提示
閱讀有關雲端原生端點的資訊時,你會看到以下術語:
- 端點:端點是一種裝置,如手機、平板、筆記型電腦或桌上型電腦。 「端點」和「裝置」可以互換使用。
- 受管理端點:透過 MDM 解決方案或群組原則物件接收組織政策的端點。 這些裝置通常是組織自有的,但也可能是自帶裝置(BYOD)或個人擁有的。
- 雲端原生端點:連接至 Microsoft Entra 的端點。 它們沒有連接到本地的 AD。
- 工作負載:任何程式、服務或程序。
本指南將引導您逐步建立組織的雲端原生 Windows 端點設定。 關於雲端原生端點及其優點的概述,請參見 「什麼是雲端原生端點」。
本功能適用於:
- Windows 雲端原生端點
提示
如果你想要一個 Microsoft 推薦、標準化的解決方案來建立基礎,那你可能會對 雲端配置的 Windows 感興趣。 關於 Intune 引導情境,請參見 Windows 雲端配置。
下表說明了本指南與 Windows 雲端配置的主要差異:
| 解決方案 | 目標 |
|---|---|
| 教學: (本指南開始使用雲端原生 Windows 端點) | 會引導你根據 Microsoft 建議的設定,為你的環境建立自己的設定,並協助你開始測試。 |
| Windows 在雲端配置中 | 一個引導式情境體驗,根據 Microsoft 最佳實務,為前線、遠端及其他有更專注需求的員工建立並套用預設配置。 |
你可以結合 Windows 雲端設定 ,進一步自訂預設體驗。
重要事項
2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。
如何開始使用
請參考本指南中排序的五個階段,這些階段相互累積,幫助你準備雲端原生 Windows 端點設定。 依序完成這些階段,你就能看到實質進展,並準備好配置新裝置。
階段:
- 第一階段 – 建立你的環境
- 第二階段 – 打造你的第一個雲端原生 Windows 端點
- 第三階段 – 保護你的雲端原生 Windows 端點
- 第四階段 – 套用自訂設定與應用程式
- 第五階段 – 使用 Windows Autopilot 大規模部署
本指南結束時,你已經有一個雲端原生的 Windows 端點,準備在你的環境中開始測試。 在開始之前,你或許可以參考 Microsoft Entra 加入規劃指南《如何規劃你的 Microsoft Entra 加入實作》。
第一階段 – 建立你的環境
在你打造第一個雲端原生 Windows 端點之前,有一些關鍵需求和設定需要檢查。 這個階段會帶你檢查需求、設定 Windows Autopilot,以及建立一些設定和應用程式。
步驟 1 - 網路需求
你的雲端原生 Windows 端點需要存取多個網際網路服務。 在開放網路上開始你的測試。 或者,在提供 Windows Autopilot 網路需求中列出的所有端點存取權後,使用你的企業網路。
如果你的無線網路需要憑證,測試時可以先用乙太網路連線,同時找出最適合無線連線的裝置配置方式。
步驟二 - 註冊與執照
在你加入 Microsoft Entra 並註冊 Intune 之前,有幾件事你需要確認。 你可以建立一個新的 Microsoft Entra 群組,例如名稱 Intune MDM 使用者。 接著,新增特定的測試使用者帳號,並在該群組針對以下設定,限制在設定時可註冊的裝置人數。 要建立 Microsoft Entra 群組,請前往「管理 Microsoft Entra 群組及群組成員」頁面。
招生限制註冊限制讓您能控制哪些類型的裝置可以透過 Intune 註冊管理。 為了讓本指南成功,請確認允許 Windows (MDM) 註冊,這是預設設定。
如需設定註冊限制的資訊,請前往 Microsoft Intune 設定註冊限制。
Microsoft Entra 裝置 MDM 設定 當你將 Windows 裝置加入 Microsoft Entra 時,Microsoft Entra 可以設定你的裝置自動註冊 MDM。 此配置是 Windows Autopilot 運作的必要條件。
要檢查你的 Microsoft Entra 裝置 MDM 設定是否正確啟用,請前往快速啟動 - 在 Intune 設定自動註冊。
Microsoft Entra 公司品牌塑造 將企業標誌與圖片加入 Microsoft Entra,確保使用者在登入 Microsoft 365 時,能看到熟悉且一致的外觀與感受。 此配置是 Windows Autopilot 運作的必要條件。
如需如何在 Microsoft Entra 中設定自訂品牌,請前往「將品牌加入您組織的 Microsoft Entra 登入頁面」。
授權使用者若從 Out Of Box Experience (OOBE) 註冊 Windows 裝置進入 Intune,需要兩項關鍵功能。
使用者需取得以下授權:
- Microsoft Intune 或 Microsoft Intune for Education 授權
- 像以下選項之一的授權,允許自動註冊 MDM:
- Microsoft Entra Premium P1
- Microsoft Intune 教育版
要指派授權,請前往「指派 Microsoft Intune 授權」。
注意事項
這兩種授權通常都包含在授權套裝中,如 Microsoft 365 E3 (或 A3) 及以上等級。 在此查看 Microsoft 365 授權的比較。
步驟 3 - 匯入你的測試裝置
要測試雲端原生的 Windows 端點,我們需要先準備好虛擬機或實體裝置進行測試。 以下步驟取得裝置資料並上傳至 Windows Autopilot 服務,本文後面會用到這些服務。
注意事項
雖然以下步驟提供了匯入裝置進行測試的方式,合作夥伴與 OEM 也能代表您將裝置匯入 Windows Autopilot,作為購買的一部分。 關於 Windows Autopilot 的更多資訊請參考第五 階段。
最好在虛擬機安裝 Windows (,最好是 20H2 或更新) ,或重置實體裝置,讓它在 OBE 設定畫面等待。 對於虛擬機,你可以選擇性地建立檢查點。
完成連接網路的必要步驟。
使用 Shift + F10 鍵盤組合開啟命令提示字元。
請透過 ping bing.com 確認您是否有網路連線:
ping bing.com
透過執行以下指令切換到 PowerShell:
powershell.exe
請執行以下指令下載 Get-WindowsAutopilotInfo 腳本:
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope ProcessInstall-Script Get-WindowsAutopilotInfo
提示時輸入 Y 以接受。
輸入下列命令:
Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online
注意事項
群組標籤允許你根據一部分裝置建立動態的 Microsoft Entra 群組。 群組標籤可在匯入裝置時設定,或在 Microsoft Intune 管理中心後續更改。 我們在第 4 步使用 CloudNative 群組標籤。 你可以把標籤名稱設定成不同的名稱來測試。
當被要求輸入憑證時,請使用您的 Intune 管理員帳號登入。
把電腦放在開箱狀態,等 到第二階段再用。
步驟 4 - 為裝置建立 Microsoft Entra 動態群組
若要限制本指南中的設定僅限於你匯入 Windows Autopilot 的測試裝置,請建立一個動態的 Microsoft Entra 群組。 這個群組應該會自動包含匯入 Windows Autopilot 並帶有 CloudNative 群組標籤的裝置。 接著你可以將所有配置和應用程式鎖定在這個群組。
選擇 群組>新群組。 請輸入以下細節:
- 群組類型:選擇 安全性。
- 群組名稱:輸入 Autopilot Cloud-Native Windows 端點。
- 會員類型:選擇 動態裝置。
選擇 新增動態查詢。
在 規則語法 區塊中,選擇 編輯。
貼上以下文字:
(device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))選擇 確定>、儲存>、建立。
步驟 5 - 設定註冊狀態頁面
註冊狀態頁面 (ESP) 是 IT 專業人員在端點配置期間用來控制終端使用者體驗的機制。 請參閱 設定註冊狀態頁面。 為了限制註冊狀態頁面的範圍,你可以建立一個新設定檔,並將 Autopilot Cloud-Native Windows 端點群組鎖定在前一步建立的 Windows 端點群組,為裝置建立動態群組Microsoft Entra。
- 測試時,我們建議採用以下設定,但也請隨時調整:
- 顯示應用程式與個人檔案設定進度 - 是的
- 只顯示頁面給由出廠體驗 (OBE) 配置的裝置——是的, (預設)
步驟 6 - 建立並指派 Windows Autopilot 設定檔
現在我們可以建立 Windows Autopilot 設定檔,並將其指派到測試裝置上。 這個設定檔會告訴你的裝置加入 Microsoft Entra,以及在 OBE 期間要套用哪些設定。
選擇 裝置>裝置 接入>註冊>Windows>Windows Autopilot>部署設定檔。
選擇建立Windows PC設定檔>。
輸入名稱 Autopilot Cloud Native Windows Endpoint,然後選擇 「下一步」。
檢視並保留預設設定,然後選擇 下一步。
留下範圍標籤並選擇 下一步。
將設定檔指派到你建立的 Autopilot Cloud-Native Windows 端點的 Microsoft Entra 群組,選擇「下一步」,然後選擇「建立」。
步驟 7 - 同步 Windows Autopilot 裝置
Windows Autopilot 服務每天會同步好幾次。 你也可以立即觸發同步,讓裝置準備好進行測試。 立即同步:
選擇裝置>裝置 上線>登錄>Windows> Windows自動駕駛>裝置。
選取 [同步處理]。
同步過程持續了好幾分鐘,並且在背景繼續進行。 同步完成後,匯入裝置的設定檔狀態會顯示 「已指派」。
步驟八 - 設定以達到最佳 Microsoft 365 體驗
我們已經選擇了幾個設定來設定。 這些設定展現了您在 Windows 雲端原生裝置上的最佳 Microsoft 365 終端使用者體驗。 這些設定是透過裝置設定設定目錄設定檔來設定的。 欲了解更多資訊,請前往 Microsoft Intune 的設定目錄中建立政策。
建立設定檔並新增設定後,將設定檔指派到先前建立的 Autopilot Cloud-Native Windows Endpoints 群組。
Microsoft Outlook 為了改善 Microsoft Outlook 的首次執行體驗,以下設定會在首次開啟 Outlook 時自動設定設定檔。
- Microsoft Outlook 2016\帳戶設定\Exchange (使用者設定)
- 自動只根據 Active Directory 主要 SMTP 位址設定第一個設定檔 - 啟用
- Microsoft Outlook 2016\帳戶設定\Exchange (使用者設定)
Microsoft Edge 為了改善 Microsoft Edge 的首次執行體驗,以下設定可設定 Microsoft Edge 同步使用者設定並跳過首次執行體驗。
- Microsoft Edge
- 隱藏首次遊戲體驗與啟動畫面 - 已啟用
- 強制同步瀏覽器資料,且不顯示同步同意提示 - 啟用
- Microsoft Edge
Microsoft OneDrive
為了改善首次登入體驗,以下設定可設定 Microsoft OneDrive 自動登入並將桌面、圖片與文件導向至 OneDrive。 也建議隨選檔案 (FOD) 。 預設是啟用的,且不包含在以下清單中。 想了解更多關於 OneDrive 同步處理應用程式的建議設定,請前往 Microsoft OneDrive 推薦的同步應用程式設定。
OneDrive
- 用 Windows 憑證靜默登入 OneDrive 同步處理應用程式 - 啟用
- 靜默地將 Windows 已知資料夾移到 OneDrive – 啟用
注意事項
欲了解更多資訊,請前往「 重定向已知資料夾」。
以下截圖展示了設定目錄設定檔的範例,並已配置了每個建議的設定:
步驟 9 - 建立並指派一些應用程式
你的雲端原生端點需要一些應用程式。 開始時,我們建議先設定以下應用程式,並針對先前建立的 Autopilot Cloud-Native Windows Endpoints 群組進行目標設定。
Microsoft 365 Apps (過去Office 365 專業增強版) Microsoft 365 Apps的Word、Excel 和 Outlook 都能輕鬆部署到使用內建 Microsoft 365 應用程式配置檔的裝置上,Intune 版本。
- 選擇設定 格式的配置設計 器,而非 XML。
- 選擇更新頻道的「目前頻道」。
要部署 Microsoft 365 Apps,請點到 使用 Microsoft Intune 將 Microsoft 365 應用程式加入 Windows 裝置
公司入口網站應用程式 建議將Intune 公司入口網站應用程式部署到所有裝置,作為必備應用程式。 公司入口網站應用程式是使用者的自助服務樞紐,使用者可從多個來源安裝應用程式,如 Intune、Microsoft Store 和 Configuration Manager。 使用者也會使用公司入口網站應用程式,將裝置與 Intune 同步、檢查合規狀態等。
若要依需求部署公司入口網站,請參閱「新增並指派 Windows 公司入口網站應用程式給 Intune 管理裝置」。
Microsoft 商店應用程式 (白板) 雖然Intune可以部署多種應用程式,但我們部署商店應用程式 (Microsoft白板) ,以幫助本指南保持簡單。 請依照「將 Microsoft Store 應用程式加入 Microsoft Intune」中的步驟安裝 Microsoft Whiteboard。
第二階段 - 建構雲端原生 Windows 端點
要建立你的第一個雲端原生 Windows 端點,請使用你在 第一 > 階段第三步中收集並上傳硬體雜湊到Windows Autopilot服務的同一虛擬機或實體裝置。 使用此裝置時,請使用Windows Autopilot程序。
如有需要,請恢復 (或如有必要) Windows 電腦恢復到開箱即用體驗 (OOBE) 。
注意事項
如果系統提示你選擇個人或組織設定,表示 Windows 自動駕駛程序尚未啟動。 這種情況下,重新啟動裝置並確保它有網路連線。 如果還是不行,試著重設電腦或重灌 Windows。
請用 UPN 或 AzureAD\username) (Microsoft Entra 憑證登入。
註冊狀態頁面顯示裝置設定的狀態。
恭喜您! 你已經配置了第一個雲端原生的 Windows 端點!
關於你的新雲端原生 Windows 端點,有幾點可以檢查:
OneDrive 資料夾會被重新導向。 當 Outlook 開啟時,它會自動設定連接 Office 365。
從開始選單開啟公司入口網站應用程式,並發現 Microsoft Whiteboard 可供安裝。
考慮測試裝置對本地資源的存取,例如檔案分享、印表機和內聯網網站。
注意事項
如果你還沒設定 Windows Hello 企業版混合版,Windows Hello 的登入系統可能會提示你輸入密碼以存取本地資源。 若要繼續測試單一登入存取,您可以設定 Windows Hello 企業版混合版,或用使用者名稱和密碼登入裝置,而非使用 Windows Hello。 要做到這點,請在登入畫面中選擇鑰匙形狀的圖示。
第三階段 – 保護你的雲端原生 Windows 端點
此階段旨在協助您為組織建立安全設定。 本節將引導您注意 Microsoft Intune 中的各種端點安全元件,包括:
- Microsoft Defender MDAV (防毒劑)
- Microsoft Defender 防火牆
- BitLocker 加密
- Windows 本地管理員密碼解決方案 (LAPS)
- 安全性基準
- Windows Update 用戶端政策
Microsoft Defender MDAV (防病毒)
以下設定建議作為 Microsoft Defender 防毒軟體(Windows 內建作業系統元件)的最低設定。 這些設定不需要特定的授權協議,例如 E3 或 E5,且可在 Microsoft Intune 管理中心啟用。
Intune 管理員 控制台
Microsoft Graph在管理中心,請前往端點安全>防毒>軟體建立政策>視窗,之後>則是設定檔類型 = Microsoft Defender 防毒軟體。
後衛:
- 允許行為監控: 允許。開啟即時行為監控。
- 允許雲端保護: 允許。開啟雲端保護。
- 允許 Email 掃描:允許。開啟電子郵件掃描功能。
- 允許掃描所有已下載的檔案和附件: 允許。
- 允許即時監控: 允許。會開啟並執行即時監控服務。
- 允許掃描網路檔案: 允許。掃描網路檔案。
- 允許腳本掃描: 允許。
- 雲隊延長暫停時間: 50
- 清除後的惡意軟體保留天數:30 天
- 啟用網路保護: 啟用 (稽核模式)
- PUA 保護: PUA 保護開啟。偵測到的物品會被封鎖。他們將與歷史上一同出現其他威脅。
- 即時掃描方向: 監控所有檔案 (雙向) 。
- 提交樣本同意書: 自動傳送安全樣本。
- 允許存取保護: 允許。
- 嚴重威脅的補救行動: 隔離。把檔案移到隔離區。
- 低嚴重度威脅的補救措施: 隔離。把檔案移到隔離區。
- 中度嚴重性威脅的補救措施: 隔離。把檔案移到隔離區。
- 針對高嚴重性威脅的補救措施: 隔離。把檔案移到隔離區。
右上角的使用者圖示登入,並以你的 Intune 管理員組織帳號登入。欲了解更多關於 Windows Defender 配置的資訊,包括客戶 E3 和 E5 授權的 適用於端點的 Microsoft Defender,請前往:
Microsoft Defender 防火牆
請在 Microsoft Intune 中使用端點安全來設定防火牆和防火牆規則。 欲了解更多資訊,請參考 Intune 的端點安全防火牆政策。
Microsoft Defender 防火牆可透過 NetworkListManager CSP 偵測受信任網路。 而且,在執行 Windows 的端點上,它可以切換到 網域 防火牆設定檔。
使用 網域 網路設定檔,可以根據受信任網路、私有網路和公共網路來區分防火牆規則。 這些設定可以透過 Windows 自訂設定檔套用。
注意事項
Microsoft Entra 加入端點無法像用 LDAP 那樣偵測網域連線。 相反地,請使用 NetworkListManager CSP 指定一個 TLS 端點,當可存取時,該端點會切換到 網域 防火牆的設定檔。
BitLocker 加密
在 Microsoft Intune 中使用 Endpoint Security 來設定 BitLocker 加密。
- 欲了解更多管理 BitLocker 的資訊,請參考 Intune 中 Windows 裝置的 BitLocker 加密。
- 歡迎參考我們關於 BitLocker 的部落格系列,主題是「使用 Microsoft Intune 啟用 BitLocker」。
這些設定可在 Microsoft Intune 管理中心啟用。 在管理中心,請進入端點安全>管理>磁碟加密>建立政策>> = ,之後再到BitLocker 設定檔。
當你設定以下 BitLocker 設定時,它們會默默啟用標準使用者的 128 位元加密,這是常見的情況。 不過,你們組織可能有不同的安全要求,建議使用 BitLocker 文件 來取得更多設定。
BitLocker:
- 要求裝置加密: 啟用
- 允許其他磁碟加密警告: 已停用
- 允許 Standard User Encryption:啟用
- 設定恢復密碼輪換:為 Azure AD 加入裝置重新整理
BitLocker 硬碟加密:
- 選擇磁碟機加密方式與密碼強度: 未設定
- 提供你組織的唯一識別碼: 未設定
作業系統磁碟機:
- 強制作業系統磁碟的加密類型: 啟用
- 選擇加密類型 (裝置) : 僅使用空間加密
- 啟動時要求額外認證: 啟用
- 允許 BitLocker 而不支援相容的 TPM (需要密碼或 USB 隨身碟啟動金鑰) : 錯誤
- 設定 TPM 啟動金鑰與 PIN:允許 TPM 啟動金鑰與 PIN。
- 設定 TPM 啟動金鑰: 允許使用 TPM 的啟動金鑰
- 設定 TPM 啟動 PIN: 允許使用 TPM 的啟動 PIN
- 設定 TPM 啟動: 要求 TPM
- 設定啟動時的最小 PIN 長度: 未設定
- 允許啟動時使用增強版 PIN: 未設定
- 禁止標準使用者更改 PIN 或密碼: 未設定
- 允許符合 InstantGo 或 HSTI 標準的裝置選擇退出開機前的 PIN: 未設定
- 啟用需要在 Slate 上輸入鍵盤的 BitLocker 認證: 未設定
- 選擇如何恢復受 BitLocker 保護的作業系統磁碟機: 啟用
- 設定使用者儲存 BitLocker 復原資訊: 要求 48 位數復原密碼
- 允許資料復原代理: 錯誤
- 將 BitLocker 復原資訊儲存至 AD DS: 儲存復原密碼與金鑰套件
- 在作業系統磁碟機的復原資訊儲存到 AD DS 之前,請勿啟用 BitLocker: 正確
- 在 BitLocker 設定精靈中省略恢復選項: 正確
- 儲存 BitLocker 復原資訊至 AD DS 以支援作業系統磁碟: 正確
- 設定開機前恢復訊息與網址: 未設定
固定資料磁碟機:
- 強制固定資料磁碟機加密類型: 啟用
- 選擇加密類型: (裝置) : 允許使用者選擇預設 ()
- 選擇如何恢復受 BitLocker 保護的固定磁碟: 啟用
- 設定使用者儲存 BitLocker 復原資訊: 要求 48 位數復原密碼
- 允許資料復原代理: 錯誤
- 將 BitLocker 復原資訊儲存至 AD DS: 備份復原密碼與金鑰套件
- 在固定資料磁碟機的復原資訊儲存到 AD DS 之前,請勿啟用 BitLocker: 正確
- 在 BitLocker 設定精靈中省略恢復選項: 正確
- 將 BitLocker 的復原資訊儲存到 AD DS 以對固定資料磁碟機: 正確
- 拒絕對未受 BitLocker 保護的固定硬碟寫入存取: 未設定
可拆卸資料碟:
- 控制 BitLocker 在可移動磁碟上的使用: 啟用
- 允許使用者對可移除資料磁碟 (裝置) 套用 BitLocker 保護: 錯誤
- 允許使用者暫停並解密可移除資料磁碟 (裝置) : 錯誤
- 拒絕對未受 BitLocker 保護的可移除磁碟機寫入權限: 未設定
Windows 本地管理員密碼解決方案 (LAPS)
預設情況下,內建的本地管理員帳號 (知名的 SID S-1-5-500) 是被停用的。 有些情境中,本地管理員帳號會很有幫助,例如故障排除、終端使用者支援和裝置復原。 如果你決定啟用內建的管理員帳號,或建立新的本地管理員帳號,務必確保該帳號的密碼安全。
Windows 本地管理員密碼解決方案 (LAPS) 是你可以用來隨機化並安全地儲存密碼的功能之一,Microsoft Entra。 如果你使用 Intune 作為 MDM 服務,請依照以下步驟啟用 Windows LAPS。
重要事項
Windows LAPS 假設預設的本地管理員帳號已啟用,即使它被重新命名或你建立了另一個本地管理員帳號。 除非你設定 自動帳號管理模式,否則 Windows LAPS 不會幫你建立或啟用任何本地帳號。
你需要在設定 Windows LAPS 之外,分別建立或啟用任何本地帳號。 你可以用腳本來完成這個任務,或是使用組態服務提供者 (CSP) ,例如 帳戶 CSP 或 政策 CSP。
請確保您的 Windows 裝置安裝了 2023 年 4 月 (或更新的安全更新) 。
欲了解更多資訊,請參閱 Microsoft Entra 作業系統更新。
在 Microsoft Entra 啟用 Windows LAPS:
- 登入 Microsoft Entra。
- 對於 啟用本地管理員密碼解決方案 (LAPS) 設定,請選擇頁面頂端的 「是>儲存 (」) 。
欲了解更多資訊,請參考「啟用 Windows LAPS with Microsoft Entra」。
在 Intune 中,建立端點安全政策:
- 登入 Microsoft Intune 系統管理中心。
- 選擇端點安全>、帳戶保護>、建立政策>、Windows>本地管理員密碼解決方案 (Windows LAPS) >建立。
欲了解更多資訊,請參考 Intune 建立 LAPS 政策。
安全基線
你可以使用安全基線來套用一組已知能提升 Windows 端點安全性的設定。 欲了解更多安全基線資訊,請前往 Windows MDM 的 Intune 安全基線設定。
基準線可依建議設定套用,並依需求自訂。 基線中的某些設定可能會產生意外結果,或與你 Windows 端上運行的應用程式和服務不相容。 因此,基線應單獨測試。 僅將基線套用於一組有選擇性的測試端點,且不使用其他設定檔或設定。
安全基線 已知問題
Windows 安全基準 中的以下設定可能會在 Windows Autopilot 或以標準使用者身份嘗試安裝應用程式時產生問題:
- 本地政策安全選項\管理員升高提示行為 (default = 安全桌面) 的同意提示
- Standard 使用者抬高提示行為 (預設 = 自動拒絕抬高請求)
更多資訊請參閱 Windows Autopilot 的疑難排解政策衝突。
Windows Update 用戶端政策
Windows Update 用戶端政策是一種雲端技術,用來控制更新何時以及如何安裝在裝置上。 在 Intune 中,Windows Update 用戶端政策可透過以下方式設定:
如需詳細資訊,請移至:
- 了解如何在 Microsoft Intune 中使用 Windows Update 用戶端政策
- 模組 4.2 - Intune for Education 部署工作坊影片系列中的 Windows Update for Business 基礎
如果你想要更細緻的 Windows 匯報控制,且使用 Configuration Manager,可以考慮共用管理。
第四階段 – 套用客製化並檢視你的本地配置
在這個階段,你會套用組織專屬的設定、應用程式,並檢視你的本地配置。 這個階段幫助你建立針對你組織的客製化方案。 注意 Windows 的各種元件,如何檢視本地 AD 群組原則環境的現有設定,並將其套用到雲端原生端點。 每個區域都有相應的分區:
Microsoft Edge
Microsoft Edge 部署
Microsoft Edge 包含於執行以下功能的裝置:
- Windows
用戶登入後,Microsoft Edge 會自動更新。 要在部署期間觸發 Microsoft Edge 的更新,你可以執行以下指令:
Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"
若要將 Microsoft Edge 部署到先前版本的 Windows,請前往「Add Microsoft Edge for Windows」到 Microsoft Intune。
Microsoft Edge 配置
Microsoft Edge 體驗的兩個組件,適用於使用者以 Microsoft 365 憑證登入時,並可從 Microsoft 365 系統管理中心設定。
Microsoft Edge 的開始頁面標誌可以透過在 Microsoft 365 系統管理中心設定「您的組織」區塊來自訂。 欲了解更多資訊,請參考 「為您的組織自訂 Microsoft 365 主題」。
Microsoft Edge 預設的新分頁頁面體驗包含 Office 365 資訊與個人化新聞。 此頁面的顯示方式可從 Microsoft 365 系統管理中心的設定>、組織設定>、新聞、>Microsoft Edge 新分頁頁面中自訂。
你也可以用設定目錄設定檔為 Microsoft Edge 設定其他設定。 例如,你可能想為你的組織設定特定的同步設定。
-
Microsoft Edge
- 設定排除在同步之外的類型清單—— 密碼
開始與工作列佈局
你可以用 Intune 自訂並設定標準的開始與工作列佈局。
針對 Windows 11:
- 要建立並套用開始功能表的配置,請在 Windows 11 上選擇自訂開始功能表的配置。
- 要建立並套用工作列佈局,請點選 Windows 11 上的自訂工作列。
針對 Windows 10:
- 欲了解更多關於啟動與工作列自訂的資訊,請前往 Windows) (管理 Windows 開始與工作列佈局 。
- 要建立開始和工作列的版面,請點到 Windows (自訂並匯出開始版面配置) 。
版面建立完成後,可以透過設定裝置限制設定檔將其上傳到 Intune。 設定在 「開始 」類別下。
重要事項
2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。
設定目錄
設定目錄是一個單一位置,列出所有可設定的 Windows 設定。 此功能簡化了你建立政策的方式,以及你如何查看所有可用設定。 欲了解更多資訊,請前往 Microsoft Intune 的設定目錄中建立政策。
提示
你熟悉的群組政策設定其實都內建在設定目錄裡。 如果設定目錄裡沒有設定,那就去檢查裝置設定檔的範本。
以下是設定目錄中可能與貴組織相關的一些設定:
Azure Active Directory 首選租戶網域 此設定會設定將首選租戶網域名稱附加到使用者的使用者名稱上。 首選租戶網域允許使用者僅以使用者名稱登入 Microsoft Entra 端點,而非整個 UPN,只要使用者的網域名稱與首選租戶網域相符即可。 對於擁有不同網域名稱的使用者,他們可以輸入整個 UPN。
該場景可於以下地區找到:
- 驗證
- 首選 AAD 租戶網域名稱 - 指定網域名稱,例如
contoso.onmicrosoft.com。
- 首選 AAD 租戶網域名稱 - 指定網域名稱,例如
- 驗證
Windows 焦點 預設情況下,Windows 的多項消費者功能會被啟用,導致部分商店應用程式安裝,並在鎖定畫面顯示第三方建議。 你可以透過設定目錄中的經驗值(Experience)部分來控制。
- Experience > Allow Windows Spotlight
- 允許 Windows 消費者功能 - 封鎖
- 在 Windows Spotlight 允許第三方建議 (使用者) - 封鎖
- Experience > Allow Windows Spotlight
Microsoft 商店 組織通常希望限制能安裝在端點上的應用程式。 如果您的組織想控制哪些應用程式可以從 Microsoft Store 安裝,請使用此設定。 此設定會阻止使用者安裝未經核准的應用程式。
- Microsoft App Store
僅需私人 商店 - 僅啟用私人商店
注意事項
此設定適用於 Windows 10。 在 Windows 11 中,此設定會阻擋公開的 Microsoft 商店存取。 如需詳細資訊,請移至:
- Microsoft App Store
方塊遊戲 組織可能希望企業端點不能用來玩遊戲。 設定應用程式內的遊戲頁面可以用以下設定完全隱藏。 如需更多關於設定頁面可見性的資訊,請參考 CSP 文件 及 ms-settings URI 方案參考。
- 設定
- 頁面可見性列表 – hide:gaming-gamebar;Gamedvr;遊戲廣播;遊戲模式;遊戲-Trueplay;遊戲-Xbox網路;靜默時刻遊戲
- 設定
控制 Teams 桌面用戶端可以登入哪些租戶
當此政策在裝置上設定時,使用者只能使用本政策中定義的「租戶允許清單」中包含的 Microsoft Entra 租戶帳號登入。 「租戶允許清單」是一份以逗號分隔的 Microsoft Entra 租戶 ID 清單。 透過指定此政策並定義 Microsoft Entra 租戶,你同時也封鎖了 Teams 的個人登入。 欲了解更多資訊,請參考 「如何限制桌面裝置登入」。
- Microsoft Teams
- 限制登入 Teams 只能在特定租戶的帳號 (使用者) - 啟用
- Microsoft Teams
裝置限制
Windows 裝置限制範本包含許多使用 Windows 組態服務提供者 (CSP) 來保護和管理 Windows 端點所需的設定。 隨著時間推移,更多這些設定會陸續在設定目錄中提供。 欲了解更多資訊,請前往 裝置限制。
要建立使用裝置限制範本的設定檔,請在 Microsoft Intune 管理中心,前往「裝置>管理裝置>」「設定>」「建立>新政策>」選擇 Windows 10 及以後版本選用平台 >範本 設定檔類型中的裝置限制。
桌面背景圖片網址 (僅桌面) 使用此設定在 Windows Enterprise 或 Windows Education SKU 上設定桌布。 你可以把檔案放在線上,或是參考本地複製的檔案。 要設定此設定,請在裝置限制設定的設定標籤中,展開個人化,並設定桌面背景圖片 URL (僅桌面) 。
要求使用者在裝置設定時必須連接網路 此設定降低了裝置在電腦重置時跳過 Windows 自動駕駛的風險。 此設定要求裝置在開箱體驗階段必須有網路連線。 要設定此設定,請在裝置限制設定檔的設定標籤中,展開「一般」,並設定「要求使用者在裝置設定時連接網路」。
注意事項
該設定會在下一次清除或重置裝置時生效。
傳遞最佳化
傳遞優化透過在多個端點間共享下載支援套件的工作,以減少頻寬消耗。 Delivery Optimization 是一種自我組織的分散式快取,允許用戶端從其他來源下載這些套件,例如網路上的對等節點。 這些對等來源補充了傳統的網際網路伺服器。 你可以在 Windows 更新中了解所有可用的 Delivery Optimization 設定,以及支援哪些類型的下載。
若要套用 Delivery Optimization 設定,請建立 Intune Delivery Optimization 設定檔或設定目錄設定檔。
組織常用的一些設置包括:
- 限制同儕選擇 – 子網。 此設定限制了同等快取只能使用同一子網路的電腦。
- 群組識別。 Delivery Optimization 用戶端可設定為僅與同一群組內的裝置共享內容。 群組 ID 可直接透過政策傳送 GUID 或使用 DHCP 範圍內的 DHCP 選項來設定。
使用 Microsoft Configuration Manager 的客戶可以部署連接的快取伺服器,用以承載 Delivery Optimization 內容。 欲了解更多資訊,請前往 Configuration Manager 中的 Microsoft Connected Cache。
地方行政人員
如果只有一個使用者群組需要對所有 Microsoft Entra 加入的 Windows 裝置擁有本地管理員權限,那麼你可以把他們加入 Microsoft Entra 加入裝置的本地管理員。
你可能會要求 IT 客服或其他支援人員對特定裝置擁有本地管理員權限。 您可以透過以下配置服務提供者 (CSP) 來滿足此需求。
- 本地使用者與群組 CSP (首選)
- 受限群組 CSP (沒有更新操作,只會替換)
欲了解更多資訊,請參考「如何管理 Microsoft Entra 加入裝置的本地管理員群組」
群組原則到 MDM 設定遷移
考慮從群組原則遷移到雲端原生裝置管理時,有多種裝置設定選項:
- 重新開始,並依需求套用自訂設定。
- 檢視現有群組政策並套用必要的設定。 你可以使用工具來協助,例如群組原則分析。
- 使用群組原則分析直接建立支援設定的裝置設定檔。
轉向雲端原生 Windows 端點,是檢視終端使用者運算需求並建立未來新配置的機會。 盡可能從最簡約的政策開始。 避免從網域加入環境或較舊的作業系統(如 Windows 7 或 Windows XP)繼承不必要或舊有的設定。
要重新開始,請檢視你目前的需求,並實施一套最低限度的設定來滿足這些要求。 需求可能包括監管或強制的安全設定,以及提升終端使用者體驗的設定。 企業會建立一份需求清單,不是 IT。 每個場景都應該有文件記錄、理解,並且應該有其目的。
將設定從現有群組政策遷移到 MDM (Microsoft Intune) 並不是首選方式。 當你轉換到雲端原生 Windows 時,目的不應該是移除或調整現有的群組政策設定。 相反地,請考慮目標受眾及其所需的環境。 檢視環境中每個群組政策設定以判斷其與現代管理裝置的相關性與相容性,既耗時又可能不切實際。 避免試圖評估每一個團體政策和個別環境。 相反地,請專注於評估涵蓋大多數裝置與情境的常見保單。
相反地,先找出必須的群組政策設定,並與現有的 MDM 設定進行檢視。 任何缺口都會成為阻礙,如果不解決,可能會阻礙你繼續使用雲端原生裝置。 像是群組原則分析等工具可以用來分析群組政策設定,判斷是否能遷移到 MDM 政策。
指令碼
你可以用 PowerShell 腳本來設定任何需要設定的設定或自訂,超出內建設定檔。 欲了解更多資訊,請參閱 Microsoft Intune 中的 Windows 裝置新增 PowerShell 腳本。
網路磁碟機與印表機映射
雲端原生場景沒有內建的映射網路磁碟解決方案。 我們建議用戶遷移至 Teams、SharePoint 和 OneDrive。 如果無法遷移,必要時考慮使用腳本。
關於個人儲存,在 第 8 步 - 設定以達到最佳 Microsoft 365 體驗時,我們設定了 OneDrive 已知資料夾移動。 欲了解更多資訊,請前往「 重定向已知資料夾」。
在文件儲存方面,使用者還可利用 SharePoint 與檔案總管的整合,以及本地同步函式庫的功能,詳見此處:將 SharePoint 與 Teams 檔案同步到你的電腦。
如果你使用通常存在於內部伺服器的企業 Office 文件範本,可以考慮較新的雲端版本,讓使用者能從任何地方存取範本。
至於列印解決方案,可以考慮 Universal Print。 如需詳細資訊,請移至:
應用程式
Intune 支援部署多種不同類型的 Windows 應用程式。
- Windows 安裝程式 (MSI) – 新增 Windows 業務線應用程式到 Microsoft Intune
- MSIX – 在 Microsoft Intune 新增 Windows 業務線應用程式
- Win32 應用程式 (MSI、EXE、腳本安裝程式) – Win32 應用程式管理 Microsoft Intune
- Store 應用程式 – 將 Microsoft Store 應用程式加入 Microsoft Intune
- 網頁連結 – 將網頁應用程式加入 Microsoft Intune
如果你有使用 MSI、EXE 或腳本安裝程式的應用程式,你可以在 Microsoft Intune 中使用 Win32 應用程式管理來部署所有這些應用程式。 將這些安裝程式包裝成 Win32 格式,提供更多彈性與優勢,包括通知、交付優化、相依性、偵測規則,以及對 Windows Autopilot 註冊狀態頁面的支援。
注意事項
為避免安裝時發生衝突,我們建議您專注於使用 Windows 業務線應用程式或 Win32 應用程式的功能。 如果你有以 或 .exe格式包裝.msi的應用程式,可以使用 GitHub 上的 Microsoft Win32 內容準備工具 (.intunewin 轉) Win32 應用程式。
第五階段 – 使用 Windows Autopilot 大規模部署
現在你已經設定了雲端原生的 Windows 端點並用 Windows Autopilot 配置,接下來要考慮如何匯入更多裝置。 同時也要考慮如何與合作夥伴或硬體供應商合作,從雲端開始配置新的端點。 請參考以下資源,以判斷最適合您組織的方法。
如果 Windows Autopilot 不適合你,還有其他 Windows 的註冊方式。 欲了解更多資訊,請參閱 Windows 裝置的 Intune 註冊方法。
遵循雲端原生端點指引
- 概述:什麼是雲端原生端點?
- 🡺 教學:開始使用雲端原生 Windows 端點 (你來到了)
- 概念:Microsoft Entra 加入與混合式 Microsoft Entra 加入
- 概念:雲端原生端點與本地資源
- 高層規劃指南
- 已知問題與重要資訊
有用的線上資源
- Windows 裝置的共管理
- Windows 訂閱啟用
- 設定 Intune 裝置合規政策,根據 Microsoft Entra 條件存取政策允許或拒絕資源存取
- 新增 商店應用程式
- 新增 Win32 應用程式
- 使用憑證以在 Intune 中驗證
- 部署網路配置檔,包括 VPN 和 Wi-Fi
- 部署 多重驗證
- Microsoft Edge 的安全基線