Microsoft Intune planlama kılavuzu

başarılı bir Microsoft Intune dağıtımı veya geçişi planlamaya başlar. Bu kılavuzda, yaygın mobil cihaz yönetimi (MDM) ve mobil uygulama yönetimi (MAM) hedeflerine ilişkin adımlar yer alırsınız. Ayrıca cihazlarınızı, lisanslamayı, geçerli ilkeleri ve altyapıyı gözden geçirmeyi, bir dağıtım planı oluşturmayı ve daha fazlasını yapma konusunda rehberlik sağlar.

Görev 1: hedeflerinizi belirleme

Kuruluşlar, mobil cihaz yönetimi (MDM) ve mobil uygulama yönetimi (MAM) kullanarak kuruluş verilerini güvenli şekilde denetleyebilir ve kullanıcılara en düşük kesintiye uğraar. Microsoft Intune gibi bir MDM/MAM çözümünü değerlendirirken, hedefin ne olduğunu ve ne elde etmek istediğinizi göz atın.

Bu bölümde, Intune 'U kullanırken yaygın hedefleri tartıştık.

Amaç: kurumsal uygulamalara ve e-postalara erişin

Kullanıcılar, e-posta okuma ve yanıtlama, verileri güncelleştirme ve paylaşma gibi kuruluş uygulamalarını kullanarak cihazlarda çalışmayı bekler. Intune 'da aşağıdakiler dahil farklı türde uygulamalar dağıtabilirsiniz:

• Office 365 uygulamalar
• Win32 uygulamaları
• İş kolu (LOB) uygulamaları
• Özel uygulamalar
• Yerleşik uygulamalara veya mağaza uygulamalarına erişime izin verme (veya engelleme)

Görev: kullanıcılarınızın düzenli olarak kullanacağı uygulamaların bir listesini oluşturun. Bu uygulamalar, cihazlarında istediğiniz uygulamalardır. Bazı hususlar:

• birçok kuruluş, Office uygulama paketini Word, Excel, OneNote, PowerPoint ve Teams gibi bilgisayarlara ve tabletlere dağıtır. Cep telefonları gibi daha küçük cihazlarda, kullanıcı gereksinimlerine bağlı olarak bireysel uygulamalar yüklenebilir.

  örneğin, satış ekibi Teams, Excel ve SharePoint gerektirebilir. mobil cihazlarda, tüm Office paketini dağıtmak yerine yalnızca bu uygulamaları dağıtabilirsiniz.

• Kullanıcılar, kişisel cihazlar dahil olmak üzere tüm cihazlarda e-posta okuyup yanıtlaması ve toplantılara katılmanız bekler. kuruluşa ait cihazlarda, Outlook ve Teams dağıtabilirsiniz. Ve, PIN ve parola gereksinimleri dahil tüm cihaz ayarlarını ve tüm uygulama ayarlarını yönetin ve denetleyin. Kişisel cihazlarda bu denetim yoktur. Bu nedenle kullanıcılara e-posta ve toplantılar gibi kuruluş uygulamalarına erişim vermek istediğinizi saptayın.

  Daha fazla bilgi ve dikkat edilmesi gereken noktalar için bkz. kişisel cihazlar ve kuruluşa ait cihazlar (Bu makalede).

Amaç: tüm cihazlarda güvenli erişim

Veriler mobil cihazlarda depolandığında, kötü amaçlı etkinlikten korunması gerekir.

Görev: cihazlarınızı nasıl güvenli hale getirmek istediğinizi belirleme ve kötü amaçlı etkinliğin etkisini en aza indirme. Bazı hususlar:

• Virüsten koruma (AV) ve kötü amaçlı yazılımdan koruma, olmalıdır. Intune, kayıtlı cihazların, kişisel cihazların ve uygulamaların korunmasına yardımcı olmak için farklı Mobile Threat Defense (MTD) iş ortakları ile tümleşir. Windows 10 cihazlarda, Endpoint ve ıntune için Microsoft Defender 'ı birlikte kullanabilirsiniz.

  Uç nokta Için Microsoft Defender , güvenlik özellikleri ve tehditleri izlemeye ve bunlara tepki vermek için bir portala sahiptir.

• Bir cihaz tehlikeye girerse, koşullu erişimkullanarak etkiyi sınırlamak isteyeceksiniz. Örneğin:

  • Bir cihaz ayarladığınız bir tehdit düzeyini karşılıyorsa, kuruluş kaynaklarına erişimi engelleyebilirsiniz. Koşullu erişim kötü amaçlı etkinliğin yayılmasını önlemeye yardımcı olur.

  • Koşullu erişim, Intune 'a kayıtlı olmayan cihazlar, hatta ağ ve kaynaklarınızın cihazlardan korunmasını sağlar.

    Örneğin, Intune, uç nokta için Microsoft Defender ile tümleşir. Endpoint için Microsoft Defender bir cihazı tarar ve tehlikede olup olmadığını belirler. Daha sonra koşullu erişim, e-posta dahil olmak üzere bu cihazdaki şirket kaynaklarından erişimi otomatik olarak engelleyebilir.

• Cihazdaki güncelleştirmeler, işletim sistemi ve uygulamalar de verilerinizin güvende tutulmasına yardımcı olur. Güncelleştirmelerin nasıl ve ne zaman yükleneceğini gösteren bir plan oluşturun. Intune 'da, uygulamaları depolamak için güncelleştirmeler de dahil olmak üzere güncelleştirmeleri yönetmenize yardımcı olan ilkeler vardır.

• Kullanıcıların birçok cihazlarından kuruluş kaynaklarıyla kimlik doğrulaması yapacağını belirleme. Örneğin, şunları yapabilirsiniz:

  • bir sanal özel ağa (VPN) bağlanma, Outlook açma ve daha fazlası gibi özelliklerin ve uygulamaların kimliğini doğrulamak için cihazlardaki sertifikaları kullanın. Bu sertifikalar, "parola-daha az" Kullanıcı deneyimi sağlar. Parola-less, kullanıcıların kuruluş Kullanıcı adı ve parolasını girmesini gerektirenden daha güvenli olarak değerlendirilir.

    Sertifikaları kullanmayı planlıyorsanız, sertifika profillerini oluşturmaya ve dağıtmaya hazır, desteklenen bir ortak anahtar altyapısı (PKI) altyapısına sahip olduğunuzdan emin olun.

  • Kuruluşa ait cihazlarda ek bir kimlik doğrulama katmanına ihtiyacınız olduğunda Multi-Factor Authentication (MFA) kullanın. Veya, kişisel cihazlarda uygulamaların kimliğini doğrulamak için MFA 'yı kullanın. Yüz tanıma ve parmak izleri gibi Biyometri de kullanılabilir.

    Kimlik doğrulaması için Biyometri kullanacaksanız, cihazlarınızın Biyometri desteklediğinizden emin olun. Çoğu modern cihaz.

  • Sıfır güven dağıtımı uygulayın. sıfır güvenle, tüm uç noktaların güvenliğini sağlamak için Azure AD ve Microsoft Intune özelliklerini kullanırsınız, parola kullanmayan kimlik doğrulaması ve daha fazlasını kullanır. Daha fazla bilgi için bkz. sıfır güven dağıtım merkezi.

Amaç: dağıtın

Birçok kuruluş, konumlar, bölümler ve benzeri farklı yöneticiler denetimi sağlamak istiyor. Örneğin, Charlotte It Admins grubu, Charlotte kampüs içindeki ilkeleri denetler ve izler. Bu Charlotte BT yöneticileri yalnızca Charlotte konumu için ilkeleri görebilir ve yönetebilir. Bunlar Redmond konumu için ilkeleri göremez ve yönetemez. Bu yaklaşım, dağıtılmış olarak adlandırılır.

Intune 'da, dağıtılmış BT kapsam etiketlerini ve cihaz kayıt kategorilerinikullanır. Kapsam etiketleri rol tabanlı erişim denetimi (RBAC) kullanır. Bu nedenle, yalnızca belirli bir gruptaki kullanıcılar, kapsamındaki kullanıcılar ve cihazlar için ilkeleri ve profilleri yönetme iznine sahiptir.

Cihaz kategorilerini kullanırken, cihazlar oluşturduğunuz kategorilere göre otomatik olarak gruplara eklenir. Kullanıcılar cihazlarını kaydettiğinde, satış, BT Yöneticisi, satış noktası cihazı vb. gibi bir kategori seçer. Bu cihaz grupları artık oluşturduğunuz profilleri ve ilkeleri almaya hazırdır.

Cihazların yönetilmesini kolaylaştırmak için, tanımladığınız kategorilere göre cihazları otomatik olarak gruplara eklemek üzere Intune cihaz kategorilerini kullanabilirsiniz.

Görev: kurallarınızı ve ayarlarınızı (ilkeler ve profiller) nasıl dağıtmak istediğinizi belirleme. Bazı hususlar:

• Yönetici yapınızı belirleme. Örneğin, Charlotte It Admins veya Redmond It Admins gibi konuma göre ayırmak isteyebilirsiniz. VPN de dahil olmak üzere tüm ağ erişimini denetleyen ağ yöneticileri gibi role göre ayırmak isteyebilirsiniz.

  Bu kategoriler kapsam etiketlerinizinolmasını sağlayacaktır.

• birçok kuruluş, grupları iOS, ıpados, Android veya Windows cihazları gibi cihaz türüne göre ayırır. Bazı örnekler:

  • Belirli uygulamaları belirli cihazlara dağıtın. Örneğin, Microsoft Shuttle uygulamasını Redmond ağındaki cihazlara dağıtın.
  • Belirli konumlara ilke dağıtın. Örneğin, Charlotte ağındaki cihazlara bir VPN profili dağıtarak, Aralık içinde otomatik olarak bağlanır.
  • Belirli cihazlarda denetim ayarları. örneğin, bir üretim tabanında kullanılan Android Enterprise cihazlarda kamerayı devre dışı bırakın, tüm Windows cihazları için Windows Defender bir virüsten koruma profili oluşturun veya tüm iOS/ıpados cihazlarına Exchange e-posta ayarlarını ekleyin.

  Bu kategoriler, cihaz kayıt kategorilerinizdekihale gelir.

Amaç: Kuruluş verilerini kuruluş içinde tut

Veriler mobil cihazlarda depolandığında, verilerin yanlışlıkla kaybedilmesinden veya paylaşılmasından korunması gerekir. Bu amaç, kişisel ve kuruluşa ait cihazlardan kuruluş verilerini silme işlemi içerir.

Görev: kuruluşunuzu etkileyen farklı senaryoları kapsayacak bir plan oluşturun. Bazı hususlar:

• Bir cihaz kaybolur veya çalındığında ya da artık kullanılmıyor. Kullanıcı kuruluştan ayrılmaları.

  • Intune 'da, silme, devre dışı bırakma veya kayıtları el ile silmeyi kullanarak cihazları kaldırabilirsiniz. Ayrıca, x gün sayısı için iade edilmemiş cihazları otomatik olarak kaldırabilirsiniz.
  • Uygulama düzeyinde, Intune ile yönetilen uygulamalardan kuruluş verilerini kaldırabilirsiniz. Seçmeli Temizleme, kişisel cihazlar için harika olduğundan, cihazda kişisel verileri tutar ve yalnızca kuruluş verilerini kaldırır.

• Kişisel cihazlarda, kullanıcıların e-postaları kopyalamasını/yapıştırmayı, ekran görüntülerini almasını veya iletmesini engellemek isteyebilirsiniz. Uygulama koruma ilkeleri , yönetolmadığınız cihazlarda bu özellikleri engelleyebilir. Daha fazla bilgi için bkz. Intune kullanarak yönetilmeyen cihazlarda veri sızıntılarını önleme.

  Yönetilen cihazlarda (Intune 'A kayıtlı cihazlar), bu özellikleri cihaz yapılandırma profilleri ' ni kullanarak da denetleyebilirsiniz. Cihaz yapılandırma profilleri uygulamada değil, cihazdaki denetim ayarları. Son derece hassas veya gizli verilere erişen cihazlarda, cihaz yapılandırma profilleri kopyalama/yapıştırmayı, ekran görüntülerini almayı ve daha fazlasını engelleyebilir.

• Office uygulamalarda, Azure Information Protection kullanarak kuruluş verilerine yetkisiz erişimi engelleyin . Bu özellik, gizli veriler gibi dosyalarınızı sınıflandırmak için Etiketler kullanır.

Daha fazla bilgi ve dikkat edilmesi gereken noktalar için bkz. kişisel cihazlar ve kuruluşa ait cihazlar (Bu makalede).

Görev 2: cihazlarınızın envanterini çıkarın

Kuruluşların masaüstü bilgisayarları, dizüstü bilgisayarlar, tabletler ve cep telefonları gibi bir dizi cihazı vardır. Bu cihazların sahibi, kuruluşa ait veya kullanıcılarınıza ait olabilir. Cihaz yönetimi çözümünüzü planlarken, kullanıcıların kişisel cihazları dahil olmak üzere kuruluşunuzun Kaynaklarına erişecek her şeyi göz önünde bulundurun.

Bu bölüm, dikkate almanız gereken cihaz bilgilerini içerir.

Desteklenen platformlar

ıntune, android cihaz yöneticisi, android Enterprise, iOS, ıdos, macos ve Windows cihazlarını destekler. Belirli sürümler için bkz. Desteklenen platformlar.

Görev: cihazlarınız, öncelikli olarak daha eski işletim sistemleri olan desteklenmeyen sürümleri kullanıyorsa, işletim sistemini yükseltmeniz veya cihazları değiştirmeniz zaman alır. Bu eski işletim sistemi ve cihazların destek sınırlı olabilir ve potansiyel bir güvenlik riskidir. bu görev, Windows 7 çalıştıran masaüstü bilgisayarları, özgün v 10.0 işletim sistemini çalıştıran 7 cihazı iPhone ve bu şekilde devam eder.

Kişisel cihazlar ve kuruluşa ait cihazlar

kişisel cihazlarda, kullanıcılar e-posta denetlemesi, Teams toplantılarının katılması, SharePoint dosyalarını güncelleştirmek ve daha fazlasını yapmak için normaldir. Birçok kuruluş kişisel cihazlara izin verir ve birçok kuruluş yalnızca kuruluşa ait cihazlara izin verir.

Bir kuruluş ve yönetici olarak, kişisel cihazlara izin vermeyeceğinize karar verirsiniz.

Görev: kişisel cihazları nasıl işlemek istediğinizi belirleme. "Mobil" kuruluşunuz için önemliyse, aşağıdaki yaklaşımları göz önünde bulundurun:

• Kişisel cihazlarda kullanıcılara Intune 'a kaydolma seçeneği sunun. Kaydolduktan sonra Yöneticiler bu cihazları, ilkeleri gönderme, cihaz özelliklerini ve ayarlarını denetleme ve hatta cihaz silme dahil olmak üzere tam olarak yönetir. Yönetici olarak, bu denetimi isteyebilir veya bu denetimi istediğinizi düşünebilirsiniz .

  Kullanıcılar kendi kişisel cihazlarını kaydettiğinde, yöneticilerin cihaz üzerinde yanlışlıkla silme veya cihazı sıfırlama dahil olmak üzere cihazda herhangi bir şey yapabileceğini fark etmeyebilir veya anlayabilirler. Yönetici olarak, kuruluşunuzun sahip olmadığı cihazlarda bu yükümlülük veya olası etkileri istemeyebilirsiniz.

  Ayrıca, birçok kullanıcı kaydolmayı reddeder. Bunlar, kuruluş kaynaklarına erişmek için başka yollar bullar. örneğin, kuruluş e-postasını denetlemek için cihazların Outlook uygulamayı kullanmak üzere kayıtlı olmaları gerekir. bu gereksinimi atlamak için, kullanıcılar cihazda herhangi bir web tarayıcısını açıp Outlook web erişimi için oturum açıp istediğiniz gibi olmayabilir. Ayrıca, ekran görüntüleri oluşturur ve görüntüleri cihaza kaydedebilir ve bu da istediğiniz gibi değildir.

• Kişisel cihazlarda, uygulama yapılandırma ilkeleri ve uygulama koruma ilkeleri ' ni kullanın. Kullanıcılar Intune 'A kaydolmayın. Bu cihazlar sizin tarafınızdan yönetilmez.

  Koşullu erişim ilkesiyle bir hüküm ve koşullar ekstresi kullanın. Kullanıcılar kabul etmezseniz, uygulamalara erişim izni almaz. Kullanıcılar, bu ifadeyi kabul etirse, Azure AD 'ye bir cihaz kaydı eklenir ve cihaz bilinen bir varlık haline gelir. Cihaz bilindiğinde cihazdan erişilen öğeleri izleyebilirsiniz.

  Sonra, uygulama ilkelerini kullanarak erişimi ve güvenliği denetleyin.

  Kuruluşunuzun e-posta ve toplantılara katılma gibi en sık kullandığı görevlere göz atın. Uygulamaya özgü ayarları yapılandırmak için uygulama yapılandırma ilkelerini kullanın. Güvenlik ve bu uygulamalara erişimi denetlemek için Uygulama koruma ilkelerini kullanın.

  örneğin, kullanıcılar iş e-postasını denetlemek için kişisel cihazındaki Outlook uygulamasını kullanabilir. yöneticiler, ıntune 'u kullanarak Outlook uygulaması her açıldığında multi-factor authentication (MFA) kullanan Outlook bir uygulama koruma ilkesi oluşturur, kopyalama ve yapıştırmayı önler ve daha fazlasını yapın.

• Her cihazın tam olarak yönetilmesini istiyorsunuz. Bu senaryoda, mobil telefonlar da dahil olmak üzere kullanıcılara ihtiyaç duydukları tüm cihazları verin. Kullanıcıların üretken ve etkili olmaya devam etmesi için bir donanım yenileme planına yatırım yapın. Kuruluşa ait bu cihazları Intune 'a kaydedin ve ilkeleri kullanarak yönetin.

  Bu seçenek, kişisel cihazları engeller.

En iyi uygulama olarak, her zaman verilerin cihazdan ayrıldığını kabul eder. İzleme ve denetim yöntemlerinizin yerinde olduğundan emin olun. Daha fazla bilgi için bkz. sıfır güven dağıtım merkezi.

Masaüstü bilgisayarlarını yönetme

ıntune, Windows 10 ve daha yeni çalıştıran masaüstü bilgisayarları yönetebilir. Windows 10 işletim sistemi yerleşik modern cihaz yönetim özellikleri içerir ve yerel Active Directory (AD) grup ilkesi bağımlılıklarını kaldırır. ıntune 'da kurallar ve ayarlar oluştururken bulutun avantajlarından yararlanır ve bu ilkeleri masaüstü bilgisayarları ve bilgisayarları dahil tüm Windows 10 cihazlarınıza dağıtabilirsiniz.

Daha fazla bilgi için bkz. destekli senaryo-bulutta yönetilen modern masaüstü.

Windows 10 cihazlarınız şu anda Configuration Manager kullanılarak yönetiliyorsa, bu cihazları yine de ıntune 'a kaydedebilirsiniz. Bu yaklaşımda "ortak yönetim" adı verilir. Ortak yönetim, cihazdaki uzak eylemleri (yeniden başlatma, uzaktan denetim, fabrika sıfırlaması), cihaz uyumluluğuyla koşullu erişim ve daha fazlasını içeren birçok avantaj sunar. Ayrıca cihazlarınızı Intune 'a da buluta ekleyebilirsiniz.

daha fazla bilgi için bkz. ortak yönetimnedir, ortak yönetime yönelik yollarve Endpoint Manager kiracı iliştirme.

Görev: Şu anda mobil cihaz yönetimi için kullandığınız görünüme, hedeflerin ne olduğunu ve en iyi yolu belirleyin. Bazı hususlar:

• Şu anda hiçbir şey kullanmıyorsanız, doğrudan Intune 'a geçmek en iyi durumda olabilir.

• Configuration Manager veya herhangi bir MDM çözümüne kayıtlı olmayan yeni cihazlar için, daha sonra doğrudan Intune 'a geçeceğiz.

• Şu anda Configuration Manager kullanıyorsanız seçenekleriniz şunlardır:

  • Mevcut altyapınızı korumak ve bazı iş yüklerini buluta taşımak istiyorsanız ortak yönetim ' i kullanın. Her iki hizmetin de avantajını elde edersiniz. Mevcut cihazlar Configuration Manager (Şirket içi) ve Intune 'dan (bulut) diğer ilkelerden bazı ilkeler alabilir.
  • Mevcut altyapınızı korumak ve şirket içi cihazlarınızı izlemeye yardımcı olmak için Intune 'u kullanmak istiyorsanız kiracı-Ekle ' yi kullanın. Endpoint Manager yönetim merkezini kullanmanın sağladığı avantajdan yararlanarak cihazları yönetmek için Configuration Manager kullanmaya devam edersiniz.
  • Bir saf bulut çözümünün cihazları yönetmesini istiyorsanız Intune 'a geçin. Bu senaryoya nadir bir durumdur. Mevcut Configuration Manager kullanıcılar genellikle Configuration Manager kullanmaya devam etmeyi tercih eder. Kurulum dağıtım kılavuzunda bazı iyi bilgiler vardır.

  Daha fazla bilgi için bkz. ortak yönetim iş yükleri.

3. görev: maliyetleri ve lisanslamayı belirleme

Cihazların yönetilmesi, farklı hizmetlerle ilişkisidir. Intune, farklı cihazlarda denetleyebilmeniz için ayarları ve özellikleri içerir. Ayrıca, anahtar rolü oynatacak başka hizmetler de mevcuttur:

• Azure Active Directory (AD) Premium , cihazları yönetmeye yönelik anahtar olan çeşitli özellikler içerir:

  • Windows Autopilot: Windows 10 cihazlar ıntune 'a otomatik olarak kaydolabilir ve ilkelerinizi otomatik olarak alabilir.
  • Multi-Factor Authentication (MFA): KULLANıCıLARıN bir PIN, bir kimlik doğrulayıcı uygulaması, parmak izi ve daha fazlası gibi iki veya daha fazla doğrulama yöntemi girmesi gerekir. MFA, kişisel cihazlar için uygulama koruma ilkelerini veya ek güvenlik gerektiren kuruluşa ait cihazları kullanırken harika bir seçenektir.
  • Koşullu erişim: kullanıcılar ve cihazlar 6 basamaklı bir geçiş kodu gibi kurallarınızı izlerse, kuruluş kaynaklarına erişim izni alırlar. Kullanıcılar veya cihazlar kurallarınızı karşılamıyorsa, erişim almaz.
  • Dinamik kullanıcı grupları ve dinamik cihaz grupları: bir şehir, iş unvanı, işletim sistemi türü, işletim sistemi sürümü ve daha fazlası gibi ölçütlere uyduklarında kullanıcıları veya cihazları gruplara otomatik olarak ekleyin.

• Office 365 , Outlook, Word, SharePoint, Teams, OneDrive ve daha fazlasını içeren kullanıcıların kullandığı uygulamaları içerir. Bu uygulamaları Intune kullanarak cihazlara dağıtabilirsiniz.

• uç nokta için Microsoft Defender , Windows 10 cihazlarınızı kötü amaçlı etkinlikler için izlemeye ve taramaya yardımcı olur. Ayrıca, kabul edilebilir tehdit düzeyi ayarlayabilirsiniz. Koşullu erişimle birleştirildiğinde, tehdit düzeyi aşılırsa kuruluş kaynaklarına erişimi engelleyebilirsiniz.

• Azure Information Protection , Etiketler uygulayarak belge ve e-postaları sınıflandırır ve korur. Office uygulamalarda, kişisel cihazlardaki uygulamalar dahil olmak üzere kuruluş verilerine yetkisiz erişimi engellemekiçin bu hizmeti kullanabilirsiniz.

bu hizmetlerin tümü Microsoft 365 E5 lisansına dahildir. daha fazla bilgi için bkz. Microsoft 365 lisanslama planları.

Görev: kuruluşunuzun üretken ve güvenli olmasını sağlamak için hangi hizmet ve programların gerektiğini ve kullandığını saptayın. Bazı hususlar:

• Amacınız, ilke (kurallar) ve profilleri (Ayarlar) dağıtmaya, herhangi bir zorlama olmadan, en azından Intune 'a ihtiyacınız olursa. Intune, tek başına hizmet olarak da dahil olmak üzere farklı aboneliklerle kullanılabilir. daha fazla bilgi için bkz. Microsoft Intune lisanslama.

  Şu anda Configuration Manager kullanıyorsunuz ve cihazlarınız için ortak yönetim ayarlamak istiyorsunuz. Intune, Configuration Manager lisansınıza zaten dahil edilmiştir. Yeni cihazların veya mevcut ortak yönetilen cihazların Intune tarafından tam olarak yönetilmesini istiyorsanız, ayrı bir Intune lisansına ihtiyacınız vardır.

• Intune 'da oluşturduğunuz uyumluluk veya parola kurallarını zorlamak istiyorsunuz. En azından Intune ve Azure AD Premium gereklidir. ıntune ve Azure AD Premium Enterprise Mobility + Security kullanılabilir.

  daha fazla bilgi için Enterprise Mobility + Security fiyatlandırma seçenekleribölümüne bakın.

• cihazlarda yalnızca Office 365 uygulamalarını yönetmek istiyorsunuz. En azından Office 365 gerekir. daha fazla bilgi için bkz. MDM Office 365 vs Microsoft Intune ve Office 365 için Mobil Cihaz Yönetimi hakkında sss.

• cihazlara Office 365 uygulamaları dağıtmak ve bu uygulamaları çalıştıran cihazların güvenliğini sağlamaya yardımcı olmak için ilkeler oluşturmanız gerekir. En azından Intune ve Office 365 gereklidir.

• ıntune 'da ilkeler oluşturmak, Office 365 uygulamaları dağıtmak ve kurallarınızı ve ayarlarınızı zorlamak istiyorsunuz. en azından ıntune, Office 365 ve Azure AD Premium gerekir. tüm bu hizmetler Microsoft 365 kapsamında bulunduğundan, Microsoft 365 lisansını kullanmak uygun maliyetli olabilir.

  daha fazla bilgi için bkz. Microsoft 365 lisanslama planları.

Görev 4: var olan ilkeleri ve altyapıyı gözden geçirme

Birçok kuruluşta, yalnızca "tutulan" olan ilkeler ve cihaz yönetimi altyapısı vardır. Örneğin, 20 yıllık eski grup ilkelerinize sahip olabilirsiniz ve ne yaptığını bilemezsiniz. Buluta geçiş yaparken, her zaman ne yapacaklarınız göz önüne almak yerine hedefi saptayın.

Bu hedefler göz önünde bulundurularak ilkeleriniz için bir taban çizgisi oluşturun. Birden çok cihaz yönetimi çözümünüz varsa, artık tek bir mobil cihaz yönetimi çözümünün kullanılması zaman olabilir.

Görev: şirket içinde çalıştırdığınız görevlere bakmaya başlayın ve buluta geçiş yapabilirsiniz. Her zaman ne yapacağımızı öğrenmek yerine, hedefi belirlemek için bu işlemi unutmayın. Bazı hususlar:

• Mevcut ilkelerinizi ve bunların yapısını gözden geçirin. Bazı ilkeler genel olarak uygulanabilir, bazıları site düzeyinde uygulanabilir ve bazıları bir cihaza özeldir. Amaç, genel ilkelerin amacını, yerel ilkelerin amacını ve benzerlerini öğrenmektir ve anlamaktır.

  AD Grup ilkeleri, LSDOU sıralaması-yerel, site, etki alanı ve kuruluş birimine (OU) uygulanır. Bu hiyerarşide, OU ilkeleri etki alanı ilkelerinin üzerine yazar, etki alanı ilkeleri site ilkelerinin üzerine yazar ve bu şekilde devam eder.

  Intune 'da, ilkeler oluşturduğunuz kullanıcılara ve gruplara uygulanır. Hiyerarşi yok. İki ilke aynı ayarı güncelleştiriyorsa, ayar çakışma olarak gösterilir. Daha fazla bilgi için bkz. cihaz ilkeleri ve profillerle Ilgili yaygın sorular, sorunlar ve çözümler.

  AD Grup İlkesi 'nden Intune 'a geldiğinde, AD küresel ilkeleriniz, sahip olduğunuz gruplara veya ihtiyacınız olan gruplara mantıksal olarak uygulanacaktır. Bu gruplar, küresel düzeyde, site düzeyinde ve bu şekilde hedeflemek istediğiniz kullanıcıları ve cihazları içerir. Bu görev, Intune 'da ihtiyacınız olan grup yapısına ilişkin bir fikir verir.

• Intune 'da yeni ilke ve profiller oluşturmaya hazırlıklı olun. Intune, sizi ilgilendiren senaryoları kapsayan çeşitli özellikler içerir. Bazı örnekler:

  • güvenlik temelleri: Windows 10 cihazlarda güvenlik temelleri , önerilen değerlere önceden yapılandırılmış güvenlik ayarlarıdır. Cihazları güvenli hale getiriyorsanız veya kapsamlı bir taban çizgisi istiyorsanız güvenlik temelleri ' ne bakın.
  • yönetim şablonları: Windows 10 cihazlarda, Windows, ınternet Explorer, Office ve Microsoft Edge sürüm 77 ve üzeri için grup ilkesi ayarlarını yapılandırmak üzere ADMX şablonlarını kullanın. Bu ADMX şablonları, AD grup ilkesinde kullanılan ADMX şablonlarıdır, ancak Intune 'da %100 bulut tabanlıdır.
  • Grup İlkesi: GPO 'larınızı içeri ve analiz etmek için Grup İlkesi Analizi 'ni kullanın. Bu özellik, GPO 'larınızın bulutta nasıl çevrileceğini belirlemenize yardımcı olur. Analiz sonucunda Microsoft Intune dahil olmak üzere MDM sağlayıcıları tarafından desteklenen ayarlar gösterilir. Ayrıca kullanım dışı olan veya MDM sağlayıcıları tarafından kullanılamayan ayarlar da gösterilir.
  • Kılavuzlu senaryolar: Kılavuzlu senaryolar , uçtan uca kullanım örneklerine odaklanan özelleştirilmiş bir adım dizisidir. Bu senaryolar ilkeleri, uygulamaları, atamaları ve diğer yönetim yapılandırmasını otomatik olarak içerir.

• Hedeflerinizin en az birini içeren bir ilke temeli oluşturun. Örneğin:

  • Güvenli e-posta: en azından şunları yapmak isteyebilirsiniz:

    • Exchange Online için koşullu erişimi etkinleştirin veya şirket içi e-posta çözümüne bağlanmak.
    • Outlook uygulama koruma ilkeleri oluşturun.

  • Cihaz ayarları: en azından şunları yapmak isteyebilirsiniz:

    • Cihazın kilidini açmak için altı karakterli bir PIN gerektir.
    • İCloud veya OneDrive gibi kişisel bulut hizmetlerine yönelik yedeklemeleri engelleyin.

  • Cihaz profilleri: en azından şunları yapmak isteyebilirsiniz:

    • Contoso Wi-Fi kablosuz ağına bağlanan önceden yapılandırılmış ayarlarla bir Wi-Fi profili oluşturun.
    • Otomatik olarak kimlik doğrulaması yapmak ve bir kuruluşun VPN 'ye bağlanmak için bir sertifikaya sahip bir VPN profili oluşturun.
    • Office 365 veya Gmail e-posta çözümüne bağlanan önceden yapılandırılmış ayarlarla bir e-posta profili oluşturun.

  • Uygulamalar: en azından şunları yapmak isteyebilirsiniz:

    • uygulama koruma ilkeleriyle Office 365 dağıtın.
    • Uygulama koruma ilkeleriyle iş kolu (LOB) dağıtın.

• Gruplarınızın geçerli yapısını gözden geçirin. Intune 'da, Kullanıcı gruplarına, cihaz gruplarına ve dinamik Kullanıcı ve cihaz gruplarına ilke oluşturup atayabilir (Azure AD Premium gerekir).

  bulutta, ıntune veya Microsoft 365 gibi gruplar oluşturduğunuzda Azure AD 'de oluşturulur. Azure AD markasını görmezsiniz, ancak bu, kullanmakta olduğunuz şeydir.

  • Yeni gruplar oluşturmak, kolay bir görevdir. Microsoft Endpoint Manager yönetim merkezindeoluşturulabilirler. Daha fazla bilgi için bkz. kullanıcıları ve cihazları düzenlemek için grup ekleme.

  • Mevcut dağıtım listelerini (DL) Azure AD 'ye taşımak daha zor olabilir. Bu gruplar Azure AD 'de varsa, Intune ve Microsoft 365 tarafından kullanılabilir. Daha fazla bilgi için bkz.

    • Azure Active Directory ile karma kimlik nedir?
    • Azure AD Connect eşitleme: eşitlemeyi anlama ve özelleştirme

  • Office 365 gruplarınız varsa Microsoft 365 taşıyabilirsiniz. Mevcut gruplarınız kalır ve Microsoft 365 tüm özellik hizmetlerini alırsınız. Daha fazla bilgi için bkz.

    • Microsoft 365 nedir?
    • Microsoft 365 Kurumsal geçiş
    • Microsoft 365 işletmeye yükseltin

• Birden çok cihaz yönetimi çözümüne sahipseniz, tek bir mobil cihaz yönetimi çözümüne geçiş yapın. Uygulamalarda ve cihazlarda kuruluş verilerini korumaya yardımcı olmak için Intune 'U kullanmanızı öneririz.

5. görev: bir dağıtım planı oluşturma

Sonraki görev, kullanıcılarınızın ve cihazlarınızın ilkelerinizi nasıl ve ne zaman alacağını planlıyor. Bu görevde ayrıca şunları göz önünde bulundurun:

• Hedeflerinizi ve başarı ölçümlerinizi tanımlayın. Diğer dağıtım aşamaları oluşturmak için bu veri noktalarını kullanın. Amaçların Net, Ölçülebilir, Ulaşılabilir, Gerçekçi ve Zamanlı olduğundan emin olun. Her aşamada hedeflerinize göre ölçüm yapmak için plan yapın. böylece, piyasaya çıkma projenizin izlemede kalır.
• Açıkça tanımlanmış hedefleri ve hedefleri vardır. Kullanıcıların kuruluşunuzun neden Intune 'U seçtiğinden emin olmak için, bu amaçları tüm tanıma ve eğitim etkinliklerine dahil edin.

Görev: ilkelerinizi kullanıma almak için bir plan oluşturun ve kullanıcıların cihazlarını Intune 'a nasıl kaydetmelerini seçin. Bazı hususlar:

• İlkelerinizi aşamalar halinde kullanıma alın. Örneğin:

  • Pilot veya test grubu ile başlayın. Bu gruplar, ilk kullanıcı olduğunu bilmelidir ve geri bildirim sağlamak istiyor. Yapılandırma, belge, bildirim ve gelecekteki bir dağıtım içindeki kullanıcıların daha kolay olması için bu geri bildirimi kullanın. Bu kullanıcılar, Yöneticiler veya VIP olmamalıdır.

    İlk sınamadan sonra pilot grubuna daha fazla kullanıcı ekleyin. Ya da, farklı bir piyasaya odaklanabilecek daha fazla pilot grup oluşturun, örneğin:

    • Departmanlar: her departman bir dağıtım aşaması olabilir. Tüm departmanı bir seferde hedeflersiniz. Bu piyasaya sürülme, her departmandaki kullanıcılar cihazlarını aynı şekilde kullanabilir ve aynı uygulamalara erişebilir. Kullanıcılar muhtemelen aynı türde ilkelere sahip olabilir.

    • Coğrafya: ilkelerinizi, aynı kıta, ülke/bölge veya aynı kuruluş Binası olsun, belirli bir coğrafya içindeki tüm kullanıcılara dağıtın. Bu dağıtım, kullanıcıların belirli konumlarına odaklanmanızı sağlar. ıntune 'u aynı anda dağıtan konumların sayısı daha az olduğu için, önceden sağlanmış dağıtım yaklaşımı için bir Windows Autopilot sağlayabilirsiniz. Farklı departmanlardan veya farklı kullanım durumlarının aynı konumda olma olasılığı vardır. Bu nedenle, farklı kullanım durumlarını eşzamanlı olarak test edebilirsiniz.

    • Platform: bu piyasaya çıkma, benzer platformları aynı anda dağıtır. örneğin, şubat içindeki tüm iOS/ıpados cihazlarına, mart 'daki tüm Android cihazlara ve nisan 'daki tüm Windows cihazlara ilkeler dağıtın. Bu yaklaşım, aynı anda yalnızca bir platformu desteklediklerinden, yardım masası desteğini basitleşebilir.

    Aşamalı bir yaklaşım kullanarak, çok sayıda kullanıcı türünden geri bildirimde bulabilirsiniz.

  • Başarılı bir pilot işleminden sonra, eksiksiz bir üretim dağıtımı başlatmaya hazırsınız demektir. Aşağıdaki örnek, hedeflenen grupları ve zaman çizelgelerini içeren bir Intune dağıtım plandır:

  Dağıtım aşaması	5	Ağustos	Eylül	'Den
  Sınırlı Pilot	BT (50 kullanıcı)
  Genişletilmiş Pilot	BT (200 kullanıcı), BT Yöneticileri (10 kullanıcı)
  Üretim dağıtım aşaması 1		Satış ve Pazarlama (2000 kullanıcı)
  Üretim dağıtım aşaması 2			Perakende (1000 kullanıcı)
  Üretim dağıtım aşaması 3				İK (50 kullanıcı), Finans (40 kullanıcı), Yöneticiler (30 kullanıcı)

  Bu şablon, Intune dağıtım planlama, tasarım ve uygulama tablosu şablonlarınade indirilebilir.

• Kullanıcıların kişisel ve kuruluşa ait cihazlarını nasıl kaydedecektir seçin. Kullanabileceğiniz farklı kayıt yaklaşımları vardır, şunlar dahil:

  • Kullanıcı self servis: kullanıcılar kendi CIHAZLARıNı, BT kuruluşlarının sunduğu adımları izleyerek kaydeder. Bu yaklaşım en yaygın olarak karşılaşılan ve Kullanıcı yardımlı kayıttan daha ölçeklenebilir.
  • Kullanıcı yardımlı kayıt: Bu önceden sağlanmış dağıtım yaklaşımını kullanarak bir BT üyesi, kullanıcılara kayıt işlemi veya Teams kullanma yoluyla yardımcı olur. Bu yaklaşım, daha fazla yardım gerektirebilecek yönetici personeli ve diğer gruplarla yaygındır.
  • BT Teknik Fuarı: Bu olayda, BT grubu bir Intune kayıt yardımı stand ayarlar. Kullanıcılar Intune kaydı hakkında bilgi alır, soru sorun ve cihazlarını kaydetme konusunda yardım alın. Bu seçenek, özellikle bir Intune dağıtımı için erken aşamalar sırasında, BT ve kullanıcılar için faydalıdır.

  Aşağıdaki örnek, kayıt yaklaşımlarını içerir:

  Dağıtım aşaması	5	Ağustos	Eylül	'Den
  Sınırlı Pilot
  Self servis	BT
  Genişletilmiş Pilot
  Self servis	BT
  Önceden sağlanmış	BT Yöneticileri
  Üretim dağıtım aşaması 1		Satış, Pazarlama
  Self servis		Satış ve Pazarlama
  Üretim dağıtım aşaması 2			Retail
  Self servis			Retail
  Üretim dağıtım aşaması 3				Yöneticiler, ık, finans
  Self servis				İK, Finans
  Önceden sağlanmış				Yöneticiler

Görev 6: değişiklikleri Iletişim kurma

Değişiklik yönetimi, yaklaşan değişikliklerle ilgili net ve yararlı iletişimleri kullanır. Bu düşünce, Intune dağıtımınızı düzgünleştirmek, kullanıcıların değişikliklere karşı farkında olduğundan emin olmak ve herhangi bir kesinti olması.

Görev: dağıtım iletişim planınız önemli bilgiler, kullanıcılara bildirme ve ne zaman iletişim kuracağını içermelidir. Bazı hususlar:

• Hangi bilgilerin iletişim kuracağını saptayın. Bir Intune piyasaya çıkma, ön kayıt öncesi ve sonra kayıt sonrası ile başlayarak, Grup ve kullanıcılarınıza aşamalar halinde iletişim kurun:

  • Kickoff aşaması: Intune projesini tanıtan geniş iletişim. Şu gibi önemli soruları yanıtlamalısınız:

    • Intune nedir?
    • Kuruluşun, kuruluşun ve kullanıcıların avantajları da dahil olmak üzere Intune 'U kullanmasının nedeni
    • Dağıtım ve dağıtım için üst düzey bir plan sağlayın.
    • Cihazlar kaydedilmediyse kişisel cihazlara izin verilmiyorsa, kararı neden yaptık açıklayın.

  • kayıt öncesi aşaması: ıntune ve ek hizmetler (Office, Outlook ve OneDrive), kullanıcı kaynakları ve kullanıcıların ve grupların ıntune alacağı belirli zaman çizelgeleriyle ilgili bilgileri içeren geniş bir iletişimdir.

  • Kayıt aşaması: Intune 'u alacak şekilde zamanlanan kurumsal kullanıcıları ve grupları hedefleyen iletişim. Kullanıcılara Intune almaya hazırlanma, kayıt adımlarını ekleme ve yardım ve sorularınız için kimlerin iletişim kurabileceğini bilgilendirmelidir.

  • Kayıt sonrası aşaması: Intune'a kaydolan kuruluş kullanıcılarını ve gruplarını hedef alan iletişim. Kullanıcılara yardımcı olacak ek kaynaklar sağlamalı ve kayıt sırasında ve sonrasında deneyimleriyle ilgili geri bildirim toplamalı.

  Intune Benimseme Seti yararlı olabilir. Olduğu gibi kullanın veya kuruluş için bunu değiştirebilirsiniz.

• Intune rollout bilgilerini hedeflenen gruplarınıza ve kullanıcılarınıza nasıl ileteceklerini seçin. Örneğin:

  • Geniş kapsamlı bir toplantı oluşturun veya bu toplantıyı Microsoft Teams.

  • Ön kayıt için bir e-posta, kayıt için e-posta ve kayıt sonrası için e-posta oluşturun. Örneğin:

    • E-posta 1: Avantajları, beklentileri ve zamanlamayı açıklama. Intune tarafından yönetilen cihazlarda erişimi verilen diğer hizmetleri göstermek için bu fırsatı değerlendirin.
    • E-posta 2: Hizmetlerin artık Intune üzerinden erişim için hazır olduğunu duyurun. Kullanıcılara şimdi kaydolmalarını söyleyin. Kullanıcılara erişimleri etkilenmeden önce bir zaman çizelgesi verme. Kullanıcılara geçişin avantajlarını ve stratejik nedenlerini hatırlatın.

  • Yayın aşamalarını, kullanıcıların neler bekley istediğini ve yardım için kimlerle iletişim kuracaklarını açıklayan bir kuruluş web sitesi kullanın.

  • Posterler oluşturun, kuruluş sosyal medya platformlarını kullanın (Yammer gibi) veya kayıt öncesi aşamayı duyurmak için dağıtın.

• Ne zaman ve kim olduğunu içeren bir zaman çizelgesi oluşturun. İlk Intune ilk iletişimleri kuruluşun tamamını veya yalnızca bir alt kümesini hedef alabilir. Intune'a çıkış başlamadan önce birkaç hafta sürebilir. Bundan sonra, bilgiler kullanıcılara ve gruplara, Intune'a alma zamanlamalarıyla uyumlu olarak aşamalar halinde iletebilirsiniz.

  Aşağıdaki örnek, üst düzey bir Intune rollout iletişim planıdır:

  İletişim planı	Temmuz	Ağustos	Eylül	Ekim
  1. Aşama	Tümü
  Başlangıç toplantısı	İlk hafta
  2. Aşama	BT	Satış ve Pazarlama	Retail	İK, Finans ve Yöneticiler
  Kayıt Öncesi E-postası 1	İlk hafta	İlk hafta	İlk hafta	İlk hafta
  3. Aşama	BT	Satış ve Pazarlama	Retail	İK, Finans ve Yöneticiler
  Kayıt Öncesi E-postası 2	İkinci hafta	İkinci hafta	İkinci hafta	İkinci hafta
  4. Aşama	BT	Satış ve Pazarlama	Retail	İK, Finans ve Yöneticiler
  Kayıt e-postası	Üçüncü hafta	Üçüncü hafta	Üçüncü hafta	Üçüncü hafta
  5. Aşama	BT	Satış ve Pazarlama	Retail	İK, Finans ve Yöneticiler
  Kayıt sonrası e-postası	Dördüncü hafta	Dördüncü hafta	Dördüncü hafta	Dördüncü hafta

Görev 7: Destek yardım masası ve son kullanıcılar

Intune dağıtım planlama ve pilot çalışmalarının ilk aşamalarında, IT destek ve yardım masasına dahil edin. Erken katılım, destek personelinizi Intune'a sunar ve sorunları daha etkili bir şekilde tanımlama ve çözme konusunda bilgi ve deneyim kazanır. Ayrıca, bunları kuruluşun tam üretim çıkışlarını desteklemeye hazırlar. Bilgili yardım masası ve destek ekipleri, kullanıcıların bu değişiklikleri benimsemesine de yardımcı olur.

Görev: Destek eğitimlerini dahil etmek. Son kullanıcı deneyimini, dağıtım planınızdaki başarı ölçümleriyle doğrulayın. Dikkat edilmesi gereken bazı noktalar:

• Son kullanıcıları destekleyecek kullanıcıları belirleme. Kuruluşların farklı katmanları veya düzeyleri olabilir (1-3). Örneğin katman 1 ve 2, destek ekibinin bir parçası olabilir. Katman 3, Intune dağıtımından sorumlu MDM ekibinin üyelerini içerir.

  Katman 1 genellikle ilk destek düzeyi ve iletişim kurmanız gereken ilk katmandır. Katman 1 sorunu çözemezse katman 2'ye gider. Katman 2, katman 3'e iletir. Microsoft desteği katman 4 olarak kabul edilir.

  • İlk rollout aşamalarında destek takımınıza ilişkin tüm katmanların sorunları ve çözümlerini belgeleyeniden emin olun. Desenlere bakın ve iletişimlerinizi sonraki çıkış aşamasına göre ayarlayın. Örneğin:
    • Farklı kullanıcılar veya gruplar kişisel cihazlarını kaydetme konusunda kararsızsa, sık sorulan soruları yanıtlamak için Teams aramalarını göz önünde bulundurabilirsiniz.
    • Kullanıcılar kuruluşa ait cihazları kaydetmede aynı soruna sahipse, kullanıcıların cihazları kaydetmeye yardımcı olması için bir kişi etkinliği barındırın.

• Bir yardım masası iş akışı oluşturun ve destek sorunları, eğilimler ve diğer önemli bilgileri destek takımınızda tüm katmanlara sürekli olarak iletir. Örneğin, tüm katmanların eğilimlerden, desenlerden haberdar Teams ve yardım alamı için günlük veya haftalık toplantılar tutun.

  Aşağıdaki örnek, Contoso'un KENDI IT destek veya yardım masası iş akışlarını nasıl uygulaydığını gösterir:

  1. Son kullanıcı yaşadığı kayıt sorunu nedeniyle BT destek veya yardım masası katman 1 ile irtibat kurar.
  2. IT desteği veya yardım masası katman 1, sorunun kök nedenini belirleye kliktir ve katman 2'ye iletir.
  3. IT destek veya yardım masası katman 2 araştırılıyor. Katman 2, sorunu çözemezse katman 3'e iletir ve bu soruna yardımcı olacak ek bilgiler sağlar.
  4. IT destek veya yardım masası katman 3, sorunun kök nedenini araştırarak belirler ve çözümü katman 2 ve 1'e iletir.
  5. Ardından, KULLANıCıLARla iletişime devam edecek ve sorunu çözecek olan IT destek/yardım masası katman 1.

  Bu yaklaşım, özellikle Intune'a ilk kez dahil olmak üzere birçok avantaj sağlar:

  • Teknoloji öğrenmesi konusunda yardım.
  • Sorunları ve çözümü hızla belirleme.
  • Genel kullanıcı deneyimini geliştirin.

• Yardım masanızı ve destek ekiplerinizi eğitin. İşlem hakkında bilgi sahibi olmak için, kuruluşta kullanılan farklı platformları (Android, iOS/iPadOS, macOS, Windows) çalıştıran cihazları kaydetmelerini sağlar. Senaryolarınız için yardım masası ve destek ekiplerini pilot grup olarak kullanmayı göz önünde bulundurabilirsiniz.

  YouTubevideoları, kayıt, uyumluluk, yapılandırma ile ilgili Microsoft öğreticileri veeğitim iş ortakları aracılığıyla yapılan kurslar da dahil olmak üzere eğitim kaynakları mevcuttur.

  Aşağıdaki örnek, bir Intune destek eğitim çalışmasıdır:

  • Intune destek planı incelemesi
  • Intune genel bakışı
  • Genel sorunları giderme
  • Araçlar ve kaynaklar
  • Soru-Cevap

Son kullanıcılarınızı eğitin belgeleri,topluluk tabanlı Intune forumuve son kullanıcı belgeleri de harika kaynaklardır.

Sonraki adımlar

Uygulama ve cihaz ilkelerinizi oluşturunve cihazlarınızı kaydedin.

Bkz. Intune Benimseme Seti.