Управляемый сценарий — Windows 10/11 в облачной конфигурации

Windows 10/11 в облачной конфигурации — это рекомендуемая Майкрософт конфигурация устройств. Вы можете превратить любое устройство с Windows 10/11 Профессиональная, Корпоративная или для образовательных учреждений в устройство, оптимизированное для работы в облаке.

Он идеально подходит для:

• Линейный персонал
• Удаленные сотрудники
• другие пользователи с конкретными требованиями к работе, такими как производительность или использование Интернета.

Облачная конфигурация обеспечивает простоту в использовании этих устройств и защищает их с помощью рекомендуемых корпорацией Майкрософт функций безопасности.

Существует два способа развертывания облачной конфигурации:

• Вариант 1. Автоматически (эта статья). Используйте описанный в этой статье интерактивный сценарий для автоматического создания всех групп и политик с настроенными значениями.
• Вариант 2. Вручную. Используйте пошаговое руководство по настройке, чтобы самостоятельно развернуть облачную конфигурацию, включая создание всех политик вручную. Дополнительные сведения об этом параметре см. в руководстве по настройке конфигурации облака клиента Windows.

С Windows 10/11 в облачной конфигурации:

• настраивать новые устройства или использовать существующее оборудование;
• предоставить пользователям простой в использовании и привычный интерфейс Windows;
• предоставить администраторам единообразную конфигурацию для разных устройств, что упрощает управление и устранение неполадок;
• самостоятельно настроить имена ресурсов, чтобы их можно было легко отслеживать.

Совет

Более полное руководство по Windows 10/11 в облачной конфигурации см. в статье Windows 10/11 в облачной конфигурации.

Задачи интерактивного сценария

Используя Microsoft Intune, вы можете использовать интерактивный сценарий для развертывания облачной конфигурации. В интерактивном сценарии автоматически создаются все необходимые ресурсы, в том числе следующие:

• Создает новую группу безопасности Microsoft Entra или использует существующую Microsoft Entra группу безопасности.

• Развертывает приложения Microsoft Edge и Microsoft Teams. Дополнительные сведения о развертывании этих приложений по отдельности см. в следующих статье:

  • Добавление Microsoft Edge для Windows 10/11
  • Добавление приложений Microsoft 365 на устройства с Windows 10/11

• Создание базовой политики безопасности Windows 10/11 с рекомендуемыми параметрами безопасности, которые уже настроены.

  Дополнительные сведения о базовых показателях безопасности и их действиях см. в статье Использование базовых показателей безопасности для настройки клиентских устройств Windows.

• Создает профиль регистрации Windows Autopilot, который автоматически регистрирует устройства в Microsoft Intune.

  Дополнительные сведения о создании собственного профиля Windows Autopilot см. в статье Настройка профилей Autopilot.

• Включает и настраивает страницу состояния регистрации Windows Autopilot (ESP). На этой странице для пользователей отображается ход регистрации.

  Дополнительные сведения об ESP см. в статье Настройка страницы состояния регистрации.

• Создает административный шаблон для настройки параметров перемещения известных папок для OneDrive. При наличии таких параметров файлы и данные пользователей автоматически сохраняются в OneDrive.

  Дополнительные сведения об этом параметре см. в статье Перенаправление и перемещение известных папок Windows.

• Создает административный шаблон, который позволяет настроить некоторые параметры SmartScreen в приложении Microsoft Edge. Дополнительные сведения о создании собственного профиля см. в статье Настройка параметров политики Microsoft Edge.

• Создает политику соответствия требованиям, которая отслеживает состояния соответствия и работоспособности. Она разрешает пользователям использовать несоответствующие устройства и обращаться к ресурсам. Если в вашей организации блокируется доступ к несоответствующим устройствам, создайте еще одну политику соответствия, которая блокирует такой доступ, и присвойте ее той же группе.

  Дополнительные сведения о параметрах соответствия требованиям, которые можно настроить самостоятельно, см. в разделе Параметры клиента Windows, чтобы пометить устройства как соответствующие или несовместимые.

• Развертывает скрипт Windows PowerShell, который удаляет встроенные приложения и упрощает меню "Пуск".

  Дополнительные сведения о сценариях PowerShell в Intune см. в статье Использование сценариев PowerShell на клиентских устройствах Windows.

• Создание политики кругов обновления клиентов Windows. Эта политика автоматически обновляет устройства, в том числе применяет обновления продуктов, драйверов и ОС Windows.

  Дополнительные сведения о кругах обновления и создании политики см. в статье Круги обновления для клиентских устройств Windows.

Совет

Этот интерактивный сценарий автоматически создает все эти ресурсы. При желании вы можете создать собственные ресурсы с особыми свойствами без использования интерактивного сценария. Для выполнения конкретных действий перейдите к обзору облачной конфигурации и руководству по настройке.

Предварительные требования

• У учетной записи, используемой при создании интерактивного сценария, должны быть по меньшей мере следующие лицензии:

  • идентификатор Microsoft Entra P1
  • Microsoft Intune
  • Microsoft Teams
  • OneDrive для бизнеса
  • Windows 10 Pro
  • Windows 11 Профессиональная

  Все эти службы включены в лицензию Microsoft 365 E3. Чтобы получить больше параметров и функций для обеспечения безопасности, мы рекомендуем использовать лицензию Microsoft 365 E5. Чтобы решить, какая лицензия подходит для вашей организации, перейдите к разделу Преобразование предприятия с помощью Microsoft 365.

• Выберите Intune в качестве центра MDM. Настройка полномочий управления мобильными устройствами (MDM) определяет способ управления устройствами. ИТ-администратор должен задать центр MDM, чтобы пользователи могли регистрировать устройства для управления.

• Включить автоматическую регистрацию для клиентских устройств Windows. Дополнительные сведения см. в статьях:

  • Быстрое начало: настройка автоматической регистрации для клиентских устройств Windows
  • Включение автоматической регистрации Windows 10/11

• Войдите с учетными данными администратора служб Intune (администратора Intune). Дополнительные сведения о ролях в Intune см. в статье Управление доступом на основе ролей (RBAC) с помощью Microsoft Intune.

Шаг 1. Введение

Откройте интерактивный сценарий:

1. Откройте Центр администрирования Microsoft Intune.
2. Выберите Устранение неполадок и поддержка>Пошаговые сценарии>Развертывание Windows 10 и более поздних версий в облачной конфигурации>Запустить.
3. Нажмите кнопку Далее.

Шаг 2. Основные сведения

Выберите, какие имена получат устройства при регистрации, и выберите префикс для имен всех создаваемых ресурсов.

• Шаблон имени устройства Autopilot. В интерактивном сценарии облачной конфигурации устройства регистрироваться в Windows Autopilot. Вы можете присваивать имена устройствам при регистрации с помощью уникального шаблона, который применяется ко всем устройствам. Доступны следующие параметры:

  • Применить шаблон имени устройства: значение Нет означает, что шаблон при именовании устройств не создается. Устройство сохранит имя, присвоенное изготовителем оборудования, например DESKTOP-, дополненное несколькими случайными символами. Выберите Да, чтобы создать уникальный шаблон для именования устройств. Например, введите Contoso-%RAND:7%, чтобы все устройства получили имена с префиксом Contoso- и семью случайными символами.

    Имена должны соответствовать следующим требованиям:

    • Должны иметь длину не более 15 символов.
    • Могут включать латинские буквы (a–z, A–Z), цифры (0–9) и дефисы.
    • Не могут состоять из одних цифр и не могут содержать пробелы.
    • С помощью макроса %SERIAL% могут дополняться серийным номером оборудования.
    • С помощью макроса %RAND:x% могут дополняться случайной строкой символов, где x обозначает количество добавляемых символов.

• Префикс имени ресурса. При развертывании интерактивного сценария автоматически создается несколько ресурсов. Чтобы различать элементы, используемые в этом развертывании, добавьте префикс:

  • Enter a resource prefix name (Введите префикс для имени ресурса): добавьте произвольный текст, который будет добавляться перед именами создаваемых элементов. Например, введите Windows cloud config. Все созданные ресурсы получат имена вида Windows cloud config Autopilot profile (Профиль Autopilot для облачной конфигурации Windows) или Windows cloud config compliance policy (Политика соответствия требованиям для облачной конфигурации Windows).

  Настройки будут выглядеть следующим образом:

  

• Нажмите кнопку Далее.

Шаг 3. Приложения

Выберите приложения, которые будут развернуты на устройствах. Корпорация Майкрософт рекомендует развертывать минимально необходимое число приложений. Идея заключается в том, чтобы обеспечить простоту и простоту управления устройствами облачной конфигурации.

• Cloud config defaults (Значения по умолчанию для облачной конфигурации): этот интерактивный сценарий автоматически добавляет приложения Microsoft Edge и Microsoft Teams. Их невозможно удалить при создании интерактивного сценария. Вы сможете удалить эти приложения, когда интерактивный сценарий завершится.

  Чтобы удалить приложение Microsoft Edge, перейдите в раздел Удаление приложения.

• Выберите дополнительные приложения M365 (необязательно). В списке добавьте на устройства другие приложения Microsoft 365. Не забывайте, что список должен быть коротким: только те приложения, которые необходимы пользователям. Идея состоит в том, чтобы не усложнять устройства.

  Совет

  Чтобы добавить приложения, отсутствующие в списке или собственные бизнес-приложения, выполните этот интерактивный сценарий. Затем в Центре администрирования Intune перейдите в раздел Приложения и создайте политику. Разверните эту политику приложений в той же группе, где развернут этот интерактивный сценарий облачной конфигурации. Дополнительные сведения о добавлении приложений см. в статье Добавление приложений в Microsoft Intune.

• Нажмите кнопку Далее.

Шаг 4. Назначения

Выберите группы, для которых будут использоваться этот интерактивный сценарий, и все ресурсы, которые он создает.

• Создать новую группу: создает новую группу и развертывает в ней политики интерактивного сценария. При добавлении устройств в эту группу они начнут получать этот интерактивный сценарий.

  • Имя группы: введите имя для новой группы. Например, введите Cloud configured devices.

• Выбрать существующую группу: выберите нужную группу. В ней будут развернуты политики сценария.

• Нажмите кнопку Далее.

Шаг 5. Проверка и развертывание

Отображаются сводные данные о параметрах и значениях, которые вы настроили. Вы можете вернуться на любую вкладку и изменить добавленные значения.

Обратите особое внимание на следующие свойства:

• Создаваемая конфигурация: разверните этот список, чтобы увидеть все создаваемые ресурсы, в том числе политики.

• Развернуть: выберите этот вариант, чтобы сохранить изменения и развернуть интерактивный сценарий. Добавленные группы сразу получат политики из этого интерактивного сценария.

  При создании ресурсов в Центре администрирования Intune отображается состояние, аналогичное следующему изображению:

  

Если возникнет ошибка, то интерактивный сценарий не будет развернут, а все изменения будут отменены. Также вам будет полезно изучить руководство с описанием и рекомендациями по настройке облачной конфигурации.

После успешного развертывания можно использовать функции мониторинга и создания отчетов в Центре администрирования Intune:

• Отчеты Intune
• Отслеживание профилей устройств
• Отслеживание базовых показателей и профилей безопасности

Что необходимо знать

• Вы можете выполнить интерактивный сценарий, пока в группу еще не добавлены устройства. Тогда по мере добавления устройств в группу при их подключении к Интернету им автоматически будут переданы политики из этого интерактивного сценария.

  Кроме того, у вас есть следующие возможности.

  • добавить в группу предварительно зарегистрированные устройства Windows Autopilot; добавить их в группу перед регистрацией или применением каких либо политик;
  • Добавьте существующие клиентские устройства Windows, которые уже зарегистрированы. Корпорация Майкрософт рекомендует удалить все остальные приложения и профили, предназначенные для этих устройств. После добавления их в группу выполните сброс на каждом устройстве, чтобы начать работу "с чистого листа" и применить только облачную конфигурацию.

  Сведения о времени обновления политики см. в статье Общие вопросы и ответы о политиках устройств в Microsoft Intune.

• Корпорация Майкрософт рекомендует назначать только параметры и приложения для облачной конфигурации. После развертывания интерактивного сценария вы сможете добавить любые другие ресурсы, например сертификаты, профили VPN, бизнес-приложения и многое другое. Не забудьте развернуть эти политики в той же группе, где размещен интерактивный сценарий. Не забывайте, что список должен быть коротким: только те ресурсы, которые необходимы пользователям.

• Из-за проблемы с приложение синхронизации OneDrive с общими устройствами корпорация Майкрософт не рекомендует использовать Windows 10/11 в облачной конфигурации с общими устройствами. Обычно с общими устройствами работает несколько пользователей, которые входят в систему и выходят.

• После развертывания интерактивного сценария вы можете открыть политику, просмотреть параметры и настроенные для них значения. При желании можно указать другое значение для любого из этих параметров.

• Чтобы удалить с устройства параметры интерактивного сценария, откройте каждую политику, созданную этим сценарием облачной конфигурации. Задайте для параметров значение Не настроено. Затем повторно разверните каждую политику в той же группе, где размещен этот интерактивный сценарий.

  При следующей синхронизации устройства этот параметр не будет заблокирован. Затем параметр может быть изменен другой политикой и, возможно, конечным пользователем. Возможно, для него будет настроено то же значение, которое ранее задавал интерактивный сценарий.

  Теперь вы можете удалить отдельные элементы, созданные этим интерактивным сценарием, в том числе приложения, политики, скрипт Windows PowerShell и группу.

Связанные материалы

• Обзор интерактивных сценариев
• Пошаговое руководство по настройке конфигурации клиентского облака Windows