průvodce plánováním Microsoft Intune
Úspěšné nasazení nebo migrace Microsoft Intune začíná plánováním. Tato příručka vám pomůže naplánovat přesun nebo přijetí Intune jako sjednoceného řešení správy koncových bodů.
Intune poskytuje organizacím možnosti, jak dělat to, co je pro ně a pro mnoho různých uživatelských zařízení nejlepší. Zařízení můžete zaregistrovat v Intune pro správu mobilních zařízení (MDM). Můžete také použít zásady ochrany aplikací pro správu mobilních aplikací (MAM), které se zaměřují na ochranu dat aplikací.
Tento průvodce:
- Seznamy a popisuje některé běžné cíle správy zařízení.
- Seznamy potenciálních licenčních potřeb
- Poskytuje pokyny ke zpracování zařízení v osobním vlastnictví.
- Doporučuje projít si aktuální zásady a infrastrukturu.
- Uvádí příklady vytvoření plánu zavedení.
- A další
V tomto průvodci můžete naplánovat přesun nebo migraci do Intune.
Tip
- Chcete tuto příručku vytisknout nebo uložit ve formátu PDF? Ve webovém prohlížeči použijte možnost TiskUložit jako PDF.
- Tento průvodce je živá věc. Proto nezapomeňte přidat nebo aktualizovat existující tipy a pokyny, které jsou pro vás užitečné.
Krok 1 – určení cílů
Organizace používají správu mobilních zařízení (MDM) a správu mobilních aplikací (MAM) k bezpečnému řízení dat organizace a s minimálním přerušením pro uživatele. Při vyhodnocování řešení MDM/MAM, jako je Microsoft Intune, se podívejte, jaký je cíl a čeho chcete dosáhnout.
V této části probereme běžné cíle nebo scénáře při používání Intune.
Cíl: Přístup k aplikacím organizace a e-mailu
Uživatelé očekávají, že budou pracovat na zařízeních, která používají aplikace organizace, včetně čtení a odpovídání na e-maily, aktualizace a sdílení dat a další. V Intune můžete nasadit různé typy aplikací, mezi které patří:
- Aplikace Microsoft 365
- Aplikace Win32
- Obchodní aplikace
- Vlastní aplikace
- Integrované aplikace
- Aplikace pro Store
✅ Úkol: Vytvoření seznamu aplikací, které uživatelé pravidelně používají
Tyto aplikace jsou aplikace, které chcete mít na svých zařízeních. Některé důležité informace:
Mnoho organizací nasazuje všechny aplikace Microsoft 365, jako je Word, Excel, OneNote, PowerPoint a Teams. Na menších zařízeních, jako jsou mobilní telefony, můžete v závislosti na požadavcích uživatelů instalovat jednotlivé aplikace.
Prodejní tým může například vyžadovat Teams, Excel a SharePoint. Na mobilních zařízeních můžete místo nasazení celé produktové řady Microsoft 365 nasadit jenom tyto aplikace.
Uživatelé dávají přednost čtení & odpovídání na e-maily a připojení ke schůzkám na všech zařízeních, včetně osobních zařízení. Na zařízeních vlastněných organizací můžete nasadit Outlook a Teams a předkonfigurovat tyto aplikace pomocí nastavení vaší organizace.
Na osobníchzařízeních Proto se rozhodněte, jestli chcete uživatelům udělit přístup k aplikacím organizace, jako jsou e-maily a schůzky.
Další informace a důležité informace najdete v článku Osobní zařízení a zařízení vlastněná organizací (v tomto článku).
Pokud máte v úmyslu používat Microsoft Outlook na zařízeních s Androidem a iOS/iPadOS, můžete Outlook předem nakonfigurovat pomocí zásad konfigurace Intune aplikací.
Projděte si chráněné aplikace navržené pro práci s Intune. Tyto aplikace jsou podporované partnerské aplikace a aplikace Microsoftu, které se běžně používají s Microsoft Intune.
Cíl: Zabezpečený přístup na všech zařízeních
Když jsou data uložená na mobilních zařízeních, musí být chráněná před škodlivými aktivitami.
✅ Úkol: Určení způsobu zabezpečení zařízení
Mezi důležité aspekty patří antivirová ochrana, kontrola malwaru, reakce na hrozby a udržování zařízení v aktualizovaném stavu. Chcete také minimalizovat dopad škodlivých aktivit.
Některé důležité informace:
Antivirová ochrana (AV) a ochrana proti malwaru jsou nutností. Intune se integruje s Microsoft Defender for Endpoint a různými partnery ochrany před mobilními hrozbami (MTD) a pomáhá chránit spravovaná zařízení, osobní zařízení a aplikace.
Microsoft Defender for Endpoint zahrnuje funkce zabezpečení a portál, který pomáhá monitorovat hrozby a reagovat na ně.
Pokud dojde k ohrožení zabezpečení zařízení, chcete pomocí podmíněného přístupu omezit škodlivý dopad.
Například Microsoft Defender for Endpoint prohledá zařízení a může určit, jestli je zařízení ohroženo. Podmíněný přístup může automaticky blokovat přístup organizace na tomto zařízení, včetně e-mailu.
Podmíněný přístup pomáhá chránit vaši síť a prostředky před zařízeními, a to i před zařízeními, která nejsou zaregistrovaná v Intune.
Aktualizujte zařízení, operační systém a aplikace, aby byla vaše data zabezpečená. Vytvořte plán, jak a kdy se nainstalují aktualizace. V Intune existují zásady, které vám pomůžou spravovat aktualizace, včetně aktualizací aplikací pro Store.
S určením strategie aktualizací softwaru vám můžou pomoct následující průvodci plánováním aktualizací softwaru:
Určete, jak se uživatelé budou ověřovat k prostředkům organizace z mnoha svých zařízení. Můžete například:
Používejte certifikáty na zařízeních k ověřování funkcí a aplikací, jako je připojení k virtuální privátní síti (VPN), otevření Outlooku a další. Tyto certifikáty umožňují uživatelské prostředí bez hesla. Bez hesla se považuje za bezpečnější než vyžadování, aby uživatelé zadali uživatelské jméno a heslo organizace.
Pokud plánujete používat certifikáty, použijte k vytvoření a nasazení profilů certifikátů infrastrukturu infrastruktury veřejných klíčů (PKI).
Použijte vícefaktorové ověřování (MFA) pro další vrstvu ověřování na zařízeních vlastněných organizací. Nebo můžete použít vícefaktorové ověřování k ověřování aplikací na osobních zařízeních. Je také možné použít biometriku, jako je rozpoznávání obličeje a otisky prstů.
Pokud plánujete k ověřování používat biometriku, ujistěte se, že vaše zařízení podporují biometriku. Většina moderních zařízení to dělá.
Implementujte nasazení nulová důvěra (Zero Trust). S nulová důvěra (Zero Trust) používáte funkce v Microsoft Entra ID a Microsoft Intune k zabezpečení všech koncových bodů, ověřování bez hesla a další.
Nakonfigurujte zásady pro omezování dat , které jsou součástí aplikací Microsoft 365. Tyto zásady pomáhají zabránit sdílení dat organizace s jinými aplikacemi a umístěními úložiště, která vaše IT nespravuje.
Pokud někteří uživatelé potřebují přístup jenom k firemnímu e-mailu a dokumentům, což je běžné pro zařízení v osobním vlastnictví, můžete od uživatelů vyžadovat, aby používali aplikace Microsoft 365 se zásadami ochrany aplikací. Zařízení nemusí být zaregistrovaná v Intune.
Další informace a důležité informace najdete v článku Osobní zařízení a zařízení vlastněná organizací (v tomto článku).
Cíl: Distribuce IT
Mnoho organizací chce dát různým správcům kontrolu nad umístěními, odděleními atd. Například skupina Charlotte IT Admins řídí a monitoruje zásady v areálu Charlotte. Tito správci IT společnosti Charlotte můžou zobrazit a spravovat zásady pouze pro umístění Charlotte. Nemůžou zobrazit a spravovat zásady pro umístění v Redmondu. Tento přístup se nazývá distribuované IT.
V Intune těží distribuované IT z následujících funkcí:
Značky oboru používají řízení přístupu na základě role (RBAC). To znamená, že oprávnění ke správě zásad a profilů pro uživatele a zařízení v jejich oboru mají jenom uživatelé v konkrétní skupině.
Když použijete kategorie registrace zařízení, zařízení se automaticky přidají do skupin na základě kategorií, které vytvoříte. Tato funkce se používá Microsoft Entra dynamických skupin a usnadňuje správu zařízení.
Když uživatelé zaregistrují své zařízení, vyberou si kategorii, například Prodej, Správce IT, zařízení v místě prodeje atd. Po přidání zařízení do kategorie jsou tyto skupiny zařízení připravené k přijetí vašich zásad.
Když správci vytvářejí zásady, můžete vyžadovat více schválení správce pro konkrétní zásady, včetně zásad, které spouštějí skripty nebo nasazují aplikace.
Správa oprávnění koncového bodu umožňuje standardní úlohy uživatele bez oprávnění správce, které vyžadují zvýšená oprávnění, jako je instalace aplikací a aktualizace ovladačů zařízení. Správa oprávnění koncového bodu je součástí sady Intune Suite.
✅ Úkol: Určení způsobu distribuce pravidel a nastavení
Pravidla a nastavení se nasazují pomocí různých zásad. Některé důležité informace:
Určete strukturu správy. Můžete třeba chtít oddělení oddělit podle umístění, například Charlotte IT Admins nebo Cambridge IT Admins. Možná budete chtít oddělení oddělit podle rolí, jako jsou správci sítě , kteří řídí veškerý přístup k síti, včetně sítě VPN.
Tyto kategorie se stanou značkami oboru.
Další informace o vytváření skupin správců najdete tady:
Organizace někdy potřebují používat distribuované IT v systémech, kde se k jednomu tenantovi Intune připojuje velký počet místních správců. Například velká organizace má jednoho Intune tenanta. Organizace má velký počet místních správců a každý správce spravuje konkrétní systém, oblast nebo umístění. Každý správce musí spravovat jenom svoji polohu, a ne celou organizaci.
Další informace najdete v tématu Distribuované it prostředí s mnoha správci ve stejném Intune tenantovi.
Mnoho organizací odděluje skupiny podle typu zařízení, jako jsou zařízení s iOS/iPadOS, Androidem nebo Windows. Příklady:
- Distribuce konkrétních aplikací na konkrétní zařízení Například nasaďte aplikaci Microsoft Shuttle na mobilní zařízení v síti Redmond.
- Nasaďte zásady do konkrétních umístění. Například nasaďte profil Wi-Fi do zařízení v síti Charlotte, aby se automaticky připojila, když jsou v dosahu.
- Řízení nastavení na konkrétních zařízeních Můžete například zakázat kameru na zařízeních s Androidem Enterprise používaných ve výrobní oblasti, vytvořit antivirový profil v programu Windows Defender pro všechna zařízení s Windows nebo přidat nastavení e-mailu do všech zařízení s iOS/iPadOS.
Tyto kategorie se stanou kategoriemi registrace zařízení.
Cíl: Zachování dat organizace uvnitř organizace
Když jsou data uložená na mobilních zařízeních, měla by být chráněná před náhodnou ztrátou nebo sdílením. Tento cíl také zahrnuje vymazání dat organizace z osobních zařízení a zařízení vlastněných organizací.
✅ Úkol: Vytvoření plánu pro různé scénáře, které mají vliv na vaši organizaci
Některé ukázkové scénáře:
Zařízení je ztraceno, odcizeno nebo se už nepoužívá. Uživatel opustí organizaci.
- V Intune můžete zařízení odebrat vymazáním, vyřazením nebo ručním zrušením registrace. Zařízení, která se nehlásila s Intune, můžete taky automaticky odebrat x dní.
- Na úrovni aplikace můžete odebrat data organizace z aplikací spravovaných Intune. Selektivní vymazání je skvělé pro osobní zařízení, protože uchovává osobní data v zařízení a odebírá jenom data organizace.
Na osobních zařízeních můžete uživatelům zabránit v kopírování a vkládání, pořizování snímků obrazovky nebo přeposílání e-mailů. Ochrana aplikací zásady můžou tyto funkce blokovat na zařízeních, která nespravujete.
Na spravovaných zařízeních (zařízeních zaregistrovaných v Intune) můžete tyto funkce řídit také pomocí konfiguračních profilů zařízení. Profily konfigurace zařízení řídí nastavení na zařízení, ne v aplikaci. Na zařízeních, která přistupují k vysoce citlivým nebo důvěrným datům, můžou konfigurační profily zařízení zabránit kopírování a vkládání, pořizování snímků obrazovky a dalšímu.
Další informace a důležité informace najdete v článku Osobní zařízení a zařízení vlastněná organizací (v tomto článku).
Krok 2 – Inventarizace zařízení
Organizace mají celou řadu zařízení, včetně stolních počítačů, notebooků, tabletů, ručních skenerů a mobilních telefonů. Vlastníkem těchto zařízení je organizace nebo uživatelé. Při plánování strategie správy zařízení zvažte vše, co má přístup k prostředkům vaší organizace, včetně osobních zařízení.
Tato část obsahuje informace o zařízení, které byste měli zvážit.
Podporované platformy
Intune podporuje běžné a oblíbené platformy zařízení. Pro konkrétní verze přejděte na podporované platformy.
✅ Úloha: Upgrade nebo výměna starších zařízení
Pokud vaše zařízení používají nepodporované verze, což jsou primárně starší operační systémy, je čas operační systém upgradovat nebo vyměnit zařízení. Tyto starší operační systém a zařízení můžou mít omezenou podporu a představují potenciální bezpečnostní riziko. Tato úloha zahrnuje stolní počítače se systémem Windows 7, zařízení iPhone 7 s původním operačním systémem v10.0 atd.
Osobní zařízení a zařízení vlastněná organizací
Na osobních zařízeních je normální a očekává se, že uživatelé budou kontrolovat e-maily, připojovat se ke schůzkám, aktualizovat soubory a dělat další akce. Mnoho organizací umožňuje osobním zařízením přístup k prostředkům organizace.
Vlastní zařízení /osobní zařízení jsou součástí strategie správy mobilních aplikací (MAM), která:
- Stále roste popularita v mnoha organizacích
- Je dobrou volbou pro organizace, které chtějí chránit data organizace, ale nechtějí spravovat celé zařízení.
- Snižuje náklady na hardware.
- Může zvýšit možnosti mobilní produktivity zaměstnanců, včetně vzdálených & hybridních pracovních procesů
- Odebere jenom data organizace z aplikací, místo aby se odebrala všechna data ze zařízení.
Zařízení vlastněná organizací jsou součástí strategie správy mobilních zařízení (MDM), která:
- Poskytuje úplnou kontrolu správcům IT ve vaší organizaci.
- Má bohatou sadu funkcí, které spravují aplikace, zařízení a uživatele.
- Je dobrou volbou pro organizace, které chtějí spravovat celé zařízení, včetně hardwaru a softwaru.
- Může zvýšit náklady na hardware, zejména pokud jsou stávající zařízení zastaralá nebo už se nepodporují
- Může ze zařízení odebrat všechna data, včetně osobních údajů.
Jako organizace a jako správce rozhodujete, jestli jsou osobní zařízení povolená. Pokud osobní zařízení povolíte, musíte udělat důležitá rozhodnutí, včetně toho, jak chránit data vaší organizace.
✅ Úkol: Určení způsobu zpracování osobních zařízení
Pokud je pro vaši organizaci důležité být mobilní nebo podporovat vzdálené pracovníky, zvažte následující přístupy:
Možnost 1: Povolit osobním zařízením přístup k prostředkům organizace. Uživatelé mají na výběr, jestli se chtějí zaregistrovat, nebo ne.
Pro uživatele, kteří registrují svá osobní zařízení, správci tato zařízení plně spravují, včetně zásad nabízení obsahu, řízení funkcí zařízení & nastavení a dokonce i vymazání zařízení. Jako správce můžete chtít tento ovládací prvek nebo si můžete myslet, že ho chcete.
Když si uživatelé zaregistrují svá osobní zařízení, nemusí si uvědomit nebo pochopit, že správci můžou na zařízení dělat cokoli, včetně náhodného vymazání nebo resetování zařízení. Jako správce nemusíte chtít, aby tato odpovědnost nebo potenciální dopad na zařízení, která vaše organizace nevlastní, nechtěla.
Mnoho uživatelů také odmítá registraci a mohou najít jiné způsoby přístupu k prostředkům organizace. Například vyžadujete, aby zařízení byla zaregistrovaná, aby používala aplikaci Outlook ke kontrole e-mailu organizace. Pokud chtějí uživatelé tento požadavek přeskočit, otevřou na zařízení libovolný webový prohlížeč a přihlásí se k Outlook Web Accessu, což nemusí být to, co chcete. Nebo vytvoří snímky obrazovky a uloží obrázky na zařízení, což také není to, co chcete.
Pokud zvolíte tuto možnost, nezapomeňte uživatele informovat o rizicích a výhodách registrace jejich osobních zařízení.
U uživatelů, kteří si neregistrují svá osobní zařízení, pak můžete spravovat přístup k aplikacím a zabezpečit data aplikací pomocí zásad ochrany aplikací.
Použijte prohlášení o podmínkách a ujednáních se zásadami podmíněného přístupu. Pokud uživatelé nesouhlasí, nezískají přístup k aplikacím. Pokud uživatelé s příkazem souhlasí, přidá se záznam zařízení do Microsoft Entra ID a zařízení se stane známou entitou. Když je zařízení známé, můžete sledovat, k čemu se ze zařízení přistupuje.
Přístup a zabezpečení vždy řídíte pomocí zásad aplikací.
Podívejte se na úkoly, které vaše organizace používá nejčastěji, jako jsou e-maily a připojení ke schůzkám. Pomocí zásad konfigurace aplikací můžete nakonfigurovat nastavení specifická pro aplikaci, jako je Outlook. Pomocí zásad ochrany aplikací můžete řídit zabezpečení a přístup k těmto aplikacím.
Uživatelé můžou například použít aplikaci Outlook na svém osobním zařízení ke kontrole pracovních e-mailů. V Intune vytvoří správci zásady ochrany aplikací Outlook. Tato zásada používá vícefaktorové ověřování (MFA) při každém otevření aplikace Outlook, zabraňuje kopírování a vkládání a omezuje další funkce.
Možnost 2: Chcete , aby byla všechna zařízení plně spravovaná. V tomto scénáři jsou všechna zařízení zaregistrovaná v Intune a spravovaná organizací, včetně osobních zařízení.
Pokud chcete vynutit registraci, můžete nasadit zásadu podmíněného přístupu, která vyžaduje, aby se zařízení zaregistrovala v Intune. Na těchto zařízeních můžete také:
- Nakonfigurujte připojení Wi-Fi nebo VPN pro připojení organizace a nasaďte tyto zásady připojení do zařízení. Uživatelé nemusí zadávat žádná nastavení.
- Pokud uživatelé potřebují na svém zařízení konkrétní aplikace , nasaďte je. Můžete také nasadit aplikace, které vaše organizace potřebuje pro účely zabezpečení, jako je aplikace pro ochranu před mobilními hrozbami.
- Pomocí zásad dodržování předpisů můžete nastavit všechna pravidla , která vaše organizace musí dodržovat, například předpisy nebo zásady, které volají konkrétní ovládací prvky MDM. Potřebujete například Intune k šifrování celého zařízení nebo k vytvoření sestavy všech aplikací v zařízení.
Pokud chcete také řídit hardware, dejte uživatelům všechna zařízení, která potřebují, včetně mobilních telefonů. Investujte do plánu aktualizace hardwaru, aby uživatelé mohli být i nadále produktivní a získali nejnovější integrované funkce zabezpečení. Zaregistrujte tato zařízení vlastněná organizací v Intune a spravujte je pomocí zásad.
Osvědčeným postupem je vždy předpokládat, že data opustí zařízení. Ujistěte se, že jsou vaše metody sledování a auditování zavedeny. Další informace najdete v tématu nulová důvěra (Zero Trust) s Microsoft Intune.
Správa stolních počítačů
Intune může spravovat stolní počítače se systémem Windows 10 a novějším. Klientský operační systém Windows obsahuje integrované moderní funkce správy zařízení a odstraňuje závislosti na místních zásadách skupiny služby Active Directory (AD). Výhody cloudu získáte při vytváření pravidel a nastavení v Intune a nasazování těchto zásad do všech klientských zařízení s Windows, včetně stolních počítačů a počítačů.
Další informace najdete v článku Scénář s asistencí – Moderní desktop spravovaný cloudem.
Pokud jsou vaše zařízení s Windows aktuálně spravovaná pomocí Configuration Manager, můžete je přesto zaregistrovat v Intune. Tento přístup se nazývá spoluspráva. Spoluspráva nabízí řadu výhod, včetně spouštění vzdálených akcí na zařízení (restartování, vzdálené řízení, obnovení továrního nastavení), podmíněného přístupu s dodržováním předpisů zařízením a dalších. Zařízení můžete k Intune připojit také do cloudu.
Další informace najdete v článku:
✅ Úkol: Podívejte se, co aktuálně používáte pro správu mobilních zařízení.
Vaše přijetí správy mobilních zařízení může záviset na tom, co vaše organizace aktuálně používá, včetně toho, jestli toto řešení používá místní funkce nebo programy.
Dobré informace najdete v průvodci nastavením nasazení .
Některé důležité informace:
Pokud aktuálně nepoužíváte žádnou službu nebo řešení MDM, může být nejlepší přejít přímo na Intune.
Pokud aktuálně používáte místní objekty Zásady skupiny Objects (GPO), pak přechod na Intune a používání katalogu nastavení Intune je podobné a může to být jednodušší přechod na zásady cloudových zařízení. Katalog nastavení obsahuje také nastavení pro zařízení Apple a Google Chrome.
U nových zařízení, která nejsou zaregistrovaná v Configuration Manager nebo řešení MDM, může být nejlepší přejít přímo na Intune.
Pokud aktuálně používáte Configuration Manager, mezi vaše možnosti patří:
- Pokud chcete zachovat stávající infrastrukturu a přesunout některé úlohy do cloudu, použijte spolusprávu. Získáte výhodu obou služeb. Stávající zařízení můžou přijímat některé zásady z Configuration Manager (místní) a jiné zásady z Intune (cloudu).
- Pokud chcete zachovat stávající infrastrukturu a používat Intune k monitorování místních zařízení, použijte připojení tenanta. Získáte výhodu používání Centra pro správu Intune, zatímco ke správě zařízení stále používáte Configuration Manager.
- Pokud chcete, aby zařízení bylo čistě cloudové řešení, přejděte na Intune. Někteří Configuration Manager uživatelé raději nadále používají Configuration Manager s připojením tenanta nebo spolusprávou.
Další informace najdete v tématu Úlohy spolusprávy.
Zařízení frontline worker (FLW)
Sdílené tablety a zařízení jsou společné pro pracovníky v první linii (FLW). Používají se v mnoha odvětvích, včetně maloobchodu, zdravotnictví, výroby a dalších.
K dispozici jsou možnosti pro různé platformy, včetně zařízení virtuální reality s Androidem (AOSP), zařízení iPad a Windows 365 cloudových počítačů.
✅ Úloha: Určení scénářů FLW
Zařízení FLW jsou vlastněná organizací, zaregistrovaná ve správě zařízení a používají se jedním uživatelem (přiřazeným uživatelem) nebo mnoha uživateli (sdílená zařízení). Tato zařízení jsou důležitá pro pracovníky v první linii, aby mohli dělat svou práci, a často se používají v režimu omezeného použití. Může to být například zařízení, které skenuje položky, veřejný terminál, který zobrazuje informace, nebo tablet, který kontroluje pacienty v nemocnici nebo zdravotnickém zařízení.
Další informace najdete v tématu Správa zařízení frontline worker v Microsoft Intune.
Krok 3 – Určení nákladů a licencování
Správa zařízení je vztah s různými službami. Intune zahrnuje nastavení a funkce, které můžete ovládat na různých zařízeních. Existují také další služby, které hrají klíčovou roli:
Microsoft Entra ID P1 nebo P2 (zahrnuté v licenci Microsoft 365 E5) obsahuje několik funkcí, které jsou klíčové pro správu zařízení, mezi které patří:
- Windows Autopilot: Klientská zařízení s Windows se můžou automaticky zaregistrovat do Intune a automaticky přijímat vaše zásady.
- Vícefaktorové ověřování (MFA): Uživatelé musí zadat dvě nebo více metod ověření, jako je PIN kód, ověřovací aplikace, otisk prstu a další. Vícefaktorové ověřování je skvělou volbou při používání zásad ochrany aplikací pro osobní zařízení a zařízení vlastněná organizací, která vyžadují dodatečné zabezpečení.
- Podmíněný přístup: Pokud uživatelé a zařízení dodržují vaše pravidla, například 6místné heslo, získají přístup k prostředkům organizace. Pokud uživatelé nebo zařízení nesplňují vaše pravidla, nezískají přístup.
- Dynamické skupiny uživatelů a dynamické skupiny zařízení: Přidejte uživatele nebo zařízení automaticky do skupin, když splňují kritéria, jako je město, pracovní pozice, typ operačního systému, verze operačního systému a další.
Aplikace Microsoft 365 (zahrnuté v licenci Microsoft 365 E5) zahrnují aplikace, na které uživatelé spoléhají, včetně Aplikací Outlook, Word, SharePoint, Teams, OneDrive a dalších. Tyto aplikace můžete nasadit do zařízení pomocí Intune.
Microsoft Defender for Endpoint (je součástí licence Microsoft 365 E5) pomáhá monitorovat a kontrolovat škodlivá zařízení s Windows. Můžete také nastavit přijatelnou úroveň hrozby. V kombinaci s podmíněným přístupem můžete při překročení úrovně hrozby zablokovat přístup k prostředkům organizace.
Microsoft Purview (součást licence Microsoft 365 E5) klasifikuje a chrání dokumenty a e-maily použitím popisků. V aplikacích Microsoft 365 můžete tuto službu používat k zabránění neoprávněnému přístupu k datům organizace, včetně aplikací na osobních zařízeních.
Microsoft Copilot v Intune je nástroj pro analýzu zabezpečení generativní AI. Přistupuje k vašim Intune datům a pomáhá vám spravovat zásady a nastavení, porozumět stavu zabezpečení a řešit problémy se zařízeními.
Copilot v Intune je licencován prostřednictvím Microsoft Copilot pro zabezpečení. Další informace najdete v článku Začínáme s Microsoft Copilot pro zabezpečení.
Intune Suite poskytuje pokročilé funkce správy a zabezpečení koncových bodů, jako je vzdálená nápověda, Microsoft Cloud PKI, Správa oprávnění koncových bodů a další. Sada Intune Suite je k dispozici jako samostatná licence.
Další informace najdete v článku:
- Licencování Microsoft Intune
- Microsoft 365 pro firmy
- Licencování Microsoftu 365 Enterprise
- Microsoft Intune Suite
✅ Úkol: Určení licencovaných služeb, které vaše organizace potřebuje
Některé důležité informace:
Pokud je vaším cílem nasadit zásady (pravidla) a profily (nastavení), bez jakéhokoli vynucování potřebujete minimálně:
- Intune
Intune je k dispozici s různými předplatnými, a to i jako samostatná služba. Další informace najdete v tématu Microsoft Intune licencování.
Aktuálně používáte Configuration Manager a chcete pro svá zařízení nastavit spolusprávu. Intune už je součástí vaší licence Configuration Manager. Pokud chcete Intune plně spravovat nová zařízení nebo stávající společně spravovaná zařízení, budete potřebovat samostatnou Intune licenci.
Chcete vynutit dodržování předpisů nebo pravidla hesel, která vytvoříte v Intune. Potřebujete minimálně:
- Intune
- Microsoft Entra ID P1 nebo P2
Intune a Microsoft Entra ID P1 nebo P2 jsou k dispozici s Enterprise Mobility + Security. Další informace najdete v Enterprise Mobility + Security cenových možnostech.
Chcete spravovat jenom aplikace Microsoft 365 na zařízeních. Potřebujete minimálně:
- Microsoft 365 Basic Mobility and Security
Další informace najdete v článku:
Chcete do svých zařízení nasadit aplikace Microsoft 365 a vytvořit zásady, které vám pomůžou zabezpečit zařízení s těmito aplikacemi. Potřebujete minimálně:
- Intune
- Aplikace Microsoft 365
Chcete vytvářet zásady v Intune, nasazovat aplikace Microsoft 365 a vynucovat pravidla a nastavení. Potřebujete minimálně:
- Intune
- Aplikace Microsoft 365
- Microsoft Entra ID P1 nebo P2
Vzhledem k tomu, že všechny tyto služby jsou součástí některých plánů Microsoftu 365, může být používání licence Microsoftu 365 nákladově efektivní. Další informace najdete v tématu Licenční plány Microsoftu 365.
Krok 4 – kontrola existujících zásad a infrastruktury
Mnoho organizací má existující zásady a infrastrukturu správy zařízení, která se pouze udržuje. Můžete mít například 20 let staré zásady skupiny a nevíte, co dělají. Při zvažování přechodu do cloudu místo toho, abyste se dívali na to, co jste vždy dělali, určete cíl.
S ohledem na tyto cíle vytvořte směrný plán zásad. Pokud máte více řešení pro správu zařízení, teď může být čas na použití jedné služby správy mobilních zařízení.
✅ Úloha: Podívejte se na úlohy, které spouštíte místně.
Tato úloha zahrnuje pohled na služby, které by se mohly přesunout do cloudu. Nezapomeňte, že místo toho, abyste se dívali na to, co jste vždycky dělali, určete cíl.
Tip
Přečtěte si další informace o koncových bodech nativních pro cloud , které jsou dobrým prostředkem.
Některé důležité informace:
Zkontrolujte stávající zásady a jejich strukturu. Některé zásady se můžou použít globálně, některé na úrovni lokality a některé jsou specifické pro zařízení. Cílem je znát a pochopit záměr globálních zásad, záměr místních zásad atd.
Zásady skupiny místní služby Active Directory se použijí v pořadí LSDOU – místní, lokalita, doména a organizační jednotka (OU). V této hierarchii zásady organizačních jednotky přepíší zásady domény, zásady domény přepíší zásady lokality atd.
V Intune se zásady použijí pro uživatele a skupiny, které vytvoříte. Neexistuje hierarchie. Pokud dvě zásady aktualizují stejné nastavení, zobrazí se nastavení jako konflikt. Další informace o chování při konfliktech najdete v tématu Běžné dotazy, problémy a řešení týkající se zásad a profilů zařízení.
Po kontrole zásad se globální zásady AD logicky začnou vztahovat na skupiny, které máte nebo skupiny, které potřebujete. Tyto skupiny zahrnují uživatele a zařízení, na která chcete cílit na globální úrovni, na úrovni webu atd. Tento úkol vám poskytne představu o struktuře skupin, kterou potřebujete v Intune. Dobrým prostředkem můžou být doporučení k výkonu pro seskupování, cílení a filtrování ve velkých Microsoft Intune prostředích.
Připravte se na vytváření nových zásad v Intune. Intune obsahuje několik funkcí, které pokrývají scénáře, které by vás mohly zajímat. Příklady:
Standardní hodnoty zabezpečení: Na klientských zařízeních s Windows jsou standardní hodnoty zabezpečení nastavení zabezpečení, která jsou předem nakonfigurovaná na doporučené hodnoty. Pokud se zabezpečením zařízení začínáte nebo chcete komplexní standardní hodnoty, podívejte se na standardní hodnoty zabezpečení.
Přehled nastavení poskytuje jistotu v konfiguracích tím, že přidává přehledy, které podobné organizace úspěšně přijaly. Přehledy jsou dostupné pro některá nastavení, a ne pro všechna nastavení. Další informace najdete v tématu Přehled nastavení.
Katalog nastavení: Na klientských zařízeních Apple a Windows katalog nastavení uvádí všechna nastavení, která můžete konfigurovat, a vypadá podobně jako místní objekty zásad skupiny. Když vytvoříte zásadu, začnete od začátku a nakonfigurujete nastavení na podrobné úrovni.
Šablony pro správu (ADMX): Na klientských zařízeních s Windows použijte šablony ADMX ke konfiguraci nastavení zásad skupiny pro Windows, Internet Explorer, Office a Microsoft Edge verze 77 a novější. Tyto šablony ADMX jsou stejné šablony ADMX, které se používají v místních zásadách skupiny AD, ale jsou 100% cloudové v Intune.
Zásady skupiny: K importu a analýze objektů zásad skupiny použijte analýzu zásad skupiny . Tato funkce vám pomůže určit, jak se vaše objekty zásad skupiny překládají v cloudu. Výstup ukazuje, která nastavení jsou podporována poskytovateli MDM, včetně Microsoft Intune. Zobrazuje také všechna zastaralá nastavení nebo nastavení, která nejsou dostupná pro poskytovatele MDM.
Můžete také vytvořit zásadu Intune na základě importovaných nastavení. Další informace najdete v tématu Vytvoření zásad katalogu nastavení pomocí importovaných objektů zásad skupiny.
Scénáře s asistencí: Scénáře s asistencí představují přizpůsobenou řadu kroků zaměřených na komplexní případy použití. Tyto scénáře automaticky zahrnují zásady, aplikace, přiřazení a další konfigurace správy.
Vytvořte směrný plán zásad , který bude obsahovat minimum vašich cílů. Příklady:
Zabezpečený e-mail: Minimálně můžete chtít:
- Vytvořte zásady ochrany aplikací Outlooku.
- Povolte podmíněný přístup pro Exchange Online nebo připojení k jinému místnímu e-mailovému řešení.
Nastavení zařízení: Minimálně můžete chtít:
- K odemknutí zařízení je vyžadován šestiznakový KÓD PIN.
- Zabraňte zálohování do osobních cloudových služeb, jako je iCloud nebo OneDrive.
Profily zařízení: Minimálně můžete chtít:
- Vytvořte profil Wi-Fi s předkonfigurovanými nastaveními, která se připojují k bezdrátové síti Contoso Wi-Fi.
- Vytvořte profil VPN s certifikátem pro automatické ověřování a připojte se k síti VPN organizace.
- Vytvořte e-mailový profil s předkonfigurovanými nastaveními, která se připojují k Outlooku.
Aplikace: Minimálně můžete chtít:
- Nasaďte aplikace Microsoft 365 se zásadami ochrany aplikací.
- Nasaďte obchodní (LOB) se zásadami ochrany aplikací.
Další informace o minimálních doporučených nastaveních najdete tady:
Zkontrolujte aktuální strukturu skupin. V Intune můžete vytvářet a přiřazovat zásady skupinám uživatelů, skupinám zařízení a dynamickým skupinám uživatelů a zařízení (vyžaduje Microsoft Entra ID P1 nebo P2).
Když vytvoříte skupiny v cloudu, jako je Intune nebo Microsoft 365, skupiny se vytvoří v Microsoft Entra ID. Možná nevidíte Microsoft Entra ID branding, ale to je to, co používáte.
Vytváření nových skupin může být snadný úkol. Můžete je vytvořit v Centru pro správu Microsoft Intune. Další informace najdete v tématu Přidání skupin pro uspořádání uživatelů a zařízení.
Přesunutí existujících distribučních seznamů (DL) do Microsoft Entra ID může být náročnější. Jakmile jsou v Microsoft Entra ID, jsou tyto skupiny dostupné pro Intune a Microsoft 365. Další informace najdete v článku:
Pokud máte existující Office 365 skupiny, můžete přejít na Microsoft 365. Vaše stávající skupiny zůstanou a získáte všechny funkce a služby Microsoftu 365. Další informace najdete v článku:
Pokud máte více řešení pro správu zařízení, přejděte na jedno řešení pro správu mobilních zařízení. K ochraně dat organizace v aplikacích a na zařízeních doporučujeme používat Intune.
Další informace najdete v tématu Microsoft Intune bezpečně spravuje identity, spravuje aplikace a spravuje zařízení.
Krok 5 – vytvoření plánu zavedení
Dalším úkolem je naplánovat, jak a kdy uživatelé a zařízení obdrží vaše zásady. V tomto úkolu také zvažte:
- Definujte své cíle a metriky úspěšnosti. Pomocí těchto datových bodů můžete vytvořit další fáze zavádění. Ujistěte se, že cíle jsou SMART (konkrétní, měřitelné, dosažitelné, realistické a včasné). Naplánujte měření podle vašich cílů v každé fázi, aby projekt uvedení zůstal v plánu.
- Jasně definované cíle a cíle. Zahrňte tyto cíle do všech aktivit zvyšování povědomí a školení, aby uživatelé pochopili, proč se vaše organizace rozhodla Intune.
✅ Úkol: Vytvoření plánu pro zavedení zásad
A zvolte, jak uživatelé zaregistrují svá zařízení v Intune. Některé důležité informace:
Zaváděte zásady ve fázích. Příklady:
Začněte pilotním nebo testovacím týmem. Tyto skupiny by měly vědět, že jsou prvními uživateli, a měly by být ochotné poskytnout zpětnou vazbu. Pomocí této zpětné vazby můžete vylepšit konfiguraci, dokumentaci, oznámení a usnadnit uživatelům jejich budoucí zavedení. Tito uživatelé by neměli být vedoucími pracovníky ani virtuálními ip adresami.
Po počátečním testování přidejte do pilotní skupiny další uživatele. Nebo vytvořte další pilotní skupiny, které se zaměřují na jiné zavedení, například:
Oddělení: Každé oddělení může být zaváděnou fází. Cílíte na celé oddělení najednou. Při tomto zavedení můžou uživatelé v každém oddělení používat své zařízení stejným způsobem a přistupovat ke stejným aplikacím. Uživatelé mají pravděpodobně stejné typy zásad.
Zeměpisná oblast: Nasaďte zásady pro všechny uživatele v určité zeměpisné oblasti, ať už se jedná o stejný kontinent, zemi/oblast nebo stejnou budovu organizace. Toto zavedení vám umožní zaměřit se na konkrétní umístění uživatelů. Pro přístup k předem zřízenému nasazení můžete poskytnout Windows Autopilot, protože počet umístění, která nasazují Intune současně, je menší. Na stejném místě může dojít k různým oddělením nebo různým případům použití. Takže můžete současně testovat různé případy použití.
Platforma: Při tomto zavedení se nasazují podobné platformy současně. Například nasaďte zásady na všechna zařízení s iOS/iPadOS v únoru, všechna zařízení s Androidem v březnu a všechna zařízení s Windows v dubnu. Tento přístup může zjednodušit podporu helpdesku, protože najednou podporuje jenom jednu platformu.
Pomocí fázovaného přístupu můžete získat zpětnou vazbu od široké škály typů uživatelů.
Po úspěšném pilotním nasazení můžete začít s úplným uvedením do produkčního prostředí. Následující příklad je plán zavedení Intune, který zahrnuje cílové skupiny a časové osy:
Zaváděná fáze Červenec Srpen Září Říjen Omezený pilotní projekt IT (50 uživatelů) Rozšířený pilotní projekt IT (200 uživatelů), vedení IT (10 uživatelů) Uvedení do produkčního prostředí fáze 1 Prodej a marketing (2 000 uživatelů) Fáze 2 uvedení do produkčního prostředí Maloobchod (1 000 uživatelů) Fáze 3 uvedení do produkčního prostředí PERSONÁLNÍ ODDĚLENÍ (50 uživatelů), Finance (40 uživatelů), Vedení (30 uživatelů) Tato šablona je také k dispozici ke stažení v Intune plánování nasazení, návrhu a implementace – šablony tabulek.
Zvolte, jak budou uživatelé registrovat svá osobní zařízení a zařízení vlastněná organizací. Můžete použít různé přístupy k registraci, mezi které patří:
- Samoobslužná služba uživatele: Uživatelé registrují svá vlastní zařízení podle kroků poskytovaných jejich IT organizací. Tento přístup je nejběžnější a je škálovatelný než registrace s asistencí uživatele.
- Registrace s asistencí uživatele: V tomto přístupu k předem zřízenému nasazení pomáhá člen IT uživatelům s procesem registrace, osobně nebo pomocí Teams. Tento přístup je běžný u vedoucích pracovníků a dalších skupin, které můžou potřebovat další pomoc.
- Technický veletrh IT: Na této události it skupina vytvoří Intune stánek pro pomoc s registrací. Uživatelé získají informace o Intune registraci, ptají se a získají pomoc s registrací svých zařízení. Tato možnost je výhodná pro IT a uživatele, zejména v raných fázích zavedení Intune.
Následující příklad zahrnuje přístupy k registraci:
Zaváděná fáze Červenec Srpen Září Říjen Omezený pilotní projekt Samoobsluha IT Rozšířený pilotní projekt Samoobsluha IT Předem zřízené Vedoucí pracovníci IT Uvedení do produkčního prostředí fáze 1 Prodej, Marketing Samoobsluha Prodej a marketing Fáze 2 uvedení do produkčního prostředí Maloobchod Samoobsluha Maloobchod Fáze 3 uvedení do produkčního prostředí Vedení, HR, Finance Samoobsluha Personální oddělení, finance Předem zřízené Řídící pracovníci Další informace o různých metodách registrace pro jednotlivé platformy najdete v tématu Pokyny k nasazení: Registrace zařízení v Microsoft Intune.
Krok 6 – Komunikace změn
Správa změn spoléhá na jasnou a užitečnou komunikaci o nadcházejících změnách. Cílem je zajistit bezproblémové nasazení Intune a upozornit uživatele na změny & jakékoli přerušení.
✅ Úkol: Plán komunikace zavedení by měl obsahovat důležité informace.
Tyto informace by měly obsahovat informace o tom, jak uživatele upozornit a kdy mají komunikovat. Některé důležité informace:
Určete, jaké informace se mají sdělit. Komunikujte s vašimi skupinami a uživateli ve fázích, počínaje zahájením Intune zavedení, před registrací a po registraci:
Úvodní fáze: Široká komunikace, která představuje projekt Intune. Měl by odpovídat na klíčové otázky, například:
- Co je Intune?
- Proč organizace používá Intune, včetně výhod pro organizaci a uživatele
- Poskytněte základní plán nasazení a zavedení.
- Pokud osobní zařízení nejsou povolená, pokud nejsou zaregistrovaná, vysvětlete, proč jste se rozhodli.
Fáze před registrací: Široká komunikace, která zahrnuje informace o Intune a dalších službách (jako je Office, Outlook a OneDrive), uživatelských prostředcích a konkrétních časových osách, kdy se uživatelé a skupiny zaregistrují do Intune.
Fáze registrace: Komunikace cílí na uživatele a skupiny organizace, které mají naplánovanou registraci do Intune. Měla by uživatele informovat o tom, že jsou připravení k registraci, zahrnout kroky registrace a na koho se obrátit s žádostí o pomoc a dotazy.
Fáze po registraci: Komunikace cílí na uživatele a skupiny v organizaci, které jsou zaregistrované v Intune. Měla by poskytovat další prostředky, které můžou být užitečné pro uživatele, a shromažďovat zpětnou vazbu o jejich zkušenostech během registrace a po ní.
Zvolte, jak Intune sdělit informace o zavedení cílovým skupinám a uživatelům. Příklady:
Vytvořte osobní schůzku pro celou organizaci nebo použijte Microsoft Teams.
Vytvořte e-mail pro předběžnou registraci, e-mail pro registraci a e-mail pro následnou registraci. Příklady:
- Email 1: Vysvětlení výhod, očekávání a plánu Využijte tuto příležitost a předveďte všechny další služby, jejichž přístup je udělený na zařízeních spravovaných službou Intune.
- Email 2: Oznamujeme, že služby jsou teď připravené pro přístup prostřednictvím Intune. Řekněte uživatelům, aby se zaregistrovali hned. Poskytněte uživatelům časovou osu před ovlivněným přístupem. Připomeňte uživatelům výhody a strategické důvody migrace.
Použijte web organizace, který vysvětluje fáze zavádění, co můžou uživatelé očekávat a na koho se obrátit s žádostí o pomoc.
Vytvářejte plakáty, používejte platformy sociálních médií organizace (například Microsoft Viva Engage) nebo distribuujte letáky, abyste oznámili fázi předběžné registrace.
Vytvořte časovou osu , která zahrnuje, kdy a kdo. První Intune počáteční komunikace může cílit na celou organizaci nebo jenom na podmnožinu. Mohou probíhat několik týdnů před zahájením zavádění Intune. Poté je možné informace předávat uživatelům a skupinám ve fázích v souladu s plánem jejich Intune zavedení.
Následující příklad představuje plán komunikace na vysoké úrovni Intune zavedení:
Komunikační plán Červenec Srpen Září Říjen Fáze 1 Vše Úvodní schůzka První týden Fáze 2 IT Prodej a marketing Maloobchod Personální oddělení, finance a vedoucí pracovníci Před uvedením Email 1 První týden První týden První týden První týden Fáze 3 IT Prodej a marketing Maloobchod Personální oddělení, finance a vedoucí pracovníci Před uvedením Email 2 Druhý týden Druhý týden Druhý týden Druhý týden Fáze 4 IT Prodej a marketing Maloobchod Personální oddělení, finance a vedoucí pracovníci Registrační e-mail Třetí týden Třetí týden Třetí týden Třetí týden Fáze 5 IT Prodej a marketing Maloobchod Personální oddělení, finance a vedoucí pracovníci E-mail po registraci Čtvrtý týden Čtvrtý týden Čtvrtý týden Čtvrtý týden
Krok 7 – helpdesk podpory a koncoví uživatelé
Zahrňte podporu a helpdesk IT v raných fázích plánování nasazení a pilotního nasazení Intune. Včasné zapojení zaměstnanců podpory vystaví Intune a získají znalosti a zkušenosti s identifikací a řešením problémů efektivněji. Zároveň je připraví na podporu plného zavedení produkčního prostředí v organizaci. S přijetím těchto změn uživatelům pomáhají také dobře informovatelné helpdesky a týmy podpory.
✅ Úkol: Trénování týmů podpory
Ověřte prostředí koncového uživatele pomocí metrik úspěšnosti v plánu nasazení. Některé důležité informace:
Určete, kdo bude podporovat koncové uživatele. Organizace můžou mít různé úrovně nebo úrovně (1 až 3). Například vrstvy 1 a 2 můžou být součástí týmu podpory. Vrstva 3 zahrnuje členy týmu MDM zodpovědného za nasazení Intune.
Vrstva 1 je obvykle první úrovní podpory a první úrovní, na které se můžete obrátit. Pokud vrstva 1 nemůže problém vyřešit, eskalují se na vrstvu 2. Vrstva 2 ho eskaluje na vrstvu 3. Podporu Microsoftu je možné považovat za vrstvu 4.
- V počátečních fázích zavádění se ujistěte, že všechny úrovně ve vašem týmu podpory dokumentují problémy a jejich řešení. Hledejte vzory a upravte komunikaci pro další fázi zavádění. Příklady:
- Pokud různí uživatelé nebo skupiny váhají s registrací svých osobních zařízení, zvažte volání Teams, abyste mohli odpovědět na časté otázky.
- Pokud mají uživatelé stejné problémy s registrací zařízení vlastněných organizací, hostujte osobní událost, která uživatelům pomůže zařízení zaregistrovat.
- V počátečních fázích zavádění se ujistěte, že všechny úrovně ve vašem týmu podpory dokumentují problémy a jejich řešení. Hledejte vzory a upravte komunikaci pro další fázi zavádění. Příklady:
Vytvořte pracovní postup helpdesku a neustále sdělujte problémy podpory, trendy a další důležité informace všem úrovním v týmu podpory. Můžete například uspořádat denní nebo týdenní schůzky Teams, aby všechny úrovně věděly o trendech, vzorech a mohly získat pomoc.
Následující příklad ukazuje, jak Společnost Contoso implementuje pracovní postupy podpory IT nebo helpdesku:
- Koncový uživatel kontaktuje podporu IT nebo helpdesk vrstvu 1 s problémem s registrací.
- 1. vrstva podpory nebo helpdesku IT nedokáže určit původní příčinu a eskaluje se na vrstvu 2.
- Prošetřuje se podpora IT nebo helpdesk 2. vrstvy. Vrstva 2 nemůže problém vyřešit a eskaluje se na vrstvu 3 a poskytne další informace, které vám pomůžou s problémem.
- 3. vrstva podpory NEBO helpdesku IT prošetřuje, zjišťuje původní příčinu a předává řešení vrstvě 2 a 1.
- 1. vrstva podpory a helpdesku IT pak kontaktuje uživatele a problém vyřeší.
Tento přístup, zejména v raných fázích zavedení Intune, přináší mnoho výhod, mezi které patří:
- Pomozte se seznámit s technologií
- Rychlá identifikace problémů a jejich řešení
- Vylepšení celkového uživatelského prostředí
Trénujte helpdesk a týmy podpory. Požádejte je, aby zaregistrovali zařízení s různými platformami používanými ve vaší organizaci, aby byli obeznámeni s tímto procesem. Zvažte použití helpdesku a týmů podpory jako pilotní skupiny pro vaše scénáře.
K dispozici jsou školicí materiály, včetně videí na YouTube, kurzů Microsoftu o scénářích Windows Autopilotu, dodržování předpisů, konfigurace a kurzů prostřednictvím partnerů pro školení.
Následující příklad je program školení Intune podpory:
- kontrola plánu podpory Intune
- přehled Intune
- Řešení běžných problémů
- Nástroje a prostředky
- Q & A
Skvělým materiálem je také komunitní fórum Intune a dokumentace pro koncové uživatele.