Contoso 移动设备管理

项目
10/21/2023

Microsoft 365 企业版包括 Intune 和一组支持移动设备和应用程序管理和安全性的 Azure 服务。

Contoso 拥有许多支持移动功能的员工。有些在 Contoso 位置设有办事处，有些则没有办公室。 Contoso 需要一种提高员工工作效率的方法，但会保护设备、存储在这些设备上的 Contoso 数据和应用程序行为。

计划

Contoso 确定了 Microsoft 365 企业版移动设备管理的以下 Intune 用例：

保护Exchange Online电子邮件和数据，以便移动设备可以安全地访问它。
为 Contoso 员工实施自带设备 (BYOD) 计划。
向 Contoso 员工颁发组织所有的手机和有限使用的共享平板电脑。

Contoso 不使用 Intune 来：

允许员工从非托管公共展台安全访问 Microsoft 365。
保护本地电子邮件和数据，以便移动设备可以安全地访问它，因为没有本地 Microsoft Exchange 服务器。

部署

以下是 Contoso 设置其移动设备管理基础结构的方式：

将 Intune 设置为移动设备管理 (MDM) 机构，并使用 Azure 上的 Intune 来管理内容和管理设备
为设备创建了Microsoft Entra组，用于注册和 Intune 设置以及基于设备的条件访问策略

有关详细信息，请参阅 Contoso 条件访问策略。
启用了 Apple 设备平台，以支持员工使用 iPad、iMac 和 iPhone 以及公司拥有的 iPhone
创建了特定于 Contoso 的条款和条件策略，在移动设备上安装 Contoso 的公司门户时会看到这些策略
对于未注册的设备，实现了一组移动应用程序管理 (MAM) 策略，要求身份验证才能访问 Microsoft 365 服务
创建了强制实施以下内容的 Intune 策略：
- 允许的应用。
- 设备加密，帮助防止未经授权的访问。
- 六位数的 PIN 或密码。
- 非活动超时期限。
- 防病毒和恶意软件保护，以及Windows 10设备上具有Windows Defender的签名更新。
- 包含最新安全更新Windows 10设备上的自动更新。
- 将证书推送到托管设备。
- 业务和个人数据的明确分离。用户或管理员可以选择性地擦除设备中的公司数据，同时保留个人数据（如图片、个人电子邮件帐户和个人文件）不变。

Contoso 注册了已部署的电脑和公司拥有的智能手机和平板电脑，将其添加到相应的 Intune 设备组。他们还建立了一个 BYOD 计划，供员工注册其个人设备。已注册的设备接收 Intune 策略，这会导致托管和受保护的设备及其应用程序。未注册的设备具有移动应用程序管理 (MAM) 指定允许的应用程序的策略。

下面是 Contoso 移动设备管理部署体系结构。

Contoso 移动设备管理部署基础结构。