第一章：MD-101认证与Intune管理基础概述

Microsoft MD-101认证，全称为“Managing Modern Desktops”，是面向IT专业人员的重要资格认证之一，主要评估其在Windows设备管理、安全策略设定以及利用Microsoft Intune实施现代桌面部署方面的实际能力。该认证特别适用于那些需要掌握从传统本地环境向云端管理模式转型的技术支持人员和系统管理员。

MD-101认证涵盖的核心技能领域

• 规划并执行操作系统部署及更新策略
• 配置与维护设备合规性和安全性设置
• 通过Microsoft Intune实现应用程序的全生命周期管理
• 监控终端设备健康状况，并支持远程操作与故障处理

Intune在现代桌面管理中的关键角色

Microsoft Intune 是一种基于云的设备管理服务，使组织能够对多种平台（包括Windows、macOS、iOS和Android）上的设备、应用和策略进行统一管控。借助Intune，管理员可实现零接触式设备部署、条件访问控制以及自动化的合规性检查。

例如，以下PowerShell脚本调用 Microsoft Graph API 可用于创建一个基本的设备合规策略：

# 连接到Microsoft Graph（需先安装MSAL模块）
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

# 创建合规策略（示例为Windows10设备）
$params = @{
    "@odata.type" = "#microsoft.graph.windows10CompliancePolicy"
    description = "确保设备启用BitLocker和自动更新"
    displayName = "Win10-加密与更新合规"
    bitLockerEnabled = $true
    signatureOutOfDate = $false
    antiVirusRequired = $true
}
New-MgDeviceManagementDeviceCompliancePolicy -BodyParameter $params

该代码将建立一项强制要求启用BitLocker磁盘加密和防病毒软件的合规规则，任何未满足条件的设备将被禁止访问企业资源。

典型部署架构示意

功能模块	对应MD-101考察点	典型工具
设备注册	移动设备管理集成	Autopilot, Company Portal
策略分发	配置策略设计	Intune门户, PowerShell
应用管理	应用部署与更新	Win32 Apps, Store for Business

第二章：设备注册与配置策略实践

2.1 Azure AD联合身份验证与设备注册流程解析

在当前主流的混合身份架构中，Azure AD 联合身份验证机制允许企业将其本地 Active Directory 安全地与云服务集成。通过使用 SAML 或 OAuth 协议，用户可以在不将凭证上传至云端的前提下完成身份认证。

联合身份验证流程说明

当用户尝试访问某个云应用时，Azure AD 会将认证请求重定向到已配置的本地身份提供者（如ADFS）：

HTTP/1.1 302 Found
Location: https://adfs.contoso.com/adfs/ls?
    wa=wsignin1.0&
    wtrealm=urn:federation:MicrosoftOnline&
    wctx=...

此响应引导客户端跳转至 ADFS 进行登录操作；成功后，ADFS 签发 SAML token，由 Azure AD 验证并通过该令牌建立会话。

设备注册机制详解

当设备加入 Azure AD 时，系统会为其颁发设备证书，并将设备信息注册至目录中。这一过程依赖于 Intune 或 Microsoft Entra ID 提供的设备注册服务端点，确保只有受控且可信的设备才能接入企业资源。

阶段	作用
发现	客户端查询 enterpriseenrollment.pointtoservice.com 获取注册入口
认证	使用用户凭据或已有证书进行身份确认
注册	设备信息写入 Azure AD 并签发正式设备证书

2.2 配置设备限制策略以强化数据安全防护

在现代企业IT环境中，设备限制策略构成了保护敏感数据的第一道防线。通过设定严格的合规性规则，可以有效阻止未经授权或存在风险的设备访问关键资源。

设备限制策略的关键构成要素

常见的设备限制策略包含操作系统版本控制、磁盘加密状态要求、越狱或Root状态检测等。例如，在Intune中可通过JSON格式定义如下策略：

{
  "deviceCompliancePolicy": {
    "osMinimumVersion": "11.0",
    "requireEncryption": true,
    "jailBreakDetectionEnabled": true
  }
}

上述配置确保仅当设备满足最低操作系统版本、启用了磁盘加密且未被越狱时，才允许接入企业级应用。

其中：

osMinimumVersion

用于防止运行已知存在漏洞系统的设备接入网络；

requireEncryption

保障静态存储数据的安全性；

jailBreakDetectionEnabled

拦截已被篡改或越狱的终端设备。

策略执行与持续监控机制

一旦策略生效，MDM系统将定期轮询各设备的状态信息。若发现设备不再符合合规标准，则会自动将其隔离，并触发相应的告警通知。

2.3 实践：构建并部署联动Conditional Access的合规性策略

在现代身份安全体系中，设备合规性与访问控制之间的联动极为重要。通过整合 Microsoft Intune 与 Azure AD 的功能，可实现仅允许合规设备访问企业资源的目标。

策略配置步骤

首先，在 Intune 中创建设备合规性策略，例如强制要求设备开启加密、启用防火墙等功能。随后，在 Conditional Access 策略中引用该合规状态作为访问前提。

{
  "conditions": {
    "deviceStates": {
      "includeStates": [ "Compliant" ]
    }
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": [ "mfa", "compliantDevice" ]
  }
}

以上 JSON 片段表示：用户在访问特定资源时，必须来自一台合规设备，或者通过多因素认证（MFA）进行身份验证。其中：

includeStates: Compliant

明确指定了设备必须处于“合规”状态。

策略生效逻辑流程

1. 用户尝试访问受保护的应用程序（如 SharePoint Online）
2. Azure AD 触发 Conditional Access 策略评估流程
3. 系统检查目标设备是否由 Intune 管理，并是否符合预设的合规规则
4. 如果设备不符合合规要求，则访问请求将被拒绝，或强制启动补救流程

2.4 使用配置轮廓统一管理Windows 10/11设备设置

在大型企业环境中，集中化管理大量Windows设备的各项系统设置至关重要。配置轮廓（Configuration Profiles）通过集中下发策略，实现对设备安全、网络连接、账户配置及设备功能等方面的精细化管理。

配置轮廓的主要组成部分

• 平台选择：指定策略适用的操作系统范围，如Windows 10/11
• 配置类型：包括Wi-Fi设置、证书部署、账户策略、设备功能控制等
• 作用域标签：用于限定策略仅应用于特定用户组或设备集合，提升策略分配的灵活性与精确度

通过Intune实现设备策略部署与应用管理

使用Microsoft Intune可对注册设备推送安全配置，例如以下JSON片段用于禁用3D打印功能及摄像头访问，从而提升终端安全性。这些参数经由Intune云端下发至客户端设备，确保策略即时生效并符合企业合规要求。

{
  "@odata.type": "#microsoft.graph.windows10GeneralConfiguration",
  "deviceManagementExchangeConnectorId": "enrollment.company.com",
  "connectedDevicesServiceEnabled": false,
  "printing3DBlocked": true,
  "cameraBlocked": true
}

策略优先级与冲突处理机制

策略类型	优先级	覆盖规则
本地组策略	低	可被云端策略覆盖
Intune配置轮廓	高	优先执行，覆盖本地设置

设备状态监控与故障排查方法

持续监控CPU利用率、内存占用、磁盘I/O等核心性能指标，是保障系统稳定运行的重要手段。通过实时采集数据，能够快速识别潜在异常并进行响应。

常用监控命令示例

sudo iostat -x 1 5
# 每秒输出一次磁盘使用详情，连续5次
# -x：显示扩展统计信息，便于分析IO瓶颈

该命令用于分析磁盘负载情况，重点关注 %util（超过80%表示过载）和 await 值（反映读写延迟），为性能优化提供依据。

典型故障排查流程

1. 检查系统日志：

/var/log/messages

或

journald

查看系统事件记录以定位错误源头。

2. 验证网络连通性：

ping

结合

netstat

诊断端口连接状态与通信问题。

3. 定位资源瓶颈：

综合使用

top

和

vmstat

判断是否存在内存泄漏或CPU争用现象。

完整排查路径：故障触发 → 日志分析 → 资源监控 → 根因定位 → 恢复验证

第三章：应用生命周期管理实践

3.1 Win32应用打包与Intune部署

在企业环境中，将Win32应用程序部署至Intune前需先完成封装处理。借助Microsoft Intune Win32 Content Prep Tool工具，可将原始安装包转换为符合平台规范的.intunewin格式。

打包操作步骤

• 准备原始安装文件（如 setup.exe）
• 运行打包工具对内容进行压缩与加密
• 上传生成的.intunewin文件至Intune门户，并配置相应部署策略

.\IntuneWinAppUtil.exe -c PackageSource\ -s setup.exe -o Output\

上述命令将指定目录中的 setup.exe 打包成 .intunewin 文件。其中 -c 指定源路径，-s 定义主安装程序，-o 设置输出目录。工具会自动分析依赖项并生成必要的清单文件。

部署配置选项说明

配置项	说明
检测规则	通过文件、注册表键值或MSI产品码判断应用是否已安装
安装行为	支持以用户或系统上下文运行，可配置静默安装模式

3.2 应用保护策略（APP Policy）的数据隔离配置

在移动设备管理场景中，应用保护策略（APP Policy）是防止敏感信息外泄的关键技术。通过设定精细化的控制规则，确保企业数据仅在受控应用间流通。

核心策略参数配置

• 剪贴板限制：禁止将受保护应用内的内容复制到非托管个人应用
• 屏幕截图禁用：在涉及机密信息的应用界面中关闭系统截屏功能
• 应用间通信控制：限定文件分享目标仅为已注册的企业级应用

如下为Intune中配置的应用保护策略示例（JSON片段）：

{
  "allowedDataStorageLocations": ["companyPortal", "oneDriveForBusiness"],
  "contactSyncBlocked": true,
  "dataBackupBlocked": false,
  "saveAsBlocked": true
}

此策略强制要求所有数据存储于企业指定位置（如OneDrive for Business），禁用“另存为”操作以防本地扩散，同时允许数据备份以满足审计与合规需求。

3.3 Microsoft Store for Business与第三方应用分发管理

统一管理企业应用的分发过程，有助于提升安全性与运维效率。Microsoft Store for Business 提供集中式部署能力，支持向用户或设备分配购买的应用、免费应用以及内部开发程序。

应用获取与权限分配

管理员可通过 Azure Active Directory 组策略实现精准推送。例如，使用 PowerShell 命令检索符合条件的应用：

Get-MSStoreApp -All | Where-Object { $_.Name -like "*Office*" }

该命令查询名称包含“Office”的所有应用条目，参数 `-All` 确保加载完整目录列表，配合过滤器实现精确匹配业务需求。

第三方应用分发方案

除商店应用外，Intune也支持上传和部署非商店来源的应用（如 Win32 或 MSIX 包）。实施前需完成数字签名验证，并可配置安装前后执行的脚本逻辑。

分发方式	适用场景	管理工具
自动推送	核心办公软件（如Office套件）	Intune + AAD
自助门户	可选辅助工具软件	Microsoft Store for Business

第四章：自动化运维与报告集成操作

4.1 利用Intune与Power Automate构建自动化流程

在现代IT管理体系中，实现设备配置与策略执行的自动化至关重要。通过深度整合Microsoft Intune与Power Automate，可达成从设备注册到合规检查的全流程自动化响应。

触发条件设定

Power Automate可根据Intune中的事件触发工作流。例如，当某设备未能通过合规评估时，系统可自动发送告警通知或启动修复任务。

自动化流程示例

{
  "trigger": "When a device fails compliance policy",
  "action": "Send an email to user and IT admin",
  "condition": "Device.OS = 'Windows 10'"
}

定义当设备处于不合规状态时触发邮件提醒；

trigger

监听来自Intune的设备事件；

action

调用Office 365邮件服务发送通知；

condition

设置条件确保仅特定操作系统版本执行该动作。

执行动作编排逻辑

• 通过Intune API获取设备详细信息
• 判断设备是否属于关键岗位用户
• 自动重新应用安全策略或远程执行合规修正脚本

4.2 配置设备脚本实现高级策略控制

在当前网络自动化实践中，利用脚本对接设备API已成为提升运维灵活性与效率的核心方式。通过编写脚本可动态实施访问控制、流量调度及安全策略部署。

（示例脚本语言：Python）

def apply_qos_policy(device_ip, bandwidth_limit):
    # 连接目标设备并推送QoS配置
    config = f"""
    traffic-class high-priority {{
        bandwidth {bandwidth_limit}mbps;
        priority-level 1;
    }}
    """
    send_config_to_device(device_ip, config)

bandwidth_limit

该函数封装了QoS策略的下发逻辑，通过参数设定最大带宽限制，并利用模板化配置实现策略的快速部署与批量应用。支持多种类型的网络策略管理，包括：

- QoS流量整形及优先级标记  
- 基于时间维度的访问控制列表（ACL）配置  
- 动态路由策略注入机制  

采用结构化脚本对网络设备进行统一策略管理，有效提升配置的一致性与运维响应效率。

4.3 设备健康报告与安全基准的风险评估

在现代终端安全管理架构中，设备健康报告是识别潜在安全威胁的重要依据。系统定期采集操作系统版本、补丁更新状态、防病毒启用情况以及磁盘加密配置等关键信息，帮助管理员全面掌握终端设备的合规状况。

安全基线比对流程

设备上报数据将自动与预设的安全基准（如CIS Benchmark）进行比对。以下为常见检查项示例：


    

        
检查项
        
基准值
        
风险等级
    
    

        
磁盘加密启用
        
是
        
高
    
    

        
防火墙运行状态
        
启用
        
中
    
    

        
系统自动更新
        
开启
        
中
    


# 获取Windows设备健康状态
Get-CimInstance -ClassName Win32_OperatingSystem | Select-Object Version, LastBootUpTime
Get-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V | Where-Object State -eq "Enabled"

上述自动化评估脚本用于提取系统版本及核心安全功能启用状态，输出结果可用于判断设备是否满足虚拟化环境下的安全隔离要求。结合Intune或SCCM平台，可进一步构建大规模设备风险评分模型，实现集中化风险管控。

4.4 自定义洞察报告与告警通知机制设置

构建完善的可观测性体系时，自定义洞察报告是实现主动式运维的关键手段。通过明确定义关键性能指标（KPI），系统能够周期性生成趋势分析报表，辅助决策优化。

Prometheus 自定义查询配置

# 按实例统计过去5分钟HTTP请求错误率
100 * sum(rate(http_requests_total{status=~"5.."}[5m])) by (instance) 
  / sum(rate(http_requests_total[5m])) by (instance)

该PromQL查询语句用于计算各服务实例的错误请求占比，进而生成异常热点图。其中，rate函数用于平滑计数器波动，sum by则实现按指定维度聚合数据，提升监控精度。

Alertmanager 通知渠道配置

- 集成企业微信机器人：将告警信息推送至指定群组  
- 设置静默规则：避免系统维护期间产生误报  
- 启用事件去重策略：防止相同告警重复发送  

最终通过Grafana定时导出PDF格式的可视化报告，并结合webhook触发自动化响应流程，实现闭环处理。

第五章：三天掌握Intune核心流程 — 总结与进阶建议

设备合规策略实战配置

在企业环境中，确保接入设备符合既定安全标准至关重要。以下是一个针对Windows 10/11设备的合规策略示例，可通过Intune管理门户或Microsoft Graph API完成部署：

{
  "@odata.type": "#microsoft.graph.deviceCompliancePolicy",
  "displayName": "Win11-加密与更新要求",
  "description": "要求设备启用BitLocker并保持系统更新",
  "platforms": "windows10AndLater",
  "settings": [
    {
      "settingInstance": "requireBitLockerEnabled",
      "value": true
    },
    {
      "settingInstance": "osMinimumVersion",
      "value": "10.0.19045"
    }
  ]
}

应用部署最佳实践

在使用Intune部署Line-of-Business (LOB) 应用时，推荐采用渐进式发布（rollout）策略。具体操作步骤如下：

1. 将 .intunewin 格式的安装包上传至Intune管理门户  
2. 为目标用户组分配应用，并设置为“可用”状态（非强制安装）  
3. 结合Azure Monitor日志分析安装成功率与失败原因  
4. 利用“再评估间隔”机制（建议设置为8小时）自动修复部署异常  

条件访问与身份联动策略

Intune需与Azure AD深度集成，以实现基于设备状态的动态访问控制。下表列举典型应用场景及其配置策略：


    

        
场景
        
设备状态要求
        
条件访问策略动作
    
    

        
访问Exchange Online
        
已注册且合规
        
允许 + MFA
    
    

        
访问敏感SharePoint站点
        
已管理且加密
        
仅允许合规设备
    


自动化运维建议

建议部署PowerShell脚本并通过Intune定期执行终端健康检查任务，例如验证防病毒软件运行状态、磁盘加密启用情况等，并将检测结果回传至Log Analytics工作区，用于构建可视化运维仪表板，提升整体管理效率。