Então, aqui está o meu enigma.
Eu tenho cerca de 500 PCs no campo que não estão em um domínio (sim, eu sei. Eu não configurei a rede) e estou tentando gerenciá-los via InTune. Esses computadores estão terrivelmente desatualizados (a antiga SA desativou o Windows Update e instalou o Deep Freeze) para que os computadores estivessem "um pouco" seguros em termos de infecções por vírus / malware. (Não realmente, mas para acelerar isso e chegar ao ponto ...)
De agora em diante, quero remover o Deep Freeze e contar com um sistema mais robusto de atualizações, remoção ativa de vírus / malware e patches. Dito isso, estou um pouco preso sobre como fazer isso.
As contas nessas máquinas são definidas como administradores locais sem nenhuma limitação em seus direitos de instalação / desinstalação. Estou no processo de implantar o intune em cada um desses computadores.
Minha pergunta: Qual seria o "melhor" (veja: o modo mais eficaz) para desabilitar instalações de usuários finais, enquanto ainda é capaz de distribuir software / atualizações via InTune.
Qualquer ajuda com isso seria muito apreciada.
"My Question: What would be the "best" (see: most effective way) to disable end-user installs, while still being able to distribute software / updates via InTune."
Faça o downgrade de todas as suas contas de usuário para que elas não sejam mais administradores locais.
Desde que o usuário seja um administrador local da máquina, eles podem fazer o que quiserem com essa máquina e não há nada que você possa fazer para detê-los.