Sdílet prostřednictvím

Nastavení autority pro správu mobilních zařízení

  • Článek

Nastavení autority pro správu mobilních zařízení (MDM) určuje způsob správy zařízení. Jako správce IT musíte nastavit autoritu MDM, aby uživatelé mohli registrovat zařízení pro správu. K nastavení autority MDM byste také měli mít přiřazenou licenci Intune.

Možné konfigurace jsou:

  • Intune Standalone – výhradně cloudová správa, kterou nakonfigurujete pomocí webu Azure Portal. Zahrnuje celou sadu funkcí, které Intune nabízí. Nastavte autoritu MDM v Centru pro správu Microsoft Intune.

  • Spoluspráva Intune – Integrace cloudového řešení Intune s Configuration Managerem pro zařízení s Windows 10. Intune nakonfigurujete pomocí konzoly Configuration Manageru. Nakonfigurujte automatickou registraci zařízení do Intune.

  • Základní mobilita a zabezpečení pro Microsoft 365 – Po aktivaci této konfigurace se autorita MDM nastaví na Office 365. Pokud chcete začít používat Intune, musíte si koupit licence Intune.

  • Základní mobilita a zabezpečení pro koexistenci Microsoftu 365 – Intune můžete přidat do tenanta, pokud už používáte Základní mobilitu a zabezpečení pro Microsoft 365. Autoritu pro správu můžete nastavit na Intune nebo Základní mobility a zabezpečení pro Microsoft 365, aby každý uživatel mohl diktovat, která služba se použije ke správě zařízení zaregistrovaných v MDM. Autorita pro správu každého uživatele se definuje na základě licence přiřazené uživateli:

    • Základní mobilita a zabezpečení pro Microsoft 365 spravuje zařízení uživatelů, kteří mají licenci jenom pro Microsoft 365 Basic nebo Standard.
    • Intune spravuje zařízení uživatelů, kteří mají licenci opravňující je používat.
    • Pokud přidáte licenci opravňující intune k uživateli, který byl dříve spravovaný službou Basic Mobility and Security for Microsoft 365, přepne se jeho zařízení na správu Intune. Abyste se vyhnuli ztrátě konfigurace Základní mobility a zabezpečení pro Microsoft 365 na zařízeních uživatelů, nezapomeňte před přepnutím do Intune uživatelům přiřadit konfigurace Intune.

Nastavení autority MDM na Intune

Pro tenanty, kteří používají verzi služby 1911 a novější, se autorita MDM automaticky nastaví na Intune.

Pokud jste pro tenanty používající verzi služby 1911 a novější aktivovali základní mobilitu a zabezpečení, postupujte podle kroků v této části.

Pokud jste ještě nenastavili autoritu MDM pro tenanty verze před 1911, postupujte podle kroků v této části.

  1. V Centru pro správu Microsoft Intune výběrem oranžového banneru otevřete nastavení Autorita pro správu mobilních zařízení . Oranžová informační zpráva se zobrazí jenom v případě, že jste autoritu MDM ještě nenastavili.

  2. V části Autorita pro správu mobilních zařízení zvolte autoritu MDM z následujících možností:

    • Autorita INTUNE MDM
    • Žádné

    Snímek obrazovky s autoritou pro správu mobilních zařízení v Intune

Zpráva značí, že jste úspěšně nastavili autoritu MDM na Intune.

Pracovní postup uživatelského rozhraní pro správu Intune

Pokud je povolená správa zařízení s Androidem nebo Apple, Intune odesílá informace o zařízení a uživatelích, aby se integrovaly s těmito službami třetích stran a spravovaly příslušná zařízení.

Scénáře, které přidávají souhlas se sdílením dat, jsou zahrnuté v následujících případech:

  • Povolíte pracovní profily Androidu Enterprise v osobním vlastnictví nebo ve vlastnictví firmy.
  • Povolíte a nahrajete certifikáty Apple MDM Push Certificate.
  • Povolíte některou ze služeb Apple, jako je Program registrace zařízení, Správce školy nebo Volume Purchase Program.

V každém případě souhlas úzce souvisí s provozem služby správy mobilních zařízení. Například potvrzení, že správce IT povolil registraci zařízení Google nebo Apple. Dokumentace k řešení toho, jaké informace se sdílí při spuštění nových pracovních postupů, je k dispozici z následujících umístění:

Klíčové aspekty

Po přepnutí na novou autoritu MDM existuje nějaká doba přechodu (až osm hodin), než se zařízení přihlásí a provede synchronizaci se službou. Musíte nakonfigurovat nastavení v nové autoritě MDM, abyste měli jistotu, že zaregistrovaná zařízení budou i po této změně dál spravovaná a chráněná.

  • Zařízení se musí po změně připojit ke službě, aby nastavení z nové autority MDM (samostatná služba Intune) nahradila stávající nastavení na zařízení.
  • Po změně autority MDM zůstanou některá základní nastavení (například profily) z předchozí autority MDM na zařízení po dobu až sedmi dnů nebo do doby, než se zařízení poprvé připojí ke službě. Aplikace a nastavení (jako jsou zásady, profily a aplikace) byste měli v nové autoritě MDM nakonfigurovat co nejdříve a nasadit nastavení do skupin uživatelů, které obsahují uživatele, kteří mají stávající zaregistrovaná zařízení. Jakmile se zařízení připojí ke službě po změně autority MDM, obdrží nová nastavení z nové autority MDM a zabrání mezerám ve správě a ochraně.
  • Zařízení, která nemají přidružené uživatele (obvykle v případě, že máte Program registrace zařízení s iOS/iPadOS nebo scénáře hromadné registrace), se na novou autoritu MDM nemigrují. U těchto zařízení musíte zavolat podporu a požádat o pomoc s jejich přesunutím do nové autority MDM.

Koexistence

Když povolíte koexistenci, můžete intune používat pro novou skupinu uživatelů a současně dál používat základní mobilitu a zabezpečení pro stávající uživatele. Zařízení spravovaná službou Intune můžete řídit prostřednictvím uživatele. Intune spravuje všechna zařízení zaregistrovaná uživatelem, pokud má uživatel licenci na Intune nebo používá spolusprávu Intune s Configuration Managerem. V opačném případě se uživatel spravuje pomocí základní mobility a zabezpečení.

Koexistence je potřeba provést ve třech hlavních krocích:

  1. Příprava
  2. Přidání autority Intune MDM
  3. Migrace uživatelů a zařízení (volitelné)

Příprava

Než povolíte koexistenci se základní mobilitou a zabezpečením, zvažte následující body:

  • Ujistěte se, že máte dostatek licencí Intune pro uživatele, které chcete prostřednictvím Intune spravovat.
  • Zkontrolujte, kteří uživatelé mají přiřazené licence Intune. Jakmile povolíte koexistenci, každý uživatel, který už má přiřazenou licenci Intune, přepne svá zařízení na Intune. Pokud se chcete vyhnout neočekávaným přepínačům zařízení, doporučujeme nepřiřazovat žádné licence Intune, dokud nepovolíte koexistenci.
  • Vytvořte a nasaďte zásady Intune, které nahradí zásady zabezpečení zařízení, které byly původně nasazené prostřednictvím portálu Office 365 Security & Compliance. Toto nahrazení by mělo být provedeno pro všechny uživatele, u které očekáváte přechod ze základní mobility a zabezpečení na Intune. Pokud těmto uživatelům nejsou přiřazené žádné zásady Intune, povolení koexistence může způsobit ztrátu nastavení Základní mobility a zabezpečení. Tato nastavení se ztratí bez náhrady, například spravované e-mailové profily. I při nahrazení zásad zabezpečení zařízení zásadami Intune se uživatelům může po přesunutí zařízení do správy Intune zobrazit výzva k opětovnému ověření svých e-mailových profilů.
  • Po nastavení základní mobility a zabezpečení nemůžete zrušit zřízení. Existují však kroky, které můžete provést, abyste tyto zásady vypnuli. Další informace najdete v tématu Vypnutí základní mobility a zabezpečení.

Přidání autority Intune MDM

Pokud chcete povolit koexistenci, musíte přidat Intune jako autoritu MDM pro vaše prostředí:

  1. Přihlaste se k Centru pro správu Microsoft Intune pomocí globálních práv Microsoft Entra nebo správce služby Intune.

  2. Přejděte na Zařízení.

  3. Zobrazí se okno Přidat autoritu MDM .

  4. Pokud chcete přepnout autoritu MDM z Office 365 na Intune a povolit koexistenci, vyberte Autorita> MDM IntunePřidat.

    Snímek obrazovky Přidat autoritu MDM

Migrace uživatelů a zařízení (volitelné)

Po povolení autority Intune MDM se aktivuje koexistence a můžete začít spravovat uživatele prostřednictvím Intune. Volitelně můžete přesunout zařízení, která byla dříve spravovaná službou Basic Mobility and Security, aby byla spravovaná službou Intune, tím, že těmto uživatelům přiřadíte licenci Intune. Zařízení uživatelů se při příštím přihlášení k MDM přepnou do Intune. Nastavení použitá u těchto zařízení prostřednictvím základní mobility a zabezpečení se už nebudou používat a odeberou se ze zařízení.

Čištění mobilních zařízení po vypršení platnosti certifikátu MDM

Certifikát MDM se automaticky obnoví, když mobilní zařízení komunikují se službou Intune. Pokud se mobilní zařízení vymažou nebo se jim po určitou dobu nepodaří komunikovat se službou Intune, certifikát MDM se neobnoví. Zařízení se odebere z webu Azure Portal 180 dní po vypršení platnosti certifikátu MDM.

Odebrání autority MDM

Autoritu MDM nejde změnit zpět na Neznámá. Autoritu MDM služba používá k určení zařízení zaregistrovaných na portálu (Microsoft Intune nebo Základní mobility a zabezpečení pro Microsoft 365).

Co očekávat po změně autority MDM

  • Když služba Intune zjistí změnu autority MDM tenanta, odešle všem zaregistrovaným zařízením zprávu s oznámením. Zpráva oznámení vyzve zařízení k ohlášení a synchronizaci se službou mimo jejich běžný plán. V důsledku toho se všechna zapnutá a online zařízení připojují ke službě a získají novou autoritu MDM. Nová autorita spravuje a chrání zařízení bez přerušení. Proto po změně autority MDM pro tenanta ze samostatného Intune budou zařízení dál normálně fungovat v rámci nové autority MDM.

  • U zařízení, která jsou zapnutá a online během změny autority MDM nebo krátce po této změně, dochází ke zpoždění. Zpoždění může trvat až osm hodin v závislosti na načasování dalšího naplánovaného pravidelného ochádení. Během zpoždění nejsou zařízení zaregistrovaná ve službě pod novou autoritou MDM. Po uplynutí zpoždění se zařízení plně zaregistrují a zprovozní v rámci nové autority MDM.

    Důležité

    V době mezi změnou autority MDM a odesláním obnoveného certifikátu APNs do nové autority se nezdaří nové registrace zařízení a ohlášení zařízení pro zařízení s iOS/iPadOS. Proto je důležité, abyste co nejdříve po změně v autoritě MDM zkontrolovali a nahráli certifikát APN do nové autority.

  • Uživatelé můžou rychle přejít na novou autoritu MDM ručním spuštěním ohlášení změn ze zařízení do služby. Uživatelé můžou tuto změnu snadno provést pomocí aplikace Portál společnosti a spuštěním kontroly dodržování předpisů zařízením.

  • Pokud chcete ověřit, že zařízení po změně autority MDM se změnami a synchronizaci se službou správně fungují, vyhledejte zařízení v nové autoritě MDM.

  • Během změny autority MDM je zařízení offline a kdy se zařízení přihlásí ke službě, je přechodné období. Během přechodného období je důležité chránit a udržovat funkce zařízení. Kvůli ochraně a údržbě funkcí zařízení zůstanou na zařízení následující profily. Tyto profily zůstanou na zařízení až sedm dní nebo do doby, než se zařízení připojí k nové autoritě MDM. Jakmile se zařízení připojí a obdrží nové nastavení, stávající profily se přepíšou:

    • E-mailový profil
    • Profil SÍTĚ VPN
    • Profil certifikátu
    • Wi-Fi profil
    • Konfigurační profily

  • Po přechodu na novou autoritu MDM může přesné hlášení dat dodržování předpisů v Centru pro správu Microsoft Intune trvat až týden. Stavy dodržování předpisů v Microsoft Entra ID a na zařízení jsou ale přesné, takže zařízení je stále chráněné.

  • Ujistěte se, že nová nastavení určená k přepsání existujících nastavení mají stejný název jako předchozí nastavení, aby se zajistilo přepsání starých nastavení. V opačném případě můžou zařízení skončit s redundantními profily a zásadami.

    Tip

    Osvědčeným postupem je vytvořit všechna nastavení a konfigurace správy a nasazení krátce po dokončení změny autority MDM. To pomáhá zajistit, aby zařízení byla během přechodného období chráněna a aktivně spravována.

  • Po změně autority MDM proveďte následující kroky a ověřte, že se nová zařízení úspěšně zaregistrovala do nové autority:

    • Registrace nového zařízení
    • Ujistěte se, že se nově zaregistrované zařízení zobrazuje v nové autoritě MDM.
    • Proveďte akci, například Vzdálené uzamčení, z Centra pro správu Microsoft Intune do zařízení. Pokud je to úspěšné, pak zařízení spravuje nová autorita MDM.

  • Pokud máte problémy s konkrétními zařízeními, můžete registraci zrušit a znovu zaregistrovat, abyste je co nejrychleji připojili k nové autoritě a mohli je spravovat.

Potvrzení autority MDM vašeho tenanta

Pokud chcete ověřit, že je vaše autorita MDM nastavená na Intune, postupujte následovně:

  1. V Centru pro správu Microsoft Intune vyberte Správa> tenantaStav tenanta.
  2. Na kartě Podrobnosti tenanta vyhledejte autoritu MDM.

Další kroky

S nastavenou autoritou MDM můžete začít registrovat zařízení.