Ustawianie urzędu zarządzania urządzeniami przenośnymi

Ustawienie urzędu zarządzania urządzeniami przenośnymi (MDM) określa metodę zarządzania urządzeniami. Jako administrator IT musisz ustawić urząd MDM, aby użytkownicy mogli rejestrować urządzenia do zarządzania. Należy również mieć przypisaną licencję usługi Intune, aby ustawić urząd MDM.

Możliwe konfiguracje to:

• Autonomiczne usługi Intune — zarządzanie tylko w chmurze, które można skonfigurować przy użyciu Azure Portal. Zawiera pełny zestaw możliwości, które oferuje usługa Intune. Ustaw urząd MDM w centrum administracyjnym Microsoft Intune.

• Współzarządzanie usługą Intune — integracja rozwiązania w chmurze usługi Intune z Configuration Manager dla urządzeń Windows 10. Usługę Intune można skonfigurować przy użyciu konsoli Configuration Manager. Konfigurowanie automatycznej rejestracji urządzeń w usłudze Intune.

• Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365 — po aktywowaniu tej konfiguracji urząd MDM ma wartość "Office 365". Jeśli chcesz rozpocząć korzystanie z usługi Intune, musisz kupić licencje usługi Intune.

• Podstawowa Mobilność i Zabezpieczenia współistnienia platformy Microsoft 365 — możesz dodać usługę Intune do dzierżawy, jeśli już używasz Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365. Możesz ustawić urząd zarządzania na usługę Intune lub Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365 dla każdego użytkownika, aby określić, która usługa jest używana do zarządzania urządzeniami zarejestrowanymi w usłudze MDM. Urząd zarządzania każdego użytkownika jest definiowany na podstawie licencji przypisanej do użytkownika:

  • Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365 zarządza urządzeniami użytkowników, którzy mają licencję tylko na Microsoft 365 Basic lub Standard.
  • Usługa Intune zarządza urządzeniami użytkowników, którzy mają licencję uprawnianą do korzystania z niej.
  • Jeśli dodasz licencję uprawnianą do usługi Intune do użytkownika wcześniej zarządzanego przez Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365, jego urządzenia zostaną przełączone na zarządzanie usługą Intune. Aby uniknąć utraty Podstawowa Mobilność i Zabezpieczenia dla konfiguracji platformy Microsoft 365 na urządzeniach użytkowników, przed przełączeniem ich do usługi Intune należy przypisać konfiguracje usługi Intune do użytkowników.

Ustawianie urzędu MDM na usługę Intune

W przypadku dzierżawców korzystających z wersji usługi 1911 i nowszej urząd MDM jest automatycznie ustawiany na intune.

W przypadku dzierżawców korzystających z wersji usługi 1911 i nowszej, jeśli aktywowano Podstawowa Mobilność i Zabezpieczenia, wykonaj kroki opisane w tej sekcji.

Jeśli dzierżawy usługi sprzed wersji 1911 nie zostały jeszcze ustawione, wykonaj kroki opisane w tej sekcji.

1. W centrum administracyjnym Microsoft Intune wybierz pomarańczowy baner, aby otworzyć ustawienie Mobile Zarządzanie urządzeniami Authority. Pomarańczowy transparent jest wyświetlany tylko wtedy, gdy nie ustawiono jeszcze urzędu MDM.

2. W obszarze Mobile Zarządzanie urządzeniami Authority wybierz urząd MDM z następujących opcji:

   • Urząd MDM usługi Intune
   • Brak

   

Komunikat wskazuje, że urząd MDM został pomyślnie ustawiony na usługę Intune.

Przepływ pracy interfejsu użytkownika administracji usługi Intune

Po włączeniu zarządzania urządzeniami z systemem Android lub Apple usługa Intune wysyła informacje o urządzeniach i użytkownikach w celu integracji z tymi usługami innych firm w celu zarządzania odpowiednimi urządzeniami.

Scenariusze, które dodają zgodę na udostępnianie danych, są uwzględniane w następujących przypadkach:

• Możesz włączyć profile służbowe należące do użytkownika lub firmowego systemu Android Enterprise.
• Włączasz i przekazujesz certyfikaty wypychania MDM firmy Apple.
• Włączasz dowolną usługę firmy Apple, taką jak Device Enrollment Program, School Manager lub Volume Purchasing Program.

W każdym przypadku zgoda jest ściśle związana z uruchamianiem usługi zarządzania urządzeniami przenośnymi. Na przykład potwierdzenie, że Administracja IT zezwolił urządzeniom Google lub Apple na rejestrację. Dokumentacja dotycząca informacji udostępnianych po uruchomieniu nowych przepływów pracy jest dostępna w następujących lokalizacjach:

• Dane wysyłane przez usługę Intune do firmy Google
• Dane wysyłane przez usługę Intune do firmy Apple

Najważniejsze zagadnienia

Po przejściu do nowego urzędu MDM jest pewien czas przejścia (do ośmiu godzin), zanim urządzenie zaewidencjonuje usługę i zsynchronizuje je z usługą. Musisz skonfigurować ustawienia w nowym urzędzie MDM, aby upewnić się, że zarejestrowane urządzenia będą nadal zarządzane i chronione po zmianie.

• Urządzenia muszą łączyć się z usługą po zmianie, aby ustawienia nowego urzędu MDM (autonomicznego usługi Intune) zastąpiły istniejące ustawienia na urządzeniu.
• Po zmianie urzędu MDM niektóre podstawowe ustawienia (takie jak profile) z poprzedniego urzędu MDM pozostaną na urządzeniu przez maksymalnie siedem dni lub do momentu, gdy urządzenie połączy się z usługą po raz pierwszy. Należy jak najszybciej skonfigurować aplikacje i ustawienia (takie jak zasady, profile i aplikacje) w nowym urzędzie MDM i wdrożyć to ustawienie w grupach użytkowników zawierających użytkowników, którzy mają istniejące zarejestrowane urządzenia. Gdy tylko urządzenie nawiąże połączenie z usługą po zmianie urzędu MDM, otrzyma nowe ustawienia od nowego urzędu MDM i zapobiegnie lukom w zarządzaniu i ochronie.
• Urządzenia, które nie mają skojarzonych użytkowników (zazwyczaj w przypadku programu Device Enrollment Program dla systemu iOS/iPadOS lub scenariuszy rejestracji zbiorczej) nie są migrowane do nowego urzędu MDM. W przypadku tych urządzeń należy skontaktować się z pomocą techniczną w celu udzielenia pomocy w celu przeniesienia ich do nowego urzędu MDM.

Współistnienia

Włączając współistnienie, możesz użyć usługi Intune dla nowego zestawu użytkowników, kontynuując korzystanie z Podstawowa Mobilność i Zabezpieczenia dla istniejących użytkowników. Możesz kontrolować, które urządzenia są zarządzane przez usługę Intune za pośrednictwem użytkownika. Usługa Intune zarządza wszystkimi urządzeniami zarejestrowanymi przez użytkownika, jeśli użytkownik ma licencję usługi Intune lub korzysta ze współzarządzania usługą Intune z Configuration Manager. W przeciwnym razie użytkownik jest zarządzany przez Podstawowa Mobilność i Zabezpieczenia.

Istnieją trzy główne kroki umożliwiające współistnienie:

1. Przygotowanie
2. Dodawanie urzędu MDM usługi Intune
3. Migracja użytkowników i urządzeń (opcjonalnie).

Przygotowanie

Przed włączeniem współistnienia z Podstawowa Mobilność i Zabezpieczenia należy wziąć pod uwagę następujące kwestie:

• Upewnij się, że masz wystarczającą liczbę licencji usługi Intune dla użytkowników, których zamierzasz zarządzać za pośrednictwem usługi Intune.
• Sprawdź, którzy użytkownicy mają przypisane licencje usługi Intune. Po włączeniu współistnienia każdy użytkownik, któremu przypisano już licencję usługi Intune, przełączy swoje urządzenia do usługi Intune. Aby uniknąć nieoczekiwanych przełączników urządzeń, zalecamy nie przypisywanie żadnych licencji usługi Intune do momentu włączenia współistnienia.
• Tworzenie i wdrażanie zasad usługi Intune w celu zastąpienia zasad zabezpieczeń urządzeń, które zostały pierwotnie wdrożone za pośrednictwem portalu Office 365 Security & Compliance. Ta zamiana powinna zostać wykonana dla wszystkich użytkowników, którzy mają przejść z Podstawowa Mobilność i Zabezpieczenia do usługi Intune. Jeśli do tych użytkowników nie przypisano żadnych zasad usługi Intune, włączenie współistnienia może spowodować utratę Podstawowa Mobilność i Zabezpieczenia ustawień. Te ustawienia są tracone bez zamiany, na przykład zarządzane profile poczty e-mail. Nawet w przypadku zastąpienia zasad zabezpieczeń urządzeń zasadami usługi Intune użytkownicy mogą zostać poproszeni o ponowne uwierzytelnienie swoich profilów poczty e-mail po przeniesieniu urządzenia do zarządzania usługą Intune.
• Nie można anulować aprowizacji Podstawowa Mobilność i Zabezpieczenia po jej skonfigurowaniu. Istnieją jednak kroki, które można wykonać, aby wyłączyć zasady. Aby uzyskać więcej informacji, zobacz Wyłączanie Podstawowa Mobilność i Zabezpieczenia.

Dodawanie urzędu MDM usługi Intune

Aby włączyć współistnienie, należy dodać usługę Intune jako urząd MDM dla swojego środowiska:

1. Zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu praw administratora usługi Microsoft Entra Global lub Intune.

2. Przejdź do pozycji Urządzenia.

3. Zostanie wyświetlony blok Dodawanie urzędu MDM .

4. Aby przełączyć urząd MDM z Office 365 na usługę Intune i włączyć współistnienie, wybierz pozycjęDodajurząd> MDM usługi Intune.

   

Migrowanie użytkowników i urządzeń (opcjonalnie)

Po włączeniu urzędu MDM usługi Intune współistnienie jest aktywowane i można rozpocząć zarządzanie użytkownikami za pośrednictwem usługi Intune. Opcjonalnie można przenieść urządzenia, które wcześniej były zarządzane przez Podstawowa Mobilność i Zabezpieczenia, aby były zarządzane przez usługę Intune, przypisując tym użytkownikom licencję usługi Intune. Urządzenia użytkowników przełączą się do usługi Intune podczas następnego ewidencjonowania mdm. Ustawienia, które zostały zastosowane do tych urządzeń za pośrednictwem Podstawowa Mobilność i Zabezpieczenia, nie są już stosowane i są usuwane z urządzeń.

Oczyszczanie urządzenia przenośnego po wygaśnięciu certyfikatu MDM

Certyfikat MDM jest odnawiany automatycznie, gdy urządzenia przenośne komunikują się z usługą Intune. Jeśli urządzenia przenośne zostaną wyczyszczone lub przez pewien czas nie będą komunikować się z usługą Intune, certyfikat MDM nie zostanie odnowiony. Urządzenie zostanie usunięte z Azure Portal 180 dni po wygaśnięciu certyfikatu MDM.

Usuwanie urzędu MDM

Nie można zmienić urzędu MDM z powrotem na Nieznany. Urząd MDM jest używany przez usługę do określania, do których urządzeń zarejestrowanych w portalu są raportowane (Microsoft Intune lub Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365).

Czego można oczekiwać po zmianie urzędu MDM

• Gdy usługa Intune wykryje zmianę urzędu MDM dzierżawy, wysyła komunikat z powiadomieniem do wszystkich zarejestrowanych urządzeń. Komunikat powiadomienia monituje urządzenia o zaewidencjonowanie i synchronizację z usługą poza ich regularnym harmonogramem. W związku z tym wszystkie urządzenia włączone i online łączą się z usługą i otrzymują nowy urząd MDM. Nowy urząd zarządza urządzeniami i chroni je bez żadnych przerw. W związku z tym po zmianie urzędu MDM dla dzierżawy z autonomicznej usługi Intune urządzenia będą nadal działać normalnie w ramach nowego urzędu MDM.

• Urządzenia, które są włączane i w trybie online w trakcie lub wkrótce po zmianie urzędu MDM, występują z opóźnieniem. Opóźnienie może trwać do ośmiu godzin, w zależności od czasu następnego zaplanowanego regularnego zaewidencjonowania. W czasie opóźnienia urządzenia nie są zarejestrowane w usłudze w ramach nowego urzędu MDM. Po opóźnieniu urządzenia są w pełni zarejestrowane i działają w ramach nowego urzędu MDM.

  Ważna

  W okresie między zmianą urzędu MDM a przekazaniem odnowionego certyfikatu usługi APNs do nowego urzędu rejestracje nowych urządzeń i ewidencjonowanie urządzeń z systemem iOS/iPadOS kończy się niepowodzeniem. Dlatego ważne jest, aby przejrzeć i przekazać certyfikat USŁUGI APNs do nowego urzędu tak szybko, jak to możliwe po zmianie urzędu MDM.

• Użytkownicy mogą szybko przejść do nowego urzędu MDM, ręcznie uruchamiając ewidencjonowanie z urządzenia do usługi. Użytkownicy mogą łatwo wprowadzić tę zmianę za pomocą aplikacji Portal firmy i rozpocząć sprawdzanie zgodności urządzeń.

• Aby sprawdzić, czy wszystko działa poprawnie po zaewidencjonowaniu urządzeń i zsynchronizowaniu ich z usługą po zmianie urzędu MDM, poszukaj urządzeń w nowym urzędzie MDM.

• Istnieje okres przejściowy, gdy urządzenie jest w trybie offline podczas zmiany urzędu MDM i gdy urządzenie jest zaewidencjonowywane w usłudze. W okresie przejściowym ważne jest, aby chronić i utrzymywać funkcjonalność urządzenia. Aby chronić i obsługiwać funkcjonalność urządzenia, następujące profile pozostają na urządzeniu. Te profile pozostają na urządzeniu do siedmiu dni lub do momentu, gdy urządzenie połączy się z nowym urzędem MDM. Gdy urządzenie nawiąże połączenie i otrzyma nowe ustawienia, istniejące profile zostaną zastąpione:

  • Profil poczty e-mail
  • Profil sieci VPN
  • Profil certyfikatu
  • profil Wi-Fi
  • Profile konfiguracji

• Po zmianie na nowy urząd MDM dokładne raportowanie danych zgodności w centrum administracyjnym Microsoft Intune może potrwać do tygodnia. Jednak stany zgodności w Microsoft Entra identyfikatorze i na urządzeniu są dokładne, więc urządzenie jest nadal chronione.

• Upewnij się, że nowe ustawienia przeznaczone do zastępowania istniejących ustawień mają taką samą nazwę jak poprzednie, aby zapewnić zastąpienie starych ustawień. W przeciwnym razie urządzenia mogą mieć nadmiarowe profile i zasady.

  Porada

  Najlepszym rozwiązaniem jest utworzenie wszystkich ustawień zarządzania i konfiguracji, a także wdrożeń wkrótce po zakończeniu zmiany urzędu MDM. Dzięki temu urządzenia są chronione i aktywnie zarządzane w okresie przejściowym.

• Po zmianie urzędu MDM wykonaj następujące kroki, aby sprawdzić, czy nowe urządzenia zostały pomyślnie zarejestrowane w nowym urzędzie:

  • Rejestrowanie nowego urządzenia
  • Upewnij się, że nowo zarejestrowane urządzenie jest wyświetlane w nowym urzędzie MDM.
  • Wykonaj akcję, taką jak zdalne blokowanie, z centrum administracyjnego Microsoft Intune do urządzenia. Jeśli to się powiedzie, nowy urząd MDM zarządza urządzeniem.

• Jeśli masz problemy z określonymi urządzeniami, możesz wyrejestrować i ponownie zarejestrować urządzenia, aby połączyć je z nowym urzędem i zarządzać nimi tak szybko, jak to możliwe.

Potwierdzanie urzędu MDM dzierżawy

Aby potwierdzić, że urząd MDM jest ustawiony na usługę Intune, wykonaj następujące kroki:

1. W centrum administracyjnym Microsoft Intune wybierz pozycję Stan dzierżawy administracji> dzierżawy.
2. Na karcie Szczegóły dzierżawy znajdź urząd MDM.

Następne kroki

Po ustawieniu urzędu MDM możesz rozpocząć rejestrowanie urządzeń.