Průvodce plánováním na vysoké úrovni pro přechod na koncové body nativní pro cloud
Tip
Při čtení o koncových bodech nativních pro cloud se zobrazí následující termíny:
- Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
- Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo objektů zásad skupiny. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
- Koncové body nativní pro cloud: Koncové body, které jsou připojené k Microsoft Entra. Nejsou připojené k místní službě AD.
- Úloha: Jakýkoli program, služba nebo proces.
Tento průvodce plánováním na vysoké úrovni obsahuje nápady a návrhy, které je potřeba zvážit při přijetí a migraci na koncové body nativní pro cloud. Zabývá se správou zařízení, kontrolou & přechodem stávajících úloh, prováděním změn organizace, používáním Windows Autopilotu a dalšími tématy.
Tato funkce platí pro:
- Koncové body Windows nativní pro cloud
Přesun koncových bodů Windows na nativní cloud má řadu výhod, včetně dlouhodobých. Nejedná se o proces přes noc a je potřeba ho naplánovat, abyste se vyhnuli problémům, výpadkům a negativnímu dopadu na uživatele.
Další informace o výhodách pro organizaci a uživatele najdete v tématu Co jsou koncové body nativní pro cloud.
Pokud chcete být úspěšní, zvažte klíčové oblasti popsané v tomto článku pro vaše plánování a nasazení. Díky správnému plánování, komunikaci a aktualizacím procesů může být vaše organizace nativní pro cloud.
Správa zařízení pomocí poskytovatele MDM nativního pro cloud
Správa koncových bodů, včetně koncových bodů nativních pro cloud, je důležitou úlohou pro všechny organizace. U koncových bodů nativních pro cloud musí nástroje pro správu, které používáte, spravovat koncové body, ať jsou kdekoli.
Pokud v současné době nepoužíváte řešení správy mobilních zařízení (MDM) nebo chcete přejít na řešení Od microsoftu, pak jsou vhodné zdroje informací v následujících článcích:
U řady produktů a služeb Microsoft Intune máte následující možnosti správy koncových bodů:
Microsoft Intune: Intune je 100% cloudový a používá Centrum pro správu Intune ke správě zařízení, správě aplikací na zařízeních, vytváření & nasazení zásad, kontrole dat generování sestav atd.
Další informace o používání Intune ke správě koncových bodů najdete tady:
Microsoft Configuration Manager: Configuration Manager používá místní infrastrukturu a může spravovat servery. Když používáte spolusprávu, některé úlohy používají Nástroj Configuration Manager (místní) a některé úlohy používají Microsoft Intune (cloud).
U koncových bodů nativních pro cloud by vaše řešení Configuration Manageru měla používat bránu pro správu cloudu (CMG) a spolusprávu.
Kontrola úloh koncových bodů a uživatelů
Na vysoké úrovni vyžaduje nasazení koncových bodů nativních pro cloud moderní strategie pro identitu, distribuci softwaru, správu zařízení, aktualizace operačního systému a správu uživatelských dat & konfiguraci. Microsoft má řešení, která podporují tyto oblasti pro vaše koncové body nativní pro cloud.
Začněte tím, že si projdete jednotlivé úlohy a určíte, jak může nebo bude podporovat vaše koncové body nativní pro cloud. Některé úlohy už můžou podporovat koncové body nativní pro cloud. Nativní podpora závisí na konkrétní úloze, na tom, jak vaše organizace implementuje služby úloh a jak je uživatelé používají.
Pokud chcete zjistit, jestli vaše úlohy podporují koncové body nativní pro cloud, musíte tyto služby prozkoumat a ověřit.
Pokud služba nebo řešení nepodporuje koncové body nativní pro cloud, určete její dopad a důležitost na vaše uživatele a vaši organizaci. Až budete mít tyto informace, můžete určit další kroky, mezi které patří:
- Spolupráce s dodavatelem služby
- Aktualizace na novou verzi
- Použití nové služby
- Implementace řešení pro přístup k této službě a používání této služby z koncového bodu nativního pro cloud
- Ověření požadavků na službu
- Souhlas s tím, že služba není nativní pro cloud, což může být přijatelné pro uživatele a vaši organizaci
V každém případě byste měli naplánovat aktualizaci úloh tak, aby podporovaly koncové body nativní pro cloud.
Vaše úlohy by měly mít následující charakteristiky:
- Zabezpečený přístup k aplikacím a datům odkudkoli, kde se uživatelé nacházejí. Access nevyžaduje připojení k podnikové nebo interní síti.
- Hostované v cloudové službě, hostované nebo hostované prostřednictvím cloudové služby.
- Nevyžaduje konkrétní zařízení ani na něm nezávisí.
Běžné úlohy a řešení
Mezi koncové body nativní pro cloud patří také služby a úlohy, které koncové body podporují.
Následující úlohy jsou konfigurace, nástroje, procesy a služby, které umožňují produktivitu uživatelů a správu koncových bodů.
Vaše přesné úlohy, podrobnosti a způsob aktualizace úloh pro koncové body nativní pro cloud se můžou lišit. Nemusíte také převádět každou úlohu. Musíte ale zvážit každou úlohu, její dopad na produktivitu uživatelů a možnosti správy zařízení. Převod některých úloh na použití koncových bodů nativních pro cloud může trvat déle než jiné. Úlohy mohou být vzájemně závislé.
Identita zařízení
Identitu zařízení určují zprostředkovatelé identity (IdP), kteří mají o zařízení znalosti a vztah důvěryhodnosti zabezpečení se zařízením. U koncových bodů Windows jsou nejběžnějšími zprostředkovateli identity místní služba Active Directory (AD) a Microsoft Entra ID. Koncové body s identitami z jednoho z těchto zprostředkovatele identity jsou obvykle připojené k jednomu nebo k oběma.
- Pro koncové body nativní pro cloud je nejlepší volbou připojení k Microsoft Entra join pro identitu zařízení. Nevyžaduje žádné připojení k místní síti, prostředku ani službě.
- Připojení k místní službě AD a hybridní připojení Microsoft Entra Join vyžadují připojení k místnímu řadiči domény. Potřebují připojení pro počáteční přihlášení uživatele, aby mohli poskytovat zásady skupiny a měnit hesla. Tyto možnosti nejsou vhodné pro koncové body nativní pro cloud.
Poznámka
Registrace Microsoft Entra, někdy označovaná jako připojení k pracovišti, je určená pouze pro scénáře přineste si vlastní zařízení (BYOD). Neměl by se používat pro koncové body Windows vlastněné organizací. Některé funkce nemusí být podporovány nebo fungovat podle očekávání v koncových bodech Windows registrovaných společností Microsoft Entra.
Zřízení koncových bodů
U nově nasazených koncových bodů připojení k Microsoft Entra použijte k předběžné konfiguraci zařízení windows Autopilot. Připojení k Microsoft Entra je obvykle úlohou řízenou uživatelem a Windows Autopilot je navržen s ohledem na uživatele. Windows Autopilot umožňuje zřizování pomocí cloudu odkudkoli na internetu a libovolným uživatelem.
Pro více informací přejděte na:
Nasazení softwaru a aplikací
Většina uživatelů potřebuje a používá software a aplikace, které nejsou součástí základního operačního systému. V mnoha případech IT nezná nebo nerozumí konkrétním požadavkům aplikace. Za doručování a správu těchto aplikací ale stále zodpovídá váš IT tým. Uživatelé by měli mít možnost si vyžádat a nainstalovat aplikace, které potřebují ke své práci, bez ohledu na koncový bod, který používají nebo odkud ho používají.
Pokud chcete nasadit software a aplikace, použijte cloudový systém, jako je Intune nebo Configuration Manager (s CMG a spolusprávou).
Vytvořte základní hodnoty aplikací, které musí mít vaše koncové body, jako je Microsoft Outlook a Teams. U jiných aplikací nechte uživatele instalovat si vlastní aplikace.
Na koncových bodech můžete jako úložiště aplikace použít aplikaci Portál společnosti. Nebo použijte portál pro uživatele se seznamem aplikací, které se dají nainstalovat. Tato samoobslužná možnost zkracuje dobu zřizování nových a stávajících zařízení. Snižuje se tím také zatížení IT a nemusíte nasazovat aplikace, které uživatelé nepotřebují.
Další informace najdete v článku:
Konfigurace nastavení zařízení pomocí zásad
Správa zásad a zabezpečení je základem správy koncových bodů. Zásady koncových bodů umožňují vaší organizaci vynutit na spravovaných koncových bodech konkrétní standardní hodnoty zabezpečení a standardní konfiguraci. Existuje mnoho nastavení, která můžete spravovat a řídit na koncových bodech. Vytvořte zásady, které konfigurují jenom to, co je ve vašem směrném plánu povinné. NEVYTVOVÁVEJTE zásady, které řídí běžné uživatelské předvolby.
Tradiční vynucování zásad pomocí zásad skupiny není u koncových bodů nativních pro cloud možné. Místo toho můžete pomocí Intune vytvořit zásady pro konfiguraci mnoha nastavení, včetně integrovaných funkcí, jako je Katalog nastavení a šablon pro správu.
Analýza zásad skupiny v Intune může analyzovat vaše místní objekty zásad skupiny, zjistit, jestli se stejná nastavení podporují v cloudu, a vytvořit zásady pomocí těchto nastavení.
Pokud máte existující zásady, které vydávají certifikáty, spravují Nástroj BitLocker a poskytují ochranu koncových bodů, musíte vytvořit nové zásady v Intune nebo Configuration Manageru (s CMG a spolusprávou).
Další informace najdete v článku:
- Použití certifikátů pro ověřování v Microsoft Intune
- Zásady šifrování disků pro zabezpečení koncových bodů v Intune
- Přidání nastavení ochrany koncového bodu v Intune
- Certifikáty v nástroji Configuration Manager
- Správa nástroje BitLocker v Nástroji Configuration Manager
- Endpoint Protection v Nástroji Configuration Manager
Nasazení aktualizací zabezpečení, funkcí a aplikací
Mnoho místních řešení nemůže nasadit aktualizace do cloudově nativních koncových bodů ani je nasadit efektivně. Z hlediska zabezpečení může být tato úloha nejdůležitější. Měla by to být první úloha, kterou přejdete na podporu koncových bodů Windows nativních pro cloud.
Nasaďte aktualizace Windows pomocí cloudového systému, jako je Windows Update pro firmy. Pomocí Intune nebo Configuration Manageru (s cmg a spolusprávou) můžete pomocí služby Windows Update pro firmy nasadit aktualizace zabezpečení a aktualizace funkcí.
Další informace najdete v článku:
Nasaďte aktualizace aplikací Microsoft 365 pomocí následujících možností:
- Intune: Vytvořte zásadu, která nastaví aktualizační kanál, odebere další verze aplikací a další.
- Configuration Manager (s CMG a spolusprávou): Spravujte své aplikace, včetně statistik aktualizací, kopírování, vyřazení a dalších.
Další informace najdete v článku:
Správa uživatelských dat a nastavení
Uživatelská data zahrnují následující položky:
- Dokumenty uživatelů
- Konfigurace poštovní aplikace
- Oblíbené položky webového prohlížeče
- Data specifická pro obchodní aplikace (LOB)
- Nastavení konfigurace specifické pro obchodní aplikace
Uživatelé musí vytvářet data a přistupovat k datům z libovolného koncového bodu. Tato data musí být také chráněná a možná bude potřeba je sdílet s ostatními uživateli.
Ukládejte uživatelská data a nastavení v poskytovateli cloudového úložiště, jako je Microsoft OneDrive. Poskytovatelé cloudového úložiště můžou zpracovávat synchronizaci dat, sdílení, offline přístup, řešení konfliktů a další.
Další informace najdete v příručce k OneDrivu pro podniky.
Důležité
Některá uživatelská nastavení, jako jsou předvolby operačního systému nebo nastavení specifická pro aplikaci, jsou uložená v registru. Přístup k těmto nastavením odkudkoli nemusí být realistický a může být zakázáno synchronizovat s různými koncovými body.
Tato nastavení je možné exportovat a pak importovat do jiného zařízení. Můžete například exportovat uživatelská nastavení z Outlooku, Wordu a dalších aplikací Office.
Přístup k místním prostředkům
Některé organizace nemůžou některé úlohy převést na řešení nativní pro cloud. Jedinou možností může být přístup k existujícím místním prostředkům nebo službám z koncového bodu nativního pro cloud. Pro tyto scénáře uživatelé potřebují přístup.
U těchto místních služeb, prostředků a aplikací zvažte následující úlohy:
Ověřování a autorizace: Pokud chtějí uživatelé přistupovat k místním prostředkům z koncových bodů nativních pro cloud, musí ověřit a ověřit, kdo jsou. Konkrétnější informace najdete v tématu Ověřování a přístup k místním prostředkům pomocí koncového bodu nativního pro cloud.
Připojení: Zkontrolujte a vyhodnoťte aplikace & prostředky, které jsou pouze v místním prostředí. Připojení a přístup k těmto prostředkům by měly být dostupné mimo místní prostředí a bez přímého připojení, jako je síť VPN. Tato úloha může zahrnovat přechod na verze SaaS vašich aplikací pomocí proxy aplikací Microsoft Entra, Azure Virtual Desktopu, Windows 365, SharePointu, OneDrivu nebo Microsoft Teams.
Poznámka
Microsoft Entra nepodporuje ověřovací protokol Kerberos. Místní služba AD podporuje ověřovací protokol Kerberos. Při plánování se můžete dozvědět více o protokolu Microsoft Entra Kerberos. Po nakonfigurování se uživatelé přihlašují ke koncovému bodu nativnímu pro cloud pomocí svého účtu Microsoft Entra a mají přístup k místním aplikacím nebo službám, které používají ověřování kerberos.
Microsoft Entra Kerberos:
- Nepoužívá se v nativních cloudových řešeních.
- Neřeší žádné problémy s připojením k prostředkům, které vyžadují ověřování prostřednictvím Microsoft Entra.
- Není řešením ani řešením pro jakékoli požadavky na ověřování domény prostřednictvím Microsoft Entra.
- Neřeší problémy s ověřováním počítačů uvedené v části Známé problémy a důležité informace.
Pokud chcete lépe porozumět protokolu Microsoft Entra Kerberos a scénářům, které může řešit, přejděte na následující blogy:
- Proč jsme vytvořili Microsoft Entra Kerberos (otevře externí web)
- Podrobné informace: Jak funguje Microsoft Entra Kerberos (otevře jiný web Microsoftu)
- Jak funguje Microsoft Entra Kerberos (syfuhs.net) (otevře externí web)
Přechod úloh ve fázích
Modernizace úloh a přijetí koncových bodů nativních pro cloud vyžaduje změny provozních procesů a postupů. Příklady:
- Správci potřebují pochopit, jak změny stávajících úloh můžou změnit své procesy.
- Oddělení služeb musí porozumět novým scénářům, které budou podporovat.
Při kontrole koncových bodů a úloh rozdělte přechod do fází. Tato část obsahuje přehled některých doporučených fází, které může vaše organizace použít. Tyto fáze se dají opakovat tolikrát, kolikrát je to potřeba.
✅ Fáze 1: Získání informací o úlohách
Tato fáze je fáze shromažďování informací. Pomůže vám určit rozsah toho, co musíte zvážit, aby vaše organizace přešla na nativní cloud. Zahrnuje přesné definování služeb, produktů a aplikací, které jsou součástí jednotlivých úloh ve vašem prostředí.
V této fázi:
Inventarizace informací a podrobností o aktuálních úlohách Můžete například znát jejich aktuální stav, co poskytují, komu slouží, kdo je udržuje, jestli jsou kritické pro nativní cloud a jak jsou hostované.
Když budete mít tyto informace, můžete pochopit a definovat koncový cíl, kterým by měl být:
- Podpora koncových bodů nativních pro cloud
- Informace o službách, produktech a aplikacích používaných jednotlivými úlohami
Musíte se domluvit s vlastníky různých služeb, produktů a aplikací. Chcete zajistit, aby koncové body nativní pro cloud podporovaly produktivitu uživatelů bez omezení připojení nebo umístění.
Mezi běžné služby a aplikace patří obchodní aplikace, interní weby, sdílené složky, požadavky na ověřování, mechanismy aktualizace aplikací a operačních systémů a konfigurace aplikací. V podstatě zahrnují všechno, co uživatelé potřebují k plné práci.
Ověřte koncový stav pro každou úlohu. Identifikujte známé blokátory, které brání přechodu do tohoto koncového stavu nebo brání podpoře koncových bodů nativních pro cloud.
Některé úlohy a jejich služby & aplikace už můžou být vhodné pro cloud nebo povolené. Některé nemusí. Přechod do koncového stavu jednotlivých úloh může vyžadovat investice organizace & úsilí. Může zahrnovat aktualizaci softwaru, "zvedání a přesun" na novou platformu, migraci na nové řešení nebo provádění změn konfigurace.
Kroky potřebné pro každou úlohu se u každé organizace liší. Závisí na tom, jak je služba nebo aplikace hostovaná a jak k nim uživatelé přistupují. Tento koncový stav by měl řešit primární problém, který uživatelům umožňuje provádět práci na koncovém bodu nativním pro cloud bez ohledu na umístění nebo připojení k interní síti.
Na základě každého definovaného koncového stavu můžete zjistit nebo definovat, že povolení služby nebo aplikace v cloudu je obtížné nebo blokované. K této situaci může dojít z různých důvodů, včetně technických nebo finančních omezení. Tato omezení musí být jasná a musí být srozumitelná. Musíte zkontrolovat jejich dopad a určit, jak přesunout jednotlivé úlohy tak, aby byly přátelské pro cloud.
✅ Fáze 2: Stanovení priority všech blokování
Jakmile identifikujete klíčové úlohy a jejich blokátory koncového stavu, postupujte podle následujících možností:
Určete prioritu každého blokování a vyhodnoťte jejich řešení.
Možná nechcete nebo nebudete muset řešit všechny blokátory. Vaše organizace může mít například úlohy nebo část úloh, které nepodporují vaše koncové body nativní pro cloud. Tento nedostatek podpory může nebo nemusí být pro vaši organizaci nebo uživatele významný. Toto rozhodnutí můžete udělat vy a vaše organizace.
Pokud chcete podporovat testování a testování konceptu (POC), začněte s minimální sadou úloh. Cílem je otestovat a ověřit vzorek vašich úloh.
V rámci poc identifikujte v pilotním nasazení sadu uživatelů a zařízení pro spuštění skutečného produkčního scénáře. Tento krok pomáhá prokázat, jestli koncový stav umožňuje produktivitu uživatelů.
V mnoha organizacích existuje role nebo obchodní skupina, které se snadněji migrují. V poc můžete například cílit na následující scénáře:
- Vysoce mobilní prodejní tým, jehož primárními požadavky jsou nástroje pro zvýšení produktivity a online řešení pro řízení vztahů se zákazníky
- Znalostní pracovníci, kteří primárně přistupují k obsahu, který už je v cloudu, a do značné míry spoléhají na aplikace Microsoftu 365
- Zařízení frontline pracovních procesů, která jsou vysoce mobilní nebo se nacházejí v prostředích, ve kterých nemají přístup k síti organizace
U těchto skupin zkontrolujte jejich úlohy. Určete, jak se tyto úlohy můžou přesunout na moderní správu, včetně identit, distribuce softwaru, správy zařízení a dalších.
Pro každou z oblastí pilotního nasazení by měl být počet položek nebo úkolů nízký. Tento počáteční pilotní projekt vám pomůže vytvořit procesy a postupy potřebné pro více skupin. Pomůže vám to také vytvořit dlouhodobou strategii.
Další pokyny a tipy najdete v průvodci plánováním Microsoft Intune. Vztahuje se na Intune, ale obsahuje také některé pokyny při používání pilotních skupin a vytváření plánů zavedení.
✅ Fáze 3: Přechod úloh
V této fázi jste připraveni implementovat změny.
Přesuňte odblokované úlohy do plánovaných řešení nativních pro cloud nebo do koncového stavu. V ideálním případě je tento krok rozdělený na menší pracovní položky. Cílem je pokračovat v obchodním provozu s minimálním přerušením.
Jakmile první sada úloh podporuje koncové body nativní pro cloud, identifikujte další úlohy a pokračujte v procesu.
✅ Fáze 4: Příprava uživatelů
Uživatelé mají různá prostředí pro příjem, nasazení a podporu na svých zařízeních. Správci by měli:
- Projděte si existující procesy a dokumentaci a zjistěte, kde jsou změny viditelné pro uživatele.
- Aktualizace dokumentace.
- Vytvořte vzdělávací strategii, která bude sdílet změny a výhody, které uživatelé zaznačí.
Přechod organizace ve fázích
Následující fáze představují základní přístup, který organizacím umožňuje přesunout své prostředí tak, aby podporovalo koncové body Windows nativní pro cloud. Tyto fáze jsou paralelně s přechodem na koncové body a uživatelské úlohy. Můžou záviset na částečném nebo úplném přechodu určitých úloh na podporu koncových bodů Windows nativních pro cloud.
✅ Fáze 1: Definování koncových bodů, závislostí a milníků
Tato fáze je prvním krokem k tomu, aby migrace vaší organizace byla plně nativní pro cloud. Zkontrolujte, co aktuálně máte, definujte kritéria úspěchu a začněte plánovat, jak budou vaše zařízení přidána do Microsoft Entra.
Definování koncových bodů, které vyžadují cloudovou identitu
- Koncové body, které používají přístup k internetu, vyžadují cloudovou identitu. Tyto koncové body přidáte do Microsoft Entra.
- Koncové body, které nepoužívají internet nebo se používají jenom místně, by neměly mít cloudovou identitu. Nemigrujte tyto scénáře tak, aby byly nativní pro cloud.
Definování závislostí
Úlohy, uživatelé a zařízení mají technické i netechnické závislosti. Pokud chcete přejít s minimálním dopadem na uživatele a organizaci, musíte tyto závislosti zohlednit.
Závislost může být například:
- Obchodní procesy a kontinuita
- Standardy zabezpečení
- Místní zákony a předpisy
- Znalost uživatelů a použití úlohy
- Kapitál, provozní náklady a rozpočet
Pro každou úlohu se zeptejte na co se to týká, pokud něco změníme ve službách poskytovaných touto úlohou? Musíte zohlednit důsledky této změny.
Definování milníků a kritérií úspěchu pro každou úlohu
Každá úloha má své vlastní milníky a kritéria úspěchu. Můžou být založené na tom, jak organizace tuto úlohu používá, a její použitelnosti pro konkrétní koncové body a uživatele.
Pokud chcete pochopit a definovat průběh přechodu, sledujte a monitorujte tyto informace.
Plánování nasazení Windows Autopilotu
- Určete, jak a kdy budou zařízení zaregistrovaná ve vaší organizaci.
- Určete a vytvořte potřebné značky skupin, které budou cílit na zásady Windows Autopilotu.
- Vytvořte profil Windows Autopilot s jeho nastavením konfigurace a zaměřte se na zařízení, která ho obdrží.
Pro více informací přejděte na:
✅ Fáze 2: Povolení cloudové identity koncového bodu (volitelné)
Aby byly plně nativní pro cloud, microsoft doporučuje resetovat stávající koncové body Windows v rámci cyklu aktualizace hardwaru. Při resetování se koncový bod obnoví zpět do továrního nastavení. Odstraní se všechny aplikace, nastavení a osobní údaje v zařízení.
Pokud nejste připravení resetovat koncové body, můžete povolit hybridní připojení k Microsoft Entra. Cloudová identita se vytvoří pro hybridní koncové body připojení Microsoft Entra. Mějte na paměti, že hybridní připojení Microsoft Entra stále vyžaduje místní připojení.
Nezapomeňte, že hybridní připojení k Microsoft Entra join je přechodovým krokem k nativnímu cloudu a není koncovým cílem. Konečným cílem je, aby všechny existující koncové body byly plně nativní pro cloud.
Pokud jsou koncové body plně nativní pro cloud, uživatelská data se ukládají v poskytovateli cloudového úložiště, jako je OneDrive. Takže při resetování koncového bodu jsou uživatelské aplikace, konfigurace a data stále přístupné a můžou se replikovat do nově zřízeného koncového bodu.
Další informace najdete v článku:
- Microsoft Entra join vs. Hybrid Microsoft Entra join
- Konfigurace hybridního připojení k Microsoft Entra Join
Poznámka
Microsoft nemá nástroj pro migraci, který by převáděl existující koncové body z místního připojení k doméně nebo hybridního připojení Microsoft Entra na Microsoft Entra join. Microsoft doporučuje, aby se tato zařízení resetovaly a znovu nasadily v rámci aktualizace hardwaru.
✅ Fáze 3: Správce konfigurace připojení ke cloudu (volitelné)
Pokud používáte Configuration Manager, připojte své prostředí ke službě Microsoft Intune v cloudu. Pokud nástroj Configuration Manager nepoužíváte, tento krok přeskočte.
Když se připojíte ke cloudu, můžete vzdáleně spravovat koncové body klientů, spoluspravovat koncové body pomocí Intune (cloud) a Configuration Manageru (místní) a přistupovat k Centru pro správu Intune.
Konkrétnější informace najdete v tématu Připojení prostředí Configuration Manageru ke cloudu a Projděte si Centrum pro správu Microsoft Intune.
✅ Fáze 4: Vytvoření testování konceptu připojeného k Microsoft Entra
Tato kritická fáze může kdykoli začít. Pomáhá identifikovat potenciální problémy, neznámé problémy a ověřovat celkové funkce a jejich řešení. Stejně jako u všech poc je cílem prokázat a ověřit funkčnost ve skutečném podnikovém prostředí místo v testovacím prostředí.
Mezi důležité kroky pro tuto fázi patří:
Implementace minimální konfigurace standardních hodnot pomocí Intune
Tento krok je důležitý. Nechcete do sítě ani do produkčního prostředí zavádět koncové body, které:
- Nedodržujte standardy zabezpečení vaší organizace
- Nejsou nakonfigurované pro uživatele, aby mohli dělat svou práci.
Tato minimální konfigurace není a neměla by obsahovat všechny možné konfigurace. Mějte na paměti, že záměrem je zjistit další konfigurace, které jsou potřeba k tomu, aby uživatelé byli úspěšní.
Konfigurace Windows Autopilotu pro koncové body připojené k Microsoft Entra
Použití Windows Autopilotu ke zřízení nových koncových bodů a opětovnému zřízení stávajících koncových bodů je nejrychlejší způsob, jak do vaší organizace zavést systémy připojené k Microsoft Entra. Je to důležitá součást poc.
Nasazení poc pro systémy připojené k Microsoft Entra
Použijte kombinaci koncových bodů, které představují různé konfigurace a uživatele. Chcete co nejvíce ověřit tento nový stav systému.
Úlohy a jejich funkčnost budou plně ověřeny pouze skutečnými uživateli v produkčním prostředí. Díky přirozenému a každodennímu používání koncových bodů PoC Microsoft Entra uživatelé organicky testují a ověřují vaše úlohy.
Vytvořte kontrolní seznamy důležitých obchodních funkcí a scénářů a předejte tyto seznamy uživatelům poc. Kontrolní seznamy jsou specifické pro každou organizaci a můžou se měnit s tím, jak se úlohy přecházejí na úlohy nativní pro cloud.
Ověření funkčnosti
Ověření je opakující se proces. Je založená na úlohách a jejich konfiguraci v rámci vaší organizace.
Shromážděte zpětnou vazbu uživatelů ke koncovým bodům, úlohám a jejich funkcím. Tato zpětná vazba by měla být od uživatelů, kteří používali koncové body nativní pro cloud.
Mohou být zjištěny další blokátory a dříve neznámé nebo nezapočtené na úlohy nebo scénáře.
Použijte milníky a kritéria úspěšnosti, která byla pro každou úlohu dříve vytvořená. Pomůžou určit průběh a rozsah POC.
✅ Fáze 5: Microsoft Entra se připojí ke stávajícím koncovým bodům Windows
Tato fáze přepíná zřizování nového koncového bodu Windows na microsoft Entra join. Jakmile se vyřeší všechny překážky a problémy, můžete stávající zařízení přesunout tak, aby byla plně nativní pro cloud. Budete mít také následující možnosti:
Možnost 1: Výměna zařízení Pokud mají zařízení ukončenou životnost nebo nepodporují moderní zabezpečení, je jejich nahrazení nejlepší volbou. Moderní zařízení podporují nové a vylepšené funkce zabezpečení, včetně technologie TPM (Trusted Platform Module).
Možnost 2: Resetujte zařízení s Windows. Pokud vaše stávající zařízení podporují novější funkce zabezpečení, můžete zařízení resetovat. Během počátečního nastavení počítače (OOBE) nebo když se uživatelé přihlašují, můžou zařízení připojit k Microsoft Entra.
Před resetováním existujícího koncového bodu Windows nezapomeňte:
- Odstraňte zařízení v Intune.
- Odstraňte registraci zařízení Windows Autopilot.
- Odstraňte existující objekt zařízení Microsoft Entra.
Pak zařízení resetujte a znovu zprodukujte koncový bod.
Až budou zařízení připravená, připojte tato zařízení k Microsoft Entra pomocí možnosti, která je pro vaši organizaci nejvhodnější. Podrobnější informace najdete v tématu Zařízení připojená k Microsoft Entra a Postupy: Plánování implementace připojení k Microsoft Entra.
Přechod z objektů zásad skupiny (GPO)
Mnoho organizací používá objekty zásad skupiny ke konfiguraci a správě svých koncových bodů Windows.
Postupem času se to komplikuje kvůli chybějící dokumentaci, nejasnosti v účelu nebo požadavcích zásad, používání starších nebo nefunkčních zásad a používání složitých funkcí. Můžou například existovat zásady, které zahrnují filtry WMI, mají složité struktury organizačních jednotek a používají blokování dědičnosti, zpětné smyčky nebo filtrování zabezpečení.
Správa nastavení pomocí Intune
Microsoft Intune obsahuje mnoho integrovaných nastavení, která je možné nakonfigurovat a nasadit do vašich koncových bodů nativních pro cloud. Při přechodu do Intune kvůli správě zásad máte několik možností.
Tyto možnosti se nemusí vzájemně vylučovat. Můžete migrovat podmnožinu zásad a začít s novinkou pro ostatní.
Možnost 1: Spuštění nového (doporučeno): Intune má mnoho nastavení pro konfiguraci a správu koncových bodů. Můžete vytvořit zásadu, přidat a nakonfigurovat nastavení v zásadách a pak zásadu nasadit.
Mnoho existujících zásad skupiny zahrnuje zásady, které se nemusí vztahovat na koncové body nativní pro cloud. Když začnete znovu, umožníte organizaci ověřit a zjednodušit stávající vynucované zásady a zároveň odstranit zastaralé, zapomenuté nebo dokonce škodlivé zásady. Intune obsahuje integrované šablony, které seskupí společná nastavení, jako je VPN, Wi-Fi, ochrana koncových bodů a další.
Možnost 2: Migrace: Tato možnost zahrnuje zrušení stávajících zásad a jejich přesunutí do modulu zásad Intune. Může to být těžkopádné a časově náročné. Můžete mít například mnoho existujících zásad skupiny a budou existovat rozdíly mezi místním nastavením a nastavením v cloudu.
Pokud zvolíte tuto možnost, musíte zkontrolovat a analyzovat stávající zásady skupiny a určit, jestli jsou stále potřebné nebo platné ve vašich koncových bodech nativních pro cloud. Chcete odstranit nepotřebné zásady, včetně zásad, které můžou způsobit režijní náklady, nebo snížit výkon systému nebo uživatelské prostředí. Nepřesouvejte zásady skupiny do Intune, dokud nebudete vědět, co dělají.
Funkce Intune, které byste měli znát
Intune má také integrované funkce, které vám můžou pomoct s konfigurací vašich koncových bodů nativních pro cloud:
Analýza zásad skupiny: Objekty zásad skupiny můžete importovat v Centru pro správu Microsoft Intune a spustit analýzu těchto zásad. Můžete zobrazit zásady, které existují v Intune, a zásady, které jsou zastaralé.
Pokud používáte objekty zásad skupiny, je použití tohoto nástroje cenným prvním krokem.
Další informace najdete v tématu Analýza zásad skupiny v Intune.
Katalog nastavení: Podívejte se na všechna nastavení dostupná v Intune a pomocí těchto nastavení vytvořte, nakonfigurujte & nasaďte zásady. Dobrým zdrojem můžou být také úlohy, které můžete provádět pomocí katalogu nastavení v Intune. Pokud vytvoříte objekty zásad skupiny, katalog nastavení představuje přirozený přechod na konfiguraci koncového bodu nativní pro cloud.
V kombinaci s analýzou zásad skupiny můžete zásady, které jste použili místně, nasadit do koncových bodů nativních pro cloud.
Další informace najdete v katalogu Nastavení v Intune.
Šablony pro správu: Tyto šablony se podobají šablonám ADMX používaným místně a jsou integrované v Intune. Nestahujte je. Tyto šablony zahrnují mnoho nastavení, která řídí funkce v Prohlížeči Microsoft Edge, Internet Exploreru, aplikacích Microsoft Office, vzdálené ploše, OneDrivu, heslech, pin kódech a dalších.
Pokud používáte šablony pro správu místně, je jejich použití v Intune přirozeným přechodem.
Další informace najdete v tématu Šablony pro správu v Intune.
Můžete také ingestovat existující sadu zásad ADMX pro aplikace Win32 a Desktop Bridge. Další informace najdete v článku:
- Principy zásad ADMX – Správa klientů windows
- Povolení zásad ADMX v MDM – Správa klientů Windows
- Příjem zásad ADMX v aplikacích Win32 a Desktop Bridge – Správa klientů windows
Poznámka
Od Windows 10 verze 1703 se podpora konfigurace zásad Správy mobilních zařízení (MDM) rozšířila tak, aby umožňovala přístup k vybrané sadě šablon pro správu zásad skupiny (zásady ADMX) pro počítače s Windows pomocí poskytovatele konfigurační služby zásad (CSP). Konfigurace zásad ADMX v zprostředkovateli CSP zásad se liší od obvyklého způsobu konfigurace tradičních zásad MDM.
Standardní hodnoty zabezpečení: Standardní hodnoty zabezpečení jsou skupina předem nakonfigurovaných nastavení Windows. Pomáhají používat a vynucovat podrobná nastavení zabezpečení, která doporučují bezpečnostní týmy. Při vytváření standardních hodnot zabezpečení můžete také každý směrný plán přizpůsobit tak, aby vynucovat pouze požadovaná nastavení.
Můžete vytvořit standardní hodnoty zabezpečení pro Windows, Microsoft Edge a další. Pokud nevíte, kde začít, nebo chcete nastavení zabezpečení doporučená odborníky na zabezpečení, podívejte se na standardní hodnoty zabezpečení.
Další informace najdete v článku Standardní hodnoty zabezpečení v Intune.
Zřízení nových nebo stávajících koncových bodů Windows pomocí Windows Autopilotu
Pokud si koncové body koupíte od výrobce OEM nebo partnera, měli byste použít Windows Autopilot.
Mezi výhody patří:
Integrovaný proces nastavení Windows: Představuje značkové, řízené a zjednodušené prostředí pro koncové uživatele.
Odesílání koncových bodů přímo koncovým uživatelům: Dodavatelé a výrobci OEM můžou koncové body dodávat přímo vašim uživatelům. Uživatelé obdrží koncové body, přihlásí se pomocí svého účtu organizace (
user@contoso.com
) a Windows Autopilot koncový bod automaticky zřídí.Tato funkce pomáhá omezit režijní náklady a náklady spojené s vysoce dotykovými interními PROCESY IT a expedicí.
Nejlepších výsledků dosáhnete, když koncové body předem zaregistrujete u výrobců OEM nebo dodavatelů. Předběžná registrace pomáhá vyhnout se případným zpožděním, ke kterým může dojít při ruční registraci koncových bodů.
Uživatelé můžou resetovat stávající koncové body sami: Pokud uživatelé mají existující koncové body Windows, můžou resetovat zařízení sami. Při resetování se koncové body obnoví do minimálního standardního a spravovaného stavu. Nevyžaduje vysoký zásah IT ani fyzický přístup ke koncovému bodu.
Poznámka
Nedoporučujeme používat Windows Autopilot k nově zřízeným koncovým bodům hybridního připojení Microsoft Entra. Funguje to, ale jsou tu určité výzvy. Na nově zřízených koncových bodech použijte Windows Autopilot to Microsoft Entra join (ne hybridní připojení k Microsoft Entra Join).
Pokud chcete zjistit, která metoda spojení je pro vaši organizaci nejvhodnější, přejděte na stránku Microsoft Entra join vs. Hybrid Microsoft Entra join.
Další informace o Windows Autopilotu najdete tady:
- Přehled Windows Autopilotu
- Scénáře a funkce Windows Autopilotu
- Windows Autopilot – nejčastější dotazy
Postupujte podle pokynů ke koncovým bodům nativním pro cloud.
- Přehled: Co jsou koncové body nativní pro cloud?
- Kurz: Začínáme s koncovými body Windows nativními pro cloud
- Koncept: Microsoft Entra join vs. Hybrid Microsoft Entra join
- Koncept: Koncové body nativní pro cloud a místní prostředky
- 🡺 Průvodce plánováním na vysoké úrovni (jste tady)
- Známé problémy a důležité informace