Microsoft Intune 可安全地管理标识、管理应用，以及管理设备

由于组织支持混合和远程工作人员，因此他们在管理访问组织资源的不同设备方面面临着挑战。 员工和学生需要从任何位置进行协作、工作，并安全地访问和连接到这些资源。 管理员需要保护组织数据、管理最终用户访问权限，并支持用户随时随地开展工作。

✅ 若要帮助解决这些挑战和任务，可使用 Microsoft Intune。

Microsoft Intune 是基于云的终结点管理解决方案。 它可以管理用户对组织资源的访问，并简化大量设备（包括移动设备、台式计算机和虚拟终结点）的应用和设备管理。

可以保护组织拥有和用户个人设备上的访问权限和数据。 另外，Intune 具有支持零信任安全模型的合规性和报告功能。

本文列出了 Microsoft Intune 的一些功能和优势。

提示

• 若要获取 Intune，请转到可用于 Microsoft Intune 的许可证和 Intune 30 天试用版。
• 有关 Intune 许可计划的详细信息，请转到 Microsoft Intune 功能和计划。
• 有关云原生含义的信息，请转到详细了解云原生终结点。

主要功能和优势

Intune 的一些主要功能和优势包括：

✅ 管理用户和设备

使用 Intune，可以管理组织拥有的设备和最终用户拥有的设备。 Microsoft Intune 支持 Android、Android 开源项目 (AOSP)、iOS/iPadOS、Linux Ubuntu Desktop、macOS 和 Windows 客户端设备。 借助 Intune，可以使用这些设备通过创建的策略安全地访问组织资源。

有关详细信息，请转到：

• 使用 Microsoft Intune 管理标识
• 使用 Microsoft Intune 管理设备
• Microsoft Intune 中支持的操作系统

注意

如果管理本地 Windows Server，则可以使用配置管理器。

✅ 简化应用管理

Intune 具有内置的应用体验，包括应用部署、更新和删除。 可以执行下列操作：

• 连接到专用应用商店并分发应用。
• 启用 Microsoft 365 应用，包括 Microsoft Teams。
• 部署 Win32 和业务线 (LOB) 应用。
• 创建可保护应用内数据的应用保护策略。
• 管理对应用及其数据的访问。

有关详细信息，请转到使用 Microsoft Intune 管理应用。

✅ 自动部署策略

可以创建针对应用、安全性、设备配置、合规性、条件访问的策略。 策略准备就绪后，可以将这些策略部署到用户组和设备组。 若要接收这些策略，设备只需能够访问 Internet 即可。

有关详细信息，请转到在 Microsoft Intune 中分配策略。

✅ 使用自助式功能

员工和学生可以使用公司门户应用和网站来重置 PIN/密码、安装应用、加入组等。 你可以自定义公司门户以帮助减少支持呼叫。

如需了解相关信息，请转到配置 Intune 公司门户应用、公司门户网站和 Intune 应用。

✅ 与移动威胁防御集成

Intune 可与 Microsoft Defender for Endpoint 和第三方合作伙伴服务集成。 这些服务的重点在于终结点安全性。 你可以创建应对威胁、执行实时风险分析和自动修正的策略。

有关详细信息，请转到移动威胁防御与 Intune 的集成。

✅ 使用基于 Web 的管理中心

Intune 管理中心侧重于终结点管理，包括数据驱动的报告。 管理员可以从任何有权访问 Internet 的设备登录到管理中心。

有关详细信息，请转到 Intune 管理中心演练。 若要登录到管理中心，请转到 Microsoft Intune 管理中心。

此管理中心使用 Microsoft Graph REST API 以编程方式访问 Intune 服务。 管理中心中的每个操作都是一个 Microsoft Graph 调用。 如果不熟悉 Graph，并且想要了解详细信息，请转到 Graph 与 Microsoft Intune 的集成。

✅ 高级终结点管理和安全性

Microsoft Intune Suite 提供不同的功能，例如远程帮助、终结点特权管理、适用于 MAM 的 Microsoft Tunnel 等。

有关详细信息，请转到 Intune Suite 加载项功能。

提示

逐步完成培训模块，了解如何使用 Microsoft Intune 从新式终结点管理中获益。

✅ 使用 Intune 中的 Microsoft Copilot 进行 AI 生成式分析

Intune 中的 Copilot 现已发布，其功能由安全 Copilot 提供支持。

Copilot 可以汇总现有策略，为你提供更多设置信息，包括建议的值和潜在的冲突。 还可以获取设备详细信息并排查设备问题。

有关详细信息，请转到 Intune 中的 Microsoft Copilot。

与其他 Microsoft 服务和应用集成

Microsoft Intune 与其他专注于终结点管理的 Microsoft 产品和服务集成，包括：

• 配置管理器（用于本地终结点管理）和 Windows Server，包括部署软件更新和管理数据中心

  可以在共同管理场景中一起使用 Intune 和配置服务器、使用租户附加或同时使用两者。 借助这些选项，可以获得基于 Web 的管理中心的优势，并可以使用 Intune 中提供的其他基于云的功能。

  有关更具体的信息，请转到：

  • 什么是共同管理
  • 有关共同管理的常见问题解答
  • 如何启用租户附加

• Windows Autopilot，用于新式 OS 部署和预配

  使用 Windows Autopilot，可以预配新设备，并将这些设备直接从 OEM 或设备提供商发送给用户。 对于现有设备，可以为这些设备重置映像，以使用 Windows Autopilot 和部署最新的 Windows 版本。

  有关更具体的信息，请转到：

  • Windows Autopilot 概述
  • 面向现有设备的 Windows Autopilot 部署

• 终结点分析，用于查看和报告最终用户体验，包括设备性能和可靠性

  可以使用终结点分析来帮助确定导致设备变慢的策略或硬件问题。 它还提供指导，可帮助你主动改善最终用户体验并减少技术支持工单。

  有关更具体的信息，请转到：

  • 什么是终结点分析
  • 将 Intune 设备注册到终结点分析

• Microsoft 365，适用于最终用户生产力 Office 应用，包括 Outlook、Teams、Sharepoint、OneDrive 等

  使用 Intune，可以将 Microsoft 365 应用版部署到组织中的用户和设备。 还可以在用户首次登录时部署这些应用。

  有关更具体的信息，请转到：

  • 使用 Microsoft Intune 将 Microsoft 365 应用版添加到 Windows 10/11 设备
  • Microsoft 365 文档：使用 Intune 管理设备

• Microsoft Defender for Endpoint，帮助企业预防、检测、调查和响应威胁

  在 Intune 中，可以在 Intune 和 Microsoft Defender for Endpoint 之间创建一个服务到服务的连接。 连接后，可以创建策略来扫描文件、检测威胁并向 Microsoft Defender for Endpoint 报告威胁级别。 还可以创建合规性策略来设置允许的风险级别。 与条件访问结合使用时，可以阻止不合规的设备访问组织资源。

  有关更具体的信息，请转到：

  • 使用 Intune 中的条件访问强制执行 Microsoft Defender for Endpoint 的合规性
  • 在 Intune 中配置 Microsoft Defender for Endpoint

• Windows 自动更新，用于自动更新 Windows、Microsoft 365 企业应用版、Microsoft Edge 和 Microsoft Teams

  Windows 自动更新是基于云的服务。 它可以使软件保持最新状态，为用户提供最新的生产力工具，最大限度地减少本地基础结构，并帮助 IT 管理员腾出时间专注于其他项目。 Windows 自动更新使用 Microsoft Intune 来管理 Intune 注册设备或使用共同管理（Intune + 配置管理器）的设备的修补。

  有关更具体的信息，请转到：

  • 什么是 Windows 自动更新？
  • 有关 Windows 自动更新的常见问题解答

与第三方合作伙伴设备和应用集成

Intune 管理中心可轻松连接到不同的合作伙伴服务，包括：

• Android 应用的托管 Google Play：连接到托管 Google Play 帐户时，管理员可以访问 Android 应用的组织专用应用商店，并将这些应用部署到设备。

  有关详细信息，请转到使用 Intune 将托管 Google Play 应用添加到 Android Enterprise 设备。

• 注册和应用的 Apple 令牌和证书：添加后，iOS/iPadOS 和 macOS 设备可以在 Intune 中注册并从 Intune 接收策略。 管理员可以访问你购买的 iOS/iPad 和 macOS 应用许可证，并将这些应用部署到你的设备。

  有关详细信息，请转到：

  • 获取 Apple MDM Push Certificate
  • 通过使用 Apple 自动设备注册自动注册 iOS/iPadOS 设备
  • 使用 Microsoft Intune 管理通过 Apple 商务管理购买的 iOS 和 macOS 应用

• 提供远程协助的 TeamViewer：连接到 TeamViewer 帐户时，可以使用 TeamViewer 为设备提供远程协助。

  有关详细信息，请转到使用 TeamViewer 远程管理 intune 设备。

通过这些服务，Intune 可以：

• 为管理员提供对第三方合作伙伴应用服务的简化访问。
• 管理数百个第三方合作伙伴应用。
• 支持公共零售商店应用、业务线 (LOB) 应用、公共应用商店中不提供的专用应用、自定义应用等。

有关在 Intune 中注册第三方合作伙伴设备的更多特定于平台的要求，请转到：

• 部署指南：在 Microsoft Intune 中注册 Android 设备
• 部署指南：在部署中注册 iOS 和 iPadOS Microsoft Intune
• 部署指南：在 Microsoft Intune 中注册 Linux 设备
• 部署指南：在 Microsoft Intune 中注册 macOS 设备

注册设备管理和/或应用程序管理

✅ 组织拥有的设备在 Intune 中注册，以进行移动设备管理 (MDM)。 MDM 以设备为中心，因此设备的功能是基于人员对功能的具体需要来配置的。 例如，可以将设备配置为允许访问 Wi-Fi，但前提是登录用户是组织帐户。

在 Intune 中，创建配置功能和设置并提供安全性和保护的策略。 设备完全由你的管理团队管理，包括登录的用户标识、已安装的应用以及访问的数据。

设备注册时，可以在注册过程中部署策略。 注册完成后，设备即可使用。

✅ 对于自带设备 (BYOD) 场景中的个人设备，可以使用 Intune 进行移动应用管理 (MAM)。 MAM 以用户为中心，因此无论用于访问此数据的设备如何，应用数据都会受到保护。 重点是应用，包括安全访问应用和保护应用中的数据。

使用 MAM，可以执行以下操作：

• 将移动应用发布给用户。
• 配置应用并自动更新应用。
• 查看重点关注应用清单和应用使用情况的数据报表。

✅ 还可以同时使用 MDM 和 MAM。 如果你的设备已注册，并且有些应用需要额外的安全性，还可以使用 MAM 应用保护策略。

有关详细信息，请转到：

• Intune 中的设备注册
• 应用保护策略概述

保护任何设备上的数据

使用 Intune，可以保护托管设备上的数据（已在 Intune 中注册），并保护非托管设备上的数据（未在 Intune 中注册）。 Intune 可以将组织数据与个人数据隔离开来。 其理念是使用配置和部署的策略来保护公司信息。

对于组织拥有的设备，你希望完全控制这些设备，尤其是安全性。 当设备注册时，它们会收到你的安全规则和设置。

在 Intune 中注册的设备上，可以执行以下操作：

• 创建和部署用于配置安全性设置、设置密码要求、部署证书等的策略。
• 使用移动威胁防御服务扫描设备、检测威胁和修正威胁。
• 查看衡量安全设置和规则合规性的数据和报表。
• 使用条件访问仅允许托管和合规设备访问组织资源、应用和数据。
• 如果设备丢失或被盗，请移除组织数据。

对于个人设备，用户可能不希望其 IT 管理员拥有完全控制权限。 若要支持混合工作环境，请为用户提供选项。 例如，如果用户需要拥有对组织资源的完全访问权限，则注册其设备。 或者，如果这些用户仅希望访问 Outlook 或 Microsoft Teams，则可以使用需要多重身份验证 (MFA) 的应用保护策略。

在使用应用程序管理的设备上，可以执行以下操作：

• 使用移动威胁防御服务来保护应用数据。 该服务可以扫描设备、检测威胁和评估风险。
• 防止将组织数据复制并粘贴到个人应用中。
• 在第三方或合作伙伴 MDM 中注册的应用和非托管设备上使用应用保护策略。
• 使用条件访问来限制可以访问组织电子邮件和文件的应用。
• 移除应用中的组织数据。

有关详细信息，请转到：

• 使用 Microsoft Intune 保护数据和设备
• 移动威胁防御与 Intune 的集成

简化访问

Intune 可帮助组织为可以随时随地办公的员工提供支持。 你可以配置一些功能，使用户无论在哪里都能连接到组织。

本部分包括可在 Intune 中配置的一些常见功能。

使用 Windows Hello 企业版而不是密码

Windows Hello 企业版有助于防范网络钓鱼攻击和其他安全威胁。 它还可帮助用户更快、更轻松地登录到其设备和应用。

Windows Hello 企业版将密码替换为 PIN 或生物识别，例如指纹或面部识别。 这些生物识别信息存储在本地设备上，永远不会发送到外部设备或服务器。

有关详细信息，请转到：

• 获取 Windows Hello 企业版概述
• 当设备注册到 Intune 中时在设备上管理 Windows Hello 企业版
• 使用 Microsoft Intune 管理标识

为远程用户创建 VPN 连接

VPN 策略使用户能够安全地远程访问组织网络。

借助常见的 VPN 连接合作伙伴（包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等），可以使用你的网络设置创建 VPN 策略。 策略准备就绪后，将此策略部署到需要远程连接到网络的用户和设备。

在 VPN 策略中，可以使用证书对 VPN 连接进行身份验证。 使用证书时，最终用户无需输入用户名和密码。

有关详细信息，请转到：

• 在 Intune 中创建 VPN 配置文件以连接到 VPN 服务器
• 在 Intune 中使用证书进行身份验证
• 详细了解适用于 Intune 的 Microsoft Tunnel
• 使用适用于移动应用管理的 Microsoft Tunnel

为本地用户创建 Wi-Fi 连接

对于需要连接到本地组织网络的用户，可以使用你的网络设置创建 Wi-Fi 策略。 可以连接到特定的 SSID、选择身份验证方法、使用代理等。 还可以将策略配置为在设备处于范围内时自动连接到 Wi-Fi。

在 Wi-Fi 策略中，可以使用证书对 Wi-Fi 连接进行身份验证。 使用证书时，最终用户无需输入用户名和密码。

策略准备就绪后，将此策略部署到需要连接到本地网络的本地用户和设备。

有关详细信息，请转到：

• 创建 Wi-Fi 策略以连接到 Intune 中的 Wi-Fi 网络
• 在 Microsoft Intune 中将证书用于身份验证

对应用和服务启用单一登录 (SSO)

启用 SSO 时，用户可以使用其 Microsoft Entra 组织帐户（包括某些移动威胁防御合作伙伴应用）自动登录到应用和服务。

具体来说：

• 在 Windows 设备上，SSO 是自动内置的，用于登录使用 Microsoft Entra ID 进行身份验证的应用和网站，包括 Microsoft 365 应用。 还可以在 VPN 和 Wi-Fi 策略上启用 SSO。

• 在 iOS/iPadOS 和 macOS 设备上，可以使用 Microsoft 企业版 SSO 插件自动登录到使用 Microsoft Entra ID 进行身份验证的应用和网站，包括 Microsoft 365 应用。

  有关详细信息，请转到 Microsoft Intune 中 Apple 设备的单一登录 (SSO) 概述和选项。

• 在 Android 设备上，可以使用 Microsoft 身份验证库 (MSAL) 对 Android 应用启用 SSO。

  有关详细信息，请转到：

  • 在 Microsoft Entra 联接设备上，本地资源的 SSO 如何运作
  • 在 Microsoft Intune 中对 iOS/iPadOS 和 macOS 设备使用 Microsoft 企业 SSO 插件
  • 使用 MSAL 在 Android 上启用跨应用 SSO

相关文章

• 使用 Microsoft Intune 管理标识
• 使用 Microsoft Intune 管理设备
• 使用 Microsoft Intune 管理应用
• Microsoft Intune 疑难解答