Начало работы с развертыванием Microsoft Intune
Microsoft Intune — это облачная служба, которая помогает управлять устройствами и приложениями. Дополнительные сведения о том, что Microsoft Intune могут сделать для вашей организации, см. в статье Что такое Microsoft Intune.
В этой статье приводятся общие сведения о шагах по запуску развертывания Intune.
Совет
В дополнение к этой статье Центр администрирования Microsoft 365 также содержит некоторые рекомендации по настройке. Это руководство настраивает интерфейс в зависимости от среды. Чтобы получить доступ к этому руководству по развертыванию, перейдите к руководству по настройке Microsoft Intune в Центр администрирования Microsoft 365 и выполните вход с помощью глобального средства чтения (как минимум). Дополнительные сведения об этих руководствах по развертыванию и необходимых ролях см. в статье Дополнительные руководства по развертыванию для продуктов Microsoft 365 и Office 365.
Чтобы ознакомиться с рекомендациями без входа и активации функций автоматической установки, перейдите на портал установки M365.
Перед началом работы
Чтобы спланировать развертывание Intune, воспользуйтесь руководством по планированию перехода на Microsoft Intune. В ней рассматриваются личные устройства, рекомендации по лицензированию, создание плана развертывания, информирование пользователей об изменениях и многое другое.
Следующие статьи являются хорошими ресурсами:
Определите требования к лицензиям и другие предварительные требования для развертывания Intune. В следующем списке приведены некоторые из наиболее распространенных предварительных требований.
Подписка Intune: входит в состав некоторых подписок Microsoft 365. Вы также получите доступ к центру администрирования Microsoft Intune, который представляет собой веб-консоль для управления устройствами, приложениями и пользователями.
Приложения Microsoft 365: входят в состав Microsoft 365 и используются для приложений для повышения производительности, включая Outlook и Teams.
идентификатор Microsoft Entra: Microsoft Entra идентификатор используется для управления удостоверениями пользователей, групп и устройств. Он поставляется с вашей подпиской Intune и, возможно, подпиской На Microsoft 365.
Microsoft Entra идентификатор P1 или P2, который может стоить дополнительно, предоставляет дополнительные возможности, часто используемые организациями, включая условный доступ, многофакторную проверку подлинности (MFA) и динамические группы.
Windows Autopilot: входит в состав некоторых подписок На Microsoft 365. Windows Autopilot предоставляет современное развертывание ОС для Windows 10/11 клиентских устройств.
Предварительные требования для конкретной платформы. В зависимости от платформы устройств существуют и другие требования.
Например, если вы управляете устройствами iOS/iPadOS и macOS, вам потребуется push-сертификат Apple MDM и, возможно, токен Apple. Если вы управляете устройствами Android, может потребоваться управляемая учетная запись Google Play. При использовании проверки подлинности на основе сертификата может потребоваться сертификат SCEP или PKCS.
Дополнительные сведения см. в статьях:
Шаг 1. Настройка Intune
На этом шаге:
✔️ Убедитесь, что устройства поддерживаются, создайте клиент Intune, добавьте пользователей & группы, назначьте лицензии и многое другое.
Этот шаг посвящен настройке Intune и подготовке к управлению удостоверениями пользователей, приложениями и устройствами. Intune использует множество функций в идентификаторе Microsoft Entra, включая ваш домен, пользователей и группы.
Дополнительные сведения см. в разделе Шаг 1. Настройка Microsoft Intune.
Шаг 2. Добавление и защита приложений
На этом шаге:
✔️ На устройствах, которые будут зарегистрированы в Intune, создайте базовый план приложений, которые должны иметь устройства, а затем назначьте эти политики приложений во время регистрации. В приложениях, которым требуется дополнительная безопасность, также используйте политики защиты приложений.
✔️ На устройствах, которые не будут зарегистрированы в Intune, используйте политики защиты приложений и многофакторную проверку подлинности (MFA):
- политики защита приложений помогают защитить данные организации на личных устройствах.
- MFA помогает защитить данные организации от несанкционированного доступа.
Дополнительные сведения см. в разделе Шаг 2. Добавление, настройка и защита приложений с помощью Intune.
Каждая организация имеет базовый набор приложений, которые должны быть установлены на устройствах. Прежде чем пользователи регистрировать свои устройства, вы можете использовать Intune для назначения этих приложений своим устройствам. Во время регистрации политики приложений развертываются автоматически. После завершения регистрации приложения устанавливаются и готовы к использованию.
При желании вы можете зарегистрировать устройства, а затем назначить приложения. У вас широкий выбор. В следующий раз, когда пользователи проверка для новых приложений, они увидят новые доступные приложения.
Если пользователи с собственными личными устройствами получают доступ к ресурсам организации, необходимо как минимум защитить все приложения, которые обращаются к данным организации с помощью управления мобильными приложениями (MAM). Вы можете создавать политики MAM для Outlook, Teams, SharePoint и других приложений. Руководство по планированию Microsoft Intune содержит некоторые рекомендации по управлению личными устройствами.
Примечание.
MFA — это функция Microsoft Entra идентификатора, которую необходимо включить в клиенте Microsoft Entra. Затем настройте MFA для приложений. Дополнительные сведения см. в статьях:
Шаг 3. Проверка соответствия требованиям и включение условного доступа
На этом шаге:
✔️ Создайте базовый план политик соответствия требованиям , которые должны иметь устройства, а затем назначьте эти политики соответствия во время регистрации.
✔️ Включите условный доступ для применения политик соответствия требованиям.
Дополнительные сведения см. в разделе Шаг 3. Планирование политик соответствия требованиям.
Решения MDM, такие как Intune, могут задавать правила, которым должны соответствовать устройства, и сообщать о состоянии соответствия этих правил. Эти правила называются политиками соответствия. При объединении политик соответствия требованиям с условным доступом можно требовать, чтобы устройства соответствовали определенным требованиям безопасности, прежде чем они смогут получить доступ к данным вашей организации.
Когда пользователи регистрят свои устройства в Intune, процесс регистрации может автоматически развернуть политики соответствия. После завершения регистрации администраторы могут проверка состояние соответствия требованиям и получить список устройств, которые не соответствуют вашим правилам.
При желании вы можете зарегистрировать устройства перед проверкой соответствия требованиям. У вас широкий выбор. При следующем проверка Intune назначаются политики соответствия.
Примечание.
Условный доступ — это функция идентификатора Microsoft Entra, которую необходимо включить в клиенте Microsoft Entra. Затем можно создать политики условного доступа для удостоверений пользователей, приложений и устройств. Дополнительные сведения см. в статьях:
Шаг 4. Настройка функций устройства
На этом шаге:
✔️ Создайте базовые показатели функций безопасности и устройств , которые должны быть включены или заблокированы. Назначьте эти профили во время регистрации.
Дополнительные сведения см. в разделе Шаг 4. Создание профилей конфигурации устройств для защиты устройств и доступа к ресурсам организации.
В вашей организации может быть базовый набор устройств и функций безопасности, которые должны быть настроены или заблокированы. Эти параметры добавляются в конфигурацию устройства и профили безопасности конечных точек. Корпорация Майкрософт рекомендует назначать политики безопасности ключей и конфигурации устройств во время регистрации. При запуске регистрации профили конфигурации устройств назначаются автоматически. После завершения регистрации эти устройства и функции безопасности настраиваются.
При желании вы можете зарегистрировать устройства перед созданием профилей конфигурации. У вас широкий выбор. На следующем проверка Intune назначаются профили.
В Центре администрирования Microsoft Intune можно создавать различные профили на основе платформы устройства: Android, iOS/iPadOS, macOS и Windows.
Следующие статьи являются хорошими ресурсами:
- Применение параметров и функций на устройствах с помощью профилей устройств
- Использование каталога параметров для настройки параметров
- Управление безопасностью конечных точек в Microsoft Intune
- Базовые настройки безопасности Windows
Шаг 5. Регистрация устройств
На этом шаге:
✔️ Регистрация устройств в Intune.
Дополнительные сведения см. в разделе Шаг 5. Руководство по развертыванию. Регистрация устройств в Microsoft Intune.
Чтобы полностью управлять устройствами, устройства должны быть зарегистрированы в Intune, чтобы получить & соответствия политикам условного доступа, политикам приложений, политикам конфигурации устройств и политикам безопасности, которые вы создаете. Как администратор вы создаете политики регистрации для пользователей и устройств. Каждая платформа устройств (Android, iOS/iPadOS, Linux, macOS и Windows) имеет разные варианты регистрации. Вы выбираете, что лучше всего подходит для вашей среды, сценариев и способа использования устройств.
В зависимости от выбранного варианта регистрации пользователи могут зарегистрироваться самостоятельно. Кроме того, вы можете автоматизировать регистрацию, чтобы пользователям нужно было войти на устройство только с помощью учетной записи организации.
При регистрации устройства ей выдается безопасный сертификат MDM. Этот сертификат используется для обмена данными со службой Intune.
Разные платформы имеют разные требования к регистрации. Следующие статьи помогут вам узнать больше о регистрации устройств, включая рекомендации для конкретной платформы:
- Что такое регистрация устройств в Intune?
- Возможности управления зарегистрированными устройствами в Microsoft Intune
- Руководство по развертыванию: регистрация устройств в Microsoft Intune
- Руководство по развертыванию. Регистрация устройств Android
- Руководство по развертыванию. Регистрация устройств iOS/iPadOS
- Руководство по развертыванию. Регистрация настольных устройств Linux
- Руководство по развертыванию. Регистрация устройств macOS
- Руководство по развертыванию. Регистрация устройств Windows
Облачное подключение с помощью Configuration Manager
Microsoft Configuration Manager помогает защитить локальные серверы Windows Server, устройства, приложения и данные. Если вам нужно управлять сочетанием облачных и локальных конечных точек, вы можете подключить Configuration Manager среду к Intune.
Если вы используете Configuration Manager, необходимо выполнить два шага по подключению локальных устройств к облаку.
Присоединение клиента. Зарегистрируйте клиент Intune в развертывании Configuration Manager. Устройства Configuration Manager отображаются в Центре администрирования Microsoft Intune. На этих устройствах можно выполнять различные действия, включая установку приложений и выполнение сценариев Windows PowerShell с помощью веб-центра администрирования Intune.
Совместное управление. Управление клиентскими устройствами Windows с помощью Configuration Manager и Microsoft Intune. Configuration Manager управляет некоторыми рабочими нагрузками, а Intune — другими.
Например, можно использовать Configuration Manager для управления обновлениями Windows, а Intune — для управления соответствием & политикам условного доступа.
Если в настоящее время вы используете Configuration Manager, вы получите немедленное значение через присоединение клиента и получите больше ценности благодаря совместному управлению.
Инструкции по настройке Microsoft Intune, подходящей для вашей организации, см. в статье Руководство по развертыванию: настройка или переход к Microsoft Intune.
Дальнейшие действия
- Шаг 1. Настройка Microsoft Intune
- Шаг 2. Добавление, настройка и защита приложений с помощью Intune
- Шаг 3. Планирование политик соответствия требованиям
- Шаг 4. Настройка функций и параметров устройства для защиты устройств и доступа к ресурсам организации
- Шаг 5. Руководство по развертыванию. Регистрация устройств в Microsoft Intune
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по