引导式方案 - 云托管新式桌面
新式桌面是信息工作者的先进生产力平台。 Microsoft 365 应用版和Windows 10是新式桌面的核心组件,以及用于Windows 10和Microsoft Defender for Endpoint的最新安全基线。
从云管理新式桌面带来了 Internet 范围的远程操作的额外优势。 云管理利用内置的 Windows Mobile 设备管理策略,并删除本地 Active Directory 组策略的依赖项。
如果要在自己的组织中评估云托管的新式桌面,此引导式方案预定义了基本部署所需的所有配置。 在此引导方案中,你将创建一个安全的环境,可在其中试用Intune设备管理功能。
先决条件
- 将 MDM 颁发机构设置为 Intune - 移动设备管理 (MDM) 机构设置确定如何管理设备。 作为 IT 管理员,必须先设置 MDM 机构,然后用户才能注册设备来进行管理。
- Microsoft Intune许可证 (,例如Microsoft 365 商业高级版、Microsoft 365 E3或Microsoft 365 E5) 。 有关许可的详细信息,请参阅Microsoft Intune许可。
- Windows 10 1903 设备 (注册到 Windows Autopilot,以获得最佳最终用户体验)
- Intune完成此引导方案所需的管理员权限:
- 设备配置读取、创建、删除、分配和更新
- 注册程序读取设备、读取配置文件、创建配置文件、分配配置文件、删除配置文件
- 移动应用读取、创建、删除、分配和更新
- 组织读取和更新
- 安全基线读取、创建、删除、分配和更新
- 策略集读取、创建、删除、分配和更新
步骤 1 - 简介
使用此引导式方案,你将设置测试用户、在Intune中注册设备、使用Intune推荐的设置部署设备,以及Windows 10和Microsoft 365 应用版。 如果选择在 Intune 中启用此保护,设备也将配置为Microsoft Defender for Endpoint。 你设置的用户和注册的设备将添加到新的安全组,并将使用建议的安全和工作效率设置进行配置。
需要继续的内容
必须在此引导方案中提供测试设备和测试用户。 请确保完成以下任务:
- 在 Microsoft Entra ID 中设置测试用户帐户。
- 创建运行Windows 10版本 1903 或更高版本的测试设备。
- (可选) 将测试设备注册到 Windows Autopilot。
- (可选) 在组织的Microsoft Entra登录页启用品牌打造。
步骤 2 - 用户
选择要在设备上设置的用户。 此人将是设备的主要用户。
如果要向此配置添加更多用户或设备,请将用户和设备添加到向导生成的Microsoft Entra安全组。 与其他引导式方案不同,无需多次运行向导,因为配置不可自定义。 只需将更多用户和设备添加到创建的Microsoft Entra组即可。 完成向导后,你将能够查看使用部署的建议策略生成的组。
步骤 3 - 设备
确保设备运行的是Windows 10版本 1903 或更高版本。 主用户在收到设备时需要设置设备。 有两个设置选项可供用户使用。
选项 A - Windows Autopilot
Windows Autopilot 自动配置新设备,以便用户可以在无需 IT 帮助的情况下进行开箱即用设置。 如果你的设备已注册到 Windows Autopilot,请按其序列号选择它。 有关使用 Windows Autopilot 的详细信息,请参阅 将设备注册到 Windows 自动试点 (可选) 。
选项 B - 手动设备注册
用户将在移动设备管理中手动设置和注册其新设备。 完成此方案后,重置设备,并为主要用户提供 Windows 设备的注册说明。 有关详细信息,请参阅在首次运行体验期间将Windows 10设备加入到Microsoft Entra ID。
步骤 4 - 查看 + 创建
最后一步允许查看配置的设置的摘要。 查看选择后,单击“ 部署 ”以完成引导式方案。 引导方案完成后,会显示一个资源表。 稍后可以编辑这些资源,但一旦离开摘要视图,将不会保存该表。
重要
引导方案完成后,会显示摘要。 稍后可以修改摘要中列出的资源,但不会保存显示这些资源的表。
验证
- 验证所选是否分配有 MDM 用户范围
- 确保 MDM 用户范围 为:
- 对于Microsoft Intune应用,设置为“全部”,或者
- 设置为 “某些”。 此外,添加此引导方案创建的用户组。
- 确保 MDM 用户范围 为:
- 验证所选用户是否能够将设备加入到Microsoft Entra ID。
- 确保Microsoft Entra联接为:
- 设置为 “全部 ”或
- 设置为 “某些”。 此外,添加此引导方案创建的用户组。
- 确保Microsoft Entra联接为:
- 按照设备上的相应步骤,根据以下内容将其加入Microsoft Entra ID:
- 使用 Autopilot。 有关详细信息,请参阅 Windows Autopilot 用户驱动模式。
- 不使用 Autopilot:有关详细信息,请参阅在首次运行体验期间加入Windows 10设备以Microsoft Entra ID。
单击“部署”时会发生什么情况?
用户和设备将添加到新的安全组。 它们还将配置Intune建议的设置,以提高工作或学校的安全性和工作效率。 用户加入设备以Microsoft Entra ID后,将向设备添加其他应用和设置。 若要详细了解这些附加配置,请参阅快速入门:注册Windows 10设备。
其他信息
将设备注册到 Windows Autopilot (可选)
可以选择使用已注册的 Autopilot 设备。 对于 Autopilot,此引导式方案将分配 Autopilot 部署配置文件和注册状态页配置文件。 Autopilot 部署配置文件的配置如下:
- 用户驱动模式 – 即要求最终用户在 Windows 设置期间输入用户名和密码。
- Microsoft Entra加入。
- 自定义 Windows 设置:
- 隐藏“Microsoft软件许可条款”屏幕
- 隐藏隐私设置
- 在没有本地管理员权限的情况下创建用户的本地配置文件
- 隐藏公司登录页上的“更改帐户”选项
注册状态页将配置为仅为 Autopilot 设备启用,并且不会阻止等待所有应用安装。
引导式方案还会将用户分配到所选的 Autopilot 设备,以获取个性化的设置体验。
后必备组件
用户加入设备以Microsoft Entra ID后,以下配置将应用于设备:
- Microsoft 365 应用版将自动安装在云管理的电脑上。 其中包含你所熟悉的应用程序,包括 Access、Excel、OneNote、Outlook、PowerPoint、发布服务器、Skype for Business 和 Word。 可使用这些应用程序与 SharePoint Online、Exchange Online 和 Skype for Business Online 等 Microsoft 365 服务连接。 Microsoft 365 应用版定期更新新功能,这与非订阅版本的 Office 不同。 有关新功能的列表,请参阅 Microsoft 365 中的新增功能。
- Windows 安全基线将安装在云托管的电脑上。 如果已设置Microsoft Defender for Endpoint,引导方案还将配置 Defender 的基线设置。 Defender for Endpoint 为Windows 10安全堆栈提供新的违规后保护层。 结合内置于 Windows 10 的客户端技术和强大的云服务,它将有助于检测已超过其他防御措施的威胁。
后续步骤
- 如果使用 Microsoft Defender 高级威胁检测,请创建Intune符合性策略,要求 Defender 威胁分析符合性。
- 创建基于设备的条件访问策略,以在设备不符合Intune合规性时阻止访问。