Microsoft Intune
Cynulleidfa a awgrymir: Mae'r erthygl hon ar gyfer awdurdodau lleol sydd wedi mynegi diddordeb yn y broses o gyflwyno Intune trwy Hwb.
Trosolwg
Microsoft Intune yw’r lle i chi reoli eich dyfeisiau Windows 10. Mae’n eich galluogi i fanteisio ar bwer y cwmwl i reoli eich dyfeisiau ble bynnag maen nhw. Gallwch osod proffiliau cyfyngu a ffurfweddu, defnyddio apiau, gosod polisïau cydymffurfio a llawer mwy.
Mae dau borth ar gyfer cael mynediad at Intune:
Endpoint Manager: - https://endpoint.microsoft.com/
Mae porth Endpoint Manager yn cynnig cyfres gyflawn o offer Rheoli Dyfeisiau Symudol, yn cynnwys mynediad at reolaeth yr Apple Deployment Program ac Autopilot. Argymhellir Endpoint Manager i’w ddefnyddio gan weinyddwyr sydd â’r hyfforddiant a’r wybodaeth dechnegol berthnasol.
Intune for Education: - https://intuneeducation.portal.azure.com/
Mae Intune for Education yn darparu rhyngwyneb llai technegol ar gyfer defnyddwyr mewn ysgolion, fel y gallan nhw reoli eu dyfeisiau a defnyddio cymwysiadau mewn modd mwy hwylus. Argymhellir Intune for Education ar gyfer ysgolion sy’n hyrwyddwyr digidol.
Mae’r ddau borth yn rhoi mynediad at yr un gwasanaeth Intune, gyda gosodiadau Intune for Education yn haws i’w defnyddio. Mae’r newidiadau rydych chi’n eu gwneud i un porth ar gael hefyd yn y llall.
Nid yw pob gosodiad Endpoint Manager ar gael yn Intune for Education. Mae Intune for Education wedi ei symleiddio i fod yn haws i’r defnyddiwr.
Rhagofynion
Er mwyn dechrau defnyddio Hwb Intune, rhaid i awdurdodau lleol sicrhau’r elfennau canlynol ar ran eu hysgolion:
- Mae modd i ddysgwyr a staff addysgu gael gafael ar offer a gwasanaethau drwy eu cyfrifon Hwb yn y cwmwl. Mae hyn yn cynnwys sicrhau bod yr holl ddata defnyddiwr yn cael eu lletya trwy denantiaeth Hwb Office 365 (OneDrive, SharePoint etc)
- Rhaid trwyddedu pob dyfais a reolir trwy Hwb Intune o leiaf gyda Windows 10 Pro neu Windows 10 Pro Education - https://hwb.gov.wales/canolfan-cymorth/gwasanaethau-hwb/microsoft/trwyddedau-microsoft-365/
- Rhaid i staff sy’n defnyddio dyfeisiau a reolir trwy Hwb Intune gael trwydded M365 a gellir ei chael drwy wneud cais drwy’r Porth Rheoli Defnyddwyr - https://hwb.gov.wales/canolfan-cymorth/gwasanaethau-hwb/rheoli-defnyddwyr/#microsoft-365
Defnyddio Intune
Mae tair prif rôl ar gyfer darparu mynediad at Intune a’i swyddogaethau:
- Gweinyddwyr Awdurdodau Lleol: Mae gan y defnyddwyr hyn fynediad llawn bron i holl osodiadau ac opsiynau Intune, ond dim ond y rhai sydd wedi eu darparu ar gyfer eu hawdurdod lleol, yn cynnwys ysgolion, y gallant eu defnyddio. Gellir gofyn am gael eich neilltuo i’r rôl hon trwy Ddesg Gwasanaeth Hwb.
- Gweinyddwyr Intune Ysgolion: Mae gan y defnyddwyr hyn yr un mynediad â Gweinyddwyr Awdurdodau Lleol ond dim ond y rhai sydd yn eu hysgol y gallant eu gweld a’u defnyddio. Gall Gweinyddwyr Awdurdodau Lleol neilltuo’r rôl hon i staff ysgolion unigol trwy’r Porth Rheoli Defnyddwyr, os ydyn nhw am ddirprwyo’r camau rheoli hyn.
- Rheolwyr Dyfais a Apiau: Mae gan y defnyddwyr hyn fynediad cyfyngedig a’r gallu i reoli dyfeisiau a defnyddio apiau yn eu hysgolion. Allan nhw ddim ffurfweddu unrhyw broffiliau ffurfweddu. Mae’r gweinyddwyr Awdurdod Lleol sy’n neilltuo’r rôl hon i staff ysgol trwy’r porth rheoli defnyddwyr, os ydyn nhw’n dymuno dirprwyo’r rheolyddion hyn.
Rôl Weinyddol Intune
I gael mynediad i'r adran Grwpiau Intune yn y Porthol Rheoli Defnyddwyr mae'n rhaid rhoi Rôl Gweinyddol Intune i ddefnyddiwr. Mae hyn hefyd yn darparu mynediad i'r pyrth Intune ac Intune for Education. I wneud hyn:
- Cliciwch Rheoli Gweinyddwyr Intune yn y ddewislen weinyddu;
- Cliciwch Uwchraddio wrth ymyl y cyfrif defnyddiwr a ddymunir.
Bydd angen i weinyddwyr Hwb aseinio'r rôl hon i staff awdurdodau lleol. Gall staff yr awdurdodau lleol aseinio'r rôl hon i staff yr ysgol ar ddangosfwrdd yr ysgol.
Tagiau Cwmpas
Mae tag cwmpas yn cael ei roi i bob rôl weinyddol sy’n cael ei neilltuo. Mae’r tagiau cwmpas hyn yn unigryw i bob awdurdod lleol neu ysgol ac yn seiliedig ar rif yr Adran Addysg a Sgiliau neu awdurdod lleol.
Pryd bynnag y bydd eitem ffurfweddu’n cael ei chreu yn Intune (e.e. polisïau ffurfweddu, apiau, proffiliau cofrestru ac ati) bydd tag(iau) cwmpas yn cael ei roi hefyd o’r sawl a’i creodd. Gellir ychwanegu tagiau cwmpas i eitem i’w gwneud yn weladwy i weinyddwyr eraill, neu eu tynnu er mwyn eu cuddio. Dim ond os yw gweinyddwr wedi derbyn tag cwmpas cyfatebol y gall weld neu reoli ffurfweddiad eitem neu grwp o ddyfeisiau/defnyddwyr.
Bydd gan Weinyddwyr Awdurdodau Lleol eu tag cwmpas personol yn ogystal â rhai’r holl ysgolion yn yr Awdurdod. Dim ond y tag cwmpas sy’n cyfateb i’w hysgol hwy fydd gan weinyddwyr ysgolion. Felly, os bydd ysgol yn creu eitem ffurfweddu, gall yr awdurdod lleol hefyd weld yr eitem, ond nid i’r gwrthwyneb, oni bai bod y tag cwmpas yn cael ei ychwanegu’n fwriadol.
Dim ond os ydych chi am wneud gwrthrych ffurfweddu benodol yn weladwy i weinyddwyr gyda’r un tag y byddwch angen y tag cwmpas. Gallwch barhau i neilltuo gwrthrych ffurfweddu i grwp heb dag cwmpas.
Grwpiau
Trefnir dyfeisiau a defnyddwyr yn grwp hierarchaeth o ysgolion o fewn awdurdodau lleol. Mae gwrthrychau ffurfweddu yn cael eu neilltuo naill ai i ddyfais neu i grwp defnyddwyr. Trwy ddefnyddio strwythur hierarchaidd, mae modd gosod aseiniadau cyffredin unwaith ar lefel uwch gyda’r grwpiau perthnasol yn eu hetifeddu.
Gellir gweld y strwythur grwp hwn o fewn Intune for Education, gan ddangos dim ond y rhan o’r hierarchaeth y mae gan y gweinyddwr dag cwmpasu cyfatebol ar ei chyfer. Gydag Intune for Education, gellir neilltuo polisïau a chyflwyno apiau hefyd yn uniongyrchol i grwp unigol.
Mae confensiwn enwi gan y grwpiau sy’n dechrau gyda’r awdurdod lleol neu rif AdAS ysgol er mwyn eu hadnabod.
Rheoli Grwp Dyfeisiau Intune
Gellir rheoli grwpiau dyfeisiau Intune yn y Porthol Rheoli Defnyddwyr.
Yn yr adran hon gallwch:
- Weld grwpiau dyfeisiau presennol;
- Greu grwpiau dyfeisiau newydd;
- Weld y dyfeisiau sydd o fewn y grwp dyfeisiau presennol;
- Symud neu ychwanegu dyfeisiau i grwp dyfeisiau arall;
- Gweld y Dynodwr Darparu Dyfais ar gyfer eich awdurdod lleol neu ysgol
-
- Cliciwch Creu grwp dyfeisiau
- Rhowch enw addas - bydd hwn yn cael ei ragddodi â rhif DFES yr ysgol ac ni ellir ei olygu wedyn
- Cliciwch Creu
-
- Cliciwch y grwp dyfeisiau cyfredol i restru'r dyfeisiau
- Dewiswch y ddyfais neu'r dyfeisiau rydych chi am eu symud
- Cliciwch Cysylltu â grwp arall
- Dewiswch y grwp targed o'r gwymplen
- Cliciwch i Symud neu Ychwanegu'r ddyfais i'r grwp targed
Bydd Symud yn tynnu'r ddyfais o'r grwp cyfredol ac yn ei gysylltu â'r grwp targed. Bydd Ychwanegu yn cysylltu'r dyfais i'r grwp targed a'i gadw yn yr un gyfredol.
Ni ellir symud nac ychwanegu dyfeisiau at y grwp darparu dyfeisiau gan ddefnyddio'r offer hyn. Yn dibynnu ar sut y darparwyd y ddyfais, mae angen ailenwi'r ddyfais neu newid tag grwp Autopilot i anfodloni'r rheol aelodaeth grwp.
Cofrestru Dyfais
Mae modd cofrestru dyfais mewn sawl ffordd, yn ôl perchennog y ddyfais a’r math o ddyfais.
Mae’n hawdd cofrestru llawer o ddyfeisiau yr un pryd trwy ddefnyddio Autopilot (ar gyfer dyfeisiau Windows) a’r Rhaglen Cofrestru Dyfais (Device Enrolment Program) (DEP, ar gyfer dyfeisiau Apple).
Yna, bydd proffil ffurfweddu’n cael ei osod ar y ddyfais yn ôl y gofyn.
Mae dau brif fath o berchnogaeth dyfais a gefnogir gan Hwb y gellir eu gosod yn ystod cofrestru - Un-i-un sy’n addas i ddyfeisiau sy’n cael eu defnyddio’n bennaf gan ddefnyddiwr unigol ac un a Rennir sy’n addas i’w ddefnyddio yn yr ystafell ddosbarth lle mae’r ddyfais yn cael ei defnyddio gan amrywiol bobl.
Mae rhagor o wybodaeth fanwl ar gofrestru dyfais Microsoft Intune ar gael yn y ddogfen ganlynol - Enrollment in Microsoft Intune | Microsoft Docs
Gwrthrychau Ffurfweddu
Gwrthrychau ffurfweddu yw unrhyw beth gan Intune y gellir ei ychwanegu at ddyfais neu ddefnyddiwr. Mae hyn yn cynnwys gwrthrychau fel proffiliau cofrestru, cyfyngiadau dyfeisiau, gosodiadau rhwydwaith, tystysgrifau, diweddaru gosodiadau, apiau, a llawer mwy.
Dylid enwi gwrthrychau ffurfweddu yn briodol, gyda’r ALl neu rif AdAS yr ysgol yn gyntaf er mwyn nodi i bwy mae’n perthyn. Mae modd eu cwmpas dagio fel mai dim ond y gweinyddwyr priodol all eu gweld a’u golygu.
Gan ddibynnu ar y gosodiad sy’n cael ei ddefnyddio, dylai’r eitem ffurfweddu gael ei haseinio i naill ai grwp dyfais neu grwp defnyddwyr. Dim ond i fath targed penodol y gellir cymhwyso rhai gosodiadau.
Proffiliau Ffurfweddu
Bydd y rhan fwyaf o osodiadau yn rhan o broffil ffurfweddu. Wrth greu proffil ffurfweddu, mae angen i chi ddewis platfform taged (Windows neu iOS) a’r math o osodiad sy’n cael ei gymhwyso (cyfyngiad dyfais, templedi gweinyddol, Wi-Fi, gosodiadau personol ac ati).
Yn Endpoint Manager, gellir neilltuo proffiliau ffurfweddu i grwp sydd wedi ei gynnwys neu wedi ei eithrio. Gellir neilltuo proffiliau ffurfweddu sy’n gyffredin i lawer o grwpiau i riant grwp yn yr hierarchaeth gyda grwpiau plant yn eu hetifeddu, ond os nad yw’r gosodiadau yn berthnasol i rai o’r grwpiau plant gellir eu heithrio.
Argymhellir creu proffil ffurfweddu newydd ar gyfer gosodiadau nad ydynt yn berthnasol – er enghraifft, gallai’r gosodiadau ar gyfer OneDrive i gyd fynd yn yr un proffil ond dylai gosodiad i newid y papur wal fynd mewn un ar wahân. Mae hyn yn creu hyblygrwydd gwell wrth osod gosodiadau ar gyfer grwpiau niferus gyda gwahanol ofynion.
Er bod gosodiadau mewn proffil ffurfweddu yn cael eu hetifeddu nid oes synnwyr o flaenoriaeth ar gyfer gosodiadau sy’n gwrthdaro. Os yw gosodiad yn cael ei osod ar yr un grwp gyda gwerthoedd gwahanol, ni fydd y naill na’r llall yn gweithio. Gellir ymchwilio i wrthdaro drwy gwymplen Monitor yn Intune.
Gydag Intune for Education, gellir gosod gosodiadau dyfais trwy fynd i Grwpiau, dewis y grwp targed hierarchaeth, a thoglo’r rheolyddion priodol.
Mae is-set wedi ei symleiddio o osodiadau ar gael ar gyfer dyfeisiau Windows ac iOS yn Intune for Education, ond dylid gwneud gosodiadau mwy cyffredinol yn Endpoint Manager.
Os newidir gosodiad dyfais yn Intune for Education, bydd yr etifeddiaeth yn torri, a bydd y sgrin yn dangos neges i nodi hyn. O ganlyniad bydd proffil newydd yn cael ei greu, yn Endpoint Manager a bydd y grwp yn cael ei ychwanegu at yr aseiniad a eithriwyd yn aseiniad y grwp rhiant.
Mae rhagor o wybodaeth am ddefnyddio’r ap yn Intune ar gael yn y ddogfen Microsoft hon - Device features and settings in Microsoft Intune - Azure | Microsoft Docs
Defnyddio Apiau
Gellir defnyddio apiau ar ddyfeisiau o lawer o ffynonellau yn cynnwys Microsoft 365, apiau Win32, Microsoft Store neu apiau iPad. Mae hyd yn oed modd amlapio sgriptiau PowerShell mewn ap Win32app a’i ddefnyddio ar ddyfais Windows.
Rhaid gofyn am apiau Microsoft Store trwy Ddeg Gwasanaeth Hwb (hwb@llyw.cymru) a byddant yn cael eu rhyddhau yn Intune. Dim ond apiau sy’n rhad ac am ddim y gellir gofyn amdanynt o Microsoft Store.
I ddefnyddio ap yn Endpoint Manager, mae angen i chi ddewis yr ap penodol (neu ei ychwanegu os nad yw eisoes ar gael) a ffurfweddu’r opsiwn neilltuo priodol - Required, Available neu Uninstall.
Mae’r elfen neilltuo sy’n Required yn golygu bod yr ap yn cael ei osod yn awtomatig ar y ddyfais (i unrhyw ddefnyddiwr) os yw’n berthnasol i ddyfais grwp, neu bryd bynnag y bydd defnyddiwr yn mewngofnodi (ar unrhyw ddyfais gytûn) os yw’n berthnasol i grwp o ddefnyddwyr.
Dim ond i grwpiau defnyddwyr y bydd aseiniad Available yn ddefnyddiol, sy’n caniatáu i’r ap fod ar gael ar gyfer hunanosod ym Mhorth y Cwmni.
Mae elfen neilltuo Uninstall yn golygu y bydd yr ap yn cael ei ddatgysylltu ac y gellir ei ddefnyddio ar ddyfais neu grwp defnyddwyr.
Os tynnir y grwp o’r aseiniad ‘Required’ yn Endpoint Manager, nid yw hynny’n gyfystyr â datgysylltu’r ap, ond bydd yn atal darpar ddefnyddwyr neu ddyfeisiau yn y grwp hwnnw rhag derbyn yr ap. Rhaid i chi nodi’n benodol eich bod yn ychwanegu’r grwp i’r elfen neilltuo ‘Uninstall’.
Yn Intune for Education, gallwch hefyd aseinio’r apiau trwy’r grwpiau. Trwy fynd i Groups a dewis y grwp targed o hierarchaeth, gallwch wedyn ddewis yr apiau rydych chi am iddynt gael eu gosod - mae hyn yn creu elfen neilltuo Required ar yr ap yn Endpoint Manager. Bydd unrhyw aseiniadau ap cyfredol yn ymddangos fel eu bod eisoes wedi eu dewis a bydd dad-ddewis ap yn achosi iddo gael ei ddadosod – gan waredu’r elfen neilltuo Required a chreu un Uninstall yn Endpoint Manager.
Os yw ap yn gyffredin i lawer o grwpiau gellir ei aseinio ar lefel uwch yn yr hierarchaeth, a bydd yr aseiniad yn cael ei etifeddu gan grwpiau epil.
Mae rhagor o wybodaeth am ddefnyddio apiau yn Intune ar gael yn y ddogfen Microsoft hon - Add apps to Microsoft Intune | Microsoft Docs
Cyfresi Polisi
Mae cyfresi polisi yn eich galluogi i gyfuno ffurfweddau gyda’i gilydd mewn un aseiniad sengl, gan ei gwneud yn hawdd i’w rheoli a’u diweddaru. Trwy ychwanegu apiau neu broffiliau ffurfweddu cyffredin i gyfres polisi gallwch wneud un aseiniad sengl i’r grwp targed.
Er enghraifft, pe bai gennych chi gyfres bolisi sy’n gosod gwrthrychau ffurfweddu ar bob ysgol gynradd, a’ch bod am ddefnyddio ap newydd, gallech ychwanegu’r gyfres bolisi yn hytrach nag aseinio pob grwp ysgol unigol yn y gwrthrych ap.
Mae cyfresi polisi yn cynnwys cyfeiriadau at y gwrthrychau ffurfweddu sydd wedi eu cynnwys ynddyn nhw. Felly, mae unrhyw newidiadau a wneir i wrthrychau yn effeithio ar y cyfresi polisi hefyd.
Mae rhagor o wybodaeth am gyfresi polisi ar gael yn y ddogfen Microsoft hon - Policy sets - Microsoft Intune | Microsoft Docs
Porth y Cwmni
Mae Porth y Cwmni yn ap arbennig i’w ddefnyddio gydag Intune sy’n darparu opsiynau hunanwasanaeth.
Trwy ddarparu’r apiau ar Intune, gall defnyddwyr agor ap Porth y Cwmni a’i ddefnyddio fel catalog Apiau. Mae hyn yn arbennig o addas ar gyfer apiau mwy sydd heb fod yn hanfodol y gellir eu gosod wedyn pan fydd yn gyfleus i’r defnyddiwr.
Cymorth Pellach
Os hoffech ragor o gymorth cysylltwch â Desg Gwasanaeth Hwb: Hwb@llyw.cymru | 03000 25 25 25.