部署指南:在 Microsoft Intune 中管理 iOS/iPadOS 设备
Intune 支持 iPad 和 iPhone 的移动设备管理 (MDM),以允许用户安全访问工作电子邮件、数据和应用。 本指南提供特定于 iOS 的指导,以帮助你设置注册并向用户和设备部署应用和策略。
先决条件
在开始之前,请完成以下先决条件,以在 Intune 中启用 iOS/iPadOS 设备管理。 若要详细了解如何设置、加入或移到 Intune,请参阅 Intune 设置部署指南。
有关 Microsoft Intune 角色和权限的信息,请参阅 RBAC with Microsoft Intune。 Microsoft Entra 全局管理员和 Intune 管理员 角色在 Microsoft Intune 中拥有完全权限。 Microsoft Intune 中的许多设备管理任务,全局管理员拥有的权限超过所需的权限。 建议使用完成任务所需的最低特权角色。 例如,可以完成设备注册任务的最低特权角色是 策略和配置文件管理器,这是一个内置的 Intune 角色。
规划部署
Microsoft Intune 规划指南提供了指导和建议,以帮助你确定目标、用例方案和要求。 其中还介绍了如何创建推出、通信、支持、测试和验证方面的计划。
创建合规性规则
使用符合性策略定义用户和设备访问受保护资源时应符合的规则和条件。 如果使用条件访问,则条件访问策略可使用设备合规性结果来阻止不合规设备对资源的访问。 若要详细了解符合性策略以及如何开始使用它们,请参阅使用符合性策略为使用 Intune 管理的设备设置规则。
| 任务 | 详情 |
|---|---|
| 创建合规性策略 | 获得创建符合性策略并将其分配给用户和设备组的分步指南。 |
| 添加针对非合规性的操作 | 选择当设备不再满足符合性策略条件时应执行的操作。 可在配置设备符合性策略时添加针对不符合性的操作,也可稍后通过编辑策略来添加操作。 |
| 创建基于设备或基于应用的条件访问策略 | 指定要保护的应用或服务,并定义访问条件。 |
| 阻止访问不使用新式验证的应用 | 创建基于应用的条件访问策略,以阻止使用 OAuth2 以外的身份验证方法的应用;例如,使用基本身份验证和基于表单的身份验证的应用。 但是,在阻止访问之前,请登录Microsoft Entra ID 并查看 身份验证方法活动报告 ,了解用户是否正在使用基本身份验证来访问你忘记或不知道的基本内容。 例如,会议室日历网亭之类的内容使用基本身份验证。 |
配置终结点安全性
使用 Intune 终结点安全功能来配置设备安全性,并管理对有风险的设备执行的安全任务。
| 任务 | 详情 |
|---|---|
| 使用终结点安全功能管理设备 | 使用 Intune 中的终结点安全设置有效管理设备安全性,并修正设备存在的问题。 |
| 为未注册的设备启用移动威胁防御 (MTD) 连接器 | 在 Intune 中启用 MTD 连接,以便 MTD 合作伙伴应用可以与 Intune 协作并使用你的策略。 如果未使用 Microsoft Defender for Endpoint,请考虑启用此连接器,以便可以使用其他移动威胁防御解决方案。 |
| 创建 MTD 应用保护策略 | 创建 Intune 应用保护策略,以评估风险并基于威胁级别限制设备执行公司访问。 |
| 将 MTD 应用添加到未注册设备 | 向组织中的人员提供 MTD 应用,并配置适用于 iOS/iPadOS 的 Microsoft Authenticator。 |
| 使用条件访问限制对 Microsoft Tunnel 的访问 | 使用条件访问策略,以限制设备访问 Microsoft Tunnel VPN 网关。 |
配置设备设置
使用 Microsoft Intune 在 iOS/iPadOS 设备上启用或禁用设置和功能。 若要配置和实施这些设置,请创建一个设备配置文件,然后将该配置文件分配给组织中的组。 设备注册后即会收到此配置文件。
| 任务 | 详情 |
|---|---|
| 在 Microsoft Intune 中创建设备配置文件 | 了解可为组织创建的不同设备配置文件类型。 |
| 配置设备功能 | 为工作或学校上下文配置常见的 iOS/iPadOS 特性和功能。 有关此类设置的说明,请参阅设备功能参考。 |
| 配置 Wi-Fi 配置文件 | 用户可使用此配置文件找到并连接到组织的 Wi-Fi 网络。 有关此类设置的说明,请参阅 Wi-Fi 设置参考。 |
| 配置 VPN 配置文件 | 配置安全的 VPN 选项(如 Microsoft Tunnel),以便于用户连接到组织的网络。 还可以创建每应用 VPN 策略,以要求用户通过 VPN 连接登录到特定应用。 有关此类设置的说明,请参阅 VPN 设置参考。 |
| 配置电子邮件配置文件 | 配置电子邮件设置,以便用户可以连接到邮件服务器并可以访问其工作或学校电子邮件。 有关此类设置的说明,请参阅电子邮件设置参考。 |
| 限制设备功能 | 通过限制用户可以在工作场所或学校使用的设备功能,阻止用户执行未经授权的访问并避免他们受到干扰。 有关此类设置的说明,请参阅设备限制参考。 |
| 配置自定义配置文件 | 添加并分配 Intune 不包含的设备设置和功能。 |
| 自定义品牌打造和注册体验 | 使用组织自己的语言、品牌、屏幕偏好设置和联系人信息,自定义 Intune 公司门户和 Microsoft Intune 应用体验。 |
| 配置软件更新策略 | 为受监管的 iOS/iPadOS 设备规划自动操作系统更新和安装。 |
设置安全的身份验证方法
在 Intune 中设置身份验证方法,以确保只有经过授权的人员才能访问内部资源。 Intune 支持多重身份验证、证书和派生凭据。 证书还可用于使用 S/MIME 对电子邮件进行签名和加密。
| 任务 | 详情 |
|---|---|
| 需要多重身份验证 (MFA) | 需要用户在注册时提供两种形式的凭据。 |
| 创建受信任的证书配置文件 | 必须先创建和部署受信任的证书配置文件,才能创建 SCEP、PKCS 或 PKCS 导入的证书配置文件。 受信任的证书配置文件使用 SCEP、PKCS 和 PKCS 导入的证书,将受信任的根证书部署到设备和用户。 |
| 将 SCEP 证书用于 Intune | 了解将 SCEP 证书用于 Intune 的必要条件,并配置所需的基础结构。 完成此配置后,可以创建 SCEP 证书配置文件或使用 SCEP 设置第三方证书颁发机构。 |
| 将 PKCS 证书用于 Intune | 配置本地证书连接器等所需基础结构,导出 PKCS 证书,然后将证书添加到 Intune 设备配置配置文件。 |
| 将导入的 PKCS 证书用于 Intune | 设置导入的 PKCS 证书,然后就能够设置和使用 S/MIME 对电子邮件进行加密。 |
| 设置派生凭据颁发者 | 为 iOS/iPadOS 设备预配用户智能卡派生的证书。 |
部署应用
设置应用和应用策略时,请考虑组织的要求,例如你将支持的平台、用户需要执行的任务、用户完成这些任务所需的应用类型以及需要这些应用的组。 可以使用 Intune 来管理整个设备(包括应用),也可以只使用 Intune 管理应用。
| 任务 | 详情 |
|---|---|
| 添加应用商店应用 | 将 App Store 中的 iOS/iPadOS 应用添加到 Intune,并将其分配给组。 |
| 添加 Web 应用 | 将 Web 应用添加到 Intune,并将其分配给组。 |
| 添加内置应用 | 将内置应用添加到 Intune,并将其分配给组。 |
| 添加业务线应用 | 将 iOS/iPadOS 业务线 (LOB) 应用添加到 Intune,并将其分配给组。 |
| 将应用分配给组 | 将应用分配给用户和设备。 |
| 包括和排除应用分配 | 通过在分配中包括和排除选定的组,来控制对应用的访问及其可用性。 |
| 管理通过 Apple Business Manager 购买的 iOS/iPadOS 应用 | 同步、管理和分配通过 Apple Business Manager 购买的应用。 |
| 管理通过 Apple Business Manager 购买的 iOS/iPadOS 电子图书 | 同步、管理和分配通过 Apple Business Manager 购买的图书。 |
| 创建 iOS/iPadOS 应用保护策略 | 让组织的数据驻留在 Outlook 和 Word 等托管应用中。 有关每个设置的详细信息,请参阅 iOS/iPadOS 应用保护策略设置。 |
| 创建应用预配配置文件 | 通过主动将新的预配配置文件分配给包含即将到期应用的设备,防止应用证书过期。 |
| 创建应用配置策略 | 将自定义配置设置应用到已注册设备上的 iOS/iPadOS 应用。 也可以将这些类型的策略应用到未注册设备上的托管应用。 |
| 配置 Microsoft Edge | 对适用于 iOS/iPadOS 的 Microsoft Edge 使用 Intune 应用保护和配置策略,确保访问公司网站时,安全措施到位。 |
| 配置 Microsoft Office 应用 | 对 Office 应用使用 Intune 应用保护和配置策略,确保访问公司文件时,安全措施到位。 |
| 配置 Microsoft Teams | 对 Teams 使用 Intune 应用保护和配置策略,确保访问协作团队体验时,安全措施到位。 |
| 配置 Microsoft Outlook | 对 Outlook 使用 Intune 应用保护和配置策略,确保访问公司电子邮件和日历时,安全措施到位。 |
注册设备
注册设备可以接收你创建的策略,因此请准备好Microsoft Entra 用户组和设备组。
若要了解各种注册方法以及如何选择适合组织的方法,请参阅适用于 Microsoft Intune 的 iOS/iPadOS 设备注册指南。
| 任务 | 详情 |
|---|---|
| 在 Intune 中设置 Apple 自动设备注册 | 为通过 Apple School Manager 或 Apple Business Manager 购买的公司拥有的设备设置现成的注册体验。 若要查看对此过程的详细演练,请参阅教程:使用 Apple Business Manager (ABM) 中的 Apple 公司设备注册功能注册 iOS/iPadOS 设备 |
| 在 Intune 中设置 Apple School Manager | 设置 Intune,以注册通过 Apple School Manager 计划购买的设备。 |
| 使用 Apple Configurator 设置设备注册 | 创建 Apple Configurator 配置文件,以通过直接注册来注册公司拥有的设备(无用户关联),或通过设置助理注册经过擦除的设备或新设备(具有用户关联)。 需要从 Intune 导出 Apple Configurator 配置文件,这需要与运行 Apple Configurator 的 Mac 计算机建立 USB 连接。 |
| 将设备标识为“公司自有” | 向设备分配“公司拥有”状态,以便启用 Intune 中的更多管理和标识功能。 无法向通过 Apple Business Manager 注册的设备分配“公司拥有”状态。 |
| 设置 Apple 用户注册 | 创建用户注册配置文件,以使用托管 Apple ID 将 Apple 用户注册体验部署到设备。 |
| 设置共享 iPad 设备 | 配置设备,以便设备可供多个人使用(图书馆或教育环境中使用的设置类型)。 |
| 备份和还原设备 | 备份和还原设备,以便为在 Intune 中进行注册或迁移做准备,例如在自动设备注册设置过程中。 |
| 更改设备所有权 | 注册设备后,可以在 Intune 中将其所有权标签更改为“公司拥有”或“个人拥有”。 此调整会改变管理设备的方式。 |
| 注册问题疑难解答 | 排查注册过程中出现的问题并找到解决方法。 |
运行远程操作
设置设备后,可以在 Intune 中使用远程操作对设备执行远程管理和故障排除。 可用性因设备平台而异。 如果门户中缺少或禁用了某个操作,则表示设备不支持该操作。
| 任务 | 详情 |
|---|---|
| 对设备执行远程操作 | 了解如何在 Intune 中向下钻取和远程管理及排查各个设备。 本文列出了 Intune 提供的所有远程操作,以及这些过程的链接。 |
| 使用 TeamViewer 远程管理 Intune 设备 | 在 Intune 中配置 TeamViewer,了解如何远程管理设备。 |
| 修正由 Microsoft Defender for Endpoint 标识的漏洞 | 将 Intune 与 Microsoft Defender for Endpoint 集成,以充分利用 Defender for Endpoint 威胁和漏洞管理,并使用 Intune 修正由 Defender 的漏洞管理功能发现的终结点漏洞。 |
后续步骤
请查看这些注册教程,以了解如何在 Intune 中执行一些最常见的任务。 这些教程属于初级-中级内容,适用于刚开始接触 Intune 或特定方案的人员。
- 演练 Intune 管理中心
- 使用 Apple Business Manager (ABM) 中的 Apple 公司设备注册功能在 Intune 中注册 iOS/iPadOS 设备
- 保护托管设备上的 Exchange Online 电子邮件
- 保护非托管设备上的 Exchange Online 电子邮件
- 配置 Slack 以将 Intune 用于 EMM 和应用配置
有关本指南的 Android 版本,请参阅部署指南:在 Microsoft Intune 中管理 Android 设备。