Microsoft Intune 安全地管理标识、管理应用和管理设备
由于组织支持混合和远程员工,因此他们在管理访问组织资源的不同设备方面面临挑战。 员工和学生需要协作、随时随地工作,以及安全地访问和连接这些资源。 管理员需要保护组织数据、管理最终用户访问权限,以及随时随地为用户提供支持。
✅ 若要帮助解决这些挑战和任务,请使用 Microsoft Intune。
Microsoft Intune 是 基于云的终结点管理解决方案。 它管理用户对组织资源的访问,并简化许多设备(包括移动设备、台式计算机和虚拟终结点)的应用和设备管理。
可以保护组织拥有和用户个人设备上的访问权限和数据。 而且,Intune 具有支持 零信任安全模型的合规性和报告功能。
本文列出了 Microsoft Intune 的一些功能和优势。
提示
- 若要获取 Intune,请转到 可用于 Microsoft Intune 和 Intune 30 天试用版的许可证。
- 有关 Intune 许可计划的详细信息,请转到 Microsoft Intune 功能和计划。
- 有关云原生终结点的含义的信息,请转到 了解有关云原生终结点的详细信息。
主要功能和优势
Intune 的一些主要功能和优势包括:
✅管理用户和设备
使用 Intune,可以管理组织拥有的设备以及最终用户拥有的设备。 Microsoft Intune 支持 Android、Android 开源项目 (AOSP) 、iOS/iPadOS、Linux Ubuntu 桌面、macOS 和 Windows 客户端设备。 借助 Intune,可以使用这些设备通过创建的策略安全地访问组织资源。
有关详细信息,请转到:
注意
如果管理本地 Windows Server,则可以使用 Configuration Manager。
✅简化应用管理
Intune 提供内置的应用体验,包括应用部署、更新和删除。 可以执行下列操作:
- 从专用应用商店连接到应用并分发应用。
- 启用 Microsoft 365 个应用,包括 Microsoft Teams。
- ) 应用部署 Win32 和业务线 (LOB。
- 创建保护应用内数据的应用保护策略。
- 管理对应用 & 数据的访问权限。
有关详细信息,请转到 使用 Microsoft Intune 管理应用。
✅自动执行策略部署
可以为应用、安全性、设备配置、合规性、条件访问等创建策略。 策略准备就绪后,可以将这些策略部署到用户组和设备组。 若要接收这些策略,设备只需访问 Internet。
有关详细信息,请转到 在 Microsoft Intune 中分配策略。
✅使用自助服务功能
员工和学生可以使用公司门户应用和网站重置 PIN/密码、安装应用、加入组等。 可以自定义公司门户以帮助减少支持呼叫。
有关详细信息,请转到 配置 Intune 公司门户应用、公司门户网站和 Intune 应用。
✅与移动威胁防御集成
Intune 与 Microsoft Defender for Endpoint 和第三方合作伙伴服务集成。 使用这些服务,重点在于终结点安全性。 可以创建策略来响应威胁、执行实时风险分析和自动修正。
有关详细信息,请转到 移动威胁防御与 Intune 的集成。
✅使用基于 Web 的管理中心
Intune 管理中心侧重于终结点管理,包括数据驱动的报告。 管理员可以从具有 Internet 访问权限的任何设备登录到管理中心。
有关详细信息,请转到 演练 Intune 管理中心。 若要登录到管理中心,请转到 Microsoft Intune 管理中心。
此管理中心使用 Microsoft Graph REST API 以编程方式访问 Intune 服务。 管理中心中的每个操作都是Microsoft Graph 调用。 如果不熟悉 Graph 并想要了解详细信息,请转到 Graph 与 Microsoft Intune 集成。
✅高级终结点管理和安全性
Microsoft Intune 套件提供不同的功能,例如远程帮助、终结点特权管理、Microsoft Tunnel for MAM 等。
有关详细信息,请转到 Intune Suite 加载项功能。
提示
逐步完成培训模块,了解如何使用 Microsoft Intune 从新式终结点管理中受益 。
✅在 Intune 中使用 Microsoft Copilot 进行 AI 生成的分析
Intune 中的 Copilot 可用,并且具有由 Copilot for Security 提供支持的功能。
Copilot 可以汇总现有策略,为你提供更多设置信息,包括建议的值和潜在的冲突。 还可以获取设备详细信息并对设备进行故障排除。
有关详细信息,请转到 Intune 中的 Microsoft Copilot。
与其他Microsoft服务和应用集成
Microsoft Intune 与其他专注于终结点管理的Microsoft产品和服务集成,包括:
用于本地终结点管理和 Windows Server 的 Configuration Manager,包括部署软件更新和管理数据中心
可以在共同管理方案中同时使用 Intune 和 Configuration Manager、使用租户附加或同时使用这两者。 通过这些选项,你将获得基于 Web 的管理中心的优势,并使用 Intune 中提供的其他基于云的功能。
有关更具体的信息,请转到:
用于新式 OS 部署和预配的 Windows Autopilot
使用 Windows Autopilot,可以预配新设备,并将这些设备直接从 OEM 或设备提供商发送给用户。 对于现有设备,可以重置这些设备的映像以使用 Windows Autopilot 并部署最新的 Windows 版本。
有关更具体的信息,请转到:
终结点分析 ,用于查看和报告最终用户体验,包括设备性能和可靠性
可以使用终结点分析来帮助识别降低设备速度的策略或硬件问题。 它还提供指导,可帮助你主动改善最终用户体验并减少技术支持票证。
有关更具体的信息,请转到:
Microsoft 365 ,适用于最终用户工作效率的 Office 应用,包括 Outlook、Teams、Sharepoint、OneDrive 等
使用 Intune,可以将Microsoft 365 个应用部署到组织中的用户和设备。 还可以在用户首次登录时部署这些应用。
有关更具体的信息,请转到:
Microsoft Defender for Endpoint 帮助企业预防、检测、调查和响应威胁
在 Intune 中,可以在 Intune 和 Microsoft Defender for Endpoint 之间创建服务到服务连接。 连接后,可以创建策略来扫描文件、检测威胁,并向 Microsoft Defender for Endpoint 报告威胁级别。 还可以创建设置允许的风险级别的合规性策略。 与条件访问结合使用时,可以阻止对不符合条件的设备访问组织资源。
有关更具体的信息,请转到:
用于自动修补 Windows、Microsoft 365 企业应用、Microsoft Edge 和 Microsoft Teams 的 Windows 自动修补
Windows 自动修补是一项基于云的服务。 它使软件保持最新状态,为用户提供最新的生产力工具,最大程度地减少本地基础结构,并帮助让 IT 管理员专注于其他项目。 Windows Autopatch 使用 Microsoft Intune 来管理已注册 Intune 的设备或使用 intune + Configuration Manager) 共同管理 (设备的修补。
有关更具体的信息,请转到:
与第三方合作伙伴设备和应用集成
借助 Intune 管理中心,可以轻松连接到不同的合作伙伴服务,包括:
适用于 Android 应用的托管 Google Play:连接到托管 Google Play 帐户时,管理员可以访问组织的 Android 应用专用应用商店,并将这些应用部署到设备。
有关详细信息,请转到 使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。
适用于注册和应用的 Apple 令牌和证书:添加后,iOS/iPadOS 和 macOS 设备可以在 Intune 中注册,并从 Intune 接收策略。 管理员可以访问购买的批量 iOS/iPad 和 macOS 应用许可证,并将这些应用部署到设备。
有关详细信息,请转到:
用于远程协助的 TeamViewer:连接到 TeamViewer 帐户时,可以使用 TeamViewer 远程协助设备。
有关详细信息,请转到 使用 TeamViewer 远程管理 Intune 设备。
借助这些服务,Intune:
- 使管理员能够简化对第三方合作伙伴应用服务的访问权限。
- 可以管理数百个第三方合作伙伴应用。
- 支持公共零售商店应用、业务线 (LOB) 应用、公共商店中不提供的专用应用、自定义应用等。
有关在 Intune 中注册第三方合作伙伴设备的更多平台特定要求,请转到:
- 部署指南:在 Microsoft Intune 中注册 Android 设备
- 部署指南:在部署中注册 iOS 和 iPadOS Microsoft Intune
- 部署指南:在 Microsoft Intune 中注册 Linux 设备
- 部署指南:在 Microsoft Intune 中注册 macOS 设备
注册设备管理、应用程序管理或同时注册两者
✅ 组织拥有的设备在 Intune 中注册, (MDM) 进行移动设备管理 。 MDM 以设备为中心,因此设备功能根据需要的人员进行配置。 例如,可以将设备配置为允许访问 Wi-Fi,但前提是已登录用户是组织帐户。
在 Intune 中,可以创建策略来配置 & 设置的功能,并提供安全 & 保护。 你的管理团队完全管理设备,包括登录的用户标识、已安装的应用以及访问的数据。
设备注册时,可以在注册过程中部署策略。 注册完成后,设备即可使用。
✅ 对于自带设备 (BYOD) 方案中的个人设备,可以使用 Intune 进行 移动应用程序管理 (MAM) 。 MAM 以用户为中心,因此无论用于访问此数据的设备如何,应用数据都会受到保护。 重点介绍应用,包括安全访问应用和保护应用中的数据。
使用 MAM,可以:
- 向用户发布移动应用。
- 配置应用并自动更新应用。
- 查看侧重于应用清单和应用使用情况的数据报告。
✅ 还可以同时使用 MDM 和 MAM。 如果设备已注册,并且存在需要额外安全性的应用,则还可以使用 MAM 应用保护策略。
有关详细信息,请转到:
保护任何设备上的数据
使用 Intune,可以保护 intune) 中注册 (托管 设备上的数据,并保护未在 Intune) 中注册 (非托管设备上的数据 。 Intune 可以将组织数据与个人数据隔离。 其思路是使用配置和部署的策略保护公司信息。
对于组织拥有的设备,需要完全控制设备,尤其是安全性。 设备注册时,它们会收到你的安全规则和设置。
在 Intune 中注册的设备上,可以:
- 创建和部署用于配置安全设置、设置密码要求、部署证书等的策略。
- 使用移动威胁防御服务扫描设备、检测威胁和修正威胁。
- 查看衡量安全设置和规则合规性的数据和报告。
- 使用条件访问仅允许托管且合规的设备访问组织资源、应用和数据。
- 如果设备丢失或被盗,请删除组织数据。
对于个人设备,用户可能不希望其 IT 管理员拥有完全控制权。 若要支持混合工作环境,请为用户提供选项。 例如,如果用户需要拥有对组织资源的完全访问权限,则注册其设备。 或者,如果这些用户仅想要访问 Outlook 或 Microsoft Teams,请使用需要多重身份验证的应用保护策略 (MFA) 。
在使用应用程序管理的设备上,可以:
- 使用移动威胁防御服务来保护应用数据。 该服务可以扫描设备、检测威胁和评估风险。
- 防止将组织数据复制和粘贴到个人应用中。
- 在第三方或合作伙伴 MDM 中注册的应用和非托管设备上使用应用保护策略。
- 使用条件访问来限制可以访问组织电子邮件和文件的应用。
- 删除应用内的组织数据。
有关详细信息,请转到:
简化访问
Intune 可帮助组织支持可从任意位置工作的员工。 可以配置一些功能,允许用户连接到组织,无论他们身在何处。
本部分包括可在 Intune 中配置的一些常见功能。
使用 Windows Hello 企业版而不是密码
Windows Hello 企业版可帮助防范网络钓鱼攻击和其他安全威胁。 它还可帮助用户更快、更轻松地登录到其设备和应用。
Windows Hello 企业版将密码替换为 PIN 或生物识别,例如指纹或面部识别。 此生物识别信息存储在本地设备上,永远不会发送到外部设备或服务器。
有关详细信息,请转到:
为远程用户创建 VPN 连接
VPN 策略为用户提供对组织网络的安全远程访问。
使用常见的 VPN 连接合作伙伴(包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等),可以使用网络设置创建 VPN 策略。 策略准备就绪后,将此策略部署到需要远程连接到网络的用户和设备。
在 VPN 策略中,可以使用证书对 VPN 连接进行身份验证。 使用证书时,最终用户无需输入用户名和密码。
有关详细信息,请转到:
- 在 Intune 中创建 VPN 配置文件以连接到 VPN 服务器
- 在 Intune 中使用证书进行身份验证
- 详细了解 Intune Microsoft Tunnel
- 将 Microsoft Tunnel 用于 MAM
为本地用户创建 Wi-Fi 连接
对于需要连接到本地组织网络的用户,可以使用网络设置创建 Wi-Fi 策略。 可以连接到特定的 SSID、选择身份验证方法、使用代理等。 还可以将策略配置为在设备处于范围内时自动连接到 Wi-Fi。
在 Wi-Fi 策略中,可以使用证书对 Wi-Fi 连接进行身份验证。 使用证书时,最终用户无需输入用户名和密码。
策略准备就绪后,将此策略部署到需要连接到本地网络的本地用户和设备。
有关详细信息,请转到:
为应用和服务启用单一登录 (SSO)
启用 SSO 后,用户可以使用其Microsoft Entra 组织帐户(包括某些移动威胁防御合作伙伴应用)自动登录到应用和服务。
具体来说:
在 Windows 设备上,SSO 是自动内置的,用于登录到使用 Microsoft Entra ID 进行身份验证的应用和网站,包括 Microsoft 365 应用。 还可以在 VPN 和 Wi-Fi 策略上启用 SSO。
在 iOS/iPadOS 和 macOS 设备上,可以使用 Microsoft Enterprise SSO 插件自动登录到使用 Microsoft Entra ID 进行身份验证的应用和网站,包括 Microsoft 365 应用。
有关详细信息,请转到 单一登录 (SSO) 概述和Microsoft Intune 中 Apple 设备的选项。
在 Android 设备上,可以使用 Microsoft 身份验证库 (MSAL) 启用对 Android 应用的 SSO。
有关详细信息,请转到:
相关文章
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈