Průvodce plánováním na vysoké úrovni pro přechod na koncové body nativní pro cloud

Tip

Při čtení o koncových bodech nativních pro cloud se zobrazí následující termíny:

• Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
• Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo Zásady skupiny objektů. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
• Koncové body nativní pro cloud: Koncové body, které jsou připojené k Microsoft Entra. Nejsou připojené k místní službě AD.
• Úloha: Jakýkoli program, služba nebo proces.

Tento průvodce plánováním na vysoké úrovni obsahuje nápady a návrhy, které je potřeba zvážit při přijetí a migraci na koncové body nativní pro cloud. Zabývá se správou zařízení, kontrolou & přechodem stávajících úloh, prováděním změn organizace, používáním Windows Autopilotu a dalšími tématy.

Tato funkce platí pro:

• Koncové body Windows nativní pro cloud

Přesun koncových bodů Windows na nativní cloud má řadu výhod, včetně dlouhodobých. Nejedná se o proces přes noc a je potřeba ho naplánovat, abyste se vyhnuli problémům, výpadkům a negativnímu dopadu na uživatele.

Další informace o výhodách pro organizaci a uživatele najdete v tématu Co jsou koncové body nativní pro cloud.

Pokud chcete být úspěšní, zvažte klíčové oblasti popsané v tomto článku pro vaše plánování a nasazení. Díky správnému plánování, komunikaci a aktualizacím procesů může být vaše organizace nativní pro cloud.

Správa zařízení pomocí poskytovatele MDM nativního pro cloud

Správa koncových bodů, včetně koncových bodů nativních pro cloud, je důležitou úlohou pro všechny organizace. U koncových bodů nativních pro cloud musí nástroje pro správu, které používáte, spravovat koncové body, ať jsou kdekoli.

Pokud v současné době nepoužíváte řešení správy mobilních zařízení (MDM) nebo chcete přejít na řešení Od microsoftu, pak jsou vhodné zdroje informací v následujících článcích:

• Co je Microsoft Intune?
• Začínáme s Microsoft Intune

U Microsoft Intune řady produktů a služeb máte následující možnosti správy koncových bodů:

• Microsoft Intune: Intune je 100% cloudový a používá Centrum pro správu Intune ke správě zařízení, správě aplikací na zařízeních, vytváření & nasazení zásad, kontrole dat generování sestav atd.

  Další informace o používání Intune ke správě koncových bodů najdete tady:

  • Microsoft Intune bezpečně spravuje identity, aplikace a zařízení.
  • Průvodce nasazením: Nastavení nebo přechod na Microsoft Intune
  • průvodce plánováním Microsoft Intune

• Microsoft Configuration Manager: Configuration Manager používá místní infrastrukturu a může spravovat servery. Když používáte spolusprávu, některé úlohy používají Configuration Manager (místní) a některé Microsoft Intune (cloud).

  U koncových bodů nativních pro cloud by vaše řešení Configuration Manager měla používat bránu pro správu cloudu (CMG) a spolusprávu.

Kontrola úloh koncových bodů a uživatelů

Na vysoké úrovni vyžaduje nasazení koncových bodů nativních pro cloud moderní strategie pro identitu, distribuci softwaru, správu zařízení, aktualizace operačního systému a správu uživatelských dat & konfiguraci. Microsoft má řešení, která podporují tyto oblasti pro vaše koncové body nativní pro cloud.

Začněte tím, že si projdete jednotlivé úlohy a určíte, jak může nebo bude podporovat vaše koncové body nativní pro cloud. Některé úlohy už můžou podporovat koncové body nativní pro cloud. Nativní podpora závisí na konkrétní úloze, na tom, jak vaše organizace implementuje služby úloh a jak je uživatelé používají.

Pokud chcete zjistit, jestli vaše úlohy podporují koncové body nativní pro cloud, musíte tyto služby prozkoumat a ověřit.

Pokud služba nebo řešení nepodporuje koncové body nativní pro cloud, určete její dopad a důležitost na vaše uživatele a vaši organizaci. Až budete mít tyto informace, můžete určit další kroky, mezi které patří:

• Spolupráce s dodavatelem služby
• Aktualizace na novou verzi
• Použití nové služby
• Implementace řešení pro přístup k této službě a používání této služby z koncového bodu nativního pro cloud
• Ověření požadavků na službu
• Souhlas s tím, že služba není nativní pro cloud, což může být přijatelné pro uživatele a vaši organizaci

V každém případě byste měli naplánovat aktualizaci úloh tak, aby podporovaly koncové body nativní pro cloud.

Vaše úlohy by měly mít následující charakteristiky:

• Zabezpečený přístup k aplikacím a datům odkudkoli, kde se uživatelé nacházejí. Access nevyžaduje připojení k podnikové nebo interní síti.
• Hostované v cloudové službě, hostované nebo hostované prostřednictvím cloudové služby.
• Nevyžaduje konkrétní zařízení ani na něm nezávisí.

Běžné úlohy a řešení

Mezi koncové body nativní pro cloud patří také služby a úlohy, které koncové body podporují.

Následující úlohy jsou konfigurace, nástroje, procesy a služby, které umožňují produktivitu uživatelů a správu koncových bodů.

Vaše přesné úlohy, podrobnosti a způsob aktualizace úloh pro koncové body nativní pro cloud se můžou lišit. Nemusíte také převádět každou úlohu. Musíte ale zvážit každou úlohu, její dopad na produktivitu uživatelů a možnosti správy zařízení. Převod některých úloh na použití koncových bodů nativních pro cloud může trvat déle než jiné. Úlohy mohou být vzájemně závislé.

• Identita zařízení

  Identitu zařízení určují zprostředkovatelé identity (IdP), kteří mají o zařízení znalosti a vztah důvěryhodnosti zabezpečení se zařízením. U koncových bodů Windows jsou nejběžnějšími zprostředkovateli identity místní Active Directory (AD) a Microsoft Entra ID. Koncové body s identitami z jednoho z těchto zprostředkovatele identity jsou obvykle připojené k jednomu nebo k oběma.

  • U koncových bodů nativních pro cloud je nejlepší volbou pro identitu zařízení Microsoft Entra join. Nevyžaduje žádné připojení k místní síti, prostředku ani službě.
  • Připojení k místní službě AD a hybridní Microsoft Entra připojení vyžadují připojení k místnímu řadiči domény. Potřebují připojení pro počáteční přihlášení uživatele, aby mohli poskytovat zásady skupiny a měnit hesla. Tyto možnosti nejsou vhodné pro koncové body nativní pro cloud.

  Poznámka

  Microsoft Entra registrace, někdy označovaná jako připojení k pracovišti, je určena pouze pro scénáře přineste si vlastní zařízení (BYOD). Neměl by se používat pro koncové body Windows vlastněné organizací. Některé funkce nemusí být podporovány nebo fungovat podle očekávání na Microsoft Entra registrovaných koncových bodech Windows.

• Zřízení koncových bodů

  U nově nasazených koncových bodů Microsoft Entra připojení použijte k předběžné konfiguraci zařízení windows Autopilot. Připojení k Microsoft Entra je obvykle úlohou řízenou uživatelem a Windows Autopilot je navržen s ohledem na uživatele. Windows Autopilot umožňuje zřizování pomocí cloudu odkudkoli na internetu a libovolným uživatelem.

  Pro více informací přejděte na:

  • Přehled Windows Autopilot
  • Scénáře a možnosti Windows Autopilotu

• Nasazení softwaru a aplikací

  Většina uživatelů potřebuje a používá software a aplikace, které nejsou součástí základního operačního systému. V mnoha případech IT nezná nebo nerozumí konkrétním požadavkům aplikace. Za doručování a správu těchto aplikací ale stále zodpovídá váš IT tým. Uživatelé by měli mít možnost si vyžádat a nainstalovat aplikace, které potřebují ke své práci, bez ohledu na koncový bod, který používají nebo odkud ho používají.

  • Pokud chcete nasadit software a aplikace, použijte cloudový systém, jako je Intune nebo Configuration Manager (s CMG a spolusprávou).

  • Vytvořte základní hodnoty aplikací, které musí mít vaše koncové body, jako je Microsoft Outlook a Teams. U jiných aplikací nechte uživatele instalovat si vlastní aplikace.

    Na koncových bodech můžete jako úložiště aplikace použít aplikaci Portál společnosti. Nebo použijte portál pro uživatele se seznamem aplikací, které se dají nainstalovat. Tato samoobslužná možnost zkracuje dobu zřizování nových a stávajících zařízení. Snižuje se tím také zatížení IT a nemusíte nasazovat aplikace, které uživatelé nepotřebují.

  Další informace najdete v článku:

  • Nasazení aplikací pro Windows pomocí Microsoft Intune
  • Úvod do správy aplikací v Configuration Manager
  • Úložiště privátních aplikací v Windows 11

• Konfigurace nastavení zařízení pomocí zásad

  Správa zásad a zabezpečení je základem správy koncových bodů. Zásady koncových bodů umožňují vaší organizaci vynutit na spravovaných koncových bodech konkrétní standardní hodnoty zabezpečení a standardní konfiguraci. Existuje mnoho nastavení, která můžete spravovat a řídit na koncových bodech. Vytvořte zásady, které konfigurují jenom to, co je ve vašem směrném plánu povinné. NEVYTVOVÁVEJTE zásady, které řídí běžné uživatelské předvolby.

  • Tradiční vynucování zásad pomocí zásad skupiny není u koncových bodů nativních pro cloud možné. Místo toho můžete použít Intune k vytvoření zásad pro konfiguraci mnoha nastavení, včetně integrovaných funkcí, jako je Katalog nastavení.

    Na existující objekty zásad skupiny můžete odkazovat a analyzovat je pomocí Zásady skupiny analýz v Intune, což vám umožní zjistit, jestli jsou nastavení v rámci objektů zásad skupiny podporovaná v cloudu. Zásady skupiny analýzy také umožňují vytvářet zásady Intune z objektů zásad skupiny, pokud je to pro vaši organizaci správný krok. Obecně doporučujeme, aby zákazníci implementovali zásady, které vyhovují jejich požadavkům, místo přímé migrace stávajících objektů zásad skupiny na Intune. Když vytváříte zásady založené na vašich požadavcích, racionalizujete, optimalizujete a zefektivňujete zásady Intune.

  • Pokud máte existující zásady, které vydávají certifikáty, spravují Nástroj BitLocker a poskytují ochranu koncových bodů, budete muset vytvořit nové zásady v Intune nebo Configuration Manager (s cmg a spolusprávou).

    Další informace najdete v článku:

    • Použití certifikátů pro ověřování v Microsoft Intune
    • Zásady šifrování disků pro zabezpečení koncových bodů v Intune
    • Přidání nastavení služby Endpoint Protection v Intune
    • Certifikáty v Configuration Manager
    • Správa nástroje BitLocker v Configuration Manager
    • Endpoint Protection v Configuration Manager

• Nasazení aktualizací zabezpečení, funkcí a aplikací

  Mnoho místních řešení nemůže nasadit aktualizace do cloudově nativních koncových bodů ani je nasadit efektivně. Z hlediska zabezpečení může být tato úloha nejdůležitější. Měla by to být první úloha, kterou přejdete na podporu koncových bodů Windows nativních pro cloud.

  • Nasaďte aktualizace Windows pomocí cloudového systému, jako je služba Windows Update zásady klienta. Pomocí Intune nebo Configuration Manager (s cmg a spolusprávou) můžete použít zásady služba Windows Update klienta k nasazení aktualizací zabezpečení a aktualizací funkcí.

    Další informace najdete v článku:

    • Správa aktualizací softwaru Windows v Intune
    • Integrace konfigurace správce se zásadami služba Windows Update klienta
    • Volba způsobu správy aktualizací pro Microsoft 365 Apps

  • Nasaďte aktualizace aplikací Microsoft 365 pomocí následujících možností:

    • Intune: Vytvořte zásadu, která nastaví aktualizační kanál, odebere další verze aplikací a další.
    • Configuration Manager (s cmg a spolusprávou): Spravujte své aplikace, včetně statistik aktualizací, kopírování, vyřazení a dalších.

    Další informace najdete v článku:

    • Přidání aplikací Microsoft 365 na zařízení s Windows pomocí Microsoft Intune
    • Úlohy správy aplikací Configuration Manager

• Správa uživatelských dat a nastavení

  Uživatelská data zahrnují následující položky:

  • Dokumenty uživatelů
  • Konfigurace poštovní aplikace
  • Oblíbené položky webového prohlížeče
  • Data specifická pro obchodní aplikace (LOB)
  • Nastavení konfigurace specifické pro obchodní aplikace

  Uživatelé musí vytvářet data a přistupovat k datům z libovolného koncového bodu. Tato data musí být také chráněná a možná bude potřeba je sdílet s ostatními uživateli.

  • Ukládejte uživatelská data a nastavení v poskytovateli cloudového úložiště, jako je Microsoft OneDrive. Poskytovatelé cloudového úložiště můžou zpracovávat synchronizaci dat, sdílení, offline přístup, řešení konfliktů a další.

    Další informace najdete v příručce k OneDrivu pro podniky.

  Důležité

  Některá uživatelská nastavení, jako jsou předvolby operačního systému nebo nastavení specifická pro aplikaci, jsou uložená v registru. Přístup k těmto nastavením odkudkoli nemusí být realistický a může být zakázáno synchronizovat s různými koncovými body.

  Tato nastavení je možné exportovat a pak importovat do jiného zařízení. Můžete například exportovat uživatelská nastavení z Outlooku, Word a dalších aplikací Office.

• Přístup k místním prostředkům

  Některé organizace nemůžou některé úlohy převést na řešení nativní pro cloud. Jedinou možností může být přístup k existujícím místním prostředkům nebo službám z koncového bodu nativního pro cloud. Pro tyto scénáře uživatelé potřebují přístup.

  U těchto místních služeb, prostředků a aplikací zvažte následující úlohy:

  • Ověřování a autorizace: Pokud chtějí uživatelé přistupovat k místním prostředkům z koncových bodů nativních pro cloud, musí ověřit a ověřit, kdo jsou. Konkrétnější informace najdete v tématu Ověřování a přístup k místním prostředkům pomocí koncového bodu nativního pro cloud.

  • Připojení: Zkontrolujte a vyhodnoťte aplikace & prostředky, které jsou pouze v místním prostředí. Připojení a přístup k těmto prostředkům by měly být dostupné mimo místní prostředí a bez přímého připojení, jako je síť VPN. Tato úloha může zahrnovat přechod na verze SaaS vašich aplikací, používání Microsoft Entra proxy aplikací, Azure Virtual Desktopu, Windows 365, SharePointu, OneDrivu nebo Microsoft Teams.

  Poznámka

  Microsoft Entra nepodporuje ověřovací protokol Kerberos. Místní služba AD podporuje ověřovací protokol Kerberos. Při plánování se můžete dozvědět více o Microsoft Entra Kerberos. Po nakonfigurování se uživatelé přihlašují ke koncovému bodu nativnímu pro cloud pomocí svého účtu Microsoft Entra a můžou přistupovat k místním aplikacím nebo službám, které používají ověřování kerberos.

  Microsoft Entra Kerberos:

  • Nepoužívá se v nativních cloudových řešeních.
  • Neřeší žádné problémy s připojením k prostředkům, které vyžadují ověřování prostřednictvím Microsoft Entra.
  • Není řešením nebo řešením pro jakékoli požadavky na ověřování domény prostřednictvím Microsoft Entra.
  • Neřeší problémy s ověřováním počítačů uvedené v části Známé problémy a důležité informace.

  Pokud chcete lépe porozumět Microsoft Entra protokolu Kerberos a scénářům, které může řešit, přejděte na následující blogy:

  • Proč jsme vytvořili Microsoft Entra Kerberos (otevře externí web)
  • Podrobné informace: Jak funguje Microsoft Entra Kerberos (otevře jiný web Microsoftu)
  • Jak funguje Microsoft Entra Kerberos (syfuhs.net) (otevře externí web)

Přechod úloh ve fázích

Modernizace úloh a přijetí koncových bodů nativních pro cloud vyžaduje změny provozních procesů a postupů. Příklady:

• Správci potřebují pochopit, jak změny stávajících úloh můžou změnit své procesy.
• Oddělení služeb musí porozumět novým scénářům, které budou podporovat.

Při kontrole koncových bodů a úloh rozdělte přechod do fází. Tato část obsahuje přehled některých doporučených fází, které může vaše organizace použít. Tyto fáze se dají opakovat tolikrát, kolikrát je to potřeba.

✅ Fáze 1: Získání informací o úlohách

Tato fáze je fáze shromažďování informací. Pomůže vám určit rozsah toho, co musíte zvážit, aby vaše organizace přešla na nativní cloud. Zahrnuje přesné definování služeb, produktů a aplikací, které jsou součástí jednotlivých úloh ve vašem prostředí.

V této fázi:

1. Inventarizace informací a podrobností o aktuálních úlohách Můžete například znát jejich aktuální stav, co poskytují, komu slouží, kdo je udržuje, jestli jsou kritické pro nativní cloud a jak jsou hostované.

   Když budete mít tyto informace, můžete pochopit a definovat koncový cíl, kterým by měl být:

   • Podpora koncových bodů nativních pro cloud
   • Informace o službách, produktech a aplikacích používaných jednotlivými úlohami

   Musíte se domluvit s vlastníky různých služeb, produktů a aplikací. Chcete zajistit, aby koncové body nativní pro cloud podporovaly produktivitu uživatelů bez omezení připojení nebo umístění.

   Mezi běžné služby a aplikace patří obchodní aplikace, interní weby, sdílené složky, požadavky na ověřování, mechanismy aktualizace aplikací a operačních systémů a konfigurace aplikací. V podstatě zahrnují všechno, co uživatelé potřebují k plné práci.

2. Ověřte koncový stav pro každou úlohu. Identifikujte známé blokátory, které brání přechodu do tohoto koncového stavu nebo brání podpoře koncových bodů nativních pro cloud.

   Některé úlohy a jejich služby & aplikace už můžou být vhodné pro cloud nebo povolené. Některé nemusí. Přechod do koncového stavu jednotlivých úloh může vyžadovat investice organizace & úsilí. Může zahrnovat aktualizaci softwaru, "zvedání a přesun" na novou platformu, migraci na nové řešení nebo provádění změn konfigurace.

   Kroky potřebné pro každou úlohu se u každé organizace liší. Závisí na tom, jak je služba nebo aplikace hostovaná a jak k nim uživatelé přistupují. Tento koncový stav by měl řešit primární problém, který uživatelům umožňuje provádět práci na koncovém bodu nativním pro cloud bez ohledu na umístění nebo připojení k interní síti.

   Na základě každého definovaného koncového stavu můžete zjistit nebo definovat, že povolení služby nebo aplikace v cloudu je obtížné nebo blokované. K této situaci může dojít z různých důvodů, včetně technických nebo finančních omezení. Tato omezení musí být jasná a musí být srozumitelná. Musíte zkontrolovat jejich dopad a určit, jak přesunout jednotlivé úlohy tak, aby byly přátelské pro cloud.

✅ Fáze 2: Stanovení priority všech blokování

Jakmile identifikujete klíčové úlohy a jejich blokátory koncového stavu, postupujte podle následujících možností:

1. Určete prioritu každého blokování a vyhodnoťte jejich řešení.

   Možná nechcete nebo nebudete muset řešit všechny blokátory. Vaše organizace může mít například úlohy nebo část úloh, které nepodporují vaše koncové body nativní pro cloud. Tento nedostatek podpory může nebo nemusí být pro vaši organizaci nebo uživatele významný. Toto rozhodnutí můžete udělat vy a vaše organizace.

2. Pokud chcete podporovat testování a testování konceptu (POC), začněte s minimální sadou úloh. Cílem je otestovat a ověřit vzorek vašich úloh.

   V rámci poc identifikujte v pilotním nasazení sadu uživatelů a zařízení pro spuštění skutečného produkčního scénáře. Tento krok pomáhá prokázat, jestli koncový stav umožňuje produktivitu uživatelů.

   V mnoha organizacích existuje role nebo obchodní skupina, které se snadněji migrují. V poc můžete například cílit na následující scénáře:

   • Vysoce mobilní prodejní tým, jehož primárními požadavky jsou nástroje pro zvýšení produktivity a online řešení pro řízení vztahů se zákazníky
   • Znalostní pracovníci, kteří primárně přistupují k obsahu, který už je v cloudu, a do značné míry spoléhají na aplikace Microsoftu 365
   • Zařízení frontline pracovních procesů, která jsou vysoce mobilní nebo se nacházejí v prostředích, ve kterých nemají přístup k síti organizace

   U těchto skupin zkontrolujte jejich úlohy. Určete, jak se tyto úlohy můžou přesunout na moderní správu, včetně identit, distribuce softwaru, správy zařízení a dalších.

   Pro každou z oblastí pilotního nasazení by měl být počet položek nebo úkolů nízký. Tento počáteční pilotní projekt vám pomůže vytvořit procesy a postupy potřebné pro více skupin. Pomůže vám to také vytvořit dlouhodobou strategii.

   Další pokyny a tipy najdete v průvodci plánováním Microsoft Intune. Vztahuje se na Intune, ale obsahuje také některé pokyny při používání pilotních skupin a vytváření plánů zavedení.

✅ Fáze 3: Přechod úloh

V této fázi jste připraveni implementovat změny.

1. Přesuňte odblokované úlohy do plánovaných řešení nativních pro cloud nebo do koncového stavu. V ideálním případě je tento krok rozdělený na menší pracovní položky. Cílem je pokračovat v obchodním provozu s minimálním přerušením.

2. Jakmile první sada úloh podporuje koncové body nativní pro cloud, identifikujte další úlohy a pokračujte v procesu.

✅ Fáze 4: Příprava uživatelů

Uživatelé mají různá prostředí pro příjem, nasazení a podporu na svých zařízeních. Správci by měli:

• Projděte si existující procesy a dokumentaci a zjistěte, kde jsou změny viditelné pro uživatele.
• Aktualizace dokumentace.
• Vytvořte vzdělávací strategii, která bude sdílet změny a výhody, které uživatelé zaznačí.

Přechod organizace ve fázích

Následující fáze představují základní přístup, který organizacím umožňuje přesunout své prostředí tak, aby podporovalo koncové body Windows nativní pro cloud. Tyto fáze jsou paralelně s přechodem na koncové body a uživatelské úlohy. Můžou záviset na částečném nebo úplném přechodu určitých úloh na podporu koncových bodů Windows nativních pro cloud.

✅ Fáze 1: Definování koncových bodů, závislostí a milníků

Tato fáze je prvním krokem k tomu, aby migrace vaší organizace byla plně nativní pro cloud. Zkontrolujte, co aktuálně máte, definujte kritéria úspěchu a začněte plánovat, jak budou vaše zařízení přidána do Microsoft Entra.

1. Definování koncových bodů, které vyžadují cloudovou identitu

   • Koncové body, které používají přístup k internetu, vyžadují cloudovou identitu. Tyto koncové body přidáte do Microsoft Entra.
   • Koncové body, které nepoužívají internet nebo se používají jenom místně, by neměly mít cloudovou identitu. Nemigrujte tyto scénáře tak, aby byly nativní pro cloud.

2. Definování závislostí

   Úlohy, uživatelé a zařízení mají technické i netechnické závislosti. Pokud chcete přejít s minimálním dopadem na uživatele a organizaci, musíte tyto závislosti zohlednit.

   Závislost může být například:

   • Obchodní procesy a kontinuita
   • Standardy zabezpečení
   • Místní zákony a předpisy
   • Znalost uživatelů a použití úlohy
   • Kapitál, provozní náklady a rozpočet

   Pro každou úlohu se zeptejte na co se to týká, pokud něco změníme ve službách poskytovaných touto úlohou? Musíte zohlednit důsledky této změny.

3. Definování milníků a kritérií úspěchu pro každou úlohu

   Každá úloha má své vlastní milníky a kritéria úspěchu. Můžou být založené na tom, jak organizace tuto úlohu používá, a její použitelnosti pro konkrétní koncové body a uživatele.

   Pokud chcete pochopit a definovat průběh přechodu, sledujte a monitorujte tyto informace.

4. Plánování nasazení Windows Autopilotu

   • Určete, jak a kdy budou zařízení zaregistrovaná ve vaší organizaci.
   • Určete a vytvořte potřebné značky skupin, které budou cílit na zásady Windows Autopilotu.
   • Vytvořte profil Windows Autopilot s jeho nastavením konfigurace a zaměřte se na zařízení, která ho obdrží.

   Pro více informací přejděte na:

   • Přehled Windows Autopilot
   • Scénáře a možnosti Windows Autopilotu

✅ Fáze 2: Povolení cloudové identity koncového bodu (volitelné)

Aby byly plně nativní pro cloud, microsoft doporučuje resetovat stávající koncové body Windows v rámci cyklu aktualizace hardwaru. Při resetování se koncový bod obnoví zpět do továrního nastavení. Odstraní se všechny aplikace, nastavení a osobní údaje v zařízení.

Pokud nejste připravení resetovat koncové body, můžete povolit připojení k hybridnímu Microsoft Entra. Pro hybridní koncové body Microsoft Entra připojení se vytvoří cloudová identita. Nezapomeňte, že hybridní Microsoft Entra připojení stále vyžaduje místní připojení.

Nezapomeňte, že hybridní Microsoft Entra join je přechodový krok k nativnímu cloudu a není konečným cílem. Konečným cílem je, aby všechny existující koncové body byly plně nativní pro cloud.

Pokud jsou koncové body plně nativní pro cloud, uživatelská data se ukládají v poskytovateli cloudového úložiště, jako je OneDrive. Takže při resetování koncového bodu jsou uživatelské aplikace, konfigurace a data stále přístupné a můžou se replikovat do nově zřízeného koncového bodu.

Další informace najdete v článku:

• Microsoft Entra join nebo hybrid Microsoft Entra join
• Konfigurace připojení k hybridnímu Microsoft Entra

Poznámka

Microsoft nemá nástroj pro migraci, který by převáděl existující koncové body z místní domény připojené nebo hybridní Microsoft Entra připojené na Microsoft Entra připojené. Microsoft doporučuje, aby se tato zařízení resetovaly a znovu nasadily v rámci aktualizace hardwaru.

✅Fáze 3: Připojení cloudu Configuration Manager (volitelné)

Pokud používáte Configuration Manager, připojte k Microsoft Intune své prostředí v cloudu. Pokud nepoužíváte Configuration Manager, přeskočte tento krok.

Když se připojíte ke cloudu, můžete vzdáleně spravovat koncové body klientů, spoluspravovat koncové body pomocí Intune (cloud) a Configuration Manager (místní) a přistupovat k Centru pro správu Intune.

Konkrétnější informace najdete v tématu Připojení prostředí Configuration Manager ke cloudu a Projděte si Centrum pro správu Microsoft Intune.

✅Fáze 4: Vytvoření Microsoft Entra spojené testování konceptu

Tato kritická fáze může kdykoli začít. Pomáhá identifikovat potenciální problémy, neznámé problémy a ověřovat celkové funkce a jejich řešení. Stejně jako u všech poc je cílem prokázat a ověřit funkčnost ve skutečném podnikovém prostředí místo v testovacím prostředí.

Mezi důležité kroky pro tuto fázi patří:

1. Implementace minimální konfigurace standardních hodnot pomocí Intune

   Tento krok je důležitý. Nechcete do sítě ani do produkčního prostředí zavádět koncové body, které:

   • Nedodržujte standardy zabezpečení vaší organizace
   • Nejsou nakonfigurované pro uživatele, aby mohli dělat svou práci.

   Tato minimální konfigurace není a neměla by obsahovat všechny možné konfigurace. Mějte na paměti, že záměrem je zjistit další konfigurace, které jsou potřeba k tomu, aby uživatelé byli úspěšní.

2. Konfigurace Windows Autopilotu pro Microsoft Entra připojené koncové body

   Nejrychlejší způsob, jak v organizaci zavést Microsoft Entra připojené systémy, je použití Windows Autopilotu ke zřízení nových koncových bodů a opětovnému zřízení stávajících koncových bodů. Je to důležitá součást poc.

3. Nasazení poc pro Microsoft Entra připojené systémy

   • Použijte kombinaci koncových bodů, které představují různé konfigurace a uživatele. Chcete co nejvíce ověřit tento nový stav systému.

   • Úlohy a jejich funkčnost budou plně ověřeny pouze skutečnými uživateli v produkčním prostředí. Díky přirozenému a každodennímu používání koncových bodů Microsoft Entra POC uživatelé organicky testují a ověřují vaše úlohy.

   • Vytvořte kontrolní seznamy důležitých obchodních funkcí a scénářů a předejte tyto seznamy uživatelům poc. Kontrolní seznamy jsou specifické pro každou organizaci a můžou se měnit s tím, jak se úlohy přecházejí na úlohy nativní pro cloud.

4. Ověření funkčnosti

   Ověření je opakující se proces. Je založená na úlohách a jejich konfiguraci v rámci vaší organizace.

   • Shromážděte zpětnou vazbu uživatelů ke koncovým bodům, úlohám a jejich funkcím. Tato zpětná vazba by měla být od uživatelů, kteří používali koncové body nativní pro cloud.

     Mohou být zjištěny další blokátory a dříve neznámé nebo nezapočtené na úlohy nebo scénáře.

   • Použijte milníky a kritéria úspěšnosti, která byla pro každou úlohu dříve vytvořená. Pomůžou určit průběh a rozsah POC.

✅Fáze 5: Microsoft Entra připojení stávajících koncových bodů Windows

Tato fáze přemísí nové zřizování koncových bodů Windows na Microsoft Entra připojeno. Jakmile se vyřeší všechny překážky a problémy, můžete stávající zařízení přesunout tak, aby byla plně nativní pro cloud. Budete mít také následující možnosti:

• Možnost 1: Výměna zařízení Pokud mají zařízení ukončenou životnost nebo nepodporují moderní zabezpečení, je jejich nahrazení nejlepší volbou. Moderní zařízení podporují nové a vylepšené funkce zabezpečení, včetně technologie TPM (Trusted Platform Module).

• Možnost 2: Resetujte zařízení s Windows. Pokud vaše stávající zařízení podporují novější funkce zabezpečení, můžete zařízení resetovat. Během počátečního nastavení počítače (OOBE) nebo když se uživatelé přihlašují, můžou zařízení připojit k Microsoft Entra.

  Před resetováním existujícího koncového bodu Windows nezapomeňte:

  1. Odstraňte zařízení v Intune.
  2. Odstraňte registraci zařízení Windows Autopilot.
  3. Odstraňte existující objekt zařízení Microsoft Entra.

  Pak zařízení resetujte a znovu zprodukujte koncový bod.

Až budou zařízení připravená, připojte je k Microsoft Entra pomocí možnosti, která je pro vaši organizaci nejvhodnější. Podrobnější informace najdete v tématu Microsoft Entra připojená zařízení a Postupy: Plánování implementace Microsoft Entra připojení.

Přechod z objektů zásad skupiny (GPO) Zásady skupiny

Mnoho organizací používá objekty zásad skupiny ke konfiguraci a správě svých koncových bodů Windows.

Postupem času se to komplikuje kvůli chybějící dokumentaci, nejasnosti v účelu nebo požadavcích zásad, používání starších nebo nefunkčních zásad a používání složitých funkcí. Můžou například existovat zásady, které zahrnují filtry WMI, mají složité struktury organizačních jednotek a používají blokování dědičnosti, zpětné smyčky nebo filtrování zabezpečení.

Správa nastavení pomocí Intune

Microsoft Intune obsahuje mnoho integrovaných nastavení, která je možné nakonfigurovat a nasadit do koncových bodů nativních pro cloud. Při přechodu na Intune pro správu zásad máte několik možností.

Tyto možnosti se nemusí vzájemně vylučovat. Můžete migrovat podmnožinu zásad a začít s novinkou pro ostatní.

• Možnost 1: Spuštění nového (doporučeno): Intune má mnoho nastavení pro konfiguraci a správu koncových bodů. Můžete vytvořit zásadu, přidat a nakonfigurovat nastavení v zásadách a pak zásadu nasadit.

  Mnoho existujících zásad skupiny zahrnuje zásady, které se nemusí vztahovat na koncové body nativní pro cloud. Když začnete znovu, umožníte organizaci ověřit a zjednodušit stávající vynucované zásady a zároveň odstranit zastaralé, zapomenuté nebo dokonce škodlivé zásady. Intune obsahuje integrované šablony, které seskupí společná nastavení, jako je VPN, Wi-Fi, ochrana koncových bodů a další.

• Možnost 2: Migrace: Tato možnost zahrnuje uvolnění existujících zásad a jejich přesunutí do modulu zásad Intune. Může to být těžkopádné a časově náročné. Můžete mít například mnoho existujících zásad skupiny a budou existovat rozdíly mezi místním nastavením a nastavením v cloudu.

  Pokud zvolíte tuto možnost, musíte zkontrolovat a analyzovat stávající zásady skupiny a určit, jestli jsou stále potřebné nebo platné ve vašich koncových bodech nativních pro cloud. Chcete odstranit nepotřebné zásady, včetně zásad, které můžou způsobit režijní náklady, nebo snížit výkon systému nebo uživatelské prostředí. Nepřesouvejte zásady skupiny do Intune, dokud nevíte, co dělají.

Intune funkcí, které byste měli znát

Intune obsahuje také integrované funkce, které vám pomůžou nakonfigurovat koncové body nativní pro cloud:

• Zásady skupiny analýzy: Objekty zásad skupiny můžete importovat v Centru pro správu Microsoft Intune a spustit analýzu zásad. Můžete zobrazit zásady, které existují v Intune, a zásady, které jsou zastaralé.

  Pokud používáte objekty zásad skupiny, je použití tohoto nástroje cenným prvním krokem.

  Další informace najdete v článku Zásady skupiny analýzy v Intune.

• Katalog nastavení: Podívejte se na všechna nastavení dostupná v Intune a pomocí těchto nastavení vytvořte, nakonfigurujte & nasaďte zásady. Dobrým zdrojem můžou být také úkoly, které můžete dokončit pomocí katalogu nastavení v Intune. Pokud vytvoříte objekty zásad skupiny, katalog nastavení představuje přirozený přechod na konfiguraci koncového bodu nativní pro cloud.

  V kombinaci s Zásady skupiny analýzami můžete nasadit zásady, které jste použili místně, do koncových bodů nativních pro cloud.

  Další informace najdete v katalogu Nastavení v Intune.

• Standardní hodnoty zabezpečení: Standardní hodnoty zabezpečení jsou skupina předem nakonfigurovaných nastavení Windows. Pomáhají používat a vynucovat podrobná nastavení zabezpečení, která doporučují bezpečnostní týmy. Při vytváření standardních hodnot zabezpečení můžete také každý směrný plán přizpůsobit tak, aby vynucovat pouze požadovaná nastavení.

  Můžete vytvořit standardní hodnoty zabezpečení pro Windows, Microsoft Edge a další. Pokud nevíte, kde začít, nebo chcete nastavení zabezpečení doporučená odborníky na zabezpečení, podívejte se na standardní hodnoty zabezpečení.

  Další informace najdete v článku Standardní hodnoty zabezpečení v Intune.

Zřízení nových nebo stávajících koncových bodů Windows pomocí Windows Autopilotu

Pokud si koncové body koupíte od výrobce OEM nebo partnera, měli byste použít Windows Autopilot.

Mezi výhody patří:

• Integrovaný proces nastavení Windows: Představuje značkové, řízené a zjednodušené prostředí pro koncové uživatele.

• Odesílání koncových bodů přímo koncovým uživatelům: Dodavatelé a výrobci OEM můžou koncové body dodávat přímo vašim uživatelům. Uživatelé obdrží koncové body, přihlásí se pomocí svého účtu organizace (user@contoso.com) a Windows Autopilot koncový bod automaticky zřídí.

  Tato funkce pomáhá omezit režijní náklady a náklady spojené s vysoce dotykovými interními PROCESY IT a expedicí.

  Nejlepších výsledků dosáhnete, když koncové body předem zaregistrujete u výrobců OEM nebo dodavatelů. Předběžná registrace pomáhá vyhnout se případným zpožděním, ke kterým může dojít při ruční registraci koncových bodů.

• Uživatelé můžou resetovat stávající koncové body sami: Pokud uživatelé mají existující koncové body Windows, můžou resetovat zařízení sami. Při resetování se koncové body obnoví do minimálního standardního a spravovaného stavu. Nevyžaduje vysoký zásah IT ani fyzický přístup ke koncovému bodu.

Poznámka

Nedoporučujeme používat Windows Autopilot k hybridnímu Microsoft Entra připojení nově zřízených koncových bodů. Funguje to, ale jsou tu určité výzvy. Na nově zřízených koncových bodech použijte Windows Autopilot k Microsoft Entra připojení (ne hybridní Microsoft Entra připojení).

Pokud chcete zjistit, která metoda spojení je pro vaši organizaci nejvhodnější, přejděte na Microsoft Entra join a hybrid Microsoft Entra join.

Další informace o Windows Autopilotu najdete tady:

• Přehled Windows Autopilotu
• Scénáře a funkce Windows Autopilotu
• Windows Autopilot – nejčastější dotazy

Postupujte podle pokynů ke koncovým bodům nativním pro cloud.

1. Přehled: Co jsou koncové body nativní pro cloud?
2. Kurz: Začínáme s koncovými body Windows nativními pro cloud
3. Koncept: připojení Microsoft Entra vs. připojení k hybridnímu Microsoft Entra
4. Koncept: Koncové body nativní pro cloud a místní prostředky
5. 🡺 Průvodce plánováním na vysoké úrovni (jste tady)
6. Známé problémy a důležité informace