Planeringsguide för Microsoft Intune

  • Artikel
  • 26 minuter för att läsa

En lyckad Microsoft Intune-distribution eller -migrering börjar med planering. I den här guiden får du stegvisa instruktioner genom vanliga mål för hantering av mobilenheter (MDM) och hantering av mobilprogram (MAM). Den ger också vägledning om att inventera enheter, licensiering, granska aktuella principer och infrastruktur, skapa en distributionsplan med mera.

Tips

Intune Adoption Kit innehåller e-postmallar och mer information.

Den här guiden är pågående. Så var noga med att lägga till eller uppdatera befintliga tips och riktlinjer som har varit till hjälp.

Uppgift 1: Fastställ dina mål

Organisationer använder hantering av mobilenheter (MDM) och hantering av mobilprogram (MAM) för att kontrollera organisationens data på ett säkert sätt och med minimalt avbrott för användarna. När du utvärderar en MDM-/MAM-lösning, till exempel Microsoft Intune, tittar du på vad målet är och vad du vill uppnå.

I det här avsnittet diskuterar vi vanliga mål när du använder Intune.

Mål: Åtkomst till organisatoriska appar och e-post

Användare förväntar sig att arbeta på enheter som använder organisationsprogram, inklusive läsa och svara på e-post, uppdatera och dela data med mera. I Intune kan du distribuera olika typer av appar, inklusive:

  • Office 365-appar
  • Win32-appar
  • Verksamhetsspecifika appar
  • Anpassade appar
  • Tillåta (eller blockera) åtkomst till inbyggda appar eller Store-appar

Uppgift: Skapa en lista över appar som användarna använder regelbundet. Dessa appar är de appar som du vill ha på deras enheter. Några saker att tänka på:

  • Många organisationer distribuerar Office-programpaketet till datorer och surfplattor, t. ex. Word, Excel, OneNote, PowerPoint och Teams. På mindre enheter, till exempel mobiltelefoner, kan enskilda appar installeras, beroende på användarkraven.

    Säljteamet kan till exempel kräva Teams, Excel och SharePoint. På mobila enheter kan du distribuera endast de här apparna, i stället för att distribuera hela Office-paketet.

  • Användare förväntar sig att läsa och svara på e-post och delta i möten på alla enheter, inklusive personliga enheter. På företagsägda enheter kan du distribuera Outlook och Teams. Och hantera och kontrollera alla enhetsinställningar och alla inställningar för appar, inklusive krav för PIN-kod och lösenord. Du har inte den här kontrollen på personliga enheter. Så bestäm om du vill ge användare åtkomst till organisationens appar, till exempel e-post och möten.

    Mer information och överväganden finns i Personliga enheter jämfört med företagsägda enheter (i den här artikeln).

Mål: Säker åtkomst på alla enheter

Om data lagras på mobila enheter bör de skyddas mot skadliga aktiviteter.

Uppgift: Bestäm hur du vill skydda enheterna och minimera effekten av skadlig aktivitet. Några saker att tänka på:

  • Skydd mot virus (AV) och skadlig kod är ett måste. Intune integreras med olika MTD-partner (Mobile Threat Defense) för att skydda registrerade enheter, personliga enheter och appar. På Windows 10 enheter kan du använda Microsoft Defender för slutpunkt och Intune tillsammans.

    Microsoft Defender för slutpunkt innehåller säkerhetsfunktioner och en portal som hjälper dig att övervaka och reagera på hot.

  • Om en enhet komprometteras vill du begränsa effekten med villkorsstyrd åtkomst. Exempel:

    • Om en enhet uppfyller en hotnivå som du har angett kan du blockera åtkomst till organisations resurser. Villkorsstyrd åtkomst hjälper till att förhindra spridning av skadlig aktivitet.

    • Villkorsstyrd åtkomst hjälper till att skydda ditt nätverk och dina resurser mot enheter, även enheter som inte är registrerade med Intune.

      Intune kan till exempel integreras med Microsoft Defender för slutpunkt. Microsoft Defender för slutpunkt söker igenom en enhet och avgör om den har komprometterats. Sedan kan villkorsstyrd åtkomst automatiskt blockera åtkomst på den här enheten från organisations resurser, inklusive e-post.

  • Uppdateringar av enheten, operativsystemet och appar hjälper också till att skydda dina data. Skapa en plan för hur och när uppdateringar ska installeras. Det finns principer i Intune som hjälper dig att hantera uppdateringar, inklusive uppdateringar av Store-appar.

  • Bestäm hur användare ska autentiseras med organisationsresurser från sina många enheter. Du kan till exempel:

    • Använd certifikat på enheter för att autentisera funktioner och appar, till exempel ansluta till ett virtuellt privat nätverk (VPN), öppna Outlook med mera. Certifikaten tillåter en ”lösenordsfri” användarupplevelse. Lösenordslösenord anses vara säkrare än att kräva att användarna anger sina användarnamn och lösenord för organisationen.

      Om du planerar att använda certifikat kontrollerar du att du har en PKI-infrastruktur (Public Key Infrastructure) som stöds och är redo att skapa och distribuera certifikatprofiler.

    • Använd Multi-Factor Authentication (MFA) när du behöver ett extra lager av autentisering för företagsägda enheter. Du kan också använda MFA för att autentisera appar på personliga enheter. Biometrik, till exempel ansiktsigenkänning och fingeravtryck, kan också användas.

      Om du ska använda biometrik för autentisering måste du se till att enheterna stöder biometrik. De flesta moderna enheter gör det.

    • Implementera en Noll förtroende distribution. Med Noll förtroende kan du använda funktionerna i Azure AD och Microsoft Intune för att skydda alla slutpunkter, använda lösenordslös autentisering med mera. Mer information finns i Noll förtroende Deployment Center.

Mål: Distribuera IT

Många organisationer vill ge olika administratörer kontroll över platser, avdelningar och så vidare. Till exempel kontrollerar och övervakar gruppen Charlottes IT-administratörer principerna på Charlottes campus. Dessa Charlotte-IT-administratörer kan bara se och hantera principer för platsen Charlotte. De kan inte se och hantera principer för platsen Redmond. Den här metoden kallas distribuerad IT.

I Intune använder distribuerad IT omfångstaggar och enhetsregistreringskategorier. Omfångstaggar använder rollbaserad åtkomstkontroll (RBAC). Alltså har endast användare i en viss grupp behörighet att hantera principer och profiler för användare och enheter i sitt omfång.

När du använder enhetskategorier läggs enheter automatiskt till i grupper baserat på kategorier som du skapar. När användarna registrerar sina enheter väljer de en kategori, till exempel försäljning, IT-administratör, butikskassa och så vidare. Dessa enhetsgrupper är nu redo att ta emot profiler och principer som du skapar.

Om du vill få en enklare hantering av enheter kan du använda Intunes enhetskategorier för att automatiskt lägga till enheter i grupper baserat på kategorier som du definierar.

Uppgift: Bestäm hur du vill distribuera dina regler och inställningar (principer och profiler). Några saker att tänka på:

  • Bestäm din administratörsstruktur. Du kanske till exempel vill avgränsa efter plats, som Charlottes IT-administratörer eller Redmonds IT-administratörer. Du kanske vill avgränsa efter roll, som nätverksadministratörer som kontrollerar all nätverksåtkomst, inklusive VPN.

    Dessa kategorier blir omfångstaggar.

  • Många organisationer avgränsar grupper efter enhetstypen, t. ex. iOS-, iPad-, Android- eller Windows-enheter. Några exempel:

    • Distribuera vissa appar till vissa enheter. Du kan till exempel distribuera Microsoft Shuttle-appen till enheter i Redmond-nätverket.
    • Distribuera principer till vissa platser. Du kan till exempel distribuera en VPN-profil till enheter i Charlotte-nätverket så att de automatiskt ansluter när de är inom räckhåll.
    • Kontrollera inställningar för vissa enheter. Du kan till exempel inaktivera kameran på Android Enterprise-enheter som används på en produktionsgolv, skapa en Windows Defender Antivirus-profil för alla Windows-enheter eller lägga till Exchange-e-postinställningar till alla iOS-/iPad-enheter.

    De här kategorierna blir dina enhetsregistreringskategorier.

Mål: Behåll organisationsdata i organisationen

Om data lagras på mobila enheter bör de skyddas från oavsiktlig förlust eller delning. Det här målet omfattar att rensa organisationsdata från personliga och företagsägda enheter.

Uppgift: Skapa en plan som beskriver olika scenarier som påverkar din organisation. Några saker att tänka på:

Mer information och överväganden finns i Personliga enheter jämfört med företagsägda enheter (i den här artikeln).

Uppgift 2: Inventera dina enheter

Organisationer har en serie enheter, som stationära datorer, bärbara datorer, surfplattor och mobiltelefoner. De här enheterna kan ägas av organisationen eller av dina användare. När du planerar din enhetshanteringslösning bör du överväga allt som kommer att ha åtkomst till dina organisations resurser, inklusive användarnas personliga enheter.

Det här avsnittet innehåller enhetsinformation som du bör tänka på.

Plattformar som stöds

Intune stöder Android-, Android Enterprise-, iOS-, iPadOS-, macOS- och Windows-enheter. De olika versionerna finns i plattformar som stöds.

Uppgift: Om enheterna använder versioner som inte stöds, som främst är äldre operativsystem, är det dags att uppgradera operativsystemet eller ersätta enheterna. De här äldre operativsystemen och enheterna kan ha begränsad support och kan utgöra en säkerhetsrisk. Den här uppgiften omfattar stationära datorer som kör Windows 7- och iPhone 7-enheter som kör det ursprungliga v10.0-operativsystemet och så vidare.

Personliga enheter jämfört med företagsägda enheter

På personliga enheter är det normalt och förväntas att användarna ska kunna kontrollera e-post, delta i Teams-möten, uppdatera SharePoint-filer med mera. Många organisationer tillåter personliga enheter och många organisationer kan bara tillåta företagsägda enheter.

Som organisation och som administratör bestämmer du om du vill tillåta personliga enheter.

Uppgift: Bestäm hur du vill hantera personliga enheter. Om det är viktigt för organisationen att vara ”mobil” bör du överväga följande metoder:

  • På personliga enheter ger du användarna möjlighet att registrera sig i Intune. När de har registrerats hanterar administratörerna de här enheterna fullständigt. Det innefattar att överföra principer, styra enhetens funktioner och inställningar och till och med rensa enheter. Som administratör kanske du vill ha den här kontrollen, eller så kan du tro att du vill ha den här kontrollen.

    När användarna registrerar sina personliga enheter kanske de inte inser eller förstår att administratörer kan göra vad som helst på enheten, som att oavsiktligt rensa eller återställa enheten. Som administratör kanske du inte vill ha det här ansvaret eller potentiella påverkan på enheter som organisationen inte äger.

    Dessutom vägrar många användare att registrera sig. De ser andra sätt att få åtkomst till organisationsresurser. Du måste t. ex. kräva att enheter registreras för att använda Outlook-appen för att kontrollera organisationens e-post. Om du vill hoppa över det här kravet kan användarna öppna vilken webbläsare på enheten som helst och logga in på Outlook Web Access, som kanske inte är det du vill. Eller så kan de skapa skärmbilder och spara bilderna på enheten, vilket du inte vill.

  • Använd konfigurationsprinciper för appar och skyddsprinciper för appar på personliga enheter. Användare registreras inte i Intune. Dessa enheter hanteras inte av dig.

    Använd en villkorsinstruktion med en princip för villkorsstyrd åtkomst. Om användarna inte godkänner får de inte åtkomst till appar. Om användarna samtycker till instruktionen läggs en enhetspost till i Azure AD och enheten blir en känd entitet. När enheten är känd kan du spåra vad som nås från enheten.

    Kontrollera sedan åtkomst och säkerhet med hjälp av app-principer.

    Titta på de uppgifter som din organisation använder mest, till exempel e-post och delta i möten. Använd appkonfigurationsprinciper för att konfigurera appspecifika inställningar. Använd appkonfigurationsprinciper för att kontrollera säkerheten och åtkomsten till dessa appar.

    Användare kan till exempel använda Outlook-appen på sin personliga enhet för att kontrollera e-post till arbetet. Med hjälp av Intune kan administratörer skapa en appskyddsprincip för Outlook som använder Multi-Factor Authentication (MFA) varje gång Outlook-appen öppnas, vilket förhindrar kopiering och inklistring.

  • Du vill att alla enheter ska hanteras fullständigt. I det här scenariot ger du användarna alla enheter de behöver, inklusive mobiltelefoner. Investera i en plan för maskinvaruuppgradering så att användarna fortsätter att vara produktiva och effektiva. Registrera de här företagsägda enheterna i Intune och hantera dem med hjälp av principer.

    Det här alternativet förhindrar personliga enheter.

Vi rekommenderar att du alltid förutsätter att data lämnar enheten. Se till att dina spårnings- och granskningsmetoder är på plats. Mer information finns i Noll förtroende Deployment Center.

Hantera stationära datorer

Intune kan hantera stationära datorer som kör Windows 10 och senare. Windows 10 OS innehåller inbyggda moderna enhetshanteringsfunktioner och tar bort beroenden av lokala AD-grupprinciper (Active Directory). Du får fördelarna med molnet när du skapar regler och inställningar i Intune och distribuerar principerna till alla dina Windows 10-enheter, däribland stationära datorer.

Mer information finns i Guidat scenario – Molnhanterat modernt skrivbord.

Om dina Windows 10-enheter för närvarande hanteras med hjälp av Configuration Manager kan du fortfarande registrera enheterna i Intune. Den här metoden kallas ”samhantering”. Samhantering har många fördelar, som att du kan köra fjärråtgärder på enheten (omstart, fjärrstyrning, fabriksåterställning), villkorsstyrd åtkomst med enhetsefterlevnad med mera. Du kan också molnansluta dina enheter till Intune.

Mer information finns i Vad är samhantering, Sökvägar till samhantering och Endpoint Manager-klientorganisationsanslutning.

Uppgift: Titta på vad du för närvarande använder för hantering av mobila enheter, vad målen är och fastställ den bästa sökvägen. Några saker att tänka på:

  • Om du inte använder något för närvarande kan det vara bäst att gå direkt till Intune.

  • För nya enheter som inte har registrerats i Configuration Manager, eller någon MDM-lösning, kan det vara bäst att gå direkt till Intune.

  • Om du för närvarande använder Configuration Manager är alternativen:

    • Om du vill behålla din befintliga infrastruktur och flytta några arbetsbelastningar till molnet ska du använda samhantering. Du får fördelarna med båda tjänsterna. Befintliga enheter kan ta emot vissa principer från Configuration Manager (lokalt) och andra principer från Intune (moln).
    • Om du vill behålla din befintliga infrastruktur kan du använda Intune för att övervaka dina lokala enheter och sedan använda klientkoppling. Du får fördelen med att använda administrationscentret för Endpoint Manager medan du fortfarande använder Configuration Manager för att hantera enheter.
    • Om du vill ha en ren molnlösning för att hantera enheter kan du gå vidare till Intune. Det här scenariot är sällsynt. Befintliga Configuration Manager-användare vill oftast fortsätta att använda Configuration Manager. I Konfigurera distributionsguide finns en del bra information.

    Mer information finns i Samhanterade arbetsbelastningar.

Uppgift 3: Fastställ kostnader och licensiering

Att hantera enheter är en relation med olika tjänster. Intune innehåller inställningar och funktioner som du kan styra på olika enheter. Det finns även andra tjänster som spelar en viktig roll:

  • Azure Active Directory (AD) Premium innehåller flera funktioner som är viktiga för att hantera enheter, inklusive:

    • Windows Autopilot: Windows 10-enheter kan registreras automatiskt i Intune och automatiskt ta emot dina principer.
    • Multifaktorautentisering (MFA): Användare måste ange två eller fler verifieringsmetoder, till exempel en PIN-kod, en autentiseringsapp, fingeravtryck med mera. MFA är ett bra alternativ när du använder appskyddsprinciper för personliga enheter eller företagsägda enheter som kräver extra säkerhet.
    • Villkorsstyrd åtkomst: Om användarna och enheterna följer dina regler, till exempel ett 6-siffrigt lösenord, får de åtkomst till organisationens resurser. Om användarna eller enheterna inte uppfyller dina regler får de inte åtkomst.
    • Dynamiska användargrupper och dynamiska enhetsgrupper: Lägg automatiskt till användare eller enheter i grupper när de uppfyller villkor, till exempel stad, befattning, OS-typ, OS-version och mycket annat.

  • Office 365 innehåller de appar som användarna förlitar sig på, inklusive Outlook, Word, SharePoint, Teams, OneDrive med mera. Du kan distribuera apparna till enheter med Intune.

  • Microsoft Defender för slutpunkt hjälper dig att övervaka och genomsöka Windows 10 enheter efter skadlig aktivitet. Du kan också ange en acceptabel risknivå. I kombination med villkorlig åtkomst kan du blockera åtkomst till organisations resurser om hotnivån har överskridits.

  • Azure Information Protection klassificerar och skyddar dokument och e-postmeddelanden genom att använda etiketter. I Office-appar kan du använda den här tjänsten för att förhindra obehörig åtkomst till organisationens data, inklusive appar på personliga enheter.

Alla dessa tjänster ingår i Microsoft 365 E5-licensen. Mer information finns i Microsoft 365 licensing plans (Microsofts licensieringsplaner).

Uppgift: Bestäm vilka tjänster och program som din organisation behöver och använder för att vara produktiv och säker. Några saker att tänka på:

  • Om målet är att distribuera principer (regler) och profiler (inställningar), utan tvång, krävs Intune. Intune är tillgängligt med olika prenumerationer, till exempel som en fristående tjänst. Mer information finns i Microsoft Intune-licensiering.

    Du använder för närvarande Configuration Manager och vill konfigurera samhantering för dina enheter. Intune ingår redan i din Configuration Manager-licens. Om du vill att nya enheter eller befintliga samhanterade enheter ska hanteras fullständigt av Intune måste du ha en separat Intune-licens.

  • Du vill använda reglerna för efterlevnad eller lösenord som du skapar i Intune. Du behöver minst Intune och Azure AD Premium. Intune och Azure AD Premium är tillgängliga med Enterprise Mobility + Security.

    Mer information finns i Enterprise Mobility + Security pricing options (Prisalternativ för Enterprise Mobility + Security).

  • Du vill bara hantera Office 365-appar på enheter. Du behöver minst Office 365. Mer information finns i MDM for Office 365 vs Microsoft Intune (MDM för Office 365 jämfört med Microsoft Intune) och FAQ about Mobile Device Management for Office 365 (Vanliga frågor och svar om hantering av mobila enheter för Office 365).

  • Du vill distribuera Office 365-appar till dina enheter och skapa principer för att skydda enheter som kör de här apparna. Du behöver minst Intune och Office 365.

  • Du vill skapa principer i Intune, distribuera Office 365-appar och verkställa dina regler och inställningar. Du behöver minst Intune, Office 365 och Azure AD Premium. Eftersom alla dessa tjänster ingår i Microsoft 365 kan det vara kostnadseffektivt att använda Microsoft 365-licensen.

    Mer information finns i Microsoft 365 licensing plans (Microsofts licensingsplaner).

Uppgift 4: Granska befintliga principer och infrastruktur

Många organisationer har befintliga principer och infrastruktur för enhetshantering som endast ”underhålls”. Du kan till exempel ha 20 år gamla grupprinciper och vet inte vad de gör. När du överväger att flytta till molnet, i stället för att titta på det du alltid har gjort, bestämmer du målet.

Med dessa mål i åtanke skapar du en baslinje för dina principer. Om du har flera enhetshanteringslösningar kan det nu vara dags att använda en enda lösning för hantering av mobila enheter.

Uppgift: Börja se över uppgifter som du kör lokalt och kan flytta till molnet. Kom ihåg att du ska fastställa ett mål i stället för att titta på vad du alltid har gjort. Några saker att tänka på:

  • Granska dina befintliga principer och deras struktur. Vissa principer kan tillämpas globalt, vissa gäller på webbplatsnivå och vissa är bara för en enhet. Målet är att känna till och förstå avsikten med globala principer, syftet med lokala principer och så vidare.

    AD-grupprinciper tillämpas i LSDOU-ordningen (Local, Site, Domain, Organizational Unit (OU)) – lokalt, webbplats, domän och organisationsenhet. I den här hierarkin skriver OU-principer över domänprinciper, domänprinciper skriver över webbplatsprinciper och så vidare.

    I Intune tillämpas principer på användare och grupper som du skapar. Det finns ingen hierarki. Om två principer uppdaterar samma inställning visas inställningen som en konflikt. Mer information finns i Vanliga frågor, problem och lösningar med enhetsprinciper och profiler.

    När du går från AD-grupprinciper till Intune börjar dina globala AD-principer logiskt att gälla för grupper som du har eller grupper som du behöver. De här grupperna innehåller användare och enheter som du vill rikta mot global nivå, webbplatsnivå och så vidare. Den här uppgiften ger dig en uppfattning om vilken gruppstruktur du behöver i Intune.

  • Var beredd på att skapa nya principer och profiler i Intune. Intune innehåller flera funktioner som beskriver scenarier som kan vara intressanta. Några exempel:

    • Säkerhetsbaslinjer: På Windows 10-enheter är säkerhetsbaslinjer säkerhetsinställningar som är förkonfigurerade för rekommenderade värden. Om du är nybörjare på att skydda enheter, eller vill ha en omfattande baslinje, tittar du på säkerhetsbaslinjer.
    • Administrativa mallar: På Windows 10-enheter använder du ADMX-mallar för att konfigurera grupprincipinställningar för Windows, Internet Explorer, Office och Microsoft Edge version 77 och senare. De här ADMX-mallarna är samma ADMX-mallar som används i AD-grupprincipen, men är 100 % molnbaserade i Intune.
    • Grupprincip: Använd grupprincipanalys för att importera och analysera dina grupprincipobjekt. Med den här funktionen kan du avgöra hur dina grupprincipobjekt översätts i molnet. Utdata visar vilka inställningar som stöds i MDM-leverantörer, inklusive Microsoft Intune. Det visar även inaktuella inställningar eller inställningar som inte är tillgängliga för MDM-leverantörer.
    • Guidade scenarier: Guidade scenarier är en anpassad serie med steg som fokuserar på användningsfall från slutpunkt till slutpunkt. De här scenarierna inkluderar principer, appar, tilldelningar och andra hanteringskonfigurationer automatiskt.

  • Skapa en principbaslinje som innehåller minimikraven för dina mål. Exempel:

    • Säker e-post: Du kanske minst vill:

      • Aktivera villkorsstyrd åtkomst för Exchange Online eller ansluta till en lokal e-post-lösning.
      • Skapa appskyddsprinciper för Outlook.

    • Enhetsinställningar: Du kanske minst vill:

      • Du måste ange en PIN-kod på sex tecken för att kunna låsa upp enheten.
      • Förhindra säkerhetskopiering till privata molntjänster, till exempel iCloud eller OneDrive.

    • Enhetsprofiler: Du kanske minst vill:

      • Skapa en Wi-Fi-profil med de förkonfigurerade inställningarna som ansluter till det trådlösa nätverket Contoso Wi-Fi.
      • Skapa en VPN-profil med ett certifikat för att automatiskt autentisera och ansluta till en organisations VPN.
      • Skapa en e-postprofil med de förkonfigurerade inställningarna som ansluter till Office 365 eller en Gmail-e-postlösning.

    • Appar: Du kanske minst vill:

      • Distribuera Office 365 med appskyddsprinciper.
      • Distribuera branschspecifikt (LOB) med appskyddsprinciper.

  • Granska den aktuella strukturen för dina grupper. I Intune kan du skapa och tilldela principer till användargrupper, enhetsgrupper och dynamiska användar- och enhetsgrupper (kräver Azure AD Premium).

    När du skapar grupper i molnet, till exempel Intune eller Microsoft 365, skapas de i Azure AD. Du kanske inte ser Azure AD som varumärke, men det är den tjänsten du använder.

  • Om du har flera enhetshanteringslösningar kan du växla till en enda lösning för hantering av mobila enheter. Vi rekommenderar att du använder Intune för att skydda organisationsdata i appar och på enheter.

Uppgift 5: Skapa en distributionsplan

Nästa uppgift är att planera hur och när dina användare och enheter ska ta emot principer. I den här uppgiften bör du även tänka på följande:

  • Definiera dina mål och framgångsmått. Använd dessa datapunkter för att skapa andra distributionsfaser. Kontrollera att målen är specifika, mätbara, uppnåeliga, realistiska och görs i rätt tid. Jämför med dina mål i varje enskild fas så att du dina distributionsprojektet ligger i fas.
  • Ha tydliga definierade mål. Ta med dina mål i alla medvetenhets- och utbildningsaktiviteter så att användarna förstår varför organisationen har valt Intune.

Uppgift: Skapa en plan för att distribuera dina principer och välj hur användare registrerar sina enheter i Intune. Några saker att tänka på:

  • Distribuera dina principer i faser. Exempel:

    • Börja med en pilot- eller testgrupp. De här grupperna bör känna till att de är de första användarna och vara villiga att ge feedback. Använd den här feedbacken för att förbättra konfiguration, dokumentation, meddelanden och göra det enklare för användarna i en framtida distribution. Dessa användare får inte vara företagsledare eller VIP-användare.

      Efter den första testningen lägger du till fler användare i pilotgruppen. Du kan också skapa fler pilotgrupper som fokuserar på en annan distribution, till exempel:

      • Avdelningar: Varje avdelning kan vara en distributionsfas. Du har en hel avdelning i taget som mål. I den här distributionen kan användare på olika avdelningar använda den mobila enheten på samma sätt och har åtkomst till samma program. Användarna har förmodligen samma typer av principer.

      • Geografi: Distribuera dina principer till alla användare inom ett visst geografiskt område, t.ex. samma kontinent, land/region eller företagsbyggnad. Med den distributionen kan du fokusera på den specifika användarplatsen. Du kan tillhandahålla en Windows Autopilot för fördefinierad distributionsmetod, eftersom antalet platser som distribuerar Intune samtidigt är mindre. Det finns risk för att olika avdelningar eller olika användningsfall finns på samma plats. Därför kan du testa olika användningsfall samtidigt.

      • Plattform: Den här distributionen distribuerar liknande plattformar samtidigt. Du kan till exempel distribuera principer till alla iOS-/iPad-enheter i februari, alla Android-enheter i mars och alla Windows-enheter i april. Den här metoden kan förenkla för supportavdelningen, eftersom de bara stöder en plattform i taget.

      Med hjälp av en stegvis metod kan du få feedback från ett brett utbud av användartyper.

    • Efter en lyckad pilot är du redo att påbörja en fullständig produktionsdistribution. Följande exempel är en Intune-distributionsplan som innehåller målgrupper och tidslinjer:

    Distributionsfas Juli Augusti September Oktober
    Begränsat pilottest IT (50 användare)
    Utökat pilottest IT (200 användare), IT-chefer (10 användare)
    Produktionsdistributionsfas 1 Försäljning och marknadsföring (2000 användare)
    Produktionsdistributionsfas 2 Återförsäljning (1000 användare)
    Produktionsdistributionsfas 3 Personalavdelning (50 användare), ekonomi (40 användare), chefer (30 användare)

    Den här mallen går också att ladda ned i Intune deployment planning, design, and implementation - Table templates (Planering, utformning och implementering vid distribution av Intune – Tabellmallar).

  • Välj hur användarna ska registrera sina personliga och företagsägda enheter. Du kan använda olika registreringsmetoder som t.ex.:

    • Självbetjäning för användare: Användarna registrerar sina egna enheter enligt de åtgärder som tillhandahålls av IT-organisationen. Den här metoden är vanligast, och är mer skalbar än registrering med användarhjälp.
    • Användarstödd registrering: Med den här fördefinierade distributionsmetoden hjälper en IT-medlem användare genom registreringsprocessen, personligen eller med hjälp av Teams. Den här metoden används vanligtvis för chefer och andra grupper som kan behöva mer hjälp.
    • IT-teknikmässa: Vid ett sådant evenemang ställer IT-gruppen upp ett bås för hjälp med Intune-registrering. Användarna kan få information om Intune-registrering, ställa frågor och få hjälp med registreringsprocessen. Det här alternativet är fördelaktigt både för IT-gruppen och användarna, särskilt under tidiga faser av Intune-distributionen.

    I följande exempel ingår registreringsmetoderna:

    Distributionsfas Juli Augusti September Oktober
    Begränsat pilottest
    Självbetjäning IT
    Utökat pilottest
    Självbetjäning IT
    Företablerad IT-chefer
    Produktionsdistributionsfas 1 Försäljning, marknadsföring
    Självbetjäning Försäljning och marknadsföring
    Produktionsdistributionsfas 2 Retail
    Självbetjäning Retail
    Produktionsdistributionsfas 3 Chefer, HR, ekonomi
    Självbetjäning Personalavdelning, ekonomi
    Företablerad Chefer

Uppgift 6: Kommunicera ändringar

Ändringshantering förlitar sig på tydlig och hjälpsam kommunikation om kommande ändringar. Idén är att du ska göra Intune-distributionen smidigare och se till att användarna är medvetna om ändringar och eventuella avbrott.

Uppgift: Din kommunikationsplan för distribution ska innehålla viktig information, hur du meddelar användare och när du ska kommunicera. Några saker att tänka på:

  • Bestäm vilken information som ska kommuniceras. Kommunicera i faser till dina grupper och användare, och börja med en kickoff för Intune-distributionen, följt av information före registreringen och information efter registreringen:

    • Kickoff-fas: Bred kommunikation som presenterar Intune-projektet. Den bör besvara viktiga frågor, till exempel:

      • Vad är Intune?
      • Varför organisationen använder Intune, inklusive förmåner till organisationen och användare
      • Tillhandahålla en plan på hög nivå för distributionen.
      • Om personliga enheter inte är tillåtna om enheterna inte har registrerats förklarar du varför du har fattat beslutet.

    • Fas före registreringen: Bred kommunikation som innehåller information om Intune och ytterligare tjänster (t. ex. Office, Outlook och OneDrive), användarresurser och vissa tidslinjer när användare och grupper ska ta emot Intune.

    • Fas för registrering: Kommunikation riktad till organisationsanvändare och grupper som är schemalagda för att få Intune. Den bör informera användarna om att de är redo att ta emot Intune, inkludera registreringssteg och vem som ska kontaktas för hjälp och frågor.

    • Fas efter registreringen: Kommunikation riktad till organisationsanvändare och grupper som har registrerat sig i Intune. Innehållet i kommunikationen ska tillhandahålla ytterligare resurser som kan vara användbara för användaren samt samla feedback om deras upplevelser under och efter registreringen.

    Intune Adoption Kit kan vara till hjälp. Använd det som det är eller ändra det för din organisation.

  • Välj hur du vill kommunicera introduktionsinformation för Intune till dina målgrupper och -användare. Exempel:

    • Skapa ett personligt möte i organisationen eller använd Microsoft Teams.

    • Skapa e-post för förregistrering, registrering och efterregistrering. Exempel:

      • E-post 1: Förklara fördelarna, förväntningarna och schemat. Ta chansen att demonstrera andra tjänster vars åtkomst beviljas på Intune-hanterade enheter.
      • E-post 2: Meddela att tjänster nu är åtkomliga via Intune. Be användarna att registrera sig nu. Ge användarna en tidslinje så att de vet när deras åtkomst kommer att påverkas. Påminn användarna om fördelarna med och de strategiska skälen för migrering.

    • Använd en organisationswebbplats som förklarar distributionsfaserna, vad användarna kan förvänta sig och vem som ska kontaktas när det behövs hjälp.

    • Skapa affischer, använd organisationens plattformar för sociala medier (t. ex. Yammer) eller distribuera informationsblad för att presentera fasen för registreringen.

  • Skapa en tidslinje som inkluderar när och vem. Den första kickoff-kommunikationen i Intune kan rikta in sig på hela organisationen eller bara en delmängd. De kan ske om flera veckor innan Intune-distributionen börjar. Efter det kan information förmedlas i faser till användare och grupper, anpassat efter deras schema för Intune-distributionen.

    Här visas ett exempel på en utförlig kommunikationsplan för Intune-distribution:

    Kommunikationsplan Juli Augusti September Oktober
    Fas 1 Alla
    Kickoff-möte Första veckan
    Fas 2 IT Försäljning och marknadsföring Återförsäljning Personalavdelningen, ekonomiavdelningen och chefer
    E-post före distribution 1 Första veckan Första veckan Första veckan Första veckan
    Fas 3 IT Försäljning och marknadsföring Återförsäljning Personalavdelningen, ekonomiavdelningen och chefer
    E-post före distribution 2 Andra veckan Andra veckan Andra veckan Andra veckan
    Fas 4 IT Försäljning och marknadsföring Återförsäljning Personalavdelningen, ekonomiavdelningen och chefer
    E-post om registrering Tredje veckan Tredje veckan Tredje veckan Tredje veckan
    Fas 5 IT Försäljning och marknadsföring Återförsäljning Personalavdelningen, ekonomiavdelningen och chefer
    E-post efter registrering Fjärde veckan Fjärde veckan Fjärde veckan Fjärde veckan

Uppgift 7: Supportavdelning och slutanvändare

Ta med IT-supporten och supportavdelningen i de tidiga skedena för planering och pilottester för Intune-distributionen. Ett tidigt engagemang gör att supportpersonalen får prova Intune, och de får kunskaper och erfarenheter av att identifiera och lösa problem mer effektivt. Den förbereder också dem för att stödja organisationens fullständiga produktionsdistribution. En kunnig supportavdelning supportteam hjälper även användarna att anpassa sig till förändringarna.

Uppgift: Lägg till supportutbildning. Verifiera slutanvändarnas erfarenhet av framgångsmått i din distributionsplan. Några saker att tänka på:

  • Bestäm vem som ska ge slutanvändarna support. Organisationer kan ha olika nivåer (1–3). Till exempel kan nivå 1 och 2 ingå i supportteamet. Nivå 3 innehåller medlemmar i MDM-teamet som ansvarar för Intune-distributionen.

    Nivå 1 är vanligtvis den första supportnivån och den första nivån som ska kontaktas. Om nivå 1 inte kan lösa problemet eskalerar de till nivå 2. Nivå 2 eskalerar till nivå 3 om det behövs. Man kan se Microsofts support som nivå 4.

    • I de första distributionsfaserna ser du till att alla nivåer i supportteamet dokumenterar problem och lösningar. Leta efter mönster och justera kommunikationen för nästa distributionsfas. Exempel:
      • Om olika användare eller grupper är tveksamma inför att registrera sina personliga enheter bör du överväga att genomföra ett Teams-samtal för att svara på vanliga frågor.
      • Om användarna har samma problem med att registrera företagsägda enheter kan du ordna ett personligt möte för att hjälpa användarna att registrera enheterna.

  • Skapa ett arbetsflöde för supportavdelningen, och kommunicera ständigt supportärenden, trender och annan viktig information till alla nivåer i supportteamet. Du kan till exempel arrangera dagliga eller veckovisa möten så att alla nivåer är medvetna om trender, mönster och kan få hjälp.

    I följande exempel visas hur Contoso implementerar sina arbetsflöden för IT-support eller supportavdelningen:

    1. Slutanvändaren kontaktar IT-supporten eller supportavdelningen nivå 1 med ett registreringsproblem.
    2. IT-supporten eller supportavdelningen nivå 1 kan inte fastställa rotorsaken och eskalerar till nivå 2.
    3. IT-support eller support på nivå 2 undersöker. Nivå 2 kan inte lösa problemet och eskalerar till nivå 3, och tillhandahåller ytterligare information som kan hjälpa dig med problemet.
    4. IT-supporten eller supportavdelningen nivå 3 fortsätter undersökningen, fastställer rotorsaken och förmedlar lösningen till nivå 2 och 1.
    5. IT-support/supportavdelningen nivå 1 kontaktar sedan användarna och löser problemet.

    Den här metoden, särskilt i början av Intune-distributionen, innebär många fördelar, inklusive:

    • Hjälp med teknikinlärning.
    • Snabb identifiering av problem och lösningar.
    • Förbättra den övergripande användarupplevelsen.

  • Utbilda supportavdelningen och supportteamen. Registrera enheter som kör de olika plattformarna som används i din organisation (Android, iOS/iPad, macOS, Windows) så att de är bekanta med processen. Överväg att använda supportavdelningen och supportteamen som en pilotgrupp för dina scenarier.

    Det finns utbildnings resursertillgängliga, till exempel YouTube-videor, Microsoft-självstudier om registrering, efterlevnad, konfigurationoch kurser via utbildningspartner.

    Följande exempel är en agenda för utbildning inom Intune-support:

    • Genomgång av supportplanen för Intune
    • Intune-översikt
    • Felsöka vanliga problem
    • Verktyg och resurser
    • Frågor och svar

Även dokumentationen om att utbilda dina slutanvändare, ett communitybaserat Intune-forum och slutanvändardokumentation är också bra resurser.

Nästa steg

Skapa dina app-och enhetsprinciper och registrera dina enheter.

Se Intune adoption Kit.