設定 Microsoft Intune

  • 發行項

如果沒有適當的工具和資源,管理學校環境中數百或數千個裝置可能是一項複雜且耗時的工作。 Microsoft Intune 是簡化大規模管理裝置的服務集合。

Microsoft Intune 服務可以使用不同的方式進行管理。

  • Intune 系統管理中心 是支援整個裝置生命週期的主要 Intune 介面,從註冊階段到淘汰。 IT 系統管理員可以管理所有 Intune 支援平臺的所有設定。

  • Intune 教育 版是 Intune 的策劃檢視,可支援從註冊階段到淘汰的整個裝置生命週期。 IT 系統管理員可以使用大量註冊選項和簡化的部署,開始管理教室裝置。 在學年結束時,IT 系統管理員可以重設裝置,確保裝置已準備好進行下一年。

    Intune 教育版儀錶板

    如需詳細資訊,請參閱 Intune 教育版檔

提示

IntuneIntune 教育 版都會設定 Intune 服務。 一個控制台中所做的變更會反映在另一個控制台中。 不過, Intune 教育 版僅支援一部分的原則和應用程式,這些原則和應用程式是針對 Windows 和 iPadOS 上的簡單 K-12 案例所策劃。

在本節中,您將:

  • 檢閱 Intune 的授權必要條件
  • 設定教育用 Intune 服務裝置

先決條件

✅ 查看裝置管理的需求

使用 Intune 設定設定之前,請考慮下列必要條件:

  • Intune 訂用帳戶。 Microsoft Intune 的授權方式有三種:
  • Intune 教育版裝置平臺。 Intune 教育版可以管理執行 Windows 10、Windows 11、Windows 11 SE 和 iPadOS 支援版本的裝置
  • Intune 裝置平臺。 Intune 可以管理執行支援的 Windows 10、Windows 11、Windows 11 SE、iOS、iPadOS、macOS、Android 和 Linux 版本的裝置
  • 網路要求。 確認所有必要的網路端點都可以存取,而不需要 SSL 檢查或任何類型的篩選。 如需端點清單,請參閱 Microsoft Intune 的網路 端點。

如需詳細資訊,請參閱 Intune 授權此比較表,其中包含詳述 教育Microsoft新式工作計劃的數據表。

設定 Intune 教育版服務裝置

您可以根據學校的需求,以不同的方式設定 Intune 服務。 在本節中,您會使用 K-12 學區常實作的設定來設定 Intune 服務。

設定註冊限制

✅ 限制可以管理的裝置

透過註冊限制,您可以控制哪些裝置可以註冊並由Intune管理。 例如,您可以防止註冊個人裝置。

若要封鎖個人擁有的裝置註冊:

  1. 登入 Microsoft Intune 系統管理中心
  2. 取 [裝置>註冊裝置]>[裝置平臺限制]
  3. 選取您要限制之平臺的索引標籤。
  4. 取 [建立限制]
  5. 在 [基本概念] 頁面上,提供限制的名稱,並選擇性地提供 [下一步] 描述>。
  6. 在 [ 平台設定] 頁面的 [ 個人擁有的裝置] 字段中,選取 [ 封鎖>下一步] 此螢幕快照是Intune系統管理中心Microsoft裝置註冊限制頁面。
  7. 或者,在 [ 範圍卷標] 頁面上,新增範圍標籤 >[下一步]
  8. 在 [指派] 頁面上,選取 [新增群組],然後使用搜尋方塊尋找並選擇您要套用限制>的群組[下一步]
  9. 在 [ 檢閱 + 建立] 頁面上,選取 [ 建立 ] 以儲存限制。

如需詳細資訊,請 參閱建立裝置平臺限制

選擇性設定

✅ 設定選擇性租用戶設定

設定 Windows 註冊

✅ 設定哪些用戶可以註冊 Windows 裝置

  1. 登入 Microsoft Intune 系統管理中心
  2. 取 [裝置>註冊裝置>自動註冊]
  3. MDM 使用者範圍 設定為 [全部 ] 或 [ 部分 ],如果您想要將註冊限制為特定使用者,請選取群組。

    重要事項

    如果使用布建步調來註冊裝置,則 MDM 使用者範圍必須設定為 [全部 ]。

  4. MAM 用戶範圍 設定為 [無] 顯示 MDM 用戶範圍和 MAM 用戶範圍的螢幕快照。
  5. 選取 [儲存]

如需詳細資訊,請 參閱啟用 Windows 自動註冊

停用 Windows Hello 企業版

✅ 停用學生通常無法存取的功能

Windows Hello 企業版是生物特徵辨識驗證功能,可讓使用者使用 PIN、密碼或指紋登入其裝置。 Windows Hello 企業版預設會在 Windows 裝置上啟用,若要進行設定,用戶必須執行多重要素驗證 (MFA) 。 因此,這項功能可能不適合未啟用 MFA 的學生。

Windows Hello 企業版通常會在租用戶層級停用。 然後,原則就可以在需要原則的使用者或裝置上執行。 例如,教職員和教師。

若要在租用戶層級停用 Windows Hello 企業版:

  1. 登入 Microsoft Intune 系統管理中心
  2. 取 [裝置>依據平臺>][Windows>裝置上線>註冊]
  3. 取 [Windows Hello 企業版]
  4. 請確定 [設定 Windows Hello 企業 版] 已設定為 [停 用]
  5. 選取 [儲存]

從 Microsoft Intune 系統管理中心停用 Windows Hello 企業版。

如需如何在特定裝置上啟用 Windows Hello 企業版的詳細資訊,請參閱 建立 Windows Hello 企業版原則

設定 Intune 數據收集原則

✅ 設定端點分析

Intune 需要在 Windows 裝置上收集端點分析數據的許可權。

若要啟用資料收集:

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [報告>端點分析>設定]
  3. [Intune 數據收集原則] 下,選取 [Intune 數據收集原則] 選取 Intune 數據收集原則。
  4. 選取 [內容]
  5. 在 [ 組態設定] 底 下,選取 [ 編輯]
  6. [健全狀況監視] 設定為 [啟用]
  7. 取 [範圍 ] 並勾選 [端點分析] 顯示 Intune 資料收集原則設定的螢幕快照。
  8. 選取 [檢閱 + 儲存]
  9. 選取 [儲存]

如需數據收集的詳細資訊,請參閱 端點分析數據收集

設定 Windows 數據

✅ 設定租使用者 Windows 數據設定

Intune 需要在 Windows 裝置上收集 Windows 更新報表特定數據的許可權。

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 租用戶系統管理>連接器和令牌>Windows 數據
  3. [Windows 數據] 底 下,選取 [ 開啟]
  4. 檢閱 Windows 授權驗證 一節,並根據您的授權進行設定。 顯示 Intune Windows 資料設定組態的螢幕快照。
  5. 按一下儲存

如需詳細資訊,請參閱 啟用 Intune 的 Windows 診斷數據使用

設定 Windows 裝置診斷

✅ 允許遠端擷取診斷資訊

  1. 登入 Microsoft Intune 系統管理中心
  2. 選取 [租使用者管理>裝置診斷]
  3. 根據您的需求設定設定。

下表提供客戶最常設定的設定,但可自定義以符合學校需求。

設定 一般組態
裝置診斷適用於執行 Windows 10 版本 1909 及更新版本或 Windows 11 的公司管理裝置。 診斷可能包含用戶可識別的資訊,例如使用者或裝置名稱。 Enabled
當裝置在 Windows 10 版本 1909 或更新版本和 Windows 11 的 Autopilot 程式期間發生失敗時,自動擷取診斷。 診斷可能包含用戶可識別的資訊,例如使用者或裝置名稱。 Enabled

如需詳細資訊,請參閱 從 Windows 裝置收集診斷

(選擇性) 設定註冊狀態頁面

如果打算使用 Windows Autopilot 在 Intune 中註冊 Windows 裝置,請考慮啟用註冊狀態頁面。

ESP) (註冊狀態頁面會顯示第一次註冊 Windows 裝置並登入的人員的布建狀態。 您可以設定 ESP 來封鎖裝置使用,直到安裝所有必要的原則和應用程式為止。 裝置使用者可以查看ESP來追蹤其裝置在安裝程式中的進度。

其他資訊:

下表提供客戶最常設定的設定,但可自定義以符合學校需求。

葉片 組態群組 設定
Windows 註冊 一般\註冊狀態頁面 Default\Show app and profile configuration progress
Windows 註冊 一般\註冊狀態頁面 Default\當安裝花費的時間超過指定的分鐘數時顯示錯誤 120
Windows 註冊 一般\註冊狀態頁面 預設值\在發生時間限制或錯誤時顯示自定義訊息
Windows 註冊 一般\註冊狀態頁面 用戶的預設\開啟記錄收集和診斷頁面
Windows 註冊 一般\註冊狀態頁面 默認\僅顯示以全新體驗布建的裝置頁面 (OOBE)
Windows 註冊 一般\註冊狀態頁面 註冊狀態頁面\預設\封鎖裝置使用,直到將必要的應用程式指派給使用者/裝置時才安裝 全部已選取 ,並具有所需的最小應用程式。

例如,Microsoft 365 應用程式或 Web 內容篩選軟體

設定 Apple MDM 憑證

若要設定 Apple MDM 憑證,請參閱 取得 Apple MDM 推播憑證

重要事項

Apple MDM 憑證必須每年更新一次。 請記下行事曆中的憑證,以在您新增憑證之後的一年內更新憑證。 您可以隨時在控制台中檢視到期日。

設定大量採購方案 (VPP)

若要設定 Apple VPP,請參閱 如何使用 Microsoft Intune 管理透過 Apple Business Manager 購買的 iOS 和 macOS 應用程式

重要事項

Apple VPP 令牌必須每年更新一次。 請記下行事曆中的令牌,以在您新增令牌之後的一年內更新令牌。 您可以隨時在控制台中檢視到期日。

設定自動裝置註冊 (ADE)

如果您打算整合 Apple School Manager 並使用自動裝置註冊,請遵循下列步驟。

若要設定 Apple MDM 憑證, 請參閱在 Intune 中設定自動化裝置註冊

重要事項

Apple ADE 令牌必須每年更新一次。 請記下行事曆中的令牌,以在您新增令牌之後的一年內更新令牌。 您可以隨時在控制台中檢視到期日。

後續步驟

設定 Intune 服務之後,您可以設定原則和應用程式,以準備部署學生和教師的裝置。

下一步:設定裝置 >