Nastavení autority pro správu mobilních zařízení

Nastavení autority pro správu mobilních zařízení (MDM) určuje způsob správy zařízení. Jako správce IT musíte nastavit autoritu MDM, aby uživatelé mohli zaregistrovat zařízení pro správu.

Možné konfigurace jsou:

  • Samostatná intune – cloudová správa, kterou nakonfigurujete pomocí portálu Azure Portal. Zahrnuje úplnou sadu funkcí, které Intune nabízí. Nastavte autoritu MDM v konzole Intune.

  • Spolus management Intune – integrace cloudového řešení Intune s Správce konfigurace pro Windows 10 zařízení. Intune nakonfigurujete pomocí Správce konfigurace konzoly. Konfigurace automatického zápisu zařízení do Intune

  • Základní mobilita a zabezpečení pro Microsoft 365 – Pokud máte tuto konfiguraci aktivovanou, zobrazí se autorita MDM nastavená na "Office 365". Pokud chcete začít používat Intune, budete si muset koupit licence Intune.

  • Základní mobilita Microsoft 365 zabezpečení pro koexistenci – Intune můžete přidat do tenanta, pokud už pro Microsoft 365 používáte základní mobilitu Microsoft 365 zabezpečení Microsoft 365 nastavte oprávnění pro správu na Intune nebo Základní mobilitu Microsoft 365 zabezpečení pro Microsoft 365, aby každý uživatel diktoval, kterou službu bude používat ke správě svých zařízení zaregistrovaná pomocí MDM. Autorita pro správu každého uživatele je definovaná na základě licence přiřazené uživateli: Pokud má uživatel jenom licenci pro Microsoft 365 Basic nebo Standard, budou jejich zařízení spravovat základní mobilita a zabezpečení pro Microsoft 365. Pokud má uživatel licenci, která opravňuje Intune, bude jejich zařízení spravovat Intune. Pokud přidáte licenci opravňující Intune k uživateli, který dřív spravuje základní mobilitu a zabezpečení pro Microsoft 365, přepne se jejich zařízení na správu Intune. Před přepnutím uživatelů do Intune nezapomeňte mít přiřazené konfigurace Intune, aby nahradily základní mobilitu Microsoft 365 zabezpečení pro Microsoft 365, jinak jejich zařízení ztratí základní mobilitu Microsoft 365 zabezpečení pro konfiguraci Microsoft 365 a z Intune neobdrží žádnou náhradu.

Nastavení autority MDM na Intune

U tenantů používajících verzi služby 1911 a novější se autorita MDM automaticky nastaví na Intune.

Pokud jste ještě nenastavili autoritu MDM pro tenanty verze služby před verzí 1911, postupujte podle následujících kroků.

  1. V centru Microsoft Endpoint Manager správyvyberte oranžový nápis, kterým otevřete nastavení Autorita pro správu mobilních zařízení. Oranžová informační zpráva se zobrazí jenom v případě, že jste autoritu MDM ještě nenastavili.
  2. V části Správa mobilních zařízení vyberte autoritu MDM z následujících možností:
  • Intune MDM Authority
  • Žádné

Snímek obrazovky s obrazovkou intune set mobile device management authority

Zpráva označuje, že jste úspěšně nastavili autoritu MDM na Intune.

Pracovní postup uživatelského rozhraní pro správu Intune

Pokud je povolená správa zařízení s Androidem nebo Apple, Intune odesílá informace o zařízeních a uživatelích, aby se integruje s těmito službami třetích stran, aby spravili příslušná zařízení.

Scénáře, které přidávají souhlas se sdílením dat, jsou zahrnuté v těchto případech:

  • Povolíte androidové Enterprise pracovní profily vlastněné osobním vlastnictvím nebo firemním vlastnictvím.
  • Povolte a nahrajte nabízené certifikáty Apple MDM.
  • Povolíte všechny služby Apple, jako je program registrace zařízení, školní manažer nebo program pro nákup multilicenčních programů.

V každém případě se souhlas výhradně týká spuštění služby správy mobilních zařízení. Například potvrzení, že správce IT povolil registraci zařízení Google nebo Apple. Dokumentace k řešení toho, jaké informace se sdílí, když nové pracovní postupy prochádí, je dostupná z následujících umístění:

Důležité informace

Po přechodu na novou autoritu MDM bude pravděpodobně čas přechodu (až osm hodin) před tím, než se zařízení nasoudí a synchronizuje se službou. Musíte nakonfigurovat nastavení v nové autoritě MDM, abyste měli jistotu, že zaregistrovaná zařízení budou po změně dál spravovaná a chráněná.

  • Zařízení se musí po změně připojit ke službě, aby nastavení nové autority MDM (samostatná intune) nahradila stávající nastavení na zařízení.
  • Po změně autority MDM zůstanou některá základní nastavení (například profily) z předchozí autority MDM na zařízení až sedm dní, nebo dokud se zařízení poprvé nepřipojí ke službě. Doporučujeme nakonfigurovat aplikace a nastavení (jako jsou zásady, profily a aplikace) v nové autoritě MDM co nejdříve a nasadit nastavení do skupin uživatelů, které obsahují uživatele, kteří mají stávající zaregistrovaná zařízení. Jakmile se zařízení připojí ke službě po změně autority MDM, obdrží nové nastavení od nové autority MDM a zabrání mezerám ve správě a ochraně.
  • Zařízení, která nemají přidružené uživatele (obvykle když máte program zápisu zařízení pro iOS/iPadOS nebo scénáře hromadné registrace), se do nové autority MDM nemigrují. U těchto zařízení je potřeba zavolat podporu pro pomoc s jejich přesunutím do nové autority MDM.

Koexistence

Povolení koexistence umožňuje používat Intune pro novou sadu uživatelů a současně používat základní mobilitu a zabezpečení pro stávající uživatele. Můžete řídit, která zařízení spravuje Intune prostřednictvím uživatele. Pokud má uživatel přiřazenou licenci Intune nebo používá spoluspravovanou správu Intune s Správce konfigurace, bude všechna zaregistrovaná zařízení spravovat Intune. V opačném případě je uživatel spravovaný základní mobilitou a zabezpečením.

Existují tři hlavní kroky, jak umožnit koexistenci:

  1. Příprava
  2. Přidání autority MDM Intune
  3. Migrace uživatelů a zařízení (volitelné).

Příprava

Než povolíte koexistenci se základní mobilitou a zabezpečením, zvažte následující body:

  • Ujistěte se, že máte dostatečné licence Intune pro uživatele, které chcete spravovat prostřednictvím Intune.
  • Zkontrolujte, kterým uživatelům jsou přiřazeny licence Intune. Když povolíte koexistenci, každý uživatel, který už licenci Intune přiřadil, přepne jejich zařízení na Intune. Abyste se vyhnuli neočekávaným přepínačům zařízení, doporučujeme nepřiřazovat žádné licence Intune, dokud nepomáhnete koexistenci.
  • Vytvořte a nasaďte zásady Intune, které nahrazují zásady zabezpečení zařízení, které byly původně nasazené prostřednictvím portálu Office 365 Security & Compliance Portal. Tato náhrada by měla být provedena pro všechny uživatele, které očekáváte, že se přesunou ze základní mobility a zabezpečení do Intune. Pokud tito uživatelé nemají přiřazené žádné zásady Intune, může jim povolení koexistence způsobit, že ztratí základní nastavení mobility a zabezpečení. Tato nastavení se ztratí bez náhrady, jako jsou spravované e-mailové profily. I při nahrazení zásad zabezpečení zařízení zásadami Intune se uživatelům může zobrazit výzva k opětovnému ověření svých e-mailových profilů po přesunutí zařízení do správy Intune.
  • Po nastavení nemůžete zrušit zřízení základní mobility a zabezpečení. Existují ale kroky, které můžete udělat, abyste zásady vypnuli. Další informace najdete v tématu Vypnutí základní mobilitya zabezpečení .

Přidání autority MDM Intune

Pokud chcete povolit koexistenci, musíte přidat Intune jako autoritu MDM pro vaše prostředí:

  1. Přihlaste se do Centra Microsoft Endpoint Manager správy pomocí oprávnění správce služby Azure AD Global nebo Intune.
  2. Přejděte na Zařízení.
  3. Zobrazí se okno Přidat autoritu MDM.
  4. Pokud chcete přepnout autoritu MDM z Office 365 Intune a povolit koexistenci, vyberte Intune MDM Authority Add (Přidat autoritu MDM Intune). >
    Snímek obrazovky s obrazovkou Přidat autoritu MDM

Migrace uživatelů a zařízení (volitelné)

Po povolení autority Intune MDM se aktivuje koexistence a můžete začít spravovat uživatele prostřednictvím Intune. Pokud chcete přesunout zařízení, která dřív spravovaná službou Základní mobilita a zabezpečení spravuje Intune, přiřaďte uživatelům licenci Intune. Zařízení uživatelů se při příštím odemykaní MDM přepne na Intune. Nastavení se na tato zařízení přes základní mobilitu a zabezpečení už nebude aplikovat a ze zařízení se odebere.

Čištění mobilních zařízení po vypršení platnosti certifikátu MDM

Certifikát MDM se prodlužuje automaticky, když mobilní zařízení komunikují se službou Intune. Pokud se mobilní zařízení vymažou nebo se jim nepodaří nějakou dobu komunikovat se službou Intune, certifikát MDM se neobnoví. Zařízení se z portálu Azure Portal odebere 180 dní po vypršení platnosti certifikátu MDM.

Odebrání autority MDM

Autoritu MDM nelze změnit zpět na Neznámý. Autorita MDM se službou používá k určení, kterým portálem zaregistrovaná zařízení se mají nahlásit (Microsoft Intune nebo Základní mobilita a zabezpečení pro Microsoft 365).

Co můžete očekávat po změně autority MDM

  • Když služba Intune zjistí, že se změnila autorita MDM tenanta, odešle na všechna zaregistrovaná zařízení oznámení, aby se služba vrátila a synchronizovala se službou (toto oznámení je mimo pravidelnou plánovanou kontrolu). Po změně autority MDM pro tenanta ze samostatné Intune se proto všechna zařízení, která jsou zapnutá a online, připojí ke službě, dostanou novou autoritu MDM a spravují je nová autorita MDM. Správa a ochrana těchto zařízení se neruší.
  • Dokonce i u zařízení, která jsou zapnutá a online během (nebo krátce po) změně autority MDM, bude zpoždění až osm hodin (v závislosti na načasování příštího plánovaného pravidelného odchytu) před tím, než se zařízení zaregistruje u služby pod novou autoritou MDM.

Důležité

Mezi časem, kdy změníte autoritu MDM a kdy se obnovený certifikát APNs nahraje nové autoritě, se nezdaří registrace nových zařízení a přihlášení k zařízení se systémem iOS/iPadOS. Proto je důležité, abyste si certifikát APN co nejdříve po změně autority MDM prošeťte a nahrání do nové autority.

  • Uživatelé mohou rychle změnit na novou autoritu MDM ručním spuštěním přihlášení ze zařízení na službu. Uživatelé mohou tuto změnu snadno provést pomocí Portál společnosti a spuštění kontroly dodržování předpisů zařízení.
  • Pokud chcete ověřit, jestli všechno funguje správně, když se zařízení po změně autority MDM se službou zamknou a synchronizují se se službou, vyhledejte zařízení v nové autoritě MDM.
  • Existuje přechodné období, kdy je zařízení offline během změny autority MDM a kdy se toto zařízení ke službě přisoudí. Aby se zajistilo, že zařízení zůstane během tohoto přechodného období chráněné a funkční, zůstanou na zařízení následující profily po dobu až sedmi dnů (nebo dokud se zařízení nepřipojí k nové autoritě MDM a nedodrží nová nastavení, která přepíšou stávající):
    • E-mailový profil
    • Profil VPN
    • Profil certifikátu
    • Wi-Fi profil
    • Profily konfigurace
  • Po změně na novou autoritu MDM mohou data o dodržování předpisů v konzole pro správu Microsoft Intune trvat až týden, než se budou přesně hlásit. Stavy dodržování předpisů v Azure Active Directory a na zařízení však budou přesné, aby bylo zařízení stále chráněné.
  • Ujistěte se, že nová nastavení, která mají přepsat stávající nastavení, mají stejný název jako předchozí nastavení, aby bylo zajištěno, že původní nastavení bude přepsána. V opačném případě můžou zařízení skončit s redundantními profily a zásadami.

Tip

Osvědčeným postupem je vytvořit všechna nastavení a konfigurace správy a nasazení krátce po dokončení změny autority MDM. To pomáhá zajistit, aby zařízení byla během přechodného období chráněná a aktivně spravovaná.

  • Po změně autority MDM proveďte následující kroky k ověření úspěšné registrace nových zařízení do nové autority:
    • Registrace nového zařízení
    • Ujistěte se, že se nově zaregistrované zařízení zobrazuje v nové autoritě MDM.
    • Proveďte akci, například Vzdálený zámek, z konzoly pro správu do zařízení. Pokud je zařízení úspěšné, spravuje ho nová autorita MDM.
  • Pokud máte problémy s konkrétními zařízeními, můžete zařízení zrušit a znovu zaregistrovat, abyste je připojili k nové autoritě a co nejrychleji je spravili.

Další kroky

S nastavenou autoritou MDM můžete začít zapisovat zařízení.