Použití funkcí a nastavení na zařízeních pomocí profilů zařízení v Microsoft Intune
Microsoft Intune zahrnuje nastavení a funkce, které můžete povolit nebo zakázat na různých zařízeních v rámci vaší organizace. Tato nastavení a funkce se přidají do konfiguračních profilů.
Když konfigurujete funkce zařízení pomocí konfiguračního profilu, můžete koncovým uživatelům pomoct rychleji pracovat na svých zařízeních.
Profily můžete vytvářet pro různá zařízení a různé platformy, včetně Androidu, iOS/iPadOS, macOS a Windows. Existují některá nastavení konfigurace, která jsou pro každou platformu jedinečná. Je také běžné mít mnoho profilů zařízení pro každou platformu, od nastavení antivirového softwaru až po vlastní nastavení.
Jakmile jsou profily připravené, použijete Intune k použití nebo přiřazení profilu skupinám uživatelů nebo skupinám zařízení.
Důležité
Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 31. prosince 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme přejít na jinou možnost správy Androidu v Intune před ukončením podpory. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.
V rámci řešení správy mobilních zařízení (MDM) použijte tyto konfigurační profily k provedení různých úloh. Mezi příklady profilů patří:
- Povolit nebo zakázat přístup k Bluetooth na zařízení.
- Vytvořte profil Wi-Fi nebo VPN, který umožňuje různým zařízením přístup k podnikové síti.
- Správa aktualizací softwaru, včetně jejich instalace
- Spusťte zařízení s Androidem jako vyhrazené zařízení s beznabídkovým režimem, na které může běžet jedna aplikace, nebo spusťte mnoho aplikací.
- Na zařízeních s iOS/iPadOS a macOS povolte uživatelům používat tiskárny AirPrint ve vaší organizaci.
Tip
Pokud spravujete místní zařízení pomocí Microsoft Configuration Manager, můžete použít spolusprávu ke cloudovému připojení místních zařízení. Při spolusprávě můžete spravovat klientská zařízení s Windows pomocí Configuration Manager a Microsoft Intune.
Profily zařízení a zásady, které potřebujete v Intune, můžete vytvořit na základě zásad, které aktuálně máte v Configuration Manager. Další informace o spolusprávě najdete v tématu Vysvětlení spolusprávy pomocí Microsoft Configuration Manager. Související informace najdete v tématu Příprava Intune pro spolusprávu.
Použití šablon nebo katalogu nastavení
V Intune máte u většiny platforem při vytváření konfiguračního profilu zařízení dva typy zásad: Šablony nebo Katalog nastavení.
Katalog nastavení obsahuje všechna nastavení, která můžete nakonfigurovat, a všechna na jednom místě. Šablony zahrnují logické seskupení nastavení, které konfiguruje funkci nebo koncept, jako je e-mail, zařízení v beznabídkovém režimu a firmware zařízení.
Intune obsahuje mnoho šablon, které zahrnují skupiny nastavení, které se zaměřují na různé části správy zařízení, včetně přístupu k prostředkům (VPN, Wi-Fi), zabezpečení (antivirový program, brána firewall, certifikáty) a Zásady skupiny objektů (šablony pro správu ADMX).
Můžete vytvořit základní hodnoty profilů, které musí mít všechna zařízení, nebo můžete nakonfigurovat konkrétní funkce na základě potřeb vaší organizace a úrovně zabezpečení. Další informace najdete v tématu Úrovně ochrany a konfigurace v Microsoft Intune.
Tento článek obsahuje přehled různých typů profilů, které můžete vytvořit. Pomocí těchto profilů můžete povolit nebo zakázat některé funkce na zařízeních.
Šablony pro správu a zásady skupiny
Šablony pro správu zahrnují stovky nastavení, která můžete nakonfigurovat pro Internet Explorer, Microsoft Edge, OneDrive, vzdálenou plochu, Word, Excel a další aplikace Office. Tyto šablony poskytují správcům zjednodušené zobrazení nastavení podobných zásadám skupiny a jsou 100% cloudové.
Zásady skupiny analýzy analyzují vaše místní objekty zásad skupiny. Je to nástroj, který vám pomůže určit, jak se vaše objekty zásad skupiny překládají v cloudu. Ve výstupu se zobrazí všechna zastaralá nastavení a nastavení, která jsou nebo nejsou dostupná pro poskytovatele MDM, včetně Microsoft Intune.
Tato funkce podporuje:
- Windows 11
- Windows 10
Certifikáty
Certifikáty v Intune slouží k ověřování uživatelů, aby měli přístup k aplikacím a podnikovým prostředkům prostřednictvím profilů VPN, Wi-Fi nebo e-mailových profilů. Když k ověření těchto připojení použijete certifikáty, koncoví uživatelé nemusí zadávat uživatelská jména a hesla.
Certifikáty se také používají k podepisování a šifrování e-mailů pomocí S/MIME. Mezi běžné typy certifikátů používaných v Intune patří důvěryhodné kořenové certifikáty, certifikáty protokolu SCEP (Simple Certificate Enrollment Protocol) a certifikáty PKCS (Public Key Cryptography Standards).
Tato funkce podporuje:
- Registrace správce zařízení s Androidem
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
Vlastní profil
Vlastní nastavení umožňují správcům přiřazovat nastavení zařízení, která nejsou integrovaná do Intune. Na zařízeních s Androidem můžete zadat hodnoty OMA-URI. U zařízení s iOS/iPadOS můžete importovat konfigurační soubor, který jste vytvořili v Apple Configuratoru.
Tato funkce podporuje:
- Registrace správce zařízení s Androidem
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
Optimalizace doručení
Optimalizace doručení poskytuje lepší prostředí pro doručování aktualizací softwaru. Tato nastavení nahrazují nastavení softwarového Aktualizace>Windows 10 aktualizačního kanálu.
Pomocí těchto nastavení můžete řídit způsob stahování aktualizací softwaru do zařízení ve vaší organizaci. Můžete například umožnit uživatelům získat vlastní aktualizace nebo aktualizace pomocí cloudových služeb optimalizace doručení v profilu zařízení.
Tato funkce podporuje:
- Windows 11
- Windows 10
Odvozené přihlašovací údaje
Pokud vaše organizace používá čipové karty k ověřování, podepisování nebo šifrování, můžete použít odvozené přihlašovací údaje. V Intune můžete nakonfigurovat a nasadit certifikát odvozený z čipové karty uživatele. Odvozené přihlašovací údaje se běžně používají pro Wi-Fi & připojení VPN, ověřování e-mailů & aplikací nebo podepisování S/MIME & šifrování.
Intune podporuje několik odvozených vystavitelů přihlašovacích údajů. Každá platforma má také vlastní sadu nastavení.
Tato funkce podporuje:
- Android Enterprise
- iOS/iPadOS
Funkce zařízení
Funkce zařízení řídí funkce na zařízeních s iOS/iPadOS a macOS, jako jsou AirPrint, oznámení a zprávy na zamykací obrazovce.
Tato funkce podporuje:
- iOS/iPadOS
- macOS
Konfigurace systému BIOS a DFCI
S konfigurací systému BIOS můžou správci chránit přístup k systému BIOS heslem a vytvořit konfigurační soubor pomocí nástroje OEM s požadovaným nastavením systému BIOS. Potom tento konfigurační soubor přidá do zásad Intune.
Rozhraní DFCI (Device Firmware Configuration Interface) umožňuje správcům povolit nebo zakázat nastavení UEFI (BIOS) pomocí Intune. Pomocí těchto nastavení můžete zvýšit zabezpečení na úrovni firmwaru, které je obvykle odolnější vůči škodlivým útokům.
Tato funkce podporuje:
- Windows 11
- Windows 10
Omezení zařízení
Omezení zařízení řídí zabezpečení, hardware, sdílení dat a další nastavení na zařízeních. Vytvořte například profil omezení zařízení, který uživatelům zařízení s iOSem/iPadOS zabrání v používání kamery zařízení.
Existují také nastavení, která spravují přístup k obchodům s aplikacemi, omezují uživatelům prohlížení podnikových dokumentů v nespravovaných aplikacích, vyžadují heslo k odemknutí zařízení nebo vyžadují, aby zařízení používala jenom konkrétní Wi-Fi sítě.
Tato funkce podporuje:
- Registrace správce zařízení s Androidem
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 10 Team
Připojení k doméně
Připojení k doméně konfiguruje místní Active Directory informace o doméně. Tyto informace se nasazují do Microsoft Entra zařízení připojených k hybridnímu připojení, pokud jsou zřízená pomocí Windows Autopilotu a Intune. Tento profil říká zařízením, ke které doméně a organizační jednotky se mají připojit.
Tato funkce podporuje:
- Windows 11
- Windows 10
Upgrade edice a přepnutí režimu
Upgrady edice Windows 10/11 automaticky upgradují zařízení s některými verzemi klienta Windows na novější edici.
Tato funkce podporuje:
- Windows 11
- Windows 10
Education
Nastavení vzdělávání – Windows 10 konfigurovat možnosti pro aplikaci Windows Zkuste si test. Když nakonfigurujete tyto možnosti, nebudou se na zařízení moct spustit žádné jiné aplikace, dokud se test nedokončí.
Nastavení vzdělávání – iOS/iPadOS používá aplikaci Classroom pro iOS/iPadOS k vedení výuky a ovládání zařízení studentů ve třídě. Zařízení s iPadem můžete nakonfigurovat tak, aby jedno zařízení sdílelo mnoho studentů.
Email nastavení vytváří, přiřazuje a monitoruje protokol Exchange ActiveSync nastavení e-mailu na zařízeních. Email profily pomáhají konzistentně, omezují volání podpory a umožňují koncovým uživatelům přistupovat k firemnímu e-mailu na jejich osobních zařízeních, aniž by je museli nastavovat.
Tato funkce podporuje:
- Registrace správce zařízení s Androidem
- Android Enterprise
- iOS/iPadOS
- Windows 11
- Windows 10
Endpoint Protection
Důležité
Tato šablona je zastaralá ve verzi služby ze srpna 2024 (2408). Stávající zásady nadále fungují. Pomocí této šablony ale nemůžete vytvářet nové zásady.
Místo toho použijte katalog nastavení k vytvoření nových zásad, které konfigurují datové části FileVault, Firewall a System Policy Control (Gatekeeper). Další informace najdete v katalogu nastavení macOS.
Ochrana koncových bodů konfiguruje nástroj BitLocker a nastavení Microsoft Defender pro klientská zařízení s Windows. Na zařízeních s macOS můžete také nakonfigurovat bránu firewall, bránu a další prostředky.
Informace o onboardingu Microsoft Defender for Endpoint pomocí Microsoft Intune najdete v tématu Konfigurace koncových bodů pomocí nástrojů MDM (Mobile Správa zařízení).
Tato funkce podporuje:
- macOS
- Windows 11
- Windows 10
Mobilní eSIM karta
Mobilní profily eSIM umožňují správcům konfigurovat mobilní datové tarify na spravovaných zařízeních pro přístup k internetu a datům. Po získání aktivačních kódů od mobilního operátora použijte Intune k importu těchto aktivačních kódů a pak přiřaďte zařízení s podporou eSIM.
Tato funkce podporuje:
- Windows 11
- Windows 10 Fall Creators Update a novější
Rozšíření
Důležité
Tato šablona je zastaralá ve verzi služby ze srpna 2024 (2408). Stávající zásady nadále fungují. Pomocí této šablony ale nemůžete vytvářet nové zásady.
Místo toho pomocí katalogu nastavení vytvořte nové zásady, které nakonfigurují datovou část Rozšíření systému. Další informace najdete v katalogu nastavení macOS.
Rozšíření systému macOS a rozšíření jádra umožňují správcům přidávat funkce nebo programy, které rozšiřují nativní možnosti operačního systému. Nakonfigurujte tato nastavení tak, aby důvěřovala všem rozšířením od konkrétního vývojáře nebo partnera nebo povolte konkrétní rozšíření.
Tato funkce podporuje:
- macOS
Exchange Kiosk
Profil nastavení veřejného terminálu nakonfiguruje zařízení tak, aby spouštět jednu aplikaci nebo spouštět mnoho aplikací. Můžete si také přizpůsobit další funkce veřejného terminálu, včetně nabídky Start a webového prohlížeče.
Tato funkce podporuje:
- Windows 11 (jenom beznabídkový režim jedné aplikace)
- Windows 10
Nastavení veřejného terminálu je k dispozici také jako omezení zařízení pro Android, Android Enterprise a iOS/iPadOS.
Profil MX (Zebra)
Rozšíření mobility (MX) rozšiřují integrovaná nastavení Intune a přizpůsobte nebo přidejte další nastavení specifická pro zařízení Zebra. Zařízení Zebra se běžně používají v továrních podlažích a v maloobchodních prostředích. Pokud máte stovky nebo tisíce zařízení Zebra, můžete ke konfiguraci a správě těchto zařízení použít Intune.
Tato funkce podporuje:
- Registrace správce zařízení s Androidem
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint se integruje s Intune a pomáhá tak monitorovat a chránit zařízení. Nastavíte úrovně rizika a určíte, co se stane, když zařízení tuto úroveň překročí. V kombinaci s podmíněným přístupem můžete zabránit škodlivým aktivitám ve vaší organizaci.
Tato funkce podporuje:
- Windows 11
- Windows 10
Hranice sítě
Hranice sítě vytvoří seznam lokalit, kterým vaše organizace důvěřuje. Tato funkce se používá s Ochrana Application Guard v programu Microsoft Defender a Microsoft Edgem k ochraně vašich zařízení.
Tato funkce podporuje:
- Windows 11
- Windows 10
OEMConfig
Na zařízeních s Androidem Enterprise je OEMConfig standardem. Umožňuje výrobcům OEM (výrobcům původního vybavení) a EMM (správa podnikové mobility) sestavovat a podporovat funkce specifické pro OEM standardizovaným způsobem.
V nástroji OEMConfig vytvoří výrobce OEM schéma, které definuje funkce správy specifické pro výrobce OEM, a vloží ho do aplikace nahrané na Google Play. Intune přečte schéma z aplikace a umožní správcům Intune nakonfigurovat nastavení ve schématu.
Tato funkce podporuje:
- Android Enterprise (OEMConfig)
Soubor předvoleb
Soubory předvoleb na zařízeních s macOS obsahují informace o aplikacích. Soubory předvoleb můžete například použít k řízení nastavení webového prohlížeče, přizpůsobení aplikací a dalším akcím.
Tato funkce podporuje:
- macOS
Tip
Nastavení macOS se průběžně přidávají do katalogu nastavení. Některá z těchto nastavení můžou nahradit soubory předvoleb. Další informace najdete v tématu Úkoly, které můžete dokončit pomocí katalogu Nastavení v Intune.
Katalog nastavení
Katalog nastavení obsahuje všechna dostupná nastavení, která můžete nakonfigurovat, a všechna na jednom místě. Nejedná se o šablonu ani o logické seskupení nastavení. Katalog nastavení se podobá konfiguraci místních objektů Zásady skupiny (GPO), ale je nativní pro cloud.
Ve Windows jsou k dispozici tisíce nastavení, včetně mnoha nastavení, která se v šablonách nenajdou. Pokud chcete získat úplný seznam všech nastavení, vytvořte zásady pomocí katalogu nastavení. Pokud chcete použít logické seskupení nastavení, pokračujte v používání šablon.
Dobrým zdrojem informací jsou úkoly, které můžete provádět pomocí katalogu nastavení Intune.
Tato funkce podporuje:
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
Sdílené zařízení s více uživateli
Windows 10/11 a Windows Holographic for Business zahrnují nastavení pro správu zařízení s více uživateli. Tato zařízení se označují jako sdílená zařízení nebo sdílené počítače. Když se uživatel přihlásí k zařízení, můžete zvolit, jestli může změnit možnosti režimu spánku nebo uložit soubory na zařízení. V jiném příkladu můžete kvůli úspoře místa vytvořit profil, který odstraní neaktivní přihlašovací údaje ze zařízení s Windows HoloLens.
Tato sdílená nastavení víceuživatelského zařízení umožňují správcům řídit některé funkce zařízení a spravovat tato sdílená zařízení pomocí Intune.
Tato funkce podporuje:
- Windows 11
- Windows 10
- Windows Holographic for Business
Skripty prostředí
Na zařízeních s Linuxem můžete přidat existující skripty Bash pro přizpůsobení nastavení a funkcí na těchto zařízeních. Tento koncept se podobá vytvoření vlastního konfiguračního profilu zařízení a nasazení zásad do zařízení. V Linuxu používáte existující skripty Bash ke konfiguraci funkcí a nastavení, které nejsou integrované do Intune.
Na zařízeních s macOS můžete přidat existující skripty prostředí a pak tyto skripty nasadit na zařízení s macOS.
Na zařízeních s Windows můžete pomocí rozšíření Intune Management Nahrát skripty PowerShellu do Intune a pak tyto skripty spustit na svých zařízeních. Podívejte se také, co je potřeba k použití rozšíření, jak je přidat do Intune a další důležité informace.
Tato funkce podporuje:
- Linux
- macOS
- Windows 11
- Windows 10
Aktualizace zásad
Zásady aktualizací pro iOS/iPadOS ukazují, jak vytvořit a přiřadit zásady pro iOS/iPadOS k instalaci aktualizací softwaru na zařízení s iOS/iPadOS. Můžete také zkontrolovat stav instalace.
Informace o zásadách aktualizací na zařízeních s Windows najdete v tématu Optimalizace doručení.
Tato funkce podporuje:
- iOS/iPadOS
Integrace VPN
Nastavení sítě VPN přiřazuje profily VPN uživatelům a zařízením ve vaší organizaci, aby se mohli snadno a bezpečně připojit k síti.
Virtuální privátní sítě (VPN) poskytují uživatelům zabezpečený vzdálený přístup k firemní síti. Zařízení používají profil připojení VPN k navázání připojení k serveru VPN.
Tato funkce podporuje:
- Registrace správce zařízení s Androidem
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1
Wi-Fi
Nastavení Wi-Fi přiřazuje nastavení bezdrátové sítě uživatelům a zařízením. Když přiřadíte profil Wi-Fi, uživatelé získají přístup k podnikové Wi-Fi, aniž by ji museli sami konfigurovat.
Tato funkce podporuje:
- Registrace správce zařízení s Androidem
- Android (AOSP)
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 11
- Windows 10
- Windows 8.1 (jenom import)
Monitorování stavu Windows
Monitorování stavu Windows umožňuje službě Endpoint Analytics shromažďovat a analyzovat data událostí. Tato data můžete použít k získání přehledů o zařízeních s Windows, včetně aktualizací softwaru a výkonu spouštění.
Tato funkce podporuje:
- Windows 11
- Windows 10
Kabelové sítě
Drátové sítě umožňují vytvářet a spravovat drátová připojení 802.1x pro stolní počítače a zařízení s macOS a Windows. Ve svém profilu zvolíte síťové rozhraní, vyberete akceptované typy protokolu EAP a zadáte nastavení důvěryhodnosti serveru, včetně certifikátů PKCS a SCEP.
Když přiřadíte profil, uživatelé získají přístup k podnikové kabelové síti, aniž by ji museli sami konfigurovat.
Tato funkce podporuje:
- macOS
- Windows 11
- Windows 10
Zebra Mobility Extensions (MX)
Zebra Mobility Extensions (MX) umožňuje správcům používat a spravovat zařízení Zebra v Intune. Pomocí nastavení vytvoříte profily StageNow a pak pomocí Intune přiřadíte a nasadíte tyto profily do zařízení Zebra. Protokoly StageNow a běžné problémy jsou skvělým prostředkem pro řešení potíží s profily a některými potenciálními problémy při použití StageNow.
Tato funkce podporuje:
- Správce zařízení s Androidem (rozšíření mobility)
Správa a řešení potíží
Spravujte své profily a zkontrolujte stav zařízení a přiřazené profily. Při řešení konfliktů můžete také zobrazit nastavení, která konflikt způsobují, a profily, které tato nastavení obsahují.
Běžné dotazy a chování týkající se zásad a profilů pomáhají správcům pracovat s profily. Popisuje, co se stane při odstranění profilu, co způsobuje odesílání oznámení do zařízení atd.
Další kroky
Zvolte profil a začněte.