Začínáme s Microsoft Intune

Microsoft Intune je cloudová služba, která pomáhá spravovat vaše zařízení a aplikace. Další informace o tom, co Microsoft Intune můžou pro vaši organizaci udělat, najdete v článku Co je Microsoft Intune.

Tento článek obsahuje přehled kroků, jak začít používat Intune, včetně následujících:

  • Krok 1: Plánování přesunu a nasazení Intune
  • Krok 2: Určení licenčních potřeb a požadavků na platformu
  • Krok 3: Nastavení Intune
  • Krok 4: Použití dodržování předpisů a podmíněného přístupu
  • Krok 5: Cílové aplikace pro registraci
  • Krok 6: Vytvoření konfiguračních profilů zařízení
  • Krok 7: Registrace zařízení ke správě
  • Ochrana dat aplikací organizace na osobních zařízeních
  • Připojení ke cloudu s Configuration Manager

Krok 1 – Plánování nasazení Intune

Úspěšné přijetí nebo migrace na Microsoft Intune začíná plánem. Váš plán závisí na aktuálním řešení pro správu zařízení, obchodních cílech a technických požadavcích vaší organizace.

Intune nabízí možnosti správy přístupu k organizaci pomocí mobilních Správa zařízení (MDM) nebo Správy mobilních aplikací (MAM). MDM je, když uživatelé "registrují" svá zařízení v Intune. Po registraci jsou zařízení spravovaná a můžou přijímat jakékoli zásady, pravidla a nastavení používané vaší organizací. Můžete například nainstalovat konkrétní aplikace, vytvořit zásady hesel, nainstalovat připojení VPN a další.

Pokud budou uživatelé s vlastními osobními zařízeními přistupovat k prostředkům organizace, musíte všechny aplikace, které přistupují k datům vaší organizace, chránit minimálně pomocí správy mobilních aplikací (MAM). Zásady MAM můžete vytvářet pro Outlook, Teams, SharePoint a další aplikace. Zásady MAM jsou podrobněji popsány dále v tomto článku (Ochrana dat aplikací organizace na osobních zařízeních).

S plánováním nasazení Intune vám pomůže průvodce plánováním a přejděte na Microsoft Intune. Zabývá se osobními zařízeními, aspekty licencování, vytvořením plánu zavedení, oznámením změn uživatelům a dalšími informacemi.

Dobré zdroje informací najdete v následujících článcích:

Krok 2 – Určení licencování a získání požadavků

Dalším krokem je určení licenčních potřeb a dalších požadavků na nasazení Intune. Následující seznam obsahuje některé z nejběžnějších požadavků:

  • Intune předplatné: Součástí některých předplatných Microsoft 365. Získáte také přístup k Centru pro správu Microsoft Endpoint Manageru, což je webová konzola pro správu zařízení, aplikací a uživatelů.
  • Aplikace Microsoft 365: Jsou součástí Microsoftu 365 a používají se pro kancelářské aplikace, včetně Outlooku a Teams.
  • Azure Active Directory (Azure AD) Premium: Součástí některých předplatných Microsoftu 365. Azure AD slouží ke správě identit uživatelů, skupin a zařízení, která je součástí vašeho Intune a předplatného Microsoftu 365. Azure AD Premium nabízí více funkcí běžně používaných organizacemi, včetně podmíněného přístupu, vícefaktorového ověřování (MFA) a dynamických skupin.
  • Windows Autopilot: Součástí některých předplatných Microsoftu 365. Windows Autopilot nabízí moderní nasazení operačního systému pro klientská zařízení Windows 10/11.
  • Požadavky specifické pro platformu: V závislosti na platformách vašich zařízení budou pravděpodobně existovat další požadavky. Pokud například spravujete zařízení s iOS/iPadOS a macOS, potřebujete certifikát Apple MDM Push Certificate a případně token Apple. Pokud spravujete zařízení s Androidem, možná budete potřebovat spravovaný účet Google Play. Pokud používáte ověřování pomocí certifikátu, možná budete potřebovat certifikát SCEP nebo PKCS.

Dobré zdroje informací najdete v následujících článcích:

Krok 3 – Nastavení Intune

Intune používá mnoho funkcí v Azure AD, včetně vaší domény, uživatelů a skupin. Můžete také vytvořit nové uživatele a nové skupiny tak, aby vyhovovaly potřebám vaší organizace. Můžete například vytvořit skupinu s názvem Zařízení s iOSem nebo Všichni uživatelé lidských zdrojů. Pokud máte Azure AD Premium, můžete pomocí dynamických skupin automaticky přidávat uživatele a zařízení do skupin na základě pravidel, která vytvoříte.

Tento krok se zaměřuje na nastavení Intune a jeho příprava, abyste mohli spravovat svá zařízení. Tady je přehled:

  1. Zkontrolujte, jestli jsou vaše zařízení podporovaná. Ověřte, že jsou vaše zařízení s Androidem, iOS/iPadOS, macOS a Windows podporovaná. Pokud vaše organizace zahrnuje zařízení, která nejsou podporovaná, zásady se na tato zařízení nepoužijí.

  2. Přizpůsobte si název domény. Ve výchozím nastavení se v Azure AD automaticky vytvoří doména s názvem likeyour-domain.onmicrosoft.com. Část onmicrosoft.com domény je možné přizpůsobit pro vaši organizaci. Když si ji přizpůsobíte, poskytne uživatelům také známou doménu při připojování k Intune a používání prostředků organizace.

  3. Přihlaste se k Intune. Když se přihlásíte, může se zobrazit výzva k zadání informací o vaší organizaci. Intune můžete otevřít přímo z Centra pro správu Microsoft Endpoint Manageru nebo z Centrum pro správu Microsoftu 365.

  4. Zvolte konfiguraci správy mobilních zařízení. Při prvním použití Intune musíte povolit správu zařízení. Intune můžete použít jako výhradně cloudovou službu, hybridní službu s Intune a Configuration Manager nebo Základní mobilita a zabezpečení pro Microsoft 365. Můžete zvolit nastavení, které nejlépe vyhovuje vaší organizaci.

  5. Přidejte uživatele a skupiny.

    K synchronizaci místních uživatelských účtů s Intune můžete ručně přidat uživatele nebo použít hybridní identitu a Azure AD Connect. Role správce můžete také udělit konkrétním uživatelům. Uživatelé jsou vyžadováni, pokud vaše zařízení nejsou "uživatelská" zařízení, jako jsou beznabídkový terminál nebo vyhrazená zařízení běžně používaná pracovníky v první linii.

    Azure AD skupiny můžou zjednodušit správu zařízení a uživatelů v Intune.

    Vaše organizace například chce vyžadovat konkrétní aplikaci na zařízeních s Androidem. Můžete vytvořit skupinu zařízení s Androidem a nasadit zásady s touto aplikací do skupiny.

  6. Přiřaďte licence. Aby se uživatelé nebo zařízení mohli zaregistrovat do Intune, vyžadují Intune licenci.

Dobré zdroje informací najdete v následujících článcích:

Krok 4 – Kontrola dodržování předpisů a zapnutí podmíněného přístupu

Řešení MDM, jako je Intune, můžou nastavovat pravidla, která by měla zařízení splňovat, a můžou hlásit stavy dodržování předpisů těchto pravidel. Tato pravidla se nazývají zásady dodržování předpisů. Stanoví základní hodnoty toho, co musí být každé zařízení považováno za vyhovující. Když zkombinujete zásady dodržování předpisů s podmíněným přístupem, můžete vyžadovat, aby zařízení před přístupem k datům vaší organizace splňovala určité požadavky na zabezpečení.

Můžete například zvolit přijatelnou (nebo nepřijatelnou) úroveň hrozby, blokovat zařízení s jailbreakem nebo rootem, vyžadovat délku hesla a další. Pokud tato zařízení nesplňují vaše pravidla, což znamená, že nedodržují předpisy, můžete pomocí podmíněného přístupu zablokovat přístup k vašim prostředkům.

Pokud chcete, můžete zařízení před kontrolou dodržování předpisů zaregistrovat. Je to na vás. Když uživatelé zaregistrují svá zařízení v Intune, může proces registrace automaticky nasadit zásady dodržování předpisů. Po dokončení registrace můžou správci zkontrolovat stav dodržování předpisů a získat seznam zařízení, která nevyhovují vašim pravidlům.

Microsoft doporučuje vytvořit směrný plán zásad dodržování předpisů a podmíněného přístupu a pak tyto zásady nasadit během registrace.

V Centru pro správu Microsoft Endpoint Manageru vytvoříte zásady a přiřadíte je ke svým skupinám. Osvědčeným postupem je začít v malém a používat fázovaný přístup. Vytvořte například zásadu pro iOS/iPadOS, která blokuje zařízení s jailbreakem. Použijte zásadu na pilotní nebo testovací skupinu. Po počátečním testování přidejte do pilotní skupiny další uživatele. Další pokyny najdete v průvodci plánováním Microsoft Intune.

Dobré zdroje informací najdete v následujících článcích:

Krok 5 – přidání a cílení aplikací pro registraci

Každá organizace má základní sadu aplikací, které by se měly nainstalovat na zařízeních. Vaše organizace může vyžadovat konkrétní e-mailovou aplikaci, webový prohlížeč nebo aplikaci VPN. Pomocí Intune můžete tyto aplikace přiřadit uživatelům předtím, než zaregistrují svá zařízení. Když uživatelé zaregistrují svá zařízení, zásady aplikací se automaticky nasadí. Po dokončení registrace se aplikace nainstalují a budou připravené k použití.

Pokud chcete, můžete zařízení zaregistrovat a pak přiřadit aplikace. Je to na vás. Vaše organizace může mít například novou aplikaci, kterou chce nainstalovat na zařízeních. Správci přidají uživatele nebo zařízení do skupiny, která bude tuto aplikaci používat. Až uživatelé příště vyhledá nové aplikace, uvidí novou aplikaci dostupnou.

Pro klíčové aplikace pro produktivitu Microsoft doporučuje vytvořit základní zásady aplikací a pak tyto zásady přiřazovat během registrace.

Intune podporuje celou řadu aplikací, včetně aplikací ze Storu, obchodních aplikací, aplikací Win32 a dalších. Nasazení aplikací můžete spravovat pomocí Centra pro správu Microsoft Endpoint Manageru. Můžete se také připojit ke spravované službě Google Play, apple App Store a Microsoft Storu a nasazovat aplikace z těchto umístění.

Dobré zdroje informací najdete v následujících článcích:

Krok 6 – Konfigurace funkcí zařízení

Vaše organizace může mít základní sadu funkcí zařízení, které by měly být nakonfigurované nebo blokované. Tato nastavení se přidají do zásad konfigurace zařízení. Můžete vytvořit zásady konfigurace zařízení, které přidají připojení VPN, zablokují přístup k osobnímu cloudovému úložišti, vypínají zjišťování Přes Bluetooth a další. Můžete také nakonfigurovat funkce zařízení, které pomáhají chránit zařízení vaší organizace, včetně vyžadování šifrování zařízení a silných hesel.

Pomocí Intune můžete nakonfigurovat tyto funkce zařízení předtím, než uživatelé zaregistrují svá zařízení. Když si uživatelé zaregistrují svá zařízení, můžou být tyto funkce zařízení automaticky nakonfigurované a připravené k použití.

Pokud chcete, můžete zařízení před vytvořením zásad konfigurace zařízení zaregistrovat. Je to na vás. Když uživatelé zaregistrují svá zařízení v Intune, může proces registrace nainstalovat zásady konfigurace zařízení, jako je připojení VPN. Po dokončení registrace je tato funkce připravená k použití.

Pro klíčové funkce konfigurace zařízení, jako je vpn nebo Wi-Fi, Microsoft doporučuje vytvořit zásady a pak tyto zásady nasadit během registrace.

V Centru pro správu Microsoft Endpoint Manageru můžete vytvořit různé zásady založené na platformě zařízení – Android, iOS/iPadOS, macOS a Windows. Můžete například:

  • Pomocí ochrany koncových bodů na zařízeních Windows 10/11 povolte různé možnosti nástroje BitLocker, včetně šifrování.
  • Pomocí funkce omezených aplikací na zařízeních s iOS/iPadOS můžete vytvořit seznam schválených aplikací, které se dají nainstalovat. Nebo vytvořte seznam zakázaných aplikací.
  • Pomocí nastavení veřejného terminálu můžete zvolit, které aplikace se dají používat na zařízeních s Androidem spuštěných v celoobrazovkovém režimu.
  • Použijte Wi-Fi připojení a jeho nastavení, včetně typu zabezpečení, na zařízeních s macOS.

Nezapomeňte, že začněte v malém a použijte fázovaný přístup. Přiřaďte profil pilotní nebo testovací skupině. Pak profil přiřaďte k více pilotním skupinám. Další pokyny najdete v průvodci plánováním Microsoft Intune.

Dobré zdroje informací najdete v následujících článcích:

Krok 7 – Registrace zařízení

Pokud chcete spravovat zařízení, musí být zaregistrovaná v Intune, aby dostávala zásady podmíněného přístupu, & zásady aplikací, zásady konfigurace zařízení a zásady zabezpečení, které vytvoříte. Jako správce vytváříte zásady registrace pro uživatele a zařízení. Každá platforma zařízení (Android, iOS/iPadOS, macOS a Windows) má různé možnosti registrace. Zvolíte, co je nejlepší pro vaše prostředí, vaše scénáře a způsob, jakým se vaše zařízení používají.

V závislosti na zvolené možnosti registrace se uživatelé můžou zaregistrovat sami. Nebo můžete registraci automatizovat, aby se uživatelé museli k zařízení přihlašovat jenom pomocí svého účtu organizace.

Když se zařízení zaregistruje, vystaví se mu zabezpečený certifikát MDM. Tento certifikát komunikuje se službou Intune.

Různé platformy mají různé požadavky na registraci. Následující články vám můžou pomoct získat další informace o registraci zařízení, včetně pokynů pro konkrétní platformu:

Ochrana dat aplikací organizace na osobních zařízeních

Je běžné, že uživatelé mají přístup k e-mailovému & kalendáři organizace, zúčastněte se pracovních schůzek a používají jiné aplikace organizace na svých osobních zařízeních. Pokud chcete zajistit zabezpečení dat organizace na těchto zařízeních, můžete použít zásady ochrany aplikací a vícefaktorové ověřování (MFA). zásady Ochrana aplikací pomáhají chránit data organizace na osobních zařízeních. Vícefaktorové ověřování pomáhá chránit data vaší organizace před neoprávněným přístupem.

zásady ochrany aplikací Intune jsou součástí přístupu ke správě mobilních aplikací (MAM), který je navržený tak, aby chránil data aplikací organizace na osobních zařízeních.

Tyto zásady ochrany aplikací je možné použít také na zařízeních zaregistrovaných Intune nebo zaregistrovaných a spravovaných řešením MDM partnera třetí strany. Tento scénář je běžnější pro aplikace, které potřebují další vrstvu zabezpečení, včetně aplikací s citlivými daty.

Průvodce plánováním Microsoft Intune obsahuje pokyny ke správě přístupu na osobních zařízeních.

K dispozici je oficiální seznam aplikací Microsoftu a podporovaných partnerských aplikací třetích stran, které podporují zásady ochrany aplikací. Oficiální seznam najdete v Microsoft Intune seznamu chráněných aplikací.

Vícefaktorové ověřování je funkce Azure AD, která musí být povolená ve vašem tenantovi Azure AD. Pak můžete nakonfigurovat vícefaktorové ověřování pro své aplikace. Další informace najdete tady:

Pokud chcete získat přehled o zásadách ochrany aplikací a o tom, jak fungují, přejděte na:

Připojení ke cloudu pomocí Configuration Manager

Microsoft Configuration Manager pomáhá chránit místní Windows Server, zařízení, aplikace a data. Pokud potřebujete spravovat kombinaci cloudových a místních koncových bodů, můžete k Intune připojit Configuration Manager prostředí cloudem.

Připojení místních zařízení do cloudu probíhá dvěma kroky:

  1. Připojení tenanta: Zaregistrujte tenanta Intune k nasazení Configuration Manager. Vaše Configuration Manager zařízení se zobrazují v Centru pro správu Microsoft Endpoint Manageru. Na těchto zařízeních můžete spouštět různé akce, včetně instalace aplikací a spouštění Windows PowerShell skriptů pomocí webového centra pro správu.
  2. Spoluspráva: Spravujte klientská zařízení s Windows pomocí Configuration Manager a Microsoft Intune. Některé úlohy spravuje Configuration Manager a některé úlohy spravuje Intune. Můžete například použít Configuration Manager ke správě aktualizací Windows a Intune ke správě zásad podmíněného přístupu.

Pokud aktuálně používáte Configuration Manager, získáte okamžitou hodnotu prostřednictvím připojení tenanta a větší hodnotu získáte prostřednictvím spolusprávy.

Pokyny k nastavení Microsoft Intune, které je pro vaši organizaci vhodné, najdete v článku Průvodce nasazením: Nastavení nebo přechod na Microsoft Intune.

Další kroky