Руководство по развертыванию. Управление устройствами под управлением Windows 10/11
В этом руководстве описывается защита приложений и конечных точек Windows и управление ими с помощью Microsoft Intune, а также приведены рекомендации по настройке и ресурсы от предварительных требований до регистрации.
Для каждого раздела этого руководства просмотрите связанные задачи. Некоторые задачи являются обязательными, а некоторые, например настройка условного доступа Microsoft Entra, являются необязательными. Щелкните предоставленные ссылки в каждом разделе, чтобы перейти к рекомендуемой справочной документации по Microsoft Learn, где можно найти более подробные сведения и инструкции.
Шаг 1. Предварительные условия
Выполните следующие предварительные требования, чтобы включить возможности управления конечными точками клиента:
- Добавление пользователей и групп
- Назначение лицензий пользователям
- Задание центра управления мобильными устройствами
Сведения о ролях и разрешениях Microsoft Intune см. в разделе RBAC с Microsoft Intune. Роли глобального администратора Microsoft Entra и администратора Intune имеют полные права в Microsoft Intune. Эти роли имеют высокий привилегированный доступ и имеют больше доступа, чем требуется для многих задач управления устройствами в Microsoft Intune. Рекомендуется использовать встроенную роль с наименьшими привилегиями, которая доступна для выполнения задач.
Дополнительные сведения и рекомендации по подготовке организации, подключению или внедрению Intune для управления мобильными устройствами см. в статье Руководство по миграции. Настройка или переход на Microsoft Intune.
Шаг 2. Планирование развертывания
Используйте руководство по планированию Microsoft Intune, чтобы определить цели управления устройствами, сценарии вариантов использования и требования. Используйте руководство для планирования развертывания, взаимодействия, поддержки, тестирования и проверки. Например, в некоторых случаях вам не нужно присутствовать, когда сотрудники и учащиеся регистрируют свои устройства. Рекомендуется использовать план коммуникации, чтобы пользователи знали, где найти сведения об установке и использовании корпоративного портала Intune.
Дополнительные сведения см. в руководстве по планированию Microsoft Intune.
Шаг 3. Создание политик соответствия требованиям
Используйте политики соответствия требованиям, чтобы обеспечить безопасность устройств, обращаюющихся к данным, и они соответствуют стандартам вашей организации. Последним этапом процесса регистрации является оценка соответствия требованиям, которая проверяет, соответствуют ли параметры устройства вашим политикам. Пользователи устройств должны устранить все проблемы с соответствием требованиям, чтобы получить доступ к защищенным ресурсам. Intune помечает устройства, которые не соответствуют требованиям соответствия требованиям, как не соответствующие требованиям, и предпринимает дополнительные действия (например, отправка пользователю уведомления, ограничение доступа или очистка устройства) в соответствии с вашими действиями в случае несоответствия конфигураций.
Политики условного доступа Microsoft Entra можно использовать вместе с политиками соответствия устройств для управления доступом к компьютерам с Windows, корпоративной электронной почте и службам Microsoft 365. Например, можно создать политику, которая запрещает сотрудникам доступ к Microsoft Teams в Edge без предварительной регистрации или защиты устройства.
Совет
Общие сведения о политиках соответствия устройств см. в статье Общие сведения о соответствии требованиям.
Задача | Сведения |
---|---|
Создание политики соответствия | Ознакомьтесь с пошаговыми инструкциями о том, как создать и назначить политики соответствия группам пользователей и устройств. |
Добавление действий при несоответствии | Выберите, что произойдет, если устройства больше не соответствуют условиям политики. Примеры действий включают отправку оповещений, удаленную блокировку устройств или снятие устройств с учета. Вы можете добавить действия при обнаружении несоответствия при настройке или изменении политики. |
Создание политики условного доступа на основе устройств или приложений | Выберите приложения или службы, которые вы хотите защитить, и определите условия для доступа. |
Блокировка приложений, не поддерживающих современные средства аутентификации | Создайте политики условного доступа на основе приложений для блокировки приложений, использующих способы проверки подлинности, отличные от OAuth2. Например, вы можете заблокировать приложения, в которых применяется обычная проверка подлинности и аутентификация на основе форм. Однако перед блокировкой доступа войдите в Microsoft Entra ID и просмотрите отчет о действиях методов проверки подлинности , чтобы узнать, используют ли пользователи обычную проверку подлинности для доступа к важным вещам, о которых вы забыли или не знали о них. Например, календарные киоски для комнат используют обычную проверку подлинности. |
Добавление настраиваемых параметров соответствия | С помощью настраиваемых параметров соответствия можно создавать собственные скрипты Bash для сценариев соответствия требованиям, которые еще не включены в параметры соответствия устройств, встроенные в Microsoft Intune. В этой статье описывается создание, мониторинг и устранение неполадок настраиваемых политик соответствия требованиям для устройств Windows. Настраиваемые параметры соответствия требуют создания пользовательского скрипта , который определяет пары параметров и значений. |
Шаг 4. Настройка безопасности конечных точек
Используйте функции безопасности конечных точек Intune для настройки безопасности устройств и управления задачами безопасности для устройств, подверженных риску.
Задача | Сведения |
---|---|
Управление устройствами с помощью функций безопасности конечных точек | Используйте параметры безопасности конечных точек в Intune, чтобы эффективно управлять безопасностью устройств и устранять проблемы. |
Добавление параметров Endpoint Protection | Настройте распространенные функции безопасности endpoint protection, такие как брандмауэр, BitLocker и Microsoft Defender. Описание параметров в этой области см. в справочнике по защите конечных точек. |
Настройка Microsoft Defender для конечной точки в Intune | Интеграция Intune с Microsoft Defender для конечной точки позволяет не только предотвратить нарушения безопасности, но и воспользоваться преимуществами Управления угрозами & уязвимостями Microsoft Defender для конечных точек (TVM) и использовать Intune для устранения уязвимости конечной точки, определяемой TVM. |
Управление политикой BitLocker | Убедитесь, что устройства шифруются при регистрации, создав политику, которая настраивает BitLocker на управляемых устройствах. |
Управление профилями базовых показателей безопасности | Используйте базовые показатели безопасности в Intune, чтобы защитить пользователей и устройства. Базовые показатели безопасности включают рекомендации и рекомендации по параметрам, влияющим на безопасность. |
Использование Центра обновления Windows для бизнеса для обновлений программного обеспечения | Настройте стратегию развертывания Центра обновления Windows с помощью Центра обновления Windows для бизнеса. В этой статье описаны типы политик, которые можно использовать для управления обновлениями программного обеспечения Windows 10/11, а также способы перехода от отсрочки круга обновлений на политику обновлений компонентов. |
Шаг 5. Настройка параметров устройства
Используйте Microsoft Intune для включения или отключения параметров и функций Windows на устройствах. Чтобы настроить и применить эти параметры, создайте профиль конфигурации устройства, а затем назначьте профиль группам в Организации. Устройства получают профиль после регистрации.
Задача | Сведения |
---|---|
Создание профиля устройства | Создайте профиль устройства в Microsoft Intune и найдите ресурсы обо всех типах профилей устройств. Вы также можете использовать каталог параметров для создания политики с нуля. |
Настройка параметров групповой политики | Использование шаблонов Windows 10 для настройки параметров групповой политики в Microsoft Intune Административные шаблоны включают сотни параметров, которые можно настроить: Internet Explorer, Microsoft Edge, OneDrive, удаленный рабочий стол, Word, Excel, прочие программы Office. Эти шаблоны предоставляют администраторам упрощенное представление параметров, аналогичное групповой политике, и являются полностью облачными. |
Настройка профиля Wi-Fi | Этот профиль позволяет людям находить и подключаться к Wi-Fi сети вашей организации. Описание параметров в этой области см. в справочнике по параметрам Wi-Fi для Windows 10 и более поздних версий. |
Настройка профиля VPN | Настройте безопасное VPN-подключение, например Microsoft Tunnel, для пользователей, подключающихся к сети организации. Описание параметров в этой области см. в справочнике по функциям устройств. |
Настройка электронной почты | Настройте параметры электронной почты, чтобы пользователи могли подключаться к почтовому серверу и получать доступ к своей рабочей или учебной электронной почте. Описание параметров в этой области см. в справочнике по функциям устройств. |
Ограничение возможностей устройств | Защитите пользователей от несанкционированного доступа и отвлекающих факторов, ограничив функции устройства, которые они могут использовать на работе или в школе. Описание параметров в этой области см. в справочнике по ограничениям устройств для Windows 10/11 и Windows 10 Teams. |
Настройка индивидуального профиля | Добавьте и назначьте параметры и функции устройства, которые не встроены в Intune. Описание параметров в этой области см. в справочнике по пользовательским параметрам. |
Настройка параметров BIOS | Настройте Intune, чтобы вы могли управлять параметрами UEFI (BIOS) на зарегистрированных устройствах с помощью интерфейса конфигурации встроенного ПО устройства (DFCI) |
Настройка присоединения к домену | Если вы планируете зарегистрировать устройства, присоединенные к Microsoft Entra, обязательно создайте профиль присоединения к домену, чтобы Intune знал, к какому локальному домену следует присоединиться. |
Настройка параметров оптимизации доставки | Используйте эти параметры, чтобы снизить потребление пропускной способности на устройствах, скачивающих приложения и обновления. |
Настройка фирменной символики и регистрации | Настройте корпоративный портал Intune и приложение Microsoft Intune, используя собственные слова, фирменный стиль, настройки экрана и контактную информацию вашей организации. |
Настройка киосков и выделенных устройств | Создайте профиль киоска для управления устройствами, работающими в режиме киоска. |
Настройка общих устройств | Управление доступом, учетными записями и функциями питания на общих или многопользовательских устройствах. |
Настройка границы сети | Создайте профиль границ сети, чтобы защитить среду от сайтов, которым вы не доверяете. |
Настройка мониторинга работоспособности Windows | Создайте профиль мониторинга работоспособности Windows, чтобы корпорация Майкрософт собирала данные о производительности и предоставляла рекомендации по улучшению. Создание профиля включает функцию аналитики конечных точек в Microsoft Intune, которая анализирует собранные данные, рекомендует программное обеспечение, помогает повысить производительность запуска и устраняет распространенные проблемы с поддержкой. |
Настройка приложения "Тестирование" для учащихся | Настройте приложение "Тестирование" для учащихся, снимаемых тесты или экзамены на зарегистрированных устройствах. |
Настройка профиля сотовой связи eSim | ESIM можно настроить для устройств с поддержкой ESIM, таких как Surface LTE Pro, для подключения к Интернету по сотовой сети передачи данных. Эта конфигурация идеально подходит для путешественников со всего мира, которым необходимо оставаться на связи и быть гибкими во время поездок, и устраняет необходимость в SIM-карте. |
Шаг 6. Настройка безопасных методов проверки подлинности
Настройте методы проверки подлинности в Intune, чтобы обеспечить доступ к внутренним ресурсам только уполномоченным пользователям. Intune поддерживает многофакторную проверку подлинности, сертификаты и производные учетные данные. Сертификаты также могут использоваться для подписи и шифрования электронной почты с помощью S / MIME.
Задача | Сведения |
---|---|
Требование многофакторной проверки подлинности (MFA) | Требовать от пользователей предоставления двух форм учетных данных во время регистрации устройства. Эта политика работает в сочетании с политиками условного доступа Microsoft Entra. |
Создание профиля доверенного сертификата | Перед созданием профиля сертификата SCEP, PKCS или импортированного сертификата PKCS создайте и разверните профиль доверенного сертификата. Профиль доверенного сертификата развертывает доверенный корневой сертификат для устройств и пользователей с помощью импортированных сертификатов SCEP, PKCS и PKCS. |
Использование сертификатов SCEP в Intune | Узнайте, что необходимо для использования сертификатов SCEP в Intune и настройки необходимой инфраструктуры. Затем можно создать профиль сертификата SCEP или настроить сторонний центр сертификации с помощью SCEP. |
Использование сертификатов PKCS в Intune | В этой статье вы узнаете, как настроить необходимую инфраструктуру (например локальные соединители сертификата), экспортировать сертификат PKCS и добавить сертификат в профиль конфигурации устройства Intune. |
Использование импортированных сертификатов PKCS в Intune | Используйте импортированные сертификаты PKCS, которые позволяют настроить и использовать S/MIME для шифрования электронной почты. |
Настройка поставщика производных учетных данных | Подготовка устройств Windows с помощью сертификатов, производных от смарт-карт пользователя. |
Интеграция Windows Hello для бизнеса с Microsoft Intune | Создайте политику Windows Hello для бизнеса, чтобы включить или отключить Windows Hello для бизнеса во время регистрации устройства. Hello для бизнеса — это альтернативный метод входа, который использует Active Directory или учетную запись Microsoft Entra для замены пароля, смарт-карты или виртуальной смарт-карты. |
Шаг 7. Развертывание приложений
При настройке приложений и политик приложений подумайте о требованиях вашей организации, например о поддерживаемых платформах, задачах, выполняемых пользователями, типах приложений, необходимых для выполнения этих задач, и о том, кому они нужны. Intune можно использовать для управления целым устройством (включая приложения) или только приложениями.
Задача | Сведения |
---|---|
Добавление бизнес-приложений | Добавьте бизнес-приложения macOS (LOB) в Intune и назначьте их группам. |
Добавление Microsoft Edge | Добавление и назначение Microsoft Edge для Windows. |
Добавление приложения корпоративного портала Intune из Microsoft Store | Вручную добавьте и назначьте приложение корпоративного портала Intune в качестве обязательного приложения. |
Добавление приложения корпоративного портала Intune для Autopilot | Добавьте приложение корпоративного портала на устройства, подготовленные Windows Autopilot. |
Добавление приложений Microsoft 365 | Добавление приложений Microsoft 365 для предприятий. |
Назначение приложений группам | После добавления приложений в Intune назначьте их пользователям и устройствам. |
Включение и исключение назначений приложений | Управляйте доступом приложения путем включения и исключения выбранных групп из назначения. |
Использование сценариев PowerShell | Отправьте скрипты PowerShell, чтобы расширить возможности управления устройствами Windows в Intune и упростить переход к современному управлению. |
Шаг 8. Регистрация устройств
Во время регистрации устройство регистрируется с идентификатором Microsoft Entra и оценивается на соответствие требованиям. Сведения о каждом методе регистрации и о том, как выбрать подходящий для вашей организации, см. в руководстве по регистрации устройств Windows для Microsoft Intune.
Задача | Сведения |
---|---|
Включение автоматической регистрации MDM | Упростите регистрацию, включив автоматическую регистрацию, которая автоматически регистрирует устройства в Intune, которые присоединяются или регистрируются с помощью идентификатора Microsoft Entra. Автоматическая регистрация упрощает развертывание Windows Autopilot, регистрацию BYOD, регистрацию с помощью групповой политики и массовую регистрацию с помощью пакета подготовки. |
Включение автоматического обнаружения сервера MDM | Если у вас нет идентификатора Microsoft Entra P1 или P2, рекомендуется создать тип записи CNAME для серверов регистрации Intune. Запись CNAME перенаправляет запросы на регистрацию на нужный сервер, чтобы регистрировать пользователей не нужно вводить имя сервера вручную. |
Сценарии Windows Autopilot | Упростите управляемое пользователем или самостоятельное развертывание OOBE для вас и пользователей, настроив автоматическую регистрацию устройств Microsoft Intune во время Windows Autopilot. |
Регистрация устройств с гибридным присоединением к Microsoft Entra с помощью Windows Autopilot | Соединитель Intune для Active Directory позволяет устройствам в доменных службах Active Directory присоединяться к Идентификатору Microsoft Entra, а затем автоматически регистрироваться в Intune. Мы рекомендуем этот вариант регистрации для локальных сред, использующих доменные службы Active Directory и не имеющих возможности переместить свои удостоверения в идентификатор Microsoft Entra. |
Регистрация устройств с помощью групповой политики | Активируйте автоматическую регистрацию в Intune с помощью групповой политики. |
Устройства массовой регистрации | Создайте пакет подготовки в конструкторе конфигураций Windows, который присоединяет большое количество новых устройств Windows к Microsoft Entra ID и регистрирует их в Intune. |
Настройка страницы состояния регистрации (ESP) | Создайте профиль страницы состояния регистрации с настраиваемыми параметрами, которые помогут пользователям выполнить настройку и регистрацию устройства. |
Изменение метки владения устройством | После регистрации устройства можно изменить его метку владения в Intune на корпоративное или личное. Эта корректировка изменяет способ управления устройством, а также позволяет включить дополнительные возможности управления и идентификации в Intune или ограничить их. |
Настройка прокси-сервера для соединителя Active Directory Intune | Настройте соединитель Intune для Active Directory для работы с существующими прокси-серверами для исходящего трафика. |
Устранение проблем с регистрацией | Устраняйте неполадки и находите решения проблем, возникающих во время регистрации. |
Шаг 9. Выполнение удаленных действий
После настройки устройств можно использовать поддерживаемые удаленные действия для управления устройствами и устранения неполадок на расстоянии. В следующих статьях вы познакомитесь с удаленными действиями для Windows. Если действие отсутствует или отключено на портале, оно не поддерживается для Windows.
Задача | Сведения |
---|---|
Выполнение удаленных действий на устройствах | Узнайте, как детализировать и удаленно управлять отдельными устройствами в Intune, а также устранять их неполадки. В этой статье перечислены все удаленные действия, доступные в Intune, а также приведены ссылки на эти процедуры. |
Удаленное администрирование устройств Intune с помощью TeamViewer | В этом разделе описано, как настроить TeamViewer в Intune и удаленно управлять устройством. |
Использование задач безопасности для просмотра угроз и уязвимостей | Используйте Intune для устранения уязвимости конечной точки, определяемой Microsoft Defender для конечной точки. Прежде чем вы сможете работать с задачами безопасности, необходимо интегрировать Microsoft Defender для конечной точки с Intune. |
Шаг 10. Помощь сотрудникам и учащимся
Ресурсы, приведенные в этом разделе, находятся в документации по справке пользователя Microsoft Intune. Эта документация предназначена для сотрудников, учащихся и других пользователей устройств с лицензией Intune, которые регистрируют личное или корпоративное устройство. Ссылки на документацию доступны в приложении корпоративного портала Intune и указывают на следующие сведения:
- Методы регистрации с пошаговым руководством по регистрации
- Параметры и функции корпоративного портала
- Отмена регистрации и удаление сохраненных данных
- Обновление параметров устройства для соответствия требованиям
- Как сообщить о проблемах с приложением
Совет
Чтобы упростить поиск требований к операционной системе и паролям устройств на веб-сайте или в сообщении электронной почты для подключения, чтобы сотрудникам не нужно было задерживать регистрацию, чтобы получить эти сведения.
Задача | Сведения |
---|---|
Установка приложения корпоративного портала Intune для Windows | Узнайте, где получить приложение корпоративного портала и как выполнить вход. |
Обновление приложения корпоративного портала | В этой статье описывается установка последней версии корпоративного портала и включение автоматического обновления приложений. |
Регистрация устройства | В этой статье описывается регистрация личных устройств под управлением Windows 10 или Windows 11. |
Отмена регистрации устройства | В этой статье описывается, как отменить регистрацию устройства в Intune и удалить сохраненный кэш и журналы для корпоративного портала. |
Дальнейшие действия
Общие сведения о Центре администрирования Microsoft Intune и способах его навигации см. в статье Руководство. Пошаговое руководство по Центру администрирования Microsoft Intune. Учебники — это контент на уровне 100–200 для людей, которые впервые работают с Intune или конкретным сценарием.
Другие версии этого руководства см. в следующих статьях:
- Руководство по развертыванию средств управления устройствами Android в Microsoft Intune
- Руководство по развертыванию: управление устройствами iOS в Microsoft Intune
- Руководство по развертыванию средств управления устройствами macOS в Microsoft Intune
- Руководство по развертыванию: управляемые устройства Linux в Microsoft Intune