移至雲端原生端點的高階規劃指南

提示

閱讀雲端原生端點時，您會看到下列詞彙：

• 端點：端點是裝置，例如行動電話、平板電腦、膝上型電腦或桌面電腦。 「端點」和「裝置」會交替使用。
• 受控端點：使用 MDM 解決方案或 群組原則 對象從組織接收原則的端點。 這些裝置通常是組織所擁有的裝置，但也可以是 BYOD 或個人擁有的裝置。
• 雲端原生端點：已加入 Azure AD 的端點。 它們未加入內部部署AD。
• 工作負載：任何程序、服務或程式。

此高階規劃指南包含您在採用和移轉至雲端原生端點時需要考慮的想法和建議。 其討論如何管理裝置、檢閱 & 轉換現有的工作負載、進行組織變更、使用 Windows Autopilot 等等。

本功能適用於：

• Windows 雲端原生端點

將 Windows 端點移至雲端原生有許多優點，包括長期優點。 這不是一夜的程式，必須規劃以避免問題、中斷和負面的用戶影響。

如需組織和使用者權益的詳細資訊，請移至 什麼是雲端原生端點。

若要成功，請考慮本文中針對您的規劃和部署所述的重要領域。 透過適當的規劃、通訊和程式更新，您的組織可以是雲端原生。

使用雲端原生 MDM 提供者管理裝置

管理您的端點，包括雲端原生端點，是所有組織的重要工作。 使用雲端原生端點時，您所使用的管理工具必須隨時隨地管理端點。

如果您目前未使用行動裝置管理 (MDM) 解決方案，或想要移至 Microsoft 解決方案，則下列文章是不錯的資源：

• 什麼是 Microsoft Intune？
• 開始使用 Microsoft Intune

透過 Microsoft Intune 系列的產品和服務，您有下列端點管理選項：

• Microsoft Intune：Intune 是100%雲端式，並使用 Intune系統管理中心來管理裝置、管理裝置上的應用程式、建立 & 部署原則、檢閱報告數據等等。

  如需使用 Intune 來管理端點的詳細資訊，請移至：

  • Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置
  • 部署指南：設定或移至 Microsoft Intune
  • Microsoft Intune 規劃指南

• Microsoft Configuration Manager：Configuration Manager 使用內部部署基礎結構，而且可以管理伺服器。 當您使用共同管理時，有些工作負載會使用 Configuration Manager (內部部署) ，而某些工作負載會使用 Microsoft Intune (雲端) 。

  針對雲端原生端點，您的 Configuration Manager 解決方案應該使用雲端管理網關 (CMG) 和共同管理。

檢閱您的端點和使用者工作負載

概括而言，部署雲端原生端點需要身分識別、軟體發佈、裝置管理、OS 更新及管理用戶數據 & 設定的新式策略。 Microsoft 有解決方案可為您的雲端原生端點支援這些區域。

若要開始，請檢閱每個工作負載，並判斷其如何支援雲端原生端點。 某些工作負載可能已支援雲端原生端點。 原生支持取決於特定工作負載、貴組織如何實作工作負載服務，以及您的使用者如何使用服務。

若要判斷您的工作負載是否支援雲端原生端點，您需要調查和驗證這些服務。

如果服務或解決方案不支援雲端原生端點，請判斷其對使用者和組織的影響和重要性。 當您擁有此資訊時，可以決定後續步驟，其中可能包括：

• 與服務廠商合作
• 更新為新版本
• 使用新的服務
• 實作因應措施，以從雲端原生端點存取和使用該服務
• 驗證服務需求
• 接受服務不是雲端原生易記服務，這對您的使用者和組織而言可能是可接受的。

無論哪種方式，您都應該規劃更新工作負載，以支援雲端原生端點。

您的工作負載應該具有下列特性：

• 從使用者所在的任何地方安全地存取應用程式和數據。 存取不需要連線到公司或內部網路。
• 裝載於雲端服務、裝載者或透過雲端服務裝載。
• 不需要或相依於特定裝置。

常見的工作負載和解決方案

雲端原生端點也包含支援端點的服務和工作負載。

下列工作負載是用於啟用用戶生產力和端點管理的組態、工具、程式和服務。

您確切的工作負載、詳細數據，以及如何更新雲端原生端點的工作負載可能不同。 此外，您不需要轉換每個工作負載。 但是，您必須考慮每個工作負載、其對用戶生產力的影響，以及裝置管理能力。 將某些工作負載轉換成使用雲端原生端點可能需要比其他工作負載更長的時間。 工作負載也可能彼此相互相依。

• 裝置身分識別

  裝置的身分識別取決於身分識別提供者 (具備裝置知識的IdP) ，以及對裝置的安全性信任。 針對 Windows 端點，最常見的 IdP 是 內部部署的 Active Directory (AD) 和 Microsoft Entra ID。 具有來自其中一個IdP之身分識別的端點通常會聯結至其中一個，或加入兩者。

  • 針對雲端原生端點，Microsoft Entra 聯結是裝置身分識別的最佳選擇。 它不需要對內部部署網路、資源或服務進行任何連線。
  • 內部部署 AD 加入和混合式 Microsoft Entra 聯結需要連線到內部部署域控制器。 他們需要連線以進行初始使用者登入、傳遞組策略，以及變更密碼。 這些選項不適用於雲端原生端點。

  注意事項

  Microsoft Entra 註冊有時稱為「加入工作場所」，僅適用於將您自己的裝置 (BYOD) 案例。 它不應該用於組織擁有的 Windows 端點。 某些功能可能不受支援，或在已註冊 Microsoft Entra Windows 端點上如預期般運作。

• 布建您的端點

  針對新部署 Microsoft Entra 聯結端點，請使用 Windows Autopilot 預先設定裝置。 加入 Microsoft Entra 通常是用戶驅動的工作，而 Windows Autopilot 是以用戶為考慮而設計。 Windows Autopilot 可讓您從因特網上的任何位置以及任何使用者使用雲端進行布建。

  如需詳細資訊，請移至：

  • Windows Autopilot 概觀
  • Windows Autopilot 案例和功能

• 部署軟體和應用程式

  大部分的使用者都需要並使用未包含在核心操作系統中的軟體和應用程式。 在許多情況下，IT 不知道或不瞭解特定的應用程式需求。 不過，傳遞和管理這些應用程式仍然是IT小組的責任。 用戶應該能夠要求並安裝執行其工作所需的應用程式，無論他們使用的端點為何，或從何處使用應用程式。

  • 若要部署軟體和應用程式，請使用雲端式系統，例如 Intune 或 Configuration Manager (CMG 和共同管理) 。

  • Create 端點必須擁有的應用程式基準，例如 Microsoft Outlook 和 Teams。 針對其他應用程式，讓使用者安裝自己的應用程式。

    在您的端點上，您可以使用 公司入口網站 應用程式作為應用程式存放庫。 或者，使用使用者面向的入口網站，列出可安裝的應用程式。 此自助選項可減少新裝置和現有裝置的布建時間。 它也可降低 IT 的負擔，而且您不需要部署使用者不需要的應用程式。

  如需詳細資訊，請移至：

  • 使用 Windows 10/11 應用程式部署 Microsoft Intune
  • Configuration Manager中的應用程式管理簡介
  • Windows 11 中的私人應用程式存放庫

• 使用原則設定裝置設定

  原則和安全性管理是端點管理的核心。 端點原則可讓您的組織在受控端點上強制執行特定的安全性基準和標準設定。 您可以在端點上管理和控制許多設定。 請務必 建立原則，只設定基準中所需的專案。 請勿 建立可控制一般用戶喜好設定的原則。

  • 雲端原生端點無法使用組策略強制執行傳統原則。 相反地，您可以使用 Intune 來建立原則來設定許多設定，包括設定目錄和系統管理範本等內建功能。

    Intune 中的 群組原則 分析可以分析您的內部部署 GPO、查看雲端中是否支援這些相同的設定，以及使用這些設定建立原則。

  • 如果您有發行憑證、管理 BitLocker 及提供端點保護的現有原則，則需要使用 CMG 和共同管理) ，在 Intune 或 Configuration Manager (中建立新的原則。

    如需詳細資訊，請移至：

    • 在 Microsoft Intune 中使用憑證進行驗證
    • Intune 中端點安全性的磁碟加密原則
    • 在 Intune 中新增 Endpoint Protection 設定
    • Configuration Manager 中的憑證
    • Configuration Manager 中的 BitLocker 管理
    • Configuration Manager 中的 Endpoint Protection

• 部署安全性、功能和應用程式更新

  許多內部部署解決方案無法將更新部署至雲端原生端點或有效率地部署更新。 從安全性的觀點來看，此工作負載可能是最重要的工作負載。 這應該是您轉換為支援雲端原生 Windows 端點的第一個工作負載。

  • 使用雲端式系統部署 Windows 更新，例如 Windows Update 商務用。 透過 CMG 和共同管理) 使用 Intune 或 Configuration Manager (，您可以使用商務用 Windows Update 來部署安全性更新和功能更新。

    如需詳細資訊，請移至：

    • 在 Intune 中管理 Windows 10 和 Windows 11 軟體更新
    • 整合 Configure Manager 與 Windows Update for Business
    • 選擇如何管理 Microsoft 365 Apps 的更新

  • 使用下列選項部署 Microsoft 365 應用程式更新：

    • Intune：Create 設定更新通道、移除其他應用程式版本等的原則。
    • Configuration Manager 使用 CMG 和共同管理) (：管理您的應用程式，包括更新統計數據、複製、淘汰等等。

    如需詳細資訊，請移至：

    • 使用 Microsoft Intune 將 Microsoft 365 應用程式新增至 Windows 10/11 裝置
    • Configuration Manager 應用程式的管理工作

• 管理用戶數據和設定

  使用者資料報含下列專案：

  • 使用者文件
  • 郵件應用程式設定
  • 網頁瀏覽器我的最愛
  • 企業營運 (LOB) 應用程式特定數據
  • 企業營運 (LOB) 應用程式特定組態設定

  用戶必須從任何端點建立和存取其數據。 此數據也必須受到保護，而且可能需要與其他用戶共用。

  • 將用戶數據和設定儲存在雲端記憶體提供者中，例如 Microsoft OneDrive。 雲端記憶體提供者可以處理數據同步處理、共用、離線存取、衝突解決等等。

    如需詳細資訊，請移至 適用於企業的 OneDrive 指南。

  重要事項

  某些用戶設定，例如OS喜好設定或應用程式特定設定，會儲存在登錄中。 從任何地方存取這些設定可能並不實際，而且可能禁止與不同的端點同步處理。

  您可以匯出這些設定，然後再匯入另一個裝置。 例如，您可以從 Outlook、Word 和其他 Office 應用程式匯出使用者設定。

• 存取內部部署的資料

  某些組織無法將某些工作負載轉換成雲端原生解決方案。 唯一的選項可能是從雲端原生端點存取現有的內部部署資源或服務。 在這些案例中，使用者需要存取權。

  針對這些內部部署服務、資源和應用程式，請考慮下列工作：

  • 驗證和授權：若要從雲端原生端點存取內部部署資源，用戶必須驗證並確認其身分。 如需更具體的資訊，請移至使用 雲端原生端點進行內部部署資源的驗證和存取。

  • 線上能力：檢閱和評估應用程式 & 僅存在於內部部署的資源。 這些資源的連線能力和存取權應可在內部部署環境中使用，且不需要任何直接連線，例如 VPN。 這項工作可能包括使用 Microsoft Entra 應用程式 Proxy、Azure 虛擬桌面、Windows 365、SharePoint、OneDrive 或 Microsoft Teams 移至應用程式的 SaaS 版本。

  注意事項

  Microsoft Entra 不支援 Kerberos 驗證通訊協定。 內部部署 AD 支援 Kerberos 驗證通訊協定。 在您的規劃中，您可以深入瞭解 kerberos Microsoft Entra。 設定後，使用者會使用其 Microsoft Entra 帳戶登入雲端原生端點，並可存取使用 Kerberos 驗證的內部部署應用程式或服務。

  Microsoft Entra Kerberos：

  • 不適用於雲端原生解決方案。
  • 無法解決需要透過 Microsoft Entra 進行驗證之資源的任何連線問題。
  • 這不是透過 Microsoft Entra 解決任何網域驗證需求的答案或因應措施。
  • 無法解決已知 問題和重要資訊中所列的機器驗證挑戰。

  如需 Microsoft Entra Kerberos 及其可解決案例的更深入瞭解，請移至下列部落格：

  • 為什麼我們建置 Microsoft Entra Kerberos (會開啟外部網站)
  • 深入探討：Microsoft Entra Kerberos 如何運作 (開啟另一個 Microsoft 網站)
  • Microsoft Entra Kerberos 如何 (syfuhs.net) (開啟外部網站)

分階段轉換工作負載

將工作負載現代化並採用雲端原生端點，需要變更作業程序和程式。 例如：

• 系統管理員必須瞭解現有工作負載的變更如何變更其程式。
• 服務台必須了解他們將支援的新案例。

檢閱您的端點和工作負載時，請將轉換細分為階段。 本節提供貴組織可使用之一些建議階段的概觀。 這些階段可以視需要重複多次。

✅ 階段 1：取得工作負載的相關信息

此階段是資訊收集階段。 它可協助您建立組織轉換為雲端原生所需考慮的範圍。 這牽涉到確切定義與您環境中每個工作負載相關的服務、產品和應用程式。

在此階段中：

1. 清查您目前的工作負載資訊和詳細數據。 例如，瞭解其目前狀態、提供的內容、提供者、維護人員、對雲端原生而言很重要，以及其裝載方式。

   當您擁有這項資訊時，可以瞭解並定義最終目標，這應該是：

   • 支援雲端原生端點
   • 瞭解每個工作負載所使用的服務、產品和應用程式

   您必須與不同服務、產品和應用程式的擁有者協調。 您想要確保雲端原生端點支援用戶生產力，而不需要連線或位置限制。

   常見服務和應用程式的範例包括企業營運 (LOB) 應用程式、內部網站、檔案共用、驗證需求、應用程式和 OS 更新機制，以及應用程式組態。 基本上，它們包含使用者完全執行其工作所需的任何專案和所有專案。

2. 確認每個工作負載的結束狀態。 識別防止到達此端狀態或防止支援雲端原生端點的已知封鎖程式。

   某些工作負載及其服務 & 應用程式可能已經方便雲端使用或啟用。 有些可能不行。 若要取得每個工作負載的結束狀態，可能需要組織投資 & 工作。 其中可能包括更新軟體、將軟體「解除並轉移」至新平臺、移轉至新的解決方案，或進行組態變更。

   每個組織對於每個工作負載所需的步驟都不同。 它們取決於服務或應用程式如何由用戶裝載和存取。 此端狀態應該解決讓使用者在雲端原生端點上工作的主要挑戰，不論內部網路的位置或連線能力為何。

   根據每個定義的結束狀態，您可能會發現或定義雲端啟用服務或應用程式的困難或封鎖。 這種情況可能會因為不同的原因而發生，包括技術或財務限制。 這些限制必須清楚並加以瞭解。 您必須檢閱其影響，並判斷如何將每個工作負載移至雲端原生易記。

✅ 階段 2：排定任何封鎖程式的優先順序

在您識別出關鍵工作負載及其結束狀態封鎖程序之後，接著：

1. 排定每個封鎖程式的優先順序，並評估每個封鎖程序的解決方式。

   您可能不想要或不需要處理所有封鎖程式。 例如，您的組織可能有不支援雲端原生端點的工作負載或部分工作負載。 這種缺乏支援對您的組織或用戶來說可能不重要。 您和您的組織可以進行這項決策。

2. 若要支援POC) (測試和概念證明，請從最小一組工作負載開始。 目標是測試和驗證工作負載的範例。

   作為POC的一部分，請在試驗中識別一組使用者和裝置，以執行真實世界的生產案例。 此步驟有助於證明結束狀態是否能提高用戶生產力。

   在許多組織中，有一個更容易移轉的角色或商務群組。 例如，您可以在 POC 中以下列案例為目標：

   • 高行動銷售小組的主要需求是生產力工具和在線客戶關係管理解決方案
   • 主要存取已在雲端中且高度依賴 Microsoft 365 應用程式之內容的知識工作者
   • 高度行動的一線工作者裝置，或是在無法存取組織網路的環境中

   針對這些群組，請檢閱其工作負載。 判斷這些工作負載如何移至新式管理，包括身分識別、軟體發佈、裝置管理等等。

   針對試驗中的每個區域，專案或工作的數目應該很低。 此初始試驗可協助您建立更多群組所需的程序和程式。 它也有助於建立您的長期策略。

   如需更多指引和秘訣，請移至 Microsoft Intune 規劃指南。 它適用於 Intune，但也包含使用試驗群組和建立推出計劃時的一些指引。

✅ 階段 3：轉換工作負載

在此階段中，您已準備好實作變更。

1. 將解除封鎖的工作負載移至您規劃的雲端原生解決方案或結束狀態。 在理想情況下，此步驟會分成較小的工作專案。 目標是在最少中斷的情況下繼續執行商務作業。

2. 在第一組工作負載支援雲端原生端點之後，請識別更多工作負載，然後繼續此程式。

✅ 階段 4：準備您的使用者

使用者在其裝置上接收、部署及支援時，有不同的體驗。 系統管理員應該：

• 檢閱現有的程序和檔，以識別使用者可以看到變更的位置。
• 更新檔。
• Create 教育策略來分享用戶將經歷的變更和優點。

分階段轉換您的組織

下列階段是組織移動其環境以支援雲端原生 Windows 端點的高階方法。 這些階段與轉換端點和使用者工作負載平行。 它們可能取決於部分或完全轉換的特定工作負載，以支援雲端原生 Windows 端點。

✅ 階段 1：定義端點、相依性和里程碑

此階段是組織移轉為完全雲端原生的第一個步驟。 檢閱您目前擁有的內容、定義成功準則，以及開始規劃如何將裝置新增至 Microsoft Entra。

1. 定義需要雲端身分識別的端點

   • 使用因特網存取的端點需要雲端身分識別。 您會將這些端點新增至 Microsoft Entra。
   • 不使用因特網或僅用於內部部署的端點不應具有雲端身分識別。 請勿將這些案例移轉為雲端原生。

2. 定義相依性

   工作負載、用戶和裝置具有技術和非技術相依性。 若要對使用者和組織的影響降到最低，您必須考慮這些相依性。

   例如，相依性可以是：

   • 商務程式和持續性
   • 安全性標準
   • 當地法律和法規
   • 使用者對工作負載的知識和使用
   • 資本、營運成本和預算

   針對每個工作負載，詢問「如果我們變更此工作負載所提供之服務的任何相關信息，會有什麼影響？」。 您必須考慮這項變更的影響。

3. 定義每個工作負載的里程碑和成功準則

   每個工作負載都有自己的里程碑和成功準則。 它們可以根據組織對工作負載的使用，以及其對特定端點和用戶的適用性。

   若要瞭解並定義轉換的進度，請追蹤和監視這項資訊。

4. 規劃 Windows Autopilot 部署

   • 決定裝置向組織註冊的方式和時機。
   • 判斷並建立必要的群組標籤，以以您的 Windows Autopilot 原則為目標。
   • Create 您的 Windows Autopilot 配置檔及其組態設定，並將目標設為將接收配置檔的裝置。

   如需詳細資訊，請移至：

   • Windows Autopilot 概觀
   • Windows Autopilot 案例和功能

✅ 階段 2：啟用端點雲端混合式身分識別 (選擇性)

若要成為完全雲端原生，Microsoft 建議將現有的 Windows 端點重設為硬體重新整理週期的一部分。 當您重設時，端點會還原回原廠設定。 系統會刪除裝置上的所有應用程式、設定和個人資料。

如果您尚未準備好重設端點，則可以啟用混合式 Microsoft Entra 聯結。 系統會針對混合式 Microsoft Entra 聯結端點建立雲端身分識別。 請記住，混合式 Microsoft Entra 聯結仍然需要內部部署連線能力。

請記住，混合式 Microsoft Entra 聯結是雲端原生轉型的步驟，並不是最終目標。 最終目標是讓所有現有的端點都是完全雲端原生。

當端點完全是雲端原生時，用戶數據會儲存在雲端記憶體提供者中，例如 OneDrive。 因此，當端點重設時，使用者應用程式、組態和數據仍可存取，而且可以復寫到新布建的端點。

如需詳細資訊，請移至：

• 已加入 Microsoft Entra 與混合式 Microsoft Entra 聯結
• 設定混合式 Microsoft Entra 聯結

注意事項

Microsoft 沒有移轉公用程式可將現有端點從已加入內部部署網域或已加入混合式 Microsoft Entra 轉換為已加入 Microsoft Entra。 Microsoft 建議在硬體重新整理過程中重設和重新部署這些裝置。

✅階段 3：雲端連結 Configuration Manager (選擇性)

如果您使用 Configuration Manager，則雲端會將您的環境連結至 Microsoft Intune。 如果您未使用 Configuration Manager，請略過此步驟。

當您進行雲端連結時，您可以從遠端管理用戶端端點、使用 Intune (雲端) 共同管理端點，以及 Configuration Manager (內部部署) ，以及存取 Intune 系統管理中心。

如需更具體的資訊，請移至雲端連結您的 Configuration Manager 環境，並逐步解說 Microsoft Intune 系統管理中心。

✅階段 4：Create Microsoft Entra 聯結的概念證明

這個關鍵階段可以隨時開始。 它有助於識別潛在問題、未知問題，並驗證這些問題的整體功能和解決方式。 如同所有POC，目標是要證明和驗證實際企業環境中的功能，而不是實驗室環境。

此階段的重要步驟包括：

1. 使用 Intune 實作最小基準設定

   此步驟非常重要。 您不想在網路或生產環境中引進端點：

   • 請勿遵循貴組織的安全性標準
   • 未設定讓使用者執行其工作。

   此最小設定不會且不應該套用所有可能的設定。 請記住，其目的是要探索使用者成功所需的更多設定。

2. 為已加入 Microsoft Entra 端點設定 Windows Autopilot

   使用 Windows Autopilot 來布建新的端點，並重新布建現有的端點，是將 Microsoft Entra 加入的系統引進組織的最快方式。 這是 POC 的重要部分。

3. 部署已加入 Microsoft Entra 系統的POC

   • 混合使用代表不同設定和使用者的端點。 您想要盡可能地驗證這個新的系統狀態。

   • 只有實際實際生產用戶實際使用會完全驗證工作負載及其功能。 透過自然的日常 POC Microsoft Entra 端點使用，使用者會以組織方式測試和驗證您的工作負載。

   • Create 業務關鍵功能和案例的檢查清單，並將這些清單提供給POC使用者。 檢查清單是每個組織特有的，而且可能會隨著工作負載轉換為雲端原生易記工作負載而變更。

4. 驗證功能

   驗證是一個重複的程式。 這是以您組織內的工作負載及其設定為基礎。

   • 收集用戶對於POC端點、工作負載及其功能的意見反應。 此意見反應應來自使用雲端原生端點的使用者。

     可能會探索其他封鎖程式，以及先前未知或未帳戶的工作負載/案例。

   • 使用先前為每個工作負載建立的里程碑和成功準則。 它們可協助判斷POC進度和範圍。

✅階段 5：Microsoft Entra 加入現有的 Windows 端點

此階段會將新的 Windows 端點布建轉換為已加入 Microsoft Entra。 解決所有封鎖程式和問題之後，您就可以將現有的裝置移至完全雲端原生。 您有下列選項：

• 選項 1：取代您的裝置。 如果裝置是生命周期結束或不支援新式安全性，則取代裝置是最佳選擇。 新式裝置支援全新且增強的安全性功能，包括信賴平臺模組 (TPM) 技術。

• 選項 2：重設 Windows 裝置。 如果您現有的裝置支援較新的安全性功能，您可以重設裝置。 在 OOBE) (現成體驗期間，或當使用者登入時，他們可以將裝置加入 Microsoft Entra。

  重設現有的 Windows 端點之前，請務必：

  1. 刪除 Intune中的裝置。
  2. 刪除 Windows Autopilot 裝置註冊。
  3. 刪除現有的 Microsoft Entra 裝置物件。

  然後重設裝置，然後重新布建端點。

當裝置就緒時，請使用最適合您組織的選項，加入這些裝置以 Microsoft Entra。 如需更具體的資訊，請移至 Microsoft Entra 加入的裝置和如何：規劃您的 Microsoft Entra 加入實作。

從 群組原則物件移 (GPO)

許多組織會使用 GPO 來設定和管理其 Windows 端點。

經過一段時間后，由於缺少文件、原則的用途或需求不明確、使用舊版或非功能性原則，以及使用複雜功能，所以會變得複雜。 例如，可能有包含 WMI 篩選、具有複雜 OU 結構，以及使用繼承封鎖、回送或安全性篩選的原則。

使用 Intune 管理設定

Microsoft Intune 有許多內建設定，可以設定並部署到雲端原生端點。 移至 Intune 進行原則管理時，您有一些選項。

這些選項不一定互斥。 您可以移轉原則子集，並為其他人啟動新的 。

• 選項 1：啟動建議的新 () ：Intune 有許多設定可用來設定和管理端點。 您可以建立原則、在原則中新增和設定設定，然後部署原則。

  許多現有的組策略都包含可能不適用於雲端原生端點的原則。 全新開始可讓組織驗證並簡化其現有的強制執行原則，同時消除舊版、忘記或甚至有害的原則。 Intune 內建範本會將一般設定群組在一起，例如 VPN、Wi-Fi、端點保護等等。

• 選項 2：移轉：此選項牽涉到解除現有的原則，並將其移轉至 Intune 原則引擎。 這可能會很麻煩且耗時。 例如，您可能有許多現有的組策略，而且內部部署與雲端中的設定會有所差異。

  如果您選擇此選項，您必須檢閱並分析現有的組策略，並判斷雲端原生端點上是否仍然需要或有效。 您想要排除不必要的原則，包括可能會造成額外負荷或降低系統效能或使用者體驗的原則。 在您知道組策略的用途之前，請勿將組策略移至 Intune。

Intune 您應該知道的功能

Intune 也有內建功能，可協助您設定雲端原生端點：

• 群組原則 分析：您可以在 Microsoft Intune 系統管理中心匯入 GPO，並針對原則執行分析。 您可以查看 Intune 中存在的原則，並查看已淘汰的原則。

  如果您使用 GPO，則使用此工具是重要的第一個步驟。

  如需詳細資訊，請移至 Intune 中的 群組原則 分析。

• 設定目錄：查看 Intune 中所有可用的設定，並使用這些設定來建立、設定 & 部署原則。 您可以在 Intune 中使用 [設定目錄] 來完成的工作也可能是不錯的資源。 如果您建立 GPO，則設定目錄會自然轉換為雲端原生端點組態。

  與 群組原則 分析結合時，您可以將內部部署使用的原則部署到雲端原生端點。

  如需詳細資訊，請移至 Intune 中的 [設定] 目錄。

• 系統管理範本：這些範本類似於內部部署使用的 ADMX 範本，且內建於 Intune。 您不會下載它們。 這些範本包含許多設定，可控制 Microsoft Edge、Internet Explorer、Microsoft Office 應用程式、遠端桌面、OneDrive、密碼、PIN 等功能。

  如果您在內部部署使用系統管理範本，則在 Intune 中使用它們是自然的轉換。

  如需詳細資訊，請移至 Intune 中的系統管理範本。

  您也可以內嵌一組適用於 Win32 和 傳統型橋接器 應用程式的現有 ADMX 原則。 如需詳細資訊，請移至：

  • 瞭解 ADMX 原則 - Windows 用戶端管理
  • 在 MDM 中啟用 ADMX 原則 - Windows 用戶端管理
  • Win32 和 傳統型橋接器 應用程式 ADMX 原則擷取 - Windows 用戶端管理

  注意事項

  從 Windows 10 1703 版開始，已擴充行動 裝置管理 (MDM) 原則設定支援，以允許使用原則設定服務提供者 (CSP ) 存取選取的 群組原則 系統管理範本集 (適用於 Windows 計算機的 ADMX 原則) 。 在原則 CSP 中設定 ADMX 原則不同於您設定傳統 MDM 原則的一般方式。

• 安全性基準：安全性基準是一組預先設定的 Windows 設定。 它們可協助您套用並強制執行安全性小組所建議的細微安全性設定。 當您建立安全性基準時，您也可以自定義每個基準，只強制執行您想要的設定。

  您可以建立 Windows、Microsoft Edge 等的安全性基準。 如果您不確定要從何處開始，或想要安全性專家建議的安全性設定，請查看安全性基準。

  如需詳細資訊，請移至 Intune 中的安全性基準。

使用 Windows Autopilot 布建新的或現有的 Windows 端點

如果您向 OEM 或合作夥伴購買端點，則應該使用 Windows Autopilot。

其中一些優點包括：

• 內建的 Windows 安裝程式：它提供品牌化、引導式和簡化的用戶體驗。

• 直接寄送端點給使用者：廠商和 OEM 可以直接將端點寄送給您的使用者。 使用者會收到端點、使用其組織帳戶登入 (user@contoso.com) ，而 Windows Autopilot 會自動布建端點。

  這項功能有助於限制與高觸控式內部IT程式和出貨相關的額外負荷和成本。

  為了獲得最佳結果，請向 OEM 或廠商預先註冊您的端點。 預先註冊有助於避免手動註冊端點時可能發生的任何延遲。

• 用戶可以自行重設現有的端點：如果用戶有現有的 Windows 端點，他們可以自行重設裝置。 當它們重設時，它會將端點還原至最小基準和受控狀態。 它不需要高成本的 IT 介入或實際存取端點。

注意事項

不建議使用 Windows Autopilot 來混合式 Microsoft Entra 加入新布建的端點。 其可行，但有一些挑戰。 在新布建的端點上，使用 Windows Autopilot Microsoft Entra 聯結 (非混合式 Microsoft Entra 聯結) 。

若要協助判斷適合您組織的聯結方法，請移至已加入 Microsoft Entra 與已加入混合式 Microsoft Entra。

如需 Windows Autopilot 的詳細資訊，請移至：

• Windows Autopilot 概觀
• Windows Autopilot 案例和功能
• Windows Autopilot 常見問題

遵循雲端原生端點指引

1. 概觀：什麼是雲端原生端點？
2. 教學課程：開始使用雲端原生 Windows 端點
3. 概念：Microsoft Entra 聯結與混合式 Microsoft Entra 聯結
4. 概念：雲端原生端點和內部部署資源
5. 🡺 高階規劃指南 (您在這裡)
6. 已知問題和重要資訊