English
Hwb

Trosolwg

Beth yw Intune?

Dull o reoli dyfeisiau symudol (MDM) yw Microsoft Intune. Gallwch ei ddefnyddio i reoli dyfeisiau Windows ac Apple, gan gynnwys Windows 11 SE, lle bynnag maen nhw drwy’r cwmwl. Gallwch osod proffiliau cyfyngu a ffurfweddu, llwytho apiau, gosod polisïau cydymffurfio, rheoli diogelwch dyfeisiau, a llawer mwy.

Mae defnyddio Intune trwy Hwb yn sicrhau integreiddio di-dor â gwasanaethau Hwb ar y dyfeisiau hyn, gan ddefnyddio dull cofrestru untro i fewngofnodi’n awtomatig i wasanaethau fel OneDrive, Teams, a rhaglenni Microsoft 365.

Mae hyn yn darparu profiad llawer gwell i’r defnyddiwr terfynol - does dim angen cofio llu o enwau defnyddiwr a chyfrineiriau, cysondeb o ran ymddygiad ac amddiffyniad y ddyfais, a gallu cael gafael ar beth bynnag sydd ei angen arnynt o unrhyw rwydwaith, boed yn yr ysgol neu gartref.

Yn achos technegwyr awdurdodau lleol ac ysgolion, mae’r broses o ychwanegu dyfeisiau, ffurfweddu polisïau, a llwytho apiau, yn gyflym ac yn syml. Mae defnyddio cynigion cwmwl Hwb yn dileu’r angen i letya a chynnal gweinyddwyr a seilweithiau drud ar y safle. Mae hyn yn arbed arian ac amser a fyddai eu hangen i brynu a chynnal y gweinyddwyr hyn, a chostau trwyddedu cysylltiedig, y gellir eu dyrannu’n well i ddysgu ac addysgu yn yr ysgolion. Gan mai gwasanaeth cwmwl yw hwn, mae Intune hefyd yn darparu’r cadernid a’r cyfleustra o allu rheoli dyfeisiau o unrhyw le sydd â chysylltiad Rhyngrwyd.

Mae dau borth ar gyfer cyrchu Intune:

Intune - https://intune.microsoft.com/

Mae porth Intune yn cynnig y set gyflawn o offer Rheoli Dyfeisiau Symudol, gan gynnwys mynediad i reoli Autopilot ac Apple Deployment Program. Argymhellir porth Intune ar gyfer gweinyddwyr sydd â gwybodaeth a hyfforddiant technegol.

Intune for Education - https://intuneeducation.portal.azure.com/

Mae Intune for Education yn darparu rhyngwyneb llai technegol i ddefnyddwyr mewn ysgolion allu rheoli eu dyfeisiau a llwytho rhaglenni mewn ffordd fwy hwylus. Argymhellir Intune for Education ar gyfer Gweinyddwyr Hwb ysgolion sydd angen swyddogaethau cyfyngedig yn unig.

Gwybodaeth

Mae’r ddau borth yn cyrchu’r un gwasanaeth Intune, ond mae rhyngwyneb Intune for Education wedi’i symleiddio i’w wneud yn haws i’w ddefnyddio.  Mae hyn yn golygu na fydd polisïau neu osodiadau datblygedig sydd wedi’u ffurfweddu ym mhorth Intune, fel polisïau Wi-Fi menter, yn ymddangos yn Intune for Education.  Oherwydd hyn, rydym yn argymell mai dim ond polisïau ‘cychwynnol’ y dylech eu creu yn Intune for Education, neu bolisïau sylfaenol nad oes angen eu haddasu ymhellach yn Intune.

Rhagofynion

I ddechrau defnyddio Hwb Intune, rhaid i awdurdodau lleol sicrhau’r canlynol ar ran eu hysgolion:

  • gall dysgwyr a staff addysgu gael gafael ar offer a gwasanaethau trwy eu cyfrifon Hwb yn y cwmwl
    Mae hyn yn cynnwys sicrhau bod yr holl ddata defnyddiwr yn cael eu lletya trwy denantiaeth Hwb Office 365 (OneDrive, SharePoint ac ati). Mae cymorth mudo cyfyngedig ar gael drwy wneud cais i Ddesg Gwasanaeth Hwb.

  • mae dyfeisiau’n rhedeg system weithredu â chymorth
    Ar hyn o bryd, dim ond dyfeisiau Windows, iPad, a Mac y gellir eu rheoli yn Intune gyda Hwb.
    Supported operating systems and browsers in Intune | Microsoft Learn

  • Rhaid i ddefnyddwyr gael trwydded A3 – rhoddir un i bob dysgwr ac aelod staff cymwys yn awtomatig.

Dirprwyo gweinyddu Intune

Defnyddir model rheoli mynediad seiliedig ar rôl (RBAC) i ddarparu mynediad gweinyddol dirprwyedig i Intune.  Cyflawnir hyn trwy gyfuniad o rolau a thagiau cwmpas.

Rolau

Mae rolau Intune yn rheoli’r hyn y gall gweinyddwr ei wneud ym mhyrth Intune. Rhaid i ddefnyddiwr gael rôl weinyddol Intune i gyrchu pyrth Intune a rheolaethau grŵp Intune yn y Porth Rheoli Defnyddwyr.

Mae 3 rôl weinyddol Intune ar gael:

  • Gweinyddwyr Intune Awdurdodau Lleol
    Mae gan y defnyddwyr hyn fynediad llawn fwy neu lai i holl osodiadau ac opsiynau Intune ond dim ond y rhai a neilltuwyd i’w hawdurdod lleol, gan gynnwys ysgolion, maen nhw’n gallu eu gweld a gweithredu arnynt. Gellir gofyn am gael eich neilltuo i’r rôl hon trwy Ddesg Gwasanaeth Hwb.

  • Gweinyddwyr Intune Ysgolion
    Mae gan y defnyddwyr hyn yr un mynediad â Gweinyddwyr Awdurdodau Lleol ond dim ond y rhai o fewn eu hysgol maen nhw’n gallu eu gweld a gweithredu arnynt. Gall Gweinyddwyr Awdurdod Lleol neilltuo’r rôl hon i staff ysgol unigol drwy’r Porth Rheoli Defnyddwyr os ydyn nhw’n dymuno dirprwyo’r rheolaethau hyn.

  • Rheolwyr Apiau a Dyfeisiau YsgolionMae gan y defnyddwyr hyn fynediad cyfyngedig, a’r gallu i reoli dyfeisiau a llwytho apiau yn eu hysgol. Ni allant ffurfweddu unrhyw broffiliau ffurfweddu. Gall Gweinyddwyr Awdurdod Lleol neilltuo’r rôl hon i staff ysgol unigol drwy’r Porth Rheoli Defnyddwyr os ydyn nhw’n dymuno dirprwyo’r rheolaethau hyn.

Mae rhoi rôl weinyddol Intune i ddefnyddiwr yn ei ychwanegu at neilltuo rôl yn Intune. Mae’r rhain yn galluogi’r gweinyddwr i gyflawni swyddogaethau gweinyddol, a reolir gan ganiatadau’r rôl gysylltiedig, ac yn nodi’r grwpiau sy’n cynnwys gwrthrychau defnyddiwr neu ddyfais y gall y gweinyddwr gyflawni camau gweinyddol ar eu cyfer.

I neilltuo rôl weinyddol Intune i ddefnyddiwr:

  1. Mewngofnodwch i’r Porth Rheoli Defnyddwyr gyda chyfrif sydd eisoes â’r rôl Gweinyddwr Intune.
  2. Porwch i ddangosfwrdd yr awdurdod lleol priodol neu’r ysgol briodol.
  3. Cliciwch ar Manage Intune Administrator yn y ddewislen
  4. Cliciwch ar Promote wrth y cyfrif dewisol.
  5. Dewiswch y rôl briodol.
Gwybodaeth

Dim ond defnyddiwr presennol Intune Admin sy’n gallu codi statws un arall - gall gweinyddwyr Intune awdurdodau lleol neilltuo rolau i weinyddwyr awdurdodau lleol eraill a gweinyddwyr ysgolion, tra nad yw gweinyddwyr Intune ysgolion ond yn gallu neilltuo gweinyddwyr eraill ar gyfer yr un ysgol. Os nad oes unrhyw weinyddwr Intune yn bodoli i’r awdurdod lleol, codwch gais gyda Desg Gwasanaeth Hwb.

Tagiau cwmpas

Mae un neu ragor o dagiau cwmpas yn cael ei roi i bob rôl sy’n cael ei neilltuo. Mae’r tagiau cwmpas hyn yn unigryw i bob awdurdod lleol neu ysgol ac yn cael eu henwi gyda rhif yr awdurdod lleol neu’r ysgol. Mae tagiau cwmpas yn rheoli’r hyn y gall gweinyddwyr ei weld yn yr Intune, sy’n cynnwys gwrthrychau fel dyfeisiau, polisïau ac apiau.

Mae tagiau cwmpas yn gysylltiedig â’r grwpiau cyfatebol sy’n cynnwys y gwrthrychau defnyddiwr neu ddyfais ar gyfer yr ysgol honno neu’r awdurdod lleol hwnnw. Bydd tag cwmpas yn cael ei neilltuo i unrhyw ddyfais a ychwanegir at y grŵp (neu is-grŵp), sy’n golygu ei bod yn weladwy i unrhyw weinyddwr sydd â’r tag cwmpas hwnnw fel rhan o’u rôl. Yn yr un modd, pryd bynnag y bydd eitem ffurfweddu yn cael ei chreu yn Intune (polisïau ffurfweddu, apiau, proffiliau cofrestru, ac ati) bydd hefyd yn cael tag(iau) cwmpas y gweinyddwr a’u creodd nhw.

Ar gyfer awdurdodau lleol, mae eu tag cwmpas yn cael ei gyflwyno i’r grŵp awdurdod lleol lefel uchaf, sef y rhiant ar gyfer pob grŵp ysgol, ac sydd wedi’i gynnwys yn rôl Weinyddol Intune yr Awdurdod Lleol.  Mae hyn yn caniatáu i weinyddwyr Intune awdurdodau lleol weld pob dyfais o fewn eu hawdurdod.  Mae’r rôl hefyd yn cynnwys holl dagiau cwmpas eu hysgolion, sy’n caniatáu i’r gweinyddwyr weld unrhyw eitemau ffurfweddu a grëwyd gan weinyddwyr yr ysgolion hynny.

Ar gyfer ysgolion, mae eu tag cwmpas yn cael ei gyflwyno i rhiant-grŵp yr ysgol honno a dyma’r unig un sydd wedi’i gynnwys ar gyfer eu rôl.  Mae hyn yn golygu mai dim ond dyfeisiau ac eitemau ffurfweddu sy’n perthyn i’w hysgol nhw y gall gweinyddwyr mewn ysgolion eu gweld.

Gwybodaeth

Gall gweinyddwr weld gwrthrych dim ond os yw ei rôl yn cynnwys y tag cwmpas cyfatebol. Gellir ychwanegu tagiau cwmpas i eitem i’w gwneud yn weladwy i weinyddwyr eraill, neu eu tynnu er mwyn ei chuddio.

Pan fydd gweinyddwr awdurdod lleol yn creu eitem ffurfweddu yn Intune, mae eu holl dagiau cwmpas yn cael eu cymhwyso’n awtomatig, gan gynnwys y rhai ysgolion.  Mae hyn yn golygu bod yr eitem yn weladwy i weinyddwyr ysgolion hefyd, a all ei golygu yn dibynnu ar eu rôl.

Ystyriwch ddileu unrhyw dagiau cwmpas nad oes eu hangen o eitemau ffurfweddu i atal rhywun heb awdurdod rhag eu golygu. Dim ond i wneud yr eitem ffurfweddu honno’n hygyrch i weinyddwyr y mae angen tag cwmpas. Gallwch neilltuo eitem ffurfweddu i grŵp heb dag cwmpas a bydd yn dal i fod yn gymwys.

Rhybudd

Cant o dagiau cwmpas ar y mwyaf a ganiateir ar eitem ffurfweddu. Os oes gan awdurdod lleol fwy na 100 o ysgolion, ac felly mwy na 100 o dagiau cwmpas ar y rôl, bydd eitemau ffurfweddu a grëwyd gan weinyddwr awdurdod lleol yn methu oni bai bod rhai tagiau cwmpas yn cael eu dileu.
Mae hyn hefyd yn atal rhywun rhag defnyddio porth Intune for Education i greu eitemau ffurfweddu gan nad oes modd dileu tagiau cwmpas wrth eu creu.

Company Portal

Ap arbennig i’w ddefnyddio gydag Intune sy’n darparu opsiynau hunanwasanaeth yw Porth y Cwmni.

Trwy wneud apiau ‘ar gael’ ar Intune, gall defnyddwyr agor ap Porth y Cwmni a’i ddefnyddio fel catalog apiau. Mae hyn yn fwyaf addas ar gyfer apiau mwy o faint nad ydynt yn hanfodol, y gellir eu gosod wedyn pan mae’n gyfleus i’r defnyddiwr.

Os defnyddir Porth y Cwmni i osod ap ar ddyfais, mae’r ap hwnnw ar gael i holl ddefnyddwyr y ddyfais honno wedyn, nid dim ond y person sy’n ei osod.

Windows 11 SE

Windows 11 SE Overview | Microsoft Learn

System weithredu a ddyluniwyd gan Microsoft, ar gyfer y sector addysg yn unig, yw Windows 11 SE. Yn y bôn, fersiwn symlach o Windows 11 ydyw, gyda dull cwmwl yn gyntaf, ac mae’n defnyddio polisïau addysgol ar gyfer rheoli, ac yn atal apiau heb eu cymeradwyo rhag cael eu gosod. Mae ganddi orbenion perfformiad isel ar gyfer dyfeisiau, gyda phwyslais cryf ar ddiogelwch, y sector addysg, a fforddiadwyedd, sy’n ei gwneud yn ddelfrydol i’w defnyddio mewn amgylchedd ysgol.

Gwybodaeth

Dim ond gan ailwerthwyr mae Windows 11 SE ar gael.  Nid oes cyfryngau gosod ar gael ar ei gyfer, felly os yw dyfais yn cael ei newid i Windows 11 ni ellir ei throi’n ôl.

Cofrestru dyfeisiau Windows 11 SE

Gellir cofrestru dyfais Windows 11 SE gan ddefnyddio Autopilot neu becyn ddarpariaeth, yr un fath â dyfeisiau Windows eraill. Fodd bynnag, mae rhai cafeatau i’w hystyried:

  • Autopilot - Allwch chi ddim casglu’r hash caledwedd a’i fewnforio i Intune, gan nad yw’n caniatáu mynediad i PowerShell. Rhaid i chi ofyn i’r OEM/ailwerthwr gofrestru’r dyfeisiau ar eich rhan. Unwaith y byddwch yn Autopilot, mae’r broses baratoi yr un fath.
  • Pecyn Darpariaeth – Dim ond ap Set Up Schools PCs y gallwch ei ddefnyddio i greu pecyn darpariaeth, a rhaid dewis Windows 11 SE i ffurfweddu’r pecyn i’r OS hwn.

Polisïau ffurfweddu Windows 11 SE

Gellir rheoli Windows 11 SE yn llawn yn Intune. Mae wedi’i ffurfweddu’n barod gyda rhai gosodiadau y gellir eu teilwra ymhellach trwy bolisïau Intune.

Er hynny, does dim modd newid rhai gosodiadau. Mae’r rhain yn effeithio ar swyddogaethau gweinyddu dyfeisiau, fel mynediad at offer gweinyddol fel y sbardun gorchmynion neu PowerShell (rhaid defnyddio sgriptiau PowerShell trwy Intune i redeg ar ddyfeisiau Windows 11 SE).

Apiau a gefnogir ar Windows 11 SE

Mae dyfeisiau Windows 11 SE yn defnyddio Windows Defender Application Control (WDAC) i reoli pa apiau y caniateir eu gosod. Rhaid i’r apiau hyn gael eu cymeradwyo i’w gosod ymlaen llaw gan Microsoft neu bydd yn methu â chod gwall 0x87D300D9.

I ychwanegu ap at y rhestr gymeradwy, rhaid i ddatblygwr yr ap wneud cais trwy Microsoft Education Support. Am restr o apiau cymeradwy.

Gwybodaeth

Gan ddechrau gyda Windows 11 SE fersiwn 22H2, bydd dyfeisiau sydd wedi’u cofrestru yn Intune yn derbyn polisi WDAC sy’n gosod Intune Management Engine (IME) fel gosodwr dibynadwy.  Mae hyn yn golygu y caniateir apiau a anfonir trwy Intune yn awtomatig, gan osgoi’r angen i fod ar y rhestr gymeradwy.

  • Cyhoeddwyd gyntaf 18 Mehefin 2024
  • Diweddarwyd ddiwethaf 18 Mehefin 2024