Przewodnik planowania wysokiego poziomu dotyczący przechodzenia do punktów końcowych natywnych dla chmury
Porada
Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:
- Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
- Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasad grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
- Punkty końcowe natywne dla chmury: punkty końcowe przyłączone do usługi Microsoft Entra. Nie są one przyłączone do lokalnej usługi AD.
- Obciążenie: dowolny program, usługa lub proces.
Ten przewodnik planowania wysokiego poziomu zawiera pomysły i sugestie, które należy wziąć pod uwagę podczas wdrażania i migracji do punktów końcowych natywnych dla chmury. Omówienie zarządzania urządzeniami, przeglądanie & przenoszenia istniejących obciążeń, wprowadzanie zmian w organizacji, korzystanie z rozwiązania Windows Autopilot i nie tylko.
Ta funkcja ma zastosowanie do:
- Punkty końcowe natywne dla chmury systemu Windows
Przenoszenie punktów końcowych systemu Windows do natywnego dla chmury ma wiele zalet, w tym długoterminowe korzyści. Nie jest to proces z dnia na dzień i należy go zaplanować, aby uniknąć problemów, przestojów i negatywnego wpływu na użytkownika.
Aby uzyskać więcej informacji na temat korzyści dla organizacji i użytkowników, przejdź do tematu Co to są punkty końcowe natywne dla chmury.
Aby odnieść sukces, rozważ kluczowe obszary opisane w tym artykule dotyczące planowania i wdrażania. Dzięki prawidłowym planowaniu, komunikacji i aktualizacjom procesów twoja organizacja może być natywna dla chmury.
Zarządzanie urządzeniami przy użyciu dostawcy mdm natywnego dla chmury
Zarządzanie punktami końcowymi, w tym punktami końcowymi natywnymi dla chmury, jest ważnym zadaniem dla wszystkich organizacji. W przypadku punktów końcowych natywnych dla chmury używane narzędzia do zarządzania muszą zarządzać punktami końcowymi wszędzie tam, gdzie się znajdują.
Jeśli obecnie nie używasz rozwiązania do zarządzania urządzeniami przenośnymi (MDM) lub chcesz przejść do rozwiązania firmy Microsoft, następujące artykuły są dobrymi zasobami:
W przypadku rodziny produktów i usług usługi Microsoft Intune dostępne są następujące opcje zarządzania punktami końcowymi:
Microsoft Intune: usługa Intune jest w 100% oparta na chmurze i używa centrum administracyjnego usługi Intune do zarządzania urządzeniami, zarządzania aplikacjami na urządzeniach, tworzenia & wdrażania zasad, przeglądania danych raportowania i nie tylko.
Aby uzyskać więcej informacji na temat zarządzania punktami końcowymi za pomocą usługi Intune, przejdź do:
Microsoft Configuration Manager: program Configuration Manager korzysta z infrastruktury lokalnej i może zarządzać serwerami. W przypadku korzystania ze współzarządzania niektóre obciążenia korzystają z programu Configuration Manager (lokalnie), a niektóre obciążenia korzystają z usługi Microsoft Intune (w chmurze).
W przypadku punktów końcowych natywnych dla chmury rozwiązania programu Configuration Manager powinny używać bramy zarządzania chmurą (CMG) i współzarządzania.
Przeglądanie obciążeń punktów końcowych i użytkowników
Na wysokim poziomie wdrażanie punktów końcowych natywnych dla chmury wymaga nowoczesnych strategii dotyczących tożsamości, dystrybucji oprogramowania, zarządzania urządzeniami, aktualizacji systemu operacyjnego i zarządzania danymi użytkowników & konfiguracji. Firma Microsoft oferuje rozwiązania, które obsługują te obszary dla punktów końcowych natywnych dla chmury.
Aby rozpocząć, przejrzyj każde obciążenie i określ, w jaki sposób może ono lub będzie obsługiwać punkty końcowe natywne dla chmury. Niektóre obciążenia mogą już obsługiwać punkty końcowe natywne dla chmury. Pomoc techniczna natywna zależy od określonego obciążenia, sposobu, w jaki organizacja implementuje usługi obciążeń i sposobu korzystania z usług przez użytkowników.
Aby określić, czy obciążenia obsługują punkty końcowe natywne dla chmury, należy zbadać i zweryfikować te usługi.
Jeśli usługa lub rozwiązanie nie obsługuje punktów końcowych natywnych dla chmury, określ jej wpływ i krytyczne znaczenie dla użytkowników i organizacji. Jeśli masz te informacje, możesz określić kolejne kroki, które mogą obejmować:
- Praca z dostawcą usługi
- Aktualizowanie do nowej wersji
- Korzystanie z nowej usługi
- Implementowanie obejścia w celu uzyskiwania dostępu do tej usługi i korzystania z niej z punktu końcowego natywnego dla chmury
- Weryfikowanie wymagań dotyczących usługi
- Zaakceptowanie, że usługa nie jest przyjazna dla chmury, co może być akceptowalne dla użytkowników i organizacji
W obu przypadkach należy zaplanować aktualizację obciążeń w celu obsługi punktów końcowych natywnych dla chmury.
Obciążenia powinny mieć następujące cechy:
- Bezpieczny dostęp do aplikacji i danych z dowolnego miejsca, w których znajdują się użytkownicy. Dostęp nie wymaga połączenia z siecią firmową ani wewnętrzną.
- Hostowane w usłudze w chmurze, hostowane przez użytkownika lub hostowane za pośrednictwem usługi w chmurze.
- Nie wymaga ani nie zależy od określonego urządzenia.
Typowe obciążenia i rozwiązania
Punkty końcowe natywne dla chmury obejmują również usługi i obciążenia obsługujące punkty końcowe.
Następujące obciążenia to konfiguracja, narzędzia, procesy i usługi umożliwiające produktywność użytkowników i zarządzanie punktami końcowymi.
Dokładne obciążenia, szczegóły i sposób aktualizowania obciążeń dla punktów końcowych natywnych dla chmury mogą być różne. Ponadto nie trzeba przenosić każdego obciążenia. Należy jednak wziąć pod uwagę każde obciążenie, jego wpływ na produktywność użytkowników i możliwości zarządzania urządzeniami. Konwertowanie niektórych obciążeń w celu używania punktów końcowych natywnych dla chmury może trwać dłużej niż inne. Obciążenia mogą również mieć między sobą współzależnienia.
Tożsamość urządzenia
Tożsamość urządzenia jest określana przez dostawców tożsamości (IdP), którzy mają wiedzę na temat urządzenia i zaufanie do zabezpieczeń urządzenia. W przypadku punktów końcowych systemu Windows najczęstszymi identyfikatorami są lokalne usługi Active Directory (AD) i Microsoft Entra ID. Punkty końcowe z tożsamościami z jednego z tych dostawców tożsamości są zwykle przyłączone do jednego lub przyłączone do obu tych elementów.
- W przypadku punktów końcowych natywnych dla chmury dołączenie do usługi Microsoft Entra jest najlepszym wyborem dla tożsamości urządzenia. Nie wymaga łączności z siecią lokalną, zasobem ani usługą.
- Dołączanie do lokalnej usługi AD i hybrydowe dołączanie do usługi Microsoft Entra wymagają łączności z lokalnym kontrolerem domeny. Potrzebują łączności na potrzeby początkowego logowania użytkownika, dostarczania zasad grupy i zmiany haseł. Te opcje nie są odpowiednie dla punktów końcowych natywnych dla chmury.
Uwaga
Rejestracja w usłudze Microsoft Entra, czasami określana jako dołączanie do miejsca pracy, dotyczy tylko scenariuszy "przynieś własne urządzenie" (BYOD). Nie należy jej używać w przypadku punktów końcowych systemu Windows należących do organizacji. Niektóre funkcje mogą nie być obsługiwane lub działać zgodnie z oczekiwaniami w zarejestrowanych punktach końcowych systemu Windows w usłudze Microsoft Entra.
Aprowizowanie punktów końcowych
W przypadku nowo wdrożonych punktów końcowych dołączania do usługi Microsoft Entra użyj rozwiązania Windows Autopilot, aby wstępnie skonfigurować urządzenia. Dołączanie do usługi Microsoft Entra jest zwykle zadaniem sterowanym przez użytkownika, a rozwiązanie Windows Autopilot jest zaprojektowane z myślą o użytkownikach. Rozwiązanie Windows Autopilot umożliwia aprowizowanie przy użyciu chmury z dowolnego miejsca w Internecie i przez dowolnego użytkownika.
Aby uzyskać więcej informacji, zobacz:
Wdrażanie oprogramowania i aplikacji
Większość użytkowników potrzebuje oprogramowania i aplikacji, które nie są dołączone do podstawowego systemu operacyjnego. W wielu przypadkach it nie wie lub nie rozumie konkretnych wymagań aplikacji. Jednak dostarczanie tych aplikacji i zarządzanie nimi jest nadal obowiązkiem zespołu IT. Użytkownicy powinni mieć możliwość żądania i instalowania aplikacji potrzebnych do wykonywania swoich zadań, niezależnie od używanego punktu końcowego lub miejsca, z którego korzystają.
Aby wdrożyć oprogramowanie i aplikacje, użyj systemu opartego na chmurze, takiego jak usługa Intune lub program Configuration Manager (z usługą CMG i współzarządzaniem).
Utwórz punkt odniesienia aplikacji, które muszą mieć punkty końcowe, takie jak Microsoft Outlook i Teams. W przypadku innych aplikacji pozwól użytkownikom instalować własne aplikacje.
W punktach końcowych możesz użyć aplikacji Portal firmy jako repozytorium aplikacji. Możesz też użyć portalu dostępnego dla użytkowników, który zawiera listę aplikacji, które można zainstalować. Ta opcja samoobsługi skraca czas aprowizacji nowych i istniejących urządzeń. Zmniejsza to również obciążenie it i nie trzeba wdrażać aplikacji, których użytkownicy nie potrzebują.
Aby uzyskać więcej informacji, zobacz:
Konfigurowanie ustawień urządzenia przy użyciu zasad
Zarządzanie zasadami i zabezpieczeniami jest podstawowym elementem zarządzania punktami końcowymi. Zasady punktu końcowego umożliwiają organizacji wymuszanie określonego punktu odniesienia zabezpieczeń i standardowej konfiguracji w zarządzanych punktach końcowych. Istnieje wiele ustawień, które można zarządzać punktami końcowymi i kontrolować je. Do tworzenia zasad, które konfigurują tylko to, co jest wymagane w punkcie odniesienia. Nie twórz zasad, które kontrolują typowe preferencje użytkownika.
Tradycyjne wymuszanie zasad przy użyciu zasad grupy nie jest możliwe w przypadku punktów końcowych natywnych dla chmury. Zamiast tego można użyć usługi Intune do tworzenia zasad w celu skonfigurowania wielu ustawień, w tym wbudowanych funkcji, takich jak katalog ustawień i szablony administracyjne.
Analiza zasad grupy w usłudze Intune może analizować lokalne obiekty zasad grupy, sprawdzać, czy te same ustawienia są obsługiwane w chmurze, i utworzyć zasady przy użyciu tych ustawień.
Jeśli masz istniejące zasady, które wystawiają certyfikaty, zarządzają funkcją BitLocker i zapewniają ochronę punktu końcowego, musisz utworzyć nowe zasady w usłudze Intune lub programie Configuration Manager (za pomocą usługi CMG i współzarządzania).
Aby uzyskać więcej informacji, zobacz:
- Używanie certyfikatów do uwierzytelniania w usłudze Microsoft Intune
- Zasady szyfrowania dysków dla zabezpieczeń punktu końcowego w usłudze Intune
- Dodawanie ustawień ochrony punktu końcowego w usłudze Intune
- Certyfikaty w programie Configuration Manager
- Zarządzanie funkcją BitLocker w programie Configuration Manager
- Program Endpoint Protection w programie Configuration Manager
Wdrażanie aktualizacji zabezpieczeń, funkcji i aplikacji
Wiele rozwiązań lokalnych nie może wdrażać aktualizacji w punktach końcowych natywnych dla chmury ani wdrażać ich wydajnie. Z punktu widzenia zabezpieczeń to obciążenie może być najważniejsze. Powinno to być pierwsze obciążenie, które zostanie przeniesione do obsługi punktów końcowych systemu Windows natywnych dla chmury.
Wdrażanie aktualizacji systemu Windows przy użyciu systemu opartego na chmurze, takiego jak Windows Update dla firm. Za pomocą usługi Intune lub programu Configuration Manager (z grupą cmg i współzarządzaniem) można wdrożyć aktualizacje zabezpieczeń i aktualizacje funkcji za pomocą usługi Windows Update dla firm.
Aby uzyskać więcej informacji, zobacz:
Wdrażanie aktualizacji aplikacji platformy Microsoft 365 przy użyciu następujących opcji:
- Intune: utwórz zasady, które ustawiają kanał aktualizacji, usuwają inne wersje aplikacji i nie tylko.
- Configuration Manager (z grupą cmg i współzarządzaniem): zarządzanie aplikacjami, w tym statystyki aktualizacji, kopiowanie, wycofywanie i nie tylko.
Aby uzyskać więcej informacji, zobacz:
Zarządzanie danymi i ustawieniami użytkownika
Dane użytkownika obejmują następujące elementy:
- Dokumenty użytkownika
- Konfiguracja aplikacji poczty
- Ulubione przeglądarki sieci Web
- Dane specyficzne dla aplikacji biznesowych (LOB)
- Ustawienia konfiguracji aplikacji biznesowych (LOB)
Użytkownicy muszą tworzyć dane i uzyskiwać do nich dostęp z dowolnego punktu końcowego. Te dane również muszą być chronione i mogą wymagać udostępnienia innym użytkownikom.
Przechowywanie danych użytkownika i ustawień w dostawcy magazynu w chmurze, na przykład w usłudze Microsoft OneDrive. Dostawcy magazynu w chmurze mogą obsługiwać synchronizację danych, udostępnianie, dostęp w trybie offline, rozwiązywanie konfliktów i nie tylko.
Aby uzyskać więcej informacji, przejdź do przewodnika po usłudze OneDrive dla przedsiębiorstw.
Ważna
Niektóre ustawienia użytkownika, takie jak preferencje systemu operacyjnego lub ustawienia specyficzne dla aplikacji, są przechowywane w rejestrze. Uzyskiwanie dostępu do tych ustawień z dowolnego miejsca może nie być realistyczne i może być zabronione synchronizowanie z różnymi punktami końcowymi.
Możliwe, że te ustawienia można wyeksportować, a następnie zaimportować na inne urządzenie. Można na przykład wyeksportować ustawienia użytkownika z programów Outlook, Word i innych aplikacji pakietu Office.
Uzyskiwanie dostępu do zasobów lokalnych
Niektóre organizacje nie mogą przenieść niektórych obciążeń do rozwiązań natywnych dla chmury. Jedyną opcją może być uzyskiwanie dostępu do istniejących zasobów lub usług lokalnych z punktu końcowego natywnego dla chmury. W tych scenariuszach użytkownicy potrzebują dostępu.
W przypadku tych lokalnych usług, zasobów i aplikacji należy wziąć pod uwagę następujące zadania:
Uwierzytelnianie i autoryzacja: aby uzyskać dostęp do zasobów lokalnych z punktów końcowych natywnych dla chmury, użytkownicy muszą uwierzytelnić się i sprawdzić, kim są. Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Uwierzytelnianie i dostęp do zasobów lokalnych za pomocą punktu końcowego natywnego dla chmury.
Łączność: przejrzyj i oceń aplikacje & zasobów, które działają tylko lokalnie. Łączność i dostęp do tych zasobów powinny być dostępne poza lokalizacją i bez bezpośredniej łączności, takiej jak sieć VPN. To zadanie może obejmować przejście do wersji SaaS aplikacji, korzystanie z serwera proxy aplikacji Microsoft Entra, usługi Azure Virtual Desktop, Windows 365, SharePoint, OneDrive lub Microsoft Teams.
Uwaga
Usługa Microsoft Entra nie obsługuje protokołu uwierzytelniania Kerberos. Lokalna usługa AD obsługuje protokół uwierzytelniania Kerberos. W ramach planowania możesz dowiedzieć się więcej o usłudze Microsoft Entra Kerberos. Po skonfigurowaniu użytkownicy logują się do natywnego dla chmury punktu końcowego przy użyciu konta Microsoft Entra i mogą uzyskiwać dostęp do lokalnych aplikacji lub usług korzystających z uwierzytelniania Kerberos.
Microsoft Entra Kerberos:
- Nie jest używany w rozwiązaniach natywnych dla chmury.
- Nie rozwiązuje żadnych problemów z łącznością dla zasobów, które wymagają uwierzytelniania za pośrednictwem usługi Microsoft Entra.
- Nie jest to odpowiedź ani obejście wymagań dotyczących uwierzytelniania domeny za pośrednictwem usługi Microsoft Entra.
- Nie rozwiązuje problemów związanych z uwierzytelnianiem maszynowym wymienionych w artykule Znane problemy i ważne informacje.
Aby lepiej zrozumieć protokół Microsoft Entra Kerberos i scenariusze, które może rozwiązać, przejdź do następujących blogów:
- Dlaczego firma Microsoft Entra Kerberos ( otwiera zewnętrzną witrynę internetową)
- Szczegółowe informacje: jak działa protokół Microsoft Entra Kerberos (otwiera inną witrynę internetową firmy Microsoft)
- Jak działa microsoft Entra Kerberos (syfuhs.net) (otwiera zewnętrzną witrynę internetową)
Przenoszenie obciążeń w fazach
Modernizacja obciążeń i wdrażanie punktów końcowych natywnych dla chmury wymaga zmian w procesach operacyjnych i procedurach. Przykład:
- Administratorzy muszą zrozumieć, w jaki sposób zmiany istniejących obciążeń mogą zmieniać ich procesy.
- Dział obsługi musi zrozumieć nowe scenariusze, które będą obsługiwane.
Podczas przeglądania punktów końcowych i obciążeń podziel przejście na fazy. Ta sekcja zawiera omówienie niektórych zalecanych faz, których organizacja może używać. Te fazy można powtarzać tyle razy, ile jest to konieczne.
✅ Faza 1. Uzyskiwanie informacji o obciążeniach
Ta faza to faza zbierania informacji. Ułatwia to ustalenie zakresu kwestii, które należy wziąć pod uwagę w organizacji w celu przejścia do natywnego dla chmury. Obejmuje ona definiowanie dokładnie usług, produktów i aplikacji związanych z każdym obciążeniem w środowisku.
W tej fazie:
Spis bieżących informacji o obciążeniu i szczegółach. Na przykład znać ich bieżący stan, to, co zapewniają, komu służą, kto je utrzymuje, jeśli mają kluczowe znaczenie dla natywnego dla chmury i sposobu ich hostowania.
Jeśli masz te informacje, możesz zrozumieć i zdefiniować cel końcowy, który powinien być następujący:
- Aby obsługiwać punkty końcowe natywne dla chmury
- Aby poznać usługi, produkty i aplikacje używane przez każde obciążenie
Należy koordynować działania z właścicielami różnych usług, produktów i aplikacji. Chcesz mieć pewność, że punkty końcowe natywne dla chmury obsługują produktywność użytkowników bez ograniczeń dotyczących łączności i lokalizacji.
Przykłady typowych usług i aplikacji obejmują aplikacje biznesowe, wewnętrzne witryny internetowe, udziały plików, wymagania dotyczące uwierzytelniania, mechanizmy aktualizacji aplikacji i systemu operacyjnego oraz konfigurację aplikacji. Zasadniczo zawierają one wszystko i wszystko, czego użytkownicy potrzebują, aby w pełni wykonywać swoją pracę.
Sprawdź stan końcowy dla każdego obciążenia. Identyfikowanie znanych blokerów, które uniemożliwiają dostęp do tego stanu końcowego lub uniemożliwiają obsługę punktów końcowych natywnych dla chmury.
Niektóre obciążenia i ich usługi & aplikacje mogą być już przyjazne dla chmury lub włączone. Niektóre mogą nie. Uzyskanie stanu końcowego dla każdego obciążenia może wymagać inwestycji organizacji & nakład pracy. Może to obejmować aktualizowanie oprogramowania, "podnoszenie i przenoszenie" na nową platformę, migrowanie do nowego rozwiązania lub wprowadzanie zmian w konfiguracji.
Kroki wymagane dla każdego obciążenia różnią się w poszczególnych organizacjach. Zależą one od sposobu hostowania usługi lub aplikacji i uzyskiwania do niej dostępu przez użytkowników. Ten stan końcowy powinien sprostać podstawowemu wyzwaniu, które polega na umożliwieniu użytkownikom wykonywania pracy w natywnym dla chmury punkcie końcowym, niezależnie od lokalizacji lub łączności z siecią wewnętrzną.
Na podstawie każdego zdefiniowanego stanu końcowego można wykryć lub zdefiniować, że włączenie w chmurze usługi lub aplikacji jest trudne lub zablokowane. Taka sytuacja może wystąpić z różnych powodów, w tym ograniczeń technicznych lub finansowych. Ograniczenia te muszą być jasne i zrozumiałe. Musisz przejrzeć ich wpływ i określić, jak przenieść każde obciążenie, aby było przyjazne dla chmury.
✅ Faza 2. Określanie priorytetów wszystkich blokerów
Po zidentyfikowaniu kluczowych obciążeń i ich blokerów stanu końcowego wykonaj następujące czynności:
Nadaj priorytet każdemu blokerowi i oceń każdy bloker pod kątem rozwiązania.
Być może nie chcesz lub nie musisz zajmować się wszystkimi blokerami. Na przykład organizacja może mieć obciążenia lub część obciążeń, które nie obsługują punktów końcowych natywnych dla chmury. Ten brak pomocy technicznej może lub nie może być istotny dla organizacji lub użytkowników. Ty i Twoja organizacja możecie podjąć tę decyzję.
Aby obsługiwać testowanie i weryfikację koncepcji (POC), zacznij od minimalnego zestawu obciążeń. Celem jest przetestowanie i zweryfikowanie przykładu obciążeń.
W ramach weryfikacji koncepcji zidentyfikuj zestaw użytkowników i urządzeń w ramach pilotażu w celu uruchomienia rzeczywistego scenariusza produkcyjnego. Ten krok pomaga udowodnić, czy stan końcowy zapewnia produktywność użytkowników.
W wielu organizacjach istnieje rola lub grupa biznesowa, która jest łatwiejsza do migracji. Na przykład w dokumencie POC można kierować następujące scenariusze:
- Wysoce mobilny zespół ds. sprzedaży, którego podstawowymi wymaganiami są narzędzia zwiększające produktywność i rozwiązanie do zarządzania relacjami z klientami online
- Pracownicy ds. wiedzy, którzy uzyskują dostęp głównie do zawartości, która jest już w chmurze i w dużym stopniu korzystają z aplikacji platformy Microsoft 365
- Urządzenia robocze pierwszej linii, które są wysoce mobilne lub znajdują się w środowiskach, w których nie mają dostępu do sieci organizacji
W przypadku tych grup przejrzyj ich obciążenia. Określ, w jaki sposób te obciążenia mogą przejść do nowoczesnego zarządzania, w tym tożsamości, dystrybucji oprogramowania, zarządzania urządzeniami i innych.
Dla każdego z obszarów pilotażu liczba elementów lub zadań powinna być niska. Ten wstępny pilotaż ułatwia tworzenie procesów i procedur wymaganych dla większej liczby grup. Pomaga to również w tworzeniu długoterminowej strategii.
Aby uzyskać więcej wskazówek i wskazówek, przejdź do przewodnika planowania usługi Microsoft Intune. Dotyczy ona usługi Intune, ale zawiera również pewne wskazówki dotyczące korzystania z grup pilotażowych i tworzenia planów wdrażania.
✅ Faza 3. Przenoszenie obciążeń
W tej fazie możesz zaimplementować zmiany.
Przenieś odblokowane obciążenia do planowanych rozwiązań natywnych dla chmury lub stanu końcowego. W idealnym przypadku ten krok jest podzielony na mniejsze elementy robocze. Celem jest kontynuowanie działalności biznesowej przy minimalnych zakłóceniach.
Po pierwszym zestawie obciążeń obsługują punkty końcowe natywne dla chmury, zidentyfikuj więcej obciążeń i kontynuuj proces.
✅ Faza 4. Przygotowywanie użytkowników
Użytkownicy mają różne środowiska do odbierania, wdrażania i obsługiwania ich na swoich urządzeniach. Administratorzy powinni:
- Przejrzyj istniejące procesy i dokumentację, aby określić, gdzie zmiany są widoczne dla użytkowników.
- Aktualizowanie dokumentacji.
- Utwórz strategię edukacyjną, aby udostępnić zmiany i korzyści, jakie będą odczuwane przez użytkowników.
Przenoszenie organizacji w fazach
Poniższe fazy to ogólne podejście organizacji do przenoszenia środowiska w celu obsługi punktów końcowych systemu Windows natywnych dla chmury. Te fazy są równoległe do przenoszenia punktów końcowych i obciążeń użytkowników. Mogą one zależeć od częściowego lub pełnego przejścia niektórych obciążeń do obsługi punktów końcowych systemu Windows natywnych dla chmury.
✅ Faza 1. Definiowanie punktów końcowych, zależności i punktów kontrolnych
Ta faza jest pierwszym krokiem, aby migracja w organizacji była w pełni natywna dla chmury. Sprawdź, co obecnie masz, zdefiniuj kryteria powodzenia i rozpocznij planowanie sposobu dodawania urządzeń do usługi Microsoft Entra.
Definiowanie punktów końcowych wymagających tożsamości w chmurze
- Punkty końcowe korzystające z dostępu do Internetu wymagają tożsamości w chmurze. Te punkty końcowe zostaną dodane do usługi Microsoft Entra.
- Punkty końcowe, które nie korzystają z Internetu lub są używane tylko lokalnie, nie powinny mieć tożsamości w chmurze. Nie migruj tych scenariuszy, aby były natywne dla chmury.
Definiowanie zależności
Obciążenia, użytkownicy i urządzenia mają zależności techniczne i nietechnologie. Aby przejść z minimalnym wpływem na użytkowników i organizację, należy uwzględnić te zależności.
Na przykład zależność może być następująca:
- Procesy biznesowe i ciągłość działania
- Standardy zabezpieczeń
- Lokalne przepisy i przepisy
- Znajomość użytkownika i korzystanie z obciążenia
- Kapitał, koszty operacyjne i budżet
W przypadku każdego obciążenia zapytaj "Co ma wpływ, jeśli zmienimy coś dotyczącego usług świadczonych przez to obciążenie?". Należy uwzględnić skutki tej zmiany.
Definiowanie kamieni milowych i kryteriów powodzenia dla każdego obciążenia
Każde obciążenie ma własne kamienie milowe i kryteria sukcesu. Mogą one opierać się na wykorzystaniu obciążenia przez organizację i jego zastosowaniem do określonych punktów końcowych i użytkowników.
Aby zrozumieć i zdefiniować postęp przejścia, śledź i monitoruj te informacje.
Planowanie wdrożenia rozwiązania Windows Autopilot
- Określ, jak i kiedy urządzenia zostaną zarejestrowane w organizacji.
- Określ i utwórz tagi grupy niezbędne do kierowania zasad rozwiązania Windows Autopilot.
- Utwórz profil rozwiązania Windows Autopilot z ustawieniami konfiguracji i nakieruj na urządzenia, które otrzymają Twój profil.
Aby uzyskać więcej informacji, zobacz:
✅ Faza 2. Włączanie tożsamości hybrydowej chmury punktów końcowych (opcjonalnie)
Aby być w pełni natywnym dla chmury, firma Microsoft zaleca zresetowanie istniejących punktów końcowych systemu Windows w ramach cyklu odświeżania sprzętu. Po zresetowaniu punkt końcowy zostanie przywrócony z powrotem do ustawień fabrycznych. Wszystkie aplikacje, ustawienia i dane osobowe na urządzeniu zostaną usunięte.
Jeśli nie możesz zresetować punktów końcowych, możesz włączyć przyłączanie hybrydowe do usługi Microsoft Entra. Tożsamość w chmurze jest tworzona dla hybrydowych punktów końcowych dołączania do usługi Microsoft Entra. Pamiętaj, że dołączenie hybrydowe do usługi Microsoft Entra nadal wymaga łączności lokalnej.
Pamiętaj, że dołączenie hybrydowe do usługi Microsoft Entra jest krokiem przejściowym do natywnego dla chmury i nie jest celem końcowym. Celem końcowym jest, aby wszystkie istniejące punkty końcowe były w pełni natywne dla chmury.
Gdy punkty końcowe są w pełni natywne dla chmury, dane użytkownika są przechowywane w dostawcy magazynu w chmurze, takim jak OneDrive. Dlatego po zresetowaniu punktu końcowego aplikacje użytkownika, konfiguracja i dane są nadal dostępne i mogą być replikowane do nowo aprowizowanego punktu końcowego.
Aby uzyskać więcej informacji, zobacz:
- Dołączono do aplikacji Microsoft Entra a dołączono do hybrydowej platformy Microsoft Entra
- Konfigurowanie przyłączania hybrydowego do usługi Microsoft Entra
Uwaga
Firma Microsoft nie ma narzędzia do migracji do konwertowania istniejących punktów końcowych z przyłączonej do domeny lokalnej lub przyłączonej hybrydowo do usługi Microsoft Entra przyłączonej do usługi Microsoft Entra. Firma Microsoft zaleca resetowanie i ponowne wdrażanie tych urządzeń w ramach odświeżania sprzętu.
✅ Faza 3. Dołączanie do chmury programu Configuration Manager (opcjonalnie)
Jeśli używasz programu Configuration Manager, dołącz środowisko do usługi Microsoft Intune w chmurze. Jeśli nie używasz programu Configuration Manager, pomiń ten krok.
Po dołączeniu do chmury można zdalnie zarządzać punktami końcowymi klienta, współzarządzać punktami końcowymi za pomocą usługi Intune (w chmurze) i programu Configuration Manager (lokalnie) oraz uzyskiwać dostęp do centrum administracyjnego usługi Intune.
Aby uzyskać bardziej szczegółowe informacje, przejdź do sekcji Dołącz środowisko programu Configuration Manager do chmury i Przejdź przez centrum administracyjne usługi Microsoft Intune.
✅ Faza 4. Tworzenie weryfikacji koncepcji dołączonych do platformy Microsoft Entra
Ta faza krytyczna może rozpocząć się w dowolnym momencie. Ułatwia identyfikowanie potencjalnych problemów, nieznanych problemów oraz waliduje ogólną funkcjonalność i rozwiązania tych problemów. Podobnie jak w przypadku wszystkich klientów, celem jest udowodnienie i zweryfikowanie funkcjonalności w rzeczywistym środowisku przedsiębiorstwa, a nie w środowisku laboratoryjnym.
Ważne kroki dla tej fazy obejmują:
Implementowanie minimalnej konfiguracji punktu odniesienia przy użyciu usługi Intune
Ten krok jest ważny. Nie chcesz wprowadzać punktów końcowych do sieci ani w środowisku produkcyjnym, które:
- Nie przestrzegaj standardów zabezpieczeń organizacji
- Nie są skonfigurowane do wykonywania pracy przez użytkowników.
Ta minimalna konfiguracja nie ma i nie powinna mieć wszystkich możliwych konfiguracji. Pamiętaj, że celem jest odnalezienie większej liczby konfiguracji, które są wymagane do pomyślnego pomyślnego działania użytkowników.
Konfigurowanie rozwiązania Windows Autopilot dla punktów końcowych przyłączonych do usługi Microsoft Entra
Aprowizowanie nowych punktów końcowych i ponowne aprowizowanie istniejących punktów końcowych przy użyciu rozwiązania Windows Autopilot jest najszybszym sposobem wprowadzenia systemów przyłączonych do usługi Microsoft Entra w organizacji. Jest to ważna część poc.
Wdrażanie weryfikacji koncepcji dla systemów przyłączonych do usługi Microsoft Entra
Użyj kombinacji punktów końcowych reprezentujących różne konfiguracje i użytkowników. Chcesz jak najwięcej walidacji tego nowego stanu systemu, jak to możliwe.
Tylko rzeczywiste użycie w środowisku produkcyjnym przez rzeczywistych użytkowników produkcyjnych w pełni zweryfikuje obciążenia i ich funkcjonalność. Dzięki naturalnemu, codziennemu korzystaniu z punktów końcowych POC Microsoft Entra użytkownicy organicznie testują i weryfikują obciążenia.
Utwórz listy kontrolne dotyczące funkcji i scenariuszy krytycznych dla działania firmy i przekaż te listy użytkownikom poc. Listy kontrolne są specyficzne dla każdej organizacji i mogą ulec zmianie w miarę przenoszenia obciążeń do obciążeń przyjaznych dla chmury.
Weryfikowanie funkcjonalności
Walidacja to powtarzalny proces. Jest ona oparta na obciążeniach i ich konfiguracji w organizacji.
Zbieraj opinie użytkowników na temat punktów końcowych, obciążeń i ich funkcji weryfikacji koncepcji. Ta opinia powinna pochodzić od użytkowników, którzy korzystali z punktów końcowych natywnych dla chmury.
Inne blokery i wcześniej nieznane lub nierozliczone dla obciążeń/scenariuszy mogą zostać odnalezione.
Użyj punktów kontrolnych i kryteriów powodzenia ustanowionych wcześniej dla każdego obciążenia. Ułatwią one określenie postępu i zakresu weryfikacji koncepcji.
✅ Faza 5. Microsoft Entra dołącza do istniejących punktów końcowych systemu Windows
Ta faza przenosi nową aprowizację punktu końcowego systemu Windows do przyłączonej do usługi Microsoft Entra. Po rozwiązaniu wszystkich blokerów i problemów możesz przenieść istniejące urządzenia, aby były w pełni natywne dla chmury. Masz następujące możliwości:
Opcja 1. Zastąp urządzenia. Jeśli urządzenia kończą okres eksploatacji lub nie obsługują nowoczesnych zabezpieczeń, najlepszym wyborem jest ich zastąpienie. Nowoczesne urządzenia obsługują nowe i ulepszone funkcje zabezpieczeń, w tym technologię modułu TPM (Trusted Platform Module).
Opcja 2. Resetowanie urządzeń z systemem Windows. Jeśli istniejące urządzenia obsługują nowsze funkcje zabezpieczeń, możesz zresetować urządzenia. Podczas pracy z rozwiązaniem OOBE (Out of Box Experience) lub gdy użytkownicy logują się, mogą dołączyć urządzenia do usługi Microsoft Entra.
Przed zresetowaniem istniejącego punktu końcowego systemu Windows upewnij się, że:
- Usuń urządzenie w usłudze Intune.
- Usuń rejestrację urządzenia z rozwiązaniem Windows Autopilot.
- Usuń istniejący obiekt urządzenia Microsoft Entra.
Następnie zresetuj urządzenie i ponownie aprowizuj punkt końcowy.
Gdy urządzenia będą gotowe, dołącz te urządzenia do usługi Microsoft Entra, korzystając z opcji najlepiej odpowiadającej Twojej organizacji. Aby uzyskać bardziej szczegółowe informacje, przejdź do tematu Urządzenia przyłączone do usługi Microsoft Entra i Instrukcje: planowanie implementacji dołączania do aplikacji Microsoft Entra.
Przenoszenie z obiektów zasad grupy (GPO)
Wiele organizacji używa obiektów zasad grupy do konfigurowania punktów końcowych systemu Windows i zarządzania nimi.
Z biegiem czasu komplikuje się to z powodu braku dokumentacji, braku jasności co do celu lub wymagań zasad, używania starszych lub nie funkcjonalnych zasad oraz używania złożonych funkcji. Na przykład mogą istnieć zasady, które obejmują filtry WMI, mają złożone struktury jednostek organizacyjnych i używają blokowania dziedziczenia, sprzężenia zwrotnego lub filtrowania zabezpieczeń.
Zarządzanie ustawieniami przy użyciu usługi Intune
Usługa Microsoft Intune ma wiele wbudowanych ustawień, które można skonfigurować i wdrożyć w punktach końcowych natywnych dla chmury. Podczas przechodzenia do usługi Intune na potrzeby zarządzania zasadami masz kilka opcji.
Te opcje niekoniecznie wykluczają się wzajemnie. Możesz przeprowadzić migrację podzestawu zasad i rozpocząć nową pracę dla innych.
Opcja 1. Rozpocznij nowy (zalecane): usługa Intune ma wiele ustawień umożliwiających konfigurowanie punktów końcowych i zarządzanie nimi. Możesz utworzyć zasady, dodać i skonfigurować ustawienia w zasadach, a następnie wdrożyć zasady.
Wiele istniejących zasad grupy obejmuje zasady, które mogą nie mieć zastosowania do punktów końcowych natywnych dla chmury. Rozpoczęcie od nowa umożliwia organizacji weryfikowanie i upraszczanie istniejących wymuszonych zasad przy jednoczesnym wyeliminowaniu starszych, zapomnianych, a nawet szkodliwych zasad. Usługa Intune ma wbudowane szablony, które grupują wspólne ustawienia, takie jak sieć VPN, sieć Wi-Fi, ochrona punktów końcowych i inne.
Opcja 2: Migracja: ta opcja obejmuje zniesienie istniejących zasad i przeniesienie ich do aparatu zasad usługi Intune. Może to być kłopotliwe i czasochłonne. Na przykład może istnieć wiele istniejących zasad grupy i będą występować różnice w ustawieniach lokalnych i w chmurze.
Jeśli wybierzesz tę opcję, musisz przejrzeć i przeanalizować istniejące zasady grupy oraz określić, czy są one nadal potrzebne lub prawidłowe w punktach końcowych natywnych dla chmury. Chcesz wyeliminować niepotrzebne zasady, w tym zasady, które mogą powodować obciążenie lub obniżyć wydajność systemu lub środowisko użytkownika. Nie należy przenosić zasad grupy do usługi Intune, dopóki nie dowiesz się, co robią.
Funkcje usługi Intune, które należy znać
Usługa Intune ma również wbudowane funkcje, które mogą ułatwić konfigurowanie punktów końcowych natywnych dla chmury:
Analiza zasad grupy: możesz zaimportować obiekty zasad grupy w centrum administracyjnym usługi Microsoft Intune i uruchomić analizę zasad. Możesz zobaczyć zasady, które istnieją w usłudze Intune, i zobaczyć zasady, które są przestarzałe.
Jeśli używasz obiektów zasad grupy, użycie tego narzędzia jest cennym pierwszym krokiem.
Aby uzyskać więcej informacji, przejdź do obszaru Analiza zasad grupy w usłudze Intune.
Wykaz ustawień: zobacz wszystkie ustawienia dostępne w usłudze Intune oraz utwórz, skonfiguruj & wdrożyć zasady przy użyciu tych ustawień. Zadania, które można wykonać przy użyciu katalogu ustawień w usłudze Intune , również mogą być dobrym zasobem. Jeśli tworzysz obiekty zasad grupy, katalog ustawień jest naturalnym przejściem do konfiguracji punktu końcowego natywnego dla chmury.
W połączeniu z analizą zasad grupy można wdrożyć zasady używane lokalnie w punktach końcowych natywnych dla chmury.
Aby uzyskać więcej informacji, przejdź do pozycji Katalog ustawień w usłudze Intune.
Szablony administracyjne: te szablony są podobne do szablonów ADMX używanych lokalnie i są wbudowane w usługę Intune. Nie pobierasz ich. Te szablony obejmują wiele ustawień, które kontrolują funkcje w przeglądarce Microsoft Edge, programie Internet Explorer, aplikacjach pakietu Microsoft Office, pulpitu zdalnego, usłudze OneDrive, hasłach, numerach PIN i innych.
Jeśli używasz szablonów administracyjnych lokalnie, użycie ich w usłudze Intune jest naturalnym przejściem.
Aby uzyskać więcej informacji, przejdź do tematu Szablony administracyjne w usłudze Intune.
Możesz również pozyskać istniejący zestaw zasad ADMX dla aplikacji Win32 i Desktop Bridge. Aby uzyskać więcej informacji, zobacz:
- Omówienie zasad ADMX — Zarządzanie klientami systemu Windows
- Włączanie zasad ADMX w usłudze MDM — Zarządzanie klientami systemu Windows
- Pozyskiwanie zasad usługi ADMX w aplikacjach Win32 i Desktop Bridge — Zarządzanie klientami systemu Windows
Uwaga
Począwszy od systemu Windows 10 w wersji 1703, obsługa konfiguracji zasad zarządzania urządzeniami przenośnymi (MDM) została rozszerzona, aby umożliwić dostęp do wybranego zestawu szablonów administracyjnych zasad grupy (zasady ADMX) dla komputerów z systemem Windows przy użyciu dostawcy usług konfiguracji zasad (CSP). Konfigurowanie zasad ADMX w programie CSP zasad różni się od typowego sposobu konfigurowania tradycyjnych zasad zarządzania urządzeniami przenośnymi.
Punkty odniesienia zabezpieczeń: punkt odniesienia zabezpieczeń to grupa wstępnie skonfigurowanych ustawień systemu Windows. Ułatwiają one stosowanie i wymuszanie szczegółowych ustawień zabezpieczeń zalecanych przez zespoły ds. zabezpieczeń. Podczas tworzenia punktu odniesienia zabezpieczeń można również dostosować każdy punkt odniesienia, aby wymusić tylko żądane ustawienia.
Możesz utworzyć punkt odniesienia zabezpieczeń dla systemów Windows, Microsoft Edge i innych. Jeśli nie masz pewności, od czego zacząć lub chcesz, aby ustawienia zabezpieczeń były zalecane przez ekspertów w dziedzinie zabezpieczeń, zapoznaj się z punktami odniesienia zabezpieczeń.
Aby uzyskać więcej informacji, przejdź do pozycji Punkty odniesienia zabezpieczeń w usłudze Intune.
Aprowizowanie nowych lub istniejących punktów końcowych systemu Windows przy użyciu rozwiązania Windows Autopilot
W przypadku zakupu punktów końcowych od producenta OEM lub partnera należy użyć rozwiązania Windows Autopilot.
Niektóre korzyści obejmują:
Wbudowany proces konfiguracji systemu Windows: przedstawia markowe, z przewodnikiem i uproszczone środowisko użytkownika końcowego.
Upuszczanie punktów końcowych bezpośrednio do użytkowników końcowych: dostawcy i producenci OEM mogą wysyłać punkty końcowe bezpośrednio do użytkowników. Użytkownicy otrzymują punkty końcowe, logują się przy użyciu konta organizacji (
user@contoso.com
), a rozwiązanie Windows Autopilot automatycznie aprowizuje punkt końcowy.Ta funkcja pomaga ograniczyć narzut i koszty związane z wewnętrznymi procesami IT i wysyłką.
Aby uzyskać najlepsze wyniki, zarejestruj wstępnie punkty końcowe przy użyciu producentów OEM lub dostawców. Wstępne rejestrowanie pomaga uniknąć opóźnień, które mogą wystąpić podczas ręcznego rejestrowania punktów końcowych.
Użytkownicy mogą samodzielnie resetować istniejące punkty końcowe: jeśli użytkownicy mają istniejące punkty końcowe systemu Windows, mogą zresetować same urządzenia. Po zresetowaniu punkty końcowe są przywracane do minimalnego punktu odniesienia i stanu zarządzanego. Nie wymaga to wysokiej kosztowej interwencji IT ani fizycznego dostępu do punktu końcowego.
Uwaga
Nie zaleca się używania rozwiązania Windows Autopilot do hybrydowego dołączania do nowo aprowizowanych punktów końcowych w usłudze Microsoft Entra. To działa, ale istnieją pewne wyzwania. W nowo aprowizowanych punktach końcowych użyj rozwiązania Windows Autopilot do dołączenia do usługi Microsoft Entra (nie dołącz do hybrydowej aplikacji Microsoft Entra).
Aby pomóc w określeniu metody sprzężenia właściwej dla Twojej organizacji, przejdź do obszaru Dołączono do usługi Microsoft Entra a dołączono do hybrydowej platformy Microsoft Entra.
Aby uzyskać więcej informacji na temat rozwiązania Windows Autopilot, przejdź do:
- Omówienie rozwiązania Windows Autopilot
- Scenariusze i funkcje rozwiązania Windows Autopilot
- Windows Autopilot — często zadawane pytania
Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury
- Omówienie: Co to są punkty końcowe natywne dla chmury?
- Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
- Koncepcja: Dołączono do aplikacji Microsoft Entra, a dołączono do hybrydowej aplikacji Microsoft Entra
- Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
- 🡺 Przewodnik planowania wysokiego poziomu (jesteś tutaj)
- Znane problemy i ważne informacje