Nastavení autority pro správu mobilních zařízení

  • Článek

Nastavení autority pro správu mobilních zařízení (MDM) určuje způsob správy zařízení. Jako správce IT musíte nastavit autoritu MDM, aby uživatelé mohli registrovat zařízení pro správu. Měli byste mít také přiřazenou licenci Intune pro nastavení autority MDM.

Možné konfigurace jsou:

  • Intune Standalone – výhradně cloudová správa, kterou nakonfigurujete pomocí Azure Portal. Zahrnuje celou sadu funkcí, které Intune nabídek. Nastavte autoritu MDM v Centru pro správu Microsoft Intune.

  • Intune spoluspráva – Integrace cloudového řešení Intune s Configuration Manager pro Windows 10 zařízení. Intune konfigurujete pomocí konzoly Configuration Manager. Nakonfigurujte automatickou registraci zařízení pro Intune.

  • Základní mobilita a zabezpečení pro Microsoft 365 – Po aktivaci této konfigurace se autorita MDM nastaví na "Office 365". Pokud chcete začít používat Intune, musíte si koupit Intune licence.

  • Základní mobilita a zabezpečení pro koexistenci Microsoftu 365 – pokud už používáte Základní mobilita a zabezpečení pro Microsoft 365, můžete do tenanta přidat Intune. Autoritu pro správu můžete nastavit tak, aby Intune nebo Základní mobilita a zabezpečení pro Microsoft 365, aby každý uživatel mohl diktovat, která služba se použije ke správě zařízení zaregistrovaných v MDM. Autorita pro správu každého uživatele se definuje na základě licence přiřazené uživateli:

    • Základní mobilita a zabezpečení pro Microsoft 365 spravuje zařízení uživatelů, kteří mají licenci jenom pro Microsoft 365 Basic nebo Standard.
    • Intune spravuje zařízení uživatelů, kteří mají licenci opravňující je k jejímu používání.
    • Pokud přidáte licenci opravňující Intune uživateli, který dříve spravuje Základní mobilita a zabezpečení pro Microsoft 365, přepne se jeho zařízení na správu Intune. Abyste se vyhnuli ztrátě Základní mobilita a zabezpečení pro konfiguraci Microsoftu 365 na zařízeních uživatelů, nezapomeňte jim před přepnutím na Intune přiřadit konfigurace Intune.

Nastavení autority MDM na Intune

  1. V Centru pro správu Microsoft Intune vyberte oranžový banner a otevřete nastavení Autorita pro mobilní Správa zařízení. Oranžová informační zpráva se zobrazí jenom v případě, že jste autoritu MDM ještě nenastavili.

  2. V části Mobilní Správa zařízení Autorita zvolte autoritu MDM z následujících možností:

    • Intune autorita MDM
    • Žádné

    Snímek obrazovky Intune nastavit autoritu pro správu mobilních zařízení

Zpráva značí, že jste úspěšně nastavili autoritu MDM na Intune.

Pracovní postup uživatelského rozhraní pro správu Intune

Pokud je povolená správa zařízení s Androidem nebo Apple, Intune odesílá informace o zařízení a uživatelích, aby je mohli integrovat s těmito službami třetích stran a spravovat příslušná zařízení.

Scénáře, které přidávají souhlas se sdílením dat, jsou zahrnuté v následujících případech:

  • Povolíte pracovní profily Androidu Enterprise v osobním vlastnictví nebo ve vlastnictví firmy.
  • Povolíte a nahrajete certifikáty Apple MDM Push Certificate.
  • Povolíte některou ze služeb Apple, jako je Program registrace zařízení, Správce školy nebo Volume Purchase Program.

V každém případě souhlas úzce souvisí s provozem služby správy mobilních zařízení. Například potvrzení, že IT Správa autorizoval registraci zařízení Google nebo Apple. Dokumentace k řešení toho, jaké informace se sdílí při spuštění nových pracovních postupů, je k dispozici z následujících umístění:

Klíčové aspekty

Po přepnutí na novou autoritu MDM existuje nějaká doba přechodu (až osm hodin), než se zařízení přihlásí a provede synchronizaci se službou. Musíte nakonfigurovat nastavení v nové autoritě MDM, abyste měli jistotu, že zaregistrovaná zařízení budou i po této změně dál spravovaná a chráněná.

  • Zařízení se musí po změně připojit ke službě, aby nastavení z nové autority MDM (Intune samostatná) nahradila stávající nastavení na zařízení.
  • Po změně autority MDM zůstanou některá základní nastavení (například profily) z předchozí autority MDM na zařízení po dobu až sedmi dnů nebo do doby, než se zařízení poprvé připojí ke službě. Aplikace a nastavení (jako jsou zásady, profily a aplikace) byste měli v nové autoritě MDM nakonfigurovat co nejdříve a nasadit nastavení do skupin uživatelů, které obsahují uživatele, kteří mají stávající zaregistrovaná zařízení. Jakmile se zařízení připojí ke službě po změně autority MDM, obdrží nová nastavení z nové autority MDM a zabrání mezerám ve správě a ochraně.
  • Zařízení, která nemají přidružené uživatele (obvykle v případě, že máte Program registrace zařízení s iOS/iPadOS nebo scénáře hromadné registrace), se na novou autoritu MDM nemigrují. U těchto zařízení musíte zavolat podporu a požádat o pomoc s jejich přesunutím do nové autority MDM.

Koexistence

Povolením koexistence můžete používat Intune pro novou skupinu uživatelů a Základní mobilita a zabezpečení pro stávající uživatele. Můžete řídit, která zařízení budou spravována Intune prostřednictvím uživatele. Intune spravuje všechna zařízení zaregistrovaná uživatelem, pokud má uživatel licenci Intune nebo používá Intune spolusprávu s Configuration Manager. V opačném případě je uživatel spravován Základní mobilita a zabezpečení.

Koexistence je potřeba provést ve třech hlavních krocích:

  1. Příprava
  2. Přidání autority Intune MDM
  3. Migrace uživatelů a zařízení (volitelné)

Příprava

Než povolíte koexistenci s Základní mobilita a zabezpečení, zvažte následující body:

  • Ujistěte se, že máte dostatek Intune licencí pro uživatele, které chcete spravovat prostřednictvím Intune.
  • Zkontrolujte, kteří uživatelé mají přiřazené licence Intune. Jakmile povolíte koexistenci, každý uživatel, který už má přiřazenou licenci Intune, přepne zařízení na Intune. Pokud se chcete vyhnout neočekávaným přepínačům zařízení, doporučujeme nepřiřazovat žádné Intune licence, dokud nepovolíte koexistenci.
  • Vytvořte a nasaďte zásady Intune, které nahradí zásady zabezpečení zařízení, které byly původně nasazené prostřednictvím portálu Office 365 Security & Compliance. Toto nahrazení by se mělo provést u všech uživatelů, u které očekáváte přechod z Základní mobilita a zabezpečení na Intune. Pokud těmto uživatelům nejsou přiřazeny žádné zásady Intune, může povolení koexistence způsobit ztrátu Základní mobilita a zabezpečení nastavení. Tato nastavení se ztratí bez náhrady, například spravované e-mailové profily. I když nahradíte zásady zabezpečení zařízení zásadami Intune, můžou být uživatelé vyzváni k opětovnému ověření svých e-mailových profilů po přesunutí zařízení do správy Intune.
  • Po nastavení nemůžete zrušit zřízení Základní mobilita a zabezpečení. Existují však kroky, které můžete provést, abyste tyto zásady vypnuli. Další informace najdete v tématu Vypnutí Základní mobilita a zabezpečení.

Přidání autority Intune MDM

Pokud chcete povolit koexistenci, musíte přidat Intune jako autoritu MDM pro vaše prostředí:

  1. Přihlaste se do Centra pro správu Microsoft Intune pomocí Microsoft Entra oprávnění globálního správce nebo Intune služby.

  2. Přejděte na Zařízení.

  3. Zobrazí se banner okna Přidat autoritu MDM .

  4. Pokud chcete přepnout autoritu MDM z Office 365 na Intune a povolit koexistenci, vyberte Intune Autorita> MDMPřidat.

    Snímek obrazovky Přidat autoritu MDM

Migrace uživatelů a zařízení (volitelné)

Po povolení Intune autority MDM se aktivuje koexistence a vy můžete začít spravovat uživatele prostřednictvím Intune. Volitelně můžete přesunout zařízení, která byla dříve spravovaná službou Základní mobilita a zabezpečení, aby se spravovala pomocí Intune tím, že těmto uživatelům přiřadíte Intune licenci. Zařízení uživatelů se při příštím přihlášení k MDM přepnou na Intune. Nastavení použitá u těchto zařízení prostřednictvím Základní mobilita a zabezpečení se už nebudou používat a odeberou se ze zařízení.

Čištění mobilních zařízení po vypršení platnosti certifikátu MDM

Certifikát MDM se automaticky obnoví, když mobilní zařízení komunikují se službou Intune. Pokud se mobilní zařízení vymažou nebo se jim po určitou dobu nepodaří komunikovat se službou Intune, certifikát MDM se neobnoví. Zařízení se odebere z Azure Portal 180 dnů po vypršení platnosti certifikátu MDM.

Odebrání autority MDM

Autoritu MDM nejde změnit zpět na Neznámá. Autoritu MDM služba používá k určení zařízení zaregistrovaných na portálu (Microsoft Intune nebo Základní mobilita a zabezpečení pro Microsoft 365).

Co očekávat po změně autority MDM

  • Když služba Intune zjistí změnu v autoritě MDM tenanta, odešle všem zaregistrovaným zařízením zprávu s oznámením. Zpráva oznámení vyzve zařízení k ohlášení a synchronizaci se službou mimo jejich běžný plán. V důsledku toho se všechna zapnutá a online zařízení připojují ke službě a získají novou autoritu MDM. Nová autorita spravuje a chrání zařízení bez přerušení. Proto po změně autority MDM pro tenanta ze samostatné Intune budou zařízení dál normálně fungovat pod novou autoritou MDM.

  • U zařízení, která jsou zapnutá a online během změny autority MDM nebo krátce po této změně, dochází ke zpoždění. Zpoždění může trvat až osm hodin v závislosti na načasování dalšího naplánovaného pravidelného ochádení. Během zpoždění nejsou zařízení zaregistrovaná ve službě pod novou autoritou MDM. Po uplynutí zpoždění se zařízení plně zaregistrují a zprovozní v rámci nové autority MDM.

    Důležité

    V době mezi změnou autority MDM a odesláním obnoveného certifikátu APNs do nové autority se nezdaří nové registrace zařízení a ohlášení zařízení pro zařízení s iOS/iPadOS. Proto je důležité, abyste co nejdříve po změně v autoritě MDM zkontrolovali a nahráli certifikát APN do nové autority.

  • Uživatelé můžou rychle přejít na novou autoritu MDM ručním spuštěním ohlášení změn ze zařízení do služby. Uživatelé můžou tuto změnu snadno provést pomocí aplikace Portál společnosti a spuštěním kontroly dodržování předpisů zařízením.

  • Pokud chcete ověřit, že zařízení po změně autority MDM se změnami a synchronizaci se službou správně fungují, vyhledejte zařízení v nové autoritě MDM.

  • Během změny autority MDM je zařízení offline a kdy se zařízení přihlásí ke službě, je přechodné období. Během přechodného období je důležité chránit a udržovat funkce zařízení. Kvůli ochraně a údržbě funkcí zařízení zůstanou na zařízení následující profily. Tyto profily zůstanou na zařízení až sedm dní nebo do doby, než se zařízení připojí k nové autoritě MDM. Jakmile se zařízení připojí a obdrží nové nastavení, stávající profily se přepíšou:

    • E-mailový profil
    • Profil SÍTĚ VPN
    • Profil certifikátu
    • Wi-Fi profil
    • Konfigurační profily

  • Po změně na novou autoritu MDM může přesné hlášení dat dodržování předpisů v Centru pro správu Microsoft Intune trvat až týden. Stavy dodržování předpisů v Microsoft Entra ID a na zařízení jsou přesné, takže zařízení je stále chráněné.

  • Ujistěte se, že nová nastavení určená k přepsání existujících nastavení mají stejný název jako předchozí nastavení, aby se zajistilo přepsání starých nastavení. V opačném případě můžou zařízení skončit s redundantními profily a zásadami.

    Tip

    Osvědčeným postupem je vytvořit všechna nastavení a konfigurace správy a nasazení krátce po dokončení změny autority MDM. To pomáhá zajistit, aby zařízení byla během přechodného období chráněna a aktivně spravována.

  • Po změně autority MDM proveďte následující kroky a ověřte, že se nová zařízení úspěšně zaregistrovala do nové autority:

    • Registrace nového zařízení
    • Ujistěte se, že se nově zaregistrované zařízení zobrazuje v nové autoritě MDM.
    • Proveďte akci, například Vzdálené uzamčení, z Centra pro správu Microsoft Intune zařízení. Pokud je to úspěšné, pak zařízení spravuje nová autorita MDM.

  • Pokud máte problémy s konkrétními zařízeními, můžete registraci zrušit a znovu zaregistrovat, abyste je co nejrychleji připojili k nové autoritě a mohli je spravovat.

Potvrzení autority MDM vašeho tenanta

Pokud chcete ověřit, že je vaše autorita MDM nastavená na Intune, postupujte následovně:

  1. V Centru pro správu Microsoft Intune vyberte Správa> tenantaStav tenanta.
  2. Na kartě Podrobnosti tenanta vyhledejte autoritu MDM.

Další kroky

S nastavenou autoritou MDM můžete začít registrovat zařízení.