Microsoft Intune (04) 究竟什麼樣的原則該用在什麼樣狀況?

Microsoft Inutne可以用來管理Windows的電腦、筆電和iOS、Android、Windows Phone裝置。Intune要如何管理裝置呢?方法是設定原則後要求裝置強制符合原則,或是若不符合原則將無法進行某些動作。原則有非常多種,本文將介紹究竟什麼樣的原則該用在什麼樣狀況,以及示範如何建立和部屬原則。 一般組態原則:強制裝置符合原則,有範本,例如需要密碼解鎖,是否限制截圖、相機、商店等功能。 自訂組態原則:強制裝置符合原則,無範本,需自行用XML編寫組態設定檔匯入。 合規原則:不會強制要求裝置符合原則,配合條件存取原則,若不符合將無法進行某些存取動作。例如合規原則中禁止JB或Root,有JB或Root過的裝置就無法存取Exchange Online的信件。 條件存取原則:可控制3種服務的條件存取,Exchange Online、SharePoint Online和內部部屬Exchange,配合合規原則,若不符合將無法進行某些存取動作。例如未加入Intune管理的裝置,就無法存取SharePoint Online中的資料。 軟體原則:對可受管理的App設定原則,例如。可受管理的應用程式如Managed Browser和[Office 365 快速上手系列] 隨時都可在手機上使用Office365這篇文章中所介紹的App。 設定檔:幫使用者設定Email、VPN、Wifi、憑證等,使用者只要輸入帳號密碼即可使用。   一般組態原則 1.進入Microsoft Intune管理介面,點選原則>所有原則>新增。 2.根據手機類型,選擇Android、Windows中的一般組態,或是iOS中的一般設定。本例選擇Android中的一般組態。 3.輸入原則名稱後,依照需求設定。 4.建立完成後,會詢問是否立即部署原則。 5.如點選是,就可以選擇部署至使用者或裝置。本例選擇部署之所有裝置。 6.雖然一般組態中,都是設定強制裝置符合原則,但其中有一個部分例外,那就是下圖中設定不符合規定的應用程式清單的部分。   自訂組態原則 1.根據手機類型,選擇Android、Windows、iOS中的自訂組態。 2.Android和Windows都可直接複製貼上,iOS則是要用匯入的方式。   合規原則 1.進入Microsoft Intune管理介面,點選原則>合規原則>新增。 2.輸入原則名稱後,依照需求設定。本例中啟動不可破解或刷機。之後部署給所有使用者。 3.若有不符合規定的裝置存在,在群組的概觀中裝置相容性顯示有一個不相容,原因為已進行JB或Root破解。 5.在原則的概觀中原則狀態顯示有一個具有設定衝突的裝置。 6.點選上圖中的1,進去後可看到是哪一台裝置。 7.點選上圖中衝突的原則設定,進去後可看到衝突的原因。 8.使用者的裝置會跳出警告。 9.點選上圖中的檢視,或是在我的裝置中點選檢查相容性,可看到不符合原則的原因。   軟體原則 1.在新增原則是選擇軟體中的Managed Browser。 或是行動應用程式管理,建議選擇建立自訂原則,選擇使用建議的設定建立原則的話就直接建立完成了,想要更改還要多一步驟再去編輯。 2.輸入原則名稱後,依照需求設定。本例中設定Managed Browser禁止連入Google開頭的網頁。行動應用程式管理則是依照建議的設定。 4.軟體原則無法部署。 5.在應用程式部署時套用設定的原則後(請參考Microsoft Intune (05) 如何提供或強制使用者安裝APP?此篇文章)。使用者一進入受管理的應用程式中,便會顯示由您的公司管理,並強制要求設定PIN碼。   條件存取原則 1.如果Office365中已經有Exchange Online和SharePoint Online的授權,不需要再進行其他設定,但若是Exchange內部部屬,就要先設定Exchange Connector。本例為設定Exchange Online,不符合規定的裝置無法存取Exchange Online的資料(加入網域為電腦的設定),部署對象為某安全性群組。   設定檔 1.根據手機類型,選擇Android、Windows、iOS中的設定檔。此例中選擇Android的電子郵件設定檔。 2.輸入原則名稱後開始設定。下圖設定以Office365為例。 3.使用者在手機中點選內建的電子郵件App。 4.第一次進入電子郵件App就可看到已經有一個設定檔。 5.由於管理員在設定檔中已經決定用登入公司入口網站的使用者帳號當電子郵件地址,使用者只需要輸入密碼即可設定完畢。   設定原則後,通常會在幾分鐘內生效。而使用者也可以透過點選右上方…>設定中的同步,以加快同步後台設定的速度。   == 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==

Microsoft Intune (03) 原則部屬前先建立群組

Microsoft Inutne可以用來管理Windows的電腦、筆電和iOS、Android、Windows Phone裝置。Intune要如何管理裝置呢?方法是設定原則後要求���置強制符合原則,或是若不符合原則將無法進行某些動作,在Intune中可以設定多種原則,依照狀況不同將原則套用至使用者或裝置上。當使用者或裝置很多的話,一個一個選就太麻煩了,因此在部屬原則前,先建立好群組就是非常重要的工作了。本文將示範如何建立使用者群組和裝置群組。   裝置群組 1.建立群組有兩種方式,其中一種是直接點選某項裝置或使用者後,點選上方的從選取項目建立群組。 2.第一步除了輸入群組名稱外,還要先選擇父群組,這步驟可決定要建立的群組為使用者還是裝置。由於已經從裝置開始建立群組,因此父群組的選項中就沒有使用者的群組了。 3.裝置類型中可選擇所有裝置、電腦或行動電話,本例選擇行動電話和空白群組。 4.在直接成員資格中,可以看到已經加入了一開始點選的裝置,也可在這步驟中直接指定其他裝置加入此群組。   使用者群組 1.除了上述從選取項目建立群組的方法外,第二種方法為進入Microsoft Intune管理介面,點選群組>概觀>建立群組。 2.因為本例為示範建立使用者群組,因此父群組選擇所有使用者。 3.第二步準則成員資格,可將其他群組直接加入新建的群組中,例如將父群組中的使用者加入,或是在Office365中已經建立過的群組加入。本例不將父群組中的使用者加入,因此選擇空白群組,但加入已經有的安全性群組。在直接成員資格中未加入其他成員,完成建立這項使用者群組。 4.建立完畢後回到Microsoft Intune管理介面,可在群組>所有使用者下面,看到新建立的群組,點選後可從右方窗格中檢視群組的成員。   == 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==

Office 365 管理者日誌 (35) 設定公司的共用信箱

有時候公司的組織單位中有客服中心或者是統一對外的聯絡窗口,但回信時都是用個人的信箱回覆,這樣往往會讓收到回信的人不知所措,沒有辦法可以第一時間知道到底回信的人是誰或是因為甚麼原因收到這封信。 以往要設定一個共用信箱開啟權限給所有人是一件很複雜麻煩的事情,而Office 365 中有個「共用信箱」的功能,可以快速簡單的開啟共用的信箱。 設定流程 使用Office 365管理員帳號登入Portal網站,並在Office 365 系統管理中心中找到「共用的信箱」。 點擊「+」新增一個共用信箱。 以本次示範為例,我想建立一個客服人員的共用信箱,設定好信箱的名稱,電子郵件地址以及成員後點選「建立」就完成了設定。 之後寄到「Itservie」的信箱只要透過下面的方式就可以開啟。 如果使用者習慣用網頁收發信件,再登入Office 365 Portal頁面後從右上角的「頭像」中選擇「開啟另一個信箱」。 此時會跳出視窗請使用者輸入要開啟的信箱帳號,輸入完成後點選「開啟」 這樣就可以在這個信箱中看到寄給itservice這個客服信箱的郵件。   == 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==

Microsoft Intune (01) 開始管理Microsoft Intune

Microsoft Inutne可以用來管理Windows的電腦、筆電和iOS、Android、Windows Phone裝置,要開始管理這些裝置前,在Intune管理介面要先啟動管理各裝置的設定,而使用者則要利用公司入口網站將裝置註冊至Intune,管理者也可以在公司入口網站上設定網站的內容。本文要介紹如何開始管理Microsoft Intune,以及如何幫使用者取消已註冊的裝置。   試用Microsoft Intune 1.進入Office365系統管理中心>計費>訂閱>新增訂閱。 2.找到EMS(當中包含Microsoft Intune)或Windows Intune(此為舊版名稱,現已改為Microsoft Intune但訂閱中的名稱還未改)點選試用。 3.另外也可以從Azure中啟動,請參考使用Azure RMS加密重要文件,防止機密被直接複製竊取此篇文章中,試用Azrue RMS的第2~6步驟。   開始管理Microsoft Intune 1.以IE進入Office365系統管理中心,點選系統管理員下的Intune。 2.點選管理>行動裝置管理>設定行動裝置管理授權單位。 3.啟動行動裝置管理後,Windows系統和Android就可以立即註冊了,而若要讓iOS的手機能夠註冊,需點選啟用iOS與Mac OS X平台開始設定。   讓iOS可註冊至Intune 1.點選下載APNs憑證要求,下載完畢後點選Apple Push Certificates 入口網站。 2.用Apple ID登入後,點選Create aCertifcate。 3.將剛剛下載的憑證要求檔上傳,跳出開啟或儲存.json結尾的檔案選擇取消。 4.跳到下一個頁面後,點選下載.pem結尾的檔案。 5.回到Intune管理頁面,點選上傳APNs憑證,上傳剛剛下載的pem檔。 6.完成後,iOS與Mac OS X會顯示已可註冊。   設定公司入口網站 1.點選管理>公司入口網站,在此可設定IT人員的聯絡方式。 2.也可以調整入口網站的樣是。 3.當使用者進入入口網站後,點選聯絡IT,即可看到設定的資料。   設定條件與條款 1.點選原則>條件和條款>新增。 2.輸入欲告知使用者的條款內容。 3.部屬給使用者。 4.使用者在註冊前可閱讀自訂的條款。 5.在註冊後也可從右上角的下拉式選單中,點選條款和條件檢視。   取消裝置註冊 取消註冊有兩種方法,一是管理員遠端汰除,狀況可能為使用者遺失手機,二是使用者自行汰除,狀況可能為使用者更換手機。 1.進入Microsoft Intune管理介面,點選群組>所有裝置>手機名稱>淘汰/抹除。 2.選擇性抹除只會移除本來受Intune管理範圍的資料,若使用者希望連個人資料也抹除,才選擇完整性抹除將手機能還原成出廠預設值。   服務系統管理員 Intune和Microsoft大部分的產品一樣,管理是以角色為基礎,而在Intune中要如何給其他使用者管理員的權限呢? 1.進入Microsoft Intune管理介面,點選管理>系統管理員管理>服務系統管理員>新增。 2.輸入使用者ID,並設定權限。 3.新增完畢後回到服務系統管理員的頁面,點選管理群組。 4.可以編輯此使用者可以看到的群組。   參考文章: https://technet.microsoft.com/library/mt147412.aspx   == 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==

Office 365 管理者日誌 (31) 在SharePoint Online實作請假流程

在Office 365 管理者日誌 (27) 使用SharePoint Designer自訂工作流程中,只介紹了基本編輯工作流程的方法,這篇文章要開始挑戰稍難一點的部分了。假定的請假流程如下,每位員工在請假時需要有職務代理人,請假時要先經過職務代理人同意,然後由自己部門的經理同意,最後由老闆同意。但是每位員工的職務代理人和經理都不相同,這時要怎麼做呢?以下就要教各位動態指派核准者的方法。 建立對照表 1.新增自訂清單。 2.進入清單後點選編輯。 3.在標題列右方點選+號,選擇個人或群組,建立職務代理人、經理、申請人三個項目。 但是!能在這裡可以進行更動的部分相當少,竟然連刪除都不行~ 不過這裡的介面比較方便,新增後能直接看到最後成果。 如果想要更動比較細部的部分(或是跟我一樣...只是想刪除不小心新增錯的),請參考第四步驟。 4.在網站內容的頁面,對應用程式點選…>設定。 5.進入設定中,可以編輯欄順序。 6.點選欄位名稱,可以編輯此欄位是否必填,也能刪除手動新增的欄位(預設欄位無法刪除)。 7.編輯好欄位後,在此清單中新增幾筆資料。   編輯表單 新增表單庫,開啟InfoPath Designer設計表單。 請參考Office 365 管理者日誌 (25) 使用SharePoint實作單一核准者的電子簽呈。 下圖是我設計的請假表單提供大家參考。 加碼教學InfoPath中的計算值使用方式。 如上圖中我想要自動加總請假時數顯示在下方的欄位中,這時就需要用到計算值了。 1.點選控制項中的計算值。 2.點選該控制項右鍵>計算值內容。 3.點選函式符號,如圖插入欄位後輸入+。 (一開始我以為要用函式中的sum搞了好久,結果原來是我自己想得太複雜了,只要+就好啦~)   編輯工作流程 開啟SharePointDesigner編輯工作流程。 請參考Office 365 管理者日誌 (27) 使用SharePoint Designer自訂工作流程。 這次的工作流程圖如下。 和上一次的差別只在選擇核准程序的負責人時,不是指定特定人士。 而是選使用者的工作流程查閱,要求系統向剛剛建立的對照清單查詢。 此工作流程的邏輯如下。 當使用者A在表單庫新增表單後,該表單的修改者也會是A。 當A=對照表中的申請人,工作流程變會擷取和申請人同列的職務代理人為負責人。 另外在指派電子郵件收件者時,也是用一樣的方法。 但是在選擇欄位回傳的格式時,要選擇電子郵件地址。 如此一來便能做出動態指派核准負責人的工作流程了。 可能有些人會覺得奇怪,為什麼是修改者不是建立者?為什麼是顯示名稱不是使用者識別號碼?因為我測試的結果就是新增表單後,建立者的欄位是空的,修改者欄位才有資料。使用者識別號碼不成功,顯示名稱才成功啊~所以我也不知道為什麼,這方面還要再繼續研究!   參考資料: https://www.youtube.com/watch?v=Vhwz_OJkP8g   == 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==

Office 365 管理員日誌 (30) 無法更名的奇怪帳號

這個是前一陣子遇到的奇怪問題,主要是客戶設定帳號時候沒有再三確認。 所以帳號名稱錯誤也同步到了Office 365上,使用一陣子之後才發現名稱錯了,並想要在AD上更改後同步到Office 365上去。 但奇怪的是不管同步幾次,在Office 365上的帳號名稱依舊是錯誤的,Synchronization Service Manager也沒出現任何同步錯誤的資訊。 想說砍掉重來,不過要先替使用者把所有的信件、檔案、Profile都備份,想到我就覺得累。 最後只好找找看有沒有相關的問題可以參考。最後在Microsoft的網站上有看到一篇文章。 參考裡面的做法後排除了這個怪怪的問題。 操作流程 首先先到Azure AD的網站去下載Azure AD PowerShell並安裝,完成之後以工作管理員的身分啟動 輸入Connect-MsolService,會跳出驗證視窗以Office 365 管理員身分登入。 輸入Set-MsolUserPrincipialName –UserPrincipialName 錯誤的信箱帳號 –NewUserPrincipalName 正確的信箱帳號 後執行即可。 希望上面的方式可以幫助到大家! 參考文章 Changes aren't synced by the Azure Active Directory Sync tool after you change the UPN of a user account to use a different federated domain Set-MsolUserPrincipalName

Office 365 管理者日誌 (28) 設定SharePoint網站權限

在SharePoint網站當中有相當多的設定可以調整,這篇文章要介紹最重要、最實用、最常使用到的權限這個部分。   1.在左上角應用程式中選擇網站。 2.點選右上角齒輪>網站設定。   一般的使用者是沒有網站設定這個選項的,除了Office365的全域管理員外,必須要有SharePoint管理員的身分,或擁有該網站設計以上權限的使用者才有網站設定,但是要能調整網站權限除了管理員,就只有完全控制權限的使用者才有。   指派SharePoint管理員 進入Office365系統管理中心>作用中的使用者,點選使用者後照下圖編輯。   指派完全控制權限 1.進入網站設定後,點選網站權限。 2.點選現有的群組編輯,或是建立新的群組後授予權限。 3.調整權限。 建議實作上給小組網站成員(此群組成員預設是組織內的所有使用者)的權限,可以考慮調整為參與。 預設的編輯權限能新增刪除應用程式(文件庫、表單庫等),怕使用者誤刪或是隨意新增應用程式。   == 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==

Office 365 管理者日誌 (27) 使用SharePoint Designer自訂工作流程

在上一篇簡易的多層簽核設定中,雖然我們能做到多層簽核了,但應該會發現有點不方便的地方是,只能設定在開始和結束時寄信通知。為了使工作流程更加便利好用,我開始研究自訂工作流程的方法,進而發現到用SharePoint Designer編輯工作流程,除了寄信通知外還可以達到其他非常複雜的要求,但這篇文章只先暫時解釋基本的編輯方法,後續要如何寫出更符合客戶要求的工作流程,還有待努力測試與研究。   自訂工作流程 1.請至微軟官方下載中心下載SharePoint Designer,並更新至SP1。 假如未更新至SP1,會導致開Office365網站時跳出沒有權限的錯誤。 https://www.microsoft.com/zh-tw/download/details.aspx?id=42015 2.打開SharePoint Desinger,開啟Office365的網站。 3.在左方導覽中點選清單組件庫,點選上方SharePoint清單或文件庫新增應用程式,或直接點兩下現有應用程式的名稱。 4.進入編輯該應用程式的頁面後,可以看到工作流程這個項目,點選新增。 5.在新增時平台類型要選擇SharePoint2010工作流程,不然無法直接使用核准流程的選項。 6.進入編輯工作流程的階段,最常使用到的就是上方插入區塊的選項。 7.在本篇文章的範例,在動作中,我使用到設定工作流程狀態、傳送電子郵件和開始核准程序。   8.在條件中,我使用到任何值等於任何值。 9.以下是我編輯的工作流程範例,共有三個步驟。 步驟1: 插入動作設定工作流程狀態,手動輸入未開始三個字。 插入動作開始核准程序,編輯程序名稱,指定兩位核准負責人。 注意此地方不用再特意以電子郵件通知,因為核准程序中已經包含電子郵件通知的工作。 步驟2: 插入條件若任何值等於值,點選任何值,在資料來源選擇工作流程變數與參數,來源的欄位選擇變數:IsItemApproved。 插入動作設定工作流程狀態,手動輸入核准中三個字。 插入動作開始核准程序,編輯程序名稱,指定一位核准負責人。 插入Else-If分支。 插入動作設定工作流程狀態,選擇已拒絕。 插入動作傳送電子郵件,選擇使用者的工作流程查閱...,來源的欄位選擇修改者。 步驟3: 插入條件若任何值等於值,點選任何值,在資料來源選擇工作流程變數與參數,來源的欄位選擇變數:IsItemApproved1。 插入動作設定工作流程狀態,選擇已核准。 插入動作傳送電子郵件,選擇使用者的工作流程查閱...,來源的欄位選擇修改者。 插入Else-If分支。 插入動作設定工作流程狀態,選擇已拒絕。 插入動作傳送電子郵件,選擇使用者的工作流程查閱...,來源的欄位選擇修改者。 10.在編輯的過程中,可以對條件或動作按右鍵,選擇上下移動或複製貼上。 11.最後案右上角的發佈。 12.此工作流程大致上和簡易設定中的相同,只是多了寄信通知的程序,若要知道操作程序可參考上一篇。 http://office365.miniasp.com/post/Office-365-管理者日誌-使用SharePoint實作簡易的多層簽核   == 要試用 Office 365 的朋友,請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==