Microsoft Intune 規劃指南
成功的 Microsoft Intune 部署或移轉會從規劃開始。 本指南可協助您規劃移動或採用 Intune 作為統一端點管理解決方案。
Intune 可讓組織選擇執行最適合他們和許多不同使用者裝置的作業。 您可以在 Intune 中註冊裝置,以進行行動裝置管理 (MDM) 。 您也可以將應用程式保護原則用於行動應用程式管理 (著重在保護應用程式數據的 MAM) 。
本指南:
- 清單 並說明裝置管理的一些常見目標
- 清單潛在的授權需求
- 提供處理個人擁有裝置的指引
- 建議您檢閱目前的原則和基礎結構
- 提供建立首度發行方案的範例
- 以及其他選項
使用本指南來規劃移轉或移轉至 Intune。
提示
- 想要將本指南列印或儲存為 PDF 嗎? 在網頁瀏覽器中,使用 [列印 ] 選項 [ 另存為 PDF]。
- 本指南是一件即時的工作。 因此,請務必新增或更新您發現有用的現有秘訣和指引。
步驟 1 - 決定您的目標
組織會使用行動裝置管理 (MDM) 和行動應用程式管理 (MAM) 來安全地控制組織數據,並盡可能減少對用戶的干擾。 評估 MDM/MAM 解決方案時,例如 Microsoft Intune,請查看目標是什麼,以及您想要達成的目標。
在本節中,我們會討論使用 Intune 時的常見目標或案例。
目標:存取組織應用程式和電子郵件
用戶預期會使用組織應用程式在裝置上工作,包括讀取和響應電子郵件、更新和共用數據等等。 在 Intune 中,您可以部署不同類型的應用程式,包括:
- Microsoft 365 應用程式
- Win32 應用程式
- 企業營運 (LOB) 應用程式
- 自訂應用程式
- 內建應用程式
- 市集應用程式
✅ 工作:製作使用者定期使用的應用程式清單
這些應用程式是您想要在其裝置上使用的應用程式。 一些考慮:
許多組織會部署所有Microsoft 365 應用程式,例如 Word、Excel、OneNote、PowerPoint 和 Teams。 在較小的裝置上,例如行動電話,您可以根據使用者需求安裝個別的應用程式。
例如,銷售小組可能需要 Teams、Excel 和 SharePoint。 在行動裝置上,您只能部署這些應用程式,而不是部署整個Microsoft 365產品系列。
使用者偏好閱讀 & 回復電子郵件,以及加入所有裝置上的會議,包括個人裝置。 在組織擁有的裝置上,您可以部署 Outlook 和 Teams,並使用您的組織設定預先設定這些應用程式。
在個人裝置上,您可能沒有此控件。 因此,請判斷您是否要讓使用者存取組織應用程式,例如電子郵件和會議。
如需詳細資訊和考慮,請移至本文) 中 的個人裝置與組織擁有的裝置 (。
如果您打算在 Android 和 iOS/iPadOS 裝置上使用 Microsoft Outlook,您可以使用 Intune 應用程式設定原則預先設定 Outlook。
檢閱設計來使用 Intune 的受保護應用程式。 這些應用程式是支援的合作夥伴應用程式,Microsoft常用於 Microsoft Intune 的應用程式。
目標:保護所有裝置上的存取
當數據儲存在行動裝置上時,它必須受到保護,以免遭受惡意活動。
✅ 工作:決定您要如何保護裝置
防病毒軟體、惡意代碼掃描、回應威脅,以及讓裝置保持最新狀態都是重要的考慮。 您也想要將惡意活動的影響降到最低。
一些考慮:
防病毒軟體 (AV) 和惡意代碼保護是必須的。 Intune 與 適用於端點的 Microsoft Defender 和不同的Mobile Threat Defense (MTD) 合作夥伴整合,以協助保護受控裝置、個人裝置和應用程式。
適用於端點的 Microsoft Defender 包含安全性功能和入口網站,以協助監視和響應威脅。
如果裝置遭到入侵,您想要使用條件式存取來限制惡意影響。
例如,適用於端點的 Microsoft Defender 掃描裝置,而且可以判斷裝置是否遭到入侵。 條件式存取可以自動封鎖此裝置上的組織存取,包括電子郵件。
條件式存取可協助保護您的網路和資源免於裝置,甚至是未在 Intune 中註冊的裝置。
更新裝置、OS 和應用程式,以協助保護您的資料安全。 建立安裝更新方式和時間的計劃。 Intune 中有一些原則可協助您管理更新,包括儲存應用程式的更新。
下列軟體更新規劃指南可協助您判斷更新策略:
決定使用者如何從其許多裝置向組織資源進行驗證。 例如,您可以:
在裝置上使用 憑證 來驗證功能和應用程式,例如聯機到虛擬專用網 (VPN) 、開啟 Outlook 等等。 這些憑證允許「無密碼」的用戶體驗。 無密碼會被視為比要求使用者輸入其組織使用者名稱和密碼更安全。
如果您打算使用憑證,請使用支援的 公鑰基礎結構 (PKI) 基礎 結構來建立和部署憑證配置檔。
使用 多重要素驗證 (MFA) ,在組織擁有的裝置上進行額外的驗證層級。 或者,使用 MFA 在個人裝置上驗證應用程式。 您也可以使用生物特徵辨識,例如臉部辨識和指紋。
如果您打算使用生物特徵辨識來進行驗證,請確定您的裝置支援生物特徵辨識。 大部分的新式裝置都行。
實作 零信任 部署。 透過 零信任,您可以使用 Microsoft Entra ID 和 Microsoft Intune 中的功能來保護所有端點、使用無密碼驗證等等。
設定 Microsoft 365 應用程式隨附的數據內含項目原則。 這些原則有助於防止組織數據與IT未管理的其他應用程式和儲存位置共用。
如果某些使用者只需要存取公司電子郵件和檔,這在個人擁有的裝置上很常見,則您可以要求使用者使用Microsoft 365 應用程式與應用程式保護原則。 裝置不需要在 Intune 中註冊。
如需詳細資訊和考慮,請移至本文) 中 的個人裝置與組織擁有的裝置 (。
目標:散發IT
許多組織都想要讓不同的系統管理員控制位置、部門等等。 例如, 在一般IT系統管理員 群組中,會控制並監視在一般校區中的原則。 這些並行 IT 系統管理員只能查看及管理[要處理] 位置的原則。 他們無法查看和管理 Redmond 位置的原則。 這種方法稱為分散式IT。
在 Intune 中,分散式IT受益於下列功能:
範圍標籤會 使用角色型訪問控制 (RBAC) 。 因此,只有特定群組中的用戶有權管理其範圍內使用者和裝置的原則和配置檔。
當您使用 裝置註冊類別時,裝置會根據您建立的類別自動新增至群組。 這項功能會 Microsoft Entra 動態群組使用,並有助於更輕鬆地管理裝置。
當用戶註冊其裝置時,他們會選擇類別,例如 Sales、IT 系統管理員、銷售點裝置等等。 當裝置新增至類別時,這些裝置群組就準備好接收您的原則。
當系統管理員建立原則時,您可以針對特定原則要求 多個系統管理員核准 ,包括執行腳本或部署應用程式的原則。
端點許可權管理 可讓標準非系統管理員使用者完成需要提高許可權的工作,例如安裝應用程式和更新設備驅動器。 端點許可權管理是 Intune Suite 的一部分。
✅ 工作:決定您想要如何散發規則和設定
規則和設定是使用不同的原則來部署。 一些考慮:
判斷您的系統管理員結構。 例如,您可能想要依位置分隔,例如 ,一般 It 系統管理員 或 英國 IT 系統管理員。 您可能想要依角色分隔,例如控制所有網路存取的網路 管理員 ,包括 VPN。
這些類別會成為您的 範圍標籤。
如需建立系統管理群組的詳細資訊,請移至:
有時候組織需要在大量本機系統管理員連線到單一 Intune 租使用者的系統中使用分散式 IT。 例如,大型組織有單一 Intune 租使用者。 組織有大量的本機系統管理員,而每個系統管理員都會管理特定的系統、區域或位置。 每個系統管理員只需要管理其位置,而非整個組織。
如需詳細資訊,請移至具有相同 Intune 租用戶中許多系統管理員的分散式IT環境。
許多組織會依裝置類型分隔群組,例如iOS/iPadOS、Android或 Windows 裝置。 部分範例:
- 將特定應用程式發佈至特定裝置。 例如,將Microsoft應用程式部署到 Redmond 網路中的行動裝置。
- 將原則部署至特定位置。 例如,將 Wi-Fi 配置檔部署到在[要點] 網路中的裝置,以便在範圍內自動連線。
- 控制特定裝置上的設定。 例如,在製造環境使用的 Android Enterprise 裝置上停用相機、為所有 Windows 裝置建立 Windows Defender 防病毒軟體配置檔,或將電子郵件設定新增至所有 iOS/iPadOS 裝置。
這些類別會成為您的 裝置註冊類別。
目標:將組織數據保留在組織內
當數據儲存在行動裝置上時,應該保護數據免於意外遺失或共用。 此目標也包括從個人和組織擁有的裝置抹除組織數據。
✅ 工作:建立計劃以涵蓋影響貴組織的不同案例
一些範例案例:
裝置遺失或遭竊,或不再使用。 用戶離開組織。
- 在 Intune 中,您可以使用抹除、淘汰或手動取消註冊裝置來移除裝置。 您也可以自動移除未使用 Intune 簽入的裝置,Intune 天數。
- 在應用層級,您可以從 Intune 管理的應用程式中移除組織數據。 選擇性抹除非常適合個人裝置,因為它會在裝置上保留個人資料,而且只會移除組織數據。
在個人裝置上,您可能會想要防止用戶複製/貼上、擷取螢幕快照或轉寄電子郵件。 應用程式防護 原則可以在您未管理的裝置上封鎖這些功能。
在受管理的裝置 (Intune) 註冊的裝置上,您也可以使用裝置組態配置檔來控制這些功能。 裝置組態配置檔控制 裝置上的設定,而不是應用程式。 在存取高度敏感或機密數據的裝置上,裝置組態配置檔可以防止複製/貼上、擷取螢幕快照等等。
如需詳細資訊和考慮,請移至本文) 中 的個人裝置與組織擁有的裝置 (。
步驟 2 - 清查您的裝置
組織有各種裝置,包括桌面電腦、膝上型電腦、平板電腦、手動掃描器和行動電話。 這些裝置是由組織所擁有,或由您的使用者所擁有。 規劃裝置管理策略時,請考慮存取組織資源的所有專案,包括個人裝置。
本節包含您應該考慮的裝置資訊。
支援的平台
Intune 支援常見且熱門的裝置平臺。 針對特定版本,請移至 支持的平臺。
✅ 工作:升級或取代較舊的裝置
如果您的裝置使用不支援的版本,而這些版本主要是較舊的操作系統,則是時候升級OS或取代裝置了。 這些舊版操作系統和裝置的支援可能有限,而且有潛在的安全性風險。 此工作包括執行 Windows 7 的桌面電腦、執行原始 v10.0 OS 的 iPhone 7 裝置等等。
個人裝置與組織擁有的裝置
在個人裝置上,使用者檢查電子郵件、加入會議、更新檔案等等是正常且預期的。 許多組織都允許個人裝置存取組織資源。
BYOD/個人裝置是行動應用程式管理 (MAM) 策略的一部分,
- 在許多組織中持續受到歡迎
- 對於想要保護組織數據,但不想要管理整個裝置的組織而言,這是不錯的選擇
- 降低硬體成本。
- 可以提高員工的行動生產力選擇,包括遠端 & 混合式背景工作角色
- 只會從應用程式移除組織數據,而不是從裝置移除所有數據
組織擁有的裝置是行動裝置管理 (MDM) 策略的一部分,
- 讓組織中的IT系統管理員完全掌控
- 具有一組豐富的功能,可管理應用程式、裝置和使用者
- 對於想要管理整個裝置的組織而言,這是不錯的選擇,包括硬體和軟體
- 可能會增加硬體成本,特別是當現有的裝置已過期或不再受到支援時
- 可以從裝置移除所有數據,包括個人資料
身為組織和系統管理員,您可以決定是否允許個人裝置。 如果您允許個人裝置,則必須做出重要決策,包括如何保護組織數據。
✅ 工作:決定您要如何處理個人裝置
如果行動或支持遠端工作者對您的組織很重要,請考慮下列方法:
選項 1:允許個人裝置存取組織資源。 用戶 可以選擇註冊或不註冊。
對於 註冊其個人裝置的使用者,系統管理員會完全管理這些裝置,包括推送原則、控制裝置功能 & 設定,甚至抹除裝置。 身為系統管理員,您可能會想要此控件,或者您可能會 認為 您想要此控件。
當用戶註冊其個人裝置時,可能不知道或了解系統管理員可以在裝置上執行任何動作,包括不小心抹除或重設裝置。 身為系統管理員,您可能不希望此責任或可能影響貴組織不擁有的裝置。
此外,許多使用者拒絕註冊,而且可以找到其他存取組織資源的方式。 例如,您需要註冊裝置,才能使用 Outlook 應用程式來檢查組織電子郵件。 若要略過這項需求,使用者在裝置上開啟任何網頁瀏覽器,並登入 Outlook Web 存取,這可能不是您想要的。 或者,他們會建立螢幕快照,並將影像儲存在裝置上,這也不是您想要的。
如果您選擇此選項,請務必教育用戶註冊其個人裝置的風險和優點。
對於 未註冊其個人裝置的使用者,您可以使用應用程式保護原則來管理應用程式存取及保護應用程式數據。
使用 條款及條件 語句搭配條件式存取原則。 如果使用者不同意,則無法存取應用程式。 如果使用者同意語句,則會將裝置記錄新增至 Microsoft Entra ID,而裝置會變成已知的實體。 已知裝置時,您可以追蹤從裝置存取的內容。
使用應用程式原則一律控制存取和安全性。
查看貴組織最常使用的工作,例如電子郵件和加入會議。 使用 應用程式設定原則 來設定應用程式特定設定,例如 Outlook。 使用 應用程式保護原則 來控制這些應用程式的安全性和存取權。
例如,用戶可以在其個人裝置上使用 Outlook 應用程式來檢查工作電子郵件。 在 Intune 中,系統管理員會建立 Outlook 應用程式保護原則。 此原則會在每次 Outlook 應用程式開啟時使用多重要素驗證 (MFA) 、防止複製和貼上,以及限制其他功能。
選項 2:您想要 完全管理每個裝置。 在此案例中,所有裝置都會在 Intune 中註冊,並由組織管理,包括個人裝置。
若要協助強制執行註冊,您可以部署條件式存取 (CA) 原則,要求裝置註冊 Intune。 在這些裝置上,您也可以:
- 設定 WiFi/VPN連線以進行組織連線, 並將這些連線原則部署至裝置。 使用者不需要輸入任何設定。
- 如果 使用者的裝置上需要特定應用程式 ,請部署應用程式。 您也可以部署組織基於安全性目的所需的應用程式,例如行動威脅防禦應用程式。
- 使用 合規性原則來設定 貴組織必須遵循的任何規則,例如發出特定 MDM 控件的法規或原則。 例如,您需要 Intune 來加密整個裝置,或產生裝置上所有應用程式的報告。
如果您也想要控制硬體,請為使用者提供所需的所有裝置,包括行動電話。 投資硬體重新整理計劃,讓用戶繼續提高生產力,並取得最新的內建安全性功能。 在 Intune 中註冊這些組織擁有的裝置,並使用原則進行管理。
最佳做法是一律假設數據會離開裝置。 請確定您的追蹤和稽核方法已就緒。 如需詳細資訊,請參閱使用 Microsoft Intune 零信任。
管理桌面電腦
Intune 可以管理執行 Windows 10 和更新版本的傳統型計算機。 Windows 用戶端 OS 包含內建的新式裝置管理功能,並移除本機 Active Directory (AD) 組策略的相依性。 在 Intune 中建立規則和設定,並將這些原則部署到所有 Windows 用戶端裝置,包括桌面電腦和計算機時,您可獲得雲端的優點。
如需詳細資訊,請移至 引導式案例 - 雲端管理的新式桌面。
如果您的 Windows 裝置目前是使用 Configuration Manager 來管理,您仍然可以在 Intune 中註冊這些裝置。 這種方法稱為 共同管理。 共同管理提供許多優點,包括在裝置上執行遠端動作 (重新啟動、遠端控制、原廠重設) 、符合裝置合規性的條件式存取等等。 您也可以將裝置雲端連結至 Intune。
如需詳細資訊,請移至:
✅ 工作:查看您目前用於行動裝置管理的內容
您採用的行動裝置管理可能取決於您組織目前使用的內容,包括該解決方案是否使用內部部署功能或程式。
安裝程式部署指南有一些良好的資訊。
一些考慮:
如果您目前未使用任何 MDM 服務或解決方案,則直接前往 Intune 可能是最佳做法。
如果您目前使用內部部署 群組原則 物件 (GPO) ,則移至 Intune 並使用 Intune 設定目錄很類似,而且可以更輕鬆地轉換為雲端式裝置原則。 設定目錄也包含 Apple 裝置和 Google Chrome 的設定。
對於未在 Configuration Manager 或任何 MDM 解決方案中註冊的新裝置,則直接移至 Intune 可能是最好的選擇。
如果您目前使用 Configuration Manager,則您的選項包括:
- 如果您想要保留現有的基礎結構,並將一些工作負載移至雲端,請使用共同管理。 您可獲得這兩項服務的優點。 現有的裝置可以從 Configuration Manager (內部部署) 接收一些原則,以及 Intune (雲端) 的其他原則。
- 如果您想要保留現有的基礎結構,並使用 Intune 來協助監視內部部署裝置,請使用租使用者附加。 您可以使用 Intune 系統管理中心,同時仍使用 Configuration Manager 來管理裝置。
- 如果您想要純雲端解決方案來管理裝置,請移至 Intune。 某些 Configuration Manager 使用者偏好繼續使用 Configuration Manager 與租使用者附加或共同管理。
如需詳細資訊,請移至 共同管理工作負載。
FLW) 裝置 (第一線工作者
共用平板電腦和裝置在 FLW) (一線工作者很常見。 它們用於許多產業,包括零售、醫療保健、製造等等。
有適用於不同平台的選項,包括 Android (AOSP) 虛擬實境裝置、iPad 裝置和 Windows 365 雲端電腦。
✅ 工作:判斷您的 FLW 案例
FLW 裝置是組織擁有、已註冊到裝置管理,並由指派) 的使用者或 (共用裝置) 的許多使用者 (使用者使用。 這些裝置對於一線員工來說非常重要,因此通常會在有限使用模式中使用。 例如,它可以是掃描專案的裝置、顯示資訊的 kiosk,或是在醫院或醫療設施檢查病患的 Tablet。
如需詳細資訊,請移至 Microsoft Intune 中的第一線背景工作角色裝置管理。
步驟 3 - 判斷成本和授權
管理裝置是與不同服務的關聯性。 Intune 包含您可以在不同裝置上控制的設定和功能。 還有其他服務扮演重要角色:
Microsoft 365 E5 授權) 中包含 Microsoft Entra ID P1 或 P2 ( 包含幾項管理裝置的關鍵功能,包括:
- Windows Autopilot:Windows 用戶端裝置可以自動註冊 Intune,並自動接收您的原則。
- 多重要素驗證 (MFA) :用戶必須輸入兩種以上的驗證方法,例如 PIN、驗證器應用程式、指紋等等。 針對個人裝置和需要額外安全性的組織擁有裝置使用應用程式保護原則時,MFA 是很好的選擇。
- 條件式存取:如果使用者和裝置遵循您的規則,例如6位數密碼,則他們可以存取組織資源。 如果使用者或裝置不符合您的規則,則無法取得存取權。
- 動態使用者群組和動態裝置群組:當使用者或裝置符合條件時,將使用者或裝置自動新增至群組,例如城市、職稱、OS 類型、OS 版本等等。
Microsoft 365 應用程式 (包含在 Microsoft 365 E5 授權) 包含使用者依賴的應用程式,包括 Outlook、Word、SharePoint、Teams、OneDrive 等等。 您可以使用 Intune 將這些應用程式部署到裝置。
適用於端點的 Microsoft Defender (包含在 Microsoft 365 E5 授權) 可協助監視和掃描您的 Windows 用戶端裝置是否有惡意活動。 您也可以設定可接受的威脅層級。 與條件式存取結合時,如果超過威脅層級,您可以封鎖對組織資源的存取。
Microsoft Microsoft 365 E5 授權中包含的 Purview () 套用標籤來分類及保護檔和電子郵件。 在 Microsoft 365 應用程式上,您可以使用此服務 來防止未經授權存取組織數據,包括個人裝置上的應用程式。
Intune 中的 Microsoft Copilot 是一種 generative-AI 安全性分析工具。 它會存取您的 Intune 數據,並可協助您管理原則和設定、瞭解安全性狀態,以及針對裝置問題進行疑難解答。
Intune 中的 Copilot 是透過 Microsoft Security Copilot 授權。 如需詳細資訊,請移至開始使用 Microsoft Security Copilot。
Intune 套件提供進階端點管理和安全性功能,例如遠端說明、Microsoft 雲端 PKI、端點許可權管理等等。 Intune 套件是以個別授權的形式提供。
如需詳細資訊,請移至:
✅ 工作:判斷貴組織需要的授權服務
一些考慮:
如果您的目標是將原則部署 (規則) 和配置檔, (設定) ,而不需要強制執行,您至少需要:
- Intune
Intune 適用於不同的訂用帳戶,包括作為獨立服務。 如需詳細資訊,請移至 Microsoft Intune 授權。
您目前使用 Configuration Manager,並想要為您的裝置設定共同管理。 Intune 已包含在您的 Configuration Manager 授權中。 如果您想要 Intune 完全管理新的裝置或現有的共同管理裝置,則需要個別的 Intune 授權。
您要強制執行您在 Intune 中建立的合規性或密碼規則。 您至少需要:
- Intune
- Microsoft Entra ID P1 或 P2
Intune 和 Microsoft Entra ID P1 或 P2 可與 Enterprise Mobility + Security 搭配使用。 如需詳細資訊,請移至 Enterprise Mobility + Security 定價選項。
您只想要在裝置上管理Microsoft 365 應用程式。 您至少需要:
- Microsoft 365 基本版 行動性與安全性
如需詳細資訊,請移至:
您想要將Microsoft 365 應用程式部署到您的裝置,並建立原則來協助保護執行這些應用程式的裝置。 您至少需要:
- Intune
- Microsoft 365 應用程式
您想要在 Intune 中建立原則、部署Microsoft 365 應用程式,以及強制執行您的規則和設定。 您至少需要:
- Intune
- Microsoft 365 應用程式
- Microsoft Entra ID P1 或 P2
由於所有這些服務都包含在某些Microsoft 365 方案中,因此使用 Microsoft 365 授權可能符合成本效益。 如需詳細資訊,請移至 Microsoft 365 授權方案。
步驟 4 - 檢閱現有的原則和基礎結構
許多組織都有只會「維護」的現有原則和裝置管理基礎結構。 例如,您可能有 20 年的組策略,但不知道它們的用途。 考慮移至雲端時,請決定目標,而不是查看您一律完成的工作。
請記住這些目標,建立原則的基準。 如果您有多個裝置管理解決方案,現在可能是使用單一行動裝置管理服務的時間。
✅ 工作:查看您在內部部署環境中執行的工作
此工作包括查看可移至雲端的服務。 請記住,與其查看您一直執行的工作,而是決定目標。
提示
深入瞭解雲端原生端點 是良好的資源。
一些考慮:
檢閱現有的原則及其結構。 有些原則可以全域套用,有些原則會套用在網站層級,有些則是裝置特有的。 目標是要瞭解並瞭解全域原則的意圖、本機原則的意圖等等。
內部部署 Active Directory 組策略會依 LS}順序套用 - 本機、網站、網域和組織單位 (OU) 。 在此階層中,OU 原則會覆寫網域原則、網域原則會覆寫網站原則等等。
在 Intune 中,原則會套用至您建立的使用者和群組。 沒有階層。 如果兩個原則更新相同的設定,則設定會顯示為衝突。 如需衝突行為的詳細資訊,請移至 裝置原則和配置檔的常見問題、問題和解決方式。
檢閱原則之後,您的 AD 全域原則會以邏輯方式開始套用至您擁有的群組或您需要的群組。 這些群組包括您想要以全域層級、網站層級等為目標的用戶和裝置。 此工作可讓您瞭解 Intune 所需的群組結構。 在大型 Microsoft Intune 環境中分組、設定目標和篩選的效能建議可能是不錯的資源。
準備好在 Intune 中建立新的原則。 Intune 包含數個功能,涵蓋您可能感興趣的案例。 部分範例:
安全性基準:在 Windows 用戶端裝置上, 安全性基準 是預先設定為建議值的安全性設定。 如果您不熟悉保護裝置,或想要完整的基準,請查看安全性基準。
設定深入解析 藉由新增類似組織成功採用的深入解析,來提供對設定的信賴度。 深入解析適用於某些設定,而非所有設定。 如需詳細資訊,請 參閱設定深入解析。
設定目錄:在 Apple 和 Windows 用戶端裝置上, 設定目錄 會列出您可以設定的所有設定,而且看起來類似於內部部署 GPO。 當您建立原則時,您會從頭開始,並以細微的層級設定設定。
ADMX) (系統管理範本 :在 Windows 用戶端裝置上,使用 ADMX 範本 來設定 Windows、Internet Explorer、Office 和 Microsoft Edge 版本 77 和更新版本的組策略設定。 這些 ADMX 範本與內部部署 AD 組策略中使用的 ADMX 範本相同,但在 Intune 中則是 100% 雲端式範本。
組策略:使用 組策略分析 來匯入和分析 GPO。 這項功能可協助您判斷 GPO 在雲端中的轉譯方式。 輸出顯示 MDM 提供者 (包括 Microsoft Intune) 支援哪些設定。 它還顯示任何已過時的設定,或 MDM 提供者無法使用的設定。
您也可以根據匯入的設定建立 Intune 原則。 如需詳細資訊,請移至 使用您匯入的 GPO 建立設定目錄原則。
引導式案例: 引導式案例 是一系列自定義的步驟,著重於端對端使用案例。 這些案例會自動包含原則、應用程式、指派和其他管理組態。
建立 包含最小目標的原則基準。 例如:
安全的電子郵件:您至少想要:
- 建立 Outlook 應用程式保護原則。
- 啟用 Exchange Online 的條件式存取,或連線到另一個內部部署電子郵件解決方案。
裝置設定:您可能至少想要:
- 需要六個字元 PIN 才能解除鎖定裝置。
- 防止備份至個人雲端服務,例如 iCloud 或 OneDrive。
裝置設定檔:您可能至少想要:
應用程式:您可能至少想要:
- 使用應用程式保護原則部署Microsoft 365 應用程式。
- 使用應用程式保護原則部署企業營運 (LOB) 。
如需最低建議設定的詳細資訊,請移至:
檢閱群組的目前結構。 在 Intune 中,您可以建立原則並指派給使用者群組、裝置群組,以及動態使用者和裝置群組, (需要 Microsoft Entra ID P1 或 P2) 。
當您在雲端中建立群組時,例如 Intune 或 Microsoft 365,群組會在 Microsoft Entra ID 中建立。 您可能看不到 Microsoft Entra ID 商標,但這就是您所使用的。
建立新的群組是一項簡單的工作。 您可以在系統管理中心 Microsoft Intune 建立它們。 如需詳細資訊,請移至 新增群組以組織用戶和裝置。
將現有的通訊組清單 (DL) 移至 Microsoft Entra ID 可能更具挑戰性。 一旦 DLL 位於 Microsoft Entra ID 中,這些群組就可供 Intune 和Microsoft 365 使用。 如需詳細資訊,請移至:
如果您有現有的 Office 365 群組,您可以移至 Microsoft 365。 現有的群組會保留下來,而且您會取得 Microsoft 365 的所有功能和服務。 如需詳細資訊,請移至:
如果您有多個裝置管理解決方案,請 移至單一行動裝置管理解決方案。 建議您使用 Intune 來協助保護應用程式和裝置上的組織數據。
如需詳細資訊,請移至 Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置。
步驟 5 - 建立首度發行計劃
下一個工作是規劃用戶和裝置接收原則的方式和時機。 在這項工作中,也請考慮:
- 定義您的目標和成功計量。 使用這些數據點來建立其他推出階段。 請確定目標為 SMART (Specific、Measurable、Attainable、Realistic 和 Timely) 。 規劃在每個階段根據您的目標進行測量,讓您的首度發行專案保持正常執行。
- 具有清楚定義的目標和目標。 將這些目標納入所有認知和訓練活動中,讓使用者瞭解組織選擇 Intune 的原因。
✅ 工作:建立方案以推出原則
此外,選擇使用者在 Intune 中註冊其裝置的方式。 一些考慮:
分階段推出您的原則。 例如:
從試驗或測試群組開始。 這些群組應該知道他們是第一個使用者,並願意提供意見反應。 使用此意見反應來改善設定、檔、通知,並讓使用者在未來推出時更容易使用。 這些使用者不應該是主管或VIP。
初始測試之後,將更多使用者新增至試驗群組。 或者,建立更多著重於不同推出的試驗群組,例如:
部門:每個部門都可以是推出階段。 您一次以整個部門為目標。 在此推出中,每個部門中的使用者可能會以相同方式使用其裝置,並存取相同的應用程式。 使用者可能具有相同類型的原則。
地理位置:將您的原則部署到特定地理位置中的所有使用者,不論是相同的大陸、國家/地區或相同的組織組建。 此推出可讓您專注於使用者的特定位置。 您可以為預先布建的部署方法提供 Windows Autopilot,因為同時部署 Intune 的位置數目較少。 在相同位置可能會有不同部門或不同的使用案例。 因此,您可以同時測試不同的使用案例。
平臺:此推出會同時部署類似的平臺。 例如,將原則部署到 2 月的所有 iOS/iPadOS 裝置、3 月的所有 Android 裝置,以及 4 月的所有 Windows 裝置。 這種方法可能會簡化技術支援人員的支持,因為它們一次只支援一個平臺。
使用分段方法,您可以從各種不同的用戶類型取得意見反應。
試驗成功之後,您就可以開始完整的生產推出。 下列範例是包含目標組和時程表的 Intune 推出計劃:
推出階段 七月 八月 九月 十月 有限試驗 IT (50 位使用者) 展開試驗 IT (200 位使用者) ,IT 主管 (10 位使用者) 生產推出階段 1 銷售與行銷 (2,000 位使用者) 生產推出階段 2 零售 (1,000 位使用者) 生產推出階段 3 HR (50 位使用者) 、財務 (40 位使用者) 、主管 (30 位使用者) 此範本也可以在 Intune 部署規劃、設計和實作 - 數據表範本下載。
選擇使用者如何註冊 其個人和組織擁有的裝置。 您可以使用不同的註冊方法,包括:
- 使用者自助:使用者依照其IT組織提供的步驟註冊自己的裝置。 這種方法最常見,而且比用戶輔助註冊更可調整。
- 用戶輔助註冊:在此預先布建的部署方法中,IT 成員可協助用戶親自或使用Teams完成註冊程式。 這種方法與可能需要更多協助的主管人員和其他群組很常見。
- IT 技術展:在此活動中,IT 群組會設定 Intune 註冊協助中心。 使用者會收到註冊 Intune 資訊、提出問題,以及取得註冊其裝置的協助。 此選項對 IT 和使用者非常有説明,尤其是在 Intune 推出初期階段。
下列範例包含註冊方法:
推出階段 七月 八月 九月 十月 有限試驗 自助 IT 展開試驗 自助 IT 預先布建 IT 主管 生產推出階段 1 銷售、行銷 自助 銷售與行銷 生產推出階段 2 零售業 自助 零售業 生產推出階段 3 主管、人力資源、財務 自助 HR、Finance 預先布建 高管 如需每個平臺之不同註冊方法的詳細資訊,請移至部署指引:在 Microsoft Intune 中註冊裝置。
步驟 6 - 傳達變更
變更管理依賴有關即將進行之變更的清楚且實用的通訊。 其概念是讓部署順暢 Intune,並讓使用者知道任何中斷 & 變更。
✅ 工作:您的推出通訊計劃應該包含重要資訊
此資訊應包括如何通知使用者,以及何時進行通訊。 一些考慮:
判斷要傳達的資訊。 分階段與您的群組和用戶通訊,從 Intune 推出啟動、註冊前,然後註冊后開始:
啟動階段:介紹 Intune 專案的廣泛通訊。 它應該會回答重要問題,例如:
- 什麼是 Intune?
- 組織為何使用 Intune,包括對組織和用戶的權益
- 提供部署和推出的高階計劃。
- 如果除非裝置已註冊, 否則 不允許個人裝置,則請說明您做出決定的原因。
註冊前階段:廣泛通訊,包括使用者和群組將註冊 Intune 時,Intune 和其他服務 (的資訊,例如 Office、Outlook 和 OneDrive) 、用戶資源,以及特定時間軸。
註冊階段:通訊的目標是排程在 Intune 中註冊的組織使用者和群組。 它應該會通知用戶他們已準備好註冊、包含註冊步驟,以及要連絡的人員以取得協助和問題。
註冊后階段:通訊的目標是在 Intune 中註冊的組織使用者和群組。 它應該提供更多可能對使用者有所幫助的資源,並收集有關其註冊期間和註冊后體驗的意見反應。
選擇如何與目標組和用戶溝通 Intune 推出資訊。 例如:
建立整個組織的人員會議,或使用Microsoft Teams。
建立註冊前的電子郵件、註冊的電子郵件,以及註冊后的電子郵件。 例如:
- Email 1:說明優點、期望和排程。 利用此機會展示任何其他服務,其存取權是在由 Intune 管理的裝置上授與。
- Email 2:宣佈服務現在已準備好透過 Intune 進行存取。 告知使用者立即註冊。 在使用者的存取權受到影響之前,為使用者提供時間軸。 提醒用戶移轉的優點和策略性原因。
使用組織網站來說明推出階段、使用者可以預期的功能,以及要連絡的人員以尋求協助。
建立海報、使用組織社交媒體平臺 (例如 Microsoft Viva Engage) ,或發佈飛人來宣告註冊前階段。
建立包含時機和人員的時間軸 。 第一個 Intune 啟動通訊可以以整個組織為目標,或只是一個子集。 它們可能會在 Intune 推出開始前數周進行。 之後,資訊可以分階段傳達給使用者和群組,並符合其 Intune 推出排程。
下列範例是高階 Intune 推出通訊計劃:
通訊計劃 七月 八月 九月 十月 階段 1 全部 啟動會議 第一周 階段 2 IT 銷售與行銷 零售業 HR、Finance 和 Executive 首度發行前 Email 1 第一周 第一周 第一周 第一周 階段3 IT 銷售與行銷 零售業 HR、Finance 和 Executive 首度發行前 Email 2 第二周 第二周 第二周 第二周 階段 4 IT 銷售與行銷 零售業 HR、Finance 和 Executive 註冊電子郵件 第三周 第三周 第三周 第三周 階段 5 IT 銷售與行銷 零售業 HR、Finance 和 Executive 註冊后電子郵件 第四周 第四周 第四周 第四周
步驟 7 - 支援技術支援中心和終端使用者
在 Intune 部署規劃和試驗工作的初期階段包含您的IT支援和技術服務人員。 早期參與會讓您的支持人員 Intune,並獲得更有效地識別和解決問題的知識和經驗。 它也會準備它們以支持組織的完整生產推出。 知識庫和支援小組也可協助用戶採用這些變更。
✅ 工作:訓練您的支援小組
使用部署計劃中的成功計量來驗證用戶體驗。 一些考慮:
判斷誰將支援終端使用者。 組織可以有不同的層級或層級 (1-3) 。 例如,第1層和第2層可能是支援小組的一部分。 第 3 層包含負責 Intune 部署的 MDM 小組成員。
第 1 層通常是第一層的支援,也是要聯繫的第一層。 如果第 1 層無法解決問題,則會呈報至第 2 層。 第 2 層會將其呈報至第 3 層。 Microsoft支援 可能會視為第 4 層。
- 在初始推出階段中,請確定支援小組中的所有層級文件問題和解決方式。 尋找模式,並針對下一個推出階段調整您的通訊。 例如:
- 如果不同的使用者或群組對於註冊其個人裝置感到啟發,請考慮Teams通話來回答常見問題。
- 如果用戶在註冊組織擁有的裝置時遇到相同問題,請裝載親自活動以協助用戶註冊裝置。
- 在初始推出階段中,請確定支援小組中的所有層級文件問題和解決方式。 尋找模式,並針對下一個推出階段調整您的通訊。 例如:
建立技術支援中心工作流程,並持續向支援小組中的所有層級傳達支援問題、趨勢和其他重要資訊。 例如,每天或每周舉辦 Teams 會議,讓所有階層都瞭解趨勢、模式,並可取得協助。
下列範例示範 Contoso 如何實作其 IT 支援或技術服務人員工作流程:
- 用戶連絡 IT 支援人員或技術服務人員第 1 層,但發生註冊問題。
- IT 支援或技術服務人員第1層無法判斷根本原因並呈報至第2層。
- IT 支援或技術服務人員第 2 層調查。 第 2 層無法解決問題並呈報至第 3 層,並提供其他資訊來協助解決問題。
- IT 支援或技術服務人員第 3 層會調查、判斷根本原因,並將解決方案傳達給第 2 層和第 1 層。
- IT 支援/技術服務人員第 1 層接著會連絡使用者,並解決問題。
這種方法,特別是在 Intune 推出初期階段,會新增許多優點,包括:
- 協助了解技術
- 快速識別問題和解決方式
- 改善整體用戶體驗
訓練您的技術支持人員和支援小組。 讓他們註冊執行組織中所使用之不同平臺的裝置,讓他們熟悉此程式。 請考慮使用技術支援中心和支援小組作為您案例的試驗群組。
有一些訓練資源可供使用,包括 YouTube影片、Microsoft透過訓練合作夥伴進行 Windows Autopilot 案例、 合規性、 設定和課程的教學課程。
下列範例是 Intune 支持訓練議程:
- Intune 支援計劃檢閱
- Intune 概觀
- 針對常見問題進行疑難解答
- 工具與資源
- Q & A