Поделиться через


Руководство по планированию высокого уровня для перехода к облачным конечным точкам

Совет

При чтении об облачных собственных конечных точках вы увидите следующие термины:

  • Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
  • Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
  • Облачные собственные конечные точки: конечные точки, присоединенные к Microsoft Entra. Они не присоединены к локальной AD.
  • Рабочая нагрузка: любая программа, служба или процесс.

В этом высокоуровневом руководстве по планированию содержатся идеи и предложения, которые следует учитывать при реализации и миграции на облачные конечные точки. В нем обсуждается управление устройствами, просмотр и перенос существующих рабочих нагрузок, внесение организационных изменений, использование Windows Autopilot и многое другое.

Данная функция применяется к:

  • Облачные конечные точки Windows

Перемещение конечных точек Windows в облако имеет множество преимуществ, включая долгосрочные преимущества. Это не мгновенный процесс, и его необходимо планировать, чтобы избежать проблем, сбоев и негативного воздействия на пользователей.

Дополнительные сведения о преимуществах для организации и ваших пользователей см. в разделе Что такое облачные конечные точки.

Чтобы добиться успеха, рассмотрите ключевые области, описанные в этой статье, для планирования и развертывания. При правильном планировании, коммуникациях и обновлении процессов ваша организация может полностью перейти на облачные технологии.

Управление устройствами с помощью облачного поставщика MDM

Управление вашими конечными точками, в том числе облачными конечными точками, является важной задачей для всех организаций. При работе с облачными конечными точками используемые вами инструменты управления должны управлять конечными точками, где бы они ни находились.

Если вы в настоящее время не используете решение для управления мобильными устройствами (MDM) или хотите перейти на решение Майкрософт, то следующие статьи являются хорошими ресурсами:

В семействе продуктов и служб Microsoft Intune доступны следующие варианты управления конечными точками:

Проверьте свою конечную точку и рабочие нагрузки пользователей.

На высоком уровне для развертывания облачных конечных точек требуются современные стратегии удостоверения, распространения программного обеспечения, управления устройствами, обновлений ОС, а также управления пользовательскими данными и конфигурацией. У Microsoft есть решения, поддерживающие эти области для ваших облачных конечных точек.

Для начала просмотрите каждую рабочую нагрузку и определите, как она может или будет поддерживать ваши собственные облачные конечные точки. Некоторые рабочие нагрузки могут уже поддерживать облачные конечные точки. Встроенная поддержка зависит от конкретной рабочей нагрузки, того, как ваша организация реализует службы рабочей нагрузки и как ваши пользователи используют эти службы.

Чтобы определить, поддерживают ли ваши рабочие нагрузки облачные конечные точки, вам необходимо изучить и проверить эти службы.

Если служба или решение не поддерживает собственные облачные конечные точки, определите их влияние и важность для ваших пользователей и вашей организации. Когда у вас есть эти сведения, вы можете определить следующие шаги, которые могут включать:

  • Работа с поставщиком услуг
  • Обновление до новой версии
  • Использование новой службы
  • Реализация временного решения для доступа и использования этой службы из облачной конечной точки
  • Проверка требований к службе
  • Принятие того, что служба не является облачной, что может быть приемлемо для ваших пользователей и вашей организации.

В любом случае вам следует планировать обновление своих рабочих нагрузок для поддержки облачных конечных точек.

Ваши рабочие нагрузки должны иметь следующие характеристики:

  • Безопасный доступ к приложениям и данным из любого места, где находятся пользователи. Доступ не требует подключения к корпоративной или внутренней сети.
  • Размещено в облачной службе, размещено облачной службой или размещено через облачную службу.
  • Не требует и не зависит от конкретного устройства.

Общие рабочие нагрузки и решения

Облачные конечные точки также включают службы и рабочие нагрузки, поддерживающие конечные точки.

Следующие рабочие нагрузки — это конфигурация, инструменты, процессы и службы для повышения производительности пользователей и управления конечными точками.

Ваши точные рабочие нагрузки, сведения и способы обновления рабочих нагрузок для облачных конечных точек могут отличаться. Кроме того, вам не нужно переносить каждую рабочую нагрузку. Но вам необходимо учитывать каждую рабочую нагрузку, ее влияние на производительность пользователей и возможности управления устройствами. Преобразование некоторых рабочих нагрузок для использования облачных конечных точек может занять больше времени, чем другие. Рабочие нагрузки также могут иметь взаимозависимости друг от друга.

  • Удостоверение устройства

    Удостоверение устройства определяется поставщиками удостоверений (IdP), которые знают об устройстве и имеют доверительные отношения с устройством. Для конечных точек Windows чаще всего используются локальные поставщики удостоверений Active Directory (AD) и Идентификатор Microsoft Entra. Конечные точки с удостоверениями одного из этих IdP обычно присоединяются к одному или к обоим.

    • Для облачных конечных точек присоединение к Microsoft Entra является лучшим выбором для удостоверения устройства. Для этого не требуется никакого подключения к локальной сети, ресурсу или службе.
    • Локальное присоединение к AD и гибридное присоединение к Microsoft Entra требует подключения к локальному контроллеру домена. Им необходимо подключение для первоначального входа пользователей, для доставки групповых политик и смены паролей. Эти параметры не подходят для облачных конечных точек.

    Примечание.

    Регистрация Microsoft Entra, которую иногда называют присоединением к рабочему месту, предназначена только для сценариев использования собственного устройства (BYOD). Его не следует использовать для конечных точек Windows, принадлежащих организации. Некоторые функции могут не поддерживаться или работать должным образом в зарегистрированных конечных точках Windows Microsoft Entra.

  • Подготовка конечных точек

    Для только что развернутых конечных точек присоединения к Microsoft Entra используйте Windows Autopilot для предварительной настройки устройств. Присоединение к Microsoft Entra обычно является задачей, управляемой пользователем, и Windows Autopilot разработан с учетом пользователей. Windows Autopilot позволяет выполнять подготовку с использованием облака из любого места в Интернете и любым пользователем.

    Для получения дополнительных сведений перейдите по ссылке:

  • Развертывание программного обеспечения и приложений

    Большинство пользователей нуждается в программном обеспечение и приложениях, не входящих в базовую операционную систему и использует их. Во многих случаях ИТ-отдел не знает или не понимает конкретных требований к приложению. Однако за доставку этих приложений и управление ими по-прежнему отвечает ваша ИТ-команда. У пользователей должна быть возможность запрашивать и устанавливать приложения, необходимые им для выполнения их работы, независимо от того, какую конечную точку они используют или откуда они ее используют.

    • Для развертывания программного обеспечения и приложений используйте облачную систему, например Intune или Configuration Manager (с CMG и совместным управлением).

    • Создайте базовый набор приложений, которые должны быть на ваших конечных точках, например Microsoft Outlook и Teams. Для других приложений разрешите пользователям устанавливать свои собственные приложения.

      На конечных точках вы можете использовать приложение корпоративного портала в качестве репозитория приложений. Или используйте портал для пользователей со списком приложений, которые можно установить. Этот вариант самообслуживания сокращает время подготовки новых и существующих устройств. Это также снижает нагрузку на ИТ, и вам не придется развертывать приложения, которые не нужны пользователям.

    Для получения дополнительных сведений перейдите по ссылке:

  • Настройка параметров устройства с помощью политик

    Управление политиками и безопасностью является основой управления конечными точками. Политики конечных точек позволяют вашей организации применять определенный базовый уровень безопасности и стандартную конфигурацию на управляемых конечных точках. Существует множество параметров, которыми вы можете управлять и контролировать их на своих конечных точках. Создайте политики, которые настраивают только то, что требуется в базовых планах. Не создавайте политики, управляющие общими предпочтениями пользователей.

  • Развертывание обновлений безопасности, функций и приложений

    Многие локальные решения не могут развертывать обновления на облачных конечных точках или развертывать их эффективно. С точки зрения безопасности эта рабочая нагрузка может быть самой важной. Это должна быть первая рабочая нагрузка, которую вы переводите на поддержку облачных конечных точек Windows.

  • Управление данными и параметрами пользователя

    Пользовательские данные включают в себя следующие элементы:

    • Пользовательские документы
    • Параметры почтового приложения
    • Избранное веб-браузера
    • Данные, относящиеся к бизнес-приложениям (LOB)
    • Параметры конфигурации бизнес-приложений (LOB)

    Пользователям необходимо создавать и получать доступ к своим данным с любой конечной точки. Эти данные также должны быть защищены и, возможно, потребуется поделиться ими с другими пользователями.

    • Храните пользовательские данные и параметры в поставщике облачных хранилищ, например Microsoft OneDrive. Поставщики облачных хранилищ могут выполнять синхронизацию данных, совместное использование, автономный доступ, разрешение конфликтов и многое другое.

      Дополнительные сведения см. в руководстве по OneDrive для предприятий.

    Важно!

    Некоторые пользовательские параметры, такие как параметры ОС или параметры конкретного приложения, хранятся в реестре. Доступ к этим параметрам из любого места может оказаться нереалистичным, а синхронизация с разными конечными точками может быть запрещена.

    Возможно, эти параметры можно экспортировать, а затем импортировать на другое устройство. Например, вы можете экспортировать пользовательские параметры из Outlook, Word и других приложений Office.

  • Доступ к локальным ресурсам

    Некоторые организации не могут перенести некоторые рабочие нагрузки на облачные решения. Единственным вариантом может быть доступ к существующим локальным ресурсам или службам из облачной конечной точки. Для этих сценариев пользователям необходим доступ.

    Для этих локальных служб, ресурсов и приложений рассмотрите следующие задачи:

    Примечание.

    Microsoft Entra не поддерживает протокол проверки подлинности Kerberos. Локальная служба AD поддерживает протокол проверки подлинности Kerberos. В планировании вы можете узнать больше о Microsoft Entra Kerberos. После настройки пользователи входят в облачную конечную точку с помощью учетной записи Microsoft Entra и могут получать доступ к локальным приложениям или службам, использующим проверку подлинности Kerberos.

    Microsoft Entra Kerberos:

    • Не используется в облачных решениях.
    • Не устраняет проблем с подключением к ресурсам, для которых требуется проверка подлинности с помощью Microsoft Entra.
    • Не является ответом или обходом для каких-либо требований к проверке подлинности домена с помощью Microsoft Entra.
    • Не устраняет проблемы проверки подлинности компьютера, перечисленные в разделе Известные проблемы и важные сведения.

    Чтобы получить более глубокое представление о Microsoft Entra Kerberos и сценариях, которые он может решить, перейдите в следующие блоги:

Переносите рабочие нагрузки поэтапно

Модернизация рабочих нагрузок и внедрение облачных конечных точек требуют внесения изменений в операционные процессы и процедуры. Например:

  • Администраторам необходимо понимать, как изменения существующих рабочих нагрузок могут повлиять на их процессы.
  • Службе поддержки необходимо понимать новые сценарии, которые они будут поддерживать.

Анализируя конечные точки и рабочие нагрузки, разбейте переход на этапы. В этом разделе представлен обзор некоторых рекомендуемых этапов, которые может использовать ваша организация. Эти фазы можно повторять столько раз, сколько необходимо.

✅ Этап 1. Получите сведения о своих рабочих нагрузках

Этот этап является этапом сбора сведений. Это поможет вам определить объем того, что вы должны учитывать для перехода вашей организации к облачным технологиям. Это включает в себя точное определение того, какие службы, продукты и приложения связаны с каждой рабочей нагрузкой в ​​вашей среде.

На этом этапе:

  1. Инвентаризация сведений о текущей рабочей нагрузке и сведений. Например, узнайте о текущем состоянии, о том, что они предоставляют, кому они обслуживают, кто их обслуживает, имеет ли они решающее значение для облака и как они размещаются.

    Когда у вас есть эти сведения, вы можете понять и определить конечную цель, которая должна быть:

    • Поддержка облачных конечных точек
    • Знание служб, продуктов и приложений, используемые каждой рабочей нагрузкой

    Необходимо координировать работу с владельцами различных служб, продуктов и приложений. Вы хотите убедиться, что облачные конечные точки поддерживают производительность пользователей без ограничений по подключению или расположению.

    Примеры общих служб и приложений включают бизнес-приложения (LOB), внутренние веб-сайты, общие файловые ресурсы, требования проверки подлинности, механизмы обновления приложений и ОС, а также конфигурацию приложений. По сути, они включают в себя все, что нужно пользователям для полноценного выполнения своей работы.

  2. Проверьте конечное состояние для каждой рабочей нагрузки. Определите известные блокираторы, которые не позволяют достичь этого конечного состояния или препятствуют поддержке облачных конечных точек.

    Некоторые рабочие нагрузки, их службы и приложения уже могут быть совместимы с облаком или включены. Некоторые не могут. Для получения конечного состояния для каждой рабочей нагрузки могут потребоваться инвестиции организации & усилий. Это может быть обновление программного обеспечения, "подъем и переход" на новую платформу, миграция на новое решение или внесение изменений в конфигурацию.

    Шаги, необходимые для каждой рабочей нагрузки, различаются в каждой организации. Они зависят от того, как служба или приложение размещены и доступны пользователям. Это конечное состояние должно решать основную проблему, заключающуюся в том, чтобы пользователи могли выполнять свою работу на облачной конечной точке, независимо от расположения или подключения к внутренней сети.

    На основе каждого определенного конечного состояния вы можете обнаружить или определить, что облачная поддержка службы или приложения затруднена или заблокирована. Такая ситуация может возникнуть по разным причинам, включая технические или финансовые ограничения. Эти ограничения должны быть четкими и понятными. Необходимо проверить их влияние и определить, как перемещать каждую рабочую нагрузку, чтобы обеспечить удобство использования облака.

✅Этап 2. Расставьте приоритеты для любых блокировщиков

После определения ключевых рабочих нагрузок и их блокираторов конечного состояния, сделайте следующее:

  1. Расставьте приоритеты для каждого блокировщика и оцените каждый блокировщик для разрешения.

    Возможно, вы не хотите или не должны обращаться ко всем блокировщикам. Например, в вашей организации могут быть рабочие нагрузки или часть рабочих нагрузок, которые не поддерживают облачные конечные точки. Это отсутствие поддержки может иметь или не иметь значения для вашей организации или пользователей. Вы и ваша организация можете принять это решение.

  2. Для поддержки тестирования и подтверждения концепции (POC) начните с минимального набора рабочих нагрузок. Цель состоит в том, чтобы протестировать и проверить выборку ваших рабочих нагрузок.

    В рамках POC определите набор пользователей и устройств в пилотной версии для запуска реального производственного сценария. Этот шаг помогает проверить, обеспечивает ли конечное состояние производительность пользователей.

    Во многих организациях есть роль или бизнес-группа, которую проще перенести. Например, в POC можно нацелиться на следующие сценарии:

    • Высокомобильная команда по продажам, чьими основными требованиями являются инструменты повышения производительности и онлайн-решение для управления взаимоотношениями с клиентами.
    • Сотрудники по работе с знаниями, которые в основном получают доступ к содержимому, которое уже находится в облаке, и в значительной степени полагаются на приложения Microsoft 365
    • Устройства персонала по работе с клиентами, которые отличаются высокой мобильностью или находятся в средах, где у них нет доступа к сети организации.

    Для этих групп просмотрите их рабочую нагрузку. Определите, как эти рабочие нагрузки можно перенести на современное управление, включая идентификацию, распространение программного обеспечения, управление устройствами и многое другое.

    Для каждой из областей в вашем пилотном проекте количество элементов или задач должно быть небольшим. Этот начальный пилотный проект поможет вам создать процессы и процедуры, необходимые для большего количества групп. Это также помогает создать вашу долгосрочную стратегию.

    Дополнительные рекомендации и советы см. в руководстве по планированию Microsoft Intune. Он относится к Intune, но также содержит некоторые рекомендации по использованию пилотных групп и созданию планов развертывания.

✅ Этап 3. Перенесите рабочие нагрузки

На этом этапе вы готовы реализовать свои изменения.

  1. Переместите незаблокированные рабочие нагрузки в запланированные облачные решения или конечное состояние. В идеале этот шаг разбивается на небольшие рабочие элементы. Цель состоит в том, чтобы продолжать бизнес-операции с минимальными перерывами.

  2. После того, как первый набор рабочих нагрузок поддержит облачные конечные точки, определите дополнительные рабочие нагрузки и продолжите процесс.

✅ Этап 4. Подготовьте пользователей

Пользователи имеют различные возможности получения, развертывания и поддержки на своих устройствах. Администраторы должны:

  • Просмотрите существующие процессы и документацию, чтобы определить, где изменения видны пользователям.
  • Обновление документации.
  • Создайте образовательную стратегию, чтобы поделиться изменениями и преимуществами, которые получат пользователи.

Поэтапный переход организации

Следующие этапы представляют собой высокоуровневый подход организаций к перемещению своей среды для поддержки облачных конечных точек Windows. Эти этапы параллельны переходу конечных точек и рабочих нагрузок пользователей. Они могут зависеть от частичного или полного перевода определенных рабочих нагрузок для поддержки облачных конечных точек Windows.

✅ Этап 1. Определение конечных точек, зависимостей и контрольных точек

Этот этап — первый шаг для перехода вашей организации к полностью облачной среде. Просмотрите имеющиеся в настоящее время, определите критерии успешности и начните планировать добавление устройств в Microsoft Entra.

  1. Определите конечные точки, для которых требуется облачное удостоверение

    • Для конечных точек, использующих доступ в Интернет, требуется облачное удостоверение. Вы добавите эти конечные точки в Microsoft Entra.
    • Конечные точки, которые не используют Интернет или используются только локально, не должны иметь облачного удостоверения. Не переносите эти сценарии на облачные.
  2. Определить зависимости

    Рабочие нагрузки, пользователи и устройства имеют технические и нетехнические зависимости. Для перехода с минимальным воздействием на пользователей и организацию необходимо учитывать эти зависимости.

    Например, зависимость может быть:

    • Бизнес-процессы и непрерывность
    • Стандарты безопасности
    • Местное законодательство и нормативные акты
    • Знание пользователей и использование рабочей нагрузки
    • Средства, операционные затраты и бюджет

    Для каждой рабочей нагрузки спросите: "На что влияет изменение служб, предоставляемых этой рабочей нагрузкой?". Вы должны учитывать последствия этого изменения.

  3. Определите вехи и критерии успеха для каждой рабочей нагрузки

    Каждая рабочая нагрузка имеет свои этапы и критерии успеха. Они могут основываться на использовании организацией рабочей нагрузки и ее применимости к конкретным конечным точкам и пользователям.

    Чтобы понять и определить ход переноса, отслеживайте и контролируйте эту сведения.

  4. Спланируйте развертывание Windows Autopilot

    • Определите, как и когда устройства будут зарегистрированы в вашей организации.
    • Определите и создайте необходимые групповые теги для целевых политик Windows Autopilot.
    • Создайте свой профиль Windows Autopilot с его параметрами конфигурации и выберите устройства, которые получат ваш профиль.

    Для получения дополнительных сведений перейдите по ссылке:

✅ Этап 2. Включите гибридную идентификацию конечной точки в облаке (необязательно)

Чтобы полностью использовать облако, корпорация Майкрософт рекомендует сбросить существующие конечные точки Windows в рамках цикла обновления оборудования. При сбросе конечная точка возвращается к заводским параметрам. Все приложения, параметры и персональные данные на устройстве удаляются.

Если вы не готовы к сбросу конечных точек, можно включить гибридное присоединение к Microsoft Entra. Облачное удостоверение создается для гибридных конечных точек присоединения к Microsoft Entra. Помните, что гибридное присоединение к Microsoft Entra по-прежнему требует локального подключения.

Помните, что гибридное присоединение к Microsoft Entra — это переходный шаг к переходу к облачной среде и не является конечной целью. Конечная цель состоит в том, чтобы все существующие конечные точки были полностью облачными.

Когда конечные точки полностью облачные, пользовательские данные хранятся в поставщике облачных хранилищ, например в OneDrive. Таким образом, при сбросе конечной точки пользовательские приложения, конфигурация и данные по-прежнему доступны и могут реплицироваться в только что подготовленную конечную точку.

Дополнительные сведения см. в статьях:

Примечание.

У корпорации Майкрософт нет программы миграции для преобразования существующих конечных точек из локальных присоединенных к домену или гибридных присоединенных к Microsoft Entra конечных точек в присоединенные к Microsoft Entra. Корпорация Майкрософт рекомендует сбросить и повторно развернуть эти устройства в рамках обновления оборудования.

✅ Этап 3. Диспетчер конфигураций подключения к облаку (необязательно)

Если вы используете Configuration Manager, облачное подключение вашей среды к Microsoft Intune. Если вы не используете Configuration Manager, пропустите этот шаг.

При подключении к облаку вы можете удаленно управлять конечными точками клиента, совместно управлять конечными точками с помощью Intune (облако) и Configuration Manager (локально), а также получить доступ к Центру администрирования Intune.

Дополнительные сведения см. в статье Подключение облака к среде Configuration Manager и Просмотр Центра администрирования Microsoft Intune.

✅ Этап 4. Создание подтверждения концепции, присоединенного к Microsoft Entra

Этот критический этап может начаться в любой момент. Это помогает выявить потенциальные проблемы, неизвестные проблемы и проверить общую функциональность и решения этих проблем. Как и во всех POC, цель состоит в том, чтобы доказать и проверить функциональность в реальной корпоративной среде, а не в лабораторной среде.

Важные шаги на этом этапе:

  1. Реализуйте минимальную базовую конфигурацию с помощью Intune.

    Этот шаг очень важен. Вы не хотите вводить в свою сеть или производство конечные точки, которые:

    • Не соблюдают стандарты безопасности вашей организации
    • Не настроены для выполнения пользователями своей работы.

    К этой минимальной конфигурации не применяются и не должны применяться все возможные конфигурации. Помните, что цель состоит в том, чтобы обнаружить больше конфигураций, необходимых для успешной работы пользователей.

  2. Настройка Windows Autopilot для конечных точек, присоединенных к Microsoft Entra

    Использование Windows Autopilot для подготовки новых конечных точек и повторной подготовки существующих конечных точек — это самый быстрый способ представить в организации системы, присоединенные к Microsoft Entra. Это важная часть POC.

  3. Развертывание POC для систем, присоединенных к Microsoft Entra

    • Используйте сочетание конечных точек, представляющих разные конфигурации и пользователей. Вы хотите проверить это новое состояние системы как можно подробнее.

    • Только реальное производственное использование реальными производственными пользователями полностью подтвердит рабочие нагрузки и их функциональность. Благодаря естественному повседневному использованию конечных точек Microsoft Entra POC пользователи органично тестируют и проверяют рабочие нагрузки.

    • Создавайте контрольные списки важных для бизнеса функций и сценариев и передавайте эти списки пользователям POC. Контрольные списки индивидуальны для каждой организации и могут меняться по мере перехода рабочих нагрузок на облачные рабочие нагрузки.

  4. Проверка функциональности

    Проверка — это повторяющийся процесс. Он основан на рабочих нагрузках и их конфигурации в вашей организации.

    • Собирайте отзывы пользователей о конечных точках POC, рабочих нагрузках и их функциях. Эти отзывы должны исходить от пользователей, которые использовали собственные облачные конечные точки.

      Могут быть обнаружены другие блокираторы, а также ранее неизвестные или неучтенные рабочие нагрузки или сценарии.

    • Используйте вехи и критерии успеха, ранее установленные для каждой рабочей нагрузки. Они помогут определить ход и объем POC.

✅ Этап 5. Присоединение Microsoft Entra к существующим конечным точкам Windows

На этом этапе выполняется перенос новой подготовки конечной точки Windows в присоединенную к Microsoft Entra. Как только все блокировщики и проблемы будут устранены, вы можете перевести существующие устройства на полностью облачные. Возможны следующие варианты:

  • Вариант 1. Замените ваши устройства.. Если срок службы устройств истек или они не поддерживают современные средства защиты, то их замена — лучший выбор. Современные устройства поддерживают новые и улучшенные функции безопасности, в том числе технологию Trusted Platform Module (TPM).

  • Вариант 2: сброс устройств Windows.. Если ваши существующие устройства поддерживают новые функции безопасности, вы можете сбросить параметры устройств. Во время запуска (OOBE) или при входе пользователей они могут присоединить устройства к Microsoft Entra.

    Перед сбросом существующей конечной точки Windows обязательно выполните следующие действия:

    1. Удалите устройство в Intune.
    2. Удалите регистрацию устройств Windows Autopilot.
    3. Удалите существующий объект устройства Microsoft Entra.

    Затем сбросьте устройство и повторно подготовьте конечную точку.

Когда устройства будут готовы, присоедините эти устройства к Microsoft Entra, используя оптимальный вариант для вашей организации. Дополнительные сведения см. в статье Устройства, присоединенные к Microsoft Entra , и Практическое руководство. Планирование реализации присоединения к Microsoft Entra.

Перемещение из объектов групповой политики (GPO)

Многие организации используют объекты групповой политики для настройки и управления своими конечными точками Windows.

Со временем это усложняется из-за отсутствия документации, отсутствия ясности в целях или требованиях политики, использования устаревших или нефункциональных политик и использования сложных функций. Например, это могут быть политики, включающие фильтры WMI, сложные структуры подразделений и использующие блокировку наследования, замыкание на себя или фильтрацию безопасности.

Управление параметрами с помощью Intune

Microsoft Intune имеет множество встроенных параметров, которые можно настроить и развернуть на собственных облачных конечных точках. При переходе на Intune для управления политиками у вас есть несколько вариантов.

Эти параметры не обязательно являются взаимоисключающими. Вы можете перенести часть политик и заново создать другие.

  • Вариант 1. Начать заново (рекомендуется). Intune имеет множество параметров для настройки конечных точек и управления ими. Вы можете создать политику, добавить и настроить параметры политики, а затем развернуть политику.

    Многие существующие групповые политики включают политики, которые могут не применяться к собственным облачным конечным точкам. Начав с нуля, организация может проверить и упростить существующие принудительные политики, одновременно устраняя устаревшие, забытые или даже вредоносные политики. В Intune есть встроенные шаблоны, которые группируют общие параметры, такие как VPN, Wi-Fi, защита конечных точек и т. д.

  • Вариант 2. Миграция. Этот вариант включает отмену существующих политик и перенос их в механизм политик Intune. Это может быть обременительно и отнимать много времени. Например, у вас может быть много существующих групповых политик, и будут различия в параметрах на предприятии и в локальной среде. в облаке.

    Если вы выберете этот вариант, вы должны просмотреть и проанализировать существующие групповые политики, а также определить, нужны ли они и действительны ли на ваших собственных облачных конечных точках. Вы хотите устранить ненужные политики, в том числе политики, которые могут привести к дополнительным затратам или ухудшить производительность системы или взаимодействие с пользователем. Не переносите свои групповые политики в Intune, пока не узнаете, что они делают.

Функции Intune, которые вы должны знать

Intune также содержит встроенные функции, которые помогут вам настроить собственные облачные конечные точки:

Используйте Windows Autopilot для подготовки новых или существующих конечных точек Windows.

Если вы покупаете конечные точки у OEM-производителя или партнера, вам следует использовать Windows Autopilot.

Ниже перечислены некоторые преимущества.

  • Встроенный процесс установки Windows. Он представляет фирменный, управляемый и упрощенный интерфейс для конечного пользователя.

  • Отправка конечных точек непосредственно конечным пользователям. Поставщики и OEM-производители могут отправлять конечные точки непосредственно вашим пользователям. Пользователи получают конечные точки, входят в систему со своей учетной записью организации (user@contoso.com), и Windows Autopilot автоматически подготавливает конечную точку.

    Эта функция помогает сократить накладные расходы и затраты, связанные с внутренними ИТ-процессами и доставкой, требующими большого количества контактов.

    Для достижения наилучших результатов предварительно зарегистрируйте свои конечные точки у OEM-производителей или поставщиков. Предварительная регистрация помогает избежать задержек, которые могут возникнуть при регистрации конечных точек вручную.

  • Пользователи могут сами сбрасывать существующие конечные точки. Если у пользователей есть существующие конечные точки Windows, они могут сбрасывать устройства самостоятельно. При сбросе конечные точки восстанавливаются до минимального базового и управляемого состояния. Для этого не требуется дорогостоящее вмешательство ИТ-специалистов или физический доступ к конечной точке.

Примечание.

Не рекомендуется использовать Windows Autopilot для гибридного присоединения к Microsoft Entra новых подготовленных конечных точек. Это работает, но есть некоторые сложности. На недавно подготовленных конечных точках используйте Windows Autopilot для присоединения к Microsoft Entra (а не гибридное присоединение к Microsoft Entra).

Чтобы определить метод присоединения, подходящий для вашей организации, перейдите в раздел Присоединение к Microsoft Entra и Гибридное присоединение к Microsoft Entra.

Дополнительные сведения о Windows Autopilot см. по адресу:

Следуйте рекомендациям по облачным конечным точкам

  1. Обзор. Что такое облачные конечные точки?
  2. Руководство. Начало работы с облачными конечными точками Windows
  3. Концепция: присоединение к Microsoft Entra и гибридное присоединение к Microsoft Entra
  4. Концепция: собственные облачные конечные точки и локальные ресурсы
  5. 🡺 Руководство по планированию высокого уровня (Вы здесь)
  6. Известные проблемы и важные сведения