Руководство по планированию высокого уровня для перехода к облачным конечным точкам
Совет
При чтении об облачных собственных конечных точках вы увидите следующие термины:
- Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
- Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
- Облачные собственные конечные точки: конечные точки, присоединенные к Microsoft Entra. Они не присоединены к локальной AD.
- Рабочая нагрузка: любая программа, служба или процесс.
В этом высокоуровневом руководстве по планированию содержатся идеи и предложения, которые следует учитывать при реализации и миграции на облачные конечные точки. В нем обсуждается управление устройствами, просмотр и перенос существующих рабочих нагрузок, внесение организационных изменений, использование Windows Autopilot и многое другое.
Данная функция применяется к:
- Облачные конечные точки Windows
Перемещение конечных точек Windows в облако имеет множество преимуществ, включая долгосрочные преимущества. Это не мгновенный процесс, и его необходимо планировать, чтобы избежать проблем, сбоев и негативного воздействия на пользователей.
Дополнительные сведения о преимуществах для организации и ваших пользователей см. в разделе Что такое облачные конечные точки.
Чтобы добиться успеха, рассмотрите ключевые области, описанные в этой статье, для планирования и развертывания. При правильном планировании, коммуникациях и обновлении процессов ваша организация может полностью перейти на облачные технологии.
Управление устройствами с помощью облачного поставщика MDM
Управление вашими конечными точками, в том числе облачными конечными точками, является важной задачей для всех организаций. При работе с облачными конечными точками используемые вами инструменты управления должны управлять конечными точками, где бы они ни находились.
Если вы в настоящее время не используете решение для управления мобильными устройствами (MDM) или хотите перейти на решение Майкрософт, то следующие статьи являются хорошими ресурсами:
В семействе продуктов и служб Microsoft Intune доступны следующие варианты управления конечными точками:
Microsoft Intune. Intune на 100 % основан на облаке и использует Центр администрирования Intune для управления устройствами, управления приложениями на устройствах, создания & развертывания политик, просмотра данных отчетов и многого другого.
Дополнительные сведения об использовании Intune для управления конечными точками см.:
Microsoft Configuration Manager. Configuration Manager использует локальную инфраструктуру и может управлять серверами. При совместном управлении некоторые рабочие нагрузки используют Configuration Manager (локально), а некоторые — Microsoft Intune (облачно).
Для облачных конечных точек ваши решения Configuration Manager должны использовать шлюз управления облачными средами (CMG) и совместное управление.
Проверьте свою конечную точку и рабочие нагрузки пользователей.
На высоком уровне для развертывания облачных конечных точек требуются современные стратегии удостоверения, распространения программного обеспечения, управления устройствами, обновлений ОС, а также управления пользовательскими данными и конфигурацией. У Microsoft есть решения, поддерживающие эти области для ваших облачных конечных точек.
Для начала просмотрите каждую рабочую нагрузку и определите, как она может или будет поддерживать ваши собственные облачные конечные точки. Некоторые рабочие нагрузки могут уже поддерживать облачные конечные точки. Встроенная поддержка зависит от конкретной рабочей нагрузки, того, как ваша организация реализует службы рабочей нагрузки и как ваши пользователи используют эти службы.
Чтобы определить, поддерживают ли ваши рабочие нагрузки облачные конечные точки, вам необходимо изучить и проверить эти службы.
Если служба или решение не поддерживает собственные облачные конечные точки, определите их влияние и важность для ваших пользователей и вашей организации. Когда у вас есть эти сведения, вы можете определить следующие шаги, которые могут включать:
- Работа с поставщиком услуг
- Обновление до новой версии
- Использование новой службы
- Реализация временного решения для доступа и использования этой службы из облачной конечной точки
- Проверка требований к службе
- Принятие того, что служба не является облачной, что может быть приемлемо для ваших пользователей и вашей организации.
В любом случае вам следует планировать обновление своих рабочих нагрузок для поддержки облачных конечных точек.
Ваши рабочие нагрузки должны иметь следующие характеристики:
- Безопасный доступ к приложениям и данным из любого места, где находятся пользователи. Доступ не требует подключения к корпоративной или внутренней сети.
- Размещено в облачной службе, размещено облачной службой или размещено через облачную службу.
- Не требует и не зависит от конкретного устройства.
Общие рабочие нагрузки и решения
Облачные конечные точки также включают службы и рабочие нагрузки, поддерживающие конечные точки.
Следующие рабочие нагрузки — это конфигурация, инструменты, процессы и службы для повышения производительности пользователей и управления конечными точками.
Ваши точные рабочие нагрузки, сведения и способы обновления рабочих нагрузок для облачных конечных точек могут отличаться. Кроме того, вам не нужно переносить каждую рабочую нагрузку. Но вам необходимо учитывать каждую рабочую нагрузку, ее влияние на производительность пользователей и возможности управления устройствами. Преобразование некоторых рабочих нагрузок для использования облачных конечных точек может занять больше времени, чем другие. Рабочие нагрузки также могут иметь взаимозависимости друг от друга.
Удостоверение устройства
Удостоверение устройства определяется поставщиками удостоверений (IdP), которые знают об устройстве и имеют доверительные отношения с устройством. Для конечных точек Windows чаще всего используются локальные поставщики удостоверений Active Directory (AD) и Идентификатор Microsoft Entra. Конечные точки с удостоверениями одного из этих IdP обычно присоединяются к одному или к обоим.
- Для облачных конечных точек присоединение к Microsoft Entra является лучшим выбором для удостоверения устройства. Для этого не требуется никакого подключения к локальной сети, ресурсу или службе.
- Локальное присоединение к AD и гибридное присоединение к Microsoft Entra требует подключения к локальному контроллеру домена. Им необходимо подключение для первоначального входа пользователей, для доставки групповых политик и смены паролей. Эти параметры не подходят для облачных конечных точек.
Примечание.
Регистрация Microsoft Entra, которую иногда называют присоединением к рабочему месту, предназначена только для сценариев использования собственного устройства (BYOD). Его не следует использовать для конечных точек Windows, принадлежащих организации. Некоторые функции могут не поддерживаться или работать должным образом в зарегистрированных конечных точках Windows Microsoft Entra.
Подготовка конечных точек
Для только что развернутых конечных точек присоединения к Microsoft Entra используйте Windows Autopilot для предварительной настройки устройств. Присоединение к Microsoft Entra обычно является задачей, управляемой пользователем, и Windows Autopilot разработан с учетом пользователей. Windows Autopilot позволяет выполнять подготовку с использованием облака из любого места в Интернете и любым пользователем.
Для получения дополнительных сведений перейдите по ссылке:
Развертывание программного обеспечения и приложений
Большинство пользователей нуждается в программном обеспечение и приложениях, не входящих в базовую операционную систему и использует их. Во многих случаях ИТ-отдел не знает или не понимает конкретных требований к приложению. Однако за доставку этих приложений и управление ими по-прежнему отвечает ваша ИТ-команда. У пользователей должна быть возможность запрашивать и устанавливать приложения, необходимые им для выполнения их работы, независимо от того, какую конечную точку они используют или откуда они ее используют.
Для развертывания программного обеспечения и приложений используйте облачную систему, например Intune или Configuration Manager (с CMG и совместным управлением).
Создайте базовый набор приложений, которые должны быть на ваших конечных точках, например Microsoft Outlook и Teams. Для других приложений разрешите пользователям устанавливать свои собственные приложения.
На конечных точках вы можете использовать приложение корпоративного портала в качестве репозитория приложений. Или используйте портал для пользователей со списком приложений, которые можно установить. Этот вариант самообслуживания сокращает время подготовки новых и существующих устройств. Это также снижает нагрузку на ИТ, и вам не придется развертывать приложения, которые не нужны пользователям.
Для получения дополнительных сведений перейдите по ссылке:
Настройка параметров устройства с помощью политик
Управление политиками и безопасностью является основой управления конечными точками. Политики конечных точек позволяют вашей организации применять определенный базовый уровень безопасности и стандартную конфигурацию на управляемых конечных точках. Существует множество параметров, которыми вы можете управлять и контролировать их на своих конечных точках. Создайте политики, которые настраивают только то, что требуется в базовых планах. Не создавайте политики, управляющие общими предпочтениями пользователей.
Традиционное применение политик с использованием групповой политики невозможно с облачными конечными точками. Вместо этого вы можете использовать Intune для создания политик для настройки многих параметров, включая встроенные функции, такие как каталог параметров и административные шаблоны.
Аналитика групповой политики в Intune может анализировать ваши локальные объекты групповой политики, проверять, поддерживаются ли те же параметры в облаке, и создавать политику с использованием этих параметров.
Если у вас есть сертификат наличия политик, которые выпускают, управляют BitLocker и требуют защиты конечных точек, необходимо создавать новые политики в Intune или Configuration Manager (с CMG и совместное управление).
Для получения дополнительных сведений перейдите по ссылке:
- Использование сертификатов для проверки подлинности в Microsoft Intune
- Политика шифрования диска для безопасности конечных точек в Intune
- Добавление параметров Endpoint Protection в Intune
- Сертификаты в диспетчере конфигураций
- Управление BitLocker в Configuration Manager
- Защита конечных точек в Configuration Manager
Развертывание обновлений безопасности, функций и приложений
Многие локальные решения не могут развертывать обновления на облачных конечных точках или развертывать их эффективно. С точки зрения безопасности эта рабочая нагрузка может быть самой важной. Это должна быть первая рабочая нагрузка, которую вы переводите на поддержку облачных конечных точек Windows.
Развертывайте обновления Windows с помощью облачной системы, такой как Центр обновления Windows для бизнеса. Используя Intune или Configuration Manager (с CMG и совместным управлением), вы можете использовать Центр обновления Windows для бизнеса для развертывания обновлений безопасности и обновлений функций.
Для получения дополнительных сведений перейдите по ссылке:
Разверните обновления приложения Microsoft 365, используя следующие параметры:
- Intune. Создайте политику, которая устанавливает канал обновления, удаляет другие версии приложений и т. д.
- Configuration Manager (с CMG и совместным управлением). Управляйте своими приложениями, включая обновление статистики, копирование, вывод из эксплуатации и многое другое. управление приложениями, включая статистику обновлений, копировать, и не только.
Для получения дополнительных сведений перейдите по ссылке:
Управление данными и параметрами пользователя
Пользовательские данные включают в себя следующие элементы:
- Пользовательские документы
- Параметры почтового приложения
- Избранное веб-браузера
- Данные, относящиеся к бизнес-приложениям (LOB)
- Параметры конфигурации бизнес-приложений (LOB)
Пользователям необходимо создавать и получать доступ к своим данным с любой конечной точки. Эти данные также должны быть защищены и, возможно, потребуется поделиться ими с другими пользователями.
Храните пользовательские данные и параметры в поставщике облачных хранилищ, например Microsoft OneDrive. Поставщики облачных хранилищ могут выполнять синхронизацию данных, совместное использование, автономный доступ, разрешение конфликтов и многое другое.
Дополнительные сведения см. в руководстве по OneDrive для предприятий.
Важно!
Некоторые пользовательские параметры, такие как параметры ОС или параметры конкретного приложения, хранятся в реестре. Доступ к этим параметрам из любого места может оказаться нереалистичным, а синхронизация с разными конечными точками может быть запрещена.
Возможно, эти параметры можно экспортировать, а затем импортировать на другое устройство. Например, вы можете экспортировать пользовательские параметры из Outlook, Word и других приложений Office.
Доступ к локальным ресурсам
Некоторые организации не могут перенести некоторые рабочие нагрузки на облачные решения. Единственным вариантом может быть доступ к существующим локальным ресурсам или службам из облачной конечной точки. Для этих сценариев пользователям необходим доступ.
Для этих локальных служб, ресурсов и приложений рассмотрите следующие задачи:
Проверка подлинности и авторизация. Чтобы получить доступ к локальным ресурсам из собственных облачных конечных точек, пользователям необходимо пройти проверку подлинности и подтвердить свою личность. Для получения более подробных сведений перейдите к разделу Проверка подлинности и доступ к локальным ресурсам с помощью облачной конечной точки.
Подключение. Проверьте и оцените приложения & ресурсов, которые живут только локально. Подключение и доступ к этим ресурсам должны быть доступны за пределами предприятия и без какого-либо прямого подключения, такого как VPN. Эта задача может включать в себя переход на версии приложений SaaS, используя Microsoft Entra Application Proxy, Виртуальный рабочий стол Azure, Windows 365, SharePoint, OneDrive или Microsoft Teams.
Примечание.
Microsoft Entra не поддерживает протокол проверки подлинности Kerberos. Локальная служба AD поддерживает протокол проверки подлинности Kerberos. В планировании вы можете узнать больше о Microsoft Entra Kerberos. После настройки пользователи входят в облачную конечную точку с помощью учетной записи Microsoft Entra и могут получать доступ к локальным приложениям или службам, использующим проверку подлинности Kerberos.
Microsoft Entra Kerberos:
- Не используется в облачных решениях.
- Не устраняет проблем с подключением к ресурсам, для которых требуется проверка подлинности с помощью Microsoft Entra.
- Не является ответом или обходом для каких-либо требований к проверке подлинности домена с помощью Microsoft Entra.
- Не устраняет проблемы проверки подлинности компьютера, перечисленные в разделе Известные проблемы и важные сведения.
Чтобы получить более глубокое представление о Microsoft Entra Kerberos и сценариях, которые он может решить, перейдите в следующие блоги:
- Почему мы создали Microsoft Entra Kerberos (открывает внешний веб-сайт)
- Подробное руководство. Как работает Microsoft Entra Kerberos (открывается другой веб-сайт Майкрософт)
- Как работает Microsoft Entra Kerberos (syfuhs.net) (открывает внешний веб-сайт)
Переносите рабочие нагрузки поэтапно
Модернизация рабочих нагрузок и внедрение облачных конечных точек требуют внесения изменений в операционные процессы и процедуры. Например:
- Администраторам необходимо понимать, как изменения существующих рабочих нагрузок могут повлиять на их процессы.
- Службе поддержки необходимо понимать новые сценарии, которые они будут поддерживать.
Анализируя конечные точки и рабочие нагрузки, разбейте переход на этапы. В этом разделе представлен обзор некоторых рекомендуемых этапов, которые может использовать ваша организация. Эти фазы можно повторять столько раз, сколько необходимо.
✅ Этап 1. Получите сведения о своих рабочих нагрузках
Этот этап является этапом сбора сведений. Это поможет вам определить объем того, что вы должны учитывать для перехода вашей организации к облачным технологиям. Это включает в себя точное определение того, какие службы, продукты и приложения связаны с каждой рабочей нагрузкой в вашей среде.
На этом этапе:
Инвентаризация сведений о текущей рабочей нагрузке и сведений. Например, узнайте о текущем состоянии, о том, что они предоставляют, кому они обслуживают, кто их обслуживает, имеет ли они решающее значение для облака и как они размещаются.
Когда у вас есть эти сведения, вы можете понять и определить конечную цель, которая должна быть:
- Поддержка облачных конечных точек
- Знание служб, продуктов и приложений, используемые каждой рабочей нагрузкой
Необходимо координировать работу с владельцами различных служб, продуктов и приложений. Вы хотите убедиться, что облачные конечные точки поддерживают производительность пользователей без ограничений по подключению или расположению.
Примеры общих служб и приложений включают бизнес-приложения (LOB), внутренние веб-сайты, общие файловые ресурсы, требования проверки подлинности, механизмы обновления приложений и ОС, а также конфигурацию приложений. По сути, они включают в себя все, что нужно пользователям для полноценного выполнения своей работы.
Проверьте конечное состояние для каждой рабочей нагрузки. Определите известные блокираторы, которые не позволяют достичь этого конечного состояния или препятствуют поддержке облачных конечных точек.
Некоторые рабочие нагрузки, их службы и приложения уже могут быть совместимы с облаком или включены. Некоторые не могут. Для получения конечного состояния для каждой рабочей нагрузки могут потребоваться инвестиции организации & усилий. Это может быть обновление программного обеспечения, "подъем и переход" на новую платформу, миграция на новое решение или внесение изменений в конфигурацию.
Шаги, необходимые для каждой рабочей нагрузки, различаются в каждой организации. Они зависят от того, как служба или приложение размещены и доступны пользователям. Это конечное состояние должно решать основную проблему, заключающуюся в том, чтобы пользователи могли выполнять свою работу на облачной конечной точке, независимо от расположения или подключения к внутренней сети.
На основе каждого определенного конечного состояния вы можете обнаружить или определить, что облачная поддержка службы или приложения затруднена или заблокирована. Такая ситуация может возникнуть по разным причинам, включая технические или финансовые ограничения. Эти ограничения должны быть четкими и понятными. Необходимо проверить их влияние и определить, как перемещать каждую рабочую нагрузку, чтобы обеспечить удобство использования облака.
✅Этап 2. Расставьте приоритеты для любых блокировщиков
После определения ключевых рабочих нагрузок и их блокираторов конечного состояния, сделайте следующее:
Расставьте приоритеты для каждого блокировщика и оцените каждый блокировщик для разрешения.
Возможно, вы не хотите или не должны обращаться ко всем блокировщикам. Например, в вашей организации могут быть рабочие нагрузки или часть рабочих нагрузок, которые не поддерживают облачные конечные точки. Это отсутствие поддержки может иметь или не иметь значения для вашей организации или пользователей. Вы и ваша организация можете принять это решение.
Для поддержки тестирования и подтверждения концепции (POC) начните с минимального набора рабочих нагрузок. Цель состоит в том, чтобы протестировать и проверить выборку ваших рабочих нагрузок.
В рамках POC определите набор пользователей и устройств в пилотной версии для запуска реального производственного сценария. Этот шаг помогает проверить, обеспечивает ли конечное состояние производительность пользователей.
Во многих организациях есть роль или бизнес-группа, которую проще перенести. Например, в POC можно нацелиться на следующие сценарии:
- Высокомобильная команда по продажам, чьими основными требованиями являются инструменты повышения производительности и онлайн-решение для управления взаимоотношениями с клиентами.
- Сотрудники по работе с знаниями, которые в основном получают доступ к содержимому, которое уже находится в облаке, и в значительной степени полагаются на приложения Microsoft 365
- Устройства персонала по работе с клиентами, которые отличаются высокой мобильностью или находятся в средах, где у них нет доступа к сети организации.
Для этих групп просмотрите их рабочую нагрузку. Определите, как эти рабочие нагрузки можно перенести на современное управление, включая идентификацию, распространение программного обеспечения, управление устройствами и многое другое.
Для каждой из областей в вашем пилотном проекте количество элементов или задач должно быть небольшим. Этот начальный пилотный проект поможет вам создать процессы и процедуры, необходимые для большего количества групп. Это также помогает создать вашу долгосрочную стратегию.
Дополнительные рекомендации и советы см. в руководстве по планированию Microsoft Intune. Он относится к Intune, но также содержит некоторые рекомендации по использованию пилотных групп и созданию планов развертывания.
✅ Этап 3. Перенесите рабочие нагрузки
На этом этапе вы готовы реализовать свои изменения.
Переместите незаблокированные рабочие нагрузки в запланированные облачные решения или конечное состояние. В идеале этот шаг разбивается на небольшие рабочие элементы. Цель состоит в том, чтобы продолжать бизнес-операции с минимальными перерывами.
После того, как первый набор рабочих нагрузок поддержит облачные конечные точки, определите дополнительные рабочие нагрузки и продолжите процесс.
✅ Этап 4. Подготовьте пользователей
Пользователи имеют различные возможности получения, развертывания и поддержки на своих устройствах. Администраторы должны:
- Просмотрите существующие процессы и документацию, чтобы определить, где изменения видны пользователям.
- Обновление документации.
- Создайте образовательную стратегию, чтобы поделиться изменениями и преимуществами, которые получат пользователи.
Поэтапный переход организации
Следующие этапы представляют собой высокоуровневый подход организаций к перемещению своей среды для поддержки облачных конечных точек Windows. Эти этапы параллельны переходу конечных точек и рабочих нагрузок пользователей. Они могут зависеть от частичного или полного перевода определенных рабочих нагрузок для поддержки облачных конечных точек Windows.
✅ Этап 1. Определение конечных точек, зависимостей и контрольных точек
Этот этап — первый шаг для перехода вашей организации к полностью облачной среде. Просмотрите имеющиеся в настоящее время, определите критерии успешности и начните планировать добавление устройств в Microsoft Entra.
Определите конечные точки, для которых требуется облачное удостоверение
- Для конечных точек, использующих доступ в Интернет, требуется облачное удостоверение. Вы добавите эти конечные точки в Microsoft Entra.
- Конечные точки, которые не используют Интернет или используются только локально, не должны иметь облачного удостоверения. Не переносите эти сценарии на облачные.
Определить зависимости
Рабочие нагрузки, пользователи и устройства имеют технические и нетехнические зависимости. Для перехода с минимальным воздействием на пользователей и организацию необходимо учитывать эти зависимости.
Например, зависимость может быть:
- Бизнес-процессы и непрерывность
- Стандарты безопасности
- Местное законодательство и нормативные акты
- Знание пользователей и использование рабочей нагрузки
- Средства, операционные затраты и бюджет
Для каждой рабочей нагрузки спросите: "На что влияет изменение служб, предоставляемых этой рабочей нагрузкой?". Вы должны учитывать последствия этого изменения.
Определите вехи и критерии успеха для каждой рабочей нагрузки
Каждая рабочая нагрузка имеет свои этапы и критерии успеха. Они могут основываться на использовании организацией рабочей нагрузки и ее применимости к конкретным конечным точкам и пользователям.
Чтобы понять и определить ход переноса, отслеживайте и контролируйте эту сведения.
Спланируйте развертывание Windows Autopilot
- Определите, как и когда устройства будут зарегистрированы в вашей организации.
- Определите и создайте необходимые групповые теги для целевых политик Windows Autopilot.
- Создайте свой профиль Windows Autopilot с его параметрами конфигурации и выберите устройства, которые получат ваш профиль.
Для получения дополнительных сведений перейдите по ссылке:
✅ Этап 2. Включите гибридную идентификацию конечной точки в облаке (необязательно)
Чтобы полностью использовать облако, корпорация Майкрософт рекомендует сбросить существующие конечные точки Windows в рамках цикла обновления оборудования. При сбросе конечная точка возвращается к заводским параметрам. Все приложения, параметры и персональные данные на устройстве удаляются.
Если вы не готовы к сбросу конечных точек, можно включить гибридное присоединение к Microsoft Entra. Облачное удостоверение создается для гибридных конечных точек присоединения к Microsoft Entra. Помните, что гибридное присоединение к Microsoft Entra по-прежнему требует локального подключения.
Помните, что гибридное присоединение к Microsoft Entra — это переходный шаг к переходу к облачной среде и не является конечной целью. Конечная цель состоит в том, чтобы все существующие конечные точки были полностью облачными.
Когда конечные точки полностью облачные, пользовательские данные хранятся в поставщике облачных хранилищ, например в OneDrive. Таким образом, при сбросе конечной точки пользовательские приложения, конфигурация и данные по-прежнему доступны и могут реплицироваться в только что подготовленную конечную точку.
Дополнительные сведения см. в статьях:
- Присоединено к Microsoft Entra и гибридное присоединение к Microsoft Entra
- Настройка гибридного присоединения к Microsoft Entra
Примечание.
У корпорации Майкрософт нет программы миграции для преобразования существующих конечных точек из локальных присоединенных к домену или гибридных присоединенных к Microsoft Entra конечных точек в присоединенные к Microsoft Entra. Корпорация Майкрософт рекомендует сбросить и повторно развернуть эти устройства в рамках обновления оборудования.
✅ Этап 3. Диспетчер конфигураций подключения к облаку (необязательно)
Если вы используете Configuration Manager, облачное подключение вашей среды к Microsoft Intune. Если вы не используете Configuration Manager, пропустите этот шаг.
При подключении к облаку вы можете удаленно управлять конечными точками клиента, совместно управлять конечными точками с помощью Intune (облако) и Configuration Manager (локально), а также получить доступ к Центру администрирования Intune.
Дополнительные сведения см. в статье Подключение облака к среде Configuration Manager и Просмотр Центра администрирования Microsoft Intune.
✅ Этап 4. Создание подтверждения концепции, присоединенного к Microsoft Entra
Этот критический этап может начаться в любой момент. Это помогает выявить потенциальные проблемы, неизвестные проблемы и проверить общую функциональность и решения этих проблем. Как и во всех POC, цель состоит в том, чтобы доказать и проверить функциональность в реальной корпоративной среде, а не в лабораторной среде.
Важные шаги на этом этапе:
Реализуйте минимальную базовую конфигурацию с помощью Intune.
Этот шаг очень важен. Вы не хотите вводить в свою сеть или производство конечные точки, которые:
- Не соблюдают стандарты безопасности вашей организации
- Не настроены для выполнения пользователями своей работы.
К этой минимальной конфигурации не применяются и не должны применяться все возможные конфигурации. Помните, что цель состоит в том, чтобы обнаружить больше конфигураций, необходимых для успешной работы пользователей.
Настройка Windows Autopilot для конечных точек, присоединенных к Microsoft Entra
Использование Windows Autopilot для подготовки новых конечных точек и повторной подготовки существующих конечных точек — это самый быстрый способ представить в организации системы, присоединенные к Microsoft Entra. Это важная часть POC.
Развертывание POC для систем, присоединенных к Microsoft Entra
Используйте сочетание конечных точек, представляющих разные конфигурации и пользователей. Вы хотите проверить это новое состояние системы как можно подробнее.
Только реальное производственное использование реальными производственными пользователями полностью подтвердит рабочие нагрузки и их функциональность. Благодаря естественному повседневному использованию конечных точек Microsoft Entra POC пользователи органично тестируют и проверяют рабочие нагрузки.
Создавайте контрольные списки важных для бизнеса функций и сценариев и передавайте эти списки пользователям POC. Контрольные списки индивидуальны для каждой организации и могут меняться по мере перехода рабочих нагрузок на облачные рабочие нагрузки.
Проверка функциональности
Проверка — это повторяющийся процесс. Он основан на рабочих нагрузках и их конфигурации в вашей организации.
Собирайте отзывы пользователей о конечных точках POC, рабочих нагрузках и их функциях. Эти отзывы должны исходить от пользователей, которые использовали собственные облачные конечные точки.
Могут быть обнаружены другие блокираторы, а также ранее неизвестные или неучтенные рабочие нагрузки или сценарии.
Используйте вехи и критерии успеха, ранее установленные для каждой рабочей нагрузки. Они помогут определить ход и объем POC.
✅ Этап 5. Присоединение Microsoft Entra к существующим конечным точкам Windows
На этом этапе выполняется перенос новой подготовки конечной точки Windows в присоединенную к Microsoft Entra. Как только все блокировщики и проблемы будут устранены, вы можете перевести существующие устройства на полностью облачные. Возможны следующие варианты:
Вариант 1. Замените ваши устройства.. Если срок службы устройств истек или они не поддерживают современные средства защиты, то их замена — лучший выбор. Современные устройства поддерживают новые и улучшенные функции безопасности, в том числе технологию Trusted Platform Module (TPM).
Вариант 2: сброс устройств Windows.. Если ваши существующие устройства поддерживают новые функции безопасности, вы можете сбросить параметры устройств. Во время запуска (OOBE) или при входе пользователей они могут присоединить устройства к Microsoft Entra.
Перед сбросом существующей конечной точки Windows обязательно выполните следующие действия:
- Удалите устройство в Intune.
- Удалите регистрацию устройств Windows Autopilot.
- Удалите существующий объект устройства Microsoft Entra.
Затем сбросьте устройство и повторно подготовьте конечную точку.
Когда устройства будут готовы, присоедините эти устройства к Microsoft Entra, используя оптимальный вариант для вашей организации. Дополнительные сведения см. в статье Устройства, присоединенные к Microsoft Entra , и Практическое руководство. Планирование реализации присоединения к Microsoft Entra.
Перемещение из объектов групповой политики (GPO)
Многие организации используют объекты групповой политики для настройки и управления своими конечными точками Windows.
Со временем это усложняется из-за отсутствия документации, отсутствия ясности в целях или требованиях политики, использования устаревших или нефункциональных политик и использования сложных функций. Например, это могут быть политики, включающие фильтры WMI, сложные структуры подразделений и использующие блокировку наследования, замыкание на себя или фильтрацию безопасности.
Управление параметрами с помощью Intune
Microsoft Intune имеет множество встроенных параметров, которые можно настроить и развернуть на собственных облачных конечных точках. При переходе на Intune для управления политиками у вас есть несколько вариантов.
Эти параметры не обязательно являются взаимоисключающими. Вы можете перенести часть политик и заново создать другие.
Вариант 1. Начать заново (рекомендуется). Intune имеет множество параметров для настройки конечных точек и управления ими. Вы можете создать политику, добавить и настроить параметры политики, а затем развернуть политику.
Многие существующие групповые политики включают политики, которые могут не применяться к собственным облачным конечным точкам. Начав с нуля, организация может проверить и упростить существующие принудительные политики, одновременно устраняя устаревшие, забытые или даже вредоносные политики. В Intune есть встроенные шаблоны, которые группируют общие параметры, такие как VPN, Wi-Fi, защита конечных точек и т. д.
Вариант 2. Миграция. Этот вариант включает отмену существующих политик и перенос их в механизм политик Intune. Это может быть обременительно и отнимать много времени. Например, у вас может быть много существующих групповых политик, и будут различия в параметрах на предприятии и в локальной среде. в облаке.
Если вы выберете этот вариант, вы должны просмотреть и проанализировать существующие групповые политики, а также определить, нужны ли они и действительны ли на ваших собственных облачных конечных точках. Вы хотите устранить ненужные политики, в том числе политики, которые могут привести к дополнительным затратам или ухудшить производительность системы или взаимодействие с пользователем. Не переносите свои групповые политики в Intune, пока не узнаете, что они делают.
Функции Intune, которые вы должны знать
Intune также содержит встроенные функции, которые помогут вам настроить собственные облачные конечные точки:
Аналитика групповой политики. Вы можете импортировать объекты групповой политики в Центре администрирования Microsoft Intune и выполнить анализ политик. Вы можете просмотреть политики, существующие в Intune, и просмотреть политики, которые устарели.
Если вы используете объекты групповой политики, то использование этого инструмента является важным первым шагом.
Дополнительные сведения см. в статье Аналитика групповой политики в Intune.
Каталог параметров. Просмотр всех параметров, доступных в Intune, а также создание, настройка и развертывание политики с использованием этих параметров. Задачи, которые вы можете выполнить с помощью каталога параметров в Intune, также могут быть хорошим ресурсом. Если вы создаете объекты групповой политики, то каталог параметров является естественным переходом к облачной конфигурации конечной точки.
В сочетании с аналитикой групповых политик вы можете развернуть политики, используемые локально, в облачных конечных точках.
Дополнительные сведения см. в разделе Каталог параметров в Intune.
Административные шаблоны. Эти шаблоны аналогичны шаблонам ADMX, используемым локально, и встроены в Intune. Вы их не скачиваете. Эти шаблоны включают множество параметров, управляющих функциями в Microsoft Edge, Internet Explorer, приложениях Microsoft Office, удаленном рабочем столе, OneDrive, паролях, PIN-кодах и многом другом.
Если вы используете административные шаблоны локально, их использование в Intune является естественным переходом.
Дополнительные сведения см. в статье Административные шаблоны в Intune.
Вы также можете использовать существующий набор политик ADMX для приложений Win32 и Desktop Bridge. Для получения дополнительных сведений перейдите по ссылке:
- Общие сведения о политиках ADMX — Windows Client Management
- Включить политики ADMX в MDM — управление клиентами Windows
- Прием политик ADMX приложений Win32 и Desktop Bridge — Управление клиентом Windows
Примечание.
Начиная с Windows 10 версии 1703, поддержка конфигурации политики управления мобильными устройствами (MDM) была расширена для разрешения доступа к выбранному набору административных шаблонов групповой политики (политики ADMX) для компьютеров с Windows с помощью поставщика службы настройки политики (CSP). Настройка политик ADMX в Policy CSP отличается от обычного способа настройки традиционной политики MDM.
Базовая конфигурация безопасности. Базовая конфигурация безопасности — это группа предварительно настроенных параметров Windows. Она помогает вам применять и обеспечивать детализированные параметры безопасности, рекомендованные группами безопасности. Когда вы создаете базовую конфигурацию безопасности, вы также можете настроить каждый базовый план, чтобы применять только те параметры, которые вам нужны.
Вы можете создать базовую конфигурацию безопасности для Windows, Microsoft Edge и т. д. Если вы не знаете, с чего начать, или вам нужны параметры безопасности, рекомендованные экспертами по безопасности, посмотрите базовые конфигурации безопасности.
Дополнительные сведения см. в статье Базовые показатели безопасности в Intune.
Используйте Windows Autopilot для подготовки новых или существующих конечных точек Windows.
Если вы покупаете конечные точки у OEM-производителя или партнера, вам следует использовать Windows Autopilot.
Ниже перечислены некоторые преимущества.
Встроенный процесс установки Windows. Он представляет фирменный, управляемый и упрощенный интерфейс для конечного пользователя.
Отправка конечных точек непосредственно конечным пользователям. Поставщики и OEM-производители могут отправлять конечные точки непосредственно вашим пользователям. Пользователи получают конечные точки, входят в систему со своей учетной записью организации (
user@contoso.com
), и Windows Autopilot автоматически подготавливает конечную точку.Эта функция помогает сократить накладные расходы и затраты, связанные с внутренними ИТ-процессами и доставкой, требующими большого количества контактов.
Для достижения наилучших результатов предварительно зарегистрируйте свои конечные точки у OEM-производителей или поставщиков. Предварительная регистрация помогает избежать задержек, которые могут возникнуть при регистрации конечных точек вручную.
Пользователи могут сами сбрасывать существующие конечные точки. Если у пользователей есть существующие конечные точки Windows, они могут сбрасывать устройства самостоятельно. При сбросе конечные точки восстанавливаются до минимального базового и управляемого состояния. Для этого не требуется дорогостоящее вмешательство ИТ-специалистов или физический доступ к конечной точке.
Примечание.
Не рекомендуется использовать Windows Autopilot для гибридного присоединения к Microsoft Entra новых подготовленных конечных точек. Это работает, но есть некоторые сложности. На недавно подготовленных конечных точках используйте Windows Autopilot для присоединения к Microsoft Entra (а не гибридное присоединение к Microsoft Entra).
Чтобы определить метод присоединения, подходящий для вашей организации, перейдите в раздел Присоединение к Microsoft Entra и Гибридное присоединение к Microsoft Entra.
Дополнительные сведения о Windows Autopilot см. по адресу:
- Обзор Windows Autopilot
- Сценарии и функции Windows Autopilot
- Часто задаваемые вопросы о Windows Autopilot.
Следуйте рекомендациям по облачным конечным точкам
- Обзор. Что такое облачные конечные точки?
- Руководство. Начало работы с облачными конечными точками Windows
- Концепция: присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra
- Концепция: собственные облачные конечные точки и локальные ресурсы
- 🡺 Руководство по планированию высокого уровня (Вы здесь)
- Известные проблемы и важные сведения