Share via

podrobný průvodce nastavením Windows 10/11 v cloudové konfiguraci

  • Článek

Windows 10/11 v konfiguraci cloudu (cloudová konfigurace) je konfigurace zařízení pro klientská zařízení s Windows. Je navržený tak, aby zjednodušil prostředí koncového uživatele. Další informace o tom, co je cloudová konfigurace, včetně minimálních požadavků, najdete v článku Přehled scénářů s asistencí cloudové konfigurace Windows.

Při konfiguraci cloudu můžete pomocí zásad Microsoft Intune přeměnit klientské zařízení s Windows na zařízení optimalizované pro cloud. Windows 10/11 v cloudové konfiguraci:

  • Optimalizuje zařízení pro cloud tím, že je nakonfiguruje pro registraci do správy Intune pomocí Microsoft Entra. Uživatelská data se automaticky ukládají na OneDrive s nakonfigurovaným přesunutím známých složek .

  • Nainstaluje do zařízení Microsoft Teams a Microsoft Edge.

  • Nakonfiguruje koncové uživatele tak, aby se na zařízeních chovali jako standardní uživatelé, což IT poskytuje větší kontrolu nad aplikacemi nainstalovanými na zařízeních.

  • Odebere integrované aplikace a aplikaci Microsoft Store, což zjednodušuje prostředí koncového uživatele.

  • Použije nastavení zabezpečení koncového bodu a zásady dodržování předpisů. Tyto zásady pomáhají udržovat zařízení v bezpečí a pomáhají IT monitorovat stav zařízení.

  • Zajišťuje, aby se zařízení automaticky aktualizovala prostřednictvím služba Windows Update pro firmy.

  • Volitelně můžete také:

    • Přidejte další aplikace Microsoft 365, jako je Outlook, Word, Excel, PowerPoint.
    • Přidejte základní obchodní aplikace, které koncoví uživatelé potřebují, aby byli úspěšní. Microsoft doporučuje tyto aplikace udržovat na minimu, aby byla konfigurace jednoduchá.
    • Přidejte základní prostředky, jako jsou profily Wi-Fi, připojení VPN, certifikáty a ovladače tiskáren, které jsou nezbytné pro pracovní postupy uživatelů.

Tip

Přehled Windows 10/11 v konfiguraci cloudu a jejich použití najdete v tématu Windows 10/11 v cloudové konfiguraci.

Cloudovou konfiguraci můžete nasadit dvěma způsoby:

  • Možnost 1 – Automaticky: Pomocí scénáře s asistencí můžete automaticky vytvořit všechny skupiny a zásady s jejich nakonfigurovanými hodnotami. Další informace o této možnosti najdete v článku Přehled scénářů s asistencí konfigurace cloudu Windows.
  • Možnost 2 – Ručně (tento článek): Podle kroků v tomto článku nasaďte cloudovou konfiguraci sami.

Tato příručka vám pomůže vytvořit vlastní nasazení cloudové konfigurace. Následující části popisují, jak pomocí Microsoft Intune nastavit konfiguraci cloudu:

  1. Vytvoření skupiny Microsoft Entra
  2. Konfigurace registrace zařízení
  3. Nasazení skriptu pro konfiguraci přesunutí a odebrání předdefinovaných aplikací známých složek
  4. Nasazení aplikací
  5. Nasazení nastavení zabezpečení koncového bodu
  6. Konfigurace nastavení služba Windows Update
  7. Nasazení zásad dodržování předpisů pro Windows
  8. Volitelné konfigurace

Krok 1 – vytvoření skupiny Microsoft Entra

Prvním krokem je vytvoření skupiny zabezpečení Microsoft Entra, která přijímá nasazené konfigurace.

Tato vyhrazená skupina vám pomůže uspořádat zařízení a spravovat prostředky konfigurace cloudu v Intune. Microsoft doporučuje nasadit pouze konfigurace uvedené v této příručce. Pak podle potřeby přidejte další základní aplikace a další konfigurace zařízení.

K vytvoření skupiny použijte následující postup:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Skupiny>Všechny skupiny>Nová skupina.

  3. Jako Typ skupiny vyberte Zabezpečení.

  4. Zadejte název skupiny, například Cloud config PCs.

  5. Jako Typ členství vyberte Přiřazeno.

  6. Pokud chcete, můžete teď přidat zařízení do nové skupiny. Vyberte Možnost Nejsou vybráni žádní členové a přidejte členy do skupiny.

    Můžete také začít s prázdnou skupinou a později přidat zařízení.

  7. Vyberte Vytvořit.

Tip

Po vytvoření skupiny můžete do této skupiny přidat předregistrovaná zařízení Windows Autopilot.

Existující zařízení

Pokud máte v Intune zaregistrovaná existující zařízení, která chcete používat s cloudovou konfigurací, doporučujeme začít s těmito zařízeními znovu. Konkrétně:

  • Odeberte existující aplikace a profily nasazené do těchto zařízení.
  • Resetujte tato zařízení.
  • Znovu zaregistrujte zařízení v Intune a nasaďte cloudovou konfiguraci.

Tyto dodatečné kroky se doporučují pro stávající zařízení, protože poskytují zjednodušené uživatelské prostředí. Pak můžete přidat další základní aplikace a zajistit, aby zařízení měla jenom to, co uživatelé potřebují.

Krok 2 – Konfigurace registrace zařízení

V tomto kroku povolíte automatickou registraci MDM v Intune a nakonfigurujete způsob registrace zařízení v Intune.

Pokud už používáte Windows Autopilot, přeskočte tento krok a přejděte na Krok 3 – Nasazení skriptu pro konfiguraci přesunutí a odebrání předdefinovaných aplikací známých složek (v tomto článku).

✔️ 1. Povolení automatické registrace

Povolte automatickou registraci pro uživatele organizace, které chcete používat cloudovou konfiguraci. Pro konfiguraci cloudu se vyžaduje automatická registrace. Další informace o automatické registraci najdete v článku Průvodce registrací – automatická registrace Windows.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zařízení Registrace>Windows>>Automatická registrace.

  3. V části Obor uživatele MDM vyberte jednu z následujících možností:

    • Vyberte Vše , pokud chcete použít konfiguraci cloudu na všechna zařízení s Windows, která uživatelé ve vaší organizaci používají. Ve většině scénářů cloudové konfigurace je vybraná možnost Vše .
    • Vyberte Někteří a použijte konfiguraci cloudu na zařízení, která používá podmnožina uživatelů ve vaší organizaci. Pokud chcete použít konfiguraci cloudu ve fázovaném přístupu, může být vhodnou volbou Možnost Některé .

  4. Nekonfigurujte obor uživatele MAM, podmínky adresy URL uživatele MAM, adresu URL zjišťování MDM a nastavení adresy URL dodržování předpisů MAM. Tato nastavení nechte prázdná. Nastavení MAM nejsou nakonfigurovaná pro konfiguraci cloudu.

  5. Výběrem OK uložte změny.

✔️ 2 – Zvolte, jak zařízení registruje a nakonfiguruje uživatele, aby se na zařízeních mohli stát standardními uživateli.

Po povolení automatické registrace Windows v Intune je dalším krokem určení způsobu registrace zařízení v Intune. Když se zaregistrují, budou mít k dispozici zásady cloudové konfigurace. Musíte také nakonfigurovat uživatele tak, aby na svých zařízeních byly standardními uživateli. Standardní uživatelé můžou instalovat jenom aplikace, které vaše organizace schválí.

Pro registraci máte tři možnosti. Vyberte jednu možnost registrace.

  • Použití Windows Autopilotu (doporučeno)
  • Hromadná registrace pomocí zřizovacího balíčku
  • Použití Microsoft Entra ID v prostředí počátečního nastavení počítače (OOBE)

Tato část obsahuje další informace o těchto možnostech registrace a konfiguraci uživatelů jako standardních uživatelů na svých zařízeních.

Doporučujeme použít registraci windows Autopilotu a stránku stavu registrace (ESP). Tato metoda registrace a ESP poskytují konzistentní prostředí pro koncové uživatele.

  • Zařízení předem zaregistrujete pomocí služby nasazení Windows Autopilot. Pomocí Windows Autopilotu správci konfigurují způsob spouštění a registrace zařízení do správy zařízení.
  • Zásady Intune Windows Autopilot konfigurují výchozí prostředí (OOBE). V počátečním nastavení počítače vyberete uživatele, kteří se mají stát standardními uživateli.
  • Zásady Intune Windows Autopilot konfigurují stránku stavu registrace (ESP). Esp zobrazuje průběh konfigurace. Uživatelé zůstanou v ESP, dokud se na zařízení nepoužije všechna nastavení konfigurace cloudu.

Pokud chcete nastavit registraci windows Autopilotu řízenou uživatelem, postupujte následovně:

  1. Přidejte zařízení do Windows Autopilotu.

    Zaregistrujte zařízení ve Windows Autopilotu pomocí postupu v kroku 3 – registrace zařízení ve Windows Autopilotu (otevře článek Windows Autopilot).

    Poznámka

    Článek Krok 3 – Registrace zařízení do windows Autopilotu Windows Autopilot je součástí řady kroků. Pro tuto cloudovou konfiguraci postupujte jenom podle kroku 3 – Registrace zařízení do Windows Autopilotu a zaregistrujte svá zařízení. Nepoužívejte další kroky v řadě. Další kroky v této řadě Windows Autopilotu jsou určené pro jiný scénář Windows Autopilotu.

    Zařízení můžete také ručně zaregistrovat, aby používala Windows Autopilot. Ruční registrace zařízení se často používá k opětovnému účelu stávajícího hardwaru, který nebyl dříve nastaven pomocí Windows Autopilotu.

  2. Vytvořte a přiřaďte profil nasazení Windows Autopilotu v Intune.

    1. Přihlaste se do Centra pro správu Microsoft Intune.

    2. Vyberte Zařízení s>Windows>Registrace>windows Windows Autopilot DeploymentProfily nasazení programů>.

    3. Vyberte Vytvořit profil>na počítači s Windows. Zadejte název profilu.

    4. U nastavení Převést všechna cílová zařízení na Autopilot vyberte Ano. Vyberte Další.

      Cloudovou konfiguraci můžete použít u zařízení zaregistrovaných pomocí jiných metod registrace než Windows Autopilot. Když tato zařízení (jiná zařízení než Windows Autopilot) přidáte do skupiny, převedou se na Windows Autopilot. Když se zařízení příště resetují a projdou prostředím počátečního nastavení počítače s Windows, zaregistrují se přes Windows Autopilot.

    5. Na kartě Prostředí pro počáteční nastavení počítače (OOBE) zadejte následující hodnoty a pak vyberte Další:

      Nastavení Hodnota
      Režim nasazení Řízené uživatelem
      Připojit se k Microsoft Entra ID jako Microsoft Entra připojeno
      Licenční podmínky pro software společnosti Microsoft Skrýt
      Nastavení ochrany osobních údajů Skrýt
      Skrýt možnosti změnit účet Skrýt
      Typ uživatelského účtu Standard
      Povolit předem zřízené nasazení Ne
      Jazyk (oblast) Výchozí operační systém
      Automatická konfigurace klávesnice Ano
      Použití šablony názvu zařízení Volitelný parametr Můžete použít šablonu názvu zařízení. Použijte předponu názvu, která vám pomůže identifikovat vaše cloudová konfigurační zařízení, například Cloud-%SERIAL%.

    6. Přiřaďte profil ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku), a pak vyberte Další.

    7. Zkontrolujte nový profil a pak vyberte Vytvořit.

  3. Vytvořte a přiřaďte stránku stavu registrace v Intune.

    1. Přihlaste se do Centra pro správu Microsoft Intune.

    2. Vyberte Zařízení s>Windows>Registrace>Windows – Obecná>stránka stavu registrace.

    3. Vyberte Vytvořit a zadejte název stránky stavu registrace.

    4. Na kartě Nastavení zadejte následující hodnoty a pak vyberte Další:

      Nastavení Hodnota
      Zobrazit proces konfigurace aplikace a profilu Ano
      Zobrazit chybu, když instalace trvá déle, než je zadaný počet minut 60
      Zobrazit vlastní zprávu, když dojde k chybě časového limitu Ano – Můžete také změnit výchozí zprávu.
      Povolit uživatelům shromažďovat protokoly o chybách instalace Ano
      Blokovat uživatele zařízení, dokud se nenainstalují všechny aplikace a profily Ano
      Povolit uživatelům resetovat zařízení, pokud dojde k chybě instalace Ano
      Povolit uživatelům používat zařízení, pokud dojde k chybě instalace Ne
      Blokovat uživatele zařízení, dokud se tyto požadované aplikace nenainstalují, pokud jsou přiřazené uživateli nebo zařízení Vše

      Poznámka

      Pokud dojde k chybě instalace, doporučujeme uživatelům zablokovat používání zařízení. Blokování uživatelů zajišťuje, aby mohli zařízení začít používat až po úplném použití cloudové konfigurace.

      Pokud na základě potřeb nasazení dojde k chybě instalace, můžete uživateli povolit používání zařízení. Pokud povolíte používání zařízení, intune se při přihlášení k Intune dál pokouší použít konfigurace.

    5. V části Přiřazení přiřaďte stránku Stavu registrace skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

      Vyberte Další.

    6. Vyberte Vytvořit a vytvořte a přiřaďte stránku stavu registrace.

Možnost registrace 2: Hromadná registrace pomocí zřizovacího balíčku

Zařízení můžete registrovat pomocí zřizovacího balíčku vytvořeného pomocí Designer konfigurace Windows nebo aplikace Nastavit školní počítače.

Další informace o hromadné registraci najdete v tématu Hromadná registrace zařízení s Windows.

S hromadnou registrací:

  • Jakmile se zařízení zaregistrují do Intune, přidáte je do skupiny, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku). Po přidání do skupiny obdrží vaši cloudovou konfiguraci.
  • Všichni uživatelé jsou automaticky standardními uživateli zařízení.
  • Neexistuje stránka stavu registrace. Uživatelé nemůžou průběh zobrazit, protože se používají všechna nastavení konfigurace cloudu. Uživatelé můžou zařízení začít používat ještě před tím, než se plně použije konfigurace cloudu.
  • Než zařízení distribuujete uživatelům, microsoft doporučuje ověřit, jestli jsou nastavení a aplikace na zařízeních.

Možnost registrace 3: Registrace pomocí Microsoft Entra ID v prostředí počátečního nastavení počítače (OOBE)

Když je v Intune povolená automatická registrace MDM, při počátečním nastavení počítače se uživatelé přihlašují pomocí svých Microsoft Entra účtů. Když se přihlásí, registrace se automaticky spustí.

S touto možností registrace:

  1. Nakonfigurujte Microsoft Intune vlastní profil tak, aby omezovaly místní správce na zařízeních. CSP zásad obsahuje ukázkový kód XML definice zásad, který můžete použít ve vlastním profilu.

    Tip

    V tomto vlastním profilu je další nastavení, které přidává skupinu, která může být místními správci zařízení. Tato místní skupina správců by měla ve vašem prostředí zahrnovat jenom správce IT.

  2. Přiřaďte vlastní profil ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

Krok 3 – Konfigurace přesunutí známé složky OneDrivu a nasazení skriptu pro odebrání předdefinovaných aplikací

Když nakonfigurujete přesun známých složek OneDrivu, uživatelské soubory a data se automaticky uloží na OneDrive. Když odeberete integrované aplikace pro Windows a Microsoft Store, zjednoduší se nabídka Start a prostředí zařízení.

Tento krok pomáhá zjednodušit uživatelské prostředí systému Windows.

✔️ 1 – Konfigurace přesunu známé složky OneDrivu pomocí šablony pro správu

Při přesunutí známé složky se data uživatelů (soubory a složky) ukládají na OneDrive. Když se uživatelé přihlásí k jinému zařízení, OneDrive automaticky synchronizuje data s novým zařízením. Uživatelé nemusí soubory přesouvat ručně.

Poznámka

Kvůli potížím se synchronizací s přesunem známých složek OneDrivu a konfigurací SharedPC společnost Microsoft nedoporučuje používat Windows v cloudové konfiguraci se zařízením, které má více uživatelů, kteří se přihlašují a odhlašují.

Pokud chcete nakonfigurovat přesunutí známé složky, použijte šablonu ADMX v Intune:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zařízení>Profily> konfiguraceWindows>Vytvořit>novou zásadu.

  3. Jako platformu vyberte Windows 10 a novější a jako typ profilu vyberte Šablony.

  4. Vyberte Šablony pro správu a vyberte Vytvořit.

  5. Zadejte název profilu a vyberte Další.

  6. V části Nastavení konfigurace vyhledejte nastavení v následující tabulce a vyberte jejich doporučené hodnoty:

    Nastavení názvu Hodnota
    Bezobslužné přesunutí známých složek Windows do ID tenanta s povoleným OneDrivem Zadejte ID tenanta vaší organizace.

    ID vašeho tenanta se zobrazuje na stránce> vlastnosti Centrum pro správu Microsoft Entra >ID tenanta.
    Zobrazit oznámení uživatelům po přesměrování složek Ano. Oznámení můžete také skrýt.
    Bezobslužné přihlašování uživatelů k aplikaci synchronizační aplikace OneDrivu pomocí přihlašovacích údajů systému Windows Povoleno
    Jak uživatelům zabránit v přesunu známých složek Windows na OneDrive Povoleno
    Zabránit uživatelům v přesměrování známých složek Windows na jejich počítač Povoleno
    Použití souborů OneDrivu na vyžádání Povoleno

  7. Přiřaďte profil ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

✔️ 2. Nasazení skriptu pro odebrání předdefinovaných aplikací

Microsoft vytvořil Windows PowerShell skript, který:

  • Odebere integrované aplikace ze zařízení.
  • Odebere aplikaci Microsoft Store ze zařízení.

Skript se nasadí do zařízení používajících v Intune. Pokud chcete přidat a nasadit skript, postupujte následovně:

  1. Stáhněte si skript pro odebrání aplikace PowerShellu pro cloudovou konfiguraci okna. Tento skript odebere aplikaci Microsoft Store a předdefinované aplikace.

    Poznámka

    Pokud chcete aplikaci Microsoft Store ponechat na zařízeních, můžete použít skript, který odebere integrované aplikace, ale místo toho zachová Microsoft Store . Pokud chcete tento skript použít, stáhněte si ho a postupujte podle stejných kroků. Tento skript se pokusí odebrat integrované aplikace, ale nemusí odebrat všechny. Možná budete muset skript upravit tak, aby odebral všechny integrované aplikace na vašich zařízeních.

  2. Přihlaste se do Centra pro správu Microsoft Intune.

  3. Vyberte Zařízení>Skripty systémuWindows> anápravy> Skripty > platformyPřidat.

  4. V části Základy zadejte název zásady skriptů a vyberte Další.

  5. V nastavení skriptu nahrajte skript, který jste stáhli. Ostatní nastavení nechte beze změny a vyberte Další.

  6. Přiřaďte skript ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

Aplikace z Microsoft Storu

Pokud jste aplikaci Microsoft Store dříve odebrali, můžete ji znovu nasadit pomocí Microsoft Intune. Pokud chcete aplikaci z Microsoft Storu (nebo jiné aplikace, které chcete znovu přidat), přidejte ji do úložiště aplikací soukromé organizace. Pak aplikaci nasaďte do zařízení pomocí Intune. Aplikace Microsoft Store pomáhá udržovat aplikace aktualizované.

Úložiště aplikací vaší privátní organizace může být:

Pomocí Intune můžete na zařízeních Windows 10/11 Enterprise a Education zablokovat koncovým uživatelům instalaci aplikací z Microsoft Storu mimo úložiště privátních aplikací vaší organizace.

Pokud chcete těmto externím aplikacím zabránit, postupujte následovně:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zařízení>Profily> konfiguraceWindows>Vytvořit>novou zásadu.

  3. Jako platformu vyberte Windows 10 a novější a jako typ profilu vyberte Katalog nastavení. Vyberte Vytvořit.

  4. V části Základy zadejte název svého profilu.

  5. V nastavení konfigurace vyberte Přidat nastavení. Pak:

    1. Ve výběru nastavení vyhledejte private store. Ve výsledcích hledání v kategorii Microsoft App Store vyberte Vyžadovat pouze privátní úložiště.
    2. Nastavte možnost Vyžadovat pouze privátní úložiště na povoleno pouze soukromé úložiště.
    3. Vyberte Další.

  6. V části Přiřazení přiřaďte profil skupině, kterou jste vytvořili v kroku 1 – Vytvoření Microsoft Entra skupiny (v tomto článku).

  7. V části Zkontrolovat a vytvořit zkontrolujte svůj profil a vyberte Vytvořit.

Krok 4 – nasazení aplikací

Tento krok nasadí Microsoft Edge a Microsoft Teams. V tomto kroku můžete nasadit další základní aplikace. Nezapomeňte, že nasaďte jenom to, co uživatelé potřebují.

✔️ 1. Nasazení Microsoft Edge

  1. Přidejte Microsoft Edge do Intune.
  2. V části Nastavení aplikace vyberte Stabilní kanál.
  3. Přiřaďte aplikaci Microsoft Edge ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

✔️ 2. Nasazení Microsoft Teams

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Aplikace>Windows.

  3. Vyberte Přidat a vytvořte novou aplikaci.

  4. Jako Microsoft 365 Apps vyberte Windows 10 a později>Vyberte.

  5. Do pole Název sady zadejte název nebo použijte navrhovaný název. Vyberte Další.

  6. V části Konfigurovat sadu aplikací vyberte jenom Teams.

    Pokud chcete nasadit další aplikace Microsoft 365, vyberte je v tomto seznamu. Nezapomeňte, že nasaďte jenom to, co uživatelé potřebují.

    Tip

    Nemusíte vybírat OneDrive. OneDrive je integrovaný do Windows 10/11 Pro, Enterprise a Education.

  7. V části Informace o sadě aplikací nakonfigurujte následující nastavení:

    Nastavení Hodnota
    Architecture 64bitová verze

    Konfigurace cloudu funguje také s 32bitovou verzí. Microsoft doporučuje zvolit 64bitovou verzi.
    Aktualizovat kanál Aktuální kanál
    Odebrat ostatní verze Ano
    Verze, která se má nainstalovat Nejnovější

  8. V části Vlastnosti nakonfigurujte následující nastavení:

    Nastavení Hodnota
    Použití aktivace sdíleného počítače Ano
    Přijetí licenčních podmínek pro software společnosti Microsoft jménem uživatelů Ano

  9. Vyberte Další.

  10. Přiřaďte sadu ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

Krok 5 – Nasazení nastavení zabezpečení koncového bodu

Tento krok nakonfiguruje nastavení zabezpečení koncového bodu tak, aby byla zařízení zabezpečená, včetně integrovaných standardních hodnot zabezpečení Windows a nastavení nástroje BitLocker.

✔️ 1. Nasazení standardních hodnot zabezpečení MDM Windows 10/11

V případě konfigurace Windows v cloudu se doporučuje použít standardní hodnoty zabezpečení Windows 10/11. Existuje několik hodnot nastavení, které můžete změnit na základě preferencí vaší organizace.

Konfigurace standardních hodnot zabezpečení v Intune:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Standardníhodnoty> zabezpečení >zabezpečení koncového boduStandardní hodnoty zabezpečení pro Windows 10 a novější.

  3. Vyberte Vytvořit profil a vytvořte nový směrný plán zabezpečení.

  4. Zadejte název standardních hodnot zabezpečení a vyberte Další.

  5. Přijměte výchozí nastavení konfigurace. Nebo můžete podle potřeb vaší organizace změnit následující nastavení:

    Kategorie nastavení Nastavení Důvod změny
    Prohlížeče Blokovat správce hesel Pokud chcete koncovým uživatelům povolit používání správců hesel, zakažte toto nastavení.
    Vzdálená pomoc Vyžádaná vzdálená pomoc Toto nastavení umožňuje pracovníkům podpory vzdálené připojení k zařízením. Microsoft doporučuje toto nastavení zakázat, pokud není potřeba.
    Brány firewall Všechna nastavení brány firewall Pokud potřebujete povolit určitá připojení k zařízením podle potřeb vaší organizace, změňte výchozí nastavení brány firewall.

    Vyberte Další.

  6. V části Přiřazení vyberte skupinu, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

  7. Vyberte Vytvořit a vytvořte a přiřaďte směrný plán.

✔️ 2. Nasazení dalších nastavení nástroje BitLocker s profilem zabezpečení koncového bodu šifrování jednotky

Existují další nastavení nástroje BitLocker, která pomáhají zabezpečit vaše zařízení. Nakonfigurujte v Intune tato nastavení BitLockeru:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Šifrovánídisků> zabezpečení >koncového boduVytvořit zásadu.

  3. V části Platforma vyberte Windows 10 a novější.

  4. V části Profil vyberte Vytvořit nástrojem BitLocker>.

  5. V části Základy zadejte název svého profilu.

  6. V části Nastavení konfigurace vyberte následující nastavení:

    Kategorie nastavení Nastavení Hodnota
    BitLocker – základní nastavení Povolení šifrování celého disku pro operační systém a pevné datové jednotky Ano
         
    BitLocker – pevné nastavení jednotky Zásady pevných jednotek nástroje BitLocker Konfigurace
      Blokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker Ano
      Konfigurace metody šifrování pro pevné datové jednotky AES 128bitová verze XTS
         
    BitLocker – nastavení jednotky operačního systému Zásady systémové jednotky nástroje BitLocker Konfigurace
      Vyžaduje se ověřování při spuštění. Ano
      Kompatibilní spuštění čipu TPM Povoleno
      Kompatibilní spouštěcí PIN kód TPM Povoleno
      Kompatibilní spouštěcí klíč TPM Povinný
      Kompatibilní spouštěcí klíč a PIN kód TPM Povoleno
      Zakázání nástroje BitLocker na zařízeních s nekompatibilním čipem TPM Ano
      Konfigurace metody šifrování pro jednotky s operačním systémem AES 128bitová verze XTS
         
    BitLocker – vyměnitelné nastavení jednotky Zásady vyměnitelné jednotky nástroje BitLocker Konfigurace
      Konfigurace metody šifrování pro vyměnitelné datové jednotky AES 128bitová verze CBC
      Blokování přístupu k zápisu k vyměnitelným datovým jednotkám, které nejsou chráněné nástrojem BitLocker Ano

  7. V části Přiřazení přiřaďte profil skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

  8. Vyberte Vytvořit a vytvořte a přiřaďte profil.

Krok 6 – Konfigurace nastavení služba Windows Update

Tento krok používá služba Windows Update Ring k automatické aktualizaci zařízení. Nastavení v této příručce odpovídají doporučeným nastavením ve standardních hodnotách služby Windows Update.

Konfigurace aktualizačního okruhu v Intune:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zařízení>Windows 10 a novější aktualizace>Aktualizační kanály>Vytvořit profil.

  3. V části Základy zadejte název aktualizačního okruhu.

  4. V nastavení aktualizačního okruhu nakonfigurujte následující hodnoty a vyberte Další:

    Nastavení Hodnota
    Kanál údržby Půlroční kanál
    Aktualizace produktů Microsoftu Povolit
    Ovladače pro Windows Povolit
    Doba odkladu aktualizace kvality (dny) 0
    Doba odkladu aktualizace funkcí (dny) 0
    Nastavit období odinstalace aktualizace funkcí 10
    Chování automatické aktualizace Obnovit výchozí nastavení
    Znovu spustit kontroly Povolit
    Možnost pozastavení aktualizací Systému Windows Povolit
    Možnost vyhledat aktualizace Windows Povolit
    Vyžadovat souhlas uživatele k zavření oznámení o restartování Ne
    Připomenout uživateli před požadovaným automatickým restartováním s povoleným připomenutím (hodiny) Toto nastavení nechte nenakonfigurované.
    Připomeňte uživateli před požadovaným automatickým restartováním trvalé připomenutí (minuty) Toto nastavení nechte nenakonfigurované.
    Změna úrovně aktualizace oznámení Použití výchozích oznámení služba Windows Update
    Použití nastavení konečných termínů Povolit
    Konečný termín pro aktualizace funkcí 7
    Konečný termín pro aktualizace kvality 2
    Lhůta 2
    Automatické restartování před termínem Ano

  5. Přiřaďte okruh Aktualizace ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

Krok 7 – nasazení zásad dodržování předpisů pro Windows

Nakonfigurujte zásady dodržování předpisů, které vám pomůžou monitorovat stav a dodržování předpisů zařízením. Zásady hlásí nedodržování předpisů a přesto uživatelům umožňují používat zařízení. Můžete zvolit, jak řešit nedodržování předpisů jinými akcemi na základě procesů vaší organizace.

Vytvořte zásady dodržování předpisů v Intune:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. VyberteDodržování předpisů>zařízením>Vytvořit zásadu.

  3. V části Platforma vyberte Windows 10 a později>Vytvořit.

  4. V části Základy zadejte název zásady dodržování předpisů. Vyberte Další.

  5. V nastavení dodržování předpisů nakonfigurujte následující hodnoty a vyberte Další:

    Kategorie nastavení Nastavení Hodnota
    Stav zařízení Vyžadovat nástroj BitLocker Vyžadují
      Vyžadování povolení zabezpečeného spouštění na zařízení Vyžadují
      Vyžadovat integritu kódu Vyžadují
         
    Zabezpečení systému Brány firewall Vyžadují
      Antivirus Vyžadují
      Antispyware Vyžadují
      Vyžadování hesla k odemknutí mobilních zařízení Vyžadují
      Jednoduchá hesla Blokování
      Typ hesla Alfanumerické
      Minimální délka hesla 8
      Maximální počet minut nečinnosti před vyžadování hesla 1 minuta
      Vypršení platnosti hesla (dny) 41
      Počet předchozích hesel, aby se zabránilo opakovanému použití 5
         
    Defender Microsoft Defender Antimalware Vyžadují
      Microsoft Defender aktuální antimalwarové bezpečnostní informace Vyžadují
      Ochrana v reálném čase Vyžadují

  6. V části Akce při nedodržení předpisů nakonfigurujte u akce Označení zařízení nedodržující předpisyplán (počet dnů po nedodržení předpisů) na 1 den. Na základě předvoleb vaší organizace můžete nakonfigurovat jiné období odkladu.

    Pokud ve vaší organizaci používáte zásady podmíněného přístupu, doporučujeme nakonfigurovat období odkladu. Období odkladu brání zařízením, která nedodržují předpisy, okamžitě ztratí přístup k prostředkům organizace.

  7. Můžete přidat akci, která uživatele informuje e-mailem o nedodržování předpisů s postupem, jak zajistit dodržování předpisů.

  8. Přiřaďte zásady dodržování předpisů skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

Krok 8 – volitelné konfigurace

Existují volitelné zásady, které můžete vytvořit a nasadit pomocí cloudové konfigurace. Tato část popisuje tyto volitelné zásady.

✔️ Konfigurace názvu domény tenanta

Nakonfigurujte zařízení tak, aby pro přihlašování uživatelů automaticky používala název domény vašeho tenanta. Když přidáte název domény, nemusí uživatelé pro přihlášení zadávat úplný hlavní název uživatele (UPN).

Přidejte název domény tenanta v Intune:

  1. Přihlaste se do Centra pro správu Microsoft Intune.
  2. Vyberte Zařízení>Profily> konfiguraceWindows>Vytvořit>novou zásadu.
  3. Jako platforma vyberte Windows 10 a novější.
  4. Jako Typ profilu vyberte Šablony>Omezení> zařízeníVytvořit.
  5. Zadejte název profilu a vyberte Další.
  6. V části Nastavení konfigurace v části Heslo nakonfigurujte upřednostňovanou Microsoft Entra doménu tenanta. Zadejte Microsoft Entra název domény, který by uživatelé měli používat k přihlášení k zařízením.
  7. Přiřaďte profil ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

✔️ Nasazení dalších základních aplikací pro produktivitu a obchodní aplikace

Můžete mít několik základních obchodních aplikací, které potřebují všechna zařízení. Zvolte minimální počet těchto aplikací, které chcete nasadit. Pokud dodáváte aplikace pomocí virtualizačního řešení, nasaďte také klientskou aplikaci virtualizace do zařízení.

Neexistují žádná omezení počtu nebo velikosti jiných aplikací, které je možné nasadit s aplikacemi přidanými do cloudové konfigurace. Microsoft ale doporučuje udržovat tyto ostatní aplikace na minimum na základě toho, co uživatelé potřebují pro své role. Přiřaďte tyto základní aplikace ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

Na některých svých zařízeních možná budete potřebovat konkrétní obchodní aplikace. Nebo můžou existovat aplikace, které mají složité požadavky na balení nebo postupy. V těchto scénářích zvažte přesunutí těchto aplikací z nasazení cloudové konfigurace. Nebo ponechte zařízení, která tyto aplikace potřebují, ve vašem stávajícím modelu správy Windows.

Konfigurace cloudu se doporučuje pro zařízení, která potřebují jenom několik klíčových aplikací, spolu se spoluprací a procházením.

✔️ Nasazení prostředků, které uživatelé potřebují pro přístup k organizaci

Nakonfigurujte základní prostředky, které můžou uživatelé potřebovat, což závisí na procesech vaší organizace. Mezi základní prostředky patří certifikáty, tiskárny, připojení VPN a profily Wi-Fi.

V Intune přiřaďte tyto prostředky ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

✔️ Konfigurace doporučených nastavení pro přesun známé složky OneDrivu

Existují další nastavení, která zlepšují uživatelské prostředí pro přesun známých složek OneDrivu. Nastavení není potřeba, aby přesunutí známé složky fungovalo, ale je užitečné.

Další informace o těchto nastaveních najdete v části Nastavení OneDrivu doporučené pro přesunutí známé složky.

✔️ Konfigurace doporučených nastavení aplikace Microsoft Edge

Existují některá nastavení aplikace Microsoft Edge, která je možné nakonfigurovat pro lepší uživatelské prostředí. Tato nastavení můžete nakonfigurovat na základě požadavků nebo předvoleb pro prostředí koncového uživatele.

Pokud chcete nakonfigurovat tato doporučená nastavení, použijte Intune:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zařízení>Profily> konfiguraceWindows>Vytvořit>novou zásadu.

  3. Jako platforma vyberte Windows 10 a novější a jako typ profilu vyberte Šablony.

  4. Vyberte Šablony pro správu a vyberte Vytvořit.

  5. Zadejte název profilu a vyberte Další.

  6. V části Nastavení konfigurace vyhledejte následující nastavení a nakonfigurujte je na doporučené hodnoty:

    Nastavení kategorie Nastavení Hodnoty
      Konfigurace integrace Internet Exploreru Povoleno, režim Internet Exploreru
       
    Nastavení filtru SmartScreen Konfigurace filtru SmartScreen Microsoft Defender Povoleno
      Vynucení Microsoft Defender kontrol filtru SmartScreen při stahování z důvěryhodných zdrojů Povoleno
      Konfigurace Microsoft Defender filtru SmartScreen tak, aby blokoval potenciálně nežádoucí aplikace Povoleno

    Poznámka

    Nastavení filtru SmartScreen vynucuje také Microsoft Defender. Když nakonfigurujete nastavení filtru SmartScreen prostřednictvím aplikace Microsoft Edge, Microsoft Edge tato nastavení přímo vynucuje.

  7. Přiřaďte profil ke skupině, kterou jste vytvořili v kroku 1 – Vytvoření skupiny Microsoft Entra (v tomto článku).

Monitorování stavu cloudové konfigurace

Když u svých zařízení použijete cloudovou konfiguraci, můžete pomocí Intune monitorovat stav aplikací a konfigurací zařízení.

Stav skriptu

Stav instalace nasazených skriptů můžete monitorovat:

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení> skriptysystému Windows>a nápravy>Skripty platformy.
  2. Vyberte skript, který jste nasadili.
  3. Na stránce s podrobnostmi o skriptu vyberte Stav zařízení. Zobrazí se podrobnosti o instalaci skriptu.

Instalace aplikací

Stav instalace nasazených aplikací můžete monitorovat:

  1. V Centru pro správu Microsoft Intune přejděte na Aplikace pro>WindowsAplikace pro Windows>.
  2. Vyberte aplikaci, kterou jste nasadili, například Microsoft 365 App Suite.
  3. Vyberte Stav instalace zařízení nebo Stav instalace uživatele. Zobrazí se podrobnosti o instalaci aplikace.

Informace o řešení potíží s aplikacemi na jednotlivých zařízeních najdete v tématu Řešení potíží s instalací aplikací Intune.

Standardní hodnoty zabezpečení

Můžete monitorovat stav instalace nasazených standardních hodnot zabezpečení. Další informace najdete v tématu Monitorování standardních hodnot zabezpečení a profilů v Intune.

Profil šifrování disku

V kroku 5 – Nasazení nastavení zabezpečení koncového bodu (v tomto článku) jste možná nakonfigurovali a nasadili nastavení nástroje BitLocker.

Stav tohoto profilu nástroje BitLocker můžete sledovat:

  1. V Centru pro správu Microsoft Intune přejděte naŠifrování diskůzabezpečení> koncového bodu.
  2. Vyberte profil šifrování disku, který jste nasadili v konfiguraci cloudu.
  3. Vyberte Stav instalace zařízení nebo Stav instalace uživatele. Zobrazí se podrobnosti profilu.

nastavení služba Windows Update

Stav zásad služba Windows Update okruhu můžete monitorovat:

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení>Windows 10 a novější aktualizace>Aktualizační kanály.
  2. Vyberte aktualizační okruh, který jste nasadili v rámci cloudové konfigurace.
  3. Vyberte Stav zařízení, Stav uživatele nebo Stav aktualizace koncového uživatele. Zobrazí se podrobnosti o nastavení aktualizačního okruhu.

Další informace o vytváření sestav pro služba Windows Update okruhy najdete v tématu Sestavy pro aktualizační kanály pro Windows 10 a novější zásady.

Zásady dodržování předpisů

Stav zásad dodržování předpisů můžete monitorovat:

  1. V Centru pro správu Microsoft Intune přejděte naDodržování předpisůzařízením>.
  2. Vyberte zásady dodržování předpisů, které jste nasadili v rámci cloudové konfigurace.

Zobrazení monitorování dodržování předpisů zařízením obsahuje podrobné informace o stavu přiřazení a selháních přiřazení zásad dodržování předpisů. Nabízí také zobrazení pro rychlé vyhledání nevyhovujících zařízení a provedení akce.

Podrobnější informace o monitorování zásad dodržování předpisů v Intune najdete v tématu Monitorování výsledků zásad dodržování předpisů zařízením v Intune.

Související obsah