Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описывается архитектура развертывания Microsoft Intune: облачные и локальные компоненты, а также продукты Майкрософт и сторонних производителей, с которыми Intune интегрироваться.
Общие сведения о том, что делает Intune, см. в статье Что такое Microsoft Intune?. Концептуальное пошаговое руководство по управлению удостоверениями, устройствами и приложениями Intune см. в разделе Microsoft Intune основных понятиях.
Схема упорядочивает типичное развертывание Intune на семь уровней:
- Плоскость управления облаком: размещенные корпорацией Майкрософт Intune службы.
- Управляемые конечные точки: устройства, которыми Intune управляет.
- Службы семейства конечных точек: продукты Майкрософт, основное назначение которых — управление конечными точками.
- Соединители и расширения: облачные внешние службы Intune интегрируются с.
- Одноранговые интеграции: другие продукты Майкрософт, которые интегрируются с Intune.
- Экосистема партнеров: сторонние продукты и службы, которые интегрируются с Intune.
- Локальные службы: инфраструктура, управляемая клиентом, которая интегрируется с Intune облаком.
Каждый уровень описан в следующих разделах.
Плоскость управления облаком
Плоскость управления облаком — это набор служб, размещенных корпорацией Майкрософт, которые составляют клиент Intune. Они хранят конфигурации, предоставляют политики, предоставляют программные интерфейсы, а также предоставляют интерфейсы администратора и пользователя.
| Компонент | Role |
|---|---|
| Служба Microsoft Intune | Плоскость управления облаком, в котором хранятся конфигурации и осуществляется оркестрация доставки политик. |
| Центр администрирования Microsoft Intune | Веб-консоль для администраторов. |
| API Microsoft Graph | Общедоступный программный интерфейс. Каждое действие центра администрирования поддерживается вызовом API Graph. |
| приложение и веб-сайт Microsoft Intune Корпоративный портал | Пользовательская поверхность, которая регистрирует устройства, отображает необходимые приложения и отображает состояние соответствия. |
Управляемые конечные точки
Intune поддерживает следующие платформы: Android, iOS, iPadOS, Linux, macOS, tvOS, visionOS и Windows. Специализированные сценарии включают киоски, устройства с интерфейсом и защищенное оборудование, управляемое с помощью путей регистрации для конкретной платформы.
Управление устройствами осуществляется в нескольких режимах:
- Управление мобильными устройствами (MDM): типично для устройств, принадлежащих организации; Intune управляет всем устройством.
- Управление мобильными приложениями (MAM): типично для личных (BYOD) устройств; Intune управляет только рабочими приложениями и данными.
- Автоматическая регистрация оборудования, принадлежащего организации: Windows Autopilot, Автоматическая регистрация устройств Apple и Android Enterprise.
Полную матрицу поддерживаемых ОС см. в разделе Поддерживаемые операционные системы и браузеры для Intune.
Службы семейства конечных точек
Службы семейства конечных точек — это продукты Майкрософт, основной целью которых является управление конечными точками. Каждый из них специализируется на определенном аспекте жизненного цикла конечной точки.
| Служба | Что делает | Когда использовать |
|---|---|---|
| Windows Autopilot | Облачная подготовка для новых и существующих устройств с Windows с параметрами для управляемого пользователем, самостоятельного развертывания (с нуля), предварительной подготовки и сброса | Доставка устройств непосредственно от OEM к конечным пользователям или переназначение существующих устройств в большом масштабе |
| Windows 365 | Размещенные в облаке рабочие столы Windows (облачные компьютеры) | Удаленные работники, BYOD, подрядчики, регулируемые рабочие нагрузки |
| Автоисправление Windows | Управляемая служба обновления для Windows, Приложения Microsoft 365 для предприятий, Microsoft Edge, Microsoft Teams, а также драйверов и встроенного ПО устройств | Сокращение администрирования обновлений вручную |
| Аналитика конечных точек | Телеметрия и рекомендации по работоспособности и производительности устройств | Выявление проблем с производительностью и сокращение объема службы поддержки |
Соединители и расширения
Соединители и расширения — это облачные внешние службы, с которыми Intune интегрируется. Они не имеют локального пространства. Intune общается с ними через Интернет.
| Connector | Role |
|---|---|
| Microsoft Cloud PKI | Размещенная в облаке среда PKI выдает, продлевает и отменяет сертификаты SCEP для устройств, управляемых Intune, не требуя локальной службы ad CS, NDES или соединителя сертификатов. Поддерживает полностью размещенную в облаке иерархию или привязку к существующему частному корневому каталогу (BYOCA). |
| Apple Business / VPP | Интеграция на основе маркеров для доставки приложений Apple. |
| Служба push-уведомлений Apple (APNs) | Требуется для управления устройствами Apple. |
| Управляемый Google Play | Каталог приложений Android Enterprise. |
| Microsoft Store | Встроенный каталог для приложений Windows. |
Одноранговые интеграции
Одноранговые интеграции — это продукты Майкрософт, которые работают вместе с Intune. Они имеют свое собственное основное назначение; интеграция с Intune является одним из многих вариантов использования.
| Продукт | Role |
|---|---|
| Приложения Microsoft 365 | Развертывается в управляемых конечных точках через Intune. |
| Безопасность конечных точек в Microsoft Defender | Передает сигналы о рисках устройств в режиме реального времени в Intune оценки соответствия требованиям и решений условного доступа. Также служит источником защиты от угроз на мобильных устройствах (MTD) для iOS, iPadOS и Android. |
| Copilot в Intune | Microsoft Security Copilot возможности, доступные в Центре администрирования Microsoft Intune. |
| Microsoft Purview | Метки конфиденциальности и политики защиты от потери данных конечных точек (DLP), которые применяются к данным на Intune управляемых устройствах. |
Экосистема партнеров
Экосистема партнеров включает сторонние продукты и службы, которые интегрируются с Intune с помощью документированных API, соединителей или шаблонов конфигурации.
| Категория | Описание и примеры |
|---|---|
| Партнеры по защите от мобильных угроз (MTD) | Сторонние службы, которые подают сигналы о рисках устройств в Intune. Примеры: Lookout, Zimperium, Check Point. Безопасность конечных точек в Microsoft Defender также является источником MTD. См. раздел Интеграция одноранговых узлов. |
| Партнеры по соответствию устройства требованиям | Не Intune MDM, которые становятся центром MDM для назначенных групп пользователей и сообщают о состоянии соответствия устройств в Microsoft Entra ID для условного доступа Intune. Поддерживается в Android, iOS, iPadOS и macOS. Примеры: Jamf Pro, Ivanti EPMM, BlackBerry UEM, Omnissa Workspace ONE, Kandji, SOTI MobiControl. |
| Партнеры по управлению ИТ-услугами (ITSM) | Интеграция инцидентов и ресурсов. Примеры: ServiceNow, Jira. |
| Партнеры по удаленной поддержке | Удаленное управление и помощь. Пример : TeamViewer. |
| Порталы поставщиков устройств | Управление специализированным оборудованием для конкретного поставщика. Примеры: Портал управления Surface, Lenovo, Intel vPro. |
| Партнеры по управлению доступом к сети (NAC) | Принудительное применение доступа на уровне сети. Примеры: Cisco ISE, Aruba ClearPass. |
Локальные службы
Локальные службы — это инфраструктура, управляемая клиентом, которая работает в сети и интегрируется с Intune плоскостью управления облаком.
| Компонент | Role |
|---|---|
| Шлюз Microsoft Tunnel | VPN-шлюз для устройств и приложений iOS, iPadOS и Android Enterprise. Выполняется в контейнере на Linux. |
| Соединитель сертификатов для Microsoft Intune | Связывает Intune с локальными службами сертификатов для выдачи сертификатов SCEP и PKCS, импорта PFX-сертификатов для S/MIME и отзыва сертификатов. |
| Microsoft Configuration Manager | Локальный одноранговый узел Intune для клиентов и серверов Windows. Интегрируется с Intune через совместное управление и подключение клиента. См. статью Совместное управление и подключение клиента. |
Совместное управление и подключение клиента
Microsoft Configuration Manager — это локальный одноранговый узел для Intune для клиентов и серверов Windows. Он управляет настольными компьютерами, серверами Windows и ноутбуками в вашей сети или подключен к Интернету через шлюз управления облаком. Configuration Manager и Intune интегрируются с помощью:
- Совместное управление: позволяет Configuration Manager и Intune управлять клиентами Windows. Рабочие нагрузки перемещаются в облако в собственном темпе.
- Присоединение клиента: предоставляет управляемые Configuration Manager устройства в центр администрирования Intune для обеспечения видимости, удаленных действий, облачных отчетов, разработки политик безопасности конечных точек (антивирусная программа, ASR), CMPivot, сценариев PowerShell, установки приложений и единого временная шкала устройств.
Используя совместное управление и присоединение клиента, организации, которые уже работают Configuration Manager, могут добавлять возможности Intune, не перестраивая среду.