intune – Miroslav Šraga https://www.sraga.cz Sdílím své zkušenosti s Microsoft 365 a Azure Tue, 30 Dec 2025 18:56:37 +0000 cs hourly 1 https://wordpress.org/?v=6.9.4 Intune MDM Authority: Office 365 Mobile https://www.sraga.cz/intune-mdm-authority-office-365-mobile/ https://www.sraga.cz/intune-mdm-authority-office-365-mobile/#respond Tue, 30 Dec 2025 11:19:51 +0000 https://www.sraga.cz/?p=1209 Číst dál]]>

Správa zařízení přes Microsoft Intune dnes patří k základům bezpečného Microsoft 365 prostředí. Přesto existuje jeden scénář, který dokáže i zkušeného admina poslat na několik dní do slepé uličky: MDM Authority (autorita správy mobilních zařízení), která je v M365 tenantu nastavená na „Microsoft Office 365“, v Entra ID svítí „Office 365 Mobile“, ale v Intune u zařízení vidíte „MDM: Intune“. Co je pravda? Kdo zařízení skutečně spravuje? A proč nikde nevidíte tlačítko „Změnit“?

Obsah

Představte si situaci: přicházíte do firmy, která doposud Windows zařízení v podstatě nespravovala. Začnete studovat Entra ID, Intune, registrace zařízení, enrollment (včetně OOBE – Out-of-Box Experience). Firma už dokonce má zakoupených několik Intune licencí, přidělíte je sobě, testovacímu uživateli, DEM účtu (Device Enrollment Manager) i jednomu „běžnému zaměstnanci“ a jdete testovat.

Dva počítače projdou OOBE:

  • jeden přihlášený přes Work/School s DEM účtem
  • druhý s testovacím uživatelem.

V tu chvíli dává smysl ověřit „klíčovou věc“ – MDM Authority. A tady přichází první šok: místo „Intune“ vidíte „Microsoft Office 365“. Dobře, přeháním, nepřichází úplně šok, protože tyhle situace už znám, ale pro admina, který s tímto nemá zkušenoti, nastává období komplikací. A proto taky vzniká tento článek.

Kde je problém?

  • V diskusních fórech i v dokumentaci Microsoftu píše o „oranžovém banneru“, který vás vyzve k nastavení autority – ale vy ho nevidíte.
  • Dokumentace zmiňuje, že v některých tenantech se Intune nastavuje automaticky, jinde ne.
  • A někde se dočtete větu ve stylu „pokud byla autorita nastavena, nelze ji změnit“ – což adminovi na klidu moc nepřidá.

 

Set MDM authority to Intune

Microsoft ale tento stav popisuje celkem přesně: pokud je aktivní Basic Mobility and Security pro Microsoft 365, autorita se může tvářit jako „Office 365 Mobile“. Současně existuje režim koexistence, kde může být správa „rozdělená“ podle licencí uživatelů.

MDM Autority Office 365 Mobile - Intune + Entra

Proč se v Entra ID objevuje „Office 365 Mobile“?

Druhý šok obvykle přijde v Microsoft Entra admin centru: u zařízení je uvedeno, že je „spravované (MDM)“ přes „Office 365 Mobile“.

Tohle označení typicky souvisí právě s historickým/alternativním MDM v rámci Microsoft 365 (Basic Mobility and Security), které se v různých částech portálů a API může promítat odlišně. Microsoft přímo uvádí, že po aktivaci Basic Mobility and Security se MDM autorita nastaví na „Office 365“.

A teď paradox: v Intune je u zařízení "MDM: INTUNE"

Třetí šok: v samotném Intune portálu se u zařízení ukazuje, že MDM je Intune – takže to vypadá, že všechno je v pořádku… jenže:

  • politiky se neaplikují,
  • konfigurace se „nepushují“,
  • app deployment nejede,
  • a vy už máte za pár týdnů rollout nových zařízení a nechcete to zkazit hned na začátku.

Tenhle rozpor se děje v praxi poměrně často: portály vám zobrazují „stav“ z různých vrstev (Entra objekt vs. MDM enrollment vs. policy engine). Proto je klíčové ověřit autoritu na úrovni tenantu, ne jen „nějaké políčko u zařízení“.

Tenant Admin Status - MDM Authority

Klíčové vysvětlení: „oranžový banner“ se zobrazí jen tehdy, když autorita ještě NENÍ nastavena

Microsoft to popisuje napřímo:

  • Oranžový banner pro nastavení MDM autority uvidíte jen tehdy, když autorita ještě nebyla nastavená
  • Pokud banner nevidíte, stále existuje možnost jít přímo do nastavení autority (jen to není „na očích“). 

A to je přesně ten moment, kdy mnoho lidí ztroskotá: UI volba zmizí, protože v tenantu už „někdy něko“ v minulosti autoritu nastavil – klidně i dávno před vámi.

V praxi to často bývá tak, že tenant měl kdysi Microsoft 365 E5 / EMS nebo jiné licence, které Intune zahrnovaly, a někdo autoritu „nějak“ nastavil.

Set MDM Autorit Intune

„Skrytý“ odkaz / blade

V tom konkrétním případě může pomoci založení support ticketu, kdy vám technik pošle přímý odkaz na obrazovku Change/Choose MDM Authority, kterou jako neznalý admin sám nikde asi nenajdete, protože se v UI už běžně nezobrazuje, když už je autorita nastavená.

Microsoft Learn zmiňuje, že když banner není vidět, můžete se do nastavení autority „proklikat“ (nebo se tam dostat přímo). V praxi se ale používá i přímý odkaz na „choose MDM authority“ blade:

https://intune.microsoft.com/#view/Microsoft_Intune_Enrollment/ChooseMDMAuthorityBlade

change the MDM Authority to Intune

Po potvrzení volby znovu zkontrolujte MDM Authority na úrovni tenantu.

Tenant status - MDM Authority

Když UI nestačí: přepnutí MDM autority přes MS Graph (PowerShell)

V některých případech je nejjistější cesta přepnout autoritu přes Microsoft Graph API – to je mimochodem postup, který se v reálných projektech používá často, když je „velký prostor pro chybu“ a UI nepomáhá.

Pro nastavení MDM Authority pomocí MS Graph, potřebujete tato oprávnění (od nejnižšího nutného po nejvíce privilegované:

  • Delegated (work or school account): 
    • DeviceManagementServiceConfig.ReadWrite.All, DeviceManagementConfiguration.ReadWrite.All
  • Application
    • DeviceManagementServiceConfig.ReadWrite.All, DeviceManagementConfiguration.ReadWrite.All

Dále už stačí jen poslat HTTP request:

POST /organization/{organizationId}/setMobileDeviceManagementAuthority

Instalace MS Graph

# Instalace modulu
install-module microsoft.graph.intune

# Import modulu
import-module microsoft.graph.intune

# Připojení k MS Graph
Connect-MSGraph

# Aktualizace Enteprise APP
Update-MSGraphEnvironment -AppId 16f0680c-7253-43cf-9805-be8443a9c3c1

Celý postup:

# Ziskat DirecotryID (tenant ID)
$DirectoryID = (Get-Organization).id

# Ziskani MDM Authority
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/organization('$DirectoryID')?`$select=mobiledevicemanagementauthority" -HttpMethod Get | Select mobileDeviceManagementAuthority 

# Nastaveni MDM Authority
Invoke-MSGraphRequest -Url "https://graph.microsoft.com/v1.0/organization/$DirectoryID/setMobileDeviceManagementAuthority" -HttpMethod Post

UPDATE 12/2025: Přepnutí MDM autority přes MG Graph (PowerShell)


# 1) Instalace potřebných modulů (stačí jednou)
Install-Module Microsoft.Graph -Scope CurrentUser -Force

# 2) Načtení modulů (lze je importnout explicitně, nebo se natáhnou automaticky)
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Identity.DirectoryManagement

# 3) Připojení ke Graph (delegovaně) - potřeba scopes pro MDM authority
#    Doporučení: DeviceManagementServiceConfig.ReadWrite.All
#    (případně i DeviceManagementConfiguration.ReadWrite.All podle prostředí)
Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"

# Volitelné: ověřit Mg kontext
Get-MgContext

# 4) Získat Organization (tenant) a zjistit aktuální MDM authority
$org = Get-MgOrganization -Property "id,displayName,mobileDeviceManagementAuthority"

# Případně jen
$org = Get-MgOrganization 

$orgId = $org.Id
$org | Select-Object DisplayName, Id, MobileDeviceManagementAuthority

# 5) Přepni MDM authority na Intune
#    (cmdlet je oficiální cesta pro "set mobile device management authority")
Set-MgOrganizationMobileDeviceManagementAuthority -OrganizationId $orgId

# 6) Ověř změnu
$orgAfter = Get-MgOrganization -Property "id,displayName,mobileDeviceManagementAuthority"
$orgAfter | Select-Object DisplayName, Id, MobileDeviceManagementAuthority

# 7) Odpoj se
Disconnect-MgGraph

Alternativně lze použítInvoke-MgGraphRequest proti REST endpointům

# Instalace a import modulů
Install-Module Microsoft.Graph -Scope CurrentUser -Force
Import-Module Microsoft.Graph.Authentication
Import-Module Microsoft.Graph.Identity.DirectoryManagement

Connect-MgGraph -Scopes "DeviceManagementServiceConfig.ReadWrite.All"

# Org ID
$orgId = (Get-MgOrganization -Property "id").Id

# 1) Přečíst mobileDeviceManagementAuthority (Graph v1.0 umí select property)
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/organization/$orgId?`$select=mobileDeviceManagementAuthority" |
    Select-Object -ExpandProperty mobileDeviceManagementAuthority

# 2) Přepnout MDM authority (POST akce bez body)
Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/v1.0/organization/$orgId/setMobileDeviceManagementAuthority"

# 3) Ověřit znovu
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/v1.0/organization/$orgId?`$select=mobileDeviceManagementAuthority" |
    Select-Object -ExpandProperty mobileDeviceManagementAuthority

Disconnect-MgGraph

Co dál po přepnutí autority: realita je „re-enroll“

Tím, že autoritu přepnete, ještě nemusí být vyhráno. Častý scénář je:

  • autorita na tenantovi je už správně Intune,
  • ale některá zařízení zůstala „zapsaná“ pod starým MDM (např. Office 365 Mobile),
  • a pak se chovají nekonzistentně.

Doporučení z praxe:

  • buď se změna časem projeví,
  • nebo je potřeba zařízení re-enrolovat (odregistrovat a zaregistrovat znovu).

Mini checklist: když se policy neaplikují ani po správném MDM Authority

Pokud už máte autoritu správně a stejně „nic neteče“, doporučuji tento rychlý kontrolní seznam:

  • Ověřit MDM Authority na úrovni tenantu (Tenant Administration / Tenant Status) – musí být Intune.
  • Ověřit, jak je zařízení připojené (Entra joined / Hybrid joined / registered) a že má správný typ enrollmentu.
  • U problematických kusů udělat re-enroll (nejčistší test).
  • Pokud jde o Hybrid join, ověřit automatický enrollment (GPO / Povolit automatický zápis)

Závěrem

Na tento problém jsem poprvé narazil někdy začátkem toku 2024, ale přibližně jednou za půl roku někde tento problém vyplave a tak jsem se rozhodl sepsat tento návod, abych zmírnil utrpení ostatním adminům.

]]> https://www.sraga.cz/intune-mdm-authority-office-365-mobile/feed/ 0 Bitlocker – automatické šifrování pomocí Intune https://www.sraga.cz/bitlocker-automaticke-sifrovani-pomoci-intune/ https://www.sraga.cz/bitlocker-automaticke-sifrovani-pomoci-intune/#respond Tue, 17 Jun 2025 18:11:14 +0000 https://www.sraga.cz/?p=1090 Číst dál]]>

Mnoho správců IT se mě ptá, jak správně pomocí Intune nasadit BitLocker na zařízeních Windows 11 (ale mnohdy i 10) tak, aby se disk v tichosti na pozadí zašifroval, uživatel nemusel nikam klikat, a aby vše fungovalo „na první dobrou“. Microsoft Intune se neustále rozvíjí a umožňuje čím-dál více nastavení, avšak ne všechny konfigurace jsou vzájemně kompatibilní a vedou k požadovanému výsledku.

Obsah

Prerekvizity

Aby vše klaplo „na první dobrou“, tak je potřeba splnit několik předpokladů, které, pokud nejsou splněny, tak se disk nemusí automaticky zašifrovat, nebo BitLocker nemusí jít spustit ani ručně.

Jaké jsou tedy požadavky na zařízení, které chceme automaticky na pozadí zašifrovat:

  • Pokud se koncoví uživatelé přihlašují k zařízením jako administrátoři, zařízení musí používat Windows 10 verze 1803 nebo novější, nebo Windows 11.
  • Pokud se koncoví uživatelé přihlašují k zařízením jako standardní uživatelé, zařízení musí používat Windows 10 verze 1809 nebo novější, nebo Windows 11.
  • Zařízení musí být připojeno k Microsoft Entra (dříve Azure AD) nebo hybridně připojeno k Microsoft Entra.
  • Zařízení musí obsahovat alespoň TPM (Trusted Platform Module) verze 1.2 (dokumentace dříve uváděla potřebu TPM 2.0)
  • Režim BIOSu musí být nastaven pouze na Native UEFI.
  • Secure boot state – musí být ON (zapnuto)

Oprávnění potřebná pro správu BitLockeru

Řízení přístupu je řízeno na základě rolí (RBAC). Pro správu BitLockeru v Intune musí mít účet (uživatel) přiřazenou roli (RBAC) v Intune, která zahrnuje oprávnění Vzdálené úlohy (Remote tasks) s právem Rotovat klíče BitLockeru (Rotate BitLockerKeys).

Toto oprávnění a právo můžete přidat do vlastních RBAC rolí, nebo použít jednu z následujících předdefinovaných RBAC rolí, které toto právo již obsahují:

  • Help Desk Operator (Operátor helpdesku)
  • Endpoint Security Administrator (Správce zabezpečení koncového bodu)

Kde je možné nastavit politiky

Automatické šifrování se provádí pomocí konfiguračních politik (konfiguračních zásad nebo také konfiguračních profilů). Pro konfiguraci šifrování na spravovaných zařízeních použijte jeden z následujících typů zásad:

1. Zabezpečení koncového bodu (Endpoint security) > Zásady šifrování Windows (Disk Encryption)

Vyberte z následujících profilů:

  • BitLocker
    Skupina nastavení zaměřená výhradně na konfiguraci BitLockeru.
    Více informací naleznete v dokumentaci BitLocker CSP.
  • Šifrování osobních dat (Personal Data Encryption – PDE)
    PDE se liší od BitLockeru tím, že šifruje jednotlivé soubory místo celých svazků a disků.
    PDE funguje navíc k jiným metodám šifrování, jako je BitLocker.
    Na rozdíl od BitLockeru, který uvolňuje šifrovací klíče při spuštění systému, PDE neuvolní šifrovací klíče, dokud se uživatel nepřihlásí pomocí Windows Hello for Business.
    Více informací naleznete v dokumentaci PDE CSP

2. Konfigurace zařízení (Devices – Windows – Configuration) > Ochrana koncového bodu > BitLocker

  • Nastavení BitLockeru je jednou z dostupných kategorií nastavení pro ochranu koncového bodu ve Windows 10/11.
  • Seznam dostupných nastavení BitLockeru, která jsou k dispozici v profilech ochrany koncového bodu najdete v této dokumentaci.

Je v celku jedno, který způsob si zvolíte, já spíše tíhnu k první možnosti a tedy šifrování spravovat ze sekce Ochrana koncového bodu (Endpoint security).

Nastavení pomocí zásad zabezpečení koncového bodu pro zařízení s OS Windows
  1. Přihlaste se k Centru pro správu Microsoft 365.
  2. V levém menu zvolte: Zabezpečení koncového bodu (Endpoint Security)
  3. Vyberte Šifrování disku > Vytvořit zásadu.
  4. Zvolte následující možnosti:
    1. Platforma: Windows
    2. Profil: Zvolte BitLocker nebo šifrování osobních dat.
      Pro náš účel vyberte volbu BitLocker
  5. Klikněte na tlačítko Vytvořit (Create)
  6. Na základní obrazovce zvolte Název politiky a doporučuji také vyplnit Popis
  7. Na další stránce zvolte požadovaná nastavení (Configuration settings).
    Jaká nastavení zvolit si popíšeme v další části tohoto článku
  8. Pokud používáte Scope tagy, tak je na další stránce vyberte
  9. Na stránce přiřazení (Assignments) vyberte, na které skupiny zařízení chcete tuto politiku aplikovat
  10. Na poslední stránce proveďte kontrolu a politiku vytvořte
Microsoft Intune - Endpoint security
Nastavení pomocí konfigurační politiky pro zařízení s OS Windows

Ačkoliv tento způsob úplně nepreferuji, stále spousta správců IT nepřišlo na chuť sekci „Endpoint security“ – viz předchozí způsob.

  1. Přihlaste se k Centru pro správu Microsoft 365.
  2. V levém menu zvolte: Zařízení (Devices)
  3. Vyberte Konfigurační profily (Configuration)
  4. V horním menu klikněte na Vytvořit zásadu (Create New Policy)
  5. Zvolte následující možnosti:
    1. Platforma: Windows 10 a novější (Windows 10 and later)
    2. Profil: Šablony (Templates)
  6. Vyberte šablonu: Ochrana koncového bodu (Endpoint protection)
  7. Klikněte na tlačítko Vytvořit (Create)
  8. Na základní obrazovce zvolte Název politiky a doporučuji také vyplnit Popis
  9. Na další stránce zvolte požadovaná nastavení (Configuration settings).
    Pro náš účel nastavte parametry pouze v sekci Windows Encryption
    Jaká nastavení zvolit si popíšeme v další části tohoto článku
  10. Na stránce přiřazení (Assignments) vyberte, na které skupiny zařízení chcete tuto politiku aplikovat
  11. Případně nastavte pravidla pro aplikování konfiguračního profilu (Applicability Rules), nebo ponechte prázdné
  12. Na poslední stránce proveďte kontrolu a politiku vytvořte
Microsoft Intune - Configuration - windows encryption

Potřebná nastavení pro aktivaci BitLockeru "na pozadí"

Budu vycházet z toho, že konfigurační profil (politiku) máte vytvořenou na základě jednoho z výše uvedených postupů. Nastavení šifrování je rozděleno do několika sekcí. Popis veškerých nastavení zde budu uvádět pouze v angličtině a to z několika důvodů:

  1. Všechny admin portály používám výhradně v angličtině a vám to doporučuji také kvůli chybám v překladu
  2. Chci si zjednodušit práci a nechci vše překládat do češtiny, navíc některé termíny se stejně používají výhradně v angličtině
  3. Troubleshooting – pokud budete hledat dokumentaci k nějakému konkrétnímu parametru, stejně budete vycházet z angličtiny
Sekce Bitlocker
  • Require Device Encryption: Enabled
  • Allow Warning For Other Disk Encryption: Disabled
  • Allow Standard User Encryption: Enabled
  • Configure Recovery Password Rotation: Ponechejte rotaci vypnutou, pokud neznáte další souvislosti, nebo zapněte podle konkrétních požadavků
Bitlocker
Sekce BitLocker Drive Encryption
  •  Choose drive encryption method and cipher strength (Windows 10 [Version 1511] and later): Enabled
    • Nastavení Encryption method můžete ponechat výchozí nebo silnější: XTS-AES 128-bit (default)
BitLocker Drive Encryption
Sekce Operating System Drives
  • Enforce drive encryption type on operating system drives: Enabled
    • Select the encryption type: (Device): Full Encryption
  • Require additional authentication at startup: Enabled
    • Allow BitLocker without a compatible TPM (requires a password or a startup key on a USB flash drive): False
    • Configure TPM startup key and PIN: Do not allow startup key and PIN with TPM
      (Nesmí být Require startup key and PIN with TPM)
    • Configure TPM startup key: Do not allow startup key with TPM
      (Nesmí být Require startup key with TPM)
    • Configure TPM startup PIN: Do not allow startup PIN with TPM
      (Nesmí být Require startup PIN with TPM)
    • Configure TPM startup: Allow TPM
  • Configure minimum PIN length for startup: Disabled (Default) nebo Not configured
  • Allow enhanced PINs for startup: Disabled (Default) nebo Not configured
  • Disallow standard users from changing the PIN or password: Disabled (Default) nebo Not configured
  • Allow devices compliant with InstantGo or HSTI to opt out of pre-boot PIN.: Disabled (Default) nebo Not configured
  • Enable use of BitLocker authentication requiring preboot keyboard input on slates: Disabled (Default) nebo Not configured
  • Choose how BitLocker-protected operating system drives can be recovered: Enabled
    • Configure user storage of BitLocker recovery information: Allow 256-bit recovery key + Allow 48-digit recovery password
    • Allow data recovery agent: False
    • Configure storage of BitLocker recovery information to AD DS: Store recovery passwords only
    • Do not enable BitLocker until recovery information is stored to AD DS for operating system drives: True
    • Omit recovery options from the BitLocker setup wizard: True
    • Save BitLocker recovery information to AD DS for operating system drives: True
  • Configure pre-boot recovery message and URL: Not configured
Bitlocker Operating System Drives
Sekce Fixed Data Drives

Tato sekce může zůstat v režimu „Not configured„, nicméně, pokud chcete zašifrovat všechny pevné disky v zařízení, nastavení by mělo vypadat přibližně takto:

Bitlocker Fixed Data Drives
]]> https://www.sraga.cz/bitlocker-automaticke-sifrovani-pomoci-intune/feed/ 0 Deaktivace automatického přechodu na Outlook New https://www.sraga.cz/deaktivace-prechodu-outlook-new/ https://www.sraga.cz/deaktivace-prechodu-outlook-new/#respond Fri, 20 Dec 2024 14:02:14 +0000 https://www.sraga.cz/?p=893 Číst dál]]>

Už jste o tom slyšeli? Microsoft automaticky přepne uživatele na nový Outlook v lednu 2025!

S výzvou, abyste vyzkoušeli nový Outlook jste se již určitě setkali. Možná jste jej v minulosti dokonce vyzkoušeli, ale pravděpodobně jste rychle přešli zpět na ten klasický.

Pokud je to tak, doporučuji na nový Outlook nezanevřít a zkusit to znovu, hodně věcí se posunulo, a podle mě je Microsoft na dobré cestě. Nicméně, pro ty IT správce, kteří si rvou vlasy, co to Microsoft zase vymyslel, tak mám postup, jak automatickému přechodu zabránit, aby vás uživatelé po 6. lednu 2025 neukamenovali. Vy, kteří si toto čtete v lednu, tak pravděpodobně právě prožíváte celkem hustý začátek nového roku. A dobře vám tak, máte takové články číst včas 🙂

Obsah

Deaktivace pomocí Intune

Přejděde na adresu Microsoft Intune Admin Centra a dále navigujte do

  1. Devices
  2. Windows
Intune - Deaktivace automatického přechodu na Outlook New

Dále v sekci Windows pokračujte

3. Configuration
4. Create
5. New Policy

Intune - Deaktivace automatického přechodu na Outlook New

V novém okně na pravé straně zvolte následující

6. Platform: Windows 10 and later
7. Profile type: cettings catalok
8. Create

Intune - Deaktivace automatického přechodu na Outlook New

V novém okně postupujde následovně:

9. Zvolte název konfigurační politiky
10. Zadejte popis politiky (věřím, že všichni poctivě dokumentujete a zadáváte popisy tak,a by se v nich vyznali i vaši kolegové)
11. Pokračujte kliknutím na tlačítko „Next

Intune - Deaktivace automatického přechodu na Outlook New

V následujícím okně to bude trochu složitější

12. Klikněte na odkaz „+ Add settings
13. Do vyhledávacího pole zadejte tento text: Admin-Controlled Migration to New Outlook
14. Klikněte na tlačítko „Vyhledat
15. V sekci Browse category klikněte na nalezený záznam „Microsoft Outlook 2016\Outlook Options\Other
16. Zatrhněte volbu „Admin-Controlled Migration to New Outlook
17. Zavřete nabídku s nastavením

Intune - Deaktivace automatického přechodu na Outlook New

18. Pokud chcete deaktivovat automatický přechod na nový Outlook, ponechte přepínač deaktivovaný. Pokud chcete povolit automatický přechod na nový Outlook, přepínač zapněte.

19. Pokračujte dál kliknutím na tlačítko „Next

Intune - Deaktivace automatického přechodu na Outlook New

20. Pokud používáte Scope tags, tak je vyberte, jinak pokračujte dál kliknutím na tlačítko „Next

Intune - Deaktivace automatického přechodu na Outlook New

V následujícím kroku je potřeba politiku zacílit. Samotné nastavení se aplikuje v kontextu uživatele.

20. Zvolte skupinu/skupiny na které chcete politiku cílit (kliknutím na tlačítko „Add groups„) případně zvolte možnost „All users“ nebo „All devices“. Doporučuji ale jakákoliv nastavení distribuovat řízene dle skupin zabezpečení.

21. Zatrhněte checkbox u těch skupin, na které cílíte

22. Volbu skupin(y) potvrďte tlačítkem „Select„. Okno se zavře.

23. Pokračujte dál kliknutím na tlačítko „Next

outlook new deactivate intune8

V posledním kroku zkontrolujte, zda-li jsou všechna nastavení v pořádku. Opravu provedete kliknutím na tlačítko „Previous

24. Konfigurační politiku vytvoříte kliknutím na tlačítko „Create

Intune - Deaktivace automatického přechodu na Outlook New

Nově vytvořená politika se zobrazí mezi ostatními konfiguračními politikami. Aby byla politika na zařízení uplatněna, musí proběhnout synchronizace mezi koncovým zařízením a službou Microsoft Intune.

Intune - Deaktivace automatického přechodu na Outlook New

De/aktivace automatického přechodu pomocí registrů

# Deaktivace automatického přechodu

[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\outlook\preferences]
"NewOutlookMigrationUserSetting"=dword:00000000
# Aktivace automatického přechodu

[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\outlook\preferences]
"NewOutlookMigrationUserSetting"=dword:00000001

De/aktivace přepínače v Outlooku (Vyzkoušejte nový Outlook)

# Aktivace (zobrazení) přepínače "vyzkoušejte nový Outlook)"

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General]
"HideNewOutlookToggle"=dword:00000001
# Deaktivace (skrytí) přepínače "vyzkoušejte nový Outlook)"

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Options\General]
"HideNewOutlookToggle"=dword:00000000

Zobrazit nebo skrýt tlačítko „Vyzkoušet nový Outlook“ lze také pomocí Microsof Intune. V settings catalogu je volba „Try the new Outlook„, jinak je postup stejný viz výše.

Try the new Outlook

Jak zakázat re-instalaci Outlook na Nový Outlook

Windows 23H2 a vyšší mají novou aplikaci Outlook předinstalovanou pro všechny uživatele, protože do konce roku 2024 nahradí předinstalované aplikace Pošta a Kalendář.

V současné době neexistuje způsob, jak zablokovat instalaci nového Outlooku před jeho první instalací jako náhrady za aplikaci Pošta a kalendář. Pokud nechcete, aby se nový Outlook zobrazoval na zařízeních vaší organizace, můžete jej po instalaci v rámci aktualizace odebrat.

Chcete-li odebrat balíček aplikace, použijte příkaz Remove-AppxProvisionedPackage s hodnotou parametru PackageName Microsoft.OutlookForWindows. Po odebrání, aktualizace systému Windows znovu nenainstalují nový Outlook.

Pokud preferuejte PowerShell, použijte následující příkaz:

Remove-AppxProvisionedPackage -AllUsers -Online -PackageName (Get-AppxPackage Microsoft.OutlookForWindows).PackageFullName

Dále ještě odeberete následující záznam registru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsUpdate\Orchestrator\UScheduler_Oobe\OutlookUpdate

U zařízení s Windows 11 verze 23H2 (s nainstalovaným 2024 Non-Security Preview releasenebo pozdějším cumulative update) není nutné hodnotu registru odstraňovat.

V případě uživatelských instalací, například pokud uživatelé použili přepínač k instalaci nového Outlooku pro Windows, použijte Remove-AppxPackage. Rutiny AppxPackage se používají pro správu aplikací pro současné uživatele, zatímco rutiny AppxProvisionedPackage se používají pro správu výchozích aplikací pro současné i budoucí uživatele systému.

Tento PowerShell použijte k odebrání nového Outlooku pro všechny uživatele:

Remove-AppxPackage -AllUsers -Package (Get-AppxPackage Microsoft.OutlookForWindows).PackageFullName

Nová aplikace Outlook se nainstaluje, když ji uživatelé aktivují. Připnuté aplikace v nabídce Start můžete spravovat podle pokynů v článku „Přizpůsobení rozvržení Start – Konfigurace systému Windows„.

Uživatelé také mohou vidět novou aplikaci Outlook v části Start „Doporučeno (Win11) nebo Navrhováno (Win10)“ na svých zařízeních.

Deaktivace automatického přechodu pomocí Group Policy

Zabránit automatickému přechodu na Nový Outlook lze také pomocí Group Policy (GPO). Pokud nemáte stažené poslední verze gpo, můžete se vydat cestou úpravy registrů pomocí GPO, já však doporučuji stáhnout poslední verzi šablon pro správu prostřednitvím Microsoft Download Centra.

Další postup se již neliší od běžných Group policy, na které jste zvyklý a zároveň je schéma velmi podobné tomu, co jsme si ukázali na začátku článku, kde jsme definovali politiku pomocí Microsoft Intune. Nastavení politiky se skrývá zde:

User Configuration – Policies – Administrative Templates: Policy definitions – Microsoft Outlook 2016 – Outlook Options – Other – Manage user settings for new Outlook automatic migration

Hodnnoty, které můžete zadat:

0 – Politika není nakonfigurována (výchozí) a automatický přechod není řízen politikou (Group policy)

1 – Automatický přechod na nový Outlook je povolený

2 – Automatický přechod na nový Outlook je zakázaný

Manage user settings for new Outlook automatic migration

Co ještě lze, tak zakázat migraci z pozice IT správce. Nastavení, které toto řídí je „Admin-Controlled Migration to new Outlook

Dále lze pomocí GPO uživatelům vypnout možnost použít přepínač „Vyzkoušejte nový outlook“. Nastavení, které toto řídí je „Hide the Try the new Outlook toggle in Outlook

Cloud Policy

Tuto zásadu můžete také nastavit také pomocí Cloudových zásad (Cloud Policy) z centra pro správu aplikací Microsoft 365. Další informace o zásadách cloudu najdete v tématu Přehled služby zásad cloudu pro Microsoft 365.

Protože s tímto režimem se u klientů moc nesetkávám, nebudu se mu více věnovat.

Hybridní scénáře

To nejlepší na konec.

Nový Outlook není podporován v on-premises prostředí. Pokud tedy máte hybridní prostředí s Microsoft 365 i lokálními uživateli, měli byste automatický přechod cílit pouze na uživatele Microsoft 365. Nový Outlook také není dostupný v izolovaných a dedikovaných cloudech, proto nepovolujte zásady pro tato prostředí.

]]> https://www.sraga.cz/deaktivace-prechodu-outlook-new/feed/ 0