konfigurationsguide för Windows 10/11 i molnet steg för steg

  • Artikel

Windows 10/11 i molnkonfiguration (molnkonfiguration) är en enhetskonfiguration för Windows-klientenheter. Den är utformad för att förenkla slutanvändarupplevelsen. Mer information om vad molnkonfiguration är, inklusive minimikraven, finns i översikten över det guidade scenariot för Windows-molnkonfiguration.

Med molnkonfiguration använder du Microsoft Intune principer för att omvandla en Windows-klientenhet till en molnoptimerad enhet. Windows 10/11 i molnkonfiguration:

  • Optimerar enheter för molnet genom att konfigurera dem för registrering i Intune hantering med Microsoft Entra. Användardata lagras automatiskt i OneDrive med Flytt av känd mapp konfigurerad.

  • Installerar Microsoft Teams och Microsoft Edge på enheter.

  • Konfigurerar slutanvändarna att vara standardanvändare på enheter, vilket ger IT mer kontroll över de appar som är installerade på enheter.

  • Tar bort inbyggda appar och Microsoft Store-appen, vilket förenklar slutanvändarupplevelsen.

  • Tillämpar slutpunktssäkerhetsinställningar och en efterlevnadsprincip. Dessa principer hjälper till att skydda enheter och hjälper IT-administratörer att övervaka enhetens hälsa.

  • Säkerställer att enheterna uppdateras automatiskt via Windows Update för företag.

  • Du kan också:

    • Lägg till andra Microsoft 365-appar, till exempel Outlook, Word, Excel, PowerPoint.
    • Lägg till viktiga verksamhetsspecifika appar (LOB) som slutanvändarna behöver för att lyckas. Microsoft rekommenderar att du håller dessa appar till ett minimum för att hålla konfigurationen enkel.
    • Lägg till viktiga resurser, till exempel Wi-Fi profiler, VPN-anslutningar, certifikat och skrivardrivrutiner som krävs för användararbetsflöden.

Tips

En översikt över Windows 10/11 i molnkonfigurationen och dess användning finns i Windows 10/11 i molnkonfigurationen.

Det finns två sätt att distribuera molnkonfiguration:

  • Alternativ 1 – Automatiskt: Använd det guidade scenariot för att automatiskt skapa alla grupper och principer med sina konfigurerade värden. Mer information om det här alternativet finns i översikten över det guidade scenariot för Windows-molnkonfiguration.
  • Alternativ 2 – Manuell (den här artikeln): Använd stegen i den här artikeln för att distribuera molnkonfigurationen själv.

Den här guiden hjälper dig att skapa en egen molnkonfigurationsdistribution. I följande avsnitt beskrivs hur du använder Microsoft Intune för att konfigurera molnkonfiguration:

  1. Skapa en Microsoft Entra grupp
  2. Konfigurera enhetsregistrering
  3. Distribuera ett skript för att konfigurera flytta och ta bort inbyggda appar för kända mappar
  4. Distribuera appar
  5. Distribuera inställningar för slutpunktssäkerhet
  6. Konfigurera inställningar för Windows Update
  7. Distribuera en Windows-efterlevnadsprincip
  8. Valfria konfigurationer

Steg 1 – Skapa en Microsoft Entra grupp

Det första steget är att skapa en Microsoft Entra säkerhetsgrupp som tar emot de konfigurationer som du distribuerar.

Den här dedikerade gruppen hjälper dig att organisera enheter och hantera dina molnkonfigurationsresurser i Intune. Microsoft rekommenderar att du endast distribuerar konfigurationerna i den här guiden. Lägg sedan till mer viktiga appar och andra enhetskonfigurationer efter behov.

Använd följande steg för att skapa gruppen:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Grupper>Alla grupper>Ny grupp.

  3. För Grupptyp väljer du Säkerhet.

  4. Ange ett gruppnamn, till exempel Cloud config PCs.

  5. Som Medlemskapstyp väljer du Tilldelad.

  6. Om du vill kan du lägga till enheter i den nya gruppen nu. Välj Inga medlemmar valda och lägg till medlemmar i gruppen.

    Du kan också börja med en tom grupp och lägga till enheter senare.

  7. Välj Skapa.

Tips

När gruppen skapas kan du lägga till förregistrerade Windows Autopilot-enheter i den här gruppen.

Befintliga enheter

Om du har befintliga enheter registrerade i Intune som du vill använda med molnkonfigurationen rekommenderar vi att du börjar om från början med dessa enheter. Exempel:

  • Ta bort befintliga appar och profiler som distribuerats till dessa enheter.
  • Återställ dessa enheter.
  • Registrera om enheten i Intune och distribuera din molnkonfiguration.

De här extra stegen rekommenderas för befintliga enheter eftersom de ger en smidig användarupplevelse. Sedan kan du lägga till andra viktiga appar och se till att enheterna bara har det som användarna behöver.

Steg 2 – Konfigurera enhetsregistrering

I det här steget aktiverar du automatisk MDM-registrering i Intune och konfigurerar hur enheter registreras i Intune.

Om du redan använder Windows Autopilot hoppar du över det här steget och går till Steg 3 – Distribuera ett skript för att konfigurera Flytta kända mappar och ta bort inbyggda appar (i den här artikeln).

✅ 1 – Aktivera automatisk registrering

Aktivera automatisk registrering för de organisationsanvändare som du vill använda molnkonfiguration. Automatisk registrering krävs för molnkonfiguration. Mer information om automatisk registrering finns i Registreringsguide – Automatisk Registrering i Windows.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Efter plattform>Windows-enhetsregistrering>>Automatisk registrering>.

  3. Under MDM-användaromfång väljer du något av följande:

    • Välj Alla för att tillämpa molnkonfigurationen på alla Windows-enheter som användare i din organisation använder. I de flesta molnkonfigurationsscenarier väljs Alla .
    • Välj Vissa för att tillämpa molnkonfigurationen på enheter som används av en delmängd användare i din organisation. Om du vill tillämpa din molnkonfiguration i en stegvis metod kan vissa vara ett bra val.

  4. Konfigurera inte MAM-användaromfånget, MAM-villkoren för användar-URL, MDM-identifierings-URL och MAM-kompatibilitets-URL-inställningar. Lämna de här inställningarna tomma. MAM-inställningar har inte konfigurerats för molnkonfiguration.

  5. Välj Spara för att spara ändringarna.

✅ 2 – Välj hur enheter registrerar och konfigurerar användare att vara standardanvändare på enheter

När automatisk Registrering i Windows har aktiverats i Intune är nästa steg att avgöra hur enheter registreras i Intune. När de registreras är de tillgängliga för att ta emot dina molnkonfigurationsprinciper. Du måste också konfigurera användare så att de är standardanvändare på sina enheter. Standardanvändare kan bara installera appar som din organisation godkänner.

För registrering har du tre alternativ. Välj ett registreringsalternativ.

  • Använda Windows Autopilot (rekommenderas)
  • Massregistrering med ett etableringspaket
  • Använd Microsoft Entra ID i den färdiga upplevelsen (OOBE)

Det här avsnittet innehåller mer information om dessa registreringsalternativ och hur du konfigurerar användare som standardanvändare på deras enheter.

Vi rekommenderar att du använder Windows Autopilot-registrering och registreringsstatussidan (ESP). Den här registreringsmetoden och ESP ger en konsekvent slutanvändarupplevelse.

  • Du förregistrerar enheterna med Windows Autopilot-distributionstjänsten. Med Windows Autopilot konfigurerar administratörer hur enheter startar och registrerar sig för enhetshantering.
  • Principen Intune Windows Autopilot konfigurerar OOBE (Out-of-Box Experience). I OOBE väljer du användare som standardanvändare.
  • Principen Intune Windows Autopilot konfigurerar registreringsstatussidan (ESP). ESP visar konfigurationsstatusen. Användarna stannar på ESP tills alla inställningar för molnkonfiguration tillämpas på enheten.

Använd följande steg för att konfigurera användardriven registrering i Windows Autopilot:

  1. Lägg till enheter i Windows Autopilot.

    Registrera dina enheter i Windows Autopilot med hjälp av stegen i Steg 3 – Registrera enheter till Windows Autopilot (öppnar en Windows Autopilot-artikel).

    Obs!

    Artikeln Steg 3 – Registrera enheter i Windows Autopilot Windows Autopilot är en del av en serie steg. För den här molnkonfigurationen följer du bara steg 3 – Registrera enheter i Windows Autopilot för att registrera dina enheter. Följ inte de andra stegen i serien. De andra stegen i Windows Autopilot-serien är för ett annat Windows Autopilot-scenario.

    Du kan också registrera enheter manuellt för att använda Windows Autopilot. Manuellt registrering av enheter används ofta för att återanvända befintlig maskinvara som inte tidigare konfigurerats med Windows Autopilot.

  2. Skapa och tilldela en Windows Autopilot-distributionsprofil i Intune.

    1. Logga in på Microsoft Intune administrationscenter.

    2. Välj Enheter>Efter plattform>Windows-enhetsregistreringsregistrering>>>Windows Autopilot DeploymentProgramdistributionsprofiler>.

    3. Välj Skapa profil för>Windows-dator. Ange ett namn för profilen.

    4. För inställningen Konvertera alla målenheter till Autopilot väljer du Ja. Välj Nästa.

      Du kan använda molnkonfiguration på enheter som registrerats med andra registreringsmetoder än Windows Autopilot. När du lägger till dessa enheter (icke-Windows Autopilot-enheter) i din grupp konverteras enheterna till Windows Autopilot. Nästa gång enheterna återställs och går igenom OOBE (Windows Out-of-Box Experience) registreras de via Windows Autopilot.

    5. På fliken välkomstupplevelse (OOBE) anger du följande värden och väljer sedan Nästa:

      Inställning Värde
      Distributionsläge Användardriven
      Anslut till Microsoft Entra ID som Microsoft Entra ansluten
      Licensvillkor för Programvara från Microsoft Gömma
      Sekretessinställningar Gömma
      Dölj alternativ för att ändra konto Gömma
      Typ av användarkonto Standard
      Tillåt företablerad distribution Nej
      Språk (region) Standard för operativsystem
      Konfigurera tangentbord automatiskt Ja
      Använd mall för enhetsnamn Valfri. Du kan använda en mall för enhetsnamn. Använd ett namnprefix som kan hjälpa dig att identifiera dina molnkonfigurationsenheter, till exempel Cloud-%SERIAL%.

    6. Tilldela profilen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln) och välj sedan Nästa.

    7. Granska den nya profilen och välj sedan Skapa.

  3. Skapa och tilldela en registreringsstatussida i Intune.

    1. Logga in på Microsoft Intune administrationscenter.

    2. Välj Enheter>Efter plattform> Sidan Registrering avallmän>registreringsstatus förWindows-enheter>>>.

    3. Välj Skapa och ange ett namn för sidan Registreringsstatus.

    4. På fliken Inställningar anger du följande värden och väljer sedan Nästa:

      Inställning Värde
      Visa app- och profilkonfigurationsprocessen Ja
      Visa ett fel när installationen tar längre tid än det angivna antalet minuter 60
      Visa anpassat meddelande när tidsgränsfel inträffar Ja – Du kan också ändra standardmeddelandet.
      Tillåt användare att samla in loggar om installationsfel Ja
      Blockera enhetsanvändare tills alla appar och profiler har installerats Ja
      Tillåt användare att återställa enheten om installationsfel uppstår Ja
      Tillåt användare att använda enheten om installationsfel uppstår Nej
      Blockera enhetsanvändare tills de nödvändiga apparna har installerats om de har tilldelats användaren/enheten Alla

      Obs!

      Om ett installationsfel inträffar rekommenderar vi att du blockerar användare från att använda enheten. Blockerande användare ser till att de bara kan börja använda enheten när molnkonfigurationen har tillämpats fullt ut.

      Om ett installationsfel inträffar, baserat på dina distributionsbehov, kan du tillåta att användaren använder enheten. Om du tillåter att enheten används när enheten checkar in med Intune fortsätter Intune att försöka tillämpa konfigurationerna.

    5. I Tilldelningar tilldelar du sidan Registreringsstatus till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

      Välj Nästa.

    6. Välj Skapa för att skapa och tilldela sidan Registreringsstatus.

Registreringsalternativ 2: Massregistrering med ett etableringspaket

Du kan registrera enheter med hjälp av ett etableringspaket som skapats med Hjälp av Windows Configuration Designer eller Konfigurera skoldatorer-appen.

Mer information om massregistrering finns i Massregistrering för Windows-enheter.

Med massregistrering:

  • När enheterna har registrerats i Intune lägger du till dem i gruppen som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln). När de läggs till i gruppen får de din molnkonfiguration.
  • Alla användare är automatiskt standardanvändare på enheten.
  • Det finns ingen sida för registreringsstatus. Användarna kan inte visa förloppet eftersom alla molnkonfigurationsinställningar tillämpas. Användare kan börja använda enheten innan molnkonfigurationen tillämpas fullt ut.
  • Innan du distribuerar enheter till användare rekommenderar Microsoft att du kontrollerar att inställningarna och apparna finns på enheterna.

Registreringsalternativ 3: Registrera med Microsoft Entra ID i den färdiga upplevelsen (OOBE)

Med automatisk MDM-registrering aktiverad i Intune loggar användarna under OOBE in med sina Microsoft Entra-konton. När de loggar in startar registreringen automatiskt.

Med det här registreringsalternativet kan du:

  1. Konfigurera en Microsoft Intune anpassad profil för att begränsa lokala administratörer på enheter. Princip-CSP innehåller en XML-exempelprincipdefinition som du kan använda i din anpassade profil.

    Tips

    I den här anpassade profilen finns det en annan inställning som lägger till en grupp som kan vara lokala administratörer på enheten. Den här lokala administratörsgruppen bör endast inkludera IT-administratörer i din miljö.

  2. Tilldela den anpassade profilen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

Steg 3 – Konfigurera Flytt av känd OneDrive-mapp och distribuera ett skript för att ta bort inbyggda appar

När du konfigurerar Flytt av känd OneDrive-mapp sparas användarfiler och data automatiskt i OneDrive. När du tar bort inbyggda Windows-appar och Microsoft Store förenklas Start-menyn och enhetsupplevelsen.

Det här steget förenklar Windows-användarupplevelsen.

✅ 1 – Konfigurera flytt av kända OneDrive-mappar med en administrativ mall

Med Flytta känd mapp sparas användardata (filer och mappar) i OneDrive. När användare loggar in på en annan enhet synkroniserar OneDrive automatiskt data till den nya enheten. Användarna behöver inte flytta sina filer manuellt.

Obs!

På grund av ett synkroniseringsproblem med OneDrive Known Folder Move och SharedPC-konfigurationen rekommenderar Microsoft inte att du använder Windows i molnkonfiguration med en enhet som har flera användare som loggar in och ut.

Om du vill konfigurera flytt av känd mapp använder du en ADMX-mall i Intune:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Efter plattform>Windows>Hantera enheter>Konfiguration>Skapa>ny princip.

  3. Välj Windows 10 och senare som plattform och välj Mallar för profiltyp.

  4. Välj Administrativa mallar och välj Skapa.

  5. Ange ett namn för profilen och välj Nästa.

  6. I Konfigurationsinställningar söker du efter inställningarna i följande tabell och väljer de rekommenderade värdena:

    Ställa in namn Värde
    Flytta windows-kända mappar tyst till OneDrive-aktiverat klientorganisations-ID Ange organisationens klientorganisations-ID.

    Ditt klientorganisations-ID visas på Microsoft Entra administrationscenter > sidanKlientorganisations-ID>.
    Visa meddelanden till användare när mappar har omdirigerats Ja. Du kan också välja att dölja meddelandet.
    Logga tyst in användare till OneDrive-synkronisering-appen med sina Windows-autentiseringsuppgifter Aktiverad
    Hindra användare från att flytta sina Kända Windows-mappar till OneDrive Aktiverad
    Hindra användare från att omdirigera sina Kända Windows-mappar till datorn Aktiverad
    Använda OneDrive-filer på begäran Aktiverad

  7. Tilldela profilen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

✅ 2 – Distribuera ett skript för att ta bort inbyggda appar

Microsoft skapade ett Windows PowerShell skript som:

  • Tar bort inbyggda appar från enheter.
  • Tar bort Microsoft Store-appen från enheter.

Skriptet distribueras till enheter som använder i Intune. Använd följande steg för att lägga till och distribuera skriptet:

  1. Ladda ned borttagningsskriptet för Cloud config Window PowerShell-appen. Det här skriptet tar bort Microsoft Store-appen och de inbyggda apparna.

    Obs!

    Om du vill behålla Microsoft Store-appen på enheter kan du använda skriptet som tar bort inbyggda appar men behåller Microsoft Store i stället. Om du vill använda det här skriptet laddar du ned det i stället och följer samma steg. Det här skriptet försöker ta bort inbyggda appar men kanske inte tar bort alla. Du kan behöva ändra skriptet för att ta bort alla inbyggda appar på dina enheter.

  2. Logga in på Microsoft Intune administrationscenter.

  3. Välj Enheter>Efter plattform>Windows>Hantera enheter>Fliken Skript ochreparationsplattformsskript>>Lägg till.

  4. I Grundläggande anger du ett namn för din skriptprincip och väljer Nästa.

  5. Ladda upp skriptet som du laddade ned i Skriptinställningar. Lämna de andra inställningarna oförändrade och välj Nästa.

  6. Tilldela skriptet till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

Microsoft Store-app

Om du tidigare har tagit bort Microsoft Store-appen kan du distribuera om den med hjälp av Microsoft Intune. Om du vill lägga till Microsoft Store-appen igen (eller andra appar som du vill lägga till på nytt) lägger du till Microsoft Store-appen på din privata organisations applagringsplats. Distribuera sedan appen till enheter med hjälp av Intune. Microsoft Store-appen hjälper till att hålla apparna uppdaterade. Information om hur du konfigurerar åtkomst till Microsoft Store-appen finns i Hantera åtkomst till privat butik.

Din privata organisations applagringsplats kan vara den Intune-företagsportal appen eller webbplatsen.

Med hjälp av Intune kan du på Windows 10/11 Enterprise- och Education-enheter blockera slutanvändare från att installera Microsoft Store-appar utanför organisationens privata applagringsplats.

Använd följande steg för att förhindra dessa externa appar:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Efter plattform>Windows>Hantera enheter>Konfiguration>Skapa>ny princip.

  3. Välj Windows 10 och senare för plattform och välj Inställningskatalog som profiltyp. Välj Skapa.

  4. I Grundläggande anger du ett namn för din profil.

  5. I Konfigurationsinställningar väljer du Lägg till inställningar. Sedan:

    1. I inställningsväljaren söker private storedu efter . I sökresultaten under kategorin Microsoft App Store väljer du Kräv endast privat lagring.
    2. Ange inställningen Kräv endast privat lagring till Endast privat butik är aktiverat.
    3. Välj Nästa.

  6. I Tilldelningar tilldelar du profilen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

  7. I Granska + skapa granskar du din profil och väljer Skapa.

Steg 4 – Distribuera appar

Det här steget distribuerar Microsoft Edge och Microsoft Teams. Du kan distribuera andra viktiga appar i det här steget. Kom ihåg att bara distribuera det användarna behöver.

✅ 1 – Distribuera Microsoft Edge

  1. Lägg till Microsoft Edge i Intune.
  2. För Appinställningar väljer du Stabil kanal.
  3. Tilldela Microsoft Edge-appen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

✅ 2 – Distribuera Microsoft Teams

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Appar>Windows.

  3. Välj Lägg till för att skapa en ny app.

  4. För Microsoft 365-applikationer väljer du Windows 10 och senare>Välj.

  5. För Svitnamn anger du ett namn eller använder det föreslagna namnet. Välj Nästa.

  6. För Konfigurera appaket väljer du endast Teams.

    Om du vill distribuera andra Microsoft 365-appar väljer du dem i den här listan. Kom ihåg att bara distribuera det användarna behöver.

    Tips

    Du behöver inte välja OneDrive. OneDrive är inbyggt i Windows 10/11 Pro, Enterprise och Education.

  7. Konfigurera följande inställningar för information om apppaket:

    Inställning Värde
    Arkitektur 64-bitars

    Molnkonfiguration fungerar också med 32-bitars. Microsoft rekommenderar att du väljer 64-bitars.
    Uppdatera kanal Aktuell kanal
    Ta bort andra versioner Ja
    Version som ska installeras Senaste

  8. För Egenskaper konfigurerar du följande inställningar:

    Inställning Värde
    Använda aktivering av delad dator Ja
    Godkänn Licensvillkoren för Microsoft-programvara för användares räkning Ja

  9. Välj Nästa.

  10. Tilldela sviten till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

Steg 5 – Distribuera inställningar för slutpunktssäkerhet

Det här steget konfigurerar inställningar för slutpunktssäkerhet för att skydda enheter, inklusive den inbyggda Windows-säkerhetsbaslinjen och BitLocker-inställningarna.

✅1 – Distribuera Windows 10/11 MDM-säkerhetsbaslinjen

För Windows i molnkonfiguration rekommenderar vi att du använder säkerhetsbaslinjen Windows 10/11. Det finns vissa inställningsvärden som du kan ändra baserat på organisationens önskemål.

Konfigurera säkerhetsbaslinjen i Intune:

  1. Logga in på Microsoft Intune administrationscenter.

  2. VäljSäkerhetsbaslinjerför slutpunktssäkerhet>>Säkerhetsbaslinje för Windows 10 och senare.

  3. Välj Skapa profil för att skapa en ny säkerhetsbaslinje.

  4. Ange ett namn för säkerhetsbaslinjen och välj Nästa.

  5. Acceptera standardkonfigurationsinställningarna. Eller så kan du ändra följande inställningar baserat på organisationens behov:

    Ange kategori Inställning Orsak till att ändra
    Webbläsare Blockera lösenordshanteraren Om du vill tillåta slutanvändare att använda lösenordshanterare inaktiverar du den här inställningen.
    Fjärrhjälp Fjärrhjälp begärs Med den här inställningen kan supportpersonalen fjärransluta till enheter. Microsoft rekommenderar att du inaktiverar den här inställningen om den inte krävs.
    Brandvägg Alla brandväggsinställningar Om du behöver tillåta vissa anslutningar till enheter baserat på organisationens behov ändrar du standardinställningarna för brandväggen.

    Välj Nästa.

  6. I Tilldelningar väljer du den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

  7. Välj Skapa för att skapa och tilldela baslinjen.

✅ 2 – Distribuera fler BitLocker-inställningar med en säkerhetsprofil för slutpunktssäkerhet för enhetskryptering

Det finns fler BitLocker-inställningar som hjälper dig att skydda dina enheter. Konfigurera dessa BitLocker-inställningar i Intune:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Slutpunktssäkerhet>Diskkryptering>Skapa princip.

  3. För Plattform väljer du Windows 10 och senare.

  4. För Profil väljer du BitLocker>Create.

  5. I Grundläggande anger du ett namn för din profil.

  6. I Konfigurationsinställningar väljer du följande inställningar:

    Ange kategori Inställning Värde
    BitLocker – basinställningar Aktivera fullständig diskkryptering för operativsystem och fasta dataenheter Ja
         
    BitLocker – Inställningar för fast enhet BitLocker-princip för fast enhet Konfigurera
      Blockera skrivåtkomst till fasta dataenheter som inte skyddas av BitLocker Ja
      Konfigurera krypteringsmetod för fasta dataenheter AES 128-bitars XTS
         
    BitLocker – Inställningar för operativsystemenhet Princip för BitLocker-systemenhet Konfigurera
      Startautentisering krävs Ja
      Kompatibel TPM-start Tillåts
      Kompatibel PIN-kod för TPM-start Tillåts
      Kompatibel TPM-startnyckel Obligatoriskt
      Kompatibel TPM-startnyckel och PIN-kod Tillåts
      Inaktivera BitLocker på enheter där TPM är inkompatibelt Ja
      Konfigurera krypteringsmetod för operativsystemenheter AES 128-bitars XTS
         
    BitLocker – inställningar för flyttbar enhet BitLocker-princip för flyttbara enheter Konfigurera
      Konfigurera krypteringsmetod för flyttbara dataenheter AES 128-bitars CBC
      Blockera skrivåtkomst till flyttbara dataenheter som inte skyddas av BitLocker Ja

  7. I Tilldelningar tilldelar du profilen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

  8. Välj Skapa för att skapa och tilldela profilen.

Steg 6 – Konfigurera inställningar för Windows Update

I det här steget används en Windows Update ring för att hålla enheterna uppdaterade automatiskt. Inställningarna i den här guiden överensstämmer med de rekommenderade inställningarna i Windows Update-baslinjen.

Konfigurera uppdateringsringen i Intune:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Hantera uppdateringar>Windows 10 och senare uppdateringar> FlikenUppdateringsringar fliken >Skapa profil.

  3. I Grundläggande anger du ett namn för uppdateringsringen.

  4. I Inställningar för uppdateringsring konfigurerar du följande värden och väljer Nästa:

    Inställning Värde
    Underhållskanal Halvårskanal
    Microsoft-produktuppdateringar Tillåt
    Windows-drivrutiner Tillåt
    Uppskjutningsperiod för kvalitetsuppdatering (dagar) 0
    Uppskjutningsperiod för funktionsuppdatering (dagar) 0
    Ange avinstallationsperiod för funktionsuppdatering 10
    Beteende för automatisk uppdatering Återställ till standard
    Omstartskontroller Tillåt
    Alternativ för att pausa Windows-uppdateringar Möjliggöra
    Alternativ för att söka efter Windows-uppdateringar Möjliggöra
    Kräv användargodkännande för att avvisa omstartsmeddelande Nej
    Påminn användaren innan den automatiska omstarten krävs med en påminnelse som kan avfärdas (timmar) Lämna den här inställningen okonfigurerad
    Påminn användaren innan den automatiska omstarten krävs med permanent påminnelse (minuter) Lämna den här inställningen okonfigurerad
    Ändra uppdateringsnivå för meddelanden Använd standardmeddelanden för Windows Update
    Använda inställningar för tidsgräns Tillåt
    Tidsgräns för funktionsuppdateringar 7
    Tidsgräns för kvalitetsuppdateringar 2
    Respitperiod 2
    Automatisk omstart före tidsgräns Ja

  5. Tilldela uppdateringsringen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

Steg 7 – Distribuera en Windows-efterlevnadsprincip

Konfigurera en efterlevnadsprincip för att övervaka enhetsefterlevnad och hälsa. Principen rapporterar om inkompatibilitet och tillåter fortfarande användare att använda enheter. Du kan välja hur du ska hantera inkompatibilitet med andra åtgärder baserat på organisationens processer.

Skapa efterlevnadsprincipen i Intune:

  1. Logga in på Microsoft Intune administrationscenter.

  2. VäljEnhetsefterlevnad>>Skapa princip.

  3. För Plattform väljer du Windows 10 och senare>Skapa.

  4. I Grundläggande anger du ett namn för efterlevnadsprincipen. Välj Nästa.

  5. I Efterlevnadsinställningar konfigurerar du följande värden och väljer Nästa:

    Ange kategori Inställning Värde
    Enhetshälsotillstånd Kräv BitLocker Behöva
      Kräv säker start för att aktiveras på enheten Behöva
      Kräv kodintegritet Behöva
         
    Systemsäkerhet Brandvägg Behöva
      Antivirus Behöva
      Antispionprogram Behöva
      Kräv lösenord för att låsa upp mobila enheter Behöva
      Enkla lösenord Blockera
      Lösenordstyp Alfanumerisk
      Minsta längd på lösenord 8
      Maximalt antal minuter av inaktivitet innan lösenord krävs 1 minut
      Lösenordets giltighetstid (dagar) 41
      Antal tidigare lösenord för att förhindra återanvändning 5
         
    Defender Microsoft Defender program mot skadlig kod Behöva
      Microsoft Defender Säkerhetsinformation för program mot skadlig kod uppdaterad Behöva
      Realtidsskydd Behöva

  6. I Åtgärder för inkompatibilitet konfigurerar du Schema (dagar efter inkompatibilitet) till 1 dag för åtgärden Markera enheten som inkompatibel. Du kan konfigurera en annan respitperiod baserat på organisationens inställningar.

    Om du använder principer för villkorsstyrd åtkomst i din organisation rekommenderar vi att du konfigurerar en respitperiod. Respitperioder förhindrar att inkompatibla enheter omedelbart förlorar åtkomst till organisationsresurser.

  7. Du kan lägga till en åtgärd för e-postanvändare som informerar dem om inkompatibilitet med steg för att bli kompatibla.

  8. Tilldela efterlevnadsprincipen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

Steg 8 – Valfria konfigurationer

Det finns valfria principer som du kan skapa och distribuera med din molnkonfiguration. I det här avsnittet beskrivs dessa valfria principer.

✅ Konfigurera ett klientdomännamn

Konfigurera enheter att automatiskt använda klientorganisationens domännamn för användarinloggningar. När du lägger till ett domännamn behöver användarna inte skriva sitt fullständiga UPN för att logga in.

Lägg till klientorganisationsdomännamnet i Intune:

  1. Logga in på Microsoft Intune administrationscenter.
  2. Välj Enheter>Efter plattform>Windows>Hantera enheter>Konfiguration>Skapa>ny princip.
  3. För plattform väljer du Windows 10 och senare.
  4. Som Profiltyp väljer du Mallar>Enhetsbegränsningar>Skapa.
  5. Ange ett namn för profilen och välj Nästa.
  6. I Konfigurationsinställningar för Lösenord konfigurerar du önskad Microsoft Entra klientdomän. Ange det Microsoft Entra domännamn som användarna ska använda för att logga in på enheter.
  7. Tilldela profilen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

✅ Distribuera andra viktiga produktivitets- och verksamhetsspecifika appar (LOB)

Du kan ha några viktiga LOB-appar som alla enheter behöver. Välj ett minsta antal av de här apparna som ska distribueras. Om du levererar appar med hjälp av en virtualiseringslösning distribuerar du även virtualiseringsklientappen till enheter.

Det finns inga begränsningar för antalet eller storleken på andra appar som kan distribueras med de appar som läggs till i molnkonfigurationen. Men Microsoft rekommenderar att du håller dessa andra appar till ett minimum baserat på vad användarna behöver för sina roller. Tilldela dessa viktiga appar till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

Du kan behöva specifika LOB-appar på vissa av dina enheter. Eller så kan det finnas vissa appar som har komplexa paketerings- eller procedurkrav. I dessa scenarier bör du överväga att flytta dessa appar från din molnkonfigurationsdistribution. Eller behåll de enheter som behöver dessa appar i din befintliga Windows-hanteringsmodell.

Molnkonfiguration rekommenderas för enheter som bara behöver några få viktiga appar, tillsammans med samarbete och surfning.

✅ Distribuera resurser som användarna behöver för organisationsåtkomst

Konfigurera viktiga resurser som användarna kan behöva, vilket beror på organisationens processer. Viktiga resurser kan vara certifikat, skrivare, VPN-anslutningar och Wi-Fi profiler.

I Intune tilldelar du dessa resurser till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

✅ Konfigurera rekommenderade inställningar för flytt av kända Mappar i OneDrive

Det finns fler inställningar som förbättrar användarupplevelsen för flytt av kända OneDrive-mappar. Inställningarna krävs inte för att flytta kända mappar till jobbet, men de är användbara.

Mer information om de här inställningarna finns i OneDrive-inställningar som rekommenderas för Flytt av känd mapp.

✅ Konfigurera rekommenderade Microsoft Edge-inställningar

Det finns vissa Microsoft Edge-appinställningar som kan konfigureras för en bättre användarupplevelse. Du kan konfigurera de här inställningarna baserat på krav eller inställningar för slutanvändarupplevelsen.

Om du vill konfigurera de här rekommenderade inställningarna använder du Intune:

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj Enheter>Efter plattform>Windows>Hantera enheter>Konfiguration>Skapa>ny princip.

  3. Välj Windows 10 och senare för plattform och mallar för profiltyp.

  4. Välj Administrativa mallar och välj Skapa.

  5. Ange ett namn för profilen och välj Nästa.

  6. I Konfigurationsinställningar söker du efter följande inställningar och konfigurerar dem till de rekommenderade värdena:

    Inställningskategori Inställning Värden
      Konfigurera Internet Explorer-integrering Aktiverad, Internet Explorer-läge
       
    SmartScreen-inställningar Konfigurera Microsoft Defender SmartScreen Aktiverad
      Framtvinga Microsoft Defender SmartScreen-kontroller på nedladdningar från betrodda källor Aktiverad
      Konfigurera Microsoft Defender SmartScreen för att blockera potentiellt oönskade appar Aktiverad

    Obs!

    SmartScreen-inställningarna tillämpas också av Microsoft Defender. När du konfigurerar SmartScreen-inställningarna via Microsoft Edge-appen tillämpar Microsoft Edge inställningarna direkt.

  7. Tilldela profilen till den grupp som du skapade i steg 1 – Skapa en Microsoft Entra grupp (i den här artikeln).

Övervaka status för molnkonfiguration

När du tillämpar molnkonfiguration på dina enheter kan du använda Intune för att övervaka status för appar och enhetskonfigurationer.

Skriptstatus

Du kan övervaka installationsstatusen för dina distribuerade skript:

  1. I Microsoft Intune administrationscenter går du till Enheter>Efter plattform>Windows-skript> ochreparationsplattformsskript>.
  2. Välj det skript som du distribuerade.
  3. På sidan med skriptinformation väljer du Enhetsstatus. Installationsinformationen för skriptet visas.

Appinstallationer

Du kan övervaka installationsstatusen för dina distribuerade appar:

  1. I Microsoft Intune administrationscenter går du till Appar>Windows>Windows-appar.
  2. Välj en app som du har distribuerat, till exempel Microsoft 365 App Suite.
  3. Välj Enhetsinstallationsstatus eller Användarinstallationsstatus. Appinstallationsinformationen visas.

Information om hur du felsöker appproblem på enskilda enheter finns i Felsöka Intune appinstallationsproblem.

Säkerhetsbaslinje

Du kan övervaka installationsstatusen för din distribuerade säkerhetsbaslinje. Mer information finns i Övervaka säkerhetsbaslinjer och profiler i Intune.

Diskkrypteringsprofil

I Steg 5 – Distribuera inställningar för slutpunktssäkerhet (i den här artikeln) kan du ha konfigurerat och distribuerat BitLocker-inställningar.

Du kan övervaka status för den här BitLocker-profilen:

  1. I Microsoft Intune administrationscenter går du tillDiskkryptering för slutpunktssäkerhet>.
  2. Välj den diskkrypteringsprofil som du distribuerade i molnkonfigurationen.
  3. Välj Enhetsinstallationsstatus eller Användarinstallationsstatus. Profilinformationen visas.

Windows Update inställningar

Du kan övervaka status för Windows Update ringprincip:

  1. I Microsoft Intune administrationscenter går du till fliken Enheter>Hantera uppdateringar>Windows 10 och senare uppdateringar>Uppdateringsringar.
  2. Välj den uppdateringsring som du distribuerade som en del av molnkonfigurationen.
  3. Välj Enhetsstatus, Användarstatus eller Uppdateringsstatus för slutanvändare. Information om uppdateringsringens inställningar visas.

Mer information om rapportering för Windows Update-ringar finns i Rapporter för uppdateringsringar för Windows 10 och senare princip.

Efterlevnadsprincip

Du kan övervaka statusen för efterlevnadsprincipen:

  1. I Microsoft Intune administrationscenter går du tillEnhetsefterlevnad>.
  2. Välj den efterlevnadsprincip som du distribuerade som en del av molnkonfigurationen.

Övervakningsvyn för enhetsefterlevnad innehåller detaljerad information om tilldelningsstatus och tilldelningsfel för dina efterlevnadsprinciper. Den har också vyer för att snabbt hitta inkompatibla enheter och vidta åtgärder.

Mer detaljerad information om övervakning av efterlevnadsprinciper i Intune finns i Övervaka resultatet av dina Intune Efterlevnadsprinciper för enheter.

Relaterat innehåll