Microsoft Intune průvodce plánováním

Úspěšné nasazení Microsoft Intune migrace začíná plánováním. Tento průvodce vás provede běžnými cíli správy mobilních zařízení (MDM) a správy mobilních aplikací (MAM). Poskytuje také pokyny k inventarizace zařízení, licencování, přehledu aktuálních zásad a infrastruktury, vytvoření plánu pro inventarizace a další.

Tip

Sada Intune Adoption Kit obsahuje e-mailové šablony a další dobré informace.

Tento průvodce je živý. Proto nezapomeňte přidat nebo aktualizovat stávající tipy a pokyny, které vám pomohly.

Úkol 1: Určení cílů

Organizace používají správu mobilních zařízení (MDM) a správu mobilních aplikací (MAM) k bezpečnému řízení dat organizace a s minimálním přerušením provozu uživatelů. Při vyhodnocování řešení MDM/MAM, jako je Microsoft Intune, se podívejte, co je cílem a čeho chcete dosáhnout.

V této části probereme běžné cíle při používání Intune.

Cíl: Přístup k aplikacím a e-mailu organizace

Uživatelé očekávají, že budou pracovat na zařízeních, která používají aplikace organizace, včetně čtení a reagování na e-mail, aktualizace a sdílení dat a dalších. V Intune můžete nasadit různé typy aplikací, mezi které patří:

  • Office 365 aplikací
  • Aplikace Win32
  • Obchodní aplikace (LOB)
  • Vlastní aplikace
  • Povolení (nebo blokování) přístupu k integrovaným aplikacím nebo aplikacím pro Store

Úkol: Vytvořte seznam aplikací, které vaši uživatelé pravidelně používají. Tyto aplikace jsou aplikace, které chcete mít na svých zařízeních. Důležité informace:

  • Řada organizací nasazovat Office počítače a tablety, jako je Word, Excel, OneNote, PowerPoint a Teams. Na menších zařízeních, jako jsou mobilní telefony, se můžou instalovat jednotlivé aplikace v závislosti na požadavcích uživatelů.

    Například prodejní tým může vyžadovat Teams, Excel a SharePoint. Na mobilních zařízeních můžete místo nasazení celé sady aplikací nasadit jenom Office aplikace.

  • Uživatelé očekávají, že budou číst a odpovídat na e-maily a připojovat se ke schůzkám na všech zařízeních, včetně osobních zařízení. Na zařízeních vlastněných organizací můžete nasadit Outlook a Teams. Můžete také spravovat a řídit všechna nastavení zařízení a všechna nastavení aplikace, včetně požadavků na KÓD PIN a heslo. Na osobních zařízeních tento ovládací prvek nemáte. Proto určete, jestli chcete uživatelům poskytnout přístup k aplikacím organizace, jako jsou e-maily a schůzky.

    Další informace a důležité informace najdete v části Osobní zařízení vs. Zařízení vlastněná organizací (v tomto článku).

Cíl: Zabezpečený přístup na všech zařízeních

Když jsou data uložená na mobilních zařízeních, měla by být chráněná před škodlivou aktivitou.

Úkol: Určete, jak chcete zabezpečit zařízení, a minimalizujte dopad škodlivých aktivit. Důležité informace:

  • Antivirová ochrana (AV) a ochrana proti malwaru jsou nutné. Intune se integruje s různými partnery ochrany před mobilními hrozbami (MTD) a pomáhá chránit zaregistrovaná zařízení, osobní zařízení a aplikace. Na Windows 10 zařízení můžete používat Microsoft Defender for Endpoint a Intune společně.

    Microsoft Defender for Endpoint obsahuje funkce zabezpečení a portál, které pomáhají monitorovat hrozby a reagovat na ně.

  • Pokud dojde k ohrožení zabezpečení zařízení, budete chtít omezit dopad pomocí podmíněného přístupu. Například:

    • Pokud zařízení splňuje nastavenou úroveň hrozeb, můžete zablokovat přístup k prostředkům organizace. Podmíněný přístup pomáhá zabránit šíření škodlivých aktivit.

    • Podmíněný přístup pomáhá chránit vaši síť a prostředky před zařízeními, a to i zařízeními, která nejsou zaregistrovaná v Intune.

      Intune se například integruje s Microsoft Defenderem for Endpoint. Microsoft Defender for Endpoint prohledává zařízení a určuje, jestli je ohrožené. Podmíněný přístup pak může automaticky blokovat přístup k tomuto zařízení z prostředků organizace, včetně e-mailu.

  • Aktualizace zařízení, operačního systému a aplikací také pomáhají zabezpečit vaše data. Vytvořte plán, jak a kdy se aktualizace instalují. V Intune existují zásady, které vám pomůžou spravovat aktualizace, včetně aktualizací pro aplikace pro Store.

  • Určete, jak se uživatelé budou ověřovat pomocí prostředků organizace ze svého mnoha zařízení. Můžete například:

    • Pomocí certifikátů na zařízeních můžete ověřovat funkce a aplikace, jako je například připojení k virtuální privátní síti (VPN), otevírání Outlook a další. Tyto certifikáty umožňují uživatelské prostředí bez hesel. Bez hesla se považuje za bezpečnější než vyžadování, aby uživatelé zadávat uživatelské jméno a heslo organizace.

      Pokud plánujete používat certifikáty, ujistěte se, že máte podporovanou infrastrukturu veřejných klíčů (PKI) připravenou k vytvoření a nasazení profilů certifikátů.

    • Vícefaktorové ověřování (MFA) použijte, když potřebujete další vrstvu ověřování na zařízeních vlastněných organizací. Nebo můžete použít MFA k ověřování aplikací na osobních zařízeních. Je možné použít také biometrika, jako je rozpoznávání obličeje a otisky prstů.

      Pokud k ověřování použijete biometrika, ujistěte se, že vaše zařízení podporují biometrika. Většina moderních zařízení to dělají.

    • Implementujte nulová důvěra (Zero Trust) nasazení. Díky nulová důvěra (Zero Trust) můžete pomocí funkcí v Azure AD a Microsoft Intune zabezpečit všechny koncové body, používat ověřování bez hesla a další. Další informace najdete v tématu nulová důvěra (Zero Trust) Deployment Center.

Cíl: Distribuce IT

Mnoho organizací chce různým správcům poskytnout kontrolu nad umístěními, divizemi atd. Například skupina Charlotte IT Admins řídí a monitoruje zásady v areálu Charlotte. Tito správci IT v Charlotte mohou zobrazit a spravovat jenom zásady pro umístění Charlotte. Nevidí a nespravovat zásady pro umístění v Redmondu. Tento přístup se nazývá distribuované IT.

Distribuovaná IT služba v Intune používá značky oboru a kategorie registrace zařízení. Značky oboru používají řízení přístupu na základě role (RBAC). Proto mají oprávnění ke správě zásad a profilů pro uživatele a zařízení v jejich oboru jenom uživatelé v konkrétní skupině.

Při použití kategorií zařízení se zařízení automaticky přidávají do skupin na základě kategorií, které vytvoříte. Když si uživatelé zaregistrují svoje zařízení, vyberou kategorii, například Prodej, Správce IT, Zařízení v místě prodeje atd. Tyto skupiny zařízení jsou teď připravené přijímat profily a zásady, které vytvoříte.

Pro usnadnění správy zařízení můžete pomocí kategorií zařízení v Intune automaticky přidávat zařízení do skupin na základě kategorií, které definujete.

Úkol: Určete, jak chcete distribuovat pravidla a nastavení (zásady a profily). Důležité informace:

  • Určete strukturu správce. Můžete například chtít oddělení podle umístění, například Charlotte IT Admins nebo Redmond IT Admins. Můžete chtít oddělit podle role, například správci sítě, kteří řídí veškerý přístup k síti, včetně sítě VPN.

    Tyto kategorie se stanou značkami oboru.

  • Řada organizací odděluje skupiny podle typu zařízení, například iOS, iPadOS, Android nebo Windows zařízení. Několik příkladů:

    • Distribuce konkrétních aplikací do konkrétních zařízení Například nasaďte aplikaci Microsoftu pro mobilní zařízení v síti Redmond.
    • Nasaďte zásady do konkrétních umístění. Můžete například nasadit profil SÍTĚ VPN na zařízení v síti Charlotte, aby se automaticky připojují, když jsou v dosahu.
    • Řídit nastavení na konkrétních zařízeních. Můžete třeba zakázat fotoaparát na zařízeních s Androidem Enterprise, která se používají ve výrobním podlaží, vytvořit antivirový profil Windows Defender pro všechna zařízení Windows nebo přidat nastavení e-mailu Exchange do všech zařízení s iOSem nebo iPadOS.

    Tyto kategorie se stanou kategoriemi registrace zařízení.

Cíl: Zachovat data organizace v organizaci

Když jsou data uložená na mobilních zařízeních, měla by být chráněná před náhodnou ztrátou nebo sdílením. Tento cíl zahrnuje i vytěsňování dat organizace ze zařízení vlastněných společností a osobních zařízení.

Úkol: Vytvořte plán, který bude pokrývat různé scénáře, které mají vliv na vaši organizaci. Důležité informace:

  • Zařízení je ztracené nebo odcizené nebo se už nebude používat. Uživatel opustí organizaci.

  • Na osobních zařízeních můžete chtít uživatelům zabránit v kopírování a vkládání, pořiování snímků obrazovky nebo přeposílání e-mailů. Ochrana aplikací zásady mohou tyto funkce blokovat na zařízeních, která nespravují. Další informace najdete v tématu Prevence úniků dat na nespravovaná zařízení pomocí Intune.

    Na spravovaných zařízeních (zařízeních zaregistrovaých v Intune) můžete tyto funkce ovládat také pomocí konfiguračních profilů zařízení. Konfigurační profily zařízení řídí nastavení na zařízení, ne v aplikaci. Na zařízeních, která přistupují k vysoce citlivým nebo důvěrným datům, mohou konfigurační profily zařízení bránit kopírování a vkládání, pořizovat snímky obrazovky a využívat další možnosti.

  • V Office aplikacích zabraňte neoprávněnému přístupu k datům organizace pomocí Azure Information Protection. Tato funkce používá popisky ke klasifikaci souborů, například důvěrných dat.

Další informace a důležité informace najdete v části Osobní zařízení vs. Zařízení vlastněná organizací (v tomto článku).

Úkol 2: Inventarizace zařízení

Organizace mají řadu zařízení, včetně stolních počítačů, přenosných počítačů, tabletů a mobilních telefonů. Tato zařízení může vlastní organizace nebo je vlastní vaši uživatelé. Při plánování řešení pro správu zařízení nezapomeňte vzít v úvahu vše, co bude mít přístup k prostředkům vaší organizace, včetně osobních zařízení uživatelů.

Tato část obsahuje informace o zařízení, které byste měli zvážit.

Podporované platformy

Intune podporuje správce zařízení s Androidem, Android Enterprise, iOS, iPadOS, macOS a Windows zařízení. Konkrétní verze najdete v tématu podporované platformy.

Úloha: Pokud vaše zařízení používají nepodporované verze, které jsou primárně staršími operačními systémy, je čas upgradovat operační systém nebo nahradit zařízení. Tyto starší operační systémy a zařízení můžou mít omezenou podporu a můžou být bezpečnostním rizikem. Tato úloha zahrnuje stolní počítače se systémem Windows 7, iPhone 7 zařízení s původním operačním systémem v10.0 atd.

Osobní zařízení vs. zařízení vlastněná organizací

Na osobních zařízeních je běžné a očekává se, že uživatelé budou kontrolovat e-maily, připojovat se Teams schůzek, aktualizovat SharePoint soubory a další. Mnoho organizací umožňuje osobní zařízení a řada organizací umožňuje jenom zařízení vlastněná organizací.

Jako organizace a správce rozhodujete, jestli povolíte osobní zařízení.

Úkol: Určete, jak chcete zpracovávat osobní zařízení. Pokud je pro vaši organizaci "mobilní" přístup důležitý, zvažte následující přístupy:

  • Na osobních zařízeních dejte uživatelům možnost se zaregistrovat do Intune. Po jejich zápisu správci tato zařízení plně spravují, včetně nabízení zásad, řízení funkcí a nastavení zařízení a dokonce i zařízení pro vytěsňování. Jako správce můžete chtít tento ovládací prvek, nebo si můžete myslet, že chcete tento ovládací prvek.

    Když si uživatelé zaregistrují svá osobní zařízení, nemusí si uvědomit, že správci mohou na zařízení nic dělat, včetně náhodného smazání nebo resetování zařízení. Jako správce možná nechcete tuto odpovědnost nebo potenciální dopad na zařízení, která vaše organizace vlastní.

    Mnoho uživatelů také odmítá registraci. Najdou další způsoby, jak získat přístup k prostředkům organizace. Například vyžadujete, aby zařízení byla zaregistrovaná, aby ke kontrole e-mailu organizace Outlook aplikaci. Pokud chcete tento požadavek přeskočit, uživatelé otevřou na zařízení libovolný webový prohlížeč a přihlásí se Outlook přístup k webu, což pravděpodobně nechcete. Nebo vytvoří snímky obrazovky a uloží obrázky na zařízení, což také nechcete.

  • Na osobních zařízeních použijte zásady konfigurace aplikací a zásady ochrany aplikací. Uživatelé se nezapisují do Intune. Tato zařízení nespravujete vy.

    Použijte prohlášení o podmínkách a podmínkách se zásadou podmíněného přístupu. Pokud uživatelé nesouhlasí, nezískaní přístup k aplikacím. Pokud uživatel s příkazem souhlasí, přidá se do Azure AD záznam zařízení a zařízení se stane známou entitou. Když je zařízení známé, můžete sledovat, k čemu zařízení přistupuje.

    Dále můžete řídit přístup a zabezpečení pomocí zásad aplikací.

    Podívejte se na úlohy, které vaše organizace používá nejvíce, například e-mail a spojování schůzek. Ke konfiguraci nastavení specifických pro aplikaci použijte zásady konfigurace aplikací. Pomocí zásad ochrany aplikací můžete řídit zabezpečení a přístup k těmto aplikacím.

    Uživatelé mohou například pomocí aplikace Outlook na svém osobním zařízení zkontrolovat pracovní e-mail. Pomocí Intune vytvoří správci zásadu ochrany aplikací Outlook, která používá vícefaktorové ověřování (MFA) při každém otevření aplikace Outlook, brání kopírování a vkládání a dalším informacím.

  • Chcete, aby každé zařízení bylo plně spravované. V tomto scénáři dejte uživatelům všechna zařízení, která potřebují, včetně mobilních telefonů. Investujte do plánu aktualizace hardwaru, aby uživatelé mohli dál být produktivní a efektivní. Zaregistrujte tato zařízení vlastněná organizací v Intune a spravujte je pomocí zásad.

    Tato možnost zabrání osobním zařízením.

Osvědčeným postupem je vždy předpokládat, že zařízení opustí data. Ujistěte se, že máte k dispozici metody sledování a auditování. Další informace najdete v tématu nulová důvěra (Zero Trust) Deployment Center.

Správa stolních počítačů

Intune může spravovat stolní počítače se systémem Windows 10 a novějšími verzemi. Operační Windows 10 obsahuje integrované moderní funkce správy zařízení a odstraňuje závislosti na místních zásadách skupiny Active Directory (AD). Výhody cloudu získáte při vytváření pravidel a nastavení v Intune a nasazování těchto zásad do všech vašich Windows 10 zařízení, včetně stolních počítačů a počítačů.

Další informace najdete v tématu Scénář s průvodcem – Moderní desktop spravovaný cloudem.

Pokud jsou Windows 10 zařízení aktuálně spravovaná pomocí Správce konfigurace, můžete tato zařízení zaregistrovat v Intune. Tento přístup se nazývá spolusou správa. Spolusou správa nabízí mnoho výhod, včetně spouštění vzdálených akcí na zařízení (restartování, vzdálené řízení, obnovení továrního nastavení), podmíněného přístupu s dodržováním předpisů zařízením a dalších. Zařízení můžete také připojit ke cloudu k Intune.

Další informace najdete v tématu Co je spolusou správa,Cesty ke spolussprávě a připojení Endpoint Manager tenanta.

Úkol: Podívejte se, co aktuálně používáte ke správě mobilních zařízení, jaké jsou cíle, a určete nejlepší cestu. Důležité informace:

  • Pokud v současné době nic nevyu ídáte, bude možná nejlepší přechádovat přímo do Intune.

  • U nových zařízení, která nejsou zaregistrovaná v Správce konfigurace nebo řešení MDM, může být nejlepší přechádovat přímo do Intune.

  • Pokud aktuálně používáte Správce konfigurace, mezi vaše možnosti patří:

    • Pokud chcete zachovat stávající infrastrukturu a přesunout některé úlohy do cloudu, použijte spolusou správu. Získáte výhody obou služeb. Stávající zařízení mohou přijímat některé zásady Správce konfigurace (místní) a další zásady z Intune (cloud).
    • Pokud chcete zachovat stávající infrastrukturu a pomocí Intune monitorovat místní zařízení, použijte připojení tenanta. Výhody používání centra pro správu Endpoint Manager, zatímco ke správě zařízení Správce konfigurace nadále používáte .
    • Pokud chcete ke správě zařízení použít čistě cloudové řešení, přejděte na Intune. Tento scénář je vzácné. Stávající Správce konfigurace uživatelé často preferují další používání Správce konfigurace. V průvodci nasazením instalace najdete několik dobrých informací.

    Další informace najdete v tématu o úlohách spolusou správy.

Úkol 3: Určení nákladů a licencování

Správa zařízení je vztah s různými službami. Intune obsahuje nastavení a funkce, které můžete ovládat na různých zařízeních. Klíčovou roli hrají také další služby:

  • Azure Active Directory (AD) Premium obsahuje několik funkcí, které jsou pro správu zařízení klíčové, mezi které patří:

    • Windows Autopilot:Windows 10 se zařízení mohou automaticky zaregistrovat do Intune a automaticky přijímat vaše zásady.
    • Vícefaktorové ověřování (MFA): Uživatelé musí zadat dvě nebo více metod ověřování, jako je PIN kód, ověřovací aplikace, otisk prstu a další. MFA je skvělou volbou při použití zásad ochrany aplikací pro osobní zařízení nebo zařízení vlastněná organizací, která vyžadují dodatečné zabezpečení.
    • Podmíněnýpřístup: Pokud se uživatelé a zařízení budou řídit vašimi pravidly, jako je například 6ciferné heslo, uživatelům se přístup k prostředkům organizace. Pokud uživatelé nebo zařízení vaše pravidla nesplňuje, nezískají přístup.
    • Dynamické skupiny uživatelůa dynamické skupiny zařízení: Přidá uživatele nebo zařízení automaticky do skupin, když splní kritéria, jako je město, pracovní místo, typ operačního systému, verze operačního systému a další.
  • Office 365 zahrnuje aplikace, na které uživatelé spoléhají, včetně Outlook, Wordu, SharePoint, Teams, OneDrive a dalších. Tyto aplikace můžete nasadit do zařízení pomocí Intune.

  • Microsoft Defender pro koncové body pomáhá monitorovat a kontrolovat vaše zařízení Windows 10 pro škodlivou aktivitu. Můžete také nastavit přijatelnou úroveň hrozeb. V kombinaci s podmíněným přístupem můžete zablokovat přístup k prostředkům organizace, pokud dojde k překročení úrovně hrozby.

  • Azure Information Protection klasifikuje a chrání dokumenty a e-maily použitím popisků. v Officech aplikacích můžete tuto službu použít k tomu, abyste zabránili neoprávněnému přístupu k datům organizace, včetně aplikací na osobních zařízeních.

všechny tyto služby jsou součástí licence Microsoft 365 E5 . další informace najdete v tématu Microsoft 365 plány licencování.

Úkol: Určete, které služby a programy vaše organizace potřebuje a že se budou používat k zajištění produktivity a zabezpečení. Některé okolnosti:

  • Pokud je vaším cílem nasadit zásady (pravidla) a profily (nastavení) bez vynucení, potřebujete Intune. Intune je k dispozici v různých předplatných, včetně jako samostatné služby. další informace najdete v tématu Microsoft Intune licencování.

    V tuto chvíli používáte Configuration Manager a chcete pro svá zařízení nastavit spolusprávu. Intune už je součástí vaší licence Configuration Manager. Pokud chcete, aby byla nová zařízení nebo stávající spoluspravovaná zařízení plně spravovaná přes Intune, musíte mít samostatnou licenci Intune.

  • Chcete vynutilit pravidla dodržování předpisů nebo hesla, která vytvoříte v Intune. Minimálně potřebujete Intune a Azure AD Premium. intune a Azure AD Premium jsou k dispozici v Enterprise Mobility + Security.

    další informace najdete v tématu Enterprise Mobility + Security cenové možnosti.

  • chcete spravovat jenom Office 365 aplikace na zařízeních. Minimálně potřebujete Office 365. další informace najdete v tématu MDM pro Office 365 vs Microsoft Intune a nejčastější dotazy týkající se Správa mobilních zařízení pro Office 365.

  • chcete nasadit aplikace Office 365 do svých zařízení a vytvořit zásady, které vám pomůžou zabezpečit zařízení, která spouštějí tyto aplikace. Minimálně potřebujete Intune a Office 365.

  • chcete v intune vytvářet zásady, nasazovat Office 365 aplikace a vysazovat pravidla a nastavení. k dispozici potřebujete minimálně intune, Office 365 a Azure AD Premium. vzhledem k tomu, že jsou všechny tyto služby součástí Microsoft 365, může být cenově výhodnější použít licenci Microsoft 365.

    další informace najdete v tématu Microsoft 365 plány licencování.

Úloha 4: Kontrola existujících zásad a infrastruktury

Mnoho organizací má existující zásady a infrastrukturu správy zařízení, která je jenom udržovaná. Můžete mít například 20 let staré zásady skupiny a neznáte, co dělají. Při zvažování přesunu do cloudu místo toho, abyste se seznámili s tím, co jste provedli vždycky, určete cíl.

S těmito cíli je třeba vytvořit směrný plán svých zásad. Pokud máte více řešení pro správu zařízení, může být teď čas použít jedno řešení pro správu mobilních zařízení.

Úkol: Začněte s prohlížením úloh, které spouštíte místně, a můžete přejít do cloudu. Nezapomeňte místo toho, abyste se seznámili s tím, co jste provedli vždycky, určili cíl. Některé okolnosti:

  • Projděte si stávající zásady a jejich strukturu. Některé zásady se můžou použít globálně, některé se uplatní na úrovni webu a některé jsou specifické pro zařízení. Cílem je vědět a pochopit záměr globálních zásad, záměr místních zásad a tak dále.

    Zásady skupiny služby Active Directory se používají v LSDOU pořadí – místní, lokalita, doména a organizační jednotka (OU). V této hierarchii zásady organizační jednotky přepíšou zásady domény, zásady domény přepíšou zásady lokality atd.

    V Intune se zásady aplikují na uživatele a skupiny, které vytvoříte. Neexistuje hierarchie. Pokud dvě zásady aktualizují stejné nastavení, pak se toto nastavení zobrazí jako konflikt. Další informace najdete v tématu běžné otázky, problémy a řešení pro zásady a profily zařízení.

    Když přijde ze zásady skupiny služby Active Directory do Intune, globální zásady služby AD se logicky začnou používat pro skupiny, které používáte, nebo podle skupin, které potřebujete. Tyto skupiny budou zahrnovat uživatele a zařízení, na které chcete cílit, na globální úrovni, na úrovni webu atd. Tato úloha poskytuje představu o struktuře skupin, kterou budete potřebovat v Intune.

  • Připravte se na vytváření nových zásad a profilů v Intune. Intune obsahuje několik funkcí, které se týkají scénářů, které vás zajímají. Několik příkladů:

    • směrné plány zabezpečení: na zařízeních Windows 10 jsou standardní hodnoty zabezpečení nastavení zabezpečení, která jsou předem nakonfigurovaná na doporučené hodnoty. Pokud nepoužíváte nové zabezpečení zařízení nebo chcete vytvořit komplexní standardní hodnoty, Prohlédněte si základní hodnoty zabezpečení.
    • šablony pro správu: na zařízeních Windows 10 použijte šablony ADMX ke konfiguraci nastavení zásad skupiny pro Windows, Internet Explorer, Office a Microsoft Edge verze 77 a novější. Tyto šablony ADMX jsou stejné šablony ADMX používané v zásadách skupiny služby Active Directory, ale v Intune jsou 100% cloudu.
    • Zásady skupiny: pomocí analýzy zásad skupiny importujte a analyzujte objekty zásad skupiny. Tato funkce vám pomůže určit, jak se objekty zásad skupiny převádějí v cloudu. Výstup ukazuje, která nastavení jsou podporovaná pro poskytovatele MDM, včetně služby Microsoft Intune. Zobrazuje také všechna zastaralá nastavení nebo nastavení, která nejsou k dispozici pro poskytovatele MDM.
    • Scénáře s asistencí: scénáře s asistencí jsou přizpůsobené posloupnosti kroků, které se zaměřují na ucelené případy použití. Tyto scénáře automaticky zahrnují zásady, aplikace, přiřazení a další konfigurace správy.
  • Vytvořte směrný plán zásady, který bude obsahovat minimum vašich cílů. Například:

    • Zabezpečený e-mail: možná budete chtít:

      • povolte podmíněný přístup pro Exchange Online nebo se připojte k místnímu řešení e-mailu.
      • vytvořte Outlook zásady ochrany aplikací.
    • Nastavení zařízení: minimální možná budete chtít:

      • K odemknutí zařízení se vyžaduje šest znakového kódu.
      • Zabraňte zálohování osobním cloudovým službám, jako je iCloud nebo OneDrive.
    • Profily zařízení: minimální možná budete chtít:

      • Vytvořte profil sítě Wi-Fi s předkonfigurovanými nastaveními, která se připojují k síti Contoso Wi-Fi bezdrátové sítě.
      • Vytvořte profil sítě VPN s certifikátem, který se má automaticky ověřit, a připojte se k síti VPN organizace.
      • vytvořte e-mailový profil s předkonfigurovaným nastavením, které se připojí k Office 365 nebo e-mailové řešení Gmail.
    • Aplikace: minimálně můžete potřebovat:

      • nasaďte Office 365 se zásadami ochrany aplikací.
      • Nasaďte obchodní firmu (LOB) se zásadami ochrany aplikací.
  • Zkontrolujte aktuální strukturu svých skupin. V Intune můžete vytvářet a přiřazovat zásady skupinám uživatelů, skupinám zařízení a dynamickým skupinám uživatelů a zařízení (vyžaduje Azure AD Premium).

    když vytváříte skupiny v cloudu, třeba intune nebo Microsoft 365, vytvoří se ve službě Azure AD. Nevidíte branding služby Azure AD, ale to je to, co právě používáte.

  • Pokud máte více řešení pro správu zařízení, přepněte na jedno řešení pro správu mobilních zařízení. K ochraně dat organizace v aplikacích a na zařízeních doporučujeme použít Intune.

Úkol 5: vytvoření plánu zavedení

Dalším úkolem je naplánovat, jak a kdy uživatelé a zařízení obdrží vaše zásady. V této úloze Zvažte také:

  • Definujte své cíle a metriky úspěšnosti. Tyto datové body slouží k vytvoření dalších fází zavedení. Zajistěte, aby cíle vyhovovaly pravidlu SMART (Specific = konkrétní, Measurable = měřitelné, Attainable = dosažitelné, Realistic = reálné a Timely = včas). Naplánujte měření podle vašich cílů v jednotlivých fázích, aby váš projekt zavedení zůstal v chodu.
  • Mít jasně definované cíle a cíle. Tyto cíle zahrňte do všech osvět a školicích aktivit, aby uživatelé pochopili, proč vaše organizace zvolila Intune.

Úkol: vytvořte plán pro zavedení zásad a vyberte způsob, jakým uživatelé registrují svá zařízení v Intune. Některé okolnosti:

  • Zaveďte zásady ve fázích. Například:

    • Začněte s pilotní nebo testovací skupinou. Tyto skupiny by měly vědět, že jsou prvními uživateli a je ochotna poskytnout zpětnou vazbu. Pomocí této zpětné vazby můžete zlepšit konfiguraci, dokumentaci, oznámení a usnadnit uživatele v budoucím zavedení. Tito uživatelé by neměli být vedoucí ani virtuální IP adresy.

      Po počátečním testování přidejte do pilotní skupiny více uživatelů. Nebo vytvořte více pilotních skupin, které se zaměřují na jiné zavedení, například:

      • Oddělení: každé oddělení může být fáze zavedení. Zaměříte se vždy jen na jedno oddělení. V tomto zavedení můžou uživatelé v jednotlivých odděleních používat zařízení stejným způsobem a přistupovat ke stejným aplikacím. Uživatelé nejspíš mají stejné typy zásad.

      • Geografie: nasaďte zásady pro všechny uživatele v konkrétní zeměpisné oblasti, ať už se jedná o stejný kontinent, zemi nebo oblast nebo stejné budování organizace. Tato zavedení vám umožní soustředit se na konkrétní umístění uživatelů. můžete poskytnout Windows autopilot pro předem zřízený přístup k nasazení, protože počet umístění nasazování intune současně je menší. Existují různé oddělení nebo různé případy použití ve stejném umístění. Takže můžete testovat různé případy použití současně.

      • Platforma: Tato implementace nasadí podobné platformy ve stejnou dobu. nasaďte například zásady pro všechna zařízení se systémem iOS/iPadOS v únoru, všechna zařízení s androidem v březnu a všechna Windows zařízení v dubnu. Tento přístup může zjednodušit podporu helpdesku, protože podporuje jenom jednu platformu současně.

      Pomocí dvoufázové metody můžete získat zpětnou vazbu z široké škály uživatelských typů.

    • Po úspěšném pilotním projektu jste připraveni začít s plným zprovozněním provozu. V následujícím příkladu je plán zavedení Intune, který obsahuje cílové skupiny a časové osy:

    Zaváděcí fáze Červenci 8 Září Října
    Omezené pilotní nasazení IT (50 uživatelů)
    Rozšířené pilotní nasazení IT (200 uživatelů), vedení IT (10 uživatelů)
    1. fáze nasazení v ostrém provozu Prodej a marketing (2000 uživatelů)
    2. fáze nasazení v ostrém provozu Maloobchod (1000 uživatelů)
    3. fáze nasazení v ostrém provozu Personalistika (50 uživatelů), finance (40 uživatelů), vedení (30 uživatelů)

    Tato šablona je také k dispozici ke stažení v šablonách plánování nasazení, návrh a implementace v Intune.

  • Vyberte, jak budou uživatelé registrovat svá osobní zařízení a zařízení vlastněná organizací. Existují různé přístupy k registraci, které můžete použít, včetně:

    • Samoobslužná služba uživatele: uživatelé registrují svá vlastní zařízení podle kroků poskytovaných jejich organizací IT. Tento přístup je nejběžnější a je větší škálovatelnost než registrace s asistencí uživatele.
    • Registrace s asistencí uživatele: pomocí tohoto předzřízenéhoho přístupu k nasazení pomáhá IT členové prostřednictvím procesu registrace, osobně nebo pomocí Teams. Tento přístup je společný pro výkonné pracovníky a další skupiny, které můžou potřebovat další pomoc.
    • IT – IT oddělení: v tomto případě skupina IT nastaví svůj stánk o podpoře registrace v Intune. Uživatelé dostanou informace o registraci v Intune, klást otázky a můžou získat pomoc s registrací svých zařízení. Tato možnost je pro IT a uživatele užitečná, zejména v počátečních fázích zavedení Intune.

    Následující příklad obsahuje přístupy k registraci:

    Zaváděcí fáze Červenci 8 Září Října
    Omezené pilotní nasazení
    Samoobsluha IT
    Rozšířené pilotní nasazení
    Samoobsluha IT
    Předem zřízené Vedení IT
    1. fáze nasazení v ostrém provozu Prodej, marketing
    Samoobsluha Prodej a marketing
    2. fáze nasazení v ostrém provozu Retail
    Samoobsluha Retail
    3. fáze nasazení v ostrém provozu Vedoucí pracovníci, personální oddělení, finance
    Samoobsluha Personalistika, finance
    Předem zřízené Vedení

Úloha 6: komunikace se změnami

Správa změn se spoléhá na jasnou a užitečnou komunikaci o nadcházejících změnách. Výsledkem je bezproblémové nasazení Intune, zajistěte, aby uživatelé měli informace o změnách a případné přerušení.

Úkol: váš plán komunikace zavedení by měl obsahovat důležité informace, upozornění uživatelů a informace o tom, kdy komunikovat. Některé okolnosti:

  • Určete, jaké informace se mají komunikovat. Nahlaste se ve fázích skupinám a uživatelům, počínaje úvodní zavedení Intune, před zápisem a potom po registraci:

    • Úvodní fáze: rozsáhlá komunikace, která zavádí projekt Intune. Měla by zodpovědět klíčové otázky, jako jsou:

      • Co je Intune?
      • Proč organizace používá Intune, včetně výhod organizace a uživatelů
      • Poskytněte plán nasazení a zavedení na nejvyšší úrovni.
      • Pokud se osobní zařízení nepovolí, Pokud se zařízení nezaregistrují, vysvětlete, proč jste toto rozhodnutí udělali.
    • fáze před registrací: široká komunikace zahrnující informace o intune a dalších službách (například Office, Outlook a OneDrive), prostředky uživatele a konkrétní časové osy, když uživatelé a skupiny budou dostávat intune.

    • Fáze registrace: komunikace cílící na uživatele organizace a skupiny, u kterých je naplánovaná příjem Intune. Měl by informovat uživatele o tom, že jsou připravení přijmout Intune, zahrnovat kroky registrace a koho se obrátit na nápovědu a otázky.

    • Fáze po registraci: Komunikace zaměřená na uživatele a skupiny organizace zaregistrované v Intune. Měl by poskytovat další zdroje informací, které můžou být užitečné pro uživatele, a shromažďovat zpětnou vazbu o jejich zkušenostech během registrace a po ní.

    Může být užitečná sada Intune Adoption Kit. Používejte ji tak, jak jsou, nebo ji pro svou organizaci změňte.

  • Zvolte, jak chcete cílovým skupinám a uživatelům sdělit informace o nasazení Intune. Například:

    • Vytvořte schůzku pro celou organizaci osobně nebo použijte Microsoft Teams.

    • Vytvořte e-mail pro předběžnou registraci, e-mail pro registraci a e-mail pro po registraci. Například:

      • E-mail č. 1: Vysvětlení výhod, očekávání a plánu Využijte tuto příležitost a předvést všechny ostatní služby, ke kterým má udělený přístup na zařízeních spravovaných službou Intune.
      • E-mail č. 2: Oznamte, že služby jsou teď připravené pro přístup přes Intune. Řekněte uživatelům, aby se zaregistrovali. Udejte uživatelům časovou osu, než bude ovlivněn jejich přístup. Připomeňte jim výhody a strategické důvody migrace.
    • Použijte web organizace, který vysvětluje fáze postupného zhotování, co uživatelé můžou očekávat a na koho se obrátit s nápovědou.

    • Vytvářejte plakáty, používejte platformy sociálních médií organizace (například Yammer) nebo rozesíláte letáky k oznámení fáze před registrací.

  • Vytvořte časovou osu, která zahrnuje kdy a kdo. První komunikace o začátku Intune může cílit na celou organizaci nebo jenom na podmnožinu. Mohou provádět několik týdnů před zahájením nasazení Intune. Potom by se informace mohly uživatelům a skupinám ve fázích sdělovat v souladu s plánem nasazení Intune.

    Následující příklad je plán komunikace při nasazení Intune na nejvyšší úrovni:

    Plán komunikace Červenec Srpna Září Říjnu
    Fáze 1 Vše
    Úvodní schůzka První týden
    Fáze 2 IT Prodej a marketing Retail Personalistika, finance a vedení
    E-mail před registrací 1 První týden První týden První týden První týden
    Fáze 3 IT Prodej a marketing Retail Personalistika, finance a vedení
    E-mail před registrací 2 Druhý týden Druhý týden Druhý týden Druhý týden
    Fáze 4 IT Prodej a marketing Retail Personalistika, finance a vedení
    Registrační e-mail 3. týden 3. týden 3. týden 3. týden
    Fáze 5 IT Prodej a marketing Retail Personalistika, finance a vedení
    E-mail po registraci Čtvrtý týden Čtvrtý týden Čtvrtý týden Čtvrtý týden

Úkol 7: Podpora help desky a koncoví uživatelé

V počátečních fázích plánování nasazení Intune a pilotního nasazení zahr čtete svou podporu a helpdesk IT. Včasné zapojení pracovníků podpory zpřístupní Intune a získá znalosti a zkušenosti při efektivní identifikaci a řešení problémů. Také je připraví na podporu celého produkčního prostředí organizace. Znalostní help desky a týmy podpory také pomáhají uživatelům přijmout tyto změny.

Úkol: Začlenění školení podpory. Doplnit plán nasazení o ověření zkušeností koncových uživatelů prostřednictvím měřítek úspěšnosti. Důležité informace:

  • Určete, kdo bude podporovat koncové uživatele. Organizace mohou mít různé úrovně nebo úrovně (1–3). Například vrstvy 1 a 2 mohou být součástí týmu podpory. Vrstva 3 zahrnuje členy týmu pro správu mobilních zařízení (MDM), který zodpovídá za nasazení Intune.

    Vrstva 1 je obvykle první úrovní podpory a první úrovní, která se má kontaktovat. Pokud první vrstva problém nevyřeší, předá je do vrstvy 2. Vrstva 2 ji eskaluje do vrstvy 3. Podpora Microsoftu může být považována za vrstvu 4.

    • V počátečních fázích uvedení se ujistěte, že všechny úrovně ve vašem týmu podpory dokumentuje problémy a jejich řešení. Hledejte vzory a upravte komunikaci pro další fázi nasazování. Například:
      • Pokud o registraci svých osobních zařízení váhají různé uživatele nebo skupiny, Teams odpovědi na běžné otázky.
      • Pokud mají uživatelé stejné problémy s registraci zařízení vlastněných organizací, hostte událost osobně, která uživatelům pomůže tato zařízení zaregistrovat.
  • Vytvořte pracovní postup help desky a neustále komunikujte o problémech, trendech a dalších důležitých informacích o podpoře všem úrovním ve vašem týmu podpory. Můžete například každý den nebo každý týden Teams, aby všechny úrovně věděly o trendech, vzorech a mohli získat pomoc.

    Následující příklad ukazuje, jak contoso implementuje pracovní postupy podpory nebo helpdesku IT:

    1. Koncový uživatel kontaktuje první vrstvu podpory nebo helpdesku IT kvůli potížím s registrací.
    2. První vrstva podpory nebo helpdesku IT nemůže určit hlavní příčinu a eskaluje se do vrstvy 2.
    3. Prošetřuje se vrstva 2 podpory nebo helpdesku IT. Vrstva 2 nemůže problém vyřešit a eskaluje ho do vrstvy 3 a poskytuje další informace, které vám s tímto problémem pomůžou.
      1. vrstva podpory nebo helpdesku IT prozkoumá, určí hlavní příčinu a oznámí řešení vrstvě 2 a 1.
    4. První vrstva podpory/helpdesku IT pak kontaktuje uživatele a problém vyřeší.

    Tento přístup, zejména v raných fázích nasazení Intune, přináší řadu výhod, mezi které patří:

    • Pomoc při technologickém učení
    • Rychle identifikujte problémy a jejich řešení.
    • Vylepšete celkové uživatelské prostředí.
  • Trénování help desky a týmů podpory Nechat je zaregistrovat zařízení s různými platformami používanými ve vaší organizaci (Android, iOS/iPadOS, macOS, Windows), aby tento proces dobře znají. Zvažte použití help desky a týmů podpory jako pilotní skupiny pro vaše scénáře.

    K dispozici jsou školicí materiály, včetně videí na YouTube,kurzů Microsoftu k registraci,dodržování předpisů, konfiguracia kurzů prostřednictvím partnerů pro školení.

    V následujícím příkladu je školení podpory Intune:

    • Přehled plánu podpory Intune
    • Přehled Intune
    • Řešení běžných potíží
    • Nástroje a prostředky
    • Otázky a odpovědi

Skvělými zdroji informací jsoutaké dokumentace pro koncové uživatele, fórum Intunezaložené na komunitě a dokumentace pro koncové uživatele.

Další kroky

Vytvořte zásady aplikací a zařízení a zaregistrujte zařízení.

Podívejte se na sadu Intune Adoption Kit.