分享方式:


Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置

由於組織支援混合和遠端工作的員工,因此他們會面臨管理可存取組織資源之不同裝置的挑戰。 員工和學生需要進行共同作業、從任何地方工作,以及安全地存取和連線到這些資源。 系統管理員必須保護組織資料、管理使用者存取權,以及支援使用者異地工作。

✅ 若要協助解決這些挑戰和工作,請使用 Microsoft Intune。

Microsoft Intune 是 雲端式端點管理解決方案。 它會管理使用者對組織資源的存取權,並簡化您許多裝置上的應用程式和裝置管理,包括行動裝置、桌上型電腦和虛擬端點。

顯示 Microsoft Intune 功能和優點的圖表。

您可以保護組織擁有和使用者個人裝置上的存取權和資料。 而且,Intune 具有支援 零信任資訊安全模型 的合規性和回報功能。

本文列出部分 Microsoft Intune 的功能和優點。

提示

主要功能和優點

Intune 的一些主要功能和優點包括:

管理使用者和裝置

使用 Intune,您可以管理貴組織所擁有的裝置,以及您的使用者所擁有的裝置。 Microsoft Intune 支援 Android、Android 開放原始碼專案 (AOSP)、iOS/iPadOS、Linux Ubuntu 桌面版、macOS 和 Windows 用戶端裝置。 透過 Intune,您可以使用這些裝置,使用您建立的原則安全地存取組織資源。

如需詳細資訊,請移至:

注意事項

如果您管理內部部署 Windows Server,您可以使用 Configuration Manager。

簡化應用程式管理

Intune 具有內建的應用程式體驗,包括應用程式部署、更新和移除。 您可以:

  • 從您的私人應用程式市集連線及散發應用程式。
  • 啟用 Microsoft 365 Apps,包括 Microsoft Teams。
  • 部署 Win32 和企業營運 (LOB) 應用程式。
  • 建立可保護應用程式內資料的應用程式保護原則。
  • 管理應用程式 & 其資料的存取權。

如需詳細資訊,請移至 使用 Microsoft Intune 管理應用程式

自動化原則部署

您可以建立應用程式、安全性、裝置設定、合規性、條件式存取等原則。 當原則準備就緒時,您可以將這些原則部署到您的使用者群組和裝置群組。 若要接收這些原則,裝置只需要使用網際網路存取。

如需詳細資訊,請移至 在 Microsoft Intune 中指派原則

使用自助功能

員工和學生可以使用公司入口網站應用程式和網站來重設 PIN/密碼、安裝應用程式、加入群組等等。 您可以自訂公司入口網站,協助減少支援通話。

如需詳細資訊,請移至 設定 Intune 公司入口網站應用程式、公司入口網站和 Intune 應用程式

與行動威脅防禦整合

Intune 與適用於端點的 Microsoft Defender 和第三方合作夥伴服務整合。 使用這些服務時,重點在於端點安全性。 您可以建立原則來回應威脅、執行即時風險分析,以及自動化補救。

如需詳細資訊,請移至 與 Intune 的行動威脅防禦整合

使用 Web 型系統管理中心

Intune 系統管理中心著重於端點管理,包括資料導向的報告。 系統管理員可以從任何具有網際網路存取的裝置登入系統管理中心。

如需詳細資訊,請移至 逐步解說 Intune 系統管理中心。 若要登入系統管理中心,請移至 Microsoft Intune 系統管理中心

此系統管理中心會使用 Microsoft Graph REST API,以程式設計方式存取 Intune 服務。 系統管理中心的每個動作都是 Microsoft Graph 呼叫。 如果您不熟悉 Graph,而且想要深入了解,請移至 Graph 與 Microsoft Intune 整合

進階端點管理和安全性

Microsoft Intune 套件提供不同的功能,例如遠端說明、端點權限管理、適用於行動應用程式管理的 Microsoft Tunnel 等等。

如需詳細資訊,請移至 Intune Suite 附加元件功能

提示

逐步完成訓練模組,了解如何使用 Microsoft Intune 從新式端點管理獲益

使用 Intune 中的 Microsoft Copilot 獲得 AI 產生的分析

Intune 中的 Copilot 可供使用,且具有由 Copilot for Security 提供的功能。

Copilot 可以摘要說明現有的原則,提供更多設定資訊,包括建議使用的值和潛在衝突。 您也可以取得裝置詳細資料,並對裝置進行疑難解答。

如需詳細資訊,請移至 Intune 中的 Microsoft Copilot

與其他 Microsoft 服務和應用程式整合

Microsoft Intune 與其他著重於端點管理的 Microsoft 產品和服務整合,包括:

與第三方合作夥伴裝置和應用程式整合

Intune 系統管理中心可讓您輕鬆地連線到不同的合作夥伴服務,包括:

透過這些服務,Intune:

  • 向系統管理員提供簡化的第三方合作夥伴應用程式服務的存取權。
  • 可以管理數百個第三方合作夥伴應用程式。
  • 支援公用零售商店應用程式、企業營運 (LOB) 應用程式、公用市集中無法使用的私人應用程式、自訂應用程式等等。

如需在 Intune 中註冊第三方合作夥伴裝置的更多平台特定需求,請移至:

在裝置管理、應用程式管理中註冊或兩者皆註冊

✅ 組織擁有的裝置會在 Intune 中註冊,取得 行動裝置管理 (MDM)。 MDM 是以裝置為中心,因此裝置功能會以需要的人員為依據來設定。 例如,您可以設定裝置以允許存取 Wi-Fi,但前提是登入的使用者為組織帳戶。

在 Intune 中,您會建立原則來設定功能與設定,並提供安全性與保護。 您的系統管理小組會完整管理裝置,包括要登入的使用者身分識別、已安裝的應用程式以及存取的資料。

當裝置註冊時,您可以在註冊流程期間部署原則。 註冊完成時,裝置即可供使用。

✅ 針對自備裝置 (BYOD) 案例中的個人裝置,您可以使用 Intune 進行 行動應用程式管理 (MAM)。 MAM 以使用者為中心,因此無論使用何種裝置來存取此資料,應用程式資料都會受到保護。 重點在於應用程式,包括安全地存取應用程式,以及保護應用程式內的資料。

使用 MAM,您可以:

  • 將行動裝置應用程式發佈給使用者。
  • 設定應用程式並自動更新應用程式。
  • 檢視著重於應用程式庫存和應用程式使用量的資料報告。

✅ 您也可以同時使用 MDM 和 MAM。 如果您的裝置已註冊,而且有需要額外安全性的應用程式,您也可以使用 MAM 應用程式保護原則。

如需詳細資訊,請移至:

保護任何裝置上的資料

使用 Intune,您可以 保護受管理裝置上的資料 (在 Intune 中註冊) 和 保護未受管理裝置上的資料 (未在 Intune 中註冊)。 Intune 可以將組織資料從個人資料中區隔出來。 其概念是使用您設定和部署的原則來保護公司資訊。

針對組織擁有的裝置,您想要完整控制裝置,尤其是安全性。 當裝置註冊時,它們會收到您的安全性規則和設定。

在 Intune 註冊的裝置上,您可以:

  • 建立和部署原則,以設定安全性設定、設定密碼要求、部署憑證等等。
  • 使用行動威脅防禦服務來掃描裝置、偵測威脅,以及修正威脅。
  • 檢視資料和報告,以計量您的安全性設定和規則的合規性。
  • 使用條件式存取以僅允許受管理且符合規範的裝置存取組織資源、應用程式和資料。
  • 在裝置遺失、遭竊時移除組織資料。

對於個人裝置,使用者可能不希望其 IT 系統管理員擁有完整控制權。 若要支援混合式工作環境,請提供使用者選項。 例如,如果使用者想要完整存取貴組織的資源,可以註冊其裝置。 或者,如果這些使用者只想要存取 Outlook 或 Microsoft Teams,則使用需要多重要素驗證 (MFA) 的應用程式保護原則。

在使用應用程式管理的裝置上,您可以:

  • 使用行動威脅防禦服務來保護應用程式資料。 服務可以掃描裝置、偵測威脅,以及評估風險。
  • 防止複製組織資料並將組織資料貼入個人應用程式。
  • 在於第三方或合作夥伴 MDM 中註冊的應用程式和未受管理之裝置上使用應用程式保護原則。
  • 使用條件式存取來限制可存取組織電子郵件和檔案的應用程式。
  • 移除應用程式內的組織資料。

如需詳細資訊,請移至:

簡化存取權

Intune 可協助組織支援可異地工作的員工。 您可以設定一些功能,讓使用者無論身在何處,都可以與組織聯繫。

本節包含一些您可以在 Intune 中設定的常見功能。

使用 Windows Hello 企業版而非密碼

Windows Hello 企業版可協助防範網路釣魚攻擊和其他安全性威脅。 它也可協助使用者更快速且輕鬆地登入其裝置和應用程式。

Windows Hello 企業版會以 PIN 碼或生物特徵辨識取代密碼,例如指紋或臉部辨識。 此生物特徵辨識資訊會儲存在本機裝置上,而且永遠不會傳送至外部裝置或伺服器。

如需詳細資訊,請移至:

建立遠端使用者的 VPN 連線

VPN 原則可讓使用者安全地從遠端存取組織網路。

使用常見的 VPN 連線合作夥伴,包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等,您可以使用網路設定來建立 VPN 原則。 當原則準備就緒時,您可將此原則部署到需要遠端連線到您網路的使用者和裝置。

在 VPN 原則中,您可以使用憑證來驗證 VPN 連線。 當您使用憑證時,您的使用者不需要輸入使用者名稱和密碼。

如需詳細資訊,請移至:

為內部部署使用者建立 Wi-Fi 連線

對於需要連線到貴組織網路內部部署的使用者,您可以使用網路設定來建立 Wi-Fi 原則。 您可以連線到特定的 SSID、選取驗證方法、使用 Proxy 等等。 您也可以將原則設定為當裝置位於範圍內時,自動連線到 Wi-Fi。

在 Wi-Fi 原則中,您可以使用憑證來驗證 Wi-Fi 連線。 當您使用憑證時,您的使用者不需要輸入使用者名稱和密碼。

當原則準備就緒時,您可將此原則部署到需要連線到您內部部署網路的內部使用者和裝置。

如需詳細資訊,請移至:

對您的應用程式和服務啟用單一登入 (SSO)

當您啟用 SSO 時,使用者可以使用其 Microsoft Entra 組織帳戶自動登入應用程式和服務,包括一些行動威脅防禦合作夥伴應用程式。

特別是: