Distributionsguide: Hantera enheter som kör Windows 10/11
Den här guiden beskriver hur du skyddar och hanterar Windows-appar och -slutpunkter med Microsoft Intune och innehåller våra installationsrekommendationer och resurser från krav till registrering.
Granska de associerade uppgifterna för varje avsnitt i den här guiden. Vissa uppgifter krävs och vissa, som att konfigurera villkorsstyrd åtkomst i Microsoft Entra, är valfria. Välj de angivna länkarna i varje avsnitt för att gå till våra rekommenderade hjälpdokument på Microsoft Learn, där du hittar mer detaljerad information och instruktioner.
Steg 1: Förutsättningar
Slutför följande krav för att aktivera klientorganisationens funktioner för slutpunktshantering:
- Lägg till användare och grupper
- Tilldela licenser till användare
- Ange utfärdare för hantering av mobila enheter
Information om Roller och behörigheter för Microsoft Intune finns i RBAC med Microsoft Intune. Rollerna Global administratör och Intune-administratör i Microsoft Entra har fullständiga rättigheter i Microsoft Intune. De här rollerna är mycket privilegierade och har mer åtkomst än vad som behövs för många enhetshanteringsuppgifter i Microsoft Intune. Vi rekommenderar att du använder den minst privilegierade inbyggda rollen som är tillgänglig för att utföra uppgifter.
Mer information och rekommendationer om hur du förbereder din organisation, registrerar eller inför Intune för hantering av mobila enheter finns i Migreringsguide: Konfigurera eller flytta till Microsoft Intune.
Steg 2: Planera för distributionen
Använd planeringsguiden för Microsoft Intune för att definiera dina mål för enhetshantering, användningsfall och krav. Använd guiden för att planera distribution, kommunikation, support, testning och validering. I vissa fall behöver du till exempel inte vara närvarande när anställda och studenter registrerar sina enheter. Vi rekommenderar att du har en kommunikationsplan så att användarna vet var de kan hitta information om att installera och använda Intune-företagsportalen.
Mer information finns i Planeringsguide för Microsoft Intune.
Steg 3: Skapa efterlevnadsprinciper
Använd efterlevnadsprinciper för att säkerställa att enheter som har åtkomst till dina data är säkra och uppfyller organisationens standarder. Det sista steget i registreringsprocessen är kompatibilitetsutvärderingen, som verifierar att inställningarna på enheten uppfyller dina principer. Enhetsanvändare måste lösa alla efterlevnadsproblem för att få åtkomst till skyddade resurser. Intune markerar enheter som inte uppfyller efterlevnadskraven som inkompatibla och vidtar ytterligare åtgärder (till exempel att skicka ett meddelande till användaren, begränsa åtkomsten eller rensa enheten) enligt din åtgärd för inkompatibilitetskonfigurationer .
Du kan använda principer för villkorsstyrd åtkomst i Microsoft Entra tillsammans med principer för enhetsefterlevnad för att styra åtkomsten till Windows-datorer, företagets e-post och Microsoft 365-tjänster. Du kan till exempel skapa en princip som blockerar anställda från att komma åt Microsoft Teams i Edge utan att först registrera eller skydda sin enhet.
Tips
En översikt över principer för enhetsefterlevnad finns i Efterlevnadsöversikt.
Uppgift | Beskrivning |
---|---|
Skapa en efterlevnadsprincip | Få stegvisa anvisningar om hur du skapar och tilldelar en efterlevnadsprincip till användar- och enhetsgrupper. |
Lägg till åtgärder vid inkompatibilitet | Välj vad som ska hända när enheter inte längre uppfyller villkoren i din efterlevnadsprincip. Exempel på åtgärder är att skicka aviseringar, fjärrlåsa enheter eller dra tillbaka enheter. Du kan lägga till åtgärder för inkompatibilitet när du konfigurerar efterlevnadsprinciper för enheter, eller senare genom att redigera principen. |
Skapa en enhetsbaserad eller appbaserad princip för villkorlig åtkomst | Välj de appar eller tjänster som du vill skydda och definiera villkoren för åtkomst. |
Blockera åtkomst till appar som inte använder modern autentisering | Skapa en appbaserad princip för villkorsstyrd åtkomst för att blockera appar som använder andra autentiseringsmetoder än OAuth2; till exempel de appar som använder grundläggande och formulärbaserad autentisering. Innan du blockerar åtkomst loggar du dock in på Microsoft Entra-ID och granskar aktivitetsrapporten för autentiseringsmetoder för att se om användarna använder grundläggande autentisering för att få åtkomst till viktiga saker som du har glömt bort eller inte känner till. Till exempel används grundläggande autentisering för till exempel kalender för mötesrum. |
Lägga till anpassade kompatibilitetsinställningar | Med anpassade kompatibilitetsinställningar kan du skriva egna Bash-skript för att hantera efterlevnadsscenarier som ännu inte ingår i de enhetsefterlevnadsalternativ som är inbyggda i Microsoft Intune. Den här artikeln beskriver hur du skapar, övervakar och felsöker anpassade efterlevnadsprinciper för Windows-enheter. Anpassade kompatibilitetsinställningar kräver att du skapar ett anpassat skript som identifierar inställningarna och värdeparen. |
Steg 4: Konfigurera slutpunktssäkerhet
Använd Intunes slutpunktssäkerhetsfunktioner för att konfigurera enhetssäkerhet och för att hantera säkerhetsuppgifter för enheter i riskzonen.
Uppgift | Beskrivning |
---|---|
Hantera enheter med säkerhetsfunktioner för slutpunkter | Använd inställningarna för slutpunktssäkerhet i Intune för att effektivt hantera enhetssäkerhet och åtgärda problem för enheter. |
Lägga till inställningar för slutpunktsskydd | Konfigurera vanliga säkerhetsfunktioner för slutpunktsskydd, till exempel brandvägg, BitLocker och Microsoft Defender. En beskrivning av inställningarna i det här området finns i referensen för inställningar för slutpunktsskydd. |
Konfigurera Microsoft Defender för Endpoint i Intune. | När du integrerar Intune med Microsoft Defender för Endpoint hjälper du inte bara till att förhindra säkerhetsöverträdelser, utan du kan dra nytta av Microsoft Defender för Endpoints Threat & Vulnerability Management (TVM) och använda Intune för att åtgärda slutpunktssvaghet som identifierats av TVM. |
Hantera BitLocker-princip | Se till att enheterna krypteras vid registreringen genom att skapa en princip som konfigurerar BitLocker på hanterade enheter. |
Hantera säkerhetsbaslinjeprofiler | Använd säkerhetsbaslinjerna i Intune för att skydda dina användare och enheter. En säkerhetsbaslinje innehåller metodtips och rekommendationer för inställningar som påverkar säkerheten. |
Använda Windows Update för företag för programuppdateringar | Konfigurera en Windows Update-distributionsstrategi med Windows Update för företag. Den här artikeln beskriver de principtyper som du kan använda för att hantera Windows 10/11-programuppdateringar och hur du övergår från uppskjutning av uppdateringsring till en princip för funktionsuppdateringar. |
Steg 5: Konfigurera enhetsinställningar
Använd Microsoft Intune för att aktivera eller inaktivera Windows-inställningar och -funktioner på enheter. Om du vill konfigurera och framtvinga de här inställningarna skapar du en enhetskonfigurationsprofil och tilldelar sedan profilen till grupper i organisationen. Enheterna får profilen när de har registrerats.
Uppgift | Beskrivning |
---|---|
Skapa en enhetsprofil | Skapa en enhetsprofil i Microsoft Intune och hitta resurser om alla enhetsprofiltyper. Du kan också använda inställningskatalogen för att skapa en princip från grunden. |
Konfigurera grupprincipinställningar | Använd Windows 10-mallar för att konfigurera grupprincipinställningar i Microsoft Intune. Administrativa mallar innehåller hundratals inställningar som du kan konfigurera för Internet Explorer, Microsoft Edge, OneDrive, fjärrskrivbord, Word, Excel och andra Office-program. De här mallarna ger administratörer en förenklad vy över inställningar som liknar grupprinciper, och de är 100 % molnbaserade. |
Konfigurera Wi-Fi profil | Med den här profilen kan personer hitta och ansluta till organisationens Wi-Fi-nätverk. En beskrivning av inställningarna i det här området finns i referensen för Wi-Fi-inställningar för Windows 10 och senare. |
Konfigurera VPN-profil | Konfigurera ett säkert VPN-alternativ, till exempel Microsoft Tunnel, för personer som ansluter till organisationens nätverk. En beskrivning av inställningarna i det här området finns i referensen för VPN-inställningar. |
Konfigurera e-postprofil | Konfigurera e-postinställningar så att personer kan ansluta till en e-postserver och komma åt sin e-post på arbetet eller skolan. En beskrivning av inställningarna i det här området finns i referensen för e-postinställningar. |
Begränsa enhetsfunktioner | Skydda användare från obehörig åtkomst och distraktioner genom att begränsa vilka enhetsfunktioner de kan använda på jobbet eller i skolan. En beskrivning av inställningarna i det här området finns i referensen för enhetsbegränsningar för Windows 10/11 och Windows 10 Teams. |
Konfigurera anpassad profil | Lägg till och tilldela enhetsinställningar och -funktioner som inte är inbyggda i Intune. En beskrivning av inställningarna i det här området finns i referensen för anpassade inställningar. |
Konfigurera BIOS-inställningar | Konfigurera Intune så att du kan styra UEFI-inställningar (BIOS) på registrerade enheter med hjälp av DFCI (Device Firmware Configuration Interface) |
Konfigurera domänanslutning | Om du planerar att registrera Microsoft Entra-anslutna enheter måste du skapa en domänanslutningsprofil så att Intune vet vilken lokal domän som ska anslutas. |
Konfigurera inställningar för leveransoptimering | Använd de här inställningarna för att minska bandbreddsförbrukningen på enheter som laddar ned appar och uppdateringar. |
Anpassa varumärkes- och registreringsupplevelse | Anpassa Intune-företagsportal- och Microsoft Intune-appupplevelsen med organisationens egna ord, varumärkesanpassning, skärminställningar och kontaktinformation. |
Konfigurera kiosker och dedikerade enheter | Skapa en helskärmsprofil för att hantera enheter som körs i helskärmsläge. |
Anpassa delade enheter | Kontrollera åtkomst,konton och energifunktioner på delade enheter eller enheter med flera användare. |
Konfigurera nätverksgräns | Skapa en nätverksgränsprofil för att skydda din miljö från platser som du inte litar på. |
Konfigurera Windows-hälsoövervakning | Skapa en Windows-hälsoövervakningsprofil så att Microsoft kan samla in data om prestanda och ge rekommendationer för förbättringar. Genom att skapa en profil kan du använda funktionen slutpunktsanalys i Microsoft Intune, som analyserar insamlade data, rekommenderar programvara, förbättrar startprestanda och åtgärdar vanliga supportproblem. |
Konfigurera appen Gör ett prov för studenter | Konfigurera appen Gör ett prov för studenter som gör tester eller prov på registrerade enheter. |
Konfigurera eSim-mobilprofil | Du kan konfigurera eSIM för ESIM-kompatibla enheter, till exempel Surface LTE Pro, för att ansluta till Internet via en mobildataanslutning. Den här konfigurationen är idealisk för globala resenärer som behöver vara anslutna och flexibla under resan, och eliminerar behovet av ett SIM-kort. |
Steg 6: Konfigurera säkra autentiseringsmetoder
Konfigurera autentiseringsmetoder i Intune för att säkerställa att endast behöriga personer får åtkomst till dina interna resurser. Intune stöder multifaktorautentisering, certifikat och härledda autentiseringsuppgifter. Certifikat kan också användas för signering och kryptering av e-post med hjälp av S/MIME.
Uppgift | Beskrivning |
---|---|
Kräv multifaktorautentisering (MFA) | Kräv att personer anger två typer av autentiseringsuppgifter vid tidpunkten för enhetsregistreringen. Den här principen fungerar tillsammans med principer för villkorsstyrd åtkomst i Microsoft Entra. |
Skapa en betrodd certifikatprofil | Skapa och distribuera en betrodd certifikatprofil innan du skapar en SCEP-, PKCS- eller PKCS-importerad certifikatprofil. Den betrodda certifikatprofilen distribuerar det betrodda rotcertifikatet till enheter och användare med scep-, PKCS- och PKCS-importerade certifikat. |
Använda SCEP-certifikat med Intune | Ta reda på vad som krävs för att använda SCEP-certifikat med Intune och konfigurera den nödvändiga infrastrukturen. Sedan kan du skapa en SCEP-certifikatprofil eller konfigurera en tredjepartscertifikatutfärdare med SCEP. |
Använda PKCS-certifikat med Intune | Konfigurera nödvändig infrastruktur (till exempel lokala certifikatkopplingar), exportera ett PKCS-certifikat och lägg till certifikatet i en Intune-enhetskonfigurationsprofil. |
Använda importerade PKCS-certifikat med Intune | Konfigurera importerade PKCS-certifikat som gör att du kan konfigurera och använda S/MIME för att kryptera e-post. |
Konfigurera en utfärdare för härledda autentiseringsuppgifter | Etablera Windows-enheter med certifikat som härleds från användarens smartkort. |
Integrera Windows Hello för företag med Microsoft Intune | Skapa en Princip för Windows Hello för företag för att aktivera eller inaktivera Windows Hello för företag under enhetsregistreringen. Hello för företag är en alternativ inloggningsmetod som använder Active Directory eller ett Microsoft Entra-konto för att ersätta ett lösenord, smartkort eller ett virtuellt smartkort. |
Steg 7: Distribuera appar
När du konfigurerar appar och appprinciper bör du tänka på organisationens krav, till exempel de plattformar som du kommer att stödja, de uppgifter som personer gör, vilken typ av appar de behöver för att utföra dessa uppgifter och vem som behöver dem. Du kan använda Intune för att hantera hela enheten (inklusive appar) eller använda Intune för att endast hantera appar.
Uppgift | Beskrivning |
---|---|
Lägg till verksamhetsspecifika appar | Lägg till verksamhetsspecifika macOS-appar (LOB) i Intune och tilldela till grupper. |
Lägg till Microsoft Edge | Lägg till och tilldela Microsoft Edge för Windows. |
Lägga till Intune-företagsportalappen från Microsoft Store | Lägg till och tilldela Intune-företagsportalappen manuellt som en obligatorisk app. |
Lägga till Intune-företagsportalappen för Autopilot | Lägg till företagsportalappen på enheter som etablerats av Windows Autopilot. |
Lägga till Microsoft 365-appar | Lägg till Microsoft 365-appar för företag. |
Tilldela appar till grupper | När du har lagt till appar i Intune tilldelar du dem till användare och enheter. |
Inkludera och exkludera apptilldelningar | Kontrollera åtkomst och tillgänglighet för en app genom att inkludera och exkludera valda grupper från tilldelning. |
Använda PowerShell-skript | Ladda upp PowerShell-skript för att utöka windows-enhetshanteringsfunktionerna i Intune och göra det enklare att gå över till modern hantering. |
Steg 8: Registrera enheter
Under registreringen registreras enheten med Microsoft Entra-ID och utvärderas för efterlevnad. Information om varje registreringsmetod och hur du väljer en som passar din organisation finns i Registreringsguide för Windows-enheter för Microsoft Intune.
Uppgift | Beskrivning |
---|---|
Aktivera automatisk MDM-registrering | Förenkla registreringen genom att aktivera automatisk registrering, vilket automatiskt registrerar enheter i Intune som ansluter till eller registrerar med ditt Microsoft Entra-ID. Automatisk registrering förenklar Windows Autopilot-distribution, BYOD-registrering, registrering med grupprincip och massregistrering via ett etableringspaket. |
Aktivera automatisk identifiering av MDM-server | Om du inte har Microsoft Entra ID P1 eller P2 rekommenderar vi att du skapar en CNAME-posttyp för Intune-registreringsservrar. CNAME-posten omdirigerar registreringsbegäranden till rätt server så att registrerade användare inte behöver ange servernamnet manuellt. |
Windows Autopilot-scenarier | Förenkla användardriven eller självdistribuerande OOBE för dig och dina användare genom att konfigurera registrering av Microsoft Intune-enheter automatiskt under Windows Autopilot. |
Registrera Hybrid-anslutna Microsoft Entra-enheter med Windows Autopilot | Intune-anslutningsappen för Active Directory gör det möjligt för enheter i Active Directory Domain Services att ansluta till Microsoft Entra-ID och sedan automatiskt registrera sig i Intune. Vi rekommenderar det här registreringsalternativet för lokala miljöer som använder Active Directory Domain Services och som för närvarande inte kan flytta sina identiteter till Microsoft Entra-ID. |
Registrera enheter med grupprincip | Utlös automatisk registrering i Intune med hjälp av en grupprincip. |
Massregistrera enheter | Skapa ett etableringspaket i Windows Configuration Designer som både kopplar ett stort antal nya Windows-enheter till Microsoft Entra-ID och registrerar dem i Intune. |
Konfigurera registreringsstatussidan (ESP) | Skapa en profil för registreringsstatussidan med anpassade inställningar som vägleder användarna genom enhetskonfiguration och registrering. |
Ändra etikett för enhetsägarskap | När en enhet har registrerats kan du ändra ägarskapsetiketten i Intune till företagsägd eller personligt ägd. Den här justeringen ändrar hur du hanterar enheten och kan aktivera fler hanterings- och identifieringsfunktioner i Intune eller begränsa dem. |
Konfigurera proxy för Intune Active Directory Connector | Konfigurera Intune Connector för Active Directory så att det fungerar med dina befintliga utgående proxyservrar. |
Felsök registreringsproblem | Felsök och hitta lösningar på problem som uppstår under registreringen. |
Steg 9: Köra fjärråtgärder
När enheterna har konfigurerats kan du använda fjärråtgärder som stöds för att hantera och felsöka enheter på avstånd. Följande artiklar beskriver fjärråtgärderna för Windows. Om en åtgärd saknas eller är inaktiverad i portalen stöds den inte för Windows.
Uppgift | Beskrivning |
---|---|
Vidta fjärråtgärder på enheter | Lär dig att öka detaljnivån och fjärrhantera och felsöka enskilda enheter i Intune. I den här artikeln visas alla fjärråtgärder som är tillgängliga i Intune och länkar till dessa procedurer. |
Fjärradministrera Intune-enheter med TeamViewer | Konfigurera TeamViewer i Intune och lär dig hur du kan administrera en enhet via fjärrstyrning. |
Använda säkerhetsuppgifter för att visa hot och sårbarheter | Använd Intune för att åtgärda den slutpunktssvaghet som identifieras av Microsoft Defender för Endpoint. Innan du kan arbeta med säkerhetsuppgifter måste du integrera Microsoft Defender för Endpoint med Intune. |
Steg 10: Hjälp anställda och studenter
Resurserna i det här avsnittet finns i dokumentationen för Användarhjälp för Microsoft Intune. Den här dokumentationen är avsedd för anställda, studenter och andra Intune-licensierade enhetsanvändare som registrerar en personlig enhet eller enhet som tillhandahålls av företaget. Dokumentationslänkar finns tillgängliga i intune-företagsportalappen och pekar på information om:
- Registreringsmetoder med genomgång av hur du registrerar
- Inställningar och funktioner i företagsportalen
- Avregistrera och ta bort lagrade data
- Uppdatera enhetsinställningar för efterlevnadskrav
- Rapportera appproblem
Tips
Gör organisationens operativsystemkrav och krav på enhetslösenord enkla att hitta på din webbplats eller i ett onboarding-e-postmeddelande så att anställda inte behöver fördröja registreringen för att söka efter den informationen.
Uppgift | Beskrivning |
---|---|
Installera Intune-företagsportalappen för Windows | Lär dig var du hämtar företagsportalappen och hur du loggar in. |
Uppdatera företagsportalappen | Den här artikeln beskriver hur du installerar den senaste versionen av företagsportalen och hur du aktiverar automatiska appuppdateringar. |
Registrera en enhet | Den här artikeln beskriver hur du registrerar personliga enheter som kör Windows 10 eller Windows 11. |
Avregistrera en enhet | Den här artikeln beskriver hur du avregistrerar en enhet från Intune och tar bort den lagrade cachen och loggarna för företagsportalen. |
Nästa steg
En översikt över administrationscentret för Microsoft Intune och hur du navigerar i det finns i Självstudie: Genomgång av administrationscentret för Microsoft Intune. Självstudiekurserna är innehåll på 100–200 nivåer för personer som är nybörjare i Intune eller ett visst scenario.
Andra versioner av den här guiden finns i: