Microsoft Intune部署入门
Microsoft Intune是一项基于云的服务,可帮助你管理设备和应用。 有关Microsoft Intune可为组织执行的操作的详细信息,请转到Microsoft Intune。
本文概述了启动 Intune 部署的步骤。
提示
作为本文的配套内容,Microsoft 365 管理中心还提供了一些设置指南。 本指南根据你的环境自定义你的体验。 若要访问此部署指南,请转到Microsoft 365 管理中心中的Microsoft Intune设置指南,并在最低) 使用全局阅读器 (登录。 有关这些部署指南和所需角色的详细信息,请转到 Microsoft 365 的高级部署指南和Office 365产品。
若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 M365 安装程序门户。
开始之前
若要帮助规划 Intune 部署,请使用规划指南移动到Microsoft Intune。 它涵盖个人设备、许可注意事项、创建推出计划、向用户传达更改等内容。
以下文章是很好的资源:
确定 Intune 部署的许可证需求和任何其他先决条件。 以下列表提供了一些最常见的先决条件:
Intune 订阅:包含在某些 Microsoft 365 订阅中。 你还可以访问Microsoft Intune管理中心,这是一个基于 Web 的控制台,用于管理设备、应用和用户。
Microsoft 365 应用:包含在 Microsoft 365 中,用于生产力应用,包括 Outlook 和 Teams。
Microsoft Entra ID:Microsoft Entra ID 用于用户、组和设备的身份管理。 它随附 Intune 订阅,并且可能附带 Microsoft 365 订阅。
Microsoft Entra ID P1 或 P2 可能会产生额外的费用,可提供组织常用的更多功能,包括条件访问、多重身份验证 (MFA) 和动态组。
Windows Autopilot:包含在某些 Microsoft 365 订阅中。 Windows Autopilot 提供适用于 Windows 10/11 客户端设备的新式 OS 部署。
特定于平台的先决条件:根据设备的平台,还有其他要求。
例如,如果管理 iOS/iPadOS 和 macOS 设备,则需要 Apple MDM 推送证书以及 Apple 令牌。 如果管理 Android 设备,可能需要托管的 Google Play 帐户。 如果使用证书身份验证,则可能需要 SCEP 或 PKCS 证书。
有关详细信息,请转到:
步骤 1 - 设置 Intune
此步骤:
✔️ 确认设备是否受支持、创建 Intune 租户、& 组添加用户、分配许可证等。
此步骤侧重于设置 Intune 并准备好管理用户标识、应用和设备。 Intune 在Microsoft Entra ID 中使用许多功能,包括域、用户和组。
有关详细信息,请转到步骤 1 - 设置Microsoft Intune。
步骤 2 - 添加和保护应用
此步骤:
✔️ 在将在 Intune 中 注册的设备上 ,创建设备必须具有的应用基线,然后在注册期间分配这些应用策略。 在需要额外安全性的应用上,也可以使用应用保护策略。
✔️ 在不会在 Intune 中注册的设备上 ,使用应用保护策略和多重身份验证 (MFA) :
- 应用保护策略有助于保护个人设备上的组织数据。
- MFA 有助于保护组织的数据免受未经授权的访问。
有关详细信息,请转到 步骤 2 - 使用 Intune 添加、配置和保护应用。
每个组织都有一组应安装在设备上的基本应用。 在用户注册其设备之前,可以使用 Intune 将这些应用分配给其设备。 在注册期间,会自动部署应用策略。 注册完成后,应用将安装并可供使用。
如果需要,可以注册设备,然后分配应用。 由您自己选择。 下次用户检查新应用时,他们将看到可用的新应用。
如果具有自己的个人设备的用户访问组织资源,则需要至少使用移动应用程序管理 (MAM) 保护访问组织数据的任何应用。 可以为 Outlook、Teams、SharePoint 和其他应用创建 MAM 策略。 Microsoft Intune规划指南提供了一些有关管理个人设备的指南。
注意
MFA 是必须在Microsoft Entra租户中启用的Microsoft Entra ID 的一项功能。 然后,为应用配置 MFA。 有关详细信息,请转到:
步骤 3 - 检查符合性并启用条件访问
此步骤:
✔️ 创建设备必须具有 的符合性策略基线 ,然后在注册期间分配这些符合性策略。
✔️ 启用条件访问 以强制实施合规性策略。
有关详细信息,请转到 步骤 3 - 规划合规性策略。
Intune 等 MDM 解决方案可以设置设备应满足的规则,并且可以报告这些规则的符合性状态。 这些规则称为符合性策略。 将合规性策略与条件访问相结合时,可以要求设备满足某些安全要求,然后才能访问组织的数据。
当用户在 Intune 中注册其设备时,注册过程可以自动部署符合性策略。 注册完成后,管理员可以检查符合性状态,并获取不符合规则的设备列表。
如果需要,可以在检查合规性之前注册设备。 由您自己选择。 在下一个 Intune 检查中,将分配符合性策略。
注意
条件访问是必须在Microsoft Entra租户中启用Microsoft Entra ID 的一项功能。 然后,可以为用户标识、应用和设备创建条件访问策略。 有关详细信息,请转到:
步骤 4 - 配置设备功能
此步骤:
✔️ 创建应启用或阻止的 安全功能和设备功能的基线 。 在注册期间分配这些配置文件。
有关详细信息,请转到 步骤 4 - 创建设备配置文件来保护设备和访问组织资源。
你的组织可以拥有一组应配置或应阻止的基本设备和安全功能。 这些设置将添加到设备配置和终结点安全配置文件。 Microsoft 建议在注册期间分配密钥安全性和设备配置策略。 注册开始时,会自动分配设备配置文件。 注册完成后,将配置这些设备和安全功能。
如果需要,可以在创建配置文件之前注册设备。 由您自己选择。 在下一个 Intune 检查中,将分配配置文件。
在 Microsoft Intune 管理中心,可以根据设备平台(Android、iOS/iPadOS、macOS 和 Windows)创建不同的配置文件。
以下文章是很好的资源:
步骤 5 - 注册设备
此步骤:
✔️ 在 Intune 中 注册设备 。
有关更具体的信息,请转到步骤 5 - 部署指南:在 Microsoft Intune 中注册设备。
若要完全管理设备,必须在 Intune 中注册设备才能接收符合性 & 条件访问策略、应用策略、设备配置策略和安全策略。 作为管理员,你可以为用户和设备创建注册策略。 (Android、iOS/iPadOS、Linux、macOS 和 Windows) 的每个设备平台都有不同的注册选项。 你可以选择最适合你的环境、方案和设备的使用方式。
根据所选的注册选项,用户可以自行注册。 或者,你可以自动注册,以便用户只需使用其组织帐户登录到设备。
设备注册时,会向设备颁发安全 MDM 证书。 此证书与 Intune 服务通信。
不同的平台有不同的注册要求。 以下文章可帮助你了解有关设备注册的详细信息,包括特定于平台的指南:
使用 Configuration Manager 进行云附加
Microsoft Configuration Manager有助于保护本地 Windows Server、设备、应用和数据。 如果需要管理云终结点和本地终结点的组合,可以将Configuration Manager环境云附加到 Intune。
如果使用 Configuration Manager,则云附加本地设备有两个步骤:
租户附加:将 Intune 租户注册到Configuration Manager部署。 Configuration Manager设备显示在Microsoft Intune管理中心。 在这些设备上,可以运行不同的操作,包括使用基于 Web 的 Intune 管理中心安装应用和运行Windows PowerShell脚本。
共同管理:使用Configuration Manager和Microsoft Intune管理 Windows 客户端设备。 Configuration Manager管理某些工作负荷,Intune 管理其他工作负荷。
例如,可以使用 Configuration Manager 来管理 Windows 更新,并使用 Intune 管理符合性 & 条件访问策略。
如果当前使用 Configuration Manager,则通过租户附加立即获得价值,并通过共同管理获得更多价值。
有关适合组织的Microsoft Intune设置的指导,请转到部署指南:设置或移动到Microsoft Intune。
后续步骤
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈