Microsoft Intune-architectuur

In dit artikel wordt de architectuur van een Microsoft Intune implementatie beschreven: de cloud- en on-premises onderdelen en de microsoft- en externe producten Intune integreren met.

Zie Wat is Microsoft Intune? voor een inleiding tot wat Intune doet. Zie Microsoft Intune kernconcepten voor een conceptueel overzicht van hoe Intune identiteiten, apparaten en apps beheert.

Diagram met Microsoft Intune in een referentiearchitectuur met Microsoft Entra, Microsoft 365, Configuration Manager, on-premises connectors en beheerde eindpunten.

Het diagram organiseert een typische Intune implementatie in zeven lagen:

  1. Cloudbesturingsvlak: door Microsoft gehoste Intune-services.
  2. Beheerde eindpunten: apparaten die Intune beheert.
  3. Services voor eindpuntfamilie: Microsoft-producten waarvan het primaire doel eindpuntbeheer is.
  4. Connectors en extensies: externe cloudservices Intune integreren met.
  5. Peerintegraties: andere Microsoft-producten die zijn geïntegreerd met Intune.
  6. Partnerecosysteem: producten en services van derden die zijn geïntegreerd met Intune.
  7. On-premises services: door de klant beheerde infrastructuur die is geïntegreerd met de Intune cloud.

Elke laag wordt beschreven in de volgende secties.

Cloudbesturingsvlak

Het cloudbesturingsvlak is de set door Microsoft gehoste services die de Intune tenant vormen. Ze slaan configuraties op, leveren beleid, maken programmatische interfaces beschikbaar en bieden de beheerders- en gebruikerservaringen.

Diagram van het cloudbesturingsvlak.

Component Rol
Microsoft Intune-service Het besturingsvlak in de cloud waarin configuraties worden opgeslagen en de beleidslevering wordt georganiseerd.
Microsoft Intune beheercentrum Webconsole voor beheerders.
Microsoft Graph API Openbare programmeerinterface. Elke actie in het beheercentrum wordt ondersteund door een Graph API-aanroep.
Microsoft Intune Bedrijfsportal app en website Gebruikersgerichte surface waarmee apparaten worden ingeschreven, vereiste apps worden weergegeven en de nalevingsstatus wordt weergegeven.

Beheerde eindpunten

Intune ondersteunt de volgende platforms: Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS en Windows. Speciale scenario's omvatten kiosken, frontlijnapparaten en robuuste hardware die wordt beheerd via platformspecifieke inschrijvingspaden.

Diagram van beheerde eindpunten die betrekking hebben op het cloudbesturingsvlak.

Apparaten worden beheerd via verschillende modi:

  • Mobile Device Management (MDM): typisch voor apparaten die eigendom zijn van de organisatie; Intune beheert het hele apparaat.
  • Mobile Application Management (MAM): typisch voor persoonlijke (BYOD)-apparaten; Intune beheert alleen zakelijke apps en gegevens.
  • Geautomatiseerde inschrijving voor hardware die eigendom is van de organisatie: Windows Autopilot, Automatische apparaatinschrijving van Apple en Android Enterprise.

Zie Ondersteunde besturingssystemen en browsers voor Intune voor de volledige matrix met ondersteunde besturingssystemen.

Eindpuntfamilieservices

Eindpuntfamilieservices zijn Microsoft-producten waarvan het primaire doel eindpuntbeheer is. Elk is gespecialiseerd in een specifiek aspect van de levenscyclus van het eindpunt.

Diagram van eindpuntfamilieservices die betrekking hebben op het cloudbesturingsvlak.

Service Wat het doet Wanneer gebruiken
Windows Autopilot Cloudgebaseerde inrichting voor nieuwe en bestaande Windows-apparaten, met opties voor gebruikersgestuurde, zelf-implementerende (zero-touch), vooraf inrichten en opnieuw instellen Apparaten rechtstreeks van OEM naar eindgebruikers verzenden of bestaande apparaten op schaal opnieuw gebruiken
Windows 365 In de cloud gehoste Windows-desktops (cloud-pc's) Externe werknemers, BYOD, contractanten, gereglementeerde workloads
Windows Autopatch Beheerde updateservice voor Windows, Microsoft 365-apps voor ondernemingen, Microsoft Edge, Microsoft Teams en apparaatstuurprogramma's en firmware Handmatig updatebeheer verminderen
Eindpuntanalyse Telemetrie en aanbevelingen voor apparaatstatus en -prestaties Prestatieproblemen identificeren en het volume van de helpdesk verminderen

Connectors en extensies

Connectors en extensies zijn externe cloudservices waarmee Intune kunnen worden geïntegreerd. Ze hebben geen on-premises footprint. Intune communiceert met hen via internet.

Diagram van connectors en extensies die betrekking hebben op het cloudbesturingsvlak.

Connector Rol
Microsoft Cloud PKI In de cloud gehoste PKI waarmee SCEP-certificaten worden uitgegeven, vernieuwd en ingetrokken voor Intune beheerde apparaten zonder dat hiervoor on-premises AD CS, NDES of de certificaatconnector nodig is. Ondersteunt een volledig in de cloud gehoste hiërarchie of ankering aan uw bestaande privéhoofdmap (BYOCA).
Apple Business/VPP Integratie op basis van tokens voor levering van Apple-apps.
Apple Push Notification Service (APNs) Vereist voor Apple-apparaatbeheer.
Beheerde Google Play Android Enterprise-app-catalogus.
Microsoft Store Ingebouwde catalogus voor Windows-apps.

Peer-integraties

Peer-integraties zijn Microsoft-producten die naast Intune werken. Ze hebben hun eigen primaire doel; integratie met Intune is een van de vele toepassingen.

Diagram van peerintegraties met betrekking tot het cloudbesturingsvlak.

Product Rol
Microsoft 365-apps Geïmplementeerd naar beheerde eindpunten via Intune.
Eindpuntbeveiliging in Microsoft Defender Hiermee worden realtime apparaatrisicosignalen in Intune nalevingsevaluatie en beslissingen voor voorwaardelijke toegang ingevoerd. Fungeert ook als MTD-bron (Mobile Threat Defense) voor iOS, iPadOS en Android.
Copilot in Intune Microsoft Security Copilot mogelijkheden die worden weergegeven in het Microsoft Intune-beheercentrum.
Microsoft Purview Vertrouwelijkheidslabels en DLP-beleid (preventie van eindpuntgegevensverlies) dat van toepassing is op gegevens op Intune beheerde apparaten.

Partnerecosysteem

Het partnerecosysteem bevat producten en services van derden die zijn geïntegreerd met Intune via gedocumenteerde API's, connectors of configuratiepatronen.

Diagram van het partnerecosysteem met betrekking tot het cloudbesturingsvlak.

Categorie Beschrijving en voorbeelden
MTD-partners (Mobile Threat Defense) Services van derden die apparaatrisicosignalen in Intune. Voorbeelden: Lookout, Zimperium, Check Point. Eindpuntbeveiliging in Microsoft Defender is ook een MTD-bron: zie Peer-integraties.
Partners voor apparaatnaleving Niet-Intune MDM's die de MDM-instantie voor toegewezen gebruikersgroepen worden en de apparaatcompatibiliteitsstatus rapporteren in Microsoft Entra ID voor Intune voorwaardelijke toegang. Wordt ondersteund op Android, iOS, iPadOS en macOS. Voorbeelden: Jamf Pro, Ivanti EPMM, BlackBerry UEM, Omnissa Workspace ONE, Kandji, SOTI MobiControl.
ITSM-partners (IT Service Management) Incident- en assetintegratie. Voorbeelden: ServiceNow, Jira.
Externe ondersteuningspartners Beheer en hulp op afstand. Voorbeeld: TeamViewer.
Portals voor apparaatleveranciers Leverancierspecifiek beheer voor speciale hardware. Voorbeelden: Surface Management Portal, Lenovo, Intel vPro.
Partners voor netwerktoegangsbeheer (NAC) Netwerklaag toegang afdwingen. Voorbeelden: Cisco ISE, Aruba ClearPass.

On-premises services

On-premises services zijn door de klant beheerde infrastructuur die op uw netwerk wordt uitgevoerd en die kan worden geïntegreerd met het Intune cloudbesturingsvlak.

Diagram van on-premises services die betrekking hebben op het cloudbesturingsvlak.

Component Rol
Microsoft Tunnel Gateway VPN-gateway voor iOS-, iPadOS- en Android Enterprise-apparaten en -apps. Wordt uitgevoerd in een container op Linux.
Certificaatconnector voor Microsoft Intune Bruggen Intune naar uw on-premises certificaatservices om SCEP- en PKCS-certificaten uit te geven, PFX-certificaten voor S/MIME te importeren en certificaten in te trekken.
Microsoft Configuration Manager On-premises peer naar Intune voor Windows-clients en -servers. Integreert met Intune via co-beheer en tenantkoppeling. Zie Co-beheer en tenantkoppeling.

Co-beheer en tenantkoppeling

Microsoft Configuration Manager is de on-premises peer naar Intune voor Windows-clients en -servers. Het beheert desktops, Windows-servers en laptops op uw netwerk of verbonden via internet via cloudbeheergateway. Configuration Manager en Intune integreren via:

  • Co-beheer: hiermee kunnen Configuration Manager en Intune beide Windows-clients beheren. U verplaatst workloads naar de cloud in uw eigen tempo.
  • Tenantkoppeling: brengt Configuration Manager beheerde apparaten naar het Intune-beheercentrum voor zichtbaarheid, externe acties, rapportage in de cloud, ontwerpen van eindpuntbeveiligingsbeleid (Antivirus, ASR), CMPivot, PowerShell-scripts, toepassingsinstallaties en een uniforme apparaattijdlijn.

Door co-beheer en tenantkoppeling te gebruiken, kunnen organisaties die al Configuration Manager uitvoeren Intune mogelijkheden toevoegen zonder hun omgeving opnieuw te bouwen.

Verwante onderwerpen

  • Last updated on