Настройка Microsoft Intune

Без соответствующих средств и ресурсов управление сотнями или тысячами устройств в учебной среде может быть сложной и трудоемкой задачей. Microsoft Intune — это набор служб, упрощающих управление устройствами в большом масштабе.

Служба Microsoft Intune может управляться разными способами.

• Intune центр администрирования — это основной интерфейс Intune, который поддерживает весь жизненный цикл устройства, от этапа регистрации до прекращения использования. ИТ-администраторы могут управлять всеми параметрами на всех Intune поддерживаемых платформах.

• Intune для образовательных учреждений — это проверенное представление Intune, которое поддерживает весь жизненный цикл устройства, от этапа регистрации до прекращения использования. ИТ-администраторы могут приступить к управлению устройствами класса с помощью параметров массовой регистрации и упрощенного развертывания. В конце учебного года ИТ-администраторы могут сбрасывать устройства, обеспечивая их готовность к следующему году.

  

  Дополнительные сведения см. в документации по Intune для образовательных учреждений.

Совет

Intune и Intune для образовательных учреждений настраивают службу Intune. Изменения, внесенные в одну консоль, будут отражены в другой. Однако Intune для образовательных учреждений поддерживает только подмножество политик и приложений, курируемых в соответствии с простыми сценариями K-12 в Windows и iPadOS.

---

В этом разделе вы сделаете следующее:

• Ознакомьтесь с предварительными условиями лицензирования Intune
• Настройка службы Intune для устройств для образовательных учреждений

Предварительные условия

✅ Ознакомьтесь с требованиями к управлению устройствами.

Прежде чем настраивать параметры с помощью Intune, рассмотрите следующие предварительные требования:

• Intune подписку. Microsoft Intune лицензируется тремя способами:
  • Как автономная служба
  • В рамках Enterprise Mobility + Security
  • В рамках подписки на Microsoft 365 для образования
• Intune для платформ устройств для образовательных учреждений. Intune для образовательных учреждений может управлять устройствами под управлением поддерживаемой версии Windows 10, Windows 11, Windows 11 SE и iPadOS.
• Intune платформ устройств. Intune могут управлять устройствами под управлением поддерживаемой версии Windows 10, Windows 11, Windows 11 SE, iOS, iPadOS, macOS, Android и Linux
• Требования к сети. Убедитесь, что все необходимые конечные точки сети могут получить доступ без проверки SSL или любого типа фильтрации. Список конечных точек см. в разделе Сетевые конечные точки для Microsoft Intune.

Дополнительные сведения см. в разделе лицензирование Intune и в этой таблице сравнения, которая содержит таблицу с подробными сведениями о современном рабочем плане Майкрософт для образовательных учреждений.

Настройка службы Intune для устройств для образовательных учреждений

Службу Intune можно настроить различными способами в зависимости от потребностей учебного заведения. В этом разделе описана настройка службы Intune с помощью параметров, обычно реализуемых школьными округами K-12.

Настройка ограничений регистрации

✅ Ограничение устройств, которыми можно управлять

С помощью ограничений регистрации вы можете управлять устройствами, которые могут регистрироваться и управляться Intune. Например, можно запретить регистрацию личных устройств.

Чтобы заблокировать регистрацию личных устройств, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите Устройства>Регистрация устройств>Ограничения платформы устройств.
3. Выберите вкладку для платформы, которую вы хотите ограничить.
4. Выберите Создать ограничение.
5. На странице Основные сведения укажите имя ограничения и при необходимости описание >Далее.
6. На странице Параметры платформы в поле Личные устройства выберите Блокировать>далее.
7. При необходимости на странице Теги области добавьте область теги >Далее.
8. На странице Назначения выберите Добавить группы, а затем в поле поиска найдите и выберите группы, к которым нужно применить ограничение >Далее.
9. На странице Просмотр и создание выберите Создать , чтобы сохранить ограничение.

Дополнительные сведения см. в разделе Создание ограничения платформы устройства.

Необязательная конфигурация

✅ Настройка необязательной конфигурации клиента

• Настройте фирменную символику в соответствии с политиками организации. Дополнительные сведения см. в статье Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.
• Создание условий в соответствии с политиками организации. Дополнительные сведения см. в разделе Условия доступа пользователей.

Настройка регистрации Windows

✅ Настройка пользователей, которые могут регистрировать устройства Windows

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите Устройства>Регистрация устройств>Автоматическая регистрация.
3. Задайте для область пользователя MDMзначение Все или Некоторые и выберите группу, если вы хотите ограничить регистрацию определенными пользователями.

   Важно!

   Для область пользователя MDM должно быть задано значение Все, если для регистрации устройств используются pacakges подготовки.

4. Задайте для область пользователя MAMзначение Нет.
5. Выберите Сохранить.

Дополнительные сведения см. в разделе Включение автоматической регистрации Windows.

Отключение Windows Hello для бизнеса

✅ Отключение функциональных возможностей, обычно недоступных для учащихся

Windows Hello для бизнеса — это функция биометрической проверки подлинности, которая позволяет пользователям входить на свои устройства с помощью ПИН-кода, пароля или отпечатка пальца. Windows Hello для бизнеса включена по умолчанию на устройствах Windows, и для его настройки пользователи должны выполнять многофакторную проверку подлинности (MFA). В результате эта функция может оказаться не идеальной для учащихся, у которых может не быть включена MFA.

Обычно Windows Hello для бизнеса отключается на уровне клиента. Затем политику можно застолковать на пользователей или устройствах, которым она нужна. Например, сотрудники и преподаватели.

Чтобы отключить Windows Hello для бизнеса на уровне клиента, выполните следующие действия:

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите Устройства>по платформе>Регистрация подключения устройств>Windows>.
3. Выберите Windows Hello для бизнеса.
4. Убедитесь, что настройка Windows Hello для бизнесаотключена.
5. Выберите Сохранить.

Дополнительные сведения о включении Windows Hello для бизнеса на определенных устройствах см. в статье Создание политики Windows Hello для бизнеса.

Настройка политики сбора данных Intune

✅ Настройка аналитики конечных точек

Intune требуется разрешение на сбор данных для аналитики конечных точек на устройствах Windows.

Чтобы включить сбор данных, выполните приведенные далее действия.

1. Войдите в Центр администрирования Microsoft Intune.
2. ВыберитеПараметрыаналитики конечных> точек отчетов>.
3. В разделе политика сбора данных Intune выберите Intune политика сбора данных.
4. Выберите пункт Свойства.
5. В разделе Параметры конфигурации выберите Изменить.
6. Задайте для мониторинга работоспособности значение Включить.
7. Выберите Область и установите флажок Аналитика конечных точек.
8. Выберите Проверить и сохранить.
9. Выберите Сохранить.

Дополнительные сведения о сборе данных см. в статье Сбор данных аналитики конечных точек.

Настройка данных Windows

✅ Настройка параметров данных Windows клиента

Intune требуется разрешение на сбор определенных данных для отчетов об обновлениях Windows на устройствах Windows.

1. Войдите в Центр администрирования Microsoft Intune.
2. Выбор администрирования> клиентаСоединители и маркеры>данных Windows
3. В разделе Данные Windows выберите Включено.
4. Просмотрите раздел Проверка лицензии Windows и настройте в соответствии с лицензированием.
5. Нажмите кнопку Сохранить.

Дополнительные сведения см. в статье Включение использования диагностических данных Windows Intune.

Настройка диагностика устройств Windows

✅ Разрешение удаленного получения диагностических сведений

1. Войдите в Центр администрирования Microsoft Intune.
2. Выберите Администрирование> клиентаДиагностика устройства.
3. Настройте параметры в соответствии с вашими требованиями.

В этой таблице приведены параметры, наиболее часто задаваемые клиентами, но их можно настроить в соответствии с потребностями ваших учебных заведений.

Setting	Общая конфигурация
Диагностика устройств доступны для корпоративных устройств под управлением Windows 10 версии 1909 и более поздних версий или Windows 11. Диагностика может включать сведения, идентифицируемые пользователем, например имя пользователя или устройства.	Включено
Автоматическая запись диагностика при сбое устройств во время процесса Autopilot в Windows 10 версии 1909 или более поздней и Windows 11. Диагностика может включать сведения, идентифицируемые пользователем, например имя пользователя или устройства.	Включено

Дополнительные сведения см. в статье Сбор диагностика с устройства Windows.

(Необязательно) Настройка страницы состояния регистрации

Если вы планируете использовать Windows Autopilot для регистрации устройств Windows в Intune, рассмотрите возможность включения страницы состояния регистрации.

На странице состояния регистрации (ESP) отображается состояние подготовки для людей, регистрирующих устройства Windows и выполняющих вход в первый раз. Вы можете настроить ESP для блокировки использования устройства до тех пор, пока не будут установлены все необходимые политики и приложения. Пользователи устройств могут просматривать ESP, чтобы отслеживать, на какой стадии установки находится их устройство.

Дополнительные сведения

• Страница состояния регистрации Windows Autopilot
• Настройка страницы состояния регистрации

В этой таблице приведены параметры, наиболее часто задаваемые клиентами, но их можно настроить в соответствии с потребностями ваших учебных заведений.

Лезвие	Группа конфигурации	Параметр	Значение
Регистрация Windows	Общие\Страница состояния регистрации	Default\Show app and profile configuration progress	Да
Регистрация Windows	Общие\Страница состояния регистрации	По умолчанию\Показывать ошибку, если установка занимает больше указанного количества минут	120
Регистрация Windows	Общие\Страница состояния регистрации	Default\Show custom message when time limit or error	Да
Регистрация Windows	Общие\Страница состояния регистрации	Default\Включить сбор журналов и диагностика страницу для конечных пользователей	Да
Регистрация Windows	Общие\Страница состояния регистрации	По умолчанию\Только показывать страницу для устройств, подготовленных с помощью встроенного интерфейса (OOBE)	Да
Регистрация Windows	Общие\Страница состояния регистрации	Страница состояния регистрации\По умолчанию\Блокировать использование устройства до установки необходимых приложений, если они назначены пользователю или устройству	Все или Выбрано с минимальным требуемым числом приложений. Например, приложения Microsoft 365 или программное обеспечение для фильтрации веб-содержимого

Настройка сертификата Apple MDM

Intune

Сведения о настройке сертификата Apple MDM см. в статье Получение push-сертификата Apple MDM.

Intune для образовательных учреждений

Сведения о настройке сертификата Apple MDM в Intune для образовательных учреждений см. в статье Добавление push-сертификата MDM

Важно!

Сертификат Apple MDM необходимо обновлять ежегодно. Запишите в календаре, чтобы продлить сертификат чуть более чем через год с момента добавления сертификата. Дату окончания срока действия можно просмотреть в консоли в любое время.

Настройка программы приобретения корпоративных лицензий (VPP)

Intune

Сведения о настройке Apple VPP см. в статье Управление приложениями iOS и macOS, приобретенными через Apple Business Manager, с помощью Microsoft Intune.

Intune для образовательных учреждений

Сведения о настройке Apple VPP в Intune для образовательных учреждений см. в статье Настройка токенов VPP.

Важно!

Токен Apple VPP необходимо обновлять ежегодно. Запишите в календаре, чтобы продлить маркер чуть более чем через год с момента добавления маркера. Дату окончания срока действия можно просмотреть в консоли в любое время.

Настройка автоматической регистрации устройств (ADE)

Если вы планируете интегрировать Apple School Manager и использовать автоматическую регистрацию устройств, выполните следующие действия.

Intune

Сведения о настройке сертификата Apple MDM см. в статье Настройка автоматической регистрации устройств в Intune.

Intune для образовательных учреждений

Сведения о настройке Apple ADE в Intune для образовательных учреждений см. в статье Настройка токена программы регистрации.

Важно!

Токен Apple ADE необходимо обновлять ежегодно. Запишите в календаре, чтобы продлить маркер чуть более чем через год с момента добавления маркера. Дату окончания срока действия можно просмотреть в консоли в любое время.

---

Дальнейшие действия

С помощью службы Intune можно настроить политики и приложения в рамках подготовки к развертыванию устройств учащихся и преподавателей.

Далее: Настройка устройств >