Развертывание Windows 10 в школьном округе

Применимо к:

  • Windows10

В настоящем руководстве описано развертывание операционной системы Windows 10 в школьном округе. Информация по развертыванию Windows 10 в аудиториях, по интеграции Microsoft Office 365, доменных служб Active Directory (AD DS) и Microsoft Azure Active Directory (Azure AD) в среде учебного заведения, а также по развертыванию Windows 10 и приложений на новых устройствах или обновлению имеющихся устройств до Windows 10. Также в этом руководстве описано, как использовать Microsoft System Center Configuration Manager, Microsoft Intune и групповую политику для управления устройствами. Кроме того в руководстве рассматриваются задачи общего и регулярно обслуживания, выполняемого после первоначального развертывания, а также автоматизированные средства и встроенные функции операционной системы.

Подготовка к развертыванию в школьном округе

Основой успешного развертывания в школьном округе является надлежащая подготовка. Во избежание распространенных ошибок, в первую очередь составляется план стандартной конфигурации школьного округа. Аналогично строительству дома, вам необходима концепция того, как будут выглядеть школьный округ и отдельные школы после завершения. Второй шаг в процессе подготовки — узнать, как управлять пользователями, приложениями и устройствами в вашем школьном округе. Для возведения дома строителям нужны правильные инструменты, а для развертывания системы в школьном округе вам потребуется правильный набор средств.

Примечание.  В этом руководстве рассматривается развертывание Windows 10 и управление школьным округом. Для управления другими устройствами и операционными системами в образовательных средах см. статью Управление собственными (BYOD) и корпоративными устройствами с помощью решений MDM.

Планирование стандартной конфигурации школьного округа

При подготовке к развёртыванию системы в школьном округе необходимо спланировать конфигурацию, — об этом рассказывается далее в руководстве. На рисунке 1 показана окончательная стандартная конфигурация школьного округа, используемая в качестве модели (или, по аналогии со строительством, плана) итоговой архитектуры.

Стандартная конфигурация школьного округа для этого руководства

Рисунок 1. Стандартная конфигурация школьного округа для этого руководства

Школьный округ состоит из нескольких школ, обычно в различных местах. На рис. 2 показана стандартная конфигурация школы внутри школьного округа, которая используется в данном руководстве.

Стандартная конфигурация учебного заведения по данному руководству

Рисунок 2. Стандартная конфигурация учебного заведения по данному руководству

Наконец, каждая школа состоит из нескольких классов. На рисунке 3 показана конфигурация аудитории, используемая в данном руководстве.

Стандартная конфигурация аудитории в учебном заведении

Рисунок 3. Стандартная конфигурация аудитории в учебном заведении

Такая конфигурация для школьного округа обладает следующими характеристиками:

  • Предусматривается одно или несколько устройств администратора.
  • Он содержит две или несколько школ.
  • Каждая школа содержит два или несколько классов.
  • В каждой аудитории содержится одно устройство преподавателя.
  • Взаимное подключение аудиторий обеспечивается посредством нескольких подсетей.
  • В каждой аудитории все устройства подключаются к единой подсети.
  • Все устройства обладают высокоскоростным постоянным подключением друг с другом и к Интернету.
  • Доступ к Microsoft Store или Магазину Майкрософт для бизнеса предоставляется всем преподавателям и учащимся.
  • Установка 64-разрядной версии Windows 10 на устройстве администратора.
  • Установка комплекта средств для развертывания и оценки Windows (Windows ADK) на устройстве администратора.
  • Установка 64-разрядной версии комплекта средств для развертывания Майкрософт (MDT) 2013 обновление 2 на устройстве администратора. >Примечание  Все упоминания MDT в настоящем руководстве относятся к 64-разрядной версии MDT 2013 с обновлением 2.
  • Управление удостоверениями выполняется устройствами с помощью Azure AD в Office 365 для образования.
  • При наличии локальных служб AD DS можно интегрировать Azure AD с локальными AD DS.
  • Используйте Intune, Управление мобильными устройствами для Office 365 или групповую политику в AD DS для управления устройствами.
  • Каждое устройство поддерживает сценарий "устройство для одного учащегося" или "устройство для нескольких учащихся".
  • Допускается совмещение устройств различных производителей, моделей и архитектуры процессора (32-разрядная или 64-разрядная), а также идентичных.
  • Для начала развертывания Windows 10 используйте флэш-накопитель USB, DVD-ROM или CD-ROM, либо выполните загрузку в среде удаленной загрузки (PXE).
  • Допускается использование различных версий Windows 10, например, Windows 10 Pro, Windows 10 Корпоративная или Windows 10 для образовательных учреждений.

Используйте, как минимум, эти характеристики при развертывании ваших школ. Если развертывание вашего школьного округа является менее сложным, возможно, следует просмотреть рекомендации в разделе Развертывание Windows 10 в школе.

Примечание.  В этом руководстве описано Intune как решение управления мобильными устройствами (MDM). Если вы хотите использовать решение MDM, отличное от Intune, игнорируйте содержимое, касающееся Intune, в этом руководстве. Для каждого раздела обратитесь к поставщику MDM, чтобы определить компоненты и возможности управления в вашем учреждении.

Office 365 для образования обеспечивает возможность:

  • Учащимся и преподавательскому составу создавать и редактировать документы Microsoft Word, OneNote, PowerPoint и Excel в браузере, используя Microsoft Office Online.
  • Преподавателям использовать приложение записной книжки аудитории OneNote для предоставления общего доступ к содержимому и выполнения совместной работы с учащимися.
  • Преподавательскому составу использовать служебные записные книжки OneNote для совместной работы с другими преподавателями, администрацией и преподавательским составом.
  • Преподавателям использовать Sway для создания интерактивных образовательных цифровых лекций.
  • Учащимся и преподавательскому составу пользоваться электронной почтой и календарями с почтовыми ящиками до 50 ГБ для каждого пользователя.
  • Преподавательскому составу использовать расширенные функции электронной почты, например, возможность архивирования электронных писем или хранения юридической информации.
  • Преподавательскому составу предотвращать доступ к документам и электронной почте для незарегистрированных пользователей посредством управления правами Microsoft Azure.
  • Преподавательскому составу использовать инструменты Advanced compliance на объединенных страницах eDiscovery в Центре Office 365 Compliance.
  • Преподавательскому составу проводить занятия, родительские собрания и прочие совместные мероприятия в Skype для бизнеса.
  • Учащимся и преподавательскому составу получить доступ к персональному облачному хранилищу данных до 1 ТБ с общим доступом для пользователей в образовательном учреждении или за его пределами через OneDrive для бизнеса.
  • Преподавателям проводить совместные мероприятия в аудитории через групповые сайты Microsoft SharePoint Online.
  • Учащимся и преподавателям использовать Office 365 Video для управления видео записями.
  • Учащимся и преподавателям использовать Yammer для взаимодействия в частной социальной сети.
  • Учащимся и преподавателям доступ к ресурсам аудитории на любом устройстве (включая устройства Windows 10 Mobile, iOS и Android), вне зависимости от местоположения.

Дополнительные сведения о компонентах Office 365 для образования и вопросы и ответы см. в разделе Тарифные планы и цены на Office 365 для образования.

Конфигурация школьного округа

После того, как у вас появился план (концепция) для вашего школьного округа и отдельных школ и классов, вы готовы узнать об инструментах, которые будут использоваться для развертывания. Существует множество средств для выполнения этой задачи, однако в данном руководстве рассматриваются только средства, являющиеся наименее требовательными к инфраструктуре и техническим знаниям.

Основным средством, используемым для развертывания Windows 10 в учебном заведении, является MDT, позволяющее упростить развертывание с помощью компонентов Windows ADK. Для выполнения развертывания достаточно использовать Windows ADK, но MDT упрощает процесс, предоставляя интуитивно понятный пользовательский интерфейс (UI), управляемый с помощью мастера.

MDT можно использовать как независимое средство или интегрировать с System Center Configuration Manager. При независимом использовании MDT позволяет выполнять установку с ограниченным участием пользователя (LTI), – такое развертывание требует минимальной инфраструктуры и обеспечивает управление уровнем автоматизации. После интеграции с диспетчером конфигурации системного центра MDT выполняет развертывания без участия пользователя (ZTI), для которых требуется дополнительная инфраструктура (например, диспетчер конфигурации системного центра), но развертывание выполняется полностью автоматически.

В этом руководстве рассматриваются развертывания LTI для развертывания эталонного устройства. Вы можете использовать развертывания ZTI с развертываниями System Center Configuration Manager или LTI для развертывания эталонных образов на устройства преподавателей и учащихся. Если вы хотите использовать только MDT, см. раздел Развертывание Windows 10 в учебном заведении.

MDT включает рабочую среду развертывания — консоль, в которой выполняется развертывание Windows 10 и приложений. Конфигурация процесса развертывания выполняется в рабочей среде развертывания и включает управление операционными системами, приводами устройства, приложениями и миграцию пользовательских настроек на существующих изделиях.

LTI выполняет развертывание из общей папки развертывания — общей сетевой папки на устройстве, на котором установлено MDT. Можно выполнить развертывание по сети из общей папки развертывания или из локальной копии общей папки развертывания на USB-накопителе или DVD-диске. Дополнительные сведения по MDT содержатся в разделе Подготовка устройства администратора.

Основная задача MDT состоит в развертывании, поэтому также требуются средства управления изделиями и приложениями Windows 10. Управление устройствами и приложениями Windows 10 может осуществляться с помощью Intune, функции управления соответствием Office 365 или групповой политики в доменных службах Active Directory. Можно использовать любую комбинацию этих средств в зависимости от потребностей школы.

ZTI выполняет полностью автоматическое развертывание с помощью System Center Configuration Manager и MDT. Хотя можно использовать System Center Configuration Manager сам по себе, использование System Center Configuration Manager с MDT облегчает процесс развертывания операционных систем. MDT поддерживает компонент развертывания операционной системы в System Center Configuration Manager.

Для процесса конфигурации требуются следующие устройства:

  • Устройство администратора. Это устройство, используемое для выполнения повседневных обязанностей. Оно также используется для создания и управления Windows 10, а также процесса разработки приложений. Вы устанавливаете Windows ADK, MDT и System Center Configuration Manager Console на этом устройстве.
  • Эталонные устройства. Это устройства, которые вы будете использовать в качестве шаблона для устройств преподавателей и учащихся. Вы устанавливаете Windows 10 и классические приложения для Windows на эти устройства, а затем создаете образ (WIM-файл) устройств. У вас будет эталонное устройство для каждого типа устройств в школьном округе. К примеру, если в вашем школьном округе есть устройства Surface, HP Stream, Dell Inspiron и Lenovo Yoga, то у вас будет эталонное устройство для каждой модели. Дополнительные сведения об утвержденных устройствах Windows 10 см. в разделе Знакомство с устройствами.
  • Устройства преподавателей и персонала. Предусмотрен ряд устройств, используемых преподавательским составом для выполнения повседневных обязанностей. Развертывание (или обновление) Windows 10 и приложений для данных устройств выполняется с помощью устройства администратора.
  • Устройства учащихся. Эти устройства будут использоваться учащимися. Развертывание (или обновление) Windows 10 и приложений на данных устройствах выполняется с помощью устройства администратора.

Высокоуровневый процесс развертывания и конфигурации устройств в учебном заведении и в отдельных аудиториях, школах и школьном округе проиллюстрирован на рисунке 4:

  1. Подготовьте устройство администратора к использованию. Подготовка включает в себя установку Windows ADK, MDT и консоли Configuration Manager.

  2. На устройстве администратора создайте и настройте подписку на Office 365 для образования, которую вы будете использовать для классов школьного округа.

  3. На устройстве администратора конфигурируется интеграция между локальными AD DS и Azure AD (при наличии конфигурации локальных AD DS).

  4. На устройстве администратора создается и конфигурируется портал Магазина Майкрософт для бизнеса.

  5. На устройстве администратора выполняется подготовка к управлению устройствами Windows 10 после развертывания.

  6. На эталонных устройствах разверните Windows 10 и классические приложения для Windows на устройстве, а затем запишите эталонный образ с устройств.

  7. Импортируйте записанные эталонные образы в MDT или System Center Configuration Manager.

  8. На новых или существующих устройствах учащихся и преподавательского состава выполняется развертывание Windows 10 или обновление до Windows 10 для подходящих устройств.

  9. На устройстве администратора производится управление устройствами и приложениями Windows 10, подпиской Office 365, а также интеграцией AD DS и Azure AD.

Принцип работы конфигурации школьного округа

Рисунок 4. Принцип работы конфигурации школьного округа

Каждый этап, проиллюстрированный на рисунке 4, соответствует следующим высокоуровневым разделам настоящего руководства.

Сводка

В этом разделе рассматривается окончательная конфигурация школьного округа, отдельных учебных заведений и школьного округа в целом после завершения настоящего руководства. Вы также узнали общие инструкции по развертыванию устройств учащихся и преподавателей в вашем школьном округе.

Выбор методов развертывания и управления

Теперь, когда вы знаете, как выглядит стандартный школьный округ и как настроить устройства в вашем школьном округе, необходимо принять несколько решений. Необходимо выбрать методы, которые вы будете использовать для развертывания Windows 10 на устройствах учащихся и преподавателей в вашем школьном округе. Затем, необходимо выбрать метод, который вы будете использовать для управления параметрами конфигурации для пользователей и устройств. Наконец необходимо выбрать метод, который будет использоваться для управления классическими приложениями для Windows, приложениями Microsoft Store и обновлениями программного обеспечения.

Типичные сценарии развертывания и управления

Прежде чем выбрать методы развертывания и управления, необходимо просмотреть типичные сценарии развертывания и управления ими (облачный сценарий, а также локальный и облачный сценарии). В таблице 1 перечислены компоненты сценария и соответствующие продукты и технологии для этого компонента в каждом сценарии.

Компонент сценария Облачный Локальный и облачный
Управление удостоверениями Azure AD (автономный или интегрированный с локальными службами AD DS) AD DS, интегрированный с Azure AD
Развертывание Windows10 Только MDT System Center Configuration Manager с MDT
Управление параметрами конфигурации Intune Групповая политика

Intune
Управление приложениями и обновлениями Intune System Center Configuration Manager

Intune

Таблица 1. Сценарии развертывания и управления

В этих сценариях предусмотрена необходимость в поддержке перечисленных далее элементов.

  • Корпоративные и личные устройства.
  • Устройства, подключенные и неподключенные к домену AD DS.

В этих сценариях существуют некоторые ограничения. При выборе методов развертывания и управления для своего устройства необходимо учитывать перечисленные ниже ограничения.

  • Можно использовать групповую политику или Intune для управления параметрами конфигурации на устройстве, но не оба сразу.
  • Можно использовать System Center Configuration Manager или Intune для управления приложениями и обновлениями на устройстве, но не оба сразу.
  • Вы не можете управлять несколькими пользователями на устройстве с помощью Intune, если устройство подключено к домену AD DS.

Используйте облачный сценарий, а также локальный и облачный сценарии как руководство для вашего школьного округа. Однако может потребоваться настройка этих сценариев, в зависимости от вашего школьного округа. После выполнения разделов Выбор методов развертывания, Выбор методов управления параметрами конфигурации и Выбор приложения и продукты управления обновлениями запомните эти сценарии и используйте их как основу для своего школьного округа.

Выбор методов развертывания

Чтобы развернуть Windows 10 и ваши приложения, можете использовать MDT само по себе или System Center Configuration Manager и MDT вместе. Для школьного округа существует несколько способов для развертывания на устройствах Windows 10. В таблице 2 перечислены методы, описанные и рекомендованные в этом руководстве. Используйте эту информацию, чтобы определить, какое сочетание методов развертывания подходит для вашего учреждения.

Метод Описание
MDT

MDT — это локальное решение с поддержкой изначального развертывания операционной системы и обновления. MDT можно использовать для развертывания и обновления до Windows 10. Кроме того, вы можете изначально развернуть классические приложения Windows, а также приложения и обновления программного обеспечения Microsoft Store.

Выберите этот метод в перечисленных ниже случаях.

  • Если требуется выполнить развертывание Windows 10 на устройства учреждения или личные устройства. (Устройства не обязательно подключать к домену.)
  • Если у вас нет существующей инфраструктуры AD DS.
  • Если вам нужно управлять устройствами, независимо от того, где они находятся (локально или удаленно).

Преимущества метода:

  • Вы можете развернуть операционные системы Windows 10.
  • Вы можете управлять драйверами устройств во время начального развертывания.
  • Вы можете развернуть классические приложения для Windows (во время начального развертывания)
  • Не требуется инфраструктура AD DS.
  • Нет требований по дополнительной инфраструктуре.
  • MDT не создает дополнительных затрат. Это бесплатное средство.
  • Вы можете развернуть операционные системы Windows 10 на устройства учреждения и личные устройства.

Ниже перечислены недостатки этого метода.

  • Невозможно управлять приложениями на протяжении всего жизненного цикла приложения (самому по себе).
  • Невозможно управлять обновлениями программного обеспечения для Windows 10 и приложений (самому по себе).
  • Не предоставляется защита от вирусов и вредоносных программ (сама по себе).
  • Ограничено масштабирование для большого количества пользователей и устройств.
System Center Configuration Manager

System Center Configuration Manager — это локальное решение, поддерживающее управление операционной системой на протяжении всего ее жизненного цикла. System Center Configuration Manager можно использовать для развертывания и обновления до Windows 10. Кроме того, вы можете управлять классическими приложениями для Windows, приложениями Microsoft Store и обновлениями программного обеспечения, а также предоставлять защиту от вирусов и вредоносных программ.

Выберите этот метод в перечисленных ниже случаях.

  • Для развертывания Windows 10 на устройствах, принадлежащих учебному заведению и подключенных к домену (личные устройства обычно не подключены домену).
  • Если у вас имеется инфраструктура AD DS (или вы планируете развернуть инфраструктуру AD DS).
  • Для обычного развертывания Windows 10 на локальные устройства.

Преимущества метода:

  • Вы можете развернуть операционные системы Windows 10.
  • Вы можете управлять классическими приложениями для Windows и приложениями Microsoft Store (и развертывать их) на протяжении всего жизненного цикла приложения.
  • Вы можете управлять обновлениями программного обеспечения для Windows 10 и приложений.
  • Вы можете управлять защитой от вирусов и вредоносных программ.
  • Существует возможность масштабирования до большого количества пользователей и устройств.

Ниже перечислены недостатки этого метода.

  • Создает дополнительные затраты на серверные лицензии System Center Configuration Manager (если учреждение еще не имеет System Center Configuration Manager).
  • Windows 10 можно развернуть только на подключенные к домену (принадлежащие учреждению) устройства.
  • Требует наличия инфраструктуры AD DS (если в учреждении еще нет AD DS).

Таблица 2. Методы развертывания

Запишите методы развертывания, выбранные в таблице 3.

Выбор Метод развертывания
MDT само по себе
System Center Configuration Manager и MDT

Таблица 3. Выбранные методы развертывания

Выберите методы управления параметрами конфигурации

Если у вас есть только одно устройство для настройки, настройка этого устройства вручную является утомительной, но возможной. Однако при наличии нескольких классов устройств для настройки настройка вручную каждого устройства становится крайне сложной. Кроме того, поддержание идентичной конфигурации на каждом устройстве станет практически невозможным, так как количество устройств в школьном округе увеличивается.

Для школьного округа существует множество способов управления параметрами конфигурации для пользователей и устройств. В таблице 4 перечислены методы, описанные и рекомендованные в этом руководстве. Используйте эту информацию, чтобы определить, какое сочетание методов управления параметрами конфигурации подходит для вашего учреждения.

Метод Описание
Групповая политика

Групповая политика является неотъемлемой частью AD DS и позволяет вам указывать параметры конфигурации для Windows 10 и предыдущих версий Windows.

Выберите этот метод в перечисленных ниже случаях.

  • Для управления устройствами, принадлежащими учреждению, которые подключены к домену (личные устройства обычно к домену не подключаются).
  • Для детального управления параметрами устройства и пользователя.
  • Если у вас есть инфраструктура AD DS.
  • Для обычного управления локальными устройствами.
  • При наличии возможности управлять только обязательными параметрами с помощью групповой политики.

Преимущества метода:

  • Отсутствие расходов, не связанных с инфраструктурой AD DS.
  • Большее количество параметров (по сравнению с Intune).

Ниже перечислены недостатки этого метода.

  • Можно управлять только подключенными к домену (принадлежащими учебному заведению) устройствами.
  • Требует наличия инфраструктуры AD DS (если в учреждении еще нет AD DS).
  • Обычно управляет локальными устройствами (если устройства не используют для подключения виртуальную частную сеть [VPN] или Microsoft DirectAccess).
  • Имеет только простейшие возможности управления приложениями.
  • Невозможно развернуть операционные системы Windows 10.
Intune

Intune — это система управления на основе облака, которая позволяет задавать параметры конфигурации для Windows 10, предыдущих версий Windows и других операционных систем (например, iOS или Android). Intune — это облачная служба на основе подписки, которая интегрируется с Office 365 и Azure AD.

Intune — это система управления на основе облака, описанная в этом руководстве, но вы можете использовать другие поставщики систем MDM. Если вы используете поставщик MDM, отличный от Intune, интеграция с System Center Configuration Manager отсутствует.

Выберите этот метод в перечисленных ниже случаях.

  • Для управления устройствами, принадлежащими учреждению, и личными устройствами (не требуется подключение устройства к домену).
  • Если нет необходимости в детальном контроле над устройством и параметрами пользователя (по сравнению с групповой политикой).
  • Если у вас нет существующей инфраструктуры AD DS.
  • Если вам нужно управлять устройствами, независимо от того, где они находятся (локально или удаленно).
  • Для обеспечения управления приложениями на протяжении всего их жизненного цикла.
  • При наличии возможности управлять обязательными параметрами только с помощью Intune.

Преимущества метода:

  • Вы можете управлять устройствами, принадлежащими учреждению, и личными устройствами.
  • Не требуется подключение устройств к домену.
  • Не требуется никакая локальная инфраструктура.
  • Может управлять устройствами, независимо от их расположения (локально или удаленно).

Ниже перечислены недостатки этого метода.

  • Создает дополнительные затраты на лицензии на подписку Intune.
  • Не предлагает детальный контроль над устройством и параметрами пользователя (по сравнению с групповой политикой).
  • Невозможно развернуть операционные системы Windows 10.

Таблица 4. Методы управления параметрами конфигурации

Запишите методы управления параметрами конфигурации, выбранные в таблице 5. Хотя вы можете использовать групповую политику и Intune для управления устройствами, чтобы управлять устройством, необходимо выбрать либо групповую политику, либо Intune (но не оба сразу).

Выбор Метод управления параметрами конфигурации
Групповая политика
Intune

Таблица 5. Выбранные методы управления параметрами конфигурации

Выбор приложения и продуктов управления обновлениями

Для школьного округа существует множество способов управления приложениями и обновлениями программного обеспечения. В таблице 6 перечислены продукты, описанные и рекомендованные в этом руководстве. Несмотря на то, что вы можете управлять обновлениями с помощью обновлений Windows или служб Windows Server Update Services (WSUS), для управления приложениями вам все равно придется использовать System Center Configuration Manager или Intune. Поэтому для управления обновлениями имеет смысл использовать только одно или оба этих средства.

Используйте информацию из таблицы 6, чтобы определить, какое сочетание продуктов управления приложениями и обновлениями подходит для вашего школьного округа.

Выбор Метод управления
System Center Configuration Manager

System Center Configuration Manager — это локальное решение, которое позволяет указать параметры конфигурации для Windows 10, предыдущих версий Windows и других операционных систем, например iOS или Android, с помощью интеграции с Intune.

System Center Configuration Manager поддерживает управление приложениями на протяжении всего их жизненного цикла. Вы можете развернуть, обновить несколько версий и управлять ими, а также вывести приложения из эксплуатации с помощью System Center Configuration Manager. Вы также можете управлять классическими приложениями для Windows и приложениями Microsoft Store.

Выберите этот метод в перечисленных ниже случаях.

  • При выборе System Center Configuration Manager для развертывания Windows 10.
  • Для управления устройствами, принадлежащими учреждению, которые подключены к домену (личные устройства обычно к домену не подключаются).
  • Для управления устройствами, подключенными к домену AD DS.
  • Если у вас есть инфраструктура AD DS.
  • Для обычного управления локальными устройствами.
  • Для развертывания операционных систем.
  • Для обеспечения управления приложениями на протяжении всего их жизненного цикла.

Преимущества метода:

  • Вы можете развернуть операционные системы Windows 10.
  • Вы можете управлять приложениями на протяжении всего их жизненного цикла.
  • Вы можете управлять обновлениями программного обеспечения для Windows 10 и приложений.
  • Вы можете управлять защитой от вирусов и вредоносных программ.
  • Существует возможность масштабирования до большого количества пользователей и устройств.

Ниже перечислены недостатки этого метода.

  • Создает дополнительные затраты на серверные лицензии System Center Configuration Manager (если учреждение еще не имеет System Center Configuration Manager).
  • Создает дополнительные расходы на лицензии Windows Server и соответствующее серверное оборудование.
  • Можно управлять только подключенными к домену (принадлежащими учебному заведению) устройствами.
  • Требует наличия инфраструктуры AD DS (если в учреждении еще нет AD DS).
  • Обычно управляет локальными устройствами (если устройства не используют виртуальную частную сеть или DirectAccess).
Intune

Intune — это облачное решение, которое позволяет управлять приложениями и обновлениями программного обеспечения для Windows 10, предыдущих версий Windows и других операционных систем (например, iOS или Android). Intune — это облачная служба на основе подписки, которая интегрируется с Office 365 и Azure AD.

Выберите этот метод в перечисленных ниже случаях.

  • MDT выбрано только для развертывания Windows 10.
  • Необходимо управлять устройствами, принадлежащими учебному заведению, и личными устройствами, не подключенными к домену.
  • Для управления устройствами, подключенными к домену Azure AD.
  • Если вам нужно управлять устройствами, независимо от того, где они находятся (локально или удаленно).
  • Для обеспечения управления приложениями на протяжении всего их жизненного цикла.

Преимущества метода:

  • Вы можете управлять устройствами, принадлежащими учреждению, и личными устройствами.
  • Не требуется подключение устройств к домену.
  • Не требуется локальная инфраструктура.
  • Может управлять устройствами, независимо от их расположения (локально или удаленно).
  • Вы можете развернуть ключи для выполнения обновления Windows 10 на месте (например, обновления с Windows 10 Pro до версии Windows 10 для образовательных учреждений).

Ниже перечислены недостатки этого метода.

  • Создает дополнительные затраты на лицензии на подписку Intune.
  • Невозможно развернуть операционные системы Windows 10.
System Center Configuration Manager и Intune (гибридный)

System Center Configuration Manager и Intune вместе расширяют System Center Configuration Manager из локальной системы управления для подключенных к домену устройств до решения, способного управлять устройствами независимо от их расположения и методов подключения. Этот гибридный вариант дает преимущества как System Center Configuration Manager, так и Intune.

System Center Configuration Manager и Intune в гибридной конфигурации позволяют поддерживать управление приложениями на протяжении всего их жизненного цикла. Вы можете развернуть, обновить несколько версий и управлять ими, а также вывести приложения из эксплуатации с помощью System Center Configuration Manager. Вы также можете управлять классическими приложениями для Windows и приложениями Microsoft Store для устройств, принадлежащих учреждению, и личных устройств.

Выберите этот метод в перечисленных ниже случаях.

  • При выборе System Center Configuration Manager для развертывания Windows 10.
  • Для управления устройствами, принадлежащими учреждению, и личными устройствами (не требуется подключение устройства к домену).
  • Для управления устройствами, подключенными к домену.
  • Для управления устройствами, подключенными к домену Azure AD.
  • Если у вас есть инфраструктура AD DS.
  • Для управления устройствами независимо от способа их подключения.
  • Для развертывания операционных систем.
  • Для обеспечения управления приложениями на протяжении всего их жизненного цикла.

Преимущества метода:

  • Вы можете развернуть операционные системы.
  • Вы можете управлять приложениями на протяжении всего их жизненного цикла.
  • Вы можете выполнять масштабирование до большого количества пользователей и устройств.
  • Вы можете обеспечить поддержку устройств, принадлежащих учреждению, и личных устройств.
  • Не требуется подключение устройств к домену.
  • Может управлять устройствами, независимо от их расположения (локально или удаленно).

Ниже перечислены недостатки этого метода.

  • Создает дополнительные затраты на серверные лицензии System Center Configuration Manager (если учреждение еще не имеет System Center Configuration Manager).
  • Создает дополнительные расходы на лицензии Windows Server и соответствующее серверное оборудование.
  • Создает дополнительные затраты на лицензии на подписку Intune.
  • Требует наличия инфраструктуры AD DS (если в учреждении еще нет AD DS).

Таблица 6. Продукты для управления приложениями и обновлениями

Запишите методы управления приложениями и обновлениями, которые вы выбрали в Таблице 7.

Выбор Метод управления
System Center Configuration Manager сам по себе
Intune само по себе
System Center Configuration Manager и Intune (гибридный режим)

Таблица 7. Выбранные методы управления приложениями и обновлениями

Сводка

В этом разделе вы выбрали методы, которые вы будете использовать для развертывания Windows 10 для устройств учащихся и преподавателей в вашем школьном округе. Вы выбрали методы, которые будете использовать для управления параметрами конфигурации. Наконец, вы выбрали методы, которые будете использовать для управления классическими приложениями для Windows, приложениями Microsoft Store и обновлениями программного обеспечения.

Подготовка устройства администратора

Далее следует подготовка устройства администратора к использованию в школьном округе. Этот процесс включает установку Windows ADK и MDT, создание каталога развертывания MDT, установку консоли Configuration Manager и настройку интеграции консоли Configuration Manager.

Установка Windows ADK

Сначала выполняется подготовка устройства администратора к установке Windows ADK. Windows ADK содержит средства развертывания, которые использует MDT, включая среду предустановки Windows (Windows PE), средство миграции пользовательской среды Windows (USMT), а также управления и службы визуального развертывания.

При установке Windows ADK на устройстве администратора выберите следующие функции:

  • Средства развертывания
  • Windows PE
  • Средство миграции пользовательской среды

Дополнительные сведения об установке Windows ADK см. в разделе Этап 2-2: установка Windows ADK.

Установка MDT

Далее следует установка MDT. MDT использует Windows ADK, чтобы облегчить управление развертыванием Windows 10 и приложений, а также помочь осуществить этот процесс. Это бесплатное средство непосредственно от корпорации Майкрософт. MDT позволяет выполнять развертывание 32-разрядных или 64-разрядных версий Windows 10. 64-разрядная версия MDT поддерживает развертывание 32-разрядных и 64-разрядных операционных систем.

Примечание  32-разрядная версия MDT позволяет устанавливать только 32-разрядные версии Windows 10. Для обеспечения возможности установки 64-разрядных и 32-разрядных версий операционной системы следует скачать и установить 64-разрядную версию MDT.

Дополнительные сведения об установке MDT на устройстве администратора см. в разделе Установка нового экземпляра MDT.

Теперь все готово для создания общей папки развертывания MDT и ее наполнения операционной системой, приложениями и драйверами устройств, подлежащими развертыванию на устройствах.

Создание общей папки развертывания

В составе MDT используется рабочая среда развертывания, которая является графическим пользовательским интерфейсом, используемым для управления общими папками развертывания MDT. Общая папка развертывания является папкой с общим доступом и содержит все содержимое для развертывания MDT. Мастер развертывания LTI осуществляет доступ к содержимому для развертывания по сети или в локальной копии общей папки развертывания (известной как среда развертывания MDT).

Дополнительные сведения о создании общей папки развертывания см. в разделе Этап 3-1: Создание общей папки развертывания MDT.

Установка консоли Configuration Manager

Примечание.  Если вы выбрали System Center Configuration Manager для развертывания Windows 10 или управления своими устройствами (в разделах Выбор методов развертывания и Выбор методов управления параметрами конфигурации соответственно), выполните шаги из данного раздела. В противном случае пропустите этот раздел и переходите к следующему.

System Center Configuration Manager можно использовать для управления развертыванием Windows 10, классическими приложениями для Windows, приложениями Microsoft Store и обновлениями программного обеспечения. Для управления System Center Configuration Manager используется консоль Configuration Manager. Необходимо установить консоль Configuration Manager на каждом устройстве, которое используется для управления System Center Configuration Manager (а именно устройстве администратора). Консоль Configuration Manager автоматически устанавливается во время установки серверов первичного сайта System Center Configuration Manager.

Дополнительные сведения об установке консоли Configuration Manager см. в разделе Установка консолей System Center Configuration Manager.

Настройка интеграции MDT с помощью консоли Configuration Manager

Примечание.  Если вы выбрали MDT только для развертывания Windows 10 и своих приложений (а не System Center Configuration Manager) в разделе Выбор методов развертывания, тогда пропустите этот раздел и перейдите к следующему.

Можно использовать MDT с System Center Configuration Manager для облегчения развертывания операционной системы ZTI. Чтобы настроить интеграцию MDT с System Center Configuration Manager, запустите Мастер настройки интеграции Configure ConfigMgr. Этот мастер устанавливается во время установки MDT.

Помимо устройства администратора, запустите Мастер настройки интеграции Configure ConfigMgr на каждом устройстве, на котором запущена консоль Configuration Manager, чтобы все установки консоли Configuration Manager могли использовать эффективные функции интеграции MDT с System Center Configuration Manager.

Дополнительные сведения см. в разделе Активация интеграции консоли Configuration Manager для Configuration Manager.

Сводка

В данном разделе описана установка Windows ADK и MDT на устройстве администратора. Вы также создали каталог развертывания MDT, который вы настроите и будете использовать позже для записи эталонного образа. Можно также использовать каталог развертывания MDT для развертывания Windows 10 и приложений для учащихся и преподавателей (если это метод, выбранный вами в разделе Выбор методов развертывания). Наконец, вы установили консоль Configuration Manager и настроили интеграцию MDT с консолью Configuration Manager.

Создание и настройка Office 365

Office 365 – это один из основных компонентов среды аудитории. В Office 365 происходит создание и управление записями учащихся, комплект программ используется учащимися и преподавателями для работы с электронной почтой, контактами, системой расписаний. Они также используют средства совместной работы Office 365, например SharePoint, OneNote и OneDrive для бизнеса.

Первым шагом в развертывании для аудитории является создание подписки Office 365 для образования с последующей конфигурацией Office 365 для аудитории. Дополнительные сведения о развертывании Office 365 для образования см. в разделе Развертывание Office 365 для образования в учебных заведениях.

Выберите подходящий план лицензирования Office 365 для образования

Выберите подходящий для учебного заведения план лицензирования Office 365 для образования можно, выполнив следующие шаги:

  1. Определите количество членов преподавательского состава и учащихся, которые будут использовать ресурсы аудитории. Для преподавательского состава и учащихся доступны специализированные планы лицензирования Office 365 для образования. Необходимо выбрать подходящий план лицензирования для преподавательского состава и учащихся.

  2. Определите количество преподавателей и учащихся, которым нужна установка приложений Microsoft Office на устройствах (если применимо). Преподавателям и учащимся можно использовать сетевые приложения Office (стандартные планы) или локальные версии (планы Office 365 профессиональный плюс). В таблице 8 перечислены преимущества и недостатки стандартных планов и Office 365 профессиональный плюс.

    Планирование Преимущества Недостатки
    Office 365 для образования
    • Дешевле, чем Office 365 профессиональный плюс
    • Можно запустить на любом устройстве
    • Не требуется установка
    • Для использования необходимо подключение к Интернету
    • Набор функций ограничен по сравнению с Office 365 профессиональный плюс
    Office 365 профессиональный плюс
    • Подключение к Интернету необходимо только раз в 30 дней (для активации)
    • Поддерживает полный набор функций Office
    • Можно установить на пять устройств для каждого пользователя (количество устройств, на которых можно запускать сетевые приложения Office, не ограничено)
    • Требует установки
    • Дороже, чем Office 365 для образования

    Таблица 8. Сравнение стандартных планов и Office 365 профессиональный плюс

    Для оптимальной работы рекомендуется использовать Office 365 профессиональный плюс или собственные приложения Office на мобильных устройствах. Если такие варианты недоступны, следует использовать сетевые приложения Office. Кроме того, все планы Office 365 позволяют сохранять документы в OneDrive для бизнеса, предусматриваемый всеми планами Office 365, что повышает удобство для пользователей. Содержимое, хранящееся в OneDrive для бизнеса, синхронизируется со всеми устройствами, обеспечивая таким образом постоянный доступ к документам пользователя с любого устройства.

  3. Определите необходимость службы управления правами Azure для учащихся и преподавателей.

    Управление правами Azure используется для защиты информации аудитории от несанкционированного доступа. Служба управления правами Azure защищает данные в аудитории и за ее пределами посредством политик шифрования, удостоверения и авторизации, защиты файлов и электронной почты. Это позволяет сохранять контроль над информацией, находящейся в общем доступе для лиц вне аудитории или образовательного учреждения. Планы лицензирования Office 365 для образования обеспечивают свободный доступ к управлению правами Azure. Дополнительные сведения см. в разделе Документация по управлению правами Azure.

  4. Запишите необходимые для аудитории планы лицензирования Office 365 для образования в таблице 9.

    Количество Планирование
    Office 365 для образования учащимся
    Office 365 для образования преподавателям
    Управление правами Azure для учащихся
    Управление правами Azure для преподавателей

    Таблица 9. Необходимые для аудитории планы лицензирования Office 365 для образования

Информация о плане лицензирования Office 365 для образования, записанная в таблице 9, потребуется в разделе Создание учетных записей пользователей в Office 365 настоящего руководства.

Создание новой подписки Office 365 для образования

При создании новой подписки Office 365 для образования, подлежащей применению в аудитории, используйте учетную запись электронной почты образовательного учреждения. Регистрация на подписку Office 365 для образования бесплатна как для клиента, так и для учащихся.

Примечание.  Если у вас уже была подписка на Office 365 для образования, вы можете использовать эту подписку и перейти к следующему разделу — Создание учетных записей пользователей в Office 365.

Порядок создания новой подписки Office 365

  1. Введите https://portal.office.com/start?sku=faculty в адресной строке Microsoft Edge или Internet Explorer.

    Примечание  Если существующая учетная запись уже использована для создания подписки Office 365, вам будет предложено выполнить вход. При необходимости создания новой подписки Office 365, откройте окно InPrivate одним из следующих методов:

    • В Microsoft Edge: откройте приложение Microsoft Edge (нажмите Ctrl+Shift+P или щелкните Дополнительные действия) и выберите элемент Создать окно InPrivate.
    • В Internet Explorer 11: откройте Internet Explorer 11 (нажмите Ctrl+Shift+P или щелкните Параметры), выберите элемент Безопасность, а затем щелкните Просмотр InPrivate.

  2. На странице Начало введите адрес электронной почты учебного заведения в поле Введите адрес электронной почты учебного заведения, а затем нажмите кнопку Зарегистрироваться.

    На электронную почту учебного заведения придет письмо.

  3. Щелкните по ссылке в письме, пришедшем на электронную почту учебного заведения

  4. На странице Завершение введите информацию о пользователе и нажмите кнопку Пуск.

Мастер создаст новую подписку Office 365 для образования и автоматически выполнит вход от лица администратора, указанного при создании подписки.

Добавление доменов и поддоменов

После создания новой подписки Office 365 для образования добавьте домены и поддомены, используемые в учреждении. Например, если основное доменное имя учреждения contoso.edu, но также существуют поддомены для учащихся и преподавателей (например, students.contoso.edu и faculty.contoso.edu), эти поддомены необходимо добавить.

Добавление дополнительных доменов и поддоменов

  1. В центре администрирования Office 365 в списке выберите ДОМЕНЫ.

  2. В области подробностей над списком доменов, в строке меню выберите Добавить домен.

  3. В меню Добавить новый домен в мастере Office 365 на странице мастера проверки доменов щелкните Начало.

  4. На странице мастера проверки доменов в поле Введите имя существующего домена, введите имя вашего домена, а затем нажмите Далее.

  5. Выполните вход к поставщику услуг управления доменным именем (например, Network Solutions или GoDaddy), затем выполните действия для поставщика.

  6. Повторите эти действия для каждого домена и поддомена, подлежащего использованию преподавателями или учащимися в вашем учреждении.

Настройка автоматического подключения к клиенту

Чтобы упростить преподавателям и учащимся присоединение к вашей подписке на Office 365 для образования (или к клиенту), разрешите им автоматически регистрироваться для вашего клиента (автоматическое присоединение к клиенту). В случае автоматического присоединения к клиенту, при регистрации преподавателя или учащегося в Office 365 система автоматически добавляет (присоединяет) пользователя к вашему клиенту Office 365.

Примечание.  По умолчанию автоматическое присоединение к клиенту включено в Office 365 для образования, за исключением некоторых областей Европы, Ближнего Востока и Африки. Для этих стран и регионов требуется осуществить шаги по предоставлению согласия, чтобы добавить новых пользователей к существующим клиентам Office 365. Проверьте требования вашей страны или региона для определения конфигурации по умолчанию для автоматического присоединения к клиенту. Кроме того, если вы используете Azure AD Connect, то возможность автоматического присоединения к клиенту отключена. Дополнительные сведения см. в разделе Самостоятельная регистрация в Office 365 для образования: технические вопросы и ответы.

Office 365 использует доменную часть адреса электронной почты пользователя, чтобы определить, к какому клиенту Office 365 осуществить присоединение. Например, если преподаватель или учащийся указывает адрес электронной почты user@contoso.edu, то Office 365 автоматически выполняет одно из следующих действий:

  • Если клиент Office 365 с этим именем домена (contoso.edu) существует, то Office 365 автоматически добавляет пользователя к этому клиенту.
  • Если клиента Office 365 с этим именем домена (contoso.edu) не существует, Office 365 автоматически создает нового клиента Office 365 с таким именем домена и добавляет пользователя к нему.

Преподавателям и учащимся необходимо всегда присоединиться к созданному вами клиенту Office 365. Убедитесь, что вы выполнили действия, описанные в разделах Создание новой подписки Office 365 для образования и Добавление доменов и поддоменов, прежде чем разрешить другим преподавателям и учащимся присоединяться к Office 365.

Примечание.  Вы не можете объединять нескольких клиентов, поэтому любому преподавателю или учащемуся, создавшему собственного клиента, необходимо будет отказаться от их существующего клиента и присоединиться к вашему.

По умолчанию для всех новых подписок Office 365 для образования функция автоматического присоединения к клиенту отключена, но ее можно включить или отключить с помощью команд Windows PowerShell, приведенных в таблице 10. Дополнительные сведения о том, как выполнять эти команды, см. в разделе Как не допустить присоединения учащихся к моему существующему клиенту Office 365.

Действие Команда Windows PowerShell
Включить Set-MsolCompanySettings -AllowEmailVerifiedUsers $true
Отключить Set-MsolCompanySettings -AllowEmailVerifiedUsers $false

Таблица10. Команды Windows PowerShell для включения или отключения функции автоматического присоединения к клиенту

Примечание.  Если в вашем учреждении есть AD DS, отключите функцию автоматического присоединения к клиенту. Вместо этого используйте интеграцию Azure AD с AD DS для добавления пользователей к вашему клиенту Office 365.

Отключение автоматического лицензирования

Для упрощения административных формальностей автоматически назначайте лицензии Office 365 для образования или Office 365 для образования плюс преподавателям и учащимся при регистрации (автоматическое лицензирование). При автоматическом лицензировании также включены функции Office 365 для образования или Office 365 для образования плюс, которые не требуют административного утверждения.

Примечание.  По умолчанию автоматическое лицензирование в Office 365 для образования включено. Если вы хотите использовать автоматическое лицензирование, пропустите этот раздел и перейдите к следующему.

Несмотря на то, что для всех новых подписок Office 365 для образования автоматическое лицензирование включено по умолчанию, его можно включить или отключить для вашего клиента Office 365 с помощью команд Windows PowerShell, приведенных в таблице 11. Дополнительные сведения о том, как выполнять эти команды, см. в разделе Как не допустить присоединения учащихся к моему существующему клиенту Office 365.

Действие Команда Windows PowerShell
Включить Set-MsolCompanySettings -AllowAdHocSubscriptions $true
Отключить Set-MsolCompanySettings -AllowAdHocSubscriptions $false

Таблица11. Команды Windows PowerShell для включения или отключения автоматического лицензирования

Включить Azure AD Premium

При создании подписки Office 365 вы создаете клиента Office 365, который включает каталог Azure AD, централизованный репозиторий для всех учетных записей ваших учащихся и преподавателей в Office 365, Intune и другие встроенные в Azure AD приложения. Azure AD доступно в выпусках Free, Basic и Premium. Azure AD Free, который входит в Office 365 для образования, содержит меньше функций, чем Azure AD Basic, который в свою очередь содержит меньше функций, чем Azure AD Premium.

Образовательные учреждения могут получить лицензии на выпуск Azure AD Basic бесплатно, если у них есть соглашение корпоративного лицензирования. После получения вашим учреждением лицензий необходимо активировать доступ к Azure AD, выполнив действия, приведенные в разделе Шаг3: активирование доступа к Azure Active Directory.

Следующие функции Azure AD Premium отсутствуют в Azure AD Basic:

  • Возможность разрешать определенным пользователям управлять членством в группах
  • Динамическое членство в группах на основе метаданных пользователя
  • Многофакторная идентификация Azure (MFA; см. раздел Что такое многофакторная идентификация Azure)
  • Определение облачных приложений, запущенных пользователями
  • Самостоятельное восстановление BitLocker
  • Добавление учетных записей локального администратора на устройствах с Windows 10
  • Мониторинг Azure AD Connect Health
  • Расширенные возможности создания отчетов

Вы можете назначать лицензии Azure AD Premium пользователям, которым нужны эти функции. Например, вы можете захотеть, чтобы пользователи, имеющие доступ к конфиденциальной информации об учащихся, использовали MFA. В таком случае можно назначить Azure AD Premium только таким пользователям.

Можно подписаться на Azure AD Premium, а затем назначить лицензии для пользователей. В этом разделе можно подписаться на Azure AD Premium. Лицензии Azure AD Premium для пользователей будут назначаться позже в процессе развертывания.

Дополнительные сведения о:

Краткий обзор

В рамках первоначальной конфигурации вы подготавливаете и осуществляете начальную настройку Office 365 для образования. При наличии подписки после настройки автоматического присоединения к клиенту, введения автоматического лицензирования и включения Azure AD Premium (при необходимости), вы уже можете выбрать метод, который будет использоваться для создания учетных записей пользователей в Office 365.

Выберите метод создания учетной записи пользователя Office 365

Теперь, когда у вас есть подписка на Office 365, необходимо определить, как вы будете создавать учетные записи пользователей Office 365. Используйте один из следующих методов для принятия решения:

  • Метод 1: автоматически синхронизируйте ваш локальный домен AD DS с Azure AD. Выберите этот метод, если у вас есть локальный домен AD DS.
  • Метод 2: осуществите массовый импорт учетных записей пользователей из CSV-файла (на основе данных из других источников) в Azure AD. Выберите этот метод, если у нет локального домена AD DS.

Метод 1: Автоматическая синхронизация между AD DS и Azure AD

Этот метод предусматривает наличие локального домена AD DS. Как показано на рис. 5, средство соединителя Azure AD автоматически синхронизирует AD DS с Azure AD. Если вы добавляете или изменяете любые учетные записи пользователей в Доменных службах Active Directory, средство соединителя Azure AD автоматически обновляет Azure AD.

Примечание.  Azure AD Connect также поддерживает синхронизацию из любого каталога, совместимого с протоколом Lightweight Directory Access Protocol версии 3 (LDAPv3). Воспользуйтесь сведениями, приведенными в разделе Технический справочник по универсальному соединителю LDAP для FIM 2010 R2.

Автоматическая синхронизация между AD DS и Azure AD

Рисунок 5. Автоматическая синхронизация между AD DS и Azure AD

Дополнительные сведения о том, как это сделать, см. в разделе Интеграция локальных доменных служб ActiveDirectory с Azure AD далее в этом руководстве.

Метод 2: массовый импорт в Azure AD из CSV-файла

Данный метод используется при отсутствии локального домена AD DS. Как показано на рисунке 6, CSV-файл с информацией учащихся из источника подготавливается вручную, после чего данные вручную импортируются непосредственно в Azure AD. CSV-файл должен быть в формате, указанном в Office 365.

Массовый импорт в Azure AD из других источников

Рисунок 6. Массовый импорт в Azure AD из других источников

Для применения этого метода выполните следующие действия:

  1. Экспорт данных учащихся из источника.

    Представление сведений учащихся в формате, который необходим для массового импорта.

  2. Выполните массовый импорт данных учащихся в Azure AD.

    Дополнительные сведения о порядке выполнения данного действия см. в разделе Массовый импорт учетных записей пользователей и групп в Office 365.

Сводка

В данном разделе описан выбор метода создания учетных записей пользователей в подписке Office 365. В результате все учетные записи пользователей попадают в Azure AD (являющийся системой управления удостоверениями для Office 365). Следующим этапом является создание учетных записей Office 365.

Интеграция локального домена AD DS с Azure AD

Локальный домен AD DS можно интегрировать с Azure AD, обеспечив клиенту Office 365 возможность управления удостоверениями. Данная интеграция позволяет с помощью средства Azure AD Connect синхронизировать пользователей, группы безопасности и списки рассылки в домене AD DS с Azure AD. Пользователи получат возможность автоматически выполнять вход в Office 365 с помощью свей электронную почты и пароля, используемых для входа в AD DS.

Примечание.  Если у вашего учреждения нет локального домена AD DS, этот раздел можно пропустить.

Выбор модели синхронизации

Перед развертыванием синхронизации AD DS и Azure AD определите, где планируете развернуть сервер для работы Azure AD Connect.

Вы можете развернуть средство Azure AD Connect:

  • Локально. Как показано на рисунке 7, Azure AD Connect работает локально, благодаря чему не требуется подключение VPN к Azure. Однако требуется виртуальная машина (VM) или физический сервер.

    Локальный Azure AD Connect

    Рисунок 7. Локальный Azure AD Connect

  • В Azure. Как показано на рисунке 8, Azure AD Connect работает в Azure AD на VM, что обеспечивает более оперативное предоставление данных (по сравнению с физическим или локальным сервером), повышает доступность сайта и способствует сокращению количества локальных серверов. Недостаток заключается в необходимости разворачивать локальный VPN-шлюз.

    Azure AD Connect в Azure

    Рисунок 8. Azure AD Connect в Azure

В настоящем руководстве описан запуск Azure AD Connect в локальной среде. Сведения о запуске Azure AD Connect в Azure см. в разделе Развертывание синхронизации каталогов (DirSync) Office 365 в Microsoft Azure.

Развертывание Azure AD Connect в локальной среде

В данной модели синхронизации (как показано на рис. 7) производится запуск Azure AD Connect в локальной среде на физическом устройстве или VM. Azure AD Connect синхронизирует учетные записи пользователей и групп AD DS с Azure AD и включает мастер, который помогает вам настроить Azure AD Connect для вашего домена AD DS и подписки на Office 365. Сначала установите Azure AD Connect, затем настройте для вашего учреждения, запустив мастер настройки.

Развертывание синхронизации AD DS и Azure AD

  1. Выполните конфигурацию вашей среды для удовлетворения условиям установки Azure AD Connect, выполнив необходимые действия в разделе Необходимые условия для Azure AD Connect.

  2. Выполните вход от имени администратора домена на VM или физическом устройстве, на котором планируется работа с Azure AD Connect.

  3. Установите Azure AD Connect, выполнив действия, описанные в разделе Установка Azure AD Connect.

  4. Настройте функции Azure AD Connect согласно потребностям вашего учреждения, выполнив действия, описанные в разделе Настройка функций синхронизации.

После использования локальной Azure AD Connect для развертывания синхронизации AD DS и Azure AD следует перейти к проверке синхронизации учетных записей пользователей и групп AD DS с Azure AD посредством Azure AD Connect.

Проверка синхронизации

Azure AD Connect должна немедленно начать синхронизацию. Процесс синхронизации займет некоторое время, в зависимости от количества пользователей в домене AD DS. Процесс можно отслеживать, просматривая в консоли администратора Office 365 количество пользователей и групп AD DS, синхронизированных данным средством с Azure AD.

Проверка синхронизации AD DS и Azure AD

  1. Откройте https://portal.office.com в веб-браузере.

  2. С помощью учетной записи администратора, созданной в разделе Создание новой подписки Office 365 для образования, войдите в Office 365.

  3. В списке разверните ПОЛЬЗОВАТЕЛИ, а затем выберите Активные пользователи.

  4. В области подробностей просмотрите список пользователей.

    Список пользователей должен зеркально отображать пользователей в AD DS.

  5. В списке выберите ГРУППЫ.

  6. В области подробностей просмотрите список групп безопасности.

    Список пользователей должен зеркально отображать группы безопасности в AD DS.

  7. В области подробностей дважды щелкните одну из групп безопасности.

    Список членов групп безопасности должен зеркально отображать участников соответствующих групп безопасности в AD DS.

  8. Закройте браузер.

После проверки синхронизации Azure AD Connect можно перейти к назначению пользовательских лицензий Azure AD Premium.

Краткий обзор

В настоящем разделе описан выбор модели синхронизации, развертывание Azure AD Connect и проверка надлежащей синхронизации Azure AD.

Массовый импорт пользовательских и групповых учетных записей в AD DS

Можно осуществить массовый импорт пользовательских и групповых учетных записей в локальный домен AD DS. Массовый импорт учетных записей позволяет сократить количество времени и действий, необходимых для создания пользователей по сравнению с созданием учетных записей вручную на портале администратора Office 365. Сначала необходимо выбрать подходящий метод массового импорта учетных записей пользователей в AD DS. Затем необходимо создать CSV-файл, содержащий пользовательские учетные записи. В завершении выбранный метод используется для импорта CSV-файла в AD DS.

Примечание  Если у вашего учреждения нет локального домена AD DS, этот раздел можно пропустить.

Выбор метода массового импорта

Существует несколько методов для массового импорта учетных записей пользователей в домены AD DS. В таблице 12 перечислены методы, которые изначально поддерживаются операционной системой Windows Server. Кроме того, для массового импорта учетных записей пользователей и групп в AD DS можно использовать решения партнеров.

Метод Описание и причины выбора данного метода
Ldifde.exe Данный инструмент командной строки позволяет импортировать и экспортировать объекты (например, учетные записи пользователей) из AD DS. Данный метод рекомендуется для пользователей, не знакомых со средой разработки Microsoft Visual Basic (VBScript), Windows PowerShell и другими языками сценариев. Дополнительные сведения об использовании Ldifde.exe см. в разделах Пошаговое руководство по массовому импорту и экспорту в Active Directory, LDIFDE – Данные экспорта/импорта в Active Directory – команды LDIFDE, Импорт или экспорт объектов каталога с помощью Ldifde, а также LDIFDE.
VBScript Этот язык сценариев использует интерфейс модели компонентных объектов интерфейсов служб Active Directory (ADSI) для управления объектами AD DS, включая объекты пользователей и групп. Данный метод рекомендуется пользователям, знакомым с VBScript. Дополнительные сведения об использовании VBScript и ADSI см. в разделах Пошаговое руководство по массовому импорту и экспорту в Active Directory и ADSI Scriptomatic.
Windows PowerShell Этот язык сценариев по умолчанию поддерживает командлеты для управления объектами AD DS, включая объекты пользователей и групп. Данный метод рекомендуется пользователям, знакомым со сценариями Windows PowerShell. Дополнительные сведения об использовании Windows PowerShell см. в разделах Массовый импорт пользователей в Active Directory и PowerShell: массовое создание пользователей AD из CSV-файла.

Таблица12. Методы массового импорта учетных записей AD DS

Создание исходного файла, содержащего учетные записи пользователей и групп

После выбора метода массового импорта учетных записей пользователей и групп можно приступить к созданию исходного файла, содержащего пользовательские и групповые учетные записи. Исходный файл будет использован для получения входных данных процесса импорта. Формат исходного файла зависит от выбранного метода. В таблице 13 перечислены форматы исходного файла, соответствующие методам массового импорта.

Метод Формат исходного файла
Ldifde.exe Для Ldifde.exe требуется особый формат исходного файла. Формат можно узнать, выполнив экспорт существующих пользовательских и групповых учетных записей посредством Ldifde.exe. Примеры формата, необходимого для Ldifde.exe, см. в разделах Пошаговое руководство по массовому импорту и экспорту в Active Directory, LDIFDE – Данные экспорта/импорта в Active Directory – команды LDIFDE, Импорт или экспорт объектов каталога с помощью Ldifde, а также LDIFDE.
VBScript Для создания исходного файла процесса массового импорта VBScript может использовать CSV-файл в любом формате. Для создания CSV-файла используйте программное обеспечение, например Excel. Примеры форматирования исходного файла в формате с разделителями-запятыми (CSV) см. в разделе Пошаговое руководство по массовому импорту и экспорту в Active Directory.
Windows PowerShell Windows PowerShell может использовать любой формат CSV-файла, создаваемого в качестве исходного файла для процесса массового импорта. Для создания CSV-файла используйте программное обеспечение, например Excel. Примеры способов представления исходного файла в формате CSV см. в разделах Массовый импорт пользователей в Active Directory и PowerShell: массовое создание пользователей AD из CSV-файла.

Таблица13. Форматы исходного файла, соответствующие методам массового импорта

Импорт учетных записей пользователей в AD DS

После создания исходного файла массового импорта можно начинать импорт учетных записей пользователей и групп в AD DS. В каждом методе этапы импорта файла незначительно отличаются.

Примечание  Сначала выполняется массовый импорт групповых учетных записей, затем импорт пользовательских учетных записей. Такой порядок выполнения позволяет указывать членство в группе при импорте учетных записей пользователей.

Дополнительные сведения об импорте учетных записей пользователей в AD DS с помощью:

Краткий обзор

В данном разделе описан выбор метода массового импорта, создание исходного файла, содержащего учетные записи пользователей и групп, а также импорт учетных записей пользователей и групп в AD DS. При наличии Azure AD Connect новые пользовательские и групповые учетные записи AD DS автоматически синхронизируются с Azure AD. Теперь можно приступать к назначению пользовательских лицензий для Azure AD Premium, описанному далее в разделе Назначение пользовательских лицензий для Azure AD Premium настоящего руководства.

Массовый импорт учетных записей пользователей и групп в Office 365

Можно сэкономить время и усилия, необходимые для создания пользователей, выполнив массовый импорт учетных записей пользователей и групп непосредственно в Office 365. Сначала выполняется массовый импорт учетных записей пользователей в Office 365. Затем создаются группы безопасности для учреждения. В завершении создаются группы распространения электронной почты, необходимые для учреждения.

Создание учетных записей пользователей в Office 365

После создания новой подписки Office 365 для образования необходимо создать учетные записи пользователей. Можно добавлять учетные записи пользователей для преподавателей, других представителей преподавательского состава, а также учащихся, которые будут пользоваться ресурсами аудитории.

Примечание.  Если в учреждении используется AD DS, не создавайте учетные записи безопасности в Office 365. Вместо этого создайте группы безопасности в AD DS, а затем с помощью интеграции Azure AD синхронизируйте группы безопасности с клиентом Office 365.

Добавлять отдельные учетные записи Office 365 можно вручную в центре администратора Office 365— такой вариант подходит, когда нужно добавить лишь нескольких пользователей. Однако, если пользователей много, процесс можно автоматизировать, составив список пользователей, а затем на основании этого списка создав пользовательские учетные записи (т.е. массовое добавление пользователей).

В процессе массового добавления всем пользователям из списка назначается одинаковый план лицензирования Office 365 для образования. Следовательно, необходимо создавать отдельный список для каждого плана лицензирования, записанного в таблице 9. Исходя из количества преподавателей, использующих аудитории, можно добавлять учетные записи Office 365 для преподавателей вручную, однако, для учетных записей учащихся рекомендуется использовать процесс массового добавления.

Дополнительные сведения о порядке выполнения массового добавления пользователей в Office 365 см. в разделе Добавление нескольких пользователей в Office 365 одновременно: справка для администраторов.

Примечание.  В случае возникновения ошибок при массовом добавлении следует их устранить, прежде чем продолжать процесс массового добавления. Чтобы найти пользователей, спровоцировавших ошибку, следует просмотреть файл журнала, а затем откорректировать CSV-файл, устранив проблемы. Нажмите Назад для повторного осуществления процесса проверки.

При создании учетных записей электронной почты назначаются временные пароли. Требуется сообщить эти временные пароли пользователям, чтобы они могли войти в Office 365.

Создание групп безопасности Office 365

Назначьте разрешения для ресурса SharePoint Online группам безопасности Office 365, а не отдельным учетным записям пользователей. Например, создайте одну группу безопасности для преподавателей, а другую для учащихся. Затем можно назначить уникальные разрешения для ресурса SharePoint Online преподавателям и другой набор разрешений студентам. Предоставление или отзыв доступа к ресурсам SharePoint Online осуществляется путем добавления и удаления пользователей из групп безопасности.

Примечание  Если в учреждении используется AD DS, не создавайте учетные записи безопасности в Office 365. Вместо этого создайте группы безопасности в AD DS, а затем с помощью интеграции Azure AD синхронизируйте группы безопасности с клиентом Office 365.

Сведения о создании групп безопасности см. в разделе Создание группы Office 365 в центре администрирования.

Добавить пользователей в группы безопасности или удалить их из этих групп можно в любой момент.

Примечание.  Office 365 определяет членство в группах при входе пользователей в систему. В случае изменения членства пользователя в группе такому пользователю может понадобиться выйти, а затем снова войти в систему, чтобы изменения вступили в силу.

Создание групп рассылки электронной почты

Microsoft Exchange Online использует группу рассылки электронной почты как единого получателя электронной почты для нескольких пользователей. Например, можно создать группу рассылки электронной почты, содержащую всех учащихся. Затем можно отправлять сообщения в группу рассылки электронной почты, не адресуя их индивидуально каждому учащемуся.

Можно создавать группы распределения электронной почты по сфере деятельности (например, преподаватель, администрация или учащийся) или по определенным интересам (например, робототехника, театральный кружок или футбольная команда). Можно создавать любое количество групп рассылки, и пользователи могут состоять в нескольких группах одновременно.

Примечание.  Процесс создания Exchange Online в Office 365 может занять некоторое время. Прежде чем перейти к выполнению следующих действий, следует дождаться завершения процесса создания.

Сведения о создании групп рассылки электронной почты см. в разделе Создание группы Office 365 в центре администрирования.

Сводка

Выполнен массовый импорт учетных записей пользователей в Office 365. Сначала был выбран метод массового импорта. Затем в Office 365 созданы группы безопасности Office 365. В завершение созданы группы рассылки электронной почты Office 365. Далее следует назначение пользовательских лицензий для Azure AD Premium.

Назначение пользовательских лицензий для Azure AD Premium

Если вы включили Azure AD Premium, как описано в разделе Включение Azure AD Premium, теперь нужно назначить лицензии Azure AD Premium для пользователей, которым необходимы возможности, предлагаемые этим выпуском. Например, вы можете захотеть, чтобы пользователи, имеющие доступ к конфиденциальной информации об учащихся, использовали MFA. В таком случае можно назначить Azure AD Premium только таким пользователям.

Дополнительные сведения о назначении пользовательских лицензий для Azure AD Premium см. в разделе Назначение лицензий EMS/Azure AD Premium учетным записям пользователей.

Создание и настройка портала Магазина Майкрософт для бизнеса

Магазин Майкрософт для бизнеса позволяет создавать собственный закрытый портал для управления приложениями Microsoft Store в вашем учреждении. Магазин Майкрософт для бизнеса обеспечивает следующие возможности:

  • Поиск и приобретение приложений Microsoft Store
  • Управление приложениями, лицензиями приложений и обновлениями.
  • Распространение приложений среди пользователей.

Подробнее о Магазине Майкрософт для бизнеса можно узнать в разделе Обзор Магазина Майкрософт для бизнеса.

В настоящем разделе описан процесс создания и настройки портала Магазина Майкрософт для бизнеса в учебном заведении.

Создание и настройка портала Магазина Майкрософт для бизнеса

Для создания и настройки портала Магазина Майкрософт для бизнеса достаточно войти в Магазин Майкрософт для бизнеса от имени администратора подписки Office 365. Магазин Майкрософт для бизнеса автоматически создаст портал для учреждения и использует вашу учетную запись в качестве администратора.

Создание и настройка портала Магазина Майкрософт для бизнеса

  1. Введите http://microsoft.com/business-store в адресной строке Microsoft Edge или Internet Explorer.

  2. На странице Магазина Майкрософт для бизнеса выберите Вход для учетной записи организации.

  3. На странице входа в Магазин Майкрософт для бизнеса войдите на учетную запись администратора подписки Office 365, созданную в разделе Создание новой подписки Office 365 для образования.

  4. На странице Соглашение об использовании служб Магазина Майкрософт для бизнеса ознакомьтесь с соглашением, выберите Я принимаю настоящее соглашение и подтверждаю свои полномочия связать свою организацию условиями настоящего соглашения, а затем нажмите Принять.

  5. В диалоговом окне Добро пожаловать в Магазин Майкрософт для бизнеса выберите ОК.

Создав портал Магазина Майкрософт для бизнеса, выполните его настройку с помощью команд в меню Параметры, указанных в таблице 14. В зависимости от учреждения для дополнительной настройки портала вам может понадобиться изменить эти параметры (или нет).

Возможности меню Ваши действия в данном меню
Сведения об учетной записи Отображение сведений об учетной записи Магазина Майкрософт для бизнеса (без изменяемых параметров). Изменить эту информацию можно в Office 365 или на портале управления Azure. Подробнее: Обновление параметров учетной записи Магазина Майкрософт для бизнеса.
подпись Device Guard Позволяет загружать и подписывать файлы каталога и политики Device Guard. Дополнительные сведения о Device Guard см. в руководстве по развертыванию Device Guard.
Издатели бизнес-приложений Позволяет добавлять бизнес издателей (LOB) для предоставления им возможности публиковать свои приложения в вашем частном магазине. Издатели бизнес-приложений являются обычно внутренними разработчиками или поставщиками программного обеспечения, работающими в учреждении. Подробнее: Работа с бизнес-приложениями.
Средства управления Позволяет добавлять средства, которые можно использовать для распространения (развертывания) приложений в вашем частном магазине. Подробнее: Распространение приложений с помощью средства управления.
Автономное лицензирование Позволяет показывать (или не показывать) приложения с автономным лицензированием пользователям, осуществляющим покупки в вашем частном магазине. Подробнее см. в разделе "Модель лицензирования: сетевые и автономные лицензии" в статье Приложения в Магазине Майкрософт для бизнеса.
Разрешения Предоставляет другим пользователям в вашей организации возможность покупки, управления и администрирования портала Магазина Майкрософт для бизнеса. Можно также отзывать предоставленные ранее разрешения. Подробнее см. в разделе Роли и разрешения в Магазине Майкрософт для бизнеса.
Частный магазин Позволяет изменять название организации, используемое в Магазине Майкрософт для бизнеса. При создании портала частного магазина используется название организации, указанное для создания подписки Office 365. Подробнее см. в разделе Распространение приложений с помощью частного магазина.

Таблица 14. Возможности в меню настройки параметров Магазине Майкрософт для бизнеса

Поиск, приобретение и распространение приложений на портале

После создания портала Магазина Майкрософт для бизнеса можно перейти к поиску, приобретению и распространению приложений, которые будут добавлены на портал. Это делается из страницы Учет в Магазине Майкрософт для бизнеса.

Примечание.  Для оплаты приложений в Магазине Майкрософт для бизнеса допускается использование образовательным учреждением кредитной карты или заказа на покупку.

Можно развернуть приложения для отдельных пользователей или обеспечить доступ к приложениям для всех пользователей вашего частного магазина. При развертывании приложений для отдельных пользователей доступ к ним появится только для указанных пользователей. Предоставление доступа к приложениям через ваш частный магазин позволяет всем пользователям устанавливать приложения.

Дополнительные сведения о поиске, приобретении и распространении приложений на портале см. в разделе Управление перечнем приложений Магазина Майкрософт для бизнеса.

Краткий обзор

В данном разделе описана надлежащая настройка портала Магазина Майкрософт для бизнеса. Также рассмотрен поиск и приобретение приложений из Microsoft Store. В завершении обсуждено развертывание приобретенных приложений Microsoft Store для пользователей. Далее следует развертывание приложений Microsoft Store для пользователей.

План для развертывания

Для развертывания Windows 10 на устройствах или обновления устройств до Windows 10 используется процесс развертывания LTI в MDT. Перед подготовкой к развертыванию необходимо принять ряд решений по планированию развертывания, в том числе выбрать подлежащие использованию оперативные системы, подход к созданию образов Windows 10, а также метод, используемый для инициирования процесса развертывания LTI.

Выбор операционных систем

Далее процессом предусмотрен импорт версий Windows 10, подлежащих развертыванию. Можно развернуть операционную систему на новом устройстве, а также выполнить восстановление или обновление существующих устройств. При выполнении:

  • Для новых устройств или восстановления существующих устройств производится замена существующей операционной системы устройства на Windows 10.
  • При обновлении существующих устройств производится обновление существующей операционной системы (операционная система Windows 8.1 или Windows 7) до Windows 10.

Исходя из потребностей учебного заведения может понадобиться комбинация следующих выпусков Windows 10:

  • Windows 10 Pro. Данная операционная система предназначена для следующего:

    • Обновление допустимых существующих корпоративных и частных устройств под управлением Windows 8.1 Профессиональная или Windows 7 Профессиональная до Windows 10 Pro.
    • Развертывание на устройствах новых экземпляров Windows 10 Pro для оснащения новых устройств известной конфигурацией.
  • Windows 10 для образовательных учреждений. Данная операционная система предназначена для следующего:

    • Обновление устройств учреждения до Windows 10 для образовательных учреждений.
    • Развертывание на устройствах новых экземпляров Windows 10 для образовательных учреждений для оснащения новых устройств известной конфигурацией.

Примечание  На устройствах учреждения допускается использование ОС Windows 10 Домашняя, однако Майкрософт рекомендует использовать Windows 10 Pro или Windows 10 для образовательных учреждений. Windows 10 Pro и Windows 10 для образовательных учреждений обеспечивают поддержку для MDM, управления на основе политики и Магазина Майкрософт для бизнеса — компонентов, недоступных в Windows 10 Домашняя. Дополнительные сведения о том, как выполнить обновление Windows 10 Домашняя до Windows 10 Pro или Windows 10 для образовательных учреждений, см. в разделе Обновление выпуска Windows 10.

Дополнительные сведения о выпусках Windows 10 см. в разделе Сравнение выпусков Windows 10.

Возможно также совмещать различные архитектуры процессоров, которые будут поддерживаться. По возможности рекомендуется поддерживать только 64-разрядные версии Windows 10. При наличии устройств, способных работать только с 32-разрядными версиями Windows 10, необходимо импортировать 64-разрядные и 32-разрядные версии вышеперечисленных выпусков Windows 10.

Примечание  На устройствах, обладающих минимальными системными ресурсами (например, устройства с 2 ГБ памяти или хранилищем 32 ГБ), рекомендуется использовать 32-разрядные версии Windows 10, так как 64-разрядные версии Windows 10 повышают нагрузку на системные ресурсы устройства.

Наконец рекомендуется минимизировать количество операционных систем, подлежащих развертыванию и управлению. По возможности рекомендуется использовать один выпуск Windows 10 для всех устройств учреждения (например, 64-разрядую версию Windows 10 для образовательных учреждений или Windows 10 Pro). Использовать единую определенную версию операционной системы или архитектуру процессора для частных устройств, разумеется, невозможно.

Выбор подхода к образам

Основное решение образа операционной системы заключается в использовании тонкого или толстого образа. Тонкие образы содержат только операционную систему, а MDT устанавливает на устройство необходимые драйверы и приложения после установки операционной системы. Толстые образы содержат операционную систему, «основные» приложения (например, Office) и драйверы устройств. При использовании толстого образа MDT устанавливает на устройство драйверы и приложения, не включенные в толстый образ, после установки операционной системы.

Преимущество тонкого образа заключается в динамичности конфигурации развертывания: ее можно легко изменить без необходимости захвата другого образа. Недостатком тонких образов является повышенная продолжительность полного развертывания.

Преимущество толстого образа заключается в меньшей продолжительности развертывания по сравнению с тонким образом. Недостаток толстого образа заключается в необходимости захвата нового образа при каждом изменении операционной системы, приложений или другого программного обеспечения в образе.

В этом руководстве рассматривается развертывание толстого образа. Сведения о развертывании тонких образов см. в разделе Развертывание Windows 10 в учебном заведении.

Выбор метода запуска развертывания

Процесс развертывания LTI высоко автоматизирован: для него требуется минимальная информация для развертывания или обновления Windows 10. Процесс развертывания ZTI полностью автоматизирован, но вам необходимо инициировать его вручную. Для этого выберите метод из списка в таблице 15, являющийся наиболее подходящим для вашего учреждения.

Метод Описание и причины выбора данного метода
Службы развертывания Windows

Этот метод:

  • Использует бездисковые загрузки для запуска развертываний LTI и ZTI.
  • Работает только с устройствами, поддерживающими загрузку PXE.
  • Выполняет развертывание Windows 10 по сети, для чего требуется большая пропускная способность сети, чем при развертывании с локального носителя.
  • Развертывает образы медленнее, чем при использовании локальных носителей.
  • Требует развернуть сервер служб развертывания Windows.

Данный метод рекомендуется при необходимости развертывания Windows по сети и выполнения бездисковой загрузки. Преимущество этого метода — бездисковые носители являются универсальными и обычно не требуют обновления после создания их (LTI и ZTI получают доступ к центрально расположенному содержимому развертывания по сети). Недостаток данного метода состоит в том, что развертывание по сети происходит медленнее, чем с локального носителя, а также появляется необходимость развернуть сервер служб развертывания Windows.
Загрузочный носитель

Этот метод:

  • Инициирует развертывание LTI или ZTI путем загрузки с локального носителя, например, с USB-накопителя, DVD- или компакт-диска.
  • Выполняет развертывание Windows 10 по сети, для чего требуется большая пропускная способность сети, чем при развертывании с локального носителя.
  • Выполняет развертывание образа медленнее, чем при использовании локального носителя.
  • Не требует дополнительной инфраструктуры.

Данный метод рекомендуется при необходимости развертывания Windows по сети и загрузки на целевое устройство с локального носителя. Преимущество этого метода — носители являются универсальными и обычно не требуют обновления после создания их (LTI и ZTI получают доступ к центрально расположенному содержимому развертывания по сети). Недостатком этого метода является повышенная продолжительность развертывания по сети по сравнению с локальным носителем.
Носитель развертывания

Этот метод:

  • Инициирует развертывание LTI или ZTI путем загрузки с локального жесткого диска USB.
  • Выполняет развертывание Windows 10 с локального носителя, для чего требуется меньше пропускной способности сети, чем при использовании сетевых методов.
  • Позволяет выполнить развертывание быстрее, чем при использовании сетевых методов.
  • Требует жесткий диск USB, необходимый для хранения общей папки развертывания (до 100 ГБ).

Данный метод рекомендуется при необходимости выполнить локальное развертывание и возможности выполнить загрузку на целевое устройство с жесткого диска USB. Преимущество данного метода заключается в более оперативном развертывании, чем при выполнении по сети. Недостатком этого метода является то, что при каждом изменении общей папки развертывания или распространении содержимого точки, необходимо заново создавать носитель развертывания и обновлять жесткий диск USB.

Таблица 15. Методы для запуска развертываний LTI и ZTI

Сводка

В данном разделе описаны подлежащие развертыванию выпуски Windows 10 и архитектура процессоров (с последующим импортом в ходе процесса). Также обсуждено использование тонких и толстых образов. В завершение рассмотрены методы запуска развертывания LTI или ZTI. Далее следует подготовка Windows 10 к развертыванию.

Подготовка к развертыванию

Прежде чем можно будет развернуть Windows 10 и ваши приложения на устройства, необходимо подготовить свою среду MDT, службы развертывания Windows и System Center Configuration Manager (если вы выбрали его для развертывания операционной системы в разделе Выбор методов развертывания). В этом разделе вы убедитесь, что методы развертывания, выбранные в разделе Выбор методов развертывания имеют необходимые выпуски и версии Windows 10, классических приложений для Windows, приложения Microsoft Store и драйверы устройств.

Настройка общей папки развертывания MDT

На первом этапе подготовки к развертыванию Windows 10 выполняется конфигурация, то есть заполнение общей папки развертывания MDT. В таблице 16 перечислены задачи конфигурации общей папки развертывания MDT, подлежащие выполнению. Выполните задачи в порядке, представленном в таблице 16.

Задача Описание
1. Импорт операционных систем Импорт операционных систем, выбранных в разделе Выбор операционных систем, в общую папку развертывания. Дополнительные сведения об импорте операционных систем см. в разделе Импорт операционной системы в рабочую среду развертывания.
2. Импорт драйверов устройств Драйверы устройств обеспечивают Windows 10 данными об аппаратных ресурсах устройства и подключенных аппаратных компонентах. Без нужных драйверов устройств некоторые функции могут быть недоступны. Например, без надлежащего аудиодрайвера устройству не удается воспроизвести звук; без надлежащего драйвера камеры устройству не удастся сделать фото или использовать видеочат.

Импорт драйверов для каждого устройства в вашем учреждении. Дополнительные сведения об импорте драйверов устройств см. в разделе Импорт драйверов в устройств в рабочую среду развертывания.
3. Создайте приложения MDT для приложений Microsoft Store Создайте приложения MDT для каждого приложения Microsoft Store, подлежащего развертыванию. Приложения Microsoft Store можно развертывать с помощью загрузки неопубликованных приложений, позволяющей использовать командлет Add-AppxPackage Windows PowerShell для развертывания APPX-файлов, связанных с приложением (под названием подготовленные приложения). Данный метод позволяет развертывать в Windows 10 до 24 приложений.

Перед загрузкой неопубликованных APPX-файлов следует получить APPX-файлы Microsoft Store, которые будут использоваться для развертывания (загрузки неопубликованных) приложений в подготавливаемом пакете. Для приложений в Microsoft Store необходимо будет получить APPX-файлы, выполнив одно из следующих действий:

  • Для приложений с автономным лицензированием загрузите APPX-файлы из Магазина Майкрософт для бизнеса.
  • Для приложений, которые не имеют автономных лицензий, получите APPX-файлы непосредственно у поставщиков программного обеспечения.

Если у вас нет возможности получить APPX-файлы у поставщиков программного обеспечения, тогда вам или учащимся придется установить приложения на учебные устройства непосредственно из Microsoft Store или Магазина Майкрософт для бизнеса.

Если у вас есть Intune или System Center Configuration Manager, вы можете развернуть приложения Microsoft Store после развертывания Windows10, как описано в разделах Развертывание приложений и управление ими с помощью Intune и Развертывание приложений и управление ими с помощью System Center Configuration Manager. Этот метод обеспечивает детальное развертывание приложений Microsoft Store, и его можно использовать для непрерывного управления этими приложениями. Это предпочтительный способ развертывания приложений Microsoft Store и управления ими.

Кроме того, необходимо подготовить среду для загрузки неопубликованных приложений Microsoft Store. Дополнительные сведения о:

4. Создание приложений MDT для классических приложений для Windows Необходимо создать приложение MDT для каждого классического приложения для Windows, которое требуется развернуть. Классические приложения для Windows можно получить из любого источника, однако убедитесь в наличии достаточного количества лицензий для них.

Чтобы упростить развертывание классических приложений Microsoft Office2016, используйте средство развертывания Office, как описано в разделе Развертывание продуктов Office365 «нажми и работай» с помощью средства развертывания Office.

Если у вас есть Intune, можно развернуть классические приложения для Windows после развертывания Windows10, как описано в разделе Развертывание приложений и управление ими с помощью Intune. Этот метод обеспечивает детальное развертывание классических приложений для Windows, и его можно использовать для непрерывного управления этими приложениями. Это предпочтительный метод развертывания и управления классическими приложениями для Windows.

Примечание.  Классические приложения для Windows также можно развернуть после развертывания Windows10, как описано в разделе Развертывание приложений и управление ими с помощью Intune. Дополнительные сведения о том, как создать приложение MDT для классических приложений для Windows, см. в разделе Создание нового приложения в Deployment Workbench.
5. Создание последовательности задач

Необходимо создать последовательность отдельных задач для каждого выпуска Windows10, архитектуры процессора, процесса обновления операционной системы и процесса развертывания новой операционной системы. Как минимум, создайте последовательность задач для каждой операционной системы Windows10, импортированной на этапе1. Например, если необходимо: (1) развернуть Windows10 для образовательных учреждений на новых устройствах или обновить существующие устройства с помощью нового развертывания Windows10 для образовательных учреждений; (2) обновить имеющиеся устройства под управлением Windows8.1 или Windows7 до Windows10 для образовательных учреждений; (3) выполнить развертывания и обновления для 32- и 64-разрядных версий Windows10. Для этого необходимо создать последовательность указанных ниже задач.

  • Развертывание на устройствах 64-разрядной версии Windows10 для образовательных учреждений.
  • Развертывание на устройствах 32-разрядной версии Windows10 для образовательных учреждений.
  • Обновление существующих устройств до 64-разрядной версии Windows10 для образовательных учреждений.
  • Обновление существующих устройств до 32-разрядной версии Windows10 для образовательных учреждений.

Еще раз напоминаем, что вы сможете создать последовательность задач на основе операционных систем, импортированных на этапе1. Дополнительные сведения о том, как создать последовательность задач, см. в разделе Создание новой последовательности задач в Deployment Workbench.
6. Обновление общей папки развертывания Обновление общей папки развертывания создает образы загрузки MDT, используемые для запуска процесса развертывания Windows10. Можно настроить процесс создания 32- и 64-разрядных версий ISO- и WIM-файлов, которые могут использоваться для создания загрузочного носителя и служб развертывания Windows.

Дополнительные сведения о том, как обновить общую папку развертывания, см. в разделе Обновление общей папки развертывания в Deployment Workbench.

Таблица16. Задачи для настройки общей папки развертывания MDT

Настройка System Center Configuration Manager

Примечание.  Если вы уже настроили инфраструктуру System Center Configuration Manager для поддержки функции развертывания операционной системы или выбрали способ развертывания Windows10 только с помощью MDT, пропустите этот раздел и переходите к следующему.

Прежде чем можно будет использовать System Center Configuration Manager для развертывания Windows10 и управления приложениями и устройствами, необходимо настроить System Center Configuration Manager для поддержки функции развертывания операционной системы. Если у вас нет существующей инфраструктуры System Center Configuration Manager, необходимо развернуть новую инфраструктуру.

Развертывание новой инфраструктуры System Center Configuration Manager не описано в данном руководстве, но указанные ниже ресурсы помогут вам развернуть новую инфраструктуру System Center Configuration Manager.

Настройка существующей инфраструктуры System Center Configuration Manager для развертывания операционной системы

  1. Внесите в инфраструктуру все необходимые изменения.

    Убедитесь, что существующая инфраструктура поддерживает функцию развертывания операционной системы. Дополнительные сведения см. в разделе Требования к инфраструктуре для развертывания операционной системы в System Center Configuration Manager.

  2. Добавьте образы загрузки WindowsPE, операционные системы Windows10 и другое содержимое.

    Необходимо добавить образы загрузки WindowsPE, образы операционной системы Windows10 и другое содержимое развертывания, которое будет использоваться для развертывания Windows10 с ZTI. Чтобы добавить это содержимое, используйте мастер создания последовательности задач MDT.

    Это содержимое можно добавить с помощью System Center Configuration Manager (без MDT), но мастер создания последовательности задач MDT является предпочтительным, поскольку он запросит все содержимое развертывания, необходимое для последовательности задач, а также обеспечит гораздо более интуитивно понятное взаимодействие с пользователем. Дополнительные сведения см. в разделе Создание последовательности задач ZTI с помощью мастера создания последовательности задач MDT в Configuration Manager.

  3. Добавьте драйверы устройств.

    Необходимо добавить драйверы устройств для различных типов устройств в вашем округе. Например, если у вас есть устройства Surface, HP Stream, Dell Inspiron и Lenovo Yoga, тогда у вас должны быть драйверы для каждого из этих устройств.

    Создайте пакет драйверов System Center Configuration Manager для каждого типа устройства в вашем округе. Дополнительные сведения см. в разделе Управление драйверами в System Center ConfigurationManager.

  4. Добавьте приложения для Windows.

    Установите приложения Windows (классические приложения для Windows и приложения Microsoft Store), которые необходимо развернуть, после того, как последовательность задач развернет настраиваемый образ («толстый», эталонный образ, включающий классические приложения для Windows10 и основной версии Windows). Эти приложения являются дополнением к приложениям, включенным в эталонный образ. Поскольку приложения Microsoft Store невозможно записать в эталонный образ, их можно развернуть только после развертывания Windows10. Целевыми пользователями приложений Microsoft Store являются люди, а не устройства.

    Создайте приложение System Center Configuration Manager для каждого классического приложения для Windows или приложения Microsoft Store, которое необходимо развернуть, после применения эталонного образа к устройству. Дополнительные сведения см. в разделе Развертывание приложений и управление ими с помощью System Center Configuration Manager.

Настройка служб развертывания Windows для MDT

Службы развертывания Windows можно использовать в сочетании с MDT для автоматического запуска образов загрузки на целевых устройствах. Этими образами загрузки могут быть образы WindowsPE (которые были созданы на этапе6 в таблице16) или пользовательские образы, которые могут развертывать операционные системы непосредственно на целевых устройствах.

Настройка служб развертывания Windows для MDT

  1. Установите и настройте службы развертывания Windows.

    Службы развертывания Windows— это роль сервера, доступная во всех выпусках Windows Server. Можно включить роль сервера служб развертывания Windows на новом сервере или на любом сервере под управлением Windows Server в вашем учреждении.

    Дополнительные сведения о том, как это сделать, см. в указанных ниже разделах.

  2. Добавьте образы загрузки LTI (образы WindowsPE) в службы развертывания Windows.

    Образы загрузки LTI (WIM-файлы), которые вы будете добавлять в службы развертывания Windows, находятся в общей папке развертывания MDT. Найдите WIM-файлы во вложенной папке загрузки общей папки развертывания.

    Дополнительные сведения о том, как это сделать, см. в разделе Добавление образов загрузки LTI в службы развертывания Windows.

Настройка служб развертывания Windows для System Center Configuration Manager

Примечание.  Если вы уже настроили инфраструктуру System Center Configuration Manager для поддержки загрузки PXE или выбрали способ развертывания Windows10 только с помощью MDT, пропустите этот раздел и переходите к следующему.

Службы развертывания Windows можно использовать в сочетании с System Center Configuration для автоматического запуска образов загрузки на целевых устройствах. Такими образами загрузки являются образы WindowsPE, которые используются для загрузки на целевые устройства и последующего развертывания приложения для Windows10 и драйверов устройств.

Настройка служб развертывания Windows для System Center Configuration Manager

  1. Установите и настройте службы развертывания Windows.

    Службы развертывания Windows— это роль сервера, доступная во всех выпусках Windows Server. Можно включить роль сервера служб развертывания Windows на новом сервере или на любом сервере под управлением Windows Server в вашем учреждении.

    Дополнительные сведения о том, как это сделать, см. в указанных ниже разделах.

  2. Настройте точку распространения для принятия PXE-запросов в System Center Configuration Manager.

    Для поддержки запросов загрузки PXE необходимо установить роль системы сайта точки обслуживания PXE. Затем следует настроить одну или несколько точек распространения для ответа на запрос загрузки PXE. Дополнительные сведения о том, как это сделать, см. в разделах Установка ролей системы сайта для System Center Configuration Manager, Использование PXE для развертывания Windows по сети с помощью System Center Configuration Manager и Настройка точек распространения для приема PXE-запросов.

  3. Настройте соответствующие образы загрузки (образы WindowsPE) для развертывания из точки распространения с поддержкой PXE.

    Перед тем как устройство запустит образ загрузки из точки распространения с поддержкой PXE, необходимо изменить свойства образа загрузки, чтобы разрешить загрузку PXE. Как правило, этот образ загрузки создается при создании последовательности задач MDT в консоли Configuration Manager.

    Дополнительные сведения о том, как это сделать, см. в разделах Настройка образа загрузки для развертывания из точки распространения с поддержкой PXE и Управление образами загрузки для System Center Configuration Manager.

Сводка

Общая папка развертывания MDT и System Center Configuration Manager теперь готовы к развертыванию. Службы развертывания Windows готовы начать процесс развертывания LTI или ZTI. Вы установили и настроили службы развертывания Windows для MDT и для System Center Configuration Manager. Вы также убедились, что образы загрузки доступны для служб развертывания Windows (для LTI) или точек распространения (для ZTI и System Center Configuration Manager). Теперь все готово для записи эталонных образов для различных устройств, которые имеются в вашем округе.

Запись эталонного образа

Эталонное устройство— это устройство, которое можно использовать в качестве шаблона для всех остальных устройств в вашем округе. На этом устройстве можно установить любые классические приложения для Windows, необходимые для работы в аудитории. Например, установите классические приложения для Windows для Office365 ProPlus, если вы выбрали этот план лицензирования для учебы.

После развертывания Windows10 и классических приложений на эталонном устройстве можно записать образ устройства (эталонный образ). Можно импортировать эталонный образ в общую папку развертывания MDT или в System Center Configuration Manager. Наконец, можно создать последовательность задач для развертывания эталонного образа для устройств преподавателей и учащихся.

Будет записано несколько эталонных образов, по одному для каждого типа устройства, использующегося в вашей организации. Этапы, описанные в этом разделе, следует выполнить для каждого образа (устройства), имеющегося в вашем округе. Используйте LTI в MDT для автоматизации развертывания и записи эталонного образа.

Примечание.  Для автоматизации развертывания и записи эталонного образа можно использовать LTI в System Center Configuration Manager или MDT, но в этом руководстве рассматривается только использование LTI в MDT для записи эталонного образа.

Настройка общей папки развертывания MDT

Изначально в разделе Настройка общей папки развертывания MDT, приведенном ранее в этом руководстве, вы настроили общую папку развертывания MDT. В этом разделе вы настроили общую папку развертывания для универсального использования. Теперь необходимо настроить общую папку развертывания, чтобы развернуть на каждом эталонном устройстве соответствующий выпуск Windows10, классические приложения и драйверы устройств.

Настройка общей папки развертывания MDT

  1. Создайте последовательность задач для развертывания соответствующего выпуска Windows10.

    Последовательность задач может развернуть только один выпуск или одну версию Windows10. Это означает, что необходимо создать последовательность задач для каждого выпуска и каждой версии Windows10, выбранных в разделе Выбор операционных систем данного руководства. Чтобы создать последовательность задач, используйте мастер создания новой последовательности задач.

    Дополнительные сведения см. в разделе Создание новой последовательности задач в Deployment Workbench.

  2. Создайте приложение MDT для каждого классического приложения, которое необходимо включить в эталонный образ.

    Создать приложения MDT можно с помощью мастера создания приложений в Deployment Workbench. При создании приложения MDT укажите параметры командной строки, которые использовались для установки приложения без вмешательства пользователя (автоматической установки). Дополнительные сведения см. в разделе Создание нового приложения в Deployment Workbench.

  3. Настройте последовательность задач для установки приложений MDT, созданную на этапе2.

    К последовательности задач можно добавить такой этап, как Установка приложения. Затем можно настроить этап последовательности задач Установка приложения для установки конкретного приложения. На этом этапе приложение устанавливается автоматически без участия пользователя во время выполнения последовательности задач.

    Необходимо добавить этап последовательности задач Установка приложения для каждого приложения, которое должно быть включено в эталонный образ. Дополнительные сведения см. в разделе Настройка установки приложения в последовательности задач.

  4. Создайте профиль выборки, содержащий драйверы для устройства.

    Профиль выборки позволяет выбрать определенные драйверы устройства. Например, если вы хотите развернуть драйверы для устройства Surface Pro4, можно создать профиль выборки, который содержит только драйверы устройства Surface Pro4.

    Сначала в узле Out-of-Box Drivers в Deployment Workbench создайте папку, которая будет содержать драйверы устройства. Затем импортируете драйверы устройства в только что созданную папку. И, наконец, создайте профиль выборки и укажите папку, содержащую драйверы устройства. Дополнительные сведения см. в указанных ниже разделах.

  5. Настройте последовательность задач для использования профиля выборки, созданного на этапе4.

    Можно настроить шаг последовательности задач Внедрение драйверов в группе последовательности задач Предустановка, чтобы развернуть только драйверы устройств в профиль выборки. Дополнительные сведения см. в разделе Настройка последовательности задач для развертывания драйверов устройств в профилях выборки для развертываний LTI.

Запись эталонного образа

Чтобы записать эталонный образ, запустите последовательность задач LTI, созданную в предыдущем разделе. Последовательность задач LTI позволяет указать место хранения и имя для WIM-файла, который содержит записанный образ.

С помощью мастера развертывания разверните на устройстве Windows10 приложения и драйверы устройств, а затем запишите WIM-файл. Процесс развертывания LTI почти полностью автоматизирован: в начале процесса необходимо предоставить мастеру развертывания только минимальные сведения. После сбора мастером необходимых сведений остальная часть процесса будет протекать в полностью автоматическом режиме.

Примечание.  Чтобы полностью автоматизировать процесс развертывания LTI, выполните действия, указанные в разделе «Полностью автоматизированный сценарий развертывания LTI» руководства по Microsoft Deployment Toolkit.

В большинстве случаев развертывания происходят без инцидента. Проблемы при развертывании возникают только в редких случаях.

Развертывание Windows10

  1. Запустите процесс развертывания LTI. Для этого используйте загрузку по сети (загрузка PXE) или с локального носителя. Метод для запуска процесса развертывания LTI был выбран ранее, в разделе Выбор метода для запуска развертывания данного руководства.

  2. Завершите работу мастера развертывания. Дополнительные сведения о завершении работы мастера развертывания см. в пункте «Запуск мастера развертывания» раздела Использование Microsoft Deployment Toolkit.

Импорт эталонного образа

После записи эталонного образа (WIM-файл) импортируйте образ в общую папку развертывания MDT или в System Center Configuration Manager (в зависимости от того, какой метод был выбран для развертываний Windows10). Эталонный образ будет развернут на устройствах для учащихся и преподавателей в вашем округе.

Как в Deployment Workbench, так и в консоли Configuration Manager имеются мастера, которые помогают импортировать эталонный образ. После импорта эталонного образа необходимо создать последовательность задач для его развертывания.

Дополнительные сведения о том, как импортировать эталонный образ в:

Создание последовательности задач для развертывания эталонного образа

В ходе этого процесса ранее вы создали последовательность задач LTI в Deployment Workbench для развертывания Windows10 и классических приложений на эталонном устройстве. Теперь, когда эталонный образ записан и импортирован, необходимо создать последовательность задач для развертывания.

Как можно было ожидать, в Deployment Workbench и в консоли Configuration Manager имеются мастера, которые помогают создать изначальную последовательность задач. После создания последовательности задач в большинстве случаев необходимо будет настроить ее для развертывания дополнительных приложений, драйверов устройств и других программ.

Дополнительные сведения о создании последовательности задач в:

Сводка

В этом разделе вы настроили общую папку развертывания MDT, чтобы развернуть Windows10 и классические приложения для одного или нескольких эталонных устройств, путем создания и настройки приложений MDT, драйверов устройств и приложений. После этого была запущена последовательность задач, которая развертывает Windows10, приложения и соответствующие драйверы устройств, а также записывает образ эталонного устройства. Затем вы импортировали записанный эталонный образ в общую папку развертывания или в System Center Configuration Manager. Наконец, вы создали последовательность задач для развертывания записанного эталонного образа для устройств для преподавателей и учащихся. На этом этапе все готово для развертывания Windows10 и приложений на устройствах.

Подготовка к управлению устройствами

Перед развертыванием Windows10 в вашем округе необходимо подготовиться к управлению устройствами. Windows10 будет развернута в конфигурацию, которая соответствует вашим требованиям, однако вы хотите обеспечить совместимость развертываний.

Вы также хотите развернуть приложения и обновления программного обеспечения после развертывания Windows10. Для этого необходимо управлять приложениями и обновлениями с помощью System Center Configuration Manager, Intune или сочетания обеих средств (гибридный модели).

Выбор параметров, рекомендуемых Майкрософт

Корпорация Майкрософт предоставляет несколько рекомендуемых параметров для образовательных учреждений. В таблице17 указаны эти параметры с кратким описанием того, почему необходимо их настроить, и приведены рекомендуемые методы для настройки данных параметров. Ознакомьтесь с параметрами в таблице17 и оцените их релевантность для вашего учреждения.

Примечание.  Указанные в таблице17 параметры для Intune также применимы к System Center Configuration Manager и методу управления Intune (гибридная модель).

Сведения в таблице17 помогут определить, требуется ли определенный параметр и с помощью какого способа его можно настроить. В конце приведен список параметров, которые можно применить к устройствам Windows10, и описание способов управления для настройки параметров.

Рекомендация Описание
Использование учетных записей Майкрософт Необходимо, чтобы преподаватели и учащиеся использовали только учетные записи Azure AD для собственных устройств учреждения. Для этих устройств не используйте учетные записи Майкрософт и не связывайте учетную запись Майкрософт с учетными записями Azure AD.

Примечание.  Личные устройства обычно используют учетные записи Майкрософт. Преподаватели и учащиеся могут связать свою учетную запись Майкрософт с учетной записью Azure AD на этих устройствах.

Групповая политика. Настройте параметр групповой политики Учетные записи: блокировать учетные записи Майкрософт для использования параметра Пользователи не могут добавлять учетные записи Майкрософт.

Intune. Чтобы включить или отключить использование учетных записей Майкрософт, используйте параметры политики Разрешить учетную запись Майкрософт, Разрешить добавление учетных записей, отличных от учетных записей Майкрософт, вручную и Разрешить синхронизацию параметров учетных записей Майкрософт в разделе Учетные записи и синхронизация политики Общая конфигурация Windows10.
Ограничение учетных записей локальных администраторов на устройствах Убедитесь, что локальными администраторами устройств учреждения являются только авторизованные пользователи. Как правило, не нужно, чтобы учащиеся выполняли роль администраторов на устройствах учреждения. Четко указываете пользователей, которые будут локальными администраторами на группе устройств.

Групповая политика. Создайте настройку групповой политики Локальная группа, чтобы ограничить членство в группе локальных администраторов. Установите флажки «Удалить всех пользователей-членов этой группы» и «Удалить все группы-члены этой группы», чтобы удалить всех существующих пользователей. Дополнительные сведения о том, как настроить предпочтения локальной группы, см. в разделе «Настройка элемента локальной группы».

Intune. Недоступен.
Управление встроенной учетной записью администратора, созданной во время развертывания устройств При использовании MDT для развертывания Windows10 процесс развертывания MDT автоматически создает учетную запись локального администратора под указанным вами паролем. По соображениям безопасности переименуйте встроенную учетную запись администратора и, при необходимости, отключите ее.

Групповая политика. Чтобы переименовать встроенную учетную запись администратора, используйте параметр групповой политики Учетные записи: переименование учетной записи администратора. Дополнительные сведения о том, как переименовать встроенную учетную запись администратора см. в разделе Переименование учетной записи администратора с помощью консоли управления групповыми политиками. Укажите новое имя учетной записи администратора. Чтобы отключить встроенную учетную запись администратора, используйте параметр групповой политики Учетные записи: состояние учетной записи «Администратор». Дополнительные сведения о том, как отключить встроенную учетную запись администратора, см. в разделе Учетные записи: состояние учетной записи «Администратор».

Intune. Недоступен.
Управление доступом к Microsoft Store Можно управлять доступом к Microsoft Store, а также указать, будут ли существующие приложения Microsoft Store получать обновления. Приложение Microsoft Store можно отключить только в Windows10 для образовательных учреждений и в Windows10 Корпоративная.

Групповая политика. Чтобы отключить приложение Microsoft Store, используйте параметр групповой политики Отключить приложение из Microsoft Store. Чтобы приложения Microsoft Store не получали обновления, используйте параметр групповой политики Отключить автоматическое скачивание и установку обновлений. Дополнительные сведения о настройке этих параметров см. в разделе Могу ли я использовать групповую политику для управления Microsoft Store в своей организации?.

Intune. Чтобы включить или отключить доступ к Microsoft Store, используйте параметр политики Разрешить использование приложения из магазина в разделе Приложения политики Общая конфигурация Windows10.
Использование подключений к удаленному рабочему столу на устройствах Подключения к удаленному рабочему столу могут разрешить несанкционированный доступ к устройству. В зависимости от политики учреждения может потребоваться отключить подключения к удаленному рабочему столу на устройствах.

Групповая политика. Чтобы включить или отключить подключения к удаленному рабочему столу на устройствах, используйте параметр Разрешить пользователям удаленное подключение с помощью удаленного рабочего стола в расположении Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Подключения.

Intune. Недоступен.
Использование камеры Камера устройства может быть источником проблем конфиденциальности в образовательных учреждениях. В зависимости от политики учреждения можно отключить камеру на устройствах.

Групповая политика. Недоступно.

Intune. Чтобы включить или отключить камеру, используйте параметр политики Разрешить использование камеры в разделе Оборудование политики Общая конфигурация Windows10.
Использование звукозаписи Звукозапись (с помощью приложения «Студия звукозаписи») может быть источником проблем конфиденциальности в образовательных учреждениях. В зависимости от политики учреждения можно отключить приложение «Студия звукозаписи» на устройствах.

Групповая политика. Чтобы отключить приложение «Студия звукозаписи», используйте параметр групповой политики Не разрешать запуск приложения «Студия звукозаписи». С помощью политик AppLocker можно отключить другие приложения звукозаписи. Сведения о создании политик AppLocker см. в разделах Изменение политики AppLocker и Создание политик AppLocker.

Intune. Чтобы включить или отключить звукозапись, используйте параметр политики Разрешить запись речи в разделе Функции политики Общая конфигурация Windows10.
Использование снимка экрана Снимки экрана могут стать причиной разглашения данных и нарушения конфиденциальности в образовательных учреждениях. В зависимости от политики вашего учреждения, вы можете отключить возможность создания снимков экрана на ваших устройствах.

Групповая политика. Недоступно.

Intune. Для включения или отключения функции создания снимков экрана используйте параметр политики Разрешение создания снимков экрана в разделе Система политики Общая конфигурация Windows 10.
Использование служб определения местоположения. Предоставление информации о местоположении устройства может стать причиной разглашения данных или нарушения конфиденциальности в образовательных учреждениях. В зависимости от политики учреждения, вы можете отключить службу определения местоположения на устройствах.

Групповая политика. Для включения и отключения служб определения местоположения используйте параметр групповой политики Отключение функции определения местоположения в меню Пользовательские настройки\Компоненты Windows\Местоположение и датчики.

Intune. Для включения или отключения служб определения местоположения используйте параметр политики Разрешение использования геолокационных данных в разделе Оборудование политики Общая конфигурация Windows 10.
Изменение фонового рисунка Пользовательские фоновые рисунки могут стать причиной разглашения данных или нарушения конфиденциальности в образовательных учреждениях (если фоновый рисунок отображает сведения о пользователе или устройстве). В зависимости от политики вашего учреждения, вы можете запретить пользователям изменять фоновый рисунок на устройствах, принадлежащих учреждению.

Групповая политика. Для настройки фонового рисунка используйте параметр Фоновый рисунок рабочего стола в меню Пользовательские настройки\Административные шаблоны\Рабочий стол\Рабочий стол.

Intune. Недоступно.

Таблица17. Рекомендуемые параметры для образовательных учреждений

Настройка параметров с помощью групповой политики

Теперь все готово для настройки параметров с помощью групповой политики. Действия, описанные в данном разделе, предполагают наличие инфраструктуры AD DS. Здесь вы можете настроить параметры групповой политики, выбранные в разделе Выбор параметров, рекомендуемых Microsoft.

Дополнительные сведения о групповой политике см. в разделе Руководство по планированию и развертыванию групповой политики.

Настройка параметров групповой политики

  1. Создайте объект групповой политики (GPO), содержащий параметры групповой политики, выполнив действия, описанные в разделе Создание нового объекта групповой политики.

  2. Настройте параметры в ОГП, выполнив действия, описанные в разделе Изменение объекта групповой политики.

  3. Создайте связь между GPO и соответствующим сайтом AD DS, доменом или подразделением организации, выполнив действия, описанные в разделе Создание связи между объектом групповой политики и сайтом, доменом или подразделением организации.

Настройка параметров с помощью Intune

Теперь все готово для настройки параметров с помощью Intune. Действия, описанные в этом разделе, предполагают наличие подписки Office 365. Здесь вы можете настроить параметры Intune, выбранные в разделе Выбор параметров, рекомендуемых Microsoft.

Дополнительные сведения об Intune см. в разделе Документация для Microsoft Intune.

Настройка параметров Intune:

  1. Добавьте Intune в подписку Office 365, выполнив действия, описанные в разделе в Управление лицензиями Intune.

  2. Зарегистрируйте устройства с помощью Intune, выполнив действия, описанные в разделе Подготовка к регистрации устройств в Microsoft Intune.

  3. Настройте параметры в политиках Windows 10 Intune, выполнив действия, описанные в разделе Управление параметрами и функциями на устройствах с политиками Microsoft Intune.

  4. Управляйте устройствами с Windows 10, выполнив действия, описанные в разделе Управление компьютерами с Windows при помощи Microsoft Intune.

Развертывание приложений и управление ими с помощью Intune

Если вы выбрали развертывание приложений и управление ими с помощью System Center Configuration Manager и Intune в гибридной конфигурации, то пропустите этот раздел и перейдите к разделу Развертывание приложений и управление ими с помощью System Center Configuration Manager.

Вы можете использовать Intune для развертывания Microsoft Store и классических приложений Windows. Intune обеспечивает улучшенный контроль над конкретными приложениями, получаемыми пользователями. Кроме того, Intune позволяет развертывать приложения на дополнительных устройствах (например, на устройствах с Windows 10 Mobile, iOS или Android). Наконец, Intune помогает управлять безопасностью приложений, а также такими функциями, как политики управления мобильными приложениями, позволяющими управлять приложениями на устройствах, которые не зарегистрированы в Intune или управляются с помощью другого решения.

Дополнительные сведения о настройке Intune для управления приложениями см. в следующих материалах:

Развертывание приложений и управление ими с помощью System Center Configuration Manager

Вы можете использовать System Center Configuration Manager для развертывания Microsoft Store и классических приложений Windows. System Center Configuration Manager позволяет создать приложение System Center Configuration Manager, которое можно использовать для развертывания приложений на различных устройствах (например, на настольных компьютерах с Windows 10, устройствах с Windows 10 Mobile, iOS или Android) при помощи Типов развертывания. Приложение System Center Configuration Manager можно представить в виде коробки. Типы развертывания можно представить, как один или несколько наборов файлов установки и инструкций по установке, находящихся в этой коробке.

Например, вы можете создать приложение Skype, содержащее тип развертывания для настольных компьютеров с Windows 10, устройств с Windows 10 Mobile, iOS и Android. Вы можете развернуть одно приложение для различных типов устройств.

Примечание  При настройке System Center Configuration Manager и Intune в гибридной модели развертывание приложений выполняется с помощью System Center Configuration manager, как описано в этом разделе.

System Center Configuration Manager позволяет управлять приложениями, отслеживая процесс их установки. Вы можете определить, на каком количестве устройств установлено конкретное приложение. Наконец, можно разрешить пользователям устанавливать приложения по собственному усмотрению или сделать приложения обязательными.

Дополнительные сведения о том, как настроить System Center Configuration Manager для развертывания приложений и управления ими см. в разделе Развертывания приложений и управление ими с помощью System Center Configuration Manager.

Управление обновлениями с помощью Intune

Если вы выбрали управление приложениями с помощью System Center Configuration Manager и Intune в гибридной конфигурации, то пропустите этот раздел и перейдите к разделу Управление приложениями с помощью System Center Configuration Manager.

Для предоставления пользователям новейших функций и обеспечения безопасности поддерживайте актуальность обновлений Windows 10 и приложений. Для настройки Windows 10 и обновления приложений воспользуйтесь рабочей областью Обновления в Intune.

Примечание  Вы можете управлять обновлениями (включая обновления антивирусных и антивредоносных программ) только для настольных операционных систем Windows 10 (но не Windows 10 Mobile, iOS или Android).

Дополнительные сведения о настройке Intune для управления обновлениями и обеспечения защиты от вредоносных программ см. в следующих материалах:

Управление обновлениями с помощью System Center Configuration Manager

Для предоставления пользователям самых новейших функций и обеспечения безопасности используйте функцию обновления программного обеспечения в System Center Configuration Manager для управления обновлениями. Функция обновления программного обеспечения работает в сочетании с WSUS для управления обновлениями на устройствах с Windows 10.

Настройте функцию обновления программного обеспечения для управления обновлениями определенных версий Windows и приложений. Затем функция обновления программного обеспечения получит обновления из Центра обновления Windows с помощью сервера WSUS в вашей среде. Интеграция позволяет осуществлять более тщательный контроль над обновлениями и применять более конкретные целевые настройки обновлений для пользователей и устройств (по сравнению с отдельным использованием WSUS или Intune), что гарантирует получение определенными пользователями или устройствами необходимых обновлений.

Примечание  При настройке System Center Configuration Manager и Intune в гибридной модели управление обновлениями выполняется с помощью System Center Configuration manager, как описано в этом разделе.

Дополнительные сведения о настройке System Center Configuration Manager для управления Windows 10 и обновлениями приложений см. в разделе Развертывание обновлений программного обеспечения и управление ими в System Center Configuration Manager.

Сводка

В этом разделе описана подготовка учреждения к управлению устройствами. Определены параметры конфигурации, которые планируется использовать для управления пользователями и устройствами. Произведена настройка групповой политики или Intune для управления этими параметрами конфигурации. Произведена настройка Intune или System Center Configuration Manager для управления приложениями. Наконец, выполнена настройка Intune или System Center Configuration Manager для управления обновлениями программного обеспечения Windows 10 и приложений.

Развертывание Windows 10 на устройствах

Все готово для развертывания Windows 10 устройствах преподавателей и учащихся. Необходимо выполнить действия, описанные в этом разделе, для каждого устройства учащихся в классах, а также для новых устройств учащихся, добавленных в будущем. Эти действия также можно выполнить для любого устройства, подходящего для обновления Windows 10. В этом разделе описано развертывание Windows 10 на новых устройствах, восстановление Windows 10 на имеющихся устройствах, а также обновление имеющихся устройств с соответствующими версиями Windows 8.1 или Windows 7 до Windows 10.

Подготовка к развертыванию

Перед развертыванием Windows 10 необходимо выполнить задачи, перечисленные в таблице 18. Большинство из этих задач уже выполнено, но данное действие поможет убедиться в этом.

Задача
1. Убедитесь, что на целевых устройствах достаточно системных ресурсов для запуска Windows 10.
2. Определите необходимые для устройств драйверы, затем импортируйте их в общую папку развертывания MDT или в System Center Configuration Manager.
3. Создайте для каждого Microsoft Store и классического приложения Windows приложение MDT или System Center Configuration Manager.
4. Уведомите учащихся и преподавателей о развертывании.

Таблица 18. Контрольный список подготовки к развертыванию

Выполнение развертывания

Для развертывания Windows 10 используйте мастер развертывания. При развертывании LTI мастеру развертывания необходимо предоставить лишь минимальные сведения в начале процесса. После сбора мастером необходимых сведений остальная часть процесса будет протекать в полностью автоматическом режиме.

Примечание.  Чтобы полностью автоматизировать процесс развертывания LTI, выполните действия, описанные в разделе «Полностью автоматизированный сценарий развертывания LTI» в Руководстве Microsoft Deployment Toolkit.

В большинстве случаев процессы развертывания происходят без сбоев. Проблемы при развертывании возникают только в редких случаях.

Использование LTI для развертывания Windows 10

  1. Запустите процесс развертывания LTI. Для этого используйте загрузку по сети (загрузка PXE) или с локального носителя. Метод запуска процесса развертывания LTI был выбран ранее в разделе Выбор метода запуска развертывания данного руководства.

  2. Завершите работу мастера развертывания. Дополнительные сведения о завершении работы мастера развертывания см. в пункте «Запуск мастера развертывания» раздела Использование Microsoft Deployment Toolkit.

Использование ZTI для развертывания Windows 10

  1. Запустите процесс развертывания ZTI. Для этого используйте загрузку по сети (загрузка PXE) или с локального носителя. Метод запуска процесса развертывания ZTI был выбран ранее в разделе Выбор метода запуска развертывания данного руководства.

Настройка принтеров

После развертывания Windows 10 устройства почти готовы к использованию. Во-первых, необходимо настроить принтеры, которые будут использоваться в каждом классе. Как правило, принтеры подключаются к той же сети, что и устройства, в пределах одного и того же класса. Если в классе нет принтеров, пропустите этот раздел и перейдите к разделу Проверка развертывания.

Примечание  При выполнении обновления вместо нового развертывания настройки принтеров остаются такими же, какими они были в предыдущей версии Windows. Таким образом, можно пропустить этот раздел и перейти к разделу Проверка развертывания.

Настройка принтеров

  1. Для установки драйверов принтера ознакомьтесь с инструкциями его изготовителя.

  2. Загрузите драйверы принтера на устройство администратора.

  3. Скопируйте драйверы принтера на USB-накопитель.

  4. Чтобы выполнить вход, на устройстве необходимо использовать ту же учетную запись, которая использовалась для настройки Windows 10 в разделе Подготовка к развертыванию.

  5. Подключите USB-накопитель к устройству.

  6. Для установки драйверов принтера с USB-накопителя следуйте инструкциям изготовителя принтера.

  7. Убедитесь, что драйверы принтера установлены правильно, напечатав пробную страницу.

  8. Выполните действия 1 – 8 для каждого принтера.

Проверка развертывания

В качестве заключительного этапа контроля проверьте конфигурацию устройства, чтобы убедиться, что все приложения запускаются. Компания Microsoft рекомендует выполнить все задачи, которые выполняются пользователем. В частности, убедитесь, что:

  • Устройство может подключаться к Интернету и отображать соответствующее веб-содержимое в Microsoft Edge.
  • Центр обновления Windows активен и его ПО обновлено до последних версий.
  • Защитник Windows активен и подписи для защиты от вредоносных программ соответствуют актуальным версиям.
  • Фильтр SmartScreen активен.
  • Все приложения Microsoft Store установлены и обновлены надлежащим образом.
  • Все классические приложения Windows установлены и обновлены надлежащим образом.
  • Принтеры настроены надлежащим образом.

Убедившись в том, что первое устройство настроено правильно, можно перейти к настройке следующего устройства и выполнить те же действия.

Краткий обзор

Выполнена подготовка устройства к развертыванию путем подтверждая адекватности системных ресурсов устройства и обеспечения ресурсов соответствующими драйверами устройства Windows 10. Выполнено развертывание устройств по сети или с помощью локального носителя MDT. Затем на устройствах настроены соответствующие принтеры. В завершение выполнена проверка надлежащей конфигурации и готовности устройства к использованию.

Поддержка устройств с Windows и Office 365

После первоначального развертывания для поддержки устройств Windows 10 и подписки Office 365 для образования необходимо будет выполнить определенные задачи. Указанные задачи необходимо выполнять по следующему расписанию:

  • Ежемесячно. Эти задачи обеспечивают получение устройствами актуальных обновлений и их надлежащую защищенность от вирусов и вредоносных программ.
  • Новый семестр или учебный год. Эти задачи выполняются перед началом новой учебной программы, например, в начале нового учебного года или семестра. Эти задачи обеспечивают готовность сред аудиторий к новым группам студентов.
  • При необходимости (динамические). Эти задачи выполняются в аудитории по необходимости. Например, может появиться новая версия приложения, учащийся может непреднамеренно повредить устройство с необходимостью последующего восстановления настроек по умолчанию.

В таблице 19 перечислены задачи обслуживания учебного заведения и отдельных аудиторий, ресурсы для выполнения этих задач и график (или частота) выполнения этих задач.

Задача и ресурсы Ежемесячно Новый семестр или учебный год При необходимости
Убедитесь, что Центр обновления Windows активен и имеет актуальные обновления программного обеспечения и операционной системы.

Дополнительные сведения о выполнении этой задачи, если у вас:
x x x
Проверьте, что Защитник Windows активен и подписи для защиты от вредоносных программ соответствуют актуальным версиям.

Дополнительные сведения о выполнении этой задачи см. в разделах Включение и выключение Защитника Windows и Обновление Защитника Windows.
x x x
Убедитесь, что Защитник Windows выполнил проверку на прошлой неделе и не содержит вирусов или вредоносных программ.

Дополнительные сведения о выполнении этой задачи см. в разделе "Обнаружение и удаление вирусов". в статье Защита компьютера от вирусов.
x x x
Скачайте и утвердите обновления для Windows 10, приложений, драйверов и других программ.

Дополнительные сведения см. в следующих разделах:
x x x
Убедитесь, что вы используете надлежащие параметры обслуживания для обновления Windows 10 (например, использование или не использование Current Branch или Current Branch для бизнеса).

Дополнительные сведения о вариантах обслуживания Windows 10 см. в статье Варианты обслуживания Windows 10.
x x
Обновление операционной системы и приложений на устройствах.

Подробнее о выполнении этой задачи см. в следующих материалах:
x x
Установите новые классические приложения Windows или обновите классические приложения Windows, используемые в учебной программе.

Дополнительные сведения см. в следующих разделах:
x x
Установите новые или обновите существующие приложения Microsoft Store, используемые в учебной программе.

Приложения Microsoft Store получают обновления из Microsoft Store автоматически. В строке меню приложения из Microsoft Store отображаются обновления для приложения из Microsoft Store, доступные для загрузки.

Также можно развертывать приложения Microsoft Store непосредственно на устройства с помощью Intune, System Center Configuration Manager или в гибридной конфигурации. Дополнительные сведения см. в следующих разделах:
x x
Удалите неиспользуемые учетные записи пользователей (и соответствующие лицензии) из AD DS и Office 365 (если у вас есть локальная инфраструктура AD DS).

Дополнительные сведения о:
x x
Добавьте новые учетные записи (и соответствующие лицензии) в AD DS (если у вас есть локальная инфраструктура AD DS).

Дополнительные сведения о:
x x
Удалите неиспользуемые учетные записи пользователей (и соответствующие лицензии) из Office 365 (если у вас нет локальной инфраструктуры AD DS).

Дополнительные сведения о:
x x
Добавьте новые учетные записи (и соответствующие лицензии) в Office 365 (если у вас нет локальной инфраструктуры AD DS).

Дополнительные сведения о:
x x
Создание или изменение групп безопасности, а также управление составом групп в Office 365.

Дополнительные сведения о:
x x
Создание и изменение списков рассылки Exchange Online или Microsoft Exchange Server в Office 365.

Дополнительные сведения о том, как создавать или изменять списки рассылки Exchange Online и Exchange Server в Office 365 см. в разделах Создание групп рассылки и управление ими и Создание, редактирование или удаление группы безопасности.
x x
Установите новые устройства для учащихся.

Выполните аналогичные действия, которые вы выполняли в разделе Развертывание Windows 10 на устройствах.
x

Таблица 19. Задачи обслуживания учебного заведения и отдельных аудиторий с указанием ресурсов и графика выполнения

Сводка

Определены задачи, подлежащие выполнению ежемесячно, в конце учебного года или семестра и при необходимости. Конфигурация вашего школьного округа и отдельного учебного заведения должна соответствовать стандартной конфигурации учебного заведения, описанной в разделе Планирование стандартной конфигурации школьного округа. Выполнение задач по обслуживанию обеспечивает безопасность и поддержание школьного округа в целом в указанной конфигурации учебного заведения.

Еще по теме