przewodnik planowania Microsoft Intune

Pomyślne wdrożenie lub migracja Microsoft Intune rozpoczyna się od planowania. Ten przewodnik ułatwia planowanie przenoszenia lub wdrażania Intune jako ujednoliconego rozwiązania do zarządzania punktami końcowymi.

Intune udostępnia organizacjom opcje wykonywania najlepszych czynności dla nich i wielu różnych urządzeń użytkowników. Urządzenia można rejestrować w Intune na potrzeby zarządzania urządzeniami przenośnymi (MDM) urządzeń z systemami Android, iOS/iPadOS, Linux, macOS i Windows. Można również użyć zasad ochrony aplikacji do zarządzania aplikacjami mobilnymi (MAM), które koncentrują się na ochronie danych aplikacji.

Ten przewodnik:

• Wyświetla listę i opisuje niektóre typowe cele dotyczące zarządzania urządzeniami
• Wyświetla listę potencjalnych potrzeb dotyczących licencjonowania
• Zawiera wskazówki dotyczące obsługi urządzeń należących do użytkownika
• Zaleca przegląd bieżących zasad i infrastruktury
• Przykłady tworzenia planu wdrożenia
• I nie tylko

Ten przewodnik służy do planowania przenoszenia lub migracji do Intune.

Porada

• Zestaw Intune Adoption Kit zawiera szablony wiadomości e-mail, plany projektów, arkusz kalkulacyjny planowania i nie tylko.
• Chcesz wydrukować lub zapisać ten przewodnik w formacie PDF? W przeglądarce internetowej użyj opcji Drukuj , Zapisz jako plik PDF.
• Ten przewodnik jest żywą istotą. Dlatego pamiętaj, aby dodać lub zaktualizować istniejące wskazówki i wskazówki, które zostały uznane za przydatne.

Krok 1. Określanie celów

Organizacje używają zarządzania urządzeniami przenośnymi (MDM) i zarządzania aplikacjami mobilnymi (MAM), aby bezpiecznie kontrolować dane organizacji i z minimalnymi zakłóceniami dla użytkowników. Podczas oceniania rozwiązania MDM/MAM, takiego jak Microsoft Intune, sprawdź, jaki jest cel i co chcesz osiągnąć.

W tej sekcji omówimy typowe cele podczas korzystania z Intune.

Cel: uzyskiwanie dostępu do aplikacji i poczty e-mail organizacji

Użytkownicy oczekują pracy na urządzeniach przy użyciu aplikacji organizacji, w tym odczytywania wiadomości e-mail i odpowiadania na nie, aktualizowania i udostępniania danych i nie tylko. W Intune można wdrażać różne typy aplikacji, w tym:

• Aplikacje platformy Microsoft 365
• Aplikacje Win32
• Aplikacje biznesowe (LOB)
• Aplikacje niestandardowe
• Aplikacje wbudowane lub aplikacje ze sklepu

✔️ Zadanie: tworzenie listy aplikacji, których użytkownicy regularnie używają

Te aplikacje to aplikacje, które mają być dostępne na ich urządzeniach. Kwestie do rozważenia:

• Wiele organizacji wdraża zestaw aplikacji pakietu Office na komputerach i tabletach, takich jak Word, Excel, OneNote, PowerPoint i Teams. Na mniejszych urządzeniach, takich jak telefony komórkowe, można zainstalować poszczególne aplikacje, w zależności od wymagań użytkownika.

  Na przykład zespół ds. sprzedaży może wymagać aplikacji Teams, Excel i SharePoint. Na urządzeniach przenośnych można wdrażać tylko te aplikacje, zamiast wdrażać cały pakiet Office.

• Użytkownicy oczekują, że będą odczytywać wiadomości e-mail i odpowiadać na nie oraz dołączać do spotkań na wszystkich urządzeniach, w tym na urządzeniach osobistych. Na urządzeniach należących do organizacji można wdrażać programy Outlook i Teams oraz zarządzać wszystkimi ustawieniami urządzenia i wszystkimi ustawieniami aplikacji, w tym wymaganiami dotyczącymi numeru PIN i hasła oraz zarządzać nimi.

  Na urządzeniach osobistych może nie mieć tej kontrolki. Dlatego określ, czy chcesz dać użytkownikom dostęp do aplikacji organizacji, takich jak poczta e-mail i spotkania.

  Aby uzyskać więcej informacji i zagadnień, przejdź do tematu Urządzenia osobiste a urządzenia należące do organizacji (w tym artykule).

Cel: Bezpieczny dostęp na wszystkich urządzeniach

Gdy dane są przechowywane na urządzeniach przenośnych, muszą być chronione przed złośliwym działaniem.

✔️ Zadanie: określanie sposobu zabezpieczania urządzeń

Programy antywirusowe, skanowanie złośliwego oprogramowania, reagowanie na zagrożenia i aktualizowanie urządzeń to ważne zagadnienia. Chcesz również zminimalizować wpływ złośliwych działań.

Kwestie do rozważenia:

• Ochrona przed oprogramowaniem antywirusowym (AV) i złośliwym oprogramowaniem to konieczność. Intune integruje się z Ochrona punktu końcowego w usłudze Microsoft Defender i różnymi partnerami usługi Mobile Threat Defense (MTD), aby chronić zarządzane urządzenia, urządzenia osobiste i aplikacje.

  Ochrona punktu końcowego w usłudze Microsoft Defender zawiera funkcje zabezpieczeń i portal ułatwiający monitorowanie zagrożeń i reagowanie na nie.

• W przypadku naruszenia zabezpieczeń urządzenia należy ograniczyć złośliwy wpływ przy użyciu dostępu warunkowego.

  Na przykład Ochrona punktu końcowego w usłudze Microsoft Defender skanuje urządzenie i określa, że zostało ono naruszone. Dostęp warunkowy może automatycznie blokować dostęp organizacji na tym urządzeniu, w tym do poczty e-mail.

  Dostęp warunkowy pomaga chronić sieć i zasoby przed urządzeniami, nawet urządzeniami, które nie są zarejestrowane w Intune.

• Zaktualizuj urządzenia, system operacyjny i aplikacje, aby zapewnić bezpieczeństwo danych. Utwórz plan dotyczący sposobu i momentu instalowania aktualizacji. Istnieją zasady w Intune, które ułatwiają zarządzanie aktualizacjami, w tym aktualizacjami do przechowywania aplikacji.

• Określanie sposobu uwierzytelniania użytkowników w zasobach organizacji z wielu urządzeń. Możesz na przykład:

  • Certyfikaty na urządzeniach służą do uwierzytelniania funkcji i aplikacji, takich jak nawiązywanie połączenia z wirtualną siecią prywatną (VPN), otwieranie programu Outlook i nie tylko. Te certyfikaty umożliwiają korzystanie z środowiska użytkownika bez hasła. Mniej hasła jest uważane za bezpieczniejsze niż wymaganie od użytkowników wprowadzenia nazwy użytkownika i hasła organizacji.

    Jeśli planujesz używać certyfikatów, użyj obsługiwanej infrastruktury kluczy publicznych (PKI) do tworzenia i wdrażania profilów certyfikatów.

  • Użyj uwierzytelniania wieloskładnikowego (MFA), aby uzyskać dodatkową warstwę uwierzytelniania na urządzeniach należących do organizacji. Możesz też używać uwierzytelniania wieloskładnikowego do uwierzytelniania aplikacji na urządzeniach osobistych. Można również używać danych biometrycznych, takich jak rozpoznawanie twarzy i odciski palców.

    Jeśli do uwierzytelniania użyjesz danych biometrycznych, upewnij się, że urządzenia obsługują dane biometryczne. Większość nowoczesnych urządzeń to robi.

  • Zaimplementuj wdrożenie Zero Trust. Dzięki Zero Trust używasz funkcji w Azure AD i Microsoft Intune, aby zabezpieczyć wszystkie punkty końcowe, używać uwierzytelniania bez hasła i nie tylko. Aby uzyskać więcej informacji, zobacz Zero Trust z Microsoft Intune.

Cel: dystrybucja it

Wiele organizacji chce dać różnym administratorom kontrolę nad lokalizacjami, działami itd. Na przykład grupa Administratorzy IT Charlotte kontroluje i monitoruje zasady w kampusie Charlotte. Administratorzy IT w Charlotte mogą wyświetlać tylko zasady lokalizacji Charlotte i zarządzać nimi. Nie widzą zasad dotyczących lokalizacji w Redmond ani nie zarządzają nimi. Takie podejście jest nazywane rozproszonym it.

W Intune rozproszona infrastruktura IT używa tagów zakresu, kategorii rejestracji urządzeń i wymaga zatwierdzenia przez wielu administratorów.

• Tagi zakresu używają kontroli dostępu opartej na rolach (RBAC). Dlatego tylko użytkownicy w określonej grupie mają uprawnienia do zarządzania zasadami i profilami dla użytkowników i urządzeń w ich zakresie.

• W przypadku korzystania z kategorii rejestracji urządzeń urządzenia są automatycznie dodawane do grup na podstawie utworzonych kategorii. Ta funkcja służy Azure AD grup dynamicznych i ułatwia zarządzanie urządzeniami.

  Gdy użytkownicy rejestrują swoje urządzenie, wybierają kategorię, taką jak Sprzedaż, administrator IT, urządzenie w punkcie sprzedaży itd. Po dodaniu ich do kategorii te grupy urządzeń są gotowe do odbierania zasad.

• Podczas tworzenia zasad przez administratorów można wymagać zatwierdzenia przez wielu administratorów dla określonych zasad, w tym zasad uruchamianych skryptów lub wdrażanych aplikacji.

✔️ Zadanie: określanie sposobu dystrybuowania reguł i ustawień

Reguły i ustawienia są wdrażane przy użyciu różnych zasad. Kwestie do rozważenia:

• Określ strukturę administratora. Na przykład możesz chcieć rozdzielić według lokalizacji, na przykład administratorów IT Charlotte lub administratorów IT firmy Cambridge. Możesz chcieć rozdzielić według roli, na przykład administratorzy sieci , którzy kontrolują cały dostęp do sieci, w tym sieć VPN.

  Te kategorie staną się tagami zakresu.

• Czasami organizacje muszą używać rozproszonego działu IT w systemach, w których duża liczba administratorów lokalnych łączy się z jedną dzierżawą Intune. Na przykład duża organizacja ma jedną dzierżawę Intune. Organizacja ma dużą liczbę administratorów lokalnych, a każdy administrator zarządza określonym systemem, regionem lub lokalizacją. Każdy administrator musi zarządzać tylko swoją lokalizacją, a nie całą organizacją.

  Jeden ze sposobów skalowania Microsoft Intune do obsługi wielu administratorów lokalnych, którzy zarządzają własnymi użytkownikami, urządzeniami i tworzą własne zasady w ramach jednej dzierżawy Microsoft Intune, jest opisany w rozproszonym środowisku IT z wieloma administratorami w tej samej dzierżawie Microsoft Intune.

• Wiele organizacji dzieli grupy według typu urządzenia, na przykład urządzenia z systemem iOS/iPadOS, Android lub Windows. Przykłady:

  • Rozpowszechniaj określone aplikacje na określonych urządzeniach. Na przykład wdróż aplikację microsoft shuttle na urządzeniach przenośnych w sieci Redmond.
  • Wdrażanie zasad w określonych lokalizacjach. Na przykład wdróż profil Wi-Fi na urządzeniach w sieci Charlotte, aby automatycznie łączyć się w zakresie.
  • Kontroluj ustawienia na określonych urządzeniach. Na przykład wyłącz aparat na urządzeniach z systemem Android Enterprise używanych na hali produkcyjnej, utwórz profil programu antywirusowego Windows Defender dla wszystkich urządzeń z systemem Windows lub dodaj ustawienia poczty e-mail do wszystkich urządzeń z systemem iOS/iPadOS.

  Te kategorie staną się kategoriami rejestracji urządzeń.

Cel: Przechowywanie danych organizacji w organizacji

Gdy dane są przechowywane na urządzeniach przenośnych, dane powinny być chronione przed przypadkową utratą lub udostępnianiem. Ten cel obejmuje również czyszczenie danych organizacji z urządzeń osobistych i należących do organizacji.

✔️ Zadanie: tworzenie planu obejmującego różne scenariusze wpływające na organizację

Niektóre przykładowe scenariusze:

• Urządzenie zostało utracone lub skradzione lub nie jest już używane. Użytkownik opuszcza organizację.

  • W Intune można usuwać urządzenia przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowanie ich. Można również automatycznie usuwać urządzenia, które nie zostały zaewidencjonowane przez x liczbę dni.
  • Na poziomie aplikacji można usunąć dane organizacji z aplikacji zarządzanych Intune. Selektywne czyszczenie danych doskonale nadaje się dla urządzeń osobistych, ponieważ przechowuje dane osobowe na urządzeniu i usuwa tylko dane organizacji.

• Na urządzeniach osobistych możesz uniemożliwić użytkownikom kopiowanie/wklejanie, robienie zrzutów ekranu lub przekazywanie wiadomości e-mail. Ochrona aplikacji zasady mogą blokować te funkcje na urządzeniach, których nie zarządzasz.

  Na zarządzanych urządzeniach (urządzeniach zarejestrowanych w Intune) można również kontrolować te funkcje przy użyciu profilów konfiguracji urządzeń. Profile konfiguracji urządzeń kontrolują ustawienia na urządzeniu, a nie w aplikacji. Na urządzeniach, które uzyskują dostęp do wysoce poufnych danych, profile konfiguracji urządzeń mogą uniemożliwiać kopiowanie/wklejanie, robienie zrzutów ekranu i nie tylko.

Aby uzyskać więcej informacji i zagadnień, przejdź do tematu Urządzenia osobiste a urządzenia należące do organizacji (w tym artykule).

Krok 2. Spis urządzeń

Organizacje mają szereg urządzeń, w tym komputery stacjonarne, laptopy, tablety, skanery ręczne i telefony komórkowe. Te urządzenia mogą być własnością organizacji lub być własnością użytkowników. Planując strategię zarządzania urządzeniami, rozważ wszystkie elementy, które będą uzyskiwać dostęp do zasobów organizacji, w tym urządzeń osobistych użytkowników.

Ta sekcja zawiera informacje o urządzeniu, które należy wziąć pod uwagę.

Obsługiwane platformy

Intune obsługuje urządzenia z systemami Android, iOS/iPadOS, macOS, Linux i Windows. W przypadku określonych wersji przejdź do obsługiwanych platform.

✔️ Zadanie: uaktualnianie lub zastępowanie starszych urządzeń

Jeśli urządzenia używają nieobsługiwanych wersji, które są przede wszystkim starszymi systemami operacyjnymi, nadszedł czas na uaktualnienie systemu operacyjnego lub zastąpienie urządzeń. Te starsze systemy operacyjne i urządzenia mogą mieć ograniczoną obsługę i mogą stanowić potencjalne zagrożenie dla bezpieczeństwa. To zadanie obejmuje komputery stacjonarne z systemem Windows 7, urządzenia iPhone 7 z oryginalnym systemem operacyjnym v10.0 itd.

Urządzenia osobiste a urządzenia należące do organizacji

Na urządzeniach osobistych jest to normalne i oczekiwane, że użytkownicy będą sprawdzać pocztę e-mail, dołączać do spotkań, aktualizować pliki i nie tylko. Wiele organizacji zezwala na urządzenia osobiste, a wiele organizacji zezwala tylko na urządzenia należące do organizacji.

Jako organizacja i administrator decydujesz, czy zezwolisz na korzystanie z urządzeń osobistych.

✔️ Zadanie: określanie sposobu obsługi urządzeń osobistych

Jeśli praca mobilna lub obsługa pracowników zdalnych jest ważna dla Twojej organizacji, rozważ następujące podejścia:

• Opcja 1. Na urządzeniach osobistych daj użytkownikom możliwość zarejestrowania się w Intune. Po zarejestrowaniu administratorzy w pełni zarządzają tymi urządzeniami, w tym wypychaniem zasad, kontrolowaniem funkcji i ustawień urządzeń, a nawet czyszczeniem urządzeń. Jako administrator możesz chcieć tej kontrolki lub możesz pomyśleć, że chcesz mieć tę kontrolkę.

  Gdy użytkownicy rejestrują swoje urządzenia osobiste, mogą nie zdawać sobie sprawy lub nie zrozumieć, że administratorzy mogą wykonywać dowolne czynności na urządzeniu, w tym przypadkowe wyczyszczenie lub zresetowanie urządzenia. Jako administrator możesz nie chcieć tej odpowiedzialności ani potencjalnego wpływu na urządzenia, które nie są własnością Twojej organizacji.

  Ponadto wielu użytkowników odmawia rejestracji. Znajdują inne sposoby uzyskiwania dostępu do zasobów organizacji. Na przykład wymagasz zarejestrowania urządzeń, aby używać aplikacji Outlook do sprawdzania poczty e-mail organizacji. Aby pominąć to wymaganie, użytkownicy otwierają dowolną przeglądarkę internetową na urządzeniu i logują się do dostępu do sieci Web programu Outlook, co może nie być tym, czego chcesz. Mogą też tworzyć zrzuty ekranu i zapisywać obrazy na urządzeniu, co również nie jest tym, czego chcesz.

  Jeśli wybierzesz tę opcję, poinformuj użytkowników o ryzyku i korzyściach związanych z rejestrowaniem ich urządzeń osobistych. Alternatywnie można użyć zasad ochrony aplikacji.

• Opcja 2. Na urządzeniach osobistych użyj zasad konfiguracji aplikacji i zasad ochrony aplikacji. Użytkownicy nie rejestrują się w Intune. Te urządzenia nie są zarządzane przez Ciebie.

  Użyj instrukcji Warunki i postanowienia z zasadami dostępu warunkowego. Jeśli użytkownicy nie wyrażą zgody, nie uzyskają dostępu do aplikacji. Jeśli użytkownicy wyrażą zgodę na instrukcję, rekord urządzenia zostanie dodany do Azure AD, a urządzenie stanie się znaną jednostką. Gdy urządzenie jest znane, możesz śledzić, do czego uzyskuje się dostęp z urządzenia.

  Następnie należy kontrolować dostęp i zabezpieczenia przy użyciu zasad aplikacji.

  Przyjrzyj się najczęściej używanym przez organizację zadaniu, takim jak poczta e-mail i dołączanie do spotkań. Użyj zasad konfiguracji aplikacji , aby skonfigurować ustawienia specyficzne dla aplikacji, takie jak Outlook. Użyj zasad ochrony aplikacji , aby kontrolować zabezpieczenia i dostęp do tych aplikacji.

  Na przykład użytkownicy mogą używać aplikacji Outlook na swoim urządzeniu osobistym do sprawdzania służbowej poczty e-mail. W Intune administratorzy tworzą zasady ochrony aplikacji Outlook, które używają uwierzytelniania wieloskładnikowego przy każdym otwarciu aplikacji Outlook, uniemożliwiają kopiowanie i wklejanie i nie tylko.

• Opcja 3. Chcesz , aby każde urządzenie było w pełni zarządzane. W tym scenariuszu udostępnij użytkownikom wszystkie potrzebne urządzenia, w tym telefony komórkowe. Zainwestuj w plan odświeżania sprzętu, aby użytkownicy nadal zapewniali produktywność i skuteczność. Zarejestruj te urządzenia należące do organizacji w Intune i zarządzaj nimi przy użyciu zasad.

  Ta opcja uniemożliwia korzystanie z urządzeń osobistych.

Najlepszym rozwiązaniem jest zawsze zakładanie, że dane opuszczą urządzenie. Upewnij się, że istnieją metody śledzenia i inspekcji. Aby uzyskać więcej informacji, zobacz Zero Trust z Microsoft Intune.

Zarządzanie komputerami stacjonarnymi

Intune może zarządzać komputerami stacjonarnymi z systemem Windows 10 i nowszym. System operacyjny klienta systemu Windows zawiera wbudowane nowoczesne funkcje zarządzania urządzeniami i usuwa zależności od lokalnych zasad grupy usługi Active Directory (AD). Zalety chmury można uzyskać podczas tworzenia reguł i ustawień w Intune oraz wdrażania tych zasad na wszystkich urządzeniach klienckich z systemem Windows, w tym na komputerach stacjonarnych i komputerach.

Aby uzyskać więcej informacji, przejdź do artykułu Scenariusz z przewodnikiem — nowoczesny pulpit zarządzany przez chmurę.

Jeśli urządzenia z systemem Windows są obecnie zarządzane przy użyciu Configuration Manager, nadal możesz zarejestrować te urządzenia w Intune. Takie podejście jest nazywane "współzarządzaniem". Współzarządzanie oferuje wiele korzyści, w tym uruchamianie akcji zdalnych na urządzeniu (ponowne uruchamianie, zdalne sterowanie, resetowanie do ustawień fabrycznych), dostęp warunkowy ze zgodnością urządzeń i nie tylko. Możesz również dołączyć urządzenia do Intune w chmurze.

Aby uzyskać więcej informacji, zobacz:

• Co to jest współzarządzanie
• Ścieżki do współzarządzania
• dołączanie dzierżawy Configuration Manager

✔️ Zadanie: sprawdź, czego obecnie używasz do zarządzania urządzeniami przenośnymi

Wdrożenie zarządzania urządzeniami przenośnymi może zależeć od tego, czego obecnie używa twoja organizacja, w tym od tego, czy to rozwiązanie korzysta z lokalnych funkcji lub programów.

Przewodnik wdrażania konfiguracji zawiera kilka dobrych informacji.

Kwestie do rozważenia:

• Jeśli obecnie nie używasz żadnej usługi mdm lub rozwiązania, przejście bezpośrednio do Intune może być najlepsze.

• W przypadku nowych urządzeń, które nie zostały zarejestrowane w Configuration Manager lub żadnego rozwiązania MDM, najlepszym rozwiązaniem może być przejście bezpośrednio do Intune.

• Jeśli obecnie używasz Configuration Manager, dostępne są następujące opcje:

  • Jeśli chcesz zachować istniejącą infrastrukturę i przenieść niektóre obciążenia do chmury, użyj współzarządzania. Korzystasz z obu usług. Istniejące urządzenia mogą odbierać niektóre zasady z Configuration Manager (lokalnie) i inne zasady z Intune (chmury).
  • Jeśli chcesz zachować istniejącą infrastrukturę i używać Intune do monitorowania urządzeń lokalnych, użyj dołączania dzierżawy. Korzystasz z centrum administracyjnego Intune, a jednocześnie używasz Configuration Manager do zarządzania urządzeniami.
  • Jeśli chcesz zarządzać urządzeniami za pomocą czystego rozwiązania w chmurze, przejdź do Intune. Istniejący użytkownicy Configuration Manager często wolą nadal używać Configuration Manager z dołączaniem dzierżawy lub współzarządzaniem.

  Aby uzyskać więcej informacji, przejdź do obciążeń współzarządzania.

Krok 3. Określanie kosztów i licencjonowania

Zarządzanie urządzeniami to relacja z różnymi usługami. Intune zawiera ustawienia i funkcje, które można kontrolować na różnych urządzeniach. Istnieją również inne usługi, które odgrywają kluczową rolę:

• Usługa Azure Active Directory (AD) Premium zawiera kilka funkcji, które są kluczowe dla zarządzania urządzeniami, w tym:

  • Windows Autopilot: urządzenia klienckie z systemem Windows mogą automatycznie rejestrować się w Intune i automatycznie odbierać zasady.
  • Uwierzytelnianie wieloskładnikowe :użytkownicy muszą wprowadzić co najmniej dwie metody weryfikacji, takie jak numer PIN, aplikacja wystawcy uwierzytelniania, odcisk palca i inne. Uwierzytelnianie wieloskładnikowe jest doskonałym rozwiązaniem w przypadku korzystania z zasad ochrony aplikacji dla urządzeń osobistych i urządzeń należących do organizacji, które wymagają dodatkowych zabezpieczeń.
  • Dostęp warunkowy: jeśli użytkownicy i urządzenia przestrzegają twoich reguł, takich jak 6-cyfrowy kod dostępu, uzyskują dostęp do zasobów organizacji. Jeśli użytkownicy lub urządzenia nie spełniają Twoich reguł, nie uzyskują dostępu.
  • Dynamiczne grupy użytkowników i dynamiczne grupy urządzeń: automatycznie dodaj użytkowników lub urządzenia do grup, gdy spełniają kryteria, takie jak miasto, stanowisko, typ systemu operacyjnego, wersja systemu operacyjnego i inne.

• Aplikacje platformy Microsoft 365 obejmują aplikacje, na których polegają użytkownicy, w tym outlook, Word, SharePoint, Teams, OneDrive i inne. Te aplikacje można wdrożyć na urządzeniach przy użyciu Intune.

• Ochrona punktu końcowego w usłudze Microsoft Defender ułatwia monitorowanie i skanowanie urządzeń klienckich z systemem Windows pod kątem złośliwych działań. Można również ustawić akceptowalny poziom zagrożenia. W połączeniu z dostępem warunkowym można zablokować dostęp do zasobów organizacji w przypadku przekroczenia poziomu zagrożenia.

• Usługa Microsoft Purview klasyfikuje i chroni dokumenty i wiadomości e-mail, stosując etykiety. W aplikacjach platformy Microsoft 365 możesz użyć tej usługi, aby zapobiec nieautoryzowanemu dostępowi do danych organizacji, w tym aplikacji na urządzeniach osobistych.

Wszystkie te usługi są objęte licencją Microsoft 365 E5.

Aby uzyskać więcej informacji, zobacz:

• licencjonowanie Microsoft Intune
• Microsoft 365 dla firm
• Licencjonowanie platformy Microsoft 365 dla przedsiębiorstw

✔️ Zadanie: określanie licencjonowanych usług, które są potrzebne organizacji

Kwestie do rozważenia:

• Jeśli twoim celem jest wdrożenie zasad (reguł) i profilów (ustawień) bez wymuszania co najmniej, potrzebne są:

  • Intune

  Intune jest dostępna w różnych subskrypcjach, w tym jako usługa autonomiczna. Aby uzyskać więcej informacji, przejdź do Microsoft Intune licencjonowania.

  Obecnie używasz Configuration Manager i chcesz skonfigurować współzarządzanie urządzeniami. Intune jest już uwzględniona w licencji Configuration Manager. Jeśli chcesz, aby nowe urządzenia lub istniejące współzarządzane urządzenia były w pełni zarządzane przez Intune, potrzebujesz oddzielnej licencji Intune.

• Chcesz wymusić reguły zgodności lub hasła utworzone w Intune. Wymagane są co najmniej następujące elementy:

  • Intune
  • Azure AD Premium

  Intune i Azure AD Premium są dostępne w Enterprise Mobility + Security. Aby uzyskać więcej informacji, przejdź do Enterprise Mobility + Security opcji cennika.

• Chcesz zarządzać aplikacjami platformy Microsoft 365 tylko na urządzeniach. Wymagane są co najmniej następujące elementy:

  • Microsoft 365 Basic Mobility and Security

  Aby uzyskać więcej informacji, zobacz:

  • Wybieranie między Podstawowa Mobilność i Zabezpieczenia lub Intune
  • Podstawowa Mobilność i Zabezpieczenia często zadawanych pytań

• Chcesz wdrożyć aplikacje platformy Microsoft 365 na urządzeniach i utworzyć zasady ułatwiające zabezpieczanie urządzeń, na których są uruchamiane te aplikacje. Wymagane są co najmniej następujące elementy:

  • Intune
  • Aplikacje platformy Microsoft 365

• Chcesz tworzyć zasady w Intune, wdrażać aplikacje platformy Microsoft 365 i wymuszać reguły i ustawienia. Wymagane są co najmniej następujące elementy:

  • Intune
  • Aplikacje platformy Microsoft 365
  • Azure AD Premium

  Ponieważ wszystkie te usługi są zawarte w niektórych planach platformy Microsoft 365, korzystanie z licencji platformy Microsoft 365 może być opłacalne. Aby uzyskać więcej informacji, przejdź do obszaru Plany licencjonowania platformy Microsoft 365.

Krok 4. Przegląd istniejących zasad i infrastruktury

Wiele organizacji ma istniejące zasady i infrastrukturę zarządzania urządzeniami, która jest tylko "utrzymywana". Na przykład możesz mieć 20-letnie zasady grupy i nie wiesz, co robią. Rozważając przejście do chmury, zamiast patrzeć na to, co zawsze robiliśmy, określ cel.

Mając na uwadze te cele, utwórz punkt odniesienia zasad. Jeśli masz wiele rozwiązań do zarządzania urządzeniami, teraz może być czas na użycie pojedynczej usługi zarządzania urządzeniami przenośnymi.

✔️ Zadanie: przyjrzyj się zadaniam uruchamianym lokalnie

To zadanie obejmuje przeglądanie usług, które mogą zostać przeniesione do chmury. Pamiętaj, że zamiast patrzeć na to, co zawsze robiłeś, określ cel.

Porada

Dowiedz się więcej o punktach końcowych natywnych dla chmury jest dobrym zasobem.

Kwestie do rozważenia:

• Przejrzyj istniejące zasady i ich strukturę. Niektóre zasady mogą być stosowane globalnie, niektóre stosowane na poziomie lokacji, a niektóre są specyficzne dla urządzenia. Celem jest poznanie i zrozumienie intencji zasad globalnych, intencji zasad lokalnych itd.

  Zasady lokalnych grup usług AD są stosowane w kolejności LSDOU — lokalnej, lokacji, domeny i jednostki organizacyjnej (OU). W tej hierarchii zasady jednostki organizacyjnej zastępuj zasady domeny, zasady domeny zastępuj zasady lokacji itd.

  W Intune zasady są stosowane do utworzonych użytkowników i grup. Nie ma hierarchii. Jeśli dwie zasady zaktualizuje to samo ustawienie, to ustawienie jest wyświetlane jako konflikt. Aby uzyskać więcej informacji, przejdź do sekcji Typowe pytania, problemy i rozwiązania dotyczące zasad i profilów urządzeń.

  Po przejściu z zasad grupy usługi AD do Intune, a po przejrzeniu zasad globalne usługi AD logicznie zaczną stosować się do grup, które masz lub grup, których potrzebujesz. Te grupy będą obejmować użytkowników i urządzenia, które mają być docelowe na poziomie globalnym, na poziomie witryny itd. To zadanie daje wyobrażenie o strukturze grupy, która będzie potrzebna w Intune.

• Przygotuj się do tworzenia nowych zasad w Intune. Intune zawiera kilka funkcji, które obejmują scenariusze, które mogą Cię zainteresować. Przykłady:

  • Punkty odniesienia zabezpieczeń: na urządzeniach Windows 10/11 punkty odniesienia zabezpieczeń są ustawieniami zabezpieczeń, które są wstępnie skonfigurowane do zalecanych wartości. Jeśli dopiero chcesz zabezpieczyć urządzenia lub potrzebujesz kompleksowego punktu odniesienia, zapoznaj się z punktami odniesienia zabezpieczeń.

  • Szablony administracyjne: na urządzeniach Windows 10/11 użyj szablonów ADMX, aby skonfigurować ustawienia zasad grupy dla systemów Windows, Internet Explorer, Office i Microsoft Edge w wersji 77 lub nowszej. Te szablony ADMX są tymi samymi szablonami ADMX używanymi w zasadach grupy usługi AD, ale są w 100% oparte na chmurze w Intune.

  • Zasady grupy: zaimportuj i przeanalizuj obiekty zasad grupy za pomocą analizy zasad grupy . Ta funkcja ułatwia określenie sposobu tłumaczenia obiektów zasad grupy w chmurze. Dane wyjściowe pokazują, które ustawienia są obsługiwane przez dostawców mdm, w tym Microsoft Intune. Wyświetlane są również wszystkie przestarzałe ustawienia lub ustawienia niedostępne dla dostawców MDM.

    Możesz również utworzyć zasady Intune na podstawie zaimportowanych ustawień. Aby uzyskać więcej informacji, przejdź do sekcji Tworzenie zasad wykazu ustawień przy użyciu zaimportowanych obiektów zasad grupy.

  • Scenariusze z przewodnikiem: Scenariusze z przewodnikiem to dostosowana seria kroków skoncentrowanych na kompleksowych przypadkach użycia. Te scenariusze automatycznie obejmują zasady, aplikacje, przypisania i inne konfiguracje zarządzania.

• Utwórz punkt odniesienia zasad , który zawiera minimalną liczbę celów. Na przykład:

  • Bezpieczna poczta e-mail: Co najmniej warto:

    • Tworzenie zasad ochrony aplikacji Outlook.
    • Włącz dostęp warunkowy dla Exchange Online lub nawiązywanie połączenia z innym lokalnym rozwiązaniem poczty e-mail.

  • Ustawienia urządzenia: Co najmniej warto:

    • Wymagaj sześcioznakowego numeru PIN, aby odblokować urządzenie.
    • Zapobiegaj tworzeniu kopii zapasowych osobistych usług w chmurze, takich jak iCloud lub OneDrive.

  • Profile urządzeń: co najmniej warto:

    • Utwórz profil sieci Wi-Fi ze wstępnie skonfigurowanymi ustawieniami łączącymi się z siecią bezprzewodową Wi-Fi Firmy Contoso.
    • Utwórz profil sieci VPN z certyfikatem umożliwiającym automatyczne uwierzytelnianie i nawiązanie połączenia z siecią VPN organizacji.
    • Utwórz profil poczty e-mail ze wstępnie skonfigurowanymi ustawieniami łączącymi się z programem Outlook.

  • Aplikacje: co najmniej warto:

    • Wdrażanie aplikacji platformy Microsoft 365 przy użyciu zasad ochrony aplikacji.
    • Wdrażanie biznesowych (LOB) za pomocą zasad ochrony aplikacji.

  Aby uzyskać więcej informacji na temat minimalnych zalecanych ustawień, przejdź do:

  • Krok 3. Tworzenie zasad zgodności
  • Krok 4. Tworzenie profilów konfiguracji urządzeń

• Przejrzyj bieżącą strukturę grup. W Intune można tworzyć i przypisywać zasady do grup użytkowników, grup urządzeń oraz dynamicznych grup użytkowników i urządzeń (wymaga Azure AD Premium).

  Podczas tworzenia grup w chmurze, takich jak Intune lub Microsoft 365, są one tworzone w Azure AD. Być może nie widzisz znakowania Azure AD, ale właśnie z tego korzystasz.

  • Tworzenie nowych grup może być łatwym zadaniem. Można je utworzyć w centrum administracyjnym Microsoft Intune. Aby uzyskać więcej informacji, przejdź do tematu Dodawanie grup w celu organizowania użytkowników i urządzeń.

  • Przeniesienie istniejących list dystrybucyjnych (DL) do Azure AD może być trudniejsze. Gdy biblioteki DLs znajdują się w Azure AD, te grupy mogą być używane przez Intune i microsoft 365. Aby uzyskać więcej informacji, zobacz:

    • Co to jest tożsamość hybrydowa w usłudze Azure Active Directory?
    • synchronizacja Azure AD Connect: omówienie i dostosowanie synchronizacji

  • Jeśli masz istniejące grupy Office 365, możesz przejść na platformę Microsoft 365. Istniejące grupy pozostają i otrzymujesz wszystkie funkcje i usługi platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz:

    • Co to jest platforma Microsoft 365?
    • Migracja do Microsoft 365 Enterprise
    • Uaktualnianie do platformy Microsoft 365 Business

• Jeśli masz wiele rozwiązań do zarządzania urządzeniami, przejdź do jednego rozwiązania do zarządzania urządzeniami przenośnymi. Zalecamy używanie Intune w celu ochrony danych organizacji w aplikacjach i na urządzeniach.

  Aby uzyskać więcej informacji, przejdź do Microsoft Intune bezpiecznego zarządzania tożsamościami, zarządzania aplikacjami i zarządzania urządzeniami.

Krok 5. Tworzenie planu wdrożenia

Następnym zadaniem jest zaplanowanie, w jaki sposób i kiedy użytkownicy i urządzenia otrzymają zasady. W tym zadaniu rozważ również:

• Zdefiniuj cele i metryki sukcesu. Te punkty danych umożliwiają tworzenie innych faz wdrażania. Upewnij się, że cele to SMART (konkretne, mierzalne, osiągalne, realistyczne i aktualne). Zaplanuj pomiar w stosunku do celów w każdej fazie, aby projekt wdrożenia był na bieżąco.
• Mają jasno zdefiniowane cele i cele. Uwzględnij te cele we wszystkich działaniach związanych z świadomością i szkoleniami, aby użytkownicy zrozumieli, dlaczego organizacja wybrała Intune.

✔️ Zadanie: tworzenie planu wdrażania zasad

Wybierz również sposób rejestrowania urządzeń przez użytkowników w Intune. Kwestie do rozważenia:

• Wprowadzanie zasad w fazach. Na przykład:

  • Rozpocznij od grupy pilotażowej lub testowej. Te grupy powinny wiedzieć, że są pierwszymi użytkownikami i być skłonne do przekazywania opinii. Ta opinia umożliwia ulepszenie konfiguracji, dokumentacji, powiadomień i ułatwienie użytkownikom przyszłego wdrożenia. Ci użytkownicy nie powinni być kierownikami ani vipami.

    Po początkowym testowaniu dodaj więcej użytkowników do grupy pilotażowej. Możesz też utworzyć więcej grup pilotażowych, które koncentrują się na innym wdrożeniu, na przykład:

    • Działy: Każdy dział może być fazą wdrażania. Naraz kierujesz do całego działu. W tym wdrożeniu użytkownicy w każdym dziale mogą używać swojego urządzenia w ten sam sposób i uzyskiwać dostęp do tych samych aplikacji. Użytkownicy prawdopodobnie mają te same typy zasad.

    • Geografia: wdróż zasady dla wszystkich użytkowników w określonej lokalizacji geograficznej, niezależnie od tego, czy jest to ten sam kontynent, kraj/region, czy ten sam budynek organizacji. To wdrożenie pozwala skupić się na określonej lokalizacji użytkowników. Można udostępnić rozwiązanie Windows Autopilot dla wstępnie aprowizowanego podejścia do wdrażania, ponieważ liczba lokalizacji wdrażanych Intune jednocześnie jest mniejsza. Istnieją szanse różnych działów lub różnych przypadków użycia w tej samej lokalizacji. Można więc jednocześnie testować różne przypadki użycia.

    • Platforma: to wdrożenie wdraża podobne platformy w tym samym czasie. Na przykład w lutym wdróż zasady na wszystkich urządzeniach z systemem iOS/iPadOS, na wszystkich urządzeniach z systemem Android w marcu i na wszystkich urządzeniach z systemem Windows w kwietniu. Takie podejście może uprościć obsługę pomocy technicznej, ponieważ obsługuje tylko jedną platformę naraz.

    Korzystając z podejścia etapowego, możesz uzyskać opinię z szerokiej gamy typów użytkowników.

  • Po pomyślnym pilotażu możesz rozpocząć pełne wdrożenie produkcyjne. Poniższy przykład to plan wdrożenia Intune obejmujący grupy docelowe i osie czasu:

  Faza wdrażania	Lipca	Sierpnia	Września	Października
  Ograniczony pilotaż	IT (50 użytkowników)
  Rozszerzony pilotaż	IT (200 użytkowników), kierownictwo IT (10 użytkowników)
  Faza wdrożenia produkcyjnego 1		Sprzedaż i marketing (2000 użytkowników)
  Faza wdrożenia produkcyjnego 2			Handel detaliczny (1000 użytkowników)
  Faza wdrożenia produkcyjnego 3				KADR (50 użytkowników), Finanse (40 użytkowników), Kadra kierownicza (30 użytkowników)

  Ten szablon jest również dostępny do pobrania w witrynie Intune planowanie, projektowanie i implementacja wdrożenia — szablony tabel.

• Wybierz sposób rejestrowania urządzeń osobistych i należących do organizacji przez użytkowników. Istnieją różne metody rejestracji, których można użyć, w tym:

  • Samoobsługa użytkownika: użytkownicy rejestrują własne urządzenia, wykonując kroki podane przez organizację IT. Takie podejście jest najbardziej powszechne i jest bardziej skalowalne niż rejestracja wspomagana przez użytkownika.
  • Rejestracja wspomagana przez użytkownika: w ramach tego wstępnie aprowizowanego podejścia do wdrażania członek IT pomaga użytkownikom w procesie rejestracji, osobiście lub przy użyciu usługi Teams. Takie podejście jest powszechne w przypadku kadry kierowniczej i innych grup, które mogą potrzebować większej pomocy.
  • Targi techniczne IT: Podczas tego wydarzenia grupa IT konfiguruje Intune stoisko pomocy dotyczącej rejestracji. Użytkownicy otrzymują informacje na temat rejestracji Intune, zadawania pytań i uzyskiwania pomocy w rejestrowaniu swoich urządzeń. Ta opcja jest korzystna dla it i użytkowników, zwłaszcza we wczesnych fazach wdrażania Intune.

  Poniższy przykład obejmuje podejścia do rejestracji:

  Faza wdrażania	Lipca	Sierpnia	Września	Października
  Ograniczony pilotaż
  Samoobsługi	IT
  Rozszerzony pilotaż
  Samoobsługi	IT
  Wstępnie aprowizowane	Kadra kierownicza IT
  Faza wdrożenia produkcyjnego 1		Sprzedaż, marketing
  Samoobsługi		Sprzedaż i marketing
  Faza wdrożenia produkcyjnego 2			Sprzedaż detaliczna
  Samoobsługi			Sprzedaż detaliczna
  Faza wdrożenia produkcyjnego 3				Kadra kierownicza, KADR, Finanse
  Samoobsługi				KADR, Finanse
  Wstępnie aprowizowane				Kierownictwo

  Aby uzyskać więcej informacji na temat różnych metod rejestracji dla każdej platformy, przejdź do tematu Wskazówki dotyczące wdrażania: Rejestrowanie urządzeń w Microsoft Intune.

Krok 6. Przekazywanie zmian

Zarządzanie zmianami opiera się na przejrzystej i przydatnej komunikacji dotyczącej nadchodzących zmian. Chodzi o to, aby usprawnić wdrożenie Intune i uświadomić użytkownikom zmiany i wszelkie zakłócenia.

✔️ Zadanie: Plan komunikacji wdrożenia powinien zawierać ważne informacje

Te informacje powinny obejmować sposób powiadamiania użytkowników i czas komunikacji. Kwestie do rozważenia:

• Określ, jakie informacje mają być komunikowane. Komunikuj się etapami z grupami i użytkownikami, zaczynając od wprowadzenia Intune, wstępnej rejestracji, a następnie po rejestracji:

  • Faza rozpoczęcia: szeroka komunikacja, która wprowadza projekt Intune. Powinna ona odpowiadać na kluczowe pytania, takie jak:

    • Co to jest Intune?
    • Dlaczego organizacja korzysta z Intune, w tym korzyści dla organizacji i użytkowników
    • Podaj ogólny plan wdrożenia i wdrożenia.
    • Jeśli urządzenia osobiste nie będą dozwolone , chyba że urządzenia zostaną zarejestrowane , wyjaśnij, dlaczego podjęto decyzję.

  • Faza przed rejestracją: szeroka komunikacja obejmująca informacje o Intune i innych usługach (takich jak Office, Outlook i OneDrive), zasobach użytkowników i określonych osiach czasu, gdy użytkownicy i grupy będą rejestrować się w Intune.

  • Faza rejestracji: Komunikacja jest przeznaczona dla użytkowników i grup organizacji, które mają zostać zarejestrowane w Intune. Powinna ona informować użytkowników, że są gotowi do zarejestrowania, uwzględnienia kroków rejestracji oraz tego, z kim należy się skontaktować w celu uzyskania pomocy i pytań.

  • Faza po rejestracji: Komunikacja jest przeznaczona dla użytkowników i grup organizacji, które zostały zarejestrowane w Intune. Powinna ona udostępniać więcej zasobów, które mogą być przydatne dla użytkowników, oraz zbierać opinie na temat ich środowiska podczas rejestracji i po niej.

  Zestaw Intune Adoption Kit może być pomocny. Użyj go bez zmian lub zmień go dla swojej organizacji.

• Wybierz sposób komunikowania Intune informacji dotyczących wdrażania grupom docelowym i użytkownikom. Na przykład:

  • Utwórz spotkanie osobiste w całej organizacji lub użyj usługi Microsoft Teams.

  • Utwórz wiadomość e-mail na potrzeby rejestracji wstępnej, wiadomości e-mail na potrzeby rejestracji i wiadomości e-mail na potrzeby rejestracji po rejestracji. Na przykład:

    • Email 1. Objaśnienie korzyści, oczekiwań i harmonogramu. Skorzystaj z tej okazji, aby zaprezentować wszystkie inne usługi, których dostęp jest udzielany na urządzeniach zarządzanych przez Intune.
    • Email 2. Oznajmij, że usługi są teraz gotowe do uzyskania dostępu za pośrednictwem Intune. Poinformuj użytkowników, aby zarejestrowali się teraz. Nadaj użytkownikom oś czasu, zanim będzie to miało wpływ na ich dostęp. Przypominaj użytkownikom o korzyściach i strategicznych przyczynach migracji.

  • Użyj witryny sieci Web organizacji, która wyjaśnia fazy wdrażania, czego użytkownicy mogą oczekiwać i z kim należy się skontaktować w celu uzyskania pomocy.

  • Twórz plakaty, korzystaj z platform mediów społecznościowych organizacji (takich jak Microsoft Viva Engage) lub dystrybuuj ulotki, aby ogłosić fazę wstępnej rejestracji.

• Utwórz oś czasu zawierającą informacje o tym, kiedy i kto. Pierwsza Intune komunikacji rozpoczęcia może dotyczyć całej organizacji lub tylko podzestawu. Mogą one odbyć się w ciągu kilku tygodni przed rozpoczęciem Intune wdrożenia. Następnie informacje mogą być przekazywane w fazach użytkownikom i grupom zgodnie z ich harmonogramem wdrażania Intune.

  Poniższy przykład to plan komunikacji Intune na wysokim poziomie:

  Plan komunikacji	Lipca	Sierpnia	Września	Października
  Faza 1	Wszystkie
  Spotkanie rozpoczęcia	Pierwszy tydzień
  Faza 2	IT	Sprzedaż i marketing	Sprzedaż detaliczna	Kadra kierownicza, finanse i kadra kierownicza
  Wprowadzenie wstępne Email 1	Pierwszy tydzień	Pierwszy tydzień	Pierwszy tydzień	Pierwszy tydzień
  Faza 3	IT	Sprzedaż i marketing	Sprzedaż detaliczna	Kadra kierownicza, finanse i kadra kierownicza
  Wprowadzenie wstępne Email 2	Drugi tydzień	Drugi tydzień	Drugi tydzień	Drugi tydzień
  Faza 4	IT	Sprzedaż i marketing	Sprzedaż detaliczna	Kadra kierownicza, finanse i kadra kierownicza
  Adres e-mail rejestracji	Trzeci tydzień	Trzeci tydzień	Trzeci tydzień	Trzeci tydzień
  Faza 5	IT	Sprzedaż i marketing	Sprzedaż detaliczna	Kadra kierownicza, finanse i kadra kierownicza
  Poczta e-mail po rejestracji	Czwarty tydzień	Czwarty tydzień	Czwarty tydzień	Czwarty tydzień

Krok 7. Pomoc techniczna i użytkownicy końcowi

Uwzględnij pomoc techniczną i pomoc techniczną IT na wczesnych etapach planowania wdrożenia Intune i działań pilotażowych. Wczesne zaangażowanie naraża personel pomocy technicznej na Intune, a oni zdobywają wiedzę i doświadczenie w skuteczniejszym identyfikowaniu i rozwiązywaniu problemów. Przygotowuje je również do obsługi pełnego wdrożenia produkcyjnego organizacji. Kompetentne zespoły pomocy technicznej i pomocy technicznej również pomagają użytkownikom w przyjęciu tych zmian.

✔️ Zadanie: Szkolenie zespołów pomocy technicznej

Zweryfikuj środowisko użytkownika końcowego za pomocą metryk powodzenia w planie wdrożenia. Kwestie do rozważenia:

• Określ, kto będzie obsługiwał użytkowników końcowych. Organizacje mogą mieć różne warstwy lub poziomy (1–3). Na przykład warstwa 1 i 2 mogą być częścią zespołu pomocy technicznej. Warstwa 3 obejmuje członków zespołu MDM odpowiedzialnego za wdrożenie Intune.

  Warstwa 1 jest zazwyczaj pierwszym poziomem pomocy technicznej i pierwszą warstwą do kontaktu. Jeśli warstwa 1 nie może rozwiązać problemu, eskalują do warstwy 2. Warstwa 2 eskaluje ją do warstwy 3. Pomoc techniczna firmy Microsoft może być traktowana jako warstwa 4.

  • W początkowych fazach wdrażania upewnij się, że wszystkie warstwy w zespole pomocy technicznej dokumentują problemy i rozwiązania. Wyszukaj wzorce i dostosuj komunikację do następnej fazy wdrażania. Na przykład:
    • Jeśli różni użytkownicy lub grupy nie chcą rejestrować swoich urządzeń osobistych, rozważ wywołanie usługi Teams, aby odpowiedzieć na typowe pytania.
    • Jeśli użytkownicy mają te same problemy z rejestrowaniem urządzeń należących do organizacji, hostuj zdarzenie osobiste, aby ułatwić użytkownikom rejestrowanie urządzeń.

• Utwórz przepływ pracy pomocy technicznej i stale komunikuj problemy z pomocą techniczną, trendy i inne ważne informacje do wszystkich warstw w zespole pomocy technicznej. Na przykład organizuj codzienne lub cotygodniowe spotkania w usłudze Teams, aby wszystkie warstwy były świadome trendów, wzorców i mogły uzyskać pomoc.

  W poniższym przykładzie pokazano, jak firma Contoso implementuje swoje przepływy pracy pomocy technicznej lub pomocy technicznej:

  1. Użytkownik końcowy kontaktuje się z pomocą techniczną IT lub pomocą techniczną w warstwie 1 z problemem z rejestracją.
  2. Obsługa it lub pomoc techniczna w warstwie 1 nie może określić głównej przyczyny i eskaluje do warstwy 2.
  3. Pomoc techniczna IT lub pomoc techniczna w warstwie 2 bada sprawę. Warstwa 2 nie może rozwiązać problemu i eskaluje do warstwy 3 oraz udostępnia dodatkowe informacje ułatwiające rozwiązanie problemu.
  4. Obsługa IT lub pomoc techniczna w warstwie 3 bada, określa główną przyczynę i komunikuje rozwiązanie do warstwy 2 i 1.
  5. Obsługa it/pomoc techniczna w warstwie 1 następnie kontaktuje się z użytkownikami i rozwiązuje problem.

  Takie podejście, zwłaszcza na wczesnych etapach wdrażania Intune, dodaje wiele korzyści, w tym:

  • Pomoc w poznaniu technologii
  • Szybkie identyfikowanie problemów i rozwiązywanie problemów
  • Ulepszanie ogólnego środowiska użytkownika

• Szkolenie zespołów pomocy technicznej i pomocy technicznej. Poproś je o zarejestrowanie urządzeń z różnymi platformami używanymi w organizacji, aby zapoznać się z tym procesem. Rozważ skorzystanie z pomocy technicznej i zespołów pomocy technicznej jako grupy pilotażowej dla twoich scenariuszy.

  Dostępne są zasoby szkoleniowe, w tym filmy wideo z serwisu YouTube, samouczki firmy Microsoft dotyczące scenariuszy rozwiązania Windows Autopilot, zgodności, konfiguracji i kursów za pośrednictwem partnerów szkoleniowych.

  Poniższy przykład to program szkoleń Intune pomocy technicznej:

  • przegląd planu pomocy technicznej Intune
  • omówienie Intune
  • Rozwiązywanie typowych problemów
  • Narzędzia i zasoby
  • Q & A

Forum Intune oparte na społeczności i dokumentacja użytkowników końcowych są również doskonałymi zasobami.

Następne kroki

• Przewodnik migracji: konfigurowanie lub przenoszenie do Microsoft Intune
• Wprowadzenie do wdrożenia Microsoft Intune