Руководство по планированию Intune

  • Статья
  • Чтение занимает 27 мин

Успешное развертывание Microsoft Intune или миграция в Microsoft Intune начинается с планирования. Это руководство поможет вам спланировать перемещение или внедрение Intune в качестве единого решения для управления конечными точками.

Intune предоставляет организациям возможность делать то, что лучше всего для них и различных пользовательских устройств. Вы можете полностью зарегистрировать устройства в Intune для управления мобильными устройствами (MDM) устройств Android, iOS/iPadOS, macOS и Windows. Вы также можете использовать политики защиты приложений для управления мобильными приложениями (MAM), которые сосредоточены на защите данных приложений.

Статья с руководством по переходу на Microsoft Intune MDM

Он также:

  • Список и описание некоторых общих целей для управления устройствами
  • Список потенциальных потребностей в лицензировании
  • Рекомендации по обработке личных устройств
  • Рекомендации по просмотру текущих политик и инфраструктуры
  • Примеры создания плана развертывания
  • И многое другое

Используйте это руководство, чтобы спланировать перемещение или миграцию в Intune.

Совет

  • Комплект Intune внедрения включает шаблоны электронной почты, планы проектов, электронную таблицу планирования и многое другое.
  • Хотите распечатать или сохранить это руководство в формате PDF? В веб-браузере используйте параметр >ПечатьСохранить как PDF.
  • Это руководство является живым существом. Поэтому обязательно добавьте или обновите существующие советы и рекомендации, которые вы нашли полезными.

Шаг 1. Определение целей

Организации используют управление мобильными устройствами (MDM) и управление мобильными приложениями (MAM) для безопасного управления данными организации с минимальными нарушениями работы пользователей. При оценке решения MDM/MAM, такого как Microsoft Intune, руководствуйтесь целями и тем, чего вы хотите достичь.

В этом разделе мы обсудим распространенные цели при использовании Intune.

Цель: доступ к корпоративным приложениям и электронной почте

Пользователи хотят работать с приложениями организации на своих устройствах, включая работу с электронной почтой, обновление и совместное использование данных, а также многое другое. В Intune можно развертывать различные типы приложений, включая следующие:

  • Приложения Microsoft 365
  • Приложения Win32
  • Бизнес-приложения
  • Пользовательские приложения
  • Разрешение (или блокирование) доступа к встроенным приложениям или приложениям Магазина

✔️ Задача. Создание списка приложений, которые пользователи регулярно используют

Это приложения, которые вы хотите использовать на своих устройствах. Рекомендации:

  • Многие организации развертывают набор приложений Office для ПК и планшетов, таких как Word, Excel, OneNote, PowerPoint и Teams. На небольших устройствах, таких как мобильные телефоны, в зависимости от требований пользователя могут устанавливаться отдельные приложения.

    Например, сотрудникам отдела продаж могут потребоваться Teams, Excel и SharePoint. На мобильных устройствах можно развернуть только эти приложения вместо развертывания всего пакета Office.

  • Пользователям часто требуется необходимость работать с электронной почтой и участвовать в собраниях на всех устройствах, включая личные устройства. На устройствах, принадлежащих организации, можно развернуть Outlook и Teams, а также управлять всеми параметрами устройства и всеми параметрами приложений, включая требования к ПИН-кодам и паролям.

    На личных устройствах этот элемент управления может не быть. Поэтому определите, нужно ли предоставлять пользователям доступ к приложениям организации, таким как электронная почта и собрания.

    Дополнительные сведения и рекомендации см. в статье Личные устройства и устройства, принадлежащие организации (в этой статье).

Цель: безопасный доступ на всех устройствах

При хранении данных на мобильном устройстве следует защитить их от вредоносного воздействия.

✔️ Задача. Определение способа защиты устройств

Антивирусная программа, сканирование вредоносных программ, реагирование на угрозы и обеспечение актуальности устройств — это важные рекомендации. Вы также хотите свести к минимуму влияние вредоносных действий.

Рекомендации:

  • Антивирусная программа (AV) и защита от вредоносных программ являются обязательными. Intune интегрируется с Microsoft Defender для конечной точки и различными партнерами Mobile Threat Defense (MTD) для защиты управляемых устройств, персональных устройств и приложений.

    Microsoft Defender для конечных точек включает функции безопасности и портал, помогающие отслеживать угрозы и реагировать на них.

  • Если устройство скомпрометировано, необходимо ограничить вредоносное воздействие с помощью условного доступа.

    Например, Microsoft Defender для конечной точки сканирует устройство и определяет, что оно скомпрометировано. Условный доступ может автоматически блокировать доступ на этом устройстве из ресурсов организации, включая электронную почту.

    Условный доступ помогает защитить сеть и ресурсы от устройств, даже устройств, которые не зарегистрированы в Intune.

  • Обновите устройство, ОС и приложения, чтобы обеспечить безопасность данных. Создайте план, в котором определено, как и когда устанавливаются обновления. В Intune есть политики, помогающие управлять обновлениями, включая обновления для приложений Магазина.

  • Определите, как пользователи будут проходить проверку подлинности в ресурсах организации с нескольких устройств. Например, вы можете:

    • Использовать сертификаты на устройствах для проверки подлинности функций и приложений, таких как подключение к виртуальной частной сети (VPN), открытие Outlook и многое другое. Эти сертификаты позволяют пользователю работать без пароля. Такой режим считается более безопасным, чем требование от пользователей ввести имя пользователя и пароль своей организации.

      Если вы планируете использовать сертификаты, убедитесь в наличии инфраструктуры открытых ключей (PKI), готовой к созданию и развертыванию профилей сертификатов.

    • Используйте многофакторную проверку подлинности (MFA) для дополнительного уровня проверки подлинности на устройствах, принадлежащих организации. Или же можно использовать MFA для проверки подлинности приложений на личных устройствах. Также можно использовать биометрию, например распознавание лиц и отпечатки пальцев.

      Если вы планируете использовать биометрию для проверки подлинности, убедитесь, что устройства поддерживают такую возможность. Большинство современных устройств поддерживают.

    • Реализация развертывания "Никому не доверяй". Применяя принцип "Никому не доверяй", вы можете использовать возможности Azure AD и Microsoft Intune для защиты всех конечных точек, проверку подлинности без пароля и многое другое. Дополнительные сведения см. в центре развертывания "Никому не доверяй".

Цель: распространение ИТ

Многие организации хотят предоставить разным администраторам контроль над расположениями, отделами и т. д. Например, группа ИТ-администраторов Charlotte контролирует и отслеживает политики в кампусе Charlotte. Этим ИТ-администраторам Charlotte доступны только политики для расположения Charlotte. У них нет возможности просмотреть политики для расположения Redmond и управлять ими. Этот подход называется распределенным ИТ-администрированием.

В Intune для распределенного ИТ-администрирования используются теги области и категории регистрации устройств. Теги области используют управление доступом на основе ролей (RBAC). Таким образом, только пользователи из определенной группы имеют разрешение на управление политиками и профилями для пользователей и устройств в их области.

При использовании категорий устройств устройства автоматически добавляются в группы на основе создаваемых вами категорий. Когда пользователи регистрируют свое устройство, они выбирают категорию, например "Продажи", "ИТ-администратор", "кассовый терминал" и т. д. После этого группы устройств готовы к получению профилей и политик, которые вы создали.

Чтобы упростить управление устройствами, используйте категории устройств Intune для автоматического добавления устройств в группы с учетом заданных категорий.

✔️ Задача. Определение способа распространения правил и параметров

Правила и параметры развертываются с помощью разных политик. Рекомендации:

  • Определите структуру администрирования. Например, можно разделить по расположению, например ИТ-администраторы Шарлотты или ИТ-администраторы Кембриджа. Может потребоваться разделение по ролям, например Администраторы сети, которые управляют всем доступом к сети, включая VPN.

    Эти категории станут тегами области.

  • Многие организации разделяют группы по типу устройств, например устройства iOS/iPadOS, Android или Windows. Примеры:

    • Распространение конкретных приложений на определенные устройства. Например, разверните приложение microsoft shuttle на мобильных устройствах в сети Redmond.
    • Развертывание политик в конкретных расположениях. Например, разверните профиль Wi-Fi на устройствах в сети Charlotte, чтобы они автоматически подключались в диапазоне.
    • Параметры управления для конкретных устройств. Например, отключите камеру на устройствах Android Enterprise, используемых на производственном цехе, создайте Защитник Windows профиль антивирусной программы для всех устройств Windows или добавьте параметры электронной почты на все устройства iOS/iPadOS.

    Эти категории станут категориями регистрации устройств.

Цель: обеспечение хранения данных организации в пределах организации

При хранении данных на мобильном устройстве следует защитить их от случайной потери или распространения. Эта цель также включает очистку данных организации с личных устройств и устройств, принадлежащих организации.

✔️ Задача. Создание плана для охвата различных сценариев, влияющих на вашу организацию

Некоторые примеры сценариев:

  • Устройство утеряно, украдено или больше не используется. Пользователь покидает организацию.

  • На личных устройствах может потребоваться запретить пользователям копирование и вставку, создание снимков экрана или перенаправление сообщений электронной почты. Политики защиты приложений могут блокировать эти функции на неуправляемых устройствах.

    На управляемых устройствах (устройствах, зарегистрированных в Intune) эти функции также можно контролировать с помощью профилей конфигурации устройств. Профили конфигурации устройств служат для управления параметрами устройства, а не приложения. На устройствах, обращающихся к секретным или конфиденциальным данным, профили конфигурации устройств могут препятствовать копированию и вставке, созданию снимков экрана и т. д.

Дополнительные сведения и рекомендации см. в статье Личные устройства и устройства, принадлежащие организации (в этой статье).

Шаг 2. Инвентаризация устройств

Организации имеют ряд устройств, включая настольные компьютеры, ноутбуки, планшеты и мобильные телефоны. Эти устройства могут принадлежать организации или вашим пользователям. При планировании стратегии управления устройствами обязательно учитывайте все, что будет обращаться к ресурсам вашей организации, включая личные устройства пользователей.

В этом разделе содержатся сведения об устройствах, которые следует учитывать.

Поддерживаемые платформы

Intune поддерживает устройства Android, iOS/iPadOS, macOS и Windows. Для конкретных версий перейдите к поддерживаемым платформам.

✔️ Задача. Обновление или замена старых устройств

Если на ваших устройствах используются неподдерживаемые версии, которые в основном являются более старыми операционными системами, пора обновить ОС или заменить устройства. Эти старые ОС и устройства могут иметь ограниченную поддержку и представлять потенциальную угрозу безопасности. Под такими устройствами подразумеваются настольные компьютеры под управлением Windows 7, устройства iPhone 7 с исходной ОС версии 10.0 и т. д.

Личные устройства и устройства, принадлежащие организации

На личных устройствах пользователи обычно проверяют электронную почту, присоединяются к собраниям, обновляют файлы и т. д. Многие организации разрешают сотрудникам использовать личные устройства, однако также многие организации разрешают использовать только устройства, принадлежащие организации.

Как организация и администратор вы решаете, разрешено ли использовать личные устройства.

✔️ Задача. Определение способа обработки персональных устройств

Если для вашей организации важно быть мобильными или поддерживать удаленных сотрудников, рассмотрите следующие подходы:

  • Вариант 1. На личных устройствах предоставьте пользователям возможность зарегистрироваться в Intune. После регистрации администраторы будут полностью управлять этими устройствами, включая принудительную отправку политик, управление функциями и параметрами устройств и даже очистку устройств. Как администратору вам может потребоваться такой контроль либо вы можете думать, что вам требуется такой контроль.

    Когда пользователи регистрируют свои личные устройства, они могут не понимать, что администраторы могут выполнять любые действия на их устройстве, включая случайную очистку или сброс устройства. Как администратор вы, возможно, не хотите нести ответственность за потенциальное влияние на устройства, не принадлежащие организации.

    Кроме того, многие пользователи отказываются регистрироваться. Они находят другие способы доступа к ресурсам организации. Например, для использования приложения Outlook для проверки электронной почты организации требуется, чтобы устройства были зарегистрированы. Чтобы обойти это требование, пользователи открывают любой веб-браузер на устройстве и входят в Outlook Web Access, что может быть нежелательным. Кроме того, они создают снимки экрана и сохраняют изображения на устройстве, что также нежелательно.

    Если вы выбрали этот вариант, обязательно проучите пользователей о рисках и преимуществах регистрации своих личных устройств. В качестве альтернативы можно использовать политики защиты приложений.

  • Вариант 2. На личных устройствах используйте политики конфигурации приложений и политики защиты приложений. Пользователи не регистрируются в Intune. Эти устройства не в ходят в вашу область управления.

    Используйте заявление об условиях использования с политикой условного доступа. Если пользователи не принимают их, они не получают доступ к приложениям. Если пользователь принимает условия, в Azure AD добавляется запись устройства, а устройство становится известным объектом. Когда устройство известно, вы можете отслеживать, к каким ресурсам осуществляется доступ с устройства.

    Затем необходимо обеспечить контроль доступа и безопасность с помощью политик приложений.

    Ознакомьтесь с задачами, наиболее часто используемыми в организации, такими как работа с электронной почтой и присоединение к собраниям. Используйте политики конфигурации приложений для настройки параметров приложения, таких как Outlook. Используйте политики защиты приложений для управления безопасностью приложений и доступом к ним.

    Например, пользователи могут использовать приложение Outlook на личных устройствах для проверки служебной электронной почты. В Intune администраторы создают политику защиты приложений Outlook, которая использует многофакторную проверку подлинности (MFA) при каждом открытии приложения Outlook, предотвращает копирование и вставку и многое другое.

  • Вариант 3. Вы хотите , чтобы каждое устройство было полностью управляемым. В этом случае предоставьте пользователям все необходимые устройства, включая мобильные телефоны. Вложите средства в приобретение нового оборудования, чтобы пользователи продолжали работать эффективнее. Зарегистрируйте эти устройства, принадлежащие организации, в Intune и управляйте ими с помощью политик.

    Этот вариант исключает использование личных устройств.

Рекомендуется всегда предполагать, что данные будут покидать устройства. Убедитесь, что используются надлежащие методы отслеживания и аудита. Дополнительные сведения см. в центре развертывания "Никому не доверяй".

Управление настольными компьютерами

Intune позволяет управлять настольными компьютерами под управлением Windows 10 и более поздних версий. Клиентская ОС Windows включает встроенные современные функции управления устройствами и удаляет зависимости от локальной групповой политики Active Directory (AD). Вы получаете преимущества облака при создании правил и параметров в Intune и развертывании этих политик на всех клиентских устройствах Windows, включая настольные компьютеры.

Дополнительные сведения см. в статье Интерактивный сценарий . Современный рабочий стол, управляемый облаком.

Если ваши устройства с Windows в настоящее время управляются с помощью Configuration Manager, их по-прежнему можно зарегистрировать в Intune. Такой подход называется совместным управлением. Совместное управление дает множество преимуществ, в том числе выполнение удаленных действий на устройстве (перезапуск, удаленное управление, сброс до заводских настроек), условный доступ с учетом соответствия требованиям и многое другое. Вы также можете подключать свои устройства к Intune в облаке.

Дополнительные сведения см. в статьях:

✔️ Задача. Посмотрите, что в настоящее время используется для управления мобильными устройствами

Внедрение управления мобильными устройствами может зависеть от того, что в настоящее время использует ваша организация, в том числе от того, использует ли это решение локальные функции или программы.

В этих инструкциях по развертыванию представлены полезные сведения.

Рекомендации:

  • Если в настоящее время вы не используете ни одну службу MDM или решение, лучше всего перейти к Intune.

  • Для новых устройств, которые не зарегистрированы в Configuration Manager или любом другом решении MDM, наилучшим вариантом может оказаться именно Intune.

  • Если в настоящее время вы используете Configuration Manager, то доступны следующие варианты:

    • Если вы хотите сохранить существующую инфраструктуру и переместить некоторые рабочие нагрузки в облако, используйте совместное управление. Вы получаете преимущества обеих служб. Существующие устройства могут получить некоторые политики из Configuration Manager (локально) и других политик из Intune (облако).
    • Если вы хотите сохранить существующую инфраструктуру и использовать Intune для мониторинга локальных устройств, используйте подключение к клиенту. Вы получаете преимущество использования центра администрирования Intune, но при этом Configuration Manager для управления устройствами.
    • Если вы хотите использовать только облачное решение для управления устройствами, переходите в Intune. Существующие Configuration Manager пользователи часто предпочитают продолжать использовать Configuration Manager с подключением клиента или совместным управлением.

    Дополнительные сведения см. в разделе Рабочие нагрузки совместного управления.

Шаг 3. Определение затрат и лицензирования

Управление устройствами подразумевает использование различных взаимосвязанных служб. Intune включает параметры и функции, которые можно контролировать на различных устройствах. Существуют также и другие службы, которые играют ключевую роль:

  • Azure Active Directory (AD) Premium включает ряд функций, которые являются ключевыми для управления устройствами, в том числе следующие:

    • Windows Autopilot: клиентские устройства с Windows могут автоматически зарегистрироваться в Intune и автоматически получать ваши политики.
    • Многофакторная проверка подлинности (MFA): пользователи должны указать два или более метода проверки, например ПИН-код, приложение для проверки подлинности, отпечаток пальца и другие. MFA — это отличный вариант при использовании политик защиты приложений для личных устройств или устройств, принадлежащих организации, которые требуют дополнительной защиты.
    • Условный доступ: если пользователи и устройства следуют правилам, например, используют 6-значный секретный код, они получают доступ к ресурсам организации. Если пользователи или устройства не соответствуют вашим правилам, они не получают доступа.
    • Динамические группы пользователей и динамические группы устройств: автоматическое добавление пользователей или устройств в группы, если они соответствуют критериям, таким как город, должность, тип ОС, версия ОС и многое другое.

  • Приложения Microsoft 365 включают приложения, которые используют пользователи, включая Outlook, Word, SharePoint, Teams, OneDrive и многое другое. Эти приложения можно развернуть на устройствах с помощью Intune.

  • Microsoft Defender для конечной точки помогает отслеживать и сканировать клиентские устройства Windows на предмет вредоносных действий. Можно также задать приемлемый уровень угрозы. В сочетании с условным доступом можно заблокировать доступ к ресурсам организации, если уровень угроз превышен.

  • Microsoft Purview классифицирует и защищает документы и сообщения электронной почты, применяя метки. В приложениях Microsoft 365 эту службу можно использовать для предотвращения несанкционированного доступа к данным организации, включая приложения на личных устройствах.

Все эти службы включены в лицензию Microsoft 365 E5. Дополнительные сведения см. в статье Планы лицензирования Microsoft 365.

✔️ Задача. Определение лицензированных служб, необходимых вашей организации

Рекомендации:

  • Если ваша цель заключается в развертывании политик (правил) и профилей (параметров), как минимум без принудительного применения вам потребуется:

    • Intune

    Intune доступна в различных подписках, в том числе в качестве автономной службы. Дополнительные сведения см. в разделе Microsoft Intune лицензирование.

    В настоящее время вы используете Configuration Manager и хотите настроить совместное управление вашими устройствами. Intune уже включен в лицензию на Configuration Manager. Если вы хотите, чтобы новые устройства или существующие совместно управляемые устройства полностью управлялись с помощью Intune, вам потребуется отдельная лицензия Intune.

  • Вы хотите применить правила соответствия или пароля, созданные в Intune. Как минимум, вам потребуется:

    • Intune
    • Azure AD Premium

    Intune и Azure AD Premium доступны с Enterprise Mobility + Security. Дополнительные сведения см. в разделе Enterprise Mobility + Security варианты ценообразования.

  • Вы хотите управлять приложениями Microsoft 365 только на устройствах. Как минимум, вам потребуется:

    • Мобильность и безопасность Microsoft 365 базовый

    Дополнительные сведения см. в статьях:

  • Вы хотите развернуть приложения Microsoft 365 на своих устройствах и создать политики для защиты устройств, которые выполняют эти приложения. Как минимум, вам потребуется:

    • Intune
    • Приложения Microsoft 365

  • Вы хотите создавать политики в Intune, развертывать приложения Microsoft 365 и применять правила и параметры. Как минимум, вам потребуется:

    • Intune
    • Приложения Microsoft 365
    • Azure AD Premium

    Так как все эти службы включены в некоторые планы Microsoft 365, использование лицензии Microsoft 365 может оказаться экономически эффективным. Дополнительные сведения см. в статье Планы лицензирования Microsoft 365.

Шаг 4. Проверка существующих политик и инфраструктуры

У многих организаций имеются существующие политики и инфраструктура управления устройствами, которые применяются на протяжении многих лет. Например, у вас могут быть групповые политики 20-летней давности, и вы не знаете, что они делают. Если рассматривается вариант перехода в облако, вместо того, чтобы понять, что вы всегда делали, лучше определите цель.

Руководствуясь этими целями, создайте базовые показатели политик. Если у вас есть несколько решений по управлению устройствами, возможно, настало время использовать одну службу управления мобильными устройствами.

✔️ Задача. Просмотр задач, выполняемых локально

Эта задача включает в себя поиск служб, которые могут переместиться в облако. Помните: вместо того чтобы понять, что вы всегда делали, лучше определите цель.

Совет

Дополнительные сведения об облачных конечных точках — это хороший ресурс.

Рекомендации:

  • Просмотрите существующие политики и их структуру. Некоторые политики могут применяться глобально, некоторые применяются на уровне сайта, а некоторые — для конкретного устройства. Цель состоит в том, чтобы узнать и понять назначение глобальных политик, назначение локальных политик и т. д.

    Локальные групповые политики AD применяются в порядке LSDOU: локальная, сайт, домен и подразделение. В этой иерархии политики подразделений имеют преимущественную силу над политиками домена, политики домена имеют преимущественную силу над политиками сайта и т. д.

    В Intune политики применяются к создаваемым пользователям и группам. Иерархии не существует. Если две политики обновляют один и тот же параметр, то возникнет конфликт. Дополнительные сведения см. в статье Общие вопросы, проблемы и решения политик и профилей устройств.

    При переходе из групповой политики AD в Intune и после проверки политик глобальные политики AD логически начнут применяться к имеющимся или нужным группам. Эти группы будут включать пользователей и устройства, на которых вы хотите ориентироваться на глобальном уровне, на уровне сайта и т. д. Эта задача дает представление о структуре группы, которая понадобится в Intune.

  • Будьте готовы к созданию новых политик и профилей в Intune. Intune включает несколько функций, охватывающих сценарии, которые могут вас заинтересовать. Примеры:

    • Базовые показатели безопасности. На устройствах с Windows 10 или 11 базовые показатели безопасности — это параметры безопасности, предварительно настроенные на рекомендуемые значения. Если вы не знакомы с защитой устройств или хотите получить комплексные базовые показатели, изучите базовые показатели безопасности.

    • Административные шаблоны. На устройствах с Windows 10 или 11 используйте шаблоны ADMX для настройки параметров групповой политики для Windows, Internet Explorer, Office и Microsoft Edge версии 77 и более поздних. Эти шаблоны ADMX являются одними и теми же шаблонами ADMX, используемыми в групповой политике Active Directory, но они являются полностью облачными в Intune.

    • Групповая политика: для импорта и анализа объектов групповой политики используйте аналитику групповой политики. Эта функция помогает определить, как объекты групповой политики преобразовываются в облаке. Выходные данные отображают, какие параметры поддерживаются в поставщиках MDM, включая Microsoft Intune. Здесь также отображаются все нерекомендуемые параметры или параметры, недоступные для поставщиков MDM.

      Вы также можете создать политику Intune на основе импортированных параметров. Дополнительные сведения см. в статье Создание политики каталога параметров с помощью импортированных объектов групповой политики.

    • Интерактивные сценарии: интерактивные сценарии — это настроенные последовательности действий, ориентированных на комплексные варианты использования. Эти сценарии автоматически включают политики, приложения, назначения и другие конфигурации управления.

  • Создайте базовый план политики , включающий минимальные цели. Например:

    • Защищенная электронная почта. Как минимум, вам может потребоваться:

      • Создать политики защиты приложений Outlook.
      • Включите условный доступ для Exchange Online или подключение к другому локальному решению электронной почты.

    • Параметры устройства. Как минимум, вам может потребоваться:

      • Требовать шестизначный ПИН-код для разблокировки устройства.
      • Запретить резервное копирование в личные облачные службы, такие как iCloud или OneDrive.

    • Профили устройств. Как минимум, вам может потребоваться:

      • Создать профиль Wi-Fi, содержащий параметры для подключения к беспроводной сети Contoso по Wi-Fi.
      • Создать профиль VPN с сертификатом для автоматической проверки подлинности и подключения к VPN организации.
      • Создайте профиль электронной почты с предварительно настроенными параметрами, которые подключаются к Outlook.

    • Приложения. Как минимум, вам может потребоваться:

      • Развертывание приложений Microsoft 365 с помощью политик защиты приложений.
      • Развернуть бизнес-решения с политиками защиты приложений.

    Дополнительные сведения о минимальных рекомендуемых параметрах см. в разделе:

  • Просмотрите текущую структуру групп. В Intune можно создавать и назначать политики для групп пользователей, групп устройств и динамических групп пользователей и устройств (требуется Azure AD Premium).

    При создании групп в облаке, таких как Intune или Microsoft 365, они создаются в Azure AD. Фирменная символика Azure AD отсутствует, однако это именно то, что вы используете.

  • Если у вас есть несколько решений для управления устройствами, перейдите к одному решению для управления мобильными устройствами. Мы рекомендуем использовать Intune для защиты данных организации как в приложениях, так и на устройствах.

    Дополнительные сведения см. в статье Microsoft Intune безопасно управляет удостоверениями, приложениями и устройствами.

Шаг 5. Создание плана развертывания

Следующая задача — спланировать то, как и когда пользователи и устройства получают политики. В этой задаче также следует учитывать следующее.

  • Определите цели и метрики успеха. Используйте эти точки данных для создания других этапов развертывания. Убедитесь, что поставленные цели согласуются с методологией SMART, то есть являются конкретными, измеримыми, достижимыми, реалистичными и своевременными. Запланируйте оценку показателей для целей на каждом этапе, чтобы отслеживать эффективность реализации проекта.
  • Четко определите задачи и цели. Включите их во все информационные и учебные мероприятия, чтобы помочь пользователям понять, почему организация выбрала именно Intune.

✔️ Задача. Создание плана развертывания политик

И выберите способ регистрации устройств пользователей в Intune. Рекомендации:

  • Поэтапное развертывание политик. Например:

    • Начните с пилотной или тестовой группы. Эти группы должны знать, что они являются первыми пользователями, и они захотят оставить отзыв. Используйте этот отзыв, чтобы улучшить конфигурацию, документацию, уведомления и упростить работу пользователей в будущем. Эти пользователи не должны быть руководителями или иными важными лицами.

      После первоначального тестирования добавьте дополнительных пользователей в пилотную группу. Или создайте дополнительные пилотные группы для другого развертывания, например:

      • Отделы: каждый отдел может выступать в качестве этапа развертывания. В этом случае в качестве целевого объекта выступает сразу весь отдел. При таком развертывании пользователи каждого отдела, возможно, будут использовать свое устройство схожим образом с доступом к одним и тем же приложениям. Соответственно, к пользователям будут применяться одни и те же типы политик.

      • География: развертывание политик выполняется для всех пользователей в определенной географической области, будь то континент, страна, регион или отдельное здание организации. Такой тип развертывания позволяет сосредоточиться на определенном расположении пользователей. Вы можете предоставить Windows Autopilot для предварительно подготовленного развертывания, поскольку количество расположений, в которых одновременно развертывается Intune, меньше. Существует вероятность, что в одном и том же месте существуют различные отделы или различные варианты использования. Таким образом, можно одновременно тестировать разные варианты использования.

      • Платформа: в ходе этого развертывания одновременно развертываются аналогичные платформы. Например, можно развернуть политики на всех устройствах iOS/iPadOS в феврале, на всех устройствах Android в марте и на всех устройствах Windows в апреле. Такой подход может упростить работу для службы поддержки, поскольку они организуют поддержку только одной платформы за раз.

      С помощью поэтапного развертывания можно получить отзыв от широкого спектра типов пользователей.

    • После успешного пилотного развертывания можно приступать к полноценному развертыванию рабочей среды. Ниже приведен пример плана развертывания Intune с целевыми группами и сроками.

    Этап развертывания Июль Август Сентябрь Октябрь
    Ограниченный пилотный проект ИТ (50 пользователей)
    Расширенный пилотный проект ИТ (200 пользователей), ИТ-руководители (10 пользователей)
    1 этап развертывания в рабочей среде Сбыт и маркетинг (2000 пользователей)
    2 этап развертывания в рабочей среде Розничная торговля (1000 пользователей)
    3 этап развертывания в рабочей среде Отдел кадров (50 пользователей), финансы (40 пользователей), руководство (30 пользователей)

    Этот шаблон также можно скачать на странице Планирование, разработка и развертывание Intune — шаблоны таблиц.

  • Выберите, как пользователи будут регистрировать свои личные устройства и устройства, принадлежащие организации. Вы можете использовать несколько способов регистрации:

    • Самообслуживание пользователей: пользователи регистрируют свои устройства, руководствуясь инструкциями от ИТ-отдела организации. Такой подход применяется часто и обеспечивает большую масштабируемость по сравнению с регистрацией с сопровождением.
    • Регистрация с помощью пользователей. В рамках этого подхода к развертыванию, подготовленного заранее, ИТ-участник помогает пользователям в процессе регистрации, лично или с помощью Teams. Этот подход часто используется среди руководства и в других группах, которым может потребоваться помощь.
    • ИТ-ярмарка: на этом мероприятии сотрудники ИТ-отдела настраивают пункт помощи по регистрации в Intune. Пользователи получают сведения о регистрации в Intune, задают вопросы и получают помощь в регистрации своих устройств. Данный вариант выгоден как для ИТ-отдела, так и для пользователей, особенно на ранних стадиях развертывания Intune.

    В следующем примере рассматриваются подходы к регистрации:

    Этап развертывания Июль Август Сентябрь Октябрь
    Ограниченный пилотный проект
    Самостоятельное создание IT
    Расширенный пилотный проект
    Самостоятельное создание IT
    Предварительная подготовка ИТ-руководители
    1 этап развертывания в рабочей среде Продажи, маркетинг
    Самостоятельное создание Продажи и маркетинг
    2 этап развертывания в рабочей среде Розничная торговля
    Самостоятельное создание Розничная торговля
    3 этап развертывания в рабочей среде Руководители, отдел кадров, финансовый отдел
    Самостоятельное создание Отдел кадров, финансы
    Предварительная подготовка Руководители

    Дополнительные сведения о различных методах регистрации для каждой платформы см. в статье Руководство по развертыванию: Регистрация устройств в Microsoft Intune.

Шаг 6. Сообщение об изменениях

Управление изменениями основано на четком и понятном информировании о предстоящих изменениях. Идея заключается в том, чтобы сгладить развертывание Intune и убедиться, что пользователи знают об изменениях и любых сбоях.

✔️ Задача. План развертывания коммуникации должен включать важную информацию

Эта информация должна содержать сведения о том, как уведомлять пользователей и когда следует общаться. Рекомендации:

  • Определите, какие сведения следует передавать. Информирование групп и пользователей следует осуществлять поэтапно, начиная с начального этапа развертывания Intune, предварительной регистрации и заканчивая действиями после регистрации.

    • Начальный этап: общая рассылка, знакомящая пользователей с проектом Intune. Она должна включать ответы на ключевые вопросы, например:

      • Что такое Intune?
      • Почему организация использует Intune, включая преимущества для организации и пользователей.
      • Предоставьте высокоуровневый план развертывания и внедрения.
      • Если личные устройства не будут разрешены, если они не зарегистрированы, объясните, почему вы приняли это решение.

    • Этап предварительной регистрации: широкое взаимодействие, включающее сведения о Intune и других службах (например, Office, Outlook и OneDrive), пользовательских ресурсах и конкретных сроках регистрации пользователей и групп в Intune.

    • Этап регистрации. Коммуникация предназначена для пользователей и групп организации, которые планируется зарегистрироваться в Intune. Он должен информировать пользователей о том, что они готовы к регистрации, включать шаги регистрации и обращаться за помощью и вопросами.

    • Этап после регистрации. Коммуникация предназначена для пользователей и групп организации, зарегистрированных в Intune. Он должен предоставлять больше ресурсов, которые могут быть полезны для пользователей, и собирать отзывы об их опыте во время и после регистрации.

    На этом этапе может пригодиться Пакет средств внедрения Intune. Вы можете использовать его в исходном виде или скорректировать в соответствии с потребностями организации.

  • Выберите способ передачи Intune сведения о развертывании целевым группам и пользователям. Например:

    • Создайте корпоративное собрание для всей организации или используйте Microsoft Teams.

    • Создайте сообщение электронной почты для предварительной регистрации, сообщение для регистрации и сообщение о действиях после регистрации. Например:

      • Электронное сообщение № 1. Объясните преимущества и ожидаемый результат, а также предоставьте расписание. Воспользуйтесь этой возможностью, чтобы продемонстрировать другие службы, доступ к которым будет предоставляться на устройствах под управлением Intune.
      • Электронное сообщение №2. Скажите, что можно получить доступ к службам в Intune. Скажите пользователям, чтобы они зарегистрировались прямо сейчас. Сообщите пользователям сроки прекращения доступа. Напомните им о преимуществах и стратегических причинах миграции.

    • Используйте веб-сайт организации, на котором объясняются этапы развертывания, предполагаемые пользователи и контактные сведения.

    • Создайте плакаты, используйте социальные сети для организаций (такие как Yammer) или распространите буклеты, чтобы объявить о начале этапа предварительной регистрации.

  • Создайте временную шкалу , включающую, когда и кто. Первая рассылка об Intune может быть ориентирована на всю организацию или только на определенных ее сотрудников. Рассылка может осуществляться за несколько недель до начала развертывания Intune. После этого можно поэтапно снабжать группы и пользователей информацией согласно графику развертывания Intune.

    Ниже приведен пример высокоуровневого коммуникационного плана для развертывания Intune.

    Коммуникационный план Июль Август Сентябрь Октябрь
    Этап 1 Все
    Стартовое совещание Первая неделя
    Этап 2 IT Продажи и маркетинг Розничная торговля Отдел кадров, финансы и руководство
    Сообщение электронной почты перед развертыванием 1 Первая неделя Первая неделя Первая неделя Первая неделя
    Этап 3 IT Продажи и маркетинг Розничная торговля Отдел кадров, финансы и руководство
    Сообщение электронной почты перед развертыванием 2 Вторая неделя Вторая неделя Вторая неделя Вторая неделя
    Этап 4 IT Продажи и маркетинг Розничная торговля Отдел кадров, финансы и руководство
    Сообщение электронной почты во время регистрации Третья неделя Третья неделя Третья неделя Третья неделя
    Этап 5 IT Продажи и маркетинг Розничная торговля Отдел кадров, финансы и руководство
    Сообщение электронной почты после регистрации Четвертая неделя Четвертая неделя Четвертая неделя Четвертая неделя

Шаг 7. Служба поддержки и конечные пользователи

В планирование и реализацию пилотных мероприятий на ранних этапах реализации развертывания Intune следует включить ИТ-поддержку. Это позволит сотрудникам службы поддержки заранее ознакомиться с Intune, и они получают знания и опыт для более эффективного определения и устранения проблем. Они также подготавливаются к поддержке полного развертывания в организации. Опытные специалисты службы технической поддержки и группы поддержки также помогают пользователям адаптироваться к новым изменениям.

✔️ Задача. Обучение групп поддержки

Проверка принятия решений конечными пользователям по показателям успеха, установленным в плане развертывания. Рекомендации:

  • Определите, кто будет поддерживать конечных пользователей. Организации могут иметь различные уровни (1–3) поддержки. Например, уровнями 1 и 2 может заниматься группа поддержки. Уровень 3 включает членов группы MDM, ответственных за развертывание Intune.

    Уровень 1 обычно является первым уровнем поддержки и первым уровнем связи. Если проблему не удается устранить на уровне 1, она передается на уровень 2. С уровня 2 она передается на уровень 3. Службу технической поддержки Майкрософт можно рассматривать в качестве уровня 4.

    • На начальных этапах развертывания следует убедиться, что на всех уровнях группы поддержки документируются проблемы и способы их устранения. Найдите закономерности и настройте коммуникацию для следующего этапа развертывания. Например:
      • Если разные пользователи или группы сомневаются в необходимости регистрации своих персональных устройств, рассмотрите возможность использования вызовов Teams для ответов на часто задаваемые вопросы.
      • Если у пользователей возникают те же проблемы при регистрации устройств, принадлежащих организации, организуйте личное событие, чтобы помочь пользователям зарегистрировать устройства.

  • Создайте рабочий процесс службы поддержки и постоянно сообщайте о проблемах поддержки, тенденциях и других важных сведениях всем уровням в группе поддержки. Например, проводите ежедневные или еженедельные собрания Teams, чтобы все уровни были осведомлены о тенденциях, шаблонах и могли получить помощь.

    В следующем примере показано, как компания Contoso реализует рабочие процессы ИТ-поддержки или службы поддержки.

    1. Конечные пользователи обращаются к специалистам по поддержке уровня 1 с проблемой, связанной с регистрацией.
    2. Уровню 1 службы поддержки не удается определить первопричину, поэтому проблема передается на уровень 2.
    3. Служба ИТ-поддержки или уровень поддержки 2 изучает проблему. На уровне 2 не удалось решить проблему, поэтому она передается на уровень 3, а также предоставляются дополнительные сведения, помогающие в решении проблемы.
    4. Специалисты по поддержке уровня 3 исследуют проблему, находят первопричину, а затем сообщают решение сотрудникам уровней 2 и 1.
    5. После этого сотрудник службы поддержки уровня 1 связывается с клиентом и помогает устранить проблему.

    Такой подход, особенно на ранних стадиях развертывания Intune, дает множество преимуществ, включая следующие.

    • Помогите изучить технологию.
    • Быстрое выявление и решение проблем.
    • Улучшение общих впечатлений пользователей.

  • Обучите службу поддержки и группы поддержки. Попросите их зарегистрировать устройства под управлением различных платформ, используемых в вашей организации (Android, iOS/iPadOS, macOS, Windows), чтобы они были знакомы с этим процессом. Рассмотрите возможность использования групп поддержки в качестве пилотной группы для ваших сценариев.

    Доступны учебные материалы, в том числе видео YouTube, учебники Майкрософт по регистрации, обеспечению соответствия требованиям, настройке, а также курсы от партнеров по обучению.

    Ниже приведен пример учебного плана для обучения службы поддержки Intune.

    • Рассмотрение плана поддержки Intune
    • Обзор Intune
    • Устранение распространенных проблем
    • Средства и ресурсы
    • Q & A

Форум Intune сообщества и документация для конечных пользователей также являются отличными ресурсами.

Дальнейшие действия

Создайте политики приложений и устройств и зарегистрируйте устройства.

Ознакомьтесь с пакетом средств внедрения Intune.