修正由整備評估工具發現的問題
針對每個檢查,工具會報告四個可能的結果之一:
| 結果 | 意義 |
|---|---|
| 就緒 | 完成註冊之前不需要執行任何動作。 |
| 公告 | 請遵循工具或本文中的步驟,以獲得最佳註冊和使用者體驗。 您 可以 完成註冊,但必須先修正這些問題,才能部署您的第一個裝置。 |
| 未就緒 |
如果您未修正這些問題,註冊將會失敗。 請遵循工具或本文中所述的步驟以解決問題。 |
| 錯誤 | 您使用的 Microsoft Entra 角色沒有足夠的許可權可執行此檢查,或您的租使用者未正確授權 Microsoft Intune。 |
注意事項
此工具報告的結果只會反映您執行設定時的狀態。 如果您稍後對 Microsoft Intune、Microsoft Entra ID 或Microsoft 365 中的原則進行變更,則「就緒」的專案可能會變成「尚未就緒」。若要避免Microsoft受控桌面作業發生問題,請先檢查本文中所述的特定設定,再新增或變更任何原則。
Microsoft Intune 設定
存取 Microsoft Intune 系統管理中心的 Intune 設定。
Autopilot 部署設定檔
您不應該有任何現有的 Autopilot 配置檔,其中包含受控桌面裝置Microsoft或目標指派或動態群組。 Microsoft 受管理電腦使用 Autopilot 來設定新裝置。 如果您有現有的 Autopilot 部署設定檔,必須 將所有目標裝置轉換為 Autopilot 設定設為 否,這樣 Microsoft 受管理的電腦 Autopilot 準備測試才能成功。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您的 Autopilot 設定檔已指派給所有裝置。 如需詳細資訊,請參閱 使用 Windows Autopilot 在 Intune 中註冊 Windows 裝置。 Microsoft受控桌面註冊之後,設定您的 Autopilot 原則以排除 Modern Workplace Devices - All Microsoft Entra 群組。 |
| 公告 | 請確定您的 Autopilot 配置檔是以指派或動態 Microsoft Entra 群組為目標,該群組不包含Microsoft受控桌面裝置。 如需詳細資訊,請參閱 使用 Windows Autopilot 在 Intune 中註冊 Windows 裝置。 Microsoft受控桌面註冊之後,請將 Autopilot 配置檔設定為排除 Modern Workplace Devices - All Microsoft Entra 群組。 |
憑證連接器
如果您想要在 Microsoft 受管理的電腦中註冊的裝置會使用任何憑證連接器,則連接器應該沒有任何錯誤。 只有下列其中一個建議適用於您的情況。 請仔細檢查建議。
| 結果 | 意義 |
|---|---|
| 公告 | 沒有憑證連接器。 您可能不需要任何連接器,但您應該評估是否需要一些連接器,以在 Microsoft 受管理的電腦裝置上進行網路連線。 如需詳細資訊,請參閱 為 Microsoft 受管理的電腦準備認證和網路設定檔。 |
| 公告 | 至少有一個憑證連接器發生錯誤。 如果您需要此連接器才能提供憑證給 Microsoft 受管理的電腦裝置,則您必須解決錯誤。 如需詳細資訊,請參閱 為 Microsoft 受管理的電腦準備認證和網路設定檔。 |
| 公告 | 您至少有一個憑證連接器,而且未報告任何錯誤。 不過,在準備部署時,您可能需要建立設定檔,以重複使用 Microsoft 受管理的電腦裝置上的連接器。 如需詳細資訊,請參閱 為 Microsoft 受管理的電腦準備認證和網路設定檔。 |
公司入口網站
Microsoft 受管理電腦要求 IT 系統管理員使用 Microsoft 受管理電腦裝置,為使用者安裝 Intune 公司入口網站。
| 結果 | 意義 |
|---|---|
| 公告 | 您的租用戶中沒有可用的 公司入口網站 應用程式。 Microsoft受控桌面會在註冊服務時將其新增至您的租使用者,或者您可以使用 Microsoft Store 整合從 Intune 取得 公司入口網站。 |
條件式存取原則
條件式存取原則無法防止Microsoft受控桌面在 Intune 和 Microsoft Entra ID 中管理 Microsoft Entra 組織 (租使用者) 。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您至少有一個以所有用戶為目標的條件式存取原則。 在註冊期間,我們將嘗試從相關的條件式存取原則中排除Microsoft受控桌面服務帳戶,並套用新的條件式存取原則來限制這些帳戶的存取。 不過,如果我們不成功,這可能會在您的註冊體驗期間造成錯誤。 最佳做法是建立以不包含受控桌面服務帳戶Microsoft特定 Microsoft Entra 群組為目標的指派。 註冊之後,您可以在 Microsoft Intune 系統管理中心檢閱Microsoft受控桌面條件式存取原則。 如需這些服務帳戶的更多資訊,請參閱 標準作業程序。 |
| 公告 | 您有條件式存取原則,可防止Microsoft受控桌面管理Microsoft受控桌面服務。 在註冊期間,我們將從相關的條件式存取原則中排除Microsoft受控桌面服務帳戶,並套用新的條件式存取原則來限制這些帳戶的存取。 如需這些服務帳戶的詳細資訊,請參閱 標準作業程序。 |
| 錯誤 | Intune 系統管理員角色沒有足夠的許可權進行這項檢查。 您也必須指定這些 Microsoft Entra 角色,才能執行這項檢查:
|
裝置合規性原則
Intune Microsoft Entra 組織中的裝置合規性原則可能會影響受控桌面裝置Microsoft。
| 結果 | 意義 |
|---|---|
| 公告 | 您至少有一個適用於所有使用者的合規性原則。 Microsoft 受管理的電腦也包含將適用于 Microsoft 受管理的電腦裝置之合規性原則。 請查閱貴組織建立的所有合規性原則,這些原則適用于 Microsoft 受管理的電腦裝置,以確保沒有衝突。 如需詳細資訊,請參閱 在 Microsoft Intune 中建立合規性原則。 |
裝置組態設定檔
Intune Microsoft Entra 組織中的裝置組態配置檔不能以任何Microsoft管理桌面裝置或用戶為目標。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您至少有一個群組原則檔適用于所有使用者、所有裝置或兩者皆是。 重設配置檔以套用至不包含任何Microsoft受控桌面裝置的特定 Microsoft Entra 群組。 如需詳細資訊,請參閱 在 Microsoft Intune 中建立具有自訂設定的設定檔。 |
| 公告 | 請確定您擁有的任何群組原則不包含任何 Microsoft 受管理的電腦裝置或使用者。 如需詳細資訊,請參閱 在 Microsoft Intune 中建立具有自訂設定的設定檔。 |
裝置類型限制
Microsoft 受管理的電腦必須允許裝置註冊Intune。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您目前至少已設定一個註冊限制原則,以防止 Windows 裝置在 Intune 中註冊。 請遵循針對 Microsoft 受管理的電腦使用者 設定每個註冊限制 原則中的步驟,將 Windows (MDM) 設定變更為 [允許]。 不過,您可以將任何 個人擁有的 Windows (MDM) 裝置設定為 [封鎖]。 |
註冊狀態頁面
您目前已啟用註冊狀態頁面 (ESP)。 如果您想要參與此功能的 Microsoft 受管理的電腦公開預覽,您可以忽略此項目。 如需詳細資訊,請參閱 使用 Autopilot 和 [註冊狀態] 頁面的初次執行體驗。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您的 ESP 預設設定檔已設定為 顯示應用程式與設定檔設定進度。 請依照設定註冊狀態頁面中的步驟,停用此設定,或確保指派給任何 Microsoft Entra 群組的作業不包含Microsoft受管理的桌面裝置。 |
| 公告 | 請確定任何具有 [顯示應用程式和配置檔組態進度] 設定的配置檔,都未指派給包含Microsoft受控桌面裝置的任何 Microsoft Entra 群組。 如需詳細資訊,請參閱 設定註冊狀態頁面。 |
多重要素驗證
多重要素驗證不應防止Microsoft受控桌面在 Intune 和 Microsoft Entra ID 中管理 Microsoft Entra 組織 (租使用者) 。
| 結果 | 意義 |
|---|---|
| 未就緒 | 針對指派給所有使用者的條件式存取原則,您必須設定一些多重要素驗證原則。 在註冊期間,我們將從相關的條件式存取原則中排除Microsoft受控桌面服務帳戶,並套用新的條件式存取原則來限制這些帳戶的存取。 如需這些服務帳戶的詳細資訊,請參閱 標準作業程序。 |
| 公告 | 條件式存取原則上需要多重要素驗證,以防止Microsoft受控桌面管理Microsoft受控桌面服務。 在註冊期間,我們將從相關的條件式存取原則中排除Microsoft受控桌面服務帳戶,並套用新的條件式存取原則來限制這些帳戶的存取。 如需這些服務帳戶的詳細資訊,請參閱 標準作業程序。 |
| 錯誤 | 執行整備評估的用戶沒有足夠的許可權進行這項檢查。 您必須指定下列 Microsoft Entra 角色,才能執行這項檢查:
|
PowerShell 指令碼
無法以以 Microsoft 受管理的電腦裝置為目標的方式指派 Windows PowerShell 指令碼。
| 結果 | 意義 |
|---|---|
| 公告 | 請確定 Microsoft Entra 組織中的 Windows PowerShell 腳本不會以任何Microsoft管理桌面裝置或用戶為目標。 請勿將 PowerShell 指令碼指派給所有使用者、所有裝置或兩者。 變更原則,以指派為目標的特定 Microsoft Entra 群組,其中不包含任何Microsoft受控桌面裝置或使用者。 如需詳細資訊,請參閱 在 Intune 的 Windows 10 裝置上使用 PowerShell 指令碼。 |
區域
Microsoft 受管理的電腦必須支援您的地區。
| 結果 | 意義 |
|---|---|
| 未就緒 | Microsoft受控桌面目前不支援您的 Microsoft Entra 組織區域。 如需詳細資訊,請參閱 Microsoft 受管理的電腦支援的地區和語言。 |
| 公告 | Microsoft受控桌面不支援 Microsoft Entra 組織所在的一或多個國家/地區。 如需詳細資訊,請參閱 Microsoft 受管理的電腦支援的地區和語言。 |
安全性基準
安全性基準原則不應以任何 Microsoft 受管理電腦裝置為目標。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您的安全性基準設定檔以所有使用者、所有裝置或兩者為目標。 變更原則,以使用以不包含任何受控桌面裝置的特定 Microsoft Entra 群組為目標的指派Microsoft。 如需詳細資訊,請參閱 在 Intune 中使用安全性基準來設定 Windows 10 裝置。 註冊期間,我們會將新的安全性基準套用至所有 Microsoft 受管理的電腦裝置。 註冊之後,您可以在 Microsoft Intune 系統管理中心的 [設定原則] 區域中檢閱Microsoft受控桌面安全性基準原則。 |
| 公告 | 請確定您擁有的任何安全性基準原則都排除了 Microsoft 受管理的電腦裝置。 如需詳細資訊,請參閱 在 Intune 中使用安全性基準來設定 Windows 10 裝置。 註冊期間,我們會將新的安全性基準套用至所有 Microsoft 受管理的電腦裝置。 新式工作場所裝置 - 所有 Microsoft Entra 群組都是我們註冊受控桌面Microsoft時所建立的動態群組。 註冊之後,您必須返回以排除此群組。 |
未授權的系統管理員
當我們與您的 Microsoft Entra 組織互動時,必須啟用此設定以避免發生「許可權不足」錯誤。
| 結果 | 意義 |
|---|---|
| 未就緒 | 應該啟用 對未授權系統管理員的存取權。 如需詳細資訊,請參閱 來賓帳戶的必要條件。 |
Windows 應用程式
查看您希望 Microsoft 受管理的電腦使用者擁有的應用程式。
| 結果 | 意義 |
|---|---|
| 公告 | 您應該準備您想要 Microsoft 受管理的電腦使用者擁有之應用程式的清單。 由於這些應用程式必須由 Intune 部署,請評估是否重新使用現有的 Intune 應用程式。 請考慮使用 公司入口網站 (請參閱在裝置上安裝 Intune 公司入口網站 和註冊狀態頁面 (ESP) 將應用程式散發給您的使用者。 如需詳細資訊,請參閱 Microsoft 受管理電腦中的應用程式,以及 Autopilot 的首次執行體驗和註冊狀態頁面。 您可以要求 Microsoft 帳戶代表在 Microsoft Endpoint Configuration Manager 中查詢,以找出準備移轉至 Intune 或需要調整的應用程式。 |
Windows Hello 企業版
Microsoft 受管理的電腦需要啟用 Windows Hello 企業版。
| 結果 | 意義 |
|---|---|
| 公告 | Windows Hello 企業版已停用或尚未設定。 請遵循建立 Windows Hello 企業原則中的步驟來啟用它。 |
更新 Windows 10 或更新版本的更新通道
Intune 中的「更新 Windows 10 更新通道」原則不得以任何Microsoft受控桌面裝置為目標。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您擁有以所有裝置、所有使用者或兩者為目標的「更新環」原則。 將原則變更為使用以不包含任何受控桌面裝置的特定 Microsoft Entra 群組為目標的指派Microsoft。 如需詳細資訊,請參閱 在 Intune 中管理 Windows 10 軟體更新。 |
| 公告 | 請確定任何更新通道原則都排除Modern Workplace Devices - All Microsoft Entra 群組。 如果您已將 Microsoft Entra 使用者群組指派給這些原則,請確定您也排除新式工作場所 - 所有 Microsoft Entra 群組的任何更新通道原則,您已將Microsoft受管理桌面使用者新增至 (或對等的群組) 。 如需詳細資訊,請參閱在 Intune 中管理 Windows 10 和 11 個軟體更新。 新式工作場所裝置 - 全部和新式工作場所 - 所有 Microsoft Entra 群組都是我們註冊受控桌面Microsoft時所建立的群組。 註冊之後,您必須返回以排除此群組。 |
Microsoft Entra 設定
您可以存取 Azure 入口網站 中的 Microsoft Entra 設定。
Intune 註冊
Microsoft Entra 組織中的 Windows 10 和更新版本裝置必須能夠自動註冊 Intune。
| 結果 | 意義 |
|---|---|
| 公告 | 請確定 [MDM 使用者] 範圍 已設定為 [部分] 或 [全部],而非 [無]。 如果您選擇 [部分],請在註冊后返回並選取 [新式工作場所 - 所有 Microsoft Entra] 群組,以 群組 或以所有Microsoft受控桌面用戶為目標的對等群組。 如需詳細資訊,請參閱使用 Microsoft Intune 設定 Windows 裝置的註冊。 |
臨機操作訂用帳戶
建議如何檢查設定,如果設定為 「false」,可能會防止企業狀態漫遊正確執行。
| 結果 | 意義 |
|---|---|
| 公告 | 確定 AllowAdHocSubscriptions 已設定 True。 否則,企業狀態漫遊可能無法使用。 如需詳細資訊,請參閱 Set-MsolCompanySettings。 |
企業狀態漫遊
應啟用企業狀態漫遊。
| 結果 | 意義 |
|---|---|
| 公告 | 請確定已針對 [所有] 或 [選取的] 群組,啟用企業狀態漫遊。 如需詳細資訊,請參閱在 Microsoft Entra ID 中啟用企業狀態漫遊。 |
來賓邀請設定
Microsoft管理的桌面建議調整來賓邀請設定,因為預設設定允許目錄中的所有使用者和來賓邀請來賓。
| 結果 | 意義 |
|---|---|
| 公告 | 應啟用 成員使用者和獲指派特定系統管理員角色的使用者可以邀請來賓的權限,包括具成員權限的來賓。 如需詳細資訊,請參閱 來賓帳戶的必要條件。 |
來賓使用者存取
Microsoft 受管理的電腦建議您調整來賓存取,因為預設設定允許目錄中的所有來賓具有與成員相同的存取權。
| 結果 | 意義 |
|---|---|
| 公告 |
來賓使用者對屬性的存取權有限,應啟用目錄對象的成員資格 。 如需詳細資訊,請參閱 來賓帳戶的必要條件。 |
授權
使用 Microsoft 受管理電腦需要許多授權。
| 結果 | 意義 |
|---|---|
| 未就緒 | 需要有效且足夠授權,才能運作、設定及取用Microsoft受控桌面服務。 如需詳細資訊,請參閱 Microsoft 受管理的電腦技術 和 授權的詳細資訊。 |
Microsoft 受管理的電腦服務帳戶
現有的帳戶名稱可能會與受控桌面Microsoft所建立的帳戶名稱衝突,以管理Microsoft受控桌面服務。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您至少有一個帳戶名稱會與 Microsoft 受管理電腦建立的帳戶名稱衝突。 請與 Microsoft 帳戶代表合作,以排除這些帳戶名稱。 我們不會公開列出帳戶名稱,以將安全性風險降到最低。 |
安全性系統管理員角色
具有特定安全性角色的使用者必須在適用于端點的 Microsoft Defender 中指派這些角色。
| 結果 | 意義 |
|---|---|
| 公告 | 如果您已將使用者指派給 Microsoft Entra 組織中的任何角色,請確定他們在 適用於端點的 Microsoft Defender 中也已指派這些角色。 否則,具有這些角色的系統管理員將無法存取系統管理中心。
如需詳細資訊,請參閱 建立和管理角色型存取控制的角色。 |
安全性預設值
Microsoft Entra ID 中的安全性預設值會防止Microsoft受控桌面管理您的裝置。
| 結果 | 意義 |
|---|---|
| 未就緒 | 您的安全性預設值已開啟。 關閉 [安全性預設值],並設定條件式存取原則。 如需詳細資訊,請參閱 通用條件式存取原則。 |
自助式密碼重設
除了 Microsoft 受管理的電腦服務帳戶之外,所有 Microsoft 受管理的電腦使用者都可以啟用自助密碼重設 (SSPR)。
如需詳細資訊,請參閱教學課程:讓使用者使用 Microsoft Entra 自助式密碼重設來解除鎖定其帳戶或重設密碼。
| 結果 | 意義 |
|---|---|
| 公告 | 確定 SSPR 選取的 設定包含 Microsoft 受管理的電腦使用者,但不包括 Microsoft 受管理的電腦服務帳戶。 啟用 SSPR 時,Microsoft 受管理的電腦服務帳戶無法如預期般工作。 |
標準使用者角色
根據預設,Microsoft受控桌面使用者將是沒有本機系統管理員許可權的「標準使用者」。 成功註冊時,系統會透過Microsoft受控桌面 Standard 用戶裝置配置檔,有效地為使用者指派標準使用者角色。
| 結果 | 意義 |
|---|---|
| 公告 | 註冊後,Microsoft 受管理的電腦使用者不會擁有其 Microsoft 受管理的電腦裝置上的系統管理員許可權。 |
Microsoft 365 Apps 企業版
OneDrive
僅允許在已加入特定網域的 PC 上進行同步處理 設定會與 Microsoft 受管理的電腦衝突。 您可以在 OneDrive 系統管理中心 存取 OneDrive 設定。
| 結果 | 意義 |
|---|---|
| 公告 | 您使用 僅允許在已加入特定網域的 PC 上進行同步處理 設定。 此設定無法與 Microsoft 受管理的電腦一起使用。 停用此設定。 請改為將 OneDrive 設定為使用條件式存取原則。 如需詳細資訊,請參閱 規劃條件式存取部署 以取得協助。 |