步驟 4 - 設定裝置功能和設定,以保護裝置和存取資源
到目前為止,您已設定 Intune 訂用帳戶、建立應用程式保護原則,以及建立裝置合規性原則。
在此步驟中,您已準備好設定所有裝置都必須具備的最低或基準一組安全性和裝置功能。
本文適用於:
- Android
- iOS/iPadOS
- macOS
- Windows
當您建立裝置組態配置檔時,有不同層級和類型的可用原則。 這些層級是 Microsoft 建議的最低原則。 瞭解您的環境和商務需求可能不同。
層級 1 - 裝置設定下限:在此層級中,Microsoft 建議您建立下列原則:
- 專注於裝置安全性,包括安裝防病毒軟體、建立強密碼原則,以及定期安裝軟體更新。
- 為使用者提供其組織電子郵件的存取權,並控制對您網路的安全存取,無論他們身在何處。
層級 2 - 增強的裝置設定:在此層級中,Microsoft 建議您建立下列原則:
- 擴充裝置安全性,包括設定磁碟加密、啟用安全開機,以及新增更多密碼規則。
- 使用內建功能和範本來設定對組織而言很重要的更多設定,包括分析內部部署 GPO。
層級 3 - 高裝置設定:在此層級中,Microsoft 建議您建立下列原則:
- 移至無密碼驗證,包括使用憑證、設定單一登錄 (SSO) 至應用程式、啟用多重要素驗證 (MFA) ,以及設定 Microsoft Tunnel。
- 使用 Android 通用準則模式或為 Windows 裝置建立 DFCI 原則,新增額外的安全性層級。
- 使用內建功能來設定 kiosk 裝置、專用裝置、共用裝置和其他特製化裝置。
- 部署現有的殼層腳本。
本文列出組織應該使用的不同裝置設定原則層級。 本文中大部分的原則都著重於對組織資源和安全性的存取。
這些功能是在 Microsoft Intune 系統管理中心的裝置組態配置檔中設定。 配置文件準備就緒時,可以從 Intune 部署到您的裝置。
層級 1 - 建立安全性基準
為了協助保護組織數據和裝置的安全,您可以建立著重於安全性的不同原則。 您應該建立所有使用者和/或所有裝置都必須具備的安全性功能清單。 此清單是您的安全性基準。
在基準中,Microsoft 至少建議下列安全策略:
- 安裝防病毒軟體 (AV) 並定期掃描惡意代碼
- 使用偵測和回應
- 開啟防火牆
- 定期安裝軟體更新
- 建立強式 PIN/密碼原則
本節列出可用來建立這些安全策略的 Intune 和 Microsoft 服務。
如需更細微的 Windows 設定及其建議值清單,請移至 Windows 安全性基準。
防病毒軟體和掃描
✔️ 安裝防病毒軟體並定期掃描惡意代碼
所有裝置都應該安裝防病毒軟體,並定期掃描是否有惡意代碼。 Intune 與提供 AV 和威脅掃描的第三方合作夥伴行動威脅防護 (MTD) 服務整合。 針對macOS和 Windows,防病毒軟體和掃描內建於使用 適用於端點的 Microsoft Defender的 Intune。
您的原則選項:
| 平台 | 原則類型 |
|---|---|
| Android Enterprise | - 行動威脅防護合作夥伴 - 適用於端點的 Microsoft Defender Android 可以掃描是否有惡意代碼 |
| iOS/iPadOS | 行動威脅防禦合作夥伴 |
| macOS | Intune 端點安全性防病毒軟體配置檔 (適用於端點的 Microsoft Defender) |
| Windows 用戶端 | - Intune 安全性基準 (建議的) - Intune 端點安全性防病毒軟體配置檔 (適用於端點的 Microsoft Defender) - 行動威脅防禦合作夥伴 |
如需這些功能的詳細資訊,請移至:
- Android Enterprise:
- iOS/iPadOSMobile 威脅防禦整合
- macOS防病毒軟體原則
- Windows:
偵測和回應
✔️ 偵測攻擊並針對這些威脅採取行動
當您快速偵測到威脅時,您可以協助將威脅的影響降到最低。 當您將這些原則與條件式存取結合時,如果偵測到威脅,您可以封鎖使用者和裝置存取組織資源。
您的原則選項:
| 平台 | 原則類型 |
|---|---|
| Android Enterprise | - 行動威脅防禦合作夥伴- 在 Android 上 適用於端點的 Microsoft Defender |
| iOS/iPadOS | - 行動威脅防禦合作夥伴- 在 iOS/iPadOS 上 適用於端點的 Microsoft Defender |
| macOS | 無 |
| Windows 用戶端 | - Intune 安全性基準 (建議的) - Intune 端點偵測和回應配置檔 (適用於端點的 Microsoft Defender) - 行動威脅防禦合作夥伴 |
如需這些功能的詳細資訊,請移至:
- Android Enterprise:
- iOS/iPadOS:
- Windows:
防火牆
✔️ 在所有裝置上啟用防火牆
某些平臺隨附內建防火牆,而在其他平臺上,您可能必須個別安裝防火牆。 Intune 與第三方合作夥伴行動威脅防禦整合 (可管理 Android 和 iOS/iPadOS 裝置防火牆的 MTD) 服務。 針對macOS和 Windows,防火牆安全性內建於使用 適用於端點的 Microsoft Defender Intune。
您的原則選項:
| 平台 | 原則類型 |
|---|---|
| Android Enterprise | 行動威脅防禦合作夥伴 |
| iOS/iPadOS | 行動威脅防禦合作夥伴 |
| macOS | Intune 端點安全性防火牆配置檔 (適用於端點的 Microsoft Defender) |
| Windows 用戶端 | - Intune 建議 ) (安全性基準 - Intune 端點安全性防火牆配置檔 (適用於端點的 Microsoft Defender) - 行動威脅防禦合作夥伴 |
如需這些功能的詳細資訊,請移至:
- Android EnterpriseMobile 威脅防禦整合
- iOS/iPadOSMobile 威脅防禦整合
- macOS防火牆原則
- Windows:
密碼原則
✔️ 建立強密碼/PIN 原則並封鎖簡單密碼
PIN 會解除鎖定裝置。 在存取組織數據的裝置上,包括個人擁有的裝置,您應該需要強式 PIN/密碼,並支援生物特徵辨識來解除鎖定裝置。 使用生物特徵辨識是無密碼方法的一部分,建議使用此方法。
Intune 使用裝置限制配置檔來建立和設定密碼需求。
您的原則選項:
| 平台 | 原則類型 |
|---|---|
| Android Enterprise | Intune 裝置限制設定檔來管理: - 裝置密碼 - 工作配置文件密碼 |
| AOSP | Intune裝置限制配置檔 |
| iOS/iPadOS | Intune裝置限制配置檔 |
| macOS | Intune裝置限制配置檔 |
| Windows 用戶端 | - Intune 建議 ) (的安全性基準 - Intune 裝置限制配置檔 |
如需您可以設定的設定清單,請移至:
- Android Enterprise 裝置限制配置檔:
- Android AOSP裝置限制配置檔 >裝置密碼
- iOS/iPadOS裝置限制配置文件 >密碼
- macOS裝置限制配置文件 >密碼
- Windows:
軟體更新
✔️ 定期安裝軟體更新
所有裝置都應該定期更新,而且應該建立原則以確保這些更新已成功安裝。 對於大部分的平臺而言,Intune 都有著重於管理和安裝更新的專用原則。
您的原則選項:
| 平台 | 原則類型 |
|---|---|
| Android Enterprise 組織擁有的裝置 | 使用 Intune 裝置限制配置檔的系統更新設定 |
| Android Enterprise 個人擁有的裝置 | 無 可以使用合規性原則來設定最低修補程式層級、最小/最大OS版本等等。 |
| iOS/iPadOS | Intune 更新原則 |
| macOS | Intune 更新原則 |
| Windows 用戶端 | - Intune 功能更新原則 - Intune 加速更新原則 |
如需這些功能和/或您可以設定之設定的詳細資訊,請移至:
- Android Enterprise裝置限制配置檔 >系統更新
- iOS/iPadOS軟體更新原則
- macOS軟體更新原則
- Windows:
層級 1 - 存取組織電子郵件、連線至 VPN 或 Wi-Fi
本節著重於存取組織中的資源。 這些資源包括:
- 公司或學校帳戶的 Email
- 遠端連線的 VPN 連線
- Wi-Fi 內部部署連線的連線
電子郵件
許多組織會將具有預先設定設定的電子郵件設置檔部署到用戶裝置。
✔️ 自動連線到使用者電子郵件帳戶
配置檔包含連線到電子郵件伺服器的電子郵件組態設定。
視您設定的設定而定,電子郵件設置檔也可以自動將用戶連線到其個別的電子郵件帳戶設定。
✔️ 使用企業層級電子郵件應用程式
Email 中的配置檔 Intune 使用常見且熱門的電子郵件應用程式,例如 Outlook。 電子郵件應用程式會部署到用戶裝置。 部署之後,您會使用設定電子郵件應用程式的設定來部署電子郵件裝置組態配置檔。
電子郵件裝置組態配置檔包含連線到 Exchange 的設定。
✔️ 存取公司或學校電子郵件
建立電子郵件設置檔是組織在其裝置上使用電子郵件的一般最低基準原則。
Intune 內建 Android、iOS/iPadOS 和 Windows 用戶端裝置的電子郵件設置。 當使用者開啟其電子郵件應用程式時,他們可以自動連線、驗證及同步其裝置上的組織電子郵件帳戶。
✔️ 隨時部署
在新裝置上,建議您在註冊程式期間部署電子郵件應用程式。 註冊完成時,請部署電子郵件裝置設定原則。
如果您有現有的裝置,請隨時部署電子郵件應用程式,並部署電子郵件裝置設定原則。
開始使用電子郵件設置檔
若要開始使用:
將電子郵件應用程式部署到您的裝置。 如需一些指引,請移至使用 Intune 將電子郵件設置新增至裝置。
在 Intune 中建立電子郵件裝置組態配置檔。 根據貴組織使用的電子郵件應用程式,可能不需要電子郵件裝置組態配置檔。
如需一些指引,請移至使用 Intune 將電子郵件設置新增至裝置。
在電子郵件裝置組態設定檔中,設定平台的設定:
具有工作配置文件電子郵件設置的 Android Enterprise 個人擁有裝置
Android Enterprise 組織擁有的裝置不會使用電子郵件裝置組態配置檔。
將電子郵件裝置組態配置檔指派 給您的用戶或使用者群組。
VPN
許多組織會將具有預先設定設定的 VPN 配置檔部署到用戶裝置。 VPN 會將您的裝置連線到內部組織網路。
如果您的組織使用具有新式驗證和安全身分識別的雲端服務,則您可能不需要 VPN 配置檔。 雲端原生服務不需要 VPN 連線。
如果您的應用程式或服務不是雲端式或不是雲端原生,則建議您部署 VPN 配置檔以連線到您的內部組織網路。
✔️ 隨處工作
建立 VPN 配置檔是具有遠端工作者和混合式背景工作角色之組織的常見最低基準原則。
當使用者從任何地方工作時,他們可以使用 VPN 配置檔安全地連線到組織的網路以存取資源。
Intune 已內建適用於Android、iOS/iPadOS、macOS和 Windows 用戶端裝置的 VPN 設定。 在使用者裝置上,您的 VPN 聯機會顯示為可用的連線。 用戶選取它。 而且,根據 VPN 設定檔中的設定,使用者可以自動驗證並連線到其裝置上的 VPN。
✔️ 使用企業層級 VPN 應用程式
Intune 中的 VPN 設定檔會使用常見的企業 VPN 應用程式,例如 Check Point、Cisco、Microsoft Tunnel 等等。 VPN 應用程式會部署到用戶裝置。 部署應用程式之後,您會使用設定 VPN 應用程式的設定來部署 VPN 連線設定檔。
VPN 裝置組態配置檔包含連線到 VPN 伺服器的設定。
✔️ 隨時部署
在新裝置上,建議您在註冊程序期間部署 VPN 應用程式。 註冊完成時,請部署 VPN 裝置設定原則。
如果您有現有的裝置,請隨時部署 VPN 應用程式,然後部署 VPN 裝置設定原則。
開始使用 VPN 設定檔
若要開始使用:
將 VPN 應用程式部署到您的裝置。
- 如需支援的 VPN 應用程式清單,請移至 Intune 中支援的 VPN 連線應用程式。
- 如需將應用程式新增至 Intune 的步驟,請移至將應用程式新增至 Microsoft Intune。
在 VPN 裝置組態設定檔中,設定平台的設定:
將 VPN 裝置組態配置檔指派 給您的使用者或使用者群組。
Wi-Fi
許多組織會使用預先設定的設定,將 Wi-Fi 配置檔部署到用戶裝置。 如果您的組織有僅限遠程的員工,則您不需要部署 Wi-Fi 連線配置檔。 Wi-Fi 設定檔是選擇性的,並用於內部部署連線。
✔️ 無線連線
當使用者從不同的行動裝置工作時,他們可以使用 Wi-Fi 配置檔以無線方式安全地連線到組織的網路。
配置檔包含 Wi-Fi 組態設定,這些設定會自動連線到您的網路和/或 SSID (服務集識別子) 。 使用者不需要手動設定其 Wi-Fi 設定。
✔️ 支援內部部署行動裝置
建立 Wi-Fi 配置檔是一般最低基準原則,適用於具有內部部署行動裝置的組織。
Intune 已內建 Android、iOS/iPadOS、macOS 和 Windows 用戶端裝置的 Wi-Fi 設定。 在使用者裝置上,您的 Wi-Fi 聯機會顯示為可用的連線。 用戶選取它。 而且,根據您 Wi-Fi 配置檔中的設定,用戶可以自動驗證並連線到其裝置上的 Wi-Fi。
✔️ 隨時部署
在新裝置上,建議您在裝置註冊 Intune 時部署 Wi-Fi 裝置設定原則。
如果您有現有的裝置,您可以隨時部署 Wi-Fi 裝置設定原則。
開始使用 Wi-Fi 配置檔
若要開始使用:
設定平台設定:
將 Wi-Fi 裝置組態配置檔指派 給您的使用者或使用者群組。
層級 2 - 增強的保護和設定
此層級會擴充您在層級 1 中設定的內容,併為您的裝置增加更多安全性。 在本節中,您會建立一組層級 2 的原則,為您的裝置設定更多安全性設定。
Microsoft 建議使用下列層級 2 安全策略:
在您的裝置上啟用 磁碟加密、安全開機和 TPM 。 建議您在此層級使用這些功能來結合強式 PIN 原則或生物特徵辨識解除鎖定。
在 Android 裝置上,磁碟加密和 Samsung Knox 可能會內建在作業系統中。 當您設定鎖定畫面設定 時 ,可能會自動啟用磁碟加密。 在 Intune 中,您可以建立設定鎖定畫面設定的裝置限制原則。
如需您可以設定的密碼和鎖定畫面設定清單,請移至下列文章:
讓密碼過期並規範重複使用舊密碼。 在層級 1 中,您已建立強式 PIN 或密碼原則。 如果您還沒有這麼做,請務必將 PIN 設定 & 密碼到期,並設定一些密碼重複使用規則。
您可以使用 Intune 建立裝置限制原則或設定目錄原則來設定這些設定。 如需您可以設定之密碼設定的詳細資訊,請移至下列文章:
在 Android 裝置上,您可以使用裝置限制原則來設定密碼規則:
Intune 包含數百個可管理裝置功能和設定的設定,例如停用內建相機、控制通知、允許藍牙、封鎖遊戲等等。
裝置限制範本 有許多內建設定,可以控制裝置的不同部分,包括安全性、硬體、數據共用等等。
您可以在下列平臺上使用這些樣本:
- Android
- iOS/iPadOS
- macOS
- Windows
使用 [設定] 目錄 來查看和設定所有可用的設定。 您可以在下列平臺上使用設定目錄:
- iOS/iPadOS
- macOS
- Windows
使用內建的系統管理範本,類似於在內部部署環境中設定ADMX範本。 您可以在下列平臺上使用ADMX樣本:
- Windows
如果您使用內部部署 GPO,並想要知道這些相同的設定是否可在 Intune 中使用,請使用 群組原則 分析。 這項功能會分析您的 GPO,並根據分析,將它們匯入 Intune 設定目錄原則。
如需詳細資訊,請移至分析內部部署 GPO,並將其匯入 Intune 中。
層級 3 - 高保護和設定
此層級會擴充您在層級 1 和 2 中設定的內容。 它新增了企業層級組織中使用的額外安全性功能。
將無密碼驗證擴 充至您的員工所使用的其他服務。 在層級 1 中,您已啟用生物特徵辨識,讓使用者可以使用指紋或臉部辨識登入其裝置。 在此層級中,將無密碼擴充至組織的其他部分。
使用憑證來驗證 電子郵件、VPN 和 Wi-Fi 連線。 憑證會部署至使用者和裝置,然後由使用者透過這些電子郵件、VPN 和 Wi-Fi 連線來存取您組織中的資源。
若要深入瞭解如何在 Intune 中使用憑證,請移至:
設定單一登錄 (SSO) ,以在使用者開啟商務應用程式時獲得更順暢的體驗,例如 Microsoft 365 應用程式。 使用者登入一次,然後自動登入所有支援 SSO 設定的應用程式。
若要瞭解如何在 Intune 和 Microsoft Entra ID 中使用 SSO,請移至:
使用多重要素驗證 (MFA) 。 當您移至無密碼時,MFA 會增加額外的安全性層級,並可協助保護您的組織免於遭受網路釣魚攻擊。 您可以使用 MFA 搭配驗證器應用程式,例如 Microsoft Authenticator,或使用電話或簡訊。 當使用者在 Intune 中註冊其裝置時,您也可以使用 MFA。
多重要素驗證是 Microsoft Entra ID 的功能,可與 Microsoft Entra 帳戶搭配使用。 如需詳細資訊,請移至:
為您的 Android 和 iOS/iPadOS 裝置設定 Microsoft Tunnel。 Microsoft Tunnel 使用 Linux,允許這些裝置使用新式驗證和條件式存取來存取內部部署資源。
Microsoft Tunnel 會使用 Intune、Microsoft Entra ID 和 Active Directory 同盟服務 (AD FS) 。 如需詳細資訊,請移至適用於 Microsoft Intune 的 Microsoft Tunnel。
除了向 Intune 註冊之裝置的 Microsoft Tunnel 之外,您還可以使用適用於 MAM) 的行動應用程式管理 (通道的 Microsoft Tunnel,將通道功能延伸至未向 Intune 註冊的 Android 和 iOS/iPad 裝置。 MAM 的通道可作為需要額外授權的 Intune 附加元件。
如需詳細資訊,請參閱使用 Intune Suite 附加元件功能。
使用 Windows 本機系統管理員密碼解決方案 (LAPS) 原則 ,在您的 Windows 裝置上管理和備份內建的本機系統管理員帳戶。 因為無法刪除本機系統管理員帳戶,而且具有裝置的完整許可權,所以管理內建的 Windows 系統管理員帳戶是保護組織的重要步驟。 windows LAPS 的 Intune 原則會使用執行 21h2 版或更新版本之 Windows 裝置可用的功能。
如需詳細資訊,請參閱 Intune Windows LAPS 的支援。
使用 Microsoft Intune 端點權限管理 (EPM) 來減少 Windows 裝置的攻擊面。 EPM 可讓以標準使用者身分執行的使用者 (,而不需要系統管理員許可權) 藉由判斷這些使用者何時可以在提升許可權的內容中執行應用程式,來維持生產力。
EPM 提高許可權規則可以根據檔案哈希、憑證規則等等。 您設定的規則有助於確保只有您允許的預期和信任應用程式可以提升許可權執行。 規則可以管理應用程式所建立的子進程、支援使用者要求提高受控進程,以及允許自動提高檔案許可權,而這些檔案只需要在不中斷用戶的情況下執行。
端點許可權管理可作為需要額外授權的 Intune 附加元件。 如需詳細資訊,請參閱使用 Intune Suite 附加元件功能。
在高度敏感性組織所使用的 Android 裝置上使用 Android 通用準則模式,例如政府機關。
如需這項功能的詳細資訊,請移至 Android 通用準則模式。
建立 適用於 Windows 韌體層的原則。 這些原則可協助防止惡意代碼與 Windows OS 程式通訊。
如需此功能的詳細資訊,請移至 在 Windows 裝置上使用裝置韌體設定介面 (DFCI) 設定檔。
設定 kiosk、共用裝置和其他特製化裝置:
Android Enterprise:
Android 裝置系統管理員
重要事項
Microsoft Intune 於 2024 年 8 月 30 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援。
遵循建議的最低基準原則
- 設定 Microsoft Intune
- 新增、設定及保護應用程式
- 規劃合規性政策
- 🡺 設定裝置功能 (您在這裡)
- 註冊裝置
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: