Microsoft Intune 規劃指南

成功的 Microsoft Intune 部署或移轉是從規劃開始。 本指南會逐步引導您完成一般行動裝置管理 (MDM) 和行動應用程式管理 (MAM) 目標。 也提供清查您的裝置、授權、檢閱目前的原則和基礎結構、建立推出計劃等等的指引。

提示

Intune 採用套件包括電子郵件範本和更多好的資訊。

本指南內容會隨時變動。 因此,請務必新增或更新您認為有用的現有秘訣和指引。

工作 1:判斷您的目標

組織會使用行動裝置管理 (MDM) 和行動應用程式管理 (MAM) 來安全地控制組織資料,並且將對於使用者的干擾降至最低。 評估 MDM/MAM 解決方案 (例如 Microsoft Intune) 時,請查看目標是什麼,以及您想要達成的目標。

在本節中,我們會討論使用 Intune 時的常見目標。

目標:存取組織應用程式和電子郵件

使用者預期會使用組織應用程式來處理裝置,包括讀取和回應電子郵件、更新與共享資料等等。 在 Intune 中,您可以部署不同類型的應用程式,包括:

  • Office 365 應用程式
  • Win32 應用程式
  • 企業營運 (LOB) 應用程式
  • 自訂應用程式
  • 允許 (或封鎖) 存取內建應用程式或市集應用程式

工作:建立您的使用者經常使用的應用程式清單。 這些應用程式是您想要在其裝置上使用的應用程式。 有一些考量:

  • 許多組織會將 Office 應用程式套件部署到電腦和平板電腦,例如 Word、Excel、OneNote、PowerPoint 和 Teams。 在較小的裝置上 (例如行動電話),可能會安裝個別的應用程式,視使用者需求而定。

    例如,銷售小組可能需要 Teams、Excel 和 SharePoint。 在行動裝置上,您只能部署這些應用程式,而不是部署整個 Office 套件。

  • 使用者預期會讀取和回覆電子郵件,並在所有裝置上加入會議,包括個人裝置。 在組織擁有的裝置上,您可以部署 Outlook 和 Teams。 同時,管理及控制所有裝置設定和所有應用程式設定,包括 PIN 和密碼需求。 在個人裝置上,您沒有這個控制權。 因此,請判斷您是否要讓使用者存取組織應用程式,例如電子郵件和會議。

    如需詳細資訊和考量,請參閱個人裝置與組織擁有的裝置 (在本文中)。

目標:保護所有裝置上的存取權

當資料儲存在行動裝置上時,就必須防止惡意活動。

工作:決定您要如何保護您的裝置,並且將惡意活動的影響降至最低。 有一些考量:

  • 防毒 (AV) 和惡意程式碼防護是必須的。 Intune 會與不同的行動威脅防禦 (MTD) 合作夥伴整合,以協助保護已註冊的裝置、個人裝置和應用程式。 在 Windows 10 裝置上,您可以搭配使用Microsoft Defender 與端點和 Intune。

    適用于端點的 Microsoft Defender 包含安全性功能和 入口網站 ,可協助監視和回應威脅。

  • 如果裝置遭到入侵,您會想要使用條件式存取來限制影響。 例如:

    • 如果裝置符合您設定的威脅層級,您可以封鎖對組織資源的存取權。 條件式存取有助於防止惡意活動的散佈。

    • 條件式存取可協助保護您的網路和資源免於從裝置遭到入侵,甚至是未向 Intune 註冊的裝置。

      例如,Intune 會與 Microsoft Defender for Endpoint 整合。 適用于端點的 Microsoft Defender 會掃描裝置,並判斷它是否遭到入侵。 然後,條件式存取可以自動封鎖此裝置上對於組織資源的存取權,包括電子郵件。

  • 對裝置、作業系統和應用程式的更新也有助於保護您的資料安全。 建立如何及何時安裝更新的計劃。 Intune 中有一些原則可協助您管理更新,包括市集應用程式的更新。

  • 判斷使用者會如何從他們的許多裝置向組織資源進行驗證。 例如,您可以:

    • 使用裝置上的憑證來驗證功能和應用程式,例如連線到虛擬私人網路 (VPN)、開啟 Outlook 等等。 這些憑證允許「無密碼」使用者體驗。 相較于要求使用者輸入其組織的使用者名稱和密碼,密碼較少會被視為更安全。

      如果您打算使用憑證,請確定您具有受支援的公開金鑰基礎結構 (PKI) 基礎結構,隨時可以建立和部署憑證設定檔。

    • 當您在組織擁有的裝置上需要額外一層驗證時,請使用多重要素驗證 (MFA)。 或者,使用 MFA 來驗證個人裝置上的應用程式。 也可以使用生物識別技術,例如臉部辨識和指紋。

      如果您將使用生物識別技術來進行驗證,請確定您的裝置支援生物識別技術。 大部分的新式裝置都支援。

    • 執行零信任部署。 使用零信任時,您可以使用 Azure AD 和 Microsoft Intune 中的功能,來保護所有端點、使用無密碼驗證,以及其他功能。 如需詳細資訊,請參閱 零信任 Deployment Center

目標:分散式 IT

許多組織想要對位置、部門等等給予不同的管理員控制權。 例如,Charlotte IT 系統管理員 群組會控制和監視 Charlotte 校園中的原則。 這些 Charlotte IT 系統管理員只能查看和管理 Charlotte 位置的原則。 他們無法查看和管理 Redmond 位置的原則。 這種方法稱為分散式 IT。

在 Intune 中,分散式 IT 使用範圍標記裝置註冊類別。 範圍標記使用角色型存取控制 (RBAC)。 因此,只有特定群組中的使用者具有權限,可以管理其範圍中使用者和裝置的原則與設定檔。

使用裝置類別時,裝置會根據您所建立的類別自動新增至群組。 當使用者註冊其裝置時,他們會選擇一個類別,例如銷售、IT 系統管理員、銷售點裝置等等。 這些裝置群組現在已準備好接收您所建立的設定檔和原則。

若要讓管理裝置變得更輕鬆,您可以使用 Intune 裝置類別,以自動根據您定義的類別將裝置新增至群組。

工作:決定您要如何散發規則和設定 (原則和設定檔)。 有一些考量:

  • 判斷您的管理結構。 例如,您可能想要依位置區分,例如 Charlotte IT 系統管理員Redmond IT 系統管理員。 您可能想要依角色區分,例如可控制所有網路存取 (包括 VPN) 的 網路系統管理員

    這些類別會變成您的範圍標記

  • 許多組織會依據裝置類型來區分群組,例如 iOS、iPadOS、Android 或 Windows 裝置。 以下是一些範例:

    • 將特定應用程式散發至特定裝置。 例如,將 Microsoft 快速互動應用程式部署到 Redmond 網路中的裝置。
    • 將原則部署到特定位置。 例如,將 VPN 設定檔部署至 Charlotte 網路中的裝置,以便在該範圍內時自動連線。
    • 控制特定裝置上的設定。 例如,停用在製造樓層所使用 Android Enterprise 裝置上的相機、為所有 Windows 裝置建立 Windows Defender 防毒設定檔,或將 Exchange 電子郵件設定新增至所有 iOS/iPadOS 裝置。

    這些類別會變成您的裝置註冊類別

目標:將組織資料保留在組織內部

當資料儲存在行動裝置上時,就必須防止不小心遺失或共用的問題。 此目標包括從個人和組織所擁有的裝置抹除組織資料。

工作:建立計劃來涵蓋會影響組織的不同案例。 有一些考量:

如需詳細資訊和考量,請參閱個人裝置與組織擁有的裝置 (在本文中)。

工作 2:清查您的裝置

組織有各種裝置,包括桌上型電腦、膝上型電腦、平板電腦和行動電話。 這些裝置可以由組織擁有,或由您的使用者擁有。 在規劃您的裝置管理解決方案時,請務必考量將會存取您組織資源的所有項目,包括使用者的個人裝置。

本節包含您應該考量的裝置資訊。

支援的平台

Intune 支援 Android 裝置系統管理員、Android Enterprise、iOS、iPadOS、macOS 和 Windows 裝置。 針對特定版本,請參閱支援的平台

工作:如果您的裝置使用不受支援的版本,主要是舊版作業系統,那麼現在是升級作業系統或更換裝置的時候了。 這些舊版作業系統和裝置的支援有限,而且會有潛在安全性風險。 這項工作包括執行 Windows 7 的桌上型電腦、執行原始 v10.0 作業系統的 iPhone 7 裝置等等。

個人裝置與組織擁有的裝置

在個人裝置上,這是正常的,而且預期使用者會檢查電子郵件、加入 Teams 會議、更新 SharePoint 檔案等等。 許多組織都允許個人裝置,而許多組織只允許組織擁有的裝置。

身為組織和系統管理員,您可以決定是否要允許個人裝置。

工作:決定您要如何處理個人裝置。 如果「行動」對您的組織來說很重要,請考量下列方法:

  • 在個人裝置上,讓使用者可以選擇在 Intune 中註冊。 一旦註冊,系統管理員就會完全管理這些裝置,包括推送原則、控制裝置功能和設定,甚至抹除裝置。 身為系統管理員,您可能會想要使用此控制項,或者您可能「考慮」想要此控制項。

    當使用者註冊其個人裝置時,他們可能不知道或不了解系統管理員可以在裝置上執行任何動作,包括不小心抹除或重設裝置。 身為系統管理員,您可能不想要在貴組織未擁有的裝置上擔負這種責任或潛在的影響。

    此外,許多使用者都拒絕註冊。 他們會尋找其他方式來存取組織資源。 例如,您需要註冊裝置,才能使用 Outlook 應用程式來檢查組織的電子郵件。 若要略過這項需求,使用者可以在裝置上開啟任何網頁瀏覽器,並登入 Outlook Web Access,這可能不是您想要的。 或者,他們會建立螢幕擷取畫面,並將影像儲存在裝置上,這也不是您想要的。

  • 在個人裝置上,使用應用程式組態原則和應用程式保護原則。 使用者不會在 Intune 中註冊。 這些裝置不會受您控制。

    使用條款及條件聲明搭配條件式存取原則。 如果使用者不同意,他們就無法取得應用程式的存取權。 如果使用者同意聲明,則會將裝置記錄新增至 Azure AD,且裝置會變成已知的實體。 已知裝置時,您可以追蹤從裝置存取的內容。

    接下來,使用應用程式原則來控制存取權和安全性。

    查看貴組織最常使用的工作,例如電子郵件和加入會議。 使用應用程式組態原則來設定應用程式特定的設定。 使用應用程式保護原則來控制這些應用程式的安全性和存取權。

    例如,使用者可以使用其個人裝置上的 Outlook 應用程式來檢查公司電子郵件。 使用 Intune 時,系統管理員會在每次 Outlook 應用程式開啟時,建立使用多重要素驗證 (MFA) 的 Outlook 應用程式保護原則,防止複製和貼上等等。

  • 您想要讓每個裝置都完全受控。 在此案例中,請提供使用者所需的所有裝置,包括行動電話。 投資硬體重新整理計劃,讓使用者能夠持續保持生產力和效率。 在 Intune 中註冊這些組織擁有的裝置,並使用原則來管理這些裝置。

    此選項會阻止使用個人裝置。

最佳做法是一律假設資料會離開裝置。 請確定您的追蹤和稽核方法已就緒。 如需詳細資訊,請參閱 零信任 Deployment Center

管理桌上型電腦

Intune 可以管理執行 Windows 10 和更新版本的桌上型電腦。 Windows 10 作業系統包含內建新式裝置管理功能,並移除本機 Active Directory (AD) 群組原則的相依性。 在 Intune 中建立規則和設定,以及將這些原則部署到您的所有 Windows 10 裝置 (包括桌上型電腦和電腦) 時,您會獲得雲端的好處。

如需詳細資訊,請參閱引導式案例 - 雲端管理的新式桌面

如果您的 Windows 10 裝置目前是使用 Configuration Manager 進行管理,您仍然可以在 Intune 中註冊這些裝置。 這種方法稱為「共同管理」。 共同管理可提供許多優點,包括在裝置上執行遠端動作 (重新開機、遠端控制、恢復出廠預設值)、具有裝置合規性的條件式存取等等。 您也可以將裝置雲端連結至 Intune。

如需詳細資訊,請參閱什麼是共同管理共同管理的路徑,以及端點管理員租用戶連結

工作:查看您目前用於行動裝置管理的內容、目標為何,以及判斷最佳的路徑。 有一些考量:

  • 如果您目前未使用任何項目,則直接前往 Intune 可能會是最佳做法。

  • 針對未在 Configuration Manager 或任何 MDM 解決方案中註冊的新裝置,直接前往 Intune 可能會是最佳做法。

  • 如果您目前是使用 Configuration Manager,則您的選項包括:

    • 如果您想要保留現有的基礎結構,並將一些工作負載移到雲端,請使用共同管理。 您可以獲得這兩項服務的優點。 現有裝置可以從 Configuration Manager (內部部署) 和其他 Intune (雲端) 的原則接收某些原則。
    • 如果您想要保留現有的基礎結構,並使用 Intune 協助監視您的內部部署裝置,請使用租用戶-連結。 您可以獲得 [端點管理員] 系統管理中心的優點,同時仍能使用 Configuration Manager 來管理裝置。
    • 如果您想要使用純雲端解決方案來管理裝置,請移至 Intune。 這種情況很罕見。 現有 Configuration Manager 使用者通常會想要繼續使用 Configuration Manager。 安裝部署指南有一些很好的資訊。

    如需詳細資訊,請參閱共同管理工作負載

工作 3:判斷成本和授權

管理裝置是與不同服務的關聯性。 Intune 包含您可以在不同裝置上控制的設定和功能。 還有其他扮演重要角色的服務:

  • Azure Active Directory (AD) Premium 包含數個管理裝置的關鍵功能,包括:

    • Windows Autopilot:Windows 10 裝置可以自動在 Intune 中註冊,並自動接收您的原則。
    • 多重要素驗證 (MFA):使用者必須輸入兩個或多個驗證方法,例如 PIN、驗證器應用程式、指紋等等。 當使用個人裝置的應用程式保護原則,或需要額外安全性的組織擁有的裝置時,MFA 是絕佳的選項。
    • 條件式存取:如果使用者和裝置遵循您的規則 (例如 6 位數的密碼),則他們會取得組織資源的存取權。 如果使用者或裝置不符合您的規則,則不會取得存取權。
    • 動態使用者群組和動態裝置群組:當使用者或裝置符合準則 (例如城市、職稱、OS 類型、OS 版本等等) 時,系統會自動將其新增至群組。
  • Office 365 包含使用者所依賴的應用程式,包括 Outlook、Word、SharePoint、Teams、OneDrive 等等。 您可以使用 Intune 將這些應用程式部署到裝置。

  • Microsoft Defender for Endpoint 可協助監視及掃描您的 Windows 10 裝置是否有惡意活動。 您也可以設定可接受的威脅層級。 與條件式存取結合時,如果超過威脅層級,您可以封鎖對組織資源的存取。

  • Azure 資訊保護 藉由套用標籤來分類及保護文件和電子郵件。 在 Office 應用程式上,您可以使用此服務來防止未經授權存取組織資料,包括個人裝置上的應用程式。

這些服務都包含在 Microsoft 365 E5 授權中。 如需詳細資訊,請參閱 Microsoft 365 授權方案

工作:判斷您的組織需要哪些服務和程式,並且用來提高生產力和安全性。 有一些考量:

  • 如果您的目標是要部署原則 (規則) 和設定檔 (設定),而不需要強制執行,則您至少需要 Intune。 Intune 可用於不同的訂用帳戶,包括作為獨立服務。 如需詳細資訊,請參閱 Microsoft Intune 授權

    您目前使用 Configuration Manager,而且想要為您的裝置設定共同管理。 Intune 已包含在您的 Configuration Manager 授權中。 如果您想要讓新裝置或現有共同管理裝置完全由 Intune 管理,則您需要個別的 Intune 授權。

  • 您想要強制執行您在 Intune 中建立的合規性或密碼規則。 您至少需要 Intune 和 Azure AD Premium。 Intune 和 Azure AD Premium 可透過 Enterprise Mobility + Security 取得。

    如需詳細資訊,請參閱 Enterprise Mobility + Security 價格選項

  • 您只想要管理裝置上的 Office 365 應用程式。 您至少需要 Office 365。 如需詳細資訊,請參閱 Office 365 的 MDM 與 Microsoft Intune,以及 Office 365 行動裝置管理的常見問題集

  • 您想要將 Office 365 應用程式部署到您的裝置,並建立原則來協助保護執行這些應用程式的裝置。 您至少需要 Intune 和 Office 365。

  • 您想要在 Intune 中建立原則、部署 Office 365 應用程式,並強制執行您的規則和設定。 您至少需要 Intune、Office 365 和 Azure AD Premium。 因為這些服務都包含在 Microsoft 365 中,所以使用 Microsoft 365 授權比較符合成本效益。

    如需詳細資訊,請參閱 Microsoft 365 授權方案

工作 4:檢閱現有的原則和基礎結構

許多組織都有現有的原則和裝置管理基礎結構,只是「維護」而已。 例如,您可能有已經 20 年的群組原則,而不知道其作用。 在考量移至雲端時,請決定目標,而不是查看您一向完成的項目。

記住這些目標之後,請建立原則的基準。 如果您有多個裝置管理解決方案,現在可能是使用單一行動裝置管理解決方案的時機。

工作:開始查看您在內部部署執行的工作,並可移至雲端。 請記住,要決定目標,而不是查看您一向完成的項目。 有一些考量:

  • 檢閱您現有的原則及其結構。 有些原則可能會全域套用,有些則適用於網站層級,有些則是裝置特有的。 目標是要知道並了解全域原則的意圖、本機原則的意圖等等。

    AD 群組原則會依 LSDOU 順序,套用本機、網站、網域及組織單位 (OU)。 在此階層中,OU 原則會覆寫網域原則、網域原則會覆寫網站原則,依此類推。

    在 Intune 中,原則會套用到您所建立的使用者及群組。 此處沒有階層。 若兩項原則更新同一項設定,該設定會顯示為衝突。 如需詳細資訊,請參閱裝置原則與設定檔常見的問題、疑問與解決方法

    從 AD 群組原則進入 Intune 時,您的 AD 全域原則會以邏輯方式開始套用至您擁有的群組,或您需要的群組。 這些群組會包含您想要以全域層級、網站層級等作為目標的使用者和裝置。 這項工作可讓您了解 Intune 中所需的群組結構。

  • 準備好在 Intune 中建立新的原則和設定檔。 Intune 包含數個功能,其中涵蓋您可能會感興趣的案例。 以下是一些範例:

    • 安全性基準:在 Windows 10 裝置上,安全性基準是已預先設定為建議值的安全性設定。 如果您不熟悉如何保護裝置,或想要完整的基準,請查看「安全性基準」。
    • 系統管理範本:在 Windows 10 裝置上,使用 ADMX 範本來設定 Windows、Internet Explorer、Office 和 Microsoft Edge 77 版和更新版本的群組原則設定。 這些 ADMX 範本與在 AD 群組原則中使用的 ADMX 範本相同,但在 Intune 中是 100% 雲端式。
    • 群組原則:使用 群組原則分析來匯入和分析您的 GPO。 此功能可協助您判斷 GPO 在雲端中的轉譯方式。 輸出會顯示 MDM 提供者 (包括 Microsoft Intune) 中支援的設定。 其也會顯示任何已過時的設定或 MDM 提供者無法使用的設定。
    • 引導式案例引導式案例是著重於端對端使用案例的自訂步驟系列。 這些案例將會自動包含原則、應用程式、指派及其他管理組態。
  • 建立包含最低目標的原則基準。 例如:

    • 保護電子郵件:您至少需要:

      • 啟用 Exchange Online 的條件式存取,或連線到內部部署電子郵件解決方案。
      • 建立 Outlook 應用程式保護原則。
    • 裝置設定:您至少需要:

      • 需要六個字元的 PIN,才能將裝置解除鎖定。
      • 防止備份到個人雲端服務,例如 iCloud 或 OneDrive。
    • 裝置設定檔:您至少需要:

      • 建立 Wi-Fi 設定檔,其中包含預先設定可連線到 Contoso Wi-Fi 無線網路的設定。
      • 使用憑證建立 VPN 設定檔,以自動驗證並連線到組織 VPN。
      • 使用預先設定連線到 Office 365 或 Gmail 電子郵件解決方案的設定,建立電子郵件設定檔
    • 應用程式:您至少需要:

      • 部署具有應用程式保護原則的 Office 365。
      • 部署具有應用程式保護原則的企業營運 (LOB)。
  • 檢閱您群組目前的結構。 在 Intune 中,您可以建立原則並將其指派給使用者群組、裝置群組和動態使用者與裝置群組 (需要 Azure AD Premium)。

    當您在雲端 (例如 Intune 或 Microsoft 365) 中建立群組時,群組會在 Azure AD 中建立。 您看不到 Azure AD 商標,但這就是您所使用的項目。

  • 如果您有多個裝置管理解決方案,則切換至單一行動裝置管理解決方案。 我們建議使用 Intune 來協助保護應用程式和裝置上的組織資料。

工作 5:建立推出計劃

下一個工作是規劃您的使用者和裝置接收原則的方式和時間。 在這項工作中,也請考量:

  • 定義您的目標和成功計量。 使用這些資料點來建立其他推出階段。 確定目的具有 SMART (Specific - 特定、Measurable - 可測量、Attainable - 可達成、Realistic - 實際可行和 Timely - 及時) 特性。 針對每個階段進行測量計劃,讓您的推出專案保持在正軌。
  • 具有明確定義的目標 (Goal) 和目標 (Objective)。 將這些目標納入所有認知和訓練活動,讓使用者了解組織選擇 Intune 的原因。

工作:建立計劃以推出您的原則,並選擇使用者在 Intune 中註冊其裝置的方式。 有一些考量:

  • 分階段推出您的原則。 例如:

    • 從試驗或測試群組開始。 這些群組應該知道他們是第一批使用者,而且願意提供意見反應。 使用此意見反應來改善組態、文件、通知,並且讓使用者在未來推出的項目中更容易使用。 這些使用者不應該是主管或 VIP。

      初始測試之後,將更多使用者新增到試驗群組。 或者,建立更多的試驗群組,著重於不同的推出,例如:

      • 部門:每個部門都可以是推出階段的目標。 您一次將整個部門當成目標。 在此推出中,每個部門的使用者都應以相同方式使用其裝置,並存取相同的應用程式。 使用者可能會有相同類型的原則。

      • 地理位置:針對特定地理位置中的所有使用者部署您的原則,不論是在同一洲、國家/地區還是相同組織大樓。 此推出可讓您專注於特定位置的使用者。 您可以針對預先佈建部署方法提供 Windows Autopilot,因為同時部署 Intune 的位置數目較少。 有可能在相同位置中有不同部門或不同使用案例。 因此,您可以同時測試不同的使用案例。

      • 平台:此推出會同時部署類似的平台。 例如,在 2 月將原則部署至所有 iOS/iPadOS 裝置、在 3 月部署至所有 Android 裝置,在 4 月部署至所有 Windows 裝置。 這種方法可能會簡化技術支援中心支援,因為一次只支援一個平台。

      使用分階段的方法,您可以取得來自各種不同範圍使用者類型的意見反應。

    • 成功完成試驗之後,您就可以開始進行完整的生產推出。 下列範例是 Intune 推出計劃,包括目標群組和時間表:

    推出階段 7 月 8 月 9 月 10 月
    有限試驗 IT (50 位使用者)
    擴充試驗 IT (200 位使用者)、IT 主管 (10 位使用者)
    生產推出階段 1 銷售和行銷 (2000 位使用者)
    生產推出階段 2 零售 (1000 位使用者)
    生產推出階段 3 人力資源 (50 位使用者)、財務 (40 位使用者)、主管 (30 位使用者)

    您也可以在 Intune 部署規劃、設計和實作 - 資料表範本下載此範本。

  • 選擇使用者要如何註冊其個人和組織擁有的裝置。 您可以使用的不同註冊方法,包括:

    • 使用者自助:使用者會依照其 IT 組織所提供的步驟來註冊自己的裝置。 這個方法是最常用的方法,而且比協助使用者註冊的方法更加靈活。
    • 協助使用者註冊:IT 成員使用此預先佈建的部署方法,親自或使用 Teams 來協助使用者完成註冊程序。 這種方法多用於主管級員工及其他可能需要更多協助的群組。
    • IT 技術諮詢展:在此活動中,IT 小組會搭設 Intune 註冊協助攤位。 使用者會收到有關 Intune 註冊的資訊、提出問題,並取得註冊其裝置的協助。 這個選項對 IT 成員和使用者都能帶來好處,尤其是在 Intune 推出的初期階段。

    下列範例包含註冊方法:

    推出階段 7 月 8 月 9 月 10 月
    有限試驗
    自助服務 IT
    擴充試驗
    自助服務 IT
    預先佈建 IT 主管
    生產推出階段 1 行銷、銷售
    自助服務 銷售與行銷
    生產推出階段 2 Retail
    自助服務 Retail
    生產推出階段 3 主管、人力資源、財務
    自助服務 人力資源、財務
    預先佈建 主管

工作 6:通訊變更

變更管理依頼對即將推出變更的明確且有助益的通訊。 其概念是要讓您的 Intune 部署順暢,確保使用者知道變更和任何中斷。

工作:您的推出通訊計劃應該包含重要資訊、如何通知使用者,以及通訊的時機。 有一些考量:

  • 判斷要通訊的資訊。 從 Intune 推出啟動、註冊前,然後到註冊後,分階段與您的群組和使用者進行通訊:

    • 啟動階段:引入 Intune 專案的廣泛通訊。 應該回答重要的問題,例如:

      • 什麼是 Intune?
      • 為什麼組織使用 Intune,包括對組織和使用者的好處
      • 提供部署和推出的高階計劃。
      • 如果「除非」已註冊裝置否則不允許個人裝置,請說明您做出這個決策的原因。
    • 註冊前階段:廣泛通訊,其中包括 Intune 和其他服務 (例如 Office、Outlook 和 OneDrive)、使用者資源,以及使用者和群組接收 Intune 時的特定時間表等相關資訊。

    • 註冊階段:通訊是以排定接收 Intune 的組織使用者和群組為目標。 通訊應該通知使用者他們已準備好接收 Intune,包括註冊步驟,以及需要協助和有問題時要與誰連絡。

    • 註冊後階段:通訊是以已在 Intune 中註冊的組織使用者和群組為目標。 通訊應該提供有助於使用者的額外資源,並收集其在註冊期間及註冊後的體驗意見反應。

    Intune 採用套件可能有幫助。 依原樣使用,或為您的組織進行變更。

  • 選擇如何將 Intune 推出資訊傳達給您的目標群組和使用者。 例如:

    • 建立全組織親自參與的會議,或使用 Microsoft Teams。

    • 建立註冊前的電子郵件、註冊的電子郵件,以及註冊後的電子郵件。 例如:

      • 電子郵件 1:說明優點、期望和排程。 藉由這個機會展示將在 Intune 管理的裝置上提供的任何其他服務。
      • 電子郵件 2:宣告服務現在已可透過 Intune 存取。 告知使用者立即註冊。 提供使用者在其存取權受到影響之前的時間軸。 提醒使用者移轉的優點和策略原因。
    • 使用組織網站來說明推出階段、使用者可以預期的內容,以及需要協助時要連絡的人員。

    • 建立海報、使用組織社交媒體平台 (例如 Yammer),或散發傳單來公告註冊前階段。

  • 建立包含時機和人員的時間表。 第一個 Intune 啟動通訊可以整個組織為目標,或只以子集為目標。 在 Intune 推出開始之前,通訊可能會在數週內進行。 之後,即可依據 Intune 推出排程,進行使用者和群組的階段性通訊。

    以下範例是高階 Intune 推出通訊計劃:

    通訊計畫 7 月 8 月 9 月 10 月
    階段 1 全部
    啟動會議 第一週
    階段 2 IT 銷售與行銷 零售 人力資源、財務和主管
    推出前電子郵件 1 第一週 第一週 第一週 第一週
    階段 3 IT 銷售與行銷 零售 人力資源、財務和主管
    推出前電子郵件 2 第二週 第二週 第二週 第二週
    第 4 階段 IT 銷售與行銷 零售 人力資源、財務和主管
    註冊電子郵件 第三週 第三週 第三週 第三週
    第 5 階段 IT 銷售與行銷 零售 人力資源、財務和主管
    註冊後電子郵件 第四週 第四週 第四週 第四週

工作 7:支援技術支援中心和終端使用者

在 Intune 部署規劃和試驗的初期階段,納入 IT 支援和技術支援中心。 早期介入會向 Intune 公開您的支援人員,並獲得更有效率地識別和解決問題的知識和經驗。 也會讓他們準備好,以支援組織的完整生產推出。 知識淵博的技術支援中心和支援小組也會協助使用者採用這些變更。

工作:併入支援訓練。 透過部署計劃中的成功計量驗證使用者體驗。 有一些考量:

  • 判斷哪些人會支援終端使用者。 組織可能有不同的階層或層級 (1-3)。 例如,第 1 層和第 2 層可能屬於支援小組。 第 3 層包含負責 Intune 部署的 MDM 小組成員。

    第 1 層通常是第一個支援層級,以及第一個連絡的層級。 如果第 1 層無法解決問題,則會向第 2 層呈報。 第 2 層會提報給第 3 層。 Microsoft 支援可視為第 4 層。

    • 在初始推出階段中,請確定您支援小組中的所有階層都記載問題和解決方法。 尋找模式,並調整您的通訊以進行下一個推出階段。 例如:
      • 如果不同使用者和群組對於註冊其個人裝置有所遲疑,請考量使用 Teams 通話來回答常見問題。
      • 如果使用者在註冊組織擁有的裝置時遇到相同問題,則請舉辦一個親自參與的活動,以協助使用者註冊裝置。
  • 建立技術支援中心工作流程,並持續將支援問題、趨勢和其他重要資訊傳達給支援小組的所有層級。 例如,召開每日或每週 Teams 會議,讓所有層級都知道趨勢、模式,而且可以取得協助。

    下列範例顯示 Contoso 如何實行其 IT 支援或技術支援中心工作流程:

    1. 終端使用者針對註冊問題連絡第 1 層 IT 支援或技術服務人員。
    2. 第 1 層 IT 支援或技術支援中心無法判斷根本原因,並呈報給第 2 層。
    3. 第 2 層 IT 支援或技術支援中心進行調查。 第 2 層也無法解決問題並提報至第 3 層,提供其他資訊來協助解決問題。
    4. 第 3 層 IT 支援或技術支援中心會進一步調查,判斷根本原因,並與第 2 層和第 1 層人員溝通解決方法。
    5. 接著,第 1 層 IT 支援/技術支援中心會連絡使用者並解決問題。

    這個方法可以帶來許多優點 (尤其在 Intune 推出初期階段時),包括:

    • 協助技術學習。
    • 快速識別問題及解決方法。
    • 提升整體使用者體驗。
  • 訓練技術支援中心和支援小組。 讓他們註冊裝置,這些裝置執行在您的組織中所使用的不同平台 (Android、iOS/iPadOS、macOS、Windows),以熟悉此程序。 請考量使用技術支援中心和支援小組作為您案例的試驗小組。

    有一些訓練資源可供使用,包括 YouTube 影片註冊的 Microsoft 教學課程、合規性設定,以及訓練合作夥伴的課程。

    下列範例是 Intune 支援訓練議程:

    • Intune 支援計劃檢閱
    • Intune 概觀
    • 針對常見問題進行疑難排解
    • 工具和資源
    • 問答集

教育您的終端使用者文件、以社群為基礎的 Intune 論壇,以及終端使用者文件也是絕佳的資源。

後續步驟

建立您的應用程式和裝置原則,並且註冊您的裝置

請參閱 Intune 採用套件