Распределенная ИТ-среда с несколькими администраторами в одном клиенте Microsoft Intune

Многие организации используют распределенную ИТ-среду, в которой у них есть один клиент Microsoft Intune с несколькими локальными администраторами. В этой статье описывается один из способов масштабирования Microsoft Intune для поддержки нескольких локальных администраторов, которые управляют своими пользователями, устройствами и создают собственные политики в рамках одного Microsoft Intune клиента.

Нет правильного или неправильного ответа о том, сколько администраторов должно быть в вашем клиенте. В этой статье рассматриваются клиенты с большим количеством локальных администраторов.

Распределенная ИТ-служба необходима в организациях, где большое число локальных администраторов подключаются к одному Intune арендатору. Например, некоторые учебные системы организованы таким образом, что у вас есть локальный администратор для каждого учебного заведения в системе или регионе. Иногда эта распределенная среда может включать более 15 разных локальных администраторов, которые обкатываются в одну центральную систему или Microsoft Intune клиент.

Каждый локальный администратор может настроить группы в соответствии со своими потребностями в локальной организации. Как правило, локальный администратор создает группы и упорядочивает несколько пользователей или устройств по географическому расположению, отделу или характеристикам оборудования. Локальные администраторы также используют эти группы для управления задачами в большом масштабе. Например, локальные администраторы могут задавать политики для многих пользователей или развертывать приложения на наборе устройств.

Термины, используемые в этой статье

  • Минимальные привилегии. Защита доступа к организации является важным шагом безопасности. Intune использует управление доступом на основе ролей (RBAC) для назначения разрешений администраторам в Intune для администрирования различных задач. Благодаря принципу доступа с наименьшими привилегиями администраторы могут выполнять назначенные им задачи только на тех пользователях и устройствах, которыми они должны иметь право управлять.

  • Центральная команда. Центральная команда или группа включает основных администраторов в вашем клиенте. Эти администраторы могут контролировать всех локальных администраторов и предоставлять рекомендации для местных администраторов.

  • Локальные администраторы. Локальные администраторы являются локальными и сосредоточены на политиках и профилях для конкретных расположений; школы, больницы и так далее.

Управление доступом на основе ролей

Защита доступа к организации — это важный шаг безопасности. Intune использует управление доступом на основе ролей, чтобы предоставить администраторам детализированные разрешения, чтобы контролировать, кто имеет доступ к ресурсам вашей организации и что они могут делать с этими ресурсами. Назначая Intune роли RBAC и соблюдая принципы доступа с наименьшими привилегиями, администраторы могут выполнять назначенные им задачи только на тех пользователях и устройствах, которыми они должны иметь право управлять.

В следующих разделах кратко описаны различные модели с рекомендациями для каждой модели по управлению политиками, профилями и приложениями между центральной командой и локальными администраторами. Ниже приведены следующие модели:

  • Модель частичного делегирования
  • Модель полного делегирования
  • Центральная модель
  • Переданная модель
  • Гибридная модель

Модель частичного делегирования

Модель частичного делегирования предлагает следующие рекомендации по управлению политиками между центральной командой и локальными администраторами.

✔️ Разрешения

  • Создание, обновление и удаление разрешений для политик, профилей регистрации и приложений должны находиться в центральной команде.
  • Предоставьте локальным администраторам только разрешения на чтение и назначьте их.

✔️ Повторного использования

  • Часто настроенные политики, профили регистрации и приложения должны быть доступны локальным администраторам для максимально возможного повторного использования.
  • Microsoft Intune использует много общих конфигураций, которые относятся к нескольким категориям. Ознакомьтесь с рекомендациями по политикам защиты приложений.
  • Как локальные администраторы подключены, они должны проверить существующие политики и повторно использовать их по мере необходимости.

✔️ Исключения

  • Центральная команда может создавать новые политики, профили регистрации и приложения в качестве исключений, если это необходимо от имени локальных администраторов. Как правило, эти исключения включают любой тип профиля, требующий уникальных параметров.

Модель частичного делегирования предлагается в следующих двух областях:

Рекомендации по группам и назначениям для локальных администраторов. Какие рекомендации для локальных администраторов следует применять при организации групп для управления устройствами с помощью Microsoft Intune? Чтобы узнать об этом, см. Intune группирование, нацеливание и фильтрация: рекомендации по оптимальной производительности Майкрософт Tech Community блоге.

Рекомендации для конкретных функций. Управление политиками, профилями и приложениями между центральным центром и локальными администраторами с определенными разрешениями для различных функций. Дополнительные сведения см. в разделе Рекомендации по конкретным функциям этой статьи.

Модель полного делегирования

Модель полного делегирования предлагает следующие рекомендации по управлению политиками между центральной командой и локальными администраторами.

  • Каждый локальный администратор должен иметь собственный тег область, чтобы разделить каждый объект, которым он полностью управляет.
  • Если локальному администратору не нужно создавать, обновлять или удалять, предоставьте локальному администратору роль с разрешениями на чтение и назначение и избегайте назначения любой другой роли с полным разрешением. При таком подходе можно избежать объединения разрешений для область тегов.
  • Иногда локальным администраторам может потребоваться создать собственные политики, профили и приложения, предоставляя общий доступ к некоторым общим политикам, профилям и приложениям. В таких случаях создайте специальную группу и назначьте ей общие политики, профили и приложения. Эта группа не должна быть включена в область (группа) Intune назначения роли RBAC для любого локального администратора. Такой подход предотвращает применение разрешений на создание, обновление и удаление, назначенных локальным администраторам, к этим общим политикам, профилям и приложениям.

Центральная модель

В центральной модели одна локальная команда администраторов (родительская) управляет несколькими дочерними организациями. Для группирования дочерних организаций можно использовать такие факторы, как география, подразделение или размер.

  • Существует только один тег область, используемый для охвата всех управляемых локальных администраторов.

  • По возможности команда локальных администраторов должна стандартизировать назначения между локальными администраторами и поместить все свои устройства в одну группу Microsoft Entra для назначения. Если невозможно создать одну Microsoft Entra группу, локальная команда администраторов может создавать разные Microsoft Entra группы для выполнения различных назначений.

  • Если другая локальная команда администраторов управляет организацией или перемещает ее, необходимо выполнить следующие действия:

    • Все устройства и пользователи организации должны быть извлечены из общих Microsoft Entra групп в область исходной локальной команды администрирования.

    • Для всех политик, приложений и профилей, назначенных уникально для этой организации, необходимо обновить тег область для новой локальной команды администрирования.

Переданная модель

В модели передачи несколькими локальными администраторами (дочерними) управляются как их выделенный локальный администратор, так и группа локальных администраторов-посредников. Администраторы-родители и дети имеют собственные теги область для представления границ управления.

  • Если есть менее 50 дочерних администраторов, промежуточным локальным администраторам может быть предоставлен доступ, назначив все теги область детей назначению роли RBAC промежуточных локальных команд администрирования.
  • Если есть более 50 дочерних администраторов, промежуточная локальная команда администраторов должна предоставить свой собственный тег область, чтобы представлять всю коллекцию дочерних администраторов, которых они контролируют.
  • Недавно созданные политики в тегах область дочерних администраторов должны иметь промежуточный тег, добавленный пользователем с соответствующей ролью, чтобы предотвратить потерю видимости промежуточным локальным администратором.

Гибридная модель

В гибридной модели один и тот же родительский администратор используется одновременно в модели Central и Devolved. Для этой модели нет особых рекомендаций.

Рекомендации по конкретным функциям

В зависимости от бизнес-требований для каждой функции рекомендации, приведенные в этом разделе, могут рекомендовать создавать политики для локального администратора и, возможно, делегировать разрешения, необходимые для создания объектов, локальным администраторам.

Примечание.

Руководство, приведенное в этом разделе, не относится ко всем функциям, а охватывает только те области, для которых у нас есть специальные инструкции.

политика защита приложений

Политики защиты приложений — это правила, которые обеспечивают защиту корпоративных данных (включая те, которые хранятся в управляемых приложениях). Дополнительные сведения см. в статье Политики защиты приложений.

Рекомендации по политикам защита приложений разделены между центральной командой и местными администраторами следующим образом:

Центральная команда — задачи

  • Изучите требования к безопасности и бизнес-требованиям в организации и создайте набор общих политик защита приложений для локальных администраторов.
  • Прежде чем создавать политики защита приложений, ознакомьтесь с приведенными рекомендациями, чтобы определить, какие элементы управления безопасностью подходят.
  • У вас есть установленный метод, с помощью которого локальные администраторы могут при необходимости запрашивать настраиваемые политики защита приложений для конкретных бизнес-потребностей, когда бизнес-требования не могут быть достигнуты с помощью существующих общих политик.
  • Конкретные рекомендации по каждому уровню конфигурации и минимальным приложениям, которые должны быть защищены, см. в статье Платформа защиты данных с помощью политик защита приложений.

Локальные администраторы — разрешения и задачи

  • Предоставьте локальным администраторам разрешения на чтение и назначение разрешений, но не создание, обновление и удаление разрешений в Управляемых приложениях. Такая конфигурация разрешений не позволяет им создавать собственные политики защита приложений.
  • Предоставьте разрешения на чтение и назначение политик конфигурации приложений своим приложениям.
  • Предоставляйте разрешения на чтение и назначение, только если для управляемых и неуправляемых устройств существуют разные политики защиты. Если центральная команда предлагает только одну политику для обеих, политика конфигурации приложения не требуется.
  • Если используется политика конфигурации приложений, рекомендуется назначить политику конфигурации приложения всем экземплярам приложений без исключения.
  • Выберите один из распространенных политик защита приложений. Локальные администраторы могут попросить центральную команду создать настраиваемые политики защиты приложений в качестве исключения и только при необходимости.
  • Дополнительные сведения см. в статье Политики защиты приложений.

Политика соответствия требованиям

Политики соответствия требованиям в Intune определяют правила и параметры, которым должны соответствовать пользователи и устройства. Перед использованием устройства для доступа к ресурсам организации может потребоваться соответствие требованиям. Дополнительные сведения о политиках соответствия требованиям см. в статье Использование политик соответствия требованиям для установки правил для устройств, которыми вы управляете с помощью Intune.

Центральная команда

Центральная команда должна создать общие политики соответствия для локальных администраторов на выбор и только при необходимости создавать политики исключений. Дополнительные сведения см. в статье Использование политик соответствия требованиям для задания правил для устройств, которыми вы управляете с помощью Intune. Создание политик включает в себя создание пользовательских сценариев политики соответствия, так как они имеют тот же масштаб, что и обычная политика соответствия.

Дополнительные сведения о создании политики соответствия см. в статье Создание политики соответствия требованиям в Microsoft Intune.

Локальные администраторы

Предоставьте локальным администраторам разрешения на чтение и назначение, но не создавайте, обновляйте и не удаляйте разрешения для политик соответствия требованиям. Разрешения на чтение и назначение позволяют им выбирать из стандартных политик соответствия, созданных центральной командой, и назначать их пользователям и устройствам.

Конфигурация устройства

Содержание

  • Ограничения устройств и общая конфигурация
  • Доступ к ресурсам
  • Круги обновления Windows
  • Обновления функций
  • Обновления качества

Ограничения устройств и общая конфигурация

  • Предоставьте локальным администраторам разрешение на создание, обновление и удаление в пределах своих область.

  • Используйте каталог параметров и базовые показатели безопасности в максимально возможной степени вместо профилей, созданных в списке Профили конфигурации, чтобы уменьшить масштаб в Центре администрирования Microsoft Intune.

  • Как правило, центральная команда должна попытаться централизованно отслеживать содержимое конфигураций и по возможности заменять повторяющиеся профили общим профилем.

Доступ к ресурсам

Рекомендуется использовать модель полного делегирования .

Круги обновления Windows

  • Мы рекомендуем централизованно управлять кругами обновлений Windows. Центральная команда должна создать столько общих политик круга обновлений Windows, сколько необходимо для поддержки отклонений локальных администраторов.
  • Локальные администраторы не должны создавать собственные круги обновлений Windows. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным в управлении. Рекомендации различаются для каждой функции. Дополнительные сведения см. в разделе Круги обновлений Windows.

Обновления функций

Рекомендуется использовать модель полного делегирования .

Обновления качества

Рекомендуется использовать модель полного делегирования .

Сертификаты

  • Мы рекомендуем использовать разрешения через центральную команду для подключения и отключения соединителей по мере необходимости. Подключение соединителей для каждого локального администратора для поддержки выдачи сертификатов.

  • Не предоставляйте локальным администраторам разрешение на обновление или удаление соединителей.

Приложения

Предоставьте локальным администраторам полные разрешения на управление приложениями в степени их область.

Содержание

  • Программа приобретения корпоративных лицензий Apple

  • Windows

  • Android

Дополнительные сведения см. в разделе Управление приложениями.

Программа приобретения корпоративных лицензий Apple

В настоящее время не существует проблем с масштабированием для поддерживаемого количества токенов программы volume Purchase Program. Дополнительные сведения см. в разделе Сколько маркеров можно отправить.

Windows

Android

  • Локальные администраторы должны выбрать существующие приложения магазина или попросить центральную команду добавить новые приложения магазина Android. Локальные администраторы не должны создавать новые приложения магазина Android. Общее количество объектов может стать большим и трудным для управления.

  • При необходимости локальные администраторы могут создавать бизнес-приложения Android в пределах кроссплатформенного бизнес-приложения и ограничения веб-ссылок.

  • Центральная команда должна добавить управляемые приложения Google Play.

    • Центральная команда может просматривать только управляемые приложения Google Play, доступные в стране или регионе своего клиента. Если центральной команде требуется управляемое приложение Google Play, доступное только в определенных странах или регионах, ей может потребоваться поработать с разработчиком приложения, чтобы получить его список правильно.
    • Центральная команда должна управлять всем содержимым, связанным с управляемыми приложениями Google Play, включая частные приложения, веб-приложения и коллекции. Например, если клиент планирует использовать управляемый iframe Google Play для публикации частных приложений, он должен сделать это с помощью одной учетной записи разработчика, принадлежащей центральной команде.
    • Центральная команда может выбрать один тег область в качестве тега область Managed Google Play. У него есть специальный раскрывающийся список на странице соединителя Managed Google Play. Тег область будет применяться ко всем управляемым приложениям Google Play после того, как центральная команда добавит их в консоль, но не будет применяться задним числом к уже добавленным приложениям. Мы настоятельно рекомендуем центральной команде задать тег область перед добавлением приложений, а затем назначить каждой региональной команде, которая область тег. В противном случае региональные администраторы могут не видеть управляемые приложения Google Play.

  • Для каждого устройства поддерживается только одна политика OEMConfig, за исключением устройств Zebra. На устройствах Zebra рекомендуется использовать минимальное количество политик, так как время принудительного применения политики является добавок. Например, если назначить шесть политик с предположением, что они будут наложены друг на друга, для начала работы на устройстве потребуется примерно в 6 раз больше времени, чем одна политика.

Примечание.

При настройке режима обновления с высоким приоритетом во многих различных приложениях и группах соблюдайте осторожность. Это происходит по нескольким причинам:

  • Хотя для многих приложений можно установить режим с высоким приоритетом, одновременно можно установить только одно обновление приложения. Одно большое обновление приложения может потенциально блокировать множество небольших обновлений до завершения установки большого приложения.
  • В зависимости от того, когда приложения выпускают новые обновления, может произойти внезапный всплеск использования сети, если выпуски приложений совпадают. Если Wi-Fi недоступен на некоторых устройствах, также может возникнуть всплеск использования сотовой связи.
  • Хотя уже упоминалось о нарушениях взаимодействия с пользователем, проблема растет по мере того, как все больше приложений перенастроились в режим обновления с высоким приоритетом.

Дополнительные сведения о проблемах масштабирования, связанных с обновлениями управляемых приложений Google Play с использованием режима обновления с высоким приоритетом, см. в блоге Techcommunity Рекомендации по обновлению приложений Android Enterprise.

Профили регистрации

Содержание

  • Windows Autopilot
  • Страница состояния регистрации (ESP)
  • Apple Business Manager (ABM)
  • Профили Android Enterprise
  • ограничения регистрации;
  • Категории устройств

Windows Autopilot

  • Предоставьте локальным администраторам разрешения на чтение устройств Windows Autopilot и отправку новых устройств Windows Autopilot.
  • Локальные администраторы не должны создавать профили Windows Autopilot. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным в управлении. Рекомендации зависят от области функций. Дополнительные сведения о Windows Autopilot см. в статье Использование Windows Autopilot для регистрации устройств Windows в Intune.

Страница состояния регистрации

  • Локальные администраторы должны выбрать один из существующих профилей страницы состояния регистрации для назначения или попросить центральную команду создать профиль исключения, только если это необходимо.
  • Локальные администраторы не должны создавать профили страниц состояния регистрации. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным в управлении. Рекомендации зависят от области функций. Сведения о состоянии регистрации см. в разделе Настройка страницы состояния регистрации.

Apple Business Manager

По возможности локальным администраторам не следует предоставлять разрешения на создание, обновление или удаление профилей регистрации. Если локальным администраторам предоставлены разрешения на создание профилей Apple Business Manager, они также предоставляют им разрешения на создание, обновление и удаление в Windows Autopilot. Однако локальные администраторы не должны создавать профили Windows Autopilot.

При делегировании большого числа администраторов общее количество объектов может стать большим и трудным в управлении. Рекомендации зависят от области функций. Дополнительные сведения см. в статье Использование Apple Business Manager для регистрации устройств Apple в Intune.

Профили Android Enterprise

  • Центральная команда должна создать корпоративные профили регистрации выделенных устройств Android Enterprise для каждого локального администратора для группирования устройств.
  • По возможности локальным администраторам не следует предоставлять разрешения на создание, обновление или удаление на устройствах Android Enterprise. Эти ограничения не позволяют локальным администраторам изменять параметры Android Enterprise на уровне клиента и глобальный полностью управляемый профиль регистрации.

ограничения регистрации;

  • Один и тот же набор разрешений управляет как конфигурацией устройства, так и ограничениями регистрации. Когда вы предоставляете разрешения на создание для конфигурации устройства, вы также предоставляете разрешения на создание для ограничений регистрации. Однако локальным администраторам не следует давать разрешение на создание профилей ограничений регистрации. Вместо этого укажите им не создавать новые профили ограничений регистрации.

  • Ограничения для устройств регистрации определяют, сколько устройств может зарегистрировать каждый пользователь. Ограничения для устройств регистрации должны охватывать все возможные ограничения устройств, которыми могут делиться локальные администраторы. Дополнительные сведения см. в разделе Что такое ограничения регистрации.

  • Центральная команда должна максимально стандартизировать ограничения типа устройства и добавлять новые ограничения, но только в качестве особых исключений после того, как локальный администратор проверит существующие ограничения.

Категории устройств

Функция Категории устройств (Категории устройств>) не имеет собственного семейства разрешений. Вместо этого его разрешения регулируются разрешениями, заданными в разделе Организация. Перейдите в раздел Роли администрирования > клиента. Выберите пользовательскую или встроенную роль и выберите Свойства. Здесь можно назначить разрешения, одним из которых является Организация.

Центральные команды могут создавать категории устройств. Однако локальным администраторам не следует разрешать создавать, обновлять или удалять категории устройств, так как для этого потребуется предоставить им разрешения в организации , что предоставляет им доступ к другим функциям уровня клиента, регулируемым разрешениями организации .

Дополнительные сведения см. в разделе Категории устройств.

Аналитика конечных точек

  • Центральная команда должна создать столько общих базовых показателей аналитики конечных точек, сколько необходимо для поддержки отклонений локальных администраторов.
  • По возможности локальным администраторам не следует создавать собственные базовые показатели Endpoint Analytics. При делегировании большого числа администраторов общее количество объектов может стать большим и трудным в управлении. Рекомендации зависят от области функций.
  • Дополнительные сведения см . в разделе Настройка параметров в аналитике конечных точек.
  • Last updated on