Управление Windows 10 в вашей организации — переход к современным методам управления Manage Windows 10 in your organization — transitioning to modern management

Использование личных устройств для работы, а также удаленные сотрудники могут вызывать трудности с управлением устройствами в вашей организации. Use of personal devices for work, as well as employees working outside the office, may be changing how your organization manages devices. Для некоторых подразделений организации может потребоваться строгий детализированный контроль над устройствами, а для других подойдет более легкий метод управления на основе сценариев для современных работников. Certain parts of your organization might require deep, granular control over devices, while other parts might seek lighter, scenario-based management that empowers the modern workforce. Windows 10 позволяет гибко реагировать на эти изменения требований и легко развертывается в смешанной среде. Windows 10 offers the flexibility to respond to these changing requirements, and can easily be deployed in a mixed environment. Вы можете постепенно менять процент устройств с Windows 10, следуя обычным графикам обновления, которые применяются в вашей организации. You can shift the percentage of Windows 10 devices gradually, following the normal upgrade schedules used in your organization.

В вашей организации могли рассматривать возможность приобретения устройств с Windows 10 и их возврата к Windows 7, пока все не будет готово к формальному процессу обновления. Your organization might have considered bringing in Windows 10 devices and downgrading them to Windows 7 until everything is in place for a formal upgrade process. Хотя может показаться, что это позволит сократить расходы из-за стандартизации, большей экономии можно добиться, предотвратив простои и используя преимущества Windows 10. While this may appear to save costs due to standardization, greater savings can come from avoiding the downgrade and immediately taking advantage of the cost reductions Windows 10 can provide. Поскольку устройствами с Windows 10 можно управлять с помощью тех же процессов и технологий, которые используются для предыдущих версий Windows, разные версии легко могут сосуществовать. Because Windows 10 devices can be managed using the same processes and technology as other previous Windows versions, it’s easy for versions to coexist.

Организация может поддерживать различные операционные системы в широком диапазоне типов устройств и управлять ими с помощью общего набора средств, таких как Microsoft Endpoint Configuration Manager, Microsoft Intune или другие сторонние продукты. Your organization can support various operating systems across a wide range of device types, and manage them through a common set of tools such as Microsoft Endpoint Configuration Manager, Microsoft Intune, or other third-party products. Подобное «управляемое многообразие» позволяет пользователям воспользоваться преимуществами повышения производительности на их новых устройствах с Windows 10 (включая поддержку сенсорного и рукописного ввода), соблюдая при этом стандарты безопасности и управляемости. This “managed diversity” enables you to empower your users to benefit from the productivity enhancements available on their new Windows 10 devices (including rich touch and ink support), while still maintaining your standards for security and manageability. Это поможет вам и вашей организации гораздо быстрее воспользоваться преимуществами Windows 10. It can help you and your organization benefit from Windows 10 much faster.

В этом шестиминутном видео показано, как пользователи могут приобрести новое персональное устройство, подготовить его к работе с использованием персонализированных параметров и обеспечить управляемое взаимодействие в считанные минуты без подключения к корпоративной сети. This six-minute video demonstrates how users can bring in a new retail device and be up and working with their personalized settings and a managed experience in a few minutes, without being on the corporate network. В нем также показано, как ИТ-отдел может применять политики и конфигурации, чтобы обеспечить соответствие устройств требованиям. It also demonstrates how IT can apply policies and configurations to ensure device compliance.

Видео демонстрирует процесс конфигурации с помощью классического портала Azure, который удаляется. The video demonstrates the configuration process using the classic Azure portal, which is retired. Клиентам следует использовать новый портал Azure. Customers should use the new Azure portal. Узнайте, как использовать новый портал Azure для выполнения задач, которые раньше выполнялись на классическом портале Azure. Learn how use the new Azure portal to perform tasks that you used to do in the classic Azure portal.

В этом разделе представлены рекомендации по стратегиям развертывания и управления Windows 10, в том числе для развертывания Windows 10 в смешанной среде. This topic offers guidance on strategies for deploying and managing Windows 10, including deploying Windows 10 in a mixed environment. В разделе описаны варианты управления, а также четыре этапа жизненного цикла устройства: The topic covers management options plus the four stages of the device lifecycle:

Различные варианты управления в Windows 10 Reviewing the management options with Windows 10

Windows 10 предлагает целый ряд средств управления, как показано на следующей схеме: Windows 10 offers a range of management options, as shown in the following diagram:

Как указано на схеме, Корпорация Майкрософт продолжает поддерживать глубокую управляемость и безопасность с помощью таких технологий, как group Policy, Active Directory и Microsoft Configuration Manager. As indicated in the diagram, Microsoft continues to provide support for deep manageability and security through technologies like Group Policy, Active Directory, and Microsoft Configuration Manager. Она также реализует подход, ориентированный на мобильные устройства и облачные технологии — это упрощенный, современный подход к управлению с использованием облачных решений для управления устройствами, таких как Microsoft Enterprise Mobility + Security (EMS). It also delivers a “mobile-first, cloud-first” approach of simplified, modern management using cloud-based device management solutions such as Microsoft Enterprise Mobility + Security (EMS). Будущих нововведения Windows, предоставляемые в рамках модели продаж «Windows как служба», дополняются облачными службами, такими как Microsoft Intune, Azure Active Directory, Azure Information Protection, Office 365 и Microsoft Store для бизнеса. Future Windows innovations, delivered through Windows as a Service, are complemented by cloud services like Microsoft Intune, Azure Active Directory, Azure Information Protection, Office 365, and the Microsoft Store for Business.

Развертывание и подготовка Deployment and Provisioning

В Windows 10 вы можете продолжить использовать традиционное развертывание ОС, но также можете воспользоваться «готовыми возможностями управления». With Windows 10, you can continue to use traditional OS deployment, but you can also “manage out of the box.” Чтобы преобразовать новые устройства в полностью настроенные и управляемые устройства, вы можете: To transform new devices into fully-configured, fully-managed devices, you can:

Не переделывайтесь с помощью динамического обеспечения, включенного облачными службами управления устройствами, такими как Microsoft Autopilot или Microsoft Intune. Avoid reimaging by using dynamic provisioning, enabled by a cloud-based device management services such as Microsoft Autopilot or Microsoft Intune.

создать автономные пакеты подготовки с помощью конструктора конфигураций Windows; Create self-contained provisioning packages built with the Windows Configuration Designer.

Используйте традиционные методы визуализации, такие как развертывание пользовательских изображений с помощью Microsoft Endpoint Configuration Manager. Use traditional imaging techniques such as deploying custom images using Microsoft Endpoint Configuration Manager.

У вас есть несколько вариантов обновления до Windows 10. You have multiple options for upgrading to Windows 10. Для существующих устройств с ОС Windows 7 или Windows 8.1 можно использовать надежный процесс обновления на месте, чтобы быстро и без проблем перейти на Windows 10, автоматически сохраняя существующие приложения, данные и параметры. For existing devices running Windows 7 or Windows 8.1, you can use the robust in-place upgrade process for a fast, reliable move to Windows 10 while automatically preserving all the existing apps, data, and settings. Это может значительно снизить затраты на развертывание, а также повысить производительность, поскольку конечные пользователи немедленно смогут приступить к работе без перерывов. This can mean significantly lower deployment costs, as well as improved productivity as end users can be immediately productive – everything is right where they left it. Конечно, вы также можете использовать традиционный подход с очисткой и загрузкой, если вы предпочитаете, с помощью тех же средств, которые вы используете сегодня с Windows 7. Of course, you can also use a traditional wipe-and-load approach if you prefer, using the same tools that you use today with Windows 7.

Идентификация и проверка подлинности Identity and Authentication

Вы можете использовать Windows 10 и такие службы, как Azure Active Directory, новыми способами для облачной идентификации, проверки подлинности и управления. You can use Windows 10 and services like Azure Active Directory in new ways for cloud-based identity, authentication, and management. Вы можете дать пользователям возможность «принести свое устройство» (BYOD) или «выбрать свое устройство» (CYOD) из списка доступных устройств. You can offer your users the ability to “bring your own device” (BYOD) or to “choose your own device” (CYOD) from a selection you make available. В то же время вы можете управлять компьютерами и планшетами, которые должны быть присоединены к домену из-за отдельных приложений или ресурсов. At the same time, you might be managing PCs and tablets that must be domain-joined because of specific applications or resources that are used on them.

Управление пользователями и устройствами можно разделить на следующие две категории. You can envision user and device management as falling into these two categories:

Корпоративные (CYOD) или личные устройства (BYOD), с которыми работают мобильные пользователи для SaaS-приложений, таких как Office 365. Corporate (CYOD) or personal (BYOD) devices used by mobile users for SaaS apps such as Office 365. При использовании Windows 10 ваши сотрудники смогут самостоятельно подготовить свои устройства: With Windows 10, your employees can self-provision their devices:

для корпоративных устройств можно настроить доступа с помощью присоединения к Azure AD. For corporate devices, they can set up corporate access with Azure AD Join. Если вы позволяете им присоединиться к Azure AD с автоматической регистрацией в Intune MDM, пользователи могут перевести устройства в состояние, управляемое на корпоративном уровне, за один шаг — и все это в облаке. When you offer them Azure AD Join with automatic Intune MDM enrollment, they can bring devices into a corporate-managed state in one step, all from the cloud.
Присоединение к Azure AD — также прекрасное решение для временных сотрудников, партнеров или других работающих с частичной занятостью. Azure AD Join is also a great solution for temporary staff, partners, or other part-time employees. Эти учетные записи могут храниться отдельно от локального домена AD, но по-прежнему получать доступ к корпоративным ресурсам; These accounts can be kept separate from the on-premises AD domain but still access needed corporate resources.

в свою очередь для личных устройств сотрудники могут использовать новый, упрощенный процесс BYOD для добавления своей рабочей учетной записи в Windows и доступа к рабочим ресурсам на устройстве. Likewise, for personal devices, employees can use a new, simplified BYOD experience to add their work account to Windows, then access work resources on the device.

Присоединенные к домену компьютеры и планшеты, используемые для традиционных приложений и доступа к важным ресурсам. Domain joined PCs and tablets used for traditional applications and access to important resources. Это могут быть традиционные приложения и ресурсы, для которых требуется проверка подлинности или доступ к строго конфиденциальным локальным ресурсам. These may be traditional applications and resources that require authentication or accessing highly sensitive or classified resources on-premises. В Windows 10, если у вас есть локальный домен Active Directory, интегрированный с Azure AD, то после присоединения устройств сотрудников они автоматически регистрируются в Azure AD. With Windows 10, if you have an on-premises Active Directory domain that’s integrated with Azure AD, when employee devices are joined, they automatically register with Azure AD. Это дает следующие возможности: This provides:

единый вход для облачных и локальных ресурсов где угодно; Single sign-on to cloud and on-premises resources from everywhere

условный доступ к корпоративным ресурсам в зависимости от работоспособности или конфигурации устройства; Conditional access to corporate resources based on the health or configuration of the device

Windows Hello. Windows Hello

С помощью клиента или групповой политики диспетчера конфигурации можно продолжать управлять компьютерами и планшетами, присоединив к домену компьютеры и планшеты. Domain joined PCs and tablets can continue to be managed with the Configuration Manager client or Group Policy.

Дополнительные сведения о том, как Windows 10 и Azure AD оптимизируют доступа к рабочим ресурсам благодаря сочетанию устройств и сценариев, см. в разделе Использование устройств Windows 10 на рабочем месте. For more information about how Windows 10 and Azure AD optimize access to work resources across a mix of devices and scenarios, see Using Windows 10 devices in your workplace.

При анализе ролей в вашей организации можно использовать следующее универсальное дерево принятия решений, чтобы определить пользователей или устройства, которые нужно присоединить к домену. As you review the roles in your organization, you can use the following generalized decision tree to begin to identify users or devices that require domain join. Рассмотрите возможность переноса остальных пользователей в Azure AD. Consider switching the remaining users to Azure AD.

Параметры и конфигурация Settings and Configuration

Требования к конфигурации определяются множеством факторов, включая необходимый уровень управления, контролируемые устройства и данные, а также требования отрасли. Your configuration requirements are defined by multiple factors, including the level of management needed, the devices and data managed, and your industry requirements. Тем временем сотрудников беспокоит применение строгих ИТ-политик к личным устройствам, но им по-прежнему требуется доступ к корпоративной электронной почте и документам. Meanwhile, employees are frequently concerned about IT applying strict policies to their personal devices, but they still want access to corporate email and documents. В Windows 10 можно создать согласованный набор конфигураций для всех компьютеров, планшетов и телефонов с помощью общего уровня MDM. With Windows 10, you can create a consistent set of configurations across PCs, tablets, and phones through the common MDM layer.

MDM: MDM позволяет настроить параметры нужным образом, не предоставляя доступ ко всем существующим настройкам. MDM: MDM gives you a way to configure settings that achieve your administrative intent without exposing every possible setting. (Групповая политика же предоставляет детальные параметры, которые вы управляете по отдельности.) Одно из преимуществ MDM состоит в том, что вы можете применять более широкие параметры управления конфиденциальностью, безопасностью и приложениями с помощью более простых и эффективных инструментов. (In contrast, Group Policy exposes fine-grained settings that you control individually.) One benefit of MDM is that it enables you to apply broader privacy, security, and application management settings through lighter and more efficient tools. MDM также позволяет нацелить подключенные к Интернету устройства для управления политиками без использования GP, которая требует локально подключенных к домену устройств. MDM also allows you to target Internet-connected devices to manage policies without using GP that requires on-premises domain-joined devices. Это делает MDM оптимальным вариантом для устройств, которые постоянно используют в дороге. This makes MDM the best choice for devices that are constantly on the go.

Group Policy и Microsoft Endpoint Configuration Manager. Возможно, вашей организации по-прежнему потребуется управлять компьютерами, присоединительными к домену, на более детальном уровне, например с настраиваемыми настройками групповой политики Internet Explorer в 1500. Group Policy and Microsoft Endpoint Configuration Manager: Your organization might still need to manage domain joined computers at a granular level such as Internet Explorer’s 1,500 configurable Group Policy settings. Если это так, групповые политики и диспетчер конфигурации по-прежнему будут отличным выбором управления: If so, Group Policy and Configuration Manager continue to be excellent management choices:

Групповая политика — лучший способ детализированной настройки присоединенных к домену компьютеров и планшетов с Windows, которые подключены к корпоративной сети, с помощью средств для Windows. Group Policy is the best way to granularly configure domain joined Windows PCs and tablets connected to the corporate network using Windows-based tools. Корпорация Майкрософт продолжает добавлять параметры групповой политики в каждую новую версию Windows. Microsoft continues to add Group Policy settings with each new version of Windows.

Configuration Manager остается рекомендуемым решением для детальной конфигурации и надежного развертывания программного обеспечения, обновлений Windows и операционной системы. Configuration Manager remains the recommended solution for granular configuration with robust software deployment, Windows updates, and OS deployment.

Обновление и обслуживание Updating and Servicing

При использовании модели «Windows как служба» вашему ИТ-отделу больше не потребуются сложные процессы создания образов (очистка и загрузка) с каждым новым выпуском Windows. With Windows as a Service, your IT department no longer needs to perform complex imaging (wipe-and-load) processes with each new Windows release. Для ветвей current branch (CB) и current branch for business (CBB) устройства получают последние обновления компонентов и качества с помощью простых — часто автоматических — процессов исправления. Whether on current branch (CB) or current branch for business (CBB), devices receive the latest feature and quality updates through simple – often automatic – patching processes. Дополнительные сведения см. в разделе Сценарии развертывания Windows 10. For more information, see Windows 10 deployment scenarios.

MDM с Intune предоставляют средства для применения обновлений Windows на клиентских компьютерах в вашей организации. MDM with Intune provide tools for applying Windows updates to client computers in your organization. Configuration Manager предоставляет широкие возможности управления и отслеживания этих обновлений, включая окна обслуживания и правила автоматического развертывания. Configuration Manager allows rich management and tracking capabilities of these updates, including maintenance windows and automatic deployment rules.

Дальнейшие действия Next steps

Вы можете выполнить различные действий, чтобы начать процесс модернизация управления устройствами в вашей организации. There are a variety of steps you can take to begin the process of modernizing device management in your organization:

Оценка текущих методов управления и поиск инвестиций, которые можно сделать уже сегодня. Assess current management practices, and look for investments you might make today. Какие из текущих методов нужно сохранить, а какие можно изменить? Which of your current practices need to stay the same, and which can you change? В частности, какие элементы традиционного управления необходимо сохранить, а где возможна модернизация? Specifically, what elements of traditional management do you need to retain and where can you modernize? Вы можете свести к минимуму создание специальных образов, повторно оценить управление параметрами или проверку подлинности и соответствие требованиям — в любом случае преимущества можно получить практически немедленно. Whether you take steps to minimize custom imaging, re-evaluate settings management, or reassesses authentication and compliance, the benefits can be immediate. С помощью средства анализа миграции MDM (MMAT) можно определить, какие групповые политики задают целевому пользователю или компьютеру, и соединим их со списком доступных политик MDM. You can use the MDM Migration Analysis Tool (MMAT) to help determine which Group Policies are set for a target user/computer and cross-reference them against the list of available MDM policies.

Оценка разных вариантов использования и потребностей в управлении вашей среде. Assess the different use cases and management needs in your environment. Существуют ли группы устройств, которым пойдет на пользу упрощенное и более эффективное управление? Are there groups of devices that could benefit from lighter, simplified management? Личные устройства (BYOD), например — естественные кандидаты для облачного управления. BYOD devices, for example, are natural candidates for cloud-based management. Пользователям или устройствам, обрабатывающим данные с более высоким уровнем регулирования, может потребоваться локальный домен Active Directory для проверки подлинности. Users or devices handling more highly regulated data might require an on-premises Active Directory domain for authentication. Configuration Manager и EMS позволяют постепенно реализовать современные сценарии управления для различных устройств так, как вам будет удобно. Configuration Manager and EMS provide you the flexibility to stage implementation of modern management scenarios while targeting different devices the way that best suits your business needs.

Изучение деревьев принятия решений в этой статье. Review the decision trees in this article. Благодаря различным возможностям Windows 10, а также Configuration Manager и Enterprise Mobility + Security вы получаете гибкие возможности для работы с образами, проверкой подлинности, параметрами и средств управления для любого сценария. With the different options in Windows 10, plus Configuration Manager and Enterprise Mobility + Security, you have the flexibility to handle imaging, authentication, settings, and management tools for any scenario.

Поэтапное движение. Take incremental steps. Переход к современному управлению устройствами необязательно осуществлять за один день. Moving towards modern device management doesn’t have to be an overnight transformation. Новые операционные системы и устройств могут быть использованы одновременно со старыми. New operating systems and devices can be brought in while older ones remain. Благодаря такому «управляемому многообразию» сотрудники смогут воспользоваться повышенной производительностью на новых устройствах с Windows 10, а вы сможете поддерживать старые устройства согласно вашим стандартам безопасности и управляемости. With this “managed diversity,” users can benefit from productivity enhancements on new Windows 10 devices, while you continue to maintain older devices according to your standards for security and manageability. Начиная с Windows 10 версии 1803, была добавлена новая политика MDMWinsOverGP, позволяющая политикам MDM иметь приоритет над GP, когда на устройстве задается как GP, так и его эквивалентные политики MDM. Starting with Windows 10, version 1803, the new policy MDMWinsOverGP was added to allow MDM policies to take precedence over GP when both GP and its equivalent MDM policies are set on the device. Вы можете приступить к реализации политик MDM, сохраняя среду GP. You can start implementing MDM policies while keeping your GP environment. Вот список политик MDM с эквивалентной GP — Политики, поддерживаемые GP Here is the list of MDM policies with equivalent GP — Policies supported by GP

Оптимизация существующих инвестиций. Optimize your existing investments. На пути от традиционного локального управления к современному облачному управлению воспользуйтесь гибкой гибридной архитектурой Configuration Manager и Intune. On the road from traditional on-premises management to modern cloud-based management, take advantage of the flexible, hybrid architecture of Configuration Manager and Intune. Начиная с Configuration Manager 1710, совместное управление позволяет одновременно управлять устройствами Windows 10 с помощью диспетчера конфигурации и Intune. Starting with Configuration Manager 1710, co-management enables you to concurrently manage Windows 10 devices by using both Configuration Manager and Intune. Подробные сведения см. в этих разделах. See these topics for details: