Przewodnik planowania wysokiego poziomu dotyczący przechodzenia do punktów końcowych natywnych dla chmury

Porada

Podczas czytania informacji o punktach końcowych natywnych dla chmury zobaczysz następujące terminy:

• Punkt końcowy: punkt końcowy to urządzenie, takie jak telefon komórkowy, tablet, laptop lub komputer stacjonarny. "Punkty końcowe" i "urządzenia" są używane zamiennie.
• Zarządzane punkty końcowe: punkty końcowe, które odbierają zasady od organizacji przy użyciu rozwiązania MDM lub obiektów zasady grupy. Te urządzenia są zazwyczaj własnością organizacji, ale mogą być również urządzeniami BYOD lub osobistymi.
• Punkty końcowe natywne dla chmury: punkty końcowe, które są przyłączone do Azure AD. Nie są one przyłączone do lokalnej usługi AD.
• Obciążenie: dowolny program, usługa lub proces.

Ten przewodnik planowania wysokiego poziomu zawiera pomysły i sugestie, które należy wziąć pod uwagę podczas wdrażania i migracji do punktów końcowych natywnych dla chmury. Omówienie zarządzania urządzeniami, przeglądanie & przenoszenia istniejących obciążeń, wprowadzanie zmian w organizacji, korzystanie z rozwiązania Windows Autopilot i nie tylko.

Ta funkcja ma zastosowanie do:

• Punkty końcowe natywne dla chmury systemu Windows

Przenoszenie punktów końcowych systemu Windows do natywnego dla chmury ma wiele zalet, w tym długoterminowe korzyści. Nie jest to proces z dnia na dzień i należy go zaplanować, aby uniknąć problemów, przestojów i negatywnego wpływu na użytkownika.

Aby uzyskać więcej informacji na temat korzyści dla organizacji i użytkowników, przejdź do tematu Co to są punkty końcowe natywne dla chmury.

Aby odnieść sukces, rozważ kluczowe obszary opisane w tym artykule dotyczące planowania i wdrażania. Dzięki prawidłowym planowaniu, komunikacji i aktualizacjom procesów twoja organizacja może być natywna dla chmury.

Zarządzanie urządzeniami przy użyciu dostawcy mdm natywnego dla chmury

Zarządzanie punktami końcowymi, w tym punktami końcowymi natywnymi dla chmury, jest ważnym zadaniem dla wszystkich organizacji. W przypadku punktów końcowych natywnych dla chmury używane narzędzia do zarządzania muszą zarządzać punktami końcowymi wszędzie tam, gdzie się znajdują.

Jeśli obecnie nie używasz rozwiązania do zarządzania urządzeniami przenośnymi (MDM) lub chcesz przejść do rozwiązania firmy Microsoft, następujące artykuły są dobrymi zasobami:

• Co to jest Microsoft Intune?
• Wprowadzenie do Microsoft Intune

W Microsoft Intune rodzinie produktów i usług dostępne są następujące opcje zarządzania punktami końcowymi:

• Microsoft Intune: Intune jest w 100% oparta na chmurze i używa centrum administracyjnego Intune do zarządzania urządzeniami, zarządzania aplikacjami na urządzeniach, tworzenia & wdrażania zasad, przeglądania danych raportowania i nie tylko.

  Aby uzyskać więcej informacji na temat używania Intune do zarządzania punktami końcowymi, przejdź do:

  • Microsoft Intune bezpiecznie zarządza tożsamościami, zarządza aplikacjami i zarządza urządzeniami
  • Przewodnik wdrażania: Konfigurowanie lub przechodzenie do Microsoft Intune
  • przewodnik planowania Microsoft Intune

• Microsoft Configuration Manager: Configuration Manager korzysta z infrastruktury lokalnej i może zarządzać serwerami. W przypadku korzystania ze współzarządzania niektóre obciążenia używają Configuration Manager (lokalnie), a niektóre obciążenia używają Microsoft Intune (chmury).

  W przypadku punktów końcowych natywnych dla chmury rozwiązania Configuration Manager powinny używać bramy zarządzania chmurą (CMG) i współzarządzania.

Przeglądanie obciążeń punktów końcowych i użytkowników

Na wysokim poziomie wdrażanie punktów końcowych natywnych dla chmury wymaga nowoczesnych strategii dotyczących tożsamości, dystrybucji oprogramowania, zarządzania urządzeniami, aktualizacji systemu operacyjnego i zarządzania danymi użytkowników & konfiguracji. Firma Microsoft oferuje rozwiązania, które obsługują te obszary dla punktów końcowych natywnych dla chmury.

Aby rozpocząć, przejrzyj każde obciążenie i określ, w jaki sposób może ono lub będzie obsługiwać punkty końcowe natywne dla chmury. Niektóre obciążenia mogą już obsługiwać punkty końcowe natywne dla chmury. Pomoc techniczna natywna zależy od określonego obciążenia, sposobu, w jaki organizacja implementuje usługi obciążeń i sposobu korzystania z usług przez użytkowników.

Aby określić, czy obciążenia obsługują punkty końcowe natywne dla chmury, należy zbadać i zweryfikować te usługi.

Jeśli usługa lub rozwiązanie nie obsługuje punktów końcowych natywnych dla chmury, określ jej wpływ i krytyczne znaczenie dla użytkowników i organizacji. Jeśli masz te informacje, możesz określić kolejne kroki, które mogą obejmować:

• Praca z dostawcą usługi
• Aktualizowanie do nowej wersji
• Korzystanie z nowej usługi
• Implementowanie obejścia w celu uzyskiwania dostępu do tej usługi i korzystania z niej z punktu końcowego natywnego dla chmury
• Weryfikowanie wymagań dotyczących usługi
• Zaakceptowanie, że usługa nie jest przyjazna dla chmury, co może być akceptowalne dla użytkowników i organizacji

W obu przypadkach należy zaplanować aktualizację obciążeń w celu obsługi punktów końcowych natywnych dla chmury.

Obciążenia powinny mieć następujące cechy:

• Bezpieczny dostęp do aplikacji i danych z dowolnego miejsca, w których znajdują się użytkownicy. Dostęp nie wymaga połączenia z siecią firmową ani wewnętrzną.
• Hostowane w usłudze w chmurze, hostowane przez użytkownika lub hostowane za pośrednictwem usługi w chmurze.
• Nie wymaga ani nie zależy od określonego urządzenia.

Typowe obciążenia i rozwiązania

Punkty końcowe natywne dla chmury obejmują również usługi i obciążenia obsługujące punkty końcowe.

Następujące obciążenia to konfiguracja, narzędzia, procesy i usługi umożliwiające produktywność użytkowników i zarządzanie punktami końcowymi.

Dokładne obciążenia, szczegóły i sposób aktualizowania obciążeń dla punktów końcowych natywnych dla chmury mogą być różne. Ponadto nie trzeba przenosić każdego obciążenia. Należy jednak wziąć pod uwagę każde obciążenie, jego wpływ na produktywność użytkowników i możliwości zarządzania urządzeniami. Konwertowanie niektórych obciążeń w celu używania punktów końcowych natywnych dla chmury może trwać dłużej niż inne. Obciążenia mogą również mieć między sobą współzależnienia.

• Tożsamość urządzenia

  Tożsamość urządzenia jest określana przez dostawców tożsamości (IdP), którzy mają wiedzę na temat urządzenia i zaufanie do zabezpieczeń urządzenia. W przypadku punktów końcowych systemu Windows najczęstszymi identyfikatorami są lokalna usługa Active Directory (AD) i Tożsamość Microsoft Entra. Punkty końcowe z tożsamościami z jednego z tych dostawców tożsamości są zwykle przyłączone do jednego lub przyłączone do obu tych elementów.

  • W przypadku punktów końcowych natywnych dla chmury Microsoft Entra sprzężenie jest najlepszym wyborem dla tożsamości urządzenia. Nie wymaga łączności z siecią lokalną, zasobem ani usługą.
  • Dołączanie do lokalnej usługi AD i przyłączanie hybrydowe Microsoft Entra wymagają łączności z lokalnym kontrolerem domeny. Potrzebują łączności na potrzeby początkowego logowania użytkownika, dostarczania zasad grupy i zmiany haseł. Te opcje nie są odpowiednie dla punktów końcowych natywnych dla chmury.

  Uwaga

  Microsoft Entra rejestracja, czasami określana jako dołączanie do miejsca pracy, dotyczy tylko scenariuszy "przynieś własne urządzenie" (BYOD). Nie należy jej używać w przypadku punktów końcowych systemu Windows należących do organizacji. Niektóre funkcje mogą nie być obsługiwane lub działać zgodnie z oczekiwaniami w Microsoft Entra zarejestrowanych punktów końcowych systemu Windows.

• Aprowizowanie punktów końcowych

  W przypadku nowo wdrożonych punktów końcowych przyłączania Microsoft Entra użyj rozwiązania Windows Autopilot, aby wstępnie skonfigurować urządzenia. Dołączanie Microsoft Entra jest zwykle zadaniem sterowanym przez użytkownika, a rozwiązanie Windows Autopilot jest zaprojektowane z myślą o użytkownikach. Rozwiązanie Windows Autopilot umożliwia aprowizowanie przy użyciu chmury z dowolnego miejsca w Internecie i przez dowolnego użytkownika.

  Aby uzyskać więcej informacji, zobacz:

  • Omówienie rozwiązania Windows Autopilot
  • Scenariusze i możliwości rozwiązania Windows Autopilot

• Wdrażanie oprogramowania i aplikacji

  Większość użytkowników potrzebuje oprogramowania i aplikacji, które nie są dołączone do podstawowego systemu operacyjnego. W wielu przypadkach it nie wie lub nie rozumie konkretnych wymagań aplikacji. Jednak dostarczanie tych aplikacji i zarządzanie nimi jest nadal obowiązkiem zespołu IT. Użytkownicy powinni mieć możliwość żądania i instalowania aplikacji potrzebnych do wykonywania swoich zadań, niezależnie od używanego punktu końcowego lub miejsca, z którego korzystają.

  • Aby wdrożyć oprogramowanie i aplikacje, użyj systemu opartego na chmurze, takiego jak Intune lub Configuration Manager (z cmg i współzarządzaniem).

  • Twórca punkt odniesienia aplikacji, które muszą mieć punkty końcowe, takie jak Microsoft Outlook i Teams. W przypadku innych aplikacji pozwól użytkownikom instalować własne aplikacje.

    W punktach końcowych możesz użyć aplikacji Portal firmy jako repozytorium aplikacji. Możesz też użyć portalu dostępnego dla użytkowników, który zawiera listę aplikacji, które można zainstalować. Ta opcja samoobsługi skraca czas aprowizacji nowych i istniejących urządzeń. Zmniejsza to również obciążenie it i nie trzeba wdrażać aplikacji, których użytkownicy nie potrzebują.

  Aby uzyskać więcej informacji, zobacz:

  • wdrażanie aplikacji Windows 10/11 przy użyciu Microsoft Intune
  • Wprowadzenie do zarządzania aplikacjami w Configuration Manager
  • Repozytorium aplikacji prywatnych w Windows 11

• Konfigurowanie ustawień urządzenia przy użyciu zasad

  Zarządzanie zasadami i zabezpieczeniami jest podstawowym elementem zarządzania punktami końcowymi. Zasady punktu końcowego umożliwiają organizacji wymuszanie określonego punktu odniesienia zabezpieczeń i standardowej konfiguracji w zarządzanych punktach końcowych. Istnieje wiele ustawień, które można zarządzać punktami końcowymi i kontrolować je. Do tworzenia zasad, które konfigurują tylko to, co jest wymagane w punkcie odniesienia. Nie twórz zasad, które kontrolują typowe preferencje użytkownika.

  • Tradycyjne wymuszanie zasad przy użyciu zasad grupy nie jest możliwe w przypadku punktów końcowych natywnych dla chmury. Zamiast tego można użyć Intune do tworzenia zasad w celu skonfigurowania wielu ustawień, w tym wbudowanych funkcji, takich jak katalog ustawień i szablony administracyjne.

    zasady grupy analizy w Intune mogą analizować lokalne obiekty zasad grupy, sprawdzać, czy te same ustawienia są obsługiwane w chmurze, i utworzyć zasady przy użyciu tych ustawień.

  • Jeśli masz istniejące zasady, które wystawiają certyfikaty, zarządzają funkcją BitLocker i zapewniają ochronę punktu końcowego, musisz utworzyć nowe zasady w Intune lub Configuration Manager (za pomocą usługi CMG i współzarządzania).

    Aby uzyskać więcej informacji, zobacz:

    • Używanie certyfikatów do uwierzytelniania w Microsoft Intune
    • Zasady szyfrowania dysków dla zabezpieczeń punktu końcowego w Intune
    • Dodawanie ustawień ochrony punktu końcowego w Intune
    • Certyfikaty w Configuration Manager
    • Zarządzanie funkcją BitLocker w Configuration Manager
    • Program Endpoint Protection w Configuration Manager

• Wdrażanie aktualizacji zabezpieczeń, funkcji i aplikacji

  Wiele rozwiązań lokalnych nie może wdrażać aktualizacji w punktach końcowych natywnych dla chmury ani wdrażać ich wydajnie. Z punktu widzenia zabezpieczeń to obciążenie może być najważniejsze. Powinno to być pierwsze obciążenie, które zostanie przeniesione do obsługi punktów końcowych systemu Windows natywnych dla chmury.

  • Wdrażanie aktualizacji systemu Windows przy użyciu systemu opartego na chmurze, takiego jak Windows Update dla firm. Za pomocą Intune lub Configuration Manager (z cmg i współzarządzania), można użyć Windows Update dla firm do wdrażania aktualizacji zabezpieczeń i aktualizacji funkcji.

    Aby uzyskać więcej informacji, zobacz:

    • Zarządzanie aktualizacjami oprogramowania Windows 10 i Windows 11 w Intune
    • Integrowanie programu Configure Manager z usługą Windows Update for Business
    • Wybierz sposób zarządzania aktualizacjami Aplikacji Microsoft 365

  • Wdrażanie aktualizacji aplikacji platformy Microsoft 365 przy użyciu następujących opcji:

    • Intune: Twórca zasad, które ustawiają kanał aktualizacji, usuwają inne wersje aplikacji i nie tylko.
    • Configuration Manager (z grupą cmg i współzarządzaniem): zarządzanie aplikacjami, w tym statystyki aktualizacji, kopiowanie, wycofywanie i nie tylko.

    Aby uzyskać więcej informacji, zobacz:

    • Dodawanie aplikacji platformy Microsoft 365 do urządzeń Windows 10/11 przy użyciu Microsoft Intune
    • Zadania zarządzania aplikacjami Configuration Manager

• Zarządzanie danymi i ustawieniami użytkownika

  Dane użytkownika obejmują następujące elementy:

  • Dokumenty użytkownika
  • Konfiguracja aplikacji poczty
  • Ulubione przeglądarki sieci Web
  • Dane specyficzne dla aplikacji biznesowych (LOB)
  • Ustawienia konfiguracji aplikacji biznesowych (LOB)

  Użytkownicy muszą tworzyć dane i uzyskiwać do nich dostęp z dowolnego punktu końcowego. Te dane również muszą być chronione i mogą wymagać udostępnienia innym użytkownikom.

  • Przechowywanie danych użytkownika i ustawień w dostawcy magazynu w chmurze, na przykład w usłudze Microsoft OneDrive. Dostawcy magazynu w chmurze mogą obsługiwać synchronizację danych, udostępnianie, dostęp w trybie offline, rozwiązywanie konfliktów i nie tylko.

    Aby uzyskać więcej informacji, przejdź do przewodnika po usłudze OneDrive dla przedsiębiorstw.

  Ważna

  Niektóre ustawienia użytkownika, takie jak preferencje systemu operacyjnego lub ustawienia specyficzne dla aplikacji, są przechowywane w rejestrze. Uzyskiwanie dostępu do tych ustawień z dowolnego miejsca może nie być realistyczne i może być zabronione synchronizowanie z różnymi punktami końcowymi.

  Możliwe, że te ustawienia można wyeksportować, a następnie zaimportować na inne urządzenie. Można na przykład wyeksportować ustawienia użytkownika z programu Outlook, Word i innych aplikacji pakietu Office.

• Uzyskiwanie dostępu do zasobów lokalnych

  Niektóre organizacje nie mogą przenieść niektórych obciążeń do rozwiązań natywnych dla chmury. Jedyną opcją może być uzyskiwanie dostępu do istniejących zasobów lub usług lokalnych z punktu końcowego natywnego dla chmury. W tych scenariuszach użytkownicy potrzebują dostępu.

  W przypadku tych lokalnych usług, zasobów i aplikacji należy wziąć pod uwagę następujące zadania:

  • Uwierzytelnianie i autoryzacja: aby uzyskać dostęp do zasobów lokalnych z punktów końcowych natywnych dla chmury, użytkownicy muszą uwierzytelnić się i sprawdzić, kim są. Aby uzyskać bardziej szczegółowe informacje, przejdź do pozycji Uwierzytelnianie i dostęp do zasobów lokalnych za pomocą punktu końcowego natywnego dla chmury.

  • Łączność: przejrzyj i oceń aplikacje & zasobów, które działają tylko lokalnie. Łączność i dostęp do tych zasobów powinny być dostępne poza lokalizacją i bez bezpośredniej łączności, takiej jak sieć VPN. To zadanie może obejmować przejście do wersji SaaS aplikacji przy użyciu Microsoft Entra serwer proxy aplikacji, usługi Azure Virtual Desktop, Windows 365, SharePoint, OneDrive lub Microsoft Teams.

  Uwaga

  Microsoft Entra nie obsługuje protokołu uwierzytelniania Kerberos. Lokalna usługa AD obsługuje protokół uwierzytelniania Kerberos. W ramach planowania możesz dowiedzieć się więcej na temat Microsoft Entra protokołu Kerberos. Po skonfigurowaniu użytkownicy logują się do natywnego dla chmury punktu końcowego przy użyciu konta Microsoft Entra i mogą uzyskiwać dostęp do lokalnych aplikacji lub usług korzystających z uwierzytelniania Kerberos.

  Microsoft Entra Kerberos:

  • Nie jest używany w rozwiązaniach natywnych dla chmury.
  • Nie rozwiązuje żadnych problemów z łącznością dla zasobów, które wymagają uwierzytelniania za pośrednictwem Microsoft Entra.
  • Nie jest odpowiedzią ani obejściem żadnych wymagań dotyczących uwierzytelniania domeny za pośrednictwem Microsoft Entra.
  • Nie rozwiązuje problemów związanych z uwierzytelnianiem maszynowym wymienionych w artykule Znane problemy i ważne informacje.

  Aby lepiej zrozumieć Microsoft Entra protokołu Kerberos i scenariuszy, które może rozwiązać, przejdź do następujących blogów:

  • Dlaczego skompilowaliśmy Microsoft Entra Kerberos (otwiera zewnętrzną witrynę internetową)
  • Szczegółowe informacje: jak działa Microsoft Entra Kerberos (otwiera inną witrynę internetową firmy Microsoft)
  • Jak działa Microsoft Entra Kerberos (syfuhs.net) (otwiera zewnętrzną witrynę internetową)

Przenoszenie obciążeń w fazach

Modernizacja obciążeń i wdrażanie punktów końcowych natywnych dla chmury wymaga zmian w procesach operacyjnych i procedurach. Przykład:

• Administratorzy muszą zrozumieć, w jaki sposób zmiany istniejących obciążeń mogą zmieniać ich procesy.
• Dział obsługi musi zrozumieć nowe scenariusze, które będą obsługiwane.

Podczas przeglądania punktów końcowych i obciążeń podziel przejście na fazy. Ta sekcja zawiera omówienie niektórych zalecanych faz, których organizacja może używać. Te fazy można powtarzać tyle razy, ile jest to konieczne.

✅ Faza 1. Uzyskiwanie informacji o obciążeniach

Ta faza to faza zbierania informacji. Ułatwia to ustalenie zakresu kwestii, które należy wziąć pod uwagę w organizacji w celu przejścia do natywnego dla chmury. Obejmuje ona definiowanie dokładnie usług, produktów i aplikacji związanych z każdym obciążeniem w środowisku.

W tej fazie:

1. Spis bieżących informacji o obciążeniu i szczegółach. Na przykład znać ich bieżący stan, to, co zapewniają, komu służą, kto je utrzymuje, jeśli mają kluczowe znaczenie dla natywnego dla chmury i sposobu ich hostowania.

   Jeśli masz te informacje, możesz zrozumieć i zdefiniować cel końcowy, który powinien być następujący:

   • Aby obsługiwać punkty końcowe natywne dla chmury
   • Aby poznać usługi, produkty i aplikacje używane przez każde obciążenie

   Należy koordynować działania z właścicielami różnych usług, produktów i aplikacji. Chcesz mieć pewność, że punkty końcowe natywne dla chmury obsługują produktywność użytkowników bez ograniczeń dotyczących łączności i lokalizacji.

   Przykłady typowych usług i aplikacji obejmują aplikacje biznesowe, wewnętrzne witryny internetowe, udziały plików, wymagania dotyczące uwierzytelniania, mechanizmy aktualizacji aplikacji i systemu operacyjnego oraz konfigurację aplikacji. Zasadniczo zawierają one wszystko i wszystko, czego użytkownicy potrzebują, aby w pełni wykonywać swoją pracę.

2. Sprawdź stan końcowy dla każdego obciążenia. Identyfikowanie znanych blokerów, które uniemożliwiają dostęp do tego stanu końcowego lub uniemożliwiają obsługę punktów końcowych natywnych dla chmury.

   Niektóre obciążenia i ich usługi & aplikacje mogą być już przyjazne dla chmury lub włączone. Niektóre mogą nie. Uzyskanie stanu końcowego dla każdego obciążenia może wymagać inwestycji organizacji & nakład pracy. Może to obejmować aktualizowanie oprogramowania, "podnoszenie i przenoszenie" na nową platformę, migrowanie do nowego rozwiązania lub wprowadzanie zmian w konfiguracji.

   Kroki wymagane dla każdego obciążenia różnią się w poszczególnych organizacjach. Zależą one od sposobu hostowania usługi lub aplikacji i uzyskiwania do niej dostępu przez użytkowników. Ten stan końcowy powinien sprostać podstawowemu wyzwaniu, które polega na umożliwieniu użytkownikom wykonywania pracy w natywnym dla chmury punkcie końcowym, niezależnie od lokalizacji lub łączności z siecią wewnętrzną.

   Na podstawie każdego zdefiniowanego stanu końcowego można wykryć lub zdefiniować, że włączenie w chmurze usługi lub aplikacji jest trudne lub zablokowane. Taka sytuacja może wystąpić z różnych powodów, w tym ograniczeń technicznych lub finansowych. Ograniczenia te muszą być jasne i zrozumiałe. Musisz przejrzeć ich wpływ i określić, jak przenieść każde obciążenie, aby było przyjazne dla chmury.

✅ Faza 2. Określanie priorytetów wszystkich blokerów

Po zidentyfikowaniu kluczowych obciążeń i ich blokerów stanu końcowego wykonaj następujące czynności:

1. Nadaj priorytet każdemu blokerowi i oceń każdy bloker pod kątem rozwiązania.

   Być może nie chcesz lub nie musisz zajmować się wszystkimi blokerami. Na przykład organizacja może mieć obciążenia lub część obciążeń, które nie obsługują punktów końcowych natywnych dla chmury. Ten brak pomocy technicznej może lub nie może być istotny dla organizacji lub użytkowników. Ty i Twoja organizacja możecie podjąć tę decyzję.

2. Aby obsługiwać testowanie i weryfikację koncepcji (POC), zacznij od minimalnego zestawu obciążeń. Celem jest przetestowanie i zweryfikowanie przykładu obciążeń.

   W ramach weryfikacji koncepcji zidentyfikuj zestaw użytkowników i urządzeń w ramach pilotażu w celu uruchomienia rzeczywistego scenariusza produkcyjnego. Ten krok pomaga udowodnić, czy stan końcowy zapewnia produktywność użytkowników.

   W wielu organizacjach istnieje rola lub grupa biznesowa, która jest łatwiejsza do migracji. Na przykład w dokumencie POC można kierować następujące scenariusze:

   • Wysoce mobilny zespół ds. sprzedaży, którego podstawowymi wymaganiami są narzędzia zwiększające produktywność i rozwiązanie do zarządzania relacjami z klientami online
   • Pracownicy ds. wiedzy, którzy uzyskują dostęp głównie do zawartości, która jest już w chmurze i w dużym stopniu korzystają z aplikacji platformy Microsoft 365
   • Urządzenia robocze pierwszej linii, które są wysoce mobilne lub znajdują się w środowiskach, w których nie mają dostępu do sieci organizacji

   W przypadku tych grup przejrzyj ich obciążenia. Określ, w jaki sposób te obciążenia mogą przejść do nowoczesnego zarządzania, w tym tożsamości, dystrybucji oprogramowania, zarządzania urządzeniami i innych.

   Dla każdego z obszarów pilotażu liczba elementów lub zadań powinna być niska. Ten wstępny pilotaż ułatwia tworzenie procesów i procedur wymaganych dla większej liczby grup. Pomaga to również w tworzeniu długoterminowej strategii.

   Aby uzyskać więcej wskazówek i wskazówek, przejdź do przewodnika planowania Microsoft Intune. Dotyczy to Intune, ale zawiera również pewne wskazówki dotyczące korzystania z grup pilotażowych i tworzenia planów wdrożenia.

✅ Faza 3. Przenoszenie obciążeń

W tej fazie możesz zaimplementować zmiany.

1. Przenieś odblokowane obciążenia do planowanych rozwiązań natywnych dla chmury lub stanu końcowego. W idealnym przypadku ten krok jest podzielony na mniejsze elementy robocze. Celem jest kontynuowanie działalności biznesowej przy minimalnych zakłóceniach.

2. Po pierwszym zestawie obciążeń obsługują punkty końcowe natywne dla chmury, zidentyfikuj więcej obciążeń i kontynuuj proces.

✅ Faza 4. Przygotowywanie użytkowników

Użytkownicy mają różne środowiska do odbierania, wdrażania i obsługiwania ich na swoich urządzeniach. Administratorzy powinni:

• Przejrzyj istniejące procesy i dokumentację, aby określić, gdzie zmiany są widoczne dla użytkowników.
• Aktualizowanie dokumentacji.
• Twórca strategię edukacyjną umożliwiającą udostępnianie zmian i korzyści, jakie będą odczuwane przez użytkowników.

Przenoszenie organizacji w fazach

Poniższe fazy to ogólne podejście organizacji do przenoszenia środowiska w celu obsługi punktów końcowych systemu Windows natywnych dla chmury. Te fazy są równoległe do przenoszenia punktów końcowych i obciążeń użytkowników. Mogą one zależeć od częściowego lub pełnego przejścia niektórych obciążeń do obsługi punktów końcowych systemu Windows natywnych dla chmury.

✅ Faza 1. Definiowanie punktów końcowych, zależności i punktów kontrolnych

Ta faza jest pierwszym krokiem, aby migracja w organizacji była w pełni natywna dla chmury. Przejrzyj aktualnie dostępne elementy, zdefiniuj kryteria powodzenia i rozpocznij planowanie sposobu dodawania urządzeń do Microsoft Entra.

1. Definiowanie punktów końcowych wymagających tożsamości w chmurze

   • Punkty końcowe korzystające z dostępu do Internetu wymagają tożsamości w chmurze. Te punkty końcowe zostaną dodane do Microsoft Entra.
   • Punkty końcowe, które nie korzystają z Internetu lub są używane tylko lokalnie, nie powinny mieć tożsamości w chmurze. Nie migruj tych scenariuszy, aby były natywne dla chmury.

2. Definiowanie zależności

   Obciążenia, użytkownicy i urządzenia mają zależności techniczne i nietechnologie. Aby przejść z minimalnym wpływem na użytkowników i organizację, należy uwzględnić te zależności.

   Na przykład zależność może być następująca:

   • Procesy biznesowe i ciągłość działania
   • Standardy zabezpieczeń
   • Lokalne przepisy i przepisy
   • Znajomość użytkownika i korzystanie z obciążenia
   • Kapitał, koszty operacyjne i budżet

   W przypadku każdego obciążenia zapytaj "Co ma wpływ, jeśli zmienimy coś dotyczącego usług świadczonych przez to obciążenie?". Należy uwzględnić skutki tej zmiany.

3. Definiowanie kamieni milowych i kryteriów powodzenia dla każdego obciążenia

   Każde obciążenie ma własne kamienie milowe i kryteria sukcesu. Mogą one opierać się na wykorzystaniu obciążenia przez organizację i jego zastosowaniem do określonych punktów końcowych i użytkowników.

   Aby zrozumieć i zdefiniować postęp przejścia, śledź i monitoruj te informacje.

4. Planowanie wdrożenia rozwiązania Windows Autopilot

   • Określ, jak i kiedy urządzenia zostaną zarejestrowane w organizacji.
   • Określ i utwórz tagi grupy niezbędne do kierowania zasad rozwiązania Windows Autopilot.
   • Twórca profilu rozwiązania Windows Autopilot z jego ustawieniami konfiguracji i nakieruj na urządzenia, które otrzymają Twój profil.

   Aby uzyskać więcej informacji, zobacz:

   • Omówienie rozwiązania Windows Autopilot
   • Scenariusze i możliwości rozwiązania Windows Autopilot

✅ Faza 2. Włączanie tożsamości hybrydowej chmury punktów końcowych (opcjonalnie)

Aby być w pełni natywnym dla chmury, firma Microsoft zaleca zresetowanie istniejących punktów końcowych systemu Windows w ramach cyklu odświeżania sprzętu. Po zresetowaniu punkt końcowy zostanie przywrócony z powrotem do ustawień fabrycznych. Wszystkie aplikacje, ustawienia i dane osobowe na urządzeniu zostaną usunięte.

Jeśli nie możesz zresetować punktów końcowych, możesz włączyć sprzężenie hybrydowe Microsoft Entra. Tożsamość w chmurze jest tworzona dla hybrydowych punktów końcowych przyłączania Microsoft Entra. Pamiętaj, że przyłączanie hybrydowe Microsoft Entra nadal wymaga łączności lokalnej.

Pamiętaj, że sprzężenie hybrydowe Microsoft Entra jest krokiem przejściowym do natywnego dla chmury i nie jest celem końcowym. Celem końcowym jest, aby wszystkie istniejące punkty końcowe były w pełni natywne dla chmury.

Gdy punkty końcowe są w pełni natywne dla chmury, dane użytkownika są przechowywane w dostawcy magazynu w chmurze, takim jak OneDrive. Dlatego po zresetowaniu punktu końcowego aplikacje użytkownika, konfiguracja i dane są nadal dostępne i mogą być replikowane do nowo aprowizowanego punktu końcowego.

Aby uzyskać więcej informacji, zobacz:

• przyłączone Microsoft Entra a przyłączone Microsoft Entra hybrydowe
• Konfigurowanie przyłączania Microsoft Entra hybrydowego

Uwaga

Firma Microsoft nie ma narzędzia do migracji do konwertowania istniejących punktów końcowych z przyłączonych do domeny lokalnej lub przyłączonych hybrydowo Microsoft Entra do Microsoft Entra przyłączonych. Firma Microsoft zaleca resetowanie i ponowne wdrażanie tych urządzeń w ramach odświeżania sprzętu.

✅Faza 3. Dołączanie chmury Configuration Manager (opcjonalnie)

Jeśli używasz Configuration Manager, dołącz środowisko do Microsoft Intune w chmurze. Jeśli nie używasz Configuration Manager, pomiń ten krok.

W przypadku dołączania do chmury można zdalnie zarządzać punktami końcowymi klienta, współzarządzać punktami końcowymi za pomocą Intune (w chmurze) i Configuration Manager (lokalnie) oraz uzyskiwać dostęp do centrum administracyjnego Intune.

Aby uzyskać bardziej szczegółowe informacje, przejdź do obszaru Cloud attach your Configuration Manager environment (Dołączanie środowiska Configuration Manager w chmurze) i Walk through the Microsoft Intune admin center (Przewodnik po centrum administracyjnym Microsoft Intune).

✅Faza 4: Twórca dowód koncepcji dołączony do Microsoft Entra

Ta faza krytyczna może rozpocząć się w dowolnym momencie. Ułatwia identyfikowanie potencjalnych problemów, nieznanych problemów oraz waliduje ogólną funkcjonalność i rozwiązania tych problemów. Podobnie jak w przypadku wszystkich klientów, celem jest udowodnienie i zweryfikowanie funkcjonalności w rzeczywistym środowisku przedsiębiorstwa, a nie w środowisku laboratoryjnym.

Ważne kroki dla tej fazy obejmują:

1. Implementowanie minimalnej konfiguracji punktu odniesienia przy użyciu Intune

   Ten krok jest ważny. Nie chcesz wprowadzać punktów końcowych do sieci ani w środowisku produkcyjnym, które:

   • Nie przestrzegaj standardów zabezpieczeń organizacji
   • Nie są skonfigurowane do wykonywania pracy przez użytkowników.

   Ta minimalna konfiguracja nie ma i nie powinna mieć wszystkich możliwych konfiguracji. Pamiętaj, że celem jest odnalezienie większej liczby konfiguracji, które są wymagane do pomyślnego pomyślnego działania użytkowników.

2. Konfigurowanie rozwiązania Windows Autopilot dla punktów końcowych przyłączonych Microsoft Entra

   Aprowizowanie nowych punktów końcowych i ponowne aprowizowanie istniejących punktów końcowych przy użyciu rozwiązania Windows Autopilot jest najszybszym sposobem wprowadzenia Microsoft Entra systemów przyłączonych do organizacji. Jest to ważna część poc.

3. Wdrażanie weryfikacji koncepcji dla systemów przyłączonych do Microsoft Entra

   • Użyj kombinacji punktów końcowych reprezentujących różne konfiguracje i użytkowników. Chcesz jak najwięcej walidacji tego nowego stanu systemu, jak to możliwe.

   • Tylko rzeczywiste użycie w środowisku produkcyjnym przez rzeczywistych użytkowników produkcyjnych w pełni zweryfikuje obciążenia i ich funkcjonalność. Dzięki naturalnemu, codziennemu użyciu punktów końcowych poc Microsoft Entra użytkownicy organicznie testują i weryfikują obciążenia.

   • Twórca listy kontrolne dotyczące funkcji i scenariuszy krytycznych dla działania firmy i przekaż te listy użytkownikom weryfikacji koncepcji. Listy kontrolne są specyficzne dla każdej organizacji i mogą ulec zmianie w miarę przenoszenia obciążeń do obciążeń przyjaznych dla chmury.

4. Weryfikowanie funkcjonalności

   Walidacja to powtarzalny proces. Jest ona oparta na obciążeniach i ich konfiguracji w organizacji.

   • Zbieraj opinie użytkowników na temat punktów końcowych, obciążeń i ich funkcji weryfikacji koncepcji. Ta opinia powinna pochodzić od użytkowników, którzy korzystali z punktów końcowych natywnych dla chmury.

     Inne blokery i wcześniej nieznane lub nierozliczone dla obciążeń/scenariuszy mogą zostać odnalezione.

   • Użyj punktów kontrolnych i kryteriów powodzenia ustanowionych wcześniej dla każdego obciążenia. Ułatwią one określenie postępu i zakresu weryfikacji koncepcji.

✅Faza 5: Microsoft Entra dołączyć do istniejących punktów końcowych systemu Windows

Ta faza przenosi nową aprowizację punktu końcowego systemu Windows do Microsoft Entra przyłączonej. Po rozwiązaniu wszystkich blokerów i problemów możesz przenieść istniejące urządzenia, aby były w pełni natywne dla chmury. Dostępne są następujące opcje:

• Opcja 1. Zastąp urządzenia. Jeśli urządzenia kończą okres eksploatacji lub nie obsługują nowoczesnych zabezpieczeń, najlepszym wyborem jest ich zastąpienie. Nowoczesne urządzenia obsługują nowe i ulepszone funkcje zabezpieczeń, w tym technologię modułu TPM (Trusted Platform Module).

• Opcja 2. Resetowanie urządzeń z systemem Windows. Jeśli istniejące urządzenia obsługują nowsze funkcje zabezpieczeń, możesz zresetować urządzenia. Podczas pracy z rozwiązaniem OOBE (Out of Box Experience) lub gdy użytkownicy logują się, mogą dołączyć urządzenia do Microsoft Entra.

  Przed zresetowaniem istniejącego punktu końcowego systemu Windows upewnij się, że:

  1. Usuń urządzenie w Intune.
  2. Usuń rejestrację urządzenia z rozwiązaniem Windows Autopilot.
  3. Usuń istniejący obiekt urządzenia Microsoft Entra.

  Następnie zresetuj urządzenie i ponownie aprowizuj punkt końcowy.

Gdy urządzenia będą gotowe, dołącz do tych urządzeń, aby Microsoft Entra przy użyciu opcji najlepiej odpowiadającej Twojej organizacji. Aby uzyskać bardziej szczegółowe informacje, przejdź do Microsoft Entra dołączonych urządzeń i Instrukcje: planowanie implementacji dołączania Microsoft Entra.

Przechodzenie z obiektów zasady grupy (GPO)

Wiele organizacji używa obiektów zasad grupy do konfigurowania punktów końcowych systemu Windows i zarządzania nimi.

Z biegiem czasu komplikuje się to z powodu braku dokumentacji, braku jasności co do celu lub wymagań zasad, używania starszych lub nie funkcjonalnych zasad oraz używania złożonych funkcji. Na przykład mogą istnieć zasady, które obejmują filtry WMI, mają złożone struktury jednostek organizacyjnych i używają blokowania dziedziczenia, sprzężenia zwrotnego lub filtrowania zabezpieczeń.

Zarządzanie ustawieniami przy użyciu Intune

Microsoft Intune ma wiele wbudowanych ustawień, które można skonfigurować i wdrożyć w punktach końcowych natywnych dla chmury. Podczas przechodzenia do Intune na potrzeby zarządzania zasadami masz kilka opcji.

Te opcje niekoniecznie wykluczają się wzajemnie. Możesz przeprowadzić migrację podzestawu zasad i rozpocząć nową pracę dla innych.

• Opcja 1: Rozpocznij nową (zalecane): Intune ma wiele ustawień do konfigurowania punktów końcowych i zarządzania nimi. Możesz utworzyć zasady, dodać i skonfigurować ustawienia w zasadach, a następnie wdrożyć zasady.

  Wiele istniejących zasad grupy obejmuje zasady, które mogą nie mieć zastosowania do punktów końcowych natywnych dla chmury. Rozpoczęcie od nowa umożliwia organizacji weryfikowanie i upraszczanie istniejących wymuszonych zasad przy jednoczesnym wyeliminowaniu starszych, zapomnianych, a nawet szkodliwych zasad. Intune ma wbudowane szablony, które grupują wspólne ustawienia, takie jak sieć VPN, sieć Wi-Fi, ochrona punktów końcowych i inne.

• Opcja 2: Migracja: ta opcja obejmuje zniesienie istniejących zasad i przeniesienie ich do aparatu zasad Intune. Może to być kłopotliwe i czasochłonne. Na przykład może istnieć wiele istniejących zasad grupy i będą występować różnice w ustawieniach lokalnych i w chmurze.

  Jeśli wybierzesz tę opcję, musisz przejrzeć i przeanalizować istniejące zasady grupy oraz określić, czy są one nadal potrzebne lub prawidłowe w punktach końcowych natywnych dla chmury. Chcesz wyeliminować niepotrzebne zasady, w tym zasady, które mogą powodować obciążenie lub obniżyć wydajność systemu lub środowisko użytkownika. Nie przenosij zasad grupy do Intune, dopóki nie dowiesz się, co robią.

Intune funkcji, które należy znać

Intune ma również wbudowane funkcje, które mogą ułatwić konfigurowanie punktów końcowych natywnych dla chmury:

• analiza zasady grupy: możesz zaimportować obiekty zasad grupy w centrum administracyjnym Microsoft Intune i uruchomić analizę zasad. Możesz zobaczyć zasady, które istnieją w Intune, i zobaczyć zasady, które są przestarzałe.

  Jeśli używasz obiektów zasad grupy, użycie tego narzędzia jest cennym pierwszym krokiem.

  Aby uzyskać więcej informacji, przejdź do zasady grupy analytics w Intune.

• Wykaz ustawień: zobacz wszystkie ustawienia dostępne w Intune i utwórz, skonfiguruj & wdrożyć zasady przy użyciu tych ustawień. Zadania, które można wykonać przy użyciu wykazu ustawień w Intune również mogą być dobrym zasobem. Jeśli tworzysz obiekty zasad grupy, katalog ustawień jest naturalnym przejściem do konfiguracji punktu końcowego natywnego dla chmury.

  W połączeniu z analizą zasady grupy można wdrożyć zasady używane lokalnie w punktach końcowych natywnych dla chmury.

  Aby uzyskać więcej informacji, przejdź do pozycji Katalog ustawień w Intune.

• Szablony administracyjne: te szablony są podobne do szablonów ADMX używanych lokalnie i są wbudowane w Intune. Nie pobierasz ich. Te szablony obejmują wiele ustawień, które kontrolują funkcje w przeglądarce Microsoft Edge, programie Internet Explorer, aplikacjach pakietu Microsoft Office, pulpitu zdalnego, usłudze OneDrive, hasłach, numerach PIN i innych.

  Jeśli używasz szablonów administracyjnych lokalnie, użycie ich w Intune jest naturalnym przejściem.

  Aby uzyskać więcej informacji, przejdź do tematu Szablony administracyjne w Intune.

  Możesz również pozyskać istniejący zestaw zasad ADMX dla aplikacji Win32 i Mostek dla aplikacji klasycznych. Aby uzyskać więcej informacji, zobacz:

  • Omówienie zasad ADMX — Zarządzanie klientami systemu Windows
  • Włączanie zasad ADMX w usłudze MDM — Zarządzanie klientami systemu Windows
  • Pozyskiwanie zasad ADMX aplikacji Win32 i Mostek dla aplikacji klasycznych — Zarządzanie klientami systemu Windows

  Uwaga

  Począwszy od Windows 10 wersji 1703, obsługa konfiguracji zasad usługi Mobile Zarządzanie urządzeniami (MDM) została rozszerzona, aby umożliwić dostęp do wybranego zestawu szablonów administracyjnych zasady grupy (zasad ADMX) dla komputerów z systemem Windows przy użyciu dostawcy usług konfiguracji zasad (CSP). Konfigurowanie zasad ADMX w programie CSP zasad różni się od typowego sposobu konfigurowania tradycyjnych zasad zarządzania urządzeniami przenośnymi.

• Punkty odniesienia zabezpieczeń: punkt odniesienia zabezpieczeń to grupa wstępnie skonfigurowanych ustawień systemu Windows. Ułatwiają one stosowanie i wymuszanie szczegółowych ustawień zabezpieczeń zalecanych przez zespoły ds. zabezpieczeń. Podczas tworzenia punktu odniesienia zabezpieczeń można również dostosować każdy punkt odniesienia, aby wymusić tylko żądane ustawienia.

  Możesz utworzyć punkt odniesienia zabezpieczeń dla systemów Windows, Microsoft Edge i innych. Jeśli nie masz pewności, od czego zacząć lub chcesz, aby ustawienia zabezpieczeń były zalecane przez ekspertów w dziedzinie zabezpieczeń, zapoznaj się z punktami odniesienia zabezpieczeń.

  Aby uzyskać więcej informacji, przejdź do pozycji Punkty odniesienia zabezpieczeń w Intune.

Aprowizowanie nowych lub istniejących punktów końcowych systemu Windows przy użyciu rozwiązania Windows Autopilot

W przypadku zakupu punktów końcowych od producenta OEM lub partnera należy użyć rozwiązania Windows Autopilot.

Niektóre korzyści obejmują:

• Wbudowany proces konfiguracji systemu Windows: przedstawia markowe, z przewodnikiem i uproszczone środowisko użytkownika końcowego.

• Upuszczanie punktów końcowych bezpośrednio do użytkowników końcowych: dostawcy i producenci OEM mogą wysyłać punkty końcowe bezpośrednio do użytkowników. Użytkownicy otrzymują punkty końcowe, logują się przy użyciu konta organizacji (user@contoso.com), a rozwiązanie Windows Autopilot automatycznie aprowizuje punkt końcowy.

  Ta funkcja pomaga ograniczyć narzut i koszty związane z wewnętrznymi procesami IT i wysyłką.

  Aby uzyskać najlepsze wyniki, zarejestruj wstępnie punkty końcowe przy użyciu producentów OEM lub dostawców. Wstępne rejestrowanie pomaga uniknąć opóźnień, które mogą wystąpić podczas ręcznego rejestrowania punktów końcowych.

• Użytkownicy mogą samodzielnie resetować istniejące punkty końcowe: jeśli użytkownicy mają istniejące punkty końcowe systemu Windows, mogą zresetować same urządzenia. Po zresetowaniu punkty końcowe są przywracane do minimalnego punktu odniesienia i stanu zarządzanego. Nie wymaga to wysokiej kosztowej interwencji IT ani fizycznego dostępu do punktu końcowego.

Uwaga

Nie zaleca się używania rozwiązania Windows Autopilot do hybrydowego Microsoft Entra dołączania nowo aprowizowanych punktów końcowych. To działa, ale istnieją pewne wyzwania. W nowo aprowizowanych punktach końcowych użyj rozwiązania Windows Autopilot, aby Microsoft Entra sprzężenie (a nie sprzężenie hybrydowe Microsoft Entra).

Aby pomóc w określeniu metody sprzężenia, która jest odpowiednia dla Twojej organizacji, przejdź do Microsoft Entra dołączonych do Microsoft Entra hybrydowych.

Aby uzyskać więcej informacji na temat rozwiązania Windows Autopilot, przejdź do:

• Omówienie rozwiązania Windows Autopilot
• Scenariusze i funkcje rozwiązania Windows Autopilot
• Windows Autopilot — często zadawane pytania

Postępuj zgodnie ze wskazówkami dotyczącymi punktów końcowych natywnych dla chmury

1. Omówienie: Co to są punkty końcowe natywne dla chmury?
2. Samouczek: rozpoczynanie pracy z punktami końcowymi systemu Windows natywnymi dla chmury
3. Koncepcja: przyłączone Microsoft Entra a przyłączone Microsoft Entra hybrydowe
4. Koncepcja: punkty końcowe natywne dla chmury i zasoby lokalne
5. 🡺 Przewodnik planowania wysokiego poziomu (jesteś tutaj)
6. Znane problemy i ważne informacje