Začínáme s nasazením Microsoft Intune
Microsoft Intune je cloudová služba, která pomáhá spravovat vaše zařízení a aplikace. Další informace o tom, co Microsoft Intune můžou pro vaši organizaci udělat, najdete v článku Co je Microsoft Intune.
Tento článek obsahuje přehled kroků pro spuštění nasazení Intune.
Tip
Jako doplněk k tomuto článku obsahuje Centrum pro správu Microsoftu 365 také pokyny k nastavení. Průvodce přizpůsobí vaše prostředí na základě vašeho prostředí. Pokud chcete získat přístup k tomuto průvodci nasazením, přejděte do průvodce nastavením Microsoft Intune v Centrum pro správu Microsoftu 365 a přihlaste se alespoň pomocí globálního čtenáře. Další informace o těchto průvodcích nasazením a potřebných rolích najdete v článku Pokročilí průvodci nasazením pro Microsoft 365 a Office 365 produkty.
Pokud si chcete projít osvědčené postupy bez přihlášení a aktivace funkcí automatizovaného nastavení, přejděte na portál pro instalaci M365.
Než začnete
Pokud chcete naplánovat nasazení Intune, použijte průvodce plánováním a přejděte na Microsoft Intune. Zabývá se osobními zařízeními, aspekty licencování, vytvořením plánu zavedení, oznámením změn uživatelům a dalšími informacemi.
Následující články jsou dobré zdroje informací:
Určete své licenční potřeby a všechny další požadavky na nasazení Intune. Následující seznam obsahuje některé z nejběžnějších požadavků:
Intune předplatné: Součástí některých předplatných Microsoft 365. Získáte také přístup k centru pro správu Microsoft Intune, což je webová konzola pro správu zařízení, aplikací a uživatelů.
Aplikace Microsoft 365: Jsou součástí Microsoftu 365 a používají se pro kancelářské aplikace, včetně Outlooku a Teams.
Microsoft Entra ID: Microsoft Entra ID slouží ke správě identit uživatelů, skupin a zařízení. Dodává se s předplatným Intune a případně s předplatným Microsoftu 365.
Microsoft Entra ID P1 nebo P2, které můžou být nákladné navíc, poskytují více běžně používaných funkcí v organizacích, včetně podmíněného přístupu, vícefaktorového ověřování (MFA) a dynamických skupin.
Windows Autopilot: Součástí některých předplatných Microsoftu 365. Windows Autopilot nabízí moderní nasazení operačního systému pro aktuálně podporované verze klientských zařízení s Windows.
Požadavky specifické pro platformu: V závislosti na platformách vašich zařízení existují další požadavky.
Pokud například spravujete zařízení s iOS/iPadOS a macOS, potřebujete certifikát Apple MDM Push Certificate a případně token Apple. Pokud spravujete zařízení s Androidem, možná budete potřebovat spravovaný účet Google Play. Pokud používáte ověřování pomocí certifikátu, možná budete potřebovat certifikát SCEP nebo PKCS.
Další informace najdete v článku:
Krok 1 – Nastavení Intune
V tomto kroku:
✅ Ověřte, že jsou vaše zařízení podporovaná, vytvořte tenanta Intune, přidejte uživatele & skupiny, přiřaďte licence a další.
Tento krok se zaměřuje na nastavení Intune a jeho příprava na správu identit uživatelů, aplikací a zařízení. Intune používá mnoho funkcí v Microsoft Entra ID, včetně vaší domény, uživatelů a skupin.
Další informace najdete v kroku 1 – nastavení Microsoft Intune.
Krok 2 – Přidání a ochrana aplikací
V tomto kroku:
✅ Na zařízeních, která se budou registrovat do Intune, vytvořte základní hodnoty aplikací, které zařízení musí mít, a pak tyto zásady aplikací přiřaďte během registrace. U aplikací, které potřebují větší zabezpečení, použijte také zásady ochrany aplikací.
✅ Na zařízeních, která se do Intune nezaregistrují, použijte zásady ochrany aplikací a vícefaktorové ověřování (MFA):
- zásady Ochrana aplikací pomáhají chránit data organizace na osobních zařízeních.
- Vícefaktorové ověřování pomáhá chránit data vaší organizace před neoprávněným přístupem.
Další informace najdete v části Krok 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune.
Každá organizace má základní sadu aplikací, které by se měly nainstalovat na zařízeních. Než si uživatelé zaregistrují svá zařízení, můžete pomocí Intune přiřadit tyto aplikace k jejich zařízením. Během registrace se zásady aplikací nasadí automaticky. Po dokončení registrace se aplikace nainstalují a budou připravené k použití.
Pokud chcete, můžete zařízení zaregistrovat a pak přiřadit aplikace. Je to tvoje volba. Až uživatelé příště vyhledá nové aplikace, uvidí nové dostupné aplikace.
Pokud uživatelé, kteří mají vlastní osobní zařízení, přistupují k prostředkům organizace, musíte všechny aplikace, které přistupují k datům vaší organizace, chránit minimálně pomocí správy mobilních aplikací (MAM). Zásady MAM můžete vytvářet pro Outlook, Teams, SharePoint a další aplikace. Průvodce plánováním Microsoft Intune obsahuje pokyny ke správě osobních zařízení.
Poznámka
Vícefaktorové ověřování je funkce Microsoft Entra ID, kterou je potřeba povolit ve vašem tenantovi Microsoft Entra. Pak nakonfigurujete vícefaktorové ověřování pro své aplikace. Další informace najdete v článku:
Krok 3 – Kontrola dodržování předpisů a zapnutí podmíněného přístupu
V tomto kroku:
✅ Vytvořte základní hodnoty zásad dodržování předpisů , které zařízení musí mít, a pak tyto zásady dodržování předpisů přiřaďte během registrace.
✅ Povolením podmíněného přístupu vynucujte zásady dodržování předpisů.
Další informace najdete v části Krok 3 – Plánování zásad dodržování předpisů.
Řešení MDM, jako je Intune, můžou nastavovat pravidla, která by měla zařízení splňovat, a můžou hlásit stavy dodržování předpisů těchto pravidel. Tato pravidla se nazývají zásady dodržování předpisů. Když zkombinujete zásady dodržování předpisů s podmíněným přístupem, můžete vyžadovat, aby zařízení před přístupem k datům vaší organizace splňovala určité požadavky na zabezpečení.
Když uživatelé zaregistrují svá zařízení v Intune, může proces registrace automaticky nasadit zásady dodržování předpisů. Po dokončení registrace můžou správci zkontrolovat stav dodržování předpisů a získat seznam zařízení, která nevyhovují vašim pravidlům.
Pokud chcete, můžete zařízení před kontrolou dodržování předpisů zaregistrovat. Je to tvoje volba. Při dalším Intune ohlášení se přiřadí zásady dodržování předpisů.
Poznámka
Podmíněný přístup je funkce Microsoft Entra ID, která musí být povolená v tenantovi Microsoft Entra. Pak můžete vytvořit zásady podmíněného přístupu pro identity uživatelů, aplikace a zařízení. Další informace najdete v článku:
Krok 4 – Konfigurace funkcí zařízení
V tomto kroku:
✅ Vytvořte základní hodnoty funkcí zabezpečení a funkcí zařízení , které by měly být povolené nebo blokované. Přiřaďte tyto profily během registrace.
Další informace najdete v části Krok 4 – Vytvoření konfiguračních profilů zařízení pro zabezpečení zařízení a přístup k prostředkům organizace.
Vaše organizace může mít základní sadu funkcí zařízení a zabezpečení, které by měly být nakonfigurované nebo blokované. Tato nastavení se přidají do profilů konfigurace zařízení a zabezpečení koncových bodů. Microsoft doporučuje přiřazovat zásady zabezpečení klíčů a konfigurace zařízení během registrace. Při zahájení registrace se automaticky přiřadí konfigurační profily zařízení. Po dokončení registrace se tyto funkce zařízení a zabezpečení nakonfigurují.
Pokud chcete, můžete zařízení před vytvořením konfiguračních profilů zaregistrovat. Je to tvoje volba. Při příštím Intune se změnami se profily přiřadí.
V Centru pro správu Microsoft Intune můžete vytvořit různé profily založené na platformě zařízení – Android, iOS/iPadOS, macOS a Windows.
Následující články jsou dobré zdroje informací:
- Použití funkcí a nastavení na zařízeních pomocí profilů zařízení
- Konfigurace nastavení pomocí katalogu nastavení
- Správa zabezpečení koncových bodů v Microsoft Intune
- Standardní hodnoty zabezpečení Windows
Krok 5 – registrace zařízení
V tomto kroku:
✅ Zaregistrujte svá zařízení v Intune.
Konkrétnější informace najdete v části Krok 5 – Pokyny k nasazení: Registrace zařízení v Microsoft Intune.
Aby bylo možné zařízení plně spravovat, musí být zaregistrovaná v Intune, aby dostávala dodržování předpisů & zásady podmíněného přístupu, zásady aplikací, zásady konfigurace zařízení a zásady zabezpečení, které vytvoříte. Jako správce vytváříte zásady registrace pro uživatele a zařízení. Každá platforma zařízení (Android, iOS/iPadOS, Linux, macOS a Windows) má různé možnosti registrace. Zvolíte, co je nejlepší pro vaše prostředí, vaše scénáře a způsob, jakým se vaše zařízení používají.
V závislosti na zvolené možnosti registrace se uživatelé můžou zaregistrovat sami. Nebo můžete registraci automatizovat, aby se uživatelé museli k zařízení přihlašovat jenom pomocí svého účtu organizace.
Když se zařízení zaregistruje, vydá se mu zabezpečený certifikát MDM. Tento certifikát komunikuje se službou Intune.
Různé platformy mají různé požadavky na registraci. Následující články vám můžou pomoct získat další informace o registraci zařízení, včetně pokynů pro konkrétní platformu:
Připojení ke cloudu pomocí Configuration Manager
Microsoft Configuration Manager pomáhá chránit místní Windows Server, zařízení, aplikace a data. Pokud potřebujete spravovat kombinaci cloudových a místních koncových bodů, můžete k Intune připojit Configuration Manager prostředí cloudem.
Pokud používáte Configuration Manager, připojte místní zařízení do cloudu dvěma kroky:
Připojení tenanta: Zaregistrujte tenanta Intune k nasazení Configuration Manager. Vaše Configuration Manager zařízení se zobrazí v Centru pro správu Microsoft Intune. Na těchto zařízeních můžete spouštět různé akce, včetně instalace aplikací a spouštění Windows PowerShell skriptů pomocí webového centra pro správu Intune.
[Spoluspráva(.. /.. /configmgr/comanage/overview.md): Správa klientských zařízení s Windows pomocí Configuration Manager a Microsoft Intune. Configuration Manager spravuje některé úlohy a Intune spravuje jiné úlohy.
Můžete například použít Configuration Manager ke správě aktualizací Windows a Intune ke správě dodržování předpisů & zásady podmíněného přístupu.
Pokud aktuálně používáte Configuration Manager, získáte okamžitou hodnotu prostřednictvím připojení tenanta a větší hodnotu získáte prostřednictvím spolusprávy.
Pokyny k nastavení Microsoft Intune, které je pro vaši organizaci vhodné, najdete v článku Průvodce nasazením: Nastavení nebo přechod na Microsoft Intune.
Další kroky
- Krok 1 – Nastavení Microsoft Intune
- Krok 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune
- Krok 3 – Plánování zásad dodržování předpisů
- Krok 4 – Konfigurace funkcí a nastavení zařízení pro zabezpečení zařízení a přístup k prostředkům organizace
- Krok 5 – Pokyny k nasazení: Registrace zařízení v Microsoft Intune