Průvodce nasazením: Správa zařízení s iOS/iPadOS v Microsoft Intune
Intune podporuje správu mobilních zařízení (MDM) iPadů a iPhonů, aby uživatelé měli zabezpečený přístup k pracovním e-mailům, datům a aplikacím. Tato příručka obsahuje pokyny specifické pro iOS, které vám pomůžou nastavit registraci a nasadit aplikace a zásady pro uživatele a zařízení.
Požadavky
Než začnete, dokončete tyto požadavky a povolte správu zařízení s iOS/iPadOS v Intune. Podrobnější informace o nastavení, nasazení nebo přechodu na Intune najdete v průvodci nasazením Intune.
- Přidání uživatelů a skupin
- Přiřazení licencí uživatelům
- Nastavení autority pro správu mobilních zařízení
- Nastavení certifikátu Apple MDM Push (APNs)
Informace o Microsoft Intune rolích a oprávněních najdete v tématu RBAC s Microsoft Intune. Role globálního správce Microsoft Entra a správce Intune mají v rámci Microsoft Intune úplná práva. Globální správce má více oprávnění, než je potřeba pro mnoho úloh správy zařízení v Microsoft Intune. Doporučujeme použít roli s nejnižšími oprávněními, která je potřebná k dokončení úkolů. Například role s nejnižšími oprávněními, která může provádět úlohy registrace zařízení, je Správce zásad a profilů, což je integrovaná role Intune.
Plánování nasazení
Průvodce plánováním Microsoft Intune poskytuje pokyny a rady, které vám pomůžou určit cíle, scénáře použití a požadavky. Popisuje také, jak vytvořit plány pro zavedení, komunikaci, podporu, testování a ověřování.
Vytvoření pravidel dodržování předpisů
Pomocí zásad dodržování předpisů můžete definovat pravidla a podmínky, které by uživatelé a zařízení měli splňovat, aby mohli přistupovat k chráněným prostředkům. Pokud používáte podmíněný přístup, můžou zásady podmíněného přístupu používat výsledky dodržování předpisů zařízením k blokování přístupu k prostředkům ze zařízení nesplňujících předpisy. Podrobné vysvětlení o zásadách dodržování předpisů a o tom, jak začít, najdete v tématu Použití zásad dodržování předpisů k nastavení pravidel pro zařízení spravovaná pomocí Intune.
| Úloha | Detail |
|---|---|
| Vytvoření zásady dodržování předpisů | Získejte podrobné pokyny k vytvoření a přiřazení zásad dodržování předpisů skupinám uživatelů a zařízení. |
| Přidání akcí pro nedodržení předpisů | Zvolte, co se stane, když zařízení přestanou splňovat podmínky zásad dodržování předpisů. Akce pro nedodržení předpisů můžete přidat při konfiguraci zásad dodržování předpisů zařízením nebo později úpravou zásad. |
| Vytvoření zásad podmíněného přístupu založených na zařízení nebo aplikacích | Zadejte aplikaci nebo služby, které chcete chránit, a definujte podmínky pro přístup. |
| Blokování přístupu k aplikacím, které nepoužívají moderní ověřování | Vytvořte zásady podmíněného přístupu založené na aplikacích, které budou blokovat aplikace, které používají jiné metody ověřování než OAuth2. například aplikace, které používají základní ověřování a ověřování na základě formulářů. Než ale přístup zablokujete, přihlaste se k Microsoft Entra ID a zkontrolujte sestavu aktivit metod ověřování, abyste zjistili, jestli uživatelé používají základní ověřování pro přístup k základním věcem, na které jste zapomněli nebo o které nevíte. Například veřejné terminály kalendáře zasedacích místností používají základní ověřování. |
Konfigurace zabezpečení koncových bodů
Funkce zabezpečení koncových bodů Intune slouží ke konfiguraci zabezpečení zařízení a ke správě úloh zabezpečení ohrožených zařízení.
| Úloha | Detail |
|---|---|
| Správa zařízení pomocí funkcí zabezpečení koncových bodů | Pomocí nastavení zabezpečení koncového bodu v Intune můžete efektivně spravovat zabezpečení zařízení a opravovat problémy u zařízení. |
| Povolení konektoru ochrany před mobilními hrozbami (MTD) pro nezaregistrovaná zařízení | Povolte připojení MTD v Intune, aby partnerské aplikace MTD mohly pracovat s Intune a vašimi zásadami. Pokud nepoužíváte Microsoft Defender for Endpoint, zvažte povolení konektoru, abyste mohli použít jiné řešení ochrany před mobilními hrozbami. |
| Vytvoření zásad ochrany aplikací MTD | Vytvořte Intune zásady ochrany aplikací, které vyhodnocuje rizika a omezuje podnikový přístup zařízení na základě úrovně hrozby. |
| Přidání aplikací MTD do nezaregistrovaných zařízení | Zpřístupněte aplikace MTD lidem ve vaší organizaci a nakonfigurujte Microsoft Authenticator pro iOS/iPadOS. |
| Použití podmíněného přístupu k omezení přístupu k tunelu Microsoft Tunnel | Pomocí zásad podmíněného přístupu můžete hradit přístup zařízení k bráně VPN v tunelu Microsoft Tunnel. |
Konfigurace nastavení zařízení
Pomocí Microsoft Intune můžete povolit nebo zakázat nastavení a funkce na zařízeních s iOS/iPadOS. Pokud chcete tato nastavení nakonfigurovat a vynutit, vytvořte profil konfigurace zařízení a pak ho přiřaďte skupinám ve vaší organizaci. Zařízení tento profil obdrží po registraci.
| Úloha | Detail |
|---|---|
| Vytvoření profilu Monitorování stavu Windows v Microsoft Intune | Seznamte se s různými typy profilů zařízení, které můžete vytvořit pro svoji organizaci. |
| Konfigurace funkcí zařízení | Nakonfigurujte běžné funkce a funkce iOS/iPadOS pro pracovní nebo školní kontext. Popis nastavení v této oblasti najdete v referenčních informacích k funkcím zařízení. |
| Konfigurace profilu Wi-Fi | Tento profil umožňuje uživatelům najít Wi-Fi síť vaší organizace a připojit se k této síti. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení Wi-Fi. |
| Konfigurace profilu SÍTĚ VPN | Nastavte pro lidi, kteří se připojují k síti vaší organizace, možnost zabezpečené sítě VPN, například Tunel Microsoft. Můžete také vytvořit zásady VPN pro jednotlivé aplikace , které budou vyžadovat, aby se uživatelé přihlásili k určitým aplikacím prostřednictvím připojení VPN. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení sítě VPN. |
| Konfigurace e-mailového profilu | Nakonfigurujte nastavení e-mailu, aby se lidé mohli připojit k poštovnímu serveru a získat přístup ke svému pracovnímu nebo školnímu e-mailu. Popis nastavení v této oblasti najdete v referenčních informacích k nastavení e-mailu. |
| Omezení funkcí zařízení | Chraňte uživatele před neoprávněným přístupem a vyrušováním tím, že omezíte funkce zařízení, které můžou používat v práci nebo ve škole. Popis nastavení v této oblasti najdete v referenčních informacích o omezeních zařízení. |
| Konfigurace vlastního profilu | Přidejte a přiřaďte nastavení a funkce zařízení, které nejsou součástí Intune. |
| Přizpůsobení brandingu a prostředí registrace | Přizpůsobte si prostředí Portál společnosti Intune a Microsoft Intune aplikací vlastními slovy, brandingem, předvolbami obrazovky a kontaktními informacemi vaší organizace. |
| Konfigurace zásad aktualizace softwaru | Naplánujte automatické aktualizace a instalace operačního systému pro zařízení se systémem iOS/iPadOS pod dohledem. |
Nastavení zabezpečených metod ověřování
Nastavte metody ověřování v Intune, abyste zajistili, že k vašim interním prostředkům budou přistupovat jenom autorizovaní lidé. Intune podporuje vícefaktorové ověřování, certifikáty a odvozené přihlašovací údaje. Certifikáty je také možné použít k podepisování a šifrování e-mailů pomocí S/MIME.
| Úloha | Detail |
|---|---|
| Vyžadovat vícefaktorové ověřování (MFA) | Vyžadovat, aby uživatelé v době registrace zadáli dva formuláře přihlašovacích údajů. |
| Vytvoření profilu důvěryhodného certifikátu | Před vytvořením profilu importovaného certifikátu SCEP, PKCS nebo PKCS vytvořte a nasaďte profil důvěryhodného certifikátu. Profil důvěryhodného certifikátu nasadí důvěryhodný kořenový certifikát do zařízení a uživatelů pomocí importovaných certifikátů SCEP, PKCS a PKCS. |
| Použití certifikátů SCEP s Intune | Zjistěte, co je potřeba k používání certifikátů SCEP s Intune, a nakonfigurujte požadovanou infrastrukturu. Potom můžete vytvořit profil certifikátu SCEP nebo nastavit certifikační autoritu třetí strany pomocí SCEP. |
| Použití certifikátů PKCS s Intune | Nakonfigurujte požadovanou infrastrukturu (například místní certificate connectory), exportujte certifikát PKCS a přidejte certifikát do konfiguračního profilu Intune zařízení. |
| Použití importovaných certifikátů PKCS s Intune | Nastavte importované certifikáty PKCS, které umožňují nastavit a používat S/MIME k šifrování e-mailů. |
| Nastavení vystavitele odvozených přihlašovacích údajů | Zřiďte zařízení s iOS/iPadOS certifikáty odvozené z čipových karet uživatele. |
Nasazení aplikací
Při nastavování aplikací a zásad aplikací se zamyslete nad požadavky vaší organizace, jako jsou platformy, které budete podporovat, úkoly, které musí lidé udělat, typ aplikací, které potřebují k dokončení těchto úkolů, a nakonec skupiny, které tyto aplikace potřebují. Můžete použít Intune ke správě celého zařízení (včetně aplikací) nebo můžete použít Intune ke správě jenom aplikací.
| Úloha | Detail |
|---|---|
| Přidání aplikací pro Store | Přidejte aplikace pro iOS/iPadOS z App Store do Intune a přiřaďte je do skupin. |
| Přidání webových aplikací | Přidejte webové aplikace do Intune a přiřaďte je skupinám. |
| Přidání integrovaných aplikací | Přidejte integrované aplikace do Intune a přiřaďte je skupinám. |
| Přidání obchodních aplikací | Přidejte obchodní aplikace pro iOS/iPadOS do Intune a přiřaďte je do skupin. |
| Přiřazení aplikací ke skupinám | Přiřaďte aplikace uživatelům a zařízením. |
| Zahrnutí a vyloučení přiřazení aplikací | Řízení přístupu a dostupnosti aplikace zahrnutím a vyloučením vybraných skupin z přiřazení |
| Správa aplikací pro iOS/iPadOS zakoupených prostřednictvím Apple Business Manageru | Synchronizujte, spravujte a přiřazujte aplikace zakoupené prostřednictvím Apple Business Manageru. |
| Správa e-knih pro iOS/iPadOS zakoupených prostřednictvím Apple Business Manageru | Synchronizovat, spravovat a přiřazovat knihy zakoupené prostřednictvím Apple Business Manageru |
| Vytvoření zásad ochrany aplikací pro iOS/iPadOS | Udržujte data organizace obsažená ve spravovaných aplikacích, jako je Outlook a Word. Podrobnosti o jednotlivých nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro iOS/iPadOS . |
| Vytvoření zřizovacího profilu aplikace | Zabraňte vypršení platnosti certifikátů aplikací tím, že proaktivně přiřazujete nové zřizovací profily zařízením, u kterých se blíží vypršení platnosti aplikací. |
| Vytvoření zásady správy aplikací | Použití vlastního nastavení konfigurace pro aplikace pro iOS/iPadOS na zaregistrovaných zařízeních Tyto typy zásad můžete také použít pro spravované aplikace bez registrace zařízení. |
| Konfigurace Microsoft Edge | Používejte Intune zásady ochrany a konfigurace aplikací s Edgem pro iOS/iPadOS, abyste zajistili přístup k podnikovým webům se zavedenými bezpečnostními opatřeními. |
| Konfigurace aplikací Microsoft Office | Pomocí Intune zásad ochrany a konfigurace aplikací s aplikacemi Office zajistíte, že se k podnikovým souborům dostanete se zavedenými bezpečnostními opatřeními. |
| Konfigurace Microsoft Teams | Používejte Intune zásady ochrany a konfigurace aplikací v Teams, abyste zajistili, že týmová prostředí pro spolupráci budou přístupná se zavedenými bezpečnostními opatřeními. |
| Konfigurace aplikace Microsoft Outlook | Pomocí zásad ochrany a konfigurace aplikací v Outlooku Intune zajistíte přístup k podnikovému e-mailu a kalendářům se zavedenými bezpečnostními opatřeními. |
Zápis zařízení
Registrace zařízení jim umožňuje přijímat zásady, které vytvoříte, takže si připravte Microsoft Entra skupiny uživatelů a skupin zařízení.
Informace o jednotlivých způsobech registrace a o tom, jak zvolit ten, který je pro vaši organizaci nejvhodnější, najdete v průvodci registrací zařízení s iOS/iPadOS pro Microsoft Intune.
| Úloha | Detail |
|---|---|
| Nastavení automatické registrace zařízení Apple (ADE) v Intune | Nastavte prostředí pro předpřihlednou registraci pro zařízení vlastněná společností zakoupená prostřednictvím Apple School Manageru nebo Apple Business Manageru. Podrobný návod k tomuto procesu najdete v tématu Kurz: Použití funkcí registrace podnikových zařízení Apple v Apple Business Manageru (ABM) k registraci zařízení s iOS/iPadOS. |
| Nastavení Apple School Manageru v Intune | Nastavte Intune pro registraci zařízení zakoupených prostřednictvím programu Apple School Manager. |
| Nastavení registrace zařízení pomocí Apple Configuratoru | Vytvoření profilu Apple Configuratoru pro registraci zařízení vlastněných společností (bez přidružení uživatele) prostřednictvím přímé registrace nebo k registraci vymazaných nebo nových zařízení (s přidružením uživatele) prostřednictvím Pomocníka s nastavením. Profil Apple Configuratoru budete muset exportovat z Intune, což vyžaduje připojení USB k počítači Mac s Apple Configuratorem. |
| Identifikace zařízení jako vlastněných společností | Přiřaďte zařízením stav vlastněný společností, abyste v Intune umožnili více možností správy a identifikace. Stav vlastněný společností nejde přiřadit zařízením zaregistrovaným prostřednictvím Apple Business Manageru. |
| Nastavení registrace uživatelů Apple | Vytvořte profil registrace uživatele, který nasadí prostředí registrace uživatelů Apple do zařízení pomocí spravovaného Apple ID. |
| Nastavení sdílených zařízení s iPadem | Nakonfigurujte zařízení tak, aby je mohlo používat více než jedna osoba (typ nastavení, který byste viděli v knihovně nebo vzdělávacím prostředí). |
| Zálohování a obnovení zařízení | Zálohujte a obnovte zařízení, abyste ho připravili na registraci nebo migraci v Intune, například během instalace automatizované registrace zařízení. |
| Změna vlastnictví zařízení | Po registraci zařízení můžete změnit jeho popisek vlastnictví v Intune na vlastněné společností nebo v osobním vlastnictví. Tato úprava změní způsob, jakým můžete zařízení spravovat. |
| Řešení potíží s registrací | Řešení potíží, ke kterým dochází během registrace, a jejich řešení |
Spouštění vzdálených akcí
Po nastavení zařízení můžete pomocí vzdálených akcí v Intune spravovat zařízení a řešit potíže na dálku. Dostupnost se liší podle platformy zařízení. Pokud akce na portálu chybí nebo je zakázaná, není na zařízení podporovaná.
| Úloha | Detail |
|---|---|
| Provedení vzdálené akce na zařízeních | Zjistěte, jak procházet podrobnosti a vzdáleně spravovat jednotlivá zařízení v Intune a řešit potíže s tím. Tento článek obsahuje seznam všech vzdálených akcí dostupných v Intune a odkazy na tyto postupy. |
| Použití TeamVieweru ke vzdálené správě zařízení Intune | Nakonfigurujte TeamViewer v rámci Intune a zjistěte, jak vzdáleně spravovat zařízení. |
| Napravit ohrožení zabezpečení identifikovaná Microsoft Defender for Endpoint | Integrujte Intune s Microsoft Defender for Endpoint, abyste mohli využívat Threat and Vulnerability Management Defenderu for Endpoint a používat Intune k nápravě slabých míst koncového bodu zjištěného schopností správy ohrožení zabezpečení defenderu. |
Další kroky
V těchto kurzech registrace se dozvíte, jak provádět některé z hlavních úloh v Intune. Kurzy jsou obsah na úrovni 100 až 200 pro lidi, kteří Intune nebo konkrétní scénář.
- Projděte si Centrum pro správu Intune
- Použití funkcí registrace podnikových zařízení Apple v Apple Business Manageru (ABM) k registraci zařízení s iOS/iPadOS v Intune
- Ochrana Exchange Online e-mailu na spravovaných zařízeních
- Ochrana Exchange Online e-mailu na nespravovaných zařízeních
- Konfigurace Slacku pro použití Intune pro EMM a konfiguraci aplikací
Verzi této příručky pro Android najdete v tématu Průvodce nasazením: Správa zařízení s Androidem v Microsoft Intune.