Microsoft Intune 是由微软开发的基于云的企业移动管理和移动应用程序管理服务。Intune 作为Microsoft Endpoint Manager套件的一部分,为企业提供了一种集中化的方式来管理组织内的各种设备和应用程序,管理员可借助Microsoft Intune,使用这些设备通过创建策略的方式安全地访问企业资源,虽然Microsoft Intune与通过windows内置的组策略实现端点策略控制的细粒度相比较而言,会在一定程度上相形见绌,但Microsoft Intune 可管理配置的系统范围极大,它不仅可以直接管理处于工作组环境的各种Android、Android 开源项目 (AOSP) 、iOS/iPadOS、Linux Ubuntu Desktop、macOS 和 Windows 客户端等设备,也可管理已加入到本地AD域,或者已经加入Microsoft enten ID,以及同时加入本地AD域并注册到Microsoft enten ID(混合AD加入)的各种操作系统设备,我们可以通过如下操作步骤,来将设备加入到Microsoft Intune中。

1.首先,使用拥有“Intune 管理员”角色身份的用户,登录到Microsoft Intune管理中心控制台中。

2.在左侧面板中,单击“设备”-“管理设备”-“脚本和修正”进入到脚本管理页面,如下图所示。

3.在“脚本和修正”管理页面,单击“平台脚本”来添加“windows10及更高版本”的平台脚本,如下图所示。如果本地目标域中存在macOS及Linux系统客户端,也可以在此处中添加这两个系统的执行脚本。

4.随后我们将进入到“添加 PowerShell 脚本”页面,在添加 PowerShell 脚本页面中的“基本”选项卡上,配置脚本的名称以及具体的说明描述,在此处为了进行演示,笔者添加了一个名为“calc”的powershell脚本,并对其脚本进行了描述说明,如下图所示。

5.在“脚本设置”选项卡页面的“脚本位置”中,点击选择上传将要在本地AD域目标机器中执行的Powershell脚本文件, 笔者为了进行演示,编写了一个在本地弹出计算器的powershell脚本,并将其文件命名为"calc.ps1",名为“calc.ps1”的powershell脚本内容如图-xx所示,上传结果如图-xx所示。

6.在此需要注意的是,在“脚本设置”中所上传的Powershell脚本文件会通过Intune代理程序写入到本地AD域目标机器的磁盘中,当我们上传完Powershell脚本文件后,随后将“脚本设置”选项卡中下面的三项全部选择“否”。不允许该脚本通过用户的凭据在客户端计算机上运行,不强制行脚本签名检查,不在 64 位 PowerShell 主机中运行脚本,这样我们所添加的powershell脚本即可在不检查发布者签名的情况下,以SYSTEM 用户身份在32位的powershell主机中执行我们所编写的Powershell脚本。

7.接下来,在“分配”选项卡设置中,如下图所示,我们可以自行选择添加将要执行powershell脚本的“组”“所有用户”“所有设备”对象,以及不执行powershell脚本的“排除组”对象。

8.如果想要将powershell脚本分配给某个特定的“组”执行,可直接点击“添加组”,勾选将powershell脚本限定为某个特定“组”的用户执行的组名称,并点击“选择”完成分配,如下图所示。

9.如果我们想要在所有设备、所有用户上执行该powershell脚本,可直接选择“添加所有用户”及“添加所有设备”,如下图所示。当分配完将要执行的“对象”后,可点击“下一页进入到“查看+添加”页面。

10.在“查看+添加”页面中,可看到我们最终配置的所有内容,包括我们在前几步中所配置“基本信息”、“脚本设置”、“脚本分配”等配置,确定配置后,如下图所示,可直接点击“添加”按钮,如即可成功创建分配一个powershell脚本,如下图所示。

11.如下图所示,我们在Microsoft Intune中创建的powershell脚本已经成功分配下发到所有设备中,在默认情况下,每台设备上运行的 Intune 代理其会以每小时一次的频率来执行Microsoft Intune所下发的powershell脚本,如图-xx所示,我们已经看到其最终执行的结果。