Åtgärder och övervakning av Microsoft Managed Desktop
Ändringshantering
Vid tjänster så ligger skiftar ansvaret för saker som underhåll av maskinvara och säkerhetsuppdateringar till tjänsteleverantören (Microsoft) i stället för kunden (du). Du måste dock fortfarande säkerställa att icke-Microsoft- och anpassad programvara fortsätter att fungera som förväntat när uppdateringar distribueras.
För lokala produkter har organisationen allt ansvar för ändringshantering.
Ansvarsfördelning
| Ansvar | Microsofts tjänst för hanterad dator | Microsoft 365 klientprogramvara | Lokala klienter och servrar | annan programvara än Microsoft och anpassad programvara |
|---|---|---|---|---|
| Tillhandahålla nya funktioner | Microsoft | Microsoft | Båda | Kund |
| Testa nya funktioner för kvalitetskontroll | Microsoft | Microsoft | Båda | Kund |
| Kommunicera om nya funktioner | Båda | Båda | Båda | Kund |
| Integrera anpassad programvara | Båda | Båda | Kund | Kund |
| Tillämpa säkerhetsuppdateringar | Microsoft | Microsoft | Kund | Kund |
| Underhålla systemprogramvara | Microsoft | Microsoft | Kund | Kund |
| Paket för distribution | Microsoft | Microsoft | Kund | Kund |
Översikt över ändringsprocessen
Här är en sammanfattning av hur ändringsprocessen delas mellan Microsoft och kunder:
Microsofts roll: | Kundens roll: | ||
|---|---|---|---|
| Före en ändring |
|
| |
| Under en ändring |
|
| |
| Efter en ändring |
|
|
| Funktioner | Icke-säkerhetsuppdateringar | Säkerhet | |
|---|---|---|---|
| Ändringstyp | - Funktionsuppdateringar - Nya funktioner eller program - Inaktuella funktioner |
Snabbkorrigeringar för klientproblem | Säkerhetsuppdateringar |
| Förhandsmeddelande | Fem dagars förvarning för ändringar som kräver åtgärd | Nej, sådana ändringar inkluderas i den månatliga versionen | Nej, ändringar ingår i den månatliga versionen |
| Kommunikationskanal | - Meddelandecenter - E-postavisering |
- Meddelandecenter - E-postavisering |
- Meddelandecenter - E-postavisering |
| Kräver åtgärder från global administratör | Ibland | Sällan | Sällan |
| Typ av åtgärd | Ändra inställningar | Informera användarna om ändringarna | Ändra administratörsinställningar |
| Kräver testning | Kontrollera affärsprogram, inklusive tjänster för fjärråtkomst | Ibland – testa korrigeringen med processer eller anpassningar | Sällan |
| Exempel på förändring | - Funktionsuppdateringar: It-administratörsportalen för enklare inskickade supportinskick och granskning - Nya funktioner eller program: Semi-Annual av en Windows 10 en funktionsuppdatering |
Snabbkorrigeringar baserade på rapporterad kundbugg |
Standardoperativsystemets procedurer
Microsoft Managed Desktop-tjänsten implementeras och drivs av Microsoft i din Microsoft-molninstans där du kan utföra andra administrativa aktiviteter. Microsoft är ensamt ansvarig för konfiguration, konfiguration och åtgärd av Microsoft Managed Desktop.
För lokala produkter har organisationen allt ansvar för att hantera installation, konfiguration och drift.
| Kategorier | Microsoft | Kunden |
|---|---|---|
| Nätverk (proxy, paketinspektion, VPN) | Informera och planera med kunder för att minimera risken för företagsanvändare. | – skapa en supportbegäran och be om information om en planerad konfigurationsändring, inklusive konfigurationsinformation, omfattning, tidslinje och annan relevant information som Microsoft kan granska. - Tillämpa endast en ändring när Microsoft Managed Desktop Operations har gjort en bedömning och ger råd. |
| Tjänstkonton | – Implementera, lagra och hantera autentiseringsuppgifterna på ett säkert sätt. – Kommunicera obehörig åtkomst eller användning av dessa autentiseringsuppgifter till ditt team med säkerhetsåtgärder. |
– skapa en supportbegäran och be om information om en planerad konfigurationsändring, inklusive konfigurationsinformation, omfattning, tidslinje och annan relevant information som Microsoft kan granska. - Tillämpa endast en ändring när Microsoft Managed Desktop Operations har gjort en bedömning och ger råd. - Tilldela inte princip-, multifaktorautentisering, villkorsstyrd åtkomst eller programdistribution till Microsoft Managed Desktop Service-konton. - Återställ inte lösenordet eller använd autentiseringsuppgifterna. – öppna en Sev C-supportbegäran i Microsoft Managed Desktop Operations om misstänkt aktivitet observeras i Intune- eller Azure-granskningsloggar som är relaterade till dessa tjänstkonton. |
| Enhetsgrupper | – Implementera och tilldela medlemskap för enheter i Microsoft Managed Desktop-grupper. - Använd Microsoft Managed Desktop-grupperna för att hantera tilldelning och utgivning av konfigurationer och uppdateringar på enheter. |
– skapa en supportbegäran och be om information om en planerad konfigurationsändring, inklusive konfigurationsinformation, omfattning, tidslinje och annan relevant information som Microsoft kan granska. - Tillämpa endast en ändring när Microsoft Managed Desktop Operations har gjort en bedömning och ger råd. – Tilldela endast enheter till en Microsoft Managed Desktop-grupp enligt anvisningarna i Tilldela enheter till en distributionsgrupp. – Använd endast grupperna för att tilldela företagscertifikat för tjänster som VPN, Windows Hello för företag eller e-postkryptering eller konfiguration av företags-wifi-profiler. – Där samtidig hantering finns exkluderar du uttryckligen alla Microsoft Managed Desktop-grupper när du distribuerar Configuration Manager-klienten. |
| Policyer | - Implementera och hantera microsofts principer för hanterade skrivbord som styr konfigurationstillståndet för enheter i tjänsten. - Distribuera uppdateringar till policy eller Windows stegvis med hjälp av enhetsgrupper. – uttryckligen från att rikta in på icke-Microsoft-hanterade skrivbordsgrupper. |
– skapa en supportbegäran och be om information om en planerad konfigurationsändring, inklusive konfigurationsinformation, omfattning, tidslinje och annan relevant information som Microsoft kan granska. - Tillämpa endast en ändring när Microsoft Managed Desktop Operations har gjort en bedömning och ger råd. - Inte redigera eller tilldela principer för Microsoft Managed Desktop till enheter eller användare som inte hanteras av Microsoft Managed Desktop-tjänsten. |
| Microsoft Defender för Endpoint | Övervaka och undersöka enheter inom microsoft Managed Desktop-tjänsten. | – skapa en supportbegäran och be om information om en planerad konfigurationsändring, inklusive konfigurationsinformation, omfattning, tidslinje och annan relevant information som Microsoft kan granska. - Tillämpa bara en ändring när Microsoft Managed Desktop Operations har gjort en bedömning och ger råd |
| Microsoft Store för företag | Konfigurera och underhålla Windows Autopilot-profilen för Microsoft Managed Desktop-tjänsten. | – skapa en supportbegäran och be om information om en planerad konfigurationsändring, inklusive konfigurationsinformation, omfattning, tidslinje och annan relevant information som Microsoft kan granska. - Tillämpa endast en ändring när Microsoft Managed Desktop Operations har gjort en bedömning och ger råd. – Ändra inte konfigurationen av Microsoft Managed Desktop-Windows Autopilot-profilen eller lägg till/ta bort tilldelade enheter. |
| Certifikat | – Skapa en supportbegäran 60 dagar innan ett certifikat upphör att gälla och begär information om en planerad konfigurationsändring, inklusive konfigurationsinformation, omfattning, tidslinje och annan relevant information som Microsoft kan granska. - Tillämpa endast en ändring när Microsoft Managed Desktop Operations har gjort en bedömning och ger råd. - Uppdatera alla certifikat som krävs för att konfigurera certifikatprofiler, VPN-profiler och Wi-Fi profiler. |
Enhetsåterställning med fabriksåterställning
Microsoft Managed Desktop Operations-teamet kan utföra en fabriksåterställning av enheter som registrerats i tjänsten vid behov. Återställning är användbart om du behöver ge en enhet till en annan anställd eller om en anställd lämnar företaget.
Det finns några krav:
- Din globala administratör måste skicka en servicebegäran.
- Ta med enhetens datornamn i begäran.
- Användarkontot måste vara i Azure AD innan vi återställer enheten.
Teamet för hanterade skrivbordsåtgärder gör följande:
- Leta upp enhetsnamnet i Intune
- Skicka kommandot för fabriksåterställning till enheten
Anteckning
Ta inte bort användarkontot från Azure AD innan enheten återställs. Om användaren inte finns i Azure AD kan Intune inte skicka kommandot för fabriksåterställning till enheten.
Enheten startar i "in användningsutrymmet" och alla förinstallerade program och inställningar kommer att tillämpas igen. Användaren av enheten måste ange den första installationsinformationen igen.
När enheten har återställts kan du ge den till en annan person i organisationen. Ingen av de tidigare användarnas data eller företagsdata finns på enheten. Nästa användare går igenom samma process som den föregående personen gjorde med en ny Microsoft Managed Desktop-enhet.
BitLocker är en viktig komponent i datasäkerhet i den här processen. Med BitLocker-kryptering på Microsoft Managed Desktop-enheter förblir data på enheten säkra även efter att enheten har fabriksåterställts. Data som fanns på enheten blir inte tillgängliga för nästa användare av enheten. Mer information finns i Översikt över BitLocker.
Mer information finns i Fabriksåterställning av en enhet.