共用方式為

註冊之後調整設定

  • 發行項

在 Microsoft 受管理電腦中完成註冊之後,可能需要調整某些管理設定。 若要檢查並調整 (如果需要的話),請遵循下列步驟:

  1. 檢閱下一節所述的 Microsoft Intune 和 Microsoft Entra 設定。
  2. 如果有任何項目適用于您的環境,請如所述進行調整。

注意事項

當您的作業在之後幾個月繼續進行時,如果您在註冊 Microsoft Intune、Microsoft Entra ID 或Microsoft 365 中影響受控桌面的原則之後進行變更,Microsoft Microsoft受控桌面可能會停止正常運作。 若要避免服務發生問題,請在變更列出的政策之前,請先檢查 修復評定工具所發現問題 中所述的特定設定。

Microsoft Intune 設定

設定 描述
Autopilot 部署設定檔 如果您使用任何 Autopilot 原則,請更新每個原則,以排除 Modern Workplace Devices -All Microsoft Entra 群組。

若要更新 Autopilot 原則:

在 [指派] 下方的 [排除的群組] 中,選取 [新式工作場所裝置 - 所有 Microsoft Entra 群組],該群組是在Microsoft受控桌面註冊期間建立的。

Microsoft 受管理電腦也會建立 Autopilot 設定檔,其名稱中將會有「新式工作場所」(新式工作場所 Autopilot 設定檔)。 當您更新自己的 Autopilot 配置檔時,請確定您不會從 Microsoft 受控桌面建立的 Modern Workplace Autopilot 配置檔中排除 Modern Workplace Devices -All Microsoft Entra 群組。
條件式存取原則 如果您在Microsoft受控桌面註冊之後,針對端點建立任何與 Microsoft Entra ID、Microsoft Intune 或 Microsoft Defender 全面偵測回應 相關的新條件式存取原則,請從群組中排除 Modern Workplace Service Accounts Microsoft Entra 群組他們。 如需詳細資訊,請參閱 條件式存取:使用者和群組。 Microsoft 受管理電腦會維護個別的條件式存取原則,以限制這些帳戶的存取。

若要檢查 Microsoft 受管理電腦條件式存取原則 (新式工作場所 – 安全工作站):

移至 Microsoft Intune 系統管理中心,然後流覽至 [端點安全性] 中的條件式存取。 請勿修改Microsoft受控桌面所建立且名稱為 「Modern Workplace」 的任何 Microsoft Entra 條件式存取原則。
多重要素驗證 如果您在Microsoft受控桌面註冊之後,於與端點 Microsoft Entra ID、Intune 或 Microsoft Defender 全面偵測回應 相關的條件式存取原則中建立任何新的多重要素驗證需求,請排除新式工作場所服務帳戶Microsoft Entra 群組。 如需詳細資訊,請參閱 條件式存取:使用者和群組。 Microsoft 受管理電腦會維護個別的條件式存取原則,以限制存取此群組的成員。

若要檢查 Microsoft 受管理電腦條件式存取原則 (新式工作場所 –):

移至 Microsoft Intune 系統管理中心,然後流覽至 [端點安全性] 中的條件式存取
Windows 10 更新更新更新環 針對您已建立的任何 Windows 10 更新通道原則,請從每個原則中排除 Modern Workplace Devices -All Microsoft Entra 群組。 如需詳細資訊,請參閱 建立並指派更新環

Microsoft 受管理電腦也會建立一些更新環原則,而所有更新的命名中都會有「新式工作場所」。 例如:
  • 新式工作場所更新原則 [廣泛]
  • 新式工作場所更新原則 [快速]
  • 新式工作場所更新原則 [第一個]
  • 新式工作場所更新原則 [測試]

當您更新自己的原則時,請確定您不會將Modern Workplace Devices -All Microsoft Entra 群組從Microsoft受控桌面建立的群組中排除。

Microsoft Entra 設定

自助式密碼重設:如果您使用所有使用者的自助式密碼重設,請調整指派以排除 Microsoft 受管理電腦服務帳戶。

若要調整此指派:

  1. 為受控桌面服務帳戶以外的所有使用者建立 Microsoft Microsoft Entra 動態群組
  2. 使用該群組進行指派,而不是「所有使用者」。

為了協助您尋找及排除服務帳戶,以下是您可以使用的動態查詢範例:

(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")

在此查詢中,請將 @TENANT 取代為您的租使用者網域名稱。