部署指南:针对 Microsoft Intune 中未注册设备的移动应用程序管理 (MAM)

用于未注册设备的 MAM 使用应用配置文件在设备上部署或配置应用,而无需注册设备。 与应用保护策略结合使用时,可以保护应用中的数据。

用于未注册设备的 MAM 通常适用于个人或自带设备 (BYOD)。 或用于需要额外安全性的已注册设备。 MAM 适用于没有注册其个人设备但仍需要访问组织电子邮件、Teams 会议等功能的用户。

MAM 在以下平台上提供:

  • Android
  • iOS/iPadOS
  • Windows

本文提供有关何时使用 MAM 的建议。 它还包括管理员和用户任务的概述信息。 有关 MAM 的更具体信息,请转到:

提示

本指南将持续更新。 因此,请务必添加或更新你发现的有用的现有提示和指南。

准备工作

有关概述(包括任何特定于 Intune 的先决条件),请参阅部署指南:在 Microsoft Intune 中注册设备

MAM

使用个人设备或自带设备 (BYOD)。 或者,在需要特定应用配置或额外应用安全性的、组织拥有的设备上使用。

功能 以下情况适用此注册选项
你想要配置特定应用,并控制对这些应用的访问,例如 Outlook 或 Microsoft Teams。
设备为个人设备或 BYOD。
你有新设备或现有设备。
需要管理少量设备或大量设备(批量注册)。
设备与一个用户关联。
设备由另一个 MDM 提供商管理。
使用设备注册管理器 (DEM) 帐户。
设备归组织或学校所有。

不建议作为组织拥有的设备的唯一注册方法。 组织拥有的设备应通过 Intune 注册和管理。 如果希望为特定应用提供额外的安全性,请结合使用 MDM 注册和 MAM。
设备是“无用户的”,例如展台或专用设备。

通常,“无用户”设备或共享设备是组织拥有的设备。 这些设备应通过 Intune 注册和管理。

MAM 管理员任务

此任务列表提供了概述信息。 有关更具体的信息,请参阅 Microsoft Intune 应用管理

  • 请确保你的设备受支持

  • Intune 管理中心,添加应用配置应用。 当应用在设备上时,Intune 会将这些应用视为“托管”。 添加或配置应用后,请创建应用保护策略。 例如,创建策略以允许或阻止应用中的功能(如复制和粘贴)。

  • 告诉用户如何获取不同的应用。 例如,你能够:

    • 将用户定向到 portal.manage.microsoft.com 处的公司门户网站。 当他们使用其组织凭据登录时,会看到应用列表,其中包括必需的应用。 他们可以从此站点获取应用。
    • 让用户从应用商店下载并安装公司门户应用。 经过身份验证后,用户便可以安装应用,包括必需的应用。

MAM 最终用户任务

具体任务取决于你告知用户的应用安装方式。

  • 若要安装应用,用户可以:

    • 转到应用商店并下载公司门户应用。 打开公司门户应用并使用其组织凭据 (user@contoso.com) 登录。 公司门户应用对用户进行身份验证。 用户会看到可用应用的列表,包括所需的应用。
    • 转到 portal.manage.microsoft.com 处的公司门户网站,并使用他们的组织凭据 (user@contoso.com) 登录。 用户登陆后,会看到可用应用的列表,其中包括必需的应用。
    • 转到应用商店,下载所需的应用。 此选项适用于不想使用公司门户应用或网站的用户。 最终用户可能还需要购买该应用。
  • 安装应用后,他们打开应用,收到提示并使用自己的组织凭据 (user@contoso.com) 登录。 当用户登录时,他们可能需要重启应用。 重新启动后,应用数据由 Intune“托管”。

  • 某些平台可能需要特定应用来安装其他应用,例如 Outlook 或 Teams。 例如,在 iOS 设备上,用户需要安装代理应用,如 Microsoft Authenticator 应用。 在 Android 设备上,用户需要安装公司门户应用。