Настройка центра управления мобильными устройствами

  • Статья

Параметр центра управления мобильными устройствами (MDM) определяет способ администрирования устройств. ИТ-администратор должен задать центр MDM, чтобы пользователи могли регистрировать устройства для управления. Вам также должна быть назначена лицензия Intune, чтобы задать центр MDM.

Возможны следующие конфигурации.

  • Изолированная среда Intune — управление только в облаке, которое настраивается с помощью портала Azure. Включает полный набор возможностей, которые предлагает Intune. Задайте центр MDM в Центре администрирования Microsoft Intune.

  • Совместное управление Intune — интеграция облачного решения Intune с Configuration Manager для устройств с Windows 10. Вы настраиваете Intune с помощью консоли Configuration Manager. Настройка автоматической регистрации устройств в Intune.

  • Базовая мобильность и безопасность для Microsoft 365. После активации этой конфигурации для центра MDM устанавливается значение "Office 365". Если вы хотите начать использовать Intune, необходимо приобрести лицензии Intune.

  • Базовая мобильность и безопасность сосуществования в Microsoft 365. Intune можно добавить в клиент, если вы уже используете Базовая мобильность и безопасность для Microsoft 365. Вы можете задать для центра управления значение Intune или Базовая мобильность и безопасность для Microsoft 365 для каждого пользователя, чтобы определить, какая служба используется для управления устройствами, зарегистрированными в MDM. Центр управления каждого пользователя определяется на основе лицензии, назначенной пользователю:

    • Базовая мобильность и безопасность для Microsoft 365 управляет устройствами пользователей, имеющих лицензию только на Microsoft 365 базовый или standard.
    • Intune управляет устройствами пользователей с лицензией, дающей им право на ее использование.
    • Если добавить лицензию, дающую право на Intune, пользователю, ранее управляемому Базовая мобильность и безопасность для Microsoft 365, его устройства переключятся на управление Intune. Чтобы избежать потери Базовая мобильность и безопасность для конфигурации Microsoft 365 на устройствах пользователей, обязательно назначьте пользователям конфигурации Intune перед их переключением на Intune.

Выбор Intune в качестве центра MDM

Для арендаторов, использующих выпуск службы 1911 и более поздних версий: центр MDM автоматически устанавливается в Intune.

Для клиентов, использующих выпуск службы 1911 и более поздних версий, если вы активировали Базовая мобильность и безопасность, выполните действия, описанные в этом разделе.

Если для клиентов выпуска служб до 1911 вы еще не настроили центр MDM, выполните действия, описанные в этом разделе.

  1. В Центре администрирования Microsoft Intune выберите оранжевый баннер, чтобы открыть параметр Центр мобильного Управление устройствами. Оранжевый баннер отображается только в том случае, если вы еще не установили центр MDM.

  2. В разделе Центр управления мобильными устройствами, выберите свой центр MDM в следующем списке.

    • Центр MDM в Intune
    • Нет

    Снимок экрана: настройка центра управления мобильными устройствами в Intune.

Появится сообщение о том, что вы успешно настроили Intune в качестве центра управления мобильными устройствами.

Рабочий процесс для пользовательского интерфейса администрирования Intune

Если управление устройствами Android или Apple включено, Intune отправляет сведения об устройстве и пользователе для интеграции со службами этих сторонних производителей и управления их устройствами.

Сценарии, которые добавляют согласие на обмен данными, включаются в следующих случаях:

  • Вы включаете личные или корпоративные рабочие профили Android Enterprise.
  • Вы включаете и загружаете сертификаты Apple MDM Push Certificate.
  • Вы включаете любую службу Apple, например Программу регистрации устройств, School Manager или Volume Purchasing Program.

В каждом случае согласие строго связано с выполнением службы управления мобильными устройствами. Например, подтверждение согласия ИТ-администратора на регистрацию устройств Google или Apple. Документы о том, какие сведения передаются при запуске новых рабочих процессов, доступны в указанных ниже статьях.

Основные моменты

После переключения на новый центр MDM у вас есть некоторое время перехода (до восьми часов), прежде чем устройство будет регистрироваться и синхронизировано со службой. Необходимо настроить параметры в новом центре MDM, чтобы после изменения обеспечить управление зарегистрированными устройствами и их защиту.

  • После переключения устройства нужно подключить к службе, чтобы параметры нового центра MDM (в автономной среде Intune) заменили параметры, настроенные для устройств ранее.
  • Например, некоторые базовые параметры, включая профили, из предыдущего центра MDM сохраняются на устройстве до семи дней или до первого подключения устройства к службе. Необходимо как можно скорее настроить приложения и параметры (например, политики, профили и приложения) в новом центре MDM и развернуть этот параметр в группах пользователей, содержащих пользователей, имеющих существующие зарегистрированные устройства. Устройство, подключенное к службе после переключения центра MDM, сразу же получит новые параметры. Это позволит избежать перебоев в управлении и обеспечении защиты.
  • Устройства, с которыми не связаны пользователи (при участии в Программе регистрации устройств iOS/iPadOS или в сценариях массовой регистрации), не переносятся в новый центр MDM. Для таких устройств вам необходимо обратиться за помощью к службе поддержки, чтобы переместить их в новый центр MDM.

Сосуществование

Включив сосуществование, вы можете использовать Intune для нового набора пользователей, продолжая использовать Базовая мобильность и безопасность для существующих пользователей. Вы можете управлять устройствами Intune через пользователя. Intune управляет всеми устройствами, зарегистрированными пользователем, если пользователь имеет лицензию Intune или использует совместное управление Intune с Configuration Manager. В противном случае управление пользователем будет осуществляться с помощью Basic Mobility and Security.

Три основных этапа включения режима сосуществования:

  1. Подготовка
  2. Добавление центра MDM в Intune.
  3. Перенос пользователей и устройств (необязательно).

Подготовка

Перед включением режима сосуществования с Basic Mobility and Security примите во внимание следующее.

  • Убедитесь, что у вас достаточно лицензий Intune для пользователей, которыми вы планируете управлять через Intune.
  • Уточните, каким пользователям назначены лицензии Intune. После включения режима сосуществования все пользователи, которым назначены лицензии Intune, перейдут под управление этой службы. Чтобы избежать непредвиденного переключения устройств, не рекомендуется назначать лицензии Intune до включения режима сосуществования.
  • Создайте и примените политики Intune, чтобы заменить политики, изначально развернутые в Центре безопасности и соответствия требованиям Office 365. Такую замену необходимо выполнить для всех пользователей, управление которыми переходит от Basic Mobility and Security к Intune. Если этим пользователям не назначены политики Intune, включение режима сосуществования может привести к удалению параметров, заданных пользователям в Basic Mobility and Security. Эти параметры теряются без замены, например управляемые профили электронной почты. Даже при замене политик безопасности устройства политиками Intune пользователям может потребоваться повторно аутентифицировать профили электронной почты после перемещения устройства в службу управления Intune.
  • Вы не можете отменить подготовку Basic Mobility and Security после ее настройки. Однако существуют действия, позволяющие отключить политики. Дополнительные сведения см. в статье Отключение Basic Mobility and Security.

Добавление центра MDM Intune

Чтобы включить режим сосуществования, необходимо добавить Intune в качестве центра MDM для вашей среды:

  1. Войдите в Центр администрирования Microsoft Intune с правами глобального администратора или администратора службы Intune Microsoft Entra.

  2. Перейдите в раздел Устройства.

  3. Отобразится колонка Добавление центра MDM.

  4. Чтобы перенести центр управления мобильными устройствами из Office 365 в Intune и включить режим сосуществования, выберите Центр MDM в Intune>Добавить.

    Снимок экрана: экран добавления центра MDM.

Перенос пользователей и устройств (необязательно)

После включения центра MDM Intune активируется сосуществование, и вы можете приступить к управлению пользователями с помощью Intune. При необходимости можно переместить устройства, которые ранее находились под управлением Базовая мобильность и безопасность под управлением Intune, назначив этим пользователям лицензию Intune. Устройства пользователей будут перенесены в Intune при следующей синхронизации MDM. Параметры, которые были применены к этим устройствам через Базовая мобильность и безопасность, больше не применяются и удаляются с устройств.

Очистка мобильного устройства после окончания срока действия сертификата MDM

Сертификат MDM обновляется автоматически, когда мобильные устройства взаимодействуют со службой Intune. Если мобильные устройства очищены или не могут связаться со службой Intune на протяжении некоторого времени, сертификат MDM не будет обновлен. Устройство будет удалено с портала Azure через 180 дней после окончания срока действия сертификата MDM.

Удаление центра MDM

Центр MDM невозможно изменить обратно на "Неизвестный". Центр MDM используется службой для определения того, на какие зарегистрированные устройства портала отправляются отчеты (Microsoft Intune или Basic Mobility and Security для Microsoft 365).

Последствия изменения центра MDM

  • Когда служба Intune обнаруживает изменение в центре MDM клиента, она отправляет уведомление всем зарегистрированным устройствам. В уведомлении устройствам предлагается проверка в службу и синхронизироваться со службой вне их обычного расписания. В результате все подключенные и подключенные устройства подключаются к службе и получают новый центр MDM. Новый центр управления устройствами и их защиты без каких-либо прерываний. Таким образом, после того как центр MDM для клиента будет изменен с автономного intune, устройства продолжат нормально работать под новым центром MDM.

  • Устройства, которые включены и подключены во время или вскоре после изменения центра MDM, испытывают задержку. Задержка может длиться до восьми часов в зависимости от времени следующего запланированного регулярного проверка. Во время задержки устройства не регистрируются в службе в новом органе MDM. После задержки устройства полностью регистрируются и работают в новом органе MDM.

    Важно!

    С момента переключения Центра MDM и до момента отправки в него сертификата APNs любые запросы на регистрацию или проверку для устройств iOS/iPadOS будут завершаться ошибками. Таким образом, после переключения важно как можно быстрее проверить и отправить сертификат APN в новый центр MDM.

  • Пользователи могут быстро переключиться на новый центр MDM, вручную запустив синхронизацию своего устройства со службой. Чтобы внести такое изменение, запустите проверку соответствия устройства с помощью приложения Корпоративного портала.

  • Чтобы проверить, все ли правильно работает после переключения центра MDM с последующим подключением и синхронизацией устройств со службой, найдите нужные устройства в центре MDM.

  • Устройства, которые не имели доступа к Интернету во время переключения центра MDM, синхронизируются со службой с некоторой отсрочкой. В промежуточный период важно защитить и поддерживать функциональность устройства. Для защиты и поддержания функциональности устройства на устройстве остаются следующие профили. Эти профили остаются на устройстве до семи дней или до тех пор, пока устройство не подключится к новому центру MDM. После подключения устройства и получения новых параметров существующие профили перезаписываются:

    • профиль электронной почты;
    • профиль VPN;
    • профиль сертификатов;
    • профиль Wi-Fi;
    • профили конфигурации.

  • После перехода на новый центр MDM данные о соответствии в Центре администрирования Microsoft Intune могут занять до недели. Однако состояния соответствия в идентификаторе Microsoft Entra и на устройстве являются точными, поэтому устройство по-прежнему защищено.

  • Убедитесь, что новые параметры, предназначенные для перезаписи существующих параметров, имеют то же имя, что и предыдущие, чтобы убедиться, что старые параметры перезаписаны. Иначе на устройстве сохранятся лишние профили и политики.

    Совет

    Мы рекомендуем создать все параметры управления, конфигурации и развертывания сразу после переключения центра MDM. Это обеспечивает защиту и возможность активного управления для устройств на весь период отсрочки.

  • После переключения центра MDM следует выполнить следующие действия, чтобы проверить регистрацию в нем новых устройств.

    • Регистрация нового устройства
    • Убедитесь, что зарегистрированное устройство отображается в центре MDM.
    • Выполните действие, например удаленную блокировку, из центра администрирования Microsoft Intune на устройство. В случае успеха устройством управляет новый центр MDM.

  • Если с некоторыми устройствами возникнут проблемы, можно попробовать отменить их регистрацию и зарегистрировать их заново. Это позволит быстро подключить их к новому Центру MDM и восстановить управление.

Подтверждение центра MDM клиента

Чтобы убедиться, что для вашего центра MDM задано значение Intune, выполните следующие действия.

  1. В Центре администрирования Microsoft Intune выберите Администрирование>клиента Состояние клиента.
  2. На вкладке Сведения о клиенте найдите центр MDM.

Дальнейшие действия

Настроив центр MDM, вы можете начать регистрацию устройств.