Поделиться через

Настройка параметров после регистрации

  • Статья

После завершения регистрации в Microsoft Managed Desktop может потребоваться изменение некоторых параметров управления. Чтобы проверить и при необходимости отрегулировать, сделайте следующее.

  1. Просмотрите параметры Microsoft Intune и Microsoft Entra, описанные в следующем разделе.
  2. Если какой-либо из элементов применим к вашей среде, внесите изменения, как описано.

Примечание.

По мере продолжения работы в последующие месяцы, если после регистрации вы внесете изменения в политики в Microsoft Intune, Microsoft Entra ID или Microsoft 365, влияющие на Microsoft Managed Desktop, возможно, что Microsoft Managed Desktop может перестать работать должным образом. Чтобы избежать проблем со службой, проверьте определенные параметры, описанные в разделе Устранение проблем, обнаруженных средством оценки готовности, прежде чем изменять указанные там политики.

Параметры Microsoft Intune

Setting Описание
Профиль развертывания Autopilot Если вы используете какие-либо политики Autopilot, обновите каждую из них, чтобы исключить группу Modern Workplace Devices -All Microsoft Entra.

Чтобы обновить политики Autopilot:

В разделе Назначения в группе Исключенные группы выберите группу Современные рабочие устройства - Все Microsoft Entra, созданную во время регистрации Microsoft Managed Desktop.

Microsoft Managed Desktop также создаст профиль Autopilot, имя которого будет содержать Modern Workplace (профиль Autopilot Modern Workplace). При обновлении собственных профилей Autopilot убедитесь, что не исключите группу Modern Workplace Devices -All Microsoft Entra из профиля Современного рабочего автопилота, созданного microsoft Managed Desktop.
Политики условного доступа Если вы создаете новые политики условного доступа, связанные с Microsoft Entra ID, Microsoft Intune или Microsoft Defender XDR для конечной точки после регистрации microsoft Managed Desktop, исключите из них группу Современные учетные записи рабочих служб Microsoft Entra. Дополнительные сведения см. в разделе Условный доступ: пользователи и группы. Microsoft Managed Desktop поддерживает отдельные политики условного доступа для ограничения доступа к этим учетным записям.

Чтобы просмотреть политику условного доступа к Microsoft Managed Desktop (Modern Workplace — Secure Workstation):

Перейдите в Центр администрирования Microsoft Intune и перейдите в раздел Условный доступ в Endpoint Security. Не изменяйте политики условного доступа Microsoft Entra, созданные Microsoft Managed Desktop с именем "Modern Workplace".
Многофакторная проверка подлинности Если вы создаете новые требования к многофакторной проверке подлинности в политиках условного доступа, связанных с Microsoft Entra ID, Intune или Microsoft Defender XDR для конечной точки после регистрации microsoft Managed Desktop, исключите Microsoft Entra группу "Современные учетные записи рабочих служб" от них. Дополнительные сведения см. в разделе Условный доступ: пользователи и группы. Microsoft Managed Desktop поддерживает отдельные политики условного доступа, чтобы ограничить доступ для участников этой группы.

Чтобы просмотреть политику условного доступа к управляемому рабочему столу Microsoft (Modern Workplace -):

Перейдите в Центр администрирования Microsoft Intune и перейдите в раздел Условный доступ в Endpoint Security.
Круг обновления Windows 10 Для любых созданных политик Windows 10 круга обновления исключите из каждой политики группу Modern Workplace Devices -All Microsoft Entra. Дополнительные сведения см. в разделе Создание и назначение колец обновлений.

Microsoft Managed Desktop также создаст несколько политик круга обновлений, и все они будут иметь в названии "Modern Workplace". Например:
  • Политика обновления Modern Workplace [Общая]
  • Политика обновления Modern Workplace [Быстрая]
  • Политика обновления Modern Workplace [Первая]
  • Политика обновления Modern Workplace [Тестовая]

При обновлении собственных политик убедитесь, что не исключите группу Современные рабочие устройства —Все Microsoft Entra из созданных Майкрософт рабочих столов.

параметры Microsoft Entra

Самостоятельный сброс пароля: если вы используете самостоятельный сброс пароля для всех пользователей, измените назначение, чтобы исключить учетные записи службы Microsoft Managed Desktop.

Чтобы настроить это назначение:

  1. Создание динамической группы Microsoft Entra для всех пользователей, кроме учетных записей службы Microsoft Managed Desktop
  2. Используйте эту группу для назначения вместо "всех пользователей".

Вот пример динамического запроса, который вы можете использовать, чтобы найти и исключить сервисные аккаунты:

(user.objectID -ne null) and (user.userPrincipalName -ne "MSADMIN@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSADMININT@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_SOC_RO@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MWAAS_WDGSOC@TENANT.onmicrosoft.com") and (user.userPrincipalName -ne "MSTEST@TENANT.onmicrosoft.com")

В этом запросе замените @TENANT на доменное имя вашего клиента.