Microsoft Intune planeringsguide

En lyckad Microsoft Intune distribution eller migrering börjar med planering. Den här guiden hjälper dig att planera din flytt eller implementering av Intune som en enhetlig lösning för slutpunktshantering.

Diagram som visar stegen för att planera migreringen eller gå över till Microsoft Intune, inklusive licensieringsbehov.

Intune ger organisationer alternativ för att göra det som är bäst för dem och de många olika användarenheterna. Du kan registrera enheter i Intune för hantering av mobila enheter (MDM). Du kan också använda appskyddsprinciper för hantering av mobilprogram (MAM) som fokuserar på att skydda appdata.

Den här guiden:

  • Listor och beskriver några vanliga mål för enhetshantering
  • Listor potentiella licensieringsbehov
  • Ger vägledning om hantering av personligt ägda enheter
  • Rekommenderar att du granskar aktuella principer och infrastruktur
  • Ger exempel på hur du skapar en distributionsplan
  • Och mera

Använd den här guiden för att planera din flytt eller migrering till Intune.

Tips

  • Vill du skriva ut eller spara den här guiden som PDF? I webbläsaren använder du alternativet Skriv ut , Spara som PDF.
  • Den här guiden är en levande sak. Så se till att lägga till eller uppdatera befintliga tips och vägledning som du har funnit användbara.

Steg 1 – Fastställa dina mål

Organisationer använder hantering av mobila enheter (MDM) och hantering av mobilprogram (MAM) för att kontrollera organisationsdata på ett säkert sätt och med minimala störningar för användarna. När du utvärderar en MDM/MAM-lösning, till exempel Microsoft Intune, kan du titta på vad målet är och vad du vill uppnå.

I det här avsnittet diskuterar vi vanliga mål eller scenarier när du använder Intune.

Mål: Få åtkomst till organisationsappar och e-post

Användare förväntar sig att arbeta på enheter med hjälp av organisationsappar, inklusive läsning och svar på e-post, uppdatering och delning av data med mera. I Intune kan du distribuera olika typer av appar, till exempel:

  • Microsoft 365-appar
  • Win32-appar
  • Verksamhetsspecifika appar (LOB)
  • Anpassade appar
  • Inbyggda appar eller Store-appar

✔️ Uppgift: Skapa en lista över de appar som användarna använder regelbundet

Dessa appar är de appar som du vill använda på deras enheter. Några saker att tänka på:

  • Många organisationer distribuerar Microsoft 365-appar till datorer och surfplattor, till exempel Word, Excel, OneNote, PowerPoint och Teams. På mindre enheter, till exempel mobiltelefoner, kan enskilda appar installeras, beroende på användarens krav.

    Säljteamet kan till exempel kräva Teams, Excel och SharePoint. På mobila enheter kan du bara distribuera dessa appar i stället för att distribuera hela Microsoft 365-produktfamiljen.

  • Användarna förväntar sig att läsa och svara på e-post och delta i möten på alla enheter, inklusive personliga enheter. På organisationsägda enheter kan du distribuera Outlook och Teams och hantera och kontrollera alla enhetsinställningar och alla appinställningar, inklusive PIN-kod och lösenordskrav.

    På personliga enheter kanske du inte har den här kontrollen. Ta därför reda på om du vill ge användarna åtkomst till organisationens appar, till exempel e-post och möten.

    Mer information och överväganden finns i Personliga enheter jämfört med organisationsägda enheter (i den här artikeln).

  • Observera de e-postkonfigurationer som du använder om du planerar att migrera till Microsoft Outlook. De här inställningarna kan konfigureras med intune-appkonfigurationsprinciper.

  • Granska de skyddade appar som har utformats för att fungera med Intune. Dessa appar stöds av partnerappar och Microsoft-appar som ofta används med Microsoft Intune.

Mål: Säker åtkomst på alla enheter

När data lagras på mobila enheter måste de skyddas från skadlig aktivitet.

✔️ Uppgift: Avgöra hur du vill skydda dina enheter

Antivirusprogram, skanning av skadlig kod, svar på hot och hålla enheterna uppdaterade är viktiga överväganden. Du vill också minimera påverkan av skadlig aktivitet.

Några saker att tänka på:

  • Skydd mot antivirus (AV) och skadlig kod är ett måste. Intune integreras med Microsoft Defender för Endpoint och olika MTD-partner (Mobile Threat Defense) för att skydda dina hanterade enheter, personliga enheter och appar.

    Microsoft Defender för Endpoint innehåller säkerhetsfunktioner och en portal för att övervaka och reagera på hot.

  • Om en enhet komprometteras vill du begränsa skadlig påverkan med hjälp av villkorsstyrd åtkomst.

    Till exempel genomsöker Microsoft Defender för Endpoint en enhet och fastställer att den har komprometterats. Villkorlig åtkomst kan automatiskt blockera organisationsåtkomst på den här enheten, inklusive e-post.

    Villkorlig åtkomst skyddar ditt nätverk och dina resurser från enheter, även enheter som inte har registrerats i Intune.

  • Uppdatera enheten, operativsystemet och apparna för att skydda dina data. Skapa en plan för hur och när uppdateringar installeras. Det finns principer i Intune som hjälper dig att hantera uppdateringar, inklusive uppdateringar av store-appar.

    Följande planeringsguider för programuppdateringar kan hjälpa dig att fastställa din uppdateringsstrategi:

  • Bestäm hur användarna ska autentisera mot organisationsresurser från sina många enheter. Du kan till exempel:

    • Använd certifikat på enheter för att autentisera funktioner och appar, till exempel ansluta till ett virtuellt privat nätverk (VPN), öppna Outlook med mera. Dessa certifikat möjliggör en "lösenordsfri" användarupplevelse. Lösenordslösa anses vara säkrare än att kräva att användarna anger organisationens användarnamn och lösenord.

      Om du planerar att använda certifikat använder du en PKI-infrastruktur (Public Key Infrastructure) som stöds för att skapa och distribuera certifikatprofiler.

    • Använd multifaktorautentisering (MFA) för ett extra autentiseringslager på organisationsägda enheter. Du kan också använda MFA för att autentisera appar på personliga enheter. Biometri, till exempel ansiktsigenkänning och fingeravtryck, kan också användas.

      Om du planerar att använda biometri för autentisering ska du se till att dina enheter har stöd för biometri. De flesta moderna enheter gör det.

    • Implementera en Nolltillit distribution. Med Nolltillit använder du funktionerna i Microsoft Entra ID och Microsoft Intune för att skydda alla slutpunkter, använder lösenordsfri autentisering med mera.

  • Konfigurera de data inneslutningsprinciper som medföljer Microsoft 365-apparna. Dessa principer hjälper till att förhindra att organisationsdata delas med andra appar och lagringsplatser som inte hanteras av IT.

    Om vissa användare bara behöver åtkomst till företagets e-post och dokument, vilket är vanligt för personligt ägda enheter, kan du kräva att användarna använder Microsoft 365-appar med appskyddsprinciper. Enheterna behöver inte registreras i Intune.

    Mer information och överväganden finns i Personliga enheter jämfört med organisationsägda enheter (i den här artikeln).

Mål: Distribuera IT

Många organisationer vill ge olika administratörer kontroll över platser, avdelningar och så vidare. Gruppen Charlotte IT-administratörer styr och övervakar till exempel principerna på Charlottes campus. Dessa Charlotte IT-administratörer kan bara se och hantera principer för Charlotte-platsen. De kan inte se och hantera principer för Redmond-platsen. Den här metoden kallas distribuerad IT.

I Intune kan distribuerad IT dra nytta av följande funktioner:

  • Omfångstaggar använder rollbaserad åtkomstkontroll (RBAC). Därför har endast användare i en viss grupp behörighet att hantera principer och profiler för användare och enheter i deras omfång.

  • När du använder enhetsregistreringskategorier läggs enheter automatiskt till i grupper baserat på kategorier som du skapar. Den här funktionen används Microsoft Entra dynamiska grupper och gör det enklare att hantera enheter.

    När användarna registrerar sin enhet väljer de en kategori, till exempel Försäljning, IT-administratör, försäljningsenhet och så vidare. När de läggs till i en kategori är dessa enhetsgrupper redo att ta emot dina principer.

  • När administratörer skapar principer kan du kräva flera administratörsgodkännanden för specifika principer, inklusive principer som kör skript eller distribuerar appar.

  • Med Endpoint Privilege Management kan användare som inte är administratörer utföra uppgifter som kräver förhöjd behörighet, till exempel att installera appar och uppdatera enhetsdrivrutiner. Endpoint Privilege Management är en del av Intune Suite.

✔️ Uppgift: Bestäm hur du vill distribuera regler och inställningar

Regler och inställningar distribueras med olika principer. Några saker att tänka på:

  • Fastställ administratörsstrukturen. Du kanske till exempel vill separera efter plats, till exempel Charlotte IT-administratörer eller Cambridge IT-administratörer. Du kanske vill separera efter roll, till exempel nätverksadministratörer som styr all nätverksåtkomst, inklusive VPN.

    De här kategorierna blir dina omfångstaggar.

  • Ibland behöver organisationer använda distribuerad IT i system där ett stort antal lokala administratörer ansluter till en enda Intune-klientorganisation. En stor organisation har till exempel en enda Intune-klientorganisation. Organisationen har ett stort antal lokala administratörer och varje administratör hanterar ett visst system, en viss region eller plats. Varje administratör behöver bara hantera sin plats och inte hela organisationen.

    Mer information finns i Distribuerad IT-miljö med många administratörer i samma Intune-klientorganisation.

  • Många organisationer separerar grupper efter enhetstyp, till exempel iOS/iPadOS-, Android- eller Windows-enheter. Några exempel:

    • Distribuera specifika appar till specifika enheter. Distribuera till exempel Microsofts skyttelapp till mobila enheter i Redmond-nätverket.
    • Distribuera principer till specifika platser. Distribuera till exempel en Wi-Fi profil till enheter i Charlotte-nätverket så att de automatiskt ansluter när de är inom räckhåll.
    • Kontrollera inställningar på specifika enheter. Du kan till exempel inaktivera kameran på Android Enterprise-enheter som används på en tillverkningsvåning, skapa en Windows Defender antivirusprofil för alla Windows-enheter eller lägga till e-postinställningar på alla iOS/iPadOS-enheter.

    De här kategorierna blir dina enhetsregistreringskategorier.

Mål: Behåll organisationsdata i organisationen

När data lagras på mobila enheter bör data skyddas från oavsiktlig förlust eller delning. Det här målet omfattar även rensning av organisationsdata från personliga och organisationsägda enheter.

✔️ Uppgift: Skapa en plan för olika scenarier som påverkar din organisation

Några exempelscenarier:

  • En enhet tappas bort eller blir stulen eller används inte längre. En användare lämnar organisationen.

  • På personliga enheter kanske du vill förhindra att användare kopierar/klistrar in, tar skärmbilder eller vidarebefordrar e-postmeddelanden. Appskydd principer kan blockera dessa funktioner på enheter som du inte hanterar.

    På hanterade enheter (enheter som har registrerats i Intune) kan du också styra dessa funktioner med hjälp av enhetskonfigurationsprofiler. Enhetskonfigurationsprofiler styr inställningarna på enheten, inte appen. På enheter som har åtkomst till mycket känsliga eller konfidentiella data kan enhetskonfigurationsprofiler förhindra kopiering/inklistring, ta skärmbilder med mera.

Mer information och överväganden finns i Personliga enheter jämfört med organisationsägda enheter (i den här artikeln).

Steg 2 – Inventera dina enheter

Organisationer har en rad olika enheter, inklusive stationära datorer, bärbara datorer, surfplattor, handhållna skannrar och mobiltelefoner. Dessa enheter ägs av organisationen eller ägs av dina användare. När du planerar din strategi för enhetshantering bör du tänka på allt som har åtkomst till organisationens resurser, inklusive personliga enheter.

Det här avsnittet innehåller enhetsinformation som du bör överväga.

Plattformar som stöds

Intune stöder vanliga och populära enhetsplattformar. För de specifika versionerna går du till plattformar som stöds.

✔️ Uppgift: Uppgradera eller ersätta äldre enheter

Om dina enheter använder versioner som inte stöds, som främst är äldre operativsystem, är det dags att uppgradera operativsystemet eller ersätta enheterna. Dessa äldre operativsystem och enheter kan ha begränsat stöd och är en potentiell säkerhetsrisk. Den här uppgiften omfattar stationära datorer som kör Windows 7, iPhone 7-enheter som kör det ursprungliga v10.0-operativsystemet och så vidare.

Personliga enheter jämfört med organisationsägda enheter

På personliga enheter är det normalt och förväntat att användarna kontrollerar e-post, ansluter till möten, uppdaterar filer med mera. Många organisationer tillåter personliga enheter att komma åt organisationsresurser.

BYOD/personliga enheter ingår i en MAM-strategi (hantering av mobilprogram) som:

  • Fortsätter att växa i popularitet hos många organisationer
  • Är ett bra alternativ för organisationer som vill skydda organisationsdata, men inte vill hantera hela enheten
  • Minskar maskinvarukostnaderna.
  • Kan öka mobila produktivitetsalternativ för anställda, inklusive distansarbetare & hybridarbetare
  • Tar bara bort organisationsdata från appar i stället för att ta bort alla data från enheten

Organisationsägda enheter ingår i en STRATEGI för hantering av mobila enheter (MDM) som:

  • Ger fullständig kontroll till IT-administratörer i din organisation
  • Har en omfattande uppsättning funktioner som hanterar appar, enheter och användare
  • Är ett bra alternativ för organisationer som vill hantera hela enheten, inklusive maskinvara och programvara
  • Kan öka maskinvarukostnaderna, särskilt om befintliga enheter är inaktuella eller inte stöds längre
  • Kan ta bort alla data från enheten, inklusive personliga data

Skärmbild som jämför hantering av mobila enheter och apphantering på enheter i Microsoft Intune.

Som organisation och administratör bestämmer du om personliga enheter tillåts. Om du tillåter personliga enheter måste du fatta viktiga beslut, inklusive hur du skyddar organisationens data.

✔️ Uppgift: Avgöra hur du vill hantera personliga enheter

Om det är viktigt för din organisation att vara mobil eller stödja distansarbetare bör du överväga följande metoder:

  • Alternativ 1: Tillåt att personliga enheter får åtkomst till organisationsresurser. Användarna kan välja att registrera sig eller inte registrera sig.

    • För användare som registrerar sina personliga enheter hanterar administratörer fullständigt dessa enheter, inklusive push-principer, kontroll av enhetsfunktioner & inställningar och till och med rensning av enheter. Som administratör kanske du vill ha den här kontrollen, eller så kanske du tror att du vill ha den här kontrollen.

      När användare registrerar sina personliga enheter kanske de inte inser eller förstår att administratörer kan göra något på enheten, inklusive att rensa eller återställa enheten av misstag. Som administratör kanske du inte vill ha det här ansvaret eller den potentiella påverkan på enheter som din organisation inte äger.

      Dessutom vägrar många användare att registrera sig och kan hitta andra sätt att komma åt organisationsresurser. Du kräver till exempel att enheter registreras för att använda Outlook-appen för att kontrollera organisationens e-post. Om du vill hoppa över det här kravet öppnar användarna valfri webbläsare på enheten och loggar in på Outlook-webbåtkomst, vilket kanske inte är det du vill ha. Eller så skapar de skärmbilder och sparar bilderna på enheten, vilket inte heller är det du vill ha.

      Om du väljer det här alternativet bör du informera användarna om riskerna och fördelarna med att registrera sina personliga enheter.

    • För användare som inte registrerar sina personliga enheter hanterar du appåtkomst och skyddar appdata med hjälp av appskyddsprinciper.

      Använd en instruktion för allmänna villkor med en princip för villkorsstyrd åtkomst. Om användarna inte accepterar får de inte åtkomst till appar. Om användarna godkänner -instruktionen läggs en enhetspost till i Microsoft Entra ID och enheten blir en känd entitet. När enheten är känd kan du spåra vad som nås från enheten.

      Kontrollera alltid åtkomst och säkerhet med hjälp av appprinciper.

      Titta på de uppgifter som din organisation använder mest, till exempel e-post och att ansluta till möten. Använd appkonfigurationsprinciper för att konfigurera appspecifika inställningar, till exempel Outlook. Använd appskyddsprinciper för att kontrollera säkerheten och åtkomsten till dessa appar.

      Användare kan till exempel använda Outlook-appen på sin personliga enhet för att kontrollera e-post i arbetet. I Intune skapar administratörer en Outlook-appskyddsprincip. Den här principen använder multifaktorautentisering (MFA) varje gång Outlook-appen öppnas, förhindrar kopiering och inklistring och begränsar andra funktioner.

  • Alternativ 2: Du vill att alla enheter ska hanteras fullständigt. I det här scenariot registreras alla enheter i Intune och hanteras av organisationen, inklusive personliga enheter.

    För att framtvinga registrering kan du distribuera en princip för villkorsstyrd åtkomst (CA) som kräver att enheter registreras i Intune. På dessa enheter kan du också:

    • Konfigurera en WiFi-/VPN-anslutning för organisationens anslutning och distribuera dessa anslutningsprinciper till enheter. Användarna behöver inte ange några inställningar.
    • Om användarna behöver specifika appar på sin enhet distribuerar du apparna. Du kan också distribuera appar som din organisation behöver i säkerhetssyfte, till exempel en app för skydd mot mobilhot.
    • Använd efterlevnadsprinciper för att ange de regler som din organisation måste följa, till exempel regler eller principer som beskriver specifika MDM-kontroller. Du behöver till exempel Intune för att kryptera hela enheten eller för att skapa en rapport över alla appar på enheten.

    Om du också vill styra maskinvaran ska du ge användarna alla enheter de behöver, inklusive mobiltelefoner. Investera i en maskinvaruuppdateringsplan så att användarna fortsätter att vara produktiva och få de senaste inbyggda säkerhetsfunktionerna. Registrera dessa organisationsägda enheter i Intune och hantera dem med hjälp av principer.

Vi rekommenderar att du alltid antar att data lämnar enheten. Se till att spårnings- och granskningsmetoderna är på plats. Mer information finns i Nolltillit med Microsoft Intune.

Hantera stationära datorer

Intune kan hantera stationära datorer som kör Windows 10 och senare. Windows-klientoperativsystemet innehåller inbyggda moderna enhetshanteringsfunktioner och tar bort beroenden för lokala Active Directory-grupprinciper (AD). Du får fördelarna med molnet när du skapar regler och inställningar i Intune och distribuerar dessa principer till alla dina Windows-klientenheter, inklusive stationära datorer och datorer.

Mer information finns i Interaktivt scenario – Molnhanterat modernt skrivbord.

Om dina Windows-enheter för närvarande hanteras med hjälp av Configuration Manager kan du fortfarande registrera dessa enheter i Intune. Den här metoden kallas samhantering. Samhantering ger många fördelar, inklusive körning av fjärråtgärder på enheten (omstart, fjärrstyrning, fabriksåterställning), villkorlig åtkomst med enhetsefterlevnad med mera. Du kan också molnimplementera dina enheter till Intune.

Mer information finns i:

✔️ Uppgift: Titta på vad du använder för närvarande för hantering av mobila enheter

Din implementering av en hantering av mobila enheter kan bero på vad din organisation använder för närvarande, inklusive om den lösningen använder lokala funktioner eller program.

Installationsdistributionsguiden innehåller en del bra information.

Några saker att tänka på:

  • Om du för närvarande inte använder någon MDM-tjänst eller lösning kan det vara bäst att gå direkt till Intune.

  • För nya enheter som inte har registrerats i Configuration Manager eller någon MDM-lösning kan det vara bäst att gå direkt till Intune.

  • Om du för närvarande använder Configuration Manager inkluderar alternativen:

    • Om du vill behålla din befintliga infrastruktur och flytta vissa arbetsbelastningar till molnet använder du samhantering. Du får fördelarna med båda tjänsterna. Befintliga enheter kan ta emot vissa principer från Configuration Manager (lokalt) och andra principer från Intune (molnet).
    • Om du vill behålla din befintliga infrastruktur och använda Intune för att övervaka dina lokala enheter använder du klientkoppling. Du får fördelen av att använda Administrationscenter för Intune medan du fortfarande använder Configuration Manager för att hantera enheter.
    • Om du vill ha en ren molnlösning för att hantera enheter flyttar du till Intune. Befintliga Configuration Manager användare föredrar ofta att fortsätta använda Configuration Manager med klientkoppling eller samhantering.

    Mer information finns i arbetsbelastningar för samhantering.

Frontlinjearbetsenheter (FLW)

Delade surfplattor och enheter är vanliga för medarbetare i frontlinjen (FLW). De används i många branscher, inklusive detaljhandel, sjukvård, tillverkning med mera.

Det finns alternativ för de olika plattformarna, inklusive Android-enheter (AOSP) för virtuell verklighet, iPad-enheter och Windows 365 cloud-datorer.

✔️ Uppgift: Fastställa flw-scenarier

FLW-enheter är organisationsägda, registrerade i enhetshantering och kan användas av en användare (användartilldelad) eller många användare (delade enheter). Dessa enheter är viktiga för medarbetare i frontlinjen för att utföra sitt arbete och används ofta i ett läge med begränsad användning. En enhet används till exempel för att skanna objekt, eller så används en surfplatta för att checka in patienter på ett sjukhus.

Mer information finns i Frontline Worker Device Management i Microsoft Intune.

Steg 3 – Fastställa kostnader och licensiering

Att hantera enheter är en relation med olika tjänster. Intune innehåller de inställningar och funktioner som du kan styra på olika enheter. Det finns även andra tjänster som spelar en viktig roll:

  • Microsoft Entra ID P1 eller P2 innehåller flera funktioner som är viktiga för att hantera enheter, inklusive:

    • Windows Autopilot: Windows-klientenheter kan registreras automatiskt i Intune och automatiskt ta emot dina principer.
    • Multifaktorautentisering (MFA): Användare måste ange två eller flera verifieringsmetoder, till exempel en PIN-kod, en autentiseringsapp, ett fingeravtryck med mera. MFA är ett bra alternativ när du använder appskyddsprinciper för personliga enheter och organisationsägda enheter som kräver extra säkerhet.
    • Villkorlig åtkomst: Om användare och enheter följer dina regler, till exempel ett 6-siffrigt lösenord, får de åtkomst till organisationens resurser. Om användare eller enheter inte uppfyller dina regler får de inte åtkomst.
    • Dynamiska användargrupper och dynamiska enhetsgrupper: Lägg automatiskt till användare eller enheter i grupper när de uppfyller kriterier, till exempel en stad, jobbtitel, OS-typ, OS-version med mera.
  • Microsoft 365-appar innehåller de appar som användarna förlitar sig på, inklusive Outlook, Word, SharePoint, Teams, OneDrive med mera. Du kan distribuera dessa appar till enheter med Hjälp av Intune.

  • Microsoft Defender för Endpoint hjälper dig att övervaka och genomsöka dina Windows-klientenheter efter skadlig aktivitet. Du kan också ange en acceptabel hotnivå. När du kombinerar med villkorlig åtkomst kan du blockera åtkomst till organisationsresurser om hotnivån överskrids.

  • Microsoft Purview klassificerar och skyddar dokument och e-postmeddelanden genom att använda etiketter. I Microsoft 365-appar kan du använda den här tjänsten för att förhindra obehörig åtkomst till organisationsdata, inklusive appar på personliga enheter.

Alla dessa tjänster ingår i licensen för Microsoft 365 E5.

Mer information finns i:

✔️ Uppgift: Fastställa de licensierade tjänster som din organisation behöver

Några saker att tänka på:

  • Om målet är att distribuera principer (regler) och profiler (inställningar) utan någon tillämpning behöver du minst:

    • Intune

    Intune är tillgängligt med olika prenumerationer, inklusive som en fristående tjänst. Mer information finns i Microsoft Intune licensiering. Intune Suite har avancerade funktioner för slutpunktshantering och -säkerhet, till exempel fjärrhjälp eller Endpoint Privilege Management. Den är tillgänglig som en separat licens.

    Du använder för närvarande Configuration Manager och vill konfigurera samhantering för dina enheter. Intune ingår redan i din Configuration Manager licens. Om du vill att Intune fullständigt ska hantera nya enheter eller befintliga samhanterade enheter behöver du en separat Intune-licens.

  • Du vill framtvinga de efterlevnads- eller lösenordsregler som du skapar i Intune. Du behöver minst:

    • Intune
    • Microsoft Entra ID P1 eller P2

    Intune och Microsoft Entra ID P1 eller P2 är tillgängliga med Enterprise Mobility + Security. Mer information finns i Enterprise Mobility + Security prisalternativ.

  • Du vill bara hantera Microsoft 365-appar på enheter. Du behöver minst:

    • Microsoft 365 Basic Mobility and Security

    Mer information finns i:

  • Du vill distribuera Microsoft 365-appar till dina enheter och skapa principer för att skydda enheter som kör dessa appar. Du behöver minst:

    • Intune
    • Microsoft 365-appar
  • Du vill skapa principer i Intune, distribuera Microsoft 365-appar och tillämpa dina regler och inställningar. Du behöver minst:

    • Intune
    • Microsoft 365-appar
    • Microsoft Entra ID P1 eller P2

    Eftersom alla dessa tjänster ingår i vissa Microsoft 365-abonnemang kan det vara kostnadseffektivt att använda Microsoft 365-licensen. Mer information finns i Microsoft 365-licensieringsplaner.

Steg 4 – Granska befintliga principer och infrastruktur

Många organisationer har befintliga principer och infrastruktur för enhetshantering som bara "underhålls". Du kanske till exempel har 20 år gamla grupprinciper och inte vet vad de gör. När du överväger att flytta till molnet ska du fastställa målet i stället för att titta på vad du alltid har gjort.

Med dessa mål i åtanke skapar du en baslinje för dina principer. Om du har flera lösningar för enhetshantering kan det nu vara dags att använda en enda hanteringstjänst för mobila enheter.

✔️ Uppgift: Titta på aktiviteter som du kör lokalt

Den här uppgiften omfattar att titta på tjänster som kan flyttas till molnet. Kom ihåg att fastställa målet i stället för att titta på vad du alltid har gjort.

Tips

Läs mer om molnbaserade slutpunkter är en bra resurs.

Några saker att tänka på:

  • Granska befintliga principer och deras struktur. Vissa principer kan tillämpas globalt, vissa gäller på platsnivå och vissa är specifika för en enhet. Målet är att känna till och förstå syftet med globala principer, avsikten med lokala principer och så vidare.

    Lokala AD-grupprinciper tillämpas i LSDOU-ordningen – lokal, plats, domän och organisationsenhet (OU). I den här hierarkin skriver organisationsenhetsprinciper över domänprinciper, domänprinciper skriver över webbplatsprinciper och så vidare.

    I Intune tillämpas principer på användare och grupper som du skapar. Det finns ingen hierarki. Om två principer uppdaterar samma inställning visas inställningen som en konflikt. Mer information om konfliktbeteende finns i Vanliga frågor, problem och lösningar med enhetsprinciper och profiler.

    När du kommer från AD-grupprincipen till Intune och när du har granskat dina principer börjar dina globala AD-principer logiskt att gälla för grupper som du har eller grupper som du behöver. Dessa grupper omfattar användare och enheter som du vill rikta in dig på på global nivå, webbplatsnivå och så vidare. Den här uppgiften ger dig en uppfattning om den gruppstruktur du behöver i Intune.

  • Var beredd på att skapa nya principer i Intune. Intune innehåller flera funktioner som täcker scenarier som kan intressera dig. Några exempel:

    • Säkerhetsbaslinjer: På Windows 10/11-enheter är säkerhetsbaslinjer säkerhetsinställningar som är förkonfigurerade för rekommenderade värden. Om du är nybörjare på att skydda enheter eller vill ha en omfattande baslinje kan du titta på säkerhetsbaslinjer. Inställningsinsikter ger förtroende för konfigurationer genom att lägga till insikter som liknande organisationer har implementerat. Insikter är tillgängliga för vissa inställningar och inte alla inställningar. Mer information finns i Avsnittet om inställningar.

    • Administrativa mallar: På Windows 10/11-enheter använder du ADMX-mallar för att konfigurera grupprincipinställningar för Windows, Internet Explorer, Office och Microsoft Edge version 77 och senare. Dessa ADMX-mallar är samma ADMX-mallar som används i AD-grupprincipen, men de är 100 % molnbaserade i Intune.

    • Grupprincip: Använd grupprincipanalys för att importera och analysera grupprincipobjekt. Den här funktionen hjälper dig att avgöra hur dina grupprincipobjekt översätts i molnet. Utdata visar vilka inställningar som stöds i MDM-providers, inklusive Microsoft Intune. Den visar även inaktuella inställningar eller inställningar som inte är tillgängliga för MDM-leverantörer.

      Du kanske också kan skapa en Intune-princip baserat på dina importerade inställningar. Mer information finns i Skapa en princip för inställningskatalog med dina importerade grupprincipobjekt.

    • Guidade scenarier: Guidade scenarier är en anpassad serie steg som fokuserar på användningsfall från slutpunkt till slutpunkt. De här scenarierna omfattar automatiskt principer, appar, tilldelningar och andra hanteringskonfigurationer.

  • Skapa en principbaslinje som innehåller det minsta antalet mål. Till exempel:

    • Säker e-post: Du kanske vill:

      • Skapa Outlook-appskyddsprinciper.
      • Aktivera villkorlig åtkomst för Exchange Online eller ansluta till en annan lokal e-postlösning.
    • Enhetsinställningar: Du kanske vill:

      • Kräv en PIN-kod på sex tecken för att låsa upp enheten.
      • Förhindra säkerhetskopieringar till personliga molntjänster, till exempel iCloud eller OneDrive.
    • Enhetsprofiler: Du kanske vill:

      • Skapa en Wi-Fi-profil med de förkonfigurerade inställningarna som ansluter till contosos Wi-Fi trådlösa nätverk.
      • Skapa en VPN-profil med ett certifikat för att automatiskt autentisera och ansluta till en organisations VPN.
      • Skapa en e-postprofil med de förkonfigurerade inställningarna som ansluter till Outlook.
    • Appar: Du kanske vill:

      • Distribuera Microsoft 365-appar med appskyddsprinciper.
      • Distribuera verksamhetsspecifika (LOB) med appskyddsprinciper.

    Mer information om rekommenderade minimiinställningar finns i:

  • Granska den aktuella strukturen för dina grupper. I Intune kan du skapa och tilldela principer till användargrupper, enhetsgrupper och dynamiska användar- och enhetsgrupper (kräver Microsoft Entra ID P1 eller P2).

    När du skapar grupper i molnet, till exempel Intune eller Microsoft 365, skapas de i Microsoft Entra ID. Du kanske inte ser Microsoft Entra ID varumärke, men det är det du använder.

  • Om du har flera lösningar för enhetshantering går du över till en enda lösning för hantering av mobila enheter. Vi rekommenderar att du använder Intune för att skydda organisationsdata i appar och på enheter.

    Mer information finns i Microsoft Intune på ett säkert sätt hanterar identiteter, hanterar appar och hanterar enheter.

Steg 5 – Skapa en distributionsplan

Nästa uppgift är att planera hur och när dina användare och enheter får dina principer. I den här uppgiften bör du även tänka på:

  • Definiera dina mål och framgångsmått. Använd dessa datapunkter för att skapa andra distributionsfaser. Se till att målen är SMARTA (specifika, mätbara, uppnåeliga, realistiska och aktuella). Planera för att mäta mot dina mål i varje fas så att distributionsprojektet håller sig på rätt spår.
  • Ha tydligt definierade mål och mål. Inkludera dessa mål i alla medvetenhets- och utbildningsaktiviteter så att användarna förstår varför din organisation valde Intune.

✔️ Uppgift: Skapa en plan för att distribuera dina principer

Och välj hur användare registrerar sina enheter i Intune. Några saker att tänka på:

  • Distribuera dina principer i faser. Till exempel:

    • Börja med en pilot- eller testgrupp. Dessa grupper bör veta att de är de första användarna och vara villiga att ge feedback. Använd den här feedbacken för att förbättra konfigurationen, dokumentationen, meddelandena och göra det enklare för användarna i en framtida distribution. Dessa användare ska inte vara chefer eller VIP:er.

      Efter den första testningen lägger du till fler användare i pilotgruppen. Eller skapa fler pilotgrupper som fokuserar på en annan distribution, till exempel:

      • Avdelningar: Varje avdelning kan vara en distributionsfas. Du riktar in dig på en hel avdelning åt gången. I den här distributionen kan användare på varje avdelning använda sina enheter på samma sätt och komma åt samma program. Användarna har förmodligen samma typer av principer.

      • Geografi: Distribuera dina principer till alla användare i ett visst geografiskt område, oavsett om det är samma kontinent, land/region eller samma organisationsbyggnad. Med den här distributionen kan du fokusera på användarnas specifika plats. Du kan ange en Windows Autopilot för företablerad distributionsmetod, eftersom antalet platser som distribuerar Intune samtidigt är mindre. Det finns risk för olika avdelningar eller olika användningsfall på samma plats. Därför kan du testa olika användningsfall samtidigt.

      • Plattform: Den här distributionen distribuerar liknande plattformar samtidigt. Distribuera till exempel principer till alla iOS/iPadOS-enheter i februari, alla Android-enheter i mars och alla Windows-enheter i april. Den här metoden kan förenkla supporten eftersom de bara stöder en plattform i taget.

      Med en stegvis metod kan du få feedback från en mängd olika användartyper.

    • Efter en lyckad pilot är du redo att starta en fullständig produktionsdistribution. Följande exempel är en Intune-distributionsplan som innehåller målgrupper och tidslinjer:

    Distributionsfas Juli Augusti September Oktober
    Begränsad pilot IT (50 användare)
    Utökad pilot IT (200 användare), IT-chefer (10 användare)
    Distributionsfas 1 för produktion Försäljning och marknadsföring (2 000 användare)
    Distributionsfas 2 för produktion Detaljhandel (1 000 användare)
    Distributionsfas 3 för produktion HR (50 användare), Finance (40 användare), Chefer (30 användare)

    Den här mallen kan också laddas ned i Planering, design och implementering av Intune-distribution – Tabellmallar.

  • Välj hur användarna ska registrera sina personliga och organisationsägda enheter. Det finns olika registreringsmetoder som du kan använda, inklusive:

    • Självbetjäning för användare: Användare registrerar sina egna enheter enligt de steg som tillhandahålls av IT-organisationen. Den här metoden är vanligast och är mer skalbar än användarassisterad registrering.
    • Användarassisterad registrering: I den här företablerade distributionsmetoden hjälper en IT-medlem användare genom registreringsprocessen, personligen eller med Teams. Den här metoden är vanlig med chefer och andra grupper som kan behöva mer hjälp.
    • IT-teknikmässa: Vid det här evenemanget konfigurerar IT-gruppen en supportbås för Intune-registrering. Användarna får information om Intune-registrering, ställer frågor och får hjälp med att registrera sina enheter. Det här alternativet är fördelaktigt för IT och användare, särskilt under de tidiga faserna i en Intune-distribution.

    Följande exempel innehåller registreringsmetoderna:

    Distributionsfas Juli Augusti September Oktober
    Begränsad pilot
    Självbetjäning DET
    Utökad pilot
    Självbetjäning DET
    Företablerad IT-chefer
    Distributionsfas 1 för produktion Försäljning, marknadsföring
    Självbetjäning Försäljning och marknadsföring
    Distributionsfas 2 för produktion Detaljhandel
    Självbetjäning Detaljhandel
    Distributionsfas 3 för produktion Chefer, HR, Ekonomi
    Självbetjäning HR, Ekonomi
    Företablerad Chefer

    Mer information om de olika registreringsmetoderna för varje plattform finns i Distributionsvägledning: Registrera enheter i Microsoft Intune.

Steg 6 – Kommunicera ändringar

Ändringshantering förlitar sig på tydlig och användbar kommunikation om kommande ändringar. Tanken är att ha en smidig Intune-distribution och göra användarna medvetna om ändringar & eventuella störningar.

✔️ Uppgift: Kommunikationsplanen för distributionen bör innehålla viktig information

Den här informationen bör omfatta hur du meddelar användarna och när de ska kommunicera. Några saker att tänka på:

  • Fastställ vilken information som ska kommuniceras. Kommunicera i faser till dina grupper och användare, och börja med en kickoff för Intune-distribution, förregistrering och sedan efter registreringen:

    • Kickoff-fas: Bred kommunikation som introducerar Intune-projektet. Den bör besvara viktiga frågor, till exempel:

      • Vad är Intune?
      • Varför organisationen använder Intune, inklusive fördelar för organisationen och för användare
      • Ange en övergripande plan för distribution och distribution.
      • Om personliga enheter inte tillåts om inte enheterna har registrerats förklarar du varför du fattade beslutet.
    • Förregistreringsfas: Bred kommunikation som innehåller information om Intune och andra tjänster (till exempel Office, Outlook och OneDrive), användarresurser och specifika tidslinjer när användare och grupper registreras i Intune.

    • Registreringsfas: Kommunikation riktar sig till organisationsanvändare och grupper som är schemalagda att registreras i Intune. Den bör informera användarna om att de är redo att registrera sig, inkludera registreringssteg och vem de ska kontakta för hjälp och frågor.

    • Fas efter registrering: Kommunikation riktar sig till organisationsanvändare och grupper som har registrerats i Intune. Den bör ge fler resurser som kan vara till hjälp för användarna och samla in feedback om deras upplevelse under och efter registreringen.

  • Välj hur du vill kommunicera Distributionsinformation för Intune till dina målgrupper och användare. Till exempel:

    • Skapa ett organisationsomfattande personligt möte eller använd Microsoft Teams.

    • Skapa ett e-postmeddelande för förregistrering, e-post för registrering och e-post för efterregistrering. Till exempel:

      • Email 1: Förklara fördelar, förväntningar och schema. Passa på att visa upp andra tjänster vars åtkomst beviljas på enheter som hanteras av Intune.
      • Email 2: Meddela att tjänsterna nu är redo för åtkomst via Intune. Be användarna att registrera sig nu. Ge användarna en tidslinje innan deras åtkomst påverkas. Påminn användarna om fördelar och strategiska orsaker till migreringen.
    • Använd en organisationswebbplats som förklarar distributionsfaserna, vad användarna kan förvänta sig och vem som ska kontaktas för att få hjälp.

    • Skapa affischer, använd organisationens plattformar för sociala medier (till exempel Microsoft Viva Engage) eller distribuera flygblad för att tillkännage förregistreringsfasen.

  • Skapa en tidslinje som innehåller när och vem. Den första Kickoff-kommunikationen i Intune kan riktas mot hela organisationen, eller bara en delmängd. De kan ske under flera veckor innan Intune-distributionen börjar. Därefter kan information kommuniceras i faser till användare och grupper, i linje med deras Intune-distributionsschema.

    Följande exempel är en övergripande kommunikationsplan för Intune-distribution:

    Kommunikationsplan Juli Augusti September Oktober
    Fas 1 Alla
    Kickoff-möte Första veckan
    Fas 2 DET Försäljning och marknadsföring Detaljhandel HR, ekonomi och chefer
    Fördistribution Email 1 Första veckan Första veckan Första veckan Första veckan
    Fas 3 DET Försäljning och marknadsföring Detaljhandel HR, ekonomi och chefer
    Fördistribution Email 2 Andra veckan Andra veckan Andra veckan Andra veckan
    Fas 4 DET Försäljning och marknadsföring Detaljhandel HR, ekonomi och chefer
    E-post för registrering Tredje veckan Tredje veckan Tredje veckan Tredje veckan
    Fas 5 DET Försäljning och marknadsföring Detaljhandel HR, ekonomi och chefer
    E-post efter registreringen Fjärde veckan Fjärde veckan Fjärde veckan Fjärde veckan

Steg 7 – Supportavdelningen och slutanvändarna

Ta med IT-supporten och supportavdelningen i de tidiga stadierna av planering och pilotarbete för Intune-distribution. Tidigt engagemang exponerar din supportpersonal för Intune, och de får kunskap och erfarenhet av att identifiera och lösa problem mer effektivt. Det förbereder dem också för att stödja organisationens fullständiga produktionsdistribution. Kunnig support och supportteam hjälper också användarna att införa dessa ändringar.

✔️ Uppgift: Träna dina supportteam

Verifiera slutanvändarupplevelsen med framgångsmått i distributionsplanen. Några saker att tänka på:

  • Fastställ vem som ska stödja slutanvändare. Organisationer kan ha olika nivåer eller nivåer (1–3). Nivå 1 och 2 kan till exempel ingå i supportteamet. Nivå 3 innehåller medlemmar i MDM-teamet som ansvarar för Intune-distributionen.

    Nivå 1 är vanligtvis den första supportnivån och den första nivån att kontakta. Om nivå 1 inte kan lösa problemet eskaleras de till nivå 2. Nivå 2 eskalerar den till nivå 3. Microsofts support kan betraktas som nivå 4.

    • I de första distributionsfaserna bör du se till att alla nivåer i supportteamet dokumenterar problem och lösningar. Leta efter mönster och justera kommunikationen för nästa distributionsfas. Till exempel:
      • Om olika användare eller grupper är tveksamde till att registrera sina personliga enheter bör du överväga ett Teams-samtal för att besvara vanliga frågor.
      • Om användarna har samma problem med att registrera organisationsägda enheter är det värd för en personlig händelse som hjälper användarna att registrera enheterna.
  • Skapa ett arbetsflöde för supportavdelningen och kommunicera ständigt supportproblem, trender och annan viktig information till alla nivåer i supportteamet. Håll till exempel dagliga eller veckovisa Teams-möten så att alla nivåer är medvetna om trender, mönster och kan få hjälp.

    I följande exempel visas hur Contoso implementerar sina arbetsflöden för IT-support eller supportavdelning:

    1. Slutanvändaren kontaktar IT-supporten eller supportavdelningen nivå 1 med ett registreringsproblem.
    2. IT-supporten eller supportavdelningen nivå 1 kan inte fastställa rotorsaken och eskalerar till nivå 2.
    3. IT-support eller supportavdelning nivå 2 undersöker. Nivå 2 kan inte lösa problemet och eskalerar till nivå 3 och ger ytterligare information för att hjälpa till med problemet.
    4. IT-supporten eller supportavdelningen nivå 3 undersöker, fastställer rotorsaken och kommunicerar lösningen till nivå 2 och 1.
    5. IT-support/supportavdelningen nivå 1 kontaktar sedan användarna och löser problemet.

    Den här metoden, särskilt i tidiga skeden av Intune-distributionen, ger många fördelar, bland annat:

    • Hjälp dig att lära dig tekniken
    • Snabbt identifiera problem och lösningar
    • Förbättra den övergripande användarupplevelsen
  • Utbilda supportavdelningen och supportteamen. Låt dem registrera enheter som kör de olika plattformar som används i din organisation så att de är bekanta med processen. Överväg att använda supportavdelningen och supportteamen som pilotgrupp för dina scenarier.

    Det finns tillgängliga utbildningsresurser, inklusive YouTube-videor, Microsoft-självstudier om Windows Autopilot-scenarier, efterlevnad, konfiguration och kurser via utbildningspartners.

    Följande exempel är en utbildningsagenda för Intune-support:

    • Granskning av Intune-supportplan
    • Översikt över Intune
    • Felsöka vanliga problem
    • Verktyg och resurser
    • Q & A

Det communitybaserade Intune-forumet och slutanvändardokumentationen är också bra resurser.

Nästa steg