Wprowadzenie do wdrożenia Microsoft Intune

Microsoft Intune jest usługą opartą na chmurze, która ułatwia zarządzanie urządzeniami i aplikacjami. Aby uzyskać więcej informacji na temat tego, co Microsoft Intune może zrobić dla Twojej organizacji, przejdź do tematu Co to jest Microsoft Intune.

Ten artykuł zawiera omówienie kroków uruchamiania wdrożenia usługi Intune.

Diagram przedstawiający różne kroki rozpoczynania pracy z Microsoft Intune, w tym konfigurowanie, dodawanie aplikacji, używanie zgodności & dostępu warunkowego, konfigurowanie funkcji urządzeń, a następnie rejestrowanie urządzeń do zarządzania.

Porada

Jako towarzysz tego artykułu Centrum administracyjne platformy Microsoft 365 zawiera również wskazówki dotyczące konfiguracji. Przewodnik dostosowuje środowisko na podstawie środowiska. Aby uzyskać dostęp do tego przewodnika wdrażania, przejdź do przewodnika konfiguracji Microsoft Intune w Centrum administracyjne platformy Microsoft 365 i zaloguj się przy użyciu czytelnika globalnego (co najmniej). Aby uzyskać więcej informacji na temat tych przewodników wdrażania i wymaganych ról, przejdź do tematu Zaawansowane przewodniki wdrażania dla produktów platformy Microsoft 365 i Office 365.

Aby zapoznać się z najlepszymi rozwiązaniami bez logowania się i aktywowania funkcji automatycznej konfiguracji, przejdź do portalu konfiguracji M365.

Przed rozpoczęciem

Krok 1 . Konfigurowanie usługi Intune

W tym kroku:

✔️ Upewnij się, że urządzenia są obsługiwane, utwórz dzierżawę usługi Intune, dodaj użytkowników & grup, przypisz licencje i nie tylko.

Ten krok koncentruje się na konfigurowaniu usługi Intune i przygotowaniu jej do zarządzania tożsamościami użytkowników, aplikacjami i urządzeniami. Usługa Intune używa wielu funkcji w Microsoft Entra identyfikatorze, w tym domeny, użytkowników i grup.

Aby uzyskać więcej informacji, przejdź do kroku 1 — konfigurowanie Microsoft Intune.

Krok 2. Dodawanie i ochrona aplikacji

W tym kroku:

✔️ Na urządzeniach, które będą rejestrowane w usłudze Intune, utwórz punkt odniesienia aplikacji, które muszą mieć urządzenia, a następnie przypisz te zasady aplikacji podczas rejestracji. W aplikacjach wymagających dodatkowych zabezpieczeń należy również używać zasad ochrony aplikacji.

✔️ Na urządzeniach, które nie będą rejestrowane w usłudze Intune, użyj zasad ochrony aplikacji i uwierzytelniania wieloskładnikowego (MFA):

  • zasady Ochrona aplikacji pomagają chronić dane organizacji na urządzeniach osobistych.
  • Uwierzytelnianie wieloskładnikowe pomaga chronić dane organizacji przed nieautoryzowanym dostępem.

Aby uzyskać więcej informacji, przejdź do kroku 2 — dodawanie, konfigurowanie i ochrona aplikacji za pomocą usługi Intune.

Każda organizacja ma podstawowy zestaw aplikacji, które należy zainstalować na urządzeniach. Zanim użytkownicy zarejestrują swoje urządzenia, możesz przypisać te aplikacje do swoich urządzeń za pomocą usługi Intune. Podczas rejestracji zasady aplikacji są wdrażane automatycznie. Po zakończeniu rejestracji aplikacje są instalowane i gotowe do użycia.

Jeśli wolisz, możesz zarejestrować swoje urządzenia, a następnie przypisać aplikacje. To twój wybór. Następnym razem, gdy użytkownicy będą sprawdzać dostępność nowych aplikacji, zobaczą nowe aplikacje.

Jeśli użytkownicy z własnymi urządzeniami osobistymi uzyskują dostęp do zasobów organizacji, musisz co najmniej chronić wszystkie aplikacje uzyskujące dostęp do danych organizacji przy użyciu zarządzania aplikacjami mobilnymi (MAM). Zasady zarządzania aplikacjami mobilnymi można tworzyć dla aplikacji Outlook, Teams, SharePoint i innych aplikacji. Przewodnik planowania Microsoft Intune zawiera wskazówki dotyczące zarządzania urządzeniami osobistymi.

Uwaga

Uwierzytelnianie wieloskładnikowe to funkcja Microsoft Entra identyfikatora, który musi być włączony w dzierżawie Microsoft Entra. Następnie skonfigurujesz uwierzytelnianie wieloskładnikowe dla aplikacji. Aby uzyskać więcej informacji, zobacz:

Krok 3. Sprawdzanie zgodności i włączanie dostępu warunkowego

W tym kroku:

✔️ Utwórz punkt odniesienia zasad zgodności , które muszą mieć urządzenia, a następnie przypisz te zasady zgodności podczas rejestracji.

✔️ Włącz dostęp warunkowy , aby wymusić zasady zgodności.

Aby uzyskać więcej informacji, przejdź do kroku 3 — planowanie zasad zgodności.

Rozwiązania MDM, takie jak usługa Intune, mogą ustawiać reguły, które urządzenia powinny spełniać, i mogą zgłaszać stany zgodności tych reguł. Te reguły są nazywane zasadami zgodności. Po połączeniu zasad zgodności z dostępem warunkowym można wymagać, aby urządzenia spełniały określone wymagania dotyczące zabezpieczeń, zanim będą mogły uzyskać dostęp do danych organizacji.

Gdy użytkownicy rejestrują swoje urządzenia w usłudze Intune, proces rejestracji może automatycznie wdrażać zasady zgodności. Po zakończeniu rejestracji administratorzy mogą sprawdzić stan zgodności i uzyskać listę urządzeń, które nie spełniają Twoich reguł.

Jeśli wolisz, możesz zarejestrować swoje urządzenia przed sprawdzeniem zgodności. To twój wybór. Przy następnym zaewidencjonowaniu usługi Intune są przypisywane zasady zgodności.

Uwaga

Dostęp warunkowy to funkcja identyfikatora Microsoft Entra, która musi być włączona w dzierżawie Microsoft Entra. Następnie można utworzyć zasady dostępu warunkowego dla tożsamości użytkowników, aplikacji i urządzeń. Aby uzyskać więcej informacji, zobacz:

Krok 4. Konfigurowanie funkcji urządzenia

W tym kroku:

✔️ Utwórz punkt odniesienia funkcji zabezpieczeń i funkcji urządzeń , które powinny być włączone lub zablokowane. Przypisz te profile podczas rejestracji.

Aby uzyskać więcej informacji, przejdź do kroku 4 — tworzenie profilów konfiguracji urządzeń w celu zabezpieczenia urządzeń i uzyskania dostępu do zasobów organizacji.

Twoja organizacja może mieć podstawowy zestaw funkcji urządzeń i zabezpieczeń, które powinny zostać skonfigurowane lub powinny zostać zablokowane. Te ustawienia są dodawane do profilów zabezpieczeń urządzeń i konfiguracji urządzeń. Firma Microsoft zaleca przypisanie zasad zabezpieczeń kluczy i konfiguracji urządzeń podczas rejestracji. Po rozpoczęciu rejestracji profile konfiguracji urządzeń są automatycznie przypisywane. Po zakończeniu rejestracji te funkcje urządzenia i zabezpieczeń są konfigurowane.

Jeśli wolisz, możesz zarejestrować swoje urządzenia przed utworzeniem profilów konfiguracji. To twój wybór. Przy następnym zaewidencjonowaniu usługi Intune są przypisywane profile.

W centrum administracyjnym Microsoft Intune można tworzyć różne profile na podstawie platformy urządzeń — Android, iOS/iPadOS, macOS i Windows.

Następujące artykuły są dobrymi zasobami:

Krok 5. Rejestrowanie urządzeń

W tym kroku:

✔️ Rejestrowanie urządzeń w usłudze Intune.

Aby uzyskać bardziej szczegółowe informacje, przejdź do sekcji Krok 5 — Wskazówki dotyczące wdrażania: Rejestrowanie urządzeń w Microsoft Intune.

Aby w pełni zarządzać urządzeniami, urządzenia muszą zostać zarejestrowane w usłudze Intune w celu uzyskania zgodności & zasad dostępu warunkowego, zasad aplikacji, zasad konfiguracji urządzeń i utworzonych zasad zabezpieczeń. Jako administrator tworzysz zasady rejestracji dla użytkowników i urządzeń. Każda platforma urządzeń (Android, iOS/iPadOS, Linux, macOS i Windows) ma różne opcje rejestracji. Wybierasz, co jest najlepsze dla twojego środowiska, scenariuszy i sposobu użycia urządzeń.

W zależności od wybranej opcji rejestracji użytkownicy mogą się zarejestrować samodzielnie. Możesz też zautomatyzować rejestrację, aby użytkownicy musieli zalogować się tylko do urządzenia przy użyciu konta organizacji.

Po zarejestrowaniu urządzenia na urządzeniu jest wystawiany bezpieczny certyfikat MDM. Ten certyfikat komunikuje się z usługą Intune.

Różne platformy mają różne wymagania dotyczące rejestracji. Poniższe artykuły mogą pomóc ci dowiedzieć się więcej na temat rejestracji urządzeń, w tym wskazówek dotyczących platformy:

Dołączanie chmury za pomocą Configuration Manager

Microsoft Configuration Manager pomaga chronić lokalny system Windows Server, urządzenia, aplikacje i dane. Jeśli potrzebujesz zarządzać kombinacją punktów końcowych w chmurze i lokalnych, możesz dołączyć środowisko Configuration Manager do usługi Intune w chmurze.

Jeśli używasz Configuration Manager, istnieją dwa kroki dołączania urządzeń lokalnych do chmury:

  1. Dołączanie dzierżawy: rejestrowanie dzierżawy usługi Intune przy użyciu wdrożenia Configuration Manager. Urządzenia Configuration Manager są wyświetlane w centrum administracyjnym Microsoft Intune. Na tych urządzeniach można uruchamiać różne akcje, w tym instalować aplikacje i uruchamiać skrypty Windows PowerShell przy użyciu internetowego centrum administracyjnego usługi Intune.

  2. Współzarządzanie: zarządzanie urządzeniami klienckimi z systemem Windows przy użyciu Configuration Manager i Microsoft Intune. Configuration Manager zarządza niektórymi obciążeniami, a usługa Intune zarządza innymi obciążeniami.

    Na przykład można użyć Configuration Manager do zarządzania aktualizacjami systemu Windows i zarządzania zgodnością & zasadami dostępu warunkowego za pomocą usługi Intune.

Jeśli obecnie używasz Configuration Manager, uzyskujesz natychmiastową wartość za pośrednictwem dołączania dzierżawy i uzyskujesz większą wartość za pośrednictwem współzarządzania.

Aby uzyskać wskazówki dotyczące konfiguracji Microsoft Intune, która jest odpowiednia dla Twojej organizacji, przejdź do przewodnika wdrażania: Konfigurowanie lub przechodzenie do Microsoft Intune.

Następne kroki