部署指南:管理运行 Windows 10/11 的设备
本指南介绍如何使用Microsoft Intune保护和管理 Windows 应用和终结点,并包括从先决条件到注册的设置建议和资源。
对于本指南中的每个部分,请查看关联的任务。 某些任务是必需的,有些任务(例如设置Microsoft Entra条件访问)是可选的。 选择每个部分中提供的链接,转到有关 Microsoft Learn 的推荐帮助文档,可在其中找到更多详细信息和操作说明。
步骤 1:先决条件
完成以下先决条件以启用租户的终结点管理功能:
有关Microsoft Intune角色和权限的信息,请参阅 RBAC with Microsoft Intune。 Microsoft Entra全局管理员和Intune管理员角色在Microsoft Intune内拥有完全权限。 这些角色具有很高的特权,并且具有比Microsoft Intune中的许多设备管理任务所需的更多访问权限。 建议使用可用于完成任务的最小特权内置角色。
有关如何准备组织、加入或采用移动设备管理Intune的详细信息和建议,请参阅迁移指南:设置或移动到Microsoft Intune。
步骤 2:规划部署
使用 Microsoft Intune 规划指南定义设备管理目标、用例方案和要求。 使用指南规划推出、通信、支持、测试和验证。 例如,在某些情况下,当员工和学生注册其设备时,你不必在场。 我们建议制定通信计划,以便用户知道在何处查找有关安装和使用Intune 公司门户的信息。
有关详细信息,请参阅Microsoft Intune规划指南。
步骤 3:创建合规性策略
使用合规性策略来确保访问数据的设备是安全的,并且符合组织的标准。 注册过程的最后一个阶段是合规性评估,它验证设备上的设置是否符合策略。 设备用户必须解决所有符合性问题才能访问受保护的资源。 Intune将不符合合规性要求的设备标记为不符合要求,并采取其他操作 (,例如向用户发送通知、限制访问或根据针对非合规性配置的操作擦除设备) 。
可以将Microsoft Entra条件访问策略与设备符合性策略结合使用,以控制对 Windows 电脑、公司电子邮件和Microsoft 365 服务的访问。 例如,可以创建一个策略,阻止员工访问 Edge 中的Microsoft Teams,而无需先注册或保护其设备。
提示
有关设备符合性策略的概述,请参阅 合规性概述。
| 任务 | 详情 |
|---|---|
| 创建合规性策略 | 获得创建符合性策略并将其分配给用户和设备组的分步指南。 |
| 添加针对非合规性的操作 | 选择当设备不再满足符合性策略条件时应执行的操作。 操作示例包括发送警报、远程锁定设备或停用设备。 可在配置设备符合性策略时添加针对不符合性的操作,也可稍后通过编辑策略来添加操作。 |
| 创建基于设备或基于应用的条件访问策略 | 选择要保护的应用或服务,并定义访问条件。 |
| 阻止访问不使用新式验证的应用 | 创建基于应用的条件访问策略,以阻止使用 OAuth2 以外的身份验证方法的应用;例如,使用基本身份验证和基于表单的身份验证的应用。 但是,在阻止访问之前,请登录Microsoft Entra ID并查看身份验证方法活动报告,以查看用户是否正在使用基本身份验证来访问你忘记或不知道的基本内容。 例如,会议室日历网亭之类的内容使用基本身份验证。 |
| 添加自定义符合性设置 | 使用自定义合规性设置,可以编写自己的 Bash 脚本,以解决Microsoft Intune中内置的设备符合性选项中尚未包含的符合性方案。 本文介绍如何为 Windows 设备创建、监视自定义符合性策略并对其进行故障排除。 自定义符合性设置要求创建标识设置和值对的 自定义脚本 。 |
步骤 4:配置终结点安全性
使用Intune终结点安全功能配置设备安全性并管理有风险的设备的安全任务。
| 任务 | 详情 |
|---|---|
| 使用终结点安全功能管理设备 | 使用 Intune 中的终结点安全设置有效管理设备安全性,并修正设备存在的问题。 |
| 添加 Endpoint Protection 设置 | 配置常见的终结点保护安全功能,例如防火墙、BitLocker 和 Microsoft Defender。 有关此类设置的说明,请参阅终结点保护设置参考。 |
| 在 Intune 中配置 Microsoft Defender for Endpoint | 将 Intune 与 Microsoft Defender for Endpoint 集成后,不仅有助于防止安全漏洞,还可以利用Microsoft Defender (TVM) 的终结点威胁 & 漏洞管理,并使用Intune来修正 TVM 识别的终结点弱点。 |
| 管理 BitLocker 策略 | 通过创建在托管设备上配置 BitLocker 的策略,确保在注册时对设备进行加密。 |
| 管理安全基线配置文件 | 使用 Intune 中的安全基线来帮助保护用户和设备的安全。 安全基线包括影响安全性的设置的最佳做法和建议。 |
| 将 Windows 更新 for Business 用于软件更新 | 使用 Windows 更新 for Business 配置Windows 更新推出策略。 本文介绍可用于管理 Windows 10/11 软件更新的策略类型,以及如何从更新通道延迟转换到功能更新策略。 |
步骤 5:配置设备设置
使用Microsoft Intune在设备上启用或禁用 Windows 设置和功能。 若要配置和实施这些设置,请创建一个设备配置文件,然后将该配置文件分配给组织中的组。 设备注册后即会收到此配置文件。
| 任务 | 详情 |
|---|---|
| 创建设备配置文件 | 在 Microsoft Intune 中创建设备配置文件,并查找有关所有设备配置文件类型的资源。 还可以使用 设置目录 从头开始创建策略。 |
| 配置组策略设置 | 使用Windows 10模板在 Microsoft Intune 中配置组策略设置。 管理模板包括数百个可针对 Internet Explorer、Microsoft Edge、OneDrive、远程桌面、Word、Excel 和其他 Office 程序配置的设置。 这些模板为管理员提供了类似于组策略的简化设置视图,并且它们是完全基于云的。 |
| 配置 Wi-Fi 配置文件 | 用户可使用此配置文件找到并连接到组织的 Wi-Fi 网络。 有关此区域中的设置的说明,请参阅 Windows 10 及更高版本的 Wi-Fi 设置参考。 |
| 配置 VPN 配置文件 | 配置安全的 VPN 选项(如 Microsoft Tunnel),以便于用户连接到组织的网络。 有关此类设置的说明,请参阅 VPN 设置参考。 |
| 配置电子邮件配置文件 | 配置电子邮件设置,以便用户可以连接到邮件服务器并可以访问其工作或学校电子邮件。 有关此类设置的说明,请参阅电子邮件设置参考。 |
| 限制设备功能 | 通过限制用户可以在工作场所或学校使用的设备功能,阻止用户执行未经授权的访问并避免他们受到干扰。 有关此区域中的设置的说明,请参阅 Windows 10/11 和 Windows 10 Teams 的设备限制参考。 |
| 配置自定义配置文件 | 添加并分配 Intune 不包含的设备设置和功能。 有关此区域中设置的说明,请参阅 自定义设置参考。 |
| 配置 BIOS 设置 | 设置Intune,以便可以使用设备固件配置接口 (DFCI) 控制已注册设备上的 UEFI (BIOS) 设置 |
| 配置域加入 | 如果计划注册Microsoft Entra已加入的设备,请务必创建域加入配置文件,以便Intune知道要加入哪个本地域。 |
| 配置传递优化设置 | 使用这些设置可减少下载应用和更新的设备上的带宽消耗。 |
| 自定义品牌打造和注册体验 | 使用组织自己的语言、品牌、屏幕偏好设置和联系人信息,自定义 Intune 公司门户和 Microsoft Intune 应用体验。 |
| 配置展台和专用设备 | 创建展台配置文件以管理在展台模式下运行的设备。 |
| 自定义共享设备 | 控制共享或多用户设备上的访问、帐户和电源功能。 |
| 配置网络边界 | 创建网络边界配置文件来保护你的环境免受不信任的站点的防护。 |
| 配置 Windows 运行状况监视 | 创建 Windows 运行状况监视配置文件,以允许Microsoft收集有关性能的数据,并提供改进建议。 创建配置文件可启用 Microsoft Intune 中的终结点分析功能,该功能可分析收集的数据、推荐软件、帮助提高启动性能并修复常见的支持问题。 |
| 为学生配置“参加考试”应用 | 为在已注册的设备上参加考试或考试的学生配置“参加考试”应用。 |
| 配置 eSim 手机网络配置文件 | 可以为支持 ESIM 的设备(例如 Surface LTE Pro)配置 eSIM,以便通过手机网络数据连接连接到 Internet。 此配置非常适合全球旅行者在旅行时需要保持连接和灵活性,并且无需使用 SIM 卡卡。 |
步骤 6:设置安全身份验证方法
在 Intune 中设置身份验证方法,以确保只有经过授权的人员才能访问内部资源。 Intune 支持多重身份验证、证书和派生凭据。 证书还可用于使用 S/MIME 对电子邮件进行签名和加密。
| 任务 | 详情 |
|---|---|
| 需要多重身份验证 (MFA) | 要求用户在设备注册时提供两种形式的凭据。 此策略与Microsoft Entra条件访问策略结合使用。 |
| 创建受信任的证书配置文件 | 必须先创建和部署受信任的证书配置文件,才能创建 SCEP、PKCS 或 PKCS 导入的证书配置文件。 受信任的证书配置文件使用 SCEP、PKCS 和 PKCS 导入的证书,将受信任的根证书部署到设备和用户。 |
| 将 SCEP 证书用于 Intune | 了解将 SCEP 证书用于 Intune 的必要条件,并配置所需的基础结构。 然后,可以 创建 SCEP 证书配置文件 或使用 SCEP 设置第三方证书颁发机构。 |
| 将 PKCS 证书用于 Intune | 配置本地证书连接器等所需基础结构,导出 PKCS 证书,然后将证书添加到 Intune 设备配置配置文件。 |
| 将导入的 PKCS 证书用于 Intune | 设置导入的 PKCS 证书,然后就能够设置和使用 S/MIME 对电子邮件进行加密。 |
| 设置派生凭据颁发者 | 使用派生自用户智能卡的证书预配 Windows 设备。 |
| 将 Windows Hello 企业版与 Microsoft Intune 集成 | 创建Windows Hello 企业版策略以在设备注册期间启用或禁用Windows Hello 企业版。 Hello for Business 是一种替代登录方法,它使用 Active Directory 或 Microsoft Entra 帐户来替换密码、智能卡或虚拟智能卡。 |
步骤 7:部署应用
设置应用和应用策略时,请考虑组织的要求,例如你将支持的平台、用户执行的任务、用户完成这些任务所需的应用类型以及需要这些应用的用户。 可以使用 Intune 来管理整个设备(包括应用),也可以只使用 Intune 管理应用。
| 任务 | 详情 |
|---|---|
| 添加业务线应用 | 将 macOS 业务线 (LOB) 应用添加到Intune并分配给组。 |
| 添加 Microsoft Edge | 为 Windows 添加和分配 Microsoft Edge。 |
| 从 Microsoft Store 添加Intune 公司门户应用 | 手动添加Intune 公司门户应用并将其分配为所需应用。 |
| 为 Autopilot 添加 Intune 公司门户 应用 | 将 公司门户 应用添加到由 Windows Autopilot 预配的设备。 |
| 添加Microsoft 365 个应用 | 添加Microsoft 365 企业应用版。 |
| 将应用分配给组 | 将应用添加到 Intune 后,将其分配给用户和设备。 |
| 包括和排除应用分配 | 通过在分配中包括和排除选定的组,来控制对应用的访问及其可用性。 |
| 使用 PowerShell 脚本 | 上传 PowerShell 脚本,以在 Intune 中扩展 Windows 设备管理功能,并更轻松地迁移到新式管理。 |
步骤 8:注册设备
在注册期间,设备注册到 Microsoft Entra ID并评估符合性。 有关每种注册方法以及如何选择适合你的组织的注册方法的信息,请参阅适用于Microsoft Intune的 Windows 设备注册指南。
| 任务 | 详情 |
|---|---|
| 启用 MDM 自动注册 | 通过启用自动注册来简化注册,自动注册Microsoft Entra ID加入或注册Intune设备。 自动注册简化了 Windows Autopilot 部署、BYOD 注册、使用组策略注册以及通过预配包进行批量注册。 |
| 启用 MDM 服务器的自动发现 | 如果没有Microsoft Entra ID P1 或 P2,我们建议为Intune注册服务器创建 CNAME 记录类型。 CNAME 记录将注册请求重定向到正确的服务器,以便注册用户无需手动键入服务器名称。 |
| Windows Autopilot 方案 | 通过设置在 Windows Autopilot 期间自动发生的Microsoft Intune设备注册,简化你和用户的用户驱动或自部署 OOBE。 |
| 使用 Windows Autopilot 注册Microsoft Entra混合加入的设备 | Active Directory 的Intune连接器使Active Directory 域服务中的设备能够加入到Microsoft Entra ID,然后自动注册Intune。 对于使用Active Directory 域服务且当前无法将其标识移动到Microsoft Entra ID的本地环境,建议使用此注册选项。 |
| 使用 组策略 注册设备 | 使用组策略触发自动注册到 Intune。 |
| 批量注册设备 | 在 Windows 配置Designer创建预配包,以便将大量新 Windows 设备联接到Microsoft Entra ID并将其注册到 Intune。 |
| 设置 ESP) (注册状态页 | 使用自定义设置创建注册状态页配置文件,以指导用户完成设备设置和注册。 |
| 更改设备所有权标签 | 注册设备后,可以在 Intune 中将其所有权标签更改为“公司拥有”或“个人拥有”。 此调整可更改设备管理方式,并且可以在Intune中启用更多管理和标识功能,或对其进行限制。 |
| 为 Intune Active Directory 连接器配置代理 | 配置适用于 Active Directory 的 Intune 连接器,以使用现有的出站代理服务器。 |
| 注册问题疑难解答 | 排查注册过程中出现的问题并找到解决方法。 |
步骤 9:运行远程操作
设置设备后,可以使用支持的远程操作从远处管理和排查设备问题。 以下文章介绍了适用于 Windows 的远程操作。 如果在门户中缺少或禁用了某个操作,则 Windows 不支持该操作。
| 任务 | 详情 |
|---|---|
| 对设备执行远程操作 | 了解如何在 Intune 中向下钻取和远程管理及排查各个设备。 本文列出了 Intune 提供的所有远程操作,以及这些过程的链接。 |
| 使用 TeamViewer 远程管理 Intune 设备 | 在 Intune 中配置 TeamViewer,了解如何远程管理设备。 |
| 使用安全任务查看威胁和漏洞 | 使用Intune修正Microsoft Defender for Endpoint标识的终结点弱点。 必须先将 Microsoft Defender for Endpoint 与 Intune 集成,然后才能处理安全任务。 |
步骤 10:帮助员工和学生
本部分中的资源位于Microsoft Intune用户帮助文档中。 本文档适用于注册个人或公司提供设备的员工、学生和其他Intune许可设备用户。 文档链接在整个 Intune 公司门户 应用中可用,并指向有关以下内容的信息:
- 注册方法,以及有关如何注册的演练
- 公司门户设置和功能
- 如何取消注册和删除存储的数据
- 更新符合性要求的设备设置
- 如何报告应用问题
提示
使组织的操作系统要求和设备密码要求易于在网站或载入电子邮件中找到,以便员工不必延迟注册即可查找该信息。
| 任务 | 详情 |
|---|---|
| 安装适用于 Windows 的 Intune 公司门户 应用 | 了解从何处获取公司门户应用以及如何登录。 |
| 更新公司门户应用 | 本文介绍如何安装最新版本的 公司门户以及如何打开自动应用更新。 |
| 注册设备 | 本文介绍如何注册运行Windows 10或Windows 11的个人设备。 |
| 注销设备 | 本文介绍如何从Intune取消注册设备,并删除存储的缓存和公司门户日志。 |
后续步骤
有关Microsoft Intune管理中心及其导航方式的概述,请参阅教程:演练Microsoft Intune管理中心。 这些教程属于初级-中级内容,适用于刚开始接触 Intune 或特定方案的人员。
有关本指南的其他版本,请参阅: