本指南說明如何使用 Microsoft Intune 保護和管理 Windows 應用程式和端點,並包含從必要條件到註冊的設定建議和資源。
針對本指南中的每個區段,請檢閱相關聯的工作。 有些工作是必要的,有些工作,例如設定 Microsoft Entra 條件式存取,是選擇性的。 選取每個區段中提供的連結,移至 Microsoft Learn 上建議的說明檔,您可以在其中找到更詳細資訊和操作說明。
步驟 1:必要條件
完成下列必要條件,以啟用租用戶的端點管理功能:
建議您使用完成工作所需的最低許可權角色。 例如,可以完成裝置註冊工作的最低許可權角色是內建 的原則和設定檔管理員 Intune 角色。
如需內建角色及其可執行動作的詳細資訊,請參閱 具有 Intune 的 RBAC) (角色型存取控制 和 Intune 的內建角色許可權。
如需如何準備組織、上線或採用 Intune 進行行動裝置管理的詳細資訊和建議,請參閱 移轉指南:設定或移至 Microsoft Intune。
步驟 2:規劃您的部署
使用 Microsoft Intune 規劃指南來定義您的裝置管理目標、使用案例案例和需求。 使用本指南來規劃推出、通訊、支援、測試和驗證。 例如,在某些情況下,當員工和學生註冊其裝置時,您不必在場。 建議您制定通訊計劃,讓人員知道在何處尋找安裝和使用 Intune 公司入口網站 的相關資訊。
如需詳細資訊,請參閱 Microsoft Intune 規劃指南。
步驟 3:建立合規性原則
使用合規性原則來確保存取資料的裝置安全並符合組織的標準。 註冊程式的最後階段是合規性評估,以驗證裝置上的設定是否符合您的原則。 裝置使用者必須解決所有合規性問題,才能存取受保護的資源。 Intune 會將未符合合規性需求的裝置標示為 不合規 ,並採取其他動作 (,例如傳送通知、限制存取,或根據您針對 不合規設定的動作 抹除裝置) 。
您可以將 Microsoft Entra 條件式存取原則與裝置合規性原則搭配使用,以控制對 Windows 電腦、公司電子郵件和 Microsoft 365 服務的存取。 例如,您可以建立原則,封鎖員工在 Edge 中存取 Microsoft Teams,而不需要先註冊或保護其裝置。
提示
如需裝置合規性原則的概觀,請參閱 合規性概觀。
| 工作 | 詳細資料 |
|---|---|
| 建立合規性原則 | 取得如何建立合規性原則並將其指派給使用者和裝置群組的逐步指引。 |
| 新增不合規的動作 | 選擇當裝置不再符合合規性原則的條件時會發生什麼情況。 動作範例包括傳送警示、遠端鎖定裝置或淘汰裝置。 您可以在設定裝置合規性原則時新增不合規動作,或稍後編輯原則來新增不合規動作。 |
| 建立 裝置型 或 應用程式型 條件式存取原則 | 選取您要保護的應用程式或服務,並定義存取條件。 |
| 封鎖存取不使用新式驗證的應用程式 | 建立應用程式型條件式存取原則,以封鎖使用 OAuth2 以外的驗證方法的應用程式;例如,那些使用基本和表單型身份驗證的應用程序。 不過,在封鎖存取之前,請先登入 Microsoft Entra ID 並檢閱驗證方法活動報告,以查看使用者是否使用基本驗證來存取您忘記或不知道的重要專案。 例如,會議室行事曆資訊站等會使用基本驗證。 |
| 新增自訂合規性設定 | 透過自訂合規性設定,您可以撰寫自己的 Bash 腳本,以解決 Microsoft Intune 內建的裝置合規性選項中尚未包含的合規性案例。 本文說明如何建立、監視及疑難排解 Windows 裝置的自訂合規性原則。 自訂合規性設定需要您 建立自訂指令碼 來識別設定和值組。 |
步驟 4:設定端點安全性
使用 Intune 端點安全性功能來設定裝置安全性,並管理有風險之裝置的安全性工作。
| 工作 | 詳細資料 |
|---|---|
| 使用端點安全性功能管理裝置 | 使用 Intune 中的端點安全性設定來有效管理裝置安全性,並補救裝置的問題。 |
| 新增端點保護設定 | 設定常見的端點保護安全性功能,例如防火牆、BitLocker 和 Microsoft Defender。 如需此區域中設定的說明,請參閱 端點保護設定參考。 |
| 在 Intune 中設定適用於端點的 Microsoft Defender | 當您將 Intune 與 適用於端點的 Microsoft Defender 整合時,您不僅有助於防止安全性缺口,而且可以利用 TVM) (端點威脅 & 弱點管理的Microsoft Defender,並使用 Intune 補救 TVM 所識別的端點弱點。 |
| 管理 BitLocker 原則 | 建立在受控裝置上設定 BitLocker 的原則,確保裝置在註冊時加密。 |
| 管理安全性基準設定檔 | 使用 Intune 中的安全性基準來協助您保護使用者和裝置。 安全性基準包含影響安全性之設定的最佳做法和建議。 |
| 使用 Windows Update 用戶端原則進行軟體更新 | 使用 Windows Update 用戶端原則設定 Windows Update 推出策略。 本文會向您介紹可用來管理 Windows 軟體更新的原則類型,以及如何從更新通道延遲轉換至功能更新原則。 |
步驟 5:設定裝置設定
使用 Microsoft Intune 在裝置上啟用或停用 Windows 設定和功能。 若要設定和強制執行這些設定,請建立裝置組態配置檔,然後將配置檔指派給組織中的群組。 裝置註冊後會收到設定檔。
| 工作 | 詳細資料 |
|---|---|
| 建立裝置設定檔 | 在 Microsoft Intune 中建立裝置配置檔,並尋找所有裝置配置檔類型的相關資源。 |
| 設定裝置設定 | 使用設定目錄來設定 Microsoft Intune 中的設定。 設定目錄包含數百個設定,您可以針對 Microsoft Edge、OneDrive、遠端桌面、Office 應用程式等進行設定。 這些設定的感覺與 群組原則 Objects (GPO) 類似,而且它們是 100% 雲端式的。 |
| 設定 Wi-Fi 設定檔 | 此設定檔可讓使用者尋找並連線到貴組織的 Wi-Fi 網路。 如需此區域中設定的描述,請參閱 Windows 的 Wi-Fi 設定參考。 |
| 設定 VPN 設定檔 | 為連線到組織網路的人員設定安全的 VPN 選項,例如 Microsoft Tunnel。 如需此區域中設定的說明,請參閱 VPN 設定參考。 |
| 設定電子郵件設定檔 | 設定電子郵件設定,讓使用者可以連線到郵件伺服器,並存取其公司或學校電子郵件。 如需此區域中設定的說明,請參閱 電子郵件設定參考。 |
| 限制裝置功能 | 透過限制使用者可以在工作或學校使用的裝置功能,保護使用者免受未經授權的存取和乾擾。 如需此區域中設定的描述,請參閱 Windows 的裝置限制參考。 |
| 設定自訂設定檔 | 新增和指派未內建於 Intune 中的裝置設定和功能。 如需此區域中設定的說明,請參閱 自訂設定參考。 |
| 配置 BIOS 設定 | 設定 Intune,以便您可以使用裝置韌體組態介面 (DFCI) ,控制已註冊裝置上的 UEFI (BIOS) 設定 |
| 設定網域加入 | 如果您打算註冊已加入 Microsoft Entra 的裝置,請務必建立網域加入配置檔,讓 Intune 知道要加入的內部部署網域。 |
| 設定傳遞優化設定 | 使用這些設定來減少下載應用程式和更新的裝置的頻寬消耗。 |
| 自訂品牌和註冊體驗 | 使用組織自己的文字、品牌、螢幕喜好設定和連絡資訊,自訂 Intune 公司入口網站 和 Microsoft Intune 應用程式體驗。 |
| 設定資訊站和專用裝置 | 建立 Kiosk 設定檔來管理在 Kiosk 模式下執行的裝置。 |
| 自訂共用裝置 | 控制共用或多使用者裝置上的存取、帳戶和電源功能。 |
| 設定網路界限 | 建立網路界限設定檔,以保護您的環境免受您不信任的網站的影響。 |
| 設定 Windows 健康情況監視 | 建立 Windows 健康情況監視設定檔,以允許 Microsoft 收集效能相關資料,並提供改善建議。 建立配置檔會啟用 Microsoft Intune 中的端點分析功能,以分析收集的數據、建議軟體、協助改善啟動效能,以及修正常見的支援問題。 |
| 設定學生的參加測驗應用程式 | 為在已註冊裝置上參加測驗或測驗的學生設定參加測驗應用程式。 |
| 設定 eSim 行動數據設定檔 | 您可以為支援 ESIM 的裝置 (例如 Surface LTE Pro) 設定 eSIM,以透過行動數據連線連線到網際網路。 這種配置非常適合需要在旅行時保持聯繫和靈活性的全球旅行者,並且無需 SIM 卡。 |
步驟 6:設定安全驗證方法
在 Intune 中設定驗證方法,以確保只有授權人員才能存取您的內部資源。 Intune 支援多重要素驗證、憑證和衍生認證。 憑證也可用於使用 S/MIME 簽署和加密電子郵件。
| 工作 | 詳細資料 |
|---|---|
| 需要多重要素驗證 (MFA) | 要求人員在裝置註冊時提供兩種形式的認證。 此原則可與 Microsoft Entra 條件式存取原則搭配使用。 |
| 建立受信任的憑證設定檔 | 在建立 SCEP、PKCS 或 PKCS 匯入的憑證設定檔之前,請先建立並部署受信任的憑證設定檔。 受信任的憑證設定檔會使用 SCEP、PKCS 和 PKCS 匯入的憑證,將受信任的根憑證部署至裝置和使用者。 |
| 搭配 Intune 使用 SCEP 憑證 | 瞭解搭配 Intune 使用 SCEP 憑證所需的專案,並設定必要的基礎結構。 然後,您可以 建立 SCEP 憑證設定檔 ,或 使用 SCEP 設定第三方憑證授權單位。 |
| 搭配 Intune 使用 PKCS 憑證 | 設定必要的基礎結構 (,例如內部部署憑證連接器) 、匯出 PKCS 憑證,以及將憑證新增至 Intune 裝置組態配置檔。 |
| 搭配 Intune 使用匯入的 PKCS 憑證 | 設定匯入的 PKCS 憑證,讓您能夠 設定及使用 S/MIME 來加密電子郵件。 |
| 設定衍生認證簽發者 | 使用衍生自使用者智慧卡的憑證佈建 Windows 裝置。 |
| 將 Windows Hello 企業版與 Microsoft Intune 整合 | 建立 Windows Hello 企業版原則,以在裝置註冊期間啟用或停用 Windows Hello 企業版。 Hello for Business 是一種替代登入方法,它使用 Active Directory 或 Microsoft Entra 帳戶來取代密碼、智慧卡或虛擬智慧卡。 |
步驟 7:部署應用程式
當您設定應用程式和應用程式原則時,請考慮組織的需求,例如您將支援的平台、人員執行的工作、完成這些工作所需的應用程式類型,以及需要這些工作的人員。 您可以使用 Intune 來管理整個裝置 (,包括) 的應用程式,或使用 Intune 來僅管理應用程式。
| 工作 | 詳細資料 |
|---|---|
| 新增企業營運應用程式 | 將 Windows 企業營運 (LOB) 應用程式新增至 Intune,並指派給群組。 |
| 新增 Microsoft Edge | 新增並指派適用於 Windows 的 Microsoft Edge。 |
| 從 Microsoft Store 新增 Intune 公司入口網站應用程式 | 手動新增並指派 Intune 公司入口網站 應用程式為必要應用程式。 |
| 新增適用於 Windows Autopilot 的 Intune 公司入口網站應用程式 | 將公司入口網站應用程式新增至 Windows Autopilot 所佈建的裝置。 |
| 新增 Microsoft 365 應用程式 | 新增 Microsoft 365 Apps 企業版。 |
| 將應用程式指派給群組 | 將應用程式新增至 Intune 之後,請將它們指派給使用者和裝置。 |
| 包含和排除應用程式指派 | 透過在指派中包含和排除選取的群組來控制應用程式的存取和可用性。 |
| 使用 PowerShell 腳本 | 上傳 PowerShell 腳本以擴充 Intune 中的 Windows 裝置管理功能,並讓您更輕鬆地移至新式管理。 |
步驟 8:註冊裝置
在註冊期間,裝置會向 Microsoft Entra ID 註冊,並評估合規性。 如需每個註冊方法的相關資訊,以及如何選擇適合您組織的註冊方法,請參閱 Microsoft Intune 的 Windows 裝置註冊指南。
| 工作 | 詳細資料 |
|---|---|
| 啟用 MDM 自動註冊 | 藉由啟用自動註冊來簡化註冊,這會自動在 Intune 中註冊加入或註冊您的 Microsoft Entra ID 的裝置。 自動註冊可簡化 Windows Autopilot 部署、BYOD 註冊、使用群組原則註冊,以及透過布建套件大量註冊。 |
| 啟用 MDM 伺服器的自動探索 | 如果您沒有 Microsoft Entra 標識碼 P1 或 P2,建議您為 Intune 註冊伺服器建立 CNAME 記錄類型。 CNAME 記錄會將註冊要求重新導向至正確的伺服器,讓註冊使用者不需要手動輸入伺服器名稱。 |
| Windows Autopilot 案例 | 藉由將 Microsoft Intune 裝置註冊設定為在 Windows Autopilot 期間自動發生,為您和您的使用者簡化使用者驅動或自我部署 OOBE。 |
| 使用 Windows Autopilot 註冊 Microsoft Entra 混合式聯結裝置 | 適用於 Active Directory 的 Intune 連接器可讓 Active Directory 網域服務中的裝置加入 Microsoft Entra ID,然後自動註冊 Intune。 我們建議使用此註冊選項,適用於使用 Active Directory 網域服務且目前無法將其身分識別移至 Microsoft Entra ID 的內部部署環境。 |
| 使用群組原則註冊裝置 | 使用群組原則觸發自動註冊 Intune。 |
| 大量註冊裝置 | 在 Windows 設定Designer中建立布建套件,以將大量新的 Windows 裝置聯結至 Microsoft Entra ID,並在 Intune 中註冊它們。 |
| 設定 ESP) (註冊狀態頁面 | 使用自訂設定建立註冊狀態頁面設定檔,以引導使用者完成裝置設定和註冊。 |
| 變更裝置擁有權標籤 | 註冊裝置之後,您可以在 Intune 中將其擁有權標籤變更為公司擁有或個人擁有。 此調整會變更您管理裝置的方式,而且可以在 Intune 中啟用更多管理和識別功能,或限制它們。 |
| 疑難排解註冊問題 | 疑難排解並尋找註冊期間發生的問題的解決方案。 |
步驟 9:執行遠端動作
設定裝置之後,您可以使用支援的遠端動作來遠端管理和疑難排解裝置。 下列文章會向您介紹 Windows 的遠端動作。 如果入口網站中缺少或停用動作,則 Windows 不支援該動作。
| 工作 | 詳細資料 |
|---|---|
| 在裝置上採取遠端動作 | 瞭解如何在 Intune 中向下切入、遠端管理和疑難排解個別裝置。 本文列出 Intune 中可用的所有遠端動作,以及這些程式的連結。 |
| 使用 TeamViewer 遠端管理 Intune 裝置 | 在 Intune 中設定 TeamViewer,並瞭解如何從遠端管理裝置。 |
| 使用安全工作來檢視威脅和弱點 | 使用 Intune 補救適用於端點的 Microsoft Defender 所識別的端點弱點。 您必須先將適用於適用於端點的 Microsoft Defender 與 Intune 整合,才能使用安全性工作。 |
第 10 步:幫助員工和學生
本節中的資源位於 Microsoft Intune 使用者說明檔中。 本檔適用於註冊個人或公司提供的裝置的員工、學生和其他 Intune 授權裝置使用者。 檔連結可在整個 Intune 公司入口網站應用程式中使用,並指向下列相關資訊:
- 註冊方法,以及如何註冊的逐步解說
- 公司入口網站設定和功能
- 如何取消註冊和移除儲存的資料
- 更新裝置設定以符合合規性需求
- 如何回報應用程式問題
提示
讓貴組織的作業系統需求和裝置密碼需求易於在您的網站或上線電子郵件中找到,這樣員工就不必延遲註冊來尋找該資訊。
| 工作 | 詳細資料 |
|---|---|
| 安裝適用於 Windows 的 Intune 公司入口網站應用程式 | 瞭解從何處取得公司入口網站應用程式,以及如何登入。 |
| 更新公司入口網站應用程式 | 本文說明如何安裝最新版本的公司入口網站,以及如何開啟自動應用程式更新。 |
| 註冊裝置 | 本文說明如何註冊執行 Windows 的個人裝置。 |
| 取消註冊裝置 | 本文說明如何從 Intune 取消註冊裝置,並刪除公司入口網站儲存的快取和記錄。 |
後續步驟
如需 Microsoft Intune 系統管理中心的概觀,以及如何瀏覽它,請參閱 教學課程:逐步解說 Microsoft Intune 系統管理中心。 教學課程是 100 – 200 層級的內容,適用於 Intune 或特定案例的新手。
如需本指南的其他版本,請參閱: