BYOD engedélyezése az Intune-nalEnable BYOD with Intune

Ez a témakör az Intune a szervezeti BYOD-megoldások engedélyezéséhez való beállításának fő lépéseit mutatja be.This topic provides a high-level workflow for setting up Intune to enable a bring-your-own-device (BYOD) solution to your organization. A feladatot három folyamatra, és további útmutatókra mutató hivatkozásra bontottuk.It organizes the task into three processes and links to supporting how-to topics.

A munkafolyamat az alábbi három folyamatból áll.The workflow is divided into the following three processes. Az egyes folyamatok jellemzőit a cége szükségletei szerint testre szabhatja.You can tailor aspects of each process to meet your organization’s requirements.

  • Az Eszközök regisztrálása és a megfelelőség ellenőrzése című szakasz a felhasználók személyes eszközei felügyeleti Intune-regisztrációjának engedélyezését ismerteti.Enroll devices and check for compliance describes how to enable users to enroll their personal devices into management with Intune. Az Intune az iOS-, macOS-, Android- és Windows-eszközöket felügyeli.Intune manages iOS, macOS, Android, and Windows devices. Ez a szakasz emellett a szabályzatok az eszközökön való bevezetését, valamint a szabályzatokhoz tartozó alapvető biztonsági követelmények betartásának módját is ismerteti.This section also describes how to deploy policies to devices and ensure they meet basic security requirements.

  • A Hozzáférés biztosítása a vállalati erőforrásokhoz című szakasz azt ismerteti, hogyan engedélyezheti a felhasználóknak a céges erőforrásokhoz való könnyű és biztonságos hozzáférést.Provide access to company resources shows you how you can enable users to access company resources easily and securely. Ezt hozzáférésprofilok a felügyelt eszközökön való üzembe helyezésével érheti el.You do this by deploying access profiles to managed devices. Ez a szakasz emellett a mennyiségi licencszerződés keretében vásárolt alkalmazások az Intune-nal való üzembe helyezését is ismerteti.This section also explains how to manage volume-purchased app deployments with Intune.

  • A Vállalati adatok védelmecímű szakasz bemutatja, hogyan lehet feltételes hozzáférést nyújtani a céges erőforrásokhoz, megelőzni az adatvesztést, és eltávolítani a vállalati alkalmazásokat és adatokat azokról az eszközökről, amelyek szükségtelenné váltak a munkához, illetve amelyeket elloptak vagy elveszítettek.Protect company data helps you learn how to provide conditional access to company resources, prevent data loss, and remove company apps and data from devices when they are no longer needed for work or have been lost or stolen.

A BYOD a Microsoft Intune-nal való engedélyezési munkafolyamat-ábrájának fő lépéseiHigh-level workflow diagram for enabling BYOD with Microsoft Intune

ElőkészületekBefore you begin

Mielőtt a felhasználók regisztrálhatnák az eszközeiket, Önnek elő kell készítenie az Intune-szolgáltatást.Before users can enroll devices, you first need to prepare the Intune service itself. Ehhez rendeljen licenceket a felhasználókhoz és adja meg a mobileszköz-felügyeleti szolgáltatót.To do so, assign licenses to users and set the mobile device management authority.

Ebben a lépésben célszerű testre szabni a céges portált.While you're at it, you should also customize the company portal. Adjon hozzá vállalati védjegyzést, és nyújtson támogatási információkat a felhasználóknak.Add company branding and provide users with support information. Ezzel egy megbízható regisztrációs és támogatási élményt nyújthat a felhasználóinak.This creates a trusted enrollment and support experience for your users. Létrehozhat használati feltételeket is, amelyeket a felhasználóknak el kell fogadniuk a regisztráció előtt, illetve olyan eszközkorlátozásokat is, amelyek a támogatott platformokat határozzák meg.You can also create terms of use that users must accept before enrolling, or device restrictions to specify which platforms you support.

Eszközök regisztrálása és a megfelelőség ellenőrzéseEnroll devices and check for compliance

Az Intune előkészítése után meg kell győződnie arról, hogy a felügyelni kívánt eszköztípusok megfelelnek a különböző regisztrációs követelményeknek.After you prepare the Intune service, you need to meet the various enrollment requirements for the different device types that you want to manage. Az eszközregisztráció folyamata cseppet sem bonyolult, ám eszköztípusonként némileg eltérő.The process to enroll devices into management is straightforward, but differs slightly based on device type.

  • iOS- és Mac-eszközök iPadek, iPhone-ok és macOS rendszerű eszközök regisztrálásához be kell szereznie egy Apple MDM Push-tanúsítványt.iOS and Mac devices You need to get an Apple MDM push certificate to enroll iPads, iPhones, or macOS devices. Ha feltöltötte az MDM Push-tanúsítványt az Intune-ba, a felhasználók megkezdhetik az iOS-eszközök regisztrálását a Céges portál alkalmazásban, illetve a macOS rendszerű eszközök regisztrálását a Céges portál webhelyen.After you've uploaded your MDM push certificate to Intune, users can enroll iOS devices using the Company Portal app and use the Company Portal website to enroll macOS devices.

  • Android-eszközök Android-eszközein nincs teendője, ezek alapértelmezés szerint készen állnak az Intune szolgáltatásba való regisztrációra.Android devices There's nothing you need to do to get the Intune service ready to enroll Android devices. A felhasználók rendkívül egyszerűen, a Google Play Áruházban elérhető Munkahelyi portál alkalmazással regisztrálhatják Android-eszközeiket.Users can just enroll their Android devices into management using the Company Portal app available from Google Play.

  • Windows Phone-telefonok és PC-k A Windows-eszközök további beállítások használatával regisztrálhatók.Windows Phones and PCs Windows devices can be enrolled with additional configuration. A felhasználói élmény egyszerűsítése érdekében engedélyezheti a Windows 10-es számítógépek és a Windows 10-es mobileszközök prémium szintű Azure Active Directory (AD) szolgáltatásban való automatikus regisztrációját.You can enable automatic enrollment for Windows 10 PCs and Windows 10 mobile devices in Azure Active Directory (AD) Premium to simplify the end user experience. Ha nem rendelkezik Azure AD Premium szolgáltatással, vagy ha a Windows 8.1-hez van szüksége támogatásra, a regisztrálási folyamat megkönnyítése érdekében létrehozhat a regisztrációs kiszolgálóhoz tartozó DNS-aliast.If you don't have Azure AD Premium or if you need to support Windows 8.1, you can create a DNS alias for the enrollment server to make enrollment easier.

A felügyelt eszközök alapvető biztonsági követelményeknek való megfelelésének ellenőrzéseMake sure that managed devices meet basic security requirements

Miután a felhasználók regisztrálják eszközeiket a felügyelet alá, az IT-részlegnek biztosítania kell, hogy a vállalati alkalmazások és adatok elérésére használt eszközök megfeleljenek az alapvető biztonsági követelményeknek.After users enroll their devices into management, IT needs to make sure that devices used to access company apps and data meet basic security requirements. Ilyen szabály lehet például, hogy PIN-kódot kell használni az eszközök eléréséhez, és titkosítani kell az eszközökön tárolt adatokat.These rules might include using a PIN to access devices and encrypting data stored on devices. Az ilyen szabályok összességét megfelelőségi szabályzatnak nevezzük.A set of such rules is called a compliance policy.

Amikor megfelelőségi szabályzatot telepít egy felhasználó számára, az Intune az illető összes Intune által felügyelt eszközénél ellenőrzi, hogy az eszköz megfelel-e a BYOD-szabályzat részeként definiált alapvető biztonsági követelményeknek.When you deploy a compliance policy to a user, Intune checks each device the user has managed by Intune to see if the device meets the basic security requirements you defined as part of your BYOD policy. Az eszközök a megfelelőségi ellenőrzés után lejelentik állapotukat az Intune-nak.After a device has been evaluated for policy compliance, it reports its status back to Intune. Bizonyos esetekben előfordulhat, hogy a rendszer a felhasználóktól egyes beállítások módosítását kéri, például a PIN-kód vagy az eszköztitkosítás megváltoztatását.In some cases, users might be asked to fix settings, such as their PIN or device encryption. Egyéb esetekben a céges portál alkalmazás egyszerű értesítést küld a felhasználónak a szabályzat feltételeinek nem megfelelő beállításokról.Other times, the company portal app simply notifies the user about any settings that don't meet your policy.

Hozzáférés biztosítása a vállalati erőforrásokhozProvide access to company resources

Általános jelenség, hogy az alkalmazottak szeretnék mobileszközeiken is elérni a céges levelezést és dokumentumokat.The first thing most employees want to access on their mobile device is company email and documents. Az is fontos szempont számukra, hogy ennek beállításához ne kelljen bonyolult lépéseket elvégezni, vagy felhívni az ügyfélszolgálatot.They expect to set it up without going through complex steps or calling the help desk. Az Intune segítségével könnyebben hozhat létre és telepíthet e-mail-beállításokat a mobileszközökre előre telepített natív levelezőalkalmazásokhoz.Intune makes it easy for you to create and deploy email settings for native email apps that are pre-installed on mobile devices.

Megjegyzés

Az Intune támogatja az Android for Work e-mail profiljainak konfigurálását a Google Play Áruházban is megtalálható Gmail és Nine Work levelezőalkalmazásokra vonatkozóan.Intune supports Android for Work email profile configuration for the Gmail and Nine Work email apps found in the Google Play store.

Az Intune-nal emellett felügyelheti és megvédheti a helyszíni céges adatok hozzáférését, amikor a felhasználók külső helyszínen dolgoznak.Intune also helps you control and protect access to on-premises company data when users work offsite. Az Intune-alapú Wi-Fi-, VPN- és e-mail-profilokkal hozzáférést biztosíthat a felhasználóknak a munkájuk elvégzéséhez szükséges fájlokhoz és erőforrásokhoz, bárhol legyenek is.Intune Wi-Fi, VPN, and email profiles work together to permit access to the files and resources that they need to do their work wherever they are. Az Azure Active Directory alkalmazásproxy és a feltételes hozzáférési funkciók segítségével a vállalat helyileg üzemeltetett webes alkalmazásai és szolgáltatásai is biztonságosan elérhetők és megvédhetők.Your company's web applications and services hosted on-premises can also be securely accessed and protected using the Azure Active Directory Application Proxy and conditional access.

Mennyiségi programban vásárolt alkalmazások felügyeleteManage volume-purchased apps

Az Intune-nal könnyen elvégezheti az alábbi műveleteket:With Intune, it is easy to:

  • A mennyiségi licencelési információk importálása bármelyik alkalmazásáruházbólImport the volume license information from either app store
  • A használt licencek nyomon követéseTrack how many licenses you have used
  • Annak megakadályozása, hogy a felhasználók több példányt telepítsenek az alkalmazásból, mint amennyit vásároltPrevent your users from installing more copies of the app than you own
  • Áruházbeli alkalmazások telepítése a felügyelt eszközökreDeliver store apps to managed devices
  • A céges portál webhelyen még nem felügyelt eszközök megcélzása az alkalmazásokkalTarget apps to unmanaged devices using the company portal website

Az Intune az iOS App Store áruházból és a Vállalati Microsoft Áruházból mennyiségi programban megvásárolt alkalmazások felügyeletét és üzembe helyezését is lehetővé teszi.Intune also allows you to manage and deploy apps that you purchased in volume from the iOS app store and the Microsoft Store for Business. Ezzel a megoldással csökkenthetők a mennyiségi konstrukcióban vásárolt alkalmazások nyilvántartásával járó adminisztratív terhek.This helps you reduce the administrative overhead of tracking volume-purchased apps.

Tipp

Konfigurálhatja az egyszeri bejelentkezést (SSO) az Azure AD Connecttel.You can configure Single Sign On (SSO) with Azure AD Connect. Az egyszeri bejelentkezés lehetővé teszi a felhasználók számára, hogy a helyszínen használt tartományi felhasználónévvel és jelszóval bejelentkezzenek az alkalmazásokba.SSO lets users sign into apps with the domain user name and password they use on-premises. Az Azure Active Directory alkalmazásproxyval pedig internetes hozzáférést biztosíthat a helyszíni üzemeltetésű webalkalmazásokhoz.Also, you can provide internet-based access to web apps hosted on-premises using the Azure Active Directory Application Proxy.

Vállalati adatok védelmeProtect company data

Az Intune a vállalati adatokat számos technológiai réteg segítségével védi.Intune protects company data through many technology layers. Az identitáskezelő rétegben a feltételes hozzáférés gondoskodik a védelemről.At the identity layer, conditional access protects access to services. A feltételes hozzáféréssel a szolgáltatásokhoz csak felügyelt, illetve a szabályoknak megfelelő eszközökkel lehet hozzáférni.Conditional access only allows managed and compliant devices to access company resources. Az ügyfélalkalmazási réteg szintjén alkalmazásvédelmi szabályzatok nyújtanak védelmet az adatvesztés ellen.At the client app layer, app protection policies protects against data loss. Ennek részeként megakadályozza az adatok nem védett alkalmazásokba vagy tárhelyekre történő áthelyezését,App protection policies prevent data from moving to apps or storage locations that are not protected. valamint az eszköz elvesztése vagy ellopása esetén törlik az adatokat.These policies also let you wipe company data when a device is lost or stolen.

A vállalati erőforrásokhoz való feltételes hozzáférés betartatásaEnforce conditional access to company resources

A feltételes hozzáférési szabályzatok és a megfelelőségi szabályzatok együttes használata révén ellenőrizheti, hogy az eszközök megfelelnek-e a BYOD-szabályzat által támasztott alapvető biztonsági követelményeknek.You can combine compliance policies with conditional access policies to check if devices meet the basic security requirements that your BYOD policy requires. Ha egy eszköz nem felel meg a szabályzatnak, a szabályok életbe lépnek, és az eszköz nem kap hozzáférést, amíg nem konfigurálják a követelményekkel összhangban.If a device doesn't meet the requirements, rules are enforced and access is denied until the device meets policy requirements. Így biztosítható, hogy csak a felügyelt és a szabályzatoknak megfelelő eszközök férhessenek hozzá a különféle szolgáltatásokban , például az Exchange-ben (helyszíni Exchange vagy Exchange Online), a SharePoint Online-on vagy a Skype Vállalati online verzióban tárolt céges adatokhoz.This ensures that only managed and compliant devices can access company data from services like Exchange (Exchange On-premises or Exchange Online, SharePoint Online, Skype for Business Online, and others.

Fontos

A feltételes hozzáférési szabályzatok csak akkor működnek, ha korábban már létrehozott egy megfelelőségi szabályzatot, amelynek alapján a rendszer értékelni tudja a megfelelést.Conditional access policies will not work if there is no compliance policy in place to validate compliance.

A céges adatvesztés megelőzése alkalmazásvédelmi szabályzatokkalPrevent data loss of company data with app protection policies

Az Intune alkalmazásvédelmi szabályzataival Ön döntheti el, hogyan történjen az adatok elérése eszközregisztrációval, illetve anélkül.With Intune app protection policies, you can choose how your data is accessed, with or without device enrollment. Ez a sokoldalúság teszi lehetővé a céges adatok védelmét, így a felhasználók akkor is biztonságosan elérhetik azokat, ha nem regisztrálták az eszközüket az Intune-nal.This versatility lets you protect company data so that even if a user doesn't enroll their device into Intune, they can still access company data securely.

Az Intune alkalmazásvédelmi szabályzataival megvédheti azokat a céges adatokat, amelyeket a felhasználók iOS- és Android-eszközeikkel érnek el.You can use Intune app protection policies to help protect company data that is accessed by iOS and Android devices. Ezeknek az alkalmazásszintű szabályzatoknak a használatával megszabhatja, hogy dolgozói hogyan használhatják fel és oszthatják meg az adatokat még akkor is, ha valamelyik eszközt nem felügyeli az Intune.When you use these app-level policies, you can control how company data is used and shared by employees even if the device itself isn’t managed by Intune

A Windows Information Protection (WIP) használatával ugyanezt megteheti felügyelt Windows 10-s eszközök esetében is.Use Windows Information Protection (WIP) to do the same for managed Windows 10 devices. Ezek a szabályzatok nem befolyásolják a dolgozók felhasználói élményét,These policies work without interfering with the employee experience. és nem igénylik a hálózati környezet és más alkalmazások módosítását sem.They do not require changes to your network environment or other apps.

Céges adatok törlése a személyes adatok érintetlenül hagyásávalRemove company data while leaving personal data intact

A céges alkalmazásokat és adatokat el lehet távolítani azokról az eszközökről, amelyeket a továbbiakban már nem használnak munkahelyi célokra, a továbbiakban más célra fognak használni, vagy elvesztek.When a device is no longer needed for work, is being repurposed, or has gone missing, you can remove company apps and data from it. Erre az Intune a céges adatok eltávolítása és a gyári beállítások visszaállítása funkciók használatával ad lehetőséget.To do this, you can use Intune's remove company data and factory reset capabilities. A felhasználók az Intune Céges portálról távolról is visszaállíthatják saját eszközeiket, ha azokat korábban regisztrálták az Intune-ban.Your users can also remotely reset their own personally owned devices from the Intune Company Portal if those devices are enrolled in Intune.

A gyári beállítások visszaállítása visszaállítja az eszközt a gyári alaphelyzetre, eltávolít minden felhasználói adatot és beállítást, és eltávolítja az eszközt az Intune felügyeleti szolgáltatásából.A factory reset restores a device to its factory default settings, removes user data and settings, and removes the device from Intune management. A Céges adatok eltávolítása csak a céges adatokat távolítja el az eszközről, a személyes felhasználói adatokat nem érinti.Remove company data removes only company data from the device but leaves users’ personal data intact.

Az eljárás indítása után az eszköz azonnal hozzálát a visszaállítás folyamatához.Once initiated, the device immediately begins the reset process. Az eljárás hatására az eszközről eltűnik az összes vállalati adat, az eszköz neve pedig el lesz távolítva az Intune-ból.When the process is complete, all company data is deleted and the device name is removed from the Intune. Ezzel végéhez ér az eszközfelügyeleti életciklus.This ends the device management lifecycle.