Nastavení autority pro správu mobilních zařízení

  • Článek

Nastavení autority pro správu mobilních zařízení (MDM) určuje způsob správy zařízení. Jako správce IT musíte nastavit autoritu MDM, aby uživatelé mohli registrovat zařízení pro správu. Měli byste mít také přiřazenou licenci Intune k nastavení autority MDM.

Možné konfigurace jsou:

  • Intune Standalone – výhradně cloudová správa, kterou nakonfigurujete pomocí Azure Portal. Zahrnuje celou sadu funkcí, které Intune nabídek. Nastavte autoritu MDM v Centru pro správu Microsoft Intune.

  • Intune spoluspráva – Integrace cloudového řešení Intune s Configuration Manager pro Windows 10 zařízení. Intune konfigurujete pomocí konzoly Configuration Manager. Nakonfigurujte automatickou registraci zařízení pro Intune.

  • Základní mobilita a zabezpečení pro Microsoft 365 – Pokud máte tuto konfiguraci aktivovanou, zobrazí se autorita MDM nastavená na "Office 365". Pokud chcete začít používat Intune, budete si muset koupit Intune licence.

  • Základní mobilita a zabezpečení pro koexistenci Microsoftu 365 – pokud už používáte Základní mobilita a zabezpečení pro Microsoft 365, můžete do tenanta přidat Intune a nastavit autoritu pro správu na Intune nebo Základní mobilita a zabezpečení pro Microsoft 365, aby každý uživatel diktoval, která služba se použije ke správě zařízení zaregistrovaných v MDM. Autorita pro správu každého uživatele se definuje na základě licence přiřazené uživateli: Pokud má uživatel licenci jenom pro Microsoft 365 Basic nebo Standard, bude jeho zařízení spravovat Základní mobilita a zabezpečení pro Microsoft 365. Pokud má uživatel licenci opravňující Intune, bude jeho zařízení spravovat Intune. Pokud přidáte licenci opravňující Intune uživateli, který dříve spravuje Základní mobilita a zabezpečení pro Microsoft 365, přepne se jeho zařízení na správu Intune. Před přepnutím uživatelů na Intune nezapomeňte uživatelům přiřadit Intune konfigurace, které nahradí Základní mobilita a zabezpečení pro Microsoft 365, jinak jejich zařízení ztratí Základní mobilita a zabezpečení pro konfiguraci Microsoftu 365 a neobdrží žádné. nahrazení z Intune.

Nastavení autority MDM na Intune

Pro tenanty, kteří používají verzi služby 1911 a novější, je autorita MDM automaticky nastavená na Intune.

Pokud jste Základní mobilita a zabezpečení aktivovali tenanty, kteří používají verzi služby 1911 a novější, postupujte podle následujících kroků.

Pokud jste ještě nenastavili autoritu MDM pro tenanty verzí služby před 1911, postupujte podle následujících kroků.

  1. V Centru pro správu Microsoft Intune vyberte oranžový banner a otevřete nastavení Autorita pro mobilní Správa zařízení. Oranžová informační zpráva se zobrazí jenom v případě, že jste autoritu MDM ještě nenastavili.

  2. V části Mobilní Správa zařízení Autorita zvolte autoritu MDM z následujících možností:

    • Intune autorita MDM
    • Žádné

Snímek obrazovky Intune nastavit autoritu pro správu mobilních zařízení

Zpráva indikuje, že jste úspěšně nastavili autoritu MDM na Intune.

Pracovní postup uživatelského rozhraní správy Intune

Pokud je povolená správa zařízení s Androidem nebo Apple, Intune odesílá informace o zařízení a uživatelích, aby je mohli integrovat s těmito službami třetích stran a spravovat příslušná zařízení.

Scénáře, které přidávají souhlas se sdílením dat, jsou zahrnuté v následujících případech:

  • Povolíte pracovní profily Androidu Enterprise v osobním nebo firemním vlastnictví.
  • Povolíte a nahrajete certifikáty Apple MDM Push Certificate.
  • Povolíte některou ze služeb Apple, jako je Program registrace zařízení, Správce školy nebo Volume Purchase Program.

V každém případě souhlas úzce souvisí s provozem služby správy mobilních zařízení. Například potvrzení, že IT Správa autorizoval registraci zařízení Google nebo Apple. Dokumentace k řešení toho, jaké informace se sdílí při spuštění nových pracovních postupů, je k dispozici z následujících umístění:

Klíčové aspekty

Po přepnutí na novou autoritu MDM pravděpodobně nastane doba přechodu (až osm hodin) před tím, než se zařízení přihlásí a synchronizuje se se službou. Musíte nakonfigurovat nastavení v nové autoritě MDM, abyste měli jistotu, že zaregistrovaná zařízení budou i po změně dál spravovaná a chráněná.

  • Zařízení se musí po změně připojit ke službě, aby nastavení z nové autority MDM (Intune samostatná) nahradila stávající nastavení na zařízení.
  • Po změně autority MDM zůstanou některá základní nastavení (například profily) z předchozí autority MDM na zařízení po dobu až sedmi dnů nebo do doby, než se zařízení poprvé připojí ke službě. Doporučujeme co nejdříve nakonfigurovat aplikace a nastavení (jako jsou zásady, profily a aplikace) v nové autoritě MDM a nasadit nastavení do skupin uživatelů, které obsahují uživatele, kteří mají stávající zaregistrovaná zařízení. Jakmile se zařízení připojí ke službě po změně autority MDM, obdrží nová nastavení z nové autority MDM a zabrání mezerám ve správě a ochraně.
  • Zařízení, která nemají přidružené uživatele (obvykle v případě, že máte Program registrace zařízení s iOS/iPadOS nebo scénáře hromadné registrace), se na novou autoritu MDM nemigrují. U těchto zařízení musíte zavolat podporu a požádat o pomoc s jejich přesunutím do nové autority MDM.

Koexistence

Povolení koexistence vám umožní používat Intune pro novou skupinu uživatelů a současně dál používat Základní mobilita a zabezpečení pro stávající uživatele. Řídíte, která zařízení spravuje Intune prostřednictvím uživatele. Pokud má uživatel přiřazenou licenci Intune nebo používá Intune spolusprávu s Configuration Manager, budou všechna zaregistrovaná zařízení spravována Intune. V opačném případě je uživatel spravován Základní mobilita a zabezpečení.

Koexistence je potřeba provést ve třech hlavních krocích:

  1. Příprava
  2. Přidání autority Intune MDM
  3. Migrace uživatelů a zařízení (volitelné)

Příprava

Než povolíte koexistenci s Základní mobilita a zabezpečení, zvažte následující body:

  • Ujistěte se, že máte dostatek Intune licencí pro uživatele, které chcete spravovat prostřednictvím Intune.
  • Zkontrolujte, kteří uživatelé mají přiřazené licence Intune. Jakmile povolíte koexistenci, každý uživatel, který už má přiřazenou licenci Intune, přepne zařízení na Intune. Pokud se chcete vyhnout neočekávaným přepínačům zařízení, doporučujeme nepřiřazovat žádné Intune licence, dokud nepovolíte koexistenci.
  • Vytvořte a nasaďte zásady Intune, které nahradí zásady zabezpečení zařízení, které byly původně nasazené prostřednictvím portálu Office 365 Security & Compliance. Toto nahrazení by se mělo provést u všech uživatelů, u které očekáváte přechod z Základní mobilita a zabezpečení na Intune. Pokud těmto uživatelům nejsou přiřazeny žádné zásady Intune, může povolení koexistence způsobit ztrátu Základní mobilita a zabezpečení nastavení. Tato nastavení se ztratí bez náhrady, například spravované e-mailové profily. I při nahrazení zásad zabezpečení zařízení zásadami Intune se uživatelům po přesunutí zařízení do správy Intune může zobrazit výzva k opětovnému ověření svých e-mailových profilů.
  • Po nastavení nemůžete zrušit zřízení Základní mobilita a zabezpečení. Existují však kroky, které můžete provést, abyste tyto zásady vypnuli. Další informace najdete v tématu Vypnutí Základní mobilita a zabezpečení.

Přidání autority Intune MDM

Pokud chcete povolit koexistenci, musíte přidat Intune jako autoritu MDM pro vaše prostředí:

  1. Přihlaste se k Centru pro správu Microsoft Intune pomocí oprávnění globálního správce Azure AD nebo Intune služby.
  2. Přejděte na Zařízení.
  3. Zobrazí se okno Přidat autoritu MDM .
  4. Pokud chcete přepnout autoritu MDM z Office 365 na Intune a povolit koexistenci, vyberte Intune přidat autoritu> MDM. Snímek obrazovky Přidat autoritu MDM

Migrace uživatelů a zařízení (volitelné)

Po povolení Intune autority MDM se aktivuje koexistence a můžete začít spravovat uživatele prostřednictvím Intune. Pokud chcete přesunout zařízení dříve spravovaná službou Základní mobilita a zabezpečení spravovat pomocí Intune, přiřaďte těmto uživatelům Intune licenci. Zařízení uživatelů se při příštím přihlášení k MDM přepnou na Intune. Nastavení použitá u těchto zařízení prostřednictvím Základní mobilita a zabezpečení se už nebudou používat a budou ze zařízení odebrána.

Čištění mobilních zařízení po vypršení platnosti certifikátu MDM

Certifikát MDM se automaticky obnoví, když mobilní zařízení komunikují se službou Intune. Pokud se mobilní zařízení vymažou nebo se jim po určitou dobu nepodaří komunikovat se službou Intune, certifikát MDM se neobnoví. Zařízení se odebere z Azure Portal 180 dnů po vypršení platnosti certifikátu MDM.

Odebrání autority MDM

Autoritu MDM nejde změnit zpět na Neznámá. Autoritu MDM služba používá k určení zařízení zaregistrovaných na portálu (Microsoft Intune nebo Základní mobilita a zabezpečení pro Microsoft 365).

Co očekávat po změně autority MDM

  • Když služba Intune zjistí, že se změnila autorita MDM tenanta, odešle všem zaregistrovaným zařízením zprávu s oznámením, aby se přihlásila a synchronizovala se službou (toto oznámení se nachází mimo pravidelně naplánované ohlášení). Proto po změně autority MDM pro tenanta ze samostatné Intune se všechna zařízení, která jsou zapnutá a online, připojí ke službě, získají novou autoritu MDM a budou spravována novou autoritou MDM. Správa a ochrana těchto zařízení nedochází k žádnému přerušení.
  • I u zařízení, která jsou během změny autority MDM (nebo krátce po ní) zapnutá a online, bude trvat až osm hodin (v závislosti na načasování dalšího plánovaného pravidelného ocházení) než se zařízení zaregistrují ve službě v rámci nové autority MDM.

Důležité

V době mezi změnou autority MDM a odesláním obnoveného certifikátu APNs do nové autority se nezdaří nové registrace zařízení a ohlášení zařízení pro zařízení s iOS/iPadOS. Proto je důležité, abyste co nejdříve po změně v autoritě MDM zkontrolovali a nahráli certifikát APN do nové autority.

  • Uživatelé můžou rychle přejít na novou autoritu MDM ručním spuštěním ohlášení změn ze zařízení do služby. Uživatelé můžou tuto změnu snadno provést pomocí aplikace Portál společnosti a spuštěním kontroly dodržování předpisů zařízením.
  • Pokud chcete ověřit, že zařízení po změně autority MDM se změnami a synchronizaci se službou správně fungují, vyhledejte zařízení v nové autoritě MDM.
  • Během změny autority MDM je zařízení offline a kdy se zařízení přihlásí ke službě, je přechodné období. Aby bylo zajištěno, že zařízení zůstane během tohoto přechodného období chráněné a funkční, zůstanou na zařízení následující profily po dobu až sedmi dnů (nebo dokud se zařízení připojí k nové autoritě MDM a neobdrží nová nastavení, která přepíší stávající profily):
    • E-mailový profil
    • Profil SÍTĚ VPN
    • Profil certifikátu
    • Wi-Fi profil
    • Konfigurační profily
  • Po změně na novou autoritu MDM může přesné hlášení dat dodržování předpisů v Centru pro správu Microsoft Intune trvat až týden. Stavy dodržování předpisů v Azure Active Directory a na zařízení ale budou přesné, takže zařízení bude stále chráněné.
  • Ujistěte se, že nová nastavení, která mají přepsat stávající nastavení, mají stejný název jako předchozí nastavení, aby se zajistilo přepsání starých nastavení. V opačném případě můžou zařízení skončit s redundantními profily a zásadami.

Tip

Osvědčeným postupem je vytvořit všechna nastavení a konfigurace správy a nasazení krátce po dokončení změny autority MDM. To pomáhá zajistit, aby zařízení byla během přechodného období chráněna a aktivně spravována.

  • Po změně autority MDM proveďte následující kroky a ověřte, že se nová zařízení úspěšně zaregistrovala do nové autority:
    • Registrace nového zařízení
    • Ujistěte se, že se nově zaregistrované zařízení zobrazuje v nové autoritě MDM.
    • Proveďte akci, například Vzdálené uzamčení, z centra pro správu Microsoft Intune zařízení. Pokud je zařízení úspěšné, spravuje ho nová autorita MDM.
  • Pokud máte problémy s konkrétními zařízeními, můžete registraci zrušit a znovu zaregistrovat, abyste je co nejrychleji připojili k nové autoritě a mohli je spravovat.

Další kroky

S nastavenou autoritou MDM můžete začít registrovat zařízení.