面向组织、基于云的Windows 10设备部署
前言
作为全球领先的、高度可信任的云服务和解决方案供应商,微软正帮助来自不同国家和不同行业的组织或企业实现他们的愿景。
随着信息化、数字化对组织或企业发展重要性的日渐加强,越来越多的组织或企业开始加大IT设备的采购和部署力度,而如何高效地管理数量巨大的IT设备则成为一个组织或企业需要重点思考的问题。
若一个组织或企业采用了低效的IT设备部署方案,那对该组织或企业来说,设备的部署成本不仅会居高不下,设备从采购到投入使用的时间也将相对漫长。
这一系列的教程,我们将介绍如何通过使用微软的Windows AutoPilot技术,让组织或企业的IT设备(以Windows 10设备为主)部署变得既简单又高效。
前提条件
在开始利用Windows AutoPilot部署Windows 10设备之前,请确保:
-
你所在的组织或企业拥有Azure Active Directory Premium P1或P2订阅;
-
目标设备所运行的Windows 10操作系统需是1703或更高版本,SKU为专业版、企业版或教育版;
-
设备已接入互联网。
自定义域名
在开始自定义域名之前,请确保你拥有修改或设定你所在的组织或企业所持有的域名的解析的权限。
如果你所在的组织或企业还没有域名,你可以通过很多方式来申请一个。本系列教程中用于演示的域名是在阿里云(万网)上申请并管理的。
下面我们开始域名的自定义过程。
登陆Azure门户,进入Azure Active Directory;
在“管理”分类下,找到并点击“自定义域名”;
此时你将看到一个新的工作区,点击该工作区左上角的“添加自定义域”按钮;
在“自定义域名”字段下,你将看到一个输入框,在这个输入框里填入由你所在的组织或企业所持有的域名,如:
ruanmei.tech
点击输入框下方的“添加域”按钮。
添加域后,Azure Active Directory需要对域名进行验证,此时,请按Azure Active Directory给的参数在域名控制台(以阿里云为例)设置域名解析:
登陆管理控制台,点击“域名与网站(万网)”下的“域名”;
在此,你将看到你的组织或企业所持有的所有域名;
点击域目标域名后的“解析”链接,进入解析设置页面;
点击页面右上角的“添加解析”按钮;
将记录类型选择为“TXT”;
将主机记录填写为“@”(不包含引号);
解析线路保持默认;
将记录值填写为Azure Active Directory自定义域名验证域名步骤“目标地址或指向地址”项所给定的参数如:
MS=msXXXXXXXX
TTL值选择为“1小时”;
点击“确认”按钮(解析需要一定的生效时间);
域名解析设置成功后,回到Azure门户,点击“验证”按钮;
验证通过后,自定义域名操作即已经成功。在此后的小节中,我们将用已经自定义的域名win10skills.tech进行演示。
创建用户
要创建用户和组,请登陆Azure门户,进入Azure Active Directory;
在“管理”分类下,找到“用户”项,点击进入;
点击“新建用户”,在“姓名”字段下设置用户的姓名,如“三七”;
在“用户名”字段下设置用户的用户名,如“threeseven@win10skills.tech”(@符号后需是以验证的域名);
点击“配置文件”项,设置用户姓名、职务和部门,设置完成后点击“确定”按钮;
在“目录角色”字段下选择用户的角色,有“用户”、“全局管理员”和“受限管理员”三项可选;
“密码”字段下的密码是自动生成的默认密码,无法直接修改,此密码请点击“显示密码”并记录;
全部设置项设置完成后,点击“用户”工作区下的“创建”按钮,至此,一个新用户即创建完成。如果你需要创建更多用户,则请重复此小节中的步骤。
创建组和为组分配用户
要创建组,请登陆Azure门户,进入Azure Active Directory;
在“管理”分类下找到“组”项,点击进入;
点击“新建组”,在“组类型”字段下选择“安全组”;
在“组名”字段下填写组名;
在“成员身份类型”字段下选择“已分配”;
点击“成员”项,选择好你要分配到组里的成员后,点击“成员”工作区下的“选择”按钮;
全部设置项设置完成后,点击“组”工作区下的“创建”按钮,至此,一个新组即创建完成。如果你需要创建更多组,则请重复此小节中的步骤。
设置公司品牌
要设置公司品牌,请登陆Azure门户,进入Azure Active Directory;
在“管理”分类下找到“公司品牌”项,点击进入;
点击“公司品牌”工作区左上角的“编辑”按钮,在“编辑公司品牌”工作区依次设置以下项:
-
登录页背景图像;
-
横幅徽标;
-
用户名提示;
-
登陆页文本;
-
登陆页背景色;
-
方形徽标图像;
-
方形徽标图像(深色主题);
-
显示保持登录状态的选项。
全部设置完成后,点击“编辑公司品牌”工作区左上角的“保存”按钮,至此,公司品牌即设置完成。
MDM设置
要设置MDM,请登陆Azure门户,进入Azure Active Directory;
在“管理”分类下找到“移动性(MDM和MAM)”项,点击进入;
点击“名称”字段下的“Microsoft Intune”图标,进入“配置”工作区;
在MDM用户范围项下,你有三个选项可选,分别是“无”、“部分”和“全部”。若选择“部分”选项,则请指定目标组,若选择“全部”则意味着MDM对所有用户适用;
“MDM使用条款URL”、“MDM发现URL”和“MDM符合性URL”请保持默认;
全部设置完成后,点击“配置”工作区左上角的“保存”按钮,至此,MDM即设置完成。
Microsoft Intune配置:条款和条件
要在Microsoft Intune里配置条款和条件,请登陆Azure门户,点击进入“所有服务”;
在“其他”分类下找到并进入“Microsoft Intune”;
在“管理”分类下找到“设备注册”项,点击进入;
在“设备注册”工作区的“管理”分类下找到“条款和条件”项,点击进入;
点击“设备注册-条款和条件”工作区左上角的“创建”按钮;
在“显示名称”字段下的输入框内输入条款名称如:
青岛软媒网络科技有限公司IT设备使用条款和条件
在“说明”字段下的输入框内输入条款说明(可选);
点击“定义使用条款”,在“条款和条件”工作区下依次设置“标题”、“条款摘要”和“条款和条件”;
条款和条件定义完成后点击“条款和条件”工作区下的“确定”按钮;
点击“创建条款和条件”工作区下的“创建”按钮;
至此,条款和条件已经创建完毕,接下来我们来分配条款和条件。
在条款和条件列表里,你将看到已经创建的条款和条件,点击目标条款和条件,在该条款和条件工作区的“管理”分类下找到“分配”项,点击进入;
在接下来弹出的工作区中,在“指派给”字段下选择你将要把目标条款和条件指派给的目标用户,可选项为“选择的组”和“所有用户”(本文以“选择的组”举例);
点击“选择要包含的组”,在接下来弹出的工作区中选择过目标组后,点击该工作区下方的“选择”按钮;
点击目标条款和条件工作区左上角的“保存”按钮,条款和条件即分配完成。
Microsoft Intune配置:设备配置
要在Microsoft Intune里对设备进行配置,请登陆Azure门户,点击进入“所有服务”;
在“其他”分类下找到并进入“Microsoft Intune”;
在“管理”分类下找到“设备配置”项,点击进入;
在“设备配置”工作区的“管理”分类下找到“配置文件”项,点击进入;
点击“设备配置-配置文件”工作区左上角的“创建配置文件”按钮;
在“名称”字段下的输入框内输入配置文件名称,如:
青岛软媒网络科技有限公司设备限制策略
在“说明”字段下的输入框内输入配置文件说明(可选);
在“平台“字段下选择配置文件所针对的目标平台;
在“配置文件类型”字段下选择配置文件类型(本文以“设备限制”举例);
在接下来弹出的“设备限制”工作区中自定义设备限制配置(如设定应用商店策略、设定Microsoft Edge首页、设Windows设置限制等);
设备限制配置完成后点击工作区下方的“确定”按钮;
配置文件设置完毕后,点击“创建配置文件”工作区下方的“创建”按钮;
至此,设备配置文件已经创建完毕,接下来我们来分配配置文件。
在配置文件列表里,你将看到已经创建的配置文件,点击目标配置文件,在该配置文件工作区的“管理”分类下找到“分配”项,点击进入;
在接下来弹出的工作区中,在“指派给”字段下选择你将要把目标条款和条件指派给的目标用户,可选项为“选择的组”、“所有用户和所有设备”、“所有设备”和“所有用户”(本文以“选择的组”举例);
点击“选择要包含的组”,在接下来弹出的工作区中选择过目标组后,点击该工作区下方的“选择”按钮;
点击目标配置文件工作区左上角的“保存”按钮配置文件即分配完成。
Microsoft Intune:分配应用
要在Microsoft Intune里对设备进行配置,请登陆Azure门户,点击进入“所有服务”;
在“其他”分类下找到并进入“Microsoft Intune”;
在“管理”分类下找到“移动应用”项,点击进入;
在“设备配置”工作区的“管理”分类下找到“应用”项,点击进入;
点击“移动应用-应用”工作区左上角的“添加”按钮;
在接下来弹出的“添加应用”工作区中,选择你要添加的应用的类型(本文以Office 365套件-Windows 10举例);
点击“配置应用套件”,选择你要分配给用户的Office套件所包含的Office应用,选择完成后点击“配置应用套件”工作区下方的“确定”按钮;
“应用套件信息”字段下的设置可以保持默认,除非你认为对该项的自定义是必要的;
点击“应用套件设置”,设置Office版本(32位还是64位)、更新通道、属性和语言;
设置完成后点击“应用套件设置”工作区下的“确定”按钮;
全部设置完成后,点击“添加应用”工作区下方的“添加”按钮,至此,Office 365套件即已经添加完毕,接下来我们分配该应用。
在应用列表里,你将看到已经添加的应用,点击目标应用,在该应用工作区的“管理”分类下找到“分配”项,点击进入;
在接下来弹出的工作区中,点击“添加组”按钮,接下来将弹出“添加组”的工作区;
在“添加组”工作区的“分配类型”字段下选择分配类型。你将有“可用于已注册的设备”、“必需”和“卸载”三项可选,本文以“必需”为例;
点击“包含的组”,进入“分配”工作区,在“所有用户和设备”字段下的“使此应用对所有用户都是必需的”项后选“是”;
点击“选择要包含的组”,在接下来弹出的工作区中选择过目标组后,点击该工作区下方的“选择”按钮;
点击“分配”工作区下方的“确定”按钮;
点击“添加组”工作区下方的“确定”按钮;
点击目标应用工作区左上角的“保存”按钮,应用即分配完成。
定义Azure Active Directory名称
要定义Azure Active Directory名称,请登陆Azure门户,进入Azure Active Directory;
在“管理”分类下,找到“属性”项,点击进入;
在“姓名”字段下设置Azure Active Directory的名称,如:
青岛软媒网络科技有限公司
点击Azure Active Directory属性工作区左上角的“保存按钮”。
至此,所有关于Azure Active Directory名称和Microsoft Intune的配置均已完成,接下来我们来验证配置的有效性。
有效性验证
在次小节中,我们以全新Windows 10系统来验证配置的有效性。Windows 10 SKU为企业版。
▼OOBE开始
▼选择区域
▼选择键盘布局
▼选择是否添加第二种键盘布局
▼查找更新
▼以组织或企业分配的帐户登录
▼输入密码
▼接受条款
▼配置隐私设置
▼小娜:那是最后一步
▼坐和放宽
▼设置PIN过程开始
▼验证帐户
▼设置PIN
▼设置完成
▼成功登录Windows 10
此时,我们打开任务管理器,可见三个Office 365套件安装相关进程正在进行,这说明Windows 10正在应用你的组织或企业为你预设的应用配置;
应用配置完成后,你可以在开始菜单里找到它们;
在Microsoft Intune中,我们指定的策略不允许用户使用Microsoft帐户登录系统,故此可见设置-帐户中只有与你的组织或企业帐户相关的设置项;
微软小娜以通过组织或企业策略禁用;
Microsoft Edge首页被组织或企业策略设置为IT之家首页;
组织或企业策略禁止用户在Microsoft Edge上开无痕浏览标签页;
组织或企业策略禁止安装Microsoft Store以外的应用。
本文的关于Azure Active Directory的配置项目、配置方法和最终效果仅供演示,具体的策略请以你的所在组织或企业的要求为准。
简单地讲,当一台设备加入组织或企业的Azure Active Directory后,该设备的大部分控制权将被你所在的组织或企业掌握。
至此,面向组织、基于云的Windows 10设备部署教程即告一段落,如果你所在的组织或企业不希望使用微软的云端技术来部署设备,那么下期的教程,我们将介绍面向组织、基于本地的Windows 10设备部署,敬请关注。
本文由文轩宝宝(本博客作者)于2018年03月16日首发于IT之家,IT之家本文地址:点击这里
欢迎关注文轩宝宝的微信公众号【爱兔教程】:
本文欢迎任何形式的转载,转载请注明出处和作者。
出处:爱兔教程;作者:文轩宝宝