Microsoft Intune bezpiecznie zarządza tożsamościami, zarządza aplikacjami i zarządza urządzeniami

W miarę jak organizacje przechodzą do obsługi hybrydowej i zdalnej siły roboczej, muszą zarządzać różnymi urządzeniami uzyskującymi dostęp do zasobów organizacji. Pracownicy i studenci muszą współpracować, pracować z dowolnego miejsca oraz bezpiecznie uzyskiwać dostęp do tych zasobów i łączyć się z nimi. Administratorzy muszą chronić dane organizacji, zarządzać dostępem użytkowników końcowych i obsługiwać użytkowników z dowolnego miejsca.

Aby pomóc w rozwiązywaniu tych wyzwań i zadań, użyj Microsoft Intune.

Microsoft Intune to oparte na chmurze rozwiązanie do zarządzania punktami końcowymi. Zarządza dostępem użytkowników i upraszcza zarządzanie aplikacjami i urządzeniami na wielu urządzeniach, w tym na urządzeniach przenośnych, komputerach stacjonarnych i wirtualnych punktach końcowych.

Dostęp i dane można chronić na urządzeniach osobistych należących do organizacji i użytkowników. Ponadto Intune ma funkcje zgodności i raportowania, które obsługują model zabezpieczeń Zero Trust.

W tym artykule wymieniono niektóre funkcje i zalety Microsoft Intune.

Porada

• Aby uzyskać Intune, przejdź do pozycji Licencje dostępne dla Microsoft Intune i Intune 30-dniowej wersji próbnej.
• Aby uzyskać więcej informacji na temat tego, co to znaczy być natywnym dla chmury, przejdź do artykułu Dowiedz się więcej o punktach końcowych natywnych dla chmury.

Kluczowe funkcje i korzyści

Niektóre kluczowe funkcje i zalety Intune obejmują:

• Możesz zarządzać użytkownikami i urządzeniami, w tym urządzeniami należącymi do organizacji i urządzeń osobistych. Microsoft Intune obsługuje urządzenia klienckie z systemami Android, Android Open Source Project (AOSP), iOS/iPadOS, macOS i Windows. Dzięki Intune możesz użyć tych urządzeń do bezpiecznego uzyskiwania dostępu do zasobów organizacji za pomocą utworzonych zasad.

  Aby uzyskać więcej informacji, zobacz:

  • Zarządzanie tożsamościami przy użyciu Microsoft Intune
  • Zarządzanie urządzeniami przy użyciu Microsoft Intune

  Uwaga

  Jeśli zarządzasz lokalnym systemem Windows Server, możesz użyć Configuration Manager.

• Intune upraszcza zarządzanie aplikacjami za pomocą wbudowanego środowiska aplikacji, w tym wdrażania, aktualizacji i usuwania aplikacji. Możesz łączyć się z aplikacjami i rozpowszechniać je z prywatnych sklepów z aplikacjami, włączać aplikacje platformy Microsoft 365, wdrażać aplikacje Win32, tworzyć zasady ochrony aplikacji i zarządzać dostępem do aplikacji i ich danych.

  Aby uzyskać więcej informacji, przejdź do tematu Zarządzanie aplikacjami przy użyciu Microsoft Intune.

• Intune automatyzuje wdrażanie zasad dla aplikacji, zabezpieczeń, konfiguracji urządzenia, zgodności, dostępu warunkowego i nie tylko. Gdy zasady będą gotowe, możesz wdrożyć te zasady w grupach użytkowników i grupach urządzeń. Aby otrzymać te zasady, urządzenia potrzebują tylko dostępu do Internetu.

• Pracownicy i uczniowie mogą używać funkcji samoobsługowych w aplikacji Portal firmy do resetowania numeru PIN/hasła, instalowania aplikacji, dołączania do grup i nie tylko. Możesz dostosować aplikację Portal firmy, aby zmniejszyć liczbę wywołań pomocy technicznej.

  Aby uzyskać więcej informacji, przejdź do tematu Konfigurowanie aplikacji Intune — Portal firmy, witryny internetowej Portal firmy i aplikacji Intune.

• Intune integruje się z usługami ochrony przed zagrożeniami mobilnymi, w tym usługami Ochrona punktu końcowego w usłudze Microsoft Defender i usługami partnerskimi innych firm. Te usługi koncentrują się na zabezpieczeniach punktów końcowych i można tworzyć zasady, które reagują na zagrożenia, analizują ryzyko w czasie rzeczywistym i automatyzują korygowanie.

  Aby uzyskać więcej informacji, przejdź do tematu Mobile Threat Defense integration with Intune (Integracja usługi Mobile Threat Defense z usługą Intune).

• Korzystasz z internetowego centrum administracyjnego , które koncentruje się na zarządzaniu punktami końcowymi, w tym na raportowaniu opartym na danych. Administratorzy mogą zalogować się do centrum administracyjnego Intune z dowolnego urządzenia z dostępem do Internetu.

  Aby uzyskać więcej informacji, przejdź do tematu Przewodnik po centrum administracyjnym Intune. Aby zalogować się do centrum administracyjnego, przejdź do Microsoft Intune centrum administracyjnego.

  To centrum administracyjne używa interfejsów API REST programu Microsoft Graph do programowego uzyskiwania dostępu do usługi Intune. Każda akcja w centrum administracyjnym jest wywołaniem programu Microsoft Graph. Jeśli nie znasz programu Graph i chcesz dowiedzieć się więcej, przejdź do tematu Integracja programu Graph z Microsoft Intune.

Integracja z innymi usługami i aplikacjami firmy Microsoft

Microsoft Intune integruje się z innymi produktami i usługami firmy Microsoft, które koncentrują się na zarządzaniu punktami końcowymi, w tym:

• Configuration Manager do lokalnego zarządzania punktami końcowymi i systemu Windows Server, w tym wdrażania aktualizacji oprogramowania i zarządzania centrami danych

  Możesz używać Intune i Configuration Manager razem w scenariuszu współzarządzania, używać dołączania dzierżawy lub używać obu tych elementów. Dzięki tym opcjom możesz korzystać z zalet internetowego centrum administracyjnego i korzystać z innych funkcji opartych na chmurze dostępnych w Intune.

  Aby uzyskać bardziej szczegółowe informacje, przejdź do:

  • Co to jest współzarządzanie
  • Często zadawane pytania dotyczące współzarządzania
  • Jak włączyć dołączanie dzierżawy

• Rozwiązanie Windows Autopilot na potrzeby nowoczesnego wdrażania i aprowizacji systemu operacyjnego

  Za pomocą rozwiązania Windows Autopilot można aprowizować nowe urządzenia i wysyłać je bezpośrednio do użytkowników od producenta OEM lub dostawcy urządzeń. W przypadku istniejących urządzeń można ponownie wykorzystać te urządzenia do korzystania z rozwiązania Windows Autopilot i wdrożyć najnowszą wersję systemu Windows.

  Aby uzyskać bardziej szczegółowe informacje, przejdź do:

  • Omówienie rozwiązania Windows Autopilot
  • Wdrożenie rozwiązania Windows Autopilot dla istniejących urządzeń

• Analiza punktów końcowych pod kątem widoczności i raportowania środowisk użytkowników końcowych, w tym wydajności i niezawodności urządzeń

  Możesz użyć analizy punktów końcowych, aby ułatwić identyfikowanie zasad lub problemów sprzętowych, które spowalniają urządzenia. Zawiera również wskazówki, które mogą pomóc w proaktywnym ulepszaniu środowiska użytkowników końcowych i zmniejszaniu liczby biletów pomocy technicznej.

  Aby uzyskać bardziej szczegółowe informacje, przejdź do:

  • Co to jest analiza punktów końcowych
  • Rejestrowanie urządzeń Intune w analizie punktów końcowych

• Platforma Microsoft 365 dla aplikacji pakietu Office zwiększających produktywność użytkowników końcowych, takich jak Outlook, Teams, Sharepoint, OneDrive i inne

  Za pomocą Intune można wdrażać aplikacje platformy Microsoft 365 dla użytkowników i urządzeń w organizacji. Te aplikacje można również wdrożyć, gdy użytkownicy logują się po raz pierwszy.

  Aby uzyskać bardziej szczegółowe informacje, przejdź do:

  • Dodawanie Aplikacje Microsoft 365 do urządzeń Windows 10/11 przy użyciu Microsoft Intune
  • Dokumentacja platformy Microsoft 365: zarządzanie urządzeniami przy użyciu Intune

• Ochrona punktu końcowego w usłudze Microsoft Defender, aby pomóc przedsiębiorstwom zapobiegać zagrożeniom, wykrywać je i reagować na nie

  W Intune można utworzyć połączenie typu usługa-usługa między Intune a Ochrona punktu końcowego w usłudze Microsoft Defender. Po nawiązaniu połączenia można utworzyć zasady, które skanują pliki, wykrywają zagrożenia i zgłaszają poziomy zagrożeń w celu Ochrona punktu końcowego w usłudze Microsoft Defender. Można również utworzyć zasady zgodności, które ustawiają dozwolony poziom ryzyka. W połączeniu z dostępem warunkowym można zablokować dostęp do zasobów organizacji dla niezgodnych urządzeń.

  Aby uzyskać bardziej szczegółowe informacje, przejdź do:

  • Wymuszanie zgodności Ochrona punktu końcowego w usłudze Microsoft Defender z dostępem warunkowym w Intune
  • Konfigurowanie Ochrona punktu końcowego w usłudze Microsoft Defender w Intune

• Autopatch systemu Windows do automatycznego stosowania poprawek dla systemu Windows, aplikacji platformy Microsoft 365 dla przedsiębiorstw, przeglądarki Microsoft Edge i usługi Microsoft Teams

  Autopatch systemu Windows to usługa oparta na chmurze. Utrzymuje aktualność oprogramowania, udostępnia użytkownikom najnowsze narzędzia zwiększające produktywność, minimalizuje infrastrukturę lokalną i pomaga zwolnić administratorów IT, aby skupili się na innych projektach. Funkcja Autopatch systemu Windows używa Microsoft Intune do zarządzania stosowaniem poprawek dla urządzeń lub urządzeń zarejestrowanych w Intune przy użyciu współzarządzania (Intune + Configuration Manager).

  Aby uzyskać bardziej szczegółowe informacje, przejdź do:

  • Co to jest autopatch systemu Windows?
  • Często zadawane pytania dotyczące automatycznego wypychania systemu Windows

Integracja z urządzeniami i aplikacjami partnerskimi innych firm

Centrum administracyjne Intune ułatwia łączenie się z różnymi usługami partnerskimi, w tym:

• Zarządzany sklep Google Play: po nawiązaniu połączenia z zarządzanym kontem Google Play administratorzy mogą uzyskiwać dostęp do prywatnego sklepu organizacji dla aplikacji systemu Android i wdrażać te aplikacje na urządzeniach.

  Aby uzyskać więcej informacji, przejdź do tematu Dodawanie zarządzanych aplikacji Google Play do urządzeń z systemem Android Enterprise przy użyciu Intune.

• Tokeny i certyfikaty firmy Apple: po dodaniu urządzenia z systemami iOS/iPadOS i macOS mogą rejestrować się w Intune i odbierać zasady z Intune. Administratorzy mogą uzyskiwać dostęp do licencji aplikacji systemu iOS/iPad i macOS zakupionych zbiorczo oraz wdrażać te aplikacje na urządzeniach.

  Aby uzyskać więcej informacji, zobacz:

  • Pobieranie certyfikatu wypychania mdm firmy Apple
  • Automatyczne rejestrowanie urządzeń z systemem iOS/iPadOS przy użyciu zautomatyzowanej rejestracji urządzeń firmy Apple
  • Zarządzanie aplikacjami dla systemów iOS i macOS zakupionymi za pośrednictwem usługi Apple Business Manager przy użyciu Microsoft Intune

• TeamViewer: Po nawiązaniu połączenia z kontem programu TeamViewer można zdalnie pomagać urządzeniom za pomocą programu TeamViewer.

  Aby uzyskać więcej informacji, przejdź do tematu Używanie programu TeamViewer do zdalnego administrowania urządzeniami Intune.

Dzięki tym usługom Intune:

• Zapewnia administratorom uproszczony dostęp do usług aplikacji innych firm.
• Może zarządzać setkami aplikacji partnerskich innych firm.
• Obsługuje aplikacje publicznego sklepu detalicznego, aplikacje biznesowe, aplikacje prywatne niedostępne w sklepie publicznym, aplikacje niestandardowe i nie tylko.

Aby uzyskać więcej wymagań specyficznych dla platformy dotyczących rejestrowania urządzeń partnerskich innych firm w Intune, przejdź do:

• Przewodnik wdrażania: rejestrowanie urządzeń z systemem Android w Microsoft Intune
• Przewodnik wdrażania: rejestrowanie urządzeń z systemem iOS i iPadOS w Microsoft Intune
• Przewodnik wdrażania: rejestrowanie urządzeń z systemem Linux w Microsoft Intune
• Przewodnik wdrażania: rejestrowanie urządzeń z systemem macOS w Microsoft Intune

Rejestrowanie w zarządzaniu urządzeniami, zarządzaniu aplikacjami lub obu tych elementach

Urządzenia należące do organizacji są rejestrowane w Intune do zarządzania urządzeniami przenośnymi (MDM). Rozwiązanie MDM jest zorientowane na urządzenia, dlatego funkcje urządzenia są konfigurowane w zależności od tego, kto ich potrzebuje. Można na przykład skonfigurować urządzenie tak, aby zezwalało na dostęp do sieci Wi-Fi, ale tylko wtedy, gdy zalogowany użytkownik jest kontem organizacji.

W Intune utworzysz zasady, które konfigurują ustawienia funkcji & i zapewniają ochronę zabezpieczeń&. Urządzenia są w pełni zarządzane przez organizację, w tym tożsamości użytkowników logujące się, zainstalowane aplikacje i dane, do których uzyskuje się dostęp.

Podczas rejestrowania urządzeń można wdrożyć zasady podczas procesu rejestracji. Po zakończeniu rejestracji urządzenie jest gotowe do użycia.

W przypadku urządzeń osobistych w scenariuszach "przynieś własne urządzenie" (BYOD) można użyć Intune do zarządzania aplikacjami mobilnymi (MAM). Zarządzanie aplikacjami mobilnymi jest zorientowane na użytkownika, więc dane aplikacji są chronione niezależnie od urządzenia używanego do uzyskiwania dostępu do tych danych. Koncentrujemy się na aplikacjach, w tym na bezpiecznym dostępie do aplikacji i ochronie danych w aplikacjach.

Za pomocą funkcji ZARZĄDZANIA aplikacjami mobilnymi możesz:

• Publikowanie aplikacji mobilnych dla użytkowników.
• Konfigurowanie aplikacji i automatyczne aktualizowanie aplikacji.
• Wyświetlanie raportów danych, które koncentrują się na spisie aplikacji i użyciu aplikacji.

Można również używać zarządzania urządzeniami przenośnymi i zarządzania aplikacjami mobilnymi razem. Jeśli urządzenia są zarejestrowane i istnieją aplikacje wymagające dodatkowych zabezpieczeń, możesz również użyć zasad ochrony aplikacji MAM.

Aby uzyskać więcej informacji, zobacz:

• Co to jest rejestracja urządzeń w Intune?
• Omówienie zasad Ochrona aplikacji
• Tworzenie i przypisywanie zasad ochrony aplikacji

Ochrona danych na dowolnym urządzeniu

Dzięki Intune można chronić dane na urządzeniach zarządzanych (zarejestrowanych w Intune) i chronić dane na urządzeniach niezarządzanych (niezarejestrowanych w Intune). Intune mogą izolować dane organizacji od danych osobowych. Chodzi o to, aby chronić informacje firmowe, kontrolując sposób, w jaki użytkownicy uzyskują dostęp do informacji i udostępniają je.

W przypadku urządzeń należących do organizacji chcesz mieć pełną kontrolę nad urządzeniami, zwłaszcza nad zabezpieczeniami. Gdy urządzenia zostaną zarejestrowane, otrzymają reguły zabezpieczeń i ustawienia.

Na urządzeniach zarejestrowanych w Intune można:

• Tworzenie i wdrażanie zasad, które konfigurują ustawienia zabezpieczeń, ustawiają wymagania dotyczące haseł, wdrażają certyfikaty i nie tylko.
• Za pomocą usług ochrony przed zagrożeniami mobilnymi skanuj urządzenia, wykrywaj zagrożenia i koryguj zagrożenia.
• Wyświetlanie danych i raportów, które mierzą zgodność z ustawieniami zabezpieczeń i regułami.
• Dostęp warunkowy umożliwia dostęp tylko zarządzanym i zgodnym urządzeniom do zasobów, aplikacji i danych organizacji.
• Usuń dane organizacji w przypadku utraty lub kradzieży urządzenia.

W przypadku urządzeń osobistych użytkownicy mogą nie chcieć, aby ich administratorzy IT mieli pełną kontrolę. Aby obsługiwać hybrydowe środowisko pracy, udostępnij użytkownikom opcje. Na przykład użytkownicy rejestrują swoje urządzenia, jeśli chcą mieć pełny dostęp do zasobów organizacji. Jeśli też ci użytkownicy chcą mieć dostęp tylko do programu Outlook lub aplikacji Microsoft Teams, użyj zasad ochrony aplikacji, które wymagają uwierzytelniania wieloskładnikowego (MFA).

Na urządzeniach korzystających z zarządzania aplikacjami można:

• Usługi ochrony przed zagrożeniami mobilnymi umożliwiają ochronę danych aplikacji przez skanowanie urządzeń, wykrywanie zagrożeń i ocenę ryzyka.
• Zapobiegaj kopiowaniu i wklejaniu danych organizacji do aplikacji osobistych.
• Użyj zasad ochrony aplikacji w aplikacjach i na urządzeniach niezarządzanych zarejestrowanych w rozwiązaniu MDM innej firmy lub partnera.
• Użyj dostępu warunkowego, aby ograniczyć aplikacje, które mogą uzyskiwać dostęp do poczty e-mail i plików organizacji.
• Usuń dane organizacji w aplikacjach.

Aby uzyskać więcej informacji, zobacz:

• Ochrona danych i urządzeń za pomocą Microsoft Intune
• Integracja usługi Mobile Threat Defense z usługą Intune

Upraszczanie dostępu

Intune pomaga organizacjom wspierać pracowników, którzy mogą pracować z dowolnego miejsca. Istnieją funkcje, które można skonfigurować, które umożliwiają użytkownikom łączenie się z organizacją, gdziekolwiek się znajdują.

Ta sekcja zawiera niektóre typowe funkcje, które można skonfigurować w Intune.

Użyj Windows Hello dla firm zamiast haseł

Windows Hello dla firm pomaga chronić przed atakami wyłudzania informacji i innymi zagrożeniami bezpieczeństwa. Pomaga to również użytkownikom szybciej i łatwiej logować się do swoich urządzeń i aplikacji.

Windows Hello dla firm zastępuje hasła przy użyciu numeru PIN lub danych biometrycznych, takich jak odcisk palca, rozpoznawanie twarzy. Te informacje biometryczne są przechowywane lokalnie na urządzeniach i nigdy nie są wysyłane do zewnętrznych urządzeń lub serwerów.

Aby uzyskać więcej informacji, zobacz:

• Windows Hello dla firm — omówienie
• Zarządzanie Windows Hello dla firm na urządzeniach podczas rejestrowania w Intune
• Zarządzanie tożsamościami przy użyciu Microsoft Intune

Tworzenie połączenia sieci VPN dla użytkowników zdalnych

Zasady sieci VPN zapewniają użytkownikom bezpieczny dostęp zdalny do sieci organizacji.

Korzystając z typowych partnerów połączeń sieci VPN, w tym Check Point, Cisco, Microsoft Tunnel, NetMotion, Pulse Secure i innych, możesz utworzyć zasady sieci VPN z ustawieniami sieci. Gdy zasady będą gotowe, te zasady zostaną wdrożone dla użytkowników i urządzeń, którzy muszą nawiązać zdalne połączenie z siecią.

W zasadach sieci VPN można użyć certyfikatów do uwierzytelniania połączenia sieci VPN. W przypadku korzystania z certyfikatów użytkownicy końcowi nie muszą wprowadzać nazw użytkowników ani haseł.

Aby uzyskać więcej informacji, zobacz:

• Tworzenie profilów sieci VPN w celu nawiązywania połączenia z serwerami sieci VPN w Intune
• Używanie certyfikatów do uwierzytelniania w Microsoft Intune
• Microsoft Tunnel dla Microsoft Intune

Tworzenie połączenia Wi-Fi dla użytkowników lokalnych

Dla użytkowników, którzy muszą łączyć się z siecią organizacji lokalnie, można utworzyć zasady Wi-Fi przy użyciu ustawień sieciowych. Możesz nawiązać połączenie z określonym identyfikatorem SSID, wybrać metodę uwierzytelniania, użyć serwera proxy i nie tylko. Możesz również skonfigurować zasady, aby automatycznie łączyć się z Wi-Fi, gdy urządzenie znajduje się w zakresie.

W zasadach Wi-Fi można używać certyfikatów do uwierzytelniania połączenia Wi-Fi. W przypadku korzystania z certyfikatów użytkownicy końcowi nie muszą wprowadzać nazw użytkowników ani haseł.

Gdy zasady będą gotowe, te zasady zostaną wdrożone dla użytkowników lokalnych i urządzeń, którzy muszą nawiązać połączenie z siecią lokalną.

Aby uzyskać więcej informacji, zobacz:

• Tworzenie zasad Wi-Fi w celu nawiązywania połączenia z sieciami Wi-Fi w Intune
• Używanie certyfikatów do uwierzytelniania w Microsoft Intune

Włączanie logowania jednokrotnego w aplikacjach i usługach

Po włączeniu logowania jednokrotnego użytkownicy mogą automatycznie logować się do aplikacji i usług przy użyciu konta organizacji Azure AD, w tym niektórych aplikacji partnerów ochrony przed zagrożeniami mobilnymi.

Specjalnie:

• Na urządzeniach z systemem Windows logowanie jednokrotne jest automatycznie wbudowane i używane do logowania się do aplikacji i witryn internetowych, które używają Azure AD do uwierzytelniania, w tym aplikacji platformy Microsoft 365. Możesz również włączyć logowanie jednokrotne w zasadach sieci VPN i Wi-Fi.

• Na urządzeniach z systemami iOS/iPadOS i macOS możesz użyć wtyczki logowania jednokrotnego firmy Microsoft Enterprise, aby automatycznie logować się do aplikacji i witryn internetowych korzystających z usługi Azure Active Directory (AD) na potrzeby uwierzytelniania, w tym aplikacji platformy Microsoft 365.

• Na urządzeniach z systemem Android można użyć biblioteki uwierzytelniania firmy Microsoft (MSAL), aby włączyć logowanie jednokrotne do aplikacji systemu Android.

  Aby uzyskać więcej informacji, zobacz:

  • Jak działa logowania jednokrotnego do zasobów lokalnych na urządzeniach przyłączonych Azure AD
  • Użyj wtyczki logowania jednokrotnego firmy Microsoft Enterprise na urządzeniach z systemami iOS/iPadOS i macOS w Microsoft Intune
  • Włączanie logowania jednokrotnego między aplikacjami w systemie Android przy użyciu biblioteki MSAL

Następne kroki

• Zarządzanie tożsamościami przy użyciu Microsoft Intune
• Zarządzanie urządzeniami przy użyciu Microsoft Intune
• Zarządzanie aplikacjami przy użyciu Microsoft Intune