Guia de planeamento Microsoft Intune

Um Microsoft Intune bem sucedido de implantação ou migração começa com o planeamento. Este guia percorre os objetivos comuns de gestão de dispositivos móveis (MDM) e gestão de aplicações móveis (MAM). Também fornece orientações sobre o inventário dos seus dispositivos, licenciamento, revisão das políticas e infraestruturas atuais, criando um plano de lançamento, e muito mais.

Dica

O Kit de Adoção Intune inclui modelos de e-mail e mais boas informações.

Este guia é um ser vivo. Por isso, certifique-se de adicionar ou atualizar as dicas e orientações existentes que considerou úteis.

Tarefa 1: Determinar os seus objetivos

As organizações utilizam a gestão de dispositivos móveis (MDM) e a gestão de aplicações móveis (MAM) para controlar os dados da organização de forma segura e com a mínima perturbação para os utilizadores. Ao avaliar uma solução MDM/MAM, como Microsoft Intune, veja qual é o objetivo e o que pretende alcançar.

Nesta secção, discutimos objetivos comuns quando utilizamos o Intune.

Objetivo: Aceder a aplicações organizacionais e e-mail

Os utilizadores esperam trabalhar em dispositivos que utilizem apps da organização, incluindo ler e responder a emails, atualizar e partilhar dados, e muito mais. No Intune, pode implementar diferentes tipos de aplicações, incluindo:

  • aplicativos Office 365
  • Aplicações Win32
  • Aplicações de linha de negócio (LOB)
  • Aplicativos personalizados
  • Permitir (ou bloquear) acesso a apps integradas ou apps de loja

Tarefa: Faça uma lista das aplicações que os seus utilizadores usam regularmente. Estas aplicações são as aplicações que pretende nos seus dispositivos. Algumas considerações:

  • Muitas organizações implementam o conjunto Office de aplicações para computadores e tablets, tais como Word, Excel, OneNote, PowerPoint e Teams. Em dispositivos mais pequenos, como telemóveis, podem ser instaladas aplicações individuais, dependendo dos requisitos do utilizador.

    Por exemplo, a equipa de vendas pode exigir Teams, Excel e SharePoint. Nos dispositivos móveis, é possível implementar apenas estas aplicações, em vez de implementar toda a suite Office.

  • Os utilizadores esperam ler e responder a emails e juntar-se a reuniões em todos os dispositivos, incluindo dispositivos pessoais. Em dispositivos pertencentes à organização, pode implementar Outlook e Teams. E, gerencie e controle todas as definições do dispositivo e todas as definições de aplicações, incluindo requisitos de PIN e password. Em dispositivos pessoais, não tens este controlo. Por isso, determine se pretende dar aos utilizadores acesso a apps da organização, como e-mails e reuniões.

    Para obter mais informações e considerações, consulte dispositivos pessoais vs dispositivos pertencentes à Organização (neste artigo).

Objetivo: Acesso seguro a todos os dispositivos

Quando os dados são armazenados em dispositivos móveis, este deve ser protegido contra atividades maliciosas.

Tarefa: Determine como pretende proteger os seus dispositivos e minimize o impacto de atividades maliciosas. Algumas considerações:

  • A proteção antivírus (AV) e malware é obrigatória. A Intune integra-se com diferentes parceiros de Defesa de Ameaças Móveis (MTD) para ajudar a proteger dispositivos inscritos, dispositivos pessoais e aplicações. Nos Windows 10 dispositivos, pode utilizar o Microsoft Defender para Endpoint e Intune juntos.

    O Microsoft Defender for Endpoint inclui funcionalidades de segurança e um portal para ajudar a monitorizar e reagir a ameaças.

  • Se um dispositivo estiver comprometido, deverá limitar o impacto utilizando o acesso condicional. Por exemplo:

    • Se um dispositivo cumprir um nível de ameaça definido, pode bloquear o acesso aos recursos da organização. O acesso condicional ajuda a prevenir a propagação de atividades maliciosas.

    • O acesso condicional ajuda a proteger a sua rede e recursos de dispositivos, mesmo dispositivos que não estejam matriculados no Intune.

      Por exemplo, o Intune integra-se com o Microsoft Defender para o Endpoint. O Microsoft Defender for Endpoint verifica um dispositivo e determina se está comprometido. Em seguida, o acesso condicional pode bloquear automaticamente o acesso a este dispositivo a partir de recursos da organização, incluindo e-mail.

  • As atualizações para o dispositivo, o sistema operativo e as aplicações também ajudam a manter os seus dados seguros. Crie um plano sobre como e quando as atualizações são instaladas. Existem políticas no Intune que o ajudam a gerir atualizações, incluindo atualizações para armazenar aplicações.

  • Determine como os utilizadores irão autenticar com recursos da organização a partir dos seus muitos dispositivos. Pode, por exemplo:

    • Utilize certificados em dispositivos para autenticar funcionalidades e aplicações, como a ligação a uma rede privada virtual (VPN), abrindo Outlook, e muito mais. Estes certificados permitem uma experiência de utilizador "sem palavra-passe". A palavra-passe sem palavra-passe é considerada mais segura do que exigir que os utilizadores introduzam o nome de utilizador e a palavra-passe da organização.

      Se planeia usar certificados, certifique-se de que tem uma infraestrutura de chave pública suportada (PKI) pronta para criar e implementar perfis de certificados.

    • Utilize a autenticação multi-factor (MFA) quando necessitar de uma camada extra de autenticação em dispositivos pertencentes à organização. Ou, use mFA para autenticar aplicações em dispositivos pessoais. A biometria, como o reconhecimento facial e as impressões digitais, também podem ser utilizadas.

      Se utilizar a biometria para a autenticação, certifique-se de que os seus dispositivos suportam biometria. A maioria dos dispositivos modernos sim.

    • Implementar uma implementação de Confiança Zero. Com o Zero Trust, utiliza as funcionalidades em Azure AD e Microsoft Intune para garantir todos os pontos finais, utiliza autenticação sem palavra-passe e muito mais. Para mais informações, consulte o Centro de Implantação de Confiança Zero.

Objetivo: Distribuir IT

Muitas organizações querem dar a diferentes administradores o controlo sobre locais, divisões, e assim por diante. Por exemplo, o grupo Charlotte IT Admins controla e monitoriza as políticas no campus de Charlotte. Estes Administradores de TI charlotte só podem ver e gerir políticas para a localização de Charlotte. Não conseguem ver e gerir as políticas para a localização do Redmond. Esta abordagem chama-se TI distribuída.

No Intune, as TI distribuídas utilizam etiquetas de âmbito e categorias de inscrição de dispositivos. As etiquetas de âmbito utilizam o controlo de acesso baseado em funções (RBAC). Assim, apenas os utilizadores de um grupo específico têm permissão para gerir políticas e perfis para utilizadores e dispositivos no seu âmbito.

Ao utilizar categorias de dispositivos, os dispositivos são automaticamente adicionados a grupos baseados nas categorias que cria. Quando os utilizadores matriculam o seu dispositivo, escolhem uma categoria, como Sales, administração de TI, dispositivo de ponto de venda, e assim por diante. Estes grupos de dispositivos estão agora prontos para receber os perfis e políticas que cria.

Para facilitar a gestão de dispositivos, pode utilizar categorias de dispositivos Intune para adicionar automaticamente dispositivos a grupos baseados nas categorias que define.

Tarefa: Determine como pretende distribuir as suas regras e configurações (políticas e perfis). Algumas considerações:

  • Determine a sua estrutura de administração. Por exemplo, pode querer separar-se por localização, como os Administradores de TI de Charlotte ou Redmond IT. É possível que queira separar-se por função, como os Administradores de Rede que controlam todo o acesso à rede, incluindo a VPN.

    Estas categorias tornar-se-ão as suas etiquetas de âmbito.

  • Muitas organizações separam grupos pelo tipo de dispositivo, como iOS, iPadOS, Android ou Windows dispositivos. Alguns exemplos:

    • Distribua aplicações específicas para dispositivos específicos. Por exemplo, implementar a aplicação de vaivém da Microsoft para dispositivos na rede Redmond.
    • Implementar políticas para locais específicos. Por exemplo, implementar um perfil VPN em dispositivos na rede Charlotte para que se conectem automaticamente quando estão ao alcance.
    • Definições de controlo em dispositivos específicos. Por exemplo, desative a câmara em dispositivos Android Enterprise utilizados num piso de fabrico, crie um perfil antivírus Windows Defender para todos os dispositivos Windows ou adicione Exchange configurações de e-mail a todos os dispositivos iOS/iPadOS.

    Estas categorias tornar-se-ão as categorias de inscrição do seu dispositivo.

Objetivo: Manter os dados da organização dentro da organização

Quando os dados são armazenados em dispositivos móveis, os dados devem ser protegidos contra perdas acidentais ou partilha. Este objetivo inclui a eliminação de dados da organização de dispositivos pessoais e de propriedade da organização.

Tarefa: Crie um plano para cobrir diferentes cenários que impactem a sua organização. Algumas considerações:

Para obter mais informações e considerações, consulte dispositivos pessoais vs dispositivos pertencentes à Organização (neste artigo).

Tarefa 2: Inventariar os seus dispositivos

As organizações têm uma gama de dispositivos, incluindo computadores de secretária, computadores portáteis, tablets e telemóveis. Estes dispositivos podem ser propriedade da organização, ou propriedade dos seus utilizadores. Ao planear a sua solução de gestão de dispositivos, não se esqueça de considerar tudo o que irá aceder aos recursos da sua organização, incluindo os dispositivos pessoais dos utilizadores.

Esta secção inclui informações do dispositivo que deve considerar.

Plataformas suportadas

A Intune suporta o administrador de dispositivos Android, Android Enterprise, iOS, iPadOS, macOS e dispositivos Windows. Para as versões específicas, consulte plataformas suportadas.

Tarefa: Se os seus dispositivos utilizarem versões não suportadas, que são principalmente sistemas operativos mais antigos, então é hora de atualizar o SISTEMA ou substituir os dispositivos. Estes sistemas e dispositivos mais antigos podem ter um suporte limitado, e são um potencial risco de segurança. Esta tarefa inclui computadores de secretária que executam Windows 7, iPhone 7 dispositivos que executam o sistema operativo v10.0 original, e assim por diante.

Dispositivos pessoais vs Dispositivos pertencentes à Organização

Em dispositivos pessoais, é normal e esperado que os utilizadores verifiquem e-mails, juntem-se a reuniões de Teams, atualizem ficheiros SharePoint e muito mais. Muitas organizações permitem dispositivos pessoais, e muitas organizações apenas permitem dispositivos de propriedade da organização.

Como organização e como administrador, decide se permite dispositivos pessoais.

Tarefa: Determine como pretende lidar com dispositivos pessoais. Se ser "móvel" é importante para a sua organização, considere as seguintes abordagens:

  • Em dispositivos pessoais, dê aos utilizadores a opção de se inscreverem no Intune. Uma vez matriculados, os administradores gerem totalmente estes dispositivos, incluindo políticas de pressão, controlo de funcionalidades e configurações do dispositivo e até mesmo dispositivos de limpeza. Como administrador, pode querer este controlo, ou pode pensar que quer este controlo.

    Quando os utilizadores matriculam os seus dispositivos pessoais, podem não perceber ou compreender que os administradores podem fazer qualquer coisa no dispositivo, incluindo limpar ou reiniciar acidentalmente o dispositivo. Como administrador, pode não querer esta responsabilidade ou potencial impacto em dispositivos que a sua organização não possui.

    Além disso, muitos utilizadores recusam-se a inscrever-se. Encontram outras formas de aceder aos recursos da organização. Por exemplo, você precisa que os dispositivos sejam matriculados para usar a app Outlook para verificar o e-mail da organização. Para não este requisito, os utilizadores abrem qualquer navegador web no dispositivo e iniciam seduca para Outlook acesso à Web, que pode não ser o que você quer. Ou criam imagens e guardam as imagens no dispositivo, que também não é o que se quer.

  • Em dispositivos pessoais, utilize políticas de configuração de aplicações e políticas de proteção de aplicações. Os utilizadores não se matriculam no Intune. Estes dispositivos não são geridos por si.

    Utilize uma declaração de Termos e Condições com uma política de acesso condicional. Se os utilizadores não concordarem, então não têm acesso a apps. Se os utilizadores concordarem com a afirmação, então um registo do dispositivo é adicionado ao Azure AD, e o dispositivo torna-se uma entidade conhecida. Quando o dispositivo é conhecido, pode rastrear o que está a ser acedido a partir do dispositivo.

    Em seguida, controle o acesso e a segurança usando as políticas de aplicações.

    Veja as tarefas que a sua organização mais utiliza, como e-mail e reuniões de adesão. Utilize políticas de configuração de aplicativos para configurar configurações específicas da aplicação. Utilize políticas de proteção de aplicações para controlar a segurança e o acesso a estas aplicações.

    Por exemplo, os utilizadores podem usar a aplicação Outlook no seu dispositivo pessoal para verificar o e-mail de trabalho. Utilizando o Intune, os administradores criam uma Outlook política de proteção de aplicações que utiliza a autenticação de vários fatores (MFA) sempre que a aplicação Outlook abre, impede a cópia e a pasta, e muito mais.

  • Quer que todos os dispositivos sejam totalmente geridos. Neste cenário, dê aos utilizadores todos os dispositivos de que necessitam, incluindo telemóveis. Invista num plano de atualização de hardware para que os utilizadores continuem a ser produtivos e eficazes. Inscreva estes dispositivos pertencentes à organização no Intune e gerencie-os usando políticas.

    Esta opção impede dispositivos pessoais.

Como uma boa prática, assuma sempre que os dados deixarão o dispositivo. Certifique-se de que os seus métodos de rastreio e auditoria estão em vigor. Para mais informações, consulte o Centro de Implantação de Confiança Zero.

Gerir computadores de secretária

A Intune pode gerir computadores de secretária com Windows 10 e mais recentes. O Windows 10 OS inclui funcionalidades de gestão de dispositivos modernos incorporadas e elimina as dependências da política de grupos locais ative directory (AD). Obtém os benefícios da nuvem ao criar regras e configurações no Intune e implementar estas políticas em todos os seus Windows 10 dispositivos, incluindo computadores de secretária e Computadores.

Para obter mais informações, consulte o cenário guiado - Ambiente de Trabalho Moderno gerido pela nuvem.

Se os seus Windows 10 dispositivos forem geridos atualmente utilizando o Gestor de Configuração, ainda pode inscrever estes dispositivos no Intune. Esta abordagem chama-se "cogestão". A cogestão oferece muitos benefícios, incluindo executar ações remotas no dispositivo (reiniciar, controlo remoto, reset de fábrica), acesso condicional com a conformidade do dispositivo, e muito mais. Também pode anexar os seus dispositivos à Intune.

Para mais informações, consulte O que é cogestão, Caminhos para cogestão,e Endpoint Manager inquilino anexa.

Tarefa: Veja o que utiliza atualmente para a gestão de dispositivos móveis, quais são os objetivos e determine o melhor caminho. Algumas considerações:

  • Se não usa nada, então ir direto para Intune pode ser o melhor.

  • Para novos dispositivos não matriculados no Gestor de Configuração, ou qualquer solução MDM, então ir diretamente para o Intune pode ser o melhor.

  • Se utilizar atualmente o Gestor de Configuração, as suas opções incluem:

    • Se quiser manter a sua infraestrutura existente e mover algumas cargas de trabalho para a nuvem, use cogestão. Tem o benefício de ambos os serviços. Os dispositivos existentes podem receber algumas políticas do Gestor de Configuração (no local) e outras políticas do Intune (cloud).
    • Se quiser manter a sua infraestrutura existente e utilizar o Intune para ajudar a monitorizar os seus dispositivos no local, use o encaixe do inquilino. Obtém-se o benefício de utilizar o centro de administração Endpoint Manager, enquanto ainda utiliza o Gestor de Configuração para gerir dispositivos.
    • Se quiser uma solução de nuvem pura para gerir dispositivos, então mude-se para Intune. Este cenário é raro. Os utilizadores do Gestor de Configuração existentes preferem muitas vezes continuar a usar o Gestor de Configuração. O guia de implementação tem algumas boas informações.

    Para obter mais informações, consulte as cargas de trabalho de cogestão.

Tarefa 3: Determinar custos e licenciamento

Gerir dispositivos é uma relação com diferentes serviços. O Intune inclui as definições e funcionalidades que pode controlar em diferentes dispositivos. Há também outros serviços que desempenham um papel fundamental:

  • Azure Ative Directory (AD) Premium inclui várias funcionalidades que são fundamentais para a gestão de dispositivos, incluindo:

    • Windows Autopilot: Windows 10 dispositivos podem inscrever-se automaticamente no Intune e receber automaticamente as suas políticas.
    • Autenticação multi-factor (MFA): Os utilizadores devem introduzir dois ou mais métodos de verificação, tais como um PIN, uma aplicação autenticadora, uma impressão digital, e muito mais. O MFA é uma ótima opção ao usar políticas de proteção de aplicações para dispositivos pessoais ou dispositivos pertencentes à organização que requerem segurança extra.
    • Acesso condicional: Se os utilizadores e dispositivos seguirem as suas regras, como uma senha de 6 dígitos, então têm acesso aos recursos da organização. Se os utilizadores ou dispositivos não cumprirem as suas regras, então não têm acesso.
    • Grupos dinâmicos de utilizadores e grupos de dispositivos dinâmicos: Adicione automaticamente os utilizadores ou dispositivos a grupos quando estes satisfaçam critérios, tais como uma cidade, título de trabalho, tipo de SO, versão OS e muito mais.
  • Office 365 inclui as aplicações em que os utilizadores confiam, incluindo Outlook, Word, SharePoint, Teams, OneDrive e muito mais. Pode implementar estas aplicações em dispositivos que utilizem o Intune.

  • O Microsoft Defender for Endpoint ajuda a monitorizar e a digitalizar os seus Windows 10 dispositivos para atividades maliciosas. Também pode definir um nível de ameaça aceitável. Quando combinado com acesso condicional, pode bloquear o acesso aos recursos da organização se o nível de ameaça for excedido.

  • A Azure Information Protection classifica e protege documentos e e-mails aplicando etiquetas. Nas Office aplicações, pode utilizar este serviço para impedir o acesso não autorizado aos dados da organização– incluindo aplicações em dispositivos pessoais.

Todos estes serviços estão incluídos na licença Microsoft 365 E5. Para mais informações, consulte Microsoft 365 planos de licenciamento.

Tarefa: Determine quais os serviços e programas que a sua organização necessita e utiliza para ser produtivo e seguro. Algumas considerações:

  • Se o seu objetivo é implementar políticas (regras) e perfis (configurações), sem qualquer aplicação, no mínimo, precisa do Intune. Intune está disponível com diferentes subscrições, incluindo como um serviço autónomo. Para mais informações, consulte Microsoft Intune licenciamento.

    Atualmente utiliza o Gestor de Configuração e pretende configurar a cogestão para os seus dispositivos. Intune já está incluído na sua licença de Gestor de Configuração. Se pretender que novos dispositivos ou dispositivos cogeridos sejam totalmente geridos pela Intune, então precisa de uma licença Intune separada.

  • Pretende impor as regras de conformidade ou palavra-passe que cria no Intune. No mínimo, precisa de Intune e Azure AD Premium. Intune e Azure AD Premium estão disponíveis com Enterprise Mobility + Security.

    Para mais informações, consulte Enterprise Mobility + Security opções de preços.

  • Só pretende gerir Office 365 aplicações em dispositivos. No mínimo, precisa de Office 365. Para obter mais informações, consulte o MDM para Office 365 vs Microsoft Intune e FAQ sobre Gestão de Dispositivos Móveis para o Office 365.

  • Pretende implementar Office 365 aplicações para os seus dispositivos e criar políticas para ajudar a proteger os dispositivos que executam estas aplicações. No mínimo, precisa de Intune e Office 365.

  • Pretende criar políticas no Intune, implementar Office 365 aplicações e impor as suas regras e configurações. No mínimo, precisas de Intune, Office 365 e Azure AD Premium. Uma vez que todos estes serviços estão incluídos em Microsoft 365, então pode ser rentável usar a licença de Microsoft 365.

    Para mais informações, consulte Microsoft 365 planos de licenciamento.

Tarefa 4: Rever as políticas e infraestruturas existentes

Muitas organizações têm políticas existentes e infraestruturas de gestão de dispositivos que só estão a ser "mantidas". Por exemplo, podes ter políticas de grupo com 20 anos, e não sabes o que eles fazem. Quando considerar uma mudança para a nuvem, em vez de olhar para o que sempre fez, determine o objetivo.

Com estes objetivos em mente, crie uma linha de base das suas políticas. Se tiver várias soluções de gestão de dispositivos, agora pode ser a hora de utilizar uma única solução de gestão de dispositivos móveis.

Tarefa: Comece a analisar as tarefas que executou no local e poderá mover-se para a nuvem. Lembre-se, em vez de olhar para o que sempre fez, determine o objetivo. Algumas considerações:

  • Reveja as suas políticas existentes e a sua estrutura. Algumas políticas podem aplicar-se globalmente, algumas aplicam-se ao nível do site, e algumas são específicas de um dispositivo. O objetivo é conhecer e compreender a intenção das políticas globais, a intenção das políticas locais, e assim por diante.

    As políticas de grupo AD são aplicadas na ordem LSDOU - local, site, domínio e unidade organizacional (OU). Nesta hierarquia, as políticas da OU substituem as políticas de domínio, as políticas de domínio substituem as políticas do site, e assim por diante.

    No Intune, as políticas são aplicadas aos utilizadores e grupos que cria. Não há uma hierarquia. Se duas políticas atualizarem a mesma definição, então a definição mostra como um conflito. Para mais informações, consulte questões, questões e resoluções comuns com políticas e perfis de dispositivos.

    Ao vir da política de grupo da AD para o Intune, as suas políticas globais de AD começarão logicamente a aplicar-se a grupos que você tem, ou grupos que você precisa. Estes grupos incluirão utilizadores e dispositivos que pretende direcionar a nível global, a nível do site, e assim por diante. Esta tarefa dá-lhe uma ideia da estrutura de grupo que vai precisar no Intune.

  • Esteja preparado para criar novas políticas e perfis no Intune. Intune inclui várias funcionalidades que cobrem cenários que podem interessar-lhe. Alguns exemplos:

    • Linhas de segurança: Nos dispositivos Windows 10, as linhas de segurança são definições de segurança pré-configuradas para valores recomendados. Se é novo em proteger dispositivos, ou quer uma linha de base abrangente, então olhe para as Linhas de Base de Segurança.
    • Modelos administrativos: Em dispositivos Windows 10, utilize modelos ADMX para configurar as definições de política de grupo para Windows, Internet Explorer, Office e Microsoft Edge versão 77 e posterior. Estes modelos ADMX são os mesmos modelos ADMX usados na política do grupo AD, mas são 100% baseados em nuvem em Intune.
    • Política de grupo: Utilize a análise de políticas de grupo para importar e analisar os seus GPOs. Esta funcionalidade ajuda-o a determinar como os seus GPOs se traduzem na nuvem. O resultado mostra que definições são suportadas nos fornecedores MDM, incluindo o Microsoft Intune. Também mostra as definições preteridas ou as definições não disponíveis para os fornecedores MDM.
    • Cenários guiados: Os cenários guiados são uma série personalizada de passos focados em casos de utilização de ponta a ponta. Estes cenários incluem automaticamente políticas, apps, atribuições e outras configurações de gestão.
  • Crie uma linha de base política que inclua o mínimo dos seus objetivos. Por exemplo:

    • E-mail seguro: No mínimo, é melhor:

      • Ativar o acesso condicional para Exchange Online ou ligar-se a uma solução de e-mail no local.
      • Crie políticas de proteção de aplicativos Outlook.
    • Definições do dispositivo: No mínimo, é melhor:

      • Requer um PIN de seis caracteres para desbloquear o dispositivo.
      • Evite cópias de segurança em serviços pessoais na nuvem, como iCloud ou OneDrive.
    • Perfis do dispositivo: No mínimo, é melhor:

      • Crie um perfil Wi-Fi com as definições pré-configuradas que se ligam à rede sem fios Contoso Wi-Fi.
      • Crie um perfil VPN com um certificado para autenticar automaticamente e ligar-se a uma organização VPN.
      • Crie um perfil de e-mail com as definições pré-configuradas que se conectam a Office 365 ou a uma solução de e-mail do Gmail.
    • Aplicativos: No mínimo, pode querer:

      • Implementar Office 365 com políticas de proteção de aplicações.
      • Implementar linha de negócios (LOB) com políticas de proteção de aplicações.
  • Reveja a estrutura atual dos seus grupos. No Intune, pode criar e atribuir políticas a grupos de utilizadores, grupos de dispositivos e grupos dinâmicos de utilizadores e dispositivos (requer Azure AD Premium).

    Quando cria grupos na nuvem, como Intune ou Microsoft 365, eles são criados em Azure AD. Não se vê a marca AD Azure, mas é isso que estás a usar.

  • Se tiver várias soluções de gestão de dispositivos, mude para uma única solução de gestão de dispositivos móveis. Recomendamos a utilização do Intune para ajudar a proteger os dados da organização em aplicações e dispositivos.

Tarefa 5: Criar um plano de lançamento

A próxima tarefa é planear como e quando os seus utilizadores e dispositivos recebem as suas políticas. Nesta tarefa, considere ainda:

  • Defina os seus objetivos e métricas de sucesso. Utilize estes pontos de dados para criar outras fases de lançamento. Verifique se as metas são SMART (específicas, mensuráveis, atingíveis, realistas e oportunas). Planeie medir contra os seus objetivos em cada fase para que o seu projeto de lançamento permaneça no caminho certo.
  • Têm objetivos e objetivos claramente definidos. Inclua estes objetivos em todas as atividades de sensibilização e formação para que os utilizadores compreendam porque é que a sua organização escolheu o Intune.

Tarefa: Crie um plano para lançar as suas políticas e escolha como os utilizadores matriculam os seus dispositivos no Intune. Algumas considerações:

  • Desemominem as vossas políticas por fases. Por exemplo:

    • Comece com um piloto ou grupo de teste. Estes grupos devem saber que são os primeiros utilizadores e estar dispostos a fornecer feedback. Utilize este feedback para melhorar a configuração, documentação, notificações e facilitar a vida dos utilizadores num futuro lançamento. Estes utilizadores não devem ser executivos ou VIPs.

      Após os testes iniciais, adicione mais utilizadores ao grupo piloto. Ou criar mais grupos piloto que se centrem num lançamento diferente, tais como:

      • Departamentos: Cada departamento pode ser uma fase de lançamento. Pode direcionar para um departamento inteiro de cada vez. Neste lançamento, os utilizadores de cada departamento podem utilizar o seu dispositivo da mesma forma e aceder às mesmas aplicações. Os utilizadores provavelmente têm os mesmos tipos de políticas.

      • Geografia: Implemente as suas políticas para todos os utilizadores numa geografia específica, seja no mesmo continente, país/região ou mesmo edifício de organização. Este lançamento permite-lhe focar-se na localização específica dos utilizadores. Pode fornecer um Windows Autopilot para uma abordagem de implantação pré-a provisionada, uma vez que o número de locais que implementam Intune ao mesmo tempo é menor. Existem possibilidades de diferentes departamentos ou casos de uso diferentes no mesmo local. Então, podes estar a testar casos de uso diferentes simultaneamente.

      • Plataforma: Este lançamento implementa plataformas semelhantes ao mesmo tempo. Por exemplo, implementar políticas para todos os dispositivos iOS/iPadOS em fevereiro, todos os dispositivos Android em março, e todos os Windows dispositivos em abril. Esta abordagem pode simplificar o suporte de mesa, uma vez que apenas suportam uma plataforma de cada vez.

      Utilizando uma abordagem encenada, pode obter feedback de uma vasta gama de tipos de utilizadores.

    • Depois de um piloto de sucesso, está pronto para iniciar um lançamento completo de produção. Segue-se um plano de implementação intune que inclui grupos-alvo e prazos:

    Fase de implementação Julho Agosto Setembro Outubro
    Piloto Limitado TI (50 utilizadores)
    Piloto Expandido TI (200 utilizadores), Executivos de TI (10 utilizadores)
    Primeira fase de implementação de produção Departamento de Vendas e Marketing (2000 utilizadores)
    Segunda fase de implementação de produção Revenda (1000 utilizadores)
    Terceira fase de implementação de produção RH (50 utilizadores), Finanças (40 utilizadores), Executivos (30 utilizadores)

    Este modelo também está disponível para descarregar no Intune implementação planeamento, design e implementação - Modelos de tabela.

  • Escolha como os utilizadores irão inscrever os seus dispositivos pessoais e de propriedade da organização. Existem diferentes abordagens de inscrição que pode utilizar, incluindo:

    • Self-service do utilizador: Os utilizadores matriculam os seus próprios dispositivos seguindo os passos fornecidos pela sua organização de TI. Esta abordagem é mais comum e é mais escalável do que a inscrição assistida pelo utilizador.
    • Inscrição assistida pelo utilizador: Utilizando esta abordagem de implementação pré-a provisionada, um membro de TI ajuda os utilizadores através do processo de inscrição, presencialmente ou utilizando Teams. Esta abordagem é comum com o pessoal executivo e outros grupos que podem precisar de mais assistência.
    • Feira de TECNOLOGIA: Neste evento, o grupo de TI cria uma cabine de assistência à inscrição intune. Os utilizadores recebem informações sobre a inscrição do Intune, fazem perguntas e obtêm ajuda para a inscrição dos seus dispositivos. Esta opção é benéfica para ti e utilizadores, especialmente durante as fases iniciais de um lançamento do Intune.

    O exemplo a seguir inclui as abordagens de inscrição:

    Fase de implementação Julho Agosto Setembro Outubro
    Piloto Limitado
    Gestão personalizada TI
    Piloto Expandido
    Gestão personalizada TI
    Pré-previsto Executivos de TI
    Primeira fase de implementação de produção Departamento de Vendas e Marketing
    Gestão personalizada Vendas e Marketing
    Segunda fase de implementação de produção Retail
    Gestão personalizada Retail
    Terceira fase de implementação de produção Executivos, RH, Finanças
    Gestão personalizada RH, Finanças
    Pré-previsto Executivos

Tarefa 6: Comunicar alterações

A gestão da mudança baseia-se em comunicações claras e úteis sobre as próximas mudanças. A ideia é suavizar a sua implementação Intune, certifique-se de que os utilizadores estão cientes de alterações e qualquer perturbação.

Tarefa: O seu plano de comunicação de implementação deve incluir informações importantes, como notificar os utilizadores e quando comunicar. Algumas considerações:

  • Determinar que informação comunicar. Comunique por fases aos seus grupos e utilizadores, começando com um pontapé de saída intune, pré-inscrição e, em seguida, pós-inscrição:

    • Fase de pontapé de saída: Comunicação ampla que introduz o projeto Intune. Deve responder a questões-chave, tais como:

      • O que é o Intune?
      • Porque é que a organização está a usar o Intune, incluindo benefícios para a organização e para os utilizadores
      • Fornecer um plano de alto nível da implantação e lançamento.
      • Se os dispositivos pessoais não forem permitidos a menos que os dispositivos estejam matriculados, explique por que tomou a decisão.
    • Fase de pré-inscrição: Ampla comunicação que inclui informações sobre Intune e serviços adicionais (como Office, Outlook e OneDrive), recursos de utilizadores e prazos específicos quando os utilizadores e grupos devem receber Intune.

    • Fase de inscrição: Comunicação direcionada a utilizadores e grupos de organização que estão programados para receber Intune. Deve informar os utilizadores de que estão prontos para receber o Intune, incluir as etapas de inscrição e quem contactar para obter ajuda e perguntas.

    • Fase de pós-inscrição: Comunicação direcionada a utilizadores e grupos de organizações matriculados no Intune. Deve fornecer recursos adicionais que possam ser úteis para os utilizadores, e recolher feedback sobre a sua experiência durante e após a inscrição.

    O Kit de Adoção Intune pode ser útil. Use-o como está, ou mude para a sua organização.

  • Escolha como comunicar informações de lançamento intune para os seus grupos e utilizadores direcionados. Por exemplo:

    • Crie uma reunião em pessoa ampla da organização ou use Microsoft Teams.

    • Crie um e-mail para pré-inscrição, e-mail para inscrição e e-mail para pós-inscrição. Por exemplo:

      • Email 1: Explique os benefícios, expectativas e horários. Aproveite esta oportunidade para mostrar quaisquer outros serviços cujo acesso seja concedido em dispositivos geridos pela Intune.
      • Email 2: Anuncie que os serviços estão agora prontos para acesso através do Intune. Informe os utilizadores para se inscreverem agora. Dê aos utilizadores uma linha temporal antes de o seu acesso ser afetado. Notificar os utilizadores dos benefícios e dos motivos estratégicos da migração.
    • Utilize um site da organização que explique as fases de lançamento, o que os utilizadores podem esperar e quem contactar para obter ajuda.

    • Crie cartazes, use plataformas de redes sociais (como Yammer), ou distribua panfletos para anunciar a fase de pré-inscrição.

  • Crie uma linha do tempo que inclua quando e quem. As primeiras comunicações intune podem visar toda a organização, ou apenas um subconjunto. Podem ocorrer ao longo de várias semanas antes do lançamento do Intune. Depois disso, a informação poderia ser comunicada por fases aos utilizadores e grupos, alinhados com o seu calendário de lançamento intune.

    Segue-se um plano de comunicações intune de alto nível:

    Plano de comunicação Julho Agosto Setembro Outubro
    Fase 1 Todos
    Reunião inicial Primeira semana
    Fase 2 TI Vendas e Marketing Retail RH, Finanças e Executivos
    Primeiro E-mail Relativo à Pré-inscrição Primeira semana Primeira semana Primeira semana Primeira semana
    Fase 3 TI Vendas e Marketing Retail RH, Finanças e Executivos
    Segundo E-mail Relativo à Pré-inscrição Segunda semana Segunda semana Segunda semana Segunda semana
    Fase 4 TI Vendas e Marketing Retail RH, Finanças e Executivos
    E-mail relativo à inscrição Terceira semana Terceira semana Terceira semana Terceira semana
    Fase 5 TI Vendas e Marketing Retail RH, Finanças e Executivos
    E-mail relativo à pós-inscrição Quarta semana Quarta semana Quarta semana Quarta semana

Tarefa 7: Suporte ao balcão de apoio e utilizadores finais

Inclua o seu suporte de TI e ajude-o nas fases iniciais do planeamento de implantação do Intune e dos esforços piloto. O envolvimento precoce expõe a sua equipa de apoio ao Intune, e eles ganham conhecimento e experiência na identificação e resolução de problemas de forma mais eficaz. Também os prepara para apoiar o lançamento completo da produção da organização. As equipas de apoio e de apoio experientes também ajudam os utilizadores a adotar estas alterações.

Tarefa: Incorporar formação de apoio. Valide a experiência do utilizador final com métricas de sucesso no seu plano de implementação. Algumas considerações:

  • Determine quem irá apoiar os utilizadores finais. As organizações podem ter diferentes níveis ou níveis (1-3). Por exemplo, os níveis 1 e 2 podem fazer parte da equipa de apoio. O nível 3 inclui membros da equipa MDM responsável pela implantação do Intune.

    O nível 1 é tipicamente o primeiro nível de suporte e o primeiro nível de contacto. Se o nível 1 não consegue resolver o problema, então eles aumentam para o nível 2. O nível 2 aumenta para o nível 3. O suporte da Microsoft pode ser considerado como nível 4.

    • Nas fases iniciais de lançamento, certifique-se de que todos os níveis do documento da sua equipa de apoio são problemas e resoluções. Procure padrões e ajuste as suas comunicações para a próxima fase de lançamento. Por exemplo:
      • Se diferentes utilizadores ou grupos estiverem hesitantes em inscrever os seus dispositivos pessoais, considere uma Teams chamadas para responder a questões comuns.
      • Se os utilizadores estiverem a ter os mesmos problemas de inscrição de dispositivos pertencentes à organização, então organizem um evento presencial para ajudar os utilizadores a inscrever os dispositivos.
  • Crie um fluxo de trabalho de mesa de ajuda e comunique constantemente problemas de suporte, tendências e outras informações importantes para todos os níveis da sua equipa de suporte. Por exemplo, realizar reuniões de Teams diárias ou semanais para que todos os níveis estejam cientes das tendências, padrões e possam obter ajuda.

    O exemplo a seguir mostra como a Contoso implementa o seu suporte de TI ou ajuda a ajudar os fluxos de trabalho:

    1. O utilizador final entra em contacto com a camada 1 de suporte técnico ou suporte de TI relativamente a um problema de inscrição.
    2. O suporte de TI ou o nível 1 não consegue determinar a causa da raiz e aumenta para o nível 2.
    3. Suporte de TI ou helpdesk nível 2 investiga. O nível 2 não consegue resolver o problema e escala para o nível 3, e fornece informações adicionais para ajudar no problema.
    4. Suporte de TI ou helpdesk nível 3 investiga, determina a causa raiz, e comunica a resolução para os níveis 2 e 1.
    5. O suporte de TI/helpdesk nível 1 contacta os utilizadores e resolve o problema.

    Esta abordagem, especialmente nas fases iniciais do lançamento do Intune, acrescenta muitos benefícios, incluindo:

    • Ajudar na aprendizagem de tecnologia.
    • Identificar rapidamente questões e resolução.
    • Melhorar a experiência geral do utilizador.
  • Treine o seu help desk e equipas de apoio. Faça com que inscrevam dispositivos com as diferentes plataformas utilizadas na sua organização (Android, iOS/iPadOS, macOS, Windows) pelo que estão familiarizados com o processo. Considere usar o help desk e as equipas de apoio como um grupo piloto para os seus cenários.

    Existem recursos de formação disponíveis, incluindo vídeos do YouTube,tutoriais da Microsoft sobre inscrição, conformidade, configuraçãoe cursos através de parceiros de formação.

    Segue-se um exemplo de formação de apoio intune:

    • Revisão de um plano de suporte do Intune
    • Descrição geral do Intune
    • Resolução de problemas comuns
    • Ferramentas e recursos
    • Perguntas e Respostas

Educar a documentação dos seus utilizadores finais, o fórum Intunebaseado na comunidade, e a documentação do utilizador final também são grandes recursos.

Passos seguintes

Crie as suas políticas de aplicação e dispositivose inscreva os seus dispositivos.

Consulte o Kit de Adoção Intune.