Distribuované IT prostředí s mnoha správci ve stejném tenantovi Microsoft Intune

  • Článek

Mnoho organizací používá distribuované IT prostředí, kde mají jednoho Microsoft Intune tenanta s několika místními správci. Tento článek popisuje jeden ze způsobů škálování Microsoft Intune pro podporu více místních správců, kteří spravují vlastní uživatele a zařízení a vytvářejí vlastní zásady v rámci jednoho tenanta Microsoft Intune. Neexistuje žádná správná nebo nesprávná odpověď na to, kolik správců můžete mít ve svém tenantovi. Článek se zaměřuje na tenanty, kteří mají mnoho místních správců.

Distribuované IT je potřeba v systémech, kde se k jednomu tenantovi Intune připojuje velký počet místních správců. Některé školní systémy jsou například uspořádané tak, abyste měli místního správce pro každou školu v systému nebo oblasti. V některých případech může být tímto distribuovaným prostředím 15 nebo více různých místních správců, kteří se shrnují do stejného centrálního systému nebo Microsoft Intune tenanta.

Každý místní správce může nastavit skupiny tak, aby vyhovovaly potřebám jeho organizace. Místní správce obvykle vytváří skupiny a uspořádá více uživatelů nebo zařízení podle zeměpisné polohy, oddělení nebo vlastností hardwaru. Místní správci také používají tyto skupiny ke správě úkolů ve velkém měřítku. Místní správci můžou například nastavit zásady pro mnoho uživatelů nebo nasazovat aplikace do sady zařízení.

Role, které potřebujete znát

  • Centrální tým: Centrální tým nebo skupina zahrnuje globální správce nebo primární správce ve vašem tenantovi. Tito správci můžou dohlížet na všechny místní správce a poskytovat pokyny místním správcům.

  • Místní správci: Místní správci jsou místní a zaměřují se na zásady a profily pro jejich konkrétní umístění; školy, nemocnice atd.

Řízení přístupu na základě role

Tato část stručně popisuje různé modely a navrhuje pokyny pro správu zásad, profilů a aplikací mezi centrálním týmem a místními správci. Jedná se o následující modely:

  • Model částečného delegování
  • Model úplného delegování
  • Centrální model
  • Model s devolvovanými daty
  • Hybridní model

Model částečného delegování

Model částečného delegování navrhuje následující pokyny pro správu zásad mezi centrálním týmem a místními správci.

✔️ Oprávnění

  • Oprávnění k vytváření, aktualizaci a odstraňování zásad, registračních profilů a aplikací by měl mít centrální tým.
  • Udělte místním správcům oprávnění jen pro čtení a přiřaďte je.

✔️ Opětovné použití

  • Běžně konfigurované zásady, registrační profily a aplikace by měly být zpřístupněny místním správcům, aby je mohli co nejvíce používat.
  • Microsoft Intune používá mnoho běžných konfigurací, které spadají do několika kategorií. Projděte si doporučení uvedená pro zásady ochrany aplikací.
  • Jako místní správci by měli zkontrolovat stávající zásady a podle potřeby je znovu použít.

✔️ Výjimky

  • Centrální tým může v případě potřeby vytvořit určité nové zásady, registrační profily a aplikace jako výjimky jménem místních správců. Mezi tyto výjimky obvykle patří jakýkoli typ profilu, který vyžaduje jedinečné parametry.

Model částečného delegování se navrhuje v těchto dvou oblastech:

Pokyny pro skupiny a přiřazení pro místní správce: Jaké jsou některé z osvědčených postupů, které by místní správci měli přijmout při organizaci skupin pro správu zařízení prostřednictvím Microsoft Intune? Pokud to chcete zjistit, přečtěte si článek Seskupování, cílení a filtrování Intune: Doporučení pro nejlepší výkon – Microsoft Tech Community

Pokyny pro konkrétní funkce: Jak se spravují zásady, profily a aplikace mezi centrální autoritou a místními správci s konkrétními oprávněními pro různé funkce. Další informace najdete v části Pokyny pro konkrétní funkce.

Model úplného delegování

Model úplného delegování navrhuje následující pokyny pro správu zásad mezi centrálním týmem a místními správci.

  • Každý místní správce by měl mít vlastní značku oboru, která oddělí každý objekt, který plně spravuje.
  • Pokud místní správce nepotřebuje vytvářet, aktualizovat ani odstraňovat, udělte místnímu správci roli s oprávněními ke čtení a přiřazování a vyhněte se přiřazení jakékoli jiné role s úplným oprávněním. Díky tomuto přístupu se můžete vyhnout kombinování oprávnění napříč značkami oboru.
  • Někdy můžou místní správci potřebovat vytvořit vlastní zásady, profily a aplikace a přitom sdílet některé běžné zásady, profily a aplikace. V takových případech vytvořte speciální skupinu a přiřaďte k této skupině běžné zásady, profily a aplikace. Tato skupina by neměla být zahrnuta do skupiny oborů pro žádného místního správce. Skupina oborů. Tento přístup zabrání tomu, aby se oprávnění k vytváření, aktualizaci a odstraňování přiřazená místním správcům použila na tyto běžné zásady, profily a aplikace.

Centrální model

V centrálním modelu spravuje jeden místní tým pro správu (nadřazený) několik podřízených organizací. Mezi podřízené organizace můžou souviset faktory, jako je zeměpisná oblast, obchodní jednotka nebo velikost.

  • K pokrytí všech spravovaných místních správců se používá jenom jedna značka oboru.

  • Pokud je to možné, měl by místní tým správců standardizovat přiřazení mezi místními správci a umístit všechna jejich zařízení do jedné skupiny Microsoft Entra pro přiřazení. Pokud není možné vytvořit jednu skupinu Microsoft Entra, může místní tým správce vytvořit různé Microsoft Entra skupiny, aby se přiřazování lišily.

  • Pokud organizaci spravuje nebo přesouvá jiný místní tým pro správu, je nutné provést následující kroky:

    • Všechna zařízení a uživatelé organizace musí být extrahováni z běžných Microsoft Entra skupin v rozsahu původního místního týmu pro správu.

    • Všechny zásady, aplikace nebo profily přiřazené jedinečně pro danou organizaci musí mít aktualizovanou značku oboru pro nový tým místních správců.

Model s devolvovanými daty

V modelu s devolvedem je několik místních správců (podřízených položek) spravováno jak jejich vyhrazeným místním správcem, tak také pod dohledem zprostředkujícího místního týmu pro správu. Nadřazení i podřízení správci mají vlastní značky oboru, které představují hranice správy.

  • Pokud existuje méně než 50 podřízených správců, může být zprostředkujícímu místnímu správci udělen přístup přiřazením všech značek oboru dětí k přiřazení role RBAC zprostředkujícím místním týmům pro správu.
  • Pokud existuje více než 50 podřízených správců, měl by být místnímu zprostředkujícímu týmu pro správu udělena vlastní značka oboru, která bude reprezentovat celou kolekci podřízených správců, na které dohlíží.
  • Nově vytvořené zásady ve značkách oboru správce podřízených položek musí mít zprostředkující značku přidanou rolí globálního správce, aby se zabránilo ztrátě viditelnosti zprostředkujícího místního týmu pro správu.

Hybridní model

V hybridním modelu se v modelu Central i Devolved současně používá stejný nadřazený správce. Pro tento model neexistují žádná zvláštní doporučení.

Pokyny pro konkrétní funkce

V závislosti na obchodních požadavcích na jednotlivé funkce můžou pokyny uvedené v této části doporučit, abyste vytvořili zásady pro místního správce nebo delegujte oprávnění potřebná k vytváření objektů na místní správce.

Poznámka

Pokyny uvedené v této části se nezabírají každou funkcí, ale týkají se pouze těch oblastí, pro které máme zvláštní pokyny.

zásady Ochrana aplikací

Ochrana aplikací zásady jsou pravidla, která zajišťují, že data organizace zůstanou v bezpečí nebo jsou obsažená ve spravované aplikaci. Další informace najdete v tématu zásady Ochrana aplikací.

Pokyny pro zásady Ochrana aplikací jsou rozdělené mezi centrální tým a místní správce následujícím způsobem:

Centrální tým – úkoly

  • Zkontrolujte potřeby zabezpečení a podnikání v celé organizaci a vygenerujte sadu běžných zásad Ochrana aplikací pro místní správce.
  • Než vytvoříte zásady Ochrana aplikací, projděte si uvedená doporučení a zjistěte, jaké ovládací prvky zabezpečení jsou vhodné.
  • Místní správci mají zavedenou metodu, jak v případě potřeby požádat o přizpůsobené zásady Ochrana aplikací pro konkrétní obchodní potřeby, kde není možné dosáhnout obchodních požadavků pomocí stávajících běžných zásad.
  • Konkrétní doporučení týkající se jednotlivých úrovní konfigurace a minimálních aplikací, které je potřeba chránit, najdete v tématu Architektura ochrany dat pomocí zásad Ochrana aplikací, přejděte na zásady Ochrana aplikací.

Místní správci – Oprávnění a úkoly

  • U spravovaných aplikací udělujte oprávnění ke čtení a přiřazování, ale ne oprávnění k vytváření, aktualizaci ani odstraňování, aby tyto aplikace nemohly vytvářet vlastní zásady Ochrana aplikací.
  • Udělte svým aplikacím oprávnění ke čtení a přiřazování zásad konfigurace aplikací.
  • Udělujte oprávnění ke čtení a přiřazování jenom v případě, že existují různé zásady ochrany pro spravovaná a nespravovaná zařízení. Pokud se centrální tým rozhodne nabídnout pro obě zásady jenom jednu zásadu, pak zásady konfigurace aplikace nejsou potřeba.
  • Pokud se používají zásady konfigurace aplikace, doporučujeme přiřadit zásady konfigurace aplikace všem instancím aplikace bez výjimky.
  • Vyberte si z běžných zásad Ochrana aplikací. Místní správci můžou požádat centrální tým o vytvoření vlastních zásad ochrany aplikací jako výjimku a jenom v případě potřeby.
  • Další informace najdete v tématu zásady Ochrana aplikací.

Zásady dodržování předpisů

Zásady dodržování předpisů v Intune definují pravidla a nastavení, která uživatelé a zařízení musí splňovat, aby dodržovali předpisy. Další informace o zásadách dodržování předpisů najdete v tématu Zásady dodržování předpisů.

Centrální tým

Centrální tým by měl vytvořit společné zásady dodržování předpisů pro místní správce, aby si mohli vybírat z a pouze v případě potřeby vytvářet zásady výjimek. Další informace najdete v tématu Zásady dodržování předpisů. Vytváření zásad zahrnuje vytváření vlastních skriptů zásad dodržování předpisů, protože podléhají stejnému měřítku jako normální zásady dodržování předpisů.

Další informace o tom, jak vytvořit zásady dodržování předpisů, najdete v tématu Zásady dodržování předpisů.

Místní správci

Udělte místním správcům oprávnění ke čtení a přiřazování, ale ne k vytváření, aktualizaci ani odstraňování oprávnění k zásadám dodržování předpisů. Oprávnění ke čtení a přiřazování jim umožňují vybírat ze společných zásad dodržování předpisů vytvořených centrálním týmem a přiřazovat je svým uživatelům a zařízením.

Konfigurace zařízení

V této části:

  • Omezení zařízení a obecná konfigurace
  • Přístup k prostředkům
  • Okruhy Windows Update
  • Aktualizace funkcí
  • Aktualizace pro zvýšení kvality

Omezení zařízení a obecná konfigurace

  • Udělte místním správcům oprávnění k vytváření, aktualizaci a odstraňování v rámci jejich vlastního oboru.

  • Pokud chcete omezit škálování v Centru pro správu Microsoft Intune, použijte katalog nastavení a standardní hodnoty zabezpečení v maximální možné míře místo profilů vytvořených v seznamu Konfigurační profily.

  • Obecně platí, že centrální tým by se měl pokusit centrálně monitorovat obsah konfigurací a nahradit spoustu duplicitních profilů, pokud je to možné, sdíleným profilem.

Přístup k prostředkům

Doporučuje se model úplného delegování .

Okruhy Windows Update

  • Doporučujeme, aby aktualizační okruhy Windows byly spravovány centrálně. Centrální tým by měl vytvořit tolik běžných zásad okruhu aktualizací Windows, kolik potřebuje, aby podporoval rozptyl místních správců.
  • Místní správci by neměli vytvářet vlastní aktualizační kanály Windows. Když delegujete velký počet správců, může být celkový počet objektů velký a může být obtížné je spravovat. Osvědčené postupy se pro každou funkci liší. Další informace najdete v aktualizačních kanálech Windows.

Aktualizace funkcí

Doporučuje se model úplného delegování .

Aktualizace pro zvýšení kvality

Doporučuje se model úplného delegování .

Certifikáty

  • Doporučujeme použít oprávnění prostřednictvím centrálního týmu k onboardingu nebo offboardingu konektorů podle potřeby. Připojte konektory pro každého místního správce, aby podporovaly vystavování certifikátů.

  • Neudělujte místním správcům oprávnění ke konektorům UPDATE nebo DELETE.

Aplikace

Udělte místním správcům úplná oprávnění ke správě aplikací v rozsahu jejich oboru.

V této části:

  • Apple Volume Purchase Program

  • Windows

  • Android

Další informace najdete v tématu Správa aplikací.

Apple Volume Purchase Program

V současné době neexistují žádné obavy o škálování podporovaného počtu tokenů programu Volume Purchase Program. Další informace najdete v článku Kolik tokenů můžu nahrát.

Windows

Android

  • Místní správci by si měli vybrat z existujících aplikací pro Store nebo požádat centrální tým o přidání nových aplikací pro Android Store. Místní správci by neměli vytvářet nové aplikace pro Android Store. Celkový počet objektů se může stát velkým a obtížně spravovatelné.

  • Místní správci můžou podle potřeby vytvářet obchodní aplikace pro Android v rámci limitu multiplatformních obchodních aplikací a webových odkazů.

  • Centrální tým musí přidat spravované aplikace Google Play.

    • Centrální tým může zobrazit jenom spravované aplikace Google Play dostupné v zemi nebo oblasti tenanta. Pokud centrální tým potřebuje spravovanou aplikaci Google Play dostupnou jenom v některých zemích nebo oblastech, možná bude muset spolupracovat s vývojářem aplikace, aby ji správně vypisovali.
    • Centrální tým by měl spravovat veškerý obsah související se spravovanými aplikacemi Google Play, včetně soukromých aplikací, webových aplikací a kolekcí. Pokud například zákazník plánuje k publikování soukromých aplikací používat iframe Managed Google Play, musí to udělat s jedním vývojářským účtem vlastněným centrálním týmem.
    • Centrální tým může jako značku oboru Spravované služby Google Play vybrat jednu značku oboru. Na stránce Spravovaný konektor Google Play má speciální rozevírací seznam. Značka oboru se použije pro všechny spravované aplikace Google Play poté, co je centrální tým přidá do konzoly, ale nebude platit zpětně u aplikací, které už byly přidány. Důrazně doporučujeme, aby centrální tým nastavil značku oboru předtím, než přidá aplikace, a pak přiřadil každému regionálnímu týmu značku oboru. V opačném případě nemusí místní správci vidět své spravované aplikace Google Play.

  • Pro každé zařízení se podporuje pouze jedna zásada OEMConfig, s výjimkou zařízení Zebra. U zařízení Zebra důrazně doporučujeme, abyste měli nejmenší možný počet zásad, protože doba potřebná k vynucení zásad je doplňková. Pokud například přiřadíte šest zásad s předpokladem, že se budou vrstvit na sebe, trvá to přibližně 6krát déle, než začne fungovat na zařízení než jedna zásada.

Poznámka

Při nastavování režimu aktualizací s vysokou prioritou v mnoha různých aplikacích a skupinách postupujte velmi opatrně. Je to z několika důvodů:

  • I když je možné nastavit režim s vysokou prioritou u mnoha aplikací, je možné nainstalovat jenom jednu aktualizaci aplikace najednou. Jedna velká aktualizace aplikace může potenciálně blokovat mnoho menších aktualizací, dokud se velká aplikace nenainstaluje.
  • V závislosti na tom, kdy aplikace vydávají nové aktualizace, může dojít k náhlému prudkému nárůstu využití sítě, pokud se verze aplikací shodují. Pokud Wi-Fi není na některých zařízeních k dispozici, může také dojít k prudkému nárůstu využití mobilních sítí.
  • I když už bylo zmíněno rušivé uživatelské prostředí, problém roste s tím, jak je více aplikací nastaveno do režimu aktualizace s vysokou prioritou.

Další informace o možnostech škálování týkajících se aktualizací spravovaných aplikací Google Play pomocí režimu aktualizace s vysokou prioritou najdete v tomto článku Techcommunity.

Registrační profily

V této části:

  • Autopilot
  • Stránka stavu registrace (ESP)
  • Apple Business Manager (ABM)
  • Profily Android Enterprise
  • Omezení registrace
  • Kategorie zařízení

Autopilot

  • Udělte místním správcům oprávnění číst zařízení Autopilot a nahrávat nová zařízení Autopilot.
  • Místní správci by neměli vytvářet profily Autopilotu. Když delegujete velký počet správců, může být celkový počet objektů velký a může být obtížné je spravovat. Osvědčený postup se liší podle oblasti funkce. Další informace o Autopilotu najdete v tématu Použití Autopilotu k registraci zařízení s Windows v Intune.

Stránka stavu registrace

  • Místní správci by měli vybrat z existujících profilů stránky stavu registrace, které chcete přiřadit, nebo by měli požádat centrální tým o vytvoření profilu výjimky, pouze v případě potřeby.
  • Místní správci by neměli vytvářet profily stránky stavu registrace. Když delegujete velký počet správců, může být celkový počet objektů velký a může být obtížné je spravovat. Osvědčený postup se liší podle oblasti funkce. Informace o stránce Stav registrace najdete v článku Nastavení stránky stavu registrace.

Apple Business Manager

Pokud je to možné, neměli by mít místní správci u registračních profilů udělená oprávnění k vytváření, aktualizaci ani odstraňování. Pokud mají místní správci udělená oprávnění k vytváření profilů Apple Business Manageru, udělí jim to také oprávnění k vytváření, aktualizaci a odstraňování v Autopilotu. Místní správci by ale neměli vytvářet profily Autopilotu.

Když delegujete velký počet správců, může být celkový počet objektů velký a může být obtížné je spravovat. Osvědčený postup se liší podle oblasti funkce. Další informace najdete v článku Použití Apple Business Manageru k registraci zařízení Apple v Intune.

Profily Android Enterprise

  • Centrální tým by měl vytvořit profily registrace vyhrazených zařízení vlastněných společností s Androidem Enterprise pro každého místního správce pro seskupování zařízení.
  • Pokud je to možné, neměli by mít místní správci na zařízeních s Androidem Enterprise udělená oprávnění k vytváření, aktualizaci ani odstraňování. Tato omezení brání místním správcům v úpravě nastavení Androidu Enterprise pro celého tenanta a globálního plně spravovaného registračního profilu.

Omezení registrace

  • Konfigurace zařízení i omezení registrace se řídí stejnou sadou oprávnění. Když udělíte oprávnění k vytvoření pro konfiguraci zařízení, udělujete také oprávnění k vytvoření pro omezení registrace. Místní správci by ale neměli mít oprávnění k vytváření profilů omezení registrace. Proto by měli být instruováni, aby nevytvávali nové profily omezení registrace.

  • Omezení limitu registrace zařízení definují, kolik zařízení může každý uživatel zaregistrovat. Omezení limitu registrace zařízení by měla zahrnovat všechny možné limity zařízení, které můžou místní správci sdílet. Další informace najdete v tématu Co jsou omezení registrace.

  • Centrální tým by měl co nejvíce standardizovat omezení typu zařízení a přidávat nová omezení, ale pouze jako zvláštní výjimky poté, co místní správce zkontroloval stávající omezení.

Kategorie zařízení

Funkce Kategorie zařízení (Kategorie zařízení>Kategorie zařízení) nemá vlastní rodinu oprávnění. Místo toho se jeho oprávnění řídí oprávněními nastavenými v části Organizace. Přejděte na Správa > tenanta Role. Vyberte vlastní nebo předdefinované role a vyberte Vlastnosti. Tady můžete přiřadit oprávnění. Jedním z nich je Organizace. Pokud tedy potřebujete oprávnění ke čtení pro kategorie zařízení, nastavte oprávnění ke čtení v organizaci.

Kategorie zařízení můžou vytvářet centrální týmy. Místní správci by ale neměli mít možnost vytvářet, aktualizovat nebo odstraňovat kategorie zařízení, protože by to vyžadovalo udělení oprávnění v organizaci a udělení přístupu k dalším funkcím na úrovni tenanta, které se řídí oprávněními organizace.

Další informace najdete v tématu Kategorie zařízení.

Analýza koncových bodů

  • Centrální tým by měl vytvořit tolik běžných standardních hodnot analýzy koncových bodů, kolik potřebuje k podpoře rozptylu místních správců.
  • Pokud je to možné, místní správci by neměli vytvářet vlastní standardní hodnoty analýzy koncových bodů. Když delegujete velký počet správců, může být celkový počet objektů velký a může být obtížné je spravovat. Osvědčený postup se liší podle oblasti funkce.
  • Další informace najdete v tématu Konfigurace nastavení v části Analýza koncových bodů.