Microsoft Intune安全地管理标识、管理应用和管理设备
由于组织支持混合和远程员工,因此他们在管理访问组织资源的不同设备方面面临挑战。 员工和学生需要协作、随时随地工作,以及安全地访问和连接这些资源。 管理员需要保护组织数据、管理最终用户访问权限,以及随时随地为用户提供支持。
✅若要帮助应对这些挑战和任务,请使用 Microsoft Intune。
Microsoft Intune是基于云的终结点管理解决方案。 它管理用户对组织资源的访问,并简化许多设备(包括移动设备、台式计算机和虚拟终结点)的应用和设备管理。
可以保护组织拥有和用户个人设备上的访问权限和数据。 而且,Intune具有支持零信任安全模型的合规性和报告功能。
本文列出了Microsoft Intune的一些功能和优势。
提示
- 若要获取Intune,请转到可用于Microsoft Intune和Intune 30 天试用版的许可证。
- 有关Intune许可计划的详细信息,请转到Microsoft Intune功能和计划。
- 有关云原生终结点的含义的信息,请转到 了解有关云原生终结点的详细信息。
主要功能和优势
Intune的一些主要功能和优势包括:
✅管理用户和设备
使用Intune,可以管理组织拥有的设备以及最终用户拥有的设备。 Microsoft Intune支持 Android、Android 开源项目 (AOSP) 、iOS/iPadOS、Linux Ubuntu Desktop、macOS 和 Windows 客户端设备。 借助 Intune,可以使用这些设备通过创建的策略安全地访问组织资源。
有关详细信息,请转到:
注意
如果管理本地 Windows Server,可以使用 Configuration Manager。
✅简化应用管理
Intune具有内置的应用体验,包括应用部署、更新和删除。 可以执行下列操作:
- 从专用应用商店连接到应用并分发应用。
- 启用 Microsoft 365 应用,包括 Microsoft Teams。
- ) 应用部署 Win32 和业务线 (LOB。
- Create保护应用内数据的应用保护策略。
- 管理对应用 & 数据的访问权限。
有关详细信息,请转到使用Microsoft Intune管理应用。
✅自动执行策略部署
可以为应用、安全性、设备配置、合规性、条件访问等创建策略。 策略准备就绪后,可以将这些策略部署到用户组和设备组。 若要接收这些策略,设备只需访问 Internet。
✅使用自助服务功能
员工和学生可以使用 公司门户 应用和网站重置 PIN/密码、安装应用、加入组等。 可以自定义公司门户以帮助减少支持呼叫。
有关详细信息,请转到配置Intune 公司门户应用、公司门户网站和Intune应用。
✅与移动威胁防御集成
Intune与Microsoft Defender for Endpoint和第三方合作伙伴服务集成。 使用这些服务,重点在于终结点安全性。 可以创建策略来响应威胁、执行实时风险分析和自动修正。
有关详细信息,请转到移动威胁防御与Intune集成。
✅使用基于 Web 的管理中心
Intune管理中心侧重于终结点管理,包括数据驱动的报告。 管理员可以从具有 Internet 访问权限的任何设备登录到管理中心。
有关详细信息,请转到演练Intune管理中心。 若要登录到管理中心,请转到Microsoft Intune管理中心。
此管理中心使用 Microsoft Graph REST API 以编程方式访问Intune服务。 管理中心中的每个操作都是 Microsoft Graph 调用。 如果你不熟悉 Graph 并想要了解详细信息,请转到 Graph 与 Microsoft Intune 集成。
✅高级终结点管理和安全性
Microsoft Intune Suite提供了不同的功能,例如远程帮助、终结点特权管理、适用于 MAM 的 Microsoft Tunnel等。
有关详细信息,请转到Intune套件加载项功能。
提示
逐步完成培训模块,了解如何通过 Microsoft Intune 从新式终结点管理中受益。
与其他 Microsoft 服务和应用集成
Microsoft Intune与其他专注于终结点管理的 Microsoft 产品和服务集成,包括:
本地终结点管理和 Windows Server 的Configuration Manager,包括部署软件更新和管理数据中心
可以在共同管理方案中同时使用Intune和Configuration Manager、使用租户附加或同时使用两者。 通过这些选项,你将获得基于 Web 的管理中心的优势,并使用 Intune 中提供的其他基于云的功能。
有关更具体的信息,请转到:
用于新式 OS 部署和预配的 Windows Autopilot
使用 Windows Autopilot,可以预配新设备,并将这些设备直接从 OEM 或设备提供商发送给用户。 对于现有设备,可以重置这些设备的映像以使用 Windows Autopilot 并部署最新的 Windows 版本。
有关更具体的信息,请转到:
终结点分析 ,用于查看和报告最终用户体验,包括设备性能和可靠性
可以使用终结点分析来帮助识别降低设备速度的策略或硬件问题。 它还提供指导,可帮助你主动改善最终用户体验并减少技术支持票证。
有关更具体的信息,请转到:
适用于最终用户工作效率的 Microsoft 365 Office 应用,包括 Outlook、Teams、Sharepoint、OneDrive 等
使用 Intune,可以将 Microsoft 365 应用部署到组织中的用户和设备。 还可以在用户首次登录时部署这些应用。
有关更具体的信息,请转到:
帮助企业预防、检测、调查和响应威胁的Microsoft Defender for Endpoint
在Intune中,可以在Intune和Microsoft Defender for Endpoint之间创建服务到服务连接。 连接后,可以创建策略来扫描文件、检测威胁,并向Microsoft Defender for Endpoint报告威胁级别。 还可以创建设置允许的风险级别的合规性策略。 与条件访问结合使用时,可以阻止对不符合条件的设备访问组织资源。
有关更具体的信息,请转到:
用于自动修补 Windows、Microsoft 365 企业应用、Microsoft Edge 和 Microsoft Teams 的 Windows 自动修补
Windows 自动修补是一项基于云的服务。 它使软件保持最新状态,为用户提供最新的生产力工具,最大程度地减少本地基础结构,并帮助让 IT 管理员专注于其他项目。 Windows 自动修补使用Microsoft Intune来管理Intune注册的设备或使用共同管理 (Intune + Configuration Manager) 的设备进行修补。
有关更具体的信息,请转到:
与第三方合作伙伴设备和应用集成
Intune管理中心可以轻松连接到不同的合作伙伴服务,包括:
适用于 Android 应用的托管 Google Play:连接到托管 Google Play 帐户时,管理员可以访问组织的 Android 应用专用应用商店,并将这些应用部署到设备。
有关详细信息,请转到使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。
适用于注册和应用的 Apple 令牌和证书:添加后,iOS/iPadOS 和 macOS 设备可以注册Intune并从Intune接收策略。 管理员可以访问购买的批量 iOS/iPad 和 macOS 应用许可证,并将这些应用部署到设备。
有关详细信息,请转到:
用于远程协助的 TeamViewer:连接到 TeamViewer 帐户时,可以使用 TeamViewer 远程协助设备。
有关详细信息,请转到使用 TeamViewer 远程管理Intune设备。
使用这些服务,Intune:
- 使管理员能够简化对第三方合作伙伴应用服务的访问权限。
- 可以管理数百个第三方合作伙伴应用。
- 支持公共零售商店应用、业务线 (LOB) 应用、公共商店中不提供的专用应用、自定义应用等。
有关在 Intune 中注册第三方合作伙伴设备的更多特定于平台的要求,请转到:
- 部署指南:在 Microsoft Intune 中注册 Android 设备
- 部署指南:在部署中注册 iOS 和 iPadOS Microsoft Intune
- 部署指南:在 Microsoft Intune 中注册 Linux 设备
- 部署指南:在 Microsoft Intune 中注册 macOS 设备
注册设备管理、应用程序管理或同时注册两者
✅组织拥有的设备在 Intune 中注册, (MDM) 进行移动设备管理。 MDM 以设备为中心,因此设备功能根据需要的人员进行配置。 例如,可以将设备配置为允许访问 Wi-Fi,但前提是已登录用户是组织帐户。
在 Intune 中创建策略,用于配置 & 设置的功能并提供安全 & 保护。 你的管理团队完全管理设备,包括登录的用户标识、已安装的应用以及访问的数据。
设备注册时,可以在注册过程中部署策略。 注册完成后,设备即可使用。
✅对于自带设备 (BYOD) 方案中的个人设备,可以使用 Intune (MAM) 进行移动应用程序管理。 MAM 以用户为中心,因此无论用于访问此数据的设备如何,应用数据都会受到保护。 重点介绍应用,包括安全访问应用和保护应用中的数据。
使用 MAM,可以:
- 向用户发布移动应用。
- 配置应用并自动更新应用。
- 查看侧重于应用清单和应用使用情况的数据报告。
✅ 还可以同时使用 MDM 和 MAM。 如果设备已注册,并且存在需要额外安全性的应用,则还可以使用 MAM 应用保护策略。
有关详细信息,请转到:
保护任何设备上的数据
使用 Intune,可以保护Intune) 中注册 (托管设备上的数据,并保护未在 Intune) 中注册 (非托管设备上的数据。 Intune可以将组织数据与个人数据隔离开来。 其思路是使用配置和部署的策略保护公司信息。
对于组织拥有的设备,需要完全控制设备,尤其是安全性。 设备注册时,它们会收到你的安全规则和设置。
在 Intune 中注册的设备上,可以:
- Create和部署用于配置安全设置、设置密码要求、部署证书等的策略。
- 使用移动威胁防御服务扫描设备、检测威胁和修正威胁。
- 查看衡量安全设置和规则合规性的数据和报告。
- 使用条件访问仅允许托管且合规的设备访问组织资源、应用和数据。
- 如果设备丢失或被盗,请删除组织数据。
对于个人设备,用户可能不希望其 IT 管理员拥有完全控制权。 若要支持混合工作环境,请为用户提供选项。 例如,如果用户需要拥有对组织资源的完全访问权限,则注册其设备。 或者,如果这些用户只想访问 Outlook 或 Microsoft Teams,请使用需要多重身份验证的应用保护策略 (MFA) 。
在使用应用程序管理的设备上,可以:
- 使用移动威胁防御服务来保护应用数据。 该服务可以扫描设备、检测威胁和评估风险。
- 防止将组织数据复制和粘贴到个人应用中。
- 在第三方或合作伙伴 MDM 中注册的应用和非托管设备上使用应用保护策略。
- 使用条件访问来限制可以访问组织电子邮件和文件的应用。
- 删除应用内的组织数据。
有关详细信息,请转到:
简化访问
Intune可帮助组织支持可从任意位置工作的员工。 可以配置一些功能,允许用户连接到组织,无论他们身在何处。
本部分包括可在Intune中配置的一些常见功能。
使用Windows Hello 企业版而不是密码
Windows Hello 企业版有助于防范网络钓鱼攻击和其他安全威胁。 它还可帮助用户更快、更轻松地登录到其设备和应用。
Windows Hello 企业版将密码替换为 PIN 或生物识别,例如指纹或面部识别。 此生物识别信息存储在本地设备上,永远不会发送到外部设备或服务器。
有关详细信息,请转到:
为远程用户Create VPN 连接
VPN 策略为用户提供对组织网络的安全远程访问。
使用常见的 VPN 连接合作伙伴(包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等),可以使用网络设置创建 VPN 策略。 策略准备就绪后,将此策略部署到需要远程连接到网络的用户和设备。
在 VPN 策略中,可以使用证书对 VPN 连接进行身份验证。 使用证书时,最终用户无需输入用户名和密码。
有关详细信息,请转到:
- 在 Intune 中创建 VPN 配置文件以连接到 VPN 服务器
- 在 Intune 中使用证书进行身份验证
- 详细了解 Microsoft Tunnel for Intune
- 使用 适用于 MAM 的 Microsoft Tunnel
为本地用户Create Wi-Fi 连接
对于需要连接到本地组织网络的用户,可以使用网络设置创建 Wi-Fi 策略。 可以连接到特定的 SSID、选择身份验证方法、使用代理等。 还可以将策略配置为在设备处于范围内时自动连接到 Wi-Fi。
在 Wi-Fi 策略中,可以使用证书对 Wi-Fi 连接进行身份验证。 使用证书时,最终用户无需输入用户名和密码。
策略准备就绪后,将此策略部署到需要连接到本地网络的本地用户和设备。
有关详细信息,请转到:
为应用和服务启用单一登录 (SSO)
启用 SSO 后,用户可以使用其Microsoft Entra组织帐户(包括某些移动威胁防御合作伙伴应用)自动登录到应用和服务。
具体来说:
在 Windows 设备上,SSO 是自动内置的,用于登录到使用Microsoft Entra ID进行身份验证的应用和网站,包括 Microsoft 365 应用。 还可以在 VPN 和 Wi-Fi 策略上启用 SSO。
在 iOS/iPadOS 和 macOS 设备上,可以使用 Microsoft Enterprise SSO 插件自动登录到使用 Microsoft Entra ID 进行身份验证的应用和网站,包括 Microsoft 365 应用。
有关详细信息,请转到单一登录 (SSO) 概述和Microsoft Intune中的 Apple 设备的选项。
在 Android 设备上,可以使用 Microsoft 身份验证库 (MSAL) 启用对 Android 应用的 SSO。
有关详细信息,请转到:
相关文章
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈