Microsoft Intune безопасно управляет удостоверениями, приложениями и устройствами.

Так как организации поддерживают гибридных и удаленных сотрудников, они сталкиваются с проблемой управления различными устройствами, которые обращаются к ресурсам организации. Сотрудники и учащиеся должны сотрудничать, работать из любого места, а также безопасно получать доступ к этим ресурсам и подключаться к ним. Администраторам необходимо защищать данные организации, управлять доступом конечных пользователей и поддерживать их, где бы они ни работали.

✅ Чтобы решить эти проблемы и задачи, используйте Microsoft Intune.

Microsoft Intune — это единое облачное решение для управления конечными точками. Этот инструмент управляет доступом пользователей к ресурсам организации и упрощает управление приложениями и устройствами на многочисленных устройствах, включая мобильные устройства, настольные компьютеры и виртуальные конечные точки.

Вы можете защитить доступ и данные на принадлежащих организации и личных устройствах пользователей. Intune обладает функциями обеспечения соответствия требованиям и отчетности, поддерживающими модель безопасности "Никому не доверяй".

В этой статье перечислены некоторые функции и преимущества Microsoft Intune.

Совет

• Чтобы получить Intune, перейдите в раздел Лицензии, доступные для Microsoft Intune и 30-дневной пробной версии Intune.
• Дополнительные сведения о планах лицензирования Intune см. в статье Возможности и планы Microsoft Intune.
• Сведения об ориентированных на облако конечных точках см. в статье Подробнее об ориентированных на облако конечных точках.

Основные функции и преимущества

Ниже перечислены некоторые ключевые функции и преимущества Intune.

✅ Управление пользователями и устройствами

С помощью Intune можно управлять устройствами, принадлежащими вашей организации, и устройствами, принадлежащими конечным пользователям. Microsoft Intune поддерживает Android, Android Open Source Project (AOSP), iOS/iPadOS, Linux Ubuntu Desktop, macOS и клиентские устройства Windows. С помощью Intune эти устройства можно использовать для безопасного доступа к ресурсам организации с помощью создаваемых вами политик.

Дополнительные сведения см. в статьях:

• Управление приложениями с помощью Microsoft Intune
• Управление устройствами с помощью Microsoft Intune
• Поддерживаемые в Intune операционные системы и браузеры

Примечание.

Если вы управляете локальным Windows Server, можно использовать Configuration Manager.

✅ Упрощение управления приложениями

Intune имеет встроенный интерфейс приложения, включая развертывание, обновление и удаление приложений. Варианты действий:

• Подключение и распространение приложений из частных магазинов приложений.
• Включите приложения Microsoft 365, включая Microsoft Teams.
• Развертывание приложений Win32 и бизнес-приложений (LOB).
• Создание политик защиты приложений, защищающих данные в приложении.
• Управление доступом к приложениям и их данным.

Дополнительные сведения см. в статье Управление приложениями с помощью Microsoft Intune.

✅ Автоматизация развертывания политик

Вы можете создавать политики для приложений, безопасности, конфигурации устройств, соответствия требованиям, условного доступа и многого другого. Когда политики будут готовы, эти политики можно развернуть в группах пользователей и устройствах. Для получения этих политик устройствам требуется только доступ к Интернету.

Дополнительные сведения см. в статье Назначение политик в Microsoft Intune.

✅ Использование функций самообслуживания

Сотрудники и учащиеся могут использовать приложение и веб-сайт корпоративного портала для сброса ПИН-кода или пароля, установки приложений, присоединения к группам и многого другого. Вы можете настроить корпоративный портал, чтобы сократить количество обращений в службу поддержки.

Дополнительные сведения о Корпоративном портале см. в разделе Как настроить приложения Корпоративного портала Intune, веб-сайт Корпоративного портала и приложение Intune.

✅ Интеграция с защитой от угроз на мобильных устройствах

Intune интегрируется с Microsoft Defender для конечной точки и сторонними партнерскими службами. В этих службах основное внимание уделяется безопасности конечных точек. Вы можете создавать политики, которые реагируют на угрозы, анализировать риски в режиме реального времени и автоматизировать исправление.

Дополнительные сведения см. в статье Интеграция защиты от угроз на мобильных устройствах с Intune.

✅ Использование веб-центра администрирования

Центр администрирования Intune сосредоточен на управлении конечными точками, включая отчеты на основе данных. Администраторы могут войти в Центр администрирования с любого устройства с доступом к Интернету.

Дополнительные сведения см. в статье Пошаговое руководство по Центру администрирования Intune. Чтобы войти в Центр администрирования, перейдите в Центр администрирования Microsoft Intune.

Этот центр администрирования использует REST API Microsoft Graph для программного доступа к службе Intune. Каждое действие в Центре администрирования связано с вызовом Microsoft Graph. Если вы не знакомы с Graph и хотите узнать больше, перейдите к статье Интеграция Graph с Microsoft Intune.

✅ Расширенное управление конечными точками и безопасность

Microsoft Intune Suite предлагает различные функции, такие как удаленная помощь, управление привилегиями конечных точек, Microsoft Tunnel для MAM и многое другое.

Дополнительные сведения см. в статье Функции надстроек Intune Suite.

Совет

Пройдите учебный модуль, чтобы узнать, как воспользоваться преимуществами современного управления конечными точками с помощью Microsoft Intune.

✅ Использование Microsoft Copilot в Intune для анализа, созданного ИИ

Copilot в Intune доступен и имеет возможности, которые работают на платформе Copilot для безопасности.

Copilot может резюмировать существующие политики, предоставлять дополнительные сведения о настройке, включая рекомендуемые значения и потенциальные конфликты. Вы также можете получить сведения об устройстве и устранить неполадки с устройством.

Дополнительные сведения см. в статье Microsoft Copilot в Intune.

Интеграция с другими службами и приложениями Майкрософт

Microsoft Intune интегрируется с другими продуктами и службами Майкрософт, которые ориентированы на управление конечными точками, в том числе:

• Configuration Manager для локального управления конечными точками и Windows Server, включая развертывание обновлений программного обеспечения и управление центрами обработки данных

  Intune и Configuration Manager можно использовать вместе в сценарии совместного управления, использовать подключение клиента или использовать оба варианта. С помощью этих параметров вы получите преимущества веб-центра администрирования и можете использовать другие облачные функции, доступные в Intune.

  Дополнительные сведения можно найти в следующих разделах:

  • Что такое совместное управление
  • Вопросы и ответы о совместном управлении
  • Включение подключения клиента

• Windows Autopilot для развертывания и подготовки современных ОС

  С помощью Windows Autopilot можно подготавливать новые устройства и отправлять эти устройства непосредственно пользователям от изготовителя оборудования или поставщика устройств. Для существующих устройств эти устройства можно создать заново, чтобы использовать Windows Autopilot и развернуть последнюю версию Windows.

  Дополнительные сведения можно найти в следующих разделах:

  • Обзор Windows Autopilot
  • Развертывание Windows Autopilot для существующих устройств

• Аналитика конечных точек для видимости и создания отчетов о взаимодействии с конечными пользователями, включая производительность и надежность устройства

  Аналитику конечных точек можно использовать для выявления политик или проблем с оборудованием, которые замедляют работу устройств. В ней также содержатся рекомендации, которые помогут вам заранее улучшить взаимодействие с конечными пользователями и сократить количество запросов в службу поддержки.

  Дополнительные сведения можно найти в следующих разделах:

  • Что такое аналитика конечных точек
  • Регистрация устройств Intune в аналитике конечных точек

• Microsoft 365 для повышения производительности приложений Office для конечных пользователей, включая Outlook, Teams, Sharepoint, OneDrive и т. д.

  С помощью Intune можно развертывать приложения Microsoft 365 для пользователей и устройств в вашей организации. Вы также можете развернуть эти приложения при первом входе пользователей.

  Дополнительные сведения можно найти в следующих разделах:

  • Добавление приложений Microsoft 365 на устройства с Windows 10 и 11 с помощью Microsoft Intune
  • Документация по Microsoft 365: управление устройствами с помощью Intune

• Microsoft Defender для конечной точки разработана для обнаружения, предотвращения и исследования угроз, а также для реагирования на них

  В Intune можно создать подключение между службой между Intune и Microsoft Defender для конечной точки. Когда они будут подключены, вы можете создавать политики, которые сканируют файлы, обнаруживают угрозы и сообщают об уровнях угроз в Microsoft Defender для конечной точки. Вы также можете создать политики соответствия требованиям, которые задают допустимый уровень риска. В сочетании с условным доступом можно заблокировать доступ к ресурсам организации для устройств, которые не соответствуют требованиям.

  Дополнительные сведения можно найти в следующих разделах:

  • Обеспечение соответствия требованиям в Microsoft Defender для конечной точки с помощью условного доступа в Intune
  • Настройка Microsoft Defender для конечной точки в Intune

• Автоматическое исправление Windows для автоматического исправления Windows, приложений Microsoft 365 для предприятий, Microsoft Edge и Microsoft Teams

  Автоматическое исправление Windows — это облачная служба. Она поддерживает программное обеспечение в актуальном состоянии, предоставляет пользователям новейшие средства повышения производительности, минимизирует локальную инфраструктуру и помогает вашим ИТ-администраторам сосредоточиться на других проектах. Автоисправление Windows использует Microsoft Intune для управления исправлениями для устройств, зарегистрированных в Intune, или устройств с помощью совместного управления (Intune + Configuration Manager).

  Дополнительные сведения можно найти в следующих разделах:

  • Что такое Автоисправление Windows?
  • Часто задаваемые вопросы об автоматическом исправлении Windows

Интеграция со сторонними партнерскими устройствами и приложениями

Центр администрирования Intune упрощает подключение к различным партнерским службам, в том числе:

• Управляемые приложения Google Play для Android. При подключении к управляемой учетной записи Google Play администраторы могут получить доступ к частному магазину вашей организации для приложений Android и развернуть эти приложения на ваших устройствах.

  Дополнительные сведения см. в статье Добавление приложений управляемого Google Play на устройства Android Enterprise с помощью Intune.

• Токены и сертификаты Apple для регистрации и приложений. После их добавления устройства iOS/iPadOS и macOS могут регистрироваться в Intune и получать политики из Intune. Администраторы могут получить доступ к приобретенным корпоративным лицензиям приложений iOS/iPad и macOS, а также развернуть эти приложения на ваших устройствах.

  Дополнительные сведения см. в статьях:

  • Получите сертификат Apple MDM Push Certificate
  • Автоматическая регистрация устройств iOS/iPadOS в рамках программы автоматической регистрации устройств Apple
  • Управление приложениями iOS и macOS, приобретенными посредством Apple Business Manager, с помощью Microsoft Intune

• TeamViewer для удаленной помощи. При подключении к учетной записи TeamViewer можно использовать TeamViewer для удаленной помощи устройствам.

  Дополнительные сведения см. в статье Использование TeamViewer для удаленного администрирования устройств Intune.

С помощью следующих служб Intune:

• Предоставляет администраторам упрощенный доступ к службам сторонних партнерских приложений.
• Может управлять сотнями сторонних партнерских приложений.
• Поддерживает приложения общедоступного розничного магазина, бизнес-приложения (LOB), частные приложения, недоступные в общедоступном магазине, пользовательские приложения и многое другое.

Дополнительные требования к платформе для регистрации устройств сторонних партнеров в Intune см. в следующих статьях:

• Руководство по развертыванию: регистрация устройств Android в Microsoft Intune
• Руководство по развертыванию. Регистрация устройств iOS и iPadOS в Microsoft Intune
• Руководство по развертыванию. Регистрация устройств Linux в Microsoft Intune
• Руководство по развертыванию. Регистрация устройств macOS в Microsoft Intune

Регистрация в управлении устройствами, управлении приложениями или и то, и другое

✅Устройства, принадлежащие организации, регистрируются в Intune для управления мобильными устройствами (MDM). MDM ориентирована на устройства, поэтому функции устройств настраиваются в зависимости от того, кому они нужны. Например, вы можете настроить устройство так, чтобы разрешить доступ к Wi-Fi, но только в том случае, если вошедший в систему пользователь является учетной записью организации.

В Intune создаются политики, которые настраивают функции и параметры и обеспечивают защиту и безопасность. Команда администраторов полностью управляет устройствами, включая удостоверения пользователей, которые выполняют вход, установленные приложения и данные, к которым выполняется получение доступа.

При регистрации устройств вы можете развернуть политики во время регистрации. После завершения регистрации устройство готово к использованию.

✅ Для личных устройств в сценариях использования собственных устройств (BYOD) можно использовать Intune для управления мобильными приложениями (MAM). MAM ориентирован на пользователей, поэтому данные приложения защищены независимо от устройства, используемого для доступа к этим данным. Основное внимание уделяется приложениям, включая безопасный доступ к приложениям и защиту данных в приложениях.

С помощью MAM вы можете:

• Публиковать мобильные приложения для пользователей.
• Настраивать приложения и автоматически их обновлять.
• Просматривать отчеты о данных, посвященные инвентаризации приложений и их использованию.

✅ Вы также можете использовать MDM и MAM вместе. Если ваши устройства зарегистрированы и есть приложения, которым требуется дополнительная безопасность, вы также можете использовать политики защиты приложений MAM.

Дополнительные сведения см. в статьях:

• Регистрация устройства в Intune?
• Обзор политик защиты приложений

Защита данных на любом устройстве

С помощью Intune можно защитить данные на управляемых устройствах (зарегистрированных в Intune) и на неуправляемых устройствах (не зарегистрированных в Intune). Intune может изолировать данные организации от персональных данных. Идея заключается в том, чтобы защитить сведения о компании с помощью политик, которые вы настраиваете и развертываете.

Для устройств, принадлежащих организации, может потребоваться полный контроль над устройствами, включая параметры, функции и безопасность. Когда устройства регистрируются, они получают ваши правила и параметры безопасности.

На устройствах, зарегистрированных в Intune, вы можете:

• Создавать и развертывать политики, которые настраивают параметры безопасности, устанавливают требования к паролям, развертывают сертификаты и т. д.
• Использовать службы защиты от угроз на мобильных устройствах для сканирования устройств, обнаружения угроз и устранения угроз.
• Просматривать данные и отчеты, которые измеряют соответствие параметрам безопасности и правилам.
• Использовать условный доступ, чтобы разрешить доступ к ресурсам, приложениям и данным организации только управляемым и соответствующим устройствам.
• Удалять данные организации, если устройство потеряно или украдено.

Для личных устройств пользователи могут не захотеть, чтобы их ИТ-администраторы имели полный контроль. Чтобы обеспечить поддержку гибридной рабочей среды, предоставьте пользователям варианты. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. Если же этим пользователям нужен доступ только к Outlook или Microsoft Teams, используйте политики защиты приложений, требующие многофакторной проверки подлинности (MFA).

На устройствах, использующих управление приложениями, можно:

• Использовать службы защиты от угроз на мобильных устройствах для защиты данных приложений. Служба может сканировать устройства, обнаруживать угрозы и оценивать риски.
• Запретить копирование и вставку данных организации в личные приложения.
• Использовать политики защиты приложений в приложениях и на неуправляемых устройствах, зарегистрированных в стороннем или партнерском MDM.
• Использовать условный доступ, чтобы ограничить приложения, которые могут получать доступ к электронной почте и файлам организации.
• Удалять данные организации в приложениях.

Дополнительные сведения см. в статьях:

• Защита данных и устройств с помощью Microsoft Intune
• Интеграция MTD с Intune

Упрощение доступа

Intune помогает организациям поддерживать сотрудников, которые могут работать из любого места. Существуют функции, которые можно настроить, которые позволяют пользователям подключаться к организации, где бы они ни находились.

В этом разделе содержатся некоторые общие функции, которые можно настроить в Intune.

Использование Windows Hello для бизнеса вместо паролей

Windows Hello для бизнеса помогает защититься от фишинговых атак и других угроз безопасности. Это также помогает пользователям быстрее и проще выполнять вход в свои устройства и приложения.

Windows Hello для бизнеса заменяет пароли ПИН-кодом или биометрическими данными, например отпечатками пальцев или распознаванием лиц. Эти биометрические данные хранятся локально на устройствах и никогда не отправляются на внешние устройства или серверы.

Дополнительные сведения см. в статьях:

• Обзор Windows Hello для бизнеса
• Управление Windows Hello для бизнеса на устройствах при регистрации в Intune
• Управление приложениями с помощью Microsoft Intune

Создание VPN-подключения для удаленных пользователей

Виртуальная частная сеть (VPN) предоставляет пользователям безопасный удаленный доступ к сети организации.

С помощью общих партнеров VPN-подключений, включая Check Point, Cisco, Microsoft Tunnel, NetMotion, Pulse Secure и т. д., вы можете создать политику VPN с параметрами сети. Когда политика будет готова, вы развернете ее для пользователей и устройств, которым необходимо удаленно подключиться к сети.

В политике VPN можно использовать сертификаты для проверки подлинности VPN-подключения. При использовании сертификатов пользователям не нужно вводить имена пользователей и пароли.

Дополнительные сведения см. в статьях:

• Создание профилей VPN для подключения к VPN-серверам в Intune
• Использование сертификатов для проверки подлинности в Intune
• Подробнее о Microsoft Tunnel для Intune
• Использование Microsoft Tunnel для MAM

Создание подключения Wi-Fi для локальных пользователей

Для пользователей, которым необходимо подключиться к локальной сети организации, можно создать политику Wi-Fi с параметрами сети. Вы можете подключиться к определенному SSID, выбрать метод проверки подлинности, использовать прокси-сервер и многое другое. Вы также можете настроить политику для автоматического подключения к Wi-Fi, когда устройство находится в зоне действия.

В политике Wi-Fi можно использовать сертификаты для проверки подлинности подключения Wi-Fi. При использовании сертификатов пользователям не нужно вводить имена пользователей и пароли.

Когда политика будет готова, вы развернете ее для локальных пользователей и устройств, которым необходимо подключиться к локальной сети.

Дополнительные сведения см. в статьях:

• Создание политики Wi-Fi для подключения к сетям Wi-Fi в Intune
• Использование сертификатов для проверки подлинности в Microsoft Intune

Включение единого входа в приложениях и службах

При включении единого входа пользователи могут автоматически входить в приложения и службы с помощью учетной записи организации Microsoft Entra, включая некоторые партнерские приложения для защиты от угроз на мобильных устройствах.

Это означает следующее:

• На устройствах с Windows единый вход автоматически встроен и используется для входа в приложения и веб-сайты, использующие Microsoft Entra ID для проверки подлинности, включая приложения Microsoft 365. Вы также можете включить единый вход в VPN и политики Wi-Fi.

• На устройствах iOS/iPadOS и macOS вы можете использовать подключаемый модуль единого входа Microsoft Enterprise для автоматического входа в приложения и веб-сайты, использующие идентификатор Microsoft Entra для проверки подлинности, включая приложения Microsoft 365.

  Дополнительные сведения см. в статье Обзор единого входа и параметры для устройств Apple в Microsoft Intune.

• На устройствах Android вы можете использовать библиотеку проверки подлинности Майкрософт (MSAL) для включения единого входа в приложения Android.

  Дополнительные сведения см. в статьях:

  • Как работает единый вход для локальных ресурсов на устройствах, присоединенных к Microsoft Entra
  • Используйте подключаемый модуль единого входа Microsoft Enterprise на устройствах iOS, iPadOS и macOS в Microsoft Intune
  • Включение единого входа между приложениями в Android с помощью MSAL

Связанные статьи

• Управление приложениями с помощью Microsoft Intune
• Управление устройствами с помощью Microsoft Intune
• Управление приложениями с помощью Microsoft Intune
• Устранение неполадок с Microsoft Intune