Nastavení autority pro správu mobilních zařízení

Nastavení autority pro správu mobilních zařízení (MDM) určuje způsob správy zařízení. Jako správce IT musíte nastavit autoritu MDM, aby uživatelé mohli registrovat zařízení pro správu. K nastavení autority MDM byste také měli mít přiřazenou licenci Intune.

Možné konfigurace jsou:

  • Samostatná služba Intune – výhradně cloudová správa, kterou nakonfigurujete pomocí Azure Portal. Zahrnuje celou sadu funkcí, které Intune nabízí. Nastavte autoritu MDM v Centru pro správu Microsoft Intune.

  • Spoluspráva Intune – Integrace cloudového řešení Intune s Configuration Manager pro Windows 10 zařízení. Intune nakonfigurujete pomocí konzoly Configuration Manager. Nakonfigurujte automatickou registraci zařízení do Intune.

  • Základní mobilita a zabezpečení pro Microsoft 365 – Po aktivaci této konfigurace se autorita MDM nastaví na "Office 365". Pokud chcete začít používat Intune, musíte si koupit licence Intune.

  • Základní mobilita a zabezpečení pro koexistenci Microsoftu 365 – Intune můžete přidat do tenanta, pokud už používáte Základní mobilita a zabezpečení pro Microsoft 365. Autoritu pro správu můžete nastavit na Intune nebo Základní mobilita a zabezpečení pro Microsoft 365, aby každý uživatel mohl diktovat, která služba se použije ke správě zařízení zaregistrovaných v MDM. Autorita pro správu každého uživatele se definuje na základě licence přiřazené uživateli:

    • Základní mobilita a zabezpečení pro Microsoft 365 spravuje zařízení uživatelů, kteří mají licenci jenom pro Microsoft 365 Basic nebo Standard.
    • Intune spravuje zařízení uživatelů, kteří mají licenci opravňující je používat.
    • Pokud přidáte licenci opravňující k Intune uživateli, který dříve spravoval Základní mobilita a zabezpečení pro Microsoft 365, přepne se jeho zařízení na správu Intune. Abyste se vyhnuli ztrátě Základní mobilita a zabezpečení konfigurace Microsoftu 365 na zařízeních uživatelů, nezapomeňte před přepnutím do Intune uživatelům přiřadit konfigurace Intune.

Nastavení autority MDM na Intune

Pro tenanty, kteří používají verzi služby 1911 a novější, se autorita MDM automaticky nastaví na Intune.

Pokud jste v případě tenantů používajících verzi služby 1911 a novější aktivovali Základní mobilita a zabezpečení, postupujte podle kroků v této části.

Pokud jste ještě nenastavili autoritu MDM pro tenanty verze před 1911, postupujte podle kroků v této části.

  1. V Centru pro správu Microsoft Intune vyberte oranžový banner a otevřete nastavení Autorita pro mobilní Správa zařízení. Oranžová informační zpráva se zobrazí jenom v případě, že jste autoritu MDM ještě nenastavili.

  2. V části Mobilní Správa zařízení Autorita zvolte autoritu MDM z následujících možností:

    • Autorita INTUNE MDM
    • Žádné

    Snímek obrazovky s autoritou pro správu mobilních zařízení v Intune

Zpráva značí, že jste úspěšně nastavili autoritu MDM na Intune.

Pracovní postup uživatelského rozhraní pro správu Intune

Pokud je povolená správa zařízení s Androidem nebo Apple, Intune odesílá informace o zařízení a uživatelích, aby se integrovaly s těmito službami třetích stran a spravovaly příslušná zařízení.

Scénáře, které přidávají souhlas se sdílením dat, jsou zahrnuté v následujících případech:

  • Povolíte pracovní profily Androidu Enterprise v osobním vlastnictví nebo ve vlastnictví firmy.
  • Povolíte a nahrajete certifikáty Apple MDM Push Certificate.
  • Povolíte některou ze služeb Apple, jako je Program registrace zařízení, Správce školy nebo Volume Purchase Program.

V každém případě souhlas úzce souvisí s provozem služby správy mobilních zařízení. Například potvrzení, že IT Správa autorizoval registraci zařízení Google nebo Apple. Dokumentace k řešení toho, jaké informace se sdílí při spuštění nových pracovních postupů, je k dispozici z následujících umístění:

Klíčové aspekty

Po přepnutí na novou autoritu MDM existuje nějaká doba přechodu (až osm hodin), než se zařízení přihlásí a provede synchronizaci se službou. Musíte nakonfigurovat nastavení v nové autoritě MDM, abyste měli jistotu, že zaregistrovaná zařízení budou i po této změně dál spravovaná a chráněná.

  • Zařízení se musí po změně připojit ke službě, aby nastavení z nové autority MDM (samostatná služba Intune) nahradila stávající nastavení na zařízení.
  • Po změně autority MDM zůstanou některá základní nastavení (například profily) z předchozí autority MDM na zařízení po dobu až sedmi dnů nebo do doby, než se zařízení poprvé připojí ke službě. Aplikace a nastavení (jako jsou zásady, profily a aplikace) byste měli v nové autoritě MDM nakonfigurovat co nejdříve a nasadit nastavení do skupin uživatelů, které obsahují uživatele, kteří mají stávající zaregistrovaná zařízení. Jakmile se zařízení připojí ke službě po změně autority MDM, obdrží nová nastavení z nové autority MDM a zabrání mezerám ve správě a ochraně.
  • Zařízení, která nemají přidružené uživatele (obvykle v případě, že máte Program registrace zařízení s iOS/iPadOS nebo scénáře hromadné registrace), se na novou autoritu MDM nemigrují. U těchto zařízení musíte zavolat podporu a požádat o pomoc s jejich přesunutím do nové autority MDM.

Koexistence

Když povolíte koexistenci, můžete Intune používat pro novou skupinu uživatelů a současně dál používat Základní mobilita a zabezpečení pro stávající uživatele. Zařízení spravovaná službou Intune můžete řídit prostřednictvím uživatele. Intune spravuje všechna zařízení zaregistrovaná uživatelem, pokud má uživatel licenci na Intune nebo používá spolusprávu Intune s Configuration Manager. V opačném případě je uživatel spravován Základní mobilita a zabezpečení.

Koexistence je potřeba provést ve třech hlavních krocích:

  1. Příprava
  2. Přidání autority Intune MDM
  3. Migrace uživatelů a zařízení (volitelné)

Příprava

Než povolíte koexistenci s Základní mobilita a zabezpečení, zvažte následující body:

  • Ujistěte se, že máte dostatek licencí Intune pro uživatele, které chcete prostřednictvím Intune spravovat.
  • Zkontrolujte, kteří uživatelé mají přiřazené licence Intune. Jakmile povolíte koexistenci, každý uživatel, který už má přiřazenou licenci Intune, přepne svá zařízení na Intune. Pokud se chcete vyhnout neočekávaným přepínačům zařízení, doporučujeme nepřiřazovat žádné licence Intune, dokud nepovolíte koexistenci.
  • Vytvořte a nasaďte zásady Intune, které nahradí zásady zabezpečení zařízení, které byly původně nasazené prostřednictvím portálu Office 365 Security & Compliance. Toto nahrazení by mělo být provedeno pro všechny uživatele, u které očekáváte přechod z Základní mobilita a zabezpečení na Intune. Pokud těmto uživatelům nejsou přiřazené žádné zásady Intune, může povolení koexistence způsobit ztrátu Základní mobilita a zabezpečení nastavení. Tato nastavení se ztratí bez náhrady, například spravované e-mailové profily. I při nahrazení zásad zabezpečení zařízení zásadami Intune se uživatelům může po přesunutí zařízení do správy Intune zobrazit výzva k opětovnému ověření svých e-mailových profilů.
  • Po nastavení nemůžete zrušit zřízení Základní mobilita a zabezpečení. Existují však kroky, které můžete provést, abyste tyto zásady vypnuli. Další informace najdete v tématu Vypnutí Základní mobilita a zabezpečení.

Přidání autority Intune MDM

Pokud chcete povolit koexistenci, musíte přidat Intune jako autoritu MDM pro vaše prostředí:

  1. Přihlaste se k Centru pro správu Microsoft Intune pomocí oprávnění globálního správce Microsoft Entra nebo správce služby Intune.

  2. Přejděte na Zařízení.

  3. Zobrazí se okno Přidat autoritu MDM .

  4. Pokud chcete přepnout autoritu MDM z Office 365 na Intune a povolit koexistenci, vyberte Přidat autoritu> MDM v Intune.

    Snímek obrazovky Přidat autoritu MDM

Migrace uživatelů a zařízení (volitelné)

Po povolení autority Intune MDM se aktivuje koexistence a můžete začít spravovat uživatele prostřednictvím Intune. Volitelně můžete přesunout zařízení, která byla dříve spravovaná službou Základní mobilita a zabezpečení, aby se spravovala přes Intune, tím, že těmto uživatelům přiřadíte licenci Intune. Zařízení uživatelů se při příštím přihlášení k MDM přepnou do Intune. Nastavení použitá u těchto zařízení prostřednictvím Základní mobilita a zabezpečení se už nebudou používat a odeberou se ze zařízení.

Čištění mobilních zařízení po vypršení platnosti certifikátu MDM

Certifikát MDM se automaticky obnoví, když mobilní zařízení komunikují se službou Intune. Pokud se mobilní zařízení vymažou nebo se jim po určitou dobu nepodaří komunikovat se službou Intune, certifikát MDM se neobnoví. Zařízení se odebere z Azure Portal 180 dnů po vypršení platnosti certifikátu MDM.

Odebrání autority MDM

Autoritu MDM nejde změnit zpět na Neznámá. Autoritu MDM služba používá k určení zařízení zaregistrovaných na portálu (Microsoft Intune nebo Základní mobilita a zabezpečení pro Microsoft 365).

Co očekávat po změně autority MDM

  • Když služba Intune zjistí změnu autority MDM tenanta, odešle všem zaregistrovaným zařízením zprávu s oznámením. Zpráva oznámení vyzve zařízení k ohlášení a synchronizaci se službou mimo jejich běžný plán. V důsledku toho se všechna zapnutá a online zařízení připojují ke službě a získají novou autoritu MDM. Nová autorita spravuje a chrání zařízení bez přerušení. Proto po změně autority MDM pro tenanta ze samostatného Intune budou zařízení dál normálně fungovat v rámci nové autority MDM.

  • U zařízení, která jsou zapnutá a online během změny autority MDM nebo krátce po této změně, dochází ke zpoždění. Zpoždění může trvat až osm hodin v závislosti na načasování dalšího naplánovaného pravidelného ochádení. Během zpoždění nejsou zařízení zaregistrovaná ve službě pod novou autoritou MDM. Po uplynutí zpoždění se zařízení plně zaregistrují a zprovozní v rámci nové autority MDM.

    Důležité

    V době mezi změnou autority MDM a odesláním obnoveného certifikátu APNs do nové autority se nezdaří nové registrace zařízení a ohlášení zařízení pro zařízení s iOS/iPadOS. Proto je důležité, abyste co nejdříve po změně v autoritě MDM zkontrolovali a nahráli certifikát APN do nové autority.

  • Uživatelé můžou rychle přejít na novou autoritu MDM ručním spuštěním ohlášení změn ze zařízení do služby. Uživatelé můžou tuto změnu snadno provést pomocí aplikace Portál společnosti a spuštěním kontroly dodržování předpisů zařízením.

  • Pokud chcete ověřit, že zařízení po změně autority MDM se změnami a synchronizaci se službou správně fungují, vyhledejte zařízení v nové autoritě MDM.

  • Během změny autority MDM je zařízení offline a kdy se zařízení přihlásí ke službě, je přechodné období. Během přechodného období je důležité chránit a udržovat funkce zařízení. Kvůli ochraně a údržbě funkcí zařízení zůstanou na zařízení následující profily. Tyto profily zůstanou na zařízení až sedm dní nebo do doby, než se zařízení připojí k nové autoritě MDM. Jakmile se zařízení připojí a obdrží nové nastavení, stávající profily se přepíšou:

    • E-mailový profil
    • Profil SÍTĚ VPN
    • Profil certifikátu
    • Wi-Fi profil
    • Konfigurační profily
  • Po změně na novou autoritu MDM může přesné hlášení dat dodržování předpisů v Centru pro správu Microsoft Intune trvat až týden. Stavy dodržování předpisů v Microsoft Entra ID a na zařízení jsou přesné, takže zařízení je stále chráněné.

  • Ujistěte se, že nová nastavení určená k přepsání existujících nastavení mají stejný název jako předchozí nastavení, aby se zajistilo přepsání starých nastavení. V opačném případě můžou zařízení skončit s redundantními profily a zásadami.

    Tip

    Osvědčeným postupem je vytvořit všechna nastavení a konfigurace správy a nasazení krátce po dokončení změny autority MDM. To pomáhá zajistit, aby zařízení byla během přechodného období chráněna a aktivně spravována.

  • Po změně autority MDM proveďte následující kroky a ověřte, že se nová zařízení úspěšně zaregistrovala do nové autority:

    • Registrace nového zařízení
    • Ujistěte se, že se nově zaregistrované zařízení zobrazuje v nové autoritě MDM.
    • Proveďte akci, například Vzdálené uzamčení, z Centra pro správu Microsoft Intune zařízení. Pokud je to úspěšné, pak zařízení spravuje nová autorita MDM.
  • Pokud máte problémy s konkrétními zařízeními, můžete registraci zrušit a znovu zaregistrovat, abyste je co nejrychleji připojili k nové autoritě a mohli je spravovat.

Potvrzení autority MDM vašeho tenanta

Pokud chcete ověřit, že je vaše autorita MDM nastavená na Intune, postupujte následovně:

  1. V Centru pro správu Microsoft Intune vyberte Správa> tenantaStav tenanta.
  2. Na kartě Podrobnosti tenanta vyhledejte autoritu MDM.

Další kroky

S nastavenou autoritou MDM můžete začít registrovat zařízení.