Microsoft Cloud | Microsoft Online Service | Windows Azure | Office 365 | Exchange Online | SharePoint Online | Lync Online

logo_intune

HOWTO: 通过 Intune 分发 WinGet 测试版

        WinGet 即 Windows 程序包管理器,官方解释为一个综合的程序包管理解决方案,由一个命令行工具和一组用于在 Windows 10 上安装应用程序的服务组成,主要面向开发人员或 ISV。对于企业 ITer 来说,如果你使用过这个工具就会发现它有无限潜能,因为我们可以利用 WinGet 实现应用程序的自动安装、升级等管理功能。如果希望了解 WinGet 的有关资讯,可以参考 gOxiA 之前的分享 “体验新的 Windows 程序包管理器”。

WinGet_Help

        由于 WinGet 还处于预览版阶段,所以并不是每一台 Windows 10 计算机都具备这个功能。根据微软官方目前的介绍,有三种方案可以获取到 WinGet:
1. 参加 Windows 程序包管理器预览体验计划,然后从 微软应用商店 下载 Windows 应用安装程序,即可开始体验 WinGet。

2. 参加 Windows Insider 项目,只要升级到了 Insider 版本,系统会内置 WinGet 可直接使用。

3. 下载 WinGet 安装包,手动安装 WinGet。


        本次分享将基于第三个方案,即下载 WinGet 安装包,然后通过 Intune 分发给 Windows 客户端,这样就能很轻松的部署或安装应用程序。首先访问 WinGet 项目页面,下载 msixbundle 格式的安装包。

WinGet_download

        接下来,通过 Microsoft Endpoint Manager 管理中心(Intune Portal)添加应用,应用类型为“LOB”即“业务线应用”,此类型可用于分发 msi、appx、appxbundle、msix 和 msixbundle 安装包。在选择应用包文件后,向导会执行依赖检测,如下图所示,要成功安装该应用,客户端计算机上必须已经安装 VCLibs 组件。如果无法确认客户端的组件安装情况,可手动上传这些组件。

Intune_Apps_Deploy_winget-1

        对于 Microsoft VCLibs 可以从下面的网页获取上传即可。

C++ Runtime framework packages for Desktop Bridgehttps://docs.microsoft.com/en-us/troubleshoot/cpp/c-runtime-packages-desktop-bridge

        应用信息中根据实际需求填写相关信息即可,没有特别之处。

Intune_Apps_Deploy_winget-2

        在 分配应用 这里,考虑到是面向系统层面的应用,且希望所有设备都安装,所以采用了“Required”选项,分配给了所有设备。

Intune_Apps_Deploy_winget-3

        至此,配置结束!非常期待 Windows 11 里的 NewStore 尽快开放,因为预示着 Android 应用的到来!!!

winget_newstore

logo_intune

HOWTO: 通过 Intune 为客户端配置以无提示方式登录 OneDrive

        如果企业客户端已经通过 Intune 来管理有一段时间,可能会注意到当用户完成 Autopilot,登录系统会发现 OneDrive 并没有自动配置,处于未登录状态,客户如果启动 OneDrive 会出现配置向导,需要完成账户登录验证等一系列的配置。早先有热心的 ITer 分享了一些经验,例如通过修改注册表或使用脚本来实现自动配置。随着微软不断完善 Intune 中的配置文件,现在终于原生支持配置 OneDrive 了!

Windows_OneDrive

        如果你正打算为客户端实现以无提示方式登录 OneDrive,那么今天这篇分享将揭晓答案。在 Intune 设备配置文件中微软已经在“模板 - 管理模板”中添加了对“OneDrive”的支持。

Intune_Add_AdministrativeTemplate


        在“计算机配置 - OneDrive”下,请启用“让客户使用 Windows 凭据以无提示方式登录 OneDrive 同步应用”,并根据需要启用“使用 OneDrive文件随选”,这个功能在启用后会仅以联机模式运行,可以避免将所有 OneDrive 文件同步回本地所引发的一些连锁问题。

Device_Settings_OneDrive

        相信随着 Intune 的不断完善,可令 ITer 更轻松快速的将基于本地管理的客户端切换至云端。如果你希望了解 GPO 在 Intune 下的支持情况,可以参考这篇文档 https://goxia.maytide.net/read.php/2003.htm,其中有提及如何利用 Intune 的 “组策略分析”功能来确认 Intune 当前对 GPO的支持情况和进度。如果你在关注 Intune 的发展或功能更新,推荐收藏并定期浏览 “Intune 新增功能”。

logo_intune

HOWTO:解决基于 Intune 管理的 Bitlocker 无法创建恢复密码和密钥

        通过 Intune 我们可以在 Endpoint Manager 管理中心的“终结点安全性”下对客户端的“磁盘加密”进行管理。目前支持固定驱动器、可移动驱动器、OS 驱动器,以及基本设置的管理配置。

intune_bitlocker_1

        但不当的配置也会对客户端的正常部署造成困扰,正如本例所要分享的,IT人员希望借助“磁盘加密”策略实现客户端自动化静默启用 Bitlocker,但结果并不如人意。你可以看到如下图所示,设备在经历 Autopilot 配置进入系统桌面后,系统栏弹出磁盘加密的需求提示,当点击这个通知会弹出“是否已准备好开始加密?”的向导。

Bitlocker_setup

        根据提示,确认没有安装和使用第三方的加密软件,但执行结果却失败了!提示“无法创建恢复密码和恢复密钥……”。此时,我们可以通过“事件查看器”,在“应用程序和服务日志 - Microsoft - Windows - Bitlocker-API - Management”下找到线索,可从下方截图中看到 ID 4103 的记录,Error Message 为“组策略设置不允许创建恢复密码”!!!既然是组策略的问题,且客户端是基于 Intune 管理的,那就要回到 Endpoint Manager 管理中心来排查。

Bitlocker_troubleshooting

        检查磁盘加密策略,在“Bitlocker - OS 驱动器设置”下找到“系统驱动器恢复” - “恢复密码创建”,确认该配置为“允许”。

intune_bitlocker_2

        这是一个典型的配置问题,为避免不必要的错误发生,我们还是需要预先阅读各选项的详细说明,了解其设计意图和使用条件。

logo_intune

HOWTO: 通过 Intune 解决 BitLocker 启用 PIN 支持时的 0x803100B5 问题

        早先 gOxiA 分享了"HOWTO: 解决 BitLocker 启用 PIN 时的 0x803100B5 问题",如果你所在的组织已经开始基于 Intune 实施现代管理,并希望借助 Intune 下发策略来为客户端 BitLocker 启用 PIN 支持,那么暂时可能会有些小问题,你会发现找遍所有配置文件类型都没有提供“启用 BitLocker 身份验证需要在平板电脑上预启动键盘输入”(Enable use of Bitlocker auth requiring preboot keyboard - OSEnablePrebootInputProtectorsOnSlates)这个配置选项,不论是现有的配置文件模板,还是管理模板,即使是可自定义的 CSP。

        借助 Intune 提供的“组策略分析”功能,可以了解 Intune 当前对组织在应用的 GPO 的支持情况和进度,如下图所示,可确认 Intune 目前尚未提供 OSEnablePrebootInputProtectorsOnSlates 的支持。

Intune_GPOAnalysis

Intune_GPOAnalysis_1

        解决方案

        既然现有配置策略没有提供 OSEnablePrebootInputProtectorsOnSlates 的支持,那就只能使用下发 PowerShell 脚本实现。我们知道 GPO 配置对应相关注册表键值,我们只需要借助 PowerShell 向注册表写入键值即可,以下脚本可作为参考:

new-item -path HKLM:\SOFTWARE\Policies\Microsoft -name FVC; Set-itemproperty -path HKLM:\SOFTWARE\Policies\Microsoft\FVE -name OSEnablePrebootInputProtectorsOnSlates -value 1 -type Dword -force

        PowerShell 脚本文件准备完毕后便可转向 Intune 管理后台 Microsoft Endpoint Manager admin center,在“设备”下找到“脚本”即可添加。

Device_Scripts_PowerShell

        需要注意的是因为注册表键值位于 HKLM 下,所以无需启用“使用已登录的凭据运行此脚本”,后面跟随向导完成即可,至此 BitLocker 启用 PIN 支持的 Intune 策略添加完毕,当我们使用 Intune 进行策略下发时如果没有可用的配置文件或 CSP,则需要借助 PowerShell 以脚本方式变通实现。

logo_intune

  

HOWTO: 使用 Intune 为 Windows PC 部署 LOB 应用

  

        趁热打铁,昨天 gOxiA 分享了“HOWTO: 使用 Intune 为 Windows PC 部署 Microsoft Store 应用”,今天我们继续 Intune 部署应用的话题,来聊聊使用 Intune 来部署 LOB 应用。LOB 即 业务线(Line-of-business)应用,它通常是一个单独的安装/应用包,如 .msi、.appx、.appxbundle,或是 .msix 和 .msixbundle。其中 MSI 大家都应该很熟悉了,是 Windows 标准的安装包格式,它通常是所谓的 Win32 应用,支持静默安装和高级安装选项,非常适合于企业部署使用;而 appx 和 appxbundle 即 Microsoft Store 中的应用包,属于 UWP 类型应用程序,利用这种应用包文件,可离线安装或脱离 Microsoft Store 来安装 UWP 应用;后者的 msix 和 msixbundle 是微软最新推出的安装包格式。

  

        本例 gOxiA 将会介绍分发 UWP 应用包(.appx & .appxbundle)的方法。首先您需要从组织的软件供应商那里获取到 appx 或 appxbundle 格式的应用包,如果它们已经发布到了 Microsoft Store 中,已经具有 MSfB 的 IT 管理员便可以从中下载这些应用包。(你可能觉得此举有些多余,其实在某些场景下确实需要通过这个 Workaround 来获取和分发 UWP 应用,这里就不点透了!)

  

        获取到应用包后,便可以前往 Microsoft Endpoint Manager admin center 进行添加,如果你在持续关注 gOxiA 的 Intune 主题文章,应该已经对添加应用不再陌生,这里就不再复述步骤只提重点。在应用类型中选择“业务线应用”,然后上传应用包文件,此时你会看到如下图类似的界面,会提示此应用包还需要其他依赖项应用文件,需要逐个添加后才能确保该应用包安装完毕后可以正常运行。

  

Intune_WinApp_LOBApp-1

  

        应用包添加完毕后,就会看到应用信息的必填项都会自动带入,我们仅需要额外的配置其他信息,并添加应用 Logo 图片文件即可。

  

Intune_WinApp_LOBApp-2

  

        重点来了,在分配选项中,现在就能看到 Required 和 Available for enrolled devices 选项。

  

Intune_WinApp_LOBApp-3

  

        到这里,使用 Intune 分发应用的“道路”上又前进了一步。参考文档:Add a Windows line-of-business app to Microsoft Intune | Microsoft Docs

logo_intune

  

HOWTO: 使用 Intune 为 Windows PC 部署 Microsoft Store 应用

  

        如果之前你阅读过“HOWTO: 从 Microsoft Store for Business 删除应用”,应该会对 Intune 部署 Microsoft Store for Business(以下简称MSfB)应用有一定的了解,而今天要与大家分享的是通过 Intune 部署 Microsoft Store 应用。两者的区别在于 MSfB 除了可以通过 Company Portal公司门户)和 Microsoft Store 来获取安装外,还支持强制部署(Required),这样应用就可以直接推送安装给设备或用户,无需用户再去选择安装;而后者 Microsoft Store 应用仅支持用户选择安装(Available for enrolled devices),即发布的应用必须由用户通过 Company Portal 去触发安装。很显然 MSfB 更适用于企业,但该服务目前并不是在所有区域可用,所以折中的选择只有 Microsoft Store,当然如果你的企业已经获得了 LOB App(.appx, .appxbundle, .msix, .msixbundle, .msi),也将会支持 Required 模式,gOxiA 将在以后分享这些内容。

  

        言归正传,要使用 Intune 部署 Microsoft Store 应用(以下简称:MSStore App)十分简单,首先要获取到 MSStore App 的 URL,如果你已经在一台 Windows PC 上安装了这款应用,则可以通过鼠标右键单击应用,然后选择“更多”下的“共享”。

  

MSStoreAppShare 

  

        之后系统会自动打开 Microsoft Store 应用并定位到这款应用信息页面,还会弹出共享对话框,在对话框中单击“复制链接”,此时并没有结束,必须要打开浏览器粘贴并访问此 URL,并获取浏览器地址栏中的 URL 才可以添加到 Intune 中,根据需要可以将应用的 Logo 图片保存到本地以备后用。

  

MSStoreAppShare-1

  

        现在访问 Microsoft Endpoint Manager admin center,定位至 应用 - Windows 应用下,添加应用选择 Microsoft Store 应用 类型,标星号的文本框为必填项,名称和发行者可以根据应用实际信息填写,说明部分由于支持 Markdown 格式,所以需要先点击“编辑说明”才能输入内容;应用商店 URL 便是我们前面获取到的最终的应用 URL,如果输入错误的格式会有提示信息;这里还建议直接将应用归类,并根据需要设定为特色应用,这样当用户打开 Company Portal 时就能在醒目的位置看到它;还记得前面让保存的 Logo 图片吗,可以将其上传这样用户就能更直观的获取到应用的信息。

  

Intune_WinApp_MSStoreApp

  

        在“分配”配置页面中,我们会看到当前只有一个选项,即:可用于已注册的设备(Available for enrolled devices),并支持分配个特定组或所有用户。所以你会留意到 MSStore App 存在诸多限制,其实并不适合企业用户部署。

  

Intune_WinApp_MSStoreApp-1

  

        MSStore App 添加完毕后可以在应用列表中看到,下图中可以看到 MSStore App 和 MSfB App 两种类型。

  

Intune_WinApp_MSStoreApp-2

  

        现在用户就可以启动 Company Portal 来选择安装应用,如果在前面我们将它设定为特色应用,则会看到如下图类似的排版。

  

Intune_WinApp_MSStoreApp-3

logo_intune

  

使用 Get-WindowsAutopilotInfo 直接向 Windows Autopilot 注册设备

  

        如果你还记得这篇文章“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”,应该不会对 Get-WindowsAutopilotInfo 感到陌生。利用 Get-WindowsAutopilotInfo 可以收集设备的 DeviceID,然后参考“HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune”注册到 Windows Autopilot 执行部署。

  

        将 DeviceID 添加到 Intune 的步骤还是比较繁琐的,现在 Get-WindowsAutopilotInfo 可以直接注册设备,这极大简化了测试过程。

  

        让我们重温一下 Get-WindowsAutopilotInfo 的获取步骤:

  

1. 在 PowerShell 命令提示符下执行如下命令行,以安装 Get-WindowsAutopilotInfo。

  

Install-Script –Name Get-WindowsAutopilotInfo –force

  

备注:使用“-RequiredVersion X.X”可以指定要安装的版本,如果之前已经安装了旧版,请务必使用 –force 参数,更详细的参数介绍可参考官方文档“Install-Script”。

  

2. 为了能够执行该脚本,需要修改本地的安全策略。

  

Set-ExecutionPolicy Unrestricted

  

        Get-WindowsAutopilotInfo 准备完毕后,可以事先创建一个设备组并匹配到 Windows Autopilot 配置文件,本例中 gOxiA 创建了一个特定厂商设备的动态组,如下图所示,有关设备组的创建可参考“HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组”。

  

image

  

        现在我们可以执行以下命令行,来获取 DeviceID 并注册到 Windows Autopilot,也可同时分配到指定组,并等待配置文件分配。

  

Get-WindowsAutopilotInfo –Online –AddToGroup “Surface” –Assign

logo_intune

HOWTO: 从 Microsoft Store for Business 删除应用

        如果您正在评估,甚至已经开始使用 Intune 来部署和管理 Windows 终端,会发现 Intune 部署应用的流程非常简单,尤其是通过 Microsoft Store for Business(MSfB) 部署 UWP 应用更加便捷。如果您还没有激活 MSfB 可以即可访问 Microsoft Endpoint Manager 管理中心,在“租户管理”中导航到“连接器和令牌”,之后就能看到“适用于企业的 Microsoft Store”,可以将其启用,并点击“打开企业应用商店”激活该服务,并与 Intune 绑定,成功后会看到如下图所示的界面。

image

        点击“打开企业应用商店”可以访问 MSfB,或者也可以通过这个网址“https://businessstore.microsoft.com/”访问,通过“同步”按钮可以手动将 MSfB 购买的应用与 Intune 同步,否则需要等待15分钟。(PS:有关 MSfB 的性能指标可参考:https://docs.microsoft.com/zh-cn/microsoft-store/manage-private-store-settings

        在 MSfB 中企业 IT 人员可以获取免费或购买收费的应用程序,这些应用程序通常会提供 Online 或 Offline 的授权,前者我们可以通过 Microsoft Store 或 Company Portal 来分发,后者则可以下载 UWP 应用包实现侧加载。在获取到应用后,如果计划通过 Company Portal 分发以及强制部署,那么可以通过 Endpoint Manager 管理中心按需分配这些应用给特定用户和设备。此外您可以会注意到在 MSfB 管理界面中,也提供了分配应用的方法,这里的配置将作用到 Microsoft Store 中的专用商店。

image

        到这里,gOxiA 大致描述了添加应用的过程,而本文的主题是从 Microsoft Store for Business 删除应用,在删除时我们会有以下几种场景。

        第一种场景,我们希望从 Microsoft Store 下的专用商店中删除这些应用,避免用户自行从那里安装应用。这个场景下我们参考前面的截图,在“Private store availability”中将其改为“No one”。

        第二种场景,即 IT 因为测试而获取了一些应用,现在希望从 MSfB 中整体清除它们,也就是从 Products & services 列表中清理掉。此时会发现我们根本找不到删除按钮。此时其实是一种概念的转换,我们实际上要清楚的是这份应用的购买订单,所以应当从“Order history”中退订,具体参考下图。

image

        这样我们的列表就会显得干净许多,一些并不适用的应用也不再碍眼。对于Microsoft Account 类型的消费用户,目前还没有找到清理的办法,在我的列表中还能看到很多上古时代 Windows Phone 的应用。

intune

HOWTO: 为 Intune 启用 Android 设备管理员 注册

        要通过 Intune 管理 Android 设备,也需要将 Android 设备注册到 Intune,目前 Intune 为 Android 设备提供了两种注册管理方式:Android Enterprise 以及 Android 设备管理员。后者也被称为“旧版” Android 管理(随Android 2.2 发布),作为 Android 设备的管理方法,Google 在 Android 5.0 发布时推出了改进的管理功能 – Android Enterprise,用于替代过去的 Android 设备管理员,以实现更现代化、更丰富、更安全的设备管理,目前 Google 正逐渐减少新 Android 版本中对设备管理员的支持。

        看到这里,也许你会对 Android Enterprise 产生浓厚的兴趣,但是当阅读完 Google 这篇文档 https://support.google.com/work/android/answer/6270910 热情立刻减半,是的在支持列表中缺少对本地的支持。如果你需要管理本地的 Android 设备则需要考虑继续使用 Android 设备管理员方式。

       本文分享的内容也非常的简单,就是为 Intune 启用 Android 设备管理员注册。

        首先,登录 Microsoft Endpoint Manager 管理中心,转到“设备 - Android - Android 注册”页面,点击位于页面底部“Android 设备管理员”下的“具有设备管理员特权的个人和公司自有设备”,如下图所示:

Android_DA

        之后,在页面中勾选“使用设备管理员管理设备”这个选项。

Android_DA-1

        到此步骤就告一段落,是不是很简单!接下来,就可以在客户端安装 Intune 公司门户了,成功登录后即通过 Android 设备管员 方式注册到 Intune 中。要在本地下载安装 Intune 公司门户应用,可通过如下渠道:

小米

https://go.microsoft.com/fwlink/?linkid=836947

Lenovo

https://go.microsoft.com/fwlink/?linkid=2125082

华为

https://go.microsoft.com/fwlink/?linkid=836948

百度

https://go.microsoft.com/fwlink/?linkid=2133565

intune

通过 Intune 自定义配置文件实现禁用 UAC

        持续关注 gOxiA Blog 的朋友们可能已经注意到近期的主题都与 Intune 有关,移动设备管理需求剧增,传统 ITPro 是该抓紧时间了解“现代桌面”管理了。如果您跟随 gOxiA 也在学习 Intune,那么不要错过这篇日志。在企业 IT 桌面环境下很多组织都将 UAC 禁用,以避免影响到客户体验,或业务应用程序的运行,虽然 gOxiA 并不建议禁用 UAC(启用 UAC 极大的提高了用户运行环境的安全性,避免无意中触发不必要的变更操作,导致系统环境受损,影响正常运行。)但如果你希望能够通过 Intune 来禁用 UAC 也还是可以实现的。

        还记得之前我们讲过的设备配置文件吗?它与我们传统的客户端管理中使用的组策略(GPO)类似,但支持更多中配置文件类型,有类似于 GPO 的管理模板类型,也有设备限制类型,也有针对应用的如电子邮件类型,自定义类型则利用 CSP策略配置服务提供程序)接口提供了强大的可定制的,灵活的配置能力。本例我们将使用自定义配置文件来创建 UAC 设置。

image

        跟随向导为配置文件起个易于识别的名称,然后添加 OMA-URI 设置。格式参考 https://docs.microsoft.com/zh-cn/windows/configuration/provisioning-packages/how-it-pros-can-use-configuration-service-providers,这里我们会使用 Policy CSP 的 LocalPoliciesSecurityOptions 中的配置项,涉及三个:

OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

数据类型:整型

值:0

OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

数据类型:整型

值:0

OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

数据类型:整型

值:0

image

        OMA-URI 创建完毕后,将配置文件分配给“所有设备”即可。

分页: 1/4 第一页 1 2 3 4 下页 最后页 [ 显示模式: 摘要 | 列表 ]