引导式方案 - 云托管新式桌面

新式桌面是信息工作者的先进生产力平台。 Microsoft 365 应用版和Windows 10是新式桌面的核心组件,以及用于Windows 10和Microsoft Defender for Endpoint的最新安全基线。

从云管理新式桌面带来了 Internet 范围的远程操作的额外优势。 云管理利用内置的 Windows Mobile 设备管理策略,并删除本地 Active Directory 组策略的依赖项。

如果要在自己的组织中评估云托管的新式桌面,此引导式方案预定义了基本部署所需的所有配置。 在此引导方案中,你将创建一个安全的环境,可在其中试用Intune设备管理功能。

先决条件

  • 将 MDM 颁发机构设置为 Intune - 移动设备管理 (MDM) 机构设置确定如何管理设备。 作为 IT 管理员,必须先设置 MDM 机构,然后用户才能注册设备来进行管理。
  • Microsoft Intune许可证 (,例如Microsoft 365 商业高级版、Microsoft 365 E3或Microsoft 365 E5) 。 有关许可的详细信息,请参阅Microsoft Intune许可
  • Windows 10 1903 设备 (注册到 Windows Autopilot,以获得最佳最终用户体验)
  • Intune完成此引导方案所需的管理员权限:
    • 设备配置读取、创建、删除、分配和更新
    • 注册程序读取设备、读取配置文件、创建配置文件、分配配置文件、删除配置文件
    • 移动应用读取、创建、删除、分配和更新
    • 组织读取和更新
    • 安全基线读取、创建、删除、分配和更新
    • 策略集读取、创建、删除、分配和更新

步骤 1 - 简介

使用此引导式方案,你将设置测试用户、在Intune中注册设备、使用Intune推荐的设置部署设备,以及Windows 10和Microsoft 365 应用版。 如果选择在 Intune 中启用此保护,设备也将配置为Microsoft Defender for Endpoint。 你设置的用户和注册的设备将添加到新的安全组,并将使用建议的安全和工作效率设置进行配置。

需要继续的内容

必须在此引导方案中提供测试设备和测试用户。 请确保完成以下任务:

步骤 2 - 用户

选择要在设备上设置的用户。 此人将是设备的主要用户。

如果要向此配置添加更多用户或设备,请将用户和设备添加到向导生成的Microsoft Entra安全组。 与其他引导式方案不同,无需多次运行向导,因为配置不可自定义。 只需将更多用户和设备添加到创建的Microsoft Entra组即可。 完成向导后,你将能够查看使用部署的建议策略生成的组。

步骤 3 - 设备

确保设备运行的是Windows 10版本 1903 或更高版本。 主用户在收到设备时需要设置设备。 有两个设置选项可供用户使用。

选项 A - Windows Autopilot

Windows Autopilot 自动配置新设备,以便用户可以在无需 IT 帮助的情况下进行开箱即用设置。 如果你的设备已注册到 Windows Autopilot,请按其序列号选择它。 有关使用 Windows Autopilot 的详细信息,请参阅 将设备注册到 Windows 自动试点 (可选)

选项 B - 手动设备注册

用户将在移动设备管理中手动设置和注册其新设备。 完成此方案后,重置设备,并为主要用户提供 Windows 设备的注册说明。 有关详细信息,请参阅在首次运行体验期间将Windows 10设备加入到Microsoft Entra ID

步骤 4 - 查看 + 创建

最后一步允许查看配置的设置的摘要。 查看选择后,单击“ 部署 ”以完成引导式方案。 引导方案完成后,会显示一个资源表。 稍后可以编辑这些资源,但一旦离开摘要视图,将不会保存该表。

重要

引导方案完成后,会显示摘要。 稍后可以修改摘要中列出的资源,但不会保存显示这些资源的表。

验证

  1. 验证所选是否分配有 MDM 用户范围
    • 确保 MDM 用户范围 为:
      • 对于Microsoft Intune应用,设置为“全部”,或者
      • 设置为 “某些”。 此外,添加此引导方案创建的用户组。
  2. 验证所选用户是否能够将设备加入到Microsoft Entra ID。
    • 确保Microsoft Entra联接为:
      • 设置为 “全部 ”或
      • 设置为 “某些”。 此外,添加此引导方案创建的用户组。
  3. 按照设备上的相应步骤,根据以下内容将其加入Microsoft Entra ID:

单击“部署”时会发生什么情况?

用户和设备将添加到新的安全组。 它们还将配置Intune建议的设置,以提高工作或学校的安全性和工作效率。 用户加入设备以Microsoft Entra ID后,将向设备添加其他应用和设置。 若要详细了解这些附加配置,请参阅快速入门:注册Windows 10设备

其他信息

将设备注册到 Windows Autopilot (可选)

可以选择使用已注册的 Autopilot 设备。 对于 Autopilot,此引导式方案将分配 Autopilot 部署配置文件和注册状态页配置文件。 Autopilot 部署配置文件的配置如下:

  • 用户驱动模式 – 即要求最终用户在 Windows 设置期间输入用户名和密码。
  • Microsoft Entra加入。
  • 自定义 Windows 设置:
    • 隐藏“Microsoft软件许可条款”屏幕
    • 隐藏隐私设置
    • 在没有本地管理员权限的情况下创建用户的本地配置文件
    • 隐藏公司登录页上的“更改帐户”选项

注册状态页将配置为仅为 Autopilot 设备启用,并且不会阻止等待所有应用安装。

引导式方案还会将用户分配到所选的 Autopilot 设备,以获取个性化的设置体验。

后必备组件

用户加入设备以Microsoft Entra ID后,以下配置将应用于设备:

  1. Microsoft 365 应用版将自动安装在云管理的电脑上。 其中包含你所熟悉的应用程序,包括 Access、Excel、OneNote、Outlook、PowerPoint、发布服务器、Skype for Business 和 Word。 可使用这些应用程序与 SharePoint Online、Exchange Online 和 Skype for Business Online 等 Microsoft 365 服务连接。 Microsoft 365 应用版定期更新新功能,这与非订阅版本的 Office 不同。 有关新功能的列表,请参阅 Microsoft 365 中的新增功能。
  2. Windows 安全基线将安装在云托管的电脑上。 如果已设置Microsoft Defender for Endpoint,引导方案还将配置 Defender 的基线设置。 Defender for Endpoint 为Windows 10安全堆栈提供新的违规后保护层。 结合内置于 Windows 10 的客户端技术和强大的云服务,它将有助于检测已超过其他防御措施的威胁。

后续步骤