Поделиться через


Этап 2. Регистрация устройств в системе управления с использованием Intune

Существует несколько способов защиты конечной точки — термин, часто используемый для указания объединенной сущности, включая устройства, приложения и удостоверение пользователя. Политики безопасности должны применяться последовательно и надежно не только в приложениях, но и на самом устройстве. Регистрация устройства для Intune и регистрация в поставщике облачных удостоверений, например Microsoft Entra ID, — это отличное начало.

Независимо от того, является ли устройство личным устройством ByOD или корпоративным и полностью управляемым устройством, хорошо иметь представление о конечных точках, обращаюсь к ресурсам вашей организации, чтобы убедиться, что вы разрешаете только работоспособные и соответствующие требованиям устройства. Сюда относится работоспособность и надежность мобильных и классических приложений, которые работают в конечных точках. Следует убедиться, что эти приложения являются работоспособными и соответствующими требованиям, а также блокируют утечку корпоративных данных в потребительские приложения или службы с вредоносными намерениями или случайным образом.

Процесс регистрации устройства устанавливает связь между пользователем, устройством и службой Microsoft Intune. Использование Microsoft Intune в качестве изолированной службы позволяет применять единую веб-консоль администрирования для управления компьютерами с Windows, macOS и самыми популярными платформами мобильных устройств.

В этой статье приводятся рекомендации по регистрации устройств для Intune. Дополнительные сведения об этих методах и развертывании каждого из них см. в статье Руководство по развертыванию. Регистрация устройств в Microsoft Intune.

Первый шаг мобильной Управление устройствами регистрации устройств в Intune.

Используйте руководство в этой статье вместе с этой иллюстрированной версией параметров регистрации для каждой платформы.

Эскиз двух страниц плаката параметров регистрации Intune
PDF | Visio
Обновление: июнь 2022 г.

Регистрация Windows

Существует несколько вариантов регистрации устройств с Windows 10 и Windows 11. Наиболее распространены следующие два метода.

  • Microsoft Entra ID присоединение. Присоединяет устройство к Microsoft Entra ID и позволяет пользователям входить в Windows с помощью Microsoft Entra учетных данных. Если включена автоматическая регистрация, устройство автоматически регистрируется в Intune. Преимущество автоматической регистрации — это процедура, состоящая из единственного шага. В противном случае ему нужно будет зарегистрироваться отдельно через регистрацию только в системе MDM и повторно ввести учетные данные. Этим способом пользователи регистрируются либо во время запуска при первом включении компьютера Windows, либо из меню "Параметры". Устройство помечается как корпоративное в Intune.

  • Автопилоте: Автоматизирует Microsoft Entra присоединение и регистрирует новые корпоративные устройства в Intune. Этот способ упрощает запуск при первом включении компьютера и избавляет от необходимости применять пользовательские образы операционной системы на устройствах. Когда администраторы используют Intune для управления устройствами Autopilot, они могут управлять политиками, профилями, приложениями и т. д. после регистрации. Существует четыре типа развертывания Autopilot:

    • режим Self-Deploying (для киосков, цифровых вывесок или общего устройства)

    • Управляемый пользователем режим (для традиционных пользователей)

    • Windows Autopilot для предварительно подготовленного развертывания позволяет партнерам или ИТ-специалистам предварительно подготовить компьютер под управлением Windows 10 или Windows 11, чтобы он был полностью настроен и готов для бизнеса.

    • Autopilot для существующих устройств позволяет легко развернуть последнюю версию Windows на существующих устройствах.

Дополнительные варианты, включая регистрацию устройств BYOD с Windows, см. в статье Регистрация устройств с Windows в Microsoft Intune.

Регистрация устройств с iOS и iPadOS

Если устройства принадлежат пользователям (BYOD), вы можете позволить пользователям регистрировать их в Intune с помощью одного из следующих методов.

  • Регистрация устройства — это типичная регистрация BYOD. Она предоставляет администраторам множество вариантов управления.
  • Регистрация пользователя — это более упорядоченный процесс регистрации, который предоставляет администраторам подмножество параметров управления устройствами. Сейчас эта функция доступна в предварительной версии.

Для организаций, приобретающих устройства для своих пользователей, Intune поддерживает следующие методы регистрации корпоративных устройств с iOS/iPadOS.

  • Автоматическая регистрация устройств Apple (ADE)
  • Apple School Manager
  • регистрация с помощью помощника по настройке Apple Configurator;
  • регистрация c помощью Apple Configurator без участия торгового посредника.

Дополнительные сведения см. в статье Регистрация устройств с iOS и iPadOS в Microsoft Intune

Регистрация устройств с Android

Существует несколько вариантов регистрации Android в зависимости от типа устройства, типа регистрации, которую вы хотите поддерживать, а также от используемой версии Android или даже от производителя (особенно Samsung). Большинство организаций используют рабочие профили Android для конечных пользователей, например в сценариях BYOD.

При использовании рабочего профиля Android сведения конечного пользователя отделяются контейнерами данных, а также отдельными приложениями для рабочего и личного использования. Это идеальный способ регистрации пользователями своих устройств с сохранением конфиденциальности собственных данных и безопасности корпоративных данных.

Однако, если ваша организация предоставляет устройства с Android, вы можете использовать так называемое полностью управляемое (с сопоставлением пользователя) или выделенное (без сопоставления пользователя) устройство.

Дополнительные сведения о регистрации с Android см. в статье Регистрация устройств с Android в Microsoft Intune.

Регистрация устройств с macOS

Регистрация устройств с macOS может быть сложной задачей для многих ИТ-организаций. Если большинство пользователей не являются пользователями Mac, вы не можете управлять этими типами устройств в значительной степени. Если у вас небольшое количество пользователей macOS, рекомендуется применять регистрацию только в Intune. Если у вас большое количество пользователей macOS, рекомендуется применять регистрацию Intune + Jamf.

  • Intune только регистрация. Это предназначено для базового управления устройствами macOS. Для этого требуется ручной процесс, как и большинство других вариантов регистрации на основе пользователей. Но если у вас небольшое количество устройств Mac, этот вариант может быть проще, чем настройка всей автоматизированной инфраструктуры только для нескольких пользователей. При Intune только регистрации вы можете развертывать такие компоненты, как сертификаты, конфигурации паролей и приложения. Кроме того, вы можете настроить политики соответствия требованиям и расширить возможности условного доступа, а также принудительно применить шифрование и очистку устройств.
  • Intune и регистрация Jamf. Для тех, кто ищет самую глубокую поддержку управления Mac с помощью Jamf + Intune для условного доступа, корпорация Майкрософт предоставляет отличное решение, сочетающее широкие возможности управления Mac Jamf с Intune соответствие политикам условного доступа. В этом сценарии вы по-прежнему полностью управляете устройством с помощью Jamf и можете принимать эти сигналы от Jamf для повышения безопасности.

Дополнительные сведения о регистрации с macOS см. в статье Регистрация устройств с macOS в Microsoft Intune.

Следующее действие

Перейдите к шагу 3. Настройка политик соответствия требованиям для устройств с Intune.