Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置
由於組織支援混合式和遠端員工,因此會面臨管理可存取組織資源之不同裝置的挑戰。 員工和學生需要共同作業、從任何地方工作,以及安全地存取和聯機到這些資源。 系統管理員必須保護組織數據、管理使用者存取權,以及支援使用者不論工作何處。
✅ 若要協助解決這些挑戰和工作,請使用 Microsoft Intune。
Microsoft Intune 是 雲端端點管理解決方案。 它會管理使用者對組織資源的存取權,並簡化您許多裝置上的應用程式和裝置管理,包括行動裝置、桌面計算機和虛擬端點。
您可以保護組織擁有和使用者個人裝置上的存取權和資料。 此外,Intune 具有支援 零信任安全性模型的合規性和報告功能。
本文列出 Microsoft Intune 的一些功能和優點。
提示
- 若要取得 Intune,請移至 Microsoft Intune 和 Intune 30 天試用版可用的授權。
- 如需 Intune 授權方案的詳細資訊,請移至 Microsoft Intune 功能和方案。
- 如需雲端原生的意義相關信息,請移至 深入瞭解雲端原生端點。
主要功能和優點
Intune 的一些主要功能和優點包括:
✅管理使用者和裝置
使用 Intune,您可以管理組織所擁有的裝置,以及使用者所擁有的裝置。 Microsoft Intune 支援 Android、Android 開放原始碼專案 (AOSP) 、iOS/iPadOS、Linux Ubuntu Desktop、macOS 和 Windows 用戶端裝置。 透過 Intune,您可以使用這些裝置,透過您建立的原則安全地存取組織資源。
如需詳細資訊,請移至:
注意事項
如果您管理內部部署 Windows Server,您可以使用 Configuration Manager。
✅簡化應用程式管理
Intune 具有內建的應用程式體驗,包括應用程式部署、更新和移除。 您可以:
- 從私人應用程式市集連線並散發應用程式。
- 啟用 Microsoft 365 應用程式,包括 Microsoft Teams。
- 部署 Win32 和企業營運 (LOB) 應用程式。
- 建立可保護應用程式內數據的應用程式保護原則。
- 管理應用程式 & 其數據的存取權。
如需詳細資訊,請移至 使用 Microsoft Intune 管理應用程式。
✅自動化原則部署
您可以建立應用程式、安全性、裝置設定、合規性、條件式存取等原則。 當原則準備就緒時,您可以將這些原則部署到您的使用者群組和裝置群組。 若要接收這些原則,裝置只需要因特網存取。
如需詳細資訊,請移至在 Microsoft Intune 中指派原則。
✅使用自助功能
員工和學生可以使用公司入口網站應用程式和網站來重設 PIN/密碼、安裝應用程式、加入群組等等。 您可以自定義公司入口網站,以協助減少支援通話。
如需詳細資訊,請移至 設定 Intune 公司入口網站應用程式、公司入口網站和 Intune 應用程式。
✅與行動威脅防禦整合
Intune 與適用於端點的 Microsoft Defender 和第三方合作夥伴服務整合。 透過這些服務,重點在於端點安全性。 您可以建立原則來回應威脅、執行實時風險分析,以及自動化補救。
如需詳細資訊,請移至 Mobile Threat Defense 與 Intune 整合。
✅使用 Web 型系統管理中心
Intune 系統管理中心著重於端點管理,包括數據驅動報告。 系統管理員可以從任何可存取因特網的裝置登入系統管理中心。
如需詳細資訊,請移至 Intune 系統管理中心的逐步解說。 若要登入系統管理中心,請移至 Microsoft Intune 系統管理中心。
此系統管理中心會使用 Microsoft Graph REST API,以程式設計方式存取 Intune 服務。 系統管理中心的每個動作都是Microsoft Graph 呼叫。 如果您不熟悉 Graph,而且想要深入瞭解,請移至 Graph 與 Microsoft Intune 整合。
✅進階端點管理和安全性
Microsoft Intune 套件提供不同的功能,例如遠端說明、端點許可權管理、MAM 的Microsoft通道等等。
如需詳細資訊,請移至 Intune Suite 附加元件功能。
提示
逐步執行訓練課程模組,以瞭解如何透過 Microsoft Intune 從新式端點管理獲益 。
✅在 Intune 中使用 Microsoft Copilot 進行 AI 產生的分析
Intune 中的 Copilot 可供使用,且具有由 Copilot for Security 提供技術支援的功能。
Copilot 可以摘要說明現有的原則,提供更多設定資訊,包括建議的值和潛在的衝突。 您也可以取得裝置詳細數據,並針對裝置進行疑難解答。
如需詳細資訊,請移 至 Microsoft Intune 中的 Copilot。
與其他Microsoft服務和應用程式整合
Microsoft Intune 與其他著重於端點管理的Microsoft產品和服務整合,包括:
適用於內部部署端點管理和 Windows Server 的 Configuration Manager,包括部署軟體更新和管理數據中心
您可以在共同管理案例中同時使用 Intune 和 Configuration Manager、使用租使用者附加,或同時使用兩者。 透過這些選項,您可以獲得 Web 型系統管理中心的優點,並可使用 Intune 中可用的其他雲端式功能。
如需更具體的資訊,請移至:
適用於新式 OS 部署和布建的 Windows Autopilot
使用 Windows Autopilot,您可以佈建新的裝置,並直接從 OEM 或裝置提供者將這些裝置傳送給使用者。 對於現有的裝置,您可以重新安裝這些裝置的映像,以使用 Windows Autopilot 並部署最新的 Windows 版本。
如需更具體的資訊,請移至:
端點分析, 以取得用戶體驗的可見度和報告,包括裝置效能和可靠性
您可以使用端點分析來協助識別導致裝置變慢的原則或硬體問題。 它也提供可協助您主動改善用戶體驗並減少技術支持人員票證的指引。
如需更具體的資訊,請移至:
Microsoft 365 for end user productivity Office apps,包括 Outlook、Teams、Sharepoint、OneDrive 等
使用 Intune,您可以將Microsoft 365 應用程式部署到組織中的使用者和裝置。 您也可以在使用者第一次登入時部署這些應用程式。
如需更具體的資訊,請移至:
Microsoft適用於端點的 Defender 協助企業預防、偵測、調查及回應威脅
在 Intune 中,您可以在 Intune 與適用於端點的 Microsoft Defender 之間建立服務對服務連線。 連線時,您可以建立原則來掃描檔案、偵測威脅,並將威脅層級報告至 Microsoft Defender for Endpoint。 您也可以建立合規性原則,以設定允許的風險層級。 與條件式存取結合時,您可以針對不符合規範的裝置封鎖對組織資源的存取。
如需更具體的資訊,請移至:
Windows 自動修 補以自動修補 Windows、Microsoft 365 應用程式企業版、Microsoft Edge 和 Microsoft Teams
Windows 自動修補是雲端式服務。 它會讓軟體保持最新狀態、為使用者提供最新的生產力工具、將內部部署基礎結構降至最低,並協助釋放IT系統管理員以專注於其他專案。 Windows Autopatch 使用 Microsoft Intune 來管理 Intune 註冊裝置的修補,或使用 Intune + Configuration Manager) 共同管理 (裝置。
如需更具體的資訊,請移至:
與第三方合作夥伴裝置和應用程式整合
Intune 系統管理中心可讓您輕鬆地連線到不同的合作夥伴服務,包括:
受控 Google Play for Android 應用程式:當您連線到受控 Google Play 帳戶時,系統管理員可以存取貴組織適用於 Android 應用程式的私人市集,並將這些應用程式部署到您的裝置。
如需詳細資訊,請移至使用 Intune 將受控 Google Play 應用程式新增至 Android Enterprise 裝置。
註冊和應用程式的Apple令牌和憑證:新增它們時,您的iOS/iPadOS和macOS裝置可以在Intune中註冊,並從Intune接收原則。 系統管理員可以存取大量購買的 iOS/iPad 和 macOS 應用程式授權,並將這些應用程式部署到您的裝置。
如需詳細資訊,請移至:
遠端協助的 TeamViewer:當您連線到 TeamViewer 帳戶時,可以使用 TeamViewer 從遠端協助裝置。
如需詳細資訊,請移至 使用 TeamViewer 從遠端管理 Intune 裝置。
透過這些服務,Intune:
- 讓系統管理員簡化第三方合作夥伴應用程式服務的存取。
- 可以管理數百個第三方合作夥伴應用程式。
- 支援公用零售市集應用程式、企業營運 (LOB) 應用程式、公用市集中無法使用的私人應用程式、自定義應用程式等等。
如需在 Intune 中註冊第三方合作夥伴裝置的更多平臺特定需求,請移至:
- 部署指南:在 Microsoft Intune 中註冊 Android 裝置
- 部署指南:在 Microsoft Intune 中註冊 iOS 和 iPadOS 裝置
- 部署指南:在 Microsoft Intune 中註冊 Linux 裝置
- 部署指南:在 Microsoft Intune 中註冊 macOS 裝置
註冊裝置管理、應用程式管理或兩者
✅ 組織擁有的裝置會在 Intune 中註冊,以進行 行動裝置管理 (MDM) 。 MDM 以裝置為中心,因此裝置功能會根據需要的人員進行設定。 例如,您可以設定裝置以允許存取Wi-Fi,但前提是登入的用戶是組織帳戶。
在 Intune 中,您會建立原則來設定功能 & 設定,並提供安全性 & 保護。 您的系統管理小組會完全管理裝置,包括登入的使用者身分識別、已安裝的應用程式,以及存取的數據。
當裝置註冊時,您可以在註冊程序期間部署原則。 註冊完成時,裝置即可供使用。
✅ 針對自備裝置 (BYOD) 案例中的個人裝置,您可以使用 Intune 進行 行動應用程式管理, (MAM) 。 MAM 以使用者為中心,因此無論用來存取此資料的裝置為何,應用程式數據都會受到保護。 著重於應用程式,包括安全地存取應用程式,以及保護應用程式內的數據。
使用 MAM,您可以:
- 將行動裝置應用程式發佈給使用者。
- 設定應用程式並自動更新應用程式。
- 檢視著重於應用程式清查和應用程式使用量的數據報表。
✅ 您也可以同時使用 MDM 和 MAM。 如果您的裝置已註冊,而且有需要額外安全性的應用程式,您也可以使用 MAM 應用程式保護原則。
如需詳細資訊,請移至:
保護任何裝置上的數據
使用 Intune,您可以在 Intune) 註冊 (保護受管理 裝置上的數據 ,並保護未在 Intune) 中註冊的非受控 裝置上 的數據 (。 Intune 可以將組織數據與個人資料隔離。 其概念是使用您設定和部署的原則來保護公司資訊。
針對組織擁有的裝置,您想要完全控制裝置,特別是安全性。 當裝置註冊時,它們會收到您的安全性規則和設定。
在 Intune 註冊的裝置上,您可以:
- 建立和部署原則,以設定安全性設定、設定密碼需求、部署憑證等等。
- 使用行動威脅防禦服務來掃描裝置、偵測威脅,以及補救威脅。
- 檢視數據和報告,以測量安全性設定和規則的合規性。
- 使用條件式存取,只允許受管理且相容的裝置存取組織資源、應用程式和數據。
- 如果裝置遺失或遭竊,請移除組織數據。
對於個人裝置,使用者可能不希望其IT系統管理員擁有完全控制權。 若要支援混合式工作環境,請提供用戶選項。 例如,如果使用者想要完整存取貴組織的資源,請註冊其裝置。 或者,如果這些使用者只想要存取 Outlook 或 Microsoft Teams,請使用需要多重要素驗證的應用程式保護原則 (MFA) 。
在使用應用程式管理的裝置上,您可以:
- 使用行動威脅防護服務來保護應用程式數據。 服務可以掃描裝置、偵測威脅,以及評估風險。
- 防止將組織數據複製並貼到個人應用程式中。
- 在第三方或合作夥伴 MDM 中註冊的應用程式和非受控裝置上使用應用程式保護原則。
- 使用條件式存取來限制可存取組織電子郵件和檔案的應用程式。
- 拿掉應用程式內的組織數據。
如需詳細資訊,請移至:
簡化存取
Intune 可協助組織支援可從任何地方工作的員工。 您可以設定一些功能,讓使用者可以隨時隨地連線到組織。
本節包含您可以在 Intune 中設定的一些常見功能。
使用 Windows Hello 企業版而非密碼
Windows Hello 企業版可協助防範網路釣魚攻擊和其他安全性威脅。 它也可協助使用者更快速且輕鬆地登入其裝置和應用程式。
Windows Hello 企業版會以 PIN 或生物特徵辨識取代密碼,例如指紋或臉部辨識。 此生物特徵辨識資訊會儲存在本機裝置上,而且永遠不會傳送至外部裝置或伺服器。
如需詳細資訊,請移至:
建立遠端使用者的 VPN 連線
VPN 原則可讓使用者安全地遠端存取您的組織網路。
使用常見的 VPN 連線合作夥伴,包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等,您可以使用網路設定來建立 VPN 原則。 當原則準備就緒時,您會將此原則部署到需要從遠端連線到網路的用戶和裝置。
在 VPN 原則中,您可以使用憑證來驗證 VPN 連線。 當您使用憑證時,終端使用者不需要輸入使用者名稱和密碼。
如需詳細資訊,請移至:
- 建立 VPN 設定檔以連線到 Intune 中的 VPN 伺服器
- 在 Intune 中使用憑證進行驗證
- 深入瞭解 Microsoft Tunnel for Intune
- 針對 MAM 使用 Microsoft 通道
為內部部署使用者建立 Wi-Fi 連線
對於需要連線到組織內部部署網路的使用者,您可以使用網路設定建立 Wi-Fi 原則。 您可以連線到特定 SSID、選取驗證方法、使用 Proxy 等等。 您也可以將原則設定為在裝置範圍內時自動連線到 Wi-Fi。
在 Wi-Fi 原則中,您可以使用憑證來驗證 Wi-Fi 連線。 當您使用憑證時,終端使用者不需要輸入使用者名稱和密碼。
當原則準備就緒時,您會將此原則部署至需要連線到內部部署網路的內部部署用戶和裝置。
如需詳細資訊,請移至:
對您的應用程式和服務啟用單一登錄 (SSO)
當您啟用 SSO 時,使用者可以使用其Microsoft Entra 組織帳戶自動登入應用程式和服務,包括一些行動威脅防禦夥伴應用程式。
特別是:
在 Windows 裝置上,SSO 會自動內建,並用來登入使用 Microsoft Entra ID 進行驗證的應用程式和網站,包括Microsoft 365 應用程式。 您也可以在 VPN 和 Wi-Fi 原則上啟用 SSO。
在 iOS/iPadOS 和 macOS 裝置上,您可以使用 Microsoft Enterprise SSO 外掛程式自動登入使用 Microsoft Entra ID 進行驗證的應用程式和網站,包括Microsoft 365 應用程式。
如需詳細資訊,請移至 Microsoft Intune 中 Apple 裝置的單一登錄 (SSO) 概觀和選項。
在 Android 裝置上,您可以使用 Microsoft 驗證連結庫 (MSAL) 來啟用 Android 應用程式的 SSO。
如需詳細資訊,請移至:
相關文章
意見反映
https://aka.ms/ContentUserFeedback。
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:提交及檢視以下的意見反映: