開始使用您的 Microsoft Intune 部署

  • 發行項

Microsoft Intune 是雲端式服務,可協助您管理裝置和應用程式。 如需 Microsoft Intune 可以為組織執行哪些動作的詳細資訊,請移至什麼是 Microsoft Intune

本文提供開始 Intune 部署步驟的概觀。

此圖顯示開始使用 Microsoft Intune的不同步驟,包括設定、新增應用程式、使用合規性 & 條件式存取、設定裝置功能,然後註冊要管理的裝置。

提示

作為本文的附隨者,Microsoft 365 系統管理中心 也有一些設定指引。 本指南會根據您的環境自定義您的體驗。 若要存取此部署指南,請移至 Microsoft 365 系統管理中心 中的 Microsoft Intune 設定指南,並至少) 使用全域讀取器 (登入。 如需這些部署指南和所需角色的詳細資訊,請移至 Microsoft 365 和 Office 365 產品的進階部署指南

若要檢閱最佳做法,而不登入並啟用自動化安裝功能,請移至 M365 安裝程式入口網站

開始之前

步驟 1 - 設定 Intune

在此步驟中:

✔️ 確認您的裝置受到支援、建立 Intune 租使用者、新增使用者 & 群組、指派授權等等。

此步驟著重於設定 Intune,並讓您準備好管理使用者身分識別、應用程式和裝置。 Intune 會在 Microsoft Entra 識別碼中使用許多功能,包括您的網域、使用者和群組。

如需詳細資訊,請移至步驟 1 - 設定 Microsoft Intune

步驟 2 - 新增和保護應用程式

在此步驟中:

✔️ 在將註冊 Intune 的裝置上,建立裝置必須擁有的應用程式基準,然後在註冊期間指派這些應用程式原則。 在需要額外安全性的應用程式上,也請使用應用程式保護原則。

✔️ 在不會在 Intune 註冊的裝置 上,使用應用程式保護原則和多重要素驗證 (MFA) :

  • 應用程式防護 原則可協助保護個人裝置上的組織數據。
  • MFA 可協助保護貴組織的數據免於未經授權的存取。

如需詳細資訊,請移至 步驟 2 - 使用 Intune 新增、設定及保護應用程式

每個組織都有一組應該安裝在裝置上的基底應用程式。 在用戶註冊其裝置之前,您可以使用 Intune 將這些應用程式指派給其裝置。 在註冊期間,會自動部署應用程式原則。 註冊完成時,應用程式會安裝並準備好使用。

如果您想要的話,您可以註冊您的裝置,然後指派應用程式。 這是您的選擇。 下次使用者檢查新的應用程式時,會看到新的可用應用程式。

如果使用者具有自己的個人裝置存取組織資源,則您至少必須使用行動應用程式管理 (MAM) 來保護任何存取組織數據的應用程式。 您可以為 Outlook、Teams、SharePoint 和其他應用程式建立 MAM 原則。 Microsoft Intune 規劃指南提供管理個人裝置的一些指引。

注意事項

MFA 是 Microsoft Entra 標識碼的功能,必須在您的 Microsoft Entra 租用戶中啟用。 然後,您會為您的應用程式設定 MFA。 如需詳細資訊,請移至:

步驟 3 - 檢查合規性並開啟條件式存取

在此步驟中:

✔️ 建立裝置必須具備 的合規性原則基準 ,然後在註冊期間指派這些合規性原則。

✔️ 啟用條件式存取 以強制執行合規性原則。

如需詳細資訊,請移至 步驟 3 – 規劃合規性政策

Intune 之類的 MDM 解決方案可以設定裝置應該符合的規則,而且可以報告這些規則的合規性狀態。 這些規則稱為合規性原則。 當您結合合規性原則與條件式存取時,您可以要求裝置必須符合特定安全性需求,才能存取您組織的數據。

當使用者在 Intune 中註冊其裝置時,註冊程式可以自動部署您的合規性政策。 註冊完成時,系統管理員可以檢查合規性狀態,並取得不符合您規則的裝置清單。

如果您想要的話,您可以先註冊裝置,再檢查合規性。 這是您的選擇。 在下一次 Intune 簽入時,會指派合規性原則。

注意事項

條件式存取是 Microsoft Entra 標識碼的功能,必須在您的 Microsoft Entra 租用戶中啟用。 然後,您可以為使用者身分識別、應用程式和裝置建立條件式存取原則。 如需詳細資訊,請移至:

步驟 4 - 設定裝置功能

在此步驟中:

✔️ 建立應啟用或封鎖 之安全性功能和裝置功能的基準 。 在註冊期間指派這些配置檔。

如需詳細資訊,請移至 步驟 4 - 建立裝置組態配置檔以保護裝置和存取組織資源

您的組織可以有一組基本的裝置和安全性功能,這些功能應該設定或封鎖。 這些設定會新增至裝置組態和端點安全性配置檔。 Microsoft 建議您在註冊期間指派金鑰安全性和裝置設定原則。 註冊開始時,系統會自動指派裝置組態配置檔。 註冊完成時,會設定這些裝置和安全性功能。

如果您想要的話,您可以先註冊裝置,再建立組態配置檔。 這是您的選擇。 在下一次 Intune 簽入時,會指派配置檔。

Microsoft Intune 系統管理中心,您可以根據您的裝置平臺建立不同的配置檔 - Android、iOS/iPadOS、macOS 和 Windows。

下列文章是不錯的資源:

步驟 5 - 註冊您的裝置

在此步驟中:

✔️ 在 Intune 中 註冊您的裝置

如需更具體的資訊,請移至步驟 5 - 部署指引:在 Microsoft Intune 中註冊裝置

若要完全管理裝置,裝置必須在 Intune 中註冊,才能接收您所建立 & 條件式存取原則、應用程式原則、裝置設定原則和安全策略的合規性。 身為系統管理員,您可以為用戶和裝置建立註冊原則。 每個裝置平臺 (Android、iOS/iPadOS、Linux、macOS 和 Windows) 都有不同的註冊選項。 您可以選擇最適合您的環境、案例,以及裝置的使用方式。

根據您選擇的註冊選項,用戶可以自行註冊。 或者,您可以將註冊自動化,讓使用者只需要使用其組織帳戶登入裝置。

當裝置註冊時,裝置會收到安全的 MDM 憑證。 此憑證會與 Intune 服務通訊。

不同的平臺有不同的註冊需求。 下列文章可協助您深入瞭解裝置註冊,包括平臺特定的指引:

雲端連結與 Configuration Manager

Microsoft Configuration Manager 可協助保護內部部署 Windows Server、裝置、應用程式和數據。 如果您需要管理雲端和內部部署端點的組合,您可以將 Configuration Manager 環境連結至 Intune。

如果您使用 Configuration Manager,則有兩個步驟可將您的內部部署裝置連線到雲端:

  1. 租用戶連結:向您的 Configuration Manager 部署註冊您的 Intune 租使用者。 您的 Configuration Manager 裝置會顯示在 Microsoft Intune 系統管理中心。 在這些裝置上,您可以執行不同的動作,包括安裝應用程式,以及使用 Web 型 Intune 系統管理中心執行 Windows PowerShell 腳稿。

  2. 共同管理:使用 Configuration Manager 和 Microsoft Intune 管理 Windows 用戶端裝置。 Configuration Manager 會管理某些工作負載,而 Intune 會管理其他工作負載。

    例如,您可以使用 Configuration Manager 來管理 Windows 更新,並使用 Intune 來管理 & 條件式存取原則的合規性。

如果您目前使用 Configuration Manager,您可以透過租使用者附加取得立即值,並透過共同管理獲得更多價值。

如需適用於您組織的 Microsoft Intune 設定指引,請移至部署指南:設定或移至 Microsoft Intune

後續步驟