Udostępnij przez

Kupowanie i dodawanie aplikacji dla Microsoft Intune

  • Artykuł

Aby chronić i zabezpieczać dane organizacji, możesz udostępnić członkom organizacji aplikacje zarządzane, aby mogli bezpiecznie współpracować i pracować wydajnie. Aplikacje zarządzane to podzbiór aplikacji klienckich instalowanych i zarządzanych na urządzeniach członków organizacji. Te aplikacje, które zostały ulepszone w celu obsługi specjalnych możliwości konfiguracji i ochrony. Te możliwości są zarządzane i obsługiwane przez rozwiązanie do zarządzania punktami końcowymi, takie jak Microsoft Intune. Usługa Intune udostępnia konsolę internetową do zarządzania, ochrony i monitorowania wszystkich punktów końcowych organizacji, niezależnie od tego, czy te punkty końcowe są urządzeniami, czy aplikacjami. Możliwości zapewniane przez usługę Intune pomagają zapewnić bezpieczeństwo chmury i lokalnych urządzeń, aplikacji i danych w organizacji. Rodzina produktów Microsoft Intune integruje rozwiązania Microsoft Intune, Microsoft Endpoint Configuration Manager, Desktop Analytics i Windows Autopilot.

Uwaga

Punkty końcowe obejmują urządzenia przenośne, komputery stacjonarne, maszyny wirtualne, urządzenia osadzone, serwery, aplikacje i urządzenia udostępnione używane przez organizację. Przykłady urządzeń udostępnionych i wyspecjalizowanych obejmują urządzenia z punktami sprzedaży detalicznej, urządzenia wzmocnione, cyfrowe tablice interaktywne, urządzenia sali konferencyjnej i holograficzne komputery z możliwością noszenia. Ponadto punkty końcowe obejmują również aplikacje używane przez organizację.

W zależności od aplikacji, których potrzebuje Organizacja, możesz chcieć kupić licencje dla określonych aplikacji. Ta zawartość ułatwia zrozumienie różnych typów aplikacji dostępnych dla usługi Intune. Ponadto można dodawać aplikacje, które mają być zarządzane przy użyciu zasad konfiguracji i ochrony, lub aplikacje, które można po prostu wdrożyć dla członków organizacji. Dowiesz się więcej na temat zakupu aplikacji i licencji aplikacji. Te pojęcia są ważną częścią procesu dodawania aplikacji do usługi Intune.

Co jest w tym rozwiązaniu

To rozwiązanie przeprowadzi Cię przez proces dodawania zarządzanych aplikacji do Microsoft Intune. Dodawanie aplikacji zarządzanych do usługi Intune to pierwszy krok, który należy wykonać przed skonfigurowaniem, ochroną i wdrożeniem aplikacji, aby członkowie organizacji mogli bezpiecznie z nich korzystać. Zarządzając aplikacjami w organizacji, pomagasz chronić i zabezpieczać dane organizacji.

Kroki używane do zakupu i dodawania aplikacji do Microsoft Intune.

Wdrażanie usługi Intune

Przed rozpoczęciem dodawania i przypisywania aplikacji należy zrozumieć, jak skonfigurować i wdrożyć możliwości usługi Intune. Wdrażanie usługi Intune często obejmuje następujące kroki:

Kroki konfigurowania i wdrażania usługi Intune

Krok Akcja Opis
1 Skonfiguruj usługę Intune Możesz bezpłatnie wypróbować usługę Intune , wykonując kroki, aby szybko rozpocząć pracę. Po zakończeniu pracy z tym krokiem wykonasz następujące czynności:
  • Utworzono bezpłatną dzierżawę usługi Intune. Dzierżawa to dedykowane wystąpienie Microsoft Entra identyfikatora, w którym jest hostowana twoja subskrypcja usługi Intune.
  • Utworzono użytkownika w usłudze Intune i przypisano użytkownikowi licencję.
  • Utworzono grupę do zarządzania użytkownikami
  • Konfigurowanie automatycznej rejestracji dla urządzeń Windows 10/11.
  • Dowiedz się, jak zarejestrować urządzenie.
  • Dowiedz się, jak utworzyć zasady zgodności haseł dla urządzeń z systemem Android Enterprise.
  • Dowiedz się, jak wysyłać powiadomienia do niezgodnych urządzeń.
  • Dodano i przypisz aplikację.
  • Utworzono i przypisano zasady ochrony aplikacji.
  • Utworzono i przypisano rolę niestandardową.
  • Utworzono profil urządzenia poczty e-mail dla systemu iOS/iPadOS.
2 Konfigurowanie aplikacji Dodawanie, konfigurowanie i ochrona aplikacji używanych przez organizację . Po zakończeniu pracy z tym krokiem wykonasz następujące czynności:
  • Dowiedz się, jak dodawać aplikacje zarządzane i niezarządzane
  • Informacje o aplikacjach, które należy najpierw dodać do dzierżawy
  • Informacje na temat konfigurowania aplikacji w usłudze Intune
  • Omówienie sposobu ochrony aplikacji przy użyciu usługi Intune
  • Omówienie różnych poziomów ochrony aplikacji
3 Tworzenie zasad zgodności urządzeń i dostępu warunkowego Dowiesz się, jak tworzyć zasady zgodności urządzeń i zasady dostępu warunkowego. Po wykonaniu tego kroku poznasz zgodność urządzenia i dostęp warunkowy, a także zrozumiasz, jak radzić sobie z niezgodnością. Ponadto poznasz różne poziomy zgodności urządzeń.
4 Tworzenie zasad konfiguracji urządzeń Dowiesz się, jak skonfigurować funkcje i ustawienia urządzeń w celu zabezpieczania urządzeń i uzyskiwania dostępu do zasobów. Po wykonaniu tego kroku poznasz różne poziomy konfiguracji i ochrony urządzenia.
5 Rejestrowanie urządzeń do zarządzania Po wykonaniu tego kroku poznasz sposób konfigurowania urządzeń pod kątem rejestracji oraz poznasz zasady i ograniczenia rejestracji. Dowiesz się również, jak używać profilów rejestracji i rozwiązania Windows Autopilot.

Konfiguracje zarządzania aplikacjami mobilnymi

Gdy aplikacje są używane bez ograniczeń, dane firmowe i osobowe mogą być ze sobą powiązane. Dane firmowe mogą znajdować się w lokalizacjach, takich jak magazyn osobisty lub przesyłane do aplikacji wykraczających poza twoją obsługę, co powoduje ujawnienie danych i utratę danych. Zarządzanie aplikacjami używanymi przez członków organizacji na ich urządzeniach nosi nazwę Zarządzanie aplikacjami mobilnymi (MAM). Zarządzanie aplikacjami mobilnymi umożliwia zapewnienie ochrony danych na niezarejestrowanych urządzeniach. Niezarejestrowane urządzenia to urządzenia osobiste używane przez członków organizacji do uzyskiwania dostępu do danych firmowych. Ważne jest, aby zrozumieć, że te urządzenia osobiste nie są zarządzane, ale nadal wymagają ochrony. Jednym z głównych powodów używania funkcji MAM bez rejestracji urządzeń lub zarządzania aplikacjami mobilnymi przy użyciu rejestracji urządzeń jest pomoc w ochronie danych organizacji.

Usługa Microsoft Intune obsługuje dwie konfiguracje zarządzania aplikacjami mobilnymi (MAM):

Zarządzanie aplikacjami mobilnymi bez zarządzania urządzeniami

Zarządzanie aplikacjami mobilnymi w usłudze Intune jest przeznaczone do ochrony danych organizacji na poziomie aplikacji, w tym aplikacji niestandardowych i aplikacji ze sklepu. Zarządzanie aplikacjami może być używane na urządzeniach należących do organizacji i urządzeniach osobistych. Gdy jest on używany z urządzeniami osobistymi, zarządzany jest tylko dostęp i dane związane z organizacją. Ta konfiguracja umożliwia zarządzanie aplikacjami organizacji przez usługę Intune, ale nie powoduje zarejestrowania urządzeń do zarządzania przez usługę Intune. Ta konfiguracja jest często określana jako MAM bez rejestracji urządzenia lub MAM-WE. Administratorzy IT mogą zarządzać aplikacjami przy użyciu zarządzania aplikacjami mobilnymi przy użyciu zasad konfiguracji i ochrony usługi Intune na urządzeniach niezarejestrowanych w usłudze Intune Mobile Zarządzanie urządzeniami (MDM). W scenariuszu zarządzania aplikacjami mobilnymi aplikacje są zarządzane na podstawie zalogowanego użytkownika aplikacji na urządzeniu. Zarządzanie aplikacjami mobilnymi jest idealnym rozwiązaniem do ochrony danych organizacji na urządzeniach używanych przez członków organizacji do wykonywania zadań osobistych i służbowych. Zarządzanie aplikacjami mobilnymi bez zarządzania urządzeniami przenośnymi jest popularne w organizacjach, które umożliwiają członkom organizacji zdalną pracę na własnych urządzeniach (BYOD).

Porada

Wiele aplikacji zwiększających produktywność, takich jak aplikacje pakietu Microsoft Office, może być zarządzanych przez funkcję zarządzania aplikacjami mobilnymi usługi Intune. Zobacz oficjalną listę Microsoft Intune chronionych aplikacji dostępnych do użytku publicznego.

Jeśli zdecydujesz się korzystać z zarządzania aplikacjami mobilnymi bez rejestracji urządzeń, należy pamiętać o pewnych ograniczeniach, takich jak:

  • Nie można konkretnie wdrażać aplikacji bezpośrednio na urządzeniu. Użytkownik końcowy (członek organizacji) pobiera aplikacje ze sklepu.
  • Nie można aprowizować profilów certyfikatów na tych urządzeniach niezarządzanych.
  • Nie można aprowizować firmowych ustawień sieci Wi-Fi i sieci VPN na tych urządzeniach niezarządzanych.

Uwaga

Konfiguracja zarządzania aplikacjami mobilnymi obejmuje zarządzanie aplikacjami przy użyciu usługi Intune na urządzeniach zarejestrowanych u dostawców zarządzania mobilnością w przedsiębiorstwie (EMM) innych firm. Zasad konfiguracji i ochrony aplikacji usługi Intune można używać niezależnie od dowolnego rozwiązania MDM. Ta niezależność ułatwia ochronę danych firmy przy użyciu lub bez rejestrowania urządzeń w rozwiązaniu do zarządzania urządzeniami. Implementując zasady na poziomie aplikacji, można ograniczyć dostęp do zasobów firmy i przechowywać dane w zakresie działu IT.

Zarządzanie aplikacjami mobilnymi za pomocą zarządzania urządzeniami

Ta konfiguracja umożliwia zarządzanie aplikacjami i urządzeniami organizacji. Ta konfiguracja jest często określana jako MAM + MDM. Administratorzy IT mogą zarządzać aplikacjami przy użyciu funkcji ZARZĄDZANIA aplikacjami mobilnymi na urządzeniach zarejestrowanych w usłudze Intune MDM.

Rozwiązanie MDM, oprócz funkcji MAM, zapewnia ochronę urządzenia. Możesz na przykład wymagać numeru PIN w celu uzyskania dostępu do urządzenia lub wdrożyć aplikacje zarządzane na urządzeniu.

Korzystanie z rozwiązania MDM z zasadami ochrony aplikacji zapewnia dodatkowe korzyści. Na przykład członek organizacji może mieć zarówno telefon wystawiony przez firmę, jak i własny tablet osobisty. Telefon firmy może być zarejestrowany w rozwiązaniu MDM i chroniony przez zasady ochrony aplikacji, podczas gdy urządzenie osobiste jest chronione tylko przez zasady ochrony aplikacji.

Na zarejestrowanych urządzeniach korzystających z usługi MDM zasady ochrony aplikacji mogą dodać dodatkową warstwę ochrony. Na przykład użytkownik loguje się do urządzenia przy użyciu poświadczeń organizacji. Ponieważ dane organizacji są używane, zasady ochrony aplikacji kontrolują sposób zapisywania i udostępniania danych. Gdy użytkownicy logują się przy użyciu swojej tożsamości osobistej, te same zabezpieczenia (dostęp i ograniczenia) nie są stosowane. W ten sposób it ma kontrolę nad danymi organizacji, podczas gdy użytkownicy końcowi zachowują kontrolę i prywatność nad swoimi danymi osobowymi.

Rozwiązanie MDM dodaje wartość, zapewniając następujące możliwości:

  • Rejestruje urządzenie
  • Wdraża aplikacje na urządzeniu
  • Zapewnia bieżącą zgodność urządzeń i zarządzanie nimi

Zasady Ochrona aplikacji zwiększają wartość, zapewniając następujące możliwości:

  • Ochrona danych firmy przed wyciekami do aplikacji i usług konsumenckich
  • Stosowanie ograniczeń, takich jak zapisywanie jako, schowek lub numer PIN, do aplikacji klienckich
  • Czyszczenie danych firmy w razie potrzeby z aplikacji bez usuwania tych aplikacji z urządzenia

Zalety zarządzania aplikacjami mobilnymi w usłudze Intune

Gdy aplikacje są zarządzane w usłudze Intune, administratorzy mogą wykonywać następujące czynności:

  • Ochrona danych firmowych na poziomie aplikacji. Aplikacje mobilne można dodawać i przypisywać do grup użytkowników i urządzeń. To zarządzanie umożliwia ochronę danych firmowych na poziomie aplikacji. Dane firmowe można chronić na urządzeniach zarządzanych i niezarządzanych, ponieważ zarządzanie aplikacjami mobilnymi nie wymaga zarządzania urządzeniami. Zarządzanie jest skoncentrowane na tożsamości użytkownika, co eliminuje wymaganie dotyczące zarządzania urządzeniami.
  • Skonfiguruj aplikacje do uruchamiania lub uruchamiania z włączonymi określonymi ustawieniami. Ponadto możesz zaktualizować istniejące aplikacje już na urządzeniu.
  • Przypisz zasady, aby ograniczyć dostęp i uniemożliwić korzystanie z danych poza organizacją. Ustawienie tych zasad jest wybierane na podstawie wymagań organizacji. Możesz na przykład:
    • Wymagaj numeru PIN, aby otworzyć aplikację w kontekście służbowym.
    • Blokuj uruchamianie aplikacji zarządzanych na urządzeniach ze zdjętymi zabezpieczeniami systemu lub urządzeniami z odblokowanym dostępem do konta root.
    • Kontrolowanie udostępniania danych między aplikacjami.
    • Zapobiegaj zapisywaniu danych aplikacji firmowych w osobistej lokalizacji magazynu przy użyciu zasad relokacji danych, takich jak Zapisywanie kopii danych organizacji i Ograniczanie wycinania, kopiowania i wklejania.
  • Obsługa aplikacji na różnych platformach i systemach operacyjnych. Każda platforma jest inna. Usługa Intune udostępnia dostępne ustawienia specjalnie dla każdej obsługiwanej platformy.
  • Zobacz raporty dotyczące używanych aplikacji i śledź ich użycie. Ponadto usługa Intune udostępnia analizę punktów końcowych, która ułatwia ocenę i rozwiązywanie problemów.
  • Wykonaj selektywne czyszczenie danych, usuwając tylko dane organizacji z aplikacji.
  • Upewnij się, że dane osobowe są oddzielone od danych zarządzanych. Nie ma to wpływu na produktywność użytkowników końcowych, a zasady nie mają zastosowania podczas korzystania z aplikacji w kontekście osobistym. Zasady są stosowane tylko w kontekście służbowym, co umożliwia ochronę danych firmowych bez dotykania danych osobowych.

Omówienie typów aplikacji

Użytkownicy aplikacji i urządzeń w organizacji mogą mieć kilka wymagań dotyczących aplikacji. Przed dodaniem aplikacji do usługi Intune i udostępnieniem ich członkom organizacji warto ocenić i zrozumieć kilka podstaw aplikacji. Istnieją różne typy aplikacji, które są dostępne dla usługi Intune. Musisz określić wymagania dotyczące aplikacji, które są wymagane przez użytkowników w organizacji, takie jak platformy i możliwości, których potrzebują członkowie organizacji. Musisz określić, czy używać usługi Intune do zarządzania urządzeniami (w tym aplikacjami), czy też mieć usługę Intune do zarządzania aplikacjami bez zarządzania urządzeniami. Ponadto należy określić aplikacje i możliwości, których potrzebują członkowie organizacji i kto ich potrzebuje. Aby uzyskać więcej informacji, zobacz Typy aplikacji dla środowisk zarządzanych lub omówienie.

Kupowanie aplikacji

Często przed dystrybucją aplikacji do członków organizacji należy kupić aplikację, kupić licencję na korzystanie z aplikacji lub uzyskać licencję na korzystanie z aplikacji. Wiele aplikacji jest bezpłatnych, jednak w celu rozpowszechnienia tych aplikacji do członków organizacji może być konieczne śledzenie procesu zakupu. Większość z tych bezpłatnych aplikacji nie jest przeznaczona do ochrony i konfigurowania za pomocą usługi Intune. Aby uzyskać więcej informacji, zobacz Kupowanie aplikacji dla usługi Intune , aby zapoznać się z omówieniem.

Dodawanie aplikacji do usługi Intune

Przed dystrybucją aplikacji zarządzanej do członków organizacji należy najpierw dodać aplikację do usługi Intune. Po dodaniu można utworzyć zarówno zasady konfiguracji, jak i ochrony w celu obsługi aplikacji. Gdy wszystko będzie gotowe, możesz przypisać aplikacje do członków organizacji. Aby uzyskać więcej informacji, zobacz Dodawanie aplikacji do Microsoft Intune Omówienie