步骤 5. Microsoft 365 企业版租户的设备和应用管理

Microsoft 365 企业版包含一系列功能，通过移动设备管理 (MDM) 和移动应用程序管理 (MAM) ，帮助管理设备和组织中这些设备上的应用。 可以管理 iOS、Android、macOS 和 Windows 设备，以保护对组织资源（包括数据）的访问。 例如，可以阻止向组织外部的人员发送电子邮件，或将组织数据与员工个人设备上的个人数据隔离开来。

下面是验证和管理用户、其设备以及使用本地和云生产力应用（如 Microsoft Teams）的示例。

为了帮助你保护组织的资源，Microsoft 365 企业版包括有助于管理设备及其应用访问权限的功能。 设备管理有两个选项：

• Microsoft Intune，它是面向企业的综合性设备和应用管理解决方案。
• 基本移动性和安全性，这是所有 Microsoft 365 产品随附的Intune服务的子集，用于管理组织中的设备。 有关详细信息，请参阅基本移动性和安全性的功能。

如果你有 Microsoft 365 E3 或 E5，则应使用 Intune。

Microsoft Intune

使用Microsoft Intune通过 MDM 或 MAM 管理对组织的访问。 MDM 是用户在 Intune 中“注册”其设备时。 设备注册后，它是托管设备，可以接收组织的策略、规则和设置。 例如，可以安装特定应用、创建密码策略、安装 VPN 连接等。

拥有自己个人设备的用户可能不希望注册其设备或受Intune和组织策略管理。 但仍需要保护组织的资源和数据。 在此方案中，可以使用 MAM 保护应用。 例如，可以使用 MAM 策略，该策略要求用户在访问设备上的 SharePoint 时输入 PIN。

你还将确定将如何管理个人设备和组织拥有的设备。 你可能希望根据设备的用途以不同的方式对待设备。

标识和设备访问配置

Microsoft 提供了一组用于 标识和设备访问 的配置，以确保安全高效的员工队伍。 这些配置包括使用：

• Azure AD 条件访问策略
• Microsoft Intune设备合规性和应用保护策略
• Azure AD 标识保护用户风险策略
• 云应用的其他策略

下面是这些设置和策略的应用示例，用于验证和限制用户、其设备以及他们对本地和云生产力应用（如 Microsoft Teams）的使用。

对于设备访问和应用管理，请使用以下文章中的配置：

• 先决条件
• 常见标识和设备访问策略

步骤 5 的结果

对于 Microsoft 365 租户的设备和应用管理，你已确定Intune设置和策略来验证和限制用户、其设备以及他们对本地和云生产力应用的使用。

下面是具有Intune设备和应用管理的租户示例，其中突出显示了新元素。

在此图中，租户具有：

• 在 Intune 中注册的组织拥有的设备。
• Intune已注册和个人设备的设备和应用策略。

设备和应用管理的持续维护

在持续的基础上，你可能需要：

• 管理设备注册。
• 针对其他应用、设备和安全要求修改设置和策略。