引导式方案 - 云配置中的 Windows 10/11

云配置中的 Windows 10/11 是 Microsoft 推荐的设备配置。 可以将任何 Windows 10/11 专业版、企业版和教育版设备转换为云优化设备。

云配置非常适合用于：

• FLW) (一线员工
• 远程工作人员
• 具有重点工作流需求（例如工作效率和浏览）的用户

云配置使这些设备易于使用，并通过 Microsoft 推荐的安全功能来保护这些设备。

可通过两种方式部署云配置：

• 选项 1 - 自动 (本文) ：使用本文中所述的引导式方案使用其配置的值自动创建所有组和策略。
• 选项 2 - 手动：使用分步设置指南自行部署云配置，包括手动创建所有策略。 有关此选项的信息，请转到 Windows 客户端云配置设置指南。

通过云配置中的 Windows 10/11：

• 你可以配置新设备，或重复使用现有硬件。
• 最终用户可获得易于使用且熟悉的 Windows 体验。
• 管理员可以在不同设备间获得统一的设备配置，从而简化管理和故障排除。
• 你可以自定义资源的名称，使其易于查看和监视。

提示

有关云配置中的 Windows 10/11 的更全面指南，请转到 云配置中的 Windows 10/11。

此引导式方案的作用

使用 Microsoft Intune，可以使用引导方案部署云配置。 引导方案会自动创建所需的所有资源，包括：

• 创建新的Microsoft Entra 安全组，或使用现有的 Microsoft Entra 安全组。

• 部署 Microsoft Edge 和 Microsoft Teams 应用。 有关单独部署这些应用的信息，请转到：

  • 添加适用于 Windows 10/11 的 Microsoft Edge
  • 将 Microsoft 365 应用添加到 Windows 10/11 设备

• 使用已配置的建议安全设置创建 Windows 10/11 安全基线策略。

  有关安全基线及其用途的信息，请转到 使用安全基线配置 Windows 客户端设备。

• 创建 Windows Autopilot 注册配置文件，自动在 Microsoft Intune 中注册设备。

  有关创建自己的 Windows Autopilot 配置文件的信息，请转到 配置 Autopilot 配置文件。

• 打开并配置 Windows Autopilot 注册状态页 (ESP) 。 该页面将向用户显示注册进度。

  有关 ESP 的信息，请转到 设置注册状态页。

• 创建一个管理模板，该模板用于为 OneDrive 配置“已知文件夹移动”设置。 借助这些设置，用户文件和数据将自动保存在 OneDrive 中。

  有关此设置的信息，请转到 重定向并移动 Windows 已知文件夹。

• 创建一个管理模板，该模板用于配置 Microsoft Edge 应用中的一些 SmartScreen 设置。 有关创建自己的配置文件的信息，请转到 配置Microsoft Edge 策略设置。

• 创建一个监视合规性和运行状况的合规性策略。 该策略允许用户使用不合规的设备并访问资源。 如果组织阻止访问不符合要求的设备，请创建另一个阻止访问的符合性策略，并将其分配给同一组。

  有关可以自行配置的符合性设置的信息，请转到 Windows 客户端设置，将设备标记为合规或不合规。

• 部署一个 Windows PowerShell 脚本，以删除内置应用和简化“开始”菜单。

  有关 Intune 中的 PowerShell 脚本的信息，请转到 在 Windows 客户端设备上使用 PowerShell 脚本。

• 创建 Windows 客户端更新环策略。 此策略自动更新设备，包括产品更新、驱动程序和 Windows 更新。

  有关更新通道和创建策略的信息，请转到 Windows 客户端设备的更新通道。

提示

此引导式方案自动为你创建以上所有资源。 如果要创建自己的单个资源，而不使用引导方案，则可以。 有关步骤，请转到 云配置概述和设置指南。

先决条件

• 确认许可证。 创建引导式方案的帐户至少必须具有以下许可证：

  • Microsoft Entra ID P1
  • Microsoft Intune
  • Microsoft Teams
  • OneDrive
  • Windows 10 专业版
  • Windows 11 Pro

  Microsoft 365 E3 许可证包含以上所有服务。 有关更多安全选项和功能，请使用 Microsoft 365 E5 许可证。 若要帮助确定哪个许可证适合你的组织，请转到 使用 Microsoft 365 实现企业转型。

• 将 MDM 机构设置为 Intune。 移动设备管理 (MDM) 机构设置确定设备的管理方式。 作为 IT 管理员，必须先设置 MDM 机构，然后用户才能注册设备来进行管理。

• 为 Windows 客户端设备启用自动注册。 有关信息，请转到：

  • 快速入门：为 Windows 客户端设备设置自动注册
  • 启用 Windows 10/11 自动注册

• 以 Intune 服务管理员Microsoft Entra 角色（也称为 Intune 管理员）身份登录。 有关影响 Intune 的角色的信息，请转到：

  • Intune 管理员 - Microsoft Entra 内置角色
  • Microsoft Intune 中的基于角色的访问控制 (RBAC)。

步骤 1 - 简介

打开引导方案：

1. 打开 Microsoft Intune 管理中心。
2. 选择故障排除 + 支持>指导方案>在云配置中部署 Windows 10 和更高版本>开始。
3. 在 “简介”中，选择“ 下一步”。

步骤 2 - 基础知识

选择设备注册时的命名方式，并选择创建的所有资源的前缀。

• Autopilot 设备名称模板：云配置引导式方案在 Windows Autopilot 中注册设备。 注册时，可以选择使用适用于所有设备的唯一模式为设备命名。 选项包括：

  • 应用设备名称模板：如果选择“否”，则在为设备命名时不会创建模板或模式。 设备将采用 OEM 名称，例如 DESKTOP-，后跟一些随机字符。 如果选择“是”，则会创建一个独特的模式来为设备命名。 例如，输入 Contoso-%RAND:7% 会将所有设备都命名为 Contoso-，后跟七个随机字符。

    名称：

    • 不得超过 15 个字符。
    • 可以包含字母（a-z、A-Z）、数字 (0-9) 和连字符。
    • 不能全为数字，也不能包含空格。
    • 可以使用 %SERIAL% 宏添加特定于硬件的序列号。
    • 可以使用 %RAND:x% 宏随机添加一串字符，其中 x 等于要添加的字符数。

• 资源名称前缀：部署引导方案时，会自动创建多个资源。 为了区分此部署中使用的项目，请添加一个前缀：

  • 输入资源前缀名称：输入一些文本，这些文本将出现在所创建项目的开头。 例如，输入 Windows cloud config。 创建的所有资源的名称类似于 Windows 云配置 Autopilot 配置文件或 Windows 云配置符合性策略。

• 要创建的资源：为此引导式方案创建的资源选择默认文件格式。 选项包括：

  • Office Open Document： (ODF) 以 Office Open Document 格式创建资源。
  • Office Open XML：以 Office Open XML 格式创建资源，这通常是建议的格式。

  设置外观如下图所示：

  

• 选择 下一步。

步骤 3 - 应用

选择要部署到设备的应用。 Microsoft建议尽可能少地部署应用。 其思路是使云配置设备保持简单且易于管理。

• 云配置默认值：此引导式方案自动包含 Microsoft Edge 和 Microsoft Teams 应用。 创建引导式方案时，不能删除这些应用。 可以在引导式方案完成后删除或卸载这些应用。

  若要删除 Microsoft Edge 应用，请转到 卸载应用。

• 选择其他 M365 应用 (可选) ：从列表中，在设备上添加所需的其他Microsoft 365 应用。 请记住，该列表越短越好，并且仅包含用户需要的应用。 其目的是让设备保持简单。

  提示

  若要添加未列出的应用，或添加业务线应用，请完成此引导式方案。 然后，在 Intune 管理中心，转到 “应用”，并创建策略。 将应用策略部署到部署此云配置引导式方案的同一个组。 有关添加应用的信息，请转到 将应用添加到 Intune Microsoft。

• 选择 下一步。

步骤 4 - 分配

选择应接收此引导方案的组及其创建的所有资源。

• 新建组：创建一个新组，并将引导式方案策略部署到该组。 当设备添加到此组时，它们会收到此引导方案。

  • 组名：输入组名。 例如，输入 Cloud configured devices。

• 选择现有组：选择现有组。 引导式方案策略将部署到此组。

• 选择 下一步。

步骤 5 - 查看 + 部署

系统会显示设置和你配置的值的摘要。 你可以返回到其他选项卡，更改添加的任何值。

查看以下属性：

• 要进行的配置：展开此选项可查看将要创建的所有资源，包括策略。

• 部署：选择此选项可保存所做更改，并部署引导式方案。 你添加的组将接收此引导式方案中的策略。

  在 Intune 管理中心创建资源时，将显示状态，如下图所示：

  

如果出现错误，则不会部署引导式方案，并且所有更改都将还原。 云配置概述和设置指南也是不错的资源。

成功部署后，可以使用 Intune 管理中心中的监视和报告功能：

• Intune 报告
• 监视设备配置文件
• 监视安全基线和配置文件

必备知识

• 可以在向组中添加设备之前完成引导式方案。 将设备添加到组并具有 Internet 访问权限后，它们会自动开始接收此引导方案中的策略。

  还可以执行以下操作：

  • 将预先注册的 Windows Autopilot 设备添加到组中。 请在注册或应用任何策略之前将其添加到组中。
  • 添加已注册的现有 Windows 客户端设备。 Microsoft 建议删除以这些设备为目标的其他应用和配置文件。 将它们添加到组中后，重置设备，以便仅通过应用云配置即可重新启动它们。

  有关策略刷新时间的信息，请转到 Microsoft Intune 中设备策略的常见问题和解答。

• Microsoft 建议仅分配云配置设置和应用。 部署此引导式方案后，你可以添加任何其他必需的资源，例如证书、VPN 配置文件、业务线应用等。 确保将这些策略与此引导式方案部署到同一个组。 请记住，该列表越短越好，并且仅包含用户需要的资源。

• 由于共享设备的 OneDrive 同步问题，Microsoft不建议在云配置中使用 Windows 10/11 与共享设备。 共享设备通常有多个用户登录和注销。

• 部署引导式方案后，可以转到策略，并查看设置及其配置值。 你可以根据需要将这些设置中的任何一个更改为其他值。

• 若要从设备中删除引导式方案设置，请转到由云配置引导式方案创建的每个策略。 将这些设置配置为“未配置”。 再次将每个策略与此引导式方案部署到同一组。

  设备下次签入时，此设置不再处于锁定状态。 然后，另一个策略或可能结束可以更改设置。 此设置的值可能与引导式方案设置的值相同。

  现在，你可以删除此引导式方案创建的各个项目，包括应用、策略、Windows PowerShell 脚本和组。

相关内容

• 引导式方案概述
• Windows 客户端云配置分步设置指南