Microsoft 365 基礎知識 Part 2

18 min readSep 30, 2024

終端裝置的現代化管理與佈署

隨著組織將更多作業轉移到雲端，組織可以讓員工在任何位置、在任何裝置上工作。組織需要解決方案來確保所有終端裝置的安全，同時保持員工的設備最新並為他們提供一致和個性化的體驗。微軟作為雲端提供者和OS，建構了全面的雲端電腦管理解決方案。這些解決方案為 IT 部門提供遠端電腦配置和簡化的端點管理工具。

我們將介紹Microsoft 的端點管理解決方案，例如 Microsoft Intune、configuration manager、Windows AutoPilot等。我們會介紹Windows 365 和 Azure 虛擬桌面之間的差異，並了解 Windows-as-a-Service和 Microsoft 365 應用程式的部署選項。所以我們會簡單介紹以下功能:

Microsoft 365 的management capabilities
Windows 365 和 Azure 虛擬桌面之間的差異
Windows-as-a-Service的部署和發布模型
Microsoft 365 應用程式的部署方法和更新管道

Microsoft 365 的management capabilities

在當今的混合和遠端工作場所中，組織面臨著管理以不同方式配置的各種需要存取其資源的設備的挑戰。組織可能擁有各式各樣的行動裝置與電腦，可能也有BYOD。員工需要協作並從任何地方安全地存取和連接這些資源。 IT 部門需要管理終端使用者的存取並保護資料，同時為員工提供隨時隨地的工作支援。

Microsoft Intune 是一系列產品和服務，這是雲端統一端點管理解決方案。 Intune 系列包括Microsoft Intune serviceConfiguration Manager, co-management, Endpoint Analytics, Windows Autopilot and Intune admin center。這些解決方案可以幫助管理、保護和監控組織的所有終端設備。

這些解決方案支援使用一中非侵入性應用程式管理(Non-Intrusive App Management)來保護公司自有設備和個人設備上的資料。指的是一種管理策略，允許企業對應用程式進行管理和控制，而不影響使用者的體驗或裝置的正常使用。此策略特別適用於 BYOD（自帶裝置）和混合工作環境中，旨在確保安全的同時，減少對使用者裝置的干擾。

具體來說，Non-Intrusive App Management 具有以下幾個特點：

應用程式隔離和保護：應用程式與個人資料分離，確保企業資料的安全性，且不影響使用者個人應用的運行。
資料保護策略：可以應用資料保護策略（如加密、資料洩露防護），但不需要完全控制或鎖定裝置。
柔性策略應用：允許 IT 部門在不影響使用者個人設定或應用的情況下實施安全策略，例如限制複製貼上、截圖，或強制應用身份驗證。
最小化使用者干擾：儘可能減少對使用者日常操作的影響，使管理操作對於使用者來說「無感」或「非侵入性」。

透過這種管理模式，企業可以實現對公司應用程式和資料的有效管理和安全防護，同時確保使用者的個人體驗不被過多干擾。

Non-Intrusive App Management透過資料保護和端點合規性支援零信任安全模型，同時提高 IT 效率並改善混合工作環境中的管理員和最終使用者體驗。

Microsoft Intune的效益

上面說道，這是一個SaaS的終端裝置管理服務，包含行動裝置與個人電腦。Intune的效益如下:

可以管理 Android、AOSP、iOS/iPadOS、macOS 和 Windows 等裝置，並透過Policy的方式來管理組織的資源存取。
Intune 簡化了應用程式管理，提供內建部署、更新和刪除功能、Microsoft 365 應用程式支援、Win32 應用程式部署以及用於應用保護政策和資料存取控制的工具。
Intune 可自動執行應用程式、安全性、裝置配置、合規性、條件存取等方面的政策部署。
公司入口網站應用程式為員工提供自助式服務功能，例如 PIN/密碼重設、應用程式安裝等。
Intune 與行動威脅防禦工具（包括 Microsoft Defender for Endpoint 和第三方服務）整合，強調端點安全，支援即時威脅回應和自動修復策略。

配置管理(Configuration Manager)

配置管理是一種地端管理自動化解決方案，用於管理任何網路設備或是作業系統。配置管理透過減少手動作業並讓員工執行一些高生產力的工作。配置管理透過安全地大規模部署應用程式和更新、促進設備上的即時操作、為現場和線上設備提供雲端驅動的分析、管理合規性設定以及提供對所有電腦設備全面監督來強化 IT 服務。配置管理與多種 Microsoft 技術協作。

共同管理

共同管理是將現有"配置管理"附加到 Microsoft 365 雲端的主要方法之一，從而強化"conditional access"等功能。它允許透過配置管理和Intune 同時管理 Windows 10 或之後的版本，從而增強配置管理的功能。在 Intune 中註冊了 "配置管理"用戶端的裝置可以從這兩個服務中受益。將特定工作負載從配置管理轉移到 Intune 的權限由我們控制，而配置管理保留對其他工作負載的權限。

租戶附加(Tenant-attach)

租用戶附加是讓裝置記錄放在雲端中，我們能夠從雲端控制台對這些裝置進行操作。它提供來自"配置管理"用戶端的即時資料。還允許我們從 Intune 管理中心管理 Windows 伺服器和用戶端裝置的端點安全，包括防毒狀態和惡意軟體報告。

端點分析(Endpoint Analytics)

端點分析是一項雲原生服務，可提供有關 Windows 用戶端裝置的運作狀況和效能的指標和建議。端點分析是 Microsoft Adoption Score的一部分。端點分析可以幫助識別可能會降低裝置效能的策略或硬體問題，並在用戶反映又問題之前主動進行改進。我們可以在透過連接到 Intune 或有配置管理功能的裝置上使用端點分析。

Windows 自動駕駛(Windows Autopilot)

Windows自動駕駛是一項雲原生服務，可設定和預先配置(pre-configures)新設備，讓它們做好使用準備(例如新員工報到)。也可以使用 Windows自動駕駛"重設、重新調整用途和復原裝置(reset, repurpose, and recover)"。這個自動化作業可以簡化IT Helpdesk的工作。我們可以使用 Autopilot 預先設定裝置、自動將裝置加入 Microsoft Entra ID（正式名稱為 Azure Active Directory 或 Azure AD）或在 Intune 中註冊裝置、自訂開箱即用體驗等。也也可以將 Autopilot 與 Configuration Manager 整合並共同管理以實現更多裝置配置。

Windows 365與Azure虛擬桌面(AVD)的不同

Windos 365與AVD都是虛擬桌面的解決方案，即Desktop-as-a-Service。

AVD 是一種在雲端上運行的桌面和應用程式虛擬化( app virtualization)解決方案。 AVD 允許使用者連接到在雲端中執行的 Windows 桌面。它是唯一在 Windows 上提供multi-session的解決方案。 AVD的功能如下:

設定 multi-session Windows 用戶端部署，提供具有可擴充性的完整 Windows 體驗。
一台VM可以給一個或多個使用者使用，使用 FSLogix 技術。
將現有的遠端桌面服務 (RDS) 和 Windows Server 桌面和應用程式帶到任何電腦。
桌面和應用程式的虛擬化。
Azure 運算和儲存由使用者管理，並以基於消耗的成本進行管理(也就是Pay-as-you-go)。

Windows 365 是一項雲端服務(我們可視為輕量版的AVD)，可自動為終端使用者建立新型 Windows 虛擬機器 (VM)（稱為雲端 PC）。 Windows 365 為各種規模的組織引進了一種體驗 Windows 用戶端的新方式。Windows 365的功能有:

將應用程式、資料、內容和設定從 Microsoft 雲端串流到任何設備，然後可以從上次中斷的地方繼續作業。
跨裝置可用的個人化 Windows 365 雲端PC。
每個人都可以有自己的Windows 365，也就是專用。
透過單一控制台即可部署和管理。
將Windows授權指派給使用者，然後會自動為該使用者配置 Windows 365。
Azure 運算和儲存由 Microsoft 以固定成本管理(也就是一口價)。

目前分為兩個本版，Windows 365 Business與Windows 365 Enterprise。功能比較可以參考這裡，使用要求可以參考這裡。

WaaS(Windows-as-a-Service)佈署與發佈模式

Windows Client 是一個全面的桌面作業系統，可有效率且安全地運作。保持作業系統的update非常重要，因為它有助於設備高效運作並受到保護。 WaaS是一種使用 Windows desktop的新方式。 WaaS 模式旨在透過簡化 Windows 用戶端電腦的部署和服務。 WaaS 為使用者維持一致且最新的 Windows 體驗。(應該是用來取代WSUS)

發布方式

Windows Client有以下兩種發布模式:

Feature Update — 新增功能，每年發布兩次。以下的效益為：
1.1 應用新功能的干擾更少，所以電腦不用跑太久。
1.2透過更早存取新的 Windows 功能，使用者可以提高工作效率。
1.3使用者只用更少的時間來適應較小的變化。
1.4 減少了update Windows 的工作量和成本影響。
Quality updates提供安全性和可靠性修復。這些更新會作為非安全版本或組合安全性 + 非安全版本每月發布一次。非安全版本可讓 IT 管理員對內容進行早期驗證。此外，還發布了累進更新(cumulative update)，其中包括先前的所有更新。效益為：
2.1發現的安全問題已快速修復和部署，有助於確保設備安全。
2.2每個設備都會定期收到安全修復程序，使所有設備保持一致。

Servicing channels

服務管道(Servicing channels)是將使用者分群以進行功能和品質更新的第一種方法。服務管道共有三個。當這些更新傳送到終端電腦時，每個管道都提供不同程度的靈活性。

Windows Insider program為組織提供了測試下一個功能更新中將提供的功能並提供回饋的機會。新功能在開發週期中透過稱為「flighting」的過程交付給 Windows Insider 社群。此過程將使組織能夠準確了解 Microsoft 正在開發的內容並儘快開始測試。 Microsoft 建議所有組織至少有一些設備註冊到此計劃中。(筆者看來是微軟把客戶的Production環境當白老鼠阿)
General Availability Channel 每年都會透過功能更新發布新功能。這才是經過測試的，但還是先在一小群電腦上先進行測試，沒問題後再大量佈署。
Long-term servicing channel專為沒有 Office 應用程式的專業系統和設備（例如醫療設備或 ATM）而設計。與組織中的其他設備相比，這些設備通常執行單一任務，不需要頻繁更新。這個方式會每兩到三年就會更新功能。

佈署

Deployment rings是一種用於將設備劃分到部署時間軸(deployment timeline)的部署方法。每個「ring」由一組一起接收特定更新的使用者或裝置組成。 IT 管理員會設定要部署的滿足的標準，以控制部署到下一個更多設備和使用者環之前的延遲時間或完成情況。

常見的Ring結構佈署有三種：

Preview用於規劃和開發。
預覽環的目的是評估更新的新功能。
Limited 用於測試和驗證。
limited ring的目的是驗證組織網路上可以先被更新的設備。
Broad是為了大量部署。
一旦limited ring中的設備過了測試穩定期，就可以在網路上進行大量部署。

要成功部署 Windows，了解部署 Windows 的不同方式非常重要。部署方式有以下三種：

現代部署方法掌握可以管理到地端與雲端服務。

Windows Autopilot 讓 IT 人員可為 Windows PC 客製化開箱即用體驗 (OOBE)，並為終端使用者提供完全設定的新 Windows 裝置。終端使用者可以自己完成部署流程，無不用找IT 管理員。
In-place upgrade提供了一個簡單的自動化流程，使用 Windows 安裝程式從早期版本的 Windows 進行升級。此過程會自動保留現有作業系統版本中的所有資料、設定、驅動程式和應用程式。這個方式需要IT人員的幫忙。

動態部署方法能夠為特定VIP配置應用程式和設置，而無需自訂一個新的OS Image部署到裝置。

當許可使用者登入裝置時，訂閱啟動(Subscription activation)使用訂閱從一種 Windows 版本切換到另一種版本。例如，可以從 Windows 10 專業版切換到 Windows 10 企業版。
Azure Active Directory (Azure AD) 與自動MDM (automatic mobile device management) 註冊結合，會自動將裝置加入 Azure AD 並由 MDM 進行設定。員工只需提供使用者 ID 和密碼。
Provisioning package configuration使用 Windows ICD(Imaging and Configuration Designer) 工具。此工具用於建立包含可應用於裝置的所有設定、設定和應用程式的預配套件。

傳統方式

新電腦（也稱為裸機 bare metal）是指部署新裝置或清除現有裝置並使用New Image進行部署。
Computer refresh（也稱為wipe-and-load）是指透過儲存使用者狀態、清除磁碟，然後恢復使用者狀態來重新部署裝置。
Computer replace是指用新設備更換現有設備。您將使用者狀態保存在舊裝置上，然後將其還原到新裝置上。

M365 Apps的佈署與更新

M365 apps可由使用者在其裝置上單獨安裝。但管理更新並將自訂的應用程式部署到用戶的裝置通常是有效益的，以確保所有用戶都會根據他們工作角色上需要的應用程式來佈署。以下清單說明了可用於部署 M365 應用程式的不同方法：

使用Configuration Manager從本機來源部署。使用 Configuration Manager 管理部署，並從網路上的分發點下載和部署 Office。
使用ODT(Office Deployment Tool)從雲端部署。使用 ODT 管理部署並直接從 Office CDN在用戶端裝置上安裝 Office。此部署工具用命令列運行，並使用設定檔(XML檔)來確定部署 Office 時要套用的設定。Microsoft 建議使用 Office Customization Tool來建立configuration file。
ODT的佈署來源也可以是本機來源。
從雲端自行安裝。從 Office 入口網站管理部署，並讓使用者直接從入口網站在其用戶端裝置上安裝 Office。

M365 Apps的效益之一是 Microsoft 定期為 Office 應用程式提供新功能和更新功能。可以透過指定update channel來控制組織中的使用者取得這些新功能的頻率。根據需要，微軟還為每個update channel提供每月發布的另外兩種類型的更新：

安全性更新是協助保護 Office 免受潛在惡意攻擊的更新
非安全性更新（quality updates）是為 Office 提供穩定性或效能改良

以下是 M365 Apps的三個主要update channels：

Current Channel一旦準備好就會收到功能更新，但沒有固定的時間表。它每月還會收到約兩到三次安全和非安全更新。 Microsoft 推薦用這個方式，因為它可以在使用者準備好後立即為他們提供最新的 Office 功能。
Monthly Enterprise Channel每月第二個星期二接收一次功能更新。這個Monthly update可以包括功能、安全性和非安全性更新。如果組織希望按照可預測的發布計劃每月為使用者提供一次新的 Office 功能，Microsoft 建議使用此方式。
Semi-Annual Enterprise Channel每六個月接收一次功能更新，在一月和七月的每月第二個星期二接收一次功能更新。此更新可能包括功能更新、安全性更新和非安全性更新。 Microsoft 僅建議在組織中那些在推出新 Office 功能之前需要進行大量測試的特定裝置才用這個方式。

部署給組織中的使用者的 M365 Apps的update channel可能取決於多個因素，例如應用程式相容性測試和使用者準備。並非組織中的所有使用者都需要使用相同update channel。

M365的分析報表

M365使用Microsoft Viva Insights來進行報表分析，看看員工是不是在混。Microsoft Viva Insights 是 Microsoft Viva 的一部分功能。 Viva Insights 提供受隱私保護的洞察力和可行的建議，員工可以看到只有他們自己才能看到的生產力報表。Team和organization insights可以讓老闆看到誰在混。

Personal Insights

員工可以看到自己的生產力報表，並且AI會建議要改進甚麼。Viva Insights可以以網頁方式或用Microsoft Teams呈現。其中幾個頁籤呈現的內容如下:

「Home tab」頁籤可以看到洞察力(insight)和行動(actions)，以改善生產力和團隊合作。

"Recommended for you"部分提供有關讚美、滿足規範、專注時間、電子郵件管理、偷懶的時間、虛擬通勤、冥想和反思的個人化建議。
"Your progress"部分追蹤與會議、偷懶的時間、專注時間預約等相關的指標。
" Inspiration library"提供專家精心策劃的生產力內容

「Wellbeing tab」頁籤可幫助了解和改善工作習慣、管理時間。

"Take action"部分提供健康建議，例如專注時間規劃、安排電子郵件/訊息、設定安靜時間、休息、下班後斷開連線等等。
“Track your progress”部分監控專注時間統計數據和預訂的專注時間等指標，以顯示健康行動的進展。
“Act with intention”部分提供了有關集中註意力、冥想和健康的文章，以幫助有意識地行動。
透過”Reflect on your emotions”部分，可以檢查自己的感受和反思趨勢

「Productivity」頁籤提供與會議、時間管理和任務相關的洞察力和工具，幫助提高會議效率、生產力和協作。

“Meeting habits”部分顯示個人在組織和參加的會議中的習慣或做法的洞察力。
"Meeting category insights"部分顯示個人如何在 Outlook 會議類別之間分配時間。
"Meeting effectiveness surveys"部分提供了與會者對組織的會議的總結回饋，以幫助個人了解哪些方面進展順利以及在未來的會議中可以改進哪些面向。
"Shared meeting plans"部分透過自動執行會議持續時間、Teams 連結和回饋等設置，幫助個人與同事養成健康的會議習慣。
"Suggested tasks"部分透過識別重要聯絡人、追蹤承諾、跟進共享文件、獲得@提及和回覆會議來幫助保持工作效率並與協作者保持聯繫。

「Teamwork tab」標籤可讓個人更了解誰是每個人的經常協作者以及個人與這些人合作的時間，從而幫助個人建立和加強團隊內部的聯繫。

透過email使用Viva Insights

Viva Insights in Outlook add-in。 Viva Insights add-in會向我們顯示 Outlook 中有關如何準備即將召開的會議、獲得專注時間、維護工作關係以及規劃下班時間的洞察力。
Briefing emails in Outlook。 Viva 的每日簡報電子郵件會在當天開始時自動寄出。它提供了在當天會議之前查看的文件建議、未完成的作業承諾、請求、後續行動和建議的重點時間。
Digests in Outlook。在 Outlook 中的摘要電子郵件中為個人提供有關工作模式的關鍵要點。
Inline suggestions in Outlook。當個人閱讀或撰寫電子郵件或會議邀請時，這些由資料和 AI 驅動的簡短通知會出現在 Outlook 中。

Team Insights

Viva Insights 在 Teams 和網頁中的 Viva Insights app中管理者提供團隊洞察力。Team insights可以幫助管理者提高無論規模大小的團隊的生產力。深入了解個人作為管理者的習慣以及團隊會議習慣及其對團隊的影響，同時獲得有關如何改善團隊協作習慣的建議。 Viva Insights 內的Shared plans為管理者提供了一種為會議、聚焦設定積極的團隊規範的方法。

Organization Insights

Viva Insights 在 Teams 和網頁中的 Viva Insights app中為業務主管和管理者提供組織洞察力。組織洞察力幫助管理者和領導者了解他們的組織如何在工作中取得成功以及目前團隊或公司範圍內的規範。領導者和管理者可以看到組織福祉、生產力和團隊文化的關鍵指標。這些洞察力使他們能夠了解組織的績效，幫助確定進行變革的機會，從而改善業務成果，並找到有助於支持團隊的功能和工具。組織洞察力使領導者和管理者能夠在團隊和組織內創造積極的變革。

Advanced Insights

與組織洞察力一樣，高階洞察力可以讓企業領導者更了解工作如何塑造員工和業務。這些見解可以幫助領導者解決有關組織韌性和工作文化的關鍵問題。領導者可以看到流程變革可以改善業務成果的機會，並採取措施保護員工福祉。