Поделиться через


пошаговое руководство по настройке Windows 10/11 в облачной конфигурации

Windows 10/11 в облачной конфигурации (облачной конфигурации) — это конфигурация устройства для клиентских устройств Windows. Она предназначена для упрощения взаимодействия с конечными пользователями. Дополнительные сведения о конфигурации облака, включая минимальные требования, см. в статье Обзор интерактивного сценария облачной конфигурации Windows.

С помощью облачной конфигурации вы используете политики Microsoft Intune, чтобы превратить клиентское устройство Windows в оптимизированное для облака устройство. Windows 10/11 в облачной конфигурации:

  • Оптимизирует устройства для облака, настроив их для регистрации в управлении Intune с помощью Microsoft Entra. Данные пользователя автоматически сохраняются в OneDrive с настроенным перемещением известных папок .

  • Устанавливает Microsoft Teams и Microsoft Edge на устройствах.

  • Настраивает конечных пользователей как стандартных пользователей на устройствах, предоставляя ИТ-службам больший контроль над приложениями, установленными на устройствах.

  • Удаляет встроенные приложения и приложение Microsoft Store, упрощая взаимодействие с конечным пользователем.

  • Применяет параметры безопасности конечной точки и политику соответствия требованиям. Эти политики помогают обеспечить безопасность устройств и помогают ИТ-службам отслеживать работоспособность устройств.

  • Обеспечивает автоматическое обновление устройств с помощью клиентский компонент Центра обновления Windows для бизнеса.

  • Кроме того, можно:

    • Добавьте другие приложения Microsoft 365, такие как Outlook, Word, Excel, PowerPoint.
    • Добавьте важные бизнес-приложения (LOB), которые должны быть успешными для конечных пользователей. Корпорация Майкрософт рекомендует свести эти приложения к минимуму, чтобы обеспечить простоту настройки.
    • Добавьте необходимые ресурсы, такие как профили Wi-Fi, VPN-подключения, сертификаты и драйверы принтеров, необходимые для рабочих процессов пользователей.

Совет

Общие сведения о Windows 10/11 в облачной конфигурации и ее использовании см. в статье Windows 10/11 в облачной конфигурации.

Существует два способа развертывания облачной конфигурации:

  • Вариант 1. Автоматический. Используйте интерактивный сценарий для автоматического создания всех групп и политик с настроенными значениями. Дополнительные сведения об этом параметре см. в статье Обзор интерактивного сценария облачной конфигурации Windows.
  • Вариант 2. Вручную (эта статья). Выполните действия, описанные в этой статье, чтобы самостоятельно развернуть облачную конфигурацию.

Это руководство поможет вам создать собственное развертывание облачной конфигурации. В следующих разделах описывается использование Microsoft Intune для настройки облачной конфигурации.

  1. Создание группы Microsoft Entra
  2. Настройка регистрации устройств
  3. Развертывание скрипта для настройки перемещения известных папок и удаления встроенных приложений
  4. Развертывание приложений
  5. Развертывание параметров безопасности конечной точки
  6. Настройка параметров клиентский компонент Центра обновления Windows
  7. Развертывание политики соответствия требованиям Windows
  8. Необязательные конфигурации

Шаг 1. Создание группы Microsoft Entra

Первым шагом является создание Microsoft Entra группы безопасности, которая получает развертываемые конфигурации.

Эта выделенная группа помогает упорядочивать устройства и управлять ресурсами облачной конфигурации в Intune. Корпорация Майкрософт рекомендует развертывать только конфигурации, приведенные в этом руководстве. Затем при необходимости добавьте дополнительные важные приложения и другие конфигурации устройств.

Чтобы создать группу, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Группы>Все группы>Создать группу.

  3. В поле Тип группы выберите Безопасность.

  4. Введите имя группы, например Cloud config PCs.

  5. В поле Тип членства выберите Назначено.

  6. При необходимости вы можете добавить устройства в новую группу прямо сейчас. Выберите Нет выбранных участников и добавьте участников в группу.

    Вы также можете начать с пустой группы и добавить устройства позже.

  7. Нажмите Создать.

Совет

При создании группы в эту группу можно добавить предварительно зарегистрированные устройства Windows Autopilot.

Существующие устройства

Если у вас есть существующие устройства, зарегистрированные в Intune, которые вы хотите использовать с облачной конфигурацией, рекомендуется начать с этих устройств заново. Это означает следующее:

  • Удалите существующие приложения и профили, развернутые на этих устройствах.
  • Сбросьте эти устройства.
  • Повторно зарегистрируйте устройство в Intune и разверните облачную конфигурацию.

Эти дополнительные действия рекомендуются для существующих устройств, так как они обеспечивают упрощенное взаимодействие с пользователем. Затем вы можете добавить другие важные приложения и убедиться, что на устройствах есть только то, что нужно пользователям.

Шаг 2. Настройка регистрации устройств

На этом шаге вы включите автоматическую регистрацию MDM в Intune и настройте способ регистрации устройств в Intune.

Если вы уже используете Windows Autopilot, пропустите этот шаг и перейдите к шагу 3. Развертывание скрипта для настройки перемещения известных папок и удаления встроенных приложений (в этой статье).

✅ 1. Включение автоматической регистрации

Включите автоматическую регистрацию для пользователей организации, которым требуется использовать облачную конфигурацию. Для облачной конфигурации требуется автоматическая регистрация. Дополнительные сведения об автоматической регистрации см. в статье Руководство по регистрации — автоматическая регистрация Windows.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>по платформе>Windows>Подключение>автоматической регистрации> устройств.

  3. В разделе область пользователя MDM выберите один из следующих вариантов:

    • Выберите Все , чтобы применить облачную конфигурацию ко всем устройствам Windows, которые используют пользователи в вашей организации. В большинстве сценариев облачной конфигурации выбран параметр Все .
    • Выберите Некоторые , чтобы применить облачную конфигурацию к устройствам, используемым подмножеством пользователей в вашей организации. Если вы хотите применить облачную конфигурацию в поэтапном подходе, может оказаться хорошим выбором Некоторые .
  4. Не настраивайте параметры пользовательского область MAM, условия MAM url-адреса пользователя, URL-адрес обнаружения MDM и URL-адрес соответствия MAM. Оставьте эти параметры пустыми. Параметры MAM не настроены для облачной конфигурации.

  5. Нажмите кнопку Сохранить, чтобы сохранить изменения.

✅ 2. Выбор способа регистрации устройств и настройки пользователей для стандартных пользователей на устройствах

После включения автоматической регистрации Windows в Intune следующим шагом является определение способа регистрации устройств в Intune. После регистрации они будут доступны для получения политик облачной конфигурации. Кроме того, необходимо настроить пользователей на стандартные пользователи на своих устройствах. Обычные пользователи могут устанавливать только приложения, утверждаемые вашей организацией.

Для регистрации у вас есть три варианта. Выберите один вариант регистрации.

  • Использование Windows Autopilot (рекомендуется)
  • Массовая регистрация с помощью пакета подготовки
  • Использование Microsoft Entra ID в готовом интерфейсе (OOBE)

В этом разделе содержатся дополнительные сведения об этих параметрах регистрации и настройке пользователей в качестве стандартных пользователей на своих устройствах.

Рекомендуется использовать регистрацию Windows Autopilot и страницу состояния регистрации (ESP). Этот метод регистрации и ESP обеспечивают согласованное взаимодействие с конечными пользователями.

  • Вы предварительно зарегистрируйте устройства с помощью службы развертывания Windows Autopilot. С помощью Windows Autopilot администраторы настраивают способ запуска устройств и регистрации в управлении устройствами.
  • Политика Windows Autopilot Intune настраивает встроенный интерфейс (OOBE). В OOBE вы выбираете пользователей, которые будут стандартными пользователями.
  • Политика Windows Autopilot Intune настраивает страницу состояния регистрации (ESP). В ESP отображается ход настройки. Пользователи остаются в ESP до тех пор, пока к устройству не будут применены все параметры облачной конфигурации.

Чтобы настроить регистрацию Windows Autopilot на основе пользователя, выполните следующие действия.

  1. Добавление устройств в Windows Autopilot.

    Зарегистрируйте устройства в Windows Autopilot, выполнив действия, описанные в шаге 3. Регистрация устройств в Windows Autopilot (откроется статья о Windows Autopilot).

    Примечание.

    Шаг 3. Регистрация устройств в Windows Autopilot Windows Autopilot является частью серии шагов. Для этой облачной конфигурации выполните только шаг 3. Регистрация устройств в Windows Autopilot , чтобы зарегистрировать свои устройства. Не выполняйте другие шаги в последовательности. Другие шаги в этой серии Windows Autopilot предназначены для другого сценария Windows Autopilot.

    Вы также можете вручную зарегистрировать устройства для использования Windows Autopilot. Регистрация устройств вручную часто используется для перепрофилирования существующего оборудования, которое ранее не было настроено с Помощью Windows Autopilot.

  2. Создайте и назначьте профиль развертывания Windows Autopilot в Intune.

    1. Войдите в Центр администрирования Microsoft Intune.

    2. Выберите Устройства>По платформе>Регистрация подключения устройств>>Windows> Windows Autopilot DeploymentПрофили развертыванияпрограммы>.

    3. Выберите Создать профиль>Компьютер с Windows. Введите имя профиля.

    4. Для параметра Преобразовать все целевые устройства в Autopilot выберите Да. Нажмите кнопку Далее.

      Облачную конфигурацию можно применять к устройствам, зарегистрированным с помощью методов регистрации, отличных от Windows Autopilot. При добавлении этих устройств (устройств, отличных от Windows Autopilot) в группу, они преобразуются в Windows Autopilot. В следующий раз, когда устройства сбрасываются и проходят через готовый интерфейс Windows (OOBE), они регистрируются с помощью Windows Autopilot.

    5. На вкладке OOBE введите следующие значения и нажмите кнопку Далее:

      Параметр Значение
      Режим развертывания Управляемый пользователем
      Присоединение к Microsoft Entra ID как Microsoft Entra присоединено
      Условия лицензии на программное обеспечение Майкрософт Скрыть
      Параметры конфиденциальности Скрыть
      Скрыть параметры смены учетной записи Скрыть
      Тип учетной записи пользователя Стандартный
      Разрешить предварительно подготовленное развертывание Нет
      Язык (регион) Операционная система по умолчанию
      Автоматически настраивать клавиатуру Да
      Применить шаблон имени устройства Необязательный параметр. Вы можете применить шаблон имени устройства. Используйте префикс имени, который поможет определить устройства облачной конфигурации, такие как Cloud-%SERIAL%.'
    6. Назначьте профиль группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье), а затем нажмите кнопку Далее.

    7. Просмотрите новый профиль и нажмите кнопку Создать.

  3. Создайте и назначьте страницу состояния регистрации в Intune.

    1. Войдите в Центр администрирования Microsoft Intune.

    2. Выберите Устройства>по платформе>Windows>Подключение устройств>к> регистрацииобщая>страница состояния регистрации.

    3. Выберите Создать и введите имя для страницы состояния регистрации.

    4. На вкладке Параметры введите следующие значения и нажмите кнопку Далее:

      Параметр Значение
      Показать процесс настройки приложения и профиля Да
      Отображать ошибку, если установка занимает больше указанного количества минут 60
      Отображать настраиваемое сообщение в случае ошибки ограничения по времени. Да . Вы также можете изменить сообщение по умолчанию.
      Разрешить пользователям собирать журналы об ошибках установки Да
      Блокировать пользователя устройства до тех пор, пока не будут установлены все приложения и профили Да
      Разрешить пользователям сбросить параметры устройства при ошибке установки Да
      Разрешить пользователям использовать устройство при ошибке установки Нет
      Блокировать пользователя устройства до тех пор, пока эти необходимые приложения не будут установлены, если они назначены пользователю или устройству Все

      Примечание.

      При возникновении ошибки установки рекомендуется запретить пользователям использовать устройство. Блокировка пользователей гарантирует, что они могут начать использовать устройство только после полного применения облачной конфигурации.

      При возникновении ошибки установки в зависимости от потребностей развертывания можно разрешить пользователю использовать устройство. Если вы разрешаете использовать устройство, когда устройство регистрируется с Intune, Intune продолжает пытаться применить конфигурации.

    5. В разделе Назначения назначьте страницу состояние регистрации группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

      Нажмите кнопку Далее.

    6. Выберите Создать , чтобы создать и назначить страницу состояния регистрации.

Вариант регистрации 2. Массовая регистрация с помощью пакета подготовки

Вы можете зарегистрировать устройства с помощью пакета подготовки, созданного с помощью Designer конфигурации Windows или приложения Настройка учебных компьютеров.

Дополнительные сведения о массовой регистрации см. в статье Массовая регистрация для устройств Windows.

При массовой регистрации:

  • После регистрации устройств в Intune вы добавляете их в группу, созданную на шаге 1. Создание группы Microsoft Entra (в этой статье). При добавлении в группу они получают вашу облачную конфигурацию.
  • Все пользователи автоматически являются стандартными пользователями на устройстве.
  • Нет страницы состояния регистрации. Пользователи не могут просматривать ход выполнения, так как применяются все параметры облачной конфигурации. Пользователи могут начать использовать устройство до полного применения облачной конфигурации.
  • Перед распространением устройств среди пользователей корпорация Майкрософт рекомендует убедиться, что параметры и приложения находятся на устройствах.

Вариант регистрации 3. Регистрация с помощью Microsoft Entra ID в готовом интерфейсе (OOBE)

Если автоматическая регистрация MDM включена в Intune, во время запуска запуска пользователи выполняют вход с помощью своих учетных записей Microsoft Entra. При входе автоматически запускается регистрация.

С помощью этого параметра регистрации вы:

  1. Настройте Microsoft Intune настраиваемый профиль, чтобы ограничить локальных администраторов на устройствах. Поставщик служб CSP политики содержит xml-код определения политики, который можно использовать в пользовательском профиле.

    Совет

    В этом пользовательском профиле есть еще один параметр, который добавляет группу, которая может быть локальными администраторами на устройстве. В эту локальную группу администраторов должны входить только ИТ-администраторы в вашей среде.

  2. Назначьте пользовательский профиль группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

Шаг 3. Настройка перемещения известных папок в OneDrive и развертывание скрипта для удаления встроенных приложений

При настройке перемещения известных папок в OneDrive файлы и данные пользователей автоматически сохраняются в OneDrive. При удалении встроенных приложений Windows и Microsoft Store меню "Пуск" и интерфейс устройства упрощаются.

Этот шаг помогает упростить взаимодействие с пользователем Windows.

✅ 1. Настройка перемещения известных папок OneDrive с помощью административного шаблона

При перемещении известных папок данные пользователей (файлы и папки) сохраняются в OneDrive. Когда пользователи входят на другое устройство, OneDrive автоматически синхронизирует данные с новым устройством. Пользователям не нужно перемещать файлы вручную.

Примечание.

Из-за проблемы синхронизации с переносом известных папок OneDrive и конфигурацией SharedPC корпорация Майкрософт не рекомендует использовать Windows в облачной конфигурации с устройством, на которое входит и выходит несколько пользователей.

Чтобы настроить перемещение известных папок, используйте шаблон ADMX в Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>По платформе>Windows>Управление устройствами>Конфигурация>Создать>новую политику.

  3. Выберите Windows 10 и более поздних версий для платформы и выберите Шаблоны для типа профиля.

  4. Выберите Административные шаблоны и щелкните Создать.

  5. Введите имя профиля и нажмите кнопку Далее.

  6. В разделе Параметры конфигурации найдите параметры в следующей таблице и выберите их рекомендуемые значения:

    Имя параметра Значение
    Автоматическое перемещение известных папок Windows в идентификатор клиента с поддержкой OneDrive Введите идентификатор клиента вашей организации.

    Идентификатор клиента отображается на странице свойствЦентр администрирования Microsoft Entra>.>
    Отображение уведомлений для пользователей после перенаправления папок Да. Вы также можете скрыть уведомление.
    Автоматически выполнять вход пользователей в приложение синхронизации OneDrive с помощью учетных данных Windows Включено
    Запретить пользователям перемещать свои известные папки Windows в OneDrive Включено
    Запретить пользователям перенаправлять свои известные папки Windows на компьютер Включено
    Использовать функцию "Файлы из OneDrive по запросу" Включено
  7. Назначьте профиль группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

✅ 2. Развертывание скрипта для удаления встроенных приложений

Корпорация Майкрософт создала скрипт Windows PowerShell, который:

  • Удаляет встроенные приложения с устройств.
  • Удаляет приложение Microsoft Store с устройств.

Скрипт развертывается на устройствах, использующих в Intune. Чтобы добавить и развернуть скрипт, выполните следующие действия.

  1. Скачайте сценарий удаления приложения PowerShell окна конфигурации облака. Этот скрипт удаляет приложение Microsoft Store и встроенные приложения.

    Примечание.

    Если вы хотите сохранить приложение Microsoft Store на устройствах, можно использовать скрипт, который удаляет встроенные приложения, но сохраняет Microsoft Store . Чтобы использовать этот скрипт, скачайте его и выполните те же действия. Этот скрипт пытается удалить встроенные приложения, но может не удалить все из них. Может потребоваться изменить скрипт, чтобы удалить все встроенные приложения на устройствах.

  2. Войдите в Центр администрирования Microsoft Intune.

  3. Выберите Устройства>По платформе>Windows>Управление устройствами>Скрипты и исправленияВкладка "Скрипты платформы>" Добавить>.

  4. В разделе Основные сведения введите имя политики скриптов и нажмите кнопку Далее.

  5. В разделе Параметры скрипта отправьте скачанный скрипт. Оставьте остальные параметры без изменений и нажмите кнопку Далее.

  6. Назначьте сценарий группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

Приложение Microsoft Store

Если вы ранее удалили приложение Microsoft Store, его можно повторно развернуть с помощью Microsoft Intune. Чтобы повторно добавить приложение Microsoft Store (или любые другие приложения, которые вы хотите повторно добавить), добавьте приложение Microsoft Store в репозиторий приложений частной организации. Затем разверните приложение на устройствах с помощью Intune. Приложение Microsoft Store помогает обновлять приложения. Сведения о настройке доступа к приложению Microsoft Store см. в разделе Управление доступом к частному магазину.

Репозиторий приложений частной организации может быть Корпоративный портал Intune приложением или веб-сайтом.

С помощью Intune на устройствах Windows 10/11 Enterprise и Education можно запретить конечным пользователям устанавливать приложения Microsoft Store за пределами частного репозитория приложений вашей организации.

Чтобы предотвратить эти внешние приложения, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>По платформе>Windows>Управление устройствами>Конфигурация>Создать>новую политику.

  3. Выберите Windows 10 и более поздних версий для платформы и выберите Каталог параметров для типа профиля. Нажмите Создать.

  4. В поле Основные сведения введите имя профиля.

  5. В разделе Параметры конфигурации нажмите Add settings (Добавить параметры). Затем:

    1. В окне выбора параметров найдите private store. В результатах поиска в категории Microsoft App Store выберите Требовать только частный магазин.
    2. Установите для параметра Требовать только частное хранилище значение Только частное хранилище включено.
    3. Нажмите кнопку Далее.
  6. В разделе Назначения назначьте профиль группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

  7. В разделе Просмотр и создание проверьте профиль и выберите Создать.

Шаг 4. Развертывание приложений

На этом шаге развертываются Microsoft Edge и Microsoft Teams. На этом шаге можно развернуть другие важные приложения. Помните, что развертывайте только то, что нужно пользователям.

✅ 1. Развертывание Microsoft Edge

  1. Добавьте Microsoft Edge в Intune.
  2. В разделе Параметры приложения выберите Стабильный канал.
  3. Назначьте приложение Microsoft Edge группе, созданной на шаге 1. Создание группы Microsoft Entra (в этой статье).

✅ 2. Развертывание Microsoft Teams

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Приложения>Windows.

  3. Нажмите кнопку Добавить , чтобы создать новое приложение.

  4. Для Приложения Microsoft 365 выберите Windows 10 и более поздних версий>Выберите.

  5. В поле Имя набора введите имя или используйте предложенное имя. Нажмите кнопку Далее.

  6. Для параметра Настройка набора приложений выберите только Teams.

    Если вы хотите развернуть другие приложения Microsoft 365, выберите их из этого списка. Помните, что развертывайте только то, что нужно пользователям.

    Совет

    Вам не нужно выбирать OneDrive. OneDrive встроен в Windows 10/11 Pro, Enterprise и Education.

  7. Для сведений о наборе приложений настройте следующие параметры:

    Параметр Значение
    Архитектура 64-разрядная

    Облачная конфигурация также работает с 32-разрядной версией. Корпорация Майкрософт рекомендует выбрать 64-разрядную версию.
    Ветвь обновлений Текущий канал
    Удаление других версий Да
    Версия для установки Самый поздний
  8. Для параметра Свойства настройте следующие параметры:

    Параметр Значение
    Использование активации общего компьютера Да
    Примите условия лицензионного соглашения на использование программного обеспечения Майкрософт от имени пользователей Да
  9. Нажмите кнопку Далее.

  10. Назначьте набор группе, созданной на шаге 1. Создание группы Microsoft Entra (в этой статье).

Шаг 5. Развертывание параметров безопасности конечной точки

Этот шаг настраивает параметры безопасности конечных точек, чтобы обеспечить безопасность устройств, включая встроенные базовые показатели безопасности Windows и параметры BitLocker.

✅1. Развертывание базовых показателей безопасности MDM Windows 10/11

Для Windows в облачной конфигурации рекомендуется использовать базовый план безопасности Windows 10/11. Существуют некоторые значения параметров, которые можно изменить в зависимости от предпочтений вашей организации.

Настройте базовые показатели безопасности в Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Базовыепоказатели безопасности>конечных точекБазовые показатели безопасности для Windows 10 и более поздних версий.>

  3. Выберите Создать профиль , чтобы создать новый базовый план безопасности.

  4. Введите имя для базового плана безопасности и нажмите кнопку Далее.

  5. Примите параметры конфигурации по умолчанию. Вы также можете изменить следующие параметры в зависимости от потребностей вашей организации:

    Категория "Настройка" Setting Причина изменения
    Браузер Блокировать диспетчер паролей Если вы хотите разрешить конечным пользователям использовать диспетчеры паролей, отключите этот параметр.
    Удаленный помощник Запрошен удаленный помощник Этот параметр позволяет сотрудникам службы поддержки удаленно подключаться к устройствам. Корпорация Майкрософт рекомендует отключить этот параметр, если это не требуется.
    Брандмауэр Все параметры брандмауэра Если необходимо разрешить определенные подключения к устройствам в соответствии с потребностями вашей организации, измените параметры брандмауэра по умолчанию.

    Нажмите кнопку Далее.

  6. В разделе Назначения выберите группу, созданную на шаге 1. Создание Microsoft Entra группы (в этой статье).

  7. Выберите Создать , чтобы создать и назначить базовый план.

✅ 2. Развертывание дополнительных параметров BitLocker с помощью профиля безопасности конечной точки шифрования диска

Существуют другие параметры BitLocker, которые помогают обеспечить безопасность устройств. Настройте следующие параметры BitLocker в Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Безопасность конечной точки>Шифрование диска>Создать политику.

  3. В поле Платформа выберите Windows 10 и более поздние версии.

  4. В поле Профиль выберите BitLocker>Создать.

  5. В поле Основные сведения введите имя профиля.

  6. В разделе Параметры конфигурации выберите следующие параметры:

    Категория "Настройка" Параметр Значение
    BitLocker — базовые параметры Включение полного шифрования дисков для ОС и фиксированных дисков данных Да
         
    BitLocker — фиксированные параметры диска Политика BitLocker в отношении встроенных дисков Configure (Настроить)
      Блокировка доступа на запись к фиксированным дискам с данными, не защищенным BitLocker Да
      Настройка метода шифрования для фиксированных дисков данных AES 128bit XTS
         
    BitLocker — параметры диска ОС Политика BitLocker в отношении системных дисков Configure (Настроить)
      Требуется проверка подлинности при запуске Да
      Запуск совместимого доверенного платформенного модуля Разрешено
      ПИН-код запуска совместимого доверенного платформенного модуля Разрешено
      Ключ запуска совместимого доверенного платформенного модуля Обязательный
      Совместимый ключ запуска доверенного платформенного модуля и ПИН-код Разрешено
      Отключение BitLocker на устройствах, где TPM несовместим Да
      Настройка метода шифрования для дисков операционной системы AES 128bit XTS
         
    BitLocker — параметры съемных дисков Политика BitLocker в отношении съемных дисков Configure (Настроить)
      Настройка метода шифрования для съемных дисков с данными AES 128bit CBC
      Блокировка доступа на запись к съемным дискам с данными, не защищенным BitLocker Да
  7. В разделе Назначения назначьте профиль группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

  8. Выберите Создать , чтобы создать и назначить профиль.

Шаг 6. Настройка параметров клиентский компонент Центра обновления Windows

На этом шаге используется клиентский компонент Центра обновления Windows Ring для автоматического обновления устройств. Параметры в этом руководстве соответствуют рекомендуемыми параметрами в базовом плане Центра обновления Windows.

Настройте круг обновления в Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление обновлениями>Windows 10 и более поздних обновленийвкладка> Круги обновления >Создать профиль.

  3. В поле Основные сведения введите имя круга обновления.

  4. В разделе Параметры круга обновления настройте следующие значения и нажмите кнопку Далее:

    Параметр Значение
    Канал обслуживания Semi-annual channel
    Обновления продуктов Майкрософт Разрешить
    Драйверы Windows Разрешить
    Период отсрочки обновления качества (в днях) 0
    Период отсрочки обновления компонентов (в днях) 0
    Установка периода удаления обновлений компонентов 10
    Режим автоматического обновления Восстановить значения по умолчанию
    Проверка перезапуска Разрешить
    Возможность приостановки обновлений Windows Включение
    Параметр для проверка обновлений Windows Включение
    Требовать утверждения пользователем для закрытия уведомления о перезапуске Нет
    Напоминание пользователю до обязательного автоматического перезапуска с напоминанием об увольнении (часы) Оставьте этот параметр ненастроенным
    Напоминание пользователю перед обязательным автоматическим перезапуском с постоянным напоминанием (в минутах) Оставьте этот параметр ненастроенным
    Изменение уровня уведомления об обновлениях Использование уведомлений клиентский компонент Центра обновления Windows по умолчанию
    Использование параметров крайнего срока Разрешить
    Крайний срок обновления компонентов 7
    Крайний срок обновления качества 2
    Льготный период 2
    Автоматическая перезагрузка до крайнего срока Да
  5. Назначьте круг обновления группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

Шаг 7. Развертывание политики соответствия требованиям Windows

Настройте политику соответствия, чтобы отслеживать соответствие устройств и работоспособности. Политика сообщает о несоответствии и по-прежнему разрешает пользователям использовать устройства. Вы можете выбрать способ устранения несоответствия другим действиям на основе процессов вашей организации.

Создайте политику соответствия в Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Созданиеполитикисоответствия устройств>>.

  3. В поле Платформа выберите Windows 10 и более поздних версий>Создать.

  4. В поле Основные сведения введите имя политики соответствия. Нажмите кнопку Далее.

  5. В разделе Параметры соответствия настройте следующие значения и нажмите кнопку Далее:

    Категория "Настройка" Параметр Значение
    Работоспособность устройств Требуется BitLocker Обязательность
      Требовать включения безопасной загрузки на устройстве Обязательность
      Требовать целостность кода Обязательность
         
    Безопасность системы Брандмауэр Обязательность
      антивирусная программа Обязательность
      антишпионское ПО; Обязательность
      Требовать пароль для разблокировки мобильных устройств Обязательность
      Простые пароли Блокировка
      тип пароля; Буквенно-цифровой
      Минимальная длина пароля 8
      Максимальное время бездействия (в минутах), по истечении которого запрашивается пароль 1 минута
      Срок действия пароля (дней) 41
      число предыдущих паролей для запрета повторного использования; 5
         
    Defender Антивредоносная программа в Microsoft Defender Обязательность
      актуальность механизма обнаружения угроз антивредоносного ПО в Microsoft Defender Обязательность
      защита в режиме реального времени; Обязательность
  6. В разделе Действия для несоответствия для действия Маркировка устройства несоответствующим настройте расписание (дни после несоответствия) в 1 день. Вы можете настроить другой льготный период в зависимости от предпочтений вашей организации.

    Если в организации используются политики условного доступа, рекомендуется настроить льготный период. Льготные периоды не позволяют несоответствующим устройствам немедленно потерять доступ к ресурсам организации.

  7. Вы можете добавить действие для отправки пользователям электронной почты, информируя их о несоответствии шагам для получения соответствия.

  8. Назначьте политику соответствия группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

Шаг 8. Необязательные конфигурации

Существуют необязательные политики, которые можно создать и развернуть с помощью облачной конфигурации. В этом разделе описаны эти необязательные политики.

✅ Настройка доменного имени клиента

Настройте устройства для автоматического использования доменного имени клиента для входа пользователей. При добавлении доменного имени пользователям не нужно вводить полное имя участника-пользователя для входа.

Добавьте доменное имя клиента в Intune:

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Устройства>По платформе>Windows>Управление устройствами>Конфигурация>Создать>новую политику.
  3. Для параметра Платформа выберите Windows 10 и более поздних версий.
  4. В поле Тип профиля выберите Шаблоны>Ограничения устройств>Создать.
  5. Введите имя профиля и нажмите кнопку Далее.
  6. В разделе Параметры конфигурации в поле Пароль настройте домен клиента Preferred Microsoft Entra. Введите Microsoft Entra доменное имя, которое пользователи должны использовать для входа на устройства.
  7. Назначьте профиль группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

✅ Развертывание других важных приложений для повышения производительности и бизнес-приложений (LOB)

У вас может быть несколько важных бизнес-приложений, необходимых всем устройствам. Выберите минимальное количество этих приложений для развертывания. При доставке приложений с помощью решения виртуализации также разверните клиентское приложение виртуализации на устройствах.

Количество или размер других приложений, которые можно развернуть с помощью приложений, добавленных в облачную конфигурацию, не существует. Но корпорация Майкрософт рекомендует свести к минимуму эти другие приложения в зависимости от того, что нужно пользователям для их ролей. Назначьте эти важные приложения группе, созданной на шаге 1. Создание группы Microsoft Entra (в этой статье).

На некоторых устройствах могут потребоваться определенные бизнес-приложения. Кроме того, некоторые приложения могут иметь сложные требования к упаковке или процедуре. В этих сценариях рассмотрите возможность перемещения этих приложений из развертывания облачной конфигурации. Или сохраните устройства, которым нужны эти приложения, в существующей модели управления Windows.

Облачная конфигурация рекомендуется использовать для устройств, которым требуется всего несколько ключевых приложений, а также совместная работа и просмотр.

✅ Развертывание ресурсов, необходимых пользователям для доступа к организации

Настройте необходимые ресурсы, которые могут потребоваться пользователям, что зависит от процессов вашей организации. Основные ресурсы могут включать сертификаты, принтеры, VPN-подключения и профили Wi-Fi.

В Intune назначьте эти ресурсы группе, созданной на шаге 1. Создание группы Microsoft Entra (в этой статье).

Существуют другие параметры, которые улучшают взаимодействие с пользователем при перемещении известных папок в OneDrive. Параметры не требуются для работы перемещения известных папок , но они полезны.

Дополнительные сведения об этих параметрах см. в статье Параметры OneDrive, рекомендуемые для перемещения известных папок.

Существуют некоторые параметры приложения Microsoft Edge, которые можно настроить для улучшения взаимодействия с пользователем. Эти параметры можно настроить на основе требований или предпочтений для взаимодействия с конечным пользователем.

Чтобы настроить эти рекомендуемые параметры, используйте Intune:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>По платформе>Windows>Управление устройствами>Конфигурация>Создать>новую политику.

  3. Выберите Windows 10 и более поздних версий для параметра Платформа и Шаблоны для типа профиля.

  4. Выберите Административные шаблоны и щелкните Создать.

  5. Введите имя профиля и нажмите кнопку Далее.

  6. В разделе Параметры конфигурации найдите следующие параметры и настройте их в соответствии с рекомендуемыми значениями:

    Настройка категории Setting Значения
      Настройка интеграции Обозреватель Через Интернет Включено, режим Обозреватель Интернета
       
    Параметры SmartScreen Настройка Microsoft Defender SmartScreen Включено
      Принудительное Microsoft Defender проверки SmartScreen при скачивании из доверенных источников Включено
      Настройка Microsoft Defender SmartScreen для блокировки потенциально нежелательных приложений Включено

    Примечание.

    Параметры SmartScreen также применяются Microsoft Defender. При настройке параметров SmartScreen с помощью приложения Microsoft Edge Microsoft Edge напрямую применяет параметры.

  7. Назначьте профиль группе, созданной на шаге 1. Создание Microsoft Entra группы (в этой статье).

Мониторинг состояния облачной конфигурации

При применении облачной конфигурации к устройствам можно использовать Intune для мониторинга состояния приложений и конфигураций устройств.

Состояние скрипта

Вы можете отслеживать состояние установки развернутых скриптов:

  1. В центре администрирования Microsoft Intune перейдите в раздел Устройства>по платформе> СкриптыWindows>и исправления Скрипты>платформы.
  2. Выберите развернутый скрипт.
  3. На странице сведений о скрипте выберите Состояние устройства. Отобразятся сведения об установке скрипта.

Установка приложений

Вы можете отслеживать состояние установки развернутых приложений:

  1. В центре администрирования Microsoft Intune перейдите в раздел Приложения>windows>.
  2. Выберите развернутое приложение, например Microsoft 365 App Suite.
  3. Выберите Состояние установки устройства или Состояние установки пользователя. Отобразятся сведения об установке приложения.

Сведения об устранении неполадок с приложениями на отдельных устройствах см. в статье Устранение неполадок с установкой приложений Intune.

Базовая конфигурация безопасности

Вы можете отслеживать состояние установки развернутого базового плана безопасности. Дополнительные сведения см. в статье Мониторинг базовых показателей безопасности и профилей в Intune.

Профиль шифрования дисков

На шаге 5. Развертывание параметров безопасности конечной точки (в этой статье) возможно, вы настроили и развернули параметры BitLocker.

Вы можете отслеживать состояние этого профиля BitLocker:

  1. В центре администрирования Microsoft Intune перейдите в раздел Безопасность конечных> точекШифрование дисков.
  2. Выберите профиль шифрования дисков, развернутый в облачной конфигурации.
  3. Выберите Состояние установки устройства или Состояние установки пользователя. Отображаются сведения о профиле.

Параметры Центра обновления Windows

Вы можете отслеживать состояние политики клиентский компонент Центра обновления Windows круга:

  1. В Центре администрирования Microsoft Intune перейдите на вкладку Устройства>Управление обновлениями>Windows 10 и более поздних обновлений>.
  2. Выберите круг обновления, развернутый в составе облачной конфигурации.
  3. Выберите Состояние устройства, Состояние пользователя или Состояние обновления конечного пользователя. Отображаются сведения о параметрах круга обновления.

Дополнительные сведения о отчетах для клиентский компонент Центра обновления Windows кругов см. в статье Отчеты для кругов обновления для политики Windows 10 и более поздних версий.

Политика соответствия требованиям

Вы можете отслеживать состояние политики соответствия:

  1. В Центре администрирования Microsoft Intune перейдите в раздел Соответствие устройствам>.
  2. Выберите политику соответствия, развернутую в рамках облачной конфигурации.

Представление мониторинга соответствия устройств содержит подробные сведения о состоянии назначения и сбоях назначений политик соответствия. Он также содержит представления для быстрого поиска несоответствующих устройств и принятия мер.

Дополнительные сведения о политиках мониторинга соответствия требованиям в Intune см. в статье Мониторинг результатов Intune политик соответствия устройств.