Magas szintű tervezési útmutató a natív felhőbeli végpontokra való áttéréshez
Tipp
A natív felhőbeli végpontok olvasásakor a következő kifejezések jelennek meg:
- Végpont: A végpont egy eszköz, például mobiltelefon, táblagép, laptop vagy asztali számítógép. A "végpontok" és az "eszközök" felcserélhetők.
- Felügyelt végpontok: Olyan végpontok, amelyek MDM-megoldással vagy Csoportházirend-objektumokkal fogadnak szabályzatokat a szervezettől. Ezek az eszközök általában szervezet tulajdonában vannak, de lehetnek BYOD- vagy személyes tulajdonú eszközök is.
- Natív felhőbeli végpontok: A Azure AD csatlakoztatott végpontok. Nincsenek csatlakoztatva a helyszíni AD-hez.
- Számítási feladat: Bármely program, szolgáltatás vagy folyamat.
Ez a magas szintű tervezési útmutató olyan ötleteket és javaslatokat tartalmaz, amelyeket figyelembe kell vennie a natív felhőbeli végpontokra való bevezetéshez és migráláshoz. Ismerteti az eszközök kezelését, a meglévő számítási feladatok & átvezetésének áttekintését, a szervezeti módosítások elvégzését, a Windows Autopilot használatát és egyebeket.
Ez a funkció az alábbiakra vonatkozik:
- Natív Windows-felhőbeli végpontok
A Windows-végpontok natív felhőbe való áthelyezése számos előnnyel jár, beleértve a hosszú távú előnyöket is. Ez nem egy éjszakai folyamat, és a problémák, a kimaradások és a felhasználók negatív hatásainak elkerülése érdekében kell megtervezni.
A szervezet és a felhasználók előnyeiről a Mi a natív felhőbeli végpontok? című témakörben talál további információt.
A sikeresség érdekében vegye figyelembe az ebben a cikkben ismertetett főbb területeket a tervezéshez és az üzembe helyezéshez. A megfelelő tervezéssel, kommunikációval és folyamatfrissítésekkel a szervezet natív felhőbeli lehet.
Eszközök kezelése natív felhőbeli MDM-szolgáltatóval
A végpontok, köztük a natív felhőbeli végpontok kezelése minden szervezet számára fontos feladat. A natív felhőbeli végpontok esetében a használt felügyeleti eszközöknek mindenhol kezelniük kell a végpontokat.
Ha jelenleg nem használ mobileszköz-kezelési (MDM-) megoldást, vagy microsoftos megoldásra szeretne váltani, akkor az alábbi cikkek jó forrásanyagok:
A Microsoft Intune termékcsaládban a következő végpontkezelési lehetőségek állnak rendelkezésre:
Microsoft Intune: a Intune 100%-ig felhőalapú, és a Intune Felügyeleti központot használja az eszközök kezelésére, az eszközökön lévő alkalmazások kezelésére, & szabályzatok létrehozására, jelentéskészítési adatok áttekintésére és egyebekre.
A végpontok Intune használatával kapcsolatos további információkért látogasson el a következő webhelyre:
Microsoft Configuration Manager: Configuration Manager helyszíni infrastruktúrát használ, és kezelheti a kiszolgálókat. A megosztott felügyelet használatakor egyes számítási feladatok Configuration Manager (helyszíni), más számítási feladatok pedig Microsoft Intune (felhő) használnak.
Natív felhőbeli végpontok esetén a Configuration Manager megoldásoknak felhőfelügyeleti átjárót (CMG) és közös felügyeletet kell használniuk.
A végpont és a felhasználói számítási feladatok áttekintése
Magas szinten a natív felhőbeli végpontok üzembe helyezéséhez modern identitáskezelési, szoftverterjesztési, eszközfelügyeleti, operációsrendszer-frissítéseki és felhasználói adatok & konfiguráció kezelésére vonatkozó stratégiákra van szükség. A Microsoft olyan megoldásokkal rendelkezik, amelyek támogatják ezeket a területeket a natív felhőbeli végpontokhoz.
Első lépésként tekintse át az egyes számítási feladatokat, és határozza meg, hogyan támogatja vagy támogatja a natív felhőbeli végpontokat. Egyes számítási feladatok már támogathatják a natív felhőbeli végpontokat. A natív támogatás az adott számítási feladattól, a szervezet számításifeladat-szolgáltatások implementálásától és a szolgáltatások felhasználói általi használatától függ.
Annak megállapításához, hogy a számítási feladatok támogatják-e a natív felhőbeli végpontokat, meg kell vizsgálnia és ellenőriznie kell ezeket a szolgáltatásokat.
Ha egy szolgáltatás vagy megoldás nem támogatja a natív felhőbeli végpontokat, határozza meg annak hatását és kritikusságát a felhasználókra és a szervezetre nézve. Ha rendelkezik ezekkel az információkkal, meghatározhatja a következő lépéseket, amelyek a következők lehetnek:
- A szolgáltatás szállítójának használata
- Frissítés új verzióra
- Új szolgáltatás használata
- Megkerülő megoldás megvalósítása a szolgáltatás natív felhőbeli végpontról való eléréséhez és használatához
- A szolgáltatáskövetelmények ellenőrzése
- Annak elfogadása, hogy a szolgáltatás nem natív felhőbarát, ami elfogadható lehet a felhasználók és a szervezet számára
Mindkét esetben érdemes frissíteni a számítási feladatokat a natív felhőbeli végpontok támogatásához.
A számítási feladatoknak a következő jellemzőkkel kell rendelkezniük:
- Biztonságosan elérheti az alkalmazásokat és az adatokat bárhonnan, ahol a felhasználók találhatók. A hozzáféréshez nincs szükség vállalati vagy belső hálózathoz való csatlakozásra.
- Felhőszolgáltatásban üzemeltetett, üzemeltetett vagy üzemeltetett.
- Nem igényel vagy függ egy adott eszköztől.
Gyakori számítási feladatok és megoldások
A natív felhőbeli végpontok a végpontokat támogató szolgáltatásokat és számítási feladatokat is tartalmazzák.
A következő számítási feladatok a konfiguráció, az eszközök, a folyamatok és a szolgáltatások, amelyek lehetővé teszik a felhasználók termelékenységét és a végpontkezelést.
A számítási feladatok pontos adatai, valamint a natív felhőbeli végpontok számítási feladatainak frissítése eltérő lehet. Emellett nem kell minden számítási feladatot áttűnnie. Figyelembe kell azonban vennie az egyes számítási feladatokat, azok hatását a felhasználók termelékenységére és az eszközfelügyeleti képességekre. Egyes számítási feladatok natív felhőbeli végpontok használatára konvertálása hosszabb időt vehet igénybe, mint mások. A számítási feladatok egymástól is függhetnek.
Eszközidentitás
Az eszköz identitását az identitásszolgáltatók (IdP) határozzák meg, amelyek ismerik az eszközt, és rendelkeznek az eszközzel kapcsolatos biztonsági megbízhatósággal. Windows-végpontok esetén a leggyakoribb identitásszolgáltató a helyi Active Directory (AD) és a Microsoft Entra ID. Az identitásszolgáltatói identitásokkal rendelkező végpontok általában egyhez vagy mindkettőhöz csatlakoznak.
- Natív felhőbeli végpontok esetén Microsoft Entra csatlakozás a legjobb választás az eszköz identitásához. Nincs szükség helyszíni hálózathoz, erőforráshoz vagy szolgáltatáshoz való csatlakozásra.
- A helyszíni AD-csatlakozáshoz és a hibrid Microsoft Entra csatlakozáshoz helyszíni tartományvezérlőhöz kell csatlakozni. A kezdeti felhasználói bejelentkezéshez, a csoportházirendek biztosításához és a jelszavak módosításához kapcsolatra van szükségük. Ezek a lehetőségek nem megfelelőek a natív felhőbeli végpontokhoz.
Megjegyzés:
Microsoft Entra regisztráció( más néven munkahelyi csatlakoztatás) csak saját eszköz (BYOD) használata esetén használható. Nem szabad a szervezet tulajdonában lévő Windows-végpontokhoz használni. Előfordulhat, hogy egyes funkciók nem támogatottak vagy nem a várt módon működnek Microsoft Entra regisztrált Windows-végpontokon.
Végpontok kiépítése
Az újonnan üzembe helyezett Microsoft Entra csatlakoztatott végpontok esetében a Windows Autopilot használatával konfigurálhatja előre az eszközöket. A Microsoft Entra csatlakoztatása általában felhasználóalapú feladat, és a Windows Autopilotot a felhasználók szem előtt tartásával tervezték. A Windows Autopilot lehetővé teszi a felhő használatával történő üzembe helyezést az internet bármely pontjáról és bármely felhasználótól.
További információt a következő témakörben talál:
Szoftverek és alkalmazások telepítése
A felhasználók többsége az alapvető operációs rendszerhez nem tartozó szoftvereket és alkalmazásokat igényel és használ. Sok esetben az informatikai szolgáltatás nem ismeri és nem is ismeri az alkalmazásra vonatkozó követelményeket. Ezeknek az alkalmazásoknak a kézbesítése és kezelése azonban továbbra is az informatikai csapat feladata. A felhasználóknak képesnek kell lenniük a munkájuk elvégzéséhez szükséges alkalmazások igénylésére és telepítésére, függetlenül attól, hogy milyen végpontot használnak, vagy honnan használják.
Szoftverek és alkalmazások üzembe helyezéséhez használjon felhőalapú rendszert, például Intune vagy Configuration Manager (CMG-vel és közös felügyelettel).
Létrehozás a végpontokhoz tartozó alkalmazások alapkonfigurációját, például a Microsoft Outlookot és a Teamst. Más alkalmazások esetében hagyja, hogy a felhasználók saját alkalmazásokat telepítsenek.
A végpontokon az Céges portál alkalmazást használhatja alkalmazásadattárként. Vagy használjon egy felhasználói portált, amely felsorolja a telepíthető alkalmazásokat. Ez az önkiszolgáló lehetőség csökkenti az új és meglévő eszközök üzembe helyezésének idejét. Emellett csökkenti az informatikai terheket, és nem kell olyan alkalmazásokat telepítenie, amelyekre a felhasználóknak nincs szükségük.
További információt a következő témakörben talál:
Eszközbeállítások konfigurálása szabályzatokkal
A szabályzat- és biztonsági felügyelet a végpontkezelés alapvető része. A végpontszabályzatok lehetővé teszik a szervezet számára egy adott biztonsági alapkonfiguráció és egy standard konfiguráció kikényszerítését a felügyelt végpontokon. Számos beállítást kezelhet és vezérelhet a végpontokon. HOZZon létre olyan szabályzatokat, amelyek csak az alapkonfigurációban szükséges elemeket konfigurálják. NE hozzon létre olyan szabályzatokat, amelyek a gyakori felhasználói beállításokat szabályozzák.
A hagyományos szabályzatkényszerítés csoportházirend használatával nem lehetséges a natív felhőbeli végpontokkal. Ehelyett a Intune használatával szabályzatokat hozhat létre számos beállítás konfigurálásához, beleértve a beépített szolgáltatásokat, például a beállítások katalógusát és a felügyeleti sablonokat.
Csoportházirend Intune elemzésével elemezheti a helyszíni csoportházirend-objektumokat, ellenőrizheti, hogy ezek a beállítások támogatottak-e a felhőben, és létrehozhat egy szabályzatot ezekkel a beállításokkal.
Ha olyan meglévő szabályzatokkal rendelkezik, amelyek tanúsítványokat bocsátanak ki, kezelik a BitLockert, és végpontvédelmet biztosítanak, akkor új szabályzatokat kell létrehoznia Intune vagy Configuration Manager (CMG-vel és közös felügyelettel).
További információt a következő témakörben talál:
Biztonsági, funkció- és alkalmazásfrissítések telepítése
Számos helyszíni megoldás nem tud frissítéseket telepíteni a natív felhőbeli végpontokra, és nem tudja hatékonyan üzembe helyezni őket. Biztonsági szempontból ez a számítási feladat lehet a legfontosabb. Ez lesz az első olyan számítási feladat, amelyet át kell váltania a natív felhőbeli Windows-végpontok támogatására.
Windows-frissítéseket helyezhet üzembe felhőalapú rendszerekkel, például a Windows Update Vállalati verzióval. A Intune vagy Configuration Manager (CMG-vel és közös felügyelettel) használatával a Windows Update Vállalati verziót használhatja biztonsági frissítések és funkciófrissítések telepítéséhez.
További információt a következő témakörben talál:
Telepítse a Microsoft 365 alkalmazásfrissítéseit az alábbi lehetőségekkel:
- Intune: Létrehozás olyan szabályzatot, amely beállítja a Frissítési csatornát, eltávolítja a többi alkalmazásverziót stb.
- Configuration Manager (CMG-vel és közös felügyelettel): Kezelheti az alkalmazásokat, beleértve a frissítési statisztikákat, a másolást, a kivonást és egyebeket.
További információt a következő témakörben talál:
Felhasználói adatok és beállítások kezelése
A felhasználói adatok a következő elemeket tartalmazzák:
- Felhasználói dokumentumok
- Levelezőalkalmazás konfigurálása
- Webböngésző kedvencei
- Üzletági (LOB) alkalmazásspecifikus adatok
- Üzletági (LOB) alkalmazásspecifikus konfigurációs beállítások
A felhasználóknak bármilyen végpontról létre kell hozniuk és el kell érniük az adataikat. Ezeket az adatokat is védeni kell, és előfordulhat, hogy más felhasználókkal is meg kell osztani őket.
Tárolja a felhasználói adatokat és beállításokat egy felhőtárhely-szolgáltatóban, például a Microsoft OneDrive-on. A felhőtárhely-szolgáltatók egyebek között kezelhetik az adatszinkronizálást, a megosztást, az offline hozzáférést, az ütközésfeloldásokat.
További információt a OneDrive nagyvállalatoknak szóló útmutatójában talál.
Fontos
Egyes felhasználói beállítások, például az operációs rendszer beállításai vagy az alkalmazásspecifikus beállítások a beállításjegyzékben vannak tárolva. Előfordulhat, hogy ezek a beállítások nem valósak, és nem szinkronizálhatók a különböző végpontokkal.
Lehetséges, hogy ezek a beállítások exportálhatók, majd importálhatók egy másik eszközre. Exportálhatja például a felhasználói beállításokat az Outlookból, Word és más Office-appokból.
Helyszíni erőforrások elérése
Egyes szervezetek nem tudnak egyes számítási feladatokat natív felhőbeli megoldásokra váltani. Az egyetlen lehetőség a meglévő helyszíni erőforrások vagy szolgáltatások elérése egy natív felhőbeli végpontról. Ezekben a forgatókönyvekben a felhasználóknak hozzáférésre van szükségük.
Ezekhez a helyszíni szolgáltatásokhoz, erőforrásokhoz és alkalmazásokhoz vegye figyelembe a következő feladatokat:
Hitelesítés és engedélyezés: A helyszíni erőforrások natív felhőbeli végpontokról való eléréséhez a felhasználóknak hitelesíteniük kell magukat, és ellenőrizniük kell, hogy kik ők. További információ: Hitelesítés és hozzáférés a helyszíni erőforrásokhoz natív felhőbeli végponttal.
Kapcsolat: Csak a helyszínen élő alkalmazásokat & erőforrásokat tekintheti át és értékelheti ki. Ezeknek az erőforrásoknak a kapcsolatnak és az erőforrásokhoz való hozzáférésnek elérhetőnek kell lennie a helyszínen kívül, közvetlen kapcsolat, például VPN nélkül. Ez a feladat magában foglalhatja az alkalmazások SaaS-verzióira való áttérést az Microsoft Entra alkalmazásproxy, az Azure Virtual Desktop, a Windows 365, a SharePoint, a OneDrive vagy a Microsoft Teams használatával.
Megjegyzés:
Microsoft Entra nem támogatja a Kerberos hitelesítési protokollt. A helyszíni AD támogatja a Kerberos hitelesítési protokollt. A tervezés során többet is megtudhat Microsoft Entra Kerberosról. Ha konfigurálva van, a felhasználók a Microsoft Entra-fiókjukkal jelentkeznek be egy natív felhőbeli végpontra, és hozzáférhetnek a Kerberos-hitelesítést használó helyszíni alkalmazásokhoz vagy szolgáltatásokhoz.
Microsoft Entra Kerberos:
- A natív felhőmegoldásokban nem használatos.
- Nem oldja meg a Microsoft Entra keresztül hitelesítést igénylő erőforrások csatlakozási problémáit.
- Nem ez a válasz vagy megkerülő megoldás a tartományhitelesítési követelményekre a Microsoft Entra keresztül.
- Nem oldja meg az Ismert problémák és fontos információk szakaszban felsorolt géphitelesítési problémákat.
A Kerberos Microsoft Entra és az általa kezelhető forgatókönyvek részletesebb megismeréséhez látogasson el az alábbi blogokra:
- Miért készítettük Microsoft Entra Kerberost (külső webhely megnyitása)
- Részletes útmutató: A Kerberos Microsoft Entra működése (egy másik Microsoft-webhely megnyitása)
- Hogyan működik Microsoft Entra Kerberos (syfuhs.net) (külső webhely megnyitása)
A számítási feladatok fázisokban történő átváltása
A számítási feladatok modernizálásához és a natív felhőbeli végpontok bevezetéséhez módosítani kell az üzemeltetési folyamatokat és eljárásokat. Például:
- A rendszergazdáknak tisztában kell lenni azzal, hogy a meglévő számítási feladatok módosítása hogyan módosíthatja a folyamataikat.
- Az ügyfélszolgálatnak tisztában kell lennie azokkal az új forgatókönyvekkel, amelyekben támogatni fogják őket.
A végpontok és számítási feladatok áttekintésekor bontsa szakaszokra az áttérést. Ez a szakasz áttekintést nyújt a szervezet által használható ajánlott fázisokról. Ezek a fázisok szükség szerint többször megismételhetők.
✅ 1. fázis: A számítási feladatok adatainak lekérése
Ez az információgyűjtési fázis. Segít meghatározni, hogy mit kell figyelembe vennie ahhoz, hogy szervezete natív felhőre váltson. Ez magában foglalja annak meghatározását, hogy pontosan milyen szolgáltatások, termékek és alkalmazások vesznek részt az egyes számítási feladatokban a környezetben.
Ebben a fázisban:
Leltározhatja a számítási feladatok aktuális adatait és adatait. Megismerhetik például aktuális állapotukat, azt, hogy mit biztosítanak, kiket szolgálnak ki, ki tartja karban őket, ha kritikus fontosságúak a natív felhőhöz, és hogyan üzemeltetik őket.
Ha rendelkezik ezokkal az információkkal, megértheti és meghatározhatja a célokat, amelyeknek a következőnek kell lenniük:
- Natív felhőbeli végpontok támogatása
- Az egyes számítási feladatok által használt szolgáltatások, termékek és alkalmazások megismerése
Egyeztetnie kell a különböző szolgáltatások, termékek és alkalmazások tulajdonosaival. Meg szeretne győződni arról, hogy a natív felhőbeli végpontok kapcsolati vagy helykorlátozások nélkül támogatják a felhasználók hatékonyságát.
A gyakori szolgáltatások és alkalmazások közé tartoznak például az üzletági (LOB) alkalmazások, a belső webhelyek, a fájlmegosztások, a hitelesítési követelmények, az alkalmazás- és operációsrendszer-frissítési mechanizmusok, valamint az alkalmazáskonfiguráció. Alapvetően bármit belefoglalnak, és mindent, amire a felhasználóknak szükségük van a munkájuk teljes elvégzéséhez.
Ellenőrizze az egyes számítási feladatok végponti állapotát. Azonosítsa azokat az ismert blokkolókat, amelyek megakadályozzák a végponthoz való csatlakozást, vagy megakadályozzák a natív felhőbeli végpontok támogatását.
Előfordulhat, hogy egyes számítási feladatok és szolgáltatásaik & alkalmazások már felhőbarátak vagy engedélyezve vannak. Néhányan nem. Az egyes számítási feladatok végponti állapotának eléréséhez céges befektetésre & erőfeszítésre lehet szükség. Ide tartozhat a szoftverek frissítése, az új platformra való "átemelés", az új megoldásra való migrálás vagy a konfiguráció módosítása.
Az egyes számítási feladatokhoz szükséges lépések az egyes szervezeteknél eltérőek. Ezek attól függenek, hogy a szolgáltatást vagy alkalmazást hogyan üzemeltetik és érik el a felhasználók. Ennek a végső állapotnak kezelnie kell azt az elsődleges kihívást, amely miatt a felhasználók elvégezhetik a munkájukat egy natív felhőbeli végponton, függetlenül a belső hálózat helyétől vagy kapcsolatától.
Az egyes meghatározott végállapotok alapján felfedezheti vagy definiálhatja, hogy egy szolgáltatás vagy alkalmazás felhőalapú engedélyezése nehéz vagy blokkolt. Ez a helyzet különböző okokból fordulhat elő, beleértve a technikai vagy pénzügyi korlátozásokat is. Ezeknek a korlátozásoknak egyértelműnek és érthetőnek kell lenniük. Át kell tekintenie a hatásukat, és meg kell határoznia, hogyan helyezheti át az egyes számítási feladatokat natív felhőbaráttá.
✅ 2. fázis: Az blokkolók rangsorolása
Miután azonosította a fő számítási feladatokat és azok végponti állapotblokkolóit, akkor:
Rangsorolja az egyes blokkolók prioritását, és értékelje ki az egyes blokkolók felbontását.
Előfordulhat, hogy nem szeretné vagy kell kezelnie az összes blokkolót. Előfordulhat például, hogy a szervezet olyan számítási feladatokkal vagy számítási feladatok egy részével rendelkezik, amelyek nem támogatják a natív felhőbeli végpontokat. A támogatás hiánya jelentős lehet a szervezet vagy a felhasználók számára. Ezt a döntést Ön és szervezete is meghozhatja.
A tesztelés és a megvalósíthatósági vizsgálat (POC) támogatásához kezdje a számítási feladatok minimális készletével. A cél a számítási feladatok mintájának tesztelése és ellenőrzése.
A POC részeként azonosítsa a felhasználók és eszközök egy csoportját egy próbaüzemben egy valós éles forgatókönyv futtatásához. Ez a lépés segít bizonyítani, hogy a végállapot lehetővé teszi-e a felhasználók hatékonyságát.
Számos szervezetben van egy olyan szerepkör vagy üzleti csoport, amely egyszerűbben migrálható. Például a következő forgatókönyveket célozhatja meg a POC-ben:
- Magas szintű mobil értékesítési csapat, amelynek elsődleges követelményei a hatékonyságnövelő eszközök és egy online ügyfélkapcsolat-kezelési megoldás
- Tudásmunkások, akik elsősorban a már a felhőben lévő tartalmakhoz férnek hozzá, és nagy mértékben támaszkodnak a Microsoft 365-alkalmazásokra
- Az előtérbeli munkavégző eszközök, amelyek nagy mértékben mobilak, vagy olyan környezetekben vannak, ahol nem férnek hozzá a szervezeti hálózathoz
Ezekben a csoportokban tekintse át a számítási feladatokat. Annak meghatározása, hogy ezek a számítási feladatok hogyan helyezhetők át a modern felügyeletre, beleértve az identitást, a szoftverterjesztést, az eszközkezelést és egyebeket.
A próbaüzem minden egyes területén alacsonynak kell lennie az elemek vagy feladatok számának. Ez a kezdeti próba segít létrehozni a további csoportokhoz szükséges folyamatokat és eljárásokat. A hosszú távú stratégia kialakításában is segít.
További útmutatásért és tippekért tekintse meg a Microsoft Intune tervezési útmutatót. A Intune vonatkozik, de útmutatást is tartalmaz a próbacsoportok használata és a bevezetési tervek létrehozása során.
✅ 3. fázis: A számítási feladatok átvezetése
Ebben a fázisban készen áll a módosítások implementálására.
Helyezze át a letiltatlan számítási feladatokat a tervezett natív felhőbeli megoldásokba vagy a végső állapotba. Ideális esetben ez a lépés kisebb munkaelemekre van bontva. A cél az üzleti műveletek folytatása minimális megszakítással.
Miután az első számítási feladatkészlet támogatja a natív felhőbeli végpontokat, azonosítsa a további számítási feladatokat, és folytassa a folyamatot.
✅ 4. fázis: A felhasználók előkészítése
A felhasználók különböző szolgáltatásokat kapnak, telepíthetnek és támogathatnak az eszközeiken. A rendszergazdáknak:
- Tekintse át a meglévő folyamatokat és dokumentációt, és állapítsa meg, hol láthatók a módosítások a felhasználók számára.
- Dokumentáció frissítése.
- Létrehozás egy oktatási stratégiát, amely a felhasználók által tapasztalt változásokat és előnyöket osztja meg.
A szervezet váltása fázisokban
A következő fázisok magas szintű megközelítést jelentenek a szervezetek számára a környezetük áthelyezéséhez a natív felhőbeli Windows-végpontok támogatása érdekében. Ezek a fázisok párhuzamosak a végpontok és a felhasználói számítási feladatok átvezetésével. Ezek attól függhetnek, hogy bizonyos számítási feladatok részben vagy teljesen át lesznek-e kapcsolva a natív felhőbeli Windows-végpontok támogatása érdekében.
✅ 1. fázis: Végpontok, függőségek és mérföldkövek meghatározása
Ez a fázis az első lépés, hogy a szervezet migrálása teljes mértékben felhőbeli natív legyen. Tekintse át a jelenlegi feltételeket, határozza meg a sikerességi feltételeket, és kezdje el megtervezni, hogyan lesznek hozzáadva az eszközök a Microsoft Entra.
A felhőbeli identitást igénylő végpontok meghatározása
- Az internet-hozzáférést használó végpontok felhőalapú identitást igényelnek. Ezeket a végpontokat a Microsoft Entra fogja hozzáadni.
- Az internetet nem használó vagy csak a helyszínen használt végpontoknak nem szabad felhőalapú identitással rendelkezniük. Ezeket a forgatókönyveket ne migrálja natív felhősre.
Függőségek meghatározása
A számítási feladatok, a felhasználók és az eszközök technikai és nem technikai függőségekkel rendelkeznek. Ha a felhasználókra és a szervezetre minimális hatással szeretne váltani, figyelembe kell vennie ezeket a függőségeket.
A függőség például a következő lehet:
- Üzleti folyamatok és folytonosság
- Biztonsági szabványok
- Helyi törvények és rendeletek
- A számítási feladat felhasználói ismerete és használata
- Tőke, működési költségek és költségvetés
Minden számítási feladathoz kérdezze meg a következőt: "Mi érintett, ha módosítunk valamit a számítási feladat által biztosított szolgáltatásokról?". Figyelembe kell vennie a változás hatásait.
Mérföldkövek és sikerességi feltételek meghatározása az egyes számítási feladatokhoz
Minden számítási feladat saját mérföldkövekkel és sikerfeltételekkel rendelkezik. Ezek alapulhatnak a számítási feladat szervezet általi használatára, valamint az adott végpontokra és felhasználókra való alkalmazhatóságára.
Az áttűnés előrehaladásának megértéséhez és meghatározásához kövesse és monitorozza ezeket az információkat.
A Windows Autopilot üzembe helyezésének megtervezése
- Határozza meg, hogy az eszközök hogyan és mikor lesznek regisztrálva a szervezetben.
- Határozza meg és hozza létre a Windows Autopilot-szabályzatok megcélzásához szükséges csoportcímkéket.
- Létrehozás a Windows Autopilot-profilt annak konfigurációs beállításaival, és célozza meg azokat az eszközöket, amelyek megkapják a profilt.
További információt a következő témakörben talál:
✅ 2. fázis: Végpontfelhő hibrid identitásának engedélyezése (nem kötelező)
A teljes felhőbeli natív használat érdekében a Microsoft azt javasolja, hogy a hardverfrissítési ciklus részeként állítsa alaphelyzetbe a meglévő Windows-végpontokat. Az alaphelyzetbe állításkor a végpont visszaáll a gyári beállításokra. Az eszközön található összes alkalmazás, beállítás és személyes adat törlődik.
Ha nem áll készen a végpontok alaphelyzetbe állítására, engedélyezheti a hibrid Microsoft Entra csatlakozást. A hibrid Microsoft Entra összekapcsolt végpontokhoz létrejön egy felhőalapú identitás. Ne feledje, hogy a hibrid Microsoft Entra csatlakoztatásához továbbra is helyszíni kapcsolat szükséges.
Ne feledje, hogy a hibrid Microsoft Entra illesztés egy átmeneti lépés a natív felhőbe, és nem ez a cél. A cél az, hogy minden meglévő végpont teljes mértékben natív felhőbeli legyen.
Ha a végpontok teljes mértékben natív felhőbeliek, a felhasználói adatokat egy felhőtárhely-szolgáltató, például a OneDrive tárolja. Így a végpont alaphelyzetbe állításakor a felhasználói alkalmazások, a konfiguráció és az adatok továbbra is elérhetők maradnak, és replikálhatók egy újonnan kiépített végpontra.
További információt a következő témakörben talál:
- Microsoft Entra csatlakoztatott és hibrid Microsoft Entra csatlakoztatottak
- Hibrid Microsoft Entra csatlakozás konfigurálása
Megjegyzés:
A Microsoft nem rendelkezik migrálási segédprogrammal a meglévő végpontok helyszíni tartományhoz vagy hibrid Microsoft Entra csatlakoztatottról Microsoft Entra csatlakoztatottra konvertálásához. A Microsoft azt javasolja, hogy ezeket az eszközöket a hardverfrissítés részeként állítsa alaphelyzetbe és telepítse újra.
✅3. fázis: Felhő csatolási Configuration Manager (nem kötelező)
Ha Configuration Manager használ, a felhő csatolja a környezetet a Microsoft Intune. Ha nem használja a Configuration Manager, hagyja ki ezt a lépést.
A felhőbeli csatolással távolról kezelheti az ügyfélvégpontokat, közösen kezelheti a végpontokat a Intune (felhő) és a Configuration Manager (helyszíni) használatával, és hozzáférhet a Intune Felügyeleti központhoz.
További információt a Felhőbeli Configuration Manager-környezet csatolása és a Microsoft Intune Felügyeleti központ útmutatójában talál.
✅4. fázis: Microsoft Entra csatolt koncepcióigazolás Létrehozás
Ez a kritikus fázis bármikor elkezdhető. Segít azonosítani a lehetséges problémákat, az ismeretlen problémákat, és ellenőrzi a problémák általános funkcióit és megoldásait. Mint minden poC esetében, a cél az, hogy a tesztkörnyezet helyett egy tényleges vállalati környezetben bizonyítsa és ellenőrizze a funkciókat.
A fázis fontos lépései a következők:
Minimális alapkonfiguráció implementálása Intune használatával
Ez a lépés fontos. Nem szeretne olyan végpontokat bevezetni a hálózatba vagy az éles környezetbe, amelyek:
- Ne kövesse a szervezet biztonsági szabványait
- Nincsenek konfigurálva a felhasználók a munkájuk elvégzésére.
Ez a minimális konfiguráció nem minden lehetséges konfigurációt alkalmaz. Ne feledje, hogy a cél további konfigurációk felderítése, amelyek a felhasználók sikeres végrehajtásához szükségesek.
A Windows Autopilot konfigurálása Microsoft Entra csatlakoztatott végpontokhoz
A Windows Autopilot használata új végpontok kiépítésére és a meglévő végpontok újbóli kiépítésére a leggyorsabb módja annak, hogy bemutassa Microsoft Entra csatlakoztatott rendszereket a szervezet számára. Ez a POC fontos része.
POC üzembe helyezése Microsoft Entra csatlakoztatott rendszerekhez
Használjon különböző konfigurációkat és felhasználókat képviselő végpontok kombinációját. Az új rendszerállapot lehető legnagyobb mértékű ellenőrzésére van szüksége.
A számítási feladatokat és azok funkcióit csak valós éles felhasználók valós éles környezetben használják. A POC-Microsoft Entra végpontok természetes, mindennapos használatával a felhasználók organikusan tesztelik és ellenőrzik a számítási feladatokat.
Létrehozás az üzletileg kritikus funkciók és forgatókönyvek ellenőrzőlistáit, és ezeket a listákat adja meg a POC-felhasználóknak. Az ellenőrzőlisták az egyes szervezetekre vonatkoznak, és a számítási feladatok natív felhőbarát számítási feladatokra való áttérésével változhatnak.
Funkciók ellenőrzése
Az ellenőrzés ismétlődő folyamat. Ez a számítási feladatokon és azok szervezeten belüli konfigurációján alapul.
Gyűjtsön felhasználói visszajelzéseket a POC-végpontokról, a számítási feladatokról és azok funkcióiról. Ez a visszajelzés a natív felhőbeli végpontokat használó felhasználóktól származhat.
Más, a számítási feladatokhoz/forgatókönyvekhez korábban ismeretlen vagy nem használt blokkolók is felderíthetők.
Használja az egyes számítási feladatokhoz korábban meghatározott mérföldköveket és sikerességi feltételeket. Segítenek meghatározni a POC előrehaladását és hatókörét.
✅5. fázis: a meglévő Windows-végpontok Microsoft Entra csatlakoztatása
Ez a fázis az új Windows-végpontok kiépítését Microsoft Entra csatlakoztatottra irányítja át. Az összes blokkoló és probléma megoldása után áthelyezheti a meglévő eszközöket, hogy teljes mértékben natív felhőbeliek legyenek. A következő lehetőségek közül választhat:
1. lehetőség: Cserélje le az eszközöket. Ha az eszközök életciklusuk végéhez érnek, vagy nem támogatják a modern biztonságot, akkor a csere a legjobb választás. A modern eszközök támogatják az új és továbbfejlesztett biztonsági funkciókat, beleértve a platformmegbízhatósági modul (TPM) technológiáját.
2. lehetőség: Állítsa alaphelyzetbe a Windows-eszközöket. Ha a meglévő eszközök támogatják az újabb biztonsági funkciókat, alaphelyzetbe állíthatja az eszközöket. A kezdőélmény (OOBE) során vagy amikor a felhasználók bejelentkeznek, csatlakoztathatják az eszközöket a Microsoft Entra.
Egy meglévő Windows-végpont alaphelyzetbe állítása előtt győződjön meg a következőről:
- Törölje az eszközt a Intune.
- Törölje a Windows Autopilot eszközregisztrációt.
- Törölje a meglévő Microsoft Entra eszközobjektumot.
Ezután állítsa alaphelyzetbe az eszközt, és állítsa vissza újra a végpontot.
Ha az eszközök készen állnak, csatlakozzon ezekhez az eszközökhöz, és Microsoft Entra a szervezete számára legmegfelelőbb lehetőséggel. További információt az Microsoft Entra csatlakoztatott eszközök és a How to: Plan your Microsoft Entra join implementáció című témakörben talál.
Áthelyezés Csoportházirend objektumokból (GPO-kból)
Számos szervezet használ csoportházirend-objektumokat a Windows-végpontok konfigurálásához és kezeléséhez.
Idővel bonyolulttá válik a dokumentáció hiánya, a szabályzat céljának vagy követelményeinek egyértelműsége, az örökölt vagy nem funkcionális szabályzatok használata, valamint az összetett funkciók használata miatt. Lehetnek például olyan szabályzatok, amelyek WMI-szűrőket tartalmaznak, összetett szervezetiegység-struktúrákkal rendelkeznek, és öröklődésblokkolást, visszacsatolást vagy biztonsági szűrést használnak.
Beállítások kezelése a Intune használatával
Microsoft Intune számos beépített beállítás van, amelyek konfigurálhatók és üzembe helyezhetők a natív felhőbeli végpontokon. A szabályzatkezelés Intune való áthelyezésekor van néhány lehetőség.
Ezek a lehetőségek nem feltétlenül zárják ki egymást. A szabályzatok egy részhalmazát migrálhatja, és újakat indíthat el mások számára.
1. lehetőség: Új indítása (ajánlott): Intune számos beállítással rendelkezik a végpontok konfigurálásához és kezeléséhez. Létrehozhat egy szabályzatot, hozzáadhat és konfigurálhat beállításokat a szabályzatban, majd üzembe helyezheti a szabályzatot.
Számos meglévő csoportházirend tartalmaz olyan szabályzatokat, amelyek nem feltétlenül vonatkoznak a natív felhőbeli végpontokra. Az újrakezdés lehetővé teszi a szervezet számára a meglévő kikényszerített szabályzatok érvényesítését és egyszerűsítését, miközben kiküszöböli az örökölt, elfelejtett vagy akár káros szabályzatokat is. Intune beépített sablonjai csoportosítják a gyakori beállításokat, például a VPN-t, a Wi-Fi-t, a végpontvédelmet és egyebeket.
2. lehetőség: Migrálás: Ez a lehetőség magában foglalja a meglévő szabályzatok feloldását és az Intune szabályzatmotorba való áthelyezését. Ez nehézkes és időigényes lehet. Előfordulhat például, hogy számos meglévő csoportszabályzattal rendelkezik, és a helyszíni és a felhőbeli beállítások között eltérések lesznek.
Ha ezt a lehetőséget választja, át kell tekintenie és elemeznie kell a meglévő csoportházirendeket, és meg kell állapítania, hogy továbbra is szükség van-e rájuk, vagy érvényesek-e a natív felhőbeli végpontokon. Meg szeretné szüntetni a szükségtelen szabályzatokat, beleértve azokat a szabályzatokat, amelyek többletterhelést okozhatnak, csökkenthetik a rendszer teljesítményét vagy a felhasználói élményt. Ne helyezze át a csoportházirendeket a Intune, amíg nem tudja, mit csinálnak.
Intune ismert funkciók
Intune beépített funkciókkal is rendelkezik, amelyekkel natív felhőbeli végpontokat konfigurálhat:
Csoportházirend elemzés: Importálhatja a csoportházirend-objektumokat a Microsoft Intune Felügyeleti központban, és elemzést futtathat a szabályzatokon. Megtekintheti a Intune meglévő szabályzatokat, és megtekintheti az elavult szabályzatokat.
Ha GPO-kat használ, akkor az eszköz használata értékes első lépés.
További információt a Intune Csoportházirend analitikában talál.
Beállításkatalógus: Tekintse meg az Intune elérhető összes beállítást, és hozzon létre, konfiguráljon, & telepítsen egy szabályzatot ezekkel a beállításokkal. A Intune beállításkatalógusával elvégezhető feladatok szintén jó erőforrásnak tűnhetnek. Ha csoportházirend-objektumokat hoz létre, akkor a beállításkatalógus természetes átmenet a natív felhőbeli végpontkonfigurációra.
A Csoportházirend-elemzésekkel kombinálva a helyszínen használt szabályzatokat üzembe helyezheti a natív felhőbeli végpontokon.
További információt a Intune Beállítások katalógusában talál.
Felügyeleti sablonok: Ezek a sablonok hasonlóak a helyszínen használt ADMX-sablonokhoz, és be vannak építve a Intune. Nem tölti le őket. Ezek a sablonok számos beállítást tartalmaznak, amelyek a Microsoft Edge, az Internet Explorer, a Microsoft Office-alkalmazások, a távoli asztal, a OneDrive, a jelszavak, a PIN-kódok és egyebek funkcióit szabályozzák.
Ha helyszíni felügyeleti sablonokat használ, akkor a Intune használata természetes áttűnés.
További információt a Felügyeleti sablonok a Intune-ben című témakörben talál.
A Win32 és Asztali híd alkalmazások meglévő ADMX-szabályzatkészletét is betöltheti. További információt a következő témakörben talál:
- Az ADMX-szabályzatok ismertetése – Windows-ügyfélkezelés
- ADMX-szabályzatok engedélyezése az MDM-ben – Windows-ügyfélkezelés
- Win32 és Asztali híd alkalmazás ADMX-szabályzatbetöltése – Windows-ügyfélkezelés
Megjegyzés:
Az 1703-as Windows 10-es verziótól kezdődően a Mobile Eszközkezelés (MDM) házirendkonfigurációs támogatása kibővült, és lehetővé tette a kiválasztott Csoportházirend felügyeleti sablonok (ADMX-szabályzatok) elérését a Windows rendszerű számítógépeken a Házirendkonfigurációs szolgáltató (CSP) használatával. Az ADMX-szabályzatok a Policy CSP-ben való konfigurálása eltér a hagyományos MDM-szabályzatok konfigurálásának szokásos módjától.
Biztonsági alapkonfigurációk: A biztonsági alapkonfiguráció előre konfigurált Windows-beállítások csoportja. Segítenek a biztonsági csapatok által javasolt részletes biztonsági beállítások alkalmazásában és betartatásában. Biztonsági alapkonfiguráció létrehozásakor testre is szabhatja az egyes alapterveket, hogy csak a kívánt beállításokat kényszerítse ki.
Biztonsági alapkonfigurációt hozhat létre a Windowshoz, a Microsoft Edge-hez és sok máshoz. Ha nem biztos abban, hogy hol kezdje, vagy ha a biztonsági szakértők által javasolt biztonsági beállításokat szeretné használni, tekintse meg a biztonsági alapkonfigurációkat.
További információ: Biztonsági alapkonfigurációk a Intune.
Új vagy meglévő Windows-végpontok kiépítése a Windows Autopilot használatával
Ha oemtől vagy partnertől vásárol végpontokat, akkor a Windows Autopilotot kell használnia.
Az előnyök közé tartoznak többek között a következők:
A Windows beépített beállítási folyamata: Márkás, irányított és egyszerűsített végfelhasználói élményt nyújt.
Végpontok közvetlen kiszállítása a végfelhasználóknak: A szállítók és az OEM-ek közvetlenül a felhasználókhoz szállíthatják a végpontokat. A felhasználók megkapják a végpontokat, bejelentkeznek a szervezeti fiókjukkal (
user@contoso.com
), és a Windows Autopilot automatikusan kiépíti a végpontot.Ez a funkció segít korlátozni a nagy tapintású belső informatikai folyamatokkal és szállítással járó többletterhelést és költségeket.
A legjobb eredmény érdekében előre regisztrálja a végpontokat az oem-ekkel vagy szállítókkal. Az előregisztrálás segít elkerülni az esetleges késéseket, amelyek a végpontok manuális regisztrálásakor fordulhatnak elő.
A felhasználók maguk is alaphelyzetbe állíthatják a meglévő végpontokat: Ha a felhasználók rendelkeznek meglévő Windows-végpontokkal, maguk is alaphelyzetbe állíthatják az eszközöket. Az alaphelyzetbe állításukkor a végpontok minimális alapkonfigurációra és felügyelt állapotra állnak vissza. Nem igényel magas költségű informatikai beavatkozást vagy fizikai hozzáférést a végponthoz.
Megjegyzés:
A Windows Autopilot használata nem ajánlott hibrid Microsoft Entra újonnan kiépített végpontokhoz való csatlakozáshoz. Működik, de vannak kihívások. Újonnan kiépített végpontokon a Windows Autopilot használatával Microsoft Entra csatlakozást (nem hibrid Microsoft Entra csatlakozást).
A szervezet számára megfelelő csatlakozási módszer meghatározásához lépjen a Microsoft Entra csatlakoztatott és a hibrid Microsoft Entra csatlakoztatottakhoz című témakörre.
A Windows Autopilotról az alábbiakban talál további információt:
- A Windows Autopilot áttekintése
- A Windows Autopilot forgatókönyvei és funkciói
- Windows Autopilot – gyakori kérdések
Kövesse a natív felhőbeli végpontokkal kapcsolatos útmutatót
- Áttekintés: Mik azok a natív felhőbeli végpontok?
- Oktatóanyag: Ismerkedés a natív felhőbeli Windows-végpontokkal
- Fogalom: Microsoft Entra csatlakoztatott és hibrid Microsoft Entra csatlakoztatott
- Koncepció: Natív felhőbeli végpontok és helyszíni erőforrások
- 🡺 Magas szintű tervezési útmutató (Ön itt van)
- Ismert problémák és fontos információk
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: