购买和添加用于Microsoft Intune的应用
为了帮助保护组织的数据,你可以为组织成员提供托管应用,以便他们能够安全地进行协作并提高工作效率。 托管应用是在组织成员的设备上安装和管理的客户端应用的子集。 这些应用已得到增强,以支持特殊配置和保护功能。 这些功能由终结点管理解决方案(例如Microsoft Intune)管理和维护。 Intune 提供基于 Web 的控制台来管理、保护和监视组织的所有终结点,无论这些终结点是设备还是应用。 Intune 提供的功能有助于保护组织的云和本地设备、应用和数据的安全。 Microsoft Intune产品系列集成了 Microsoft Intune、Microsoft Endpoint Configuration Manager、桌面分析 和 Windows Autopilot。
注意
终结点包括组织使用的移动设备、台式计算机、虚拟机、嵌入式设备、服务器、应用和共享设备。 共享和专用设备的示例包括零售销售点设备、加固设备、数字交互式白板、会议室设备和全息可穿戴计算机。 此外,终结点还包括组织使用的应用。
根据组织所需的应用,你可能想要购买特定应用的许可证。 此内容可帮助你了解 Intune 可用的不同类型的应用。 此外,还可以使用配置和保护策略添加要管理的应用,或者仅可部署到组织成员的应用。 你将了解如何购买应用和应用许可证。 这些概念都是将应用添加到 Intune 过程中的重要部分。
此解决方案中的内容
此解决方案指导你完成将托管应用添加到Microsoft Intune的过程。 在配置、保护和部署应用之前,将托管应用添加到 Intune 是第一步,以便组织成员可以安全地使用它们。 通过管理组织中的应用,有助于保护组织的数据。
部署 Intune
在开始添加和分配应用之前,应了解如何设置和部署 Intune 的功能。 部署 Intune 通常涉及以下步骤:
| 步骤 | 操作 | 说明 |
|---|---|---|
| 1 | 设置 Intune | 可以按照快速入门步骤 免费试用 Intune 。 完成此步骤后,将完成以下操作:
|
| 2 | 设置应用 | 添加、配置和保护 组织使用的应用。 完成此步骤后,将完成以下操作:
|
| 3 | 创建设备合规性和条件访问策略 | 你将了解如何创建设备符合性策略和条件访问策略。 完成此步骤后,你将了解设备符合性和条件访问,并了解如何处理不合规。 此外,你将了解不同级别的设备符合性。 |
| 4 | 创建设备配置策略 | 你将了解如何配置设备功能和设置来保护设备和访问资源。 完成此步骤后,你将了解不同级别的设备配置和保护。 |
| 5 | 注册要管理的设备 | 完成此步骤后,你将了解如何配置设备进行注册,并了解注册策略和限制。 你还将了解如何使用注册配置文件和 Windows Autopilot。 |
移动应用程序管理配置
在无限制的情况下使用应用时,公司和个人数据可能混合。 公司数据最终可能位于个人存储等位置,或者传输到权限范围以外的应用,从而导致数据泄露和数据丢失。 管理组织成员在其设备上使用的应用称为移动应用程序管理 (MAM) 。 MAM 允许你在未注册的设备上提供数据保护。 未注册的设备是组织成员用来访问公司数据的个人设备。 请务必了解,这些个人设备不受管理,但仍需要保护。 在没有设备注册的情况下使用 MAM 或 MAM 进行设备注册的主要原因之一是帮助保护组织的数据。
Microsoft Intune服务支持两种移动应用程序管理 (MAM) 配置:
无需设备管理的 MAM
Intune 中的 MAM 旨在保护应用程序级别的组织数据,包括自定义应用和应用商店应用。 可以在组织拥有的设备和个人设备上使用应用管理。 将其用于个人设备时,仅管理与组织相关的访问和数据。 此配置允许 Intune 管理组织的应用,但不会注册要由 Intune 管理的设备。 此配置通常称为 无设备注册的 MAM 或 MAM-WE。 IT 管理员可以在未使用 Intune Mobile 设备管理 (MDM) 注册的设备上使用 Intune 配置和保护策略,使用 MAM 管理应用。 在 MAM 方案中,应用基于设备上应用的已登录用户进行管理。 MAM 非常适合用于帮助保护组织成员用于个人和工作任务的设备上的组织数据。 对于允许其组织成员在自己的设备上远程工作 (BYOD) 的组织来说,不使用 MDM 的 MAM 很受欢迎。
提示
许多实现高效工作的应用(如 Microsoft Office 应用)可由 Intune MAM 进行管理。 请参阅可供公众使用的 Microsoft Intune 保护的应用的官方列表。
如果选择在不注册设备的情况下使用 MAM,需要注意一些限制,例如:
注意
MAM 配置包括在注册了第三方企业移动性管理 (EMM) 提供商的设备上使用 Intune 管理应用。 可以使用独立于任何 MDM 解决方案的 Intune 应用配置和保护策略。 这种独立性可帮助保护公司数据,无论是否将设备注册到设备管理解决方案中。 通过实现应用级策略,既可以限制对公司资源的访问,也可以将数据保留在 IT 部门的范围之内。
具有设备管理的 MAM
此配置允许管理组织的应用和设备。 此配置通常称为 MAM + MDM。 IT 管理员可以在已注册 Intune MDM 的设备上使用 MAM 管理应用。
MDM 和 MAM 确保该设备受到保护。 例如,你可以要求使用 PIN 以访问设备,或将托管应用部署到设备。
将 MDM 与应用保护策略结合使用还有其他好处。 例如,组织成员可以拥有公司颁发的电话,以及他们自己的个人平板电脑。 公司手机可以在 MDM 中注册并受应用保护策略的保护,而个人设备仅受应用保护策略的保护。
在使用 MDM 服务的已注册设备上,应用保护策略可以添加额外的保护层。 例如,用户使用其组织凭据登录到设备。 用户使用该组织数据时,应用保护策略会控制数据的保存方式和共享方式。 当用户使用个人标识登录时,不会应用这些相同的保护 (访问和限制) 。 这样,IT 能够控制组织数据,而最终用户可以保持对其个人数据的控制和私密性。
MDM 解决方案通过提供以下功能来增加价值:
- 注册设备
- 将应用部署到设备
- 提供持续的设备合规性和管理
应用保护策略通过提供以下功能来增加价值:
- 帮助防止公司数据泄露到使用者应用和服务
- 将限制(如“另存为”、“剪贴板”或“PIN”)应用到客户端应用
- 必要时,从应用擦除公司数据而不从设备删除这些应用
使用 Intune 的 MAM 的优势
在 Intune 中管理应用时,管理员可以执行以下操作:
- 在应用级别保护公司数据。 你可以向用户组和设备添加和分配移动应用。 此管理允许在应用级别保护公司数据。 你可以保护托管和非托管设备上的公司数据,因为移动应用管理不需要设备管理。 管理以用户标识为中心,因而不再需要设备管理。
- 配置应用以在启用特定设置的情况下启动或运行。 此外,还可以更新设备上已有的现有应用。
- 分配策略以限制访问并防止数据在组织外部使用。 可以根据组织的要求为这些策略选择设置。 例如,你能够:
- 规定在工作环境中打开应用时需使用 PIN。
- 阻止托管应用在已越狱或已获得 root 权限的设备上运行。
- 控制应用之间的数据共享。
- 通过使用数据重定位策略(例如 保存组织数据的副本和 限制剪切、复制和粘贴),防止将公司应用数据保存到个人存储位置。
- 支持各种平台和操作系统上的应用。 每个平台都不同。 Intune 专门为每个受支持的平台提供可用设置。
- 查看有关使用的应用的报告,并跟踪其使用情况。 此外,Intune 还提供终结点分析来帮助评估和解决问题。
- 通过仅从应用中删除组织数据执行选择性擦除。
- 确保个人数据与托管数据分开。 不会影响最终用户工作效率,且在个人环境中使用应用时不会应用策略。 这些策略仅应用于工作环境,能够在不接触个人数据的情况下保护公司数据。
了解应用类型
组织中的应用和设备的用户可能有多个应用要求。 在将应用添加到 Intune 并使其可供组织成员使用之前,你可能会发现评估和了解一些应用基础知识很有帮助。 Intune 提供多种类型的应用。 必须确定组织中用户所需的应用要求,例如组织成员所需的平台和功能。 必须确定是要使用 Intune 管理设备(包括应用),还是要使用 Intune 管理应用(不包括设备)。 此外,你必须确定组织成员需要的应用和功能,以及谁需要它们。 有关详细信息,请参阅 托管环境的应用类型 或概述。
购买应用
通常,在将应用分发给组织成员之前,必须购买应用、购买使用该应用的许可证或获取使用该应用的许可证。 许多应用是免费的,但你可能仍需要遵循购买过程,以便将这些应用分发给组织的成员。 在这些免费应用中,大多数未设计为使用 Intune 进行保护和配置。 有关详细信息,请参阅 为 Intune 购买应用 以获取概述。
向 Intune 添加应用
在将托管应用分发给组织成员之前,首先需要将该应用添加到 Intune。 添加后,可以创建配置和保护策略来支持应用。 准备就绪后,可以将应用分配给组织成员。 有关详细信息,请参阅将应用添加到Microsoft Intune概述
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈