Udostępnij za pośrednictwem

Samouczek: konfigurowanie natywnego dla chmury punktu końcowego systemu Windows w usłudze Microsoft Intune

  • Artykuł

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

  • Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
  • Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasad grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
  • Punkty końcowe natywne dla chmury: punkty końcowe przyłączone do usługi Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.
  • Obciążenie: dowolny program, usługa lub proces.

W tym przewodniku przedstawiono kroki tworzenia konfiguracji punktu końcowego systemu Windows natywnego dla chmury dla organizacji. Aby zapoznać się z omówieniem punktów końcowych natywnych dla chmury i ich korzyści, zobacz What are cloud-native endpoints (Co to są punkty końcowe natywne dla chmury).

Ta funkcja ma zastosowanie do:

  • Punkty końcowe natywne dla chmury systemu Windows

Porada

Jeśli chcesz, aby zalecane przez firmę Microsoft, ustandaryzowane rozwiązanie było bazowane na rozwiązaniach, być może interesuje Cię konfiguracja systemu Windows w chmurze. Aby zapoznać się ze scenariuszem z przewodnikiem usługi Intune, zobacz Windows 10/11 in cloud configuration (Konfiguracja systemu Windows 10/11 w chmurze).

W poniższej tabeli opisano kluczową różnicę między tym przewodnikiem a konfiguracją systemu Windows w chmurze:

Rozwiązanie Cel
Samouczek: wprowadzenie do punktów końcowych systemu Windows natywnych dla chmury (ten przewodnik) Przeprowadzi Cię przez proces tworzenia własnej konfiguracji środowiska na podstawie zalecanych ustawień firmy Microsoft i pomoże Ci rozpocząć testowanie.
Konfiguracja systemu Windows w chmurze Środowisko scenariusza z przewodnikiem, które tworzy i stosuje wstępnie utworzoną konfigurację opartą na najlepszych rozwiązaniach firmy Microsoft dla pracowników pierwszej linii, zdalnych i innych pracowników o bardziej ukierunkowanych potrzebach.

Tego przewodnika można użyć w połączeniu z systemem Windows w konfiguracji chmury , aby jeszcze bardziej dostosować wstępnie utworzone środowisko.

Jak rozpocząć pracę

Skorzystaj z pięciu etapów uporządkowanych w tym przewodniku, które są oparte na sobie nawzajem, aby ułatwić przygotowanie konfiguracji punktu końcowego systemu Windows natywnego dla chmury. Po wykonaniu tych faz w kolejności widać wymierny postęp i można je aprowizować na nowych urządzeniach.

Fazy:

Pięć faz konfigurowania punktów końcowych systemu Windows natywnych dla chmury przy użyciu usługi Microsoft Intune i rozwiązania Windows Autopilot.

  • Faza 1 — konfigurowanie środowiska
  • Faza 2 — tworzenie pierwszego natywnego dla chmury punktu końcowego systemu Windows
  • Faza 3 — zabezpieczanie natywnego dla chmury punktu końcowego systemu Windows
  • Faza 4 — stosowanie niestandardowych ustawień i aplikacji
  • Faza 5 — wdrażanie na dużą skalę za pomocą rozwiązania Windows Autopilot

Na końcu tego przewodnika masz natywny dla chmury punkt końcowy systemu Windows gotowy do rozpoczęcia testowania w środowisku. Przed rozpoczęciem warto zapoznać się z przewodnikiem planowania dołączania do aplikacji Microsoft Entra w temacie Jak zaplanować implementację dołączania do aplikacji Microsoft Entra.

Faza 1 — konfigurowanie środowiska

Obraz przedstawiający fazę 1. Konfigurowanie środowiska dla natywnych punktów końcowych w chmurze za pomocą usługi Microsoft Intune

Przed utworzeniem pierwszego punktu końcowego systemu Windows natywnego dla chmury istnieją pewne kluczowe wymagania i konfiguracja, które należy sprawdzić. Ta faza przeprowadzi Cię przez sprawdzanie wymagań, konfigurowanie rozwiązania Windows Autopilot i tworzenie niektórych ustawień i aplikacji.

Krok 1 . Wymagania dotyczące sieci

Natywny dla chmury punkt końcowy systemu Windows wymaga dostępu do kilku usług internetowych. Rozpocznij testowanie w otwartej sieci. Możesz też użyć sieci firmowej po zapewnieniu dostępu do wszystkich punktów końcowych wymienionych w wymaganiach dotyczących sieci rozwiązania Windows Autopilot.

Jeśli sieć bezprzewodowa wymaga certyfikatów, możesz rozpocząć od połączenia Ethernet podczas testowania, podczas gdy określisz najlepsze podejście do połączeń bezprzewodowych na potrzeby aprowizacji urządzeń.

Krok 2. Rejestracja i licencjonowanie

Przed dołączeniem do usługi Microsoft Entra i zarejestrowaniem się w usłudze Intune należy sprawdzić kilka elementów. Możesz utworzyć nową grupę Microsoft Entra, taką jak nazwa Użytkownicy zarządzania urządzeniami przenośnymi usługi Intune. Następnie dodaj określone konta użytkowników testowych i ukiekuj każdą z następujących konfiguracji w tej grupie, aby ograniczyć liczbę osób, które mogą rejestrować urządzenia podczas konfigurowania konfiguracji. Aby utworzyć grupę Microsoft Entra, przejdź do tematu Zarządzanie grupami entra firmy Microsoft i członkostwem w grupach.

  • Ograniczenia rejestracji Ograniczenia rejestracji umożliwiają kontrolowanie typów urządzeń, które mogą zostać zarejestrowane w usłudze Intune. Aby ten przewodnik zakończył się pomyślnie, upewnij się, że rejestracja w systemie Windows (MDM) jest dozwolona, co jest konfiguracją domyślną.

    Aby uzyskać informacje na temat konfigurowania ograniczeń rejestracji, przejdź do tematu Ustawianie ograniczeń rejestracji w usłudze Microsoft Intune.

  • Ustawienia mdm urządzenia Microsoft Entra Po dołączeniu urządzenia z systemem Windows do usługi Microsoft Entra można skonfigurować usługę Microsoft Entra, aby poinformować urządzenia o automatycznym rejestrowaniu w rozwiązaniu MDM. Ta konfiguracja jest wymagana do działania rozwiązania Windows Autopilot.

    Aby sprawdzić, czy ustawienia zarządzania urządzeniami przenośnymi w usłudze Microsoft Entra są prawidłowo włączone, przejdź do sekcji Szybki start — konfigurowanie automatycznej rejestracji w usłudze Intune.

  • Znakowanie firmy Microsoft Entra Dodanie firmowego logo i obrazów do usługi Microsoft Entra gwarantuje, że użytkownicy zobaczą znajomy i spójny wygląd podczas logowania się do platformy Microsoft 365. Ta konfiguracja jest wymagana do działania rozwiązania Windows Autopilot.

    Aby uzyskać informacje na temat konfigurowania znakowania niestandardowego w usłudze Microsoft Entra, przejdź do strony Dodawanie znakowania do strony logowania w usłudze Microsoft Entra w organizacji.

  • Licencjonowania Użytkownicy rejestrujący urządzenia z systemem Windows z środowiska OOBE (Out Of Box Experience) w usłudze Intune wymagają dwóch kluczowych możliwości.

    Użytkownicy wymagają następujących licencji:

    • Licencja usługi Microsoft Intune lub Microsoft Intune for Education
    • Licencja, taka jak jedna z następujących opcji, która umożliwia automatyczną rejestrację w rozwiązaniu MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    Aby przypisać licencje, przejdź do pozycji Przypisywanie licencji usługi Microsoft Intune.

    Uwaga

    Oba typy licencji są zwykle dołączane do pakietów licencjonowania, takich jak Microsoft 365 E3 (lub A3) i nowsze. Zapoznaj się z porównaniami licencjonowania M365 tutaj.

Krok 3. Importowanie urządzenia testowego

Aby przetestować natywny dla chmury punkt końcowy systemu Windows, musimy zacząć od przygotowania maszyny wirtualnej lub urządzenia fizycznego do testowania. Poniższe kroki umożliwiają pobranie szczegółów urządzenia i przekazanie ich do usługi Windows Autopilot, która jest używana w dalszej części tego artykułu.

Uwaga

Poniższe kroki umożliwiają zaimportowanie urządzenia na potrzeby testowania, ale partnerzy i OEM mogą importować urządzenia do rozwiązania Windows Autopilot w Twoim imieniu w ramach zakupów. Więcej informacji na temat rozwiązania Windows Autopilot znajduje się w fazie 5.

  1. Zainstaluj system Windows (najlepiej 20H2 lub nowszy) na maszynie wirtualnej lub zresetuj urządzenie fizyczne, aby oczekiwać na ekranie konfiguracji OOBE. W przypadku maszyny wirtualnej możesz opcjonalnie utworzyć punkt kontrolny.

  2. Wykonaj kroki niezbędne do nawiązania połączenia z Internetem.

  3. Otwórz wiersz polecenia przy użyciu kombinacji klawiatury Shift + F10 .

  4. Sprawdź, czy masz dostęp do Internetu, wysyłając polecenie ping do bing.com:

    • ping bing.com

  5. Przełącz się do programu PowerShell, uruchamiając polecenie:

    • powershell.exe

  6. Pobierz skrypt Get-WindowsAutopilotInfo , uruchamiając następujące polecenia:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Po wyświetleniu monitu wprowadź wartość Y , aby zaakceptować.

  8. Wpisz następujące polecenie:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Uwaga

    Tagi grupy umożliwiają tworzenie dynamicznych grup Entra firmy Microsoft na podstawie podzestawu urządzeń. Tagi grupy można ustawić podczas importowania urządzeń lub zmieniać je później w centrum administracyjnym usługi Microsoft Intune. Użyjemy tagu grupy CloudNative w kroku 4. Możesz ustawić nazwę tagu na inną dla testowania.

  9. Po wyświetleniu monitu o podanie poświadczeń zaloguj się przy użyciu konta administratora usługi Intune.

  10. Pozostaw komputer w środowisku wyjściowym do fazy 2.

Krok 4. Tworzenie grupy dynamicznej Microsoft Entra dla urządzenia

Aby ograniczyć konfiguracje z tego przewodnika do urządzeń testowych importowanych do rozwiązania Windows Autopilot, utwórz dynamiczną grupę Microsoft Entra. Ta grupa powinna automatycznie obejmować urządzenia importowane do rozwiązania Windows Autopilot i mają tag grupy CloudNative. Następnie można kierować wszystkie konfiguracje i aplikacje w tej grupie.

  1. Otwórz centrum administracyjne usługi Microsoft Intune.

  2. Wybierz pozycję Grupy>Nowa grupa. Wprowadź następujące szczegóły:

    • Typ grupy: wybierz pozycję Zabezpieczenia.
    • Nazwa grupy: wprowadź pozycję Autopilot Cloud-Native punkty końcowe systemu Windows.
    • Typ członkostwa: wybierz pozycję Urządzenie dynamiczne.

  3. Wybierz pozycję Dodaj zapytanie dynamiczne.

  4. W sekcji Składnia reguł wybierz pozycję Edytuj.

  5. Wklej następujący tekst:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Wybierz przycisk OK>Zapisz>utwórz.

Porada

Wypełnianie grup dynamicznych po wprowadzeniu zmian zajmuje kilka minut. W dużych organizacjach może to potrwać znacznie dłużej. Po utworzeniu nowej grupy poczekaj kilka minut, zanim sprawdzisz, czy urządzenie jest teraz członkiem grupy.

Aby uzyskać więcej informacji na temat grup dynamicznych dla urządzeń, przejdź do pozycji Reguły dla urządzeń.

Krok 5. Konfigurowanie strony ze stanem rejestracji

Strona stanu rejestracji (ESP) to mechanizm używany przez specjalistę IT do kontrolowania środowiska użytkownika końcowego podczas aprowizacji punktu końcowego. Zobacz Konfigurowanie strony ze stanem rejestracji. Aby ograniczyć zakres strony stanu rejestracji, można utworzyć nowy profil i skierować grupę punktów końcowych rozwiązania Autopilot Cloud-Native systemu Windows utworzoną w poprzednim kroku, czyli utworzyć grupę dynamiczną Microsoft Entra dla urządzenia.

  • Na potrzeby testowania zalecamy następujące ustawienia, ale możesz dostosować je zgodnie z wymaganiami:
    • Pokaż postęp konfiguracji aplikacji i profilu — Tak
    • Pokazywanie strony tylko urządzeniom aprowizowanym przez środowisko OOBE (out-of-box experience) — tak (domyślnie)

Krok 6. Tworzenie i przypisywanie profilu rozwiązania Windows Autopilot

Teraz możemy utworzyć profil rozwiązania Windows Autopilot i przypisać go do urządzenia testowego. Ten profil informuje urządzenie o dołączeniu do usługi Microsoft Entra oraz o ustawieniach, które należy zastosować podczas OOBE.

  1. Otwórz centrum administracyjne usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia>Rejestracja urządzeń>z>profilami wdrażaniarozwiązania Windows Autopilot> systemuWindows>.

  3. Wybierz pozycję Utwórz profilkomputera z systemem> Windows.

  4. Wprowadź nazwę Autopilot Cloud-Native punkt końcowy systemu Windows, a następnie wybierz pozycję Dalej.

  5. Przejrzyj i pozostaw ustawienia domyślne, a następnie wybierz pozycję Dalej.

  6. Pozostaw tagi zakresu i wybierz przycisk Dalej.

  7. Przypisz profil do utworzonej grupy Microsoft Entra o nazwie Autopilot Cloud-Native punkt końcowy systemu Windows, wybierz pozycję Dalej, a następnie wybierz pozycję Utwórz.

Krok 7. Synchronizowanie urządzeń z rozwiązaniem Windows Autopilot

Usługa Windows Autopilot synchronizuje się kilka razy dziennie. Możesz również natychmiast wyzwolić synchronizację, aby urządzenie było gotowe do testowania. Aby natychmiast zsynchronizować:

  1. Otwórz centrum administracyjne usługi Microsoft Intune.

  2. Wybierz pozycję Urządzenia Device onboarding EnrollmentWindowsAutopilot Devices (Urządzenia>) Device onboarding Enrollment Windows Autopilot Devices (Urządzenia zrejestracją urządzeń zrozwiązaniem>> Windows >Autopilot>).

  3. Wybierz pozycję Synchronizuj.

Synchronizacja trwa kilka minut i jest kontynuowana w tle. Po zakończeniu synchronizacji stan profilu zaimportowanego urządzenia zostanie wyświetlony jako przypisany.

Krok 8. Konfigurowanie ustawień dla optymalnego środowiska platformy Microsoft 365

Wybraliśmy kilka ustawień do skonfigurowania. Te ustawienia przedstawiają optymalne środowisko użytkownika końcowego platformy Microsoft 365 na urządzeniu natywnym dla chmury systemu Windows. Te ustawienia są konfigurowane przy użyciu profilu katalogu ustawień konfiguracji urządzenia. Aby uzyskać więcej informacji, zobacz Tworzenie zasad przy użyciu wykazu ustawień w usłudze Microsoft Intune.

Po utworzeniu profilu i dodaniu ustawień przypisz profil do utworzonej wcześniej grupy punktów końcowych rozwiązania Autopilot Cloud-Native Windows .

  • Microsoft Outlook Aby ulepszyć środowisko pierwszego uruchomienia programu Microsoft Outlook, następujące ustawienie automatycznie konfiguruje profil po pierwszym otwarciu programu Outlook.

    • Microsoft Outlook 2016\Account Settings\Exchange (ustawienie użytkownika)
      • Automatycznie skonfiguruj tylko pierwszy profil na podstawie podstawowego adresu SMTP usługi Active Directory — włączone

  • Microsoft Edge Aby ulepszyć środowisko pierwszego uruchomienia przeglądarki Microsoft Edge, następujące ustawienia umożliwiają skonfigurowanie przeglądarki Microsoft Edge w celu zsynchronizowania ustawień użytkownika i pominięcia środowiska pierwszego uruchomienia.

    • Microsoft Edge
      • Ukryj środowisko pierwszego uruchomienia i ekran powitalny — włączone
      • Wymuś synchronizację danych przeglądarki i nie pokazuj monitu o zgodę na synchronizację — włączone

  • Microsoft OneDrive

    Aby ulepszyć środowisko pierwszego logowania, następujące ustawienia umożliwiają skonfigurowanie usługi Microsoft OneDrive do automatycznego logowania i przekierowywania aplikacji Desktop, Pictures i Documents do usługi OneDrive. Zalecane jest również stosowanie plików na żądanie (FOD). Jest ona domyślnie włączona i nie znajduje się na poniższej liście. Aby uzyskać więcej informacji na temat zalecanej konfiguracji aplikacji synchronizacji usługi OneDrive, przejdź do tematu Zalecana konfiguracja aplikacji synchronizacji dla usługi Microsoft OneDrive.

    • OneDrive

      • Dyskretne logowanie użytkowników do aplikacji synchronizacji usługi OneDrive przy użyciu poświadczeń systemu Windows — włączone
      • Dyskretne przenoszenie znanych folderów systemu Windows do usługi OneDrive — włączone

      Uwaga

      Aby uzyskać więcej informacji, przejdź do pozycji Przekierowanie znanych folderów.

Poniższy zrzut ekranu przedstawia przykład profilu katalogu ustawień z każdym z sugerowanych ustawień skonfigurowanych:

Zrzut ekranu przedstawiający przykład profilu wykazu ustawień w usłudze Microsoft Intune.

Krok 9. Tworzenie i przypisywanie niektórych aplikacji

Punkt końcowy natywny dla chmury wymaga pewnych aplikacji. Aby rozpocząć, zalecamy skonfigurowanie następujących aplikacji i kierowanie ich do utworzonej wcześniej grupy punktów końcowych rozwiązania Autopilot Cloud-Native Windows .

  • Aplikacje platformy Microsoft 365 (dawniej Office 365 ProPlus) aplikacje platformy Microsoft 365, takie jak Word, Excel i Outlook, można łatwo wdrożyć na urządzeniach przy użyciu wbudowanych aplikacji platformy Microsoft 365 dla profilu aplikacji systemu Windows w usłudze Intune.

    • Wybierz projektanta konfiguracji dla formatu ustawień, a nie xml.
    • Wybierz pozycję Bieżący kanał dla kanału aktualizacji.

    Aby wdrożyć aplikacje platformy Microsoft 365, przejdź do pozycji Dodawanie aplikacji platformy Microsoft 365 do urządzeń z systemem Windows przy użyciu usługi Microsoft Intune

  • Aplikacja Portal firmy Zaleca się wdrożenie aplikacji Portal firmy usługi Intune na wszystkich urządzeniach jako wymaganej aplikacji. Aplikacja Portal firmy to samoobsługowe centrum dla użytkowników, których używają do instalowania aplikacji z wielu źródeł, takich jak Usługa Intune, Sklep Microsoft i Program Configuration Manager. Użytkownicy korzystają również z aplikacji Portal firmy, aby zsynchronizować swoje urządzenie z usługą Intune, sprawdzić stan zgodności itd.

    Aby wdrożyć aplikację Portal firmy zgodnie z wymaganiami, zobacz Dodawanie i przypisywanie aplikacji Portal firmy systemu Windows dla urządzeń zarządzanych przez usługę Intune.

  • Aplikacja ze sklepu Microsoft Store (tablica) Podczas gdy usługa Intune może wdrażać szeroką gamę aplikacji, wdrażamy aplikację ze sklepu (Microsoft Whiteboard), aby ułatwić wykonywanie prostych czynności w tym przewodniku. Wykonaj kroki opisane w temacie Dodawanie aplikacji ze Sklepu Microsoft do usługi Microsoft Intune , aby zainstalować usługę Microsoft Whiteboard.

Faza 2 — tworzenie natywnego dla chmury punktu końcowego systemu Windows

Faza 2.

Aby utworzyć pierwszy natywny dla chmury punkt końcowy systemu Windows, użyj tej samej maszyny wirtualnej lub urządzenia fizycznego, które zostało zebrane, a następnie przekazano skrót sprzętu do usługi Windows Autopilot w kroku 1>. Na tym urządzeniu przejdź przez proces rozwiązania Windows Autopilot.

  1. Wznów (lub w razie potrzeby zresetuj) komputer z systemem Windows do środowiska OOBE (Out of Box Experience).

    Uwaga

    Jeśli zostanie wyświetlony monit o wybranie konfiguracji dla użytkownika lub organizacji, proces rozwiązania Autopilot nie został wyzwolony. W takiej sytuacji uruchom ponownie urządzenie i upewnij się, że ma ono dostęp do Internetu. Jeśli nadal nie działa, spróbuj zresetować komputer lub ponownie zainstalować system Windows.

  2. Zaloguj się przy użyciu poświadczeń usługi Microsoft Entra (UPN lub AzureAD\username).

  3. Na stronie stanu rejestracji jest wyświetlany stan konfiguracji urządzenia.

Gratulacje! Aprowizowano pierwszy natywny dla chmury punkt końcowy systemu Windows.

Niektóre elementy, które należy wyewidencjonować w nowym punkcie końcowym systemu Windows natywnym dla chmury:

  • Foldery usługi OneDrive są przekierowywane. Po otwarciu programu Outlook jest on automatycznie konfigurowany do nawiązywania połączenia z usługą Office 365.

  • Otwórz aplikację Portal firmy z menu Start i zwróć uwagę, że tablica firmy Microsoft jest dostępna do instalacji.

  • Rozważ przetestowanie dostępu z urządzenia do zasobów lokalnych, takich jak udziały plików, drukarki i witryny intranetowe.

    Uwaga

    Jeśli nie skonfigurowano hybrydowej usługi Windows Hello dla firm, może zostać wyświetlony monit logowania usługi Windows Hello o wprowadzenie haseł w celu uzyskania dostępu do zasobów lokalnych. Aby kontynuować testowanie dostępu do logowania jednokrotnego, możesz skonfigurować funkcję Windows Hello dla firm Hybrid lub zalogować się do urządzenia przy użyciu nazwy użytkownika i hasła, a nie funkcji Windows Hello. W tym celu wybierz ikonę w kształcie klucza na ekranie logowania.

Faza 3 — zabezpieczanie natywnego dla chmury punktu końcowego systemu Windows

Faza 3.

Ta faza ma na celu ułatwienie tworzenia ustawień zabezpieczeń dla organizacji. Ta sekcja zwraca uwagę na różne składniki zabezpieczeń punktu końcowego w usłudze Microsoft Intune, w tym:

Program antywirusowy Microsoft Defender (MDAV)

Poniższe ustawienia są zalecane jako minimalna konfiguracja programu antywirusowego Microsoft Defender, wbudowanego składnika systemu operacyjnego systemu Windows. Te ustawienia nie wymagają żadnej konkretnej umowy licencyjnej, takiej jak E3 lub E5, i mogą być włączone w centrum administracyjnym usługi Microsoft Intune. W centrum administracyjnym przejdź do pozycji Programantywirusowy> zabezpieczeń >punktu końcowegoUtwórz zasady>systemu Windows, a następnie>wpisz profil = Microsoft Defender Antivirus.

Usługa Cloud Protection:

  • Włącz ochronę dostarczaną przez chmurę: Tak
  • Poziom ochrony dostarczanej w chmurze: Nie skonfigurowano
  • Rozszerzony limit czasu usługi Defender Cloud w sekundach: 50

Ochrona w czasie rzeczywistym:

  • Włącz ochronę w czasie rzeczywistym: Tak
  • Włącz ochronę dostępu: Tak
  • Monitorowanie plików przychodzących i wychodzących: monitorowanie wszystkich plików
  • Włączanie monitorowania zachowania: Tak
  • Włącz zapobieganie włamaniom: Tak
  • Włączanie ochrony sieci: Włącz
  • Przeskanuj wszystkie pobrane pliki i załączniki: Tak
  • Skanuj skrypty używane w przeglądarkach firmy Microsoft: Tak
  • Skanowanie plików sieciowych: nie skonfigurowano
  • Skanuj wiadomości e-mail: Tak

Korygowanie:

  • Liczba dni (0–90) do przechowywania złośliwego oprogramowania poddanej kwarantannie: 30
  • Zgoda na przesyłanie przykładów: automatyczne wysyłanie bezpiecznych próbek
  • Akcja do wykonania w potencjalnie niechcianych aplikacjach: Włącz
  • Akcje dotyczące wykrytych zagrożeń: Konfigurowanie
    • Niskie zagrożenie: kwarantanna
    • Umiarkowane zagrożenie: Kwarantanna
    • Wysokie zagrożenie: kwarantanna
    • Poważne zagrożenie: Kwarantanna

Ustawienia skonfigurowane w profilu MDAV w programie Endpoint Security:

Zrzut ekranu przedstawiający przykład profilu programu antywirusowego Microsoft Defender w usłudze Microsoft Intune.

Aby uzyskać więcej informacji na temat konfiguracji usługi Windows Defender, w tym usługi Microsoft Defender for Endpoint dla licencji klienta na E3 i E5, przejdź do:

Zapora usługi Microsoft Defender

Użyj zabezpieczeń punktu końcowego w usłudze Microsoft Intune, aby skonfigurować reguły zapory i zapory. Aby uzyskać więcej informacji, przejdź do tematu Zasady zapory dotyczące zabezpieczeń punktów końcowych w usłudze Intune.

Zapora Microsoft Defender może wykryć zaufaną sieć przy użyciu dostawcy CSP NetworkListManager. Ponadto może przełączyć się do profilu zapory domeny w punktach końcowych z uruchomionymi następującymi wersjami systemu operacyjnego:

Użycie profilu sieci domeny umożliwia oddzielenie reguł zapory na podstawie zaufanej sieci, sieci prywatnej i sieci publicznej. Te ustawienia można zastosować przy użyciu profilu niestandardowego systemu Windows.

Uwaga

Punkty końcowe przyłączone do usługi Microsoft Entra nie mogą używać protokołu LDAP do wykrywania połączenia z domeną w taki sam sposób, jak punkty końcowe przyłączone do domeny. Zamiast tego użyj dostawcy CSP NetworkListManager , aby określić punkt końcowy protokołu TLS, który, gdy jest dostępny, przełączy punkt końcowy na profil zapory domeny .

Szyfrowanie funkcją BitLocker

Użyj zabezpieczeń punktu końcowego w usłudze Microsoft Intune, aby skonfigurować szyfrowanie za pomocą funkcji BitLocker.

Te ustawienia można włączyć w centrum administracyjnym usługi Microsoft Intune. W centrum administracyjnym przejdź do pozycji Zabezpieczenia punktu końcowego> Zarządzanieszyfrowaniem>dysków>Utwórz zasady>Systemu Windows i nowszego> funkcjiBitLockerprofilu = .

Podczas konfigurowania następujących ustawień funkcji BitLocker w trybie dyskretnym włączają one szyfrowanie 128-bitowe dla użytkowników standardowych, co jest typowym scenariuszem. Organizacja może jednak mieć różne wymagania dotyczące zabezpieczeń, dlatego użyj dokumentacji funkcji BitLocker , aby uzyskać więcej ustawień.

BitLocker — ustawienia podstawowe:

  • Włącz pełne szyfrowanie dysków dla systemów operacyjnych i stałych dysków danych: Tak
  • Wymagaj szyfrowania kart pamięci (tylko urządzenia przenośne): nies skonfigurowano
  • Ukryj monit o szyfrowanie innych firm: Tak
    • Zezwalaj standardowym użytkownikom na włączanie szyfrowania podczas rozwiązania Autopilot: Tak
  • Konfigurowanie rotacji haseł odzyskiwania opartej na kliencie: włączanie rotacji na urządzeniach przyłączonych do platformy Microsoft Entra

BitLocker — ustawienia dysku stałego:

  • Zasady dysków stałych funkcji BitLocker: Konfigurowanie
  • Odzyskiwanie dysku stałego: konfigurowanie
    • Tworzenie pliku klucza odzyskiwania: zablokowane
    • Konfigurowanie pakietu odzyskiwania funkcji BitLocker: hasło i klucz
    • Wymagaj od urządzenia tworzenia kopii zapasowych informacji odzyskiwania w usłudze Azure AD: Tak
    • Tworzenie hasła odzyskiwania: dozwolone
    • Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker: Nie skonfigurowano
    • Włącz funkcję BitLocker po informacjach odzyskiwania do przechowywania: Nie skonfigurowano
    • Blokuj użycie agenta odzyskiwania danych opartego na certyfikatach (DRA): Nie skonfigurowano
    • Blokuj dostęp do zapisu na stałych dyskach danych, które nie są chronione przez funkcję BitLocker: Nie skonfigurowano
    • Konfigurowanie metody szyfrowania dla stałych dysków danych: nieskonfigurowane

BitLocker — ustawienia dysku systemu operacyjnego:

  • Zasady dysków systemowych funkcji BitLocker: Konfigurowanie
    • Wymagane jest uwierzytelnianie uruchamiania: Tak
    • Uruchamianie zgodnego modułu TPM: wymagane
    • Zgodny numer PIN uruchamiania modułu TPM: blokuj
    • Zgodny klucz uruchamiania modułu TPM: Blokuj
    • Zgodny klucz startowy modułu TPM i numer PIN: Blokuj
    • Wyłącz funkcję BitLocker na urządzeniach, na których moduł TPM jest niezgodny: Nie skonfigurowano
    • Włącz preboot recovery message and url: Not configured (Włączanie preboot recovery message and url: Not configured (Włącz preboot recovery message and url: Not configur
  • Odzyskiwanie dysku systemowego: konfigurowanie
    • Tworzenie pliku klucza odzyskiwania: zablokowane
    • Konfigurowanie pakietu odzyskiwania funkcji BitLocker: hasło i klucz
    • Wymagaj od urządzenia tworzenia kopii zapasowych informacji odzyskiwania w usłudze Azure AD: Tak
    • Tworzenie hasła odzyskiwania: dozwolone
    • Ukryj opcje odzyskiwania podczas konfigurowania funkcji BitLocker: Nie skonfigurowano
    • Włącz funkcję BitLocker po informacjach odzyskiwania do przechowywania: Nie skonfigurowano
    • Blokuj użycie agenta odzyskiwania danych opartego na certyfikatach (DRA): Nie skonfigurowano
    • Minimalna długość numeru PIN: pozostaw wartość pustą
    • Konfigurowanie metody szyfrowania dla dysków systemu operacyjnego: nieskonfigurowane

BitLocker — ustawienia dysku wymiennego:

  • Zasady dysków wymiennych funkcji BitLocker: Konfigurowanie
    • Konfigurowanie metody szyfrowania dla wymiennych dysków danych: nieskonfigurowane
    • Blokuj dostęp do zapisu na wymiennych dyskach danych, które nie są chronione przez funkcję BitLocker: Nie skonfigurowano
    • Blokuj dostęp do zapisu na urządzeniach skonfigurowanych w innej organizacji: Nie skonfigurowano

Rozwiązanie haseł administratora lokalnego systemu Windows (LAPS)

Domyślnie wbudowane konto administratora lokalnego (dobrze znany identyfikator SID S-1-5-500) jest wyłączone. Istnieją pewne scenariusze, w których konto administratora lokalnego może być korzystne, takie jak rozwiązywanie problemów, obsługa użytkowników końcowych i odzyskiwanie urządzeń. Jeśli zdecydujesz się włączyć wbudowane konto administratora lub utworzyć nowe konto administratora lokalnego, ważne jest zabezpieczenie hasła dla tego konta.

Rozwiązanie haseł administratora lokalnego systemu Windows (LAPS) jest jedną z funkcji, których można użyć do losowego i bezpiecznego przechowywania hasła w usłudze Microsoft Entra. Jeśli używasz usługi Intune jako usługi MDM, wykonaj następujące kroki, aby włączyć usługę LAPS systemu Windows.

Ważna

W systemie Windows LAPS przyjęto założenie, że domyślne konto administratora lokalnego jest włączone, nawet jeśli jego nazwa została zmieniona lub utworzono inne konto administratora lokalnego. Usługa Windows LAPS nie tworzy ani nie włącza żadnych kont lokalnych.

Musisz utworzyć lub włączyć dowolne konta lokalne niezależnie od konfigurowania systemu Windows LAPS. Możesz wykonać skrypt tego zadania lub użyć dostawców usług konfiguracji (CSP), takich jak dostawca CSP kont lub dostawca CSP zasad.

  1. Upewnij się, że na urządzeniach z systemem Windows 10 (20H2 lub nowszym) lub Windows 11 zainstalowano aktualizację zabezpieczeń z kwietnia 2023 r. (lub nowszą).

    Aby uzyskać więcej informacji, przejdź do obszaru Aktualizacje systemu operacyjnego Microsoft Entra.

  2. Włączanie usługi Windows LAPS w usłudze Microsoft Entra:

    1. Zaloguj się do aplikacji Microsoft Entra.
    2. W obszarze Włącz rozwiązanie laps (Local Administrator Password Solution) wybierz pozycję Tak>zapisz (u góry strony).

    Aby uzyskać więcej informacji, przejdź do tematu Włączanie systemu Windows LAPS za pomocą usługi Microsoft Entra.

  3. W usłudze Intune utwórz zasady zabezpieczeń punktu końcowego:

    1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
    2. Wybierz pozycjęOchrona> konta zabezpieczeń> punktu końcowegoUtwórz zasady>systemu Windows 10 lub nowszego>Rozwiązanie haseł administratora lokalnego (Windows LAPS)>Utwórz.

    Aby uzyskać więcej informacji, przejdź do tematu Tworzenie zasad LAPS w usłudze Intune.

Punkty odniesienia zabezpieczeń

Punkty odniesienia zabezpieczeń umożliwiają zastosowanie zestawu konfiguracji, które są znane w celu zwiększenia bezpieczeństwa punktu końcowego systemu Windows. Aby uzyskać więcej informacji na temat punktów odniesienia zabezpieczeń, przejdź do pozycji Ustawienia punktu odniesienia zabezpieczeń rozwiązania MDM systemu Windows dla usługi Intune.

Linie bazowe można stosować przy użyciu sugerowanych ustawień i dostosowywać zgodnie z wymaganiami. Niektóre ustawienia w punktach odniesienia mogą powodować nieoczekiwane wyniki lub być niezgodne z aplikacjami i usługami uruchomionymi w punktach końcowych systemu Windows. W związku z tym punkty odniesienia powinny być testowane oddzielnie. Zastosuj punkt odniesienia tylko do selektywnej grupy testowych punktów końcowych bez żadnych innych profilów konfiguracji lub ustawień.

Znane problemy dotyczące punktów odniesienia zabezpieczeń

Następujące ustawienia w punkcie odniesienia zabezpieczeń systemu Windows mogą powodować problemy z rozwiązaniem Windows Autopilot lub próbą zainstalowania aplikacji jako użytkownik standardowy:

  • Opcje zabezpieczeń zasad lokalnych\Zachowanie monitu o podniesienie uprawnień przez administratora (domyślne = Monituj o zgodę na bezpiecznym pulpicie)
  • Zachowanie monitu o podniesienie uprawnień użytkownika w warstwie Standardowa (wartość domyślna = Automatyczne odrzucanie żądań podniesienia uprawnień)

Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z konfliktami zasad z rozwiązaniem Windows Autopilot.

Windows Update dla firm

Usługa Windows Update dla firm to technologia w chmurze umożliwiająca kontrolowanie sposobu i czasu instalowania aktualizacji na urządzeniach. W usłudze Intune usługę Windows Update dla firm można skonfigurować przy użyciu:

Aby uzyskać więcej informacji, zobacz:

Jeśli chcesz uzyskać bardziej szczegółową kontrolę nad aktualizacjami systemu Windows i używasz programu Configuration Manager, rozważ współzarządzanie.

Faza 4 — stosowanie dostosowań i przeglądanie konfiguracji lokalnej

Faza 4.

W tej fazie zastosujesz ustawienia, aplikacje specyficzne dla organizacji i przejrzysz konfigurację lokalną. Faza ułatwia tworzenie dostosowań specyficznych dla organizacji. Zwróć uwagę na różne składniki systemu Windows, sposób przeglądania istniejących konfiguracji z lokalnego środowiska zasad grupy usługi AD i stosowania ich do punktów końcowych natywnych dla chmury. Istnieją sekcje dla każdego z następujących obszarów:

Microsoft Edge

Wdrażanie w przeglądarce Microsoft Edge

Przeglądarka Microsoft Edge jest dostępna na urządzeniach z systemem:

  • System Windows 11
  • Windows 10 20H2 lub nowszy
  • System Windows 10 1803 lub nowszy z zbiorczą miesięczną aktualizacją zabezpieczeń z maja 2021 r. lub nowszą aktualizacją zabezpieczeń

Po zalogowaniu się użytkowników przeglądarka Microsoft Edge zostanie zaktualizowana automatycznie. Aby wyzwolić aktualizację przeglądarki Microsoft Edge podczas wdrażania, można uruchomić następujące polecenie:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Aby wdrożyć przeglądarkę Microsoft Edge w poprzednich wersjach systemu Windows, przejdź do pozycji Dodawanie przeglądarki Microsoft Edge dla systemu Windows do usługi Microsoft Intune.

Konfiguracja przeglądarki Microsoft Edge

Dwa składniki środowiska przeglądarki Microsoft Edge, które mają zastosowanie podczas logowania użytkowników przy użyciu poświadczeń platformy Microsoft 365, można skonfigurować z poziomu Centrum administracyjnego platformy Microsoft 365.

  • Logo strony początkowej w przeglądarce Microsoft Edge można dostosować, konfigurując sekcję Twoja organizacja w centrum administracyjnym platformy Microsoft 365. Aby uzyskać więcej informacji, przejdź do tematu Dostosowywanie motywu platformy Microsoft 365 dla organizacji.

  • Domyślne nowe środowisko strony karty w przeglądarce Microsoft Edge obejmuje informacje o usłudze Office 365 i spersonalizowane wiadomości. Sposób wyświetlania tej strony można dostosować z poziomu centrum administracyjnego platformy Microsoft 365 na stronie Ustawienia>>ustawienia organizacjiAktualności>na nowej karcie przeglądarki Microsoft Edge.

Możesz również ustawić inne ustawienia przeglądarki Microsoft Edge przy użyciu profilów wykazu ustawień. Możesz na przykład skonfigurować określone ustawienia synchronizacji dla organizacji.

  • Microsoft Edge
    • Konfigurowanie listy typów wykluczonych z synchronizacji — hasła

Układ paska zadań i uruchamiania

Możesz dostosować i ustawić standardowy układ uruchamiania i paska zadań przy użyciu usługi Intune.

Katalog ustawień

Katalog ustawień to pojedyncza lokalizacja, w której są wyświetlane wszystkie konfigurowalne ustawienia systemu Windows. Ta funkcja upraszcza sposób tworzenia zasad i wyświetlanie wszystkich dostępnych ustawień. Aby uzyskać więcej informacji, zobacz Tworzenie zasad przy użyciu wykazu ustawień w usłudze Microsoft Intune.

Uwaga

Poniżej przedstawiono niektóre ustawienia dostępne w katalogu ustawień, które mogą być istotne dla Twojej organizacji:

  • Preferowana domena dzierżawy usługi Azure Active Directory To ustawienie umożliwia skonfigurowanie preferowanej nazwy domeny dzierżawy do nazwy użytkownika użytkownika. Preferowana domena dzierżawy umożliwia użytkownikom logowanie się do punktów końcowych usługi Microsoft Entra tylko przy użyciu nazwy użytkownika, a nie całej nazwy UPN, o ile nazwa domeny użytkownika jest zgodna z preferowaną domeną dzierżawy. W przypadku użytkowników, którzy mają różne nazwy domen, mogą wpisać całą nazwę UPN.

    Ustawienie można znaleźć w następujących elementach:

    • Uwierzytelnianie
      • Preferowana nazwa domeny dzierżawy usługi AAD — określ nazwę domeny, na przykład contoso.onmicrosoft.com.

  • W centrum uwagi Windows Domyślnie włączono kilka funkcji konsumenckich systemu Windows, co powoduje instalowanie wybranych aplikacji ze Sklepu i sugestie innych firm na ekranie blokady. Możesz to kontrolować, korzystając z sekcji Środowisko katalogu ustawień.

    • Możliwości
      • Zezwalaj na funkcje użytkownika systemu Windows — blokuj
      • Zezwalaj na sugestie innych firm w funkcji W centrum uwagi Windows (użytkownik) — blokuj

  • Microsoft Store Organizacje zazwyczaj chcą ograniczyć aplikacje, które można zainstalować w punktach końcowych. Użyj tego ustawienia, jeśli twoja organizacja chce kontrolować, które aplikacje mogą instalować ze Sklepu Microsoft. To ustawienie uniemożliwia użytkownikom instalowanie aplikacji, chyba że zostaną zatwierdzone.

  • Blokuj gry Organizacje mogą preferować, że firmowe punkty końcowe nie mogą być używane do grania w gry. Strona Gry w aplikacji Ustawienia może zostać całkowicie ukryta przy użyciu następującego ustawienia. Aby uzyskać dodatkowe informacje na temat widoczności strony ustawień, przejdź do dokumentacji dostawcy CSP i dokumentacji schematu identyfikatora URI ms-settings.

    • Ustawienia
      • Lista widoczności strony — hide:gaming-gamebar; gaming-gamedvr; nadawanie gier; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Widoczność ikony czatu sterowania na pasku zadań Widoczność ikony czatu na pasku zadań systemu Windows 11 można kontrolować przy użyciu dostawcy CSP zasad.

    • Możliwości
      • Konfigurowanie ikony czatu — wyłączone

  • Kontrolowanie dzierżaw, do których klient stacjonarny usługi Teams może się zalogować

    Gdy te zasady są skonfigurowane na urządzeniu, użytkownicy mogą logować się tylko przy użyciu kont znajdujących się w dzierżawie usługi Microsoft Entra, które są zawarte na liście dozwolonych dzierżaw zdefiniowanych w tych zasadach. "Lista dozwolonych dzierżaw" to rozdzielana przecinkami lista identyfikatorów dzierżawy usługi Microsoft Entra. Określając te zasady i definiując dzierżawę usługi Microsoft Entra, możesz również zablokować logowanie do aplikacji Teams do użytku osobistego. Aby uzyskać więcej informacji, przejdź do tematu Jak ograniczyć logowanie na urządzeniach stacjonarnych.

    • Szablony administracyjne \ Microsoft Teams
      • Ograniczanie logowania do aplikacji Teams do kont w określonych dzierżawach (użytkownik) — włączone

Ograniczenia dotyczące urządzeń

Szablony ograniczeń urządzeń z systemem Windows zawierają wiele ustawień wymaganych do zabezpieczenia punktu końcowego systemu Windows i zarządzania nim przy użyciu dostawców usług konfiguracji systemu Windows. Więcej z tych ustawień zostanie udostępnionych w katalogu ustawień w czasie. Aby uzyskać więcej informacji, przejdź do obszaru Ograniczenia urządzenia.

Aby utworzyć profil korzystający z szablonu Ograniczenia urządzenia, w centrum administracyjnym usługi Microsoft Intune przejdź do pozycji Urządzenia>Zarządzanie urządzeniami>Konfiguracja>Utwórz>nowe zasady> Wybierz system Windows 10 inowsze dla szablonów platformy >Ograniczenia urządzeń dla typu profilu.

  • Adres URL obrazu tła pulpitu (tylko pulpit) Użyj tego ustawienia, aby ustawić tapetę na jednostkach SKU systemu Windows Enterprise lub Windows Education. Hostujesz plik w trybie online lub odwołujesz się do pliku, który został skopiowany lokalnie. Aby skonfigurować to ustawienie, na karcie Ustawienia konfiguracji w profilu Ograniczenia urządzenia rozwiń węzeł Personalizacja i skonfiguruj adres URL obrazu tła pulpitu (tylko komputery stacjonarne).

  • Wymaganie od użytkowników nawiązywania połączenia z siecią podczas konfigurowania urządzenia To ustawienie zmniejsza ryzyko, że urządzenie może pominąć rozwiązanie Windows Autopilot, jeśli komputer zostanie zresetowany. To ustawienie wymaga, aby urządzenia miały połączenie sieciowe w fazie out of box experience. Aby skonfigurować to ustawienie, na karcie Ustawienia konfiguracji w profilu Ograniczenia urządzenia rozwiń węzeł Ogólne i skonfiguruj pozycję Wymagaj od użytkowników nawiązywania połączenia z siecią podczas konfigurowania urządzenia.

    Uwaga

    Ustawienie staje się skuteczne przy następnym wyczyszczoniu lub zresetowaniu urządzenia.

Optymalizacja dostarczania

Optymalizacja dostarczania służy do zmniejszania zużycia przepustowości przez udostępnianie pracy związanej z pobieraniem obsługiwanych pakietów między wieloma punktami końcowymi. Optymalizacja dostarczania to samoorganizująca się rozproszona pamięć podręczna, która umożliwia klientom pobieranie tych pakietów z alternatywnych źródeł, takich jak elementy równorzędne w sieci. Te źródła równorzędne uzupełniają tradycyjne serwery internetowe. Informacje o wszystkich ustawieniach dostępnych dla optymalizacji dostarczania i o tym, jakie typy pobierania są obsługiwane, można znaleźć w temacie Optymalizacja dostarczania dla aktualizacji systemu Windows.

Aby zastosować ustawienia optymalizacji dostarczania, utwórz profil optymalizacji dostarczania usługi Intune lub profil katalogu ustawień.

Niektóre ustawienia, które są często używane przez organizacje, to:

  • Ogranicz wybór elementu równorzędnego — podsieć. To ustawienie ogranicza buforowanie równorzędne do komputerów w tej samej podsieci.
  • Identyfikator grupy. Klientów optymalizacji dostarczania można skonfigurować do udostępniania zawartości tylko urządzeniom w tej samej grupie. Identyfikatory grup można skonfigurować bezpośrednio, wysyłając identyfikator GUID za pośrednictwem zasad lub używając opcji DHCP w zakresach DHCP.

Klienci korzystający z programu Microsoft Configuration Manager mogą wdrażać serwery połączonej pamięci podręcznej, które mogą służyć do hostowania zawartości optymalizacji dostarczania. Aby uzyskać więcej informacji, przejdź do witryny Microsoft Connected Cache w programie Configuration Manager.

Administratorzy lokalni

Jeśli istnieje tylko jedna grupa użytkowników, która wymaga dostępu administratora lokalnego do wszystkich urządzeń z systemem Windows przyłączonych do usługi Microsoft Entra, możesz dodać je do administratora lokalnego urządzeń przyłączonych do usługi Microsoft Entra.

Może być wymagane, aby pomoc techniczna IT lub inny personel pomocy technicznej miał uprawnienia administratora lokalnego w wybranej grupie urządzeń. W systemie Windows 2004 lub nowszym możesz spełnić to wymaganie, korzystając z następujących dostawców usług konfiguracji.

  • Najlepiej używać dostawcy CSP dla użytkowników lokalnych i grup, który wymaga systemu Windows 10 20H2 lub nowszego.
  • Jeśli masz system Windows 10 20H1 (2004) użyj dostawcy CSP z ograniczeniami (bez akcji aktualizacji, tylko zastąp).
  • Wersje systemu Windows sprzed systemu Windows 10 20H1 (2004) nie mogą używać grup, tylko kont indywidualnych.

Aby uzyskać więcej informacji, zobacz How to manage the local administrators group on Microsoft Entra joined devices (Jak zarządzać lokalną grupą administratorów na urządzeniach przyłączonych do usługi Microsoft Entra)

Migracja ustawień zasad grupy do zarządzania urządzeniami przenośnymi

Istnieje kilka opcji tworzenia konfiguracji urządzenia podczas rozważania migracji z zasad grupy do zarządzania urządzeniami natywnymi dla chmury:

  • Rozpocznij od nowa i zastosuj ustawienia niestandardowe zgodnie z wymaganiami.
  • Przejrzyj istniejące zasady grupy i zastosuj wymagane ustawienia. Możesz użyć narzędzi do pomocy, takich jak analiza zasad grupy.
  • Użyj analizy zasad grupy, aby tworzyć profile konfiguracji urządzeń bezpośrednio dla obsługiwanych ustawień.

Przejście do natywnego dla chmury punktu końcowego systemu Windows stanowi okazję do przejrzenia wymagań obliczeniowych użytkowników końcowych i ustanowienia nowej konfiguracji na przyszłość. Tam, gdzie to możliwe, zacznij od nowa od minimalnego zestawu zasad. Unikaj przenoszenia niepotrzebnych lub starszych ustawień ze środowiska przyłączanego do domeny lub starszych systemów operacyjnych, takich jak Windows 7 lub Windows XP.

Aby rozpocząć od nowa, przejrzyj bieżące wymagania i zaimplementuj minimalną kolekcję ustawień, aby spełnić te wymagania. Wymagania mogą obejmować ustawienia i ustawienia zabezpieczeń regulacyjne lub obowiązkowe, aby ulepszyć środowisko użytkownika końcowego. Firma tworzy listę wymagań, a nie IT. Każde ustawienie powinno być udokumentowane, zrozumiałe i powinno służyć celowi.

Migrowanie ustawień z istniejących zasad grupy do usługi MDM (Microsoft Intune) nie jest preferowanym podejściem. Po przejściu do systemu Windows natywnego dla chmury nie powinno być celem podnoszenia i przenoszenia istniejących ustawień zasad grupy. Zamiast tego należy wziąć pod uwagę docelowych odbiorców i ustawienia, których potrzebują. Przeglądanie poszczególnych ustawień zasad grupy w środowisku w celu określenia jego istotności i zgodności z nowoczesnym urządzeniem zarządzanym jest czasochłonne i prawdopodobnie niepraktyczne. Unikaj prób oceny wszystkich zasad grupy i poszczególnych ustawień. Zamiast tego skoncentruj się na ocenie tych typowych zasad, które obejmują większość urządzeń i scenariuszy.

Zamiast tego zidentyfikuj ustawienia zasad grupy, które są obowiązkowe, i przejrzyj te ustawienia pod kątem dostępnych ustawień zarządzania urządzeniami przenośnymi. Wszelkie luki reprezentują blokery, które mogą uniemożliwić kontynuowanie pracy z urządzeniem natywnym dla chmury, jeśli nie zostanie rozwiązane. Narzędzia takie jak analiza zasad grupy mogą służyć do analizowania ustawień zasad grupy i określania, czy można je migrować do zasad zarządzania urządzeniami przenośnymi.

Skrypty

Skryptów programu PowerShell można używać dla dowolnych ustawień lub dostosowań, które należy skonfigurować poza wbudowanymi profilami konfiguracji. Aby uzyskać więcej informacji, przejdź do tematu Dodawanie skryptów programu PowerShell do urządzeń z systemem Windows w usłudze Microsoft Intune.

Mapowanie dysków sieciowych i drukarek

Scenariusze natywne dla chmury nie mają wbudowanego rozwiązania dla zamapowanych dysków sieciowych. Zamiast tego zalecamy migrowanie użytkowników do usług Teams, SharePoint i OneDrive dla Firm. Jeśli migracja nie jest możliwa, w razie potrzeby rozważ użycie skryptów.

W przypadku magazynu osobistego w kroku 8 — konfigurowanie ustawień dla optymalnego środowiska platformy Microsoft 365 skonfigurowaliśmy przenoszenie znanego folderu usługi OneDrive. Aby uzyskać więcej informacji, przejdź do pozycji Przekierowanie znanych folderów.

W przypadku magazynu dokumentów użytkownicy mogą również korzystać z integracji programu SharePoint z Eksploratorem plików oraz możliwości lokalnej synchronizacji bibliotek, o których mowa tutaj: Synchronizowanie plików programu SharePoint i aplikacji Teams z komputerem.

Jeśli używasz firmowych szablonów dokumentów pakietu Office, które zazwyczaj znajdują się na serwerach wewnętrznych, rozważ nowszy odpowiednik oparty na chmurze, który umożliwia użytkownikom dostęp do szablonów z dowolnego miejsca.

W przypadku rozwiązań do drukowania rozważ użycie usługi Universal Print. Aby uzyskać więcej informacji, zobacz:

Aplikacje

Usługa Intune obsługuje wdrażanie wielu różnych typów aplikacji systemu Windows.

Jeśli masz aplikacje korzystające z instalatorów msi, exe lub skryptów, możesz wdrożyć wszystkie te aplikacje przy użyciu zarządzania aplikacjami Win32 w usłudze Microsoft Intune. Zawijanie tych instalatorów w formacie Win32 zapewnia większą elastyczność i korzyści, w tym powiadomienia, optymalizację dostarczania, zależności, reguły wykrywania i obsługę strony stanu rejestracji w rozwiązaniu Windows Autopilot.

Uwaga

Aby zapobiec konfliktom podczas instalacji, zalecamy, aby trzymać się wyłącznie funkcji aplikacji biznesowych systemu Windows lub aplikacji Win32. Jeśli masz aplikacje spakowane jako .msi lub .exe, można je przekonwertować na aplikacje Win32 (.intunewin) przy użyciu narzędzia Microsoft Win32 Content Prep Tool, które jest dostępne w usłudze GitHub.

Faza 5 — wdrażanie na dużą skalę za pomocą rozwiązania Windows Autopilot

Faza 5.

Teraz, po skonfigurowaniu punktu końcowego systemu Windows natywnego dla chmury i aprowizowaniu go przy użyciu rozwiązania Windows Autopilot, rozważ sposób importowania większej liczby urządzeń. Rozważ również, jak możesz współpracować z partnerem lub dostawcą sprzętu, aby rozpocząć aprowizowanie nowych punktów końcowych z chmury. Przejrzyj następujące zasoby, aby określić najlepsze podejście dla organizacji.

Jeśli z jakiegoś powodu rozwiązanie Windows Autopilot nie jest dla Ciebie właściwą opcją, istnieją inne metody rejestracji dla systemu Windows. Aby uzyskać więcej informacji, przejdź do tematu Metody rejestracji w usłudze Intune dla urządzeń z systemem Windows.

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

  1. Omówienie: Co to są punkty końcowe natywne dla chmury?
  2. 🡺 Samouczek: wprowadzenie do punktów końcowych systemu Windows natywnych dla chmury (jesteś tutaj)
  3. Koncepcja: Dołączono do aplikacji Microsoft Entra, a dołączono do hybrydowej aplikacji Microsoft Entra
  4. Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
  5. Przewodnik planowania wysokiego poziomu
  6. Znane problemy i ważne informacje

Przydatne zasoby online