Share via

購買並新增適用于Microsoft Intune的應用程式

  • 發行項

為了協助保護貴組織的資料,您可以為組織成員提供受控應用程式,讓他們可以安全地共同作業並提高生產力。 受控應用程式是您在組織成員裝置上安裝及管理的用戶端應用程式子集。 這些已增強以支援特殊設定和保護功能的應用程式。 這些功能是由端點管理解決方案管理和維護,例如Microsoft Intune。 Intune 提供 Web 型主控台來管理、保護及監視您組織的所有端點,無論這些端點是裝置或應用程式。 Intune 提供的功能有助於保護組織的雲端和內部部署裝置、應用程式和資料安全。 Microsoft Intune產品系列會整合 Microsoft Intune、Microsoft 端點Configuration Manager、電腦分析和 Windows Autopilot。

注意事項

端點包括您的組織所使用的行動裝置、桌上型電腦、虛擬機器、內嵌裝置、伺服器、應用程式和共用裝置。 共用和特製化裝置的範例包括零售點銷售裝置、耐用裝置、數位互動式白板、會議室裝置,以及全像攝影穿戴式電腦。 此外,端點也包含您組織所使用的應用程式。

視組織所需的應用程式而定,您可能想要購買特定應用程式的授權。 此內容可協助您瞭解 Intune 可用的不同應用程式類型。 此外,您可以新增要使用設定和保護原則來管理的應用程式,或是您只能部署到組織成員的應用程式。 您將瞭解如何購買應用程式和應用程式授權。 這些概念都是將應用程式新增至 Intune 程式中很重要的一部分。

此解決方案的內容

此解決方案會逐步引導您完成將受控應用程式新增至Microsoft Intune的程式。 將受控應用程式新增至 Intune 是您設定、保護和部署應用程式之前所採取的第一個步驟,讓組織成員可以安全地使用它們。 藉由管理貴組織的應用程式,您可以協助保護組織的資料。

用來購買應用程式並將應用程式新增至Microsoft Intune的步驟。

部署 Intune

您應該先瞭解如何設定和部署 Intune 的功能,再開始新增和指派應用程式。 部署 Intune 通常牽涉到下列步驟:

設定和部署 Intune 的步驟

步驟 動作 描述
1 設定 Intune 您可以遵循快速入門的步驟, 免費試用 Intune 。 當您完成此步驟時,您將完成下列作業:
  • 已建立免費的 Intune 租使用者。 租使用者是裝載 Intune 訂用帳戶的專用Microsoft Entra識別碼實例。
  • 在 Intune 中建立使用者,並為使用者指派授權。
  • 已建立群組來管理使用者
  • 設定Windows 10/11 裝置的自動註冊。
  • 瞭解如何註冊裝置。
  • 瞭解如何建立 Android Enterprise 裝置的密碼合規性原則。
  • 瞭解如何將通知傳送至不符合規範的裝置。
  • 新增並指派應用程式。
  • 建立並指派應用程式保護原則。
  • 建立並指派自訂角色。
  • 已建立 iOS/iPadOS 的電子郵件裝置設定檔。
2 設定應用程式 新增、設定及保護 您組織使用的應用程式。 當您完成此步驟時,您將完成下列作業:
  • 瞭解如何新增受控和非受控應用程式
  • 瞭解要先將哪些應用程式新增至您的租使用者
  • 瞭解如何在 Intune 中設定應用程式
  • 瞭解如何使用 Intune 保護應用程式
  • 瞭解不同層級的應用程式保護
3 建立裝置合規性和條件式存取原則 您將瞭解如何建立裝置合規性原則和條件式存取原則。 當您完成此步驟時,您將瞭解裝置合規性和條件式存取,以及瞭解如何處理不符合規範的情況。 此外,您將瞭解不同層級的裝置合規性。
4 建立裝置設定原則 您將瞭解如何設定裝置功能和設定,以保護裝置和存取資源。 當您完成此步驟時,您將瞭解不同層級的裝置設定和保護。
5 註冊要管理的裝置 當您完成此步驟時,您將瞭解如何設定裝置以進行註冊,並瞭解註冊原則和限制。 您也將瞭解如何使用註冊設定檔和 Windows Autopilot。

行動應用程式管理設定

使用沒有限制的應用程式時,公司和個人資料可能會交集在一起。 公司資料最終可能會位於個人儲存體等位置,或傳輸至您所檢視以外的應用程式,並導致資料暴露和資料遺失。 管理組織成員在其裝置上使用的應用程式稱為行動應用程式管理 (MAM) 。 MAM 可讓您在未註冊的裝置上提供資料保護。 未註冊的裝置是組織成員用來存取公司資料的個人裝置。 請務必瞭解這些個人裝置並未受管理,但仍需要保護。 在 不註冊裝置的情況下使用 MAM 或使用 MAM 進行裝置註冊 的主要原因之一,是協助保護貴組織的資料。

Microsoft Intune服務支援兩個行動應用程式管理 (MAM) 組態:

不含裝置管理的 MAM

Intune 中的 MAM 是設計來保護應用層級的組織資料,包括自訂應用程式和市集應用程式。 應用程式管理可用於組織擁有的裝置和個人裝置上。 當搭配個人裝置一起使用時,只會管理組織相關的存取和資料。 此設定可讓您組織的應用程式由 Intune 管理,但不會註冊要由 Intune 管理的裝置。 此設定通常稱為 沒有裝置註冊的 MAM,或 MAM-WE。 IT 系統管理員可以在未向 Intune Mobile 裝置管理 (MDM) 註冊的裝置上使用 Intune 設定和保護原則,來管理使用 MAM 的應用程式。 在 MAM 案例中,會根據裝置上應用程式的登入使用者來管理應用程式。 MAM 非常適合用來協助保護組織成員用於個人和工作工作之裝置上的組織資料。 沒有 MDM 的 MAM 很適用于可讓組織成員從遠端在自己的裝置上工作, (BYOD) 的組織。

提示

許多生產力應用程式 (例如 Microsoft Office 應用程式) 都可由 Intune MAM 管理。 請參閱可公開使用的 Microsoft Intune 受保護應用程式官方清單。

如果您選擇在不註冊裝置的情況下使用 MAM,有一些需要注意的限制,例如:

  • 您無法將應用程式直接部署到裝置。 組織成員 (使用者) 從市集擷取應用程式。
  • 您無法在這些非受控裝置上布建 憑證設定檔
  • 您無法在這些非受控裝置上布建公司 Wi-FiVPN 設定。

注意事項

MAM 組態包括使用 Intune 在向協力廠商企業行動管理 (EMM) 提供者註冊的裝置上管理應用程式。 您可以使用與任何 MDM 解決方案無關的 Intune 應用程式設定和保護原則。 無論是否在裝置備管理解決方案中註冊裝置,這種獨立性可以幫助您保護公司的資料。 藉由實作應用程式層級原則,您可以限制公司資源的存取權,並將資料保留在 IT 部門的範圍內。

使用裝置管理的 MAM

此設定可讓您管理組織的應用程式和裝置。 此設定通常稱為 MAM + MDM。 IT 系統管理員可以在已向 Intune MDM 註冊的裝置上使用 MAM 來管理應用程式。

除了 MAM 之外,MDM 也可確保裝置受到保護。 您可以要求 PIN 碼以存取裝置,或是將受管理應用程式部署到裝置。

搭配應用程式保護原則使用 MDM 還有其他優點。 例如,貴組織的成員可以同時擁有公司所簽發的電話,以及他們自己的個人平板電腦。 公司電話可以在 MDM 中註冊,並受到應用程式保護原則的保護,而個人裝置只能受到應用程式保護原則的保護。

在使用 MDM 服務的已註冊裝置上,應用程式保護原則可以新增額外的保護層。 例如,使用者使用其組織認證登入裝置。 使用該組織資料時,應用程式防護原則會控制資料的儲存和共用方式。 當使用者使用其個人身分識別登入時,不會套用這些相同的保護 (存取和限制) 。 如此一來,IT 即可控制組織資料,而終端使用者則可保有其個人識別資訊的控制權和隱私權。

MDM 解決方案藉由提供下列功能來增加價值:

  • 註冊裝置
  • 將應用程式部署至裝置
  • 提供持續的裝置合規性與管理

應用程式防護原則藉由提供下列功能來增加價值:

  • 協助保護公司資料免于洩漏至取用者應用程式和服務
  • 將另 存新檔剪貼簿PIN等限制套用至用戶端應用程式
  • 視需要從應用程式抹除公司資料,而不從裝置移除這些應用程式

使用 Intune 的 MAM 優點

在 Intune 中管理應用程式時,系統管理員可以執行下列動作:

  • 保護應用層級的公司資料。 您可以新增行動應用程式,並將其指派給使用者群組和裝置。 這項管理可讓您的公司資料在應用層級受到保護。 您可以保護受控和非受控裝置上的公司資料,因為行動應用程式管理不需要裝置管理。 此管理會以使用者身分識別為中心,這會對移除裝置管理的需求。
  • 將應用程式設定為在啟用特定設定時啟動或執行。 此外,您可以更新裝置上已存在的應用程式。
  • 指派原則以限制存取,並防止資料在組織外部使用。 您可以根據組織的需求選擇這些原則的設定。 例如,您可以:
    • 需要 PIN 碼才能在工作環境中開啟應用程式。
    • 禁止受管理的應用程式在已越獄或 Root 破解的裝置上執行。
    • 控制應用程式之間的資料共用。
    • 使用儲存組織資料 複本限制剪下、複製和貼上等資料重新配置原則,防止將公司應用程式資料儲存到個人儲存位置。
  • 支援各種平臺和作業系統上的應用程式。 每個平臺都不同。 Intune 會特別針對每個支援的平臺提供可用的設定。
  • 請參閱有關使用哪些應用程式的報告,並追蹤其使用量。 此外,Intune 還提供端點分析來協助您評估和解決問題。
  • 只移除應用程式中的組織資料,以進行選擇性抹除。
  • 請確定個人資料與受控資料分開。 使用者生產力不會受到影響,且在個人內容中使用應用程式時不會套用原則。 這些原則只會套用在工作內容中,讓您能夠保護公司資料,而不需要觸碰個人資料。

瞭解應用程式類型

貴組織中應用程式和裝置的使用者可能有數個應用程式需求。 將應用程式新增至 Intune 並讓組織成員使用之前,您可能會發現評估和瞭解一些應用程式基本概念很有説明。 有各種類型的應用程式可供 Intune 使用。 您必須判斷組織中使用者所需的應用程式需求,例如組織成員所需的平臺和功能。 您必須判斷是要使用 Intune 來管理裝置, (包括應用程式) ,還是讓 Intune 管理應用程式而不管理裝置。 此外,您也必須判斷組織成員所需的應用程式和功能,以及需要這些應用程式和功能的人員。 如需詳細資訊,請參閱 適用于 Managed 環境的應用程式類型 或概觀。

購買應用程式

通常,您必須先購買應用程式、購買使用應用程式的授權,或取得使用應用程式的授權,才能將應用程式散發給組織的成員。 許多應用程式都是免費的,不過您可能仍然需要遵循購買程式,才能將這些應用程式散發給組織的成員。 在這些免費應用程式中,大部分不是設計來保護和設定 Intune。 如需詳細資訊,請 參閱購買 Intune 應用程式 以取得概觀。

將應用程式新增至 Intune

將受控應用程式散發給組織成員之前,您必須先將應用程式新增至 Intune。 新增之後,您可以建立組態和保護原則來支援應用程式。 當您準備好時,您可以將應用程式指派給組織的成員。 如需詳細資訊,請參閱將應用程式新增至Microsoft Intune概觀