通过

注册后调整设置

  • 项目

在 Microsoft 托管桌面中完成注册之后,可能需要调整一些管理设置。 若要根据需要进行检查和调整,请执行以下步骤:

  1. 查看下一部分所述的Microsoft Intune和Microsoft Entra设置。
  2. 如果有任何项适用于你的环境,请按照描述进行调整。

注意

随着操作在接下来的几个月内继续进行,如果在注册 Microsoft Intune、Microsoft Entra ID 或 Microsoft 365 中的策略(影响Microsoft托管桌面)之后进行更改,则Microsoft托管桌面可能会停止正常运行。 若要避免服务出现问题,请在更改此处列出的策略之前,检查修复就绪情况评估工具发现的问题中所述的特定设置。

Microsoft Intune 设置

Setting 说明
Autopilot 部署配置文件 如果使用任何 Autopilot 策略,请更新每个策略以排除新式工作区设备 -所有Microsoft Entra组。

更新 Autopilot 策略:

“分配”下的“排除的组”中,选择在Microsoft托管桌面注册期间创建的“新式工作区设备 - 所有Microsoft Entra”组。

Microsoft 托管桌面还将创建一个 Autopilot 配置文件,其名称中将包含“现代工作场所”(现代工作场所 Autopilot 配置文件)。 更新自己的 Autopilot 配置文件时,请确保不要从 Microsoft 托管桌面创建的现代工作区 Autopilot 配置文件中排除新式工作区设备 - 所有Microsoft Entra组。
条件访问策略 如果在Microsoft托管桌面注册后为终结点创建与Microsoft Entra ID、Microsoft Intune或Microsoft Defender XDR相关的任何新条件访问策略,请从这些策略中排除新式工作区服务帐户Microsoft Entra组。 有关详细信息,请参阅条件访问:用户和组。 Microsoft 托管桌面维护单独的条件访问策略,以仅限这些帐户访问。

查看 Microsoft 托管桌面条件访问策略(现代工作场所 - 安全工作站):

转到Microsoft Intune管理中心,并导航到“终结点安全性”中的“条件访问”。 请勿修改Microsoft托管桌面创建的任何Microsoft Entra条件访问策略,这些策略的名称中具有“新式工作区”。
多重身份验证 如果在Microsoft托管桌面注册后在与终结点Microsoft Entra ID、Intune或Microsoft Defender XDR相关的条件访问策略中创建任何新的多重身份验证要求,请排除新式工作区服务帐户Microsoft Entra组从他们。 有关详细信息,请参阅条件访问:用户和组。 Microsoft 托管桌面维护单独的条件访问策略,以仅限此组成员访问。

查看 Microsoft 托管桌面条件访问策略(现代工作场所 -):

转到Microsoft Intune管理中心,并导航到“终结点安全性”中的“条件访问”。
Windows 10 更新通道 对于已创建的任何Windows 10更新通道策略,请从每个策略中排除新式工作区设备 - 所有Microsoft Entra组。 有关详细信息,请参阅创建并分配更新通道

Microsoft 托管桌面还会创建一些更新通道策略,这些策略的名称中都包含“现代工作场所”。 例如:
  • 现代工作场所更新策略 [Broad]
  • 现代工作场所更新策略 [Fast]
  • 现代工作场所更新策略 [First]
  • 现代工作场所更新策略 [Test]

更新自己的策略时,请确保不会从Microsoft托管桌面创建的组中排除新式工作区设备 - 所有Microsoft Entra组。

Microsoft Entra设置

自助密码重置:如果对所有用户使用自助密码重置,请调整分配以排除 Microsoft 托管桌面服务帐户。

调整此分配:

  1. 为除Microsoft托管桌面服务帐户以外的所有用户创建Microsoft Entra动态组
  2. 使用该组进行分配,而不是“所有用户”。

为了帮助你查找和排除服务帐户,下面提供了一个可供使用的动态查询示例:

(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")

在此查询中,将 @TENANT 替换为你的租户域名。