Шаг 1. Настройка Microsoft Intune

Первым шагом при развертывании Microsoft Intune является настройка среды Intune.

В этой статье рассматриваются все этапы настройки Microsoft Intune. В нем также представлены варианты и рекомендации, которые необходимо учитывать при настройке решения для управления конечными точками, например Intune.

Цель этой статьи — помочь вам лучше понять поддерживаемые конфигурации Intune. После ознакомления со статьей вы сможете зарегистрироваться для получения бесплатной пробной версии Microsoft Intune, добавить конечных пользователей, определить группы пользователей, назначить пользователям лицензии и настроить другие необходимые параметры, чтобы начать использовать Microsoft Intune. Все действия, описанные в этой статье, помогут вам добавлять устройства и приложения и управлять ими с помощью Intune.

Предварительные условия

Прежде чем приступить к настройке Microsoft Intune, ознакомьтесь с руководством по планированию. Руководство по планированию поможет вам спланировать перемещение или миграцию в Intune.

Руководство по планированию также поможет вам решить следующие вопросы:

• Каковы некоторые из общих целей управления устройствами?
• Как удовлетворить потенциальные потребности в лицензировании?
• Как обрабатывать личные устройства?
• Как проверить текущие политики и инфраструктуру?
• Каковы некоторые примеры создания плана развертывания?

1. Просмотр поддерживаемых конфигураций

Начало работы с поддерживаемыми конфигурациями

Прежде чем приступить к настройке Microsoft Intune, выполните следующие действия:

• Ознакомьтесь с платформами устройств и операционными системами, которые Intune поддерживаются.
• Проверьте, какие веб-браузеры поддерживаются при доступе к Intune с помощью центра администрирования Microsoft Intune.
• Ознакомьтесь с требованиями к пропускной способности сети для установки и обновления с помощью Intune.
• Проверьте конечные точки сети для IP-адресов и параметров порта, необходимых для параметров прокси-сервера в развертываниях Microsoft Intune.

Инструкции и сведения о необходимых сведениях см. в разделе Поддерживаемые конфигурации.

2. Регистрация Microsoft Intune

Начните с регистрации или входа в Intune

Войдите в Центр администрирования Microsoft Intune.

Перед регистрацией в Intune проверьте, нет ли у вас учетной записи Microsoft Online Services, соглашения Enterprise или аналогичного соглашения корпоративного лицензирования. Соглашение о корпоративном лицензировании Майкрософт или другая подписка на облачные службы Майкрософт, например Microsoft 365, обычно включает рабочую или учебную учетную запись.

Если у вас уже есть рабочая или учебная учетная запись, войдите в систему, используя эту учетную запись, и добавьте Intune в вашу подписку. Если же нет, зарегистрируйте новую учетную запись для использования Intune в своей организации.

Инструкции см. в разделе Вход в Intune.

3. Настройка личного доменного имени для клиента Intune

Начало работы с настройкой личного доменного имени для клиента Intune

Когда ваша организация регистрируется для получения Microsoft Intune, вы получаете начальное доменное имя, размещенное в Microsoft Entra ID, которое выглядит как your-domain.onmicrosoft.com.

Корпорация Майкрософт назначает суффикс onmicrosoft.com всем учетным записям, добавленным в подписки.

При необходимости можно настроить личный домен организации в Intune, например contoso.com. Если вы не добавите учетную запись домена, то, например, contoso.onmicrosoft.com может использоваться.

• Настройте регистрацию DNS, чтобы подключить доменное имя вашей компании с помощью Intune. При подключении доменного имени вашей компании с помощью Intune пользователи сталкиваются с знакомым доменом при подключении к Intune и использовании ресурсов.

• Если вы просто оцениваете Intune с помощью бесплатной пробной версии, этот шаг можно пропустить.

• Если вы переходите на Microsoft 365 из подписки Office 365, ваш домен может уже находиться в Microsoft Entra ID. Intune использует тот же Microsoft Entra ID и может использовать существующий домен.

Инструкции см. в разделе Настройка доменного имени.

4. Добавление пользователей в Intune

Начало работы с добавлением пользователей в Intune

Пользователи хранятся в Microsoft Entra ID, который также входит в состав Microsoft 365. Microsoft Entra ID управляет доступом к ресурсам и проверяет подлинность пользователей.

Вы можете добавлять пользователей или подключать Active Directory для синхронизации с Intune. Этот шаг является обязательным , если только ваши устройства не являются устройствами киоска без пользователей.

Инструкции см. в разделе Добавление пользователей.

Каждому сотруднику вашей организации требуется учетная запись пользователя, прежде чем он сможет войти в систему и получить доступ к Microsoft Intune. Чтобы создать учетные записи пользователей, добавьте пользователей в Intune. После добавления вы можете предоставлять разрешения и назначать лицензии пользователям. Позже вы можете назначить пользователям различные типы политик, чтобы помочь и защитить их.

Администратор может добавлять пользователей по отдельности или в Intune.

Для добавления пользователей в Intune необходимо быть администратором лицензий Microsoft Entra или администратором пользователей.

5. Создание групп в Intune

Начало работы с добавлением групп в Intune

Добавление групп для назначения приложений, параметров и других ресурсов. Инструкции см. в разделе Добавление групп.

Intune использует Microsoft Entra группы для организации устройств и пользователей и управления ими. Как администратор Intune вы можете настраивать группы в соответствии с потребностями вашей организации. Например, можно создать группы для организации пользователей или устройств по географическому расположению, отделу или характеристикам оборудования. Кроме того, группы можно использовать для управления задачами в большом масштабе. Например, можно задать политики для многих пользователей или развернуть приложения на наборе устройств на основе групп.

6. Управление лицензиями

Intune доступна в различных подписках, в том числе в качестве автономной службы. Определите лицензированные службы, необходимые вашей организации, и продолжайте назначать каждому пользователю лицензию на Intune, прежде чем пользователи смогут зарегистрировать свои устройства в Intune.

Определение потребностей в лицензии

Microsoft Intune доступна для различных размеров и потребностей организации. Он предлагает простой в использовании интерфейс управления для школ и малого бизнеса, а также более сложные функции, необходимые корпоративным клиентам. Администратору должна быть назначена лицензия на администрирование Intune, если недоступен нелицензируемый доступ администратора. Клиенты, созданные после июля 2021 г., по умолчанию поддерживают нелицензированных администраторов.

Инструкции см. в разделе лицензирование Microsoft Intune.

Начало работы с назначением лицензий пользователям

Независимо от того, добавляете ли вы пользователей по одному или сразу всем пользователям, необходимо назначить каждому пользователю лицензию на Intune, прежде чем пользователи смогут зарегистрировать свои устройства в Intune. Бесплатная пробная версия Microsoft Intune предоставляет 25 Intune лицензий. Список лицензий см. в разделе Лицензии, включающие в себя Intune. Предоставьте пользователям разрешение на использование Intune. Каждому пользователю или устройству без пользователя требуется лицензия Intune для доступа к службе.

Инструкции см. в разделе Назначение лицензий.

Нелицензированные администраторы

Intune поддерживает нелицензированные права администратора, что позволяет администраторам управлять Intune без назначенной лицензии Intune. Для клиентов, созданных после июля 2021 г., эта функция включена по умолчанию. Клиенты, созданные до июля 2021 г., могут включить его вручную. Эта функция применяется к любому администратору, включая администраторов Intune, администраторов Microsoft Entra и т. д.

Инструкции см. в разделе Нелицензированные администраторы.

7. Управление ролями и предоставление разрешений администратора для Intune

После добавления пользователей в клиент Intune создайте команду администрирования.

Microsoft Intune использует управление доступом на основе ролей (RBAC) для управления административным доступом. Она включает в себя встроенные роли, которые имеют предопределенные разрешения для выполнения задач администратора, таких как управление приложениями и создание политик. Для более детального управления можно создать пользовательские роли, которые включают только точный набор необходимых разрешений.

Теги области работают с ролями, чтобы ограничить, какие Intune объекты, такие как устройства, политики и приложения, видны администратору. Используя роли и теги область вместе, вы можете реализовать доступ с минимальными привилегиями и поддерживать распределенное ИТ-администрирование между командами или регионами.

Начало работы с управлением ролями

1. Назначьте встроенные роли администраторам в зависимости от их обязанностей. Например, назначьте роль диспетчера политик и профилей администраторам, которые создают политики регистрации и управляют ими. Назначения ролей определяют, какие администраторы могут просматривать и изменять в Intune.

   Инструкции см. в разделе:

   • Управление доступом на основе ролей (RBAC) с помощью Intune
   • Встроенные разрешения ролей для Intune
   • Назначение роли в Intune

2. Создайте собственные настраиваемые роли с точным набором необходимых разрешений, а затем назначьте администраторов в зависимости от их обязанностей. Пользовательские роли позволяют определить точный набор разрешений, если встроенные роли не соответствуют вашим требованиям или вы хотите реализовать доступ с минимальными привилегиями. Например, можно создать пользовательскую роль, которая имеет только разрешения на создание и обновление политик соответствия устройств.

   Инструкции см. в разделе:

   • Создание пользовательской роли в Intune
   • Встроенные разрешения ролей для Intune
   • Назначение роли в Intune

3. Используйте теги область для ограничения видимости Intune объектов. Теги области определяют, какие объекты могут видеть администраторы. Роли управляют действиями, которые они могут выполнять с этими объектами. Использование RBAC вместе с тегами область помогает гарантировать администраторам доступ только к ресурсам, за которые они отвечают.

   Рекомендации см. в статье Использование управления доступом на основе ролей (RBAC) и область тегов для распределенной ИТ-службы.

4. Настройка утверждения нескольких Администратор. Чтобы защититься от скомпрометированных административных учетных записей, эта функция требует, чтобы вторая учетная запись администратора должна утвердить изменение перед применением изменения. Он добавляет дополнительный уровень безопасности, гарантируя, что изменения с высоким влиянием, такие как очистка или удаление устройств, требуют утверждения от нескольких администраторов.

   Инструкции см. в разделе Настройка утверждения нескольких Администратор.

8. Настройка центра управления мобильными устройствами

Начало работы с центром MDM

Настройка полномочий управления мобильными устройствами (MDM) определяет способ управления устройствами. По умолчанию бесплатная пробная версия Intune задает для центра MDM значение Intune. ИТ-администратор должен задать центр MDM, чтобы пользователи могли регистрировать устройства для управления. После установки центра MDM можно начать регистрацию устройств.

Если вы изменяете клиент для поддержки Intune, измените конфигурацию центра MDM.

Инструкции см. в разделе Настройка центра управления мобильными устройствами.

9. Настройка корпоративного портала Intune

С помощью приложений Корпоративного портала, веб-сайта "Корпоративный портал" и приложения Intune для Android пользователи могут получать доступ к корпоративным данным и выполнять стандартные задачи. К распространенным задачам относятся регистрация устройств, установка приложений и поиск информации (например, за помощью ИТ-отдела).

Начало работы с настройкой корпоративного портала

Настройте Корпоративный портал Intune, которые пользователи используют для регистрации устройств и установки приложений. Эти параметры отображаются в приложении "Корпоративный портал" и на веб-сайте Корпоративного портала. Вы также можете настроить приложение Корпоративный портал таким образом, чтобы оно было включено в сведения о вашей организации.

Инструкции см . в разделе Настройка корпоративного портала.

Следуйте минимальным рекомендуемых базовым политикам

Эта статья является частью серии из пяти этапов, в котором описывается развертывание Microsoft Intune. Серия включает в себя следующие статьи по порядку:

1. 🡺 Настройка Microsoft Intune (эта статья)
2. Добавление, настройка и защита приложений
3. Создание политик соответствия требованиям
4. Настройка функций и параметров устройства
5. Регистрация устройств