引导式方案 - 云托管新式桌面

新式桌面是信息工作者的先进生产力平台。 Microsoft 365 应用版和 Windows 10 是新式桌面的核心组件，以及 Windows 10 和 Microsoft Defender for Endpoint 的最新安全基线。

从云管理新式桌面带来了 Internet 范围的远程操作的额外优势。 云管理利用内置的 Windows 移动设备管理策略，并删除本地 Active Directory 组策略上的依赖项。

如果要在自己的组织中评估云托管的新式桌面，此引导式方案预定义了基本部署所需的所有配置。 在此引导方案中，你将创建一个安全的环境，可在其中试用 Intune 设备管理功能。

先决条件

• 将 MDM 机构设置为 Intune - 移动设备管理 (MDM) 颁发机构设置确定管理设备的方式。 作为 IT 管理员，必须先设置 MDM 机构，然后用户才能注册设备来进行管理。
• Microsoft Intune 许可证 (，例如 Microsoft 365 商业高级版、Microsoft 365 E3 或 Microsoft 365 E5) 。 有关许可的详细信息，请参阅 Microsoft Intune 许可。
• windows 10 1903 设备 (注册到 Windows Autopilot，以获得最佳最终用户体验)
• 完成此引导方案所需的 Intune 管理员权限：
  • 设备配置读取、创建、删除、分配和更新
  • 注册程序读取设备、读取配置文件、创建配置文件、分配配置文件、删除配置文件
  • 移动应用读取、创建、删除、分配和更新
  • 组织读取和更新
  • 安全基线读取、创建、删除、分配和更新
  • 策略集读取、创建、删除、分配和更新

步骤 1 - 简介

使用此引导式方案，你将设置测试用户，在 Intune 中注册设备，并使用 Intune 推荐的设置以及 Windows 10 和 Microsoft 365 应用部署设备。 如果选择 在 Intune 中启用此保护，设备也将配置为 Microsoft Defender for Endpoint。 你设置的用户和注册的设备将添加到新的安全组，并将使用建议的安全和工作效率设置进行配置。

需要继续的内容

必须在此引导方案中提供测试设备和测试用户。 请确保完成以下任务：

• 在 Entra ID Microsoft设置测试用户帐户。
• 创建运行 Windows 10 版本 1903 或更高版本的测试设备。
• (可选) 将测试设备注册到 Windows Autopilot。
• (可选) 为 组织的“Microsoft Entra”登录页启用品牌打造。

步骤 2 - 用户

选择要在设备上设置的用户。 此人将是设备的主要用户。

如果要向此配置添加更多用户或设备，请将用户和设备添加到向导生成的 Microsoft Entra 安全组。 与其他引导式方案不同，无需多次运行向导，因为配置不可自定义。 只需将更多用户和设备添加到创建的Microsoft Entra 组即可。 完成向导后，你将能够查看使用部署的建议策略生成的组。

步骤 3 - 设备

确保设备运行的是 Windows 10 版本 1903 或更高版本。 主用户在收到设备时需要设置设备。 有两个设置选项可供用户使用。

选项 A - Windows Autopilot

Windows Autopilot 自动配置新设备，以便用户可以在无需 IT 帮助的情况下进行开箱即用设置。 如果你的设备已注册到 Windows Autopilot，请按其序列号选择它。 有关使用 Windows Autopilot 的详细信息，请参阅 将设备注册到 Windows 自动试点 (可选) 。

选项 B - 手动设备注册

用户将在移动设备管理中手动设置和注册其新设备。 完成此方案后，重置设备，并为主要用户提供 Windows 设备的注册说明。 有关详细信息，请参阅 在首次运行体验期间加入 Windows 10 设备以Microsoft Entra ID。

步骤 4 - 查看 + 创建

最后一步允许查看配置的设置的摘要。 查看选择后，单击“ 部署 ”以完成引导式方案。 引导方案完成后，会显示一个资源表。 稍后可以编辑这些资源，但一旦离开摘要视图，将不会保存该表。

验证

1. 验证所选是否分配有 MDM 用户范围
   • 确保 MDM 用户范围 为：
     • 将 Microsoft Intune 应用设置为“全部”，或者
     • 设置为 “某些”。 此外，添加此引导方案创建的用户组。
2. 验证所选用户是否能够将设备加入到Microsoft Entra ID。
   • 确保 entra 联接Microsoft为：
     • 设置为 “全部 ”或
     • 设置为 “某些”。 此外，添加此引导方案创建的用户组。
3. 按照设备上的相应步骤，根据以下内容将其加入到Microsoft Entra ID：
   • 使用 Autopilot。 有关详细信息，请参阅 Windows Autopilot 用户驱动模式。
   • 不使用 Autopilot：有关详细信息，请参阅 在首次运行体验期间加入 Windows 10 设备以Microsoft Entra ID。

单击“部署”时会发生什么情况？

用户和设备将添加到新的安全组。 它们还将配置 Intune 建议的设置，以提高工作或学校的安全性和工作效率。 用户加入设备以Microsoft Entra ID 后，将向设备添加其他应用和设置。 若要详细了解这些附加配置，请参阅 快速入门：注册 Windows 10 设备。

其他信息

将设备注册到 Windows Autopilot (可选)

可以选择使用已注册的 Autopilot 设备。 对于 Autopilot，此引导式方案将分配 Autopilot 部署配置文件和注册状态页配置文件。 Autopilot 部署配置文件的配置如下：

• 用户驱动模式 – 即要求最终用户在 Windows 设置期间输入用户名和密码。
• Microsoft Entra 联接。
• 自定义 Windows 设置：
  • 隐藏“Microsoft软件许可条款”屏幕
  • 隐藏隐私设置
  • 在没有本地管理员权限的情况下创建用户的本地配置文件
  • 隐藏公司登录页上的“更改帐户”选项

注册状态页将配置为仅为 Autopilot 设备启用，并且不会阻止等待所有应用安装。

引导式方案还会将用户分配到所选的 Autopilot 设备，以获取个性化的设置体验。

后必备组件

用户加入设备以Microsoft Entra ID 后，以下配置将应用于设备：

1. Microsoft 365 应用将自动安装在云托管的电脑上。 其中包含你所熟悉的应用程序，包括 Access、Excel、OneNote、Outlook、PowerPoint、发布服务器、Skype for Business 和 Word。 可使用这些应用程序与 SharePoint Online、Exchange Online 和 Skype for Business Online 等 Microsoft 365 服务连接。 Microsoft 365 应用会定期更新新功能，这与非订阅版本的 Office 不同。 有关新功能的列表，请参阅 Microsoft 365 中的新增功能。
2. Windows 安全基线将安装在云托管的电脑上。 如果已设置 Microsoft Defender for Endpoint，引导式方案还将配置 Defender 的基线设置。 Defender for Endpoint 为 Windows 10 安全堆栈提供了新的违规后保护层。 将内置于 Windows 10 中的客户端技术和强大的云服务相结合，有助于检测已超过其他防御措施的威胁。

后续步骤

• 如果使用 Microsoft Defender 高级威胁检测，请创建 Intune 合规性策略 ，要求 Defender 威胁分析符合性。
• 创建 基于设备的条件访问策略 ，以在设备不符合 Intune 合规性时阻止访问。