Kurz: Nastavení a konfigurace koncového bodu Windows nativního pro cloud pomocí Microsoft Intune

Tip

Při čtení o koncových bodech nativních pro cloud se zobrazí následující termíny:

  • Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
  • Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo Zásady skupiny objektů. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
  • Koncové body nativní pro cloud: Koncové body, které jsou připojené k Microsoft Entra. Nejsou připojené k místní službě AD.
  • Úloha: Jakýkoli program, služba nebo proces.

Tato příručka vás provede postupem vytvoření konfigurace koncového bodu Windows nativní pro cloud pro vaši organizaci. Přehled koncových bodů nativních pro cloud a jejich výhod najdete v tématu Co jsou koncové body nativní pro cloud.

Tato funkce platí pro:

  • Koncové body Windows nativní pro cloud

Jak začít

Použijte pět uspořádaných fází v této příručce, které na sebe vzájemně navazují, aby vám pomohly připravit konfiguraci koncového bodu Windows nativní pro cloud. Dokončením těchto fází v pořadí uvidíte hmatatelný pokrok a jste připraveni zřídit nová zařízení.

Fáze:

Pět fází nastavení koncových bodů Windows nativních pro cloud pomocí Microsoft Intune a Windows Autopilotu

  • Fáze 1 – Nastavení prostředí
  • Fáze 2 – Vytvoření prvního koncového bodu Windows nativního pro cloud
  • Fáze 3 – Zabezpečení koncového bodu Windows nativního pro cloud
  • Fáze 4 – použití vlastních nastavení a aplikací
  • Fáze 5 – nasazení ve velkém s využitím Windows Autopilotu

Na konci této příručky máte připravený koncový bod Windows nativní pro cloud k zahájení testování ve vašem prostředí. Než začnete, můžete se podívat na průvodce plánováním Microsoft Entra připojit se v článku Plánování implementace Microsoft Entra připojení.

Fáze 1 – Nastavení prostředí

Obrázek znázorňující fázi 1 nastavení prostředí pro koncové body nativní pro cloud s Microsoft Intune

Před vytvořením prvního koncového bodu Windows nativního pro cloud je potřeba zkontrolovat některé klíčové požadavky a konfiguraci. Tato fáze vás provede kontrolou požadavků, konfigurací Windows Autopilotu a vytvořením některých nastavení a aplikací.

Krok 1 – požadavky na síť

Váš koncový bod Windows nativní pro cloud potřebuje přístup k několika internetovým službám. Zahajte testování v otevřené síti. Nebo použijte podnikovou síť po poskytnutí přístupu ke všem koncovým bodům, které jsou uvedené v požadavcích na sítě Windows Autopilot.

Pokud vaše bezdrátová síť vyžaduje certifikáty, můžete během testování začít s připojením k síti Ethernet a zároveň určit nejlepší přístup pro bezdrátová připojení pro zřizování zařízení.

Krok 2 – registrace a licencování

Než se budete moct připojit k Microsoft Entra a zaregistrovat se do Intune, musíte zkontrolovat několik věcí. Můžete vytvořit novou skupinu Microsoft Entra, například název Intune MDM Users. Potom přidejte konkrétní testovací uživatelské účty a zaměřte se na každou z následujících konfigurací v této skupině, abyste při nastavování konfigurace omezili, kdo může zařízení registrovat. Pokud chcete vytvořit skupinu Microsoft Entra, přejděte do části Správa Microsoft Entra skupin a členství ve skupinách.

  • Omezení registrace Omezení registrace umožňují řídit, jaké typy zařízení se můžou zaregistrovat do správy pomocí Intune. Aby byla tato příručka úspěšná, ujistěte se, že je povolená registrace Windows (MDM), což je výchozí konfigurace.

    Informace o konfiguraci omezení registrace najdete v tématu Nastavení omezení registrace v Microsoft Intune.

  • Microsoft Entra Nastavení MDM zařízení: Když zařízení s Windows připojíte k Microsoft Entra, můžete nakonfigurovat Microsoft Entra tak, aby zařízení automaticky zaregistrovala mdm. Tato konfigurace je nutná k tomu, aby windows Autopilot fungoval.

    Pokud chcete zkontrolovat, jestli jsou nastavení MDM zařízení Microsoft Entra správně povolená, přejděte na rychlý start – nastavení automatické registrace v Intune.

  • Microsoft Entra firemní branding Přidáním firemního loga a obrázků do Microsoft Entra zajistíte, že se uživatelům při přihlašování k Microsoftu 365 zobrazí známý a konzistentní vzhled a chování. Tato konfigurace je nutná k tomu, aby windows Autopilot fungoval.

    Informace o konfiguraci vlastního brandingu v Microsoft Entra najdete v článku Přidání brandingu do Microsoft Entra přihlašovací stránky organizace.

  • Licencování Uživatelé, kteří zaregistrují zařízení s Windows z prostředí prvního spuštění počítače (OOBE) do Intune vyžadují dvě klíčové funkce.

    Uživatelé vyžadují následující licence:

    • Licence Microsoft Intune nebo Microsoft Intune for Education
    • Licence, jako je jedna z následujících možností, která umožňuje automatickou registraci MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune pro vzdělávání

    Pokud chcete přiřadit licence, přejděte na Přiřazení licencí Microsoft Intune.

    Poznámka

    Oba typy licencí jsou obvykle součástí licenčních balíčků, jako je Microsoft 365 E3 (nebo A3) a vyšší. Porovnání licencí Microsoftu 365 najdete tady.

Krok 3 – Import testovacího zařízení

Abychom mohli otestovat koncový bod Windows nativní pro cloud, musíme začít tím, že připravíme virtuální počítač nebo fyzické zařízení k testování. Následující kroky získáte podrobnosti o zařízení a nahrajete je do služby Windows Autopilot, které se použijí dál v tomto článku.

Poznámka

I když následující kroky poskytují způsob, jak importovat zařízení pro testování, partneři a OEM můžou zařízení do Windows Autopilotu importovat vaším jménem v rámci nákupu. Další informace o Windows Autopilotu najdete ve fázi 5.

  1. Nainstalujte Windows (nejlépe 20H2 nebo novější) na virtuální počítač nebo resetujte fyzické zařízení tak, aby čekalo na obrazovce nastavení OOBE. Pro virtuální počítač můžete volitelně vytvořit kontrolní bod.

  2. Proveďte potřebné kroky pro připojení k internetu.

  3. Otevřete příkazový řádek pomocí kombinace kláves Shift + F10 .

  4. Pomocí příkazu ping bing.com ověřte, že máte přístup k internetu:

    • ping bing.com

  5. Spuštěním příkazu přepněte do PowerShellu:

    • powershell.exe

  6. Stáhněte si skript Get-WindowsAutopilotInfo spuštěním následujících příkazů:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Po zobrazení výzvy zadejte Y , které chcete přijmout.

  8. Zadejte následující příkaz:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Poznámka

    Značky skupin umožňují vytvářet dynamické Microsoft Entra skupiny založené na podmnožině zařízení. Značky skupin můžete nastavit při importu zařízení nebo je můžete později změnit v Centru pro správu Microsoft Intune. Ve 4. kroku používáme CloudNative značky skupiny. Pro testování můžete nastavit název značky na něco jiného.

  9. Po zobrazení výzvy k zadání přihlašovacích údajů se přihlaste pomocí účtu správce Intune.

  10. Až do fáze 2 nechejte počítač na místě.

Krok 4 – Vytvoření dynamické skupiny Microsoft Entra pro zařízení

Pokud chcete omezit konfigurace z této příručky na testovací zařízení importovaná do Windows Autopilotu, vytvořte dynamickou skupinu Microsoft Entra. Tato skupina by měla automaticky zahrnovat zařízení, která importuje do Windows Autopilotu, a mít značku skupiny CloudNative. Potom můžete cílit na všechny své konfigurace a aplikace v této skupině.

  1. Otevřete Centrum pro správu Microsoft Intune.

  2. Vyberte Skupiny>Nová skupina. Zadejte následující podrobnosti:

    • Typ skupiny: Vyberte Zabezpečení.
    • Název skupiny: Zadejte Autopilot Cloud-Native koncové body Windows.
    • Typ členství: Vyberte Dynamické zařízení.

  3. Vyberte Přidat dynamický dotaz.

  4. V části Syntaxe pravidla vyberte Upravit.

  5. Vložte následující text:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Vyberte OK>Uložit>vytvořit.

Tip

Poté, co dojde ke změnám, trvá naplnění dynamických skupin několik minut. Ve velkých organizacích to může trvat déle. Po vytvoření nové skupiny počkejte několik minut, než zkontrolujete, jestli je zařízení teď členem skupiny.

Další informace o dynamických skupinách pro zařízení najdete v článku Pravidla pro zařízení.

Krok 5 – konfigurace stránky stavu registrace

Stránka stavu registrace (ESP) je mechanismus, který IT specialista používá k řízení prostředí koncového uživatele během zřizování koncových bodů. Viz Nastavení stránky stavu registrace. Pokud chcete omezit rozsah stránky stavu registrace, můžete vytvořit nový profil a cílit na skupinu Autopilot Cloud-Native Koncové body Windows vytvořenou v předchozím kroku Vytvoření Microsoft Entra dynamické skupiny pro zařízení.

  • Pro účely testování doporučujeme následující nastavení, ale podle potřeby je upravte:
    • Zobrazit průběh konfigurace aplikace a profilu – Ano
    • Zobrazit stránku jenom na zařízeních zřízených pomocí počátečního nastavení počítače – Ano (výchozí)

Krok 6 – vytvoření a přiřazení profilu Windows Autopilot

Teď můžeme vytvořit profil Windows Autopilotu a přiřadit ho k našemu testovacímu zařízení. Tento profil říká vašemu zařízení, aby se připojilo k Microsoft Entra a jaká nastavení se má použít během počátečního nastavení počítače.

  1. Otevřete Centrum pro správu Microsoft Intune.

  2. Vyberte Zařízení>Onboarding>Registrace>> zařízeníProfily nasazeníWindows Autopilotu>.

  3. Vyberte Vytvořit profil>na počítači s Windows.

  4. Zadejte název Koncový bod Windows nativní pro cloud Autopilotu a pak vyberte Další.

  5. Zkontrolujte a ponechte výchozí nastavení a vyberte Další.

  6. Ponechte značky oboru a vyberte Další.

  7. Přiřaďte profil ke skupině Microsoft Entra, kterou jste vytvořili s názvem Autopilot Cloud-Native Windows Endpoint, vyberte Další a pak vyberte Vytvořit.

Krok 7 – Synchronizace zařízení Windows Autopilot

Služba Windows Autopilot se synchronizuje několikrát denně. Synchronizaci můžete také okamžitě aktivovat, aby bylo vaše zařízení připravené k testování. Postup okamžité synchronizace:

  1. Otevřete Centrum pro správu Microsoft Intune.

  2. Vyberte Zařízení>Registrace zařízení>s>Windows>Windows Autopilot>.

  3. Vyberte Synchronizovat.

Synchronizace trvá několik minut a pokračuje na pozadí. Po dokončení synchronizace se ve stavu profilu importovaného zařízení zobrazí Přiřazeno.

Krok 8 – Konfigurace nastavení pro optimální prostředí Microsoftu 365

Pro konfiguraci jsme vybrali několik nastavení. Tato nastavení ukazují optimální prostředí Microsoft 365 pro koncové uživatele na zařízení s Windows nativním pro cloud. Tato nastavení se konfigurují pomocí profilu katalogu nastavení konfigurace zařízení. Další informace najdete v tématu Vytvoření zásady pomocí katalogu nastavení v Microsoft Intune.

Po vytvoření profilu a přidání nastavení ho přiřaďte skupině Autopilot Cloud-Native Koncové body Windows vytvořené dříve.

  • Microsoft Outlook Aby se zlepšilo první spuštění aplikace Microsoft Outlook, následující nastavení automaticky nakonfiguruje profil při prvním otevření Outlooku.

    • Microsoft Outlook 2016\Account Settings\Exchange (uživatelské nastavení)
      • Automatická konfigurace pouze prvního profilu na základě primární adresy SMTP služby služba Active Directory – povoleno

  • Microsoft Edge Pokud chcete zlepšit prostředí pro první spuštění aplikace Microsoft Edge, následující nastavení nakonfigurují Microsoft Edge tak, aby synchronizoval nastavení uživatele a přeskočí první spuštění.

    • Microsoft Edge
      • Skrytí prostředí při prvním spuštění a úvodní obrazovky – Povoleno
      • Vynutit synchronizaci dat prohlížeče a nezozorovat výzvu k vyjádření souhlasu se synchronizací – Povoleno

  • Microsoft OneDrive

    Pokud chcete zlepšit prostředí pro první přihlášení, následující nastavení nakonfigurují Microsoft OneDrive tak, aby se automaticky přihlašuje a přesměrovává plochu, obrázky a dokumenty na OneDrive. Doporučuje se také Files na vyžádání(FOD). Ve výchozím nastavení je povolená a není zahrnutá v následujícím seznamu. Další informace o doporučené konfiguraci aplikace synchronizační aplikace OneDrivu najdete v tématu Doporučená konfigurace synchronizačních aplikací pro Microsoft OneDrive.

    • OneDrive

      • Bezobslužné přihlašování uživatelů k aplikaci synchronizační aplikace OneDrivu pomocí přihlašovacích údajů systému Windows – povoleno
      • Bezobslužné přesunutí známých složek Windows na OneDrive – povoleno

      Poznámka

      Další informace najdete v tématu Přesměrování známých složek.

Následující snímek obrazovky ukazuje příklad profilu katalogu nastavení s nakonfigurovanými jednotlivými navrhovanými nastaveními:

Snímek obrazovky znázorňující příklad profilu katalogu nastavení v Microsoft Intune

Krok 9 – vytvoření a přiřazení některých aplikací

Váš koncový bod nativní pro cloud potřebuje některé aplikace. Pokud chcete začít, doporučujeme nakonfigurovat následující aplikace a zaměřit se na ně ve skupině Autopilot Cloud-Native Koncové body Windows vytvořené dříve.

  • Microsoft 365 Apps (dříve Office 365 ProPlus) Microsoft 365 Apps, jako jsou Word, Excel a Outlook, můžete snadno nasadit do zařízení pomocí integrovaného profilu aplikace Microsoft 365 pro Windows v Intune.

    • Jako formát nastavení vyberte návrháře konfigurace , nikoli xml.
    • Jako aktualizační kanál vyberte Aktuální kanál.

    Pokud chcete nasadit Microsoft 365 Apps, přejděte na přidání aplikací Microsoftu 365 do zařízení s Windows pomocí Microsoft Intune

  • Portál společnosti aplikace Doporučuje se nasadit aplikaci Intune Portál společnosti do všech zařízení jako požadovanou aplikaci. Portál společnosti app je samoobslužné centrum pro uživatele, které používají k instalaci aplikací z více zdrojů, jako jsou Intune, Microsoft Store a Správce konfigurace. Uživatelé také používají aplikaci Portál společnosti k synchronizaci zařízení s Intune, kontrole stavu dodržování předpisů atd.

    Pokud chcete nasadit Portál společnosti podle potřeby, přečtěte si téma Přidání a přiřazení aplikace Windows Portál společnosti pro Intune spravovaná zařízení.

  • Aplikace pro Microsoft Store (Whiteboard) I když Intune umí nasadit širokou škálu aplikací, nasadíme aplikaci pro Store (Microsoft Whiteboard), která vám pomůže usnadnit práci v tomto průvodci. Postupujte podle pokynů v tématu Přidání aplikací pro Microsoft Store do Microsoft Intune a nainstalujte Microsoft Whiteboard.

Fáze 2 – Vytvoření koncového bodu Windows nativního pro cloud

Fáze 2.

Pokud chcete vytvořit první koncový bod Windows nativní pro cloud, použijte stejný virtuální počítač nebo fyzické zařízení, které jste shromáždili a potom nahráli hodnotu hash hardwaru do služby Windows Autopilot ve fázi 1 > krok 3. Na tomto zařízení projděte procesem Windows Autopilot.

  1. Obnovte počítač s Windows (nebo v případě potřeby obnovte tovární nastavení do prostředí prvního spuštění počítače).

    Poznámka

    Pokud se zobrazí výzva k výběru nastavení pro osobní nebo organizaci, proces Windows Autopilot se neaktivoval. V takovém případě restartujte zařízení a ujistěte se, že má přístup k internetu. Pokud to pořád nefunguje, zkuste počítač obnovit do továrního nastavení nebo přeinstalovat Windows.

  2. Přihlaste se pomocí přihlašovacích údajů Microsoft Entra (UPN nebo AzureAD\uživatelské jméno).

  3. Na stránce stavu registrace se zobrazuje stav konfigurace zařízení.

Blahopřejeme! Zřídili jste svůj první koncový bod Windows nativní pro cloud.

Na co se můžete podívat na nový koncový bod Windows nativní pro cloud:

  • Složky OneDrivu se přesměrují. Když se Outlook otevře, automaticky se nakonfiguruje tak, aby se připojil k Office 365.

  • Otevřete aplikaci Portál společnosti z nabídky Start a všimněte si, že microsoft Whiteboard je k dispozici pro instalaci.

  • Zvažte testování přístupu ze zařízení k místním prostředkům, jako jsou sdílené složky, tiskárny a intranetové weby.

    Poznámka

    Pokud jste nenastavili Windows Hello pro firmy Hybrid, může se vám při Windows Hello přihlášení zobrazit výzva k zadání hesel pro přístup k místním prostředkům. Pokud chcete pokračovat v testování přístupu k jednotnému přihlašování, můžete nakonfigurovat Windows Hello pro firmy Hybridní nebo přihlásit se k zařízení pomocí uživatelského jména a hesla místo Windows Hello. Uděláte to tak, že na přihlašovací obrazovce vyberete ikonu ve tvaru klávesy.

Fáze 3 – Zabezpečení koncového bodu Windows nativního pro cloud

Fáze 3.

Tato fáze je navržená tak, aby vám pomohla vytvořit nastavení zabezpečení pro vaši organizaci. Tato část vás upozorní na různé komponenty zabezpečení koncových bodů v Microsoft Intune, mezi které patří:

Microsoft Defender Antivirus (MDAV)

Následující nastavení se doporučuje jako minimální konfigurace pro Microsoft Defender Antivirus, integrovanou součást operačního systému Windows. Tato nastavení nevyžadují žádnou konkrétní licenční smlouvu, jako je E3 nebo E5, a je možné je povolit v centru pro správu Microsoft Intune.

V Centru pro správu přejděte do části Endpoint Security >Antivirus>Create Policy (Vytvořit zásaduzabezpečení koncového bodu) >Windows a v novější části>Typ = profilu Microsoft Defender Antivirová ochrana.

Defender:

  • Povolit monitorování chování: Povoleno. Zapne monitorování chování v reálném čase.
  • Povolit Cloud Protection: Povoleno. Zapne Cloud Protection.
  • Povolit kontrolu Email: Povoleno. Zapne kontrolu e-mailů.
  • Povolit kontrolu všech stažených souborů a příloh: Povoleno.
  • Povolit monitorování v reálném čase: Povoleno. Zapne a spustí monitorovací službu v reálném čase.
  • Povolit prohledávání síťových Files: Povoleno. Kontroluje síťové soubory.
  • Povolit kontrolu skriptů: Povoleno.
  • Prodloužený časový limit cloudu: 50
  • Počet dnů pro uchování vyčištěného malwaru: 30
  • Povolit ochranu sítě: Povoleno (režim auditování)
  • Ochrana PROTI PUA: PuA Protection zapnuto. Zjištěné položky jsou blokované. Zobrazí se v historii spolu s dalšími hrozbami.
  • Směr kontroly v reálném čase: Monitorujte všechny soubory (obousměrné).
  • Odeslání ukázek – Souhlas: Automatické odesílání bezpečných vzorků
  • Povolit ochranu přístupu: Povoleno.
  • Nápravná akce pro závažné hrozby: Karanténa. Přesune soubory do karantény.
  • Nápravná akce pro hrozbu s nízkou závažností: Karanténa Přesune soubory do karantény.
  • Nápravná akce pro hrozby střední závažnosti: Karanténa Přesune soubory do karantény.
  • Nápravná akce pro vysoce závažné hrozby: Karanténa. Přesune soubory do karantény.

Další informace o konfiguraci programu Windows Defender, včetně Microsoft Defender for Endpoint pro zákazníka licencované pro E3 a E5, najdete tady:

brána firewall Microsoft Defender

Pomocí funkce Endpoint Security v Microsoft Intune nakonfigurujte pravidla brány firewall a brány firewall. Další informace najdete v tématu Zásady brány firewall pro zabezpečení koncových bodů v Intune.

Microsoft Defender firewall dokáže rozpoznat důvěryhodnou síť pomocí poskytovatele CSP NetworkListManager. V koncových bodech s Windows může také přepnout na profil brány firewall domény .

Použití profilu sítě domény umožňuje oddělit pravidla brány firewall podle důvěryhodné sítě, privátní sítě a veřejné sítě. Tato nastavení je možné použít pomocí vlastního profilu Windows.

Poznámka

Microsoft Entra připojené koncové body nemůžou pomocí protokolu LDAP detekovat připojení k doméně stejným způsobem jako koncové body připojené k doméně. Místo toho použijte NetworkListManager CSP k určení koncového bodu TLS, který v případě přístupnosti přepne koncový bod na profil brány firewall domény .

Šifrování nástrojem BitLocker

Ke konfiguraci šifrování nástrojem BitLocker použijte endpoint Security v Microsoft Intune.

Tato nastavení je možné povolit v Centru pro správu Microsoft Intune. V Centru pro správu přejděte na stránku Správašifrování> diskůzabezpečení>koncového bodu>– Vytvoření zásady> –Windows a novější>profil = nástroje BitLocker.

Když nakonfigurujete následující nastavení nástroje BitLocker, tiše povolí 128bitové šifrování pro standardní uživatele, což je běžný scénář. Vaše organizace ale může mít jiné požadavky na zabezpečení, takže další nastavení najdete v dokumentaci bitlockeru .

BitLocker:

  • Vyžadovat šifrování zařízení: Povoleno
  • Povolit upozornění pro jiné šifrování disku: Zakázáno
    • Povolit šifrování standardních uživatelů: Povoleno
  • Konfigurace obměně hesel pro obnovení: Aktualizace zapnutá pro zařízení připojená k Azure AD

BitLocker Drive Encryption:

  • Zvolte metodu šifrování jednotky a sílu šifry: Nenakonfigurováno
  • Zadejte jedinečné identifikátory pro vaši organizaci: Nenakonfigurováno

Jednotky operačního systému:

  • Vynucení typu šifrování jednotky na jednotkách operačního systému: Povoleno
    • Vyberte typ šifrování (Zařízení): Šifrování pouze využitého místa
  • Vyžadovat další ověřování při spuštění: Povoleno
    • Povolit Nástroj BitLocker bez kompatibilního čipu TPM (vyžaduje heslo nebo spouštěcí klíč na USB flash disku): Nepravda
    • Konfigurace spouštěcího klíče TPM a PIN kódu: Povolení spouštěcího klíče a PIN kódu pomocí čipu TPM
    • Konfigurace spouštěcího klíče TPM: Povolit spouštěcí klíč s čipem TPM
    • Konfigurace spouštěcího PIN kódu TPM: Povolení spouštěcího PIN kódu s čipem TPM
    • Konfigurace spuštění čipu TPM: Vyžadovat čip TPM
    • Konfigurace minimální délky KÓDU PIN pro spuštění: Nenakonfigurováno
    • Povolit rozšířené PIN kódy pro spuštění: Nenakonfigurováno
  • Zakázat standardním uživatelům změnu PIN kódu nebo hesla: Nenakonfigurováno
  • Povolit zařízením kompatibilním s InstantGo nebo HSTI, aby se odhlásila z PIN kódu před spuštěním: Nenakonfigurováno
  • Povolit použití ověřování nástrojem BitLocker, které vyžaduje vstup klávesnice před spuštěním na tabulích: Nenakonfigurováno
  • Zvolte, jak lze obnovit jednotky operačního systému chráněné bitlockerem: Povoleno
    • Konfigurace uživatelského úložiště informací bitlockeru pro obnovení: Vyžadovat 48místné heslo pro obnovení
    • Povolit agenta obnovení dat: False
    • Konfigurace úložiště informací bitlockeru pro obnovení ve službě AD DS: Ukládání hesel a balíčků klíčů pro obnovení
    • Nepovolujte nástroj BitLocker, dokud se informace o obnovení neuloží do služby AD DS pro jednotky operačního systému: Pravda
    • Vynechání možností obnovení v průvodci nastavením nástroje BitLocker: True
    • Uložení informací o obnovení nástroje BitLocker do služby AD DS pro jednotky operačního systému: Pravda
  • Zpráva a adresa URL konfigurace obnovení před spuštěním: Nenakonfigurováno

Pevné datové jednotky:

  • Vynucení typu šifrování jednotky na pevných datových jednotkách: Povoleno
    • Vyberte typ šifrování: (Zařízení): Povolit uživateli volbu (výchozí).
  • Zvolte způsob obnovení pevných jednotek chráněných bitlockerem: Povoleno
    • Konfigurace uživatelského úložiště informací bitlockeru pro obnovení: Vyžadovat 48místné heslo pro obnovení
    • Povolit agenta obnovení dat: False
    • Konfigurace ukládání informací bitlockeru pro obnovení do služby AD DS: Zálohování hesel pro obnovení a balíčků klíčů
    • Nepovolujte nástroj BitLocker, dokud se informace o obnovení neuloží do služby AD DS pro pevné datové jednotky: Pravda
    • Vynechání možností obnovení v průvodci nastavením nástroje BitLocker: True
    • Uložení informací o obnovení nástroje BitLocker do služby AD DS pro pevné datové jednotky: Pravda
  • Odepření přístupu k zápisu k pevným jednotkám, které nejsou chráněné nástrojem BitLocker: Nenakonfigurováno

Vyměnitelné datové jednotky:

  • Řízení používání nástroje BitLocker na vyměnitelných jednotkách: Povoleno
    • Povolit uživatelům používat ochranu nástrojem BitLocker na vyměnitelné datové jednotky (zařízení): False
    • Povolit uživatelům pozastavit a dešifrovat ochranu nástrojem BitLocker na vyměnitelných datových jednotkách (zařízení): False
  • Odepřít přístup k zápisu k vyměnitelným jednotkám, které nejsou chráněné nástrojem BitLocker: Nenakonfigurováno

Řešení WINDOWS Local Administrator Password Solution (LAPS)

Ve výchozím nastavení je předdefinovaný účet místního správce (dobře známý IDENTIFIKÁTOR SID S-1-5-500) zakázaný. V některých situacích může být účet místního správce přínosný, například řešení potíží, podpora koncových uživatelů a obnovení zařízení. Pokud se rozhodnete povolit předdefinovaný účet správce nebo vytvořit nový účet místního správce, je důležité pro tento účet zabezpečit heslo.

Jednou z funkcí, které můžete použít k náhodnému náhodnému a bezpečnému uložení hesla v Microsoft Entra, je řešení LAPS (Windows Local Administrator Password Solution). Pokud jako službu MDM používáte Intune, pomocí následujícího postupu povolte windows LAPS.

Důležité

Windows LAPS předpokládá, že výchozí účet místního správce je povolený, i když se přejmenuje nebo když vytvoříte jiný účet místního správce. Windows LAPS pro vás nevytváří ani nepovolí žádné místní účty, pokud nenakonfigurujete režim automatické správy účtů.

Musíte vytvořit nebo povolit všechny místní účty odděleně od konfigurace windows LAPS. Tuto úlohu můžete skriptovat nebo použít zprostředkovatele konfiguračních služeb, jako jsou klienti CSP nebo CSP zásad.

  1. Ujistěte se, že jsou na vašich zařízeních s Windows nainstalovaná aktualizace zabezpečení z dubna 2023 (nebo novější).

    Další informace najdete v Microsoft Entra aktualizacích operačního systému.

  2. Povolte windows LAPS v Microsoft Entra:

    1. Přihlaste se k Microsoft Entra.
    2. Pro nastavení Povolit řešení hesel místního správce (LAPS) vyberte Ano>Uložit (v horní části stránky).

    Další informace najdete v článku Povolení windows LAPS s Microsoft Entra.

  3. V Intune vytvořte zásadu zabezpečení koncového bodu:

    1. Přihlaste se k Centru pro správu Microsoft 365.
    2. Vyberte Endpoint Security>Account Protection>Vytvořit zásadu>Řešení hesla místního správce Windows> (Windows LAPS)>Vytvořit.

    Další informace najdete v tématu Vytvoření zásady LAPS v Intune.

Standardní hodnoty zabezpečení

Standardní hodnoty zabezpečení můžete použít k použití sady konfigurací, o kterých je známo, že zvyšují zabezpečení koncového bodu Windows. Další informace o standardních hodnotách zabezpečení najdete v tématu Nastavení standardních hodnot zabezpečení mdm windows pro Intune.

Směrné plány je možné použít pomocí navrhovaných nastavení a přizpůsobit podle vašich požadavků. Některá nastavení v rámci standardních hodnot můžou způsobit neočekávané výsledky nebo být nekompatibilní s aplikacemi a službami běžícími na koncových bodech Windows. V důsledku toho by standardní hodnoty měly být testovány izolovaně. Standardní hodnoty použijte pouze na selektivní skupinu testovacích koncových bodů bez jakýchkoli jiných konfiguračních profilů nebo nastavení.

Známé problémy se standardními hodnotami zabezpečení

Následující nastavení ve standardních hodnotách zabezpečení Windows můžou způsobit problémy se službou Windows Autopilot nebo pokusem o instalaci aplikací jako standardní uživatel:

  • Možnosti zabezpečení místních zásad\Chování výzvy ke zvýšení oprávnění správce (výchozí nastavení = Výzva k vyjádření souhlasu na zabezpečené ploše)
  • Standardní chování výzvy ke zvýšení oprávnění uživatele (výchozí nastavení = Automaticky zamítnout žádosti o zvýšení oprávnění)

Další informace najdete v tématu Řešení potíží se konflikty zásad s Windows Autopilotem.

zásady klienta služba služba Windows Update

zásady služba služba Windows Update klienta představují cloudovou technologii pro řízení způsobu a kdy se na zařízeních instalují aktualizace. V Intune je možné zásady služba služba Windows Update klienta nakonfigurovat pomocí:

Další informace najdete v článku:

Pokud chcete podrobnější kontrolu nad Aktualizace Windows a používáte Správce konfigurace, zvažte spolusprávu.

Fáze 4 – Použití vlastních nastavení a kontrola místní konfigurace

Fáze 4.

V této fázi použijete nastavení a aplikace specifické pro organizaci a zkontrolujete místní konfiguraci. Tato fáze vám pomůže vytvořit jakékoli vlastní nastavení specifické pro vaši organizaci. Všimněte si různých součástí Windows, jak můžete zkontrolovat existující konfigurace z místního prostředí AD Zásady skupiny prostředí a použít je na koncové body nativní pro cloud. Existují oddíly pro každou z následujících oblastí:

Microsoft Edge

Nasazení Microsoft Edge

Microsoft Edge je součástí zařízení, na kterých běží:

  • Windows

Po přihlášení uživatelů se Microsoft Edge automaticky aktualizuje. Pokud chcete aktivovat aktualizaci pro Microsoft Edge během nasazení, můžete spustit následující příkaz:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Pokud chcete nasadit Microsoft Edge do předchozích verzí Windows, přejděte na stránku Přidání aplikace Microsoft Edge pro Windows do Microsoft Intune.

Konfigurace Microsoft Edge

Dvě součásti prostředí Microsoft Edge, které platí, když se uživatelé přihlašují pomocí svých přihlašovacích údajů Microsoft 365, je možné nakonfigurovat z Správa Microsoftu 365 Center.

  • Logo úvodní stránky v Microsoft Edgi můžete přizpůsobit konfigurací oddílu Vaše organizace v Centrum pro správu Microsoftu 365. Další informace najdete v článku Přizpůsobení motivu Microsoft 365 pro vaši organizaci.

  • Výchozí prostředí stránky nové karty v Microsoft Edgi zahrnuje Office 365 informace a přizpůsobené zprávy. Způsob zobrazení této stránky je možné přizpůsobit z Centrum pro správu Microsoftu 365 na stránce Nastavení>Nastavení Organizace>Novinky Nová>karta Microsoft Edge.

Další nastavení pro Microsoft Edge můžete nastavit také pomocí profilů katalogu nastavení. Můžete například chtít nakonfigurovat konkrétní nastavení synchronizace pro vaši organizaci.

  • Microsoft Edge
    • Konfigurace seznamu typů vyloučených ze synchronizace – hesla

Rozložení Start a hlavního panelu

Standardní rozložení startu a hlavního panelu můžete přizpůsobit a nastavit pomocí Intune.

Katalog nastavení

Katalog nastavení je jedno místo, kde jsou uvedená všechna konfigurovatelná nastavení Systému Windows. Tato funkce zjednodušuje způsob vytváření zásad a zobrazení všech dostupných nastavení. Další informace najdete v tématu Vytvoření zásady pomocí katalogu nastavení v Microsoft Intune.

Tip

Mnoho nastavení, která znáte ze zásad skupiny, je součástí katalogu nastavení. Pokud nejsou nastavení v katalogu nastavení dostupná, zkontrolujte šablony profilů konfigurace zařízení.

V katalogu nastavení jsou dostupná některá nastavení, která můžou být relevantní pro vaši organizaci:

  • Azure doména upřednostňovaného tenanta Active Directory Toto nastavení nakonfiguruje název domény upřednostňovaného tenanta tak, aby se připojil k uživatelskému jménu uživatele. Upřednostňovaná doména tenanta umožňuje uživatelům přihlásit se ke koncovým bodům Microsoft Entra jenom pomocí svého uživatelského jména místo celého hlavního názvu uživatele (UPN), pokud se název domény uživatele shoduje s upřednostňovanou doménou tenanta. Uživatelé, kteří mají jiné názvy domén, můžou zadat celý hlavní název uživatele (UPN).

    Nastavení najdete tady:

    • Ověřování
      • Upřednostňovaný název domény tenanta AAD – Zadejte název domény, například contoso.onmicrosoft.com.

  • Windows Spotlight Ve výchozím nastavení je povoleno několik uživatelských funkcí Windows, což vede k instalaci vybraných aplikací ze Storu a návrhů třetích stran na zamykací obrazovce. Můžete to řídit pomocí části Prostředí v katalogu nastavení.

    • Povolit Windows Spotlight v prostředí >
      • Povolit uživatelské funkce Windows – Blokovat
      • Povolit návrhy třetích stran ve Windows Spotlightu (uživatel) – Blokování

  • Microsoft Store Organizace obvykle chtějí omezit aplikace, které se můžou instalovat na koncové body. Toto nastavení použijte, pokud chce vaše organizace řídit, které aplikace se můžou instalovat z Microsoft Storu. Toto nastavení brání uživatelům v instalaci aplikací, pokud nejsou schválené.

  • Blokovat hraní Organizace můžou dát přednost tomu, aby firemní koncové body nešly používat k hraní her. Stránka Hry v aplikaci Nastavení může být zcela skryta pomocí následujícího nastavení. Další informace o viditelnosti stránky nastavení najdete v dokumentaci k zprostředkovateli CSP a v referenčních informacích o schématu identifikátoru URI ms-settings.

    • Možnosti
      • Seznam viditelnosti stránky – hide:gaming-gamebar; gaming-gamedvr; herní vysílání; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Určení tenantů, ke kterým se může desktopový klient Teams přihlašovat

    Když je tato zásada nakonfigurovaná na zařízení, můžou se uživatelé přihlašovat jenom pomocí účtů, které jsou uložené v Microsoft Entra tenantovi, který je zahrnutý v seznamu povolených tenantů definovaném v této zásadě. Seznam povolených tenantů je seznam Microsoft Entra ID tenantů oddělený čárkami. Zadáním této zásady a definováním tenanta Microsoft Entra také zablokujete přihlášení k Teams pro osobní použití. Další informace najdete v článku Jak omezit přihlášení na stolních zařízeních.

    • Microsoft Teams
      • Omezení přihlášení k Teams na účty v konkrétních tenantech (uživatel) – povoleno

Omezení zařízení

Šablony omezení zařízení s Windows obsahují řadu nastavení potřebných k zabezpečení a správě koncového bodu Windows pomocí zprostředkovatelů služeb Konfigurace systému Windows. Další z těchto nastavení budou postupně k dispozici v katalogu nastavení. Další informace najdete v tématu Omezení zařízení.

Pokud chcete vytvořit profil, který používá šablonu Omezení zařízení, přejděte v Centru pro správu Microsoft Intune na Zařízení>Spravovat zařízení>Konfigurace>Vytvořit>novou zásadu> Vyberte Windows 10 a novější v části Šablony platformy >Omezení zařízení pro typ profilu.

  • Adresa URL obrázku na pozadí plochy (jenom Desktop) Pomocí tohoto nastavení můžete nastavit tapetu ve SKU Windows Enterprise nebo Windows Education. Soubor hostujete online nebo odkazujete na soubor, který se zkopíroval místně. Toto nastavení nakonfigurujete tak, že na kartě Nastavení konfigurace v profilu Omezení zařízení rozbalíte Přizpůsobení a nakonfigurujete adresu URL obrázku na pozadí plochy (jenom Desktop).

  • Vyžadování připojení uživatelů k síti během instalace zařízení Toto nastavení snižuje riziko, že zařízení může při resetování počítače přeskočit Windows Autopilot. Toto nastavení vyžaduje, aby zařízení měla síťové připojení během fáze výchozího prostředí. Pokud chcete toto nastavení nakonfigurovat, rozbalte na kartě Nastavení konfigurace v profilu Omezení zařízenípoložku Obecné a nakonfigurujte možnost Vyžadovat, aby se uživatelé během instalace zařízení připojili k síti.

    Poznámka

    Nastavení začne platit při příštím vymazání nebo resetování zařízení.

Optimalizace doručení

Optimalizace doručení se používá ke snížení spotřeby šířky pásma sdílením práce při stahování podporovaných balíčků mezi více koncovými body. Optimalizace doručení je samoorganizující distribuovaná mezipaměť, která klientům umožňuje stahovat tyto balíčky z alternativních zdrojů, jako jsou partnerské vztahy v síti. Tyto partnerské zdroje doplňují tradiční internetové servery. Informace o všech dostupných nastaveních pro Optimalizaci doručení a o podporovaných typech souborů ke stažení najdete v tématu Optimalizace doručení pro aktualizace Windows.

Pokud chcete použít nastavení Optimalizace doručení, vytvořte profil optimalizace doručení Intune nebo profil katalogu nastavení.

Mezi nastavení, která organizace běžně používají, patří:

  • Omezit výběr partnerského vztahu – podsíť. Toto nastavení omezuje ukládání do mezipaměti na počítače ve stejné podsíti.
  • ID skupiny. Klienti Optimalizace doručení je možné nakonfigurovat tak, aby obsah sdíleli jenom se zařízeními ve stejné skupině. ID skupin je možné nakonfigurovat přímo odesláním identifikátoru GUID prostřednictvím zásad nebo pomocí možností DHCP v oborech DHCP.

Zákazníci, kteří používají Microsoft Configuration Manager, můžou nasadit připojené servery mezipaměti, které se dají použít k hostování obsahu Optimalizace doručení. Další informace najdete v článku Připojená mezipaměť Microsoftu v Správce konfigurace.

Místní správci

Pokud existuje jenom jedna skupina uživatelů, která potřebuje přístup místního správce ke všem Microsoft Entra připojeným zařízením s Windows, můžete je přidat do místního správce zařízení připojeného k Microsoft Entra.

Můžete mít požadavek na it technickou podporu nebo jiné pracovníky podpory, aby měli práva místního správce na vybrané skupině zařízení. Tento požadavek můžete splnit pomocí následujících poskytovatelů konfiguračních služeb (CSP).

Další informace najdete v tématu Správa místní skupiny administrators na zařízeních připojených k Microsoft Entra.

migrace nastavení Zásady skupiny do MDM

Při zvažování migrace z Zásady skupiny na správu zařízení nativní pro cloud můžete vytvořit konfiguraci zařízení několika způsoby:

  • Začněte znovu a podle potřeby použijte vlastní nastavení.
  • Zkontrolujte existující zásady skupiny a použijte požadovaná nastavení. Můžete použít nástroje, které vám pomůžou, například Zásady skupiny analýzy.
  • Pomocí Zásady skupiny analýz vytvořte profily konfigurace zařízení přímo pro podporovaná nastavení.

Přechod na koncový bod Windows nativní pro cloud představuje příležitost ke kontrole požadavků na výpočetní prostředí koncových uživatelů a vytvoření nové konfigurace pro budoucnost. Kdykoli je to možné, začněte znovu s minimální sadou zásad. Vyhněte se přenášení nepotřebných nebo starších nastavení z prostředí připojeného k doméně nebo starších operačních systémů, jako je Windows 7 nebo Windows XP.

Pokud chcete začít od začátku, zkontrolujte své aktuální požadavky a implementujte minimální kolekci nastavení, která tyto požadavky splní. Požadavky můžou zahrnovat regulační nebo povinná nastavení a nastavení zabezpečení, aby se zlepšilo prostředí koncového uživatele. Firma vytvoří seznam požadavků, ne IT. Každé nastavení by mělo být zdokumentované, srozumitelné a mělo by sloužit účelu.

Migrace nastavení z existujících zásad skupiny do MDM (Microsoft Intune) není upřednostňovaný přístup. Při přechodu na Windows nativní pro cloud by záměrem nemělo být zvedání a přesouvání stávajících nastavení zásad skupiny. Místo toho zvažte cílovou cílovou skupinu a nastavení, která vyžaduje. Je časově náročné a pravděpodobně nepraktické zkontrolovat každé nastavení zásad skupiny ve vašem prostředí a určit jejich relevantnost a kompatibilitu s moderním spravovaným zařízením. Vyhněte se vyhodnocení všech zásad skupiny a jednotlivých nastavení. Místo toho se zaměřte na posouzení běžných zásad, které pokrývají většinu zařízení a scénářů.

Místo toho identifikujte nastavení zásad skupiny, která jsou povinná, a zkontrolujte tato nastavení na dostupných nastaveních MDM. Jakékoli mezery by představovaly překážky, které vám můžou bránit v přechodu na zařízení nativní pro cloud, pokud se nevyřešilo. Pomocí nástrojů, jako je Zásady skupiny analytics, můžete analyzovat nastavení zásad skupiny a určit, jestli se dají migrovat do zásad MDM.

Skripty

Skripty PowerShellu můžete použít pro všechna nastavení nebo přizpůsobení, která potřebujete nakonfigurovat mimo integrované konfigurační profily. Další informace najdete v článku Přidání skriptů PowerShellu do zařízení s Windows v Microsoft Intune.

Mapování síťových jednotek a tiskáren

Scénáře nativní pro cloud nemají žádné integrované řešení pro mapované síťové jednotky. Místo toho doporučujeme uživatelům migrovat na Teams, SharePoint a OneDrive. Pokud migrace není možná, zvažte v případě potřeby použití skriptů.

V případě osobního úložiště jsme v kroku 8 – Konfigurace nastavení pro optimální prostředí Microsoftu 365 nakonfigurovali přesunutí známé složky OneDrivu. Další informace najdete v tématu Přesměrování známých složek.

Pro ukládání dokumentů můžou uživatelé využít také integraci SharePointu s Průzkumník souborů a možnost místní synchronizace knihoven, jak je uvedeno tady: Synchronizace souborů SharePointu a Teams s počítačem.

Pokud používáte podnikové šablony dokumentů Office, které jsou obvykle na interních serverech, zvažte novější cloudový ekvivalent, který uživatelům umožňuje přístup k šablonům odkudkoli.

U tiskových řešení zvažte Univerzální tisk. Další informace najdete v článku:

Aplikace

Intune podporuje nasazení mnoha různých typů aplikací systému Windows.

Pokud máte aplikace, které používají instalační programy MSI, EXE nebo skripty, můžete všechny tyto aplikace nasadit pomocí správy aplikací Win32 v Microsoft Intune. Zabalení těchto instalačních programů do formátu Win32 poskytuje větší flexibilitu a výhody, včetně oznámení, optimalizace doručení, závislostí, pravidel detekce a podpory stránky stavu registrace ve Windows Autopilotu.

Poznámka

Pokud chcete zabránit konfliktům během instalace, doporučujeme používat výhradně obchodní aplikace pro Windows nebo funkce aplikací Win32. Pokud máte aplikace, které jsou zabalené jako .msi nebo .exe, můžete je převést na aplikace Win32 (.intunewin) pomocí nástroje Microsoft Win32 Content Prep Tool , který je k dispozici na GitHubu.

Fáze 5 – nasazení ve velkém s využitím Windows Autopilotu

Fáze 5.

Teď, když jste nakonfigurovali koncový bod Windows nativní pro cloud a zřídili ho s Windows Autopilotem, zvažte, jak můžete importovat další zařízení. Zvažte také, jak můžete ve spolupráci s partnerem nebo dodavatelem hardwaru začít z cloudu zřizovat nové koncové body. Projděte si následující zdroje informací a určete nejlepší přístup pro vaši organizaci.

Pokud pro vás z nějakého důvodu není Windows Autopilot tou správnou volbou, existují i jiné způsoby registrace pro Windows. Další informace najdete v tématu Intune metody registrace zařízení s Windows.

Postupujte podle pokynů ke koncovým bodům nativním pro cloud.

  1. Přehled: Co jsou koncové body nativní pro cloud?
  2. 🡺 Kurz: Začínáme s koncovými body Windows nativními pro cloud (tady jste)
  3. Koncept: připojení Microsoft Entra vs. připojení k hybridnímu Microsoft Entra
  4. Koncept: Koncové body nativní pro cloud a místní prostředky
  5. Průvodce plánováním na vysoké úrovni
  6. Známé problémy a důležité informace

Užitečné online zdroje

  • Last updated on