Začínáme s nasazením Microsoft Intune

Microsoft Intune je cloudová služba, která pomáhá spravovat vaše zařízení a aplikace. Další informace o tom, co Může Microsoft Intune udělat pro vaši organizaci, najdete v článku Co je Microsoft Intune.

Tento článek obsahuje přehled kroků pro spuštění nasazení Intune.

Tip

Doprovodné materiály k tomuto článku najdete také v Centru pro správu Microsoftu 365. Průvodce přizpůsobí vaše prostředí na základě vašeho prostředí. Pokud chcete získat přístup k tomuto průvodci nasazením, přejděte do průvodce nastavením Microsoft Intune v Centru pro správu Microsoftu 365 a přihlaste se pomocí globálního čtenáře (minimálně). Další informace o těchto průvodcích nasazením a potřebných rolích najdete v článku Pokročilí průvodci nasazením pro produkty Microsoft 365 a Office 365.

Pokud si chcete projít osvědčené postupy bez přihlášení a aktivace funkcí automatizovaného nastavení, přejděte na portál pro instalaci M365.

Než začnete

• Pokud si chcete pomoct s plánováním nasazení Intune, použijte průvodce plánováním a přejděte do Microsoft Intune. Zabývá se osobními zařízeními, aspekty licencování, vytvořením plánu zavedení, oznámením změn uživatelům a dalšími informacemi.

  Následující články jsou dobré zdroje informací:

  • Přechod na koncové body nativní pro cloud
  • Průvodce plánováním přechodu na Microsoft Intune
  • Průvodce nasazením: Nastavení nebo přechod do Microsoft Intune
  • Online školení k základům Microsoft Intune

• Určete své licenční potřeby a všechny další požadavky na nasazení Intune. Následující seznam obsahuje některé z nejběžnějších požadavků:

  • Předplatné Intune: Součástí některých předplatných Microsoftu 365. Získáte také přístup k Centru pro správu Microsoft Intune, což je webová konzola pro správu zařízení, aplikací a uživatelů.

  • Aplikace Microsoft 365: Jsou součástí Microsoftu 365 a používají se pro kancelářské aplikace, včetně Outlooku a Teams.

  • Microsoft Entra ID: Id Microsoft Entra se používá ke správě identit pro uživatele, skupiny a zařízení. Dodává se s vaším předplatným Intune a případně s předplatným Microsoftu 365.

    Microsoft Entra ID P1 nebo P2, které může být nákladné navíc, poskytuje více funkcí běžně používaných organizacemi, včetně podmíněného přístupu, vícefaktorového ověřování (MFA) a dynamických skupin.

  • Windows Autopilot: Součástí některých předplatných Microsoftu 365. Windows Autopilot nabízí moderní nasazení operačního systému pro aktuálně podporované verze klientských zařízení s Windows.

  • Požadavky specifické pro platformu: V závislosti na platformách vašich zařízení existují další požadavky.

    Pokud například spravujete zařízení s iOS/iPadOS a macOS, potřebujete certifikát Apple MDM Push Certificate a případně token Apple. Pokud spravujete zařízení s Androidem, možná budete potřebovat spravovaný účet Google Play. Pokud používáte ověřování pomocí certifikátu, možná budete potřebovat certifikát SCEP nebo PKCS.

    Další informace najdete v článku:

    • Průvodce nasazením registrace Androidu
    • Průvodce nasazením registrace pro iOS/iPadOS
    • Průvodce nasazením registrace macOS
    • Průvodce nasazením registrace Windows

Krok 1 – Nastavení Intune

V tomto kroku:

✅ Ověřte, že jsou vaše zařízení podporovaná, vytvořte tenanta Intune, přidejte uživatele & skupiny, přiřaďte licence a další.

Tento krok se zaměřuje na nastavení Intune a jeho příprava na správu identit uživatelů, aplikací a zařízení. Intune používá mnoho funkcí v Microsoft Entra ID, včetně vaší domény, uživatelů a skupin.

Další informace najdete v kroku 1 – Nastavení Microsoft Intune.

Krok 2 – Přidání a ochrana aplikací

V tomto kroku:

✅ Na zařízeních, která se budou registrovat v Intune, vytvořte základní hodnoty aplikací, které zařízení musí mít, a pak tyto zásady aplikací přiřaďte během registrace. U aplikací, které potřebují větší zabezpečení, použijte také zásady ochrany aplikací.

✅ Na zařízeních, která se do Intune nezaregistrují , použijte zásady ochrany aplikací a vícefaktorové ověřování (MFA):

• Zásady ochrany aplikací pomáhají chránit data organizace na osobních zařízeních.
• Vícefaktorové ověřování pomáhá chránit data vaší organizace před neoprávněným přístupem.

Další informace najdete v kroku 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune.

Každá organizace má základní sadu aplikací, které by se měly nainstalovat na zařízeních. Než si uživatelé zaregistrují svá zařízení, můžete pomocí Intune přiřadit tyto aplikace k jejich zařízením. Během registrace se zásady aplikací nasadí automaticky. Po dokončení registrace se aplikace nainstalují a budou připravené k použití.

Pokud chcete, můžete zařízení zaregistrovat a pak přiřadit aplikace. Je to tvoje volba. Až uživatelé příště vyhledá nové aplikace, uvidí nové dostupné aplikace.

Pokud uživatelé, kteří mají vlastní osobní zařízení, přistupují k prostředkům organizace, musíte všechny aplikace, které přistupují k datům vaší organizace, chránit minimálně pomocí správy mobilních aplikací (MAM). Zásady MAM můžete vytvářet pro Outlook, Teams, SharePoint a další aplikace. Průvodce plánováním Microsoft Intune obsahuje pokyny ke správě osobních zařízení.

Poznámka

Vícefaktorové ověřování je funkce Microsoft Entra ID, která musí být povolená ve vašem tenantovi Microsoft Entra. Pak nakonfigurujete vícefaktorové ověřování pro své aplikace. Další informace najdete v článku:

• Jak to funguje: Vícefaktorové ověřování Microsoft Entra
• Kurz: Zabezpečení událostí přihlášení uživatelů pomocí vícefaktorového ověřování Microsoft Entra

Krok 3 – Kontrola dodržování předpisů a zapnutí podmíněného přístupu

V tomto kroku:

✅ Vytvořte základní hodnoty zásad dodržování předpisů , které zařízení musí mít, a pak tyto zásady dodržování předpisů přiřaďte během registrace.

✅ Povolením podmíněného přístupu vynucujte zásady dodržování předpisů.

Další informace najdete v části Krok 3 – Plánování zásad dodržování předpisů.

Řešení MDM, jako je Intune, můžou nastavit pravidla, která by zařízení měla splňovat, a hlásit stavy dodržování předpisů těchto pravidel. Tato pravidla se nazývají zásady dodržování předpisů. Když zkombinujete zásady dodržování předpisů s podmíněným přístupem, můžete vyžadovat, aby zařízení před přístupem k datům vaší organizace splňovala určité požadavky na zabezpečení.

Když uživatelé zaregistrují svá zařízení v Intune, může proces registrace automaticky nasadit zásady dodržování předpisů. Po dokončení registrace můžou správci zkontrolovat stav dodržování předpisů a získat seznam zařízení, která nevyhovují vašim pravidlům.

Pokud chcete, můžete zařízení před kontrolou dodržování předpisů zaregistrovat. Je to tvoje volba. Při příštím ohlášení intune se přiřadí zásady dodržování předpisů.

Poznámka

Podmíněný přístup je funkce Microsoft Entra ID, která musí být povolená ve vašem tenantovi Microsoft Entra. Pak můžete vytvořit zásady podmíněného přístupu pro identity uživatelů, aplikace a zařízení. Další informace najdete v článku:

• Informace o podmíněném přístupu a Intune
• Podmíněný přístup na základě aplikace s Intune
• Scénáře podmíněného přístupu

Krok 4 – Konfigurace funkcí zařízení

V tomto kroku:

✅ Vytvořte základní hodnoty funkcí zabezpečení a funkcí zařízení , které by měly být povolené nebo blokované. Přiřaďte tyto profily během registrace.

Další informace najdete v části Krok 4 – Vytvoření konfiguračních profilů zařízení pro zabezpečení zařízení a přístup k prostředkům organizace.

Vaše organizace může mít základní sadu funkcí zařízení a zabezpečení, které by měly být nakonfigurované nebo blokované. Tato nastavení se přidají do profilů konfigurace zařízení a zabezpečení koncových bodů. Microsoft doporučuje přiřazovat zásady zabezpečení klíčů a konfigurace zařízení během registrace. Při zahájení registrace se automaticky přiřadí konfigurační profily zařízení. Po dokončení registrace se tyto funkce zařízení a zabezpečení nakonfigurují.

Pokud chcete, můžete zařízení před vytvořením konfiguračních profilů zaregistrovat. Je to tvoje volba. Při dalším ohlášení intune se přiřazují profily.

V Centru pro správu Microsoft Intune můžete vytvořit různé profily založené na platformě zařízení – Android, iOS/iPadOS, macOS a Windows.

Následující články jsou dobré zdroje informací:

• Použití funkcí a nastavení na zařízeních pomocí profilů zařízení
• Konfigurace nastavení pomocí katalogu nastavení
• Správa zabezpečení koncových bodů v Microsoft Intune
• Standardní hodnoty zabezpečení Windows

Krok 5 – registrace zařízení

V tomto kroku:

✅ Zaregistrujte svá zařízení v Intune.

Konkrétnější informace najdete v části Krok 5 – Pokyny k nasazení: Registrace zařízení v Microsoft Intune.

Pokud chcete zařízení plně spravovat, musí být zaregistrovaná v Intune, aby dostávala zásady dodržování předpisů & zásady podmíněného přístupu, zásady aplikací, zásady konfigurace zařízení a zásady zabezpečení, které vytvoříte. Jako správce vytváříte zásady registrace pro uživatele a zařízení. Každá platforma zařízení (Android, iOS/iPadOS, Linux, macOS a Windows) má různé možnosti registrace. Zvolíte, co je nejlepší pro vaše prostředí, vaše scénáře a způsob, jakým se vaše zařízení používají.

V závislosti na zvolené možnosti registrace se uživatelé můžou zaregistrovat sami. Nebo můžete registraci automatizovat, aby se uživatelé museli k zařízení přihlašovat jenom pomocí svého účtu organizace.

Když se zařízení zaregistruje, vydá se mu zabezpečený certifikát MDM. Tento certifikát komunikuje se službou Intune.

Různé platformy mají různé požadavky na registraci. Následující články vám můžou pomoct získat další informace o registraci zařízení, včetně pokynů pro konkrétní platformu:

• Pokyny k nasazení: Registrace zařízení v Microsoft Intune
  • Průvodce nasazením: Registrace zařízení s Androidem
  • Průvodce nasazením: Registrace zařízení s iOS/iPadOS
  • Průvodce nasazením: Registrace desktopových zařízení s Linuxem
  • Průvodce nasazením: Registrace zařízení s macOS
  • Průvodce nasazením: Registrace zařízení s Windows

Připojení ke cloudu pomocí Configuration Manageru

Microsoft Configuration Manager pomáhá chránit místní Windows Server, zařízení, aplikace a data. Pokud potřebujete spravovat kombinaci cloudových a místních koncových bodů, můžete prostředí Configuration Manageru připojit ke službě Intune v cloudu.

Pokud používáte Nástroj Configuration Manager, připojte místní zařízení ke cloudu dvěma kroky:

1. Připojení tenanta: Zaregistrujte tenanta Intune v nasazení Configuration Manageru. Vaše zařízení Configuration Manageru se zobrazují v Centru pro správu Microsoft Intune. Na těchto zařízeních můžete spouštět různé akce, včetně instalace aplikací a spouštění skriptů Windows PowerShellu pomocí webového centra pro správu Intune.

2. [Spoluspráva(.. /.. /configmgr/comanage/overview.md): Správa klientských zařízení s Windows pomocí Configuration Manageru a Microsoft Intune. Configuration Manager spravuje některé úlohy a Intune spravuje jiné úlohy.

   Configuration Manager můžete například použít ke správě aktualizací Windows a Intune ke správě dodržování předpisů & zásad podmíněného přístupu.

Pokud aktuálně používáte Configuration Manager, získáte okamžitou hodnotu prostřednictvím připojení tenanta a větší hodnotu získáte prostřednictvím spolusprávy.

Pokyny k nastavení Microsoft Intune, které je pro vaši organizaci vhodné, najdete v článku Průvodce nasazením: Nastavení nebo přechod do Microsoft Intune.

Další kroky

• Krok 1 – Nastavení Microsoft Intune
• Krok 2 – Přidání, konfigurace a ochrana aplikací pomocí Intune
• Krok 3 – Plánování zásad dodržování předpisů
• Krok 4 – Konfigurace funkcí a nastavení zařízení pro zabezpečení zařízení a přístup k prostředkům organizace
• Krok 5 – Pokyny k nasazení: Registrace zařízení v Microsoft Intune