Руководство по развертыванию: управление устройствами iOS и iPadOS в Microsoft Intune
Intune поддерживает управление мобильными устройствами (MDM) iPad и iPhone, чтобы предоставить пользователям безопасный доступ к корпоративной электронной почте, данным и приложениям. В этом руководстве приведены рекомендации для iOS, которые помогут настроить регистрацию и развернуть приложения и политики для пользователей и устройств.
Предварительные требования
Прежде чем начать, выполните эти предварительные требования, чтобы включить управление устройствами iOS/iPadOS в Intune. Дополнительная информация о настройке и подключении Intune, а также о переходе на этот сервис приведена в руководстве по развертыванию Intune.
- Добавление пользователей и групп
- Назначение лицензий пользователям
- Задание центра управления мобильными устройствами
- Настройка сертификата push-уведомлений Apple MDM (APNs)
Сведения о ролях и разрешениях Microsoft Intune см. в разделе RBAC с Microsoft Intune. Роли глобального администратора Microsoft Entra и администратора Intune имеют полные права в Microsoft Intune. Глобальный администратор имеет больше разрешений, чем требуется для многих задач управления устройствами в Microsoft Intune. Рекомендуется использовать роль с наименьшими привилегиями, необходимую для выполнения задач. Например, наименее привилегированной ролью, которая может выполнять задачи регистрации устройств, является диспетчер политик и профилей, встроенная роль Intune.
Планирование развертывания
В руководстве по планированию перехода на Microsoft Intune содержатся рекомендации и советы, которые помогут определить цели, сценарии использования и технические требования. В этом документе также описано, как спланировать развертывание, взаимодействие, поддержку, тестирование и проверки.
Создание правил соответствия требованиям
Используйте политики соответствия, чтобы определить правила и условия, которым должны соответствовать пользователи и устройства для доступа к защищенным ресурсам. При использовании условного доступа политики условного доступа могут использовать результаты соответствия устройств для блокировки доступа к ресурсам с несоответствующих устройств. Подробное описание политик соответствия и способы их применения приведены в статье Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune.
| Задача | Сведения |
|---|---|
| Создание политики соответствия | Ознакомьтесь с пошаговыми инструкциями о том, как создать и назначить политики соответствия группам пользователей и устройств. |
| Добавление действий при несоответствии | Выберите, что произойдет, если устройства больше не соответствуют условиям политики. Вы можете добавить действия при обнаружении несоответствия при настройке или изменении политики. |
| Создание политики условного доступа на основе устройств или приложений | Укажите приложение или службы, безопасность которых необходимо обеспечить, и определите условия доступа к ним. |
| Блокировка приложений, не поддерживающих современные средства аутентификации | Создайте политики условного доступа на основе приложений для блокировки приложений, использующих способы проверки подлинности, отличные от OAuth2. Например, вы можете заблокировать приложения, в которых применяется обычная проверка подлинности и аутентификация на основе форм. Однако перед блокировкой доступа войдите в Microsoft Entra ID и просмотрите отчет о действиях методов проверки подлинности , чтобы узнать, используют ли пользователи обычную проверку подлинности для доступа к важным вещам, о которых вы забыли или не знали о них. Например, календарные киоски для комнат используют обычную проверку подлинности. |
Настройка безопасности конечных точек
Задайте настройки безопасности и управляйте задачами по безопасности на устройствах с высоким риском взлома с помощью функции безопасности конечных точек в Intune.
| Задача | Сведения |
|---|---|
| Управление устройствами с помощью функций безопасности конечных точек | Используйте параметры безопасности конечных точек в Intune, чтобы эффективно управлять безопасностью устройств и устранять проблемы. |
| Включение соединителя Mobile Threat Defense в Intune для незарегистрированных устройств | Включите соединение с MTD в Intune, чтобы партнерские приложения MTD могли работать с Intune и вашими политиками. Если вы не используете защитник Майкрософт для конечной точки, рассмотрите возможность включения соединителя, чтобы можно было использовать другое решение для защиты от угроз для мобильных устройств. |
| Создание политики защиты приложений MTD | Создайте политику защиты приложений Intune, которая оценивает риск и ограничивает Корпоративный доступ устройства на основе уровня угрозы. |
| Добавление приложений MTD на незарегистрированные устройства | Сделайте приложения MTD доступными для пользователей в вашей организации и настройте Microsoft Authenticator для iOS/iPadOS. |
| Условный доступ для ограничения доступа к Microsoft Tunnel | Используйте политики условного доступа для доступа к VPN-шлюзу Microsoft на устройстве шлюза. |
Настройка параметров устройства
Используйте Microsoft Intune, чтобы включить или отключить параметры и компоненты на устройствах iOS/iPadOS. Чтобы настроить и применить эти параметры, создайте профиль конфигурации устройства, а затем назначьте профиль группам в Организации. Устройства получают профиль после регистрации.
| Задача | Сведения |
|---|---|
| Создание профиля устройства в Microsoft Intune | Узнайте о различных типах профилей устройств, которые вы можете создать для своей организации. |
| Настройка функций устройства | Настройте общие функции и возможности iOS/iPadOS для работы или учебы. Описание параметров в этой области см. в справочнике по функциям устройств. |
| Настройка профиля Wi-Fi | Этот профиль позволяет людям находить и подключаться к Wi-Fi сети вашей организации. Описание параметров в этой области см. в справочнике по функциям устройств. |
| Настройка профиля Wi-Fi | Настройте безопаснjt VPN-подключение, например Microsoft Tunnel, для пользователей, подключающихся к сети организации. Вы также можете создать политику VPN для каждого приложения, чтобы требовать от пользователей входить в определенные приложения через VPN-подключение. Описание параметров в этой области см. в справочнике по функциям устройств. |
| Настройка электронной почты | Настройте параметры электронной почты, чтобы пользователи могли подключаться к почтовому серверу и получать доступ к своей рабочей или учебной электронной почте. Описание параметров в этой области см. в справочнике по функциям устройств. |
| Ограничение возможностей устройств | Защитите пользователей от несанкционированного доступа и отвлекающих факторов, ограничив функции устройства, которые они могут использовать на работе или в школе. Описание параметров в этой области см. в справочнике по функциям устройств. |
| Настройка индивидуального профиля | Добавьте и назначьте параметры и функции устройства, которые не встроены в Intune. |
| Настройка фирменной символики и регистрации | Настройте корпоративный портал Intune и приложение Microsoft Intune, используя собственные слова, фирменный стиль, настройки экрана и контактную информацию вашей организации. |
| Настройка политики обновления программного обеспечения | Запланируйте автоматическое обновление ОС и установку для защищенных устройств iOS/iPadOS. |
Использование безопасных методов проверки подлинности
Настройте методы проверки подлинности в Intune, чтобы обеспечить доступ к внутренним ресурсам только уполномоченным пользователям. Intune поддерживает многофакторную проверку подлинности, сертификаты и производные учетные данные. Сертификаты также могут использоваться для подписи и шифрования электронной почты с помощью S / MIME.
| Задача | Сведения |
|---|---|
| Требование многофакторной проверки подлинности (MFA) | Требуйте от пользователей предоставлять два вида учетных данных во время регистрации. |
| Создание профиля доверенного сертификата | Перед созданием профиля сертификата SCEP, PKCS или импортированного сертификата PKCS создайте и разверните профиль доверенного сертификата. Профиль доверенного сертификата развертывает доверенный корневой сертификат для устройств и пользователей с помощью импортированных сертификатов SCEP, PKCS и PKCS. |
| Использование сертификатов SCEP в Intune | Узнайте, что необходимо для использования сертификатов SCEP в Intune и настройки необходимой инфраструктуры. После этого можно создать профиль сертификата SCEP или настроить сторонний центр сертификации с SCEP. |
| Использование сертификатов SCEP в Intune | В этой статье вы узнаете, как настроить необходимую инфраструктуру (например локальные соединители сертификата), экспортировать сертификат PKCS и добавить сертификат в профиль конфигурации устройства Intune. |
| Использование импортированных сертификатов PKCS в Intune | Используйте импортированные сертификаты PKCS, которые позволяют настроить и использовать S/MIME для шифрования электронной почты. |
| Настройка поставщика производных учетных данных | Предоставьте устройствам iOS/iPadOS сертификаты, полученные из пользовательских смарт-карт. |
Развертывание приложений
При настройке приложений и политик приложений подумайте о требованиях вашей организации, например о поддерживаемых платформах, задачах, которые пользователи должны выполнить, типах приложений для выполнения этих задач и о группах пользователей, которым нужны эти приложения. Intune можно использовать для управления всем устройством (включая приложения) или только приложениями.
| Задача | Сведения |
|---|---|
| Добавление приложений магазина | Добавьте приложения iOS/iPadOS из App Store в Intune и распределите их по группам. |
| Добавление веб-приложений | Добавьте веб-приложения в Intune и назначьте их группам. |
| Добавление встроенных приложений | Добавьте встроенные веб-приложения в Intune и назначьте их группам. |
| Добавление бизнес-приложений | Добавьте бизнес-приложения iOS/iPadOS в Intune и назначьте их группам. |
| Назначение приложений группам | Назначьте приложения пользователям и устройствам. |
| Включение и исключение назначений приложений | Управляйте доступом приложения путем включения и исключения выбранных групп из назначения. |
| Управление приложениями iOS/iPadOS, приобретенными через Apple Business Manager | Синхронизируйте, управляйте и назначайте приложения, приобретенные через Apple Business Manager. |
| Управление электронными книгами iOS/iPadOS, приобретенными через Apple Business Manager | Синхронизируйте, управляйте и назначайте электронные книги, приобретенные через Apple Business Manager. |
| Создание политики защиты приложений для iOS/iPadOS | Храните данные организации, содержащиеся в управляемых приложениях, таких как Outlook и Word. Подробные сведения о каждом параметре см. в этой статье. |
| Создание профиля подготовки приложения | Предотвратите истечение срока действия сертификатов приложений, заранее назначив новые профили подготовки устройствам, для которых истекает срок действия приложений. |
| Создание политики конфигурации приложений | Примените пользовательские параметры конфигурации к приложениям iOS/iPadOS на зарегистрированных устройствах. Эти типы политик также можно применять к управляемым приложениям без регистрации устройства. |
| Настройка Microsoft Edge | Используйте политики конфигурации и защиты приложений Intune в Edge для iOS и Android, чтобы гарантировать безопасность доступа на корпоративные веб-сайты. |
| Настройка приложений Microsoft Office | Используйте политики конфигурации и защиты приложений Intune в Edge для iOS и Android, чтобы гарантировать безопасность доступа на корпоративные веб-сайты. |
| Настройка Microsoft Teams | Используйте политики конфигурации и защиты приложений Intune в Teams, чтобы гарантировать безопасность доступа к возможностям для совместной работы. |
| Настройка Microsoft Outlook | Используйте политики конфигурации и защиты приложений Intune в Edge для iOS и Android, чтобы гарантировать безопасность доступа на корпоративные веб-сайты. |
Регистрация устройств
Регистрация устройств позволяет им получать создаваемые вами политики, поэтому подготовьте группы пользователей и группы устройств Microsoft Entra.
Сведения о каждом методе регистрации и о том, как выбрать подходящий для вашей организации, см. в статье руководство по регистрации устройств iOS/iPadOS в Microsoft Intune.
| Задача | Сведения |
|---|---|
| Настройка автоматической регистрации устройств Apple (ADE) в Intune | Настройте готовую процедуру регистрации для корпоративных устройств, приобретенных через Apple School Manager или Apple Business Manager. Подробнее см. в Руководство. Использование функции регистрации корпоративных устройств Apple в Apple Business Manager (ABM) для регистрации устройств iOS и iPadOS в Intune |
| Настройка Apple School Manager в Intune | Настройте Intune для регистрации устройств, приобретенных через программу Apple School Manager. |
| Настройка регистрации устройств iOS и iPadOS с помощью Apple Configurator | Создайте профиль Apple Configurator для регистрации корпоративных устройств (без сопоставления пользователей) через прямую регистрацию без участия торгового посредника; или регистрации очищенных или новых устройств (с сопоставлением пользователей) через помощника по настройке. Вам нужно будет экспортировать профиль Apple Configurator из Intune, для чего требуется USB-подключение к компьютеру Mac, на котором запущен Apple Configurator. |
| Определение устройства как корпоративного | Присваивайте устройствам статус корпоративной собственности, чтобы активировать дополнительные возможности управления и идентификации в Intune. Корпоративный статус нельзя присвоить устройствам, зарегистрированным через Apple Business Manager. |
| Настройка регистрации пользователей Apple | Создайте профиль регистрации пользователей, чтобы развернуть интерфейс регистрации пользователей Apple на устройствах с помощью управляемого идентификатора Apple ID. |
| Настройка общих устройств iPad | Настройте устройства таким образом, чтобы они могли использоваться более чем одним человеком (тип установки, отображаемый в библиотеке или в среде образовательных учреждений). |
| Резервное копирование и восстановление устройств | Выполняйте резервное копирование и восстановление устройства для подготовки к регистрации или миграции в Intune, например во время автоматической настройки регистрации устройств. |
| Смена владения устройством | После регистрации устройства можно изменить его метку владения в Intune на корпоративное или личное. Эта настройка меняет способ управления устройством. |
| Устранение проблем с регистрацией | Устраняйте неполадки и находите решения проблем, возникающих во время регистрации. |
Применение удаленных действий
После настройки устройств вы можете использовать удаленные действия в Intune, чтобы управлять устройствами и устранять неполадки удаленно. Доступность настроек зависит от платформы устройства. Если действие отсутствует или отключено на портале, значит, устройство его не поддерживает.
| Задача | Сведения |
|---|---|
| Выполнение удаленных действий на устройствах | Узнайте, как детализировать и удаленно управлять отдельными устройствами в Intune, а также устранять их неполадки. В этой статье перечислены все удаленные действия, доступные в Intune, а также приведены ссылки на эти процедуры. |
| Удаленное администрирование устройств Intune с помощью TeamViewer | В этом разделе описано, как настроить TeamViewer в Intune и удаленно управлять устройством. |
| Устранение уязвимостей, обнаруженных Microsoft Defender для конечной точки | При интеграции Intune с Microsoft Defender для конечной точки можно воспользоваться управлением угрозами и уязвимостями в Defender для конечной точки, а также использовать Intune для устранения уязвимостей конечной точки, обнаруженных с помощью возможности управления угрозами в Defender. |
Дальнейшие действия
Ознакомьтесь с этими руководствами по регистрации, чтобы узнать, как выполнять некоторые из основных задач в Intune. Учебники — это контент на уровне 100–200 для людей, которые впервые работают с Intune или конкретным сценарием.
- Просмотр Центра администрирования Intune
- Использование функции регистрации корпоративных устройств Apple в Apple Business Manager (ABM) для регистрации устройств iOS и iPadOS в Intune
- Защита электронной почты Exchange Online на управляемых устройствах
- Защита электронной почты Exchange Online на неуправляемых устройствах
- Настройка Slack для использования Intune для EMM и настройки приложения
Версию этого руководства для Android см. здесь: Руководство по развертыванию. Управление устройствами Android в Microsoft Intune.