Kurz: Nastavení a konfigurace koncového bodu Windows nativního pro cloud pomocí Microsoft Intune

  • Článek

Tip

Při čtení o koncových bodech nativních pro cloud uvidíte následující termíny:

  • Koncový bod: Koncový bod je zařízení, například mobilní telefon, tablet, přenosný počítač nebo stolní počítač. Koncové body a zařízení se používají zaměnitelně.
  • Spravované koncové body: Koncové body, které přijímají zásady od organizace pomocí řešení MDM nebo Zásady skupiny objektů. Tato zařízení jsou obvykle vlastněná organizací, ale můžou to být také zařízení vlastními zařízeními nebo zařízení v osobním vlastnictví.
  • Koncové body nativní pro cloud: Koncové body, které jsou připojené k Azure AD. Nejsou připojené k místní službě AD.
  • Úloha: Jakýkoli program, služba nebo proces.

Tato příručka vás provede postupem vytvoření konfigurace koncového bodu Windows nativní pro cloud pro vaši organizaci. Přehled koncových bodů nativních pro cloud a jejich výhod najdete v tématu Co jsou koncové body nativní pro cloud.

Tato funkce platí pro:

  • Koncové body Windows nativní pro cloud

Tip

Pokud chcete, aby společnost Microsoft doporučila standardizované řešení, na které byste mohli stavět, může vás zajímat konfigurace Systému Windows v cloudu. V Intune můžete nakonfigurovat konfiguraci Windows v cloudu pomocí scénáře s asistencí.

Následující tabulka popisuje hlavní rozdíl mezi touto příručkou a konfigurací Windows v cloudu:

Řešení Cíl
Kurz: Začínáme s koncovými body Windows nativními pro cloud (tato příručka) Provede vás vytvořením vlastní konfigurace pro vaše prostředí na základě nastavení doporučených Microsoftem a pomůže vám začít s testováním.
Konfigurace Windows v cloudu Prostředí scénáře s asistencí, které vytváří a aplikuje předem připravenou konfiguraci založenou na osvědčených postupech Microsoftu pro frontline, vzdálené a další pracovníky s více zaměřenými potřebami.

Tuto příručku můžete použít v kombinaci s konfigurací Windows v cloudu a ještě více přizpůsobit předdefinované prostředí.

Jak začít

Použijte pět uspořádaných fází v této příručce, které na sebe vzájemně navazují, aby vám pomohly připravit konfiguraci koncového bodu Windows nativní pro cloud. Dokončením těchto fází v pořadí uvidíte hmatatelný pokrok a jste připraveni zřídit nová zařízení.

Fáze:

Pět fází nastavení koncových bodů Windows nativních pro cloud pomocí Microsoft Intune a Windows Autopilotu

  • Fáze 1 – Nastavení prostředí
  • Fáze 2 – Vytvoření prvního koncového bodu Windows nativního pro cloud
  • Fáze 3 – Zabezpečení koncového bodu Windows nativního pro cloud
  • Fáze 4 – použití vlastních nastavení a aplikací
  • Fáze 5 – nasazení ve velkém s využitím Windows Autopilotu

Na konci této příručky máte připravený koncový bod Windows nativní pro cloud k zahájení testování ve vašem prostředí. Než začnete, můžete se podívat na průvodce plánováním Microsoft Entra připojit se v článku Plánování implementace Microsoft Entra připojení.

Fáze 1 – Nastavení prostředí

Fáze 1.

Před vytvořením prvního koncového bodu Windows nativního pro cloud je potřeba zkontrolovat některé klíčové požadavky a konfiguraci. Tato fáze vás provede kontrolou požadavků, konfigurací Windows Autopilotu a vytvořením některých nastavení a aplikací.

Krok 1 – požadavky na síť

Váš koncový bod Windows nativní pro cloud potřebuje přístup k několika internetovým službám. Zahajte testování v otevřené síti. Nebo použijte podnikovou síť po poskytnutí přístupu ke všem koncovým bodům, které jsou uvedené v požadavcích na sítě Windows Autopilot.

Pokud vaše bezdrátová síť vyžaduje certifikáty, můžete během testování začít s připojením k síti Ethernet a zároveň určit nejlepší přístup pro bezdrátová připojení pro zřizování zařízení.

Krok 2 – registrace a licencování

Než se budete moct připojit k Microsoft Entra a zaregistrovat se do Intune, musíte zkontrolovat několik věcí. Můžete vytvořit novou skupinu Microsoft Entra, například název Intune MDM Users. Potom přidejte konkrétní testovací uživatelské účty a zaměřte se na každou z následujících konfigurací v této skupině, abyste při nastavování konfigurace omezili, kdo může zařízení registrovat. Pokud chcete vytvořit Microsoft Entra skupinu, přejděte do části Vytvoření základní skupiny a přidejte členy.

  • Omezení registrace
    Omezení registrace umožňují řídit, jaké typy zařízení se můžou zaregistrovat do správy pomocí Intune. Aby byla tato příručka úspěšná, ujistěte se, že je povolená registrace Windows (MDM), což je výchozí konfigurace.

    Informace o konfiguraci omezení registrace najdete v tématu Nastavení omezení registrace v Microsoft Intune.

  • nastavení MDM zařízení Azure AD
    Když připojíte zařízení s Windows k Microsoft Entra, můžete nakonfigurovat Microsoft Entra tak, aby zařízení automaticky zaregistrovala mdm. Tato konfigurace je nutná k tomu, aby windows Autopilot fungoval.

    Pokud chcete zkontrolovat, jestli jsou nastavení MDM zařízení Microsoft Entra správně povolená, přejděte na rychlý start – nastavení automatické registrace v Intune.

  • Azure AD branding společnosti
    Přidáním firemního loga a obrázků do Microsoft Entra zajistíte, že uživatelé uvidí po přihlášení k Microsoftu 365 známý a konzistentní vzhled a chování. Tato konfigurace je nutná k tomu, aby windows Autopilot fungoval.

    Informace o konfiguraci vlastního brandingu v Microsoft Entra najdete v článku Přidání brandingu do Microsoft Entra přihlašovací stránky organizace.

  • Licencování
    Uživatelé, kteří zaregistrují zařízení s Windows z prostředí prvního spuštění počítače (OOBE) do Intune vyžadují dvě klíčové funkce.

    Uživatelé vyžadují následující licence:

    • Licence Microsoft Intune nebo Microsoft Intune for Education
    • Licence, jako je jedna z následujících možností, která umožňuje automatickou registraci MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune pro vzdělávání

    Pokud chcete přiřadit licence, přejděte na Přiřazení licencí Microsoft Intune.

    Poznámka

    Oba typy licencí jsou obvykle součástí licenčních balíčků, jako je Microsoft 365 E3 (nebo A3) a vyšší. Porovnání licencování M365 si můžete prohlédnout tady.

Krok 3 – Import testovacího zařízení

Abychom mohli otestovat koncový bod Windows nativní pro cloud, musíme začít tím, že připravíme virtuální počítač nebo fyzické zařízení k testování. Následující kroky získáte podrobnosti o zařízení a nahrajete je do služby Windows Autopilot, které se použijí dál v tomto článku.

Poznámka

I když následující kroky poskytují způsob, jak importovat zařízení pro testování, partneři a OEM můžou zařízení do Windows Autopilotu importovat vaším jménem v rámci nákupu. Další informace o Windows Autopilotu najdete ve fázi 5.

  1. Nainstalujte Windows (nejlépe 20H2 nebo novější) na virtuální počítač nebo resetujte fyzické zařízení tak, aby čekalo na obrazovce nastavení OOBE. Pro virtuální počítač můžete volitelně vytvořit kontrolní bod.

  2. Proveďte potřebné kroky pro připojení k internetu.

  3. Otevřete příkazový řádek pomocí kombinace kláves Shift + F10 .

  4. Pomocí příkazu ping bing.com ověřte, že máte přístup k internetu:

    • ping bing.com

  5. Spuštěním příkazu přepněte do PowerShellu:

    • powershell.exe

  6. Stáhněte si skript Get-WindowsAutopilotInfo spuštěním následujících příkazů:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Po zobrazení výzvy zadejte Y , které chcete přijmout.

  8. Zadejte následující příkaz:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Poznámka

    Značky skupin umožňují vytvářet dynamické Microsoft Entra skupiny založené na podmnožině zařízení. Značky skupin můžete nastavit při importu zařízení nebo je můžete později změnit v Centru pro správu Microsoft Intune. V kroku 4 použijeme cloudovou značku skupiny. Pro testování můžete nastavit název značky na něco jiného.

  9. Po zobrazení výzvy k zadání přihlašovacích údajů se přihlaste pomocí účtu správce Intune.

  10. Až do fáze 2 nechejte počítač na místě.

Krok 4 – Vytvoření dynamické skupiny Microsoft Entra pro zařízení

Pokud chcete omezit konfigurace z této příručky na testovací zařízení importovaná do Windows Autopilotu, vytvořte dynamickou skupinu Microsoft Entra. Tato skupina by měla automaticky zahrnovat zařízení, která importuje do Windows Autopilotu, a mít značku skupiny CloudNative. Potom můžete cílit na všechny své konfigurace a aplikace v této skupině.

  1. Otevřete Centrum pro správu Microsoft Intune.

  2. Vyberte Skupiny>Nová skupina. Zadejte následující podrobnosti:

    • Typ skupiny: Vyberte Zabezpečení.
    • Název skupiny: Zadejte Autopilot Cloud-Native koncové body Windows.
    • Typ členství: Vyberte Dynamické zařízení.

  3. Vyberte Přidat dynamický dotaz.

  4. V části Syntaxe pravidla vyberte Upravit.

  5. Vložte následující text:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Vyberte OK>Uložit>vytvořit.

Tip

Poté, co dojde ke změnám, trvá naplnění dynamických skupin několik minut. Ve velkých organizacích to může trvat mnohem déle. Po vytvoření nové skupiny počkejte několik minut, než zkontrolujete, jestli je zařízení teď členem skupiny.

Další informace o dynamických skupinách pro zařízení najdete v článku Pravidla pro zařízení.

Krok 5 – konfigurace stránky stavu registrace

Stránka stavu registrace (ESP) je mechanismus, který IT specialista používá k řízení prostředí koncového uživatele během zřizování koncových bodů. Viz Nastavení stránky stavu registrace. Pokud chcete omezit rozsah stránky stavu registrace, můžete vytvořit nový profil a cílit na skupinu Autopilot Cloud-Native Koncové body Windows vytvořenou v předchozím kroku Vytvoření Microsoft Entra dynamické skupiny pro zařízení.

  • Pro účely testování doporučujeme následující nastavení, ale podle potřeby je upravte:
    • Zobrazit průběh konfigurace aplikace a profilu – Ano
    • Zobrazit stránku jenom na zařízeních zřízených pomocí počátečního nastavení počítače – Ano (výchozí)

Krok 6 – vytvoření a přiřazení profilu Windows Autopilot

Teď můžeme vytvořit profil Windows Autopilotu a přiřadit ho k našemu testovacímu zařízení. Tento profil říká vašemu zařízení, aby se připojilo k Microsoft Entra a jaká nastavení se má použít během počátečního nastavení počítače.

  1. Otevřete Centrum pro správu Microsoft Intune.

  2. Vyberte DevicesEnrollment> Windows Autopilot Deployment Profiles (Registrace zařízení>) Windows AutopilotDeployment profiles (Profily nasazeníWindows Autopilotu>).

  3. Vyberte Vytvořit profil>na počítači s Windows.

  4. Zadejte název Autopilot Cloud-Native Windows Endpoint a pak vyberte Další.

  5. Zkontrolujte a ponechte výchozí nastavení a vyberte Další.

  6. Ponechte značky oboru a vyberte Další.

  7. Přiřaďte profil ke skupině Microsoft Entra, kterou jste vytvořili s názvem Autopilot Cloud-Native Windows Endpoint, vyberte Další a pak vyberte Vytvořit.

Krok 7 – Synchronizace zařízení Windows Autopilot

Služba Windows Autopilot se synchronizuje několikrát denně. Synchronizaci můžete také okamžitě aktivovat, aby bylo vaše zařízení připravené k testování. Postup okamžité synchronizace:

  1. Otevřete Centrum pro správu Microsoft Intune.

  2. Vyberte Zařízení>Registrace> zařízeníWindows Autopilot>.

  3. Vyberte Synchronizovat.

Synchronizace trvá několik minut a pokračuje na pozadí. Po dokončení synchronizace se ve stavu profilu importovaného zařízení zobrazí Přiřazeno.

Krok 8 – Konfigurace nastavení pro optimální prostředí Microsoftu 365

Pro konfiguraci jsme vybrali několik nastavení. Tato nastavení ukazují optimální prostředí Microsoft 365 pro koncové uživatele na zařízení s Windows nativním pro cloud. Tato nastavení se konfigurují pomocí profilu katalogu nastavení konfigurace zařízení. Další informace najdete v tématu Vytvoření zásady pomocí katalogu nastavení v Microsoft Intune.

Po vytvoření profilu a přidání nastavení ho přiřaďte skupině Autopilot Cloud-Native Koncové body Windows vytvořené dříve.

  • Microsoft Outlook
    Aby se zlepšilo první spuštění aplikace Microsoft Outlook, následující nastavení automaticky nakonfiguruje profil při prvním otevření Outlooku.

    • Microsoft Outlook 2016\Account Settings\Exchange (uživatelské nastavení)
      • Automatická konfigurace pouze prvního profilu na základě primární adresy SMTP služby Active Directory – povoleno

  • Microsoft Edge
    Pokud chcete zlepšit prostředí pro první spuštění aplikace Microsoft Edge, následující nastavení nakonfigurují Microsoft Edge tak, aby synchronizoval nastavení uživatele a přeskočí první spuštění.

    • Microsoft Edge
      • Skrytí prostředí při prvním spuštění a úvodní obrazovky – Povoleno
      • Vynutit synchronizaci dat prohlížeče a nezozorovat výzvu k vyjádření souhlasu se synchronizací – Povoleno

  • Microsoft OneDrive

    Pokud chcete zlepšit prostředí pro první přihlášení, následující nastavení nakonfigurují Microsoft OneDrive tak, aby se automaticky přihlašuje a přesměrovává plochu, obrázky a dokumenty na OneDrive. Doporučuje se také soubor Files On-Demand (FOD). Ve výchozím nastavení je povolená a není zahrnutá v následujícím seznamu. Další informace o doporučené konfiguraci aplikace synchronizační aplikace OneDrivu najdete v tématu Doporučená konfigurace synchronizačních aplikací pro Microsoft OneDrive.

    • OneDrive

      • Bezobslužné přihlašování uživatelů k aplikaci synchronizační aplikace OneDrivu pomocí přihlašovacích údajů systému Windows – povoleno
      • Bezobslužné přesunutí známých složek Windows na OneDrive – povoleno

      Poznámka

      Další informace najdete v tématu Přesměrování známých složek.

Následující snímek obrazovky ukazuje příklad profilu katalogu nastavení s nakonfigurovanými jednotlivými navrhovanými nastaveními:

Obrázek znázorňující příklad profilu katalogu nastavení v Microsoft Intune

Krok 9 – vytvoření a přiřazení některých aplikací

Váš koncový bod nativní pro cloud potřebuje některé aplikace. Pokud chcete začít, doporučujeme nakonfigurovat následující aplikace a zaměřit se na ně ve skupině Autopilot Cloud-Native Koncové body Windows vytvořené dříve.

  • Microsoft 365 Apps (dříve Office 365 ProPlus)
    Microsoft 365 Apps, jako je Word, Excel a Outlook, můžete snadno nasadit do zařízení pomocí integrovaného profilu aplikace Microsoft 365 pro Windows v Intune.

    • Jako formát nastavení vyberte návrháře konfigurace , nikoli xml.
    • Jako aktualizační kanál vyberte Aktuální kanál.

    Pokud chcete nasadit Microsoft 365 Apps, přejděte na přidání aplikací Microsoftu 365 do zařízení s Windows pomocí Microsoft Intune

  • Portál společnosti aplikace
    Doporučuje se nasadit aplikaci Intune Portál společnosti na všechna zařízení jako požadovanou aplikaci. Portál společnosti app je samoobslužné centrum pro uživatele, které používají k instalaci aplikací z více zdrojů, jako jsou Intune, Microsoft Store a Configuration Manager. Uživatelé také používají aplikaci Portál společnosti k synchronizaci zařízení s Intune, kontrole stavu dodržování předpisů atd.

    Pokud chcete nasadit Portál společnosti podle potřeby, přečtěte si téma Přidání a přiřazení aplikace Windows Portál společnosti pro Intune spravovaná zařízení.

  • Aplikace pro Microsoft Store (Whiteboard)
    I když Intune umí nasadit širokou škálu aplikací, nasadíme aplikaci pro Store (Microsoft Whiteboard), která vám pomůže usnadnit práci v tomto průvodci. Postupujte podle pokynů v tématu Přidání aplikací pro Microsoft Store k Microsoft Intune a nainstalujte Microsoft Whiteboard.

Fáze 2 – Vytvoření koncového bodu Windows nativního pro cloud

Fáze 2.

Pokud chcete vytvořit první koncový bod Windows nativní pro cloud, použijte stejný virtuální počítač nebo fyzické zařízení, které jste shromáždili a potom nahráli hodnotu hash hardwaru do služby Windows Autopilot ve fázi 1 > krok 3. Na tomto zařízení projděte procesem Windows Autopilot.

  1. Obnovte počítač s Windows (nebo v případě potřeby obnovte tovární nastavení do prostředí prvního spuštění počítače).

    Poznámka

    Pokud se zobrazí výzva k výběru nastavení pro osobní nebo organizaci, proces Autopilotu se neaktivoval. V takovém případě restartujte zařízení a ujistěte se, že má přístup k internetu. Pokud to pořád nefunguje, zkuste počítač obnovit do továrního nastavení nebo přeinstalovat Windows.

  2. Přihlaste se pomocí přihlašovacích údajů Microsoft Entra (UPN nebo AzureAD\uživatelské jméno).

  3. Na stránce stavu registrace se zobrazuje stav konfigurace zařízení.

Blahopřejeme! Zřídili jste svůj první koncový bod Windows nativní pro cloud.

Na co se můžete podívat na nový koncový bod Windows nativní pro cloud:

  • Složky OneDrivu se přesměrují. Když se Outlook otevře, automaticky se nakonfiguruje tak, aby se připojil k Office 365.

  • Otevřete aplikaci Portál společnosti z nabídky Start a všimněte si, že microsoft Whiteboard je k dispozici pro instalaci.

  • Zvažte testování přístupu ze zařízení k místním prostředkům, jako jsou sdílené složky, tiskárny a intranetové weby.

    Poznámka

    Pokud jste nenastavili Windows Hello pro firmy Hybrid, může se vám při Windows Hello přihlášení zobrazit výzva k zadání hesel pro přístup k místním prostředkům. Pokud chcete pokračovat v testování přístupu k jednotnému přihlašování, můžete nakonfigurovat Windows Hello pro firmy Hybridní nebo přihlásit se k zařízení pomocí uživatelského jména a hesla místo Windows Hello. Uděláte to tak, že na přihlašovací obrazovce vyberete ikonu ve tvaru klávesy.

Fáze 3 – Zabezpečení koncového bodu Windows nativního pro cloud

Fáze 3.

Tato fáze je navržená tak, aby vám pomohla vytvořit nastavení zabezpečení pro vaši organizaci. Tato část vás upozorní na různé komponenty zabezpečení koncových bodů v Microsoft Intune, mezi které patří:

Microsoft Defender Antivirus (MDAV)

Následující nastavení se doporučuje jako minimální konfigurace pro Microsoft Defender Antivirus, integrovanou součást operačního systému Windows. Tato nastavení nevyžadují žádnou konkrétní licenční smlouvu, jako je E3 nebo E5, a je možné je povolit v centru pro správu Microsoft Intune. V Centru pro správu přejděte do části Endpoint Security >Antivirus>Create Policy (Vytvořit zásaduzabezpečení koncového bodu) >Windows a v novější části>Typ = profilu Microsoft Defender Antivirová ochrana.

Cloud Protection:

  • Zapnout cloudovou ochranu: Ano
  • Úroveň ochrany do cloudu: Nenakonfigurováno
  • Prodloužený časový limit služby Defender Cloud v sekundách: 50

Ochrana v reálném čase:

  • Zapnutí ochrany v reálném čase: Ano
  • Povolit ochranu přístupu: Ano
  • Monitorování příchozích a odchozích souborů: Monitorování všech souborů
  • Zapnout monitorování chování: Ano
  • Zapnutí prevence neoprávněných vniknutí: Ano
  • Povolit ochranu sítě: Povolit
  • Kontrola všech stažených souborů a příloh: Ano
  • Prohledávat skripty, které se používají v prohlížečích Microsoftu: Ano
  • Kontrola síťových souborů: Nenakonfigurováno
  • Kontrola e-mailů: Ano

Náprava:

  • Počet dnů (0–90) pro uchování malwaru v karanténě: 30
  • Souhlas s odesláním ukázek: Automatické odesílání bezpečných vzorků
  • Akce, která se má provést u potenciálně nežádoucích aplikací: Povolit
  • Akce pro zjištěné hrozby: Konfigurace
    • Nízká hrozba: Karanténa
    • Střední hrozba: Karanténa
    • Vysoká hrozba: Karanténa
    • Závažná hrozba: Karanténa

Nastavení nakonfigurovaná v profilu MDAV v rámci endpoint Security:

Snímek obrazovky znázorňující příklad profilu Microsoft Defender Antivirus v Microsoft Intune

Další informace o konfiguraci Windows Defender, včetně Microsoft Defender for Endpoint pro zákazníka licencované pro E3 a E5, najdete tady:

brána firewall Microsoft Defender

Pomocí funkce Endpoint Security v Microsoft Intune nakonfigurujte pravidla brány firewall a brány firewall. Další informace najdete v tématu Zásady brány firewall pro zabezpečení koncových bodů v Intune.

Microsoft Defender firewall dokáže rozpoznat důvěryhodnou síť pomocí poskytovatele CSP NetworkListManager. A může přepnout na profil brány firewall domény v koncových bodech s následujícími verzemi operačního systému:

Použití profilu sítě domény umožňuje oddělit pravidla brány firewall podle důvěryhodné sítě, privátní sítě a veřejné sítě. Tato nastavení je možné použít pomocí vlastního profilu Windows.

Poznámka

Microsoft Entra připojené koncové body nemůžou protokol LDAP využít k detekci připojení k doméně stejným způsobem jako koncové body připojené k doméně. Místo toho použijte NetworkListManager CSP k určení koncového bodu TLS, který v případě přístupnosti přepne koncový bod na profil brány firewall domény .

Šifrování nástrojem BitLocker

Ke konfiguraci šifrování nástrojem BitLocker použijte endpoint Security v Microsoft Intune.

Tato nastavení je možné povolit v Centru pro správu Microsoft Intune. V Centru pro správu přejděte do částiŠifrování> disku zabezpečení> koncového boduVytvoření zásady>– Windows a novější>profil = nástroje BitLocker.

Když nakonfigurujete následující nastavení nástroje BitLocker, tiše povolí 128bitové šifrování pro standardní uživatele, což je běžný scénář. Vaše organizace ale může mít jiné požadavky na zabezpečení, takže další nastavení najdete v dokumentaci bitlockeru .

BitLocker – základní nastavení:

  • Povolit úplné šifrování disku pro operační systém a pevné datové jednotky: Ano
  • Vyžadovat šifrování paměťových karet (jenom mobilní zařízení): Nenakonfigurováno
  • Skrýt výzvu k šifrování třetí strany: Ano
    • Povolit standardním uživatelům povolit šifrování během Autopilotu: Ano
  • Konfigurace obměně hesel pro obnovení na základě klienta: Povolení obměně na zařízeních připojených k Azure AD

BitLocker – pevné nastavení jednotky:

  • Zásady pevných jednotek nástroje BitLocker: Konfigurace
  • Oprava obnovení jednotky: Konfigurace
    • Vytvoření souboru obnovovacího klíče: Blokováno
    • Konfigurace balíčku pro obnovení nástroje BitLocker: Heslo a klíč
    • Vyžadovat, aby zařízení zálohovala informace o obnovení do Azure AD: Ano
    • Vytvoření hesla pro obnovení: Povoleno
    • Skrýt možnosti obnovení během instalace nástroje BitLocker: Nenakonfigurováno
    • Povolení nástroje BitLocker po uložení informací o obnovení: Nenakonfigurováno
    • Blokování použití agenta obnovení dat založeného na certifikátech (DRA): Nenakonfigurováno
    • Blokování přístupu k zápisu na pevné datové jednotky, které nejsou chráněné nástrojem BitLocker: Nenakonfigurováno
    • Konfigurace metody šifrování pro pevné datové jednotky: Nenakonfigurováno

BitLocker – nastavení jednotky operačního systému:

  • Zásady systémové jednotky nástroje BitLocker: Konfigurace
    • Vyžaduje se ověřování při spuštění: Ano
    • Kompatibilní spuštění čipu TPM: Povinné
    • Kompatibilní spouštěcí PIN kód TPM: Blokovat
    • Kompatibilní spouštěcí klíč TPM: Blokovat
    • Kompatibilní spouštěcí klíč a PIN kód TPM: Blokovat
    • Zakázání nástroje BitLocker na zařízeních, kde je nekompatibilní čip TPM: Nenakonfigurováno
    • Povolit zprávu a adresu URL pro obnovení před restartováním: Nenakonfigurováno
  • Obnovení systémové jednotky: Konfigurace
    • Vytvoření souboru obnovovacího klíče: Blokováno
    • Konfigurace balíčku pro obnovení nástroje BitLocker: Heslo a klíč
    • Vyžadovat, aby zařízení zálohovala informace o obnovení do Azure AD: Ano
    • Vytvoření hesla pro obnovení: Povoleno
    • Skrýt možnosti obnovení během instalace nástroje BitLocker: Nenakonfigurováno
    • Povolení nástroje BitLocker po uložení informací o obnovení: Nenakonfigurováno
    • Blokování použití agenta obnovení dat založeného na certifikátech (DRA): Nenakonfigurováno
    • Minimální délka PIN kódu: ponechte prázdné.
    • Konfigurace metody šifrování pro jednotky operačního systému: Nenakonfigurováno

BitLocker – nastavení vyměnitelné jednotky:

  • Zásady vyměnitelné jednotky nástroje BitLocker: Konfigurace
    • Konfigurace metody šifrování pro vyměnitelné datové jednotky: Nenakonfigurováno
    • Blokování přístupu k zápisu na vyměnitelné datové jednotky, které nejsou chráněné nástrojem BitLocker: Nenakonfigurováno
    • Blokovat přístup k zápisu do zařízení nakonfigurovaných v jiné organizaci: Nenakonfigurováno

Řešení WINDOWS Local Administrator Password Solution (LAPS)

Ve výchozím nastavení je předdefinovaný účet místního správce (dobře známý IDENTIFIKÁTOR SID S-1-5-500) zakázaný. V některých situacích může být účet místního správce přínosný, například řešení potíží, podpora koncových uživatelů a obnovení zařízení. Pokud se rozhodnete povolit předdefinovaný účet správce nebo vytvořit nový účet místního správce, je důležité pro tento účet zabezpečit heslo.

Jednou z funkcí, které můžete použít k náhodnému náhodnému a bezpečnému uložení hesla v Microsoft Entra, je řešení LAPS (Windows Local Administrator Password Solution). Pokud jako službu MDM používáte Intune, pomocí následujícího postupu povolte windows LAPS.

Důležité

Windows LAPS předpokládá, že výchozí účet místního správce je povolený, i když se přejmenuje nebo když vytvoříte jiný účet místního správce. Windows LAPS pro vás nevytváří ani nepovoluje žádné místní účty.

Musíte vytvořit nebo povolit všechny místní účty odděleně od konfigurace windows LAPS. Tuto úlohu můžete skriptovat nebo můžete použít poskytovatele konfiguračních služeb( CSP), jako jsou klienty CSP nebo CSP zásad.

  1. Ujistěte se, že vaše zařízení Windows 10 (20H2 nebo novější) nebo Windows 11 mají nainstalovanou aktualizaci zabezpečení z dubna 2023 (nebo novější).

    Další informace najdete v Microsoft Entra aktualizacích operačního systému.

  2. Povolte windows LAPS v Microsoft Entra:

    1. Přihlaste se k Microsoft Entra.
    2. Pro nastavení Povolit řešení hesel místního správce (LAPS) vyberte Ano>Uložit (v horní části stránky).

    Další informace najdete v článku Povolení windows LAPS s Microsoft Entra.

  3. V Intune vytvořte zásadu zabezpečení koncového bodu:

    1. Přihlaste se do Centra pro správu Microsoft Intune.
    2. Vyberte Endpoint Security>Account Protection>Vytvořit zásadu>Windows 10 a později>Řešení pro hesla místního správce (Windows LAPS)>Vytvořit.

    Další informace najdete v tématu Vytvoření zásady LAPS v Intune.

Standardní hodnoty zabezpečení

Standardní hodnoty zabezpečení můžete použít k použití sady konfigurací, o kterých je známo, že zvyšují zabezpečení koncového bodu Windows. Další informace o standardních hodnotách zabezpečení najdete v tématu Nastavení standardních hodnot zabezpečení mdm windows pro Intune.

Směrné plány je možné použít pomocí navrhovaných nastavení a přizpůsobit podle vašich požadavků. Některá nastavení v rámci standardních hodnot můžou způsobit neočekávané výsledky nebo být nekompatibilní s aplikacemi a službami běžícími na koncových bodech Windows. V důsledku toho by standardní hodnoty měly být testovány izolovaně. Standardní hodnoty použijte pouze na selektivní skupinu testovacích koncových bodů bez jakýchkoli jiných konfiguračních profilů nebo nastavení.

Známé problémy se standardními hodnotami zabezpečení

Následující nastavení ve standardních hodnotách zabezpečení Windows můžou způsobit problémy se službou Windows Autopilot nebo pokusem o instalaci aplikací jako standardní uživatel:

  • Možnosti zabezpečení místních zásad\Chování výzvy ke zvýšení oprávnění správce (výchozí nastavení = Výzva k vyjádření souhlasu na zabezpečené ploše)
  • Standardní chování výzvy ke zvýšení oprávnění uživatele (výchozí nastavení = Automaticky zamítnout žádosti o zvýšení oprávnění)

Další informace najdete v článku Konflikty zásad Windows Autopilotu.

služba Windows Update pro firmy

služba Windows Update pro firmy je cloudová technologie pro řízení způsobu a kdy se na zařízeních instalují aktualizace. V Intune je možné nakonfigurovat služba Windows Update pro firmy pomocí:

Další informace najdete tady:

Pokud chcete podrobnější kontrolu nad Aktualizace Windows a používáte Configuration Manager, zvažte spolusprávu.

Fáze 4 – Použití vlastních nastavení a kontrola místní konfigurace

Fáze 4.

V této fázi použijete nastavení a aplikace specifické pro organizaci a zkontrolujete místní konfiguraci. Tato fáze vám pomůže vytvořit jakékoli vlastní nastavení specifické pro vaši organizaci. Všimněte si různých součástí Windows, jak můžete zkontrolovat existující konfigurace z místního prostředí AD Zásady skupiny prostředí a použít je na koncové body nativní pro cloud. Existují oddíly pro každou z následujících oblastí:

Microsoft Edge

Nasazení Microsoft Edge

Microsoft Edge je součástí zařízení, na kterých běží:

  • Windows 11
  • Windows 10 20H2 nebo novější
  • Windows 10 1803 nebo novější s kumulativní měsíční aktualizací zabezpečení z května 2021 nebo novější

Po přihlášení uživatelů se Microsoft Edge automaticky aktualizuje. Pokud chcete aktivovat aktualizaci pro Microsoft Edge během nasazení, můžete spustit následující příkaz:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Pokud chcete nasadit Microsoft Edge do předchozích verzí Windows, přejděte na stránku Přidání aplikace Microsoft Edge pro Windows do Microsoft Intune.

Konfigurace Microsoft Edge

Dvě součásti prostředí Microsoft Edge, které platí, když se uživatelé přihlašují pomocí svých přihlašovacích údajů Microsoft 365, je možné nakonfigurovat z Správa Microsoftu 365 Center.

  • Logo úvodní stránky v Microsoft Edgi můžete přizpůsobit konfigurací oddílu Vaše organizace v Centrum pro správu Microsoftu 365. Další informace najdete v článku Přizpůsobení motivu Microsoft 365 pro vaši organizaci.

  • Výchozí prostředí stránky nové karty v Microsoft Edgi zahrnuje Office 365 informace a přizpůsobené zprávy. Způsob zobrazení této stránky je možné přizpůsobit z Centrum pro správu Microsoftu 365 na stránce Nastavení>Nastavení Organizace>Novinky Nová>karta Microsoft Edge.

Další nastavení pro Microsoft Edge můžete nastavit také pomocí profilů katalogu nastavení. Můžete například chtít nakonfigurovat konkrétní nastavení synchronizace pro vaši organizaci.

  • Microsoft Edge
    • Konfigurace seznamu typů vyloučených ze synchronizace – hesla

Rozložení Start a hlavního panelu

Standardní rozložení startu a hlavního panelu můžete přizpůsobit a nastavit pomocí Intune.

Katalog nastavení

Katalog nastavení je jedno místo, kde jsou uvedená všechna konfigurovatelná nastavení Systému Windows. Tato funkce zjednodušuje způsob vytváření zásad a zobrazení všech dostupných nastavení. Další informace najdete v tématu Vytvoření zásady pomocí katalogu nastavení v Microsoft Intune.

Poznámka

V katalogu nastavení jsou dostupná některá nastavení, která můžou být relevantní pro vaši organizaci:

  • Upřednostňovaná doména tenanta Azure Active Directory
    Toto nastavení nakonfiguruje název domény upřednostňovaného tenanta tak, aby se připojil k uživatelskému jménu uživatele. Upřednostňovaná doména tenanta umožňuje uživatelům přihlásit se ke koncovým bodům Microsoft Entra jenom pomocí svého uživatelského jména místo celého hlavního názvu uživatele (UPN), pokud se název domény uživatele shoduje s upřednostňovanou doménou tenanta. Uživatelé, kteří mají jiné názvy domén, můžou zadat celý hlavní název uživatele (UPN).

    Nastavení najdete tady:

    • Ověřování
      • Upřednostňovaný název domény tenanta AAD – Zadejte název domény, například contoso.onmicrosoft.com.

  • Windows Spotlight
    Ve výchozím nastavení je povoleno několik uživatelských funkcí Windows, což vede k instalaci vybraných aplikací ze Storu a návrhů třetích stran na zamykací obrazovce. Můžete to řídit pomocí části Prostředí v katalogu nastavení.

    • Prostředí
      • Povolit uživatelské funkce Windows – Blokovat
      • Povolit návrhy třetích stran ve Windows Spotlightu (uživatel) – Blokování

  • Microsoft Store
    Organizace obvykle chtějí omezit aplikace, které se můžou instalovat na koncové body. Toto nastavení použijte, pokud chce vaše organizace řídit, které aplikace se můžou instalovat z Microsoft Storu. Toto nastavení brání uživatelům v instalaci aplikací, pokud nejsou schválené.

  • Blokovat hraní
    Organizace můžou dát přednost tomu, aby firemní koncové body nešly používat k hraní her. Stránka Hry v aplikaci Nastavení může být zcela skryta pomocí následujícího nastavení. Další informace o viditelnosti stránky nastavení najdete v dokumentaci k zprostředkovateli CSP a v referenčních informacích o schématu identifikátoru URI ms-settings.

    • Možnosti
      • Seznam viditelnosti stránky – hide:gaming-gamebar; gaming-gamedvr; herní vysílání; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Ovládání viditelnosti ikony chatu na hlavním panelu Viditelnost ikony chatu na hlavním panelu Windows 11 se dá ovládat pomocí poskytovatele CSP zásad.

    • Prostředí
      • Ikona konfigurace chatu – zakázáno

  • Určení tenantů, ke kterým se může desktopový klient Teams přihlašovat

    Když je tato zásada nakonfigurovaná na zařízení, uživatelé se můžou přihlašovat jenom pomocí účtů, které jsou uložené v Microsoft Entra tenantovi, který je součástí seznamu povolených tenantů definovaného v této zásadě. Seznam povolených tenantů je seznam Microsoft Entra ID tenantů oddělený čárkami. Zadáním této zásady a definováním tenanta Microsoft Entra také zablokujete přihlášení k Teams pro osobní použití. Další informace najdete v článku Jak omezit přihlášení na stolních zařízeních.

    • Šablony pro správu \ Microsoft Teams
      • Omezení přihlášení k Teams na účty v konkrétních tenantech (uživatel) – povoleno

Omezení zařízení

Šablony omezení zařízení s Windows obsahují řadu nastavení potřebných k zabezpečení a správě koncového bodu Windows pomocí zprostředkovatelů služeb Konfigurace systému Windows. Další z těchto nastavení budou postupně k dispozici v katalogu nastavení. Další informace najdete v tématu Omezení zařízení.

Pokud chcete vytvořit profil, který používá šablonu Omezení zařízení, přejděte v Centru pro správu Microsoft Intune naKonfigurace>zařízení>Vytvořit> vyberte Windows 10 a novější pro nebo Platforma a šablony pro typ> profiluOmezení zařízení.

  • Adresa URL obrázku na pozadí plochy (jenom Desktop)
    Pomocí tohoto nastavení můžete nastavit tapetu ve SKU Windows Enterprise nebo Windows Education. Soubor hostujete online nebo odkazujete na soubor, který byl zkopírován místně. Toto nastavení nakonfigurujete tak, že na kartě Nastavení konfigurace v profilu Omezení zařízení rozbalíte Přizpůsobení a nakonfigurujete adresu URL obrázku na pozadí plochy (jenom desktopová verze).

  • Vyžadování připojení uživatelů k síti během instalace zařízení
    Toto nastavení snižuje riziko, že zařízení může při resetování počítače přeskočit Windows Autopilot. Toto nastavení vyžaduje, aby zařízení měla síťové připojení během fáze výchozího prostředí. Toto nastavení nakonfigurujete tak, že na kartě Nastavení konfigurace v profilu Omezení zařízení rozbalíte Obecné a nakonfigurujete Vyžadovat, aby se uživatelé připojovali k síti během instalace zařízení.

    Poznámka

    Nastavení začne platit při příštím vymazání nebo resetování zařízení.

Optimalizace doručení

Optimalizace doručení se používá ke snížení spotřeby šířky pásma sdílením práce při stahování podporovaných balíčků mezi více koncovými body. Optimalizace doručení je samoorganizující distribuovaná mezipaměť, která klientům umožňuje stahovat tyto balíčky z alternativních zdrojů, jako jsou partnerské vztahy v síti. Tyto partnerské zdroje doplňují tradiční internetové servery. Informace o všech dostupných nastaveních pro Optimalizaci doručení a o podporovaných typech souborů ke stažení najdete v tématu Optimalizace doručení pro aktualizace Windows.

Pokud chcete použít nastavení Optimalizace doručení, vytvořte profil optimalizace doručení Intune nebo profil katalogu nastavení.

Mezi nastavení, která organizace běžně používají, patří:

  • Omezit výběr partnerského vztahu – podsíť. Toto nastavení omezuje ukládání do mezipaměti na počítače ve stejné podsíti.
  • ID skupiny. Klienti Optimalizace doručení je možné nakonfigurovat tak, aby obsah sdíleli jenom se zařízeními ve stejné skupině. ID skupin je možné nakonfigurovat přímo odesláním identifikátoru GUID prostřednictvím zásad nebo pomocí možností DHCP v oborech DHCP.

Zákazníci, kteří používají Microsoft Configuration Manager, můžou nasadit připojené servery mezipaměti, které se dají použít k hostování obsahu Optimalizace doručení. Další informace najdete v článku Připojená mezipaměť Microsoftu v Configuration Manager.

Místní správci

Pokud existuje jenom jedna skupina uživatelů, která potřebuje přístup místního správce ke všem Microsoft Entra připojeným zařízením s Windows, můžete je přidat do místního správce zařízení připojeného k Microsoft Entra.

Můžete mít požadavek na it technickou podporu nebo jiné pracovníky podpory, aby měli práva místního správce na vybrané skupině zařízení. V systému Windows 2004 nebo novějším můžete tento požadavek splnit pomocí následujících zprostředkovatelů konfiguračních služeb (CSP).

Další informace najdete v tématu Správa místní skupiny administrators na zařízeních připojených k Microsoft Entra.

migrace nastavení Zásady skupiny do MDM

Při zvažování migrace z Zásady skupiny na správu zařízení nativní pro cloud můžete vytvořit konfiguraci zařízení několika způsoby:

  • Začněte znovu a podle potřeby použijte vlastní nastavení.
  • Zkontrolujte existující zásady skupiny a použijte požadovaná nastavení. Můžete použít nástroje, které vám pomůžou, například Zásady skupiny analýzy.
  • Pomocí Zásady skupiny analýz vytvořte profily konfigurace zařízení přímo pro podporovaná nastavení.

Přechod na koncový bod Windows nativní pro cloud představuje příležitost ke kontrole požadavků na výpočetní prostředí koncových uživatelů a vytvoření nové konfigurace pro budoucnost. Kdykoli je to možné, začněte znovu s minimální sadou zásad. Vyhněte se přenášení nepotřebných nebo starších nastavení z prostředí připojeného k doméně nebo starších operačních systémů, jako je Windows 7 nebo Windows XP.

Pokud chcete začít od začátku, zkontrolujte své aktuální požadavky a implementujte minimální kolekci nastavení, která tyto požadavky splní. Požadavky můžou zahrnovat regulační nebo povinná nastavení a nastavení zabezpečení, aby se zlepšilo prostředí koncového uživatele. Firma vytvoří seznam požadavků, ne IT. Každé nastavení by mělo být zdokumentované, srozumitelné a mělo by sloužit účelu.

Migrace nastavení z existujících zásad skupiny do MDM (Microsoft Intune) není upřednostňovaný přístup. Při přechodu na Windows nativní pro cloud by záměrem nemělo být zvedání a přesouvání stávajících nastavení zásad skupiny. Místo toho zvažte cílovou cílovou skupinu a nastavení, která vyžaduje. Je časově náročné a pravděpodobně nepraktické zkontrolovat každé nastavení zásad skupiny ve vašem prostředí a určit jejich relevantnost a kompatibilitu s moderním spravovaným zařízením. Vyhněte se vyhodnocení všech zásad skupiny a jednotlivých nastavení. Místo toho se zaměřte na posouzení běžných zásad, které pokrývají většinu zařízení a scénářů.

Místo toho identifikujte nastavení zásad skupiny, která jsou povinná, a zkontrolujte tato nastavení na dostupných nastaveních MDM. Jakékoli mezery by představovaly překážky, které vám můžou bránit v přechodu na zařízení nativní pro cloud, pokud se nevyřešilo. Pomocí nástrojů, jako je Zásady skupiny analytics, můžete analyzovat nastavení zásad skupiny a určit, jestli se dají migrovat do zásad MDM.

Skripty

Skripty PowerShellu můžete použít pro všechna nastavení nebo přizpůsobení, která potřebujete nakonfigurovat mimo integrované konfigurační profily. Další informace najdete v článku Přidání skriptů PowerShellu do zařízení s Windows v Microsoft Intune.

Mapování síťových jednotek a tiskáren

Scénáře nativní pro cloud nemají žádné integrované řešení pro mapované síťové jednotky. Místo toho doporučujeme uživatelům migrovat na Teams, SharePoint a OneDrive pro firmy. Pokud migrace není možná, zvažte v případě potřeby použití skriptů.

V případě osobního úložiště jsme v kroku 8 – Konfigurace nastavení pro optimální prostředí Microsoftu 365 nakonfigurovali přesunutí známé složky OneDrivu. Další informace najdete v tématu Přesměrování známých složek.

Pro ukládání dokumentů můžou uživatelé využít také integraci SharePointu s Průzkumník souborů a možnost místní synchronizace knihoven, jak je uvedeno tady: Synchronizace souborů SharePointu a Teams s počítačem.

Pokud používáte podnikové šablony dokumentů Office, které jsou obvykle na interních serverech, zvažte novější cloudový ekvivalent, který uživatelům umožňuje přístup k šablonům odkudkoli.

U tiskových řešení zvažte Univerzální tisk. Další informace najdete tady:

Aplikace

Intune podporuje nasazení mnoha různých typů aplikací systému Windows.

Pokud máte aplikace, které používají instalační programy MSI, EXE nebo skripty, můžete všechny tyto aplikace nasadit pomocí správy aplikací Win32 v Microsoft Intune. Zabalení těchto instalačních programů do formátu Win32 poskytuje větší flexibilitu a výhody, včetně oznámení, optimalizace doručení, závislostí, pravidel detekce a podpory stránky stavu registrace ve Windows Autopilotu.

Poznámka

Pokud chcete zabránit konfliktům během instalace, doporučujeme používat výhradně obchodní aplikace pro Windows nebo funkce aplikací Win32. Pokud máte aplikace, které jsou zabalené jako .msi nebo .exe, můžete je převést na aplikace Win32 (.intunewin) pomocí nástroje Microsoft Win32 Content Prep Tool, který je k dispozici na GitHubu.

Fáze 5 – nasazení ve velkém s využitím Windows Autopilotu

Fáze 5.

Teď, když jste nakonfigurovali koncový bod Windows nativní pro cloud a zřídili ho s Windows Autopilotem, zvažte, jak můžete importovat další zařízení. Zvažte také, jak můžete ve spolupráci s partnerem nebo dodavatelem hardwaru začít z cloudu zřizovat nové koncové body. Projděte si následující zdroje informací a určete nejlepší přístup pro vaši organizaci.

Pokud pro vás z nějakého důvodu není Windows Autopilot tou správnou volbou, existují i jiné způsoby registrace pro Windows. Další informace najdete v tématu Intune metody registrace zařízení s Windows.

Postupujte podle pokynů ke koncovým bodům nativním pro cloud.

  1. Přehled: Co jsou koncové body nativní pro cloud?
  2. 🡺 Kurz: Začínáme s koncovými body Windows nativními pro cloud (tady jste)
  3. Koncept: připojení Microsoft Entra vs. připojení k hybridnímu Microsoft Entra
  4. Koncept: Koncové body nativní pro cloud a místní prostředky
  5. Průvodce plánováním na vysoké úrovni
  6. Známé problémy a důležité informace

Užitečné online zdroje