Průvodce nasazením: Správa zařízení se systémem Windows 10/11
Tato příručka popisuje, jak chránit a spravovat aplikace a koncové body pro Windows pomocí Microsoft Intune, a obsahuje naše doporučení k nastavení a zdroje informací od požadavků až po registraci.
Pro každou část této příručky si projděte přidružené úkoly. Některé úkoly jsou povinné a některé, například nastavení Microsoft Entra podmíněného přístupu, jsou volitelné. Vyberte uvedené odkazy v jednotlivých částech a přejděte na naši doporučenou nápovědu na Webu Microsoft Learn, kde najdete podrobnější informace a návody.
Krok 1: Požadavky
Pokud chcete povolit možnosti správy koncových bodů vašeho tenanta, dokončete následující požadavky:
- Přidání uživatelů a skupin
- Přiřazení licencí uživatelům
- Nastavení autority pro správu mobilních zařízení
Informace o Microsoft Intune rolích a oprávněních najdete v tématu RBAC s Microsoft Intune. Role globálního správce Microsoft Entra a správce Intune mají v rámci Microsoft Intune úplná práva. Tyto role jsou vysoce privilegované a mají větší přístup, než je potřeba pro mnoho úloh správy zařízení v Microsoft Intune. Doporučujeme použít předdefinovanou roli s nejnižšími oprávněními, která je k dispozici pro dokončení úkolů.
Další podrobnosti a doporučení k přípravě organizace, nasazení nebo přijetí Intune pro správu mobilních zařízení najdete v tématu Průvodce migrací: Nastavení nebo přechod na Microsoft Intune.
Krok 2: Plánování nasazení
Pomocí průvodce plánováním Microsoft Intune můžete definovat cíle správy zařízení, scénáře použití a požadavky. V průvodci můžete naplánovat zavedení, komunikaci, podporu, testování a ověřování. V některých případech například nemusíte být přítomni, když zaměstnanci a studenti registrují svá zařízení. Doporučujeme mít plán komunikace, aby lidé věděli, kde najít informace o instalaci a používání Portál společnosti Intune.
Další informace najdete v průvodci plánováním Microsoft Intune.
Krok 3: Vytvoření zásad dodržování předpisů
Pomocí zásad dodržování předpisů zajistěte, aby zařízení přistupující k vašim datům byla zabezpečená a splňovala standardy vaší organizace. Poslední fází procesu registrace je vyhodnocení dodržování předpisů, které ověřuje, že nastavení na zařízení splňují vaše zásady. Uživatelé zařízení musí vyřešit všechny problémy s dodržováním předpisů, aby získali přístup k chráněným prostředkům. Intune označí zařízení, která nedosáhnou požadavků na dodržování předpisů, jako nedodržující předpisy, a provede další akce (například odeslání oznámení uživateli, omezení přístupu nebo vymazání zařízení) v závislosti na vaší akci pro konfiguraci nedodržování předpisů.
Zásady podmíněného přístupu Microsoft Entra můžete ve spojení se zásadami dodržování předpisů zařízením použít k řízení přístupu k počítačům s Windows, firemnímu e-mailu a službám Microsoft 365. Můžete například vytvořit zásadu, která zaměstnancům zablokuje přístup k Microsoft Teams v Edgi, aniž by nejprve zaregistrovali nebo zabezpečili své zařízení.
Tip
Přehled zásad dodržování předpisů zařízením najdete v tématu Přehled dodržování předpisů.
| Úloha | Detail |
|---|---|
| Vytvoření zásady dodržování předpisů | Získejte podrobné pokyny k vytvoření a přiřazení zásad dodržování předpisů skupinám uživatelů a zařízení. |
| Přidání akcí pro nedodržení předpisů | Zvolte, co se stane, když zařízení přestanou splňovat podmínky zásad dodržování předpisů. Mezi příklady akcí patří odesílání výstrah, vzdálené uzamčení zařízení nebo vyřazení zařízení. Akce pro nedodržení předpisů můžete přidat při konfiguraci zásad dodržování předpisů zařízením nebo později úpravou zásad. |
| Vytvoření zásad podmíněného přístupu založených na zařízení nebo aplikacích | Vyberte aplikace nebo služby, které chcete chránit, a definujte podmínky pro přístup. |
| Blokování přístupu k aplikacím, které nepoužívají moderní ověřování | Vytvořte zásady podmíněného přístupu založené na aplikacích, které budou blokovat aplikace, které používají jiné metody ověřování než OAuth2. například aplikace, které používají základní ověřování a ověřování na základě formulářů. Než ale přístup zablokujete, přihlaste se k Microsoft Entra ID a zkontrolujte sestavu aktivit metod ověřování, abyste zjistili, jestli uživatelé používají základní ověřování pro přístup k základním věcem, na které jste zapomněli nebo o které nevíte. Například veřejné terminály kalendáře zasedacích místností používají základní ověřování. |
| Přidání vlastního nastavení dodržování předpisů | S vlastním nastavením dodržování předpisů můžete napsat vlastní skripty Bash, které řeší scénáře dodržování předpisů, které ještě nejsou zahrnuté v možnostech dodržování předpisů zařízeními integrovaných do Microsoft Intune. Tento článek popisuje, jak vytvořit, monitorovat a řešit potíže s vlastními zásadami dodržování předpisů pro zařízení s Windows. Vlastní nastavení dodržování předpisů vyžaduje , abyste vytvořili vlastní skript , který identifikuje páry nastavení a hodnoty. |
Krok 4: Konfigurace zabezpečení koncového bodu
Funkce zabezpečení koncových bodů Intune slouží ke konfiguraci zabezpečení zařízení a ke správě úloh zabezpečení ohrožených zařízení.
| Úloha | Detail |
|---|---|
| Správa zařízení pomocí funkcí zabezpečení koncových bodů | Pomocí nastavení zabezpečení koncového bodu v Intune můžete efektivně spravovat zabezpečení zařízení a opravovat problémy u zařízení. |
| Přidání nastavení ochrany koncových bodů | Nakonfigurujte běžné funkce zabezpečení ochrany koncových bodů, jako je brána firewall, Nástroj BitLocker a Microsoft Defender. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení ochrany koncových bodů. |
| Konfigurace Microsoft Defender for Endpoint | Když integrujete Intune s Microsoft Defender for Endpoint, pomůžete nejen zabránit narušení zabezpečení, ale můžete využít Microsoft Defender pro správu ohrožení zabezpečení koncových bodů & ohrožení zabezpečení (TVM) a použít Intune k nápravě slabých míst koncových bodů identifikovaných nástrojem TVM. |
| Správa zásad nástroje BitLocker | Vytvořte zásadu, která konfiguruje Nástroj BitLocker na spravovaných zařízeních, a ujistěte se, že jsou zařízení při registraci zašifrovaná. |
| Správa profilů standardních hodnot zabezpečení | Standardní hodnoty zabezpečení v Intune vám pomůžou zabezpečit a chránit vaše uživatele a zařízení. Standardní hodnoty zabezpečení zahrnují osvědčené postupy a doporučení pro nastavení, která mají vliv na zabezpečení. |
| Použití služba Windows Update pro firmy pro aktualizace softwaru | Nakonfigurujte strategii zavedení služba Windows Update pomocí služba Windows Update pro firmy. Tento článek vás seznámí s typy zásad, které můžete použít ke správě aktualizací softwaru Windows 10/11, a s tím, jak přejít z odložení aktualizačního okruhu na zásady aktualizací funkcí. |
Krok 5: Konfigurace nastavení zařízení
Pomocí Microsoft Intune můžete povolit nebo zakázat nastavení a funkce Windows na zařízeních. Pokud chcete tato nastavení nakonfigurovat a vynutit, vytvořte profil konfigurace zařízení a pak ho přiřaďte skupinám ve vaší organizaci. Zařízení tento profil obdrží po registraci.
| Úloha | Detail |
|---|---|
| Vytvoření profilu zařízení | Vytvořte profil zařízení v Microsoft Intune a vyhledejte prostředky týkající se všech typů profilů zařízení. K vytvoření zásad od začátku můžete použít také katalog nastavení . |
| Konfigurace nastavení zásad skupiny | Ke konfiguraci nastavení zásad skupiny v Microsoft Intune použijte šablony Windows 10. Šablony pro správu zahrnují stovky nastavení, která můžete nakonfigurovat pro Internet Explorer, Microsoft Edge, OneDrive, vzdálenou plochu, Word, Excel a další aplikace Office. Tyto šablony poskytují správcům zjednodušené zobrazení nastavení podobných zásadám skupiny a jsou 100% cloudové. |
| Konfigurace profilu Wi-Fi | Tento profil umožňuje uživatelům najít Wi-Fi síť vaší organizace a připojit se k této síti. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení Wi-Fi pro Windows 10 a novější. |
| Konfigurace profilu SÍTĚ VPN | Nastavte pro lidi, kteří se připojují k síti vaší organizace, možnost zabezpečené sítě VPN, například Tunel Microsoft. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení sítě VPN. |
| Konfigurace e-mailového profilu | Nakonfigurujte nastavení e-mailu, aby se lidé mohli připojit k poštovnímu serveru a získat přístup ke svému pracovnímu nebo školnímu e-mailu. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení e-mailu. |
| Omezení funkcí zařízení | Chraňte uživatele před neoprávněným přístupem a vyrušováním tím, že omezíte funkce zařízení, které můžou používat v práci nebo ve škole. Popis nastavení v této oblasti najdete v referenčních informacích o omezeních zařízení pro Windows 10/11 a Windows 10 Teams. |
| Konfigurace vlastního profilu | Přidejte a přiřaďte nastavení a funkce zařízení, které nejsou součástí Intune. Popis nastavení v této oblasti najdete v referenčních informacích k vlastním nastavením. |
| Konfigurace nastavení systému BIOS | Nastavte Intune, abyste mohli ovládat nastavení UEFI (BIOS) na zaregistrovaných zařízeních pomocí rozhraní DFCI (Device Firmware Configuration Interface) |
| Konfigurace připojení k doméně | Pokud plánujete registraci Microsoft Entra zařízení připojených k doméně, nezapomeňte vytvořit profil připojení k doméně, aby Intune věděl, ke které místní doméně se má připojit. |
| Konfigurace nastavení optimalizace doručení | Pomocí těchto nastavení můžete snížit spotřebu šířky pásma na zařízeních, která stahují aplikace a aktualizace. |
| Přizpůsobení brandingu a prostředí registrace | Přizpůsobte si prostředí Portál společnosti Intune a Microsoft Intune aplikací vlastními slovy, brandingem, předvolbami obrazovky a kontaktními informacemi vaší organizace. |
| Konfigurace kiosků a vyhrazených zařízení | Vytvořte profil veřejného terminálu pro správu zařízení spuštěných v celoobrazovkovém režimu. |
| Přizpůsobení sdílených zařízení | Řízení přístupu, účtů a funkcí napájení na sdílených zařízeních nebo zařízeních s více uživateli |
| Konfigurace hranice sítě | Vytvořte profil hranice sítě, který chrání vaše prostředí před lokalitami, kterým nedůvěřujete. |
| Konfigurace monitorování stavu Windows | Vytvořte profil monitorování stavu Windows, který microsoftu umožní shromažďovat data o výkonu a poskytovat doporučení pro vylepšení. Vytvoření profilu umožňuje funkci analýzy koncových bodů v Microsoft Intune, která analyzuje shromážděná data, doporučuje software, pomáhá zlepšit výkon při spouštění a opravuje běžné problémy s podporou. |
| Konfigurace aplikace Take a Test pro studenty | Nakonfigurujte aplikaci Take a Test pro studenty, kteří složí testy nebo zkoušky na zaregistrovaných zařízeních. |
| Konfigurace mobilního profilu eSim | ESIM kartu můžete nakonfigurovat pro zařízení s podporou ESIM, jako je surface LTE Pro, pro připojení k internetu přes mobilní datové připojení. Tato konfigurace je ideální pro globální cestovatele, kteří potřebují zůstat při cestování ve spojení a flexibilní, a eliminuje potřebu SIM karty. |
Krok 6: Nastavení zabezpečených metod ověřování
Nastavte metody ověřování v Intune, abyste zajistili, že k vašim interním prostředkům budou přistupovat jenom autorizovaní lidé. Intune podporuje vícefaktorové ověřování, certifikáty a odvozené přihlašovací údaje. Certifikáty je také možné použít k podepisování a šifrování e-mailů pomocí S/MIME.
| Úloha | Detail |
|---|---|
| Vyžadovat vícefaktorové ověřování (MFA) | Vyžadovat, aby uživatelé při registraci zařízení zadáli dva formuláře přihlašovacích údajů. Tato zásada funguje ve spojení se zásadami Microsoft Entra podmíněného přístupu. |
| Vytvoření profilu důvěryhodného certifikátu | Před vytvořením profilu importovaného certifikátu SCEP, PKCS nebo PKCS vytvořte a nasaďte profil důvěryhodného certifikátu. Profil důvěryhodného certifikátu nasadí důvěryhodný kořenový certifikát do zařízení a uživatelů pomocí importovaných certifikátů SCEP, PKCS a PKCS. |
| Použití certifikátů SCEP s Intune | Zjistěte, co je potřeba k používání certifikátů SCEP s Intune, a nakonfigurujte požadovanou infrastrukturu. Pak můžete vytvořit profil certifikátu SCEP nebo nastavit certifikační autoritu třetí strany pomocí SCEP. |
| Použití certifikátů PKCS s Intune | Nakonfigurujte požadovanou infrastrukturu (například místní certificate connectory), exportujte certifikát PKCS a přidejte certifikát do konfiguračního profilu Intune zařízení. |
| Použití importovaných certifikátů PKCS s Intune | Nastavte importované certifikáty PKCS, které umožňují nastavit a používat S/MIME k šifrování e-mailů. |
| Nastavení vystavitele odvozených přihlašovacích údajů | Zřiďte zařízení s Windows certifikáty odvozené z čipových karet uživatele. |
| Integrace Windows Hello pro firmy s Microsoft Intune | Vytvořte zásadu Windows Hello pro firmy, která povolí nebo zakáže Windows Hello pro firmy během registrace zařízení. Hello pro firmy je alternativní metoda přihlašování, která používá službu Active Directory nebo účet Microsoft Entra k nahrazení hesla, čipové karty nebo virtuální čipové karty. |
Krok 7: Nasazení aplikací
Při nastavování aplikací a zásad aplikací se zamyslete nad požadavky vaší organizace, jako jsou platformy, které budete podporovat, úkoly, které uživatelé dělají, typ aplikací, které potřebují k dokončení těchto úkolů, a o tom, kdo je potřebuje. Intune můžete použít ke správě celého zařízení (včetně aplikací) nebo můžete použít Intune ke správě jenom aplikací.
| Úloha | Detail |
|---|---|
| Přidání obchodních aplikací | Přidejte obchodní aplikace pro macOS do Intune a přiřazujte je do skupin. |
| Přidat Microsoft Edge | Přidejte a přiřaďte Microsoft Edge pro Windows. |
| Přidání aplikace Portál společnosti Intune z Microsoft Storu | Ručně přidejte a přiřaďte aplikaci Portál společnosti Intune jako požadovanou aplikaci. |
| Přidání aplikace Portál společnosti Intune pro Autopilot | Přidejte aplikaci Portál společnosti do zařízení zřízených windows Autopilotem. |
| Přidání aplikací Microsoft 365 | Přidejte Microsoft 365 Apps pro velké organizace. |
| Přiřazení aplikací ke skupinám | Po přidání aplikací do Intune je přiřaďte uživatelům a zařízením. |
| Zahrnutí a vyloučení přiřazení aplikací | Řízení přístupu a dostupnosti aplikace zahrnutím a vyloučením vybraných skupin z přiřazení |
| Použití skriptů PowerShellu | Nahrajte skripty PowerShellu, které rozšiřují možnosti správy zařízení s Windows v Intune a usnadňují přechod na moderní správu. |
Krok 8: Registrace zařízení
Během registrace se zařízení zaregistruje v Microsoft Entra ID a vyhodnotí se dodržování předpisů. Informace o jednotlivých způsobech registrace a o tom, jak zvolit ten, který je pro vaši organizaci nejvhodnější, najdete v průvodci registrací zařízení s Windows pro Microsoft Intune.
| Úloha | Detail |
|---|---|
| Povolení automatické registrace MDM | Zjednodušte si registraci povolením automatické registrace, která automaticky zaregistruje zařízení v Intune, která se připojují k vašemu Microsoft Entra ID nebo se k ní registrují. Automatická registrace zjednodušuje nasazení Windows Autopilotu, registraci byOD, registraci pomocí Zásady skupiny a hromadnou registraci prostřednictvím zřizovacího balíčku. |
| Povolení automatického zjišťování serveru MDM | Pokud nemáte Microsoft Entra ID P1 nebo P2, doporučujeme vytvořit typ záznamu CNAME pro Intune registrační servery. Záznam CNAME přesměruje žádosti o registraci na správný server, aby uživatelé, kteří se registruli, nemuseli název serveru zadávat ručně. |
| Scénáře Windows Autopilotu | Zjednodušte pro vás i vaše uživatelem řízené počáteční nastavení počítače nebo vlastní nasazení tím, že nastavíte Microsoft Intune registraci zařízení tak, aby probíhala automaticky během Windows Autopilotu. |
| Registrace Microsoft Entra zařízení připojených k hybridnímu připojení pomocí Windows Autopilotu | Konektor Intune pro Službu Active Directory umožňuje zařízením v Active Directory Domain Services připojit se k Microsoft Entra ID a pak se automaticky zaregistrovat do Intune. Tuto možnost registrace doporučujeme pro místní prostředí, která používají Active Directory Domain Services a momentálně nemůžou přesunout své identity do Microsoft Entra ID. |
| Registrace zařízení pomocí Zásady skupiny | Aktivují automatickou registraci do Intune pomocí zásad skupiny. |
| Hromadná registrace zařízení | Ve Windows Configuration Designer vytvořte zřizovací balíček, který připojí velký počet nových zařízení s Windows k Microsoft Entra ID a zaregistruje je v Intune. |
| Nastavení stránky stavu registrace (ESP) | Vytvořte profil stránky stavu registrace s vlastním nastavením, který uživatele provede nastavením a registrací zařízení. |
| Změna popisku vlastnictví zařízení | Po registraci zařízení můžete změnit jeho popisek vlastnictví v Intune na vlastněné společností nebo v osobním vlastnictví. Tato úprava změní způsob správy zařízení a může povolit další možnosti správy a identifikace v Intune nebo je omezit. |
| Konfigurace proxy serveru pro konektor služby Intune Active Directory | Nakonfigurujte konektor Intune pro službu Active Directory tak, aby fungoval s vašimi stávajícími odchozími proxy servery. |
| Řešení potíží s registrací | Řešení potíží, ke kterým dochází během registrace, a jejich řešení |
Krok 9: Spuštění vzdálených akcí
Po nastavení zařízení můžete pomocí podporovaných vzdálených akcí spravovat zařízení a řešit potíže na dálku. Následující články vás seznámí se vzdálenými akcemi pro Windows. Pokud akce na portálu chybí nebo je zakázaná, není pro Windows podporovaná.
| Úloha | Detail |
|---|---|
| Provedení vzdálené akce na zařízeních | Zjistěte, jak procházet podrobnosti a vzdáleně spravovat jednotlivá zařízení v Intune a řešit potíže s tím. Tento článek obsahuje seznam všech vzdálených akcí dostupných v Intune a odkazy na tyto postupy. |
| Použití TeamVieweru ke vzdálené správě zařízení Intune | Nakonfigurujte TeamViewer v rámci Intune a zjistěte, jak vzdáleně spravovat zařízení. |
| Použití úloh zabezpečení k zobrazení hrozeb a ohrožení zabezpečení | Pomocí Intune napravte slabé místo koncového bodu zjištěné Microsoft Defender for Endpoint. Abyste mohli pracovat s úlohami zabezpečení, musíte integrovat Microsoft Defender for Endpoint s Intune. |
Krok 10: Pomoc zaměstnancům a studentům
Zdroje v této části jsou v dokumentaci Microsoft Intune Uživatelské nápovědy. Tato dokumentace je určená pro zaměstnance, studenty a další uživatele zařízení s licencí Intune, kteří si registrují osobní zařízení nebo zařízení poskytované společností. Odkazy na dokumentaci jsou k dispozici v aplikaci Portál společnosti Intune a ukazují na informace o:
- Metody registrace s návody k registraci
- nastavení a funkce Portál společnosti
- Zrušení registrace a odebrání uložených dat
- Aktualizace nastavení zařízení pro požadavky na dodržování předpisů
- Hlášení problémů s aplikacemi
Tip
Usnadněte si požadavky organizace na operační systém a požadavky na heslo zařízení na webu nebo v e-mailu pro registraci, aby zaměstnanci nemuseli otálet s registrací a vyhledávat tyto informace.
| Úloha | Detail |
|---|---|
| Instalace aplikace Portál společnosti Intune pro Windows | Zjistěte, kde získat aplikaci Portál společnosti a jak se přihlásit. |
| Aktualizace aplikace Portál společnosti | Tento článek popisuje, jak nainstalovat nejnovější verzi Portál společnosti a jak zapnout automatické aktualizace aplikací. |
| Registrace zařízení | Tento článek popisuje, jak zaregistrovat osobní zařízení s Windows 10 nebo Windows 11. |
| Zrušení registrace zařízení | Tento článek popisuje, jak zrušit registraci zařízení v Intune a odstranit uloženou mezipaměť a protokoly pro Portál společnosti. |
Další kroky
Přehled centra pro správu Microsoft Intune a jeho navigace najdete v tématu Kurz: Návod k Centru pro správu Microsoft Intune. Kurzy jsou obsah na úrovni 100 až 200 pro lidi, kteří Intune nebo konkrétní scénář.
Další verze této příručky najdete tady: