Udostępnij za pośrednictwem

Ustawianie urzędu zarządzania urządzeniami przenośnymi

  • Artykuł

Ustawienie urzędu zarządzania urządzeniami przenośnymi (MDM) określa metodę zarządzania urządzeniami. Jako administrator IT musisz ustawić urząd MDM, aby użytkownicy mogli rejestrować urządzenia do zarządzania. Należy również mieć przypisaną licencję Intune, aby ustawić urząd MDM.

Możliwe konfiguracje to:

  • Intune autonomiczne — zarządzanie tylko w chmurze, które można skonfigurować przy użyciu Azure Portal. Zawiera pełny zestaw możliwości, które Intune oferty. Ustaw urząd MDM w centrum administracyjnym Microsoft Intune.

  • Intune współzarządzanie — integracja rozwiązania w chmurze Intune z Configuration Manager dla urządzeń Windows 10. Intune można skonfigurować przy użyciu konsoli Configuration Manager. Konfigurowanie automatycznej rejestracji urządzeń w celu Intune.

  • Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365 — po aktywowaniu tej konfiguracji urząd MDM ma wartość "Office 365". Jeśli chcesz rozpocząć korzystanie z Intune, musisz kupić licencje Intune.

  • Podstawowa Mobilność i Zabezpieczenia współistnienia platformy Microsoft 365 — możesz dodać Intune do dzierżawy, jeśli już używasz Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365. Możesz ustawić urząd zarządzania na Intune lub Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365 dla każdego użytkownika, aby określić, która usługa jest używana do zarządzania urządzeniami zarejestrowanymi w rozwiązaniu MDM. Urząd zarządzania każdego użytkownika jest definiowany na podstawie licencji przypisanej do użytkownika:

    • Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365 zarządza urządzeniami użytkowników, którzy mają licencję tylko na Microsoft 365 Basic lub Standard.
    • Intune zarządza urządzeniami użytkowników, którzy mają licencję uprawnianą do jej używania.
    • Jeśli dodasz licencję uprawniającego Intune do użytkownika wcześniej zarządzanego przez Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365, jego urządzenia zostaną przełączone do zarządzania Intune. Aby uniknąć utraty Podstawowa Mobilność i Zabezpieczenia konfiguracji platformy Microsoft 365 na urządzeniach użytkowników, przed przełączeniem ich na Intune należy przypisać konfiguracje Intune użytkownikom.

Ustaw urząd MDM na Intune

  1. W centrum administracyjnym Microsoft Intune wybierz pomarańczowy baner, aby otworzyć ustawienie Mobile Zarządzanie urządzeniami Authority. Pomarańczowy transparent jest wyświetlany tylko wtedy, gdy nie ustawiono jeszcze urzędu MDM.

  2. W obszarze Mobile Zarządzanie urządzeniami Authority wybierz urząd MDM z następujących opcji:

    • urząd zarządzania urządzeniami przenośnymi Intune
    • Brak

    Zrzut ekranu przedstawiający ekran Intune ustawiania urzędu zarządzania urządzeniami przenośnymi.

Komunikat wskazuje, że urząd MDM został pomyślnie ustawiony na Intune.

Przepływ pracy interfejsu użytkownika administracji Intune

Po włączeniu zarządzania urządzeniami z systemem Android lub Apple Intune wysyła informacje o urządzeniach i użytkownikach w celu integracji z tymi usługami innych firm w celu zarządzania odpowiednimi urządzeniami.

Scenariusze, które dodają zgodę na udostępnianie danych, są uwzględniane w następujących przypadkach:

  • Możesz włączyć profile służbowe należące do użytkownika lub firmowego systemu Android Enterprise.
  • Włączasz i przekazujesz certyfikaty wypychania MDM firmy Apple.
  • Włączasz dowolną usługę firmy Apple, taką jak Device Enrollment Program, School Manager lub Volume Purchasing Program.

W każdym przypadku zgoda jest ściśle związana z uruchamianiem usługi zarządzania urządzeniami przenośnymi. Na przykład potwierdzenie, że Administracja IT zezwolił urządzeniom Google lub Apple na rejestrację. Dokumentacja dotycząca informacji udostępnianych po uruchomieniu nowych przepływów pracy jest dostępna w następujących lokalizacjach:

Najważniejsze zagadnienia

Po przejściu do nowego urzędu MDM jest pewien czas przejścia (do ośmiu godzin), zanim urządzenie zaewidencjonuje usługę i zsynchronizuje je z usługą. Musisz skonfigurować ustawienia w nowym urzędzie MDM, aby upewnić się, że zarejestrowane urządzenia będą nadal zarządzane i chronione po zmianie.

  • Urządzenia muszą łączyć się z usługą po zmianie, aby ustawienia nowego urzędu MDM (Intune autonomiczne) zastąpiły istniejące ustawienia na urządzeniu.
  • Po zmianie urzędu MDM niektóre podstawowe ustawienia (takie jak profile) z poprzedniego urzędu MDM pozostaną na urządzeniu przez maksymalnie siedem dni lub do momentu, gdy urządzenie połączy się z usługą po raz pierwszy. Należy jak najszybciej skonfigurować aplikacje i ustawienia (takie jak zasady, profile i aplikacje) w nowym urzędzie MDM i wdrożyć to ustawienie w grupach użytkowników zawierających użytkowników, którzy mają istniejące zarejestrowane urządzenia. Gdy tylko urządzenie nawiąże połączenie z usługą po zmianie urzędu MDM, otrzyma nowe ustawienia od nowego urzędu MDM i zapobiegnie lukom w zarządzaniu i ochronie.
  • Urządzenia, które nie mają skojarzonych użytkowników (zazwyczaj w przypadku programu Device Enrollment Program dla systemu iOS/iPadOS lub scenariuszy rejestracji zbiorczej) nie są migrowane do nowego urzędu MDM. W przypadku tych urządzeń należy skontaktować się z pomocą techniczną w celu udzielenia pomocy w celu przeniesienia ich do nowego urzędu MDM.

Współistnienie

Po włączeniu współistnienia można użyć Intune dla nowego zestawu użytkowników, a jednocześnie nadal korzystać z Podstawowa Mobilność i Zabezpieczenia dla istniejących użytkowników. Możesz kontrolować, które urządzenia są zarządzane przez Intune za pośrednictwem użytkownika. Intune zarządza wszystkimi urządzeniami zarejestrowanymi przez użytkownika, jeśli użytkownik ma licencję Intune lub używa Intune współzarządzania z Configuration Manager. W przeciwnym razie użytkownik jest zarządzany przez Podstawowa Mobilność i Zabezpieczenia.

Istnieją trzy główne kroki umożliwiające współistnienie:

  1. Przygotowanie
  2. Dodawanie Intune urzędu MDM
  3. Migracja użytkowników i urządzeń (opcjonalnie).

Przygotowanie

Przed włączeniem współistnienia z Podstawowa Mobilność i Zabezpieczenia należy wziąć pod uwagę następujące kwestie:

  • Upewnij się, że masz wystarczające licencje Intune dla użytkowników, których zamierzasz zarządzać za pośrednictwem Intune.
  • Sprawdź, którzy użytkownicy mają przypisane licencje Intune. Po włączeniu współistnienia każdy użytkownik, któremu przypisano już licencję Intune, przełączy swoje urządzenia na Intune. Aby uniknąć nieoczekiwanych przełączników urządzeń, zalecamy nie przypisywanie żadnych licencji Intune do momentu włączenia współistnienia.
  • Tworzenie i wdrażanie zasad Intune w celu zastąpienia zasad zabezpieczeń urządzeń, które zostały pierwotnie wdrożone za pośrednictwem portalu Office 365 Security & Compliance. Ta zamiana powinna zostać wykonana dla wszystkich użytkowników, którzy mają przejść z Podstawowa Mobilność i Zabezpieczenia do Intune. Jeśli do tych użytkowników nie przypisano żadnych zasad Intune, włączenie współistnienia może spowodować utratę Podstawowa Mobilność i Zabezpieczenia ustawień. Te ustawienia są tracone bez zamiany, na przykład zarządzane profile poczty e-mail. Nawet w przypadku zastąpienia zasad zabezpieczeń urządzeń zasadami Intune użytkownicy mogą zostać poproszeni o ponowne uwierzytelnienie swoich profilów poczty e-mail po przeniesieniu urządzenia do zarządzania Intune.
  • Nie można anulować aprowizacji Podstawowa Mobilność i Zabezpieczenia po jej skonfigurowaniu. Istnieją jednak kroki, które można wykonać, aby wyłączyć zasady. Aby uzyskać więcej informacji, zobacz Wyłączanie Podstawowa Mobilność i Zabezpieczenia.

Dodawanie Intune urzędu MDM

Aby włączyć współistnienie, należy dodać Intune jako urząd MDM dla swojego środowiska:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune przy użyciu praw administratora usługi Microsoft Entra Global lub Intune.

  2. Przejdź do pozycji Urządzenia.

  3. Zostanie wyświetlony baner Dodawanie urzędu MDM .

  4. Aby przełączyć urząd MDM z Office 365 na Intune i włączyć współistnienie, wybierz pozycję IntuneDodajurząd> MDM.

    Zrzut ekranu przedstawiający ekran Dodawanie urzędu MDM.

Migrowanie użytkowników i urządzeń (opcjonalnie)

Po włączeniu Intune urzędu MDM współistnienie jest aktywowane i można rozpocząć zarządzanie użytkownikami za pośrednictwem Intune. Opcjonalnie można przenieść urządzenia, które wcześniej były zarządzane przez Podstawowa Mobilność i Zabezpieczenia, aby były zarządzane przez Intune, przypisując tym użytkownikom licencję Intune. Urządzenia użytkowników przełączą się na Intune podczas następnego zaewidencjonowania rozwiązania MDM. Ustawienia, które zostały zastosowane do tych urządzeń za pośrednictwem Podstawowa Mobilność i Zabezpieczenia, nie są już stosowane i są usuwane z urządzeń.

Oczyszczanie urządzenia przenośnego po wygaśnięciu certyfikatu MDM

Certyfikat MDM jest odnawiany automatycznie, gdy urządzenia przenośne komunikują się z usługą Intune. Jeśli urządzenia przenośne zostaną wyczyszczone lub przez pewien czas nie będą komunikować się z usługą Intune, certyfikat MDM nie zostanie odnowiony. Urządzenie zostanie usunięte z Azure Portal 180 dni po wygaśnięciu certyfikatu MDM.

Usuwanie urzędu MDM

Nie można zmienić urzędu MDM z powrotem na Nieznany. Urząd MDM jest używany przez usługę do określania, do których urządzeń zarejestrowanych w portalu są raportowane (Microsoft Intune lub Podstawowa Mobilność i Zabezpieczenia dla platformy Microsoft 365).

Czego można oczekiwać po zmianie urzędu MDM

  • Gdy usługa Intune wykryje zmianę urzędu MDM dzierżawy, wysyła komunikat z powiadomieniem do wszystkich zarejestrowanych urządzeń. Komunikat powiadomienia monituje urządzenia o zaewidencjonowanie i synchronizację z usługą poza ich regularnym harmonogramem. W związku z tym wszystkie urządzenia włączone i online łączą się z usługą i otrzymują nowy urząd MDM. Nowy urząd zarządza urządzeniami i chroni je bez żadnych przerw. W związku z tym po zmianie urzędu MDM dla dzierżawy z Intune autonomicznej urządzenia będą nadal działać normalnie w ramach nowego urzędu MDM.

  • Urządzenia, które są włączane i w trybie online w trakcie lub wkrótce po zmianie urzędu MDM, występują z opóźnieniem. Opóźnienie może trwać do ośmiu godzin, w zależności od czasu następnego zaplanowanego regularnego zaewidencjonowania. W czasie opóźnienia urządzenia nie są zarejestrowane w usłudze w ramach nowego urzędu MDM. Po opóźnieniu urządzenia są w pełni zarejestrowane i działają w ramach nowego urzędu MDM.

    Ważna

    W okresie między zmianą urzędu MDM a przekazaniem odnowionego certyfikatu usługi APNs do nowego urzędu rejestracje nowych urządzeń i ewidencjonowanie urządzeń z systemem iOS/iPadOS kończy się niepowodzeniem. Dlatego ważne jest, aby przejrzeć i przekazać certyfikat USŁUGI APNs do nowego urzędu tak szybko, jak to możliwe po zmianie urzędu MDM.

  • Użytkownicy mogą szybko przejść do nowego urzędu MDM, ręcznie uruchamiając ewidencjonowanie z urządzenia do usługi. Użytkownicy mogą łatwo wprowadzić tę zmianę za pomocą aplikacji Portal firmy i rozpocząć sprawdzanie zgodności urządzeń.

  • Aby sprawdzić, czy wszystko działa poprawnie po zaewidencjonowaniu urządzeń i zsynchronizowaniu ich z usługą po zmianie urzędu MDM, poszukaj urządzeń w nowym urzędzie MDM.

  • Istnieje okres przejściowy, gdy urządzenie jest w trybie offline podczas zmiany urzędu MDM i gdy urządzenie jest zaewidencjonowywane w usłudze. W okresie przejściowym ważne jest, aby chronić i utrzymywać funkcjonalność urządzenia. Aby chronić i obsługiwać funkcjonalność urządzenia, następujące profile pozostają na urządzeniu. Te profile pozostają na urządzeniu do siedmiu dni lub do momentu, gdy urządzenie połączy się z nowym urzędem MDM. Gdy urządzenie nawiąże połączenie i otrzyma nowe ustawienia, istniejące profile zostaną zastąpione:

    • Profil poczty e-mail
    • Profil sieci VPN
    • Profil certyfikatu
    • profil Wi-Fi
    • Profile konfiguracji

  • Po zmianie na nowy urząd MDM dokładne raportowanie danych zgodności w centrum administracyjnym Microsoft Intune może potrwać do tygodnia. Jednak stany zgodności w Tożsamość Microsoft Entra i na urządzeniu są dokładne, więc urządzenie jest nadal chronione.

  • Upewnij się, że nowe ustawienia przeznaczone do zastępowania istniejących ustawień mają taką samą nazwę jak poprzednie, aby zapewnić zastąpienie starych ustawień. W przeciwnym razie urządzenia mogą mieć nadmiarowe profile i zasady.

    Porada

    Najlepszym rozwiązaniem jest utworzenie wszystkich ustawień zarządzania i konfiguracji, a także wdrożeń wkrótce po zakończeniu zmiany urzędu MDM. Dzięki temu urządzenia są chronione i aktywnie zarządzane w okresie przejściowym.

  • Po zmianie urzędu MDM wykonaj następujące kroki, aby sprawdzić, czy nowe urządzenia zostały pomyślnie zarejestrowane w nowym urzędzie:

    • Rejestrowanie nowego urządzenia
    • Upewnij się, że nowo zarejestrowane urządzenie jest wyświetlane w nowym urzędzie MDM.
    • Wykonaj akcję, taką jak zdalne blokowanie, z centrum administracyjnego Microsoft Intune do urządzenia. Jeśli to się powiedzie, nowy urząd MDM zarządza urządzeniem.

  • Jeśli masz problemy z określonymi urządzeniami, możesz wyrejestrować i ponownie zarejestrować urządzenia, aby połączyć je z nowym urzędem i zarządzać nimi tak szybko, jak to możliwe.

Potwierdzanie urzędu MDM dzierżawy

Aby potwierdzić, że urząd MDM ma ustawioną wartość Intune, wykonaj następujące kroki:

  1. W centrum administracyjnym Microsoft Intune wybierz pozycję Stan dzierżawy administracji> dzierżawy.
  2. Na karcie Szczegóły dzierżawy znajdź urząd MDM.

Następne kroki

Po ustawieniu urzędu MDM możesz rozpocząć rejestrowanie urządzeń.