Руководство. Настройка облачных конечных точек Windows с помощью Microsoft Intune

В этом пошаговом руководстве показано, как настроить облачную конечную точку Windows с помощью Microsoft Intune и Windows Autopilot. Облачная конечная точка Windows (иногда написанная как облачная собственная Windows) Microsoft Entra присоединена, зарегистрирована в Microsoft Intune и управляется полностью из облака— не требуется ни присоединение к домену Active Directory, ни локальная инфраструктура.

К концу этого руководства вы получите полностью настроенное устройство Windows, которое:

  • Microsoft Entra присоединены и зарегистрированы в Microsoft Intune
  • Защита с помощью антивирусной программы Microsoft Defender, шифрования BitLocker, Windows LAPS и базовых показателей безопасности
  • Подготовлено с помощью Windows Autopilot с приложениями Microsoft 365, перемещением известных папок OneDrive и Корпоративный портал
  • Готовы к масштабированию до остальной части вашего парка Windows

Дополнительные сведения см. в разделах Что такое облачные конечные точки? и Как спланировать реализацию Microsoft Entra присоединения.

Совет

При чтении об облачных собственных конечных точках вы увидите следующие термины:

  • Конечная точка: конечная точка — это устройство, такое как мобильный телефон, планшет, ноутбук или настольный компьютер. "Конечные точки" и "устройства" взаимозаменяемы.
  • Управляемые конечные точки: конечные точки, которые получают политики от организации с помощью решения MDM или объектов групповой политики. Эти устройства обычно принадлежат организации, но также могут быть BYOD или личными устройствами.
  • Облачные собственные конечные точки: конечные точки, присоединенные к Microsoft Entra. Они не присоединены к локальной AD.
  • Рабочая нагрузка: любая программа, служба или процесс.

Начало работы

Выполните пять этапов по порядку— каждый из них строится на предыдущем.

Пять этапов настройки облачных конечных точек Windows с помощью Microsoft Intune и Windows Autopilot.

Этап Цель
Этап 1 . Настройка среды Подготовка клиента, тестового устройства и базовых политик Autopilot
Этап 2 . Создание облачной конечной точки Windows Подготовка первой конечной точки с помощью Autopilot
Этап 3 . Защита облачной конечной точки Windows Применение безопасности конечных точек: Defender, BitLocker, LAPS, базовые показатели, обновления
Этап 4 . Применение настроек и проверка локальной конфигурации Добавление приложений, параметров и миграция из групповая политика
Этап 5 . Масштабирование развертывания с помощью Windows Autopilot Масштабирование подготовки для вашего автопарка с помощью регистрации OEM, пользователей и кругов развертывания

После развертывания конечных точек используйте раздел Мониторинг облачных конечных точек Windows, чтобы проверить состояние политики, приложения и соответствия в Центре администрирования Intune в рамках текущих операций.

Этап 1. Настройка среды.

Перед созданием первой облачной конечной точки Windows необходимо проверить выполнение основных требований и применить необходимые настройки. Этот этап включает проверку требований, настройку Windows Autopilot и создание определенных параметров и приложений.

Шаг 1. Требования к сети.

Облачной конечной точке Windows потребуется доступ к нескольким интернет-службам. Начните тестирование по открытой сети. Или воспользуйтесь вашей корпоративной сетью, предоставив доступ ко всем конечным точкам, перечисленным в разделе Требования Windows Autopilot к сети.

Если для подключения к беспроводной сети требуются сертификаты, можно начать тестирование по сети Ethernet, пока не будет определен наилучший подход к реализации подключений к беспроводной сети для подготовки устройств.

Шаг 2. Регистрация и лицензирование.

Прежде чем присоединиться к Microsoft Entra и зарегистрироваться в Intune, необходимо проверка несколько вещей. Вы можете создать новую группу Microsoft Entra, например имя Intune пользователи MDM. Затем добавьте в нее тестовые учетные записи пользователей и выберите каждую из следующих конфигураций в этой группе, чтобы ограничить количество пользователей, которые могут регистрировать устройство, пока вы настраиваете конфигурацию. Чтобы создать группу Microsoft Entra, перейдите в раздел Управление группами Microsoft Entra и членством в группах.

  • Ограничения регистрации Ограничения регистрации позволяют контролировать, какие типы устройств можно регистрировать в управлении с помощью Intune. Для успешного использования этого руководства убедитесь, что разрешена регистрация Windows (MDM). Такая конфигурация используется по умолчанию.

    Сведения о настройке ограничений регистрации см. в статье Настройка ограничений регистрации в Microsoft Intune.

  • Microsoft Entra параметры MDM устройства При присоединении устройства Windows к Microsoft Entra можно настроить Microsoft Entra, чтобы сообщить устройствам об автоматической регистрации с помощью MDM. Эта конфигурация необходима для работы Windows Autopilot.

    Чтобы проверка параметры MDM устройства Microsoft Entra включены правильно, перейдите к краткому руководству. Настройка автоматической регистрации в Intune.

  • Microsoft Entra фирменной символики компании. Добавление корпоративного логотипа и изображений в Microsoft Entra гарантирует, что пользователи увидят знакомый и согласованный внешний вид при входе в Microsoft 365. Эта конфигурация необходима для работы Windows Autopilot.

    Сведения о настройке пользовательской фирменной символики в Microsoft Entra см. в статье Добавление фирменной символики на страницу входа в Microsoft Entra организации.

  • Лицензирования Пользователям, регистритующим устройства с Windows из функции запуска (OOBE) в Intune требуются две ключевые возможности.

    Пользователям требуются следующие лицензии:

    • Лицензия на Microsoft Intune или Microsoft Intune для образовательных учреждений
    • Один из следующих вариантов лицензий с поддержкой автоматической регистрации MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune для образовательных учреждений

    Сведения о назначении лицензий см. в статье Назначение лицензий Microsoft Intune.

    Примечание.

    Оба типа лицензий обычно входят в состав пакетов лицензирования, таких как Microsoft 365 E3 (или A3) и более новые. Сравнение лицензий Microsoft 365 см. здесь.

Шаг 3. Импорт тестового устройства.

Для тестирования собственной облачной конечной точки Windows необходимо подготовить виртуальную машину или физическое устройство к тестированию. На следующих шагах мы соберем сведения об устройстве и отправим их в службу Windows Autopilot для использования на более позднем этапе, который описан ниже в этой статье.

Примечание.

Приведенные ниже шаги описывают способ импортировать устройство для тестирования. При этом партнеры и OEM-производители могут импортировать устройства в Windows Autopilot от вашего имени в процессе покупки. Дополнительные сведения о Windows Autopilot на этапе 5.

  1. Установите Windows на виртуальной машине или сбросьте физическое устройство, чтобы оно ожидало на экране настройки OOBE. Также можно создать контрольную точку для виртуальной машины.

  2. Выполните необходимые действия для подключения к Интернету.

  3. Откройте командную строку, нажав сочетание клавиш SHIFT+F10 на клавиатуре.

  4. Убедитесь в наличии доступа к Интернету, отправив эхо-запрос к сайту bing.com:

    • ping bing.com

  5. Переключитесь в PowerShell, выполнив следующую команду:

    • powershell.exe

  6. Скачайте сценарий Get-WindowsAutopilotInfo, выполнив следующие команды.

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. При запросе введите Y, чтобы принять.

  8. Введите следующую команду:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Примечание.

    Теги групп позволяют создавать динамические Microsoft Entra группы на основе подмножества устройств. Теги групп можно настроить при импорте устройств, их также можно позднее изменить в центре администрирования Microsoft Intune. Мы используем тег группы CloudNative на шаге 4. Для тестирования вы можете использовать любое другое имя тега.

  9. При запросе учетных данных войдите, используя учетную запись администратора Intune.

  10. Оставьте компьютер в состоянии первого включения до этапа 2.

Шаг 4. Создание динамической группы Microsoft Entra для устройства

Чтобы ограничить конфигурации из этого руководства тестовых устройств, импортируемых в Windows Autopilot, создайте динамическую группу Microsoft Entra. В эту группу должны быть автоматически включены устройства, которые импортируются в Windows Autopilot и имеют групповой тег CloudNative. Затем можно применить все ваши конфигурации и приложения к этой группе.

  1. Откройте Центр администрирования Microsoft Intune.

  2. Выберите Группы>Новая группа. Введите следующие сведения:

    • Тип группы: выберите Безопасность.
    • Имя группы: введите Autopilot Cloud-Native Конечные точки Windows.
    • Тип членства: выберите Динамическое устройство.

  3. Выберите Добавить динамический запрос.

  4. В разделе Синтаксис правил выберите Изменить.

  5. Вставьте следующий текст:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Нажмите ОК>Сохранить>Создать.

Совет

Заполнение динамических групп после их изменения занимает несколько минут. В крупных организациях это может занять больше времени. Создав новую группу, подождите несколько минут, затем убедитесь, что устройство теперь входит в состав этой группы.

Дополнительные сведения о динамических группах для устройств см. в статье Правила для устройств.

Шаг 5. Настройка страницы состояния регистрации.

Страница состояния регистрации (ESP) — это механизм, с помощью которого ИТ-специалисты управляют интерфейсом конечных пользователей при подготовке конечных точек. См. Настройка страницы состояния регистрации Чтобы ограничить область страницы состояния регистрации, можно создать новый профиль и выбрать группу Autopilot Cloud-Native конечных точек Windows, созданную на предыдущем шаге Создание динамической группы Microsoft Entra для устройства.

  • Для тестирования мы рекомендуем использовать следующие параметры (вы можете изменить их по мере необходимости):

    Параметр Значение
    Отображать ход настройки приложений и профилей Да
    Отображать страницу только на устройствах, которые были подготовлены для первого запуска (OOBE) Да (по умолчанию)

Шаг 6. Создание и назначение профиля Windows Autopilot

Теперь можно создать профиль Windows Autopilot и назначить его тестовому устройству. Этот профиль сообщает устройству о присоединении Microsoft Entra и о том, какие параметры следует применить во время запуска запуска.

  1. Откройте Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Подключение устройств>Регистрация Windows>> Windows AutopilotDeployment Profiles (Профили развертыванияWindows Autopilot>).

  3. Выберите Создать профиль>Компьютер с Windows.

  4. Введите имя Autopilot Cloud-Native Конечные точки Windows, а затем нажмите кнопку Далее.

  5. В параметрах готового интерфейса (OOBE) подтвердите следующие ключевые значения и нажмите кнопку Далее:

    Параметр Значение
    Режим развертывания Управляемый пользователем
    Присоединение к Microsoft Entra ID как Microsoft Entra присоединено
    Тип учетной записи пользователя Standard
    Применить шаблон имени устройства Необязательный параметр. Шаблон именования, например CloudPC-%SERIAL% , упрощает идентификацию устройств в Центре администрирования.

    Важно!

    Настройка типа учетной записи пользователяStandard рекомендуется для обеспечения безопасности. Это предотвращает установку неутвержденного программного обеспечения пользователями и снижает вероятность атаки на облачных конечных точках.

  6. Оставьте теги области и нажмите кнопку Далее.

  7. Назначьте профиль созданной группе Microsoft Entra с именем Autopilot Cloud-Native Конечные точки Windows, нажмите кнопку Далее, а затем выберите Создать.

Шаг 7. Синхронизация устройств Windows Autopilot

Синхронизация службы Windows Autopilot производится несколько раз в день. Также можно немедленно запустить синхронизацию, чтобы подготовить устройство к тестированию. Немедленная синхронизация:

  1. Откройте Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Подключение устройств>Регистрация>Windows>Autopilot>Устройства.

  3. Выберите Синхронизировать.

Синхронизация занимает несколько минут и продолжается в фоновом режиме. После завершения синхронизации в состоянии профиля для импортированного устройства будет указано Назначено.

Шаг 8. Настройка параметров для оптимальной работы Microsoft 365.

Мы выбрали несколько параметров для настройки. Эти параметры демонстрируют оптимальные возможности для конечных пользователей Microsoft 365 на собственном облачном устройстве с Windows. Эти параметры настраиваются с помощью профиля каталога параметров конфигурации устройства. Дополнительные сведения см. в статье Создание политики с помощью каталога параметров в Microsoft Intune.

После создания профиля и добавления параметров назначьте его группе Autopilot Cloud-Native Конечные точки Windows , созданной ранее.

  • Microsoft Outlook . Чтобы улучшить интерфейс первого запуска в Microsoft Outlook, следующий параметр автоматически настраивает профиль при первом открытии Outlook.

    Категория "Настройка" Параметр Значение
    Microsoft Outlook 2016\Параметры учетной записи\Exchange (параметр пользователя) Автоматическая настройка только первого профиля на основе основного SMTP-адреса Active Directory Enabled

  • Microsoft Edge . Чтобы улучшить интерфейс первого запуска для Microsoft Edge, следующие параметры настраивают Microsoft Edge для синхронизации параметров пользователя и пропуска первого запуска.

    Категория "Настройка" Параметр Значение
    Microsoft Edge Скрытие интерфейса первого запуска и экрана-заставки Enabled
      Принудительная синхронизация данных браузера и не отображайте запрос согласия на синхронизацию Enabled

  • Microsoft OneDrive . Чтобы улучшить интерфейс первого входа, следующие параметры настраивают Microsoft OneDrive для автоматического входа и перенаправления "Рабочий стол", "Изображения" и "Документы" в OneDrive. Также рекомендуется использовать файлы по запросу (FOD). Он включен по умолчанию и не включен в следующий список. Дополнительные сведения о рекомендуемой конфигурации для приложения приложение синхронизации OneDrive см. в статье Рекомендуемая конфигурация приложения синхронизации для Microsoft OneDrive.

    Категория "Настройка" Параметр Значение
    OneDrive Автоматически выполнять вход пользователей в приложение синхронизации OneDrive с помощью учетных данных Windows Enabled
      Перемещать известные папки Windows в OneDrive без предупреждения Enabled

    Примечание.

    Дополнительные сведения см. в статье Перенаправление известных папок.

На следующем снимке экрана показан пример профиля каталога параметров, в котором настроены все рекомендуемые параметры:

Снимок экрана: пример профиля каталога параметров в Microsoft Intune.

Шаг 9. Создание и назначение приложений

Для собственной облачной конечной точки потребуются приложения. Чтобы начать работу, рекомендуем настроить следующие приложения и применить их к созданной ранее группе Собственные облачные конечные точки Windows Autopilot.

  • Приложения Microsoft 365 (ранее Office 365 профессиональный плюс) — Приложения Microsoft 365, такие как Word, Excel и Outlook, можно легко развернуть на устройствах с помощью встроенного профиля приложений Microsoft 365 для Windows в Intune.

    • Выберите формат параметров Конструктор конфигурации, а не XML.
    • Выберите канал обновления Актуальный канал.

    Сведения о развертывании Приложений Microsoft 365 см. в статье Добавление Приложений Microsoft 365 на устройства с Windows с помощью Microsoft Intune

  • приложение Корпоративный портал. Рекомендуется развернуть приложение Корпоративный портал Intune на всех устройствах в качестве обязательного приложения. Приложение "Корпоративный портал" представляет собой центр самообслуживания для пользователей, с помощью которого они могут устанавливать приложения из различных источников, таких как Intune, Microsoft Store и Configuration Manager. С помощью приложения "Корпоративный портал" пользователи также синхронизируют свои устройства с Intune, проверяют состояние соответствия требованиям и т. п.

    Чтобы развернуть Корпоративный портал, как требуется, см. раздел Добавление и назначение приложения корпоративного портала Windows для управляемых устройств Intune.

  • Приложение Microsoft Store (доска). Хотя Intune могут развертывать самые разнообразные приложения, мы развертываем приложение магазина (Доска Майкрософт), чтобы упростить работу с этим руководством. Выполните действия из статьи Добавление приложений Microsoft Store в Microsoft Intune, чтобы установить приложение Microsoft Whiteboard.

Далее: Этап 2. Создание облачной конечной точки Windows

Этап 2. Создание облачной конечной точки Windows

Чтобы создать первую облачную конечную точку Windows, используйте ту же виртуальную машину или физическое устройство, которое вы собрали, а затем отправили хэш оборудования в службу Windows Autopilot на этапе 1, шаг 3. Импорт тестового устройства. Пройдите процесс Windows Autopilot на этом устройстве.

  1. Возобновите работу компьютера с Windows из состояния первого включения (OOBE). При необходимости сбросьте компьютер.

    Примечание.

    Если вам будет предложено выбрать настройку для личной или организации, процесс Windows Autopilot не запускается. В этом случае перезапустите устройство и убедитесь, что у него есть доступ к Интернету. Если оно по-прежнему не работает, попробуйте сбросить компьютер или переустановить Windows.

  2. Войдите с Microsoft Entra учетными данными (имя участника-пользователя или AzureAD\username).

  3. Страница состояния регистрации показывает состояние конфигурации устройства.

Поздравляем! Вы подготовили первую облачную конечную точку Windows!

Проверка конечной точки

Перед переходом к этапу 3 проверьте следующие задачи на новом устройстве:

  • Папки OneDrive ("Рабочий стол", "Документы", "Рисунки") перенаправляются и синхронизируются.
  • Outlook откроется и автоматически настраивает профиль Microsoft 365.
  • Корпоративный портал установлена и доступна доска Майкрософт.
  • Вы можете войти с помощью учетных данных Microsoft Entra и получить доступ к облачным ресурсам.
  • При необходимости доступны локальные ресурсы (общие папки, сайты интрасети, принтеры).

Если вам будет предложено ввести пароль при использовании Windows Hello для доступа к локальным ресурсам, Windows Hello для бизнеса гибридная среда еще не настроена. Вы можете продолжить тестирование, щелкнув значок клавиши на экране входа и указав вместо этого имя пользователя и пароль. Дополнительные сведения см. в разделе Windows Hello для бизнеса hybrid.

Далее: Этап 3. Защита облачной конечной точки Windows

Этап 3. Защита собственной облачной конечной точки Windows

Этот этап предназначен для создания параметров безопасности в вашей организации. В этом разделе мы будем заниматься различными компонентами Endpoint Security в Microsoft Intune, включая следующие:

Антивирусная программа в Microsoft Defender (MDAV)

Следующие параметры рекомендуется использовать в качестве минимальной конфигурации для антивирусной программы в Microsoft Defender — встроенного компонента операционной системы Windows. Эти параметры не требуют какого-либо специального лицензионного соглашения, такого как E3 или E5, и их можно включить в центре администрирования Microsoft Intune.

В Центре администрирования перейдите в раздел Endpoint Security>Антивирус>Создать политику>Windows или более поздняя версия>Тип профиля = Антивирус Microsoft Defender.

Defender:

  • Разрешить мониторинг поведения: разрешено. Включает мониторинг поведения в режиме реального времени.
  • Разрешить облачную защиту: разрешено. Включает облачную защиту.
  • Разрешить сканирование Email: разрешено. Включает проверку электронной почты.
  • Разрешить сканирование всех скачанных файлов и вложений: разрешено.
  • Разрешить мониторинг в режиме реального времени: разрешено. Включает и запускает службу мониторинга в режиме реального времени.
  • Разрешить сканирование сети Files: разрешено. Сканирует сетевые файлы.
  • Разрешить сканирование скриптов: разрешено.
  • Расширенное время ожидания облака: 50
  • Количество дней для хранения очищенных вредоносных программ: 30
  • Включение защиты сети: включено (режим аудита)
  • Защита от pua: защита от pua в. Обнаруженные элементы блокируются. Они будут отображаться в истории вместе с другими угрозами.
  • Направление сканирования в режиме реального времени: мониторинг всех файлов (двунаправленный).
  • Отправка примеров Согласие: автоматическая отправка безопасных примеров.
  • Разрешить защиту доступа: разрешено.
  • Действие по исправлению серьезных угроз: карантин. Перемещает файлы в карантин.
  • Действие по исправлению угрозы с низкой степенью серьезности: карантин. Перемещает файлы в карантин.
  • Действие по исправлению угроз средней серьезности: карантин. Перемещает файлы в карантин.
  • Действие по исправлению угроз с высоким уровнем серьезности: карантин. Перемещает файлы в карантин.

Дополнительные сведения о конфигурации Защитника Windows, включая Microsoft Defender для конечной точки для клиентов с лицензиями E3 и E5, можно найти в следующих статьях:

Брандмауэр в Microsoft Defender

Используйте Endpoint Security в Microsoft Intune для настройки брандмауэра и правил брандмауэра. Дополнительные сведения см. в статье Политика брандмауэра для обеспечения безопасности конечных точек в Intune.

Брандмауэр Microsoft Defender может обнаружить доверенную сеть с помощью NetworkListManager CSP. Кроме того, он может переключиться на профиль брандмауэра домена на конечных точках под управлением Windows.

Использование профиля сети домена позволяет разделить правила брандмауэра на основе доверенной сети, частной сети и общедоступной сети. Эти параметры можно применить с помощью пользовательского профиля Windows.

Примечание.

Microsoft Entra присоединенные конечные точки не могут использовать ПРОТОКОЛ LDAP для обнаружения подключения к домену так же, как это делают конечные точки, присоединенные к домену. Вместо этого используйте поставщик служб CSP NetworkListManager , чтобы указать конечную точку TLS, которая при ее доступности переключает конечную точку в профиль брандмауэра домена .

Шифрование BitLocker

Используйте Endpoint Security в Microsoft Intune, чтобы настроить шифрование с помощью BitLocker.

Эти параметры можно включить в центре администрирования Microsoft Intune. В Центре администрирования перейдите в раздел Безопасность конечных точек>Управление шифрованием>>дискаСоздание политики>Windows и более поздних версий>Профиль = BitLocker.

При настройке следующих параметров BitLocker они автоматически обеспечивают 128-битное шифрование для обычных пользователей, что является распространенным сценарием. Однако у организации могут быть другие требования безопасности. Сведения о дополнительных параметрах см. в документации BitLocker.

Категория "Настройка" Параметр Значение
BitLocker Требовать шифрование устройства Enabled
  Разрешить предупреждение для другого шифрования диска Disabled
  Разрешить шифрование пользователей Standard Enabled
  Настройка смены паролей восстановления Обновление для устройств, присоединенных к Azure AD
Шифрование диска BitLocker Выбор метода шифрования диска и надежности шифра Not Configured
  Предоставлять уникальные идентификаторы для организации Not Configured
Диски операционной системы Применить тип шифрования диска к дискам операционной системы Enabled
  Выберите тип шифрования (устройство) Шифрование только используемого пространства
  Требовать дополнительную проверку подлинности при запуске Enabled
  Разрешить BitLocker без совместимого доверенного платформенного модуля (требуется пароль или ключ запуска на USB-устройстве флэш-памяти) False
  Настройка ключа запуска доверенного платформенного модуля и ПИН-кода Разрешение ключа запуска и ПИН-кода с помощью доверенного платформенного модуля
  Настройка ключа запуска доверенного платформенного модуля Разрешение ключа запуска с TPM
  Настройка ПИН-кода запуска доверенного платформенного модуля Разрешить ПИН-код запуска с доверенным платформенный модуль
  Настройка запуска доверенного платформенного модуля Требовать TPM
  Настройка минимальной длины ПИН-кода для запуска Не настроено
  Разрешить улучшенные ПИН-коды при запуске Не настроено
  Запретить обычным пользователям изменять ПИН-код или пароль Не настроено
  Разрешить устройствам, совместимым с InstantGo или HSTI, отказаться от пин-кода перед загрузкой Не настроено
  Включить использование проверки подлинности BitLocker, требующей предзагрузочного ввода с клавиатуры на планшетах Не настроено
  Выбор способа восстановления дисков операционной системы, защищенных BitLocker Enabled
  Настройка пользовательского хранилища сведений о восстановлении BitLocker Требовать пароль восстановления из 48 цифр
  Разрешить агент восстановления данных False
  Настройка хранения сведений о восстановлении BitLocker в AD DS Хранение паролей восстановления и пакетов ключей
  Не включайте BitLocker, пока сведения о восстановлении не будут сохранены в AD DS для дисков операционной системы. True
  Опустить параметры восстановления в мастере настройки BitLocker True
  Сохранение сведений о восстановлении BitLocker в AD DS для дисков операционной системы True
  Настройка сообщения и URL-адреса восстановления перед загрузкой Не настроено
Фиксированные диски с данными Применить тип шифрования диска к несъемным дискам с данными Enabled
  Выберите тип шифрования: (Устройство) Разрешить пользователю выбирать (по умолчанию)
  Выбор способа восстановления фиксированных дисков, защищенных BitLocker Enabled
  Настройка пользовательского хранилища сведений о восстановлении BitLocker Требовать пароль восстановления из 48 цифр
  Разрешить агент восстановления данных False
  Настройка хранения сведений о восстановлении BitLocker в AD DS Пароли восстановления резервных копий и пакеты ключей
  Не включайте BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS для фиксированных дисков с данными True
  Опустить параметры восстановления в мастере настройки BitLocker True
  Сохранение сведений о восстановлении BitLocker в AD DS для фиксированных дисков с данными True
  Запрет доступа на запись на фиксированные диски, не защищенные BitLocker Не настроено
Съемные диски с данными Управление использованием BitLocker для съемных дисков Enabled
  Разрешить пользователям применять защиту BitLocker на съемных дисках с данными (устройство) False
  Разрешить пользователям приостанавливать и расшифровывать защиту BitLocker на съемных дисках с данными (устройство) False
  Запрет доступа на запись к съемным дискам, не защищенным BitLocker Не настроено

Диспетчер паролей локальных администраторов Windows (LAPS)

По умолчанию встроенная учетная запись локального администратора (известный SID S-1-5-500) отключена. В некоторых сценариях локальная учетная запись администратора может оказаться полезной, например для устранения неполадок, поддержки конечных пользователей и восстановления устройства. Если вы решите включить встроенную учетную запись администратора или создать новую учетную запись локального администратора, важно защитить пароль для этой учетной записи.

Решение для паролей локального администратора Windows (LAPS) — это одна из функций, которые можно использовать для случайной выборки и безопасного хранения пароля в Microsoft Entra. Если вы используете Intune в качестве службы MDM, выполните следующие действия, чтобы включить Windows LAPS.

Важно!

Windows LAPS предполагает, что локальная учетная запись администратора по умолчанию включена, даже если она переименована или если вы создаете другую локальную учетную запись администратора. Windows LAPS не создает и не включает локальные учетные записи, если вы не настроите автоматический режим управления учетными записями.

Необходимо создать или включить любые локальные учетные записи отдельно от настройки Windows LAPS. Эту задачу можно создать на скрипте или использовать поставщиков служб конфигурации (CSP), например CSP учетных записей или поставщик служб CSP политик.

  1. Убедитесь, что на устройствах Windows установлено обновление для системы безопасности за апрель 2023 г. (или более поздней версии).

    Дополнительные сведения см. в разделе Microsoft Entra обновления операционной системы.

  2. Включите Windows LAPS в Microsoft Entra:

    1. Войдите в Microsoft Entra.
    2. Для параметра Включить Диспетчер паролей локальных администраторов (LAPS) выберите Да>Сохранить (вверху страницы).

    Дополнительные сведения см. в статье Включение Windows LAPS с помощью Microsoft Entra.

  3. В Intune создайте политику безопасности конечной точки:

    1. Войдите в Центр администрирования Microsoft Intune.
    2. Выберите Endpoint Security>Account Protection>Create Policy>Windows>Local admin password solution (Windows LAPS)Create (Create).>

    Дополнительные сведения см. в разделе Создание политики LAPS в Intune.

Базовые параметры безопасности

С помощью базовых конфигураций безопасности можно применять наборы конфигураций, заведомо укрепляющих безопасность конечных точек с Windows. Дополнительные сведения о базовых конфигурациях безопасности см. в статье Параметры базовых конфигураций безопасности Windows MDM для Intune.

Можно применять базовые конфигурации безопасности с помощью рекомендуемых параметров и настраивать в соответствии с вашими требованиями. Некоторые параметры в базовых конфигурациях безопасности могут приводить к неожиданным результатам или быть несовместимыми с приложениями и службами, запущенными в конечных точка с Windows. В результате базовые показатели следует тестировать изолированно. Базовую конфигурацию необходимо применять только к отдельной группе тестовых конечных точек без каких-либо других профилей конфигурации и параметров.

Известные проблемы базовых конфигураций безопасности

Следующие параметры базовой конфигурации безопасности Windows могут вызвать неполадки в Windows Autopilot или проблемы при попытке установить приложения от имени обычного пользователя:

  • Параметры безопасность локальных политик\Поведение запроса на повышение прав администратора (по умолчанию: запрашивать согласие на безопасном рабочем столе)
  • Поведение запроса на повышение прав обычного пользователя (по умолчанию: автоматически отклонять запросы на повышение прав)

Дополнительные сведения см. в статье Устранение конфликтов политик с Windows Autopilot.

политики клиента клиентский компонент Центра обновления Windows

клиентский компонент Центра обновления Windows клиентские политики — это облачная технология для управления установкой обновлений на устройствах. В Intune клиентский компонент Центра обновления Windows клиентские политики можно настроить с помощью:

Дополнительные сведения см. в статьях:

Совет

Для облачных сред рекомендуется использовать автоматическое исправление Windows. Автоматическое исправление автоматизирует управление кругом обновлений и создание отчетов, избавляя от необходимости вручную настраивать периоды отсрочки и крайние сроки. Он входит в состав Microsoft Intune и является рекомендуемым подходом для организаций, которым нужны полностью автоматизированные обновления Windows на основе политик с минимальными затратами администратора.

Политика соответствия требованиям

Политика соответствия сообщает о работоспособности облачных конечных точек Windows, например о том, включен ли BitLocker, включена ли безопасная загрузка и Microsoft Defender работает антивирусная программа. Политика также является основой для условного доступа, поэтому вы можете запретить несоответствующим устройствам доступ к ресурсам организации.

Чтобы создать политику соответствия Требованиям Windows, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Пункт Соответствие устройств>>Создать политику.

  3. В поле Платформа выберите Windows 10 и более поздних версий>Создать.

  4. В разделе Основные сведения введите имя политики и нажмите кнопку Далее.

  5. В разделе Параметры соответствия настройте следующие рекомендуемые значения и нажмите кнопку Далее:

    Категория "Настройка" Параметр Значение
    Работоспособность устройств Требуется BitLocker Обязательность
      Требовать включения безопасной загрузки на устройстве Обязательность
      Требовать целостность кода Обязательность
    Безопасность системы Брандмауэр Обязательность
      антивирусная программа Обязательность
      антишпионское ПО; Обязательность
      Требовать пароль для разблокировки мобильных устройств Обязательность
      Простые пароли Блокировка
      тип пароля; Буквенно-цифровой
      Минимальная длина пароля 14
      Максимальное время бездействия (в минутах), по истечении которого запрашивается пароль 1 минута
      Срок действия пароля (дней) 365
      число предыдущих паролей для запрета повторного использования; 5
    Defender Антивредоносная программа в Microsoft Defender Обязательность
      актуальность механизма обнаружения угроз антивредоносного ПО в Microsoft Defender Обязательность
      защита в режиме реального времени; Обязательность

    Совет

    Корпорация Майкрософт и текущее руководство NIST больше не рекомендуют периодический срок действия пароля. Базовые показатели безопасности Windows удалили срок действия пароля в 2019 году. Для облачных конечных точек самым надежным является перемещение пользователей на вход без пароля с помощью Windows Hello для бизнеса и ключей безопасности FIDO2 и блокировка ненадежных паролей с помощью защиты паролей Microsoft Entra. Измените приведенные выше значения в соответствии с политикой вашей организации. Дополнительные сведения см. в статье Проверка подлинности без пароля с помощью Microsoft Intune.

  6. В разделе Действия для несоответствия установите для параметра Пометить устройство несоответствующее расписание 1 день (или другой льготный период, соответствующий вашей организации).

    Совет

    При использовании условного доступа настройте льготный период, чтобы несоответствующие устройства сразу же не потеряли доступ к ресурсам организации. Вы также можете добавить действие для пользователей электронной почты с инструкциями для получения соответствия.

  7. Назначьте политику группе Конечные точки Windows Autopilot Cloud-Native из шага 4. Создание динамической группы Microsoft Entra для устройства.

Дополнительные сведения о параметрах соответствия требованиям Windows см. в статье Параметры соответствия устройств Windows в Microsoft Intune.

Условный доступ

Условный доступ в Microsoft Entra использует сигнал соответствия от Intune, чтобы разрешить или заблокировать доступ к ресурсам организации. Наиболее распространенным шаблоном, ориентированным на облако, является требование соответствующего устройства для приложений Microsoft 365 и других облачных служб. Этот шаблон гарантирует, что только управляемые Intune и работоспособные устройства могут получить доступ к вашим данным.

Типичные облачные базовые показатели условного доступа включают:

  • Требовать многофакторную проверку подлинности для всех пользователей.
  • Требовать соответствующее устройство (или гибридное устройство, присоединенное к Microsoft Entra) для облачных приложений.
  • Блокировать устаревшие протоколы проверки подлинности .

Важно!

Сначала протестируйте политики условного доступа в пилотной группе. Неправильно настроенная политика может блокировать администраторов из Центр администрирования Microsoft Entra.

Пошаговые инструкции см. в статье:

Далее: Этап 4. Применение настроек и проверка локальной конфигурации

Этап 4. Применение настроек и проверка локальной конфигурации.

На этом этапе вы будете применять параметры и приложения для организации, а также проверите локальную конфигурацию. Этот этап предназначен для создания настроек для вашей организации. Обратите внимание на различные компоненты Windows и на способы проверки существующих конфигураций групповой политики локальной службы AD и их применения к собственным облачным конечным точкам. Разделы для каждой из следующих областей:

Microsoft Edge

Развертывание Microsoft Edge

Браузер Microsoft Edge уже установлен на устройствах со следующими операционными системами:

  • Windows

После входа пользователей Microsoft Edge автоматически обновляется. Чтобы запустить обновление для Microsoft Edge во время развертывания, можно выполнить следующую команду:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Чтобы развернуть Microsoft Edge в предыдущих версиях Windows, см. статью Добавление Microsoft Edge для Windows в Microsoft Intune.

Настройка Microsoft Edge

В Центре администрирования Microsoft 365 можно настроить два компонента Microsoft Edge, которые применяются при входе пользователей с учетными данными Microsoft 365.

  • Можно настроить логотип начальной страницы в Microsoft Edge. Для этого нужно настроить раздел Ваша организация в Центре администрирования Microsoft 365. Дополнительные сведения см. в статье Настройка темы Microsoft 365 для организации.

  • Возможности страницы новой вкладки в Microsoft Edge включают сведения Office 365 и персонализированные новости. Отображение этой страницы можно настроить в Центре администрирования Microsoft 365 в разделе Параметры>Параметры организации>Новости>Страница новой вкладки Microsoft Edge.

Также можно настраивать другие параметры для Microsoft Edge с помощью профилей каталога параметров. Например, может потребоваться настроить определенные параметры синхронизации для вашей организации.

  • Microsoft Edge
    • Настройка списка типов, исключенных из синхронизации: пароли

Макет меню "Пуск" и панели задач

С помощью Intune можно настроить и задать стандартный макет меню "Пуск" и панели задач.

Каталог параметров

Каталог параметров — это единое расположение, в котором перечислены все настраиваемые параметры Windows. Эта функция упрощает создание политик и просмотр всех доступных параметров. Дополнительные сведения см. в статье Создание политики с помощью каталога параметров в Microsoft Intune.

Совет

Многие параметры, знакомые с групповой политикой, встроены в каталог параметров. Если параметры недоступны в каталоге параметров, проверка шаблоны профилей конфигурации устройств.

Ниже приведены определенные параметры из каталога параметров, которые могут быть важны для вашей организации.

  • Azure домен клиента Active Directory. Этот параметр настраивает доменное имя предпочтительного клиента для добавления к имени пользователя. Предпочтительный домен клиента позволяет пользователям входить в Microsoft Entra конечные точки только с именем пользователя, а не со всем именем участника-пользователя, если доменное имя пользователя соответствует предпочтительному домену клиента. Пользователи с разными доменными именами могут ввести полное имя субъекта-пользователя.

    Категория "Настройка" Параметр Значение
    Проверка подлинности Предпочтительное доменное имя клиента AAD Введите доменное имя, например contoso.onmicrosoft.com.

    Примечание.

    Метка параметра использует устаревшую терминологию. "AAD" относится к Microsoft Entra ID.

  • Центр внимания Windows . По умолчанию включено несколько пользовательских функций Windows, что приводит к установке выбранных приложений Магазина и предложениям сторонних производителей на экране блокировки. Можно управлять этими функциями с помощью раздела "Интерфейс" в каталоге параметров.

    Категория "Настройка" Параметр Значение
    Взаимодействие > с windows в центре внимания Разрешить функции потребителей Windows Блокировка
      Разрешить сторонние предложения в Центре внимания Windows (пользователь) Блокировка

  • Microsoft Store . Организации обычно хотят ограничить приложения, которые могут устанавливаться в конечных точках. Используйте этот параметр, если организации требуется контролировать, какие приложения можно устанавливать из Microsoft Store. Этот параметр не позволяет пользователям устанавливать приложения, если они не утверждены.

    Категория "Настройка" Параметр Значение
    Microsoft App Store Требовать только частное хранилище Включен только частный магазин

    Примечание.

    Этот параметр применяется к Windows 10. В Windows 11 этот параметр блокирует доступ к публичному магазину Microsoft Store. Дополнительные сведения см. в статьях:

  • Блокировать игры . Организации могут предпочесть, чтобы корпоративные конечные точки не использовались для игры. С помощью следующего параметра можно полностью скрыть страницу "Игры" в приложении "Параметры". Дополнительные сведения о видимости страницы параметров см. в разделе Документация CSP и справочнике по схеме URI ms-параметров.

    Категория "Настройка" Параметр Значение
    Параметры Список видимости страниц hide:gaming-gamebar; gaming-gamedvr; игровое вещание; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Управление клиентами, в которые может войти классический клиент Teams. Если эта политика настроена на устройстве, пользователи могут выполнять вход только с учетными записями, размещенными в клиенте Microsoft Entra, который включен в список разрешенных клиентов, определенный в этой политике. "Список разрешенных клиентов" — это разделенный запятыми список Microsoft Entra идентификаторов клиентов. Указав эту политику и определив клиент Microsoft Entra, вы также блокируете вход в Teams для личного использования. Дополнительные сведения см. в разделе Как ограничить вход в систему на настольных устройствах.

    Категория "Настройка" Параметр Значение
    Microsoft Teams Ограничение входа в Teams учетными записями в определенных клиентах (пользователь) Enabled

Ограничения устройств

Шаблоны ограничений устройств с Windows содержат множество параметров, необходимых для защиты конечных точек Windows и для управления ими с помощью поставщиков служб конфигурации Windows (CSP). Со временем в каталоге параметров будет доступно больше этих параметров. Дополнительные сведения см. в статье Ограничения устройств.

Чтобы создать профиль, использующий шаблон Ограничения устройств, в Центре администрирования Microsoft Intune перейдите в разделУправление устройствами>>. Создание>>новой политики> Выберите Windows 10 и более поздних версий для шаблоныплатформы> Ограничения устройств для типа профиля.

  • URL-адрес фонового изображения рабочего стола (только для рабочего стола). Используйте этот параметр, чтобы установить обои на номерах SKU Windows Корпоративная или Windows для образовательных учреждений. Вы размещаете файл в Сети или ссылаетесь на файл, скопированный локально. Чтобы настроить этот параметр, на вкладке Параметры конфигурации в профиле ограничений устройств разверните узел Персонализация и настройте URL-адрес фонового изображения рабочего стола (только для рабочего стола).

  • Требовать от пользователей подключения к сети во время настройки устройства . Этот параметр снижает риск того, что устройство может пропустить Windows Autopilot при сбросе компьютера. Этот параметр требует, чтобы устройство было подключено к сети на этапе первого включения компьютера. Чтобы настроить этот параметр, на вкладке Параметры конфигурации в профиле Ограничения устройств разверните узел Общие и настройте Требовать подключения пользователей к сети во время настройки устройства.

    Примечание.

    Этот параметр начнет действовать при следующей очистке или при следующем сбросе устройства.

Оптимизация доставки

Оптимизация доставки используется для снижения нагрузки на пропускную способность сети: скачивание поддерживаемых пакетов разделяется между несколькими конечными точками. Оптимизация доставки — это самоорганизующийся распределенный кэш, дающий клиентам возможность скачивать пакеты из альтернативных источников, например из одноранговых узлов в сети. Эти одноранговые источники дополняют традиционные серверы в Интернете. Подробные сведения о параметрах оптимизации доставки и о поддерживаемых типах скачивания см. в статье Оптимизация доставки для обновлений Windows.

Чтобы применить параметры оптимизации доставки, создайте в Intune профиль оптимизации доставки или профиль каталога параметров.

Вот некоторые параметры, которые часто используются организациями:

  • Ограничить выбор однорангового узла — подсеть . Этот параметр ограничивает кэширование одноранговых узлов компьютерами в той же подсети.
  • Идентификатор группы . Клиенты оптимизации доставки можно настроить для совместного использования содержимого только с устройствами в одной группе. Можно настроить идентификаторы группы непосредственно (путем отправки GUID через политику) или с помощью параметров DHCP в областях DHCP.

Клиенты, использующие Microsoft Configuration Manager, могут развернуть серверы подключенного кэша, на которых можно размещать содержимое оптимизации доставки. Дополнительные сведения см. в статье Подключенный кэш Майкрософт в Configuration Manager.

Локальные администраторы

Если есть только одна группа пользователей, которая нуждается в доступе локального администратора ко всем устройствам Windows, присоединенным к Microsoft Entra, вы можете добавить их в локальный администратор устройства, присоединенный к Microsoft Entra.

Может требоваться, чтобы у сотрудников ИТ-поддержки или другой службы поддержки были права локальных администраторов для выбранной группы устройств. Это требование можно выполнить с помощью следующих поставщиков служб конфигурации (CSP).

Дополнительные сведения см. в статье Управление группой локальных администраторов на Microsoft Entra присоединенных устройствах.

Групповая политика для миграции параметров MDM

Создать конфигурацию устройства при переходе от групповой политики к собственному облачному управлению устройствами можно несколькими способами:

  • Начните заново и применяйте пользовательские параметры по мере необходимости.
  • Просмотрите существующие групповые политики и примените необходимые параметры. Для удобства можно применять различные средства, например аналитику групповой политики.
  • Используйте аналитику групповой политики, чтобы создать профили конфигурации устройств непосредственно для поддерживаемых параметров.

Переход на собственные облачные конечные точки Windows дает возможность пересмотреть ваши требования к вычислительным системам для конечных пользователей и разработать новую конфигурацию на будущее. Во всех возможных случаях начинайте с нуля, используя минимальный набор политик. Старайтесь не переносить ненужные или устаревшие параметры из среды, присоединенной к домену, или из более старых операционных систем, таких как Windows 7 или Windows XP.

Чтобы начать с нуля, проверьте текущие требования и примените минимальный набор параметра, необходимый для выполнения этих требований. Требования могут включать нормативные или обязательные параметры безопасности, а также параметры для улучшения работы конечных пользователей. Бизнес создает список требований, а не ИТ. Каждый параметр должен быть понятен и задокументирован, каждый параметр должен служить для определенной цели.

Перенос параметров из существующих групповых политик в MDM (Microsoft Intune) не является рекомендуемым подходом. При переходе на собственную облачную среду с Windows не следует просто перемещать все существующие параметры групповой политики. Вместо этого следует проанализировать целевую аудиторию и понять, какие параметры ей необходимы. Если пытаться рассматривать каждый параметр групповой политики в вашей среде и определять его применимость и совместимость с современными управляемыми устройствами, это займет слишком много времени, такой подход нельзя назвать практичным. Не пытайтесь оценить каждую групповую политику и каждый отдельный параметр. Вместо этого постарайтесь оценить общие политики, действующие для большинства устройств и сценариев.

Определите обязательные параметры групповой политики и проверьте эти параметры для доступных параметров MDM. Любые неустраненные несоответствия не позволят вам продолжать работу с облачными устройствами. Можно использовать такие средства как Аналитика групповой политики, чтобы анализировать параметры групповой политики и определять, можно ли переносить их в политики MDM.

Сценарии

Можно использовать сценарии PowerShell для всех параметров и изменений, которые необходимо настроить в дополнение к встроенным профилям конфигурации. Дополнительные сведения см. в статье Добавление сценариев PowerShell для устройств с Windows в Microsoft Intune.

Сопоставление сетевых дисков и принтеров

В собственных облачных сценариях нет встроенного решения для подключенных сетевых дисков. Вместо этого рекомендуется перенести пользователей в Teams, SharePoint и OneDrive. Если миграция невозможна, рассмотрите возможность использования сценариев.

В качестве личного хранилища на шаге 8 — настройка параметров для оптимальной работы Microsoft 365 мы настроили перемещение известных папок OneDrive. Дополнительные сведения см. в статье Перенаправление известных папок.

Для хранения документов пользователи могут воспользоваться интеграцией SharePoint с проводником и возможностью локальной синхронизации библиотек, как описано в статье Синхронизация файлов SharePoint и Teams с вашим компьютером.

Если вы используете корпоративные шаблоны документов Office, которые обычно находятся на внутренних серверах, рассмотрите возможность использования более современного облачного эквивалента, который позволит пользователям получать доступ к шаблонам из любого места.

Для печати рекомендуем использовать функцию универсальной печати. Дополнительные сведения см. в статьях:

Приложения

Intune поддерживает развертывание различных типов Windows-приложений.

Если у вас есть приложения, использующие установщики MSI, EXE или установщики на основе сценариев, вы можете развертывать все эти приложения с помощью функции управления приложениями Win32 в Microsoft Intune. Упаковка этих установщиков в формат Win32 повышает гибкость и обеспечивает ряд других преимуществ: это уведомления, оптимизация доставки, зависимости, правила обнаружения, поддержка страницы состояния регистрации в Windows Autopilot.

Примечание.

Чтобы избежать возникновения конфликтов во время установки, рекомендуем использовать только бизнес-приложения Windows или приложения Win32. Если у вас есть приложения, упакованные как .msi или .exe, их можно преобразовать в приложения Win32 (.intunewin) с помощью средства подготовки содержимого Microsoft Win32 , доступного на сайте GitHub.

Далее: Этап 5. Масштабирование развертывания с помощью Windows Autopilot

Этап 5. Масштабирование развертывания с помощью Windows Autopilot

Вы доказали, что облачная среда работает на одном устройстве. На этом этапе описывается, как перейти от тестового устройства к производственному парку— как регистрируются устройства, как группировать их по персонам, как поэтапно развертывать и как обрабатывать существующие компьютеры, которыми вы уже управляете.

Регистрация устройств в большом масштабе

На этапе 1 вы отправили хэш оборудования вручную. Это нормально для лаборатории, но не масштабируется. Готовые к работе варианты:

Источник регистрации Принципы действия Лучше всего подходит для
Oem или партнер по оборудованию Устройства, поставляемые поставщиком, уже зарегистрированным в клиенте (Dell, HP, Lenovo, Microsoft, Surface и другие). Закупка нового оборудования — рекомендуемое целевое состояние.
Торговый посредник или поставщик служб CSP Партнер Майкрософт регистрирует устройства от вашего имени. Непрямые или смешанные цепочки поставок.
Отправка хэша вручную (CSV) Тот же Get-WindowsAutopilotInfo поток из этапа 1, шаг 3, который отправляется в виде CSV-файла. Пилоты, лабораторные устройства, небольшие пакеты, существующие устройства, подключенные.
Соединитель Intune / прямая регистрация В Центре администрирования появились новые пути регистрации. Конкретные сценарии регистрации— см. обзор регистрации Autopilot.

Подробные сведения см. в разделе Регистрация устройств Autopilot.

Совет

Каждый раз, когда вы покупаете новое оборудование Windows, попросите торгового посредника или изготовителя оборудования зарегистрировать устройства в вашем Microsoft Entra идентификатор клиента во время покупки. Этот подход является долгосрочным шаблоном с наименьшим трением и устраняет необходимость когда-либо собирать хэш вручную.

Использование тегов групп для пользователей

Вы уже использовали CloudNative тег группы на этапе 1 для управления динамической группой. Один и тот же шаблон масштабируется до нескольких пользователей устройств. Определите один тег группы на пользователя, одну динамическую группу Microsoft Entra на тег и один профиль развертывания Autopilot плюс страницу состояния регистрации для каждой группы.

Пользователь Тег рекомендуемой группы Профиль Autopilot Тип учетной записи пользователя
Рабочая роль знаний KnowledgeWorker Управляемый пользователем пользователь Standard
Разработчик или опытный пользователь Developer Управляемый пользователем Администратор
Киоск или общее устройство Kiosk Самостоятельное развертывание Н/Д
Предварительно подготовлено (белая перчатка) PreProvisioned Предварительная подготовка пользователь Standard

Этот шаблон сохраняет конфигурацию, приложения и политики безопасности изолированными для каждого пользователя и позволяет избежать разовых исключений, расползающихся в клиенте.

Развертывание в кольцах

Не развертывайте сразу весь флот. Используйте ту же концепцию круга, что и для Windows Обновления:

Кольцо Аудитория Назначение
Пилот ИТ-команда и небольшая группа добровольцев Проверка сквозной подготовки и политики.
Ранние последователи ~5% пользователей, распределенных по отделам Перехват проблем, связанных с пользователями и приложениями.
Общие Оставшийся парк, подготовленный по регионам или отделам Развертывание рабочей среды.

Используйте фильтры назначений для целевых кругов вместо создания повторяющихся групп для каждой политики. Отслеживайте каждое кольцо с помощью раздела Мониторинг облачных конечных точек Windows , прежде чем перейти к следующему.

Обработка существующих устройств

Для компьютеров с Windows, которыми вы уже управляете, корпорация Майкрософт рекомендует перейти на Autopilot при следующем обновлении оборудования , а не повторно подготавливать весь парк сегодня. Облачная Windows получает все преимущества от чистого запуска OOBE, а циклы обновления позволяют переходить естественным образом с минимальным перебоем пользователей.

Если вы не можете дождаться обновления, доступны два пути:

  • Регистрация и сброс на месте. Соберите хэш для существующего устройства, зарегистрируйте его в Autopilot, а затем сбросьте компьютер. Устройство возвращается через OOBE в качестве облачной конечной точки. См . раздел Добавление существующих устройств в Windows Autopilot.
  • Повторное изменение образа при обновлении. Только новое или обновленное оборудование регистрируется как облачное. Существующие устройства остаются в состоянии текущего управления до окончания срока их существования.

Предостережение

Не регистрируйте устройства, которые активно управляются Microsoft Configuration Manager без плана совместного управления. Перед регистрацией устройства в Autopilot решите, будет ли устройство управляемым облаком, совместно управляемым или останется на Configuration Manager. Дополнительные сведения см. в разделе Совместное управление устройствами Windows.

Дополнительные сведения

Если Windows Autopilot не подходит для вашего сценария, см. Intune методов регистрации для устройств Windows для альтернативных вариантов.

Далее: Мониторинг облачных конечных точек Windows

Мониторинг облачных конечных точек Windows

После подготовки и настройки облачных конечных точек Windows используйте представления мониторинга в Центре администрирования Microsoft Intune, чтобы подтвердить успешное развертывание политик, сценариев и приложений и выявить проблемы на ранней стадии. Мониторинг — это текущая операционная задача, а не одноразовая настройка.

Что отслеживать В Центре администрирования Что нужно проверить Дополнительная информация
Состояние скрипта Устройств>По платформе>Windows>Управление устройствами>Скрипты и исправления>Скрипты платформы Выбор состояния устройства скрипта >
Состояние установки приложения Приложения>Windows>Приложения для Windows Выберите состояние установки устройства> или состояние установки пользователя Устранение неполадок при установке приложений
Базовая конфигурация безопасности Мониторинг базовых показателей безопасности в Intune
Шифрование дисков (BitLocker) Безопасность конечных> точекШифрование дисков Выберите политику > BitLocker Состояние установки устройства. Ключи восстановления. Устройства>Windows> выберите ключи восстановления устройства >
круги клиентский компонент Центра обновления Windows Устройств>Управление обновлениями>Windows 10 и более поздних обновлений>Круги обновления Выберите состояние устройства круга > Отчеты для кругов обновления
Соответствие требованиям Устройств>Соответствия Выберите политику, чтобы просмотреть результаты назначения, несоответствующие устройства и сбои отдельных параметров. Мониторинг политик соответствия требованиям
Аналитика конечных точек Отчеты>Аналитика конечных точек Производительность запуска, надежность приложений и упреждающие исправления в вашем парке Обзор аналитики конечных точек · Intune отчеты

Следуйте рекомендациям по облачным конечным точкам

  1. Обзор. Что такое облачные конечные точки?
  2. 🡺 Учебник. Настройка облачных конечных точек Windows с помощью Microsoft Intune (вы здесь)
  3. Концепция: присоединено Microsoft Entra и гибридное Microsoft Entra присоединено
  4. Концепция. Ориентированные на облако конечные точки и локальные ресурсы
  5. Руководство по высокоуровневому планированию
  6. Известные проблемы и важные сведения

Вопросы и ответы

Что такое облачная конечная точка Windows?

Облачная конечная точка Windows — это устройство Windows, которое Microsoft Entra присоединено и зарегистрировано в Microsoft Intune без зависимости от локальная служба Active Directory, групповая политика или контроллеров домена. Настройка, безопасность и развертывание приложений управляются из облака с помощью Microsoft Intune и Windows Autopilot.

В чем разница между облачными и гибридными Microsoft Entra присоединенными?

Гибридное устройство, присоединенное к Microsoft Entra, присоединяется как к локальная служба Active Directory, так и к Microsoft Entra. Это по-прежнему зависит от контроллеров домена для проверки подлинности и групповая политика для настройки. Устройство с собственным облаком (только Microsoft Entra присоединено) не имеет локальной зависимости— удостоверения, политики и приложения поступают из облака. Подробное сравнение см. в разделе Microsoft Entra присоединено и гибридное Microsoft Entra присоединено.

Нужны ли Windows 11 для облачных конечных точек?

Нет. Облачная windows работает с Windows 10 22H2 или более поздней версии. Корпорация Майкрософт рекомендует Windows 11 для оптимального взаимодействия с Windows Autopilot, Windows Hello для бизнеса и современными функциями безопасности.

Можно ли переместить существующие устройства, присоединенные к домену, в облако?

Да, но корпорация Майкрософт рекомендует делать это при следующем обновлении оборудования , а не повторно подготавливать весь парк. Облачная Windows получает все преимущества от чистого запуска OOBE. Сведения об устройствах, которые не могут ждать обновления, см. в разделе Обработка существующих устройств на этапе 5.

Работает ли облачная windows с локальными ресурсами, такими как общие папки и принтеры?

Да, с некоторым планированием. Облачные устройства могут получать доступ к локальным ресурсам через VPN или через прокси приложения Microsoft Entra. Для хранения файлов корпорация Майкрософт рекомендует выполнить миграцию в OneDrive и SharePoint. Для печати рассмотрите возможность универсальной печати. Подробные рекомендации см. в статье Облачные конечные точки и локальные ресурсы .

Полезные веб-ресурсы

  • Last updated on