在 Microsoft Intune 中使用裝置設定檔在裝置上套用功能和設定
Microsoft Intune 包含您可以在組織內的不同裝置上啟用或停用的設定和功能。 這些設定和功能會新增至 組態配置檔。
當您使用組態設定檔設定裝置功能時,您可以協助終端使用者更快速地在其裝置上提高生產力。
您可以為不同的裝置和不同的平臺建立配置檔,包括 Android、iOS/iPadOS、macOS 和 Windows。 每個平臺都有一些唯一的組態設定。 每個平臺也經常有許多裝置配置檔,範圍從防病毒軟體設定到自定義設定。
配置文件準備就緒時,您會使用 Intune 將配置檔套用或「指派」給使用者群組或裝置群組。
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
作為行動裝置管理 (MDM) 解決方案的一部分,請使用這些組態配置檔來完成不同的工作。 部分設定檔範例包括:
- 允許或防止存取裝置上的藍牙。
- 建立可讓不同裝置存取公司網路的WiFi或 VPN 配置檔。
- 管理軟體更新,包括安裝時。
- 以可執行一個應用程式或執行許多應用程式的專用 kiosk 裝置身分執行 Android 裝置。
- 在 iOS/iPadOS 和 macOS 裝置上,允許使用者在組織中使用 AirPrint 印表機。
提示
如果您使用 Microsoft Configuration Manager 管理內部部署裝置,則可以使用共同管理來將內部部署裝置連結至雲端。 透過共同管理,您可以使用 Configuration Manager 和 Microsoft Intune 來管理 Windows 用戶端裝置。
您可以根據您目前在 Configuration Manager 中的原則,在 Intune 中建立所需的裝置配置檔和原則。 如需共同管理的詳細資訊,請移至瞭解使用共同管理 Microsoft Configuration Manager。 如需相關資訊,請參閱為 共同管理準備 Intune。
使用範本或設定目錄
在 Intune 中,針對大部分的平臺,當您建立裝置組態配置檔時,您有兩種原則類型:範本或設定目錄。
設定目錄會列出您可以設定的所有設定,以及所有設定在一個位置。 範本包含設定功能或概念的設定邏輯群組,例如電子郵件、kiosk 裝置和裝置韌體。
Intune 有許多範本,其中包含著重於裝置管理不同部分的設定群組,包括存取資源 (VPN、Wi-Fi) 、安全性 (防病毒軟體、防火牆、憑證) 和 群組原則 物件 (ADMX 系統管理範本) 。
您可以建立所有裝置都必須擁有的配置檔基準,也可以根據組織需求和安全性層級來設定特定功能。 如需詳細資訊,請移至 Microsoft Intune 中的保護和設定層級。
本文提供您可以建立的不同類型配置檔的概觀。 使用這些配置檔來允許或防止裝置上的某些功能。
系統管理範本和組策略
系統管理範本包含數百個您可以針對 Internet Explorer、Microsoft Edge、OneDrive、遠端桌面、Word、Excel 和其他 Office 應用程式設定的設定。 這些範本為系統管理員提供了類似於群組原則的簡化設定檢視,並且它們為 100% 雲端式。
群組原則 分析會分析您的內部部署 GPO。 此工具可協助您判斷 GPO 在雲端中的轉譯方式。 輸出會顯示任何已淘汰的設定,以及 MDM 提供者) 可用 (或無法使用的設定,包括 Microsoft Intune。
此功能支援:
- Windows 11
- Windows 10
憑證
您可以使用 Intune 中的憑證來驗證您的使用者,讓他們可以透過 VPN、Wi-Fi 或電子郵件設置檔存取應用程式和公司資源。 當您使用憑證來驗證這些連線時,您的終端使用者不需要輸入使用者名稱和密碼。
憑證也用於使用 S/MIME 簽署和加密電子郵件。 Intune 中使用的常見憑證類型包括信任的根憑證、簡單憑證註冊通訊協定 (SCEP) 憑證和公開金鑰加密標準 (PKCS) 憑證。
此功能支援:
- Android 裝置系統管理員
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
自訂設定檔
自訂設定可讓系統管理員將未內建的裝置設定指派給 Intune。 在 Android 裝置上,您可以輸入 OMA-URI 值。 針對 iOS/iPadOS 裝置,您可以匯入您在 Apple Configurator 中建立的組態檔。
此功能支援:
- Android 裝置系統管理員
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
傳遞最佳化
傳遞優化 提供更好的傳遞軟體更新體驗。 這些設定會取代軟體 匯報>Windows 10 更新通道設定。
使用這些設定來控制如何將軟體更新下載到組織中的裝置。 例如,您可以讓使用者取得自己的更新,或使用裝置配置檔中的傳遞優化雲端服務來取得更新。
此功能支援:
- Windows 11
- Windows 10
衍生認證
如果您的組織使用智慧卡進行驗證、簽署或加密,則您可以使用 衍生的認證。 在 Intune 中,您可以設定及部署衍生自用戶智慧卡的憑證。 衍生認證通常用於 Wi-Fi & VPN 連線、應用程式 & 電子郵件驗證,或 S/MIME 簽署 & 加密。
Intune 支援數個衍生認證簽發者。 每個平臺也有自己的一組設定。
此功能支援:
- Android Enterprise
- iOS/iPadOS
裝置功能
裝置功能 可控制 iOS/iPadOS 和 macOS 裝置上的功能,例如 AirPrint、通知和鎖定畫面訊息。
此功能支援:
- iOS/iPadOS
- macOS
BIOS 設定和 DFCI
透過 BIOS 設定,系統管理員可以密碼保護對 BIOS 的存取,並使用 OEM 工具搭配他們想要的 BIOS 設定來建立組態檔。 然後,他們會將此組態檔新增至 Intune 原則。
裝置韌體設定介面 (DFCI) 可讓系統管理員使用 Intune 啟用或停用 UEFI (BIOS) 設定。 使用這些設定來增強韌體層級的安全性,這通常對惡意攻擊更具復原能力。
此功能支援:
- Windows 11
- Windows 10
裝置限制
裝置限制 可控制裝置上的安全性、硬體、數據共用和更多設定。 例如,建立裝置限制配置檔,以防止 iOS/iPadOS 裝置使用者使用裝置相機。
另外還有一些設定可管理應用程式市集的存取權、限制使用者在非受控應用程式中檢視公司檔、需要密碼才能解除鎖定裝置,或要求裝置只使用特定 Wi-Fi 網路。
此功能支援:
- Android 裝置系統管理員
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 10 團隊
網域加入
網域加入會設定 內部部署的 Active Directory 網域資訊。 使用 Windows Autopilot 和 Intune 布建時,此資訊會部署到 Microsoft Entra 混合式聯結裝置。 此配置檔會告訴裝置要加入的網域和 OU。
此功能支援:
- Windows 11
- Windows 10
版本升級和模式切換
Windows 10/11 版升級會自動將執行某些 Windows 用戶端版本的裝置升級至較新的版本。
此功能支援:
- Windows 11
- Windows 10
Education
教育設定 - Windows 10 設定 Windows 進行測驗應用程式的選項。 當您設定這些選項時,在測試完成之前,裝置上無法執行任何其他應用程式。
教育設定 - iOS/iPadOS 使用 iOS/iPadOS Classroom 應用程式來引導學習和控制教室中的學生裝置。 您可以設定 iPad 裝置,讓許多學生可以共用單一裝置。
電子郵件
Email 會在裝置上建立、指派及監視 Exchange ActiveSync 電子郵件設置。 Email 配置文件有助於一致性、減少支援通話,以及讓使用者在其個人裝置上存取公司電子郵件,而不需要進行任何設定。
此功能支援:
- Android 裝置系統管理員
- Android Enterprise
- iOS/iPadOS
- Windows 11
- Windows 10
Endpoint Protection
重要事項
此範本在 2024 年 8 月服務版本 (2408) 中已被取代。 現有原則會繼續運作。 但是,您無法使用此範本建立新的原則。
請改用設定目錄來建立新的原則,以設定 FileVault、防火牆和系統原則控制 (閘道守衛) 承載。 若要深入瞭解,請移至 macOS設定目錄。
Endpoint Protection 會設定 Windows 用戶端裝置的 BitLocker 和 Microsoft Defender 設定。 在macOS裝置上,您也可以設定防火牆、閘道和其他資源。
若要使用 Microsoft Intune 將 適用於端點的 Microsoft Defender 上線,請參閱使用行動裝置 裝置管理 (MDM) 工具設定端點。
此功能支援:
- macOS
- Windows 11
- Windows 10
eSIM 行動數據
eSIM 行動數據配置檔 可讓系統管理員在受控裝置上設定行動數據計劃,以進行因特網和數據存取。 從您的電信業者取得啟用代碼之後,請使用 Intune 匯入這些啟用代碼,然後指派給支援 eSIM 的裝置。
此功能支援:
- Windows 11
- Windows 10 Fall Creators Update和更新版本
Extensions
重要事項
此範本在 2024 年 8 月服務版本 (2408) 中已被取代。 現有原則會繼續運作。 但是,您無法使用此範本建立新的原則。
請改用設定目錄來建立設定系統延伸模組承載的新原則。 若要深入瞭解,請移至 macOS設定目錄。
macOS 系統延伸模組和核心延伸 模組可讓系統管理員新增擴充操作系統原生功能的功能或程式。 將這些設定設定為信任特定開發人員或合作夥伴的所有延伸模組,或允許特定擴充功能。
此功能支援:
- macOS
Kiosk
Kiosk 設定 設定檔會將裝置設定為執行一個應用程式,或執行許多應用程式。 您也可以自訂資訊站上的其他功能,包括開始功能表和網頁瀏覽器。
此功能支援:
- Windows 11 僅 (單一應用程式 kiosk)
- Windows 10
Kiosk 設定也可作為 Android、 Android Enterprise 和 iOS/iPadOS 的裝置限制。
Zebra (MX 設定檔)
MX (行動延伸模組) 擴充內建 Intune 設定,以自定義或新增 Zebra 裝置特有的更多設定。 Zebra 裝置通常用於工廠樓層和零售環境。 如果您有數百或數千部 Zebra 裝置,您可以使用 Intune 來設定和管理這些裝置。
此功能支援:
- Android 裝置系統管理員
適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 與 Intune整合,以監視及協助保護裝置。 您可以設定風險層級,並判斷裝置超過該層級時會發生什麼情況。 與條件式存取結合時,您可以協助防止組織中的惡意活動。
此功能支援:
- Windows 11
- Windows 10
網路界限
網路界限 會建立您組織信任的網站清單。 這項功能會與 Microsoft Defender 應用程式防護 和 Microsoft Edge 搭配使用,以協助保護您的裝置。
此功能支援:
- Windows 11
- Windows 10
OEMConfig
在 Android Enterprise 裝置上, OEMConfig 是標準。 它可讓原始設備製造商 (原始設備製造商) 和 EMM (企業行動管理) 以標準化方式建置及支援 OEM 特定功能。
使用 OEMConfig 時,OEM 會建立架構來定義 OEM 特定的管理功能,並將它內嵌在上傳至 Google Play 的應用程式中。 Intune 從應用程式讀取架構,並允許 Intune 系統管理員在架構中設定設定。
此功能支援:
- Android Enterprise (OEMConfig)
喜好設定檔案
macOS 裝置上的喜好設定檔案包含應用程式的相關信息。 例如,您可以使用喜好設定檔案來控制網頁瀏覽器設定、自定義應用程式等等。
此功能支援:
- macOS
提示
macOS 設定會持續新增至 設定目錄。 其中一些設定可以取代喜好設定檔案。 如需詳細資訊,請移至您可以在 Intune 中使用 [設定目錄] 完成的工作。
設定目錄
設定 目錄 會列出您可以設定的所有可用設定,而且全部位於一個位置。 它不是範本或設定的邏輯群組。 設定目錄類似於設定內部部署 群組原則 物件 (GPO) ,但為雲端原生。
在 Windows 上,有數千個可用的設定,包括範本中找不到的許多設定。 當您想要所有設定的完整清單時,請使用設定目錄來建立原則。 如果您想要使用設定的邏輯群組,請繼續使用範本。
您可以使用 Intune 設定目錄來完成的工作是不錯的資源。
此功能支援:
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
共用多使用者裝置
Windows 10/11 和 Windows Holographic for Business 包含使用多個使用者管理裝置的設定。 這些裝置稱為共用裝置或共享電腦。 當使用者登入裝置時,您可以選擇使用者是否可以變更睡眠選項,或將檔案儲存在裝置上。 在另一個範例中,若要節省空間,您可以建立從 Windows HoloLens 裝置刪除非使用中認證的設定檔。
這些共用的多使用者裝置設定可讓系統管理員控制某些裝置功能,並使用 Intune 來管理這些共用裝置。
此功能支援:
- Windows 11
- Windows 10
- Windows Holographic for Business
殼層腳本
在 Linux 裝置上,您可以 新增現有的 Bash 腳本 ,以自定義這些裝置上的設定和功能。 此概念類似於建立自定義裝置組態配置檔,以及將原則部署到您的裝置。 使用 Linux 時,您會使用現有的 Bash 腳本來設定未內建於 Intune 的功能和設定。
在macOS裝置上,您可以 新增現有的殼層腳本,然後將這些腳本部署到macOS裝置。
在 Windows 裝置上,您可以使用 Intune 管理延伸模組在 Intune 中上傳 PowerShell 腳本,然後在您的裝置上執行這些腳本。 另請參閱使用擴充功能所需的專案、如何將其新增至 Intune,以及其他重要資訊。
此功能支援:
- Linux
- macOS
- Windows 11
- Windows 10
更新原則
iOS/iPadOS 更新原則 會示範如何建立和指派 iOS/iPadOS 原則,以在 iOS/iPadOS 裝置上安裝軟體更新。 您也可以檢閱安裝狀態。
如需 Windows 裝置上的更新原則,請參閱 傳遞優化。
此功能支援:
- iOS/iPadOS
VPN
VPN 設定會 將 VPN 配置檔指派給組織中的使用者和裝置,讓他們可以輕鬆且安全地連線到網路。
虛擬私人網路 (VPN) 可讓使用者安全地從遠端存取公司網路。 裝置使用 VPN 連線設定檔來開始與您的 VPN 伺服器的連線。
此功能支援:
- Android 裝置系統管理員
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
Wi-Fi
Wi-Fi 設定會 將無線網路設定指派給用戶和裝置。 當您指派WiFi設定檔時,使用者不需要自行設定即可存取您的公司WiFi。
此功能支援:
- Android 裝置系統管理員
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- 僅 Windows 8.1 (匯入)
Windows 健康情況監視
Windows 健康情況監視 可讓 Endpoint Analytics 收集並分析您的事件數據。 您可以使用此資料來取得 Windows 裝置的見解,包括軟體更新和啟動效能。
此功能支援:
- Windows 11
- Windows 10
有線網路
有線網路 可讓您建立及管理 macOS 和 Windows 桌面電腦和裝置的 802.1x 有線連線。 在您的配置檔中,選擇網路介面、選取接受的 EAP 類型,然後輸入伺服器信任設定,包括 PKCS 和 SCEP 憑證。
當您指派配置檔時,使用者不需要自行設定即可存取您的公司有線網路。
此功能支援:
- macOS
- Windows 11
- Windows 10
Zebra Mobility Extensions (MX)
Zebra Mobility Extensions (MX) 可讓系統管理員在 Intune 中使用和管理 Zebra 裝置。 您可以使用您的設定建立 StageNow 設定檔,然後使用 Intune 將這些配置檔指派並部署到 Zebra 裝置。 StageNow 記錄和常見問題是一項絕佳的資源,可用來針對配置檔進行疑難解答,並查看使用 StageNow 時的一些潛在問題。
此功能支援:
- Android 裝置系統管理員 (行動延伸模組)
管理和疑難解答
管理您的配置檔 ,以檢查裝置的狀態,以及指派的配置檔。 也可藉由查看造成衝突的設定,以及包含這些設定的配置文件,協助解決衝突。
原則和配置檔的常見問題和行為可 協助系統管理員使用配置檔。 其中描述刪除配置檔時會發生什麼事、導致通知傳送至裝置等等。
後續步驟
選擇設定檔並開始使用。