Регистрация Windows
Существует несколько вариантов регистрации устройств с Windows 10 и Windows 11. Наиболее распространены следующие два метода.
- Присоединение к Azure Active Directory (Azure AD) — присоединяет устройство к Azure Active Directory и позволяет пользователям входить в Windows с помощью учетных данных Azure AD. Если включена автоматическая регистрация, устройство автоматически регистрируется в Intune. Преимущество автоматической регистрации — это процедура, состоящая из единственного шага. В противном случае ему нужно будет зарегистрироваться отдельно через регистрацию только в системе MDM и повторно ввести учетные данные. Этим способом пользователи регистрируются либо во время запуска при первом включении компьютера Windows, либо из меню «Параметры». Устройство помечается как корпоративное устройство в Intune.
- Autopilot — автоматизирует присоединение к Azure AD и регистрирует новые корпоративные устройства в Intune. Этот метод упрощает запуск при первом включении и устраняет необходимость применения настраиваемых образов операционной системы на устройствах. Когда администраторы используют Intune для управления устройствами Autopilot, они могут управлять политиками, профилями, приложениями и т. д. после регистрации. Существует четыре типа развертывания Autopilot: режим самостоятельного развертывания (для терминалов, цифровых вывесок или общего устройства), режим под управлением пользователя (для традиционных пользователей), Windows Autopilot для предварительно подготовленного развертывания, что позволяет партнерам или ИТ-сотрудникам предварительно подготовить компьютер с Windows 10 или Windows 11, чтобы он был полностью настроен и готов к работе в организации, и Autopilot для существующих устройств, позволяющий легко развернуть последнюю версию Windows на существующих устройствах.
Дополнительные варианты, включая регистрацию устройств BYOD с Windows, см. в статье Регистрация устройств с Windows в Microsoft Intune.
Настройка доступности и уведомлений для приложений Win32
Вы можете настроить время начала и крайний срок для установки приложения Win32. При наступлении указанной начальной даты расширение управления Intune скачает приложение и кэширует его для необходимого намерения. При наступлении крайнего срока приложение будет установлено.
Для доступных приложений время начала будет определять появление приложения на корпоративном портале, а загрузка содержимого будет начинаться, когда пользователь запросит это приложение на корпоративном портале. Вы можете также задать период отсрочки до перезапуска.
Важно!
Параметр Период отсрочки перезагрузки в разделе Назначение доступен, только если для параметра Действие при перезагрузке устройства в разделе Программа установлено одно из следующих значений:
Настройте дату и время доступности для выбранного приложения, выполнив следующие действия:
Войдите в Центр администрирования Microsoft Endpoint Manager.
Выберите Приложения>Все приложения.
Выберите приложение из списка Windows (Win32).
В области приложения рядом с разделом Назначения выберите Свойства>Изменить
Затем ниже типа назначения Требуется нажмите Добавить группу.
Обратите внимание, что доступность приложения может зависеть от типа назначения. В списке Тип назначения можно выбрать Требуется, Доступно для зарегистрированных устройств или Удалить.
Выберите группу на панели Выбор группы, чтобы указать группу пользователей для назначения приложению.
Примечание.
Для параметра Тип назначения доступны следующие варианты:
Обязательно
Вы можете сделать это приложение обязательным для всех пользователей и (или) сделать это приложение обязательным на всех устройствах.
Доступно для зарегистрированных устройств. Вы можете сделать это приложение доступным для всех пользователей с зарегистрированными устройствами.
Удалить. Вы можете удалить это приложение у всех пользователей и (или) удалить это приложение со всех устройств.
Чтобы изменить параметры уведомления конечных пользователей, выберите Показывать все всплывающие уведомления.
В области Изменение назначения установите для параметра Уведомления для конечных пользователей значение Показывать все всплывающие уведомления. Обратите внимание, что для параметра Уведомления для конечных пользователей доступны варианты Показывать все всплывающие уведомления, Показывать всплывающие уведомления о перезапуске компьютера или Скрывать все всплывающие уведомления.
Задайте для параметра Доступность приложения значение Конкретные дата и время, а затем выберите дату и время. Эти дата и время определяют, когда приложение будет загружено на устройство пользователя.
Задайте для параметра Крайний срок установки приложения значение Конкретные дата и время, а затем выберите дату и время. Эти дата и время определяют, когда приложение будет установлено на устройство пользователя. Если для одного и того же пользователя или устройства установлено несколько назначений, выбирается самый ранний крайний срок установки приложения из всех возможных.
Выберите Включено рядом с параметром Период отсрочки перезагрузки. Период отсрочки перезагрузки начинается сразу после завершения установки приложения на устройстве. Если этот параметр отключен, устройство может перезапуститься без предупреждения.
Здесь можно настроить следующие параметры:
Период отсрочки перезагрузки устройства (в минутах).По умолчанию значение составляет 1 440 минут (24 часа). Допускаются значения не более 2 недель.
Выберите, когда следует отображать диалоговое окно обратного отсчета перед перезапуском (в минутах). Значение по умолчанию — 15 минут.
Разрешить пользователю отложить уведомление о перезапуске. Вы можете выбрать Да или Нет
Выберите, на сколько отложить (в минутах). Значение по умолчанию — 240 минут (4 часа). Это значение не может быть больше, чем период отсрочки до перезапуска..
Выберите Проверить и сохранить.
Неделя с 19 февраля 2019 г.
Новые категории приложений в приложении «Корпоративный портал» для Windows 10
Был добавлен новый экран Категории приложений, чтобы улучшить процесс просмотра и выбора приложения в приложении «Корпоративный портал» для Windows 10. Теперь пользователи будут видеть свои приложения, отсортированные по категориям, таким как Рекомендуемые, Образование и Офисная работа. Это изменение доступно в приложении «Корпоративный портал» версии 10.3.3451.0 и более поздних. Дополнительные сведения об установке приложений в корпоративном портале см. в разделе Установка и совместное использование приложений на устройствах.
Регистрация устройств с Android
Существует несколько вариантов регистрации устройств с Android в зависимости от типа устройства, типа поддерживаемой регистрации, а также таких параметров, как используемая версия Android или даже производитель (например, Samsung). Большинство организаций используют рабочие профили Android для конечных пользователей, например в сценариях BYOD.
Благодаря рабочему профилю Android сведения о конечном пользователе явным образом разделяются контейнерами данных, а также разделяются приложения для работы и личного использования. Это идеальный способ регистрации пользователями своих устройств с сохранением конфиденциальности собственных данных и безопасности корпоративных данных.
Однако, если ваша организация предоставляет устройства с Android, вы можете использовать так называемое полностью управляемое (с сопоставлением пользователя) или выделенное (без сопоставления пользователя) устройство.
Дополнительные сведения о регистрации с Android см. в статье Регистрация устройств с Android в Microsoft Intune.
Неделя с 15 ноября 2021 г.
Новый экран согласия на конфиденциальность во время установки Корпоративный портал
В Корпоративный портал добавлен новый экран согласия с политикой конфиденциальности, чтобы соответствовать требованиям конфиденциальности некоторых магазинов приложений, например в Китае. Пользователи, впервые устанавливающие приложение «Корпоративный портал» из этих магазинов, увидят новый экран во время установки. На экране объясняется, какие сведения собирает корпорация Майкрософт и как они используются. Пользователь должен согласиться с условиями, прежде чем использовать приложение. Пользователи, установившие Корпоративный портал до этого выпуска, не увидят новый экран.
Март 2022 г.
Импорт CSV-файла или использование сканера штрихкодов для выполнения массовых действий
Импортируйте .CSV или сканируйте серийные номера устройств, чтобы быстро скомпилировать и принять меры на большой группе устройств. Чтобы отправить или проверить устройства в Intune для образовательных учреждений, перейдите к сканеру штрихкодов. Щелкните интерактивный интерфейс, чтобы добавить управляемые устройства и применить поддерживаемые действия. Варианты действий:
• Добавление устройств в группу
•Синхронизации
•Перезапустить
• Переименование устройств
• Сброс Autopilot
• Сброс до заводских настроек
Блокировка дополнительных административных приложений
Теперь вы можете заблокировать дополнительные административные приложения в Intune для образовательных учреждений. При настройке «Блокировать административные приложения» мы автоматически добавим их в командную строку списка блокировок, PowerShell и средства реестра. Вы можете удалить элементы из списка блоков и добавить дополнительные элементы в список блоков. Заблокированное приложение означает, что учащийся не сможет запустить приложение.
Настройка BitLocker в Intune для образовательных учреждений
Теперь вы можете настроить BitLocker в Intune для образовательных учреждений. Настройте для параметра «Шифровать устройство Windows» значение «Включено», и это приведет к включению BitLocker с рекомендуемами параметрами для образовательных учреждений. Рекомендуемые для образовательных учреждений параметры включают автоматическое включение BitLocker и депонирование ключей восстановления BitLocker в Azure Active Directory (Azure AD). Чтобы внести дополнительные изменения в параметры BitLocker, посетите веб-сайт Microsoft Endpoint Manager.
MultCloud
Пожалуй, самый лучший из облачных файловых менеджеров, выгодно отличающийся доступностью широкого спектра функций в бесплатном режиме. Помимо всех основных операций с файлами, MultCloud позволяет передавать контент с одного облачного хранилища в другое, минуя компьютер, причем отправив файл, вы можете смело закрыть браузер — данные будут переданы в фоновом режиме. Кстати, в премиум-версии присутствует планировщик, позволяющий запускать задачи по копированию данных в определенное время без участия пользователя.
Среди поддерживаемых сервисом облачных хранилищ — Google Drive, MEGA, Box, Flickr, MediaFire, OneDrive, HubiC, SugarSync, Alfresco, Яндекс.Диск и еще десяток других, имеется поддержка протоколов WebDAV и FTP. MultCloud укомплектован удобным интерфейсом в виде Проводника, дополнительно поддерживается предпросмотр некоторых типов файлов.
Устранение неполадок
В следующих разделах приводится руководство по устранению неполадок при распространенных проблемах.
Проблемы с регистрацией
Проблема | Сведения |
---|---|
Сбой регистрации виртуальной машины с гибридным присоединением к Azure AD |
|
Сбой регистрации виртуальной машины, присоединенной к Azure AD |
|
Проблемы, связанные с конфигурацией
Проблема | Сведения |
---|---|
Сбой настройки политики каталога | Убедитесь в том, что виртуальная машина зарегистрирована с использованием учетных данных устройств. Регистрация с использованием учетных данных пользователя в настоящее время не поддерживается многосеансовым режимом Windows 10 или Windows 11 Корпоративная. |
Политика конфигурации не применена | Шаблоны (за исключением сертификатов) не поддерживаются многосеансовым режимом Windows 10 или Windows 11 Корпоративная. Все политики должны создаваться с помощью каталога параметров. |
Политика конфигурации отмечена как неприменимая | Некоторые политики неприменимы к виртуальным машинам Виртуального рабочего стола Azure. |
Политика ADMX Microsoft Edge/Microsoft Office не отображается при применении фильтра для многосеансового режима Windows 10 или Windows 11 Корпоративная | Применимость этих параметров определяется не версией или выпуском Windows, а тем, установлены ли эти приложения на устройстве. Чтобы добавить эти параметры в политику, может потребоваться удалить все фильтры, примененные в разделе выбора параметров. |
Приложение, настроенное для установки в системном контексте, не было применено | Убедитесь в том, что приложение не находится в отношении зависимости или замены с какими-либо приложениями, настроенными для установки в пользовательском контексте. В настоящее время приложения, рассчитанные на пользовательский контекст, не поддерживаются в многосеансовом режиме Windows 10 или Windows 11 Корпоративная. |
Не была применена политика кругов обновления для Windows 10 и более поздних версий | В настоящее время политики Центра обновления Windows для бизнеса не поддерживаются. |
Регистрация устройства
Во время регистрации вам может быть предложено выбрать категорию, которая лучше всего описывает, как вы используете устройство. Служба поддержки вашей компании использует ваш ответ для проверки приложений, к которым у вас есть доступ.
-
Откройте приложение «Корпоративный портал» и выполните вход с рабочей или учебной учетной записью.
-
Если вам будет предложено принять условия вашей организации, нажмите ПРИНЯТЬ ВСЕ.
-
Проверьте, что ваша организация может и не может видеть. Затем нажмите КНОПКУ ПРОДОЛЖИТЬ.
-
Узнайте, чего ожидать в предстоящих шагах. Затем нажмите кнопку ДАЛЕЕ.
-
В зависимости от версии Android вам может быть предложено разрешить доступ к определенным частям устройства. Эти запросы требуются Google и не контролируются Майкрософт.
Нажмите Разрешить для следующих разрешений:
- Разрешить Корпоративный портал совершать телефонные звонки и управлять ими. Это разрешение позволяет устройству передавать свой номер идентификатора международной мобильной станции (IMEI) Intune, поставщику управления устройствами вашей организации. Это разрешение безопасно. Майкрософт никогда не будет совершать телефонные звонки или управлять ими.
- Разрешить Корпоративный портал доступ к контактам. Это разрешение позволяет приложению Корпоративный портал создавать, использовать рабочую учетную запись и управлять ими. Это разрешение безопасно. Майкрософт никогда не будет получать доступ к вашим контактам.
Если вы откажете разрешение, при следующем входе вам будет предложено Корпоративный портал. Чтобы отключить эти сообщения, выберите Никогда больше не спрашивать. Чтобы управлять разрешениями приложений, перейдите в приложение Параметры Приложения>>Корпоративный портал>Параметры>Телефон.
-
Активируйте приложение администратора устройства.
Корпоративный портал требуются разрешения администратора устройства для безопасного управления устройством. Активация приложения позволяет вашей организации выявлять возможные проблемы с безопасностью, например повторяющиеся неудачные попытки разблокировать устройство, и реагировать соответствующим образом.
Примечание.
Майкрософт не управляет обменом сообщениями на этом экране. Мы понимаем, что его формулировка может показаться несколько резкой. Корпоративный портал не может указать, какие ограничения и доступ относятся к вашей организации. Если у вас есть вопросы о том, как ваша организация использует приложение, обратитесь к специалисту по ИТ-поддержке. Перейдите на веб-сайт Корпоративный портал, чтобы найти контактные данные вашей организации.
-
Устройство начинает регистрацию. Если вы используете устройство Samsung Knox, сначала вам будет предложено просмотреть и подтвердить политику конфиденциальности агента ELM.
-
На экране Настройка доступа к компании убедитесь, что устройство зарегистрировано. Затем нажмите КНОПКУ ПРОДОЛЖИТЬ.
-
Вашей организации может потребоваться обновить параметры устройства. Нажмите кнопку RESOLVE , чтобы настроить параметр. Завершив обновление параметров, коснитесь кнопки ПРОДОЛЖИТЬ.
-
После завершения настройки нажмите готово.
Odrive
Онлайн-сервис, а также десктопный клиент, позволяющий получать доступ к файлам, хранящимся в Google Drive, OneDrive, Яндекс.Диск, Dropbox, Box, Cloud Storage, Amazon Cloud Drive и еще нескольких популярных облачных хранилищах. Приложением поддерживается работа с протоколами FTP, SFTP и WebDAV, синхронизация данных между подключенными облаками, а также папками на локальном компьютере через контекстное меню Проводника.
В поддержку включены расшаривание, шифрование, использование нескольких учетных записей. Распространяется на бесплатной основе, но есть и коммерческая версия с большим количеством функций. Недостатки — отсутствие русского языка и не до конца продуманное юзабилити клиента.
В настоящий момент используется сторонний поставщик MDM
На устройствах должен быть только один поставщик MDM. Если вы используете другой поставщик MDM, например Workspace ONE (ранее — AirWatch), MobileIron или MaaS360, вы можете перейти на Intune. Самая большая проблема в том, что пользователям будет необходимо отменить регистрацию в текущем поставщике MDM, а затем зарегистрировать устройства в Intune.
Важно!
Не настраивайте Intune и существующие сторонние решения MDM на применение средств управления доступом к ресурсам, включая Exchange или SharePoint Online.
Рекомендации:
Если вы переходите от партнера-поставщика MDM/MAM, обратите внимание на выполняемые задачи и используемые вами функции. Эта информация даст представление о том, что делать или с чего начать работу в Intune.
При отмене регистрации устройств они перестают получать ваши политики, включая политики, обеспечивающие защиту
Они уязвимы до тех пор, пока не будут зарегистрированы в Intune. При отмене регистрации устройств рекомендуется использовать условный доступа для блокировки устройств, пока они не будут зарегистрированы в Intune.
Убедитесь, что у вас есть конкретные действия регистрации и ее отмены. Предоставьте рекомендации существующего поставщика MDM по отмене регистрации устройств. Минимизировать время простоя и недовольство конечных пользователей помогут четкие, полезные инструкции.
Используйте поэтапный подход. Начните с небольшой пилотной группы пользователей и добавляйте новые группы пользователей, вплоть до полномасштабного развертывания.
Контролируйте загрузку службы поддержки и успехи регистрации на каждом этапе. Выделите время в расписании на оценку критериев успеха каждой группы перед переходом к следующей группе. По пилотному развертыванию вы сможете убедиться в следующем:
Значения успешных и неудачных результатов находятся в пределах ожидаемых.
Производительность работы пользователей:
Корпоративные ресурсы, такие как VPN, Wi-Fi, сертификаты и электронная почта, работают.
Развернутые приложения доступны.
Безопасность данных:
Просмотрите отчеты о соответствии и найдите распространенные проблемы и тенденции. Сообщите о проблемах, их разрешении и тенденциях в службу технической поддержки.
Средства защиты мобильных приложений применяются.
Если вы удовлетворены результатами первого этапа миграции, повторите цикл миграции для следующего этапа.
Повторяйте поэтапные циклы до переноса всех пользователей в Intune.
Убедитесь, что специалисты службы поддержки готовы предоставлять поддержку пользователям на протяжении всего процесса миграции. Выполните произвольную миграцию, чтобы оценить рабочую нагрузку при обращении в службу поддержки.
Не устанавливайте крайние сроки для регистрации, пока специалисты службы поддержки не будут в состоянии обслужить всех оставшихся пользователей.
Руководство по регистрации см. в разделе Руководство по развертыванию регистрации Intune.
Затем (в этой статье).
Интеграция с другими службами и приложениями Майкрософт
Microsoft Intune интегрируется с другими продуктами и службами Майкрософт, ориентированными на управление конечными точками, в том числе:
-
Configuration Manager для локального управления конечными точками и Windows Server, включая развертывание обновлений программного обеспечения и управление центрами обработки данных
Вы можете использовать Intune и Configuration Manager вместе в сценарии совместного управления, использовать подключение клиента или использовать оба варианта. С помощью этих параметров вы получите преимущества веб-центра администрирования и сможете использовать другие облачные функции, доступные в Intune.
Дополнительные сведения см. по следующему разделу:
- Что такое совместное управление
- Часто задаваемые вопросы о совместном управлении
- Включение подключения клиента
-
Windows Autopilot для развертывания и подготовки современных ОС
С помощью Windows Autopilot можно подготавливать новые устройства и отправлять эти устройства непосредственно пользователям от изготовителя оборудования или поставщика устройств. Для существующих устройств эти устройства можно создать заново, чтобы использовать Windows Autopilot и развернуть последнюю версию Windows.
Дополнительные сведения см. по следующему разделу:
- Обзор Windows Autopilot
- Развертывание Windows Autopilot для существующих устройств
-
Аналитика конечных точек для видимости и создания отчетов о взаимодействии с конечными пользователями, включая производительность и надежность устройства
Аналитику конечных точек можно использовать для выявления политик или проблем с оборудованием, которые замедляют работу устройств. В нем также содержатся рекомендации, которые помогут вам заранее улучшить взаимодействие с конечными пользователями и сократить количество запросов в службу поддержки.
Дополнительные сведения см. по следующему разделу:
- Что такое аналитика конечных точек
- Регистрация устройств Intune в аналитике конечных точек
-
Майкрософт 365 для приложений Office для повышения производительности пользователей, включая Outlook, Teams, Sharepoint, OneDrive и т. д.
С помощью Intune можно развернуть Майкрософт 365 приложений для пользователей и устройств в организации. Вы также можете развернуть эти приложения при первом входе пользователей.
Дополнительные сведения см. по следующему разделу:
- Добавление Приложения Microsoft 365 на устройства Windows 10/11 с Microsoft Intune
- документация Майкрософт 365: Управление устройствами с помощью Intune
-
Microsoft Defender для конечной точки, помогающие предприятиям предотвращать, обнаруживать, исследовать угрозы и реагировать на них
В Intune можно создать подключение между Intune и Microsoft Defender для конечной точки. Когда они подключены, вы можете создавать политики, которые сканируют файлы, обнаруживают угрозы и сообщают об уровнях угроз Microsoft Defender для конечной точки. Вы также можете создать политики соответствия, которые задают допустимый уровень риска. В сочетании с условным доступом можно заблокировать доступ к ресурсам организации для устройств, которые не соответствуют требованиям.
Дополнительные сведения см. по следующему разделу:
- Обеспечение соответствия требованиям в Microsoft Defender для конечной точки с помощью условного доступа в Intune
- Настройка Microsoft Defender для конечной точки в Intune
-
Автоматическое исправление Windows для автоматического исправления Windows, Майкрософт 365 приложений для предприятий, Майкрософт Edge и Майкрософт Teams
Автоматическое исправление Windows — это облачная служба. Он поддерживает программное обеспечение в актуальном состоянии, предоставляет пользователям новейшие средства повышения производительности, минимизирует локальную инфраструктуру и помогает освободить ИТ-администраторов, чтобы сосредоточиться на других проектах. Автопатка Windows использует Microsoft Intune для управления исправлениями для зарегистрированных Intune устройств или устройств с помощью совместного управления (Intune + Configuration Manager).
Дополнительные сведения см. по следующему разделу:
- Что такое автоматическое исправление Windows?
- Часто задаваемые вопросы о автоматическом исправлении Windows