Подготовка к экзамену MD-102: Администратор конечных точек Microsoft 365

Развертывание клиента Windows и использование Windows Autopilot

Добро пожаловать в курс подготовки к экзамену MD-102: Endpoint Administrator. Мы начинаем наше погружение в мир современного управления устройствами с одной из самых фундаментальных тем — развертывания операционной системы. В этой статье мы разберем, как изменился подход к установке Windows и почему Windows Autopilot стал стандартом индустрии.

Эволюция развертывания: от образов к подготовке

Традиционно системные администраторы тратили огромное количество времени на создание «золотых образов» (Golden Images). Процесс выглядел так: вы брали эталонный компьютер, устанавливали Windows, драйверы, необходимые приложения, настраивали политики, а затем делали снимок диска (образ), чтобы развернуть его на сотни других машин. Это требовало поддержки инфраструктуры (WDS, MDT, Configuration Manager) и постоянного обновления образов.

В современном мире облачных технологий Microsoft предлагает смену парадигмы: от Imaging (создание образов) к Provisioning (подготовка).

Идея проста: на новом компьютере уже установлена Windows 10 или Windows 11 (OEM-версия). Зачем стирать её и ставить заново? Вместо этого мы используем инструменты управления, чтобы трансформировать эту предустановленную ОС в готовое к работе корпоративное устройство.

!Сравнение традиционного развертывания через образы и современного метода подготовки устройств через облако.

Что такое Windows Autopilot?

Windows Autopilot — это набор технологий, используемых для настройки и предварительной конфигурации новых устройств, чтобы подготовить их к продуктивному использованию. Это решение позволяет реализовать концепцию Zero Touch Deployment (развертывание без касания), когда ИТ-специалисту вообще не нужно физически взаимодействовать с устройством.

Основные преимущества Autopilot:

* Для пользователей: Устройство готово к работе через несколько минут после распаковки и подключения к интернету. * Для ИТ-отдела: Нет необходимости поддерживать инфраструктуру серверов развертывания и обновлять образы. * Безопасность: Устройства автоматически регистрируются в MDM (Mobile Device Management) и получают политики безопасности.

Технические требования для Windows Autopilot

Для успешной работы Autopilot необходимо выполнение ряда условий. Это критически важно для экзамена MD-102.

Программное обеспечение:

* Поддерживаемая версия Windows 10 или Windows 11 (Pro, Enterprise, Education). * Доступ к интернету (проводной или Wi-Fi) на этапе OOBE (Out-of-Box Experience).

Сетевые требования:

* Доступ к службам активации Windows. * Доступ к серверам Microsoft Entra ID (ранее Azure AD) и Microsoft Intune.

Лицензирование:

* Подписка на Microsoft Entra ID P1 или P2. * Подписка на Microsoft Intune (или альтернативный MDM).

Аппаратная идентификация:

* Устройства должны быть зарегистрированы в службе Autopilot с использованием уникального Hardware Hash (хеш оборудования).

Процесс работы Windows Autopilot

Давайте разберем пошагово, как происходит магия Autopilot.

1. Регистрация устройства

Чтобы облако Microsoft узнало, что конкретный ноутбук принадлежит вашей организации, его нужно зарегистрировать. Идентификатором служит Hardware Hash. Этот хеш можно получить:

* От поставщика (OEM/Reseller): При покупке устройств вы можете попросить поставщика сразу добавить их в ваш тенант (самый удобный способ). * Вручную: Запустив PowerShell скрипт на устройстве.

Команда для получения хеша вручную:

2. Создание и назначение профиля развертывания

В центре администрирования Microsoft Intune администратор создает Профиль развертывания (Deployment Profile). Этот профиль определяет, как будет вести себя устройство при первом включении.

Ключевые настройки профиля: * Режим развертывания: User-Driven (управляемый пользователем) или Self-Deploying (саморазвертывание). * Тип присоединения: Microsoft Entra joined (облачное) или Hybrid Microsoft Entra joined (гибридное). * Параметры OOBE: Скрыть лицензионное соглашение (EULA), настройки конфиденциальности, выбор типа учетной записи (личная или рабочая).

3. Доставка и включение

Устройство отправляется напрямую пользователю домой или в офис. Пользователь включает его, выбирает язык, регион и раскладку клавиатуры, а затем подключается к интернету.

4. Инициализация Autopilot

Как только устройство получает доступ к сети, оно связывается со службой Autopilot. Служба распознает Hardware Hash и понимает: «Это устройство принадлежит компании Contoso». Устройство скачивает назначенный профиль развертывания.

5. Вход и настройка

Пользователю предлагается ввести корпоративные учетные данные (email и пароль). После успешной аутентификации начинается установка приложений, применение политик безопасности и конфигураций через Intune.

!Пошаговая диаграмма рабочего процесса Windows Autopilot от производителя до конечного пользователя.

Сценарии развертывания Windows Autopilot

На экзамене MD-102 часто встречаются вопросы о выборе правильного сценария. Рассмотрим основные режимы.

User-Driven Mode (Режим, управляемый пользователем)

Это стандартный сценарий для выдачи ноутбука конкретному сотруднику. * Процесс: Пользователь включает устройство, вводит свои учетные данные. * Результат: Устройство привязывается к этому пользователю, он становится локальным администратором (если не настроено иначе). * Применение: Стандартные офисные сотрудники, удаленные работники.

Self-Deploying Mode (Режим саморазвертывания)

Используется для устройств, у которых нет конкретного владельца, или для киосков. * Процесс: Устройство включается, подключается к сети и автоматически настраивается без ввода учетных данных пользователя. * Требования: Обязательно наличие модуля TPM 2.0 и поддержка аттестации устройства. * Применение: Информационные киоски, цифровые вывески, общие устройства в школах.

Windows Autopilot for Pre-provisioned Deployment

Ранее этот режим назывался White Glove. Он предназначен для ситуаций, когда устройство должно быть полностью готово к моменту, когда пользователь откроет крышку, даже при медленном интернете.

* Процесс: 1. Технический этап: ИТ-специалист или партнер включает устройство, нажимает клавишу Windows 5 раз, выбирает опцию предварительной подготовки. Устройство скачивает все тяжелые приложения (Office, CAD-системы) и политики. 2. Запечатывание: После загрузки ПО устройство выключается («запечатывается»). 3. Пользовательский этап: Пользователь получает устройство, включает его, вводит логин/пароль, и рабочий стол появляется почти мгновенно, так как всё уже установлено.

Autopilot Reset

Функция, позволяющая сбросить устройство к заводским настройкам, но сохранить связь с MDM и привязку к Entra ID. Полезна при передаче устройства от одного сотрудника другому или для исправления программных сбоев в классе.

Enrollment Status Page (ESP)

Страница состояния регистрации (ESP) — это экран, который видит пользователь во время настройки устройства. Он показывает прогресс выполнения трех этапов:

Подготовка устройства.

Настройка устройства (политики, сертификаты).

Настройка учетной записи (профиль пользователя).

Зачем нужен ESP? Главная функция ESP — блокировка доступа к рабочему столу до тех пор, пока не будут применены критически важные политики безопасности и установлены обязательные приложения. Это гарантирует, что пользователь не начнет работать на незащищенном устройстве.

Заключение

Windows Autopilot — это мощный инструмент, который кардинально меняет подход к жизненному циклу устройств. Вместо рутинной переустановки ОС администраторы теперь управляют политиками и профилями. Понимание различий между режимами User-Driven, Self-Deploying и Pre-provisioned является ключом к успешной сдаче экзамена MD-102 и эффективной работе администратора конечных точек.

В следующих статьях мы углубимся в настройку Microsoft Intune и управление политиками конфигурации.

Управление идентификацией и доступом в Microsoft Entra ID

В предыдущей статье мы рассмотрели, как развернуть операционную систему с помощью Windows Autopilot. Однако, как только устройство включается и подключается к сети, возникает главный вопрос: кто имеет право входить в систему и к каким ресурсам этот пользователь получит доступ? Здесь на сцену выходит управление идентификацией.

Для администратора конечных точек (Endpoint Administrator) понимание Microsoft Entra ID (ранее известного как Azure Active Directory) является не просто полезным навыком, а абсолютной необходимостью. Это фундамент, на котором строится вся безопасность и управление в экосистеме Microsoft 365.

От Azure AD к Microsoft Entra ID

Прежде чем углубляться в технические детали, уточним терминологию. В конце 2023 года Microsoft переименовала Azure Active Directory (Azure AD) в Microsoft Entra ID. В рамках подготовки к экзамену MD-102 вы можете встретить оба термина в учебных материалах, но в интерфейсе и новых вопросах будет использоваться Entra ID.

Microsoft Entra ID — это облачная служба управления идентификацией и доступом. В отличие от традиционного локального Active Directory (AD DS), который использует протоколы Kerberos и NTLM, Entra ID построен на веб-стандартах: SAML, OIDC и OAuth.

Пользователи и Группы: Основа управления

Управление начинается с объектов. В Entra ID основными объектами являются пользователи и группы.

Типы пользователей

Облачные пользователи (Cloud-only): Создаются непосредственно в Entra ID. Идеально для новых организаций, полностью перешедших в облако.

Синхронизированные пользователи (Directory Synced): Создаются в локальном AD и синхронизируются в облако через утилиту Microsoft Entra Connect. Это самый частый сценарий для гибридных компаний.

Гостевые пользователи (B2B): Внешние пользователи (партнеры, подрядчики), приглашенные в ваш тенант. Они используют свои собственные учетные данные для доступа к вашим ресурсам.

Группы и типы членства

Для применения политик Intune (которые мы будем изучать позже) критически важно понимать, как работают группы. Существует два основных типа назначения членства:

* Assigned (Назначенные): Вы вручную добавляете конкретных пользователей или устройства в группу. Это статичный список. * Dynamic User/Device (Динамические): Членство определяется правилами. Если атрибуты пользователя или устройства меняются и соответствуют правилу, объект автоматически добавляется в группу.

Пример правила для динамической группы устройств, объединяющей все модели Surface:

> Динамические группы требуют наличия лицензии Microsoft Entra ID P1 или P2.

!Визуализация различий между ручным назначением и динамическим членством в группах.

Идентификация устройств (Device Identity)

Это, пожалуй, самая важная тема для экзамена MD-102. Чтобы управлять устройством через Intune, оно должно быть известно в Entra ID. Существует три способа регистрации устройств:

1. Microsoft Entra Registered (Зарегистрированные)

Этот сценарий чаще всего используется для личных устройств сотрудников (концепция BYOD — Bring Your Own Device).

* Суть: Устройство привязано к облаку, но пользователь входит в Windows, используя локальную или личную учетную запись Microsoft (не корпоративную). * Результат: Организация видит устройство, может применять базовые политики (например, требовать пароль), но не контролирует устройство полностью. * Пример: Сотрудник проверяет корпоративную почту с личного iPhone или домашнего ПК.

2. Microsoft Entra Joined (Присоединенные)

Золотой стандарт для современных рабочих мест. Устройство принадлежит организации и полностью управляется из облака.

* Суть: Устройство присоединяется только к Entra ID. Локальный AD не участвует. * Вход: Пользователь входит в Windows, используя корпоративный аккаунт (email и пароль). * Результат: Полное управление через Intune, поддержка Windows Autopilot, единый вход (SSO) в облачные и локальные приложения.

3. Microsoft Entra Hybrid Joined (Гибридные)

Компромиссный вариант для компаний, которые еще не готовы отказаться от локального Active Directory и групповых политик (GPO).

* Суть: Устройство зарегистрировано и в локальном AD, и в Entra ID. * Требования: Периодическая видимость контроллера домена (прямое подключение или VPN). * Сложность: Это самый сложный в настройке сценарий, часто вызывающий ошибки синхронизации.

| Характеристика | Entra Registered | Entra Joined | Hybrid Entra Joined | | :--- | :--- | :--- | :--- | | Владелец | Личное (обычно) | Корпоративное | Корпоративное | | Учетная запись входа | Личная | Корпоративная | Корпоративная (AD) | | Управление | Ограниченное (MAM/MDM) | Полное (MDM) | GPO + MDM (Co-management) |

!Сравнение типов идентификации устройств в Microsoft Entra ID.

Условный доступ (Conditional Access)

Если Identity (Идентичность) — это новый периметр безопасности, то Conditional Access — это страж на воротах этого периметра. Это система правил «Если — То».

Принцип работы Conditional Access строится на анализе сигналов и принятии решений.

Сигналы (Условия)

При попытке входа система анализирует:

Кто: Пользователь или группа (например, «Администраторы»).

Где: Местоположение (IP-адрес, страна).

С чего: Устройство (платформа, состояние соответствия требованиям).

Что: Приложение (попытка входа в Exchange Online или Azure Portal).

Риск: Оценка риска в реальном времени (например, аномальное путешествие или утекший пароль).

Решения (Контроль доступа)

На основе сигналов система принимает решение: * Разрешить доступ (Allow): Без дополнительных проверок (редко используется). * Блокировать доступ (Block): Например, если вход выполняется из запрещенной страны. * Разрешить с требованиями (Grant access): Самый частый сценарий. Доступ разрешен, ЕСЛИ выполнено одно или несколько условий: * Требуется многофакторная аутентификация (MFA). Устройство должно быть отмечено как соответствующее требованиям (Require device to be marked as compliant). Это ключевая настройка для связки с Intune.* * Требуется гибридное присоединение.

!Логика работы политик условного доступа: от сигналов к решению.

Ролевая модель доступа (RBAC)

В Entra ID используется модель управления доступом на основе ролей (RBAC). Главное правило безопасности — принцип наименьших привилегий.

Никогда не работайте под учетной записью Глобального администратора (Global Administrator) постоянно. Для задач управления устройствами используйте специализированные роли:

* Intune Administrator: Полный доступ к управлению Intune. Может создавать политики, профили, выполнять удаленные действия (Wipe, Reset). * Microsoft Entra Joined Device Local Administrator: Пользователи с этой ролью становятся локальными администраторами на всех устройствах, присоединенных к Entra ID. * Global Reader: Может просматривать все настройки, но ничего не может менять. Полезно для аудиторов.

Windows Hello for Business

Пароли — это слабое звено безопасности. Microsoft активно продвигает беспарольный вход (Passwordless). Для конечных точек Windows основным инструментом является Windows Hello for Business.

В отличие от обычного Windows Hello (который просто хранит биометрию локально), версия «for Business» использует асимметричное шифрование и сертификаты или ключи, привязанные к аппаратному модулю TPM устройства.

Преимущества: * Безопасность: Биометрия или PIN-код не передаются по сети. Взлом базы паролей на сервере не скомпрометирует вход пользователя. * Удобство: Пользователю не нужно вводить сложный пароль при каждой разблокировке.

Настройка Windows Hello for Business выполняется через политики Intune, которые мы рассмотрим в будущих модулях, но сама технология опирается на возможности Entra ID.

Заключение

Microsoft Entra ID — это мозг вашей инфраструктуры управления. Без правильной настройки идентификации невозможно эффективно использовать Intune или Autopilot. Мы разобрали типы пользователей, критическую разницу между Registered, Joined и Hybrid Joined устройствами, а также мощнейший инструмент защиты — Conditional Access.

В следующей статье мы перейдем непосредственно к интерфейсу Microsoft Intune и начнем настройку нашего тенанта для управления устройствами.

Управление устройствами и профилями конфигурации через Microsoft Intune

Мы продолжаем наш путь к сертификации MD-102. В прошлых статьях мы научились разворачивать операционную систему с помощью Windows Autopilot и управлять идентификацией пользователей через Microsoft Entra ID. Теперь перед нами стоит следующая задача: у нас есть настроенный пользователь и включенное устройство, но как заставить это устройство работать по правилам компании?

Как запретить использование камеры на секретном объекте? Как настроить Wi-Fi профиль автоматически, чтобы сотруднику не пришлось вводить пароль? Как установить обои рабочего стола или настроить параметры обновлений Windows?

Ответом на все эти вопросы является Microsoft Intune и его мощнейший инструмент — Профили конфигурации (Configuration Profiles).

Смена парадигмы: от GPO к MDM

Если вы пришли из мира классического системного администрирования, вы наверняка знакомы с групповыми политиками (Group Policy Objects — GPO). Десятилетиями GPO были стандартом настройки компьютеров в домене Active Directory.

Однако в облачном мире, где устройства могут находиться где угодно (дома, в кафе, в другой стране) и не иметь прямого доступа к контроллеру домена, GPO перестают быть эффективными. Microsoft Intune использует протокол MDM (Mobile Device Management). Это открытый стандарт, который позволяет серверу (Intune) отправлять команды и настройки клиенту (Windows, macOS, iOS, Android).

!Сравнение доставки политик: локальные GPO против облачного MDM.

Что такое профили конфигурации?

Профили конфигурации — это наборы настроек, которые вы создаете в Intune и назначаете группам устройств или пользователей. По сути, это облачный аналог GPO.

Когда устройство синхронизируется с Intune, оно проверяет, назначены ли ему новые профили. Если да, агент Intune на устройстве применяет эти настройки.

Типы профилей конфигурации

В интерфейсе Intune вы столкнетесь с несколькими способами создания профилей. Для экзамена MD-102 критически важно понимать разницу между ними.

Каталог параметров (Settings Catalog)

Это современный и рекомендуемый способ создания политик. Представьте его как огромный интернет-магазин настроек. Вы заходите в каталог, в поиске вбиваете «Bluetooth» или «BitLocker», выбираете нужные галочки и добавляете их в свой профиль. Каталог параметров содержит тысячи настроек и обновляется быстрее других методов.

Административные шаблоны (Administrative Templates)

Этот тип создан специально для администраторов, привыкших к GPO. Интерфейс и структура папок здесь полностью повторяют классические ADMX-шаблоны из локального Active Directory (Конфигурация компьютера -> Административные шаблоны...). Если вы мигрируете с GPO на Intune, это ваш лучший друг.

Шаблоны (Templates)

Это готовые наборы настроек для конкретных сценариев. Например: * Wi-Fi: для настройки SSID и паролей. * VPN: для конфигурации подключения к корпоративной сети. * Certificates: для распространения корневых сертификатов. * Kiosk: для настройки режима киоска.

Пользовательские профили (Custom OMA-URI)

Это «тяжелая артиллерия». Если какой-то настройки нет в графическом интерфейсе Intune, но она поддерживается операционной системой Windows через протокол CSP (Configuration Service Provider), вы можете создать Custom профиль. Вам нужно будет указать путь OMA-URI (например, ./Device/Vendor/MSFT/Policy/Config/System/AllowCamera) и значение.

> Использование OMA-URI требует глубоких знаний документации Windows CSP и используется только тогда, когда другие методы недоступны.

Создание и назначение профиля

Процесс работы с профилями всегда следует одному алгоритму:

Создание: Выбор платформы (Windows 10 and later) и типа профиля (например, Settings Catalog).

Настройка: Выбор конкретных параметров (например, «Блокировать всплывающие окна в Edge»).

Теги области (Scope Tags): Используются для разделения административных полномочий (например, администраторы филиала в Лондоне видят только свои политики).

Назначение (Assignments): Самый важный этап.

Назначение: Пользователи против Устройств

Вы можете назначить профиль на группу пользователей или на группу устройств. В чем разница?

* Назначение на пользователей: Политика «бегает» за пользователем. Если Иван залогинится на свой рабочий ноутбук, политика применится. Если он возьмет планшет коллеги и зайдет под своим аккаунтом — политика применится и там (если платформа совпадает). Пример:* Настройки электронной почты, закладки браузера.

* Назначение на устройства: Политика применяется к конкретному «железу», независимо от того, кто за ним работает. Пример:* Настройки Wi-Fi, установка сертификатов, параметры BitLocker, настройки экрана блокировки.

Фильтры (Filters)

Часто возникает ситуация: нужно применить политику ко всем устройствам, кроме планшетов Surface. Раньше для этого приходилось создавать сложные динамические группы в Entra ID, которые медленно обновлялись.

Теперь в Intune есть Фильтры. Они работают мгновенно при попытке применения политики.

Пример логики фильтра: device.model -startsWith "Surface Pro"

Вы назначаете политику на группу «Все устройства», но в настройках назначения выбираете фильтр «Exclude Surface Pro». Это работает быстро и эффективно.

Конфликты политик

Что произойдет, если вы создадите две разные политики для одной и той же настройки и назначите их одной группе? Это одна из любимых тем на экзамене MD-102.

В отличие от GPO, где есть строгая иерархия (LSDOU — Local, Site, Domain, OU), в Intune структура плоская. Если возникают противоречия, работает логика разрешения конфликтов:

Compliance Policy (Политика соответствия) имеет приоритет над Configuration Profile. Если политика соответствия требует пароль, а профиль конфигурации его отключает, победит требование пароля.

Конфликт внутри одного типа профилей: Если два профиля конфигурации пытаются задать разные значения для одной настройки, результатом будет Ошибка (Conflict). Настройка не применится вообще, и администратор увидит статус «Conflict» в консоли.

> Исключение: Для некоторых политик безопасности (например, Apple или определенные настройки Endpoint Security) Intune может попытаться применить «наиболее строгую» (most restrictive) настройку, но для обычных профилей Windows чаще всего возникает ошибка.

!Логика возникновения конфликтов при наложении противоречащих настроек.

PowerShell скрипты в Intune

Иногда возможностей конфигурационных профилей недостаточно. Например, вам нужно удалить встроенные приложения Windows (Bloatware), создать специфический файл на диске или изменить сложный ключ реестра, недоступный через ADMX.

Для этого в Intune есть раздел Scripts.

Вы загружаете файл .ps1, и служба Intune Management Extension (IME) на устройстве выполняет его.

Важные параметры скриптов: * Run this script using the logged on credentials: Если «Да», скрипт выполняется от имени пользователя (доступ к HKEY_CURRENT_USER). Если «Нет», скрипт выполняется от имени системы (SYSTEM), что дает полные права на изменение ОС. * Enforce script signature check: Требовать ли цифровую подпись скрипта.

Мониторинг и отчетность

После назначения политики работа администратора не заканчивается. Нужно убедиться, что она применилась.

В Intune для каждого профиля есть детальная статистика: * Succeeded: Настройка успешно применена. * Error: Произошла ошибка (например, неверный OMA-URI). * Conflict: Найдено противоречие с другой политикой. * Not Applicable: Политика не подходит для этого устройства (например, настройка BitLocker для виртуальной машины без TPM).

Вы можете «провалиться» в статус и увидеть детализацию по каждому конкретному устройству и пользователю.

Практические сценарии для экзамена

При подготовке к MD-102 обратите внимание на следующие сценарии:

Миграция GPO: Знайте, что можно использовать инструмент Group Policy Analytics в Intune. Вы импортируете XML-файл с вашими старыми GPO, и Intune анализирует, какие настройки можно перенести в облако, а какие не поддерживаются.

Режим киоска: Умение настраивать профиль Kiosk (Multi-app или Single-app) через шаблоны.

Wi-Fi профили: Понимание разницы между Personal (пароль) и Enterprise (сертификаты/RADIUS) профилями.

Заключение

Профили конфигурации — это основной рычаг управления парком устройств. Используя Settings Catalog для повседневных задач, Administrative Templates для миграции и Scripts для нестандартных решений, вы получаете полный контроль над состоянием операционной системы.

Однако, просто настроить устройство мало. Нужно убедиться, что оно безопасно и соответствует корпоративным стандартам, прежде чем давать ему доступ к данным. В следующей статье мы разберем Политики соответствия (Compliance Policies) — механизм, который проверяет «здоровье» устройства.

Управление приложениями и политиками обновлений программного обеспечения

Мы продолжаем подготовку к экзамену MD-102: Endpoint Administrator. В предыдущих модулях мы развернули операционную систему через Autopilot, настроили идентификацию в Entra ID и применили конфигурационные профили через Intune. Теперь у нас есть настроенный и безопасный компьютер, но он... пустой. Пользователю нужны инструменты для работы: браузеры, офисные пакеты, CRM-системы. Кроме того, эту систему необходимо поддерживать в актуальном состоянии, защищая от новых угроз.

В этой статье мы разберем две критически важные темы: управление приложениями (Application Management) и управление обновлениями Windows (Windows Update for Business).

Управление приложениями в Microsoft Intune

Intune поддерживает широкий спектр типов приложений. Для экзамена MD-102 важно понимать различия между ними и сценарии их использования.

Основные типы приложений

Microsoft 365 Apps (ранее Office 365 ProPlus):

Это самый простой способ развернуть Word, Excel, PowerPoint и Outlook. Intune имеет встроенный мастер настройки, где вы просто выбираете, какие компоненты установить, канал обновлений (Current Channel или Monthly Enterprise) и архитектуру (64-bit).

Приложения Microsoft Store (новые):

Ранее использовался Microsoft Store for Business, но он выводится из эксплуатации. Новый метод интеграции позволяет искать и развертывать приложения прямо из интерфейса Intune, используя репозиторий winget. Это идеальный вариант для установки простых утилит (Калькулятор, Whiteboard) или популярных приложений (Adobe Reader, WhatsApp).

Web links:

Это просто ярлыки на веб-сайты, которые появляются в меню «Пуск» или на рабочем столе. Полезно для SaaS-приложений.

Line-of-Business (LOB) apps:

Это классические установочные файлы .msi, .appx или .msix. Вы загружаете файл в Intune, и он устанавливается на устройствах. Главное ограничение LOB — они не поддерживают сложные сценарии установки (например, запуск скрипта перед установкой) и часто конфликтуют с приложениями Win32.

Приложения Win32: Золотой стандарт развертывания

Для администратора MD-102 самым важным типом приложений является Windows app (Win32). Это наиболее гибкий и мощный инструмент, позволяющий развернуть практически любой софт (exe, скрипты, сложные инсталляторы).

Чтобы загрузить обычный .exe файл в Intune, его нужно предварительно «упаковать». Для этого используется утилита Microsoft Win32 Content Prep Tool (IntuneWinAppUtil.exe).

!Процесс упаковки классического приложения в формат .intunewin для загрузки в Intune.

#### Ключевые компоненты Win32 приложения

При создании Win32 приложения в Intune вы должны настроить три критических параметра:

Команды установки и удаления:

Вы должны явно указать Intune, как ставить приложение в «тихом» режиме. Например: * Install command: setup.exe /S * Uninstall command: setup.exe /uninstall /quiet Совет:* Всегда тестируйте эти команды в командной строке (CMD) перед загрузкой в Intune.

Правила обнаружения (Detection Rules):

Это, пожалуй, самая частая тема вопросов на экзамене. Intune должен знать: «Установилось приложение или нет?». После запуска команды установки агент Intune проверяет правило обнаружения. * File: Проверка наличия файла по определенному пути (например, C:\Program Files\App\app.exe) или его версии. * Registry: Проверка наличия ключа реестра или значения. * MSI: Проверка кода продукта (Product Code) MSI. * Script: Использование PowerShell скрипта для кастомной проверки.

> Если правило обнаружения не сработает после установки, Intune посчитает установку неудачной и попытается повторить её позже. Это частая причина «циклической переустановки» софта.

Зависимости (Dependencies):

Вы можете указать, что для установки «Приложения Б» сначала должно быть установлено «Приложение А». Intune автоматически установит их в правильном порядке.

Назначение приложений (Assignments)

Как и профили конфигурации, приложения назначаются группам. Существует три типа назначения:

* Required (Обязательно): Приложение устанавливается автоматически без вмешательства пользователя. Удалить его пользователь не может. * Available for enrolled devices (Доступно): Приложение появляется в Корпоративном портале (Company Portal). Пользователь может зайти туда и нажать «Установить», если приложение ему нужно. Это принцип самообслуживания. * Uninstall (Удалить): Intune принудительно удаляет приложение, если оно найдено на устройстве.

Управление обновлениями: Windows Update for Business

Традиционно обновлениями управляли через локальный сервер WSUS (Windows Server Update Services). В облачной среде мы используем Windows Update for Business (WUfB). Это набор политик, который говорит устройству, как и когда получать обновления напрямую с серверов Microsoft.

В Intune управление обновлениями делится на три основных компонента.

1. Кольца обновлений (Update Rings)

Кольца обновлений определяют как и когда устанавливаются обновления. Вы создаете несколько колец (например, «Test», «Pilot», «Production») и назначаете их разным группам устройств.

Ключевые настройки кольца:

* Типы обновлений: Quality Updates (Качественные обновления):* Ежемесячные патчи безопасности и исправления ошибок (традиционный «Вторник патчей»). Feature Updates (Обновления функций):* Крупные обновления версии Windows (например, переход с 22H2 на 23H2).

* Период отсрочки (Deferral period): Количество дней, на которое откладывается предложение обновления после его выпуска Microsoft. Например, для кольца «Production» можно поставить отсрочку 10 дней для Quality Updates, чтобы убедиться, что патч не вызывает проблем в кольце «Pilot».

* Крайний срок (Deadline): Это жесткое требование. Например, вы разрешаете пользователю откладывать перезагрузку, но через 5 дней после установки обновления перезагрузка произойдет принудительно.

* Период отсрочки (Grace Period): Дополнительное время после наступления Deadline, чтобы пользователь мог сохранить работу перед принудительной перезагрузкой.

!Временная шкала применения обновлений в Windows Update for Business.

2. Обновления функций (Feature Updates)

Если Update Rings говорят «отложи обновление на 30 дней», то политики Feature Updates говорят «оставайся на конкретной версии Windows».

Сценарий: Вы хотите, чтобы все компьютеры в компании работали на Windows 10 версии 22H2 и не обновлялись до Windows 11, даже если она доступна.

Вы создаете политику Feature Update и выбираете целевую версию: Windows 10, version 22H2. Устройства будут получать патчи безопасности, но никогда не установят новую версию ОС, пока вы не измените эту политику.

> Важно для экзамена: Если есть конфликт между настройками отсрочки в Update Ring и политикой Feature Update, политика Feature Update имеет приоритет в вопросе выбора версии ОС.

3. Обновления драйверов (Driver Updates)

Это относительно новая функция Intune. Она позволяет администраторам вручную одобрять или отклонять драйверы для конкретных моделей устройств. Это решает проблему, когда новый драйвер видеокарты ломает работу специфического ПО.

Мониторинг и отчетность

Развертывание — это только половина дела. В Intune есть мощные инструменты мониторинга:

* App Install Status: Показывает круговую диаграмму успешных и неудачных установок для каждого приложения. * Windows Update reports: Позволяют увидеть, какие устройства имеют последние патчи безопасности, а какие уязвимы или имеют ошибки обновления.

Заключение

Эффективное управление конечными точками невозможно без контроля над программным обеспечением. Использование Win32 приложений с правильными Detection Rules дает вам гибкость установки любого софта. А грамотно настроенные Update Rings обеспечивают баланс между безопасностью (быстрая установка патчей) и стабильностью (тестирование обновлений перед массовым внедрением).

В следующей статье мы перейдем к защите данных и устройств, рассматривая политики безопасности Endpoint Security, BitLocker и Defender.

Защита конечных точек, мониторинг состояния и отчетность

Мы подошли к финальной части нашего базового курса подготовки к экзамену MD-102: Endpoint Administrator. В предыдущих статьях мы прошли путь от «голого» железа до полностью настроенного рабочего места с установленными приложениями. Мы использовали Autopilot для развертывания, Entra ID для идентификации и Intune для конфигурации.

Но работа администратора не заканчивается на выдаче ноутбука пользователю. Теперь перед нами стоят две критически важные задачи:

Защита: Как гарантировать, что данные на устройстве не будут украдены, а система не будет заражена?

Мониторинг: Как узнать, что устройство работает медленно, приложения «падают», или обновление Windows вызвало синий экран смерти (BSOD)?

В этой статье мы разберем узел Endpoint Security в Intune, настройку шифрования BitLocker, интеграцию с Microsoft Defender, а также мощные инструменты аналитики и отчетности.

Endpoint Security: Центр управления безопасностью

В интерфейсе Microsoft Intune есть специальный раздел — Endpoint security (Безопасность конечных точек). Вы можете спросить: «Зачем он нужен, если у нас уже есть Профили конфигурации, которые мы разбирали ранее?».

Действительно, многие настройки (например, BitLocker или антивирус) можно настроить через обычные Configuration Profiles. Однако раздел Endpoint security создан специально для специалистов по безопасности (SecOps). Он группирует настройки по логическим категориям защиты, а не по типу операционной системы или протоколу.

!Структура раздела Endpoint Security в консоли Intune, объединяющая ключевые защитные механизмы.

Основные компоненты Endpoint Security, которые нужно знать для экзамена:

* Antivirus: Управление настройками Microsoft Defender Antivirus (сканирование, исключения, защита в реальном времени). * Disk encryption: Управление BitLocker (Windows) и FileVault (macOS). * Firewall: Настройка брандмауэра Windows (правила входящих/исходящих подключений). * Attack surface reduction (ASR): Правила сокращения поверхности атаки. Например, блокировка запуска исполняемых файлов из почтовых вложений или запрет макросов Office.

Шифрование дисков: BitLocker

Для экзамена MD-102 тема BitLocker является одной из самых важных. Главная цель — защитить данные на потерянном или украденном ноутбуке.

Silent Encryption (Тихое шифрование)

В современной среде мы стремимся к тому, чтобы шифрование включалось автоматически и незаметно для пользователя. Это называется Silent Encryption. Чтобы оно сработало, должны быть выполнены условия:

Устройство должно иметь чип TPM (версии 1.2 или 2.0).

Устройство должно быть присоединено к Entra ID (Joined) или гибридно присоединено (Hybrid Joined).

В политике Intune должно быть разрешено сохранение ключей восстановления в Entra ID.

Если эти условия выполнены, Intune отправляет команду, диск шифруется, а ключ восстановления (Recovery Key) автоматически отправляется в облако и привязывается к объекту устройства в Entra ID.

Управление ключами (Key Rotation)

Что делать, если ключ восстановления был скомпрометирован (например, администратор продиктовал его пользователю по телефону)? В Intune есть функция Key Rotation (ротация ключей). Вы можете настроить политику так, чтобы после использования ключа восстановления устройство автоматически генерировало новый ключ и отправляло его в Entra ID, заменяя старый.

Microsoft Defender for Endpoint

Важно различать два понятия:

Microsoft Defender Antivirus: Это встроенный в Windows бесплатный антивирус. Он работает на основе сигнатур и эвристики.

Microsoft Defender for Endpoint (MDE): Это платное облачное решение класса EDR (Endpoint Detection and Response). Оно анализирует поведение, выявляет сложные атаки, позволяет изолировать зараженные машины удаленно.

На экзамене часто спрашивают про Onboarding (подключение) устройств к MDE. Процесс выглядит так:

В консоли Intune вы настраиваете Connector (связь) между Intune и MDE.

Создаете профиль конфигурации типа EDR (Endpoint Detection and Response) в разделе Endpoint Security.

Назначаете этот профиль на группу устройств.

После этого устройства начинают отправлять телеметрию безопасности в облако Defender.

Базовые показатели безопасности (Security Baselines)

Настройка сотен параметров безопасности вручную — это долго и чревато ошибками. Microsoft предлагает готовое решение — Security Baselines.

Security Baseline — это набор предварительно настроенных параметров безопасности, рекомендованных экспертами Microsoft. Это своего рода «шаблон лучшей практики».

Преимущества: * Быстрый старт: вы применяете один профиль и сразу закрываете сотни уязвимостей. * Версионность: когда Microsoft выпускает новые рекомендации, вы можете обновить версию бейслайна на своих устройствах.

Риски: * Конфликты: Бейслайны часто конфликтуют с вашими ручными настройками. Если в бейслайне сказано «Блокировать USB», а в вашем профиле конфигурации «Разрешить USB», возникнет ошибка конфликта.

> Используйте Security Baselines как отправную точку, но внимательно тестируйте их перед массовым внедрением.

Мониторинг и аналитика: Endpoint Analytics

Мы защитили устройства. Теперь нужно понять, как они работают. Если у генерального директора компьютер загружается 10 минут, это проблема администратора. Для решения таких задач существует Endpoint Analytics.

Endpoint Analytics фокусируется на пользовательском опыте (User Experience). Он собирает данные и дает оценку (Score) вашей инфраструктуре.

Ключевые метрики Endpoint Analytics:

Startup performance (Производительность запуска):

Показывает, сколько времени занимает загрузка устройства от нажатия кнопки до возможности работать. Отчет делит время на этапы: BIOS, загрузка ОС, вход в систему (GPO, загрузка профиля). Это позволяет понять, виновато ли старое «железо» или «тяжелые» групповые политики.

Work from anywhere (Работа отовсюду):

Оценивает, насколько устройства готовы к удаленной работе. Проверяет настройки Windows, облачную идентификацию и управление.

Application reliability (Надежность приложений):

Показывает, какие приложения чаще всего «вылетают» (crash) или зависают. Если вы видите, что outlook.exe падает на 50% устройств, это сигнал к откату последнего обновления Office.

!Дашборд производительности запуска, где видно время загрузки BIOS, входа в систему и сравнение с эталонными значениями.

Проактивные исправления (Proactive Remediations)

Это одна из самых мощных функций для автоматизации поддержки. Proactive Remediations позволяют вам находить и исправлять проблемы до того, как пользователь о них сообщит.

Механизм работает на паре скриптов PowerShell:

Detection Script (Скрипт обнаружения): Запускается по расписанию (например, раз в день). Он проверяет условие. Если проблема найдена, скрипт возвращает «Exit code 1».

Remediation Script (Скрипт исправления): Запускается только если скрипт обнаружения нашел проблему. Он вносит изменения.

Пример: Detection:* Проверить, запущен ли агент инвентаризации. Если нет — вернуть ошибку. Remediation:* Запустить службу агента.

Для использования Proactive Remediations требуется лицензия Windows 10/11 Enterprise E3 или E5.

Отчетность в Intune

Intune предоставляет несколько типов отчетов:

Operational Reports (Операционные отчеты):

Показывают данные в реальном времени. Например, список устройств, не соответствующих политикам (Non-compliant). Эти отчеты полезны для ежедневной работы.

Historical Reports (Исторические отчеты):

Показывают тренды за период времени. Например, график успешности обновлений Windows за последний месяц.

Data Warehouse (Хранилище данных):

Если встроенных отчетов недостаточно, вы можете подключить Power BI к хранилищу данных Intune и строить собственные сложные визуализации.

Заключение курса

Поздравляем! Вы завершили серию статей по подготовке к экзамену MD-102. Мы прошли путь от понимания концепции современного управления до глубокой настройки безопасности и мониторинга.

Что мы изучили:

Autopilot: Как превратить новое устройство в корпоративное без переустановки ОС.

Entra ID: Как управлять доступом и идентификацией.

Intune Configuration: Как применять настройки и ограничения.

Apps & Updates: Как доставлять софт и поддерживать актуальность системы.

Security & Monitoring: Как защищать периметр и следить за здоровьем инфраструктуры.

Экзамен MD-102 требует не только теоретических знаний, но и понимания того, где именно в интерфейсе находится та или иная кнопка. Мы рекомендуем завести тестовый тенант (Microsoft предоставляет пробные версии) и пройти все сценарии, описанные в этом курсе, на практике.

Удачи на экзамене!