Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Intune opiera się na trzech filarach: tożsamościach, które się logują, urządzeniach, z których się logują, i aplikacjach, których używają do wykonywania pracy. Intune organizuje te filary na podstawie Microsoft Entra ID i przesyła stan urządzenia i aplikacji z powrotem do Microsoft Entra dostępu warunkowego, który umożliwia dostęp do zasobów firmy.
Aby zapoznać się z wprowadzeniem do Intune i dlaczego, zobacz Co to jest Microsoft Intune?. Aby zapoznać się ze składnikami, integracjami i widokiem wdrożenia, zobacz architekturę Microsoft Intune.
Trzy filary
| Filar | Co Intune robi | Na czym polega Intune |
|---|---|---|
| Tożsamości | Kieruje zasady do użytkowników i grup, zakresy dostępu administratora za pośrednictwem kontroli dostępu opartej na rolach (RBAC) i tworzy koligację użytkownika podczas rejestracji. | Microsoft Entra ID dla kont, grup, uwierzytelniania i dostępu warunkowego. |
| Urządzeń | Rejestruje, konfiguruje, chroni i wycofuje sprzęt, który uruchamia pracę organizacji. Raportuje stan zgodności dla dostępu warunkowego. | Programy rejestracji platformy (Windows Autopilot, Apple Automated Device Enrollment, Android Enterprise). |
| Aplikacje | Wdraża, konfiguruje, chroni i aktualizuje aplikacje potrzebne użytkownikom na zarejestrowanych i osobistych urządzeniach. | Sklepy z aplikacjami i katalogi dostawców (Microsoft Store, App Store, Managed Google Play, Apple Business). |
W pozostałej części tego artykułu przedstawiono poszczególne filary i kończy się na przykładzie roboczym, który śledzi logowanie jednokrotne we wszystkich trzech elementach.
Tożsamości
Intune nie przechowuje tożsamości użytkowników. Używa Microsoft Entra ID dla kont, grup, uwierzytelniania i dostępu warunkowego. W Intune tożsamości są umieszczane w trzech miejscach.
Koligacja użytkownika podczas rejestracji
Gdy użytkownik zaloguje się do urządzenia po raz pierwszy, urządzenie zostanie skojarzone z tym użytkownikiem. To skojarzenie jest nazywane koligacją użytkownika. Zasady przypisane do użytkownika są zgodne z nimi na wszystkich skojarzonych urządzeniach, a użytkownik może uzyskiwać dostęp do poczty e-mail, plików i aplikacji z dowolnego z tych urządzeń.
Jeśli żaden użytkownik nie jest skojarzony z urządzeniem, urządzenie jest bez użytkownika. Ten wzorzec jest typowy w przypadku kiosków dedykowanych jednemu zadaniu i udostępnionym urządzeniom używanym przez wiele osób.
Przed rejestracją zdecyduj przeznaczenie urządzenia, aby wybrać odpowiednią metodę rejestracji. Aby uzyskać wskazówki dotyczące konkretnej platformy, zobacz Rejestrowanie urządzeń w Microsoft Intune.
Dostęp oparty na rolach dla administratorów
Intune używa kontroli dostępu opartej na rolach (RBAC), aby określić, co każdy administrator może zobaczyć i zrobić w centrum administracyjnym. Wbudowane role, takie jak Menedżer aplikacji i Zasady i Menedżer profilów , zakres uprawnień do określonych zadań zarządzania punktami końcowymi. Ponieważ Intune używa Microsoft Entra ID, dostępne są również wbudowane role Microsoft Entra (w tym administrator Intune).
Sparuj rbac z tagami zakresu , aby zawęzić to, co może zobaczyć administrator, a nie tylko to, co może zrobić. Na przykład nadaj regionalnej pomocy technicznej rolę, która zezwala na czyszczenie urządzeń, ale oznacza ją tak, aby mogły wyświetlać i czyścić tylko urządzenia w swoim regionie.
Aby uzyskać szczegółowe informacje, zobacz Kontrola dostępu oparta na rolach z Microsoft Intune i Używanie tagów zakresu do filtrowania zasad.
Zasady i przypisania określania wartości docelowych
Intune jest oparta na chmurze i kieruje zasady bezpośrednio do użytkowników lub grup. Nie ma hierarchii kontenerów, takich jak jednostki organizacyjne. Tworzysz zasady, a następnie przypisujesz je do co najmniej jednej grupy Microsoft Entra.
Zasady można kierować do:
- Grupy użytkowników, gdy ustawienie powinno być zgodne z użytkownikiem na ich urządzeniach. Na przykład profil poczty e-mail lub wdrożenie aplikacji.
- Grupy urządzeń, gdy ustawienie powinno być stosowane niezależnie od tego, kto jest zalogowany, na przykład konfiguracja kiosku lub zasady procesu roboczego pierwszej linii.
- Wbudowane grupy wirtualne (Wszyscy użytkownicy, Wszystkie urządzenia), gdy ustawienie ma zastosowanie do całej dzierżawy.
Aby uzyskać szczegółowe informacje, zobacz Dodawanie grup w celu organizowania użytkowników i urządzeń oraz Przypisywanie profilów urządzeń w Microsoft Intune.
Urządzeń
Intune zarządza komputerami stacjonarnymi, laptopami, tabletami i telefonami oraz zabezpiecza je w systemach Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS i Windows. Aby uzyskać pełną macierz obsługiwanych systemów operacyjnych, zobacz Obsługiwane systemy operacyjne i przeglądarki.
Cykl życia urządzenia
Każde zarządzane urządzenie przechodzi przez cztery etapy, wszystkie obsługiwane w tym samym centrum administracyjnym.
- Rejestrowanie: zarządzanie urządzeniami. Sprzęt należący do organizacji zwykle używa automatycznej rejestracji za pośrednictwem rozwiązania Windows Autopilot, zautomatyzowanej rejestracji urządzeń firmy Apple lub systemu Android Enterprise. Urządzenia osobiste są rejestrowane za pośrednictwem aplikacji Portal firmy.
- Konfigurowanie: Zastosuj ustawienia dla sieci Wi-Fi, sieci VPN, certyfikatów, poczty e-mail, funkcji urządzenia i opcji specyficznych dla platformy. Katalog ustawień uwidacznia tysiące ustawień platformy.
- Ochrona: wymuszanie reguł zgodności, szyfrowanie dysków, wdrażanie punktów odniesienia zabezpieczeń i integracja z ochroną przed zagrożeniami mobilnymi. Kanały informacyjne stanu zgodności Microsoft Entra dostęp warunkowy.
- Wycofywanie: gdy urządzenie zostanie utracone, zastąpione lub nie będzie już potrzebne, akcje zdalne umożliwiają czyszczenie danych organizacji, resetowanie urządzenia do ustawień fabrycznych lub wyrejestrowyowanie go.
Zarządzanie urządzeniami przenośnymi i zarządzanie aplikacjami mobilnymi
Intune obsługuje dwa tryby zarządzania. Można ich używać niezależnie lub razem.
- Zarządzanie urządzeniami przenośnymi (MDM) umożliwia kontrolowanie całego urządzenia Intune: ustawienia, aplikacje i dane. Rozwiązanie MDM jest typowe dla sprzętu należącego do organizacji.
- Zarządzanie aplikacjami mobilnymi (MAM) zarządza tylko aplikacjami służbowymi i danymi znajdującymi się w nich. Użytkownik zachowuje kontrolę nad resztą urządzenia. Zarządzanie aplikacjami mobilnymi jest typowe dla scenariuszy "przynieś własne urządzenie" (BYOD).
Możesz połączyć te dwa elementy na tym samym urządzeniu. Na przykład zarejestrowany telefon firmowy (MDM) może również mieć zasady ochrony aplikacji (MAM) w aplikacjach, które obsługują szczególnie poufne dane.
Aby uzyskać szczegółowe informacje, zobacz Device enrollment in Microsoft Intune and Ochrona aplikacji policies overview (Rejestrowanie urządzeń w zasadach Microsoft Intune i Ochrona aplikacji).
Urządzenia należące do organizacji i urządzenia osobiste
Większość organizacji zarządza dwiema populacjami urządzeń: sprzętem, którego są właścicielami, i urządzeniami osobistymi używanymi przez pracowników do pracy. Intune obsługuje oba elementy z różnymi kontrolkami.
- Urządzenia należące do organizacji powinny być zarejestrowane w rozwiązaniu MDM. Nie polegaj na użytkownikach, aby samodzielnie zarządzać tymi urządzeniami.
- Urządzenia osobiste mogą być zarejestrowane w usłudze MDM, gdy użytkownicy chcą mieć pełny dostęp do zasobów organizacji lub mogą używać tylko zasad zarządzania aplikacjami mobilnymi, które chronią dane w programach Outlook, Teams i innych zarządzanych aplikacjach.
Grupy urządzeń
Grupy urządzeń to grupy Microsoft Entra zawierające tylko urządzenia. Są one przydatne, gdy ustawienie powinno być stosowane niezależnie od tego, kto jest zalogowany: kioski, udostępnione komputery, urządzenia frontopracownicze lub sprzęt specjalistyczny.
Członkostwo może być statyczne lub dynamiczne:
- Grupy statyczne wymagają ręcznego dodawania i usuwania urządzeń. Są one przydatne w przypadku małych, stabilnych zestawów urządzeń.
- Grupy dynamiczne automatycznie dodają i usuwają urządzenia na podstawie zdefiniowanych kryteriów. Są one przydatne w przypadku dużych, zmieniających się flot urządzeń
Aplikacje
Intune obejmuje cały cykl życia aplikacji (wdrażanie, konfigurowanie, ochrona, aktualizowanie) na każdej obsługiwanej platformie.
Cykl życia aplikacji
- Wdrażaj aplikacje ze sklepów publicznych, katalogów dostawców, własnych pakietów biznesowych (LOB) lub wbudowanych wpisów w centrum administracyjnym.
- Skonfiguruj aplikacje przed ich otwarciem przy użyciu zasad konfiguracji aplikacji. Ustaw język aplikacji, dodaj logo organizacji, zablokuj konta osobiste i nie tylko.
- Ochrona danych wewnątrz aplikacji przy użyciu zasad ochrony aplikacji. Wymagaj numeru PIN, blokuj kopiowanie i wklejanie do aplikacji osobistych, uniemożliwiaj tworzenie kopii zapasowych osobistych usług w chmurze, szyfrowanie danych magazynowanych i selektywne czyszczenie danych organizacji.
- Automatycznie aktualizuj aplikacje w miarę udostępniania nowych wersji. W przypadku aplikacji platformy Microsoft 365, przeglądarki Microsoft Edge i aplikacji Microsoft Teams w systemie Windows możesz przekazać aktualizacje do rozwiązania Windows Autopatch.
Ochrona aplikacji bez rejestracji (MAM-WE)
zasady Ochrona aplikacji nie wymagają rejestracji w usłudze MDM. Działają one na trzech populacjach urządzeń:
- Urządzenia osobiste , które nie są zarejestrowane w żadnym rozwiązaniu MDM (BYOD).
- Urządzenia zarejestrowane u innego dostawcy mdm: Intune nadal mogą chronić dane w zarządzanych aplikacjach.
- Intune zarejestrowanych urządzeń w przypadku aplikacji, które wymagają dodatkowej warstwy poza rozwiązaniem MDM.
Aby uzyskać szczegółowe informacje, zobacz omówienie zasad Ochrona aplikacji.
Aplikacje według platformy
Intune obsługuje aplikacje ze sklepu publicznego, aplikacje biznesowe, aplikacje internetowe i typy aplikacji specyficznych dla platformy w systemach Android, iOS, iPadOS, macOS i Windows. Aby zapoznać się z podziałem typów aplikacji na platformę i skąd pochodzą, zobacz Dodawanie i aktualizowanie aplikacji w Microsoft Intune.
Jak filary pasują do siebie
Typowa decyzja o dostępie dotyczy wszystkich trzech filarów:
- Użytkownik loguje się do urządzenia zarządzanego i Microsoft Entra ID uwierzytelnia użytkownika.
- Urządzenie jest zaewidencjonowane za pomocą Intune i zgłasza jego stan zgodności i spis.
- Intune przekazuje stan zgodności do Microsoft Entra ID.
- Użytkownik otwiera aplikację firmową. Microsoft Entra dostęp warunkowy ocenia żądanie przy użyciu użytkownika, stanu zgodności urządzenia, aplikacji, lokalizacji i sygnałów z zabezpieczeń punktu końcowego w Microsoft Defender.
- Dostęp warunkowy zezwala na dostęp lub blokuje go. Jeśli dostęp jest dozwolony, a aplikacja jest aplikacją zarządzaną, zasady ochrony aplikacji wymuszają kontrolki w aplikacji (numer PIN, ograniczenia kopiowania i wklejania, selektywne czyszczenie).
Każda decyzja o dostępie obejmuje wszystkie trzy filary: tożsamość użytkownika, zgodność urządzenia i aplikację otwierana przez użytkownika.
Zawartość pokrewna
- Tożsamości: Microsoft Entra ID podstawy, używanie dostępu warunkowego z Microsoft Intune, kontrola dostępu oparta na rolach z Microsoft Intune
- Urządzenia: rejestrowanie urządzeń w Microsoft Intune, ustawianie reguł dla zarządzanych urządzeń za pomocą zasad zgodności, zarządzanie zabezpieczeniami punktów końcowych w Microsoft Intune
- Aplikacje: dodawanie i aktualizowanie aplikacji w Microsoft Intune, zasady konfiguracji aplikacji, omówienie zasad Ochrona aplikacji
- Architektura: architektura Microsoft Intune