Microsoft Intune tervezési útmutató
A sikeres Microsoft Intune üzembe helyezés vagy migrálás a tervezéssel kezdődik. Ez az útmutató segítséget nyújt a Intune egységes végpontkezelési megoldásként való áthelyezésének vagy bevezetésének megtervezésében.
Intune lehetőséget nyújt a szervezeteknek arra, hogy a számukra legmegfelelőbbet és a számos különböző felhasználói eszközt kínálják. Az eszközöket regisztrálhatja Intune mobileszköz-felügyelethez (MDM). Az alkalmazásvédelmi szabályzatokat mobilalkalmazás-felügyelethez (MAM) is használhatja, amelyek az alkalmazásadatok védelmére összpontosítanak.
Ez az útmutató:
- Listák és ismerteti az eszközkezelés néhány gyakori célkitűzését
- Listák lehetséges licencelési igények
- Útmutatás a személyes tulajdonú eszközök kezeléséhez
- A jelenlegi szabályzatok és infrastruktúra áttekintését javasolja
- Példák bevezetési terv létrehozására
- És ez még nem minden
Ezzel az útmutatóval megtervezheti a Intune való áthelyezést vagy migrálást.
Tipp
- Pdf formátumban szeretné kinyomtatni vagy menteni ezt az útmutatót? A webböngészőben használja a Nyomtatás lehetőséget, majd a Mentés PDF-ként lehetőséget.
- Ez az útmutató egy élő dolog. Ezért mindenképpen adjon hozzá vagy frissítse a hasznosnak talált tippeket és útmutatásokat.
1. lépés – A célkitűzések meghatározása
A szervezetek mobileszköz-kezelést (MDM) és mobilalkalmazás-felügyeletet (MAM) használnak a szervezeti adatok biztonságos szabályozására, a felhasználók számára minimális fennakadások mellett. Egy MDM-/MAM-megoldás, például a Microsoft Intune kiértékelésekor vizsgálja meg, hogy mi a cél, és mit szeretne elérni.
Ebben a szakaszban a Intune használatakor felmerülő gyakori célkitűzéseket vagy forgatókönyveket ismertetjük.
Célkitűzés: Hozzáférés a szervezeti alkalmazásokhoz és e-mailekhez
A felhasználók elvárják, hogy szervezeti alkalmazásokat használó eszközökön dolgozzanak, beleértve az e-mailek olvasását és megválaszolását, az adatok frissítését és megosztását stb. A Intune különböző típusú alkalmazásokat telepíthet, többek között az alábbiakat:
- Microsoft 365-alkalmazások
- Win32-alkalmazások
- Üzletági (LOB) alkalmazások
- Egyéni alkalmazások
- Beépített alkalmazások
- Áruházbeli alkalmazások
✅ Feladat: A felhasználók által rendszeresen használt alkalmazások listájának létrehozása
Ezek az alkalmazások azok az alkalmazások, amelyeket az eszközeiken szeretne használni. Néhány szempont:
Számos szervezet telepíti az összes Microsoft 365-alkalmazást, például a Word, az Excelt, a OneNote-ot, a PowerPointot és a Teamst. Kisebb eszközökön, például mobiltelefonokon a felhasználói igényektől függően telepíthet különálló alkalmazásokat.
Előfordulhat például, hogy az értékesítési csapatnak Teamsre, Excelre és SharePointra van szüksége. Mobileszközökön csak ezeket az alkalmazásokat helyezheti üzembe a teljes Microsoft 365-termékcsalád telepítése helyett.
A felhasználók szívesebben olvassák el & válaszolnak az e-mailekre, és bekapcsolódnak az értekezletekbe minden eszközön, beleértve a személyes eszközöket is. A szervezet tulajdonában lévő eszközökön telepítheti az Outlookot és a Teamst, és előre konfigurálhatja ezeket az alkalmazásokat a szervezeti beállításokkal.
Személyes eszközökön előfordulhat, hogy nem rendelkezik ezzel a vezérlőval. Ezért döntse el, hogy szeretne-e hozzáférést adni a felhasználóknak a szervezeti alkalmazásokhoz, például az e-mailekhez és az értekezletekhez.
További információt és megfontolandó szempontokat a Személyes eszközök és a Szervezet tulajdonában lévő eszközök című témakörben talál (ebben a cikkben).
Ha Android- és iOS-/iPadOS-eszközökön tervezi használni a Microsoft Outlookot, az Outlookot előre konfigurálhatja Intune alkalmazáskonfigurációs szabályzatok használatával.
Tekintse át a Intune való használatra tervezett védett alkalmazásokat. Ezek az alkalmazások a Microsoft Intune gyakran használt partneralkalmazások és Microsoft-alkalmazások.
Célkitűzés: Biztonságos hozzáférés minden eszközön
Ha az adatokat mobileszközökön tárolják, azokat védeni kell a rosszindulatú tevékenységektől.
✅ Feladat: Határozza meg, hogyan szeretné biztonságossá tenni az eszközeit
A víruskereső, a kártevők vizsgálata, a fenyegetésekre való reagálás és az eszközök naprakészen tartása mind fontos szempont. Emellett minimalizálni szeretné a rosszindulatú tevékenységek hatását.
Néhány szempont:
A víruskereső (AV) és a kártevők elleni védelem kötelező. Intune integrálható Végponthoz készült Microsoft Defender és különböző Mobile Threat Defense- (MTD-) partnerekkel a felügyelt eszközök, személyes eszközök és alkalmazások védelme érdekében.
Végponthoz készült Microsoft Defender biztonsági funkciókat és egy portált tartalmaz, amely segít a fenyegetések monitorozásában és az azokra való reagálásban.
Ha egy eszköz biztonsága sérül, a feltételes hozzáféréssel korlátozni szeretné a kártékony hatásokat.
Például Végponthoz készült Microsoft Defender megvizsgálja az eszközt, és megállapíthatja, hogy sérült-e az eszköz biztonsága. A feltételes hozzáférés automatikusan letilthatja a szervezeti hozzáférést ezen az eszközön, beleértve az e-maileket is.
A feltételes hozzáférés segít megvédeni a hálózatot és az erőforrásokat az eszközöktől, még az Intune nem regisztrált eszközöktől is.
Frissítse az eszközt, az operációs rendszert és az alkalmazásokat az adatok biztonságának megőrzése érdekében. Terv létrehozása a frissítések telepítésének módjáról és időpontjáról. A Intune olyan szabályzatok találhatók, amelyek segítenek a frissítések kezelésében, beleértve az alkalmazások tárolására szolgáló frissítéseket is.
Az alábbi szoftverfrissítés-tervezési útmutatók segíthetnek a frissítési stratégia meghatározásában:
Annak meghatározása, hogy a felhasználók hogyan hitelesítik magukat a szervezeti erőforrásokon a számos eszközükről. Lehetőség van például a következőkre:
Az eszközök tanúsítványai segítségével hitelesítheti a funkciókat és alkalmazásokat, például virtuális magánhálózathoz (VPN) való csatlakozáshoz, az Outlook megnyitásához stb. Ezek a tanúsítványok "jelszó nélküli" felhasználói élményt biztosítanak. A jelszó nélküli beállítás biztonságosabbnak tekinthető, mint ha a felhasználóknak meg kellene adniuk a szervezet felhasználónevét és jelszavát.
Ha tanúsítványokat szeretne használni, használjon egy támogatott nyilvánoskulcs-infrastruktúrát (PKI) a tanúsítványprofilok létrehozásához és üzembe helyezéséhez.
Használjon többtényezős hitelesítést (MFA) a szervezet tulajdonában lévő eszközök további hitelesítési rétegéhez. Vagy az MFA használatával hitelesítheti az alkalmazásokat a személyes eszközökön. Biometrikus adatok, például arcfelismerés és ujjlenyomatok is használhatók.
Ha biometrikus adatokat szeretne használni a hitelesítéshez, győződjön meg arról, hogy az eszközei támogatják a biometrikus adatokat. A legtöbb modern eszköz igen.
Implementáljon egy Teljes felügyelet üzemelő példányt. A Teljes felügyelet az Microsoft Entra ID és a Microsoft Intune funkcióit használja az összes végpont védelmére, jelszó nélküli hitelesítésre és egyebekre.
Konfigurálja a Microsoft 365-alkalmazások adatszigetelési szabályzatait. Ezek a szabályzatok segítenek megakadályozni, hogy a szervezeti adatok meg legyenek osztva más olyan alkalmazásokkal és tárolási helyekkel, amelyeket az informatikai rendszer nem kezel.
Ha egyes felhasználóknak csak a személyes tulajdonú eszközökhöz gyakran használt vállalati e-mailekhez és dokumentumokhoz kell hozzáférnie, akkor megkövetelheti a felhasználóktól, hogy alkalmazásvédelmi szabályzatokkal használják a Microsoft 365-alkalmazásokat. Az eszközöket nem kell regisztrálni Intune.
További információt és megfontolandó szempontokat a Személyes eszközök és a Szervezet tulajdonában lévő eszközök című témakörben talál (ebben a cikkben).
Célkitűzés: It-informaták terjesztése
Számos szervezet szeretné, ha a különböző rendszergazdák szabályozni szeretnék a helyeket, a részlegeket és így tovább. A Charlotte it-rendszergazdák csoport például a Charlotte-kampuszon vezérli és figyeli a szabályzatokat. Ezek a Charlotte-rendszergazdák csak a Charlotte-hely szabályzatait láthatják és kezelhetik. Nem láthatják és nem kezelhetik a redmondi tartózkodási helyre vonatkozó szabályzatokat. Ezt a megközelítést elosztott it-nak nevezzük.
A Intune az elosztott informatikai szolgáltatások az alábbi funkciók előnyeit élvezik:
A hatókörcímkék szerepköralapú hozzáférés-vezérlést (RBAC) használnak. Így csak egy adott csoport felhasználói rendelkeznek engedéllyel a hatókörükben lévő felhasználók és eszközök szabályzatainak és profiljainak kezeléséhez.
Amikor eszközregisztrációs kategóriákat használ, a rendszer automatikusan hozzáadja az eszközöket a csoportokhoz a létrehozott kategóriák alapján. Ez a funkció Microsoft Entra dinamikus csoportokat használt, és megkönnyíti az eszközök kezelését.
Amikor a felhasználók regisztrálják az eszközüket, kiválasztanak egy kategóriát, például értékesítést, rendszergazdai, értékesítési pontot és így tovább. Amikor hozzáadja az eszközöket egy kategóriához, ezek az eszközcsoportok készen állnak a szabályzatok fogadására.
Amikor a rendszergazdák szabályzatokat hoznak létre, több rendszergazdai jóváhagyásra is szükség lehet bizonyos szabályzatokhoz, beleértve a parancsfájlokat futtató vagy alkalmazásokat telepítő szabályzatokat is.
A Végponti jogosultságkezelés lehetővé teszi a standard, nem rendszergazdai jogosultságokkal rendelkező, emelt szintű jogosultságokat igénylő feladatokat, például az alkalmazások telepítését és az eszközillesztők frissítését. Az Endpoint Privilege Management a Intune Suite része.
✅ Feladat: A szabályok és beállítások terjesztésének meghatározása
A szabályok és beállítások különböző szabályzatokkal vannak üzembe helyezve. Néhány szempont:
Határozza meg a rendszergazdai struktúrát. Előfordulhat például, hogy hely szerint szeretne elkülöníteni, például Charlotte it-rendszergazdák vagy Cambridge-i informatikai rendszergazdák. Érdemes lehet szerepkör szerint elkülöníteni, például a hálózati rendszergazdáktól , amelyek az összes hálózati hozzáférést szabályozzák, beleértve a VPN-t is.
Ezek a kategóriák lesznek a hatókörcímkék.
A rendszergazdai csoportok létrehozásáról az alábbiakban talál további információt:
Előfordulhat, hogy a szervezeteknek elosztott informatikát kell használniuk olyan rendszerekben, ahol sok helyi rendszergazda csatlakozik egyetlen Intune bérlőhöz. Egy nagy szervezet például egyetlen Intune bérlővel rendelkezik. A szervezet számos helyi rendszergazdával rendelkezik, és mindegyik rendszergazda egy adott rendszert, régiót vagy helyet kezel. Minden rendszergazdának csak a tartózkodási helyét kell kezelnie, nem pedig a teljes szervezetet.
További információt az Elosztott informatikai környezet című témakörben talál, amelyben számos rendszergazda van ugyanabban a Intune bérlőben.
Számos szervezet választja el a csoportokat eszköztípus szerint, például iOS/iPadOS, Android vagy Windows rendszerű eszközök. Néhány példa:
- Adott alkalmazások terjesztése adott eszközökre. Helyezze üzembe például a Microsoft Shuttle alkalmazást a Redmond-hálózat mobileszközökre.
- Szabályzatok telepítése adott helyekre. Helyezzen üzembe például egy Wi-Fi-profilt a Charlotte-hálózat eszközein, hogy a tartományon belül automatikusan csatlakozzanak.
- Adott eszközök beállításainak vezérlése. Tiltsa le például a kamerát a gyártócsarnokban használt Android Enterprise-eszközökön, hozzon létre egy Windows Defender víruskereső profilt az összes Windows-eszközhöz, vagy adja hozzá az e-mail beállításokat az összes iOS/iPadOS-eszközhöz.
Ezek a kategóriák lesznek az eszközregisztrációs kategóriák.
Célkitűzés: Szervezeti adatok megőrzése a szervezeten belül
Ha az adatokat mobileszközökön tárolják, az adatokat védeni kell a véletlen veszteségtől vagy megosztástól. Ez a cél magában foglalja a szervezeti adatok törlését a személyes és a szervezet tulajdonában lévő eszközökről is.
✅ Feladat: Hozzon létre egy tervet a szervezetet érintő különböző forgatókönyvek lefedésére
Néhány példaforgatókönyv:
Az eszköz elveszett vagy ellopták, vagy már nem használják. Egy felhasználó elhagyja a szervezetet.
- A Intune eltávolíthatja az eszközöket törléssel, kivonással vagy a regisztráció manuális törlésével. Automatikusan eltávolíthatja azokat az eszközöket is, amelyek x számú napig nem jelentkeznek be Intune.
- Az alkalmazás szintjén eltávolíthatja a szervezeti adatokat Intune által felügyelt alkalmazásokból. A szelektív törlés kiválóan alkalmas a személyes eszközökre, mivel személyes adatokat tárol az eszközön, és csak a szervezeti adatokat távolítja el.
Személyes eszközökön előfordulhat, hogy meg szeretné akadályozni a felhasználók másolását/beillesztését, képernyőképek készítését vagy e-mailek továbbítását. Alkalmazásvédelem szabályzatok blokkolhatják ezeket a funkciókat a nem felügyelt eszközökön.
Felügyelt eszközökön (a Intune regisztrált eszközökön) ezeket a funkciókat eszközkonfigurációs profilokkal is vezérelheti. Az eszközkonfigurációs profilok az eszközön, nem az alkalmazásban vezérlik a beállításokat. A rendkívül bizalmas vagy bizalmas adatokhoz hozzáférő eszközökön az eszközkonfigurációs profilok megakadályozhatják a másolást/beillesztést, a képernyőképek készítését és egyebeket.
További információt és megfontolandó szempontokat a Személyes eszközök és a Szervezet tulajdonában lévő eszközök című témakörben talál (ebben a cikkben).
2. lépés – Eszközök leltározása
A szervezetek számos eszközzel rendelkeznek, beleértve az asztali számítógépeket, laptopokat, táblagépeket, kézi szkennereket és mobiltelefonokat. Ezek az eszközök a szervezet vagy a felhasználók tulajdonában vannak. Az eszközkezelési stratégia tervezésekor gondolja át, hogy mi fér hozzá a szervezeti erőforrásokhoz, beleértve a személyes eszközöket is.
Ez a szakasz azokat az eszközadatokat tartalmazza, amelyeket figyelembe kell vennie.
Támogatott platformok
Intune támogatja a gyakori és népszerű eszközplatformokat. Az egyes verziók esetében lépjen a támogatott platformokra.
✅ Feladat: Régebbi eszközök frissítése vagy cseréje
Ha az eszközei nem támogatott verziókat használnak, amelyek elsősorban régebbi operációs rendszerek, akkor ideje frissíteni az operációs rendszert, vagy lecserélni az eszközöket. Ezek a régebbi operációs rendszerek és eszközök támogatása korlátozott lehet, és biztonsági kockázatot jelenthetnek. Ez a feladat magában foglalja a Windows 7 rendszerű asztali számítógépeket, az eredeti v10.0 operációs rendszert futtató iPhone 7-eszközöket stb.
Személyes eszközök és szervezeti tulajdonú eszközök
A személyes eszközökön normális és elvárás, hogy a felhasználók e-maileket ellenőrizzenek, értekezletekhez csatlakozzanak, fájlokat frissítsenek stb. Számos szervezet engedélyezi a személyes eszközök számára a szervezeti erőforrások elérését.
A BYOD/személyes eszközök egy mobilalkalmazás-kezelési (MAM) stratégia részét képezik, amely:
- Egyre népszerűbb számos szervezet
- Jó választás azoknak a szervezeteknek, amelyek meg szeretnék védeni a szervezeti adatokat, de nem szeretnék a teljes eszközt felügyelni
- Csökkenti a hardverköltségeket.
- Növelheti a mobil termelékenységi lehetőségeket az alkalmazottak számára, beleértve a távoli & a hibrid feldolgozók esetében
- Csak a szervezeti adatokat távolítja el az alkalmazásokból ahelyett, hogy az összes adatot eltávolítaná az eszközről
A szervezet tulajdonában lévő eszközök egy mobileszköz-kezelési (MDM-) stratégia részét képezik, amely:
- Teljes körű vezérlést biztosít a szervezet informatikai rendszergazdáinak
- Számos olyan funkcióval rendelkezik, amely az alkalmazásokat, eszközöket és felhasználókat kezeli
- Jó választás azoknak a szervezeteknek, amelyek a teljes eszközt szeretnék felügyelni, beleértve a hardvert és a szoftvert
- Növelheti a hardverköltségeket, különösen akkor, ha a meglévő eszközök elavultak vagy már nem támogatottak
- Eltávolíthatja az összes adatot az eszközről, beleértve a személyes adatokat is
Szervezetként és rendszergazdaként Ön dönti el, hogy engedélyezve vannak-e a személyes eszközök. Ha engedélyezi a személyes eszközöket, fontos döntéseket kell hoznia, beleértve a szervezeti adatok védelmét is.
✅ Feladat: A személyes eszközök kezelésének meghatározása
Ha a szervezet számára fontos a mobilszolgáltatás vagy a távoli dolgozók támogatása, vegye figyelembe a következő megközelítéseket:
1. lehetőség: A személyes eszközök hozzáférhetnek a szervezeti erőforrásokhoz. A felhasználók dönthetnek úgy, hogy regisztrálnak vagy nem regisztrálnak.
A személyes eszközeiket regisztráló felhasználók számára a rendszergazdák teljes mértékben felügyelik ezeket az eszközöket, beleértve a szabályzatok leküldését, az eszközfunkciók & beállítások szabályozását, sőt az eszközök törlését is. Rendszergazdaként szüksége lehet erre a vezérlőre, vagy úgy gondolja , hogy ezt a vezérlőt szeretné használni.
Amikor a felhasználók regisztrálják személyes eszközeiket, előfordulhat, hogy nem veszik észre vagy nem értik, hogy a rendszergazdák bármit megtehetnek az eszközön, beleértve az eszköz véletlen törlését vagy alaphelyzetbe állítását. Rendszergazdaként előfordulhat, hogy nem szeretné, hogy ez a felelősség vagy a szervezet által nem birtokolt eszközökre hatással legyen.
Emellett sok felhasználó elutasítja a regisztrációt, és más módszereket is találhat a szervezeti erőforrások elérésére. Megkövetelheti például, hogy az eszközök regisztrálva legyenek az Outlook alkalmazással a szervezeti e-mailek ellenőrzéséhez. Ha ki szeretné hagyni ezt a követelményt, a felhasználók megnyitnak egy webböngészőt az eszközön, és bejelentkeznek az Outlook webes hozzáférésbe, ami nem feltétlenül felel meg önnek. Vagy létrehoznak képernyőképeket, és mentik a képeket az eszközön, ami szintén nem az, amit szeretne.
Ha ezt a lehetőséget választja, mindenképpen tájékoztassa a felhasználókat a személyes eszközeik regisztrálásának kockázatairól és előnyeiről.
Azoknak a felhasználóknak, amelyek nem regisztrálják személyes eszközeiket, alkalmazásvédelmi szabályzatokkal kezelheti az alkalmazás-hozzáférést és biztonságossá teheti az alkalmazásadatokat.
Használati feltételekre vonatkozó utasítás használata feltételes hozzáférési szabályzattal. Ha a felhasználók nem értenek egyet, akkor nem férnek hozzá az alkalmazásokhoz. Ha a felhasználók elfogadják az utasítást, a rendszer hozzáad egy eszközrekordot Microsoft Entra ID, és az eszköz ismert entitássá válik. Ha az eszköz ismert, nyomon követheti, hogy mi érhető el az eszközről.
A hozzáférést és a biztonságot mindig alkalmazásszabályzatokkal szabályozhatja.
Tekintse meg a szervezet által leggyakrabban használt feladatokat, például az e-maileket és az értekezletekhez való csatlakozást. Alkalmazáskonfigurációs szabályzatok használatával alkalmazásspecifikus beállításokat konfigurálhat, például az Outlookot. Alkalmazásvédelmi szabályzatokkal szabályozhatja az alkalmazások biztonságát és hozzáférését.
A felhasználók például a személyes eszközükön használhatják az Outlook appot a munkahelyi e-mailek ellenőrzésére. A Intune a rendszergazdák létrehoznak egy Outlook alkalmazásvédelmi szabályzatot. Ez a szabályzat többtényezős hitelesítést (MFA) használ minden alkalommal, amikor az Outlook app megnyílik, megakadályozza a másolást és a beillesztést, és korlátozza a többi funkciót.
2. lehetőség: Azt szeretné, hogy minden eszköz teljes mértékben felügyelt legyen. Ebben a forgatókönyvben az összes eszközt regisztrálja a Intune, és a szervezet felügyeli, beleértve a személyes eszközöket is.
A regisztráció kényszerítése érdekében feltételes hozzáférési (CA) szabályzatot telepíthet, amely megköveteli, hogy az eszközök regisztráljanak Intune. Ezeken az eszközökön a következőket is megteheti:
- Konfiguráljon egy Wi-Fi-/VPN-kapcsolatot a szervezeti kapcsolatokhoz, és telepítse ezeket a kapcsolati szabályzatokat az eszközökre. A felhasználóknak nem kell megadniuk a beállításokat.
- Ha a felhasználóknak adott alkalmazásokra van szükségük az eszközükön, akkor telepítse az alkalmazásokat. Olyan alkalmazásokat is telepíthet, amelyeket a szervezet biztonsági okokból igényel, például egy mobil veszélyforrások elleni védelmi alkalmazást.
- A megfelelőségi szabályzatokkal beállíthatja a szervezet által követendő szabályokat, például az adott MDM-vezérlőket kihívó szabályozási vagy szabályzatokat. Például Intune kell a teljes eszköz titkosításához, vagy jelentést kell készítenie az eszközön található összes alkalmazásról.
Ha a hardvert is szabályozni szeretné, adja meg a felhasználóknak az összes szükséges eszközt, beleértve a mobiltelefonokat is. Fektessen be egy hardverfrissítési tervbe, hogy a felhasználók továbbra is hatékonyan dolgozhassák, és megkapják a legújabb beépített biztonsági funkciókat. Regisztrálja ezeket a szervezeti tulajdonú eszközöket a Intune, és kezelje őket szabályzatokkal.
Ajánlott eljárásként mindig feltételezzük, hogy az adatok elhagyják az eszközt. Győződjön meg arról, hogy a nyomkövetési és naplózási módszerek érvényben vannak. További információt a Microsoft Intune Teljes felügyelet című témakörben talál.
Asztali számítógépek kezelése
Intune kezelheti az Windows 10 és újabb rendszerű asztali számítógépeket. A Windows-ügyfél operációs rendszere beépített modern eszközfelügyeleti funkciókat tartalmaz, és eltávolítja a helyi Active Directory- (AD-) csoportházirend függőségeit. A felhő előnyeit élvezheti, amikor szabályokat és beállításokat hoz létre a Intune- és üzembe helyezi ezeket a házirendeket az összes Windows-ügyféleszközén, beleértve az asztali számítógépeket és számítógépeket is.
További információ: Irányított forgatókönyv – Felhőben felügyelt modern asztal.
Ha windowsos eszközeit jelenleg a Configuration Manager felügyeli, akkor is regisztrálhatja ezeket az eszközöket a Intune. Ezt a megközelítést társfelügyeletnek nevezzük. A közös felügyelet számos előnnyel jár, többek között távoli műveletek futtatását az eszközön (újraindítás, távvezérlés, gyári beállítások visszaállítása), feltételes hozzáférést eszközmegfelelőséggel. Az eszközöket felhőalapúan is csatolhatja Intune.
További információ:
✅ Feladat: Nézze meg, mit használ jelenleg a mobileszköz-kezeléshez
A mobileszköz-kezelés bevezetése függhet attól, hogy a szervezet jelenleg mit használ, beleértve azt is, hogy a megoldás helyszíni szolgáltatásokat vagy programokat használ-e.
A telepítési útmutató jó információkkal rendelkezik.
Néhány szempont:
Ha jelenleg nem használ MDM-szolgáltatást vagy -megoldást, akkor a legjobb megoldás lehet, ha közvetlenül Intune.
Ha jelenleg helyszíni Csoportházirend Objektumokat (GPO) használ, akkor a Intune és a Intune-beállítások katalógusának használata hasonló, és egyszerűbb átmenetet jelent a felhőalapú eszközszabályzatra. A beállításkatalógus az Apple-eszközök és a Google Chrome beállításait is tartalmazza.
A Configuration Manager nem regisztrált új eszközök vagy MDM-megoldások esetén a legjobb megoldás lehet, ha közvetlenül Intune.
Ha jelenleg Configuration Manager használ, a következő lehetőségek közül választhat:
- Ha meg szeretné tartani a meglévő infrastruktúrát, és át szeretne helyezni néhány számítási feladatot a felhőbe, használja a közös felügyeletet. Mindkét szolgáltatás előnyeit élvezheti. A meglévő eszközök bizonyos szabályzatokat fogadhatnak a Configuration Manager (helyszíni) és más szabályzatokat a Intune (felhő) szolgáltatásból.
- Ha meg szeretné tartani a meglévő infrastruktúrát, és a Intune használatával szeretné monitorozni a helyszíni eszközöket, használja a bérlői csatolást. Kihasználhatja a Intune Felügyeleti központ előnyeit, miközben továbbra is az Configuration Manager-t használja az eszközök kezeléséhez.
- Ha tiszta felhőalapú megoldást szeretne az eszközök kezelésére, lépjen Intune. Egyes Configuration Manager felhasználók szívesebben használják továbbra is a Configuration Manager bérlői csatolással vagy közös felügyelettel.
További információért tekintse meg a megosztott felügyeleti számítási feladatokat ismertető témakört.
Frontline worker (FLW) eszközök
A megosztott táblagépek és eszközök gyakoriak az élvonalbeli dolgozók (FLW) esetében. Számos iparágban használják őket, többek között a kiskereskedelemben, az egészségügyben, a gyártásban és egyebekben.
Különböző platformokon érhetők el lehetőségek, beleértve az Android (AOSP) virtuális valóság eszközeit, az iPad-eszközöket és a Windows 365 felhőalapú pc-ket.
✅ Feladat: Az FLW-forgatókönyvek meghatározása
Az FLW-eszközök szervezeti tulajdonban vannak, regisztrálva vannak az eszközkezelésben, és egy felhasználó (felhasználó által hozzárendelt) vagy több felhasználó (megosztott eszközök) használják őket. Ezek az eszközök kritikus fontosságúak az előtérbeli dolgozók számára a munkájuk elvégzéséhez, és gyakran korlátozott használatú módban használják őket. Ez lehet például egy eszköz, amely elemeket vizsgál, egy információkat megjelenítő kioszk, vagy egy táblagép, amely beadja a betegeket egy kórházban vagy orvosi intézményben.
További információ: Frontline worker device management in Microsoft Intune.
3. lépés – A költségek és a licencelés meghatározása
Az eszközök kezelése a különböző szolgáltatásokkal való kapcsolat. Intune a különböző eszközökön vezérelhető beállításokat és funkciókat tartalmazza. Vannak más szolgáltatások is, amelyek kulcsszerepet játszanak:
Microsoft Entra ID P1 vagy P2 (a Microsoft 365 E5 licenc tartalmazza) számos olyan funkciót tartalmaz, amelyek kulcsfontosságúak az eszközök kezeléséhez, például:
- Windows Autopilot: A Windows-ügyféleszközök automatikusan regisztrálhatnak a Intune, és automatikusan megkaphatják a szabályzatokat.
- Többtényezős hitelesítés (MFA): A felhasználóknak két vagy több ellenőrzési módszert kell megadniuk, például PIN-kódot, hitelesítő alkalmazást, ujjlenyomatot stb. Az MFA nagyszerű lehetőség, ha alkalmazásvédelmi szabályzatokat használ a személyes eszközökhöz és a szervezet tulajdonában lévő, fokozott biztonságot igénylő eszközökhöz.
- Feltételes hozzáférés: Ha a felhasználók és az eszközök betartják a szabályokat, például egy 6 jegyű PIN-kódot, akkor hozzáférést kapnak a szervezeti erőforrásokhoz. Ha a felhasználók vagy eszközök nem felelnek meg a szabályoknak, akkor nem kapnak hozzáférést.
- Dinamikus felhasználói csoportok és dinamikus eszközcsoportok: A felhasználók vagy eszközök automatikusan hozzáadhatók a csoportokhoz, ha megfelelnek a feltételeknek, például a városnak, a beosztásnak, az operációs rendszer típusának, az operációs rendszer verziójának és egyebeknek.
A (Microsoft 365 E5 licencben szereplő) Microsoft 365-alkalmazások közé tartoznak a felhasználók által használt alkalmazások, többek között az Outlook, a Word, a SharePoint, a Teams, a OneDrive. Ezeket az alkalmazásokat a Intune használatával helyezheti üzembe az eszközökön.
Végponthoz készült Microsoft Defender (amely a Microsoft 365 E5 licenc részét képezi) segít a Windows-ügyféleszközök rosszindulatú tevékenységének monitorozásában és vizsgálatában. Elfogadható fenyegetettségi szintet is beállíthat. A feltételes hozzáféréssel kombinálva letilthatja a szervezeti erőforrásokhoz való hozzáférést, ha túllépi a fenyegetési szintet.
A Microsoft Purview (amely a Microsoft 365 E5 licenc része) címkék alkalmazásával osztályozza és védi a dokumentumokat és az e-maileket. A Microsoft 365-alkalmazásokban ezzel a szolgáltatással megakadályozhatja a szervezeti adatokhoz való jogosulatlan hozzáférést, beleértve a személyes eszközökön lévő alkalmazásokat is.
Microsoft Copilot Intune egy generatív AI biztonsági elemző eszköz. Hozzáfér a Intune adataihoz, és segít a szabályzatok és beállítások kezelésében, a biztonsági helyzet megértésében és az eszközproblémák elhárításában.
A Intune-ban a Copilot licencelése a Microsoft Copilot for Security szolgáltatáson keresztül történik. További információ: Ismerkedés az Microsoft Copilot for Security szolgáltatással.
A Intune Suite fejlett végpontkezelési és biztonsági funkciókat biztosít, például távoli súgót, Microsoft Cloud PKI, végponti jogosultságkezelést és sok mást. A Intune Suite külön licencként érhető el.
További információ:
- A Microsoft Intune licencelése
- Microsoft 365 Vállalati verzió
- Microsoft 365 nagyvállalati licencelés
- Microsoft Intune Suite
✅ Feladat: A szervezet által igényelt licencelt szolgáltatások meghatározása
Néhány szempont:
Ha a szabályzatok (szabályok) és profilok (beállítások) minimális kényszerítése nélkül szeretne üzembe helyezni szabályzatokat (szabályokat) és profilokat, akkor a következőkre van szüksége:
- Intune
Intune különböző előfizetésekkel érhető el, beleértve önálló szolgáltatásként is. További információ: Microsoft Intune licencelés.
Jelenleg Configuration Manager használ, és szeretné beállítani az eszközök közös felügyeletét. Intune már szerepel a Configuration Manager licencben. Ha azt szeretné, hogy Intune teljesen felügyelje az új vagy a meglévő, közösen felügyelt eszközöket, akkor külön Intune licencre van szüksége.
A Intune létrehozott megfelelőségi vagy jelszószabályokat szeretné kikényszeríteni. Legalább a következőkre van szüksége:
- Intune
- Microsoft Entra ID P1 vagy P2
Intune és Microsoft Entra ID P1 vagy P2 Enterprise Mobility + Security érhető el. További információ: Enterprise Mobility + Security díjszabási lehetőségek.
Csak a Microsoft 365-alkalmazásokat szeretné kezelni az eszközökön. Legalább a következőkre van szüksége:
- Microsoft 365 Alapverzió mobilitás és biztonság
További információ:
Szeretne Microsoft 365-alkalmazásokat telepíteni az eszközeire, és szabályzatokat létrehozni az alkalmazásokat futtató eszközök biztonságossá tételéhez. Legalább a következőkre van szüksége:
- Intune
- Microsoft 365-alkalmazások
Szabályzatokat szeretne létrehozni Intune, Microsoft 365-alkalmazásokat telepít, és kikényszeríteni a szabályokat és beállításokat. Legalább a következőkre van szüksége:
- Intune
- Microsoft 365-alkalmazások
- Microsoft Entra ID P1 vagy P2
Mivel ezeket a szolgáltatásokat egyes Microsoft 365-csomagok tartalmazzák, költséghatékony lehet a Microsoft 365-licenc használata. További információt a Microsoft 365 licenccsomagjaiban talál.
4. lépés – Meglévő szabályzatok és infrastruktúra áttekintése
Számos szervezet rendelkezik meglévő szabályzatokkal és eszközkezelési infrastruktúrával, amelyeket csak "karbantartanak". Előfordulhat például, hogy 20 éves csoportszabályzatai vannak, és nem tudja, mit csinálnak. Ha a felhőbe való áttérést fontolgatja, ahelyett, hogy azt vizsgálgatja, amit eddig tett, határozza meg a célt.
Ezeket a célokat szem előtt tartva hozza létre a szabályzatok alapkonfigurációját. Ha több eszközfelügyeleti megoldással rendelkezik, itt az ideje, hogy egyetlen mobileszköz-kezelési szolgáltatást használjon.
✅ Feladat: A helyszínen futtatott feladatok
Ez a feladat magában foglalja azokat a szolgáltatásokat, amelyek áttérhetnek a felhőbe. Ne feledje, hogy ahelyett, hogy azt nézi, amit mindig is tett, határozza meg a célt.
Néhány szempont:
Tekintse át a meglévő szabályzatokat és azok struktúráját. Egyes szabályzatok globálisan, mások a webhely szintjén, mások pedig az eszközökre vonatkoznak. A cél a globális szabályzatok szándékának, a helyi szabályzatok szándékának stb. megismerése és megértése.
A helyszíni Active Directory-csoportszabályzatok LSDOU-sorrendben vannak alkalmazva – helyi, hely, tartomány és szervezeti egység (OU). Ebben a hierarchiában a szervezeti egység házirendjei felülírják a tartományi házirendeket, a tartományi házirendek felülírják a helyszabályzatokat stb.
A Intune a szabályzatok az Ön által létrehozott felhasználókra és csoportokra lesznek alkalmazva. Nincs hierarchia. Ha két szabályzat frissíti ugyanazt a beállítást, akkor a beállítás ütközésként jelenik meg. Az ütközési viselkedésről további információt az Eszközszabályzatokkal és -profilokkal kapcsolatos gyakori kérdések, problémák és megoldások című témakörben talál.
A szabályzatok áttekintése után az AD globális szabályzatai logikusan elkezdenek vonatkozni azOkra a csoportokra, amelyekre szüksége van. Ezek a csoportok olyan felhasználókat és eszközöket tartalmaznak, amelyeket globális szinten, webhelyszinten stb. szeretne megcélzni. Ez a feladat bemutatja a Intune szükséges csoportstruktúrát. A nagy Microsoft Intune környezetekben való csoportosításra, célzásra és szűrésre vonatkozó teljesítményjavaslatok jó erőforrásnak bizonyulhatnak.
Készüljön fel új szabályzatok létrehozására Intune. Intune számos olyan funkciót tartalmaz, amelyek olyan forgatókönyveket fednek le, amelyek érdekelhetik Önt. Néhány példa:
Biztonsági alapkonfigurációk: A Windows-ügyféleszközökön a biztonsági alapkonfigurációk olyan biztonsági beállítások, amelyek előre vannak konfigurálva az ajánlott értékekhez. Ha még csak most ismerkedik az eszközök biztonságossá tételével, vagy átfogó alapkonfigurációra van szüksége, tekintse meg a biztonsági alapkonfigurációkat.
A Beállítások elemzés a hasonló szervezetek által sikeresen elfogadott megállapítások hozzáadásával biztosítja a konfigurációk megbízhatóságát. Az elemzések egyes beállításokhoz érhetők el, nem minden beállításhoz. További információ: Beállítások megállapítás.
Beállításkatalógus: Az Apple- és Windows-ügyféleszközökön a beállításkatalógus felsorolja a konfigurálható és a helyszíni csoportházirend-objektumokhoz hasonló beállításokat. A szabályzat létrehozásakor az alapoktól kezdve részletes szinten konfigurálhatja a beállításokat.
Felügyeleti sablonok (ADMX): Windows-ügyféleszközökön az ADMX-sablonokkal konfigurálhatja a Csoportházirend-beállításokat a Windows, az Internet Explorer, az Office és a Microsoft Edge 77-es vagy újabb verziójához. Ezek az ADMX-sablonok megegyeznek a helyszíni AD-csoportházirendben használt ADMX-sablonokkal, de 100%-ban felhőalapúak Intune.
Csoportházirend: Csoportházirend-elemzések használatával importálhatja és elemezheti a csoportházirend-objektumokat. Ez a funkció segít meghatározni, hogy a csoportházirend-objektumok hogyan fordítják le a felhőben. A kimenet az MDM-szolgáltatók által támogatott beállításokat jeleníti meg, beleértve a Microsoft Intune. Emellett megjeleníti az elavult vagy az MDM-szolgáltatók számára nem elérhető beállításokat is.
Az importált beállítások alapján Intune házirendet is létrehozhat. További információ: Beállításkatalógus-szabályzat létrehozása az importált csoportházirend-objektumok használatával.
Irányított forgatókönyvek: Az irányított forgatókönyvek lépéssorozatok, amelyek a teljes körű használati esetekre összpontosítanak. Ezek a forgatókönyvek automatikusan tartalmaznak szabályzatokat, alkalmazásokat, hozzárendeléseket és egyéb felügyeleti konfigurációkat.
Hozzon létre egy szabályzati alapkonfigurációt , amely tartalmazza a célok minimumát. Például:
Biztonságos e-mail: Legalább az alábbiakra lehet szüksége:
- Outlook alkalmazásvédelmi szabályzatok létrehozása.
- Engedélyezze a feltételes hozzáférést Exchange Online, vagy csatlakozzon egy másik helyszíni e-mail-megoldáshoz.
Eszközbeállítások: Legalább az alábbiakra lehet szüksége:
- Az eszköz zárolásának feloldásához hat karakteres PIN-kód szükséges.
- Személyes felhőszolgáltatások, például az iCloud vagy a OneDrive biztonsági mentésének megakadályozása.
Eszközprofilok: Legalább a következőkre lehet szüksége:
- Hozzon létre egy Wi-Fi-profilt a Contoso Wi-Fi vezeték nélküli hálózathoz csatlakozó előre konfigurált beállításokkal.
- Hozzon létre egy tanúsítványt tartalmazó VPN-profilt az automatikus hitelesítéshez, és csatlakozzon egy szervezeti VPN-hez.
- Hozzon létre egy e-mail-profilt az Outlookhoz csatlakozó előre konfigurált beállításokkal.
Alkalmazások: Legalább az alábbiakra lehet szüksége:
- Microsoft 365-alkalmazások telepítése alkalmazásvédelmi szabályzatokkal.
- Üzletági (LOB) üzembe helyezése alkalmazásvédelmi szabályzatokkal.
A minimálisan ajánlott beállításokkal kapcsolatos további információkért látogasson el a következőre:
Tekintse át a csoportok aktuális struktúráját. A Intune házirendeket hozhat létre és rendelhet hozzá felhasználói csoportokhoz, eszközcsoportokhoz, valamint dinamikus felhasználói és eszközcsoportokhoz (ehhez Microsoft Entra ID P1 vagy P2 szükséges).
Amikor csoportokat hoz létre a felhőben, például Intune vagy Microsoft 365, a csoportok Microsoft Entra ID jönnek létre. Előfordulhat, hogy nem látja a Microsoft Entra ID védjegyezést, de ezt használja.
Az új csoportok létrehozása egyszerű feladat lehet. Ezek a Microsoft Intune Felügyeleti központban hozhatók létre. További információ: Csoportok hozzáadása a felhasználók és eszközök rendszerezéséhez.
A meglévő terjesztési listák (DL) áthelyezése Microsoft Entra ID kihívást jelenthet. Miután a DLL-ek Microsoft Entra ID vannak, ezek a csoportok elérhetők a Intune és a Microsoft 365 számára. További információ:
Ha már rendelkezik Office 365 csoportokkal, áttérhet a Microsoft 365-be. A meglévő csoportok megmaradnak, és megkapja a Microsoft 365 összes funkcióját és szolgáltatását. További információ:
Ha több eszközkezelési megoldással rendelkezik, lépjen egyetlen mobileszköz-kezelési megoldásra. Azt javasoljuk, hogy a Intune használatával védje a szervezeti adatokat az alkalmazásokban és az eszközökön.
További információ: Microsoft Intune biztonságosan kezeli az identitásokat, kezeli az alkalmazásokat és az eszközöket.
5. lépés – Bevezetési terv létrehozása
A következő feladat annak megtervezése, hogy a felhasználók és az eszközök hogyan és mikor kapják meg a szabályzatokat. Ebben a feladatban vegye figyelembe a következőket is:
- Határozza meg a célokat és a siker mérőszámait. Ezekkel az adatpontokkal további bevezetési fázisokat hozhat létre. Győződjön meg arról, hogy a célok SMART (Specific, Measurable, Attainable, Real, and Timely). Tervezze meg, hogy az egyes fázisok céljai alapján méri a célokat, hogy a bevezetési projekt továbbra is jó úton haladjon.
- Egyértelműen meghatározott célokkal és célkitűzésekkel kell rendelkeznie. Vegye fel ezeket a célkitűzéseket minden tudatossági és képzési tevékenységbe, hogy a felhasználók megértsék, miért választotta a szervezet Intune.
✅ Feladat: Terv létrehozása a szabályzatok bevezetéséhez
És válassza ki, hogyan regisztrálják a felhasználók az eszközeiket a Intune. Néhány szempont:
A szabályzatok bevezetése fázisokban. Például:
Kezdje egy próba- vagy tesztcsoporttal. Ezeknek a csoportoknak tudniuk kell, hogy ők az első felhasználók, és hajlandóak visszajelzést adni. Ezzel a visszajelzéssel javíthatja a konfigurációt, a dokumentációt, az értesítéseket, és megkönnyítheti a felhasználók számára a későbbi bevezetést. Ezek a felhasználók nem lehetnek vezetők vagy VIRTUÁLIS IP-címek.
A kezdeti tesztelés után adjon hozzá további felhasználókat a próbacsoporthoz. Vagy hozzon létre további próbacsoportokat, amelyek egy másik bevezetésre összpontosítanak, például:
Részlegek: Minden részleg bevezetési fázis lehet. Egyszerre egy teljes részleget céloz meg. Ebben a bevezetésben az egyes részlegek felhasználói ugyanúgy használhatják az eszközüket, és ugyanazokat az alkalmazásokat érhetik el. A felhasználók valószínűleg ugyanolyan típusú szabályzatokkal rendelkeznek.
Földrajzi hely: A szabályzatokat egy adott földrajzi helyen lévő összes felhasználóra alkalmazza, legyen szó akár egy kontinensről, országról/régióról, akár egy szervezet épületéről. Ez a bevezetés lehetővé teszi, hogy a felhasználók adott helyére összpontosítson. Megadhat egy Windows Autopilotot az előre kiépített üzembe helyezési megközelítéshez, mivel az egyidejűleg Intune üzembe helyező helyek száma kevesebb. Előfordulhat, hogy ugyanazon a helyen különböző részlegek vagy különböző használati esetek vannak. Így különböző használati eseteket tesztelhet egyszerre.
Platform: Ez a bevezetés hasonló platformokat helyez üzembe egyszerre. Például februárban az összes iOS/iPadOS-eszközön, márciusban az összes Android-eszközön, áprilisban pedig az összes Windows-eszközön telepíthet szabályzatokat. Ez a megközelítés leegyszerűsítheti az ügyfélszolgálat támogatását, mivel egyszerre csak egy platformot támogatnak.
Szakaszos megközelítéssel számos felhasználói típustól kaphat visszajelzést.
A sikeres próbaüzem után készen áll a teljes éles bevezetés megkezdésére. Az alábbi példa egy Intune bevezetési terv, amely célzott csoportokat és ütemterveket tartalmaz:
Bevezetési fázis Július Augusztus Szeptember Október Korlátozott próbaüzem It (50 felhasználó) Bővített próbaüzem It (200 felhasználó), informatikai vezetők (10 felhasználó) Éles bevezetés 1. fázisa Értékesítés és marketing (2000 felhasználó) Éles bevezetés 2. fázisa Kiskereskedelmi (1000 felhasználó) Éles bevezetés 3. fázisa HR (50 felhasználó), Pénzügy (40 felhasználó), Vezetők (30 felhasználó) Ez a sablon letölthető Intune üzembe helyezés megtervezéséről, tervezésről és implementálásról – Táblasablonok.
Adja meg, hogy a felhasználók hogyan regisztrálják a személyes és szervezeti tulajdonú eszközeiket. Különböző regisztrációs módszereket használhat, például:
- Felhasználói önkiszolgáló: A felhasználók saját eszközeiket regisztrálják az informatikai szervezet által megadott lépések alapján. Ez a módszer a leggyakoribb, és skálázhatóbb, mint a felhasználó által támogatott regisztráció.
- Felhasználó által támogatott regisztráció: Ebben az előre kiépített üzembehelyezési megközelítésben egy informatikai tag segít a felhasználóknak a regisztrációs folyamaton keresztül, személyesen vagy a Teams használatával. Ez a megközelítés gyakori a vezetők és más csoportok esetén, amelyek további segítségre szorulhatnak.
- Informatikai technológiai vásár: Ezen az eseményen az informatikai csoport egy Intune regisztrációs támogatási standot állít fel. A felhasználók információkat kapnak Intune regisztrációról, kérdéseket tehetnek fel, és segítséget kaphatnak az eszközeik regisztrálásával kapcsolatban. Ez a lehetőség az informatikai részleg és a felhasználók számára előnyös, különösen a Intune bevezetésének korai szakaszában.
Az alábbi példa a regisztrációs megközelítéseket tartalmazza:
Bevezetési fázis Július Augusztus Szeptember Október Korlátozott próbaüzem Önkiszolgáló IT Bővített próbaüzem Önkiszolgáló IT Előre kiépített Informatikai vezetők Éles bevezetés 1. fázisa Értékesítés, marketing Önkiszolgáló Értékesítés és marketing Éles bevezetés 2. fázisa Kiskereskedelem Önkiszolgáló Kiskereskedelem Éles bevezetés 3. fázisa Vezetők, HR, Pénzügy Önkiszolgáló HR, Pénzügy Előre kiépített Vezetők Az egyes platformok különböző regisztrációs módszereiről az Üzembe helyezési útmutató: Eszközök regisztrálása Microsoft Intune című témakörben talál további információt.
6. lépés – Változások közlése
A változáskezelés világos és hasznos kommunikációra támaszkodik a közelgő változásokról. Az ötlet az, hogy zökkenőmentes Intune üzemelő példány legyen, és hogy a felhasználók értesüljenek a változásokról & fennakadások esetén.
✅ Feladat: A bevezetési kommunikációs tervnek fontos információkat kell tartalmaznia
Ennek az információnak tartalmaznia kell a felhasználók értesítésének módját és a kommunikáció időpontjának módját. Néhány szempont:
Határozza meg, hogy milyen információkat kell kommunikálnia. Kommunikáljon fázisokban a csoportokkal és a felhasználókkal, kezdve egy Intune bevezetési indítással, az előregisztrációval, majd a regisztrációt követően:
Bevezetési fázis: A Intune projektet beindító széles körű kommunikáció. Meg kell válaszolnia a legfontosabb kérdéseket, például:
- Mi az a Intune?
- Miért használja a szervezet a Intune, beleértve a szervezet és a felhasználók számára nyújtott előnyöket
- Adja meg az üzembe helyezés és a bevezetés magas szintű tervét.
- Ha a személyes eszközök csak akkor engedélyezettek, ha az eszközök regisztrálva vannak, akkor magyarázza el, miért hozta meg a döntést.
Regisztráció előtti fázis: Széles körű kommunikáció, amely információkat tartalmaz Intune és egyéb szolgáltatásokról (például Az Office, az Outlook és a OneDrive), a felhasználói erőforrásokról, valamint a felhasználók és csoportok Intune való regisztrálásának konkrét időpontjáról.
Regisztrációs fázis: A kommunikáció olyan szervezeti felhasználókat és csoportokat céloz meg, amelyek az Intune való regisztrációra vannak ütemezve. Tájékoztatnia kell a felhasználókat arról, hogy készen állnak a regisztrációra, bele kell foglalniuk a regisztrációs lépéseket, és kihez fordulhatnak segítségért és kérdésekért.
Regisztrálás utáni fázis: A kommunikáció a Intune regisztrált szervezeti felhasználókat és csoportokat célozza meg. Több olyan forrásanyagot kell biztosítania, amelyek hasznosak lehetnek a felhasználóknak, és visszajelzést kell gyűjteniük a regisztráció során és után szerzett tapasztalataikról.
Válassza ki, hogyan közölje Intune bevezetési információkat a megcélzott csoportokkal és felhasználókkal. Például:
Szervezeti szintű személyes értekezletet hozhat létre, vagy használhatja a Microsoft Teamst.
Hozzon létre egy e-mailt az előregisztrációhoz, a regisztrációhoz tartozó e-maileket és a regisztráció utáni e-maileket. Például:
- Email 1: Az előnyök, az elvárások és az ütemezés ismertetése. Használja ki ezt a lehetőséget minden olyan szolgáltatás bemutatására, amelynek hozzáférése Intune által kezelt eszközökön biztosított.
- Email 2: Bejelentheti, hogy a szolgáltatások készen állnak a Intune keresztüli hozzáférésre. Kérje meg a felhasználókat, hogy regisztráljanak most. Adjon egy ütemtervet a felhasználóknak a hozzáférésük befolyásolása előtt. Emlékeztesse a felhasználókat a migrálás előnyeire és stratégiai okaira.
Használjon egy szervezeti webhelyet, amely ismerteti a bevezetési fázisokat, a felhasználók várható elvárásait, és hogy kihez forduljon segítségért.
Plakátokat hozhat létre, szervezeti közösségimédia-platformokat (például Microsoft Viva Engage) használhat, vagy szórólapokat terjeszthet az előregisztrációs fázis bejelentéséhez.
Hozzon létre egy idősort , amely tartalmazza, hogy mikor és ki. Az első Intune bevezetési kommunikáció a teljes szervezetre, vagy csak egy részhalmazra irányulhat. A Intune bevezetése előtt több héttel is sor kerül rájuk. Ezt követően az információk fázisokban közölhetők a felhasználókkal és csoportokkal, a Intune bevezetési ütemezésüknek megfelelően.
Az alábbi példa egy magas szintű Intune bevezetési kommunikációs terv:
Kommunikációs terv Július Augusztus Szeptember Október 1. fázis Minden Nyitó értekezlet Első hét 2. fázis IT Értékesítés és marketing Kiskereskedelem HR, Pénzügy és Vezetők Bevezetés előtti Email 1 Első hét Első hét Első hét Első hét 3. fázis IT Értékesítés és marketing Kiskereskedelem HR, Pénzügy és Vezetők Bevezetés előtti Email 2 Második hét Második hét Második hét Második hét 4. fázis IT Értékesítés és marketing Kiskereskedelem HR, Pénzügy és Vezetők Regisztrációs e-mail Harmadik hét Harmadik hét Harmadik hét Harmadik hét 5. fázis IT Értékesítés és marketing Kiskereskedelem HR, Pénzügy és Vezetők Regisztráció utáni e-mail Negyedik hét Negyedik hét Negyedik hét Negyedik hét
7. lépés – Ügyfélszolgálat és végfelhasználók támogatása
Vegye fel az informatikai támogatást és az ügyfélszolgálatot a Intune üzembehelyezési tervezésének és kísérleti tevékenységének korai szakaszában. A korai részvétel elérhetővé teszi a támogatási munkatársak számára a Intune, és a problémák hatékonyabb azonosításában és megoldásában szerzett ismereteket és tapasztalatokat szereznek. Emellett felkészíti őket a szervezet teljes éles bevezetésének támogatására. A hozzáértő ügyfélszolgálat és támogatási csapatok szintén segítenek a felhasználóknak a változások bevezetésében.
✅ Feladat: A támogatási csoportok betanítása
A végfelhasználói élmény ellenőrzése sikerességi metrikákkal az üzembe helyezési tervben. Néhány szempont:
Határozza meg, hogy ki támogatja a végfelhasználók támogatását. A szervezetek különböző szintekkel vagy szintekkel rendelkezhetnek (1–3). Előfordulhat például, hogy az 1. és a 2. szint a támogatási csapat tagja. A 3. réteg az Intune üzembe helyezésért felelős MDM-csapat tagjait tartalmazza.
Az 1. szint általában az első támogatási szint, és az első szint, amelyet fel kell venni a kapcsolatfelvételhez. Ha az 1. réteg nem tudja megoldani a problémát, akkor a 2. szintre eszkalálódnak. A 2. réteg a 3. szintre eszkalálja. A Microsoft-támogatás a 4. rétegnek tekinthető.
- A kezdeti bevezetési fázisokban győződjön meg arról, hogy a támogatási csoport összes szintje dokumentálja a problémákat és a megoldásokat. Keressen mintákat, és állítsa be a kommunikációt a következő bevezetési fázishoz. Például:
- Ha különböző felhasználók vagy csoportok nem szívesen regisztrálják személyes eszközeiket, fontolja meg a Teams-hívásokat a gyakori kérdések megválaszolásához.
- Ha a felhasználók ugyanazokkal a problémákkal rendelkeznek a szervezet tulajdonában lévő eszközök regisztrálása során, akkor személyes eseményt kell üzemeltetniük, amely segít a felhasználóknak az eszközök regisztrálásában.
- A kezdeti bevezetési fázisokban győződjön meg arról, hogy a támogatási csoport összes szintje dokumentálja a problémákat és a megoldásokat. Keressen mintákat, és állítsa be a kommunikációt a következő bevezetési fázishoz. Például:
Hozzon létre egy ügyfélszolgálati munkafolyamatot, és folyamatosan tájékoztassa a támogatási problémákat, trendeket és egyéb fontos információkat a támogatási csapat összes szintjével. Tartson például napi vagy heti Teams-értekezleteket, hogy minden szint tisztában legyen a trendekkel, mintákkal, és segítséget kapjon.
Az alábbi példa bemutatja, hogyan valósítja meg a Contoso az informatikai támogatási vagy segélyszolgálati munkafolyamatokat:
- A végfelhasználó az 1. szintű informatikai támogatási vagy segélyszolgálathoz fordul regisztrálási problémával.
- Az informatikai támogatás vagy az ügyfélszolgálat 1. szintje nem tudja meghatározni a kiváltó okot, és a 2. szintre eszkalál.
- Az informatikai támogatás vagy az ügyfélszolgálat 2. rétegbeli vizsgálatai. A 2. réteg nem tudja megoldani a problémát, és a 3. szintre eszkalál, és további információkat nyújt a probléma megoldásához.
- Az informatikai támogatás vagy az ügyfélszolgálat 3. rétege megvizsgálja, meghatározza a kiváltó okot, és közli a megoldást a 2. és az 1. szinttel.
- Az informatikai támogatás/segélyszolgálat 1. szintje kapcsolatba lép a felhasználókval, és megoldja a problémát.
Ez a megközelítés, különösen a Intune bevezetésének korai szakaszában, számos előnnyel jár, többek között:
- Segítség a technológia megismeréséhez
- Problémák gyors azonosítása és megoldása
- Az általános felhasználói élmény javítása
A segélyszolgálat és a támogatási csoportok képzése. Regisztráltassa a szervezetben használt különböző platformokat futtató eszközöket, hogy tisztában legyenek a folyamattal. Érdemes lehet az ügyfélszolgálatot és a támogatási csapatokat próbacsoportként használni a forgatókönyveihez.
Vannak elérhető képzési források, például YouTube-videók, Microsoft-oktatóanyagok a Windows Autopilot-forgatókönyvekről, megfelelőségről, konfigurációról és tanfolyamokról a képzési partnereken keresztül.
Az alábbi példa egy Intune támogatási képzési terv:
- támogatási csomag Intune áttekintése
- Intune áttekintése
- Gyakori problémák elhárítása
- Eszközök és erőforrások
- Q & A
A közösségalapú Intune fórum és a végfelhasználói dokumentáció szintén nagyszerű forrás.