Управление устройствами Windows в организации — переход на современное управление

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Использование личных устройств для работы и сотрудников, работающих за пределами офиса, может изменить способ управления устройствами в вашей организации. Для некоторых подразделений организации может потребоваться строгий детализированный контроль над устройствами, а для других подойдет более легкий метод управления на основе сценариев для современных работников. Windows обеспечивает гибкость в соответствии с этими изменяющимися требованиями и может легко развертываться в смешанной среде. Вы можете постепенно перемещать процент устройств с Windows в соответствии с обычными расписаниями обновления, используемыми в вашей организации.

Ваша организация может поддерживать различные операционные системы различных типов устройств и управлять ими с помощью общего набора средств, таких как Microsoft Configuration Manager, Microsoft Intune или другие сторонние продукты. Это "управляемое разнообразие" позволяет пользователям пользоваться преимуществами повышения производительности, доступными на новых устройствах с Windows (включая поддержку сенсорного ввода и рукописного ввода), сохраняя при этом свои стандарты безопасности и управляемости. Это поможет вам и вашей организации быстрее воспользоваться преимуществами Windows.

В этой статье приводятся рекомендации по стратегиям развертывания устройств Windows и управления ими, включая развертывание Windows в смешанной среде. В ней рассматриваются варианты управления , а также четыре этапа жизненного цикла устройства:

Просмотр параметров управления для Windows

Windows предлагает ряд вариантов управления, как показано на следующей схеме:

Схема пути к современной ИТ-области.

Как показано на схеме, корпорация Майкрософт продолжает обеспечивать поддержку глубокого управления и безопасности с помощью таких технологий, как групповая политика, Active Directory и Configuration Manager. Кроме того, он предоставляет упрощенный и современный подход к упрощенному и современному управлению с помощью облачных решений для управления устройствами, таких как Microsoft Enterprise Mobility + Security (EMS). Будущие инновации Windows, предоставляемые через Windows как услуга, дополняются облачными службами, такими как Microsoft Intune, Microsoft Entra ID, Azure Information Protection и Microsoft 365.

Развертывание и подготовка

В Windows вы можете продолжать использовать традиционное развертывание ОС, но вы также можете управлять "из коробки". Чтобы преобразовать новые устройства в полностью настроенные и полностью управляемые устройства, можно:

  • Избегайте повторного воспроизведения образа с помощью динамической подготовки, включаемой облачной службой управления устройствами, например Windows Autopilot или Microsoft Intune.

  • создать автономные пакеты подготовки с помощью конструктора конфигураций Windows; Дополнительные сведения см. в разделе Пакеты подготовки для Windows.

  • Используйте традиционные методы создания образов, такие как развертывание пользовательских образов с помощью Configuration Manager.

У вас есть несколько вариантов обновления до Windows 10 и Windows 11. Для существующих устройств под управлением Windows 10 можно использовать надежный процесс обновления на месте для быстрого и надежного перехода на Windows 11 при автоматическом сохранении всех существующих приложений, данных и параметров. Такое использование процесса может означать снижение затрат на развертывание и повышение производительности, так как конечные пользователи могут сразу же повысить производительность — все будет правильно, где они оставили его. При желании вы также можете использовать традиционный подход к очистке и загрузке, используя те же средства, которые используются сегодня.

Удостоверение и проверка подлинности

Вы можете использовать Windows и такие службы, как Microsoft Entra ID, новыми способами для облачных удостоверений, проверки подлинности и управления. Вы можете предложить пользователям возможность "принести свое устройство" (BYOD) или "выбрать свое устройство" (CYOD) из выбора, который вы делаете доступным. В то же время вы можете управлять компьютерами и планшетами, которые должны быть присоединены к домену из-за отдельных приложений или ресурсов.

Управление пользователями и устройствами можно разделить на следующие две категории.

  • Корпоративные (CYOD) или личные устройства (BYOD), с которыми работают мобильные пользователи для SaaS-приложений, таких как Office 365. С помощью Windows сотрудники могут самостоятельно подготавливать свои устройства:

    • Для корпоративных устройств они могут настроить корпоративный доступ с помощью Microsoft Entra присоединения. Когда вы предлагаете им Microsoft Entra присоединиться с автоматической регистрацией Intune MDM, они могут перевести устройства в управляемое корпорацией состояние за один шаг, все из облака.

      Microsoft Entra присоединение также является отличным решением для временных сотрудников, партнеров или других сотрудников, работающих неполный рабочий стол. Эти учетные записи могут храниться отдельно от локального домена AD, но по-прежнему получать доступ к корпоративным ресурсам;

    • в свою очередь для личных устройств сотрудники могут использовать новый, упрощенный процесс BYOD для добавления своей рабочей учетной записи в Windows и доступа к рабочим ресурсам на устройстве.

  • Присоединенные к домену компьютеры и планшеты, используемые для традиционных приложений и доступа к важным ресурсам. Эти приложения и ресурсы могут быть традиционными, для которых требуется проверка подлинности или доступ к высоко конфиденциальным или классифицированным ресурсам в локальной среде.

    В Windows, если у вас есть локальный домен Active Directory, интегрированный с Microsoft Entra ID, при присоединении устройств сотрудников они автоматически регистрируются с помощью Microsoft Entra ID. Эта регистрация обеспечивает:

    Присоединенными к домену компьютерами и планшетами можно по-прежнему управлять с помощью Configuration Manager клиентской или групповой политики.

При анализе ролей в вашей организации можно использовать следующее универсальное дерево принятия решений, чтобы определить пользователей или устройства, которые нужно присоединить к домену. Попробуйте переключить остальных пользователей на Microsoft Entra ID.

Схема дерева принятия решений для параметров проверки подлинности устройства.

Параметры и конфигурация

Требования к конфигурации определяются множеством факторов, включая необходимый уровень управления, контролируемые устройства и данные, а также требования отрасли. Тем временем сотрудников беспокоит применение строгих ИТ-политик к личным устройствам, но им по-прежнему требуется доступ к корпоративной электронной почте и документам. Вы можете создать согласованный набор конфигураций на компьютерах, планшетах и телефонах с помощью общего уровня MDM.

  • MDM: MDM позволяет настроить параметры нужным образом, не предоставляя доступ ко всем существующим настройкам. (В отличие от этого, групповая политика предоставляет детализированные параметры, которыми вы управляете по отдельности.) Одним из преимуществ MDM является то, что она позволяет применять более широкие параметры конфиденциальности, безопасности и управления приложениями с помощью более легких и эффективных средств. MDM также позволяет использовать устройства, подключенные к Интернету, для управления политиками без использования групповой политики, для которой требуются локальные устройства, присоединенные к домену. Эта подготовка делает MDM лучшим выбором для устройств, которые постоянно находятся в пути.

  • Групповая политика и Configuration Manager. Вашей организации по-прежнему может потребоваться управлять компьютерами, присоединенными к домену, на детальном уровне с помощью параметров групповой политики. Если это так, групповая политика и Configuration Manager по-прежнему отлично подходят для управления:

    • Групповая политика — это лучший способ детализированной настройки присоединенных к домену компьютеров Windows и планшетов, подключенных к корпоративной сети с помощью средств Windows. Корпорация Майкрософт продолжает добавлять параметры групповой политики с каждой новой версией Windows.

    • Configuration Manager остается рекомендуемым решением для детальной настройки с надежным развертыванием программного обеспечения, обновлениями Windows и развертыванием ОС.

Обновление и обслуживание

При использовании модели «Windows как служба» вашему ИТ-отделу больше не потребуются сложные процессы создания образов (очистка и загрузка) с каждым новым выпуском Windows. В канале общей доступности или канале обслуживания Long-Term устройства получают последние обновления функций и качества с помощью простых( часто автоматических) процессов исправления. Дополнительные сведения см. в статье Сценарии развертывания Windows.

MDM с Intune предоставляют средства для применения обновлений Windows на клиентских компьютерах в вашей организации. Configuration Manager предоставляет широкие возможности управления и отслеживания этих обновлений, включая окна обслуживания и правила автоматического развертывания.

Дальнейшие действия

Чтобы начать процесс модернизации управления устройствами в организации, можно выполнить различные действия.

Оценка текущих методов управления и поиск инвестиций, которые можно сделать уже сегодня. Какие из текущих методов нужно сохранить, а какие можно изменить? В частности, какие элементы традиционного управления необходимо сохранить, а где возможна модернизация? Независимо от того, предпринимаете ли вы шаги для минимизации пользовательских образов, переоценки управления параметрами или повторной оценки проверки подлинности и соответствия требованиям, преимущества могут быть немедленными. Вы можете использовать аналитику групповой политики в Microsoft Intune, чтобы определить, какие групповые политики поддерживают облачные поставщики MDM, включая Microsoft Intune.

Оценка разных вариантов использования и потребностей в управлении вашей среде. Существуют ли группы устройств, которым пойдет на пользу упрощенное и более эффективное управление? Личные устройства (BYOD), например — естественные кандидаты для облачного управления. Пользователям или устройствам, обрабатывающим данные с более высоким уровнем регулирования, может потребоваться локальный домен Active Directory для проверки подлинности. Configuration Manager и EMS обеспечивают гибкость для поэтапной реализации современных сценариев управления, при этом ориентируясь на различные устройства так, как это наилучшим образом соответствует потребностям вашего бизнеса.

Изучение деревьев принятия решений в этой статье. Благодаря различным параметрам в Windows, а также Configuration Manager и Enterprise Mobility + Security вы можете управлять образами, проверкой подлинности, параметрами и средствами управления для любого сценария.

Поэтапное движение. Переход к современному управлению устройствами не обязательно должен быть однодневным преобразованием. Новые операционные системы и устройств могут быть использованы одновременно со старыми. Благодаря этому "управляемому разнообразию" пользователи могут воспользоваться преимуществами повышения производительности на современных устройствах Windows, в то время как вы продолжаете поддерживать старые устройства в соответствии со своими стандартами безопасности и управляемости. Политика CSP MDMWinsOverGP позволяет политикам MDM иметь приоритет над групповой политикой, если на устройстве настроена как групповая политика, так и ее эквивалентные политики MDM. Вы можете приступить к реализации политик MDM, сохраняя среду групповой политики. Дополнительные сведения, включая список политик MDM с эквивалентными групповыми политиками, см. в разделе Политики, поддерживаемые групповой политикой.

Оптимизация существующих инвестиций. На пути от традиционного локального управления к современному облачному управлению воспользуйтесь гибкой гибридной архитектурой Configuration Manager и Intune. Совместное управление позволяет одновременно управлять устройствами Windows с помощью Configuration Manager и Intune. Дополнительные сведения доступны в следующих статьях.