步骤 5. Microsoft 365 企业版租户的设备和应用管理

Microsoft 365 企业版包含一系列功能,通过移动设备管理 (MDM) 和移动应用程序管理 (MAM) ,帮助管理设备和组织中这些设备上的应用。 可以管理 iOS、Android、macOS 和 Windows 设备,以保护对组织资源(包括数据)的访问。 例如,可以阻止向组织外部的人员发送电子邮件,或将组织数据与员工个人设备上的个人数据隔离开来。

下面是验证和管理用户、其设备以及使用本地和云生产力应用(如 Microsoft Teams)的示例。

验证和管理用户、设备和应用。

为了帮助你保护组织的资源,Microsoft 365 企业版包括有助于管理设备及其应用访问权限的功能。 设备管理有两个选项:

  • Microsoft Intune,它是面向企业的综合性设备和应用管理解决方案。
  • 基本移动性和安全性,这是所有 Microsoft 365 产品随附的 Intune 服务的子集,用于管理组织中的设备。 有关详细信息,请参阅基本移动性和安全性的功能

如果有Microsoft 365 E3或 E5,则应使用 Intune。

Microsoft Intune

使用Microsoft Intune通过 MDM 或 MAM 管理对组织的访问。 MDM 是用户在 Intune 中“注册”其设备时。 设备注册后,它是托管设备,可以接收组织的策略、规则和设置。 例如,可以安装特定应用、创建密码策略、安装 VPN 连接等。

拥有自己个人设备的用户可能不希望注册其设备,也不希望由 Intune 和组织策略管理。 但仍需要保护组织的资源和数据。 在此方案中,可以使用 MAM 保护应用。 例如,可以使用 MAM 策略,该策略要求用户在访问设备上的 SharePoint 时输入 PIN。

你还将确定将如何管理个人设备和组织拥有的设备。 你可能希望根据设备的用途以不同的方式对待设备。

标识和设备访问配置

Microsoft 提供了一组用于 标识和设备访问 的配置,以确保安全高效的员工队伍。 这些配置包括使用:

  • Microsoft Entra条件访问策略
  • Microsoft Intune设备合规性和应用保护策略
  • Microsoft Entra ID 保护用户风险策略
  • 云应用的其他策略

下面是这些设置和策略的应用示例,用于验证和限制用户、其设备以及他们对本地和云生产力应用(如 Microsoft Teams)的使用。

针对用户、设备及其应用使用的要求和限制的标识和设备访问配置。

对于设备访问和应用管理,请使用以下文章中的配置:

步骤 5 的结果

对于 Microsoft 365 租户的设备和应用管理,你已确定 Intune 设置和策略,以验证和限制用户、其设备以及他们对本地和云生产力应用的使用。

下面是具有 Intune 设备和应用管理的租户示例,其中突出显示了新元素。

使用 Intune 设备和应用管理的租户示例。

在此图中,租户具有:

  • 在 Intune 中注册的组织拥有的设备。
  • 已注册和个人设备的 Intune 设备和应用策略。

设备和应用管理的持续维护

在持续的基础上,你可能需要:

  • 管理设备注册。
  • 针对其他应用、设备和安全要求修改设置和策略。