Microsoft Intune 規劃指南

成功的 Microsoft Intune 部署或移轉會從規劃開始。 本指南可協助您規劃移轉或採用 Intune 作為統一端點管理解決方案。

此圖顯示規劃移轉或移至 Microsoft Intune的步驟,包括授權需求。

Intune 可讓組織選擇執行最適合他們和許多不同使用者裝置的作業。 您可以在 Intune 中註冊裝置,以進行行動裝置管理 (MDM) 。 您也可以將應用程式保護原則用於行動應用程式管理 (著重在保護應用程式數據的 MAM) 。

本指南:

  • 清單 並說明裝置管理的一些常見目標
  • 清單潛在的授權需求
  • 提供處理個人擁有裝置的指引
  • 建議您檢閱目前的原則和基礎結構
  • 提供建立首度發行方案的範例
  • 以及其他選項

使用本指南來規劃移轉或移轉至 Intune。

提示

  • 想要將本指南列印或儲存為 PDF 嗎? 在網頁瀏覽器中,使用 [列印 ] 選項 [ 另存為 PDF]
  • 本指南是一件即時的工作。 因此,請務必新增或更新您發現有用的現有秘訣和指引。

步驟 1 - 決定您的目標

組織會使用行動裝置管理 (MDM) 和行動應用程式管理 (MAM) 來安全地控制組織數據,並盡可能減少對用戶的干擾。 評估 MDM/MAM 解決方案時,例如 Microsoft Intune,請查看目標是什麼,以及您想要達成的目標。

在本節中,我們會討論使用 Intune 時的常見目標或案例。

目標:存取組織應用程式和電子郵件

用戶預期會使用組織應用程式在裝置上工作,包括讀取和響應電子郵件、更新和共用數據等等。 在 Intune 中,您可以部署不同類型的應用程式,包括:

  • Microsoft 365 應用程式
  • Win32 應用程式
  • 企業營運 (LOB) 應用程式
  • 自訂應用程式
  • 內建應用程式或市集應用程式

✔️ 工作:製作使用者定期使用的應用程式清單

這些應用程式是您想要在其裝置上使用的應用程式。 一些考慮:

  • 許多組織會將 Microsoft 365 應用程式部署到電腦和平板電腦,例如 Word、Excel、OneNote、PowerPoint 和 Teams。 在較小的裝置上,例如行動電話,可能會安裝個別的應用程式,視使用者需求而定。

    例如,銷售小組可能需要 Teams、Excel 和 SharePoint。 在行動裝置上,您只能部署這些應用程式,而不是部署整個 Microsoft 365 產品系列。

  • 用戶預期會讀取和回復所有裝置上的電子郵件和加入會議,包括個人裝置。 在組織擁有的裝置上,您可以部署 Outlook 和 Teams,以及管理和控制所有裝置設定和所有應用程式設定,包括 PIN 和密碼需求。

    在個人裝置上,您可能沒有此控件。 因此,請判斷您是否要讓使用者存取組織應用程式,例如電子郵件和會議。

    如需詳細資訊和考慮,請移至本文) 中 的個人裝置與組織擁有的裝置 (。

  • 如果您打算移轉至 Microsoft Outlook,請記下您目前使用的電子郵件組態。 您可以使用 Intune 應用程式設定原則來設定這些設定。

  • 檢閱 設計來與 Intune 搭配運作的受保護應用程式。 這些應用程式是支援的合作夥伴應用程式,以及常用於 Microsoft Intune的 Microsoft 應用程式。

目標:保護所有裝置上的存取

當數據儲存在行動裝置上時,它必須受到保護,以免遭受惡意活動。

✔️ 工作:決定您要如何保護裝置

防病毒軟體、惡意代碼掃描、回應威脅,以及讓裝置保持最新狀態都是重要的考慮。 您也想要將惡意活動的影響降到最低。

一些考慮:

  • 防病毒軟體 (AV) 和惡意代碼保護是必須的。 Intune 與 適用於端點的 Microsoft Defender不同的Mobile Threat Defense (MTD) 合作夥伴整合,以協助保護受控裝置、個人裝置和應用程式。

    適用於端點的 Microsoft Defender 包含安全性功能和入口網站,以協助監視和響應威脅。

  • 如果裝置遭到入侵,您想要使用條件式存取來限制惡意影響

    例如,適用於端點的 Microsoft Defender 掃描裝置,並判斷裝置遭到入侵。 條件式存取可以自動封鎖此裝置上的組織存取,包括電子郵件。

    條件式存取可協助保護您的網路和資源免於裝置,甚至是未在 Intune 中註冊的裝置。

  • 更新裝置、OS 和應用程式,以協助保護您的資料安全。 建立安裝更新方式和時間的計劃。 Intune 中有一些原則可協助您管理更新,包括儲存應用程式的更新。

    下列軟體更新規劃指南可協助您判斷更新策略:

  • 決定使用者如何從其許多裝置向組織資源進行驗證。 例如,您可以:

    • 在裝置上使用 憑證 來驗證功能和應用程式,例如聯機到虛擬專用網 (VPN) 、開啟 Outlook 等等。 這些憑證允許「無密碼」的用戶體驗。 無密碼會被視為比要求使用者輸入其組織使用者名稱和密碼更安全。

      如果您打算使用憑證,請使用支援的 公鑰基礎結構 (PKI) 基礎 結構來建立和部署憑證配置檔。

    • 使用 多重要素驗證 (MFA) ,以在組織擁有的裝置上進行多層驗證。 或者,使用 MFA 在個人裝置上驗證應用程式。 您也可以使用生物特徵辨識,例如臉部辨識和指紋。

      如果您打算使用生物特徵辨識來進行驗證,請確定您的裝置支援生物特徵辨識。 大部分的新式裝置都行。

    • 實作 零信任 部署。 透過 零信任,您可以使用 Microsoft Entra ID 和 Microsoft Intune 中的功能來保護所有端點、使用無密碼驗證等等。

  • 設定 Microsoft 365 應用程式隨附的數據內含項目原則。 這些原則可協助防止組織數據與未受IT管理的其他應用程式和記憶體位置共用。

    如果某些使用者只需要存取公司電子郵件和檔,這在個人擁有的裝置上很常見,則您可以要求使用者搭配應用程式保護原則使用 Microsoft 365 應用程式。 裝置不需要在 Intune 中註冊。

    如需詳細資訊和考慮,請移至本文) 中 的個人裝置與組織擁有的裝置 (。

目標:散發IT

許多組織都想要讓不同的系統管理員控制位置、部門等等。 例如, 在一般IT系統管理員 群組中,會控制並監視在一般校區中的原則。 這些並行 IT 系統管理員只能查看及管理[要處理] 位置的原則。 他們無法查看和管理 Redmond 位置的原則。 這種方法稱為分散式IT。

在 Intune 中,分散式 IT 受益於下列功能:

  • 範圍標籤會 使用角色型訪問控制 (RBAC) 。 因此,只有特定群組中的用戶有權管理其範圍內使用者和裝置的原則和配置檔。

  • 當您使用 裝置註冊類別時,裝置會根據您建立的類別自動新增至群組。 這項功能使用 Microsoft Entra 動態群組,並可協助您更輕鬆地管理裝置。

    當用戶註冊其裝置時,他們會選擇類別,例如銷售、IT 系統管理員、銷售點裝置等等。 當它們新增至類別時,這些裝置群組已準備好接收您的原則。

  • 當系統管理員建立原則時,您可以針對特定原則要求 多個系統管理員核准 ,包括執行腳本或部署應用程式的原則。

  • 端點許可權管理 可讓標準非系統管理員使用者完成需要提高許可權的工作,例如安裝應用程式和更新設備驅動器。 端點許可權管理是 Intune 套件的一部分。

✔️ 工作:決定您想要如何散發規則和設定

規則和設定是使用不同的原則來部署。 一些考慮:

  • 判斷您的系統管理員結構。 例如,您可能想要依位置分隔,例如 ,並排序的IT系統管理員英國IT系統管理員。 您可能想要依角色分隔,例如控制所有網路存取的網路 管理員 ,包括 VPN。

    這些類別會成為您的 範圍標籤

  • 有時候組織需要在大量本機系統管理員連線到單一 Intune 租用戶的系統中使用分散式 IT。 例如,大型組織有單一 Intune 租使用者。 組織有大量的本機系統管理員,而每個系統管理員都會管理特定的系統、區域或位置。 每個系統管理員只需要管理其位置,而非整個組織。

    如需詳細資訊,請移至 具有相同 Intune 租用戶中許多系統管理員的分散式 IT 環境

  • 許多組織會依裝置類型分隔群組,例如iOS/iPadOS、Android或 Windows 裝置。 部分範例:

    • 將特定應用程式發佈至特定裝置。 例如,將 Microsoft 裝置應用程式部署到 Redmond 網路中的行動裝置。
    • 將原則部署至特定位置。 例如,將 Wi-Fi 配置檔部署到在[要點] 網路中的裝置,以便在範圍內自動連線。
    • 控制特定裝置上的設定。 例如,停用製造環境中使用的 Android Enterprise 裝置上的相機、為所有 Windows 裝置建立 Windows Defender 防病毒軟體配置檔,或將電子郵件設定新增至所有 iOS/iPadOS 裝置。

    這些類別會成為您的 裝置註冊類別

目標:將組織數據保留在組織內

當數據儲存在行動裝置上時,應該保護數據免於意外遺失或共用。 此目標也包括從個人和組織擁有的裝置抹除組織數據。

✔️ 工作:建立計劃以涵蓋影響貴組織的不同案例

一些範例案例:

  • 裝置遺失或遭竊,或不再使用。 用戶離開組織。

  • 在個人裝置上,您可以防止用戶複製/貼上、擷取螢幕快照或轉寄電子郵件。 應用程式防護 原則可以在您未管理的裝置上封鎖這些功能。

    在 Intune) 中註冊 (裝置的受管理裝置上,您也可以使用裝置組態配置檔來控制這些功能。 裝置組態配置檔控制 裝置上的設定,而不是應用程式。 在存取高度敏感或機密數據的裝置上,裝置組態配置檔可以防止複製/貼上、擷取螢幕快照等等。

如需詳細資訊和考慮,請移至本文) 中 的個人裝置與組織擁有的裝置 (。

步驟 2 - 清查您的裝置

組織有各種裝置,包括桌面電腦、膝上型電腦、平板電腦、手動掃描器和行動電話。 這些裝置是由組織所擁有,或由您的使用者所擁有。 規劃裝置管理策略時,請考慮存取組織資源的所有專案,包括個人裝置。

本節包含您應該考慮的裝置資訊。

支援的平台

Intune 支援常見且熱門的裝置平臺。 針對特定版本,請移至 支持的平臺

✔️ 工作:升級或取代較舊的裝置

如果您的裝置使用不支援的版本,而這些版本主要是較舊的操作系統,則是時候升級OS或取代裝置了。 這些舊版操作系統和裝置的支援可能有限,而且有潛在的安全性風險。 此工作包括執行 Windows 7 的桌面電腦、執行原始 v10.0 OS 的 iPhone 7 裝置等等。

個人裝置與組織擁有的裝置

在個人裝置上,使用者檢查電子郵件、加入會議、更新檔案等等是正常且預期的。 許多組織都允許個人裝置存取組織資源。

BYOD/個人裝置是行動應用程式管理 (MAM) 策略的一部分,

  • 在許多組織中持續受到歡迎
  • 對於想要保護組織數據,但不想要管理整個裝置的組織而言,這是不錯的選擇
  • 降低硬體成本。
  • 可以提高員工的行動生產力選擇,包括遠端 & 混合式背景工作角色
  • 只會從應用程式移除組織數據,而不是從裝置移除所有數據

組織擁有的裝置是行動裝置管理 (MDM) 策略的一部分,

  • 讓組織中的IT系統管理員完全掌控
  • 具有一組豐富的功能,可管理應用程式、裝置和使用者
  • 對於想要管理整個裝置的組織而言,這是不錯的選擇,包括硬體和軟體
  • 可能會增加硬體成本,特別是當現有的裝置已過期或不再受到支援時
  • 可以從裝置移除所有數據,包括個人資料

比較 Microsoft Intune 中裝置的行動裝置管理和應用程式管理的螢幕快照。

身為組織和系統管理員,您可以決定是否允許個人裝置。 如果您允許個人裝置,則必須做出重要決策,包括如何保護組織數據。

✔️ 工作:決定您要如何處理個人裝置

如果行動或支持遠端工作者對您的組織很重要,請考慮下列方法:

  • 選項 1:允許個人裝置存取組織資源。 用戶 可以選擇註冊或不註冊

    • 對於 註冊其個人裝置的使用者,系統管理員會完全管理這些裝置,包括推送原則、控制裝置功能 & 設定,甚至抹除裝置。 身為系統管理員,您可能會想要此控件,或者您可能會 認為 您想要此控件。

      當用戶註冊其個人裝置時,可能不知道或了解系統管理員可以在裝置上執行任何動作,包括不小心抹除或重設裝置。 身為系統管理員,您可能不想要對貴組織不擁有的裝置承擔此責任或潛在影響。

      此外,許多使用者拒絕註冊,而且可能會找到其他存取組織資源的方式。 例如,您需要註冊裝置,才能使用 Outlook 應用程式來檢查組織電子郵件。 若要略過這項需求,用戶必須在裝置上開啟任何網頁瀏覽器,並登入 Outlook Web 存取,這可能不是您想要的。 或者,他們會建立螢幕快照,並將影像儲存在裝置上,這也不是您想要的。

      如果您選擇此選項,請務必教育用戶註冊其個人裝置的風險和優點。

    • 對於 未註冊其個人裝置的使用者,您可以使用應用程式保護原則來管理應用程式存取及保護應用程式數據。

      使用 條款及條件 語句搭配條件式存取原則。 如果使用者不同意,則無法存取應用程式。 如果使用者同意語句,則會將裝置記錄新增至 Microsoft Entra ID,而裝置會變成已知的實體。 已知裝置時,您可以追蹤從裝置存取的內容。

      使用應用程式原則一律控制存取和安全性。

      查看貴組織最常使用的工作,例如電子郵件和加入會議。 使用 應用程式設定原則 來設定應用程式特定設定,例如 Outlook。 使用 應用程式保護原則 來控制這些應用程式的安全性和存取權。

      例如,用戶可以在其個人裝置上使用 Outlook 應用程式來檢查工作電子郵件。 在 Intune 中,系統管理員會建立 Outlook 應用程式保護原則。 此原則會在每次 Outlook 應用程式開啟時使用多重要素驗證 (MFA) 、防止複製和貼上,以及限制其他功能。

  • 選項 2:您想要 完全管理每個裝置。 在此案例中,所有裝置都會在 Intune 中註冊,並由組織管理,包括個人裝置。

    若要協助強制執行註冊,您可以部署條件式存取 (CA) 原則,要求裝置在 Intune 中註冊。 在這些裝置上,您也可以:

    • 設定 WiFi/VPN連線以進行組織連線, 並將這些連線原則部署至裝置。 使用者不需要輸入任何設定。
    • 如果 使用者的裝置上需要特定應用程式 ,請部署應用程式。 您也可以部署組織基於安全性目的所需的應用程式,例如行動威脅防禦應用程式。
    • 使用 合規性原則來設定 貴組織必須遵循的任何規則,例如發出特定 MDM 控件的法規或原則。 例如,您需要 Intune 來加密整個裝置,或產生裝置上所有應用程式的報告。

    如果您也想要控制硬體,請為使用者提供所需的所有裝置,包括行動電話。 投資硬體重新整理計劃,讓用戶繼續提高生產力,並取得最新的內建安全性功能。 在 Intune 中註冊這些組織擁有的裝置,並使用原則進行管理。

最佳做法是一律假設數據會離開裝置。 請確定您的追蹤和稽核方法已就緒。 如需詳細資訊,請參閱使用 Microsoft Intune 零信任

管理桌面電腦

Intune 可以管理執行 Windows 10 和更新版本的傳統型計算機。 Windows 用戶端 OS 包含內建的新式裝置管理功能,並移除本機 Active Directory (AD) 組策略的相依性。 在 Intune 中建立規則和設定,並將這些原則部署到所有 Windows 用戶端裝置,包括桌面電腦和計算機時,您可獲得雲端的優點。

如需詳細資訊,請移至 引導式案例 - 雲端管理的新式桌面

如果您的 Windows 裝置目前是使用 Configuration Manager 來管理,您仍然可以在 Intune 中註冊這些裝置。 這種方法稱為 共同管理。 共同管理提供許多優點,包括在裝置上執行遠端動作 (重新啟動、遠端控制、原廠重設) 、符合裝置合規性的條件式存取等等。 您也可以將裝置雲端連結至 Intune。

如需詳細資訊,請移至:

✔️ 工作:查看您目前用於行動裝置管理的內容

您採用的行動裝置管理可能取決於您組織目前使用的內容,包括該解決方案是否使用內部部署功能或程式。

安裝程式部署指南有一些良好的資訊。

一些考慮:

  • 如果您目前未使用任何 MDM 服務或解決方案,則直接前往 Intune 可能是最好的選擇。

  • 對於未在 Configuration Manager 或任何 MDM 解決方案中註冊的新裝置,則直接前往 Intune 可能是最好的選擇。

  • 如果您目前使用 Configuration Manager,則您的選項包括:

    • 如果您想要保留現有的基礎結構,並將一些工作負載移至雲端,請使用共同管理。 您可獲得這兩項服務的優點。 現有的裝置可以從內部部署) Configuration Manager (接收一些原則,以及來自 Intune (雲端) 的其他原則。
    • 如果您想要保留現有的基礎結構,並使用 Intune 來協助監視內部部署裝置,請使用租用戶連結。 您可獲得使用 Intune 系統管理中心的優點,同時仍使用 Configuration Manager 來管理裝置。
    • 如果您想要純雲端解決方案來管理裝置,請移至 Intune。 現有的 Configuration Manager 使用者通常偏好繼續使用 Configuration Manager 與租使用者附加或共同管理。

    如需詳細資訊,請移至 共同管理工作負載

FLW) 裝置 (第一線工作者

共用平板電腦和裝置在 FLW) (一線工作者很常見。 它們用於許多產業,包括零售、醫療保健、製造等等。

有適用於不同平台的選項,包括 Android (AOSP) 虛擬實境裝置、iPad 裝置和 Windows 365 雲端電腦。

✔️ 工作:判斷您的 FLW 案例

FLW 裝置是組織擁有的,已註冊到裝置管理中,而且可以由指派) 的使用者或 (共用裝置) 的許多使用者 (使用者使用。 這些裝置對於一線員工來說非常重要,因此通常會在有限使用模式中使用。 例如,裝置是用來掃描專案,或是使用Tablet來檢查醫院病患。

如需詳細資訊,請移至 Microsoft Intune 中的一線背景工作裝置管理

步驟 3 - 判斷成本和授權

管理裝置是與不同服務的關聯性。 Intune 包含您可以在不同裝置上控制的設定和功能。 還有其他服務扮演重要角色:

  • Microsoft Entra ID P1 或 P2 包含幾項管理裝置的關鍵功能,包括:

    • Windows Autopilot:Windows 用戶端裝置可以自動在 Intune 中註冊,並自動接收您的原則。
    • 多重要素驗證 (MFA) :用戶必須輸入兩種以上的驗證方法,例如 PIN、驗證器應用程式、指紋等等。 針對個人裝置和需要額外安全性的組織擁有裝置使用應用程式保護原則時,MFA 是很好的選擇。
    • 條件式存取:如果使用者和裝置遵循您的規則,例如6位數密碼,則他們可以存取組織資源。 如果使用者或裝置不符合您的規則,則無法取得存取權。
    • 動態使用者群組和動態裝置群組:當使用者或裝置符合城市、職稱、OS 類型、OS 版本等準則時,自動將使用者或裝置新增至群組。
  • Microsoft 365 應用程式包含使用者所依賴的應用程式,包括 Outlook、Word、SharePoint、Teams、OneDrive 等等。 您可以使用 Intune 將這些應用程式部署到裝置。

  • 適用於端點的 Microsoft Defender 可協助監視和掃描您的 Windows 用戶端裝置是否有惡意活動。 您也可以設定可接受的威脅層級。 與條件式存取結合時,如果超過威脅層級,您可以封鎖對組織資源的存取。

  • Microsoft Purview 會藉由套用標籤來分類及保護文件和電子郵件。 在 Microsoft 365 應用程式上,您可以使用此服務 來防止未經授權的組織數據存取,包括個人裝置上的應用程式。

所有這些服務都包含在 Microsoft 365 E5 授權中。

如需詳細資訊,請移至:

✔️ 工作:判斷貴組織需要的授權服務

一些考慮:

  • 如果您的目標是將原則部署 (規則) 和配置檔, (設定) ,而不需要強制執行,您至少需要:

    • Intune

    Intune 提供不同的訂用帳戶,包括作為獨立服務。 如需詳細資訊,請移至 Microsoft Intune 授權Intune 套件具有進階端點管理和安全性功能,例如遠端說明或端點許可權管理。 它是以個別授權的形式提供。

    您目前使用 Configuration Manager,而且想要為您的裝置設定共同管理。 Intune 已包含在您的 Configuration Manager 授權中。 如果您想要 Intune 完全管理新的裝置或現有的共同管理裝置,則需要個別的 Intune 授權。

  • 您要強制執行您在 Intune 中建立的合規性或密碼規則。 您至少需要:

    • Intune
    • Microsoft Entra ID P1 或 P2

    Enterprise Mobility + Security 提供 Intune 和 Microsoft Entra ID P1 或 P2。 如需詳細資訊,請移至 Enterprise Mobility + Security 定價選項

  • 您只想要在裝置上管理 Microsoft 365 應用程式。 您至少需要:

    • Microsoft 365 基本版 行動性與安全性

    如需詳細資訊,請移至:

  • 您想要將 Microsoft 365 應用程式部署到您的裝置,並建立原則來協助保護執行這些應用程式的裝置。 您至少需要:

    • Intune
    • Microsoft 365 應用程式
  • 您想要在 Intune 中建立原則、部署 Microsoft 365 應用程式,以及強制執行您的規則和設定。 您至少需要:

    • Intune
    • Microsoft 365 應用程式
    • Microsoft Entra ID P1 或 P2

    由於這些服務都包含在某些 Microsoft 365 方案中,因此使用 Microsoft 365 授權可能符合成本效益。 如需詳細資訊,請移至 Microsoft 365 授權方案

步驟 4 - 檢閱現有的原則和基礎結構

許多組織都有只會「維護」的現有原則和裝置管理基礎結構。 例如,您可能有 20 年的組策略,但不知道它們的用途。 考慮移至雲端時,請決定目標,而不是查看您一律完成的工作。

請記住這些目標,建立原則的基準。 如果您有多個裝置管理解決方案,現在可能是使用單一行動裝置管理服務的時間。

✔️ 工作:查看您在內部部署環境中執行的工作

此工作包括查看可移至雲端的服務。 請記住,與其查看您一直執行的工作,而是決定目標。

提示

深入瞭解雲端原生端點 是良好的資源。

一些考慮:

  • 檢閱現有的原則及其結構。 某些原則可能會全域套用,有些原則會套用在月臺層級,有些則是裝置特有的。 目標是要瞭解並瞭解全域原則的意圖、本機原則的意圖等等。

    內部部署 AD 組策略會依 LS}順序套用 - 本機、網站、網域和組織單位 (OU) 。 在此階層中,OU 原則會覆寫網域原則、網域原則會覆寫網站原則等等。

    在 Intune 中,原則會套用至您建立的使用者和群組。 沒有階層。 如果兩個原則更新相同的設定,則設定會顯示為衝突。 如需衝突行為的詳細資訊,請移至 裝置原則和配置檔的常見問題、問題和解決方式

    從 AD 組策略進入 Intune 時,在檢閱原則之後,您的 AD 全域原則會以邏輯方式開始套用至您擁有的群組或您需要的群組。 這些群組包括您想要以全域層級、網站層級等為目標的用戶和裝置。 此工作可讓您瞭解 Intune 中所需的群組結構。

  • 準備好在 Intune 中建立新的原則。 Intune 包含數個功能,涵蓋您可能感興趣的案例。 部分範例:

    • 安全性基準:在 Windows 10/11 裝置上,安全性基準是預先設定為建議值的安全性設定。 如果您不熟悉保護裝置,或想要完整的基準,請查看安全性基準。 設定深入解析藉由新增類似組織已成功採用的深入解析,來提供對設定的信賴度。 深入解析適用於某些設定,而非所有設定。 如需詳細資訊,請 參閱設定深入解析

    • 系統管理範本:在 Windows 10/11 裝置上,使用 ADMX 範本來設定 Windows、Internet Explorer、Office 和 Microsoft Edge 77 版和更新版本的組策略設定。 這些 ADMX 範本與 AD 組策略中使用的 ADMX 範本相同,但在 Intune 中則是 100% 雲端式範本。

    • 組策略:使用 組策略分析 來匯入和分析 GPO。 這項功能可協助您判斷 GPO 在雲端中的轉譯方式。 輸出顯示 MDM 提供者 (包括 Microsoft Intune) 支援哪些設定。 它還顯示任何已過時的設定,或 MDM 提供者無法使用的設定。

      您也可以根據匯入的設定建立 Intune 原則。 如需詳細資訊,請移至 使用您匯入的 GPO 建立設定目錄原則

    • 引導式案例引導式案例 是一系列自定義的步驟,著重於端對端使用案例。 這些案例會自動包含原則、應用程式、指派和其他管理組態。

  • 建立 包含最小目標的原則基準。 例如:

    • 安全的電子郵件:您至少想要:

      • 建立 Outlook 應用程式保護原則。
      • 啟用 Exchange Online 的條件式存取,或連線到另一個內部部署電子郵件解決方案。
    • 裝置設定:您可能至少想要:

      • 需要六個字元 PIN 才能解除鎖定裝置。
      • 防止備份至個人雲端服務,例如 iCloud 或 OneDrive。
    • 裝置設定檔:您可能至少想要:

      • 使用連線到 Contoso Wi-Fi 無線網路的預先設定設定來建立 Wi-Fi 設定檔
      • 使用憑證建立 VPN 配置檔 以自動驗證,並連線到組織 VPN。
      • 使用連線到 Outlook 的預先設定設定來建立 電子郵件設置檔
    • 應用程式:您可能至少想要:

      • 使用應用程式保護原則部署 Microsoft 365 應用程式。
      • 使用應用程式保護原則部署企業營運 (LOB) 。

    如需最低建議設定的詳細資訊,請移至:

  • 檢閱群組的目前結構。 在 Intune 中,您可以建立原則並指派給使用者群組、裝置群組,以及 (需要 Microsoft Entra ID P1 或 P2) 的動態使用者和裝置群組。

    當您在雲端中建立群組,例如 Intune 或 Microsoft 365 時,會在 Microsoft Entra ID 中建立群組。 您可能看不到 Microsoft Entra ID 商標,但這就是您所使用的。

  • 如果您有多個裝置管理解決方案,請 移至單一行動裝置管理解決方案。 建議您使用 Intune 來協助保護應用程式和裝置上的組織數據。

    如需詳細資訊,請移至 Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置

步驟 5 - 建立首度發行計劃

下一個工作是規劃用戶和裝置接收原則的方式和時機。 在這項工作中,也請考慮:

  • 定義您的目標和成功計量。 使用這些數據點來建立其他推出階段。 請確定目標為 SMART (Specific、Measurable、Attainable、Realistic 和 Timely) 。 規劃在每個階段根據您的目標進行測量,讓您的首度發行專案保持正常執行。
  • 具有清楚定義的目標和目標。 在所有認知和訓練活動中納入這些目標,讓使用者瞭解組織選擇 Intune 的原因。

✔️ 工作:建立方案以推出原則

此外,選擇使用者如何在 Intune 中註冊其裝置。 一些考慮:

  • 分階段推出您的原則。 例如:

    • 從試驗或測試群組開始。 這些群組應該知道他們是第一個使用者,並願意提供意見反應。 使用此意見反應來改善設定、檔、通知,並讓使用者在未來推出時更容易使用。 這些使用者不應該是主管或VIP。

      初始測試之後,將更多使用者新增至試驗群組。 或者,建立更多著重於不同推出的試驗群組,例如:

      • 部門:每個部門都可以是推出階段。 您一次以整個部門為目標。 在此推出中,每個部門中的使用者可能會以相同方式使用其裝置,並存取相同的應用程式。 使用者可能具有相同類型的原則。

      • 地理位置:將您的原則部署到特定地理位置中的所有使用者,不論是相同的大陸、國家/地區或相同的組織組建。 此推出可讓您專注於使用者的特定位置。 您可以為預先布建的部署方法提供 Windows Autopilot,因為同時部署 Intune 的位置數目較少。 在相同位置可能會有不同部門或不同的使用案例。 因此,您可以同時測試不同的使用案例。

      • 平臺:此推出會同時部署類似的平臺。 例如,將原則部署到 2 月的所有 iOS/iPadOS 裝置、3 月的所有 Android 裝置,以及 4 月的所有 Windows 裝置。 這種方法可能會簡化技術支援人員的支持,因為它們一次只支援一個平臺。

      使用分段方法,您可以從各種不同的用戶類型取得意見反應。

    • 試驗成功之後,您就可以開始完整的生產推出。 下列範例是包含目標組和時程表的 Intune 推出計劃:

    推出階段 七月 八月 九月 十月
    有限試驗 IT (50 位使用者)
    展開試驗 IT (200 位使用者) ,IT 主管 (10 位使用者)
    生產推出階段 1 銷售與行銷 (2000 位使用者)
    生產推出階段 2 零售 (1000 位使用者)
    生產推出階段 3 HR (50 位使用者) 、財務 (40 位使用者) 、主管 (30 位使用者)

    此範本也可在 Intune 部署規劃、設計和實作 - 數據表範本下載。

  • 選擇使用者如何註冊 其個人和組織擁有的裝置。 您可以使用不同的註冊方法,包括:

    • 使用者自助:使用者依照其IT組織提供的步驟註冊自己的裝置。 這種方法最常見,而且比用戶輔助註冊更可調整。
    • 用戶輔助註冊:在此預先布建的部署方法中,IT 成員可協助用戶親自或使用Teams完成註冊程式。 這種方法與可能需要更多協助的主管人員和其他群組很常見。
    • IT 技術展:在此活動中,IT 群組會設定 Intune 註冊協助諮詢中心。 使用者會收到 Intune 註冊的相關信息、提出問題,並取得註冊其裝置的協助。 此選項對 IT 和使用者非常有説明,尤其是在 Intune 推出初期階段。

    下列範例包含註冊方法:

    推出階段 七月 八月 九月 十月
    有限試驗
    自助 IT
    展開試驗
    自助 IT
    預先布建 IT 主管
    生產推出階段 1 銷售、行銷
    自助 銷售與行銷
    生產推出階段 2 零售業
    自助 零售業
    生產推出階段 3 主管、人力資源、財務
    自助 HR、Finance
    預先布建 高管

    如需每個平臺之不同註冊方法的詳細資訊,請移至部署指引:在 Microsoft Intune 中註冊裝置

步驟 6 - 傳達變更

變更管理依賴有關即將進行之變更的清楚且實用的通訊。 其概念是讓 Intune 部署順暢,並讓使用者知道任何中斷 & 變更。

✔️ 工作:您的推出通訊計劃應該包含重要資訊

此資訊應包括如何通知使用者,以及何時進行通訊。 一些考慮:

  • 判斷要傳達的資訊。 分階段與您的群組和用戶通訊,從 Intune 推出開始、註冊前,然後註冊後開始:

    • 啟動階段:引進Intune專案的廣泛通訊。 它應該會回答重要問題,例如:

      • 什麼是 Intune?
      • 組織為何使用 Intune,包括對組織和用戶的權益
      • 提供部署和推出的高階計劃。
      • 如果除非裝置已註冊, 否則 不允許個人裝置,則請說明您做出決定的原因。
    • 註冊前階段:廣泛通訊,包括 Intune 和其他服務 (的資訊,例如 Office、Outlook 和 OneDrive) 、用戶資源,以及使用者和群組將在 Intune 中註冊時的特定時間軸。

    • 註冊階段:通訊目標為已排程在Intune 中註冊的組織使用者和群組。 它應該會通知用戶他們已準備好註冊、包含註冊步驟,以及要連絡的人員以取得協助和問題。

    • 註冊后階段:通訊的目標是已在Intune 中註冊的組織使用者和群組。 它應該提供更多可能對使用者有所幫助的資源,並收集有關其註冊期間和註冊后體驗的意見反應。

  • 選擇通訊方式 Intune 推出資訊給目標組和使用者。 例如:

    • 建立整個組織的親自會議,或使用 Microsoft Teams。

    • 建立註冊前的電子郵件、註冊的電子郵件,以及註冊后的電子郵件。 例如:

      • Email 1:說明優點、期望和排程。 利用這個機會,展示在 Intune 管理的裝置上授與存取權的任何其他服務。
      • Email 2:宣佈服務現在已準備好可透過 Intune 存取。 告知使用者立即註冊。 在使用者的存取權受到影響之前,為使用者提供時間軸。 提醒用戶移轉的優點和策略性原因。
    • 使用組織網站來說明推出階段、使用者可以預期的功能,以及要連絡的人員以尋求協助。

    • 建立海報、使用組織社交媒體平臺 (例如 Microsoft Viva Engage) ,或散發傳單來宣告註冊前階段。

  • 建立包含時機和人員的時間軸 。 第一個 Intune 啟動通訊可以以整個組織為目標,或只以子集為目標。 它們可能會在 Intune 推出開始前數周發生。 之後,資訊可以分階段傳達給使用者和群組,並符合其 Intune 推出排程。

    下列範例是高階 Intune 推出通訊計劃:

    通訊計劃 七月 八月 九月 十月
    階段 1 全部
    啟動會議 第一周
    階段 2 IT 銷售與行銷 零售業 HR、Finance 和 Executive
    首度發行前 Email 1 第一周 第一周 第一周 第一周
    階段3 IT 銷售與行銷 零售業 HR、Finance 和 Executive
    首度發行前 Email 2 第二周 第二周 第二周 第二周
    階段 4 IT 銷售與行銷 零售業 HR、Finance 和 Executive
    註冊電子郵件 第三周 第三周 第三周 第三周
    階段 5 IT 銷售與行銷 零售業 HR、Finance 和 Executive
    註冊后電子郵件 第四周 第四周 第四周 第四周

步驟 7 - 支援技術支援中心和終端使用者

在 Intune 部署規劃和試驗工作的初期階段包含您的 IT 支援與技術服務人員。 早期參與會將您的支持人員公開給 Intune,並讓他們獲得更有效地識別和解決問題的知識和經驗。 它也會準備它們以支持組織的完整生產推出。 知識庫和支援小組也可協助用戶採用這些變更。

✔️ 工作:訓練您的支援小組

使用部署計劃中的成功計量來驗證用戶體驗。 一些考慮:

  • 判斷誰將支援終端使用者。 組織可能會有不同的層級或層級 (1-3) 。 例如,第1層和第2層可能是支援小組的一部分。 第 3 層包含負責 Intune 部署的 MDM 小組成員。

    第 1 層通常是第一層的支援,也是要聯繫的第一層。 如果第 1 層無法解決問題,則會呈報至第 2 層。 第 2 層會將其呈報至第 3 層。 Microsoft 支援 服務可視為第 4 層。

    • 在初始推出階段中,請確定支援小組中的所有層級文件問題和解決方式。 尋找模式,並針對下一個推出階段調整您的通訊。 例如:
      • 如果不同的使用者或群組對於註冊其個人裝置感到啟發,請考慮Teams通話來回答常見問題。
      • 如果用戶在註冊組織擁有的裝置時遇到相同問題,請裝載親自活動以協助用戶註冊裝置。
  • 建立技術支援中心工作流程,並持續向支援小組中的所有層級傳達支援問題、趨勢和其他重要資訊。 例如,每天或每周舉辦 Teams 會議,讓所有階層都瞭解趨勢、模式,並可取得協助。

    下列範例示範 Contoso 如何實作其 IT 支援或技術服務人員工作流程:

    1. 用戶連絡 IT 支援人員或技術服務人員第 1 層,但發生註冊問題。
    2. IT 支援或技術服務人員第1層無法判斷根本原因並呈報至第2層。
    3. IT 支援或技術服務人員第 2 層調查。 第 2 層無法解決問題並呈報至第 3 層,並提供其他資訊來協助解決問題。
    4. IT 支援或技術服務人員第 3 層會調查、判斷根本原因,並將解決方案傳達給第 2 層和第 1 層。
    5. IT 支援/技術服務人員第 1 層接著會連絡使用者,並解決問題。

    這種方法,特別是在 Intune 推出初期階段,會新增許多優點,包括:

    • 協助了解技術
    • 快速識別問題和解決方式
    • 改善整體用戶體驗
  • 訓練您的技術支持人員和支援小組。 讓他們註冊執行組織中所使用之不同平臺的裝置,讓他們熟悉此程式。 請考慮使用技術支援中心和支援小組作為您案例的試驗群組。

    有可用的訓練資源,包括 YouTube影片、有關 Windows Autopilot 案例的 Microsoft 教學課程、 合規性設定,以及透過訓練合作夥伴提供的課程。

    下列範例是 Intune 支持訓練議程:

    • Intune 支援計劃檢閱
    • Intune 概觀
    • 針對常見問題進行疑難解答
    • 工具與資源
    • Q & A

以社群為基礎的 Intune 論壇用戶檔 也是絕佳的資源。

後續步驟