MD-101模拟考试必考知识点梳理：资深微软认证讲师独家分享

原创于 2025-11-13 14:43:56 发布 · 328 阅读

CC 4.0 BY-SA版权

第一章：MD-101考试概述与认证路径

考试基本信息

MD-101，全称为《Managing Modern Desktops》，是微软面向现代桌面管理领域的专业认证考试。该考试主要评估考生在Windows 10及后续版本环境中部署、配置、保护和更新设备的能力。目标受众包括系统管理员和技术支持专家，要求具备使用Microsoft 365服务（如Intune和Azure AD）进行设备管理的实践经验。

认证路径与先决条件

通过MD-101考试并同时通过MD-100（Windows Client）考试后，考生可获得“Modern Desktop Administrator Associate”认证。虽然没有强制性先修认证，但建议掌握以下知识基础：

熟悉Windows操作系统架构与核心功能
了解Azure Active Directory的基本操作
具备Microsoft Intune平台的使用经验
理解移动设备管理（MDM）和移动应用管理（MAM）概念

考试内容分布

技能领域	占比
部署Windows（例如：Autopilot、映像管理）	25-30%
管理设备与数据（Intune策略、BitLocker）	30-35%
配置连接性（网络设置、VPN、Wi-Fi）	15-20%
维护与监控设备（更新管理、报告）	15-20%

备考资源推荐

微软官方提供了一系列学习路径和实验环境，帮助考生准备考试。建议结合以下资源进行系统学习：

访问Microsoft Learn平台完成“Manage modern desktops”学习模块
在Microsoft 365管理中心搭建测试租户环境
练习创建设备配置策略和合规性策略


# 示例：使用PowerShell检查Intune连接状态
Get-IntuneManagedDevice | Select-Object DeviceName, ComplianceState, LastSyncDateTime
# 此命令需安装Microsoft Graph PowerShell SDK，并执行Connect-MgGraph登录

第二章：设备管理与部署策略

2.1 理解现代设备管理架构：Intune与Azure AD集成

现代设备管理依赖于云原生架构，其中 Microsoft Intune 与 Azure Active Directory（Azure AD）深度集成，构建统一的端点管理生态。通过 Azure AD 实现设备身份认证，所有注册设备均获得唯一的数字身份。

数据同步机制

设备注册时，Intune 从 Azure AD 同步用户和设备元数据。该过程基于 OAuth 2.0 协议，确保安全通信。

{
  "device": {
    "displayName": "DESKTOP-ABC123",
    "deviceId": "a1b2c3d4-...",
    "operatingSystem": "Windows 10",
    "enrolledBy": "intune.azure.com"
  }
}

上述 JSON 示例表示设备注册后在 Intune 中存储的核心属性。其中 deviceId 由 Azure AD 分配，用于跨服务识别设备。

策略执行流程

用户登录设备并连接至企业资源
Azure AD 验证身份并检查合规状态
Intune 推送配置策略与条件访问规则
设备本地执行安全策略，如加密要求或应用白名单

2.2 配置设备注册与加入策略：Windows Autopilot实战解析

设备注册流程概览

Windows Autopilot 通过将设备硬件标识符上传至 Microsoft 365 管理中心，实现零接触部署。新设备首次启动时，自动连接到 Azure AD 并应用预配置策略。

关键配置步骤

在 Microsoft Intune 中启用 Autopilot 设备注册
导入设备的硬件哈希（Hardware Hash）
创建设备配置文件并关联用户或设备组

Autopilot 配置文件示例

{
  "id": "autopilot-profile-001",
  "displayName": "Standard User Profile",
  "language": "zh-CN",
  "deviceNameTemplate": "AUTO-{serialNumber}",
  "skipKeyboardSelectionPage": true,
  "userEnrollmentMode": "blockAdditionalUser"
}

上述 JSON 定义了设备命名模板使用序列号、跳过键盘选择页，并限制额外用户登录，适用于标准化办公场景。

策略生效机制

阶段	操作
1. 开机	设备读取硬件哈希并连接 Autopilot 服务
2. 身份验证	用户登录 Azure AD 触发策略分配
3. 配置应用	Intune 下发配置文件与应用策略

2.3 设备配置策略设计：从模板到自定义的落地实践

在大规模设备管理中，配置策略的设计直接影响运维效率与系统稳定性。采用模板化配置可实现标准化部署，提升一致性。

配置模板的结构设计

通过YAML定义基础模板，支持变量注入以适配不同环境：

template: base-router
variables:
  ip_address: "{{ device_ip }}"
  site_name: "{{ site }}"
config:
  interface: lo0
  description: "Loopback for {{ site_name }}"

该模板通过 device_ip和动态注入参数，实现跨区域复用。

自定义策略的扩展机制

当业务需求特殊时，允许继承模板并覆盖特定字段。使用策略优先级机制确保自定义规则生效。

模板继承降低重复配置
变量解耦提升可维护性
版本控制保障变更可追溯

2.4 软件部署与更新管理：应用生命周期控制技巧

在现代软件交付流程中，部署与更新的自动化是保障系统稳定与高效迭代的核心环节。通过持续集成/持续部署（CI/CD）流水线，可实现从代码提交到生产环境的无缝过渡。

声明式部署配置示例

apiVersion: apps/v1
kind: Deployment
metadata:
  name: my-app
spec:
  replicas: 3
  strategy:
    type: RollingUpdate
    rollingUpdate:
      maxUnavailable: 1
      maxSurge: 1

上述Kubernetes部署配置采用滚动更新策略，确保服务不中断。maxUnavailable 控制最多允许一个实例不可用，maxSurge 允许临时多启一个副本以提升可用性。

常见部署策略对比

策略	优点	适用场景
蓝绿部署	切换迅速，回滚即时	关键业务系统
金丝雀发布	风险可控，逐步放量	新功能灰度验证

2.5 合规性策略与条件访问联动机制深度剖析

在现代身份安全架构中，合规性策略与条件访问（Conditional Access, CA）的联动构成了动态访问控制的核心。该机制依据设备状态、用户风险等级和应用敏感度等维度，实时评估并执行访问决策。

策略联动工作流程

当用户发起资源访问请求时，Azure AD 首先评估其是否满足预设的合规性要求，如设备是否已加密、是否安装指定安全软件等。若未达标，条件访问策略将阻断访问或引导至修复流程。

典型策略配置示例

{
  "displayName": "Require Compliant Device",
  "conditions": {
    "users": {
      "includeGroups": ["All Employees"]
    },
    "devices": {
      "deviceStates": {
        "includeDeviceStates": ["Compliant"]
      }
    }
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["block", "compliantDevice"]
  }
}

上述 JSON 定义了一个策略：仅允许来自合规设备的访问。其中 compliantDevice 控制项强制设备必须通过 Intune 等 MDM 系统验证其合规状态。

数据同步机制

设备合规状态由 Intune 定期同步至 Azure AD，确保条件访问引擎获取最新信息。同步延迟通常小于 15 分钟，可通过日志监控同步健康状态。

第三章：操作系统部署与映像管理

3.1 Windows 10/11企业部署方法论：传统 vs 现代

传统部署方式：基于镜像的批量安装

传统企业部署依赖于物理介质或网络启动（PXE）结合MDT（Microsoft Deployment Toolkit）和SCCM（System Center Configuration Manager），通过预配置的WIM或FFU镜像进行系统分发。

依赖硬件兼容性矩阵，维护成本高
镜像更新周期长，难以适应快速迭代需求
需本地基础设施支持，扩展性受限

现代部署方式：Windows Autopilot

现代部署采用云原生策略，利用Azure AD与Intune实现零接触设备配置。新设备开箱即可自动注册并应用企业策略。

# 示例：Autopilot 设备导入CSV格式
DeviceSerialNumber,HardwareHash,GroupTag
ABC123XYZ,7A8B9C0D...,Marketing-Devices

上述CSV文件用于将设备元数据上传至微软云端，实现自动化策略绑定。其中 HardwareHash确保设备合法性， GroupTag用于策略分组管理。

3.2 使用MDT和Autopilot实现零接触部署实操指南

环境准备与组件集成

在开始前，确保已配置Azure AD、Intune和Configuration Manager共管，并启用Windows Autopilot。MDT（Microsoft Deployment Toolkit）用于构建标准化镜像，通过与Autopilot协同，实现从设备开机到域注册的全自动流程。

导出Autopilot硬件ID

将新设备信息导入Intune：

使用 PowerShell 运行 Get-WindowsAutopilotInfo.ps1
导出CSV文件并上传至Azure门户的Autopilot设备列表

Get-WindowsAutopilotInfo -OutputFile C:\HWID\device.csv

该命令提取设备序列号、硬件哈希等关键信息，为零接触注册提供唯一标识支持。

任务序列自动化配置

在MDT中创建任务序列，集成驱动、应用及策略包。通过 CustomSettings.ini实现动态配置：

[Default]
SkipBDDWelcome=YES
SkipProductKey=YES
SkipComputerName=YES
UserDomain=contoso.com

参数说明：跳过交互式输入项，确保部署过程完全无人值守，提升批量部署效率。

3.3 映像优化与维护：精简、测试与版本控制策略

映像精简策略

通过移除不必要的依赖和使用多阶段构建，可显著减小容器映像体积。例如，在 Dockerfile 中：

FROM golang:1.21 AS builder
WORKDIR /app
COPY . .
RUN go build -o main ./cmd/api

FROM alpine:latest
RUN apk --no-cache add ca-certificates
COPY --from=builder /app/main /usr/local/bin/main
CMD ["/usr/local/bin/main"]

该配置利用构建阶段分离编译环境与运行环境，最终镜像仅包含运行时所需二进制和证书，大幅降低攻击面并提升部署效率。

自动化测试与版本控制

采用 Git 标签管理镜像版本，结合 CI 流水线执行单元测试、静态扫描和集成测试。推荐版本命名规范如下：

版本类型	示例	用途说明
语义化版本	v1.4.0	正式发布版本
预发布标签	v1.4.0-rc.1	用于灰度验证

第四章：安全与合规性管理

4.1 基于Intune的安全基线配置与风险缓解

安全基线的定义与作用

Microsoft Intune 提供预定义的安全基线，用于快速实施符合行业标准的安全策略。这些基线涵盖密码策略、设备加密、防火墙设置等关键安全控制项，显著降低攻击面。

典型基线策略配置示例

以下 PowerShell 脚本片段用于导出当前 Intune 安全基线配置：


Get-IntuneDeviceConfigurationPolicy -Filter "platform eq 'windows10'" 
| Where-Object { $_.technologicalCategory -eq "Security Baseline" }

该命令通过筛选 Windows 10 平台的安全基线策略，获取所有已部署的配置项。参数 technologicalCategory 确保仅返回基线策略，排除自定义策略干扰。

风险缓解流程

启用自动合规性评估，定期扫描设备偏差
配置邮件告警，及时通知管理员异常设备
部署补救脚本，自动修复常见配置错误

4.2 设备加密与身份验证策略实施：BitLocker与Hello for Business

在企业环境中，设备数据保护与用户身份验证是安全架构的核心环节。Windows 提供了 BitLocker 和 Windows Hello for Business 两大技术，分别解决磁盘级加密和强身份认证问题。

BitLocker 设备加密机制

BitLocker 通过全盘加密保护存储在设备上的数据，防止物理访问导致的信息泄露。启用前需确保系统分区结构合规：

Manage-bde -on C: -usedspaceonly -encryptionmethod AES-256

该命令对系统盘 C: 启用 AES-256 加密，仅加密已用空间以提升效率。 -usedspaceonly 适用于新设备部署，而完整加密可使用 -full 参数。

Windows Hello for Business 身份验证

相比传统密码，Hello for Business 基于非对称密钥和生物识别（如指纹、面部识别）实现多因素认证。其部署依赖以下组策略配置：

启用“使用 Windows Hello for Business”策略
配置 PIN 复杂度要求（至少6位，含数字或符号）
绑定可信平台模块（TPM）以保护私钥

两者结合可在设备丢失时保障数据机密性，并在登录阶段防止凭证窃取，构建端到端的安全防线。

4.3 数据保护策略（DLP）与条件访问集成应用

在现代企业安全架构中，数据保护策略（DLP）与条件访问（Conditional Access）的深度集成是实现动态安全控制的关键环节。通过将DLP规则与Azure AD条件访问策略联动，可基于敏感数据识别结果动态调整访问权限。

策略协同工作流程

当用户尝试访问包含敏感信息（如信用卡号、个人身份信息）的文档时，DLP引擎会触发分类检测，并将风险等级传递给条件访问系统。后者依据预设策略决定是否阻止操作、要求多因素认证或限制下载。

典型配置示例

{
  "displayName": "Block Access to High-Severity Data",
  "conditions": {
    "applications": { "includeApplications": ["Office365"] },
    "users": { "includeGroups": ["All Employees"] },
    "deviceStates": { "excludeDeviceStates": ["Compliant"] }
  },
  "grantControls": {
    "operator": "OR",
    "builtInControls": ["block"]
  }
}

上述JSON定义了一条条件访问策略：当用户设备不合规且试图访问被DLP标记为高敏感度的数据时，自动阻断请求。其中 builtInControls: ["block"]确保强制执行，而设备状态检查增强了端点安全性边界。

4.4 监控与报告：合规性状态分析与修复流程

实时监控与合规性检测

通过集成策略引擎，系统可周期性扫描资源配置状态，并与预定义合规策略进行比对。检测结果以事件形式输出，便于后续分析。

{
  "compliance_check": {
    "resource_id": "i-12345678",
    "policy_rule": "encryption-at-rest-enabled",
    "status": "non-compliant",
    "timestamp": "2024-04-05T10:00:00Z"
  }
}

该日志结构记录了资源ID、应遵循的策略规则、当前合规状态及检测时间，为审计提供可追溯的数据基础。

自动修复流程触发机制

发现不合规项后，系统依据严重程度分级响应。低风险问题生成告警，高风险问题则触发自动化修复工作流。

检测到不合规状态
评估风险等级与影响范围
选择对应修复策略模板
执行修复动作并记录操作日志

第五章：备考策略与模拟考试经验总结

制定个性化学习计划

成功的备考始于合理的时间分配。建议使用甘特图工具规划每周学习任务，重点覆盖薄弱模块。例如，将Linux系统管理、网络配置与安全策略设为核心攻坚内容，每日安排1.5小时专项训练。

高频命令实战演练

运维考试中命令行操作占比高，需熟练掌握常用指令。以下为典型故障排查命令示例：


# 检查系统负载与内存使用
top -b -n 1 | head -10

# 查看日志中的错误条目
grep -i "error" /var/log/syslog | tail -20

# 测试网络连通性并追踪路由
ping -c 4 google.com
traceroute 8.8.8.8