遷移至雲端原生端點的高階規劃指南

這份高層次規劃指南包含了你需要考慮的點子與建議，以協助你採用並遷移到雲端原生端點。 內容涵蓋裝置管理、檢視 & 轉移現有工作負載、組織變更、Windows Autopilot 的使用

本功能適用於：

• Windows 雲端原生端點

將 Windows 端點遷移到雲端原生有許多優點，包括長期的優勢。 這不是一蹴可幾的過程，必須規劃以避免問題、中斷及負面影響。

想了解更多關於對組織及使用者的好處，請參考 「什麼是雲端原生端點」。

為了成功，請考慮本文中描述的規劃與部署關鍵領域。 只要有適當的規劃、溝通與流程更新，你的組織就能成為雲端原生。

使用雲端原生 MDM 供應商管理裝置

管理您的端點，包括雲端原生端點，是所有組織都必須完成的重要任務。 使用雲端原生端點時，你使用的管理工具必須在端點所在的任何地方進行管理。

如果你目前沒有使用行動裝置管理 (MDM) 解決方案，或想轉向Microsoft解決方案，以下文章是很好的資源：

• 什麼是 Microsoft Intune？
• 開始使用 Microsoft Intune

使用 Microsoft Intune 產品與服務系列，您擁有以下端點管理選項：

• Microsoft Intune：Intune 完全雲端，並使用 Intune 管理中心來管理裝置、管理裝置上的應用程式、建立 & 部署政策、審查報告資料等。

  欲了解更多使用 Intune 管理端點的資訊，請前往：

  • Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置
  • 部署指南：設定或遷移至 Microsoft Intune
  • Microsoft Intune 規劃指南

• Microsoft Configuration Manager：Configuration Manager 使用本地架構，並能管理伺服器。 使用共管理時，有些工作負載使用Configuration Manager (本地) ，有些工作負載則使用Microsoft Intune (雲端) 。

  對於雲端原生端點，您的Configuration Manager解決方案應使用雲端管理閘道 (CMG) 與共管理。

檢視你的端點和使用者工作負載

從高層次來看，部署雲端原生端點需要現代化的策略，涵蓋身份、軟體分發、裝置管理、作業系統更新，以及使用者資料 & 設定管理。 Microsoft 有解決方案支援這些區域，適用於你的雲原生端點。

首先，檢視每個工作負載，並判斷它們如何或將如何支援你的雲端原生端點。 部分工作負載可能已經支援雲端原生端點。 原生支援則取決於具體的工作負載、組織如何實作工作負載服務，以及使用者如何使用這些服務。

要判斷你的工作負載是否支援雲端原生端點，你需要調查並驗證這些服務。

如果某項服務或解決方案不支援雲端原生端點，請評估其對使用者及組織的影響與重要性。 當您掌握這些資訊後，可以決定下一步，可能包括：

• 與服務供應商合作
• 更新至新版本
• 使用新服務
• 實作一個繞過方法，讓從雲端原生端點存取並使用該服務
• 驗證服務需求
• 接受這項服務不支援雲端原生，這對你的用戶和組織來說或許是可以接受的

無論如何，你應該計劃更新工作負載以支援雲端原生端點。

你的工作負載應該具備以下特性：

• 安全存取使用者所在地點的應用程式與資料。 存取不需要連接到企業或內部網路。
• 可透過雲端服務託管、託管或託管。
• 不需要也不需要特定裝置。

常見工作負載與解決方案

雲端原生端點也包含支援端點的服務與工作負載。

以下工作負載包括用於提升使用者生產力與端點管理的設定、工具、流程與服務。

你對雲端原生端點的工作負載、細節以及如何更新工作負載可能會有所不同。 而且你不需要每次工作都轉換。 但你確實需要考慮每個工作負載、它對使用者生產力的影響，以及裝置管理能力。 將某些工作負載轉換為雲端原生端點可能會比其他工作負載花費較長時間。 工作負載之間也可能相互依賴。

• 裝置識別

  裝置的身份由擁有該裝置 (資訊並與該裝置建立安全信任的身份提供者 IdP) 決定。 對於 Windows 端點來說，最常見的 IdP 是 內部部署的 Active Directory (AD) 和 Microsoft Entra ID。 擁有這些 IdP 身份的端點通常會與其中一個 IdP 連接，或同時連接於兩者。

  • 對於雲端原生端點，Microsoft Entra join 是裝置身份的最佳選擇。 它不需要與本地網路、資源或服務連接。
  • 本地 AD 加入與混合式 Microsoft Entra 加入需要連接本地網域控制器。 他們需要連線以進行初始使用者登入、傳遞群組政策及更改密碼。 這些選項不適合雲端原生端點。

  注意事項

  Microsoft Entra註冊，有時稱為職場加入，僅適用於自帶裝置 (自帶裝置) 情境。 它不應該用於組織自有的 Windows 端點。 部分功能可能無法在 Microsoft Entra 註冊的 Windows 端點上正常運作或支援。

• 配置你的端點

  對於新部署的 Microsoft Entra 連接端點，請使用 Windows Autopilot 預先設定裝置。 加入 Microsoft Entra 通常是由使用者主導的任務，而 Windows Autopilot 的設計也以使用者為核心。 Windows Autopilot 允許從網際網路的任何位置、任何使用者使用雲端來進行配置。

  如需詳細資訊，請移至:

  • Windows Autopilot 概觀
  • Windows Autopilot 案例和功能

• 部署軟體與應用程式

  大多數使用者需要並使用核心作業系統未包含的軟體與應用程式。 很多情況下，IT 部門並不了解或不了解具體的應用程式需求。 然而，交付和管理這些應用程式仍是您的 IT 團隊的責任。 使用者應該能夠請求並安裝他們所需的應用程式，無論他們使用的端點或從哪裡使用。

  • 要部署軟體和應用程式，請使用雲端系統，如 Intune 或 Configuration Manager (，搭配 CMG 與共同管理) 。

  • 建立一個終端必須具備的應用程式基準，例如 Microsoft Outlook 和 Teams。 其他應用程式則允許使用者安裝自己的應用程式。

    在你的端點上，你可以使用公司入口網站應用程式作為應用程式儲存庫。 或者，使用面向使用者的入口網站，列出可安裝的應用程式。 此自助服務選項可縮短新舊裝置的配置時間。 這也減輕了 IT 的負擔，且不必部署用戶不需要的應用程式。

  如需詳細資訊，請移至:

  • 使用 Microsoft Intune 進行 Windows 應用程式部署
  • Configuration Manager 中應用程式管理的介紹
  • Windows 11 中的私人應用程式倉庫

• 使用政策設定裝置設定

  政策與安全管理是端點管理的核心。 端點政策允許您的組織在受管理端點上強制執行特定的安全基線與標準設定。 你可以在端點上管理和控制許多設定。 請 建立只設定基準中所需內容的政策。 不要 建立控制共同使用者偏好的政策。

  • 傳統使用群組政策執行在雲端端點上是不可能的。 相反地，你可以使用 Intune 建立政策來設定許多設定，包括內建的功能如設定目錄。

    你可以利用 Intune 中的群組原則分析來參考和分析現有的 GPO，這讓你能查看 GPO 內的設定是否支援雲端。 群組原則分析也允許你從 GPO 建立 Intune 政策，如果這是你組織的正確步驟。 一般而言，我們建議客戶實施符合其需求的政策，而非直接將現有 GPO 遷移至 Intune。 當你根據需求建立政策時，就能合理化、優化並精簡你的 Intune 政策。

  • 如果你已有發行憑證、管理 BitLocker 並提供端點保護的政策，那麼你需要用 CMG 和共管理) 在Intune或Configuration Manager (中建立新的政策。

    如需詳細資訊，請移至:

    • 在 Microsoft Intune 中使用憑證進行驗證
    • Intune 端點安全的磁碟加密政策
    • 在 Intune 中新增端點保護設定
    • Configuration Manager 中的憑證
    • Configuration Manager 中的 BitLocker 管理
    • Configuration Manager 中的端點保護

• 部署安全性、功能及應用程式更新

  許多本地部署解決方案無法有效部署到雲端原生端點的更新。 從安全角度來看，這項工作量可能是最重要的。 它應該是你第一個轉用來支援雲端原生 Windows 端點的工作負載。

  • 使用雲端系統部署 Windows 更新，例如 Windows Update 客戶端政策。 利用 Intune 或 Configuration Manager (搭配 CMG 與共同管理) ，你可以利用Windows Update客戶端政策部署安全更新與功能更新。

    如需詳細資訊，請移至:

    • 管理 Intune 中的 Windows 軟體更新
    • 將配置管理器與 Windows Update 用戶端政策整合
    • 選擇如何管理 Microsoft 365 Apps 的更新

  • 使用以下選項部署 Microsoft 365 應用程式更新：

    • Intune：建立一個政策，設定更新頻道、移除其他應用程式版本等等。
    • Configuration ManagerCMG 和共同管理) 的 (：管理你的應用程式，包括更新統計、複製、退休等。

    如需詳細資訊，請移至:

    • 使用 Microsoft Intune 將 Microsoft 365 應用程式加入 Windows 裝置
    • Configuration Manager 應用程式的管理任務

• 管理使用者資料與設定

  使用者資料包括以下項目：

  • 使用者文件
  • 郵件應用程式設定
  • 網頁瀏覽器的最愛
  • 業務線 (LOB) 應用程式特定資料
  • 業務線 (LOB) 應用程式專屬設定

  使用者需要從任何端點建立並存取他們的資料。 這些資料也需要受到保護，且可能需要與其他使用者分享。

  • 將使用者資料和設定儲存在雲端儲存服務商中，例如 Microsoft OneDrive。 雲端儲存服務商能處理資料同步、共享、離線存取、衝突解決等多項事務。

    欲了解更多資訊，請參閱 OneDrive 企業指南。

  重要事項

  部分使用者設定，如作業系統偏好設定或應用程式專屬設定，會儲存在登錄檔中。 從任何地方存取這些設定可能不切實際，且可能無法與不同端點同步。

  這些設定有可能可以匯出，然後匯入到其他裝置。 例如，你可以匯出 Outlook、Word 及其他 Office 應用程式的使用者設定。

• 存取內部部署的資料

  有些組織無法將部分工作負載轉換到雲端原生解決方案。 唯一的選擇可能是從雲端原生端點存取現有的本地資源或服務。 在這些情境下，使用者需要存取權限。

  針對這些本地服務、資源與應用程式，請考慮以下任務：

  • 認證與授權：要從雲端原生端點存取本地資源，使用者需驗證身份。 欲了解更多具體資訊，請前往 「認證與存取本地資源」，使用雲端原生端點。

  • 連網性：檢視並評估僅存在於本地的應用程式 & 資源。 這些資源的連線與存取應該在外部可用，且不需直接連線，例如VPN。 這項任務可能包括將應用程式遷移到 SaaS 版本，使用 Microsoft Entra 應用程式 Proxy、Azure 虛擬桌面、Windows 365、SharePoint、OneDrive 或 Microsoft Teams。

  注意事項

  Microsoft Entra 不支援 Kerberos 認證協定。 本地 AD 支援 Kerberos 認證協定。 在規劃過程中，你可能會進一步了解 Microsoft Entra Kerberos。 設定後，使用者可使用其 Microsoft Entra 帳號登入雲端原生端點，並可存取使用 Kerberos 認證的本地應用程式或服務。

  Microsoft Entra Kerberos：

  • 雲端原生解決方案中沒有使用。
  • 這並不能解決需要透過 Microsoft Entra 認證的資源連線問題。
  • 這不是任何透過 Microsoft Entra 進行網域認證的解決方案或變通方法。
  • 但未涵蓋已知問題中列出的機器驗證挑戰 及重要資訊。

  想更深入了解 Microsoft Entra Kerberos 及其可處理的情境，請造訪以下部落格：

  • 我們為何打造 Kerberos Microsoft Entra (開設外部網站)
  • 深入探討：Kerberos Microsoft Entra運作方式 (開啟另一個Microsoft網站)
  • Kerberos 如何運作Microsoft Entra (syfuhs.net) (開啟外部網站)

分階段轉換你的工作負載

現代化工作負載並採用雲端原生端點，需要對營運流程與程序進行調整。 例如：

• 管理員需要了解對現有工作負載的變更如何可能改變他們的流程。
• 服務台需要了解他們將支援的新情境。

在檢視端點與工作負載時，將轉換拆解成不同階段。 本節概述了貴組織可採用的一些建議階段。 這些階段可以重複多次，視需要而定。

✅ 第一階段：了解你的工作負載

這個階段是資訊蒐集階段。 它幫助你釐清組織在轉型到雲端原生時必須考慮的範圍。 它涉及明確定義環境中每個工作負載所涉及的服務、產品和應用程式。

在這個階段：

1. 盤點你目前的工作量資訊與細節。 例如，了解它們目前的狀態、提供什麼、服務對象、維護者、是否對 cloud-native 至關重要，以及它們是如何託管的。

   當你擁有這些資訊後，就能理解並定義最終目標，應該是：

   • 支援雲端原生端點
   • 了解每個工作負載所使用的服務、產品與應用程式

   你需要與不同服務、產品和應用程式的擁有者協調。 你要確保雲端原生端點能在沒有連線或地點限制的情況下，支持使用者的生產力。

   常見服務與應用的例子包括業務線 (LOB) 應用程式、內部網站、檔案分享、認證要求、應用程式與作業系統更新機制，以及應用程式設定。 基本上，它們包含了使用者完成工作所需的一切。

2. 驗證每個工作負載的終端狀態。 找出已知的阻擋因素，阻止達成此終端狀態或阻止支援雲端原生端點。

   部分工作負載及其服務 & 應用程式可能已經支援雲端或啟用。 有些則可能不會。 要達到每個工作負載的最終狀態，可能需要組織投入 & 努力。 這可能包括更新軟體、「提升並轉移」到新平台、遷移到新解決方案，或進行設定變更。

   每個工作量所需的步驟因組織而異。 它們取決於服務或應用程式是如何被用戶架設和存取的。 此終端狀態應解決主要挑戰：讓使用者無論地點或內部網路連接如何，都能在雲端原生端點上完成工作。

   根據每個定義的終端狀態，你可能會發現或定義啟用某服務或應用程式是困難或被阻擋的。 這種情況可能因多種原因發生，包括技術或財務限制。 這些限制必須被明確且理解。 你需要檢視它們的影響，並決定如何將每個工作負載移至對雲端原生友善。

✅ 第二階段：優先處理阻擋者

在你辨識出關鍵工作負載及其終端狀態阻擋器後，接著：

1. 優先排序每個阻礙因素，並評估每個阻礙因素的解決。

   你可能不想或需要解決所有阻礙。 舉例來說，你的組織可能有部分工作負載，或部分工作負載不支援你的雲端原生端點。 這種缺乏支援對你的組織或使用者來說可能有嚴重影響，也可能沒有。 你和你的組織可以做出這個決定。

2. 為了支援測試與概念驗證 (POC) ，請先設定最低工作負載。 目標是測試並驗證你的工作負載樣本。

   作為 POC 的一部分，先在試點中識別一組使用者和裝置，以執行真實世界的生產情境。 此步驟有助於證明最終狀態是否能促進使用者生產力。

   在許多組織中，有一個角色或業務團隊較容易遷移。 例如，你可以在你的 POC 中針對以下情境進行目標：

   • 高度行動化的銷售團隊，主要需求是生產力工具與線上客戶關係管理解決方案
   • 知識工作者主要存取已存在雲端的內容，並高度依賴 Microsoft 365 應用程式
   • 前線員工裝置，行動性高，或處於無法存取組織網路的環境中

   針對這些團體，檢視他們的工作量。 確定這些工作負載如何轉向現代管理，包括身份認證、軟體發行、裝置管理等。

   在你的試播集裡，每個區域的物品或任務數量都應該很少。 這個初步試點能幫助你建立更多團隊所需的流程與程序。 這也有助於制定長期策略。

   欲獲得更多指導與建議，請參閱 Microsoft Intune 規劃指南。 它適用於 Intune，但也包含一些關於使用試點群組和制定推廣計畫的指引。

✅ 第三階段：轉換你的工作負載

在這個階段，你已經準備好實施你的改變。

1. 將未阻塞的工作負載移至你規劃中的雲端原生解決方案或終端狀態。 理想情況下，這個步驟會被拆分成較小的工作項目。 目標是以最小的干擾持續營運。

2. 在第一組工作負載支援雲端原生端點後，識別更多工作負載，並繼續此過程。

✅ 第四階段：準備你的使用者

使用者在接收、部署及獲得支援時，體驗各異。 管理者應該：

• 檢視現有流程與文件，找出哪些變更對使用者可見。
• 更新文件。
• 制定教育策略，分享使用者將體驗到的變化與好處。

分階段進行組織轉型

以下階段是組織將環境遷移至支援雲端原生 Windows 端點的高階方法。 這些階段與終端機與使用者工作負載的轉換並行進行。 它們可能依賴某些工作負載部分或全部轉移以支援雲端原生 Windows 端點。

✅ 第一階段：定義終點、依賴與里程碑

此階段是您的組織遷移完全雲端原生的第一步。 檢視你目前擁有的設備，定義成功標準，並開始規劃你的裝置如何被加入 Microsoft Entra。

1. 定義需要雲端身份的端點

   • 使用網際網路連線的端點需要雲端身份。 你會把這些端點加入 Microsoft Entra。
   • 不使用網際網路或僅在本地使用的端點不應該擁有雲端身份。 不要把這些情境遷移成雲端原生。

2. 定義相依關係

   工作負載、使用者與裝置有技術與非技術依賴。 為了在對使用者和組織影響最小的情況下完成轉換，你必須考慮這些依賴性。

   例如，依賴關係可以是：

   • 業務流程與持續性
   • 安全標準
   • 地方法律與規定
   • 使用者對工作負載的了解與使用
   • 資本、營運成本與預算

   針對每個工作負載，請問「如果我們改變這個工作負載所提供的服務，會受到哪些影響？」 您必須考慮此變動的影響。

3. 為每個工作負載定義里程碑與成功標準

   每個工作量都有其獨特的里程碑與成功標準。 它們可以根據組織對工作負載的使用情況及其對特定端點和使用者的適用性來決定。

   為了理解並定義過渡的進展，請追蹤並監控這些資訊。

4. 規劃您的 Windows Autopilot 部署

   • 確定裝置將何時以及如何註冊給您的組織。
   • 確定並建立必要的群組標籤，以針對你的 Windows Autopilot 政策。
   • 建立你的 Windows Autopilot 設定檔，並鎖定會接收你設定檔的裝置。

   如需詳細資訊，請移至:

   • Windows Autopilot 概觀
   • Windows Autopilot 案例和功能

✅ 第二階段：啟用端點雲端混合身份 (可選)

為了實現完全雲端原生，Microsoft 建議在硬體更新週期中重置現有的 Windows 端點。 當你重置時，端點會恢復到出廠設定。 裝置上的所有應用程式、設定和個人資料都會被刪除。

如果你還沒準備好重置端點，可以啟用混合式 Microsoft Entra 加入。 雲端身份是為混合型 Microsoft Entra 加入端點建立的。 請記住，混合式 Microsoft Entra join 仍然需要本地連線。

請記住，混合式 Microsoft Entra join 只是向雲端原生過渡的一步，並非最終目標。 最終目標是讓所有現有端點完全實現雲端原生。

當端點完全雲端原生時，使用者資料會儲存在像 OneDrive 這樣的雲端儲存服務提供者中。 因此，當端點被重置時，使用者的應用程式、設定和資料仍然可存取，並能複製到新配置的端點。

如需詳細資訊，請移至:

• Microsoft Entra 加入 vs. 混合式 Microsoft Entra 加入
• 配置混合式 Microsoft Entra 加入

✅第三階段：雲附著Configuration Manager (可選)

如果你用 Configuration Manager，那就把你的環境雲端綁定到 Microsoft Intune。 如果你不使用 Configuration Manager，那就跳過這個步驟。

當你雲端連接時，可以遠端管理你的客戶端點，與Intune (雲端) 和Configuration Manager (本地端) 共同管理端點，並存取Intune管理中心。

如需更具體的資訊，請前往雲端，附加您的 Configuration Manager 環境，並瀏覽 Microsoft Intune 管理中心。

✅第四階段：建立一個 Microsoft Entra 連接的概念驗證

這個關鍵階段隨時可能開始。 它有助於識別潛在問題、未知問題，並驗證整體功能及這些問題的解決方案。 與所有 POC 一樣，目標是在實際企業環境中證明並驗證功能，而非實驗室環境。

此階段的重要步驟包括：

1. 使用 Intune 實作最低基準配置

   此步驟非常重要。 你不想在網路或生產環境中引入端點：

   • 不要遵循你組織的安全標準
   • 沒有設定讓使用者能完成他們的工作。

   這個最低配置不應該套用所有可能的配置。 請記住，目的是發現更多使用者成功所需的配置。

2. 配置 Windows Autopilot for Microsoft Entra 加入端點

   使用 Windows Autopilot 來配置新端點並重新配置現有端點，是將 Microsoft Entra 加入系統引入組織的最快速方式。 這是有色人種（POC）中很重要的一部分。

3. 為 Microsoft Entra 加入系統部署 POC

   • 使用代表不同組態與使用者的端點混合使用。 你希望能有更多新系統狀態的驗證。

   • 只有真實生產用戶實際使用時，才能完整驗證工作負載及其功能。 透過自然且日常地使用 POC Microsoft Entra 端點，使用者能自然地測試並驗證你的工作負載。

   • 建立業務關鍵功能與情境清單，並提供給你的 POC 使用者。 檢查清單是針對每個組織的，隨著工作負載轉換到雲端原生友善的工作負載，可能會有所變動。

4. 驗證功能

   驗證是一個重複性的過程。 這取決於你組織內的工作負載及其配置。

   • 收集使用者對 POC 端點、工作負載及其功能的回饋。 這些回饋應該來自使用雲端原生端點的使用者。

     可能會發現其他阻擋因素，以及先前未知或未被解釋的工作負載/情境。

   • 使用先前為每個工作負載設定的里程碑與成功標準。 他們會協助判斷有色人種的進展與範圍。

✅第五階段：Microsoft Entra 加入你現有的 Windows 端點

此階段將新的 Windows 端點配置轉換至 Microsoft Entra 加入。 當所有阻礙和問題都解決後，你可以將現有裝置移至完全雲端原生。 您有下列選項：

• 選項一：更換你的裝置。 如果裝置已經報廢或不支援現代安全，那麼更換它們是最佳選擇。 現代裝置支援新穎且強化的安全功能，包括TPM) 技術 (可信平台模組。

• 選項二：重置 Windows 裝置。 如果你現有的裝置支援較新的安全功能，那你可以重置它們。 在開箱即用 (OBE) 或使用者登入時，可以將裝置加入Microsoft Entra。

  在重置現有 Windows 端點之前，務必：

  1. 在 Intune 裡刪除裝置。
  2. 刪除 Windows Autopilot 裝置的註冊。
  3. 刪除現有的 Microsoft Entra 裝置物件。

  接著，重置裝置，重新配置端點。

當裝置準備好後，請使用最適合你組織的選項，將這些裝置連接到 Microsoft Entra。 欲了解更多具體資訊，請參閱 Microsoft Entra 連接裝置及如何規劃您的 Microsoft Entra 連接實作。

從群組原則物件 (GPO)

許多組織使用 GPO 來配置和管理 Windows 端點。

隨著時間推移，因為缺乏文件、政策目的或要求不夠明確、使用舊有或失效的政策，以及使用複雜的功能，情況會變得複雜。 例如，可能有包含 WMI 過濾器的政策，擁有複雜的 OU 結構，並使用繼承阻擋、迴圈或安全過濾。

使用 Intune 管理設定

Microsoft Intune 內建許多設定，可以配置並部署到你的雲端原生端點。 當你轉用 Intune 進行保單管理時，有一些選擇。

這些選項不一定互相排斥。 你可以遷移部分政策，為其他政策重新開始。

• 選項一：啟動新 (建議) ：Intune 有許多設定可以用來設定和管理你的端點。 你可以建立政策，在政策中新增和設定設定，然後部署該政策。

  許多現有的群組政策可能不適用於雲端原生端點。 重新開始讓組織能夠驗證並簡化現有的強制政策，同時消除遺留、遺忘甚至有害的政策。 Intune 內建範本，將常見設定群組在一起，例如 VPN、Wi-Fi、端點保護等。

• 選項二：遷移：此選項涉及解除現有政策並將其移至 Intune 政策引擎。 這可能既繁瑣又耗時。 例如，你可能有許多現有的群組政策，且本地與雲端的設定會有差異。

  若選擇此選項，必須檢視並分析現有群組政策，判斷這些政策是否仍需於雲端端點上有效。 你要消除不必要的政策，包括那些可能造成負擔、降低系統效能或使用者體驗的政策。 在了解群組政策功能之前，不要把群組政策移到 Intune。

你應該知道的 Intune 功能

Intune 也內建功能，能協助你配置雲端原生端點：

• 群組原則分析：你可以在 Microsoft Intune 管理中心匯入你的 GPO，並對政策進行分析。 你可以查看 Intune 中存在的政策，以及已被淘汰的政策。

  如果你使用 GPO，使用這個工具是很有價值的第一步。

  欲了解更多資訊，請參考 Intune 中的群組原則分析。

• 設定目錄：查看 Intune 中所有可用的設定，並利用這些設定建立、設定 & 部署政策。 你可以透過 Intune 的設定目錄完成的任務，也可能是很好的資源。 如果你建立 GPO，設定目錄是自然過渡到雲端原生端點配置的過程。

  結合群組原則分析，你可以將本地使用的政策部署到雲端原生端點。

  欲了解更多資訊，請前往 Intune 的設定目錄。

• 安全基線：安全基線是一組預先設定好的 Windows 設定。 他們協助你套用並執行安全團隊建議的細緻安全設定。 當你建立安全基線時，也可以自訂每個基線，只強制執行你想要的設定。

  你可以為 Windows、Microsoft Edge 等建立安全基線。 如果你不確定從哪裡開始，或想要安全專家推薦的安全設定，那就看看安全基準。

  欲了解更多資訊，請參考 Intune 中的安全性基準。

使用 Windows Autopilot 來配置新的或現有的 Windows 端點

如果你從 OEM 或合作夥伴購買端點，那你應該使用 Windows Autopilot。

部分好處包括：

• 內建 Windows 設定流程：呈現品牌化、導向且簡化的終端使用者體驗。

• 直接將端點代發給終端使用者：廠商與 OEM 可以直接將端點出貨給你的用戶。 使用者收到端點後，) 以組織帳號登入，Windows Autopilot (user@contoso.com 自動配置端點。

  此功能有助於降低高接觸式內部 IT 流程與運輸所涉及的間接費用與成本。

  為了獲得最佳效果，建議先向 OEM 或廠商預先註冊端點。 預先註冊有助於避免手動註冊端點時可能產生的延遲。

• 使用者可以自行重置現有端點：如果使用者已有 Windows 端點，他們可以自行重置裝置。 當它們被重置時，會將端點恢復到最低基準和受管理狀態。 這不需要高昂的 IT 介入或實體存取端點。

欲了解更多 Windows Autopilot 資訊，請前往：

• Windows Autopilot 概觀
• Windows Autopilot 情境與功能
• Windows 自動駕駛常見問答

遵循雲端原生端點指引

1. 概述：什麼是雲端原生端點？
2. 教學：開始使用雲端原生的 Windows 端點
3. 概念：Microsoft Entra 加入與混合式 Microsoft Entra 加入
4. 概念：雲端原生端點與本地資源
5. 🡺 高層次規劃指南 (你來了)
6. 已知問題與重要資訊