Planeringsguide på hög nivå för att gå över till molnbaserade slutpunkter

Tips

När du läser om molnbaserade slutpunkter visas följande termer:

• Slutpunkt: En slutpunkt är en enhet, till exempel en mobiltelefon, surfplatta, bärbar dator eller stationär dator. "Slutpunkter" och "enheter" används utan åtskillnad.
• Hanterade slutpunkter: Slutpunkter som tar emot principer från organisationen med hjälp av en MDM-lösning eller grupprincipobjekt. Dessa enheter är vanligtvis organisationsägda, men kan också vara BYOD- eller personligt ägda enheter.
• Molnbaserade slutpunkter: Slutpunkter som är anslutna till Microsoft Entra. De är inte anslutna till lokal AD.
• Arbetsbelastning: Alla program, tjänster eller processer.

Den här planeringsguiden på hög nivå innehåller idéer och förslag som du behöver överväga för din implementering och migrering till molnbaserade slutpunkter. Den beskriver hur du hanterar enheter, granskar & att överföra befintliga arbetsbelastningar, göra organisationsändringar, använda Windows Autopilot med mera.

Den här funktionen gäller för:

• Windows molnbaserade slutpunkter

Att flytta dina Windows-slutpunkter till molnbaserade har många fördelar, inklusive långsiktiga fördelar. Det är inte en process över natten och måste planeras för att undvika problem, avbrott och negativ användarpåverkan.

Mer information om fördelarna för organisationen och dina användare finns i Vad är molnbaserade slutpunkter.

För att lyckas bör du överväga de viktiga områden som beskrivs i den här artikeln för planering och distribution. Med rätt planering, kommunikation och processuppdateringar kan din organisation vara molnbaserad.

Hantera enheter med hjälp av en molnbaserad MDM-provider

Att hantera dina slutpunkter, inklusive molnbaserade slutpunkter, är en viktig uppgift för alla organisationer. Med molnbaserade slutpunkter måste de hanteringsverktyg som du använder hantera slutpunkterna vart de än är.

Om du för närvarande inte använder en LÖSNING för hantering av mobila enheter (MDM) eller vill flytta till en Microsoft-lösning är följande artiklar bra resurser:

• Vad är Microsoft Intune?
• Kom igång med Microsoft Intune

Med Microsoft Intune-serien med produkter och tjänster har du följande alternativ för slutpunktshantering:

• Microsoft Intune: Intune är 100 % molnbaserat och använder Administrationscenter för Intune för att hantera enheter, hantera appar på enheter, skapa & distribuera principer, granska rapporteringsdata med mera.

  Mer information om hur du använder Intune för att hantera dina slutpunkter finns i:

  • Microsoft Intune hanterar identiteter, hanterar appar och hanterar enheter på ett säkert sätt
  • Distributionsguide: Konfigurera eller flytta till Microsoft Intune
  • Planeringsguide för Microsoft Intune

• Microsoft Configuration Manager: Configuration Manager använder en lokal infrastruktur och kan hantera servrar. När du använder samhantering använder vissa arbetsbelastningar Configuration Manager (lokalt) och vissa arbetsbelastningar använder Microsoft Intune (molnet).

  För molnbaserade slutpunkter bör dina Configuration Manager-lösningar använda en Cloud Management Gateway (CMG) och samhantering.

Granska dina slutpunkts- och användararbetsbelastningar

På hög nivå kräver distribution av molnbaserade slutpunkter moderna strategier för identitet, programvarudistribution, enhetshantering, OS-uppdateringar och hantering av användardata & konfiguration. Microsoft har lösningar som stöder dessa områden för dina molnbaserade slutpunkter.

Börja genom att granska varje arbetsbelastning och fastställa hur den kan eller kommer att stödja dina molnbaserade slutpunkter. Vissa arbetsbelastningar kan redan ha stöd för molnbaserade slutpunkter. Inbyggt stöd beror på den specifika arbetsbelastningen, hur din organisation implementerar arbetsbelastningstjänsterna och hur användarna använder tjänsterna.

För att avgöra om dina arbetsbelastningar stöder molnbaserade slutpunkter måste du undersöka och verifiera dessa tjänster.

Om en tjänst eller lösning inte stöder molnbaserade slutpunkter fastställer du dess inverkan och dess allvarlighetsgrad för dina användare och din organisation. När du har den här informationen kan du bestämma nästa steg, som kan vara:

• Arbeta med tjänstleverantören
• Uppdatera till en ny version
• Använda en ny tjänst
• Implementera en lösning för att komma åt och använda den tjänsten från en molnbaserad slutpunkt
• Verifiera tjänstkraven
• Acceptera att tjänsten inte är molnbaserad, vilket kan vara acceptabelt för dina användare och din organisation

Hur som helst bör du planera att uppdatera dina arbetsbelastningar för att stödja molnbaserade slutpunkter.

Dina arbetsbelastningar bör ha följande egenskaper:

• Få säker åtkomst till appar och data var de än befinner sig. Åtkomst kräver ingen anslutning till ett företagsnätverk eller ett internt nätverk.
• Värdhanterad i, värdhanterad av eller värdhanterad via en molntjänst.
• Kräver inte eller är beroende av en specifik enhet.

Vanliga arbetsbelastningar och lösningar

Molnbaserade slutpunkter omfattar även de tjänster och arbetsbelastningar som stöder slutpunkterna.

Följande arbetsbelastningar är konfiguration, verktyg, processer och tjänster för att aktivera användarproduktivitet och slutpunktshantering.

Dina exakta arbetsbelastningar, information och hur du uppdaterar arbetsbelastningarna för molnbaserade slutpunkter kan vara annorlunda. Du behöver inte heller överföra alla arbetsbelastningar. Men du måste tänka på varje arbetsbelastning, dess inverkan på användarproduktiviteten och enhetshanteringsfunktionerna. Det kan ta längre tid än andra att konvertera vissa arbetsbelastningar till att använda molnbaserade slutpunkter. Arbetsbelastningar kan också ha beroenden mellan varandra.

• Enhetsidentitet

  En enhets identitet bestäms av identitetsprovidrar (IdP) som har kunskap om enheten och ett säkerhetsförtroende med enheten. För Windows-slutpunkter är de vanligaste IdP:erna lokala Active Directory (AD) och Microsoft Entra ID. Slutpunkter med identiteter från någon av dessa IdP:er är vanligtvis anslutna till en eller anslutna till båda.

  • För molnbaserade slutpunkter är Microsoft Entra Join det bästa valet för enhetens identitet. Det kräver ingen anslutning till ett lokalt nätverk, en resurs eller en tjänst.
  • Lokal AD-anslutning och Microsoft Entra-hybridanslutning kräver anslutning till en lokal domänkontrollant. De behöver anslutning för inledande användarinloggning, för att leverera grupprinciper och ändra lösenord. De här alternativen är inte lämpliga för molnbaserade slutpunkter.

  Obs!

  Microsoft Entra-registrering, som ibland kallas arbetsplatsanslutning, är endast avsedd för BYOD-scenarier (Bring Your Own Device). Den bör inte användas för företagsägda Windows-slutpunkter. Vissa funktioner kanske inte stöds eller fungerar som förväntat på Microsoft Entra-registrerade Windows-slutpunkter.

• Etablera dina slutpunkter

  För nyligen distribuerade Microsoft Entra-anslutningsslutpunkter använder du Windows Autopilot för att förkonfigurera enheter. Att ansluta till Microsoft Entra är vanligtvis en användardriven uppgift, och Windows Autopilot är utformat med användarna i åtanke. Windows Autopilot möjliggör etablering med hjälp av molnet var som helst på Internet och av alla användare.

  Mer information finns i:

  • Översikt över Windows Autopilot
  • Windows Autopilot scenarier och funktioner

• Distribuera programvara och program

  De flesta användare behöver och använder programvara och program som inte ingår i kärnoperativsystemet. I många fall vet eller förstår IT inte de specifika appkraven. It-teamet ansvarar dock fortfarande för att leverera och hantera dessa program. Användarna bör kunna begära och installera de program som de behöver för att utföra sitt jobb, oavsett vilken slutpunkt de använder eller var de använder det från.

  • Om du vill distribuera programvara och program använder du ett molnbaserat system som Intune eller Configuration Manager (med en CMG och samhantering).

  • Skapa en baslinje för appar som dina slutpunkter måste ha, till exempel Microsoft Outlook och Teams. För andra appar kan användarna installera sina egna appar.

    På dina slutpunkter kan du använda företagsportalappen som applagringsplats. Du kan också använda en användarriktad portal som visar de appar som kan installeras. Det här självbetjäningsalternativet minskar etableringstiden för nya och befintliga enheter. Det minskar också IT-belastningen och du behöver inte distribuera appar som användarna inte behöver.

  Mer information finns i:

  • Windows 10/11-appdistribution med Microsoft Intune
  • Introduktion till apphantering i Configuration Manager
  • Privat applagringsplats i Windows 11

• Konfigurera enhetsinställningar med hjälp av principer

  Princip- och säkerhetshantering är kärnan i slutpunktshantering. Med slutpunktsprinciper kan din organisation framtvinga en specifik säkerhetsbaslinje och en standardkonfiguration på dina hanterade slutpunkter. Det finns många inställningar som du kan hantera och styra på dina slutpunkter. SKAPA principer som bara konfigurerar det som krävs i baslinjen. Skapa inte principer som styr vanliga användarinställningar.

  • Traditionell principframtvingande med grupprincip är inte möjligt med molnbaserade slutpunkter. I stället kan du använda Intune för att skapa principer för att konfigurera många inställningar, inklusive inbyggda funktioner som inställningskatalogen och administrativa mallar.

    Grupprincipanalyser i Intune kan analysera dina lokala grupprincipobjekt, se om samma inställningar stöds i molnet och skapa en princip med hjälp av dessa inställningar.

  • Om du har befintliga principer som utfärdar certifikat, hanterar BitLocker och tillhandahåller slutpunktsskydd måste du skapa nya principer i Intune eller Configuration Manager (med en CMG och samhantering).

    Mer information finns i:

    • Använda certifikat för autentisering i Microsoft Intune
    • Diskkrypteringsprincip för slutpunktssäkerhet i Intune
    • Lägga till Endpoint Protection-inställningar i Intune
    • Certifikat i Configuration Manager
    • BitLocker-hantering i Configuration Manager
    • Endpoint Protection i Configuration Manager

• Distribuera säkerhets-, funktions- och appuppdateringar

  Många lokala lösningar kan inte distribuera uppdateringar till molnbaserade slutpunkter eller distribuera dem effektivt. Ur ett säkerhetsperspektiv kan den här arbetsbelastningen vara den viktigaste. Det bör vara den första arbetsbelastningen som du övergår till för att stödja molnbaserade Windows-slutpunkter.

  • Distribuera Windows-uppdateringar med ett molnbaserat system, till exempel Windows Update för företag. Med Intune eller Configuration Manager (med en CMG och samhantering) kan du använda Windows Update för företag för att distribuera säkerhetsuppdateringar och funktionsuppdateringar.

    Mer information finns i:

    • Hantera Windows 10- och Windows 11-programuppdateringar i Intune
    • Integrera Konfigurera chef med Windows Update för företag
    • Välj hur du hanterar uppdateringar av Microsoft 365 applikationer

  • Distribuera Microsoft 365-appuppdateringar med följande alternativ:

    • Intune: Skapa en princip som anger uppdateringskanalen, tar bort andra appversioner med mera.
    • Configuration Manager (med en CMG och samhantering): Hantera dina appar, inklusive uppdateringsstatistik, kopiera, dra tillbaka med mera.

    Mer information finns i:

    • Lägga till Microsoft 365-appar på Windows 10/11-enheter med Microsoft Intune
    • Hanteringsuppgifter för Configuration Manager-appar

• Hantera användardata och inställningar

  Användardata innehåller följande objekt:

  • Användardokument
  • Konfiguration av e-postapp
  • Webbläsarfavoriter
  • Verksamhetsspecifika programspecifika data
  • Verksamhetsspecifika programspecifika konfigurationsinställningar

  Användarna måste skapa och komma åt sina data från valfri slutpunkt. Dessa data måste också skyddas och kan behöva delas med andra användare.

  • Lagra användardata och inställningar i en molnlagringsleverantör, till exempel Microsoft OneDrive. Molnlagringsleverantörer kan hantera datasynkronisering, delning, offlineåtkomst, konfliktlösning med mera.

    Mer information finns i OneDrive-guiden för företag.

  Viktigt

  Vissa användarinställningar, till exempel OS-inställningar eller programspecifika inställningar, lagras i registret. Det är kanske inte realistiskt att komma åt de här inställningarna var du än befinner dig, och det kan vara förbjudet att synkronisera med olika slutpunkter.

  Det är möjligt att de här inställningarna kan exporteras och sedan importeras till en annan enhet. Du kan till exempel exportera användarinställningar från Outlook, Word och andra Office-appar.

• Åtkomst till lokala resurser

  Vissa organisationer kan inte överföra vissa arbetsbelastningar till molnbaserade lösningar. Det enda alternativet kan vara att komma åt befintliga lokala resurser eller tjänster från en molnbaserad slutpunkt. För dessa scenarier behöver användarna åtkomst.

  Överväg följande uppgifter för dessa lokala tjänster, resurser och program:

  • Autentisering och auktorisering: För att få åtkomst till lokala resurser från molnbaserade slutpunkter måste användarna autentisera och verifiera vilka de är. Mer specifik information finns i Autentisering och åtkomst till lokala resurser med molnbaserad slutpunkt.

  • Anslutning: Granska och utvärdera appar & resurser som bara finns lokalt. Anslutningar och åtkomst till dessa resurser bör vara tillgängliga lokalt och utan någon direkt anslutning, till exempel ett VPN. Den här uppgiften kan omfatta att flytta till SaaS-versioner av dina appar med hjälp av Microsoft Entra-programproxy, Azure Virtual Desktop, Windows 365, SharePoint, OneDrive eller Microsoft Teams.

  Obs!

  Microsoft Entra stöder inte Kerberos-autentiseringsprotokollet. Lokal AD stöder Kerberos-autentiseringsprotokollet. I planeringen kan du lära dig mer om Microsoft Entra Kerberos. När de konfigureras loggar användarna in på en molnbaserad slutpunkt med sitt Microsoft Entra-konto och kan komma åt lokala appar eller tjänster som använder Kerberos-autentisering.

  Microsoft Entra Kerberos:

  • Används inte i molnbaserade lösningar.
  • Löser inga anslutningsproblem för resurser som kräver autentisering via Microsoft Entra.
  • Är inte svaret eller lösningen för några domänautentiseringskrav via Microsoft Entra.
  • Åtgärdar inte datorautentiseringsutmaningarna som anges i Kända problem och viktig information.

  Om du vill ha en djupare förståelse för Microsoft Entra Kerberos och de scenarier som den kan hantera går du till följande bloggar:

  • Varför vi har skapat Microsoft Entra Kerberos (öppnar en extern webbplats)
  • Djupdykning: Så här fungerar Microsoft Entra Kerberos (öppnar en annan Microsoft-webbplats)
  • Så här fungerar Microsoft Entra Kerberos (syfuhs.net) (öppnar en extern webbplats)

Överföra dina arbetsbelastningar i faser

Modernisering av arbetsbelastningar och införande av molnbaserade slutpunkter kräver ändringar i operativa processer och procedurer. Till exempel:

• Administratörer måste förstå hur ändringar i befintliga arbetsbelastningar kan ändra deras processer.
• Supportavdelningen måste förstå de nya scenarier som de kommer att stödja.

När du granskar dina slutpunkter och arbetsbelastningar delar du upp övergången till faser. Det här avsnittet innehåller en översikt över några rekommenderade faser som din organisation kan använda. Dessa faser kan upprepas så många gånger som behövs.

✅ Fas 1: Hämta information om dina arbetsbelastningar

Den här fasen är fasen för informationsinsamling. Det hjälper dig att fastställa omfattningen av vad du måste tänka på för att din organisation ska övergå till molnbaserat. Det handlar om att definiera exakt vilka tjänster, produkter och program som ingår i varje arbetsbelastning i din miljö.

I den här fasen:

1. Inventera din aktuella arbetsbelastningsinformation och information. Du kan till exempel känna till deras aktuella tillstånd, vad de tillhandahåller, vem de betjänar, vem som underhåller dem, om de är viktiga för molnbaserade och hur de hanteras.

   När du har den här informationen kan du förstå och definiera slutmålet, vilket bör vara:

   • Stöd för molnbaserade slutpunkter
   • Att känna till de tjänster, produkter och program som används av varje arbetsbelastning

   Du måste samordna med ägarna till de olika tjänsterna, produkterna och programmen. Du vill se till att molnbaserade slutpunkter stöder användarproduktivitet utan anslutnings- eller platsbegränsningar.

   Exempel på vanliga tjänster och program är verksamhetsspecifika program (LOB), interna webbplatser, filresurser, autentiseringskrav, program- och OS-uppdateringsmekanismer samt programkonfiguration. I grund och botten inkluderar de allt och allt som användarna behöver för att göra sitt jobb fullt ut.

2. Kontrollera sluttillståndet för varje arbetsbelastning. Identifiera kända blockerare som förhindrar att de kommer till det här sluttillståndet eller förhindrar stöd för molnbaserade slutpunkter.

   Vissa arbetsbelastningar och deras tjänster & program kanske redan är molnvänliga eller aktiverade. Vissa kanske inte gör det. Att komma till sluttillståndet för varje arbetsbelastning kan kräva organisationsinvesteringar & arbete. Det kan vara att uppdatera programvara, "lyfta och flytta" till en ny plattform, migrera till en ny lösning eller göra konfigurationsändringar.

   De steg som krävs för varje arbetsbelastning är olika för varje organisation. De beror på hur tjänsten eller programmet hanteras och används av användare. Det här sluttillståndet bör hantera den primära utmaningen att göra det möjligt för användare att utföra sitt arbete på en molnbaserad slutpunkt, oavsett plats eller anslutning till det interna nätverket.

   Baserat på varje definierat sluttillstånd kan du upptäcka eller definiera att molnaktivering av en tjänst eller ett program är svårt eller blockerat. Den här situationen kan inträffa av olika orsaker, inklusive tekniska eller ekonomiska begränsningar. Dessa begränsningar måste vara tydliga och förstå. Du måste granska deras inverkan och bestämma hur varje arbetsbelastning ska flyttas så att den blir molnbaserad.

✅ Fas 2: Prioritera eventuella blockerare

När du har identifierat nyckelarbetsbelastningarna och deras sluttillståndsblockerare:

1. Prioritera varje blockerare och utvärdera varje blockerare för lösning.

   Du kanske inte vill eller behöver åtgärda alla blockerare. Din organisation kan till exempel ha arbetsbelastningar eller en del av arbetsbelastningar som inte stöder dina molnbaserade slutpunkter. Den här bristen på support kan vara betydande för din organisation eller användare. Du och din organisation kan fatta det här beslutet.

2. För att stödja testning och konceptbevis (POC) börjar du med en minsta uppsättning arbetsbelastningar. Målet är att testa och validera ett exempel på dina arbetsbelastningar.

   Som en del av POC identifierar du en uppsättning användare och enheter i en pilot för att köra ett verkligt produktionsscenario. Det här steget hjälper till att bevisa om sluttillståndet möjliggör användarproduktivitet.

   I många organisationer finns det en roll eller en affärsgrupp som är enklare att migrera. Du kan till exempel rikta in dig på följande scenarier i din POC:

   • Mycket mobilt säljteam vars primära krav är produktivitetsverktyg och en lösning för kundrelationshantering online
   • Kunskapsarbetare som främst har åtkomst till innehåll som redan finns i molnet och som är starkt beroende av Microsoft 365-appar
   • Frontlinjearbetsenheter som är mycket mobila eller finns i miljöer där de inte har åtkomst till organisationens nätverk

   För dessa grupper granskar du deras arbetsbelastningar. Fastställ hur dessa arbetsbelastningar kan övergå till modern hantering, inklusive identitet, programvarudistribution, enhetshantering med mera.

   För vart och ett av områdena i piloten bör antalet objekt eller uppgifter vara lågt. Den här inledande piloten hjälper dig att skapa de processer och procedurer som krävs för fler grupper. Det hjälper också till att skapa en långsiktig strategi.

   Mer vägledning och tips finns i planeringsguiden för Microsoft Intune. Den gäller för Intune, men innehåller även vägledning när du använder pilotgrupper och skapar distributionsplaner.

✅ Fas 3: Överföra dina arbetsbelastningar

I den här fasen är du redo att implementera dina ändringar.

1. Flytta avblockerade arbetsbelastningar till dina planerade molnbaserade lösningar eller sluttillstånd. Vi rekommenderar att det här steget delas in i mindre arbetsobjekt. Målet är att fortsätta verksamheten med minimala störningar.

2. När den första uppsättningen arbetsbelastningar har stöd för molnbaserade slutpunkter identifierar du fler arbetsbelastningar och fortsätter processen.

✅ Fas 4: Förbered användarna

Användarna har olika funktioner för att ta emot, distribuera och få stöd på sina enheter. Administratörer bör:

• Granska befintliga processer och dokumentation för att identifiera var ändringar är synliga för användarna.
• Uppdatera dokumentationen.
• Skapa en utbildningsstrategi för att dela de förändringar och fördelar som användarna kommer att uppleva.

Flytta organisationen i faser

Följande faser är en övergripande metod för organisationer att flytta sin miljö för att stödja molnbaserade Windows-slutpunkter. Dessa faser är parallella med övergångsslutpunkter och användararbetsbelastningar. De kan bero på att vissa arbetsbelastningar helt eller delvis övergår till att stödja molnbaserade Windows-slutpunkter.

✅ Fas 1: Definiera slutpunkter, beroenden och milstolpar

Den här fasen är det första steget för din organisations migrering att vara helt molnbaserad. Granska vad du har för närvarande, definiera framgångskriterier och börja planera hur dina enheter ska läggas till i Microsoft Entra.

1. Definiera de slutpunkter som kräver en molnidentitet

   • Slutpunkter som använder Internetåtkomst kräver en molnidentitet. Du lägger till dessa slutpunkter i Microsoft Entra.
   • Slutpunkter som inte använder Internet eller endast används lokalt ska inte ha en molnidentitet. Migrera inte dessa scenarier så att de är molnbaserade.

2. Definiera beroenden

   Arbetsbelastningar, användare och enheter har tekniska och icke-tekniska beroenden. Om du vill övergå med minimal påverkan på användare och organisationen måste du ta hänsyn till dessa beroenden.

   Ett beroende kan till exempel vara:

   • Affärsprocesser och kontinuitet
   • Säkerhetsstandarder
   • Lokala lagar och förordningar
   • Användarkunskap och användning av arbetsbelastningen
   • Kapital, driftskostnader och budget

   För varje arbetsbelastning frågar du "Vad påverkas om vi ändrar något om de tjänster som tillhandahålls av den här arbetsbelastningen?". Du måste ta hänsyn till effekterna av den här ändringen.

3. Definiera milstolpar och framgångsvillkor för varje arbetsbelastning

   Varje arbetsbelastning har sina egna milstolpar och framgångsvillkor. De kan baseras på organisationens användning av arbetsbelastningen och dess tillämplighet för specifika slutpunkter och användare.

   För att förstå och definiera förloppet för övergången kan du spåra och övervaka den här informationen.

4. Planera din Windows Autopilot-distribution

   • Fastställ hur och när enheter ska registreras i din organisation.
   • Fastställa och skapa de grupptaggar som krävs för att rikta dina Windows Autopilot-principer.
   • Skapa din Windows Autopilot-profil med dess konfigurationsinställningar och rikta in dig på de enheter som ska ta emot din profil.

   Mer information finns i:

   • Översikt över Windows Autopilot
   • Windows Autopilot scenarier och funktioner

✅ Fas 2: Aktivera hybrididentitet för slutpunktsmoln (valfritt)

För att vara helt molnbaserad rekommenderar Microsoft att befintliga Windows-slutpunkter återställs som en del av en maskinvaruuppdateringscykel. När du återställer återställs slutpunkten till fabriksinställningarna. Alla appar, inställningar och personliga data på enheten tas bort.

Om du inte är redo att återställa dina slutpunkter kan du aktivera Microsoft Entra-hybridanslutning. En molnidentitet skapas för Microsoft Entra-hybridanslutningsslutpunkter. Kom ihåg att Hybrid Microsoft Entra-anslutning fortfarande kräver lokal anslutning.

Kom ihåg att Microsoft Entra-hybridanslutning är ett övergångssteg till molnbaserat och är inte slutmålet. Slutmålet är att alla befintliga slutpunkter ska vara helt molnbaserade.

När slutpunkter är helt molnbaserade lagras användardata i en molnlagringsleverantör, till exempel OneDrive. Så när en slutpunkt återställs är användarprogram, konfiguration och data fortfarande tillgängliga och kan replikeras till en nyligen etablerad slutpunkt.

Mer information finns i:

• Microsoft Entra-ansluten jämfört med Hybrid Microsoft Entra-ansluten
• Konfigurera Microsoft Entra-hybridanslutning

Obs!

Microsoft har inget migreringsverktyg för att konvertera befintliga slutpunkter från en lokal domänansluten eller hybrid-Microsoft Entra-ansluten till Microsoft Entra-ansluten. Microsoft rekommenderar att dessa enheter återställs och distribueras om som en del av en maskinvaruuppdatering.

✅ Fas 3: Cloud attach Configuration Manager (valfritt)

Om du använder Configuration Manager ansluter molnet din miljö till Microsoft Intune. Om du inte använder Configuration Manager hoppar du över det här steget.

När du ansluter till molnet kan du fjärrhantera dina klientslutpunkter, samhantera dina slutpunkter med Intune (moln) och Configuration Manager (lokalt) och få åtkomst till Intune-administrationscentret.

Mer specifik information finns i Koppla din Configuration Manager-miljö till molnet och gå igenom administrationscentret för Microsoft Intune.

✅ Fas 4: Skapa ett Microsoft Entra-kopplat konceptbevis

Den här kritiska fasen kan starta när som helst. Den hjälper till att identifiera potentiella problem, okända problem och validerar övergripande funktioner och lösningar på dessa problem. Som med alla POC:er är målet att bevisa och validera funktioner i en faktisk företagsmiljö i stället för en labbmiljö.

Viktiga steg för den här fasen är:

1. Implementera en minsta baslinjekonfiguration med Intune

   Det här steget är viktigt. Du vill inte introducera slutpunkter i nätverket eller till produktion som:

   • Följ inte organisationens säkerhetsstandarder
   • Är inte konfigurerade för användare att utföra sitt arbete.

   Den här minsta konfigurationen har inte och bör inte ha alla möjliga konfigurationer tillämpade. Kom ihåg att avsikten är att identifiera fler konfigurationer som krävs för att användarna ska lyckas.

2. Konfigurera Windows Autopilot för Microsoft Entra-anslutna slutpunkter

   Att använda Windows Autopilot för att etablera nya slutpunkter och återskapa befintliga slutpunkter är det snabbaste sättet att introducera Microsoft Entra-anslutna system i din organisation. Det är en viktig del av POC.

3. Distribuera en POC för Microsoft Entra-anslutna system

   • Använd en blandning av slutpunkter som representerar olika konfigurationer och användare. Du vill ha så mycket validering av det nya systemtillståndet som möjligt.

   • Endast verklig produktionsanvändning av verkliga produktionsanvändare verifierar arbetsbelastningarna och deras funktioner fullt ut. Genom naturlig, daglig användning av POC Microsoft Entra-slutpunkterna testar och validerar användarna arbetsbelastningarna organiskt.

   • Skapa checklistor med verksamhetskritiska funktioner och scenarier och ge dessa listor till dina POC-användare. Checklistorna är specifika för varje organisation och kan ändras när arbetsbelastningar övergår till molnbaserade användarvänliga arbetsbelastningar.

4. Verifiera funktioner

   Validering är en repetitiv process. Den baseras på arbetsbelastningarna och deras konfiguration i din organisation.

   • Samla in användarfeedback om POC-slutpunkter, arbetsbelastningar och deras funktioner. Den här feedbacken bör komma från användare som använde de molnbaserade slutpunkterna.

     Andra blockerare och tidigare okända eller icke-konton för arbetsbelastningar/scenarier kan identifieras.

   • Använd milstolparna och framgångskriterierna som tidigare fastställts för varje arbetsbelastning. De hjälper dig att fastställa förloppet och omfånget för POC.

✅ Fas 5: Microsoft Entra ansluter dina befintliga Windows-slutpunkter

Den här fasen övergår ny Windows-slutpunktsetablering till Microsoft Entra-ansluten. När alla blockerare och problem har lösts kan du flytta befintliga enheter så att de är helt molnbaserade. Du har även följande alternativ:

• Alternativ 1: Ersätt dina enheter. Om enheterna är slut eller inte stöder modern säkerhet är det bästa valet att ersätta dem. Moderna enheter stöder nya och förbättrade säkerhetsfunktioner, inklusive TPM-teknik (Trusted Platform Module).

• Alternativ 2: Återställ Windows-enheterna. Om dina befintliga enheter stöder de nyare säkerhetsfunktionerna kan du återställa enheterna. Under välkomstupplevelsen (OOBE) eller när användare loggar in kan de ansluta enheterna till Microsoft Entra.

  Innan du återställer en befintlig Windows-slutpunkt måste du:

  1. Ta bort enheten i Intune.
  2. Ta bort enhetsregistreringen för Windows Autopilot.
  3. Ta bort det befintliga Microsoft Entra-enhetsobjektet.

  Återställ sedan enheten och återskapa slutpunkten.

När enheterna är klara ansluter du dessa enheter till Microsoft Entra med det alternativ som passar din organisation bäst. Mer specifik information finns i Microsoft Entra-anslutna enheter och Så här planerar du implementeringen av Microsoft Entra-anslutningen.

Flytta från grupprincipobjekt

Många organisationer använder grupprincipobjekt för att konfigurera och hantera sina Windows-slutpunkter.

Med tiden blir det komplicerat på grund av brist på dokumentation, bristande tydlighet i principens syfte eller krav, användning av äldre eller icke-funktionella principer och användning av komplexa funktioner. Det kan till exempel finnas principer som inkluderar WMI-filter, har komplexa organisationsenhetsstrukturer och använder arvsblockering, loopback eller säkerhetsfiltrering.

Hantera inställningar med Intune

Microsoft Intune har många inbyggda inställningar som kan konfigureras och distribueras till dina molnbaserade slutpunkter. När du flyttar till Intune för principhantering har du några alternativ.

Dessa alternativ är inte nödvändigtvis ömsesidigt uteslutande. Du kan migrera en delmängd av principer och börja nytt för andra.

• Alternativ 1: Starta nytt (rekommenderas): Intune har många inställningar för att konfigurera och hantera dina slutpunkter. Du kan skapa en princip, lägga till och konfigurera inställningar i principen och sedan distribuera principen.

  Många befintliga grupprinciper omfattar principer som kanske inte gäller för molnbaserade slutpunkter. Genom att börja om från början kan en organisation verifiera och förenkla sina befintliga framtvingade principer, samtidigt som äldre, bortglömda eller till och med skadliga principer elimineras. Intune har inbyggda mallar som grupperar gemensamma inställningar tillsammans, till exempel VPN, Wi-Fi, slutpunktsskydd med mera.

• Alternativ 2: Migrera: Det här alternativet innebär att lyfta befintliga principer och flytta dem till Intune-principmotorn. Det kan vara besvärligt och tidskrävande. Du kan till exempel ha många befintliga grupprinciper och det kommer att finnas skillnader med inställningar lokalt jämfört med i molnet.

  Om du väljer det här alternativet måste du granska och analysera dina befintliga grupprinciper och avgöra om de fortfarande behövs eller är giltiga på dina molnbaserade slutpunkter. Du vill eliminera onödiga principer, inklusive de principer som kan orsaka omkostnader, försämra systemets prestanda eller användarupplevelsen. Flytta inte dina grupprinciper till Intune förrän du vet vad de gör.

Intune-funktioner som du bör känna till

Intune har också inbyggda funktioner som kan hjälpa dig att konfigurera dina molnbaserade slutpunkter:

• Grupprincipanalys: Du kan importera dina grupprincipobjekt i administrationscentret för Microsoft Intune och köra en analys av principerna. Du kan se de principer som finns i Intune och se de principer som är inaktuella.

  Om du använder grupprincipobjekt är det ett värdefullt första steg att använda det här verktyget.

  Mer information finns i Grupprincipanalys i Intune.

• Inställningskatalog: Se alla inställningar som är tillgängliga i Intune och skapa, konfigurera & distribuera en princip med hjälp av de här inställningarna. Uppgifter som du kan utföra med hjälp av inställningskatalogen i Intune kan också vara en bra resurs. Om du skapar grupprincipobjekt är inställningskatalogen en naturlig övergång till molnbaserad slutpunktskonfiguration.

  I kombination med grupprincipanalys kan du distribuera de principer som du använde lokalt till dina molnbaserade slutpunkter.

  Mer information finns i Inställningskatalog i Intune.

• Administrativa mallar: Dessa mallar liknar de ADMX-mallar som används lokalt och är inbyggda i Intune. Du laddar inte ned dem. Dessa mallar innehåller många inställningar som styr funktioner i Microsoft Edge, Internet Explorer, Microsoft Office-appar, fjärrskrivbord, OneDrive, lösenord, PIN-koder med mera.

  Om du använder administrativa mallar lokalt är det en naturlig övergång att använda dem i Intune.

  Mer information finns i Administrativa mallar i Intune.

  Du kan också mata in en befintlig uppsättning ADMX-principer för Win32- och Desktop Bridge-appar. Mer information finns i:

  • Förstå ADMX-principer – Windows-klienthantering
  • Aktivera ADMX-principer i MDM – Windows-klienthantering
  • Win32- och Desktop Bridge-appen ADMX-principinmatning – Windows-klienthantering

  Obs!

  Från och med Windows 10 version 1703 utökades konfigurationsstödet för hantering av mobila enheter (MDM) för att tillåta åtkomst till den valda uppsättningen administrativa mallar för grupprinciper (ADMX-principer) för Windows-datorer med hjälp av CSP (Policy Configuration Service Provider). Att konfigurera ADMX-principer i PRINCIP-CSP skiljer sig från det vanliga sättet att konfigurera en traditionell MDM-princip.

• Säkerhetsbaslinjer: En säkerhetsbaslinje är en grupp förkonfigurerade Windows-inställningar. De hjälper dig att tillämpa och tillämpa detaljerade säkerhetsinställningar som rekommenderas av säkerhetsteamen. När du skapar en säkerhetsbaslinje kan du också anpassa varje baslinje för att endast framtvinga de inställningar som du vill använda.

  Du kan skapa en säkerhetsbaslinje för Windows, Microsoft Edge med mera. Om du inte är säker på var du ska börja eller vill ha de säkerhetsinställningar som rekommenderas av säkerhetsexperter kan du titta på säkerhetsbaslinjer.

  Mer information finns i Säkerhetsbaslinjer i Intune.

Använda Windows Autopilot för att etablera nya eller befintliga Windows-slutpunkter

Om du köper slutpunkter från en OEM-tillverkare eller partner bör du använda Windows Autopilot.

Några av fördelarna är:

• Inbyggd Installationsprocess för Windows: Den presenterar en varumärkesanpassad, guidad och förenklad slutanvändarupplevelse.

• Drop-ship-slutpunkter direkt till slutanvändare: Leverantörer och OEM-tillverkare kan skicka slutpunkter direkt till dina användare. Användarna får slutpunkterna, loggar in med sitt organisationskonto (user@contoso.com) och Windows Autopilot etablerar automatiskt slutpunkten.

  Den här funktionen hjälper till att begränsa omkostnader och kostnader som ingår i interna IT-processer och leverans med hög touch.

  För bästa resultat kan du förregistrera dina slutpunkter med OEM-tillverkare eller leverantörer. Förregistrering hjälper till att undvika fördröjningar som kan uppstå vid manuellt registrering av slutpunkter.

• Användarna kan själva återställa befintliga slutpunkter: Om användarna har befintliga Windows-slutpunkter kan de själva återställa enheterna. När de återställs återställs slutpunkterna till ett lägsta baslinjetillstånd och hanterat tillstånd. Det kräver inte en högkostnads-IT-åtgärd eller fysisk åtkomst till slutpunkten.

Obs!

Vi rekommenderar inte att du använder Windows Autopilot för att hybridansluta Microsoft Entra-anslutna nyligen etablerade slutpunkter. Det fungerar, men det finns vissa utmaningar. På nyligen etablerade slutpunkter använder du Windows Autopilot till Microsoft Entra-anslutning (inte Microsoft Entra-hybridanslutning).

För att avgöra vilken kopplingsmetod som passar din organisation går du till Microsoft Entra-ansluten jämfört med Hybrid Microsoft Entra-ansluten.

Mer information om Windows Autopilot finns i:

• Översikt över Windows Autopilot
• Scenarier och funktioner i Windows Autopilot
• Vanliga frågor och svar om Windows Autopilot

Följ vägledningen för molnbaserade slutpunkter

1. Översikt: Vad är molnbaserade slutpunkter?
2. Självstudie: Komma igång med molnbaserade Windows-slutpunkter
3. Koncept: Microsoft Entra-ansluten jämfört med Hybrid Microsoft Entra-ansluten
4. Koncept: Molnbaserade slutpunkter och lokala resurser
5. 🡺 Planeringsguide på hög nivå (du är här)
6. Kända problem och viktig information