowisko urządzenia są uproszczone.

Ten krok pomaga uprościć środowisko użytkownika systemu Windows.

✅ 1 — Konfigurowanie przenoszenia znanego folderu w usłudze OneDrive za pomocą szablonu administracyjnego

W przypadku przenoszenia znanych folderów dane użytkowników (pliki i foldery) są zapisywane w usłudze OneDrive. Gdy użytkownicy logują się do innego urządzenia, usługa OneDrive automatycznie synchronizuje dane z nowym urządzeniem. Użytkownicy nie muszą ręcznie przenosić swoich plików.

Uwaga

Ze względu na problem z synchronizacją z konfiguracją przenoszenia znanych folderów w usłudze OneDrive i konfiguracji sharedPC firma Microsoft nie zaleca używania systemu Windows w konfiguracji w chmurze z urządzeniem, na którym loguje się i wylogowuje wielu użytkowników.

Aby skonfigurować przenoszenie znanych folderów, użyj szablonu ADMX w Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.

  3. Wybierz pozycję Windows 10 i nowsze dla platformy i wybierz pozycję Szablony dla typu profilu.

  4. Wybierz pozycję Szablony administracyjne i wybierz pozycję Utwórz.

  5. Wprowadź nazwę profilu i wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracji wyszukaj ustawienia w poniższej tabeli i wybierz zalecane wartości:

    Nazwa ustawienia Value
    Dyskretne przenoszenie znanych folderów systemu Windows do identyfikatora dzierżawy z obsługą usługi OneDrive Wprowadź identyfikator dzierżawy organizacji.

    Identyfikator dzierżawy jest wyświetlany na stronie> właściwości centrum administracyjne Microsoft Entra >Identyfikator dzierżawy.
    Pokaż powiadomienia użytkownikom po przekierowaniu folderów Tak. Możesz również ukryć powiadomienie.
    Dyskretne logowanie użytkowników do aplikacji synchronizacja usługi OneDrive przy użyciu poświadczeń systemu Windows Włączone
    Uniemożliwianie użytkownikom przenoszenia znanych folderów systemu Windows do usługi OneDrive Włączone
    Uniemożliwiaj użytkownikom przekierowywanie znanych folderów systemu Windows do komputera Włączone
    Używanie plików usługi OneDrive na żądanie Włączone

  7. Przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ 2 — Wdrażanie skryptu w celu usunięcia wbudowanych aplikacji

Firma Microsoft utworzyła skrypt Windows PowerShell, który:

  • Usuwa wbudowane aplikacje z urządzeń.
  • Usuwa aplikację ze sklepu Microsoft Store z urządzeń.

Skrypt jest wdrażany na urządzeniach korzystających z Intune. Aby dodać i wdrożyć skrypt, wykonaj następujące kroki:

  1. Pobierz skrypt usuwania aplikacji programu PowerShell w oknie konfiguracji chmury. Ten skrypt usuwa aplikację ze Sklepu Microsoft i wbudowane aplikacje.

    Uwaga

    Jeśli chcesz zachować aplikację ze Sklepu Microsoft na urządzeniach, możesz użyć skryptu, który usuwa wbudowane aplikacje, ale zamiast tego przechowuje sklep Microsoft Store . Aby użyć tego skryptu, pobierz go zamiast niego i wykonaj te same kroki. Ten skrypt próbuje usunąć wbudowane aplikacje, ale może nie usunąć wszystkich z nich. Może być konieczne zmodyfikowanie skryptu w celu usunięcia wszystkich wbudowanych aplikacji na urządzeniach.

  2. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  3. Wybierz pozycję Urządzenia>według platformy>Zarządzanie>urządzeniami Zarządzanie urządzeniami>Skrypty i korygowanieKarta Skrypty>> platformy Dodaj.

  4. W obszarze Podstawy wprowadź nazwę zasad skryptu i wybierz pozycję Dalej.

  5. W obszarze Ustawienia skryptu przekaż pobrany skrypt. Pozostaw inne ustawienia bez zmian i wybierz przycisk Dalej.

  6. Przypisz skrypt do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Aplikacja ze Sklepu Microsoft

Jeśli aplikacja ze sklepu Microsoft Store została wcześniej usunięta, możesz ją ponownie wdrożyć przy użyciu Microsoft Intune. Aby ponownie dodać aplikację ze Sklepu Microsoft (lub dowolne inne aplikacje, które chcesz ponownie dodać), dodaj aplikację ze Sklepu Microsoft do repozytorium aplikacji organizacji prywatnej. Następnie wdróż aplikację na urządzeniach przy użyciu Intune. Aplikacja ze Sklepu Microsoft pomaga aktualizować aplikacje. Aby uzyskać informacje o sposobie konfigurowania dostępu do aplikacji ze Sklepu Microsoft, zobacz Zarządzanie dostępem do sklepu prywatnego.

Repozytorium aplikacji organizacji prywatnej może być aplikacją Intune — Portal firmy lub witryną internetową.

Korzystając z Intune, na urządzeniach Windows 10/11 Enterprise i Education możesz zablokować użytkownikom końcowym możliwość instalowania aplikacji ze Sklepu Microsoft poza repozytorium aplikacji prywatnych organizacji.

Aby zapobiec tym aplikacjom zewnętrznym, wykonaj następujące kroki:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.

  3. Wybierz pozycję Windows 10 i nowsze dla platformy, a następnie wybierz pozycję Katalog ustawień dla typu profilu. Wybierz pozycję Utwórz.

  4. W obszarze Podstawy wprowadź nazwę profilu.

  5. W obszarze Ustawienia konfiguracji wybierz pozycję Dodaj ustawienia. Wtedy:

    1. W selektorze ustawień wyszukaj ciąg private store. W wynikach wyszukiwania w kategorii Microsoft App Store wybierz pozycję Wymagaj tylko sklepu prywatnego.
    2. Ustaw ustawienie Wymagaj tylko magazynu prywatnego na wartość Tylko magazyn prywatny jest włączony.
    3. Wybierz pozycję Dalej.

  6. W obszarze Przypisania przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

  7. W obszarze Przeglądanie i tworzenie przejrzyj swój profil i wybierz pozycję Utwórz.

Krok 4. Wdrażanie aplikacji

Ten krok umożliwia wdrożenie przeglądarki Microsoft Edge i usługi Microsoft Teams. W tym kroku możesz wdrożyć inne podstawowe aplikacje. Pamiętaj, że wdrażaj tylko to, czego potrzebują użytkownicy.

✅ 1 — Wdrażanie przeglądarki Microsoft Edge

  1. Dodaj przeglądarkę Microsoft Edge do Intune.
  2. W obszarze Ustawienia aplikacji wybierz pozycję Stabilny kanał.
  3. Przypisz aplikację Microsoft Edge do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ 2 — Wdrażanie usługi Microsoft Teams

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Aplikacje>systemu Windows.

  3. Wybierz pozycję Dodaj , aby utworzyć nową aplikację.

  4. W Aplikacje Microsoft 365 wybierz pozycję Windows 10, a następnie>pozycję Wybierz.

  5. W polu Nazwa pakietu wprowadź nazwę lub użyj sugerowanej nazwy. Wybierz pozycję Dalej.

  6. W obszarze Konfigurowanie pakietu aplikacji wybierz tylko pozycję Teams.

    Jeśli chcesz wdrożyć inne aplikacje platformy Microsoft 365, wybierz je z tej listy. Pamiętaj, że wdrażaj tylko to, czego potrzebują użytkownicy.

    Porada

    Nie musisz wybierać usługi OneDrive. Usługa OneDrive jest wbudowana w Windows 10/11 Pro, Enterprise i Education.

  7. W przypadku informacji o pakiecie aplikacji skonfiguruj następujące ustawienia:

    Ustawienie Value
    Architektura 64-bitowe

    Konfiguracja chmury działa również z 32-bitową konfiguracją. Firma Microsoft zaleca wybranie wersji 64-bitowej.
    Aktualizowanie kanału Bieżący kanał
    Usuwanie innych wersji Tak
    Wersja do zainstalowania Najnowszy

  8. W obszarze Właściwości skonfiguruj następujące ustawienia:

    Ustawienie Value
    Używanie aktywacji komputera udostępnionego Tak
    Akceptowanie postanowień licencyjnych dotyczących oprogramowania firmy Microsoft w imieniu użytkowników Tak

  9. Wybierz pozycję Dalej.

  10. Przypisz pakiet do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 5. Wdrażanie ustawień zabezpieczeń punktu końcowego

Ten krok umożliwia skonfigurowanie ustawień zabezpieczeń punktu końcowego w celu zapewnienia bezpieczeństwa urządzeń, w tym wbudowanego punktu odniesienia zabezpieczeń systemu Windows i ustawień funkcji BitLocker.

✅1 — Wdrażanie punktu odniesienia zabezpieczeń Windows 10/11 MDM

W przypadku konfiguracji systemu Windows w chmurze zaleca się użycie punktu odniesienia zabezpieczeń Windows 10/11. Istnieją pewne wartości ustawień, które można zmienić w zależności od preferencji organizacji.

Skonfiguruj punkt odniesienia zabezpieczeń w Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęPunkty odniesienia zabezpieczeń>punktu końcowegoPunktodniesienia zabezpieczeń Punkt odniesienia zabezpieczeń dla Windows 10 i nowszych>.

  3. Wybierz pozycję Utwórz profil , aby utworzyć nowy punkt odniesienia zabezpieczeń.

  4. Wprowadź nazwę punktu odniesienia zabezpieczeń i wybierz pozycję Dalej.

  5. Zaakceptuj domyślne ustawienia konfiguracji. Możesz też zmienić następujące ustawienia w zależności od potrzeb organizacji:

    Ustawianie kategorii Ustawienie Powód zmiany
    Przeglądarka Blokuj menedżera haseł Jeśli chcesz zezwolić użytkownikom końcowym na korzystanie z menedżerów haseł, wyłącz to ustawienie.
    Pomoc zdalna Pomoc zdalna na żądanie To ustawienie umożliwia pracownikom pomocy technicznej zdalne łączenie się z urządzeniami. Firma Microsoft zaleca wyłączenie tego ustawienia, chyba że jest to wymagane.
    Zapora Wszystkie ustawienia zapory Jeśli chcesz zezwolić na określone połączenia z urządzeniami w zależności od potrzeb organizacji, zmień domyślne ustawienia zapory.

    Wybierz pozycję Dalej.

  6. W obszarze Przypisania wybierz grupę utworzoną w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

  7. Wybierz pozycję Utwórz , aby utworzyć i przypisać punkt odniesienia.

✅ 2 — Wdrażanie większej liczby ustawień funkcji BitLocker przy użyciu profilu zabezpieczeń punktu końcowego szyfrowania dysku

Istnieje więcej ustawień funkcji BitLocker, które pomagają zapewnić bezpieczeństwo urządzeń. Skonfiguruj następujące ustawienia funkcji BitLocker w Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Zabezpieczenia punktu końcowego>Szyfrowanie> dyskówUtwórz zasady.

  3. W obszarze Platforma wybierz pozycję Windows 10 i nowsze.

  4. W obszarze Profil wybierz pozycję Utwórz funkcję BitLocker>.

  5. W obszarze Podstawy wprowadź nazwę profilu.

  6. W obszarze Ustawienia konfiguracji wybierz następujące ustawienia:

    Ustawianie kategorii Ustawienie Value
    BitLocker — ustawienia podstawowe Włączanie pełnego szyfrowania dysków dla systemów operacyjnych i stałych dysków danych Tak
         
    BitLocker — stałe ustawienia dysku Zasady dysków stałych funkcji BitLocker Konfiguruj
      Blokuj dostęp do zapisu na stałych dyskach danych, które nie są chronione przez funkcję BitLocker Tak
      Konfigurowanie metody szyfrowania dla stałych dysków danych AES 128-bitowy XTS
         
    BitLocker — ustawienia dysku systemu operacyjnego Zasady dysków systemowych funkcji BitLocker Konfiguruj
      Wymagane jest uwierzytelnianie uruchamiania Tak
      Uruchamianie zgodnego modułu TPM Dozwolone
      Numer PIN uruchamiania zgodnego modułu TPM Dozwolone
      Zgodny klucz uruchamiania modułu TPM Wymagany
      Zgodny klucz startowy modułu TPM i numer PIN Dozwolone
      Wyłączanie funkcji BitLocker na urządzeniach, na których moduł TPM jest niezgodny Tak
      Konfigurowanie metody szyfrowania dla dysków systemu operacyjnego AES 128-bitowy XTS
         
    BitLocker — ustawienia dysku wymiennego Zasady dysków wymiennych funkcji BitLocker Konfiguruj
      Konfigurowanie metody szyfrowania dla wymiennych dysków danych AES 128bit CBC
      Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker Tak

  7. W obszarze Przypisania przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

  8. Wybierz pozycję Utwórz , aby utworzyć i przypisać profil.

Krok 6. Konfigurowanie ustawień Windows Update

W tym kroku użyto pierścienia Windows Update do automatycznego aktualizowania urządzeń. Ustawienia w tym przewodniku są zgodne z zalecanymi ustawieniami w punkcie odniesienia usługi Windows Update.

Skonfiguruj pierścień aktualizacji w Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Zarządzaj aktualizacjami>Windows 10 a następnie aktualizuje kartę>Pierścienie> aktualizacji Utwórz profil.

  3. W obszarze Podstawy wprowadź nazwę pierścienia aktualizacji.

  4. W obszarze Ustawienia pierścienia aktualizacji skonfiguruj następujące wartości i wybierz pozycję Dalej:

    Ustawienie Value
    Kanał obsługi Półroczny kanał
    Aktualizacje produktów firmy Microsoft Zezwalaj
    Sterowniki systemu Windows Zezwalaj
    Okres odroczenia aktualizacji jakości (dni) 0
    Okres odroczenia aktualizacji funkcji (dni) 0
    Ustawianie okresu odinstalowywania aktualizacji funkcji 10
    Zachowanie automatycznej aktualizacji Resetuj do wartości domyślnej
    Ponowne uruchamianie testów Zezwalaj
    Opcja wstrzymania aktualizacji systemu Windows Umożliwiać
    Opcja sprawdzania dostępności aktualizacji systemu Windows Umożliwiać
    Wymagaj zatwierdzenia przez użytkownika w celu odrzucenia powiadomienia o ponownym uruchomieniu Nie
    Przypominanie użytkownikowi przed wymaganym automatycznym ponownym uruchomieniem przy użyciu przypomnienia z możliwością odrzucenia (godziny) Pozostaw to ustawienie nieskonfigurowane
    Przypominanie użytkownikowi o konieczności automatycznego ponownego uruchamiania przy użyciu przypomnienia trwałego (w minutach) Pozostaw to ustawienie nieskonfigurowane
    Zmienianie poziomu aktualizacji powiadomień Użyj domyślnych powiadomień Windows Update
    Używanie ustawień terminu ostatecznego Zezwalaj
    Ostateczny termin aktualizacji funkcji 7
    Ostateczny termin aktualizacji jakości 2
    Ulgowe 2
    Automatyczny ponowny rozruch przed upływem terminu ostatecznego Tak

  5. Przypisz pierścień aktualizacji do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 7. Wdrażanie zasad zgodności systemu Windows

Skonfiguruj zasady zgodności, aby ułatwić monitorowanie zgodności i kondycji urządzeń. Zasady raportuje niezgodność i nadal zezwalają użytkownikom na korzystanie z urządzeń. Możesz wybrać sposób rozwiązywania problemów z niezgodnością z innymi akcjami opartymi na procesach organizacji.

Utwórz zasady zgodności w Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycjęZasady tworzenia zgodności>urządzeń>.

  3. W obszarze Platforma wybierz pozycję Windows 10, a następnie>pozycję Utwórz.

  4. W obszarze Podstawy wprowadź nazwę zasad zgodności. Wybierz pozycję Dalej.

  5. W obszarze Ustawienia zgodności skonfiguruj następujące wartości, a następnie wybierz pozycję Dalej:

    Ustawianie kategorii Ustawienie Value
    Kondycja urządzenia Wymagaj funkcji BitLocker Wymagać
      Wymagaj włączenia bezpiecznego rozruchu na urządzeniu Wymagać
      Wymagaj integralności kodu Wymagać
         
    Zabezpieczenia systemu Zapora Wymagać
      Program antywirusowy Wymagać
      Oprogramowanie chroniące przed złośliwym oprogramowaniem Wymagać
      Wymagaj hasła do odblokowania urządzeń przenośnych Wymagać
      Proste hasła Blokuj
      Typ hasła Alfanumeryczny
      Minimalna długość hasła 8
      Maksymalna liczba minut braku aktywności przed wymaganiem hasła 1 minuta
      Wygaśnięcie hasła (dni) 41
      Liczba poprzednich haseł, aby zapobiec ponownemu użyciu 5
         
    Defender ochrona przed złośliwym kodem Microsoft Defender Wymagać
      Microsoft Defender Analiza zabezpieczeń oprogramowania chroniącego przed złośliwym kodem jest aktualna Wymagać
      Ochrona w czasie rzeczywistym Wymagać

  6. W obszarze Akcje w przypadku niezgodności dla akcji Oznaczanie niezgodności urządzenia skonfiguruj harmonogram (dni po niezgodności) do 1 dnia. Możesz skonfigurować inny okres prolongaty na podstawie preferencji organizacji.

    Jeśli używasz zasad dostępu warunkowego w organizacji, zaleca się skonfigurowanie okresu prolongaty. Okresy prolongaty uniemożliwiają niezgodnym urządzeniom natychmiastowe utratę dostępu do zasobów organizacji.

  7. Możesz dodać akcję do wiadomości e-mail informującej użytkowników o niezgodności z krokami uzyskiwania zgodności.

  8. Przypisz zasady zgodności do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Krok 8 . Konfiguracje opcjonalne

Istnieją opcjonalne zasady, które można tworzyć i wdrażać przy użyciu konfiguracji chmury. W tej sekcji opisano te opcjonalne zasady.

✅ Konfigurowanie nazwy domeny dzierżawy

Skonfiguruj urządzenia tak, aby automatycznie używały nazwy domeny dzierżawy na potrzeby logowania użytkowników. Po dodaniu nazwy domeny użytkownicy nie muszą wpisywać pełnej nazwy UPN, aby się zalogować.

Dodaj nazwę domeny dzierżawy w Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.
  3. W obszarze platforma wybierz pozycję Windows 10 i nowsze.
  4. W polu Typ profilu wybierz pozycję Szablony>Ograniczenia> urządzeniaUtwórz.
  5. Wprowadź nazwę profilu i wybierz pozycję Dalej.
  6. W obszarze Ustawienia konfiguracji dla pozycji Hasło skonfiguruj domenę dzierżawy Preferowane Microsoft Entra. Wprowadź nazwę domeny Microsoft Entra, która powinna być używana przez użytkowników do logowania się do urządzeń.
  7. Przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ Wdrażanie innych podstawowych aplikacji zwiększających produktywność i biznesowych (LOB)

Może istnieć kilka podstawowych aplikacji biznesowych, których potrzebują wszystkie urządzenia. Wybierz minimalną liczbę tych aplikacji do wdrożenia. Jeśli dostarczasz aplikacje przy użyciu rozwiązania wirtualizacji, wdróż również aplikację kliencką wirtualizacji na urządzeniach.

Nie ma żadnych ograniczeń dotyczących liczby lub rozmiaru innych aplikacji, które można wdrożyć z aplikacjami dodanymi do konfiguracji chmury. Firma Microsoft zaleca jednak, aby te inne aplikacje były minimalne w zależności od tego, czego użytkownicy potrzebują do swoich ról. Przypisz te podstawowe aplikacje do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Na niektórych urządzeniach mogą być potrzebne określone aplikacje biznesowe. Mogą też istnieć aplikacje, które mają złożone wymagania dotyczące pakowania lub procedury. W tych scenariuszach rozważ przeniesienie tych aplikacji z wdrożenia konfiguracji chmury. Możesz też zachować urządzenia, które potrzebują tych aplikacji w istniejącym modelu zarządzania systemem Windows.

Konfiguracja chmury jest zalecana dla urządzeń, które potrzebują tylko kilku kluczowych aplikacji, a także współpracy i przeglądania.

✅ Wdrażanie zasobów potrzebnych użytkownikom do uzyskania dostępu do organizacji

Skonfiguruj podstawowe zasoby, których mogą potrzebować użytkownicy, co zależy od procesów organizacji. Podstawowe zasoby mogą obejmować certyfikaty, drukarki, połączenia sieci VPN i profile Wi-Fi.

W Intune przypisz te zasoby do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

✅ Konfigurowanie zalecanych ustawień dla funkcji Przenoszenie znanych folderów w usłudze OneDrive

Istnieje więcej ustawień, które poprawiają środowisko użytkownika dla funkcji Przenoszenie znanych folderów w usłudze OneDrive. Ustawienia nie są wymagane do działania funkcji Przenoszenie znanego folderu , ale są przydatne.

Aby uzyskać więcej informacji na temat tych ustawień, przejdź do pozycji Ustawienia usługi OneDrive zalecane w przypadku przenoszenia znanego folderu.

✅ Konfigurowanie zalecanych ustawień przeglądarki Microsoft Edge

Istnieją pewne ustawienia aplikacji przeglądarki Microsoft Edge, które można skonfigurować pod kątem lepszego środowiska użytkownika. Te ustawienia można skonfigurować na podstawie wymagań lub preferencji dotyczących środowiska użytkownika końcowego.

Aby skonfigurować te zalecane ustawienia, użyj Intune:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>według platformy>Zarządzanie urządzeniami> wsystemie Windows>Konfiguracja>Utwórz>nowe zasady.

  3. Wybierz pozycję Windows 10 i nowsze, aby wybrać platformę i szablony dla typu profilu.

  4. Wybierz pozycję Szablony administracyjne i wybierz pozycję Utwórz.

  5. Wprowadź nazwę profilu i wybierz pozycję Dalej.

  6. W obszarze Ustawienia konfiguracji wyszukaj następujące ustawienia i skonfiguruj je do zalecanych wartości:

    Ustawianie kategorii Ustawienie Wartości
      Konfigurowanie integracji z programem Internet Explorer Włączone, tryb programu Internet Explorer
       
    Ustawienia filtru SmartScreen Konfigurowanie filtra SmartScreen Microsoft Defender Włączone
      Wymuszanie sprawdzania Microsoft Defender filtru SmartScreen w przypadku pobierania z zaufanych źródeł Włączone
      Konfigurowanie Microsoft Defender filtru SmartScreen w celu blokowania potencjalnie niechcianych aplikacji Włączone

    Uwaga

    Ustawienia filtru SmartScreen są również wymuszane przez Microsoft Defender. Podczas konfigurowania ustawień filtru SmartScreen za pośrednictwem aplikacji Microsoft Edge przeglądarka Microsoft Edge bezpośrednio wymusza ustawienia.

  7. Przypisz profil do grupy utworzonej w kroku 1 — tworzenie grupy Microsoft Entra (w tym artykule).

Monitorowanie stanu konfiguracji chmury

Po zastosowaniu konfiguracji chmury do urządzeń możesz użyć Intune do monitorowania stanu aplikacji i konfiguracji urządzeń.

Stan skryptu

Stan instalacji wdrożonych skryptów można monitorować:

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Urządzenia>według platformy> Skryptysystemu Windows> iskrypty platformykorygowania>.
  2. Wybierz wdrożony skrypt.
  3. Na stronie szczegółów skryptu wybierz pozycję Stan urządzenia. Wyświetlane są szczegóły instalacji skryptu.

Instalacje aplikacji

Stan instalacji wdrożonych aplikacji można monitorować:

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Aplikacje>aplikacji systemu Windows Dla systemu Windows>.
  2. Wybierz wdrożoną aplikację, taką jak Pakiet aplikacji platformy Microsoft 365.
  3. Wybierz pozycję Stan instalacji urządzenia lub Stan instalacji użytkownika. Wyświetlane są szczegóły instalacji aplikacji.

Aby uzyskać informacje na temat rozwiązywania problemów z aplikacjami na poszczególnych urządzeniach, zobacz Rozwiązywanie problemów z instalacją aplikacji Intune.

Punkt odniesienia zabezpieczeń

Stan instalacji wdrożonego punktu odniesienia zabezpieczeń można monitorować. Aby uzyskać więcej informacji, przejdź do tematu Monitorowanie punktów odniesienia zabezpieczeń i profilów w Intune.

Profil szyfrowania dysków

W kroku 5 — wdrażanie ustawień zabezpieczeń punktu końcowego (w tym artykule) być może skonfigurowano i wdrożono ustawienia funkcji BitLocker.

Stan tego profilu funkcji BitLocker można monitorować:

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Zabezpieczenia punktu końcowego>Szyfrowanie dysków.
  2. Wybierz profil szyfrowania dysku wdrożony w konfiguracji chmury.
  3. Wybierz pozycję Stan instalacji urządzenia lub Stan instalacji użytkownika. Zostaną wyświetlone szczegóły profilu.

ustawienia Windows Update

Stan zasad pierścienia Windows Update można monitorować:

  1. W centrum administracyjnym Microsoft Intune przejdź do karty Urządzenia>Zarządzaj aktualizacjami>Windows 10 a następnie aktualizuj pierścienie>aktualizacji.
  2. Wybierz pierścień aktualizacji wdrożony w ramach konfiguracji chmury.
  3. Wybierz pozycję Stan urządzenia, Stan użytkownika lub Stan aktualizacji użytkownika końcowego. Wyświetlane są szczegóły ustawień pierścienia aktualizacji.

Aby uzyskać więcej informacji na temat raportowania pierścieni Windows Update, przejdź do obszaru Raporty dla pierścieni aktualizacji dla zasad Windows 10 i nowszych.

Zasady zgodności

Stan zasad zgodności można monitorować:

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Zgodność urządzeń>.
  2. Wybierz wdrożone zasady zgodności w ramach konfiguracji chmury.

Widok monitorowania zgodności urządzeń zawiera szczegółowe informacje na temat stanu przypisania i niepowodzeń przypisywania zasad zgodności. Ma również widoki, aby szybko znaleźć niezgodne urządzenia i podjąć działania.

Aby uzyskać bardziej szczegółowe informacje na temat monitorowania zasad zgodności w Intune, przejdź do tematu Monitorowanie wyników zasad zgodności urządzeń Intune.

Zawartość pokrewna