Wprowadzenie do wdrożenia Microsoft Intune

Microsoft Intune jest usługą opartą na chmurze, która ułatwia zarządzanie urządzeniami i aplikacjami. Aby uzyskać więcej informacji na temat tego, co Microsoft Intune może zrobić dla Twojej organizacji, przejdź do tematu Co to jest Microsoft Intune.

Ten artykuł zawiera omówienie kroków uruchamiania wdrożenia Intune.

Porada

Jako towarzysz tego artykułu Centrum administracyjne platformy Microsoft 365 zawiera również wskazówki dotyczące konfiguracji. Przewodnik dostosowuje środowisko na podstawie środowiska. Aby uzyskać dostęp do tego przewodnika wdrażania, przejdź do przewodnika konfiguracji Microsoft Intune w Centrum administracyjne platformy Microsoft 365 i zaloguj się przy użyciu czytelnika globalnego (co najmniej). Aby uzyskać więcej informacji na temat tych przewodników wdrażania i wymaganych ról, przejdź do tematu Zaawansowane przewodniki wdrażania dla produktów platformy Microsoft 365 i Office 365.

Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do portalu konfiguracji M365.

Przed rozpoczęciem

• Aby ułatwić planowanie wdrożenia Intune, skorzystaj z przewodnika planowania, aby przejść do Microsoft Intune. Obejmuje ona urządzenia osobiste, zagadnienia dotyczące licencjonowania, tworzenie planu wdrożenia, przekazywanie zmian użytkownikom i nie tylko.

  Następujące artykuły są dobrymi zasobami:

  • Przechodzenie do punktów końcowych natywnych dla chmury
  • Przewodnik planowania przejścia do Microsoft Intune
  • Przewodnik wdrażania: konfigurowanie lub przenoszenie do Microsoft Intune
  • Microsoft Intune podstaw szkolenia online.

• Określ wymagania licencyjne i wszelkie inne wymagania wstępne dotyczące wdrożenia Intune. Poniższa lista zawiera niektóre z najczęstszych wymagań wstępnych:

  • subskrypcja Intune: dołączona do niektórych subskrypcji platformy Microsoft 365. Możesz również uzyskać dostęp do centrum administracyjnego Microsoft Intune, które jest konsolą internetową do zarządzania urządzeniami, aplikacjami i użytkownikami.

  • Aplikacje platformy Microsoft 365: dołączone do platformy Microsoft 365 i są używane do aplikacji zwiększających produktywność, w tym aplikacji Outlook i Teams.

  • Tożsamość Microsoft Entra: Tożsamość Microsoft Entra jest używana do zarządzania tożsamościami dla użytkowników, grup i urządzeń. Jest ona dostarczana z subskrypcją Intune i prawdopodobnie subskrypcją platformy Microsoft 365.

    Tożsamość Microsoft Entra P1 lub P2, które mogą kosztować więcej, zapewnia więcej funkcji często używanych przez organizacje, w tym dostęp warunkowy, uwierzytelnianie wieloskładnikowe (MFA) i grupy dynamiczne.

  • Windows Autopilot: dołączony do niektórych subskrypcji platformy Microsoft 365. Rozwiązanie Windows Autopilot zapewnia nowoczesne wdrożenie systemu operacyjnego dla obecnie obsługiwanych wersji urządzeń klienckich z systemem Windows.

  • Wymagania wstępne specyficzne dla platformy: W zależności od platform urządzeń istnieją inne wymagania.

    Jeśli na przykład zarządzasz urządzeniami z systemami iOS/iPadOS i macOS, potrzebujesz certyfikatu wypychania mdm firmy Apple i prawdopodobnie tokenu firmy Apple. Jeśli zarządzasz urządzeniami z systemem Android, może być potrzebne zarządzane konto Google Play. Jeśli używasz uwierzytelniania certyfikatu, może być potrzebny certyfikat SCEP lub PKCS.

    Aby uzyskać więcej informacji, zobacz:

    • Przewodnik wdrażania rejestracji systemu Android
    • Przewodnik wdrażania rejestracji systemu iOS/iPadOS
    • Przewodnik wdrażania rejestracji systemu macOS
    • Przewodnik wdrażania rejestracji systemu Windows

Krok 1 . Konfigurowanie Intune

W tym kroku:

✅ Upewnij się, że urządzenia są obsługiwane, utwórz dzierżawę Intune, dodaj użytkowników & grup, przypisz licencje i nie tylko.

Ten krok koncentruje się na konfigurowaniu Intune i przygotowywaniu go do zarządzania tożsamościami użytkowników, aplikacjami i urządzeniami. Intune używa wielu funkcji w Tożsamość Microsoft Entra, w tym domeny, użytkowników i grup.

Aby uzyskać więcej informacji, przejdź do kroku 1 — konfigurowanie Microsoft Intune.

Krok 2. Dodawanie i ochrona aplikacji

W tym kroku:

✅ Na urządzeniach, które będą rejestrowane w Intune, utwórz punkt odniesienia aplikacji, które muszą mieć urządzenia, a następnie przypisz te zasady aplikacji podczas rejestracji. W aplikacjach wymagających dodatkowych zabezpieczeń należy również używać zasad ochrony aplikacji.

✅ Na urządzeniach, które nie będą rejestrowane w Intune, użyj zasad ochrony aplikacji i uwierzytelniania wieloskładnikowego (MFA):

• zasady Ochrona aplikacji pomagają chronić dane organizacji na urządzeniach osobistych.
• Uwierzytelnianie wieloskładnikowe pomaga chronić dane organizacji przed nieautoryzowanym dostępem.

Aby uzyskać więcej informacji, przejdź do kroku 2 — dodawanie, konfigurowanie i ochrona aplikacji za pomocą Intune.

Każda organizacja ma podstawowy zestaw aplikacji, które należy zainstalować na urządzeniach. Zanim użytkownicy zarejestrują swoje urządzenia, możesz użyć Intune, aby przypisać te aplikacje do swoich urządzeń. Podczas rejestracji zasady aplikacji są wdrażane automatycznie. Po zakończeniu rejestracji aplikacje są instalowane i gotowe do użycia.

Jeśli wolisz, możesz zarejestrować swoje urządzenia, a następnie przypisać aplikacje. To twój wybór. Następnym razem, gdy użytkownicy będą sprawdzać dostępność nowych aplikacji, zobaczą nowe aplikacje.

Jeśli użytkownicy z własnymi urządzeniami osobistymi uzyskują dostęp do zasobów organizacji, musisz co najmniej chronić wszystkie aplikacje uzyskujące dostęp do danych organizacji przy użyciu zarządzania aplikacjami mobilnymi (MAM). Zasady zarządzania aplikacjami mobilnymi można tworzyć dla aplikacji Outlook, Teams, SharePoint i innych aplikacji. Przewodnik planowania Microsoft Intune zawiera wskazówki dotyczące zarządzania urządzeniami osobistymi.

Uwaga

Uwierzytelnianie wieloskładnikowe to funkcja Tożsamość Microsoft Entra, która musi być włączona w dzierżawie Microsoft Entra. Następnie skonfigurujesz uwierzytelnianie wieloskładnikowe dla aplikacji. Aby uzyskać więcej informacji, zobacz:

• Jak to działa: Microsoft Entra uwierzytelnianie wieloskładnikowe
• Samouczek: zabezpieczanie zdarzeń logowania użytkownika przy użyciu uwierzytelniania wieloskładnikowego Microsoft Entra

Krok 3. Sprawdzanie zgodności i włączanie dostępu warunkowego

W tym kroku:

✅ Utwórz punkt odniesienia zasad zgodności , które muszą mieć urządzenia, a następnie przypisz te zasady zgodności podczas rejestracji.

✅ Włącz dostęp warunkowy , aby wymusić zasady zgodności.

Aby uzyskać więcej informacji, przejdź do kroku 3 — planowanie zasad zgodności.

Rozwiązania MDM, takie jak Intune, mogą ustawiać reguły, które urządzenia powinny spełniać, i mogą zgłaszać stany zgodności tych reguł. Te reguły są nazywane zasadami zgodności. Po połączeniu zasad zgodności z dostępem warunkowym można wymagać, aby urządzenia spełniały określone wymagania dotyczące zabezpieczeń, zanim będą mogły uzyskać dostęp do danych organizacji.

Gdy użytkownicy rejestrują swoje urządzenia w Intune, proces rejestracji może automatycznie wdrożyć zasady zgodności. Po zakończeniu rejestracji administratorzy mogą sprawdzić stan zgodności i uzyskać listę urządzeń, które nie spełniają Twoich reguł.

Jeśli wolisz, możesz zarejestrować swoje urządzenia przed sprawdzeniem zgodności. To twój wybór. Przy następnym Intune ewidencjonowania są przypisywane zasady zgodności.

Uwaga

Dostęp warunkowy to funkcja Tożsamość Microsoft Entra, która musi być włączona w dzierżawie Microsoft Entra. Następnie można utworzyć zasady dostępu warunkowego dla tożsamości użytkowników, aplikacji i urządzeń. Aby uzyskać więcej informacji, zobacz:

• Dowiedz się więcej o dostępie warunkowym i usłudze Intune
• Dostęp warunkowy oparty na aplikacji z Intune
• Scenariusze dostępu warunkowego

Krok 4. Konfigurowanie funkcji urządzenia

W tym kroku:

✅ Utwórz punkt odniesienia funkcji zabezpieczeń i funkcji urządzeń , które powinny być włączone lub zablokowane. Przypisz te profile podczas rejestracji.

Aby uzyskać więcej informacji, przejdź do kroku 4 — tworzenie profilów konfiguracji urządzeń w celu zabezpieczenia urządzeń i uzyskania dostępu do zasobów organizacji.

Twoja organizacja może mieć podstawowy zestaw funkcji urządzeń i zabezpieczeń, które powinny zostać skonfigurowane lub powinny zostać zablokowane. Te ustawienia są dodawane do profilów zabezpieczeń urządzeń i konfiguracji urządzeń. Firma Microsoft zaleca przypisanie zasad zabezpieczeń kluczy i konfiguracji urządzeń podczas rejestracji. Po rozpoczęciu rejestracji profile konfiguracji urządzeń są automatycznie przypisywane. Po zakończeniu rejestracji te funkcje urządzenia i zabezpieczeń są konfigurowane.

Jeśli wolisz, możesz zarejestrować swoje urządzenia przed utworzeniem profilów konfiguracji. To twój wybór. Przy następnym Intune ewidencjonowania są przypisywane profile.

W centrum administracyjnym Microsoft Intune można tworzyć różne profile na podstawie platformy urządzeń — Android, iOS/iPadOS, macOS i Windows.

Następujące artykuły są dobrymi zasobami:

• Stosowanie funkcji i ustawień na urządzeniach przy użyciu profilów urządzeń
• Konfigurowanie ustawień za pomocą wykazu ustawień
• Zarządzanie zabezpieczeniami punktu końcowego w Microsoft Intune
• Plany bazowe zabezpieczeń systemu Windows

Krok 5. Rejestrowanie urządzeń

W tym kroku:

✅ Rejestrowanie urządzeń w Intune.

Aby uzyskać bardziej szczegółowe informacje, przejdź do sekcji Krok 5 — Wskazówki dotyczące wdrażania: Rejestrowanie urządzeń w Microsoft Intune.

Aby w pełni zarządzać urządzeniami, urządzenia muszą być zarejestrowane w Intune w celu uzyskania zgodności & zasad dostępu warunkowego, zasad aplikacji, zasad konfiguracji urządzeń i utworzonych zasad zabezpieczeń. Jako administrator tworzysz zasady rejestracji dla użytkowników i urządzeń. Każda platforma urządzeń (Android, iOS/iPadOS, Linux, macOS i Windows) ma różne opcje rejestracji. Wybierasz, co jest najlepsze dla twojego środowiska, scenariuszy i sposobu użycia urządzeń.

W zależności od wybranej opcji rejestracji użytkownicy mogą się zarejestrować samodzielnie. Możesz też zautomatyzować rejestrację, aby użytkownicy musieli zalogować się tylko do urządzenia przy użyciu konta organizacji.

Po zarejestrowaniu urządzenia na urządzeniu jest wystawiany bezpieczny certyfikat MDM. Ten certyfikat komunikuje się z usługą Intune.

Różne platformy mają różne wymagania dotyczące rejestracji. Poniższe artykuły mogą pomóc ci dowiedzieć się więcej na temat rejestracji urządzeń, w tym wskazówek dotyczących platformy:

• Wskazówki dotyczące wdrażania: Rejestrowanie urządzeń w Microsoft Intune
  • Przewodnik wdrażania: Rejestrowanie urządzeń z systemem Android
  • Przewodnik wdrażania: rejestrowanie urządzeń z systemem iOS/iPadOS
  • Przewodnik wdrażania: Rejestrowanie urządzeń stacjonarnych z systemem Linux
  • Przewodnik wdrażania: rejestrowanie urządzeń z systemem macOS
  • Przewodnik wdrażania: Rejestrowanie urządzeń z systemem Windows

Dołączanie chmury za pomocą Configuration Manager

Microsoft Configuration Manager pomaga chronić lokalne Windows Server, urządzenia, aplikacje i dane. Jeśli musisz zarządzać kombinacją punktów końcowych w chmurze i lokalnych, możesz dołączyć środowisko Configuration Manager w chmurze do Intune.

Jeśli używasz Configuration Manager, istnieją dwa kroki dołączania urządzeń lokalnych do chmury:

1. Dołączanie dzierżawy: zarejestruj dzierżawę Intune przy użyciu wdrożenia Configuration Manager. Urządzenia Configuration Manager są wyświetlane w centrum administracyjnym Microsoft Intune. Na tych urządzeniach można uruchamiać różne akcje, w tym instalować aplikacje i uruchamiać skrypty Windows PowerShell przy użyciu internetowego centrum administracyjnego Intune.

2. [Współzarządzanie(.. /.. /configmgr/comanage/overview.md): Zarządzanie urządzeniami klienckimi z systemem Windows za pomocą Configuration Manager i Microsoft Intune. Configuration Manager zarządza niektórymi obciążeniami, a Intune zarządza innymi obciążeniami.

   Na przykład można użyć Configuration Manager do zarządzania aktualizacjami systemu Windows i używać Intune do zarządzania zgodnością & zasadami dostępu warunkowego.

Jeśli obecnie używasz Configuration Manager, uzyskujesz natychmiastową wartość za pośrednictwem dołączania dzierżawy i uzyskujesz większą wartość za pośrednictwem współzarządzania.

Aby uzyskać wskazówki dotyczące konfiguracji Microsoft Intune, która jest odpowiednia dla Twojej organizacji, przejdź do przewodnika wdrażania: Konfigurowanie lub przechodzenie do Microsoft Intune.

Następne kroki

• Krok 1. Konfigurowanie Microsoft Intune
• Krok 2. Dodawanie, konfigurowanie i ochrona aplikacji za pomocą Intune
• Krok 3 . Planowanie zasad zgodności
• Krok 4. Konfigurowanie funkcji i ustawień urządzeń w celu zabezpieczania urządzeń i uzyskiwania dostępu do zasobów organizacji
• Krok 5 . Wskazówki dotyczące wdrażania: Rejestrowanie urządzeń w Microsoft Intune