引导式方案 - 云托管新式桌面

新式桌面是信息工作者的先进生产力平台。 Microsoft 365 应用版和 Windows 10 是新式桌面的核心组件,以及 Windows 10 和 Microsoft Defender for Endpoint 的最新安全基线。

从云管理新式桌面带来了 Internet 范围的远程操作的额外优势。 云管理利用内置的 Windows 移动设备管理策略,并删除本地 Active Directory 组策略上的依赖项。

如果要在自己的组织中评估云托管的新式桌面,此引导式方案预定义了基本部署所需的所有配置。 在此引导方案中,你将创建一个安全的环境,可在其中试用 Intune 设备管理功能。

先决条件

  • 将 MDM 机构设置为 Intune - 移动设备管理 (MDM) 颁发机构设置确定管理设备的方式。 作为 IT 管理员,必须先设置 MDM 机构,然后用户才能注册设备来进行管理。
  • Microsoft Intune 许可证 (,例如 Microsoft 365 商业高级版、Microsoft 365 E3 或 Microsoft 365 E5) 。 有关许可的详细信息,请参阅 Microsoft Intune 许可
  • windows 10 1903 设备 (注册到 Windows Autopilot,以获得最佳最终用户体验)
  • 完成此引导方案所需的 Intune 管理员权限:
    • 设备配置读取、创建、删除、分配和更新
    • 注册程序读取设备、读取配置文件、创建配置文件、分配配置文件、删除配置文件
    • 移动应用读取、创建、删除、分配和更新
    • 组织读取和更新
    • 安全基线读取、创建、删除、分配和更新
    • 策略集读取、创建、删除、分配和更新

步骤 1 - 简介

使用此引导式方案,你将设置测试用户,在 Intune 中注册设备,并使用 Intune 推荐的设置以及 Windows 10 和 Microsoft 365 应用部署设备。 如果选择 在 Intune 中启用此保护,设备也将配置为 Microsoft Defender for Endpoint。 你设置的用户和注册的设备将添加到新的安全组,并将使用建议的安全和工作效率设置进行配置。

需要继续的内容

必须在此引导方案中提供测试设备和测试用户。 请确保完成以下任务:

步骤 2 - 用户

选择要在设备上设置的用户。 此人将是设备的主要用户。

如果要向此配置添加更多用户或设备,请将用户和设备添加到向导生成的 Microsoft Entra 安全组。 与其他引导式方案不同,无需多次运行向导,因为配置不可自定义。 只需将更多用户和设备添加到创建的Microsoft Entra 组即可。 完成向导后,你将能够查看使用部署的建议策略生成的组。

步骤 3 - 设备

确保设备运行的是 Windows 10 版本 1903 或更高版本。 主用户在收到设备时需要设置设备。 有两个设置选项可供用户使用。

选项 A - Windows Autopilot

Windows Autopilot 自动配置新设备,以便用户可以在无需 IT 帮助的情况下进行开箱即用设置。 如果你的设备已注册到 Windows Autopilot,请按其序列号选择它。 有关使用 Windows Autopilot 的详细信息,请参阅 将设备注册到 Windows 自动试点 (可选)

选项 B - 手动设备注册

用户将在移动设备管理中手动设置和注册其新设备。 完成此方案后,重置设备,并为主要用户提供 Windows 设备的注册说明。 有关详细信息,请参阅 在首次运行体验期间加入 Windows 10 设备以Microsoft Entra ID

步骤 4 - 查看 + 创建

最后一步允许查看配置的设置的摘要。 查看选择后,单击“ 部署 ”以完成引导式方案。 引导方案完成后,会显示一个资源表。 稍后可以编辑这些资源,但一旦离开摘要视图,将不会保存该表。

重要

引导方案完成后,会显示摘要。 稍后可以修改摘要中列出的资源,但不会保存显示这些资源的表。

验证

  1. 验证所选是否分配有 MDM 用户范围
    • 确保 MDM 用户范围 为:
      • Microsoft Intune 应用设置为“全部”,或者
      • 设置为 “某些”。 此外,添加此引导方案创建的用户组。
  2. 验证所选用户是否能够将设备加入到Microsoft Entra ID。
    • 确保 entra 联接Microsoft为:
      • 设置为 “全部 ”或
      • 设置为 “某些”。 此外,添加此引导方案创建的用户组。
  3. 按照设备上的相应步骤,根据以下内容将其加入到Microsoft Entra ID:

单击“部署”时会发生什么情况?

用户和设备将添加到新的安全组。 它们还将配置 Intune 建议的设置,以提高工作或学校的安全性和工作效率。 用户加入设备以Microsoft Entra ID 后,将向设备添加其他应用和设置。 若要详细了解这些附加配置,请参阅 快速入门:注册 Windows 10 设备

其他信息

将设备注册到 Windows Autopilot (可选)

可以选择使用已注册的 Autopilot 设备。 对于 Autopilot,此引导式方案将分配 Autopilot 部署配置文件和注册状态页配置文件。 Autopilot 部署配置文件的配置如下:

  • 用户驱动模式 – 即要求最终用户在 Windows 设置期间输入用户名和密码。
  • Microsoft Entra 联接。
  • 自定义 Windows 设置:
    • 隐藏“Microsoft软件许可条款”屏幕
    • 隐藏隐私设置
    • 在没有本地管理员权限的情况下创建用户的本地配置文件
    • 隐藏公司登录页上的“更改帐户”选项

注册状态页将配置为仅为 Autopilot 设备启用,并且不会阻止等待所有应用安装。

引导式方案还会将用户分配到所选的 Autopilot 设备,以获取个性化的设置体验。

后必备组件

用户加入设备以Microsoft Entra ID 后,以下配置将应用于设备:

  1. Microsoft 365 应用将自动安装在云托管的电脑上。 其中包含你所熟悉的应用程序,包括 Access、Excel、OneNote、Outlook、PowerPoint、发布服务器、Skype for Business 和 Word。 可使用这些应用程序与 SharePoint Online、Exchange Online 和 Skype for Business Online 等 Microsoft 365 服务连接。 Microsoft 365 应用会定期更新新功能,这与非订阅版本的 Office 不同。 有关新功能的列表,请参阅 Microsoft 365 中的新增功能。
  2. Windows 安全基线将安装在云托管的电脑上。 如果已设置 Microsoft Defender for Endpoint,引导式方案还将配置 Defender 的基线设置。 Defender for Endpoint 为 Windows 10 安全堆栈提供了新的违规后保护层。 将内置于 Windows 10 中的客户端技术和强大的云服务相结合,有助于检测已超过其他防御措施的威胁。

后续步骤