Развертывание Windows10 в учебном заведении

Применимо к:

  • Windows10

В настоящем руководстве описано развертывание операционной системы Windows 10 в среде учебного заведения. Информация по развертыванию Windows 10 в аудиториях, по интеграции Microsoft Office 365, доменных служб Active Directory (AD DS) и Microsoft Azure Active Directory (Azure AD) в среде учебного заведения, а также по развертыванию Windows 10 и приложений на новых устройствах или обновлению имеющихся устройств до Windows 10. В настоящем руководстве также описано использование Microsoft Intune и групповой политики для управления устройствами. Кроме того в руководстве рассматриваются задачи общего и регулярно обслуживания, выполняемого после первоначального развертывания, а также автоматизированные средства и встроенные функции операционной системы.

Подготовка к развертыванию в учебном заведении

Основой успешного развертывания в учебном заведении является надлежащая подготовка. Во избежание распространенных ошибок, в первую очередь составляется план стандартной конфигурации учебного заведения. Подобно строительству дома, для понимания окончательного облика учебного заведения нужен план. Вторым этапом подготовки является определение конфигурации учебного заведения. Для возведения дома строителям нужны правильные инструменты, а для развертывания системы в учебном заведении вам потребуется правильный набор средств.

Планирование стандартной конфигурации учебного заведения

При подготовке к развёртыванию системы в учебном заведении необходимо спланировать конфигурацию, - об этом рассказывается далее в руководстве. На рисунке 1 показана окончательная стандартная конфигурация учебного заведения, используемая в качестве модели (или, по аналогии со строительством, плана) итоговой архитектуры.

рис. 1

Рисунок 1. Стандартная конфигурация учебного заведения по данному руководству

На рисунке 2 показана конфигурация аудитории, используемая в данном руководстве.

рис. 2

Рисунок 2. Стандартная конфигурация аудитории в учебном заведении

Такая конфигурация для учебного заведения обладает следующими характеристиками:

  • Предусматривается одно или несколько устройств администратора.
  • Предусматривается две аудитории или более.
  • В каждой аудитории содержится одно устройство преподавателя.
  • Взаимное подключение аудиторий обеспечивается посредством нескольких подсетей.
  • В каждой аудитории все устройства подключаются к единой подсети.
  • Все устройства обладают высокоскоростным постоянным подключением друг с другом и к Интернету.
  • Доступ к магазину Windows или магазину Windows для бизнеса предоставляется всем преподавателям и учащимся.
  • Все устройства получают обновления программного обеспечения от Intune (или другой системы управления устройствами).
  • Установка 64-разрядной версии Windows 10 на устройстве администратора.
  • Установка комплекта средств для развертывания и оценки Windows (Windows ADK) на устройстве администратора.
  • Установка комплекта средств для развертывания и оценки Windows (Windows ADK) на устройстве администратора.
  • Установка 64-разрядной версии комплекта средств для развертывания Майкрософт (MDT) 2013 обновление 2 на устройстве администратора.

    Примечание  Все упоминания MDT в настоящем руководстве относятся к 64-разрядной версии MDT 2013 с обновлением 2.

  • Управление удостоверениями выполняется устройствами с помощью Azure AD в Office 365 для образования.
  • При наличии локальных служб AD DS можно интегрировать Azure AD с локальными AD DS.
  • Для управления устройствами используется Intune, параметры соответствия в Office 365 или групповая политика в AD DS.
  • Каждое устройство поддерживает сценарий "устройство для одного учащегося" или "устройство для нескольких учащихся".
  • Допускается совмещение устройств различных производителей, моделей и архитектуры процессора (32-разрядная или 64-разрядная), а также идентичных.
  • Для начала развертывания Windows 10 используйте флэш-накопитель USB, DVD-ROM или CD-ROM, либо выполните загрузку в среде удаленной загрузки (PXE Boot).
  • Допускается использование различных версий Windows 10, например, Windows 10 Домашняя, Windows 10 Pro и Windows 10 для образовательных учреждений.

Office 365 для образования обеспечивает возможность:

  • Учащимся и преподавательскому составу создавать и редактировать документы Microsoft Word, OneNote, PowerPoint и Excel в браузере, используя Microsoft Office Online.
  • Преподавателям использовать приложение записной книжки аудитории OneNote для предоставления общего доступ к содержимому и выполнения совместной работы с учащимися.
  • Преподавательскому составу использовать служебные записные книжки OneNote для совместной работы с другими преподавателями, администрацией и преподавательским составом.
  • Преподавателям использовать Sway для создания интерактивных образовательных цифровых лекций.
  • Учащимся и преподавательскому составу пользоваться электронной почтой и календарями с почтовыми ящиками до 50 ГБ для каждого пользователя.
  • Преподавательскому составу использовать расширенные функции электронной почты, например, возможность архивирования электронных писем или хранения юридической информации.
  • Преподавательскому составу предотвращать доступ к документам и электронной почте для незарегистрированных пользователей посредством управления правами Azure.
  • Преподавательскому составу использовать инструменты Advanced compliance на объединенных страницах eDiscovery в Центре Office 365 Compliance.
  • Преподавательскому составу проводить занятия, родительские собрания и прочие совместные мероприятия в Skype for Business или Skype.
  • Учащимся и преподавательскому составу получить доступ к персональному облачному хранилищу данных до 1 ТБ с общим доступом для пользователей в образовательном учреждении или за его пределами через OneDrive для бизнеса.
  • Преподавателям проводить совместные мероприятия в аудитории через групповые сайты Microsoft SharePoint Online.
  • Учащимся и преподавателям использовать Office 365 Video для управления видео записями.
  • Учащимся и преподавателям использовать Yammer для взаимодействия в частной социальной сети.
  • Учащимся и преподавателям доступ к ресурсам аудитории на любом устройстве (включая устройства Windows 10 Mobile, iOS и Android), вне зависимости от местоположения.

Дополнительные сведения о функциях Office 365 для образования и часто задаваемые вопросы содержатся в Office 365 для образовательных учреждений.

Конфигурация учебного заведения

После составление плана (схемы) аудитории можно приступать к изучению средств, необходимых для развертывания. Существует множество средств для выполнения этой задачи, однако в данном руководстве рассматриваются только средства, являющиеся наименее требовательными к инфраструктуре и техническим знаниям.

Основным средством, используемым для развертывания Windows 10 в учебном заведении, является MDT, позволяющее упростить развертывание с помощью компонентов Windows ADK. Для выполнения развертывания достаточно использовать Windows ADK, но MDT упрощает процесс, предоставляя интуитивно понятный пользовательский интерфейс (UI), управляемый с помощью мастера.

MDT можно использовать как независимое средство или интегрировать с диспетчером конфигурации системного центра Майкрософт. При независимом использовании MDT позволяет выполнять установку с ограниченным участием пользователя (LTI), – такое развертывание требует минимальной инфраструктуры и обеспечивает управление уровнем автоматизации. После интеграции с диспетчером конфигурации системного центра, MDT выполняет развертывание без участия пользователя (ZTI), для которых требуется дополнительная инфраструктура (например, диспетчер конфигурации системного центра), но развертывание выполняется полностью автоматически.

MDT включает рабочую среду развертывания – консоль, в которой выполняется развертывание Windows 10 и приложений. Конфигурация процесса развертывания выполняется в рабочей среде развертывания и включает управление операционными системами, приводами устройства, приложениями и миграцию пользовательских настроек на существующих изделиях.

LTI выполняет развертывание из общей папки развертывания– общей сетевой папки на устройстве, находящейся в директории установки MDT. Можно выполнить развертывание по сети из общей папки развертывания или из локальной копии общей папки развертывания на USB-накопителе или DVD-диске. Дополнительные сведения по MDT содержатся в разделе Подготовка устройства администратора.

Основная задача MDT состоит в развертывании, поэтому также требуются средства управления изделиями и приложениями Windows 10. Управление устройствами и приложениями Windows 10 может осуществляться с помощью Intune, функции управления соответствием Office 365 или групповой политики в доменных службах Active Directory. Можно использовать любую комбинацию этих средств в зависимости от потребностей школы.

Для процесса конфигурации требуются следующие устройства:

  • Устройство администратора. Это устройство, используемое для выполнения повседневных обязанностей. Оно также используется для создания и управления Windows 10, а также процесса разработки приложений. На данном устройстве устанавливается Windows ADK и MDT.
  • Устройства преподавателей. Предусмотрен ряд устройств, используемых преподавательским составом для выполнения повседневных обязанностей. Развертывание (или обновление) Windows 10 и приложений для данных устройств выполняется с помощью устройства администратора.
  • Устройства учащихся. Эти устройства будут использоваться учащимися. Развертывание (или обновление) Windows 10 и приложений на данных устройствах выполняется с помощью устройства администратора.

Высокоуровневый процесс развертывания и конфигурации устройств в учебном заведении и в отдельных аудиториях проиллюстрирован на рисунке 3:

  1. Подготовка к использованию устройства администратора предусматривает установку Windows ADK и MDT.
  2. На устройстве администратора следует создать и конфигурировать подписку Office 365 для образования, используемую для каждой аудитории в учебном заведении.
  3. На устройстве администратора конфигурируется интеграция между локальными AD DS и Azure AD (при наличии конфигурации локальных AD DS).
  4. На устройстве администратора создается и конфигурируется портал магазина Windows для бизнеса.
  5. На устройстве администратора выполняется подготовка к управлению устройствами Windows 10 после развертывания.
  6. На новых или существующих устройствах учащихся и преподавательского состава выполняется развертывание Windows 10 или обновление до Windows 10 для подходящих устройств.
  7. На устройстве администратора производится управление устройствами и приложениями Windows 10, подпиской Office 365, а также интеграцией AD DS и Azure AD.

рис. 3

Рисунок 3. Конфигурация учебного заведения в действии

Все этапы, проиллюстрированные на рисунке 3, соответствуют следующим высокоуровневым разделам настоящего руководства.

Краткий обзор

В этом разделе рассматривается окончательная конфигурация учебного заведения и отдельных аудиторий после завершения настоящего руководства. Здесь также описаны высокоуровневые этапы, составляющие процедуру развертывания для устройств преподавательского состава и учащихся в учебном заведении.

Подготовка устройства администратора

Далее следует подготовка устройства администратора к использованию в учебном заведении. Этот процесс включает установку Windows ADK, установку MDT и для создание папки развертывания MDT с общим доступом.

Установка Windows ADK

Сначала выполняется подготовка устройства администратора к установке Windows ADK. Windows ADK содержит средства развертывания, которые использует MDT, включая среду предустановки Windows (Windows PE), средство миграции пользовательской среды Windows (USMT), а также управления и службы визуального развертывания.

При установке Windows ADK на устройстве администратора выберите следующие функции:

  • Средства развертывания
  • Среда предустановки Windows (Windows PE)
  • Средство миграции пользовательской среды (USMT)

Дополнительные сведения об установке Windows ADK см. в разделе Этап 2-2: Установка Windows ADK.

Установка MDT

Далее следует установка MDT. MDT использует Windows ADK для содействия в управлении и выполнении развертывания Windows 10 и приложений, и является средством, находящимся в свободном доступе на ресурсах Майкрософт.

MDT позволяет выполнять развертывание 32-разрядных или 64-разрядных версий Windows 10. 64-разрядная версия MDT поддерживает развертывание 32-разрядных и 64-разрядных операционных систем.

Примечание  32-разрядная версия MDT позволяет устанавливать только 32-разрядные версии Windows 10. Для обеспечения возможности установки 64-разрядных и 32-разрядных версий операционной системы следует загрузить и установить 64-разрядную версию MDT.

Дополнительные сведения об установке MDT на устройстве администратора см. в разделе Установка нового экземпляра MDT.

Теперь все готово для создания общей папки развертывания MDT и ее наполнения операционной системой, приложениями и драйверами устройств, подлежащими развертыванию на устройствах.

Создание общей папки развертывания

В составе MDT используется рабочая среда развертывания, которая является графическим пользовательским интерфейсом, используемым для управления общими папками развертывания MDT. Общая папка развертывания является папкой с общим доступом и содержит все содержимое для развертывания MDT. Мастер развертывания LTI осуществляет доступ к содержимому для развертывания по сети или в локальной копии общей папки развертывания (известной как среда развертывания MDT).

Дополнительные сведения о создании общей папки развертывания см. в разделе Этап 3-1: Создание общей папки развертывания MDT.

Краткий обзор

В данном разделе описана установка Windows ADK и MDT на устройстве администратора. Здесь также описано создание общей папки развертывания MDT, конфигурируемой и используемой далее в процессе развертывания LTI.

Создание и настройка Office 365

Office 365 – это один из основных компонентов среды аудитории. В Office 365 происходит создание и управление записями учащихся, комплект программ используется учащимися и преподавателями для работы с электронной почтой, контактами, системой расписаний. Преподаватели и учащиеся используют функции Office 365 для совместной работы, например, SharePoint, OneNote и OneDrive для бизнеса.

Первым шагом в развертывании для аудитории является создание подписки Office 365 для образования с последующей конфигурацией Office 365 для аудитории. Дополнительные сведения о развертывании Office 365 для образования см. в разделе Развертывание Office 365 для образования в учебных заведениях.

Выберите подходящий план лицензирования Office 365 для образования

Выберите подходящий для учебного заведения план лицензирования Office 365 для образования можно, выполнив следующие шаги:

  1. Определите количество членов преподавательского состава и учащихся, которые будут использовать ресурсы аудитории.
    Для преподавательского состава и учащихся доступны специализированные планы лицензирования Office 365 для образования. Необходимо выбрать подходящий план лицензирования для преподавательского состава и учащихся.
  2. Определите количество преподавателей и учащихся, которым нужна установка приложений Office на устройствах (если применимо). Преподавателям и учащимся можно использовать сетевые приложения Office (стандартные планы) или локальные версии (планы Office 365 ProPlus). В таблице 1 перечислены преимущества и недостатки стандартных планов и Office 365 ProPlus.

  3. Таблица1. Сравнение стандартных планов и Microsoft Office 365 ProPlus
    Планирование Преимущества Недостатки
    Стандартные
    • Дешевле, чем Office 365 ProPlus
    • Можно запустить на любом устройстве
    • Не требуется установка
    • Для использования необходимо подключение к Интернету
    • Набор функций ограничен по сравнению с Office 365 ProPlus
    Office ProPlus
    • Подключение к Интернету необходимо только раз в 30 дней (для активации)
    • Поддерживает полный набор функций Office
    • Требует установки
    • Можно установить только на пять устройств для каждого пользователя (количество устройств, на которых можно запускать сетевые приложения Office, не ограничено)

    Для оптимальной работы рекомендуется использовать Office 365 ProPlus собственные приложения Office на мобильных устройствах. Если такие варианты недоступны, следует использовать сетевые приложения Office. Кроме того, все планы Office 365 позволяют сохранять документы в OneDrive для бизнеса, предусматриваемый всеми планами Office 365, что повышает удобство для пользователей. Содержимое, хранящееся в OneDrive для бизнеса, синхронизируется со всеми устройствами, обеспечивая таким образом постоянный доступ к документам пользователя с любого устройства.
  4. Определите необходимость службы управления правами Azure для учащихся и преподавателей.
    Управление правами Azure используется для защиты информации аудитории от несанкционированного доступа. Служба управления правами Azure защищает данные в аудитории и за ее пределами посредством политик шифрования, удостоверения и авторизации, защиты файлов и электронной почты. Это позволяет сохранять контроль над информацией, находящейся в общем доступе для лиц вне аудитории или образовательного учреждения. Планы лицензирования Office 365 для образования обеспечивают свободный доступ к управлению правами Azure. Дополнительные сведения см. в разделе Управление правами Azure.
  5. Запишите необходимые для аудитории планы лицензирования Office 365 для образования в таблице 2.

    Таблица2. Необходимые для аудитории планы лицензирования Office 365 для образования
    Количество План
    Office 365 для образования учащимся
    Office 365 для образования преподавателям
    Управление правами Azure для учащихся
    Управление правами Azure для преподавателей

    Информация о плане лицензирования Office 365 для образования, записанная в таблице 2, потребуется в разделе Создание учетных записей пользователей в Office 365 настоящего руководства.

Создание новой подписки Office 365 для образования

При создании новой подписки Office 365 для образования, подлежащей применению в аудитории, используйте учетную запись электронной почты образовательного учреждения. Регистрация на подписку Office 365 для образования бесплатна как для клиента, так и для учащихся.

Примечание  При наличии подписки на Office 365 для образования можно использовать эту подписку и перейти к следующему разделу: Добавление доменов и поддоменов.

Порядок создания новой подписки Office 365

  1. Введите https://portal.office.com/start?sku=faculty в адресной строке Microsoft Edge или Internet Explorer.

    Примечание  Если существующая учетная запись уже использована для создания подписки Office 365, вам будет предложено выполнить вход. При необходимости создания новой подписки Office 365, откройте окно InPrivate одним из следующих вариантов:

    • Microsoft Edge: открыть приложение Microsoft Edge, нажать сочетание клавиш Ctrl+Shift+P, нажать или выбрать Дополнительные действия, а затем нажать или выбрать Новое окно InPrivate.
    • Internet Explorer 11: следует открыть Internet Explorer 11, нажать сочетание клавиш Ctrl+Shift+P, либо нажать или выбрать Параметры, нажать или выбрать Безопасность, а затем нажать или выбрать Просмотр InPrivate.
  2. На странице Начало введите адрес электронной почты учебного заведения в поле Введите адрес электронной почты учебного заведения, а затем нажмите кнопку Зарегистрироваться. На электронную почту учебного заведения придет письмо.

  3. Щелкните по ссылке в письме, пришедшем на электронную почту учебного заведения
  4. На странице Завершение введите информацию о пользователе и нажмите кнопку Пуск. Мастер создаст новую подписку Office 365 для образования и автоматически выполнит вход от лица администратора, указанного при создании подписки.

Добавление доменов и поддоменов

После создания новой подписки Office 365 для образования добавьте домены и поддомены, используемые в учреждении. Например, если основное доменное имя учреждения contoso.edu, но также существуют поддомены для учащихся и преподавателей (например, students.contoso.edu и faculty.contoso.edu), эти поддомены необходимо добавить.

Добавление дополнительных доменов и поддоменов

  1. В центре администрирования Office 365 в списке выберите ДОМЕНЫ.
  2. В области подробностей над списком доменов, в строке меню выберите Добавить домен.
  3. В меню Добавить новый домен в мастере Office 365 на странице Мастер проверки доменов щелкните Начало.
  4. На странице мастера проверки доменов в поле Введите имя существующего домена, введите имя вашего домена, а затем нажмите Далее.
  5. Выполните вход к поставщику услуг управления доменным именем (например, Network Solutions или GoDaddy), затем выполните действия для поставщика.
  6. Повторите эти действия для каждого домена и поддомена, подлежащего использованию преподавателями или учащимися в вашем учреждении.

Настройка автоматического подключения к клиенту

Чтобы упростить преподавателям и учащимся присоединение к вашей подписке на Office 365 для образования (или к клиенту), разрешите им автоматически регистрироваться для вашего клиента (автоматическое присоединение к клиенту). В случае автоматического присоединения к клиенту, при регистрации преподавателя или учащегося в Office 365 система автоматически добавляет (присоединяет) пользователя к вашему клиенту Office 365.

Примечание.  По умолчанию автоматическое присоединение к клиенту включено в Office 365 для образования, за исключением некоторых областей Европы, Ближнего Востока и Африки. Для указанных стран требуется осуществить шаги по предоставлению согласия, чтобы добавить новых пользователей к существующим клиентам Office 365. Проверьте требования вашей страны для определения конфигурации по умолчанию для автоматического присоединения к клиенту. Кроме того, если вы используете Azure AD Connect, то возможность автоматического присоединения к клиенту отключена.

Office 365 использует доменную часть адреса электронной почты пользователя чтобы определить, к какому клиенту Office 365 осуществить присоединение. Например, если преподаватель или учащийся указывает адрес электронной почты user@contoso.edu, то Office 365 автоматически выполняет одно из следующих действий:

  • Если клиент Office 365 с этим именем домена (contoso.edu) существует, то Office 365 автоматически добавляет пользователя к этому клиенту.
  • Если клиента Office 365 с этим именем домена (contoso.edu) не существует, Office 365 автоматически создает нового клиента Office 365 с таким именем домена и добавляет пользователя к нему.

Преподавателям и учащимся необходимо всегда присоединиться к созданному вами клиенту Office 365. Убедитесь, что вы выполнили действия, описанные в разделах Создание новой подписки Office 365 для образования и Добавление доменов и поддоменов, прежде чем разрешить другим преподавателям и учащимся присоединяться к Office 365.

Примечание.  Вы не можете объединять нескольких клиентов, поэтому любому преподавателю или учащемуся, создавшему собственного клиента, необходимо будет отказаться от их существующего клиента и присоединиться к вашему.

Для всех новых подписок Office 365 для образования функция автоматического присоединения к клиенту отключена по умолчанию, но ее можно включить или отключить с помощью команд Windows PowerShell, приведенных в таблице 3. Дополнительные сведения о том, как выполнять эти команды, см. в разделе Как не допустить присоединения учащихся к моему существующему клиенту Office 365.

Таблица3. Команды Windows PowerShell для включения или отключения функции автоматического присоединения к клиенту

Действие Команда Windows PowerShell
Включить Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Отключить Set-MsolCompanySettings -AllowEmailVerifiedUsers $false

Примечание.  Если в вашем учреждении есть AD DS, отключите функцию автоматического присоединения к клиенту. Вместо этого используйте интеграцию Azure AD с AD DS для добавления пользователей к вашему клиенту Office 365.

Отключение автоматического лицензирования

Для упрощения административных формальностей автоматически назначайте лицензии Office 365 для образования или Office 365 для образования плюс преподавателям и учащимся при регистрации (автоматическое лицензирование). При автоматическом лицензировании также включены функции Office 365 для образования или Office 365 для образования плюс, которые не требуют административного утверждения.

Примечание.  По умолчанию автоматическое лицензирование в Office 365 для образования включено. Если вы хотите использовать автоматическое лицензирование, пропустите этот раздел и перейдите к следующему.

Несмотря на то, что для всех новых подписок Office 365 для образования автоматическое лицензирование включено по умолчанию, его можно включить или отключить для вашего клиента Office 365 с помощью команд Windows PowerShell, приведенных в таблице 4. Дополнительные сведения о том, как выполнять эти команды, см. в разделе Как не допустить присоединения учащихся к моему существующему клиенту Office 365.

Таблица4. Команды Windows PowerShell для включения или отключения автоматического лицензирования

Действие Команда Windows PowerShell
Включить Set-MsolCompanySettings -AllowAdHocSubscriptions $true
Отключить Set-MsolCompanySettings -AllowAdHocSubscriptions $false

Включить Azure AD Premium

При создании подписки Office 365 можно создать клиент Office 365, включающий каталог Azure AD. Azure AD представляет собой централизованное хранилище для всех учетных записей учащихся и преподавателей в Office 365, Intune и других приложениях, интегрированных с Azure AD. Azure AD доступно в выпусках Free, Basic и Premium. Azure AD Free, который входит в Office 365 для образования, содержит меньше функций, чем Azure AD Basic, который в свою очередь содержит меньше функций, чем Azure AD Premium.

Образовательные учреждения могут получить лицензии на версию Azure AD Basic бесплатно. После получения лицензий необходимо активировать доступ к Azure AD, выполнив действия, приведенные в разделе Шаг3: активировать доступ к Azure Active Directory.

Функции Azure AD Premium, не предусмотренные для Azure AD Basic:

  • Возможность разрешать определенным пользователям управлять членством в группах
  • Динамическое членство в группах на основе метаданных пользователя
  • Многофакторная идентификация (MFA)
  • Определение облачных приложений, запущенных пользователями
  • Автоматическая регистрация в системе управления мобильными устройствами (MDM) (например, Intune)
  • Самостоятельное восстановление BitLocker
  • Добавление учетных записей локального администратора на устройствах с Windows 10
  • Мониторинг Azure AD Connect Health
  • Расширенные возможности создания отчетов

Вы можете назначать лицензии Azure AD Premium пользователям, которым нужны эти функции. Например, вы можете захотеть, чтобы пользователи, имеющие доступ к конфиденциальной информации об учащихся, использовали MFA. В таком случае можно назначить Azure AD Premium только таким пользователям.

Можно подписаться на Azure AD Premium, а затем назначить лицензии для пользователей. В этом разделе можно подписаться на Azure AD Premium. Лицензии Azure AD Premium для пользователей будут назначаться позже в процессе развертывания.

Дополнительные сведения о:

Краткий обзор

В рамках первоначальной конфигурации вы подготавливаете и осуществляете начальную настройку Office 365 для образования. При наличии подписки после настройки автоматического присоединения к клиенту, введения автоматического лицензирования и включения Azure AD Premium (при необходимости), вы уже можете выбрать метод, который будет использоваться для создания учетных записей пользователей в Office 365.

Выберите метод создания учетной записи пользователя Office 365

Теперь, когда у вас есть подписка на Office 365, необходимо определить, как вы будете создавать учетные записи пользователей Office 365. Для создания учетных записей пользователей Office 365 используются следующие методы:

  • Метод 1: автоматически синхронизируйте ваш локальный домен AD DS с Azure AD. Выберите этот метод, если у вас есть локальный домен AD DS.
  • Метод 2: добавьте с помощью массового импорта учетные записи пользователей из CSV-файла (на основе данных из других источников) в Azure AD. Выберите этот метод, если у нет локального домена AD DS.

Метод 1: Автоматическая синхронизация между AD DS и Azure AD

При использовании этого метода у вас есть локальный домен AD DS. Как показано на рис. 4, средство соединителя Azure AD автоматически синхронизирует AD DS с Azure AD. Если вы добавляете или изменяете любые учетные записи пользователей в Доменных службах Active Directory, средство соединителя Azure AD автоматически обновляет Azure AD.

Примечание.  Azure AD Connect также поддерживает синхронизацию из любого каталога, совместимого с протоколом Lightweight Directory Access Protocol версии 3 (LDAPv3). Воспользуйтесь сведениями, приведенными в разделе Технический справочник по универсальному соединителю LDAP для FIM 2010 R2.

рис. 4

Рисунок 4. Автоматическая синхронизация между AD DS и Azure AD

Дополнительные сведения по выполнению данного этапа см. в разделе Интеграция локальных AD DS с Azure AD данного руководства.

Метод 2: Массовый импорт в Azure AD из CSV-файла

Данный метод предусмотрен при отсутствии локального домена AD DS. Как показано на рисунке 5, CSV-файл с информацией учащихся из источника подготавливается вручную, после чего данные вручную импортируются напрямую в Azure AD. CSV-файл должен быть в формате, указанном в Office 365.

рис. 5

Рисунок 5. Массовый импорт в Azure AD из других источников

Для осуществления этого метода выполните следующие действия:

  1. Экспорт данных учащихся из источника. В результате данные учащихся должны быть в формате, требуемом функцией массового импорта.
  2. Выполните массовый импорт данных учащихся в Azure AD. Дополнительные сведения о выполнении данного этапа см. в разделе Массовый импорт учетных записей пользователей в Office 365.

Краткий обзор

В данном разделе описан выбор метода создания учетных записей пользователей в соей подписке Office 365. В результате все учетные записи пользователей попадают в Azure AD (являющийся системой управления удостоверениями для Office 365). Следующим этапом является создание учетных записей Office 365.

Интеграция локального домена AD DS с Azure AD

Локальный домен AD DS можно интегрировать с Azure AD, обеспечив клиенту Office 365 возможность управления удостоверениями. Данная интеграция позволяет с помощью средства Azure AD Connect синхронизировать пользователей, группы безопасности и списки рассылки в домене AD DS с Azure AD. Пользователи получат возможность автоматически выполнять вход в Office 365 с помощью свей электронную почты и пароля, используемых для входа в AD DS.

Примечание  Если у вашего учреждения нет локального домена AD DS, этот раздел можно пропустить.

Выберите модель синхронизации

Перед развертыванием синхронизации AD DS и Azure AD необходимо определить, где планируется развернуть сервер для Azure AD Connect.

Средство Azure AD Connect можно развернуть по одному из следующих методов:

  • Локальное решение. Как показано на рисунке 6, Azure AD Connect работает локально, в силу чего не требуется подключение виртуальной частной сети (VPN) к Azure. Однако требуется виртуальная машина (VM) или физический сервер.

    рис. 6

    Рисунок 6. Локальный Azure AD Connect

  • В Azure. Как показано на рисунке 7, Azure AD Connect работает в Azure AD на VM, что обеспечивает более оперативное предоставление данных (по сравнению с физическим или локальным сервером), повышает доступность сайта и способствует сокращению количества локальных серверов. Недостаток заключается в необходимости разворачивать локальный VPN-шлюз.

    рис. 7

    Рисунок 7. Azure AD Connect в Azure

В настоящем руководстве описан запуск Azure AD Connect в локальной среде. Сведения о запуске Azure AD Connect в Azure см. в разделе Развертывание синхронизации каталогов (DirSync) Office 365 в Microsoft Azure.

Развертывание Azure AD Connect в локальной среде

В данной модели синхронизации (как показано на рис. 6) производится запуск Azure AD Connect в локальной среде на физическом устройстве или VM. Azure AD Connect обеспечивает синхронизацию пользовательских и групповых учетных записей AD DS с Azure AD. Мастер Azure AD Connect помогает настроить Azure AD Connect для вашего домена AD DS и подписки Office 365. Сначала установите Azure AD Connect, затем настройте для вашего учреждения, запустив мастер настройки.

Развертывание синхронизации AD DS и Azure AD

  1. Выполните конфигурацию вашей среды для удовлетворения условиям установки Azure AD Connect, выполнив необходимые действия в разделе Условия Azure AD Connect.
  2. Выполните вход от имени администратора домена на VM или физическом устройстве, на котором планируется работа с Azure AD Connect.
  3. Установите Azure AD Connect, выполнив действия, описанные в разделе Установка Azure AD Connect.
  4. Настройте функции Azure AD Connect согласно потребностям вашего учреждения, выполнив действия, описанные в разделе Конфигурация функций.

После использования локальной Azure AD Connect для развертывания синхронизации AD DS и Azure AD следует перейти к проверке синхронизации пользовательских и групповых учетных записей AD DS с Azure AD посредством Azure AD Connect.

Проверка синхронизации

Azure AD Connect должна немедленно начать синхронизацию. Процесс синхронизации займет некоторое время, в зависимости от количества пользователей в домене AD DS. Процесс можно отслеживать, просматривая в консоли администратора Office 365 количество пользователей и групп AD DS, синхронизированных данным средством с Azure AD.

Проверка синхронизации AD DS и Azure AD

  1. Откройте https://portal.office.com в веб-браузере.
  2. С помощью учетной записи администратора, созданной в разделе Создание новой подписки Office 365 для образования, войдите в Office 365.
  3. В списке разверните ПОЛЬЗОВАТЕЛИ, а затем выберите Активные пользователи.
  4. В области подробностей просмотрите список пользователей. Список пользователей должен зеркально отображать пользователей в AD DS.
  5. В списке выберите ГРУППЫ.
  6. В области подробностей просмотрите список групп безопасности. Список пользователей должен зеркально отображать группы безопасности в AD DS.
  7. В области подробностей дважды щелкните одну из групп безопасности.
  8. Список членов групп безопасности должен зеркально отображать участников соответствующих групп безопасности в AD DS.
  9. Закройте браузер.

После проверки синхронизации Azure AD Connect можно перейти к назначению пользовательских лицензий Azure AD Premium.

Краткий обзор

В настоящем разделе описан выбор модели синхронизации, развертывание Azure AD Connect и проверка надлежащей синхронизации Azure AD.

Массовый импорт пользовательских и групповых учетных записей в AD DS

Можно осуществить массовый импорт пользовательских и групповых учетных записей в локальный домен AD DS. Массовый импорт учетных записей позволяет сократить количество времени и действий, необходимых для создания пользователей по сравнению с созданием учетных записей вручную на портале администратора Office 365. Сначала необходимо выбрать подходящий метод массового импорта учетных записей пользователей в AD DS. Затем необходимо создать CSV-файл, содержащий пользовательские учетные записи. В завершении выбранный метод используется для импорта CSV-файла в AD DS.

Примечание  Если у вашего учреждения нет локального домена AD DS, этот раздел можно пропустить.

Выбор метода массового импорта

Для массового импорта учетных записей пользователей в домены AD DS доступно несколько методов. В таблице 5 перечислены методы, которые операционная система Windows Server поддерживает по умолчанию. Кроме того, для массового импорта пользовательских и групповых учетных записей в AD DS можно использовать решения партнеров.

Таблица 5. Методы массового импорта учетных записей AD DS

Метод Описание и причины выбора данного метода
Ldifde.exe Данный инструмент командной строки позволяет импортировать и экспортировать объекты (например, учетные записи пользователей) из AD DS. Данный метод рекомендуется для пользователей, не знакомых со средой разработки Microsoft Visual Basic (VBScript), Windows PowerShell и другими языками сценариев. Дополнительные сведения об использовании Ldifde.exe см. в разделах Пошаговое руководство по массовому импорту и экспорту в Active Directory, LDIFDE – Данные экспорта/импорта в Active Directory – команды LDIFDE, Импорт или экспорт объектов каталога с помощью Ldifde, а также LDIFDE.
VBScript Этот язык сценариев использует интерфейс модели компонентных объектов интерфейсов служб Active Directory (ADSI) для управления объектами AD DS, включая объекты пользователей и групп. Данный метод рекомендуется пользователям, знакомым с VBScript. Дополнительные сведения об использовании VBScript и ADSI см. в разделах Пошаговое руководство по массовому импорту и экспорту в Active Directory и ADSI Scriptomatic.
Windows PowerShell Этот язык сценариев по умолчанию поддерживает командлеты для управления объектами AD DS, включая объекты пользователей и групп. Данный метод рекомендуется пользователям, знакомым со сценариями Windows PowerShell. Дополнительные сведения об использовании Windows PowerShell см. в разделах Массовый импорт пользователей в Active Directory и PowerShell: Массовое создание пользователей AD из CSV-файла.

Создание исходного файла, содержащего пользовательские и групповые учетные записи

После выбора метода массового импорта учетных записей пользователей и групп можно приступить к созданию исходного файла, содержащего пользовательские и групповые учетные записи. Исходный файл будет использован для получения входных данных процесса импорта. Формат исходного файла зависит от выбранного метода. В таблице 6 перечислены форматы исходного файла соответствующие методам массового импорта.

Таблица6. Форматы исходного файла, соответствующие методам массового импорта

Метод Формат исходного файла
Ldifde.exe Для Ldifde.exe требуется особый формат исходного файла. Формат можно узнать, выполнив экспорт существующих пользовательских и групповых учетных записей посредством Ldifde.exe. Примеры формата, необходимого для Ldifde.exe, см. в разделах Пошаговое руководство по массовому импорту и экспорту в Active Directory, LDIFDE – Данные экспорта/импорта в Active Directory – команды LDIFDE, Импорт или экспорт объектов каталога с помощью Ldifde, а также LDIFDE.
VBScript Для создания исходного файла процесса массового импорта VBScript может использовать CSV-файл в любом формате. Для создания CSV-файла используйте программное обеспечение, например Excel. Примеры форматирования исходного файла в формате с разделителями-запятыми (CSV) см. в разделе Пошаговое руководство по массовому импорту и экспорту в Active Directory.
Windows PowerShell Windows PowerShell может использовать любой формат CSV-файла, создаваемого в качестве исходного файла для процесса массового импорта. Для создания CSV-файла используйте программное обеспечение, например Excel. Примеры форматирования исходного файла в формате CSV см. в разделах Массовый импорт пользователей в Active Directory и PowerShell: Массовое создание пользователей AD из CSV-файла.

Импорт учетных записей пользователей в AD DS

По готовности исходного файла массового импорта можно начинать импорт пользовательских и групповых учетных записей в AD DS. В каждом методе этапы импорта файла незначительно отличаются.

Примечание  Сначала выполняется массовый импорт групповых учетных записей, затем импорт пользовательских учетных записей. Такой порядок выполнения позволяет указывать членство в группе при импорте учетных записей пользователей.

Дополнительные сведения об импорте учетных записей пользователей в AD DS с помощью:

Краткий обзор

В данном разделе описан выбор метода массового импорта, создание исходного файла, содержащего пользовательские и групповые учетные записи, а также импорт пользовательских и групповых учетных записей в AD DS. При наличии Azure AD Connect новые пользовательские и групповые учетные записи AD DS автоматически синхронизируются с Azure AD. Далее следует назначение пользовательских лицензий Azure AD Premium в разделе Назначение пользовательских лицензий Azure AD Premium настоящего руководства.

Массовый импорт учетных записей пользователей в Office 365

Можно снизить время и усилия, необходимые для создания пользователей, выполнив массовый импорт пользовательских и групповых учетных записей напрямую в Office 365. Сначала выполняется массовый импорт учетных записей пользователей в Office 365. Затем создаются группы безопасности для учреждения. В завершении создаются группы распространения электронной почты, необходимые для учреждения.

Создание учетных записей пользователей в Office 365

После создания новой подписки Office 365 для образования необходимо создать учетные записи пользователей. Можно добавлять учетные записи пользователей для преподавателей, другого преподавательского состава, учащихся, которые будут пользоваться ресурсами аудитории.

Добавлять отдельные учетные записи Office 365 можно вручную в центре администратора Office 365, – это подходит для добавления нескольких пользователей. Однако, если пользователей много, процесс можно автоматизировать, составив список пользователей, а затем на основании этого списка создав пользовательские учетные записи (т.е. массовое добавление пользователей).

В процессе массового добавления всем пользователям из списка назначается одинаковый план лицензирования Office 365 для образования. Следовательно, необходимо создавать отдельный список для каждого плана лицензирования, записанного в таблице 2. Исходя из количества преподавателей, использующих аудитории, можно добавлять учетные записи Office 365 для преподавателей вручную, однако для учетных записей учащихся рекомендуется использовать процесс массового добавления.

Дополнительные сведения о выполнении массового добавления пользователей в Office 365 см. в разделе Добавление нескольких пользователей в Office 365 одновременно.

Примечание  В случае возникновения ошибок при массовом добавлении следует их устранить, прежде чем продолжать процесс массового добавления. Чтобы найти пользователей, спровоцировавших ошибку, следует просмотреть файл журнала, а затем откорректировать CSV-файл, устранив проблемы. Нажмите Назад для повторного проведения процесса проверки.

При создании учетных записей электронной почты назначаются временные пароли. Требуется сообщить эти временные пароли пользователям, чтобы предоставить им возможность выполнять вход в Office 365.

Создание групп безопасности Office 365

Назначьте разрешения для ресурса SharePoint Online группам безопасности Office 365, а не отдельным учетным записям пользователей. Например, создайте одну группу безопасности для преподавателей, а другую для учащихся. Затем можно назначить уникальные разрешения для ресурса SharePoint Online преподавателям и другой набор разрешений студентам. Предоставление или отзыв доступа к ресурсам SharePoint Online осуществляется путем добавления и удаления пользователей из групп безопасности.

Примечание  Если в учреждении используется AD DS, не создавайте учетные записи безопасности в Office 365. Вместо этого создайте группы безопасности в AD DS, а затем с помощью интеграции Azure AD синхронизируйте группы безопасности с клиентом Office 365.

Сведения о создании групп безопасности см. в разделе Создание и управление группами Office 365 с помощью панели просмотра центра администрирования.

Добавить пользователей в группы безопасности или удалить их можно в любой момент.

Примечание  Office 365 определяет пребывание в группах при входе пользователей в систему. В случае изменения пребывания пользователя в группе, может понадобиться выйти, а затем зайти повторно, чтобы изменения вступили в силу.

Создание групп рассылки электронной почты

Microsoft Exchange Online использует группу рассылки электронной почты как единого получателя электронной почты для нескольких пользователей. Например, можно создать группу рассылки электронной почты, содержащую всех учащихся. Затем можно отправлять сообщения в группу рассылки электронной почты, не адресуя их индивидуально каждому учащемуся.

Можно создавать группы распределения электронной почты по сфере деятельности (например, преподаватели, администрация или учащиеся) или по определенным интересам (например, робототехника, театральный кружок или футбольная команда). Можно создавать любое количество групп рассылки, и пользователи могут состоять в нескольких группах одновременно.

Примечание  Процесс создания Exchange Online в Office 365 может занять некоторое время. Дождавшись завершения процесса создания Exchange Online в Office 365, можно перейти к выполнению следующих действий.

Сведения о создании групп безопасности см. в разделе Создание и управление группами Office 365 с помощью панели просмотра центра администрирования.

Краткий обзор

Выполнен массовый импорт учетных записей пользователей в Office 365. Сначала был выбран метод массового импорта. Затем в Office 365 созданы группы безопасности Office 365. В завершение созданы группы рассылки электронной почты Office 365. Далее следует назначение пользовательских лицензий для Azure AD Premium.

Назначение пользовательских лицензий для Azure AD Premium

Azure AD доступно в выпусках Free, Basic и Premium. Azure AD Free, который входит в Office 365 для образования, содержит меньше функций, чем Azure AD Basic, который в свою очередь содержит меньше функций, чем Azure AD Premium. Лицензии Azure AD Basic доступны для образовательных учреждений бесплатно, а лицензии Azure AD Premium по сниженной цене.

Лицензии Azure AD Premium можно назначить пользователям, заинтересованным в возможностях, предлагаемых в данном выпуске. Например, вы можете захотеть, чтобы пользователи, имеющие доступ к конфиденциальной информации об учащихся, использовали MFA. В таком случае можно назначить Azure AD Premium только таким пользователям.

Дополнительные сведения о:

Создание и настройка портала магазина Windows для бизнеса

Магазин Windows для бизнеса позволяет создавать собственный закрытый портал для управления приложениями магазина Windows в вашем учреждении. Магазин Windows для бизнеса позволяет выполнять следующее:

  • Поиск и приобретение приложений магазина Windows
  • Управление приложениями, лицензиями приложений и обновлениями.
  • Распространение приложений среди пользователей.

Подробнее о Магазине Windows для бизнеса можно узнать в разделе Обзор Магазина Windows для бизнеса.

В следующем разделе описан процесс создания и настройки портала Магазина Windows для бизнеса в учебном заведении.

Создание и настройка портала Магазина Windows для бизнеса

Для создания и настройки портала Магазина Windows для бизнеса достаточно войти в Магазин Windows для бизнеса от имени администратора подписки Office 365. Магазин Windows для бизнеса автоматически создаст портал для учреждения и использует вашу учетную запись в качестве администратора.

Создание и настройка портала Магазина Windows для бизнеса

  1. Введите http://microsoft.com/business-store в адресной строке Microsoft Edge или Internet Explorer.
  2. На странице Магазин Windows для бизнеса выберите Вход для учетной записи организации.

    Примечание  Если в учреждении используется AD DS, не создавайте учетные записи безопасности в Office 365. Вместо этого создайте группы безопасности в AD DS, а затем с помощью интеграции Azure AD синхронизируйте группы безопасности с клиентом Office 365.

  3. На странице входа в магазин Windows для бизнеса войдите на учетную запись администратора подписки Office 365, созданную в разделе Создание новой подписки Office 365 для образования.
  4. На странице Соглашение об использовании служб магазина Windows для бизнеса ознакомьтесь с соглашением, выберите Я принимаю настоящее соглашение и подтверждаю свои полномочия связать свою организацию условиями настоящего соглашения, а затем нажмите Принять
  5. В диалоговом окне Добро пожаловать в магазин Windows для бизнеса выберите ОК.

Создав портал магазина Windows для бизнеса, выполните его настройку с помощью команд в меню параметров, указанном в таблице 7. В зависимости от учреждения для дополнительной настройки портала вам может понадобиться изменить эти параметры (или нет).

Таблица 7. Возможности в меню настройки параметров магазина Windows для бизнеса

Возможности меню Действия в данном меню
Сведения об учетной записи Отображение сведений об учетной записи магазина Windows для бизнеса (без изменяемых параметров). Изменить эту информацию можно в Office 365 или на портале Azure. Подробнее: Обновление параметров учетной записи магазина Windows для бизнеса.
подпись Device Guard Позволяет загружать и подписывать файлы каталога и политики Device Guard. Дополнительные сведения о Device Guard см. в руководстве по развертыванию Device Guard.
Издатели бизнес-приложений Позволяет добавлять бизнес издателей (LOB) для предоставления им возможности публиковать свои приложения в вашем частном магазине. Издатели бизнес-приложений являются обычно внутренними разработчиками или поставщиками программного обеспечения, работающими в учреждении. Подробнее: Работа с бизнес-приложениями.
Средства управления Позволяет добавлять средства, которые можно использовать для распространения (развертывания) приложений в вашем частном магазине. Подробнее: Распространение приложений с помощью средства управления.
Автономное лицензирование Позволяет отображать (или не отображать) приложения с автономным лицензированием для пользователей частного магазина. Дополнительные сведения см. в разделе Модель лицензирования: сетевые и автономные лицензии.
Разрешения Предоставляет другим пользователям в вашей организации возможность покупки, управления и администрирования портала магазина Windows для бизнеса. Можно также отзывать предоставленные ранее разрешения. Подробнее см. в разделе Роли и разрешения в Магазине Windows для бизнеса.
Частный магазин Позволяет изменять название организации, используемое в Магазине Windows для бизнеса. При создании портала частного магазина используется название организации, указанное для создания подписки Office 365. Подробнее: Распространение приложений с помощью частного магазина.

Поиск, приобретение и распространение приложений на портале

После создания портала магазина Windows для бизнеса можно перейти к поиску, приобретению и распространению приложений, которые будут добавлены на портал. Это выполняется на странице перечня приложений магазина Windows для бизнеса.

Примечание  Для оплаты приложений в Магазине Windows для бизнеса допускается использование образовательным учреждением кредитной карты.

Можно развернуть приложения для отдельных пользователей или обеспечить доступ к приложениям для всех пользователей вашего частного магазина. При развертывании приложений для отдельных пользователей доступ к ним появится только для указанных пользователей. Открытие доступа к приложениям в частном магазине позволяет применять их всем пользователям.

Дополнительные сведения о поиске, приобретении и распространении приложений на портале см. в разделе Управление перечнем приложений магазина Windows для бизнеса.

Краткий обзор

В данном разделе описана надлежащая настройка портала магазина Windows для бизнеса. Также рассмотрен поиск и приобретение приложений из магазина Windows. В завершении обсуждено развертывание приобретенных приложений магазина Windows для пользователей. Далее следует развертывание приложений магазина Windows для пользователей.

План для развертывания

Для развертывания Windows 10 на устройствах или обновления устройств до Windows 10 используется процесс развертывания LTI в MDT. Перед подготовкой к развертыванию необходимо принять ряд решений по планированию развертывания, в том числе выбрать подлежащие использованию оперативные системы, подход к созданию образов Windows 10, а также метод, используемый для инициирования процесса развертывания LTI.

Выбор операционных систем

Далее процессом предусмотрен импорт версий Windows 10, подлежащих развертыванию. Можно развернуть операционную систему на новом устройстве, а также выполнить восстановление или обновление существующих устройств. При выполнении:

  • Для новых устройств или восстановления существующих устройств производится замена существующей операционной системы устройства на Windows 10.
  • При обновлении существующих устройств производится обновление существующей операционной системы (операционная система Windows 8.1 или Windows 7) до Windows 10.

Исходя из потребностей учебного заведения может понадобиться комбинация следующих выпусков Windows 10:

  • Windows 10 Домашняя. Данная операционная система позволяет обновить допустимые существующие корпоративные или частные устройства, использующие Windows 8.1 Домашняя или Windows 7 Домашняя, до Windows 10 Домашняя.
  • Windows 10 Pro. Данная операционная система предназначена для следующего:
    • Обновление допустимых существующих корпоративных и частных устройств под управлением Windows 8.1 Профессиональная или Windows 7 Профессиональная до Windows 10 Pro.
    • Развертывание на устройствах новых экземпляров Windows 10 Pro для оснащения новых устройств известной конфигурацией.
  • Windows 10 для образовательных учреждений. Данная операционная система предназначена для следующего:
    • Обновление устройств учреждения до Windows 10 для образовательных учреждений.
    • Развертывание на устройствах новых экземпляров Windows 10 для образовательных учреждений для оснащения новых устройств известной конфигурацией.

Примечание  На устройствах учреждения допускается использование ОС Windows 10 Домашняя, однако Майкрософт рекомендует использовать Windows 10 Pro или Windows 10 для образовательных учреждений. Windows 10 Pro и Windows 10 для образовательных учреждений поддерживают MDM, управление на основе политик и магазин Windows для бизнеса. Данные функции недоступны в Windows 10 Домашняя.

Возможно также совмещать различные архитектуры процессоров, которые будут поддерживаться. По возможности рекомендуется поддерживать только 64-разрядные версии Windows 10. При наличии устройств, способных работать только с 32-разрядными версиями Windows 10, необходимо импортировать 64-разрядные и 32-разрядные версии вышеперечисленных выпусков Windows 10.

Примечание  На устройствах, обладающих минимальными системными ресурсами (например, устройства с 2 ГБ памяти или хранилищем 32 ГБ), рекомендуется использовать 32-разрядные версии Windows 10, так как 64-разрядные версии Windows 10 повышают нагрузку на системные ресурсы устройства.

Наконец рекомендуется минимизировать количество операционных систем, подлежащих развертыванию и управлению. По возможности рекомендуется использовать один выпуск Windows 10 для всех устройств учреждения (например, 64-разрядую версию Windows 10 для образовательных учреждений или Windows 10 Pro). Использовать единую определенную версию операционной системы или архитектуру процессора для частных устройств, разумеется, невозможно.

Выбор подхода к образам

Основное решение образа операционной системы заключается в использовании «тонкого» или «толстого» образа. Тонкие образы содержат только операционную систему, а MDT устанавливает на устройство необходимые драйверы и приложения после установки операционной системы. Толстые образы содержат операционную систему, «основные» приложения (например, Office) и драйверы устройств. При использовании толстого образа MDT устанавливает на устройство драйверы и приложения, не включенные в толстый образ, после установки операционной системы.

Преимущество тонкого образа заключается в динамичности конфигурации развертывания, которую можно легко изменить без необходимости захвата другого образа. Недостатком тонких образов является повышенная продолжительность полного развертывания.

Преимущество толстого образа заключается в меньшей продолжительности развертывания по сравнению с тонким образом. Недостаток толстого образа заключается в необходимости захвата нового образа при каждом изменении операционной системы, приложений или другого программного обеспечения в образе.

Выбор метода запуска развертывания

Процесс развертывания MDT является высоко автоматизированными и требует минимальной информации для развертывания и обновления до Windows 10, однако инициировать процесс развертывания MDT необходимо вручную. Для этого выберите метод из списка в таблице 8, являющийся наиболее подходящим для вашего учреждения.

Таблица 8. Методы запуска развертывания MDT

Метод Описание и причины выбора данного метода
Службы развертывания Windows Этот метод:

  • Использует бездисковую загрузку для запуска развертывания MDT.
  • Работает только с устройствами, поддерживающими загрузку PXE.
  • Выполняет развертывание Windows 10 по сети, для чего требуется большая пропускная способность сети, чем при развертывании с локального носителя.
  • Выполняет развертывание образа медленнее, чем при использовании локального носителя.
  • Требует развернуть сервер служб развертывания Windows.
Данный метод рекомендуется при необходимости развертывания Windows по сети и выполнения бездисковой загрузки. Преимущество этого метода заключается в универсальности бездисковых носителей, после создания которых, как правило, не требуются обновления (мастер развертывания осуществляет доступ к централизованной общей папке развертывания по сети). Недостаток данного метода состоит в том, что развертывание по сети происходит медленнее, чем с локального носителя, а также появляется необходимость развернуть сервер служб развертывания Windows.
Загрузочный носитель Этот метод:

  • Инициирует развертывание MDT путем загрузки с локального носителя, например, с USB-накопителя, DVD-ROM или CD-ROM
  • Выполняет развертывание Windows 10 по сети, для чего требуется большая пропускная способность сети, чем при развертывании с локального носителя.
  • Выполняет развертывание образа медленнее, чем при использовании локального носителя.
  • Не требует дополнительной инфраструктуры.
Данный метод рекомендуется при необходимости развертывания Windows по сети и загрузки на целевое устройство с локального носителя. Преимущество этого метода заключается в универсальности носителей, после создания которых, как правило, не требуются обновления (мастер развертывания осуществляет доступ к централизованной общей папке развертывания по сети). Недостатком этого метода является повышенная продолжительность развертывания по сети по сравнению с локальным носителем.
Носитель развертывания MDT Этот метод:

  • Инициирует развертывание MDT путем загрузки с локального жесткого диска USB.
  • Выполняет развертывание Windows 10 с локального носителя, для чего требуется меньше пропускной способности сети, чем при использовании сетевых методов.
  • Позволяет выполнить развертывание быстрее, чем при использовании сетевых методов.
  • Требует жесткий диск USB, необходимый для хранения общей папки развертывания (до 100 ГБ).
Данный метод рекомендуется при необходимости выполнить локальное развертывание и возможности выполнить загрузку на целевое устройство с жесткого диска USB. Преимущество данного метода заключается в более оперативном развертывании, чем при выполнении по сети. Недостаток данного метода заключается в необходимости повторного создания носителя развертывания MDT и обновления жесткого диска USB при каждом изменении общей папки развертывания.

Краткий обзор

В данном разделе описаны подлежащие развертыванию выпуски Windows 10 и архитектура процессоров (с последующим импортом в ходе процесса). Также обсуждено использование тонких и толстых образов. В завершение рассмотрены методы запуска развертывания LTI. Далее следует подготовка Windows 10 к развертыванию.

Подготовка к развертыванию

Развертывание Windows 10 на устройствах с помощью метода развертывания LTI в MDT. В данном разделе описана подготовка среды MDT и служб развертывания Windows к развертыванию Windows 10.

Настройка общей папки развертывания MDT

На первом этапе подготовки к развертыванию Windows 10 выполняется конфигурация, то есть заполнение общей папки развертывания MDT. В таблице 9 перечислены задачи конфигурации общей папки развертывания MDT, подлежащие выполнению. Выполните задачи в порядке, представленном в таблице 9.

Таблица9. Задачи для настройки общей папки развертывания MDT

Задача Описание
1. Импорт операционных систем Импорт операционных систем, выбранных в разделе Выбор операционных систем, в общую папку развертывания. Дополнительные сведения об импорте операционных систем см. в разделе Импорт операционной системы в рабочую среду развертывания.
2. Импорт накопителя на устройство Драйверы устройств обеспечивают Windows 10 данными об аппаратных ресурсах устройства и подключенных аппаратных компонентах. Без нужных драйверов устройств некоторые функции могут быть недоступны. Например, без надлежащего аудиодрайвера устройству не удается воспроизвести звук; без надлежащего драйвера камеры устройству не удастся сделать фото или использовать видеочат.

Импорт драйверов для каждого устройства в вашем учреждении. Дополнительные сведения об импорте драйверов устройств см. в разделе Импорт драйверов в устройств в рабочую среду развертывания.
3. Создайте приложения MDT для приложений магазина Windows Создайте приложения MDT для каждого приложения магазина Windows, подлежащего развертыванию. Приложения магазина Windows можно развертывать с помощью загрузки неопубликованных приложений, позволяющей использовать командлет Add-AppxPackage Windows PowerShell для развертывания APPX-файлов, связанных с приложением (под названием подготовленные приложения). Данный метод позволяет развертывать в Windows 10 до 24 приложений.

Перед загрузкой неопубликованных APPX-файлов следует получить APPX-файлы магазина Windows, которые будут использоваться для развертывания (загрузки неопубликованных) приложений в подготавливаемом пакете. APPX-файлы для приложений из магазина Windows предоставляются поставщиком программного обеспечения напрямую. Если у вас нет возможности получить APPX-файлы у поставщиков программного обеспечения, тогда вам или учащимся придется установить приложения на учебные устройства непосредственно из Магазина Windows или Магазина Windows для бизнеса.

Если у вас есть Intune, можно развернуть приложения из магазина Windows после развертывания Windows10, как описано в разделе Развертывание приложений с помощью Intune. Этот метод обеспечивает детальное развертывание приложений Магазина Windows, и его можно использовать для непрерывного управления этими приложениями. Это предпочтительный способ развертывания и управления приложениями Магазина Windows.

Кроме того, необходимо подготовить среду для загрузки неопубликованных приложений (развертывания приложений) магазина Windows. Дополнительные сведения:

4. Создание приложений MDT для классических приложений для Windows Необходимо создать приложение MDT для каждого классического приложения для Windows, которое требуется развернуть. Классические приложения для Windows можно получить из любого источника, однако убедитесь в наличии достаточного количества лицензий для них.

Чтобы упростить развертывание классических приложений Microsoft Office2016, используйте средство развертывания Office, как описано в разделе Развертывание продуктов Office365 «нажми и работай» с помощью средства развертывания Office.

Если у вас есть Intune, можно развернуть классические приложения Windows после развертывания Windows10, как описано в разделе Развертывание приложений с помощью Intune. Этот метод обеспечивает детальное развертывание классических приложений для Windows, и его можно использовать для непрерывного управления этими приложениями. Это предпочтительный метод развертывания и управления классическими приложениями для Windows.

Примечание.  Классические приложения для Windows также можно развернуть после развертывания Windows10, как описано в разделе Развертывание приложений с помощью Intune.

Дополнительные сведения о том, как создать приложение MDT для классических приложений для Windows, см. в разделе Создание нового приложения в Deployment Workbench.
5. Создание последовательности задач. Необходимо создать последовательность отдельных задач для каждого выпуска Windows10, архитектуры процессора, процесса обновления операционной системы и процесса развертывания новой операционной системы. Как минимум, создайте последовательность задач для каждой операционной системы Windows10, импортированной на этапе1. Например, если необходимо: (1) развернуть Windows10 для образовательных учреждений на новых устройствах или обновить существующие устройства с помощью нового развертывания Windows10 для образовательных учреждений; (2) обновить имеющиеся устройства под управлением Windows8.1 или Windows7 до Windows10 для образовательных учреждений; (3) выполнить развертывания и обновления для 32- и 64-разрядных версий Windows10. Для этого необходимо создать последовательность указанных ниже задач.

  • Развертывание на устройствах 64-разрядной версии Windows 10 для образовательных учреждений.
  • Развертывание на устройствах 32-разрядной версии Windows10 для образовательных учреждений.
  • Обновление существующих устройств до 64-разрядной версии Windows10 для образовательных учреждений.
  • Обновление существующих устройств до 32-разрядной версии Windows10 для образовательных учреждений.
Еще раз напоминаем, что вы сможете создать последовательность задач на основе операционных систем, импортированных на этапе1. Дополнительные сведения о том, как создать последовательность задач, см. в разделе Создание новой последовательности задач в Deployment Workbench.
6. Обновление общей папки развертывания. Обновление общей папки развертывания создает образы загрузки MDT, используемые для запуска процесса развертывания Windows10. Можно настроить процесс создания 32- и 64-разрядных версий ISO- и WIM-файлов, которые могут использоваться для создания загрузочного носителя и служб развертывания Windows.

Дополнительные сведения о том, как обновить общую папку развертывания, см. в разделе Обновление общей папки развертывания в Deployment Workbench.

Настройка служб развертывания Windows для MDT

Службы развертывания Windows можно использовать в сочетании с MDT для автоматического запуска образов загрузки на целевых компьютерах. Этими образами загрузки могут быть образы WindowsPE (которые были созданы на этапе6 в таблице9) или пользовательские изображения, которые могут развертывать операционные системы непосредственно на целевых компьютерах.

Настройка служб развертывания Windows для MDT

  1. Установите и настройте службы развертывания Windows.

    Службы развертывания Windows— это роль сервера, доступная во всех выпусках Windows Server. Можно включить роль сервера служб развертывания Windows на новом сервере или на любом сервере под управлением Windows Server в вашем учреждении. Дополнительные сведения о том, как это сделать, см. в указанных ниже разделах.

  2. Добавьте образы загрузки LTI (образы WindowsPE) в службы развертывания Windows.

    Образы загрузки LTI (WIM-файлы), которые вы будете добавлять в службы развертывания Windows, находятся в общей папке развертывания MDT. Найдите WIM-файлы во вложенной папке загрузки общей папки развертывания. Дополнительные сведения о том, как это сделать, см. в разделе Добавление образов загрузки LTI в службы развертывания Windows.

Краткий обзор

Службы развертывания Windows готовы начать процесс развертывания LTI в MDT. Выполнена установка и конфигурация служб развертывания Windows, к которым добавлены загрузочные образы LTI, созданные в предыдущем разделе. Далее следует подготовка к управлению устройствами в вашем учреждении.

Подготовка к управлению устройствами

Перед развертыванием Windows10 в вашем учреждении необходимо подготовиться к управлению устройствами. Windows10 будет развернута в конфигурацию, которая соответствует вашим требованиям, однако вы хотите обеспечить совместимость развертываний.

Выберите метод управления

Если у вас есть только одно устройство для настройки, настройка этого устройства вручную является утомительной, но возможной. Однако при наличии нескольких классов устройств для настройки настройка вручную каждого устройства становится крайне сложной. Кроме того, поддерживать идентичную на каждом устройстве вручную практически невозможно, поскольку количество устройств в учебном заведении увеличивается.

Существует множество способов управления устройствами для учебного учреждения. В таблице 10 перечислены методы, описанные и рекомендованные в этом руководстве. Определите подходящую для вашего учреждения комбинацию методов управления на основании информации в таблице 10.

Таблица10. Методы управления для учебного заведения

Метод Описание
Групповая политика Групповая политика является неотъемлемой частью AD DS и позволяет вам указывать параметры конфигурации для Windows 10 и предыдущих версий Windows. Выберите этот метод в перечисленных ниже случаях.
  • Для управления устройствами, принадлежащими учреждению, которые подключены к домену (личные устройства обычно к домену не подключаются).
  • Для детального управления параметрами устройства и пользователя.
  • Если у вас есть инфраструктура AD DS.
  • Для обычного управления локальными устройствами.
  • При наличии возможности управлять только обязательными параметрами с помощью групповой политики.
Преимущества метода:
  • Отсутствие расходов, не связанных с инфраструктурой AD DS.
  • Большее количество параметров (по сравнению с Intune).
Недостатки метода:
  • Можно управлять только подключенными к домену (принадлежащими учебному заведению) устройствами.
  • Требует наличия инфраструктуры AD DS (если в учреждении еще нет AD DS).
  • Как правило управляет локальными устройствами (кроме случаев подключения устройств с помощью VPN или DirectAccess).
Intune Intune — это система управления на основе облака, которая позволяет задавать параметры конфигурации для Windows 10, предыдущих версий Windows и других операционных систем (например, iOS или Android). Intune — это облачная служба на основе подписки, которая интегрируется с Office 365 и Azure AD. Выберите этот метод в перечисленных ниже случаях.
  • Для управления устройствами, принадлежащими учреждению, и личными устройствами (не требуется подключение устройства к домену).
  • Если не требуется детальное управление устройством и пользовательскими параметрами (в отличие от групповой политики).
  • Если у вас нет существующей инфраструктуры AD DS.
  • Если вам нужно управлять устройствами, независимо от того, где они находятся (локально или удаленно).
  • При наличии возможности управлять обязательными параметрами только с помощью Intune.
Преимущества метода:
  • Вы можете управлять устройствами, принадлежащими учреждению, и личными устройствами.
  • Не требуется подключение устройств к домену.
  • Не требуется никакая локальная инфраструктура.
  • Может управлять устройствами, независимо от их расположения (локально или удаленно).
Недостатки метода:
  • Предусматривает повышенную плату за подписку.
  • Не обеспечивает детальное управление устройством и пользовательскими параметрами (по сравнению с групповой политикой).

Выбор параметров, рекомендуемых Майкрософт

Корпорация Майкрософт предоставляет несколько рекомендуемых параметров для образовательных учреждений. В таблице11 указаны эти параметры с кратким описанием того, почему необходимо их настроить, и приведены рекомендуемые методы для настройки данных параметров. Ознакомьтесь с параметрами в таблице11 и оцените их релевантность для вашего учреждения. Данные сведения помогут определить необходимость конфигурации параметра и способ выполнения конфигурации. В конце приведен список параметров, которые можно применить к устройствам Windows10, и описание способов управления для настройки параметров.

Таблица11. Рекомендуемые параметры для образовательных учреждений

Рекомендации Описание
Использование учетных записей Майкрософт Необходимо, чтобы преподаватели и учащиеся использовали только учетные записи Azure AD для собственных устройств учреждения. Для этих устройств не используйте учетные записи Майкрософт и не связывайте учетную запись Майкрософт с учетными записями Azure AD.

Примечание.  Личные устройства обычно используют учетные записи Майкрософт. Преподаватели и учащиеся могут связать свою учетную запись Майкрософт с учетной записью Azure AD на этих устройствах.

Групповая политика. Настройте параметр групповой политики Учетные записи: блокировать учетные записи Майкрософт для использования параметра Пользователи не могут добавлять учетные записи Майкрософт.

Intune. Чтобы включить или отключить камеру, используйте параметры политики Разрешить учетную запись Майкрософт, Разрешить добавление учетных записей, отличных от учетных записей Майкрософт, вручную и Разрешить синхронизацию параметров учетных записей Майкрософт в разделе Учетные записи и синхронизация политики Общая конфигурация Windows10.
Ограничение учетных записей локальных администраторов на устройствах Убедитесь, что локальными администраторами устройств учреждения являются только авторизованные пользователи. Как правило, не нужно, чтобы учащиеся выполняли роль администраторов на устройствах учреждения. Четко указываете пользователей, которые будут локальными администраторами на группе устройств.

Групповая политика. Создайте настройку групповой политики Локальная группа, чтобы ограничить членство в группе локальных администраторов. Установите флажки Удалить всех пользователей-членов этой группы и Удалить все группы-члены этой группы, чтобы удалить всех существующих пользователей. Дополнительные сведения о том, как настроить предпочтения локальной группы, см. в разделе Настройка элемента локальной группы.

Intune. Недоступен.
Ограничение учетных записей локальных администраторов на устройствах Убедитесь, что локальными администраторами устройств учреждения являются только авторизованные пользователи. Как правило, не нужно, чтобы учащиеся выполняли роль администраторов на устройствах учреждения. Четко указываете пользователей, которые будут локальными администраторами на группе устройств.

Групповая политика. Создайте настройку групповой политики Локальная группа, чтобы ограничить членство в группе локальных администраторов. Установите флажки Удалить всех пользователей-членов этой группы и Удалить все группы-члены этой группы, чтобы удалить всех существующих пользователей. Дополнительные сведения о том, как настроить предпочтения локальной группы, см. в разделе Настройка элемента локальной группы.

Intune. Недоступен.
Управление встроенной учетной записью администратора, созданной во время развертывания устройств При использовании MDT для развертывания Windows10 процесс развертывания MDT автоматически создает учетную запись локального администратора под указанным вами паролем. По соображениям безопасности переименуйте встроенную учетную запись администратора и, при необходимости, отключите ее.

Групповая политика. Чтобы переименовать встроенную учетную запись администратора, используйте параметр групповой политики Учетные записи: переименование учетной записи администратора. Дополнительные сведения о том, как переименовать встроенную учетную запись администратора см. в разделе Переименование учетной записи администратора с помощью консоли управления групповыми политиками. Укажите новое имя учетной записи администратора. Чтобы отключить встроенную учетную запись администратора, используйте параметр групповой политики Учетные записи: состояние учетной записи «Администратор». Дополнительные сведения о том, как отключить встроенную учетную запись администратора, см. в разделе Учетные записи: состояние учетной записи «Администратор».

Intune. Недоступен.
Управление доступом к Магазину Windows Можно управлять доступом к Магазину Windows, а также указать, будут ли существующие приложения магазина Windows получать обновления. Приложение Магазина Windows можно отключить только в Windows10 для образовательных учреждений и в Windows10 Корпоративная.

Групповая политика. Чтобы отключить приложение Магазина Windows, используйте параметр групповой политики Отключить приложение из Магазина. Чтобы приложения Магазина Windows не получали обновления, используйте параметр групповой политики Отключить автоматическое скачивание и установку обновлений. Дополнительные сведения о настройке этих параметров см. в разделе Могу ли я использовать групповую политику для управления Магазином Windows в своей организации?.

Intune. Чтобы включить или отключить камеру, используйте параметр политики Разрешить сохранение приложения в разделе Приложения политики Общая конфигурация Windows 10.
Использование подключений к удаленному рабочему столу на устройствах Подключения к удаленному рабочему столу могут разрешить несанкционированный доступ к устройству. В зависимости от политики учреждения может потребоваться отключить подключения к удаленному рабочему столу на устройствах.

Групповая политика. Чтобы включить или отключить подключения к удаленному рабочему столу на устройствах, используйте параметр Разрешить пользователям удаленное подключение с помощью удаленного рабочего стола в расположении Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения.

Intune. Недоступен.
Использование камеры Камера устройства может быть источником проблем конфиденциальности в образовательных учреждениях. В зависимости от политики учреждения можно отключить камеру на устройствах.

Групповая политика. Недоступен.

Intune. Чтобы включить или отключить камеру, используйте параметр политики Разрешить использование камеры в разделе Оборудование политики Общая конфигурация Windows10.
Использование звукозаписи Звукозапись (с помощью приложения «Студия звукозаписи») может быть источником проблем конфиденциальности в образовательных учреждениях. В зависимости от политики учреждения можно отключить приложение «Студия звукозаписи» на устройствах.

Групповая политика. Чтобы отключить приложение «Студия звукозаписи», используйте параметр групповой политики Не разрешать запуск приложения «Студия звукозаписи». С помощью политик AppLocker можно отключить другие приложения звукозаписи. Сведения о создании политик AppLocker см. в разделах Изменение политики AppLocker и Создание политик AppLocker.

Intune. Чтобы включить или отключить камеру, используйте параметр политики Разрешить запись речи в разделе Функции политики Общая конфигурация Windows 10.
Использование снимка экрана Снимки экрана могут стать причиной разглашения данных и нарушения конфиденциальности в образовательных учреждениях. В зависимости от политики вашего учреждения, вы можете отключить возможность создания снимков экрана на ваших устройствах.

Групповая политика. Недоступен.

Intune. Чтобы включить или отключить камеру, используйте параметр политики Разрешить снимок экрана в разделе Система политики Общая конфигурация Windows 10.
Использование служб определения местоположения. Предоставление информации о местоположении устройства может стать причиной разглашения данных или нарушения конфиденциальности в образовательных учреждениях. В зависимости от политики учреждения, вы можете отключить службу определения местоположения на устройствах.

Групповая политика. Для включения и отключения служб определения местоположения используйте параметр групповой политики Отключение функции определения местоположения в меню Пользовательские настройки\Компоненты Windows\Местоположение и датчики.

Intune. Чтобы включить или отключить камеру, используйте параметр политики Разрешить использование географического положения в разделе Оборудование политики Общая конфигурация Windows10.
Изменение фонового рисунка Отображение пользовательских фоновых рисунков может стать причиной разглашения данных или нарушения конфиденциальности в образовательных учреждениях (если фоновый рисунок отображает сведения о пользователе или устройстве). В зависимости от политики вашего учреждения, вы можете запретить пользователям изменять фоновый рисунок на ваших устройствах.

Групповая политика. Для настройки фонового рисунка используйте параметр Фоновый рисунок рабочего стола в меню Пользовательские настройки\Административные шаблоны\Рабочий стол\Рабочий стол.

Intune. Недоступен.

Настройка параметров с помощью групповой политики

Далее следует конфигурация параметров с помощью групповой политики. Действия, описанные в данном разделе, предполагают наличие инфраструктуры AD DS. Выполнение настройки параметров групповой политики, выбранных в разделе Выбор параметров, рекомендуемых Microsoft.

Дополнительные сведения о групповой политике см. в разделе Руководство по планированию и развертыванию групповой политики.

Настройка параметров групповой политики

  1. Создайте объект групповой политики (ОГП), содержащий параметры групповой политики, выполнив действия, описанные в разделе Создание нового объекта групповой политики.
  2. Настройте параметры в ОГП, выполнив действия, описанные в разделе Изменение объекта групповой политики.
  3. Создайте связь между ОГП и соответствующим сайтом AD DS, доменом или подразделением организации, выполнив действия, описанные в разделе Создание связи между объектом групповой политики и сайтом, доменом или подразделением организации.

Настройка параметров с помощью Intune

Теперь все готово для настройки параметров с помощью Intune. Действия, описанные в этом разделе, предполагают наличие подписки Office 365. Настройка параметров Intune, выбранных в разделе Выбор параметров, рекомендуемых Microsoft.

Дополнительные сведения об Intune см. в разделе Документация для Microsoft Intune.

Настройка параметров Intune:

  1. Добавьте Intune к подписке Office 365, выполнив действия в разделе Начало работы с платной подпиской Microsoft Intune.
  2. Зарегистрируйте устройства с помощью Intune, выполнив действия, описанные в разделе Подготовка к регистрации устройств в Microsoft Intune.
  3. Настройте параметры в политиках Windows 10 Intune, выполнив действия, описанные в разделе Управление параметрами и функциями на устройствах с политиками Microsoft Intune.
  4. Управляйте устройствами с Windows 10, выполнив действия, описанные в разделе Управление компьютерами с Windows при помощи Microsoft Intune.

Развертывание приложений с помощью Intune

Вы можете использовать Intune для развертывания магазина Windows и классических приложений Windows. Intune обеспечивает улучшенный контроль над конкретными приложениями, получаемыми пользователями. Кроме того, Intune позволяет развертывать приложения на вспомогательных устройствах (например, устройства на базе Windows 10 Mobile, iOS или Android). В завершении Intune помогает управлять безопасностью и функциями приложений, например, политиками управления мобильных приложений, позволяющими управлять приложениями на устройствах, не зарегистрированных в Intune или находящихся под управлением другого решения.

Дополнительные сведения о настройке управления приложениями с помощью Intune см. в разделе Развертывание и настройка приложений с помощью Microsoft Intune.

Краткий обзор

В этом разделе описана подготовка учреждения к управлению устройствами. Рассмотрено использование групповой политики и Intune для управления устройствами. Определены параметры конфигурации, которые планируется использовать для управления пользователями и устройствами. В завершение выполнена настройка параметров групповой политики и Intune в групповой политике и Intune соответственно.

Развертывание Windows 10 на устройствах

Все готово для развертывания Windows 10 устройствах преподавателей и учащихся. Необходимо выполнить действия, описанные в этом разделе, для каждого устройства учащихся в классах, а также для новых устройств учащихся, добавленных в будущем. Эти действия также можно выполнить для любого устройства, подходящего для обновления Windows 10. В этом разделе описано развертывание Windows 10 на новых устройствах, обновление Windows 10 на имеющихся устройствах, а также обновление имеющихся устройств с соответствующими версиями Windows 8.1 или Windows 7 до Windows 10.

Подготовка к развертыванию

Перед развертыванием Windows 10 выполните задачи, перечисленные в таблице 12. Большинство из этих задач уже выполнено, но данное действие поможет убедиться в этом.

Таблица12. Контрольный список подготовки к развертыванию

Задача
Целевые устройства обладают достаточными системными ресурсами для запуска Windows 10.
Определите необходимые драйверы устройств и импортируйте их в общую папку развертывания MDT.
Создайте приложение MDT для каждого приложения из магазина Windows и классического приложения Windows.
Уведомите учащихся и преподавателей о развертывании.

Выполнение развертывания

Для развертывания Windows 10 используйте мастер развертывания. Процесс развертывания LTI почти полностью автоматизирован: в начале процесса необходимо предоставить мастеру развертывания только минимальные сведения. После сбора мастером необходимых сведений остальная часть процесса будет протекать в полностью автоматическом режиме.

Примечание.  Чтобы полностью автоматизировать процесс развертывания LTI, выполните действия, описанные в разделе «Полностью автоматизированный сценарий развертывания LTI» в Руководстве Microsoft Deployment Toolkit.

В большинстве случаев процессы развертывания происходят без сбоев. Проблемы при развертывании возникают только в редких случаях.

Развертывание Windows10

  1. Запустите процесс развертывания LTI. Для этого используйте загрузку по сети (загрузка PXE) или с локального носителя. Метод запуска процесса развертывания LTI был выбран ранее в разделе Выбор метода запуска развертывания данного руководства.
  2. Завершите работу мастера развертывания. Дополнительные сведения о завершении работы мастера развертывания см. в теме «Запуск мастера развертывания» раздела Использование Microsoft Deployment Toolkit.

Настройка принтеров

После развертывания Windows 10 устройства почти готовы к использованию. Во-первых, необходимо настроить принтеры, которые будут использоваться в каждом классе. Как правило, принтеры подключаются к той же сети, что и устройства, в пределах одного и того же класса. Если в классе нет принтеров, пропустите этот раздел и перейдите к разделу Проверка развертывания.

Примечание  При выполнении обновления вместо нового развертывания настройки принтеров остаются такими же, какими они были в предыдущей версии Windows. Как следствие, можно пропустить этот раздел и перейдите к разделу Проверка развертывания.

Настройка принтеров

  1. Для установки драйверов принтера ознакомьтесь с инструкциями его изготовителя.
  2. Загрузите драйверы принтера на устройство администратора.
  3. Скопируйте драйверы принтера на USB-накопитель.
  4. Чтобы выполнить вход, на устройстве необходимо использовать ту же учетную запись, которая использовалась для настройки Windows 10 в разделе Выполнение развертывания.
  5. Вставьте USB-накопитель в устройство.
  6. Для установки драйверов принтера с USB-накопителя следуйте инструкциям изготовителя принтера.
  7. Убедитесь, что драйверы принтера установлены правильно, напечатав пробную страницу.
  8. Выполните действия 1 – 8 для каждого принтера.

Проверка развертывания

В качестве заключительного этапа контроля проверьте конфигурацию устройства, чтобы убедиться, что все приложения запускаются. Компания Microsoft рекомендует выполнить все задачи, которые выполняются пользователем. В частности проверьте следующее:

  • Устройство может подключаться к Интернету и отображать соответствующее веб-содержимое в Microsoft Edge.
  • Центр обновления Windows активен и его ПО обновлено до последних версий.
  • Защитник Windows активен и подписи для защиты от вредоносных программ соответствуют актуальным версиям.
  • Фильтр SmartScreen активен.
  • Все приложения магазина Windows установлены и обновлены надлежащим образом.
  • Все классические приложения Windows установлены и обновлены надлежащим образом.
  • Принтеры настроены надлежащим образом.

Убедившись в том, что первое устройство настроено правильно, можно перейти к настройке следующего устройства и выполнить те же действия.

Краткий обзор

Выполнена подготовка устройства к развертыванию путем подтверждая адекватности системных ресурсов устройства и обеспечения ресурсов соответствующими драйверами устройства Windows 10. Выполнено развертывание устройств по сети или с помощью локального носителя MDT. Затем на устройствах настроены соответствующие принтеры. В завершение выполнена проверка надлежащей конфигурации и готовности устройства к использованию.

Поддержка устройств Windows и Office 365

После первоначального развертывания для поддержки устройств Windows 10 и подписки Office 365 для образования необходимо выполнить определенные задачи. Указанные задачи необходимо выполнять по следующему расписанию:

  • Ежемесячно. Эти задачи обеспечивают получение устройствами актуальных обновлений и их надлежащую защищенность от вирусов и вредоносных программ.
  • Новый семестр или учебный год. Эти задачи выполняются перед началом новой учебной программы, например, в начале нового учебного года или семестра. Эти задачи обеспечивают готовность сред аудиторий к новым группам студентов.
  • При необходимости (динамические). Эти задачи выполняются в аудитории по необходимости. Например, может появиться новая версия приложения, учащийся может непреднамеренно повредить устройство с необходимостью последующего восстановления настроек по умолчанию.

В таблице 13 перечислены задачи обслуживания учебного заведения и отдельных аудиторий, ресурсы для выполнения этих задач и график (или частота) выполнения этих задач.

Таблица13. Задачи обслуживания учебного заведения и отдельных аудиторий с указанием ресурсов и графика выполнения

Задача и ресурсы Ежемесячно Новый семестр или учебный год При необходимости
Убедитесь, что Центр обновления Windows активен и имеет актуальные обновления программного обеспечения и операционной системы.

Дополнительные сведения о выполнении этой задачи, если у вас:
X X X
Проверьте, что Защитник Windows активен и подписи для защиты от вредоносных программ соответствуют актуальным версиям.

Дополнительные сведения о выполнении этой задачи см. в разделах Включение и выключение Защитника Windows и Обновление Защитника Windows.
X X X
Убедитесь, что Защитник Windows выполнил проверку на прошлой неделе и не содержит вирусов или вредоносных программ.

Дополнительные сведения о выполнении этой задачи см. в разделе Обнаружение и удаление вирусов
X X X
Убедитесь, что вы используете надлежащие параметры обслуживания для обновления Windows 10 (например, использование или не использование Current Branch или Current Branch для бизнеса).

Дополнительные сведения о параметрах обслуживания для обновления Windows 10 см. в разделе Параметры обслуживания для обновления Windows 10.
X X
Обновление операционной системы и приложений на устройствах.

Дополнительные сведения о выполнении этой задачи см. в разделе Развертывание Windows 10 на устройствах.
X X
Установите новые классические приложения Windows или обновите классические приложения Windows, используемые в учебной программе.

Дополнительные сведения см. в разделе Развертывание приложений с помощью Intune.
X X
Установите новые или обновите существующие приложения магазина Windows, используемые в учебной программы.

Приложения Магазина Windows получают обновления из Магазина Windows автоматически. В строке меню приложения из Магазина Windows отображаются обновления для приложения из Магазина Windows, доступные для загрузки.

С помощью Intune приложения Магазина Windows также можно развертывать непосредственно на устройствах. Дополнительные сведения см. в разделе Развертывание приложений с помощью Intune.
X X
Удалите неиспользуемые учетные записи пользователей (и соответствующие лицензии) из Office 365.

Дополнительные сведения по:
X X
Добавление новых учетных записей (и соответствующих лицензий) в Office 365.

Дополнительные сведения по:
X X
Создание или изменение групп безопасности, а также управление составом групп в Office 365.

Дополнительные сведения по:
X X
Создание и изменение списков рассылки Exchange Online или Microsoft Exchange Server в Office 365.

Дополнительные сведения создании и изменении списков рассылки Exchange Online и Exchange Server в Office 365 см. в разделе Управления группами рассылки и Группы в Exchange Online и SharePoint Online.
X X
Установка новых устройств для учащихся

Выполните аналогичные действия, описанные в разделе Развертывание Windows 10 на устройствах.
X

Краткий обзор

Определены задачи, подлежащие выполнению ежемесячно, в конце учебного года или семестра и при необходимости. Конфигурация учебного заведения должна соответствовать стандартной конфигурации учебного заведения, показанной в разделе Планирование стандартной конфигурации учебного заведения. Выполнение задач по обслуживанию обеспечивает безопасность и поддержание указанной конфигурации учебного заведения.

Ресурсы по теме