Microsoft Intune 包含您可以在組織內的不同裝置上啟用或停用的設定和功能。 這些設定與功能會被加入 設定檔中。
當你用設定檔設定裝置功能時,可以幫助終端用戶更快地在裝置上工作。
你可以為不同裝置和平台建立設定檔,包括 Android、iOS/iPadOS、macOS 和 Windows。 每個平台都有獨特的設定設定。 每個平台通常會有許多裝置設定檔,從防毒設定到自訂設定都有。
當設定檔準備好後,你可以用 Intune 將設定檔套用或「指派」給使用者群組或裝置群組。
重要事項
Android 裝置管理員 (DA) 管理已不再適用於有 Google 行動服務 (GMS) 的裝置。 如果你目前使用 DA 管理,建議切換到其他 Android 管理選項。 部分 Android 15 及更早裝置(不含 GMS)的支援與說明文件仍然可用。 欲了解更多資訊,請參閱 結束對 GMS 裝置 Android 裝置管理員的支援。
作為您的行動裝置管理 (MDM) 解決方案的一部分,請利用這些設定檔完成不同任務。 部分設定檔範例包括:
- 允許或阻止裝置上的藍牙存取。
- 建立一個 WiFi 或 VPN 設定檔,讓不同裝置能存取你的企業網路。
- 管理軟體更新,包括安裝時間。
- 將 Android 裝置當作專用自助機裝置,可以執行一個應用程式,或執行多個應用程式。
- 在 iOS/iPadOS 和 macOS 裝置上,允許使用者在組織中使用 AirPrint 印表機。
提示
如果你用 Microsoft Configuration Manager 管理本地裝置,那麼你可以用共同管理功能將本地設備雲端附加。 共用管理時,你可以用 Configuration Manager 和 Microsoft Intune 來管理 Windows 用戶端裝置。
你可以根據目前在 Configuration Manager 中的政策,在 Intune 中建立所需的裝置設定檔和政策。 欲了解更多關於共同管理的資訊,請參閱「使用 Microsoft Configuration Manager 了解共同管理」。 如需相關資訊,請參閱為 共同管理準備 Intune。
使用範本或設定目錄
在 Intune 中,大多數平台建立裝置設定檔時,有兩種政策類型:範本或設定目錄。
設定目錄列出了所有可設定的設定,且集中在一個地方。 範本包含一組邏輯化的設定群組,用以設定某項功能或概念,例如電子郵件、自助服務終端裝置和裝置韌體。
Intune 有許多範本,包含針對裝置管理不同部分的設定群組,包括存取 VPN、Wi-Fi) 、安全 (防毒軟體、防火牆、憑證) (資源。
你可以建立所有裝置必須具備的基準設定檔,或根據組織需求與安全等級設定特定功能。 欲了解更多資訊,請參閱 Microsoft Intune 中的保護層級與設定。
本文概述了你可以建立的不同類型的個人檔案。 利用這些設定檔來允許或阻止裝置上的某些功能。
憑證
你在 Intune 中使用憑證來驗證使用者,讓他們能透過 VPN、Wi-Fi 或電子郵件設定檔存取應用程式和企業資源。 當你使用憑證來驗證這些連線時,最終使用者不需要輸入使用者名稱和密碼。
憑證也用於使用 S/MIME 來簽署和加密電子郵件。 Intune 中使用的常見憑證類型包括信任的根憑證、簡單憑證註冊通訊協定 (SCEP) 憑證和公開金鑰加密標準 (PKCS) 憑證。
此功能支援:
- Android 裝置系統管理員
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows
自訂設定檔
自訂設定允許管理員指派 Intune 未內建的裝置設定。 在 Android 裝置上,你可以輸入 OMA-URI 值。 對於 iOS/iPadOS 裝置,你可以匯入你在 Apple Configurator 裡建立的設定檔。
此功能支援:
- Android 裝置系統管理員
- iOS/iPadOS
- macOS
- Windows
傳遞最佳化
配送優化 能讓配送軟體更新體驗更佳。
利用這些設定來控制軟體更新如何下載到你組織的裝置。 例如,你可以讓使用者自行取得更新,或使用裝置設定檔中的配送優化雲端服務來獲取更新。
此功能支援:
- Windows
衍生憑證
如果您的組織使用智慧卡進行認證、簽約或加密,則可以使用 衍生憑證。 在 Intune 中,你可以設定並部署由使用者智慧卡衍生的憑證。 衍生憑證常用於 Wi-Fi & VPN 連線、應用程式 & 電子郵件驗證,或 S/MIME 簽 & 加密。
Intune 支援多個衍生憑證發行機構。 每個平台也有自己的設定。
此功能支援:
- Android Enterprise
- iOS/iPadOS
裝置功能
裝置功能 控制 iOS/iPadOS 及 macOS 裝置的功能,如 AirPrint、通知及鎖定畫面訊息。
此功能支援:
- iOS/iPadOS
- macOS
BIOS 設定與 DFCI
透過 BIOS 設定,管理員可以對 BIOS 的存取設置密碼保護,並使用 OEM 工具建立包含他們想要的 BIOS 設定的設定檔。 接著,他們會將這個設定檔加入 Intune 政策中。
裝置韌體設定介面 (DFCI) 允許管理員使用 Intune 啟用或停用 UEFI (BIOS) 設定。 利用這些設定提升韌體層級的安全,因為韌體通常對惡意攻擊更具韌性。
此功能支援:
- Windows
裝置限制
裝置限制 控制安全、硬體、資料共享以及裝置上的更多設定。 例如,建立一個裝置限制設定檔,阻止 iOS/iPadOS 裝置使用者使用裝置攝影機。
還有一些設定會管理應用程式商店的存取、限制用戶在未管理的應用程式中查看企業文件、要求密碼才能解鎖裝置,或要求裝置只能使用特定的 Wi-Fi 網路。
此功能支援:
- Android 裝置系統管理員
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows
網域加入
網域加入(Domain join)用於配置內部部署的 Active Directory 網域資訊。 這些資訊會在使用 Windows Autopilot 和 Intune 配置時部署到 Microsoft Entra 混合加入裝置上。 此設定檔會告訴裝置要加入哪個網域和 OU。
此功能支援:
- Windows
版本升級和模式切換
Windows 版本升級會自動將執行某些版本 Windows 用戶端的裝置升級到新版本。
此功能支援:
- Windows
Education
教育設定 - Windows 為 Windows 測試應用程式設定選項。 當您設定這些選項時,在測試完成之前,裝置上無法執行任何其他應用程式。
教育設定 - iOS/iPadOS 使用 iOS/iPadOS Classroom 應用程式來引導學習並控制教室內的學生裝置。 你可以設定 iPad 裝置,讓許多學生共用同一台裝置。
電子郵件
Email 設定負責建立、指派並監控裝置上的 Exchange ActiveSync 電子郵件設定。 Email 設定檔有助於保持一致性,減少客服電話,並讓終端使用者無需自行設定即可在個人裝置上存取公司電子郵件。
此功能支援:
- Android 裝置系統管理員
- Android Enterprise
- iOS/iPadOS
- Windows
Endpoint Protection
重要事項
此範本於 2024 年 8 月的服務版本 2408) (中被棄用。 現有政策依然有效。 但你不能用這個範本建立新政策。
相反地,請使用設定目錄建立新的政策,來配置 FileVault、防火牆和系統政策控制 (Gatekeeper) 有效載荷。 想了解更多,請前往 macOS 設定目錄。
端點保護負責為 Windows 用戶端裝置配置 BitLocker 和 Microsoft Defender 的設定。 在 macOS 裝置上,你也可以設定防火牆、閘道器和其他資源。
要與Microsoft Intune適用於端點的 Microsoft Defender進行板上操作,請參閱使用行動裝置配置端點裝置管理 (MDM) 工具。
此功能支援:
- macOS
- Windows
eSIM 行動通訊
eSIM Cellular Profiles 讓管理員能在您的受管理裝置上設定行動數據方案以進行網路與數據存取。 取得行動電信業者的啟用碼後,使用 Intune 匯入這些啟動碼,然後分配到支援 eSIM 的裝置。
此功能支援:
- Windows
Extensions
重要事項
此範本於 2024 年 8 月的服務版本 2408) (中被棄用。 現有政策依然有效。 但你不能用這個範本建立新政策。
相反地,請使用設定目錄來建立新的政策來設定系統擴充有效載荷。 想了解更多,請前往 macOS 設定目錄。
macOS 系統擴充與核心擴充功能允許 管理員新增功能或程式,擴展作業系統的原生功能。 設定這些設定讓所有特定開發者或合作夥伴的擴充功能都信任,或允許特定的擴充功能。
此功能支援:
- macOS
Kiosk
自助機設定 檔會設定裝置執行一個應用程式,或執行多個應用程式。 您也可以自訂資訊站上的其他功能,包括開始功能表和網頁瀏覽器。
此功能支援:
Windows
Windows 11 僅支援單一應用程式自助機。
自助機設定也可作為裝置限制,適用於 Android、 Android 企業 (裝置體驗) ,以及 iOS/iPadOS。
MX 配置檔 (斑馬)
MX) (行動擴充功能,擴充內建Intune設定,可自訂或新增更多針對 Zebra 裝置的設定。 斑馬裝置常用於工廠車間及零售環境。 如果你有數百甚至數千台 Zebra 裝置,你可以使用 Intune 來配置和管理這些裝置。
此功能支援:
- Android 裝置系統管理員
適用於端點的 Microsoft Defender
適用於端點的 Microsoft Defender 與 Intune 整合,以監控並協助保護裝置。 你設定風險等級,並判斷如果裝置超過該等級會發生什麼事。 結合條件存取,你可以幫助防止組織內的惡意行為。
此功能支援:
- Windows
網路邊界
網路邊界會 建立一個你組織信任的網站清單。 此功能與 Microsoft Defender 應用程式防護及 Microsoft Edge 一同使用,以協助保護您的裝置。
此功能支援:
- Windows
OEMConfig
在 Android 企業裝置上, OEMConfig 是標準。 它允許原廠製造商 (原始設備製造商) 與 EMM (企業行動管理) ,以標準化方式建構並支援 OEM 專屬功能。
使用 OEMConfig,OEM 會建立一個定義 OEM 專屬管理功能的架構,並將其嵌入上傳至 Google Play 的應用程式中。 Intune 從應用程式讀取結構,並允許 Intune 管理員在結構中設定設定。
此功能支援:
- Android Enterprise (OEMConfig)
偏好檔案
macOS 裝置上的偏好設定檔案包含應用程式資訊。 例如,你可以使用偏好設定檔案來控制瀏覽器設定、自訂應用程式等。
此功能支援:
- macOS
提示
macOS 的設定會持續被加入 設定目錄。 這些設定中有些可以取代偏好設定檔。 欲了解更多資訊,請前往 Intune 的設定目錄中可完成的任務。
設定目錄與群組原則分析
設定目錄列出了所有可設定的設定,且全部集中在一個地方。 它不是模板,也不是設定的邏輯組合。 設定目錄類似於配置本地群組原則物件 (GPO) ,但為雲端原生。
在 Windows 上,有數千種設定可用,其中許多是模板中找不到的。 當你想要所有設定的完整清單時,可以使用設定目錄來建立你的政策。 如果你想用邏輯分組設定,那就繼續用模板。
你可以用 Intune 設定目錄完成的任務是很好的資源。
此功能支援:
- iOS/iPadOS
- macOS
- Android Enterprise
- Android (AOSP)
- Windows
群組原則分析會分析你本地的 GPO。 它是一個幫助你判斷 GPO 在雲端中如何轉換的工具。 輸出顯示所有已棄用的設定,以及 MDM 提供者) (可用或不可用的設定,包括 Microsoft Intune。
此功能支援:
- Windows
共用多使用者裝置
Windows 與 Windows Holographic for Business 包含管理多使用者裝置的設定。 這些裝置稱為共享裝置或共享電腦。 當使用者登入裝置時,你可以選擇是否可以更改睡眠選項,或在裝置上儲存檔案。 再舉一個例子,為了節省空間,你可以建立一個設定檔,刪除 Windows HoloLens 裝置上的非活躍憑證。
這些共享的多使用者裝置設定讓管理員能控制部分裝置功能,並使用 Intune 管理這些共享裝置。
此功能支援:
- Windows
- Windows Holographic for Business
殼層腳本
在 Linux 裝置上,你可以 新增現有的 Bash 腳本 ,來自訂這些裝置的設定和功能。 這個概念類似於建立自訂裝置設定檔,並將政策部署到你的裝置上。 在 Linux 上,你用現有的 Bash 腳本來設定 Intune 裡沒有的功能和設定。
在 macOS 裝置上,你可以 新增現有的 shell 腳本,然後部署到你的 macOS 裝置上。
在 Windows 裝置上,你可以使用 Intune 管理擴充套件將 PowerShell 腳本上傳到 Intune,然後在裝置上執行這些腳本。 也要了解使用擴充功能需要什麼、如何把它們加入 Intune,以及其他重要資訊。
此功能支援:
- Linux
- macOS
- Windows
更新原則
iOS/iPadOS 和 macOS 管理的軟體更新 會教你如何建立並指派政策,在你的 iOS/iPadOS 和 macOS 裝置上安裝軟體更新。 您也可以檢閱安裝狀態。
關於 Windows 裝置的更新政策,請參見 「傳遞優化」。
此功能支援:
- iOS/iPadOS
- macOS
VPN
VPN 設定 會為組織中的使用者和裝置分配 VPN 設定檔,讓他們能輕鬆且安全地連接網路。
虛擬私人網路 (VPN) 可讓使用者安全地從遠端存取公司網路。 裝置使用 VPN 連線設定檔來開始與您的 VPN 伺服器的連線。
此功能支援:
- Android 裝置系統管理員
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows
Wi-Fi
Wi-Fi 設定 會將無線網路設定分配給使用者和裝置。 當你指派 WiFi 設定檔時,使用者就能直接使用你的企業 WiFi,而不必自行設定。
此功能支援:
- Android 裝置系統管理員
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows
Windows 健康情況監視
Windows 健康監控 讓端點分析能收集並分析你的事件資料。 你可以利用這些數據來洞察你的 Windows 裝置,包括軟體更新和啟動效能。
此功能支援:
- Windows
有線網路
有線網路 讓你能為 macOS 和 Windows 桌上型電腦及裝置建立並管理 802.1x 有線連線。 在你的設定檔中,選擇網路介面,選擇可接受的 EAP 類型,並輸入伺服器信任設定,包括 PKCS 和 SCEP 憑證。
當你指派設定檔時,使用者就能直接存取你的企業有線網路,而不必自行設定。
此功能支援:
- macOS
- Windows
Zebra Mobility Extensions (MX)
Zebra Mobility Extensions (MX) 允許管理員在 Intune 中使用和管理 Zebra 裝置。 你可以用設定建立 StageNow 設定檔,然後用 Intune 指派並部署這些設定檔到你的 Zebra 裝置上。 StageNow 的日誌和常見問題是排除設定檔問題和發現使用 StageNow 時潛在問題的絕佳資源。
此功能支援:
- Android 裝置管理員 (Mobility Extensions)
管理與排除故障
管理你的設定檔 ,檢查裝置狀態和已指派的設定檔。 也可以透過查看導致衝突的設定,以及包含這些設定的設定檔來幫助解決衝突。
常見問題與行為與政策與設定檔有助於 管理員操作設定檔。 它描述刪除個人檔案時會發生什麼、通知會被發送到裝置的原因,以及更多內容。
後續步驟
選擇個人檔案,開始吧。