瞭解如何在 Microsoft Intune 中管理和保護您的裝置

管理裝置是任何端點管理策略和解決方案的重要組成部分。 組織必須管理桌上型電腦、筆記型電腦、平板電腦、行動電話、穿戴式裝置等。 這可能是一項艱鉅的任務，尤其是當您不確定從哪裡開始時。

Microsoft Intune 可以提供協助。 Intune 是一種基於雲的服務 ，可以通過策略（包括安全策略）控制設備。

任何管理裝置的組織的目標都是保護裝置及其存取的資料。

裝置管理涉及：

• 配置設備內置的功能，例如啟用藍牙和防止自動連接到 Wi-Fi 熱點
• 保護裝置並防止從裝置未經授權存取組織資源，例如使用行動威脅防禦和加密硬碟
• 建立維護裝置完整性的合規性規則，例如設定最低作業系統版本和防止簡單密碼
• 負責存取組織資源的組織擁有的裝置和個人擁有的裝置

從服務觀點來看，Intune 會使用 Microsoft Entra ID 來進行裝置儲存和許可權。 使用 Microsoft Intune 系統管理中心，您可以在專為端點管理設計的中央位置管理裝置工作和原則。

本文討論了管理設備時應考慮的概念和功能。

管理組織擁有的裝置和個人裝置

許多組織允許個人擁有的裝置存取組織資源，包括電子郵件和會議。 有不同的選項可用，這些選項取決於您的組織的嚴格程度。

您可以要求個人裝置在貴機構的裝置管理服務中註冊。 在這些個人裝置上，您的系統管理員可以部署原則、設定規則，以及設定裝置功能。 或者，您可以使用著重於保護應用程式數據的應用程式保護原則，例如 Outlook、Teams 和 Sharepoint。 您也可以使用裝置註冊和應用程式保護原則的組合。

組織所擁有的裝置應該在您的 MDM 服務中註冊，例如 Intune。 註冊後，您的管理員會建立原則並設定保護資料的規則。 不要依賴終端使用者來管理這些裝置。

如需詳細資訊和指引，請移至：

• Microsoft Intune 規劃指南
• 部署指南：設定或移至 Microsoft Intune

使用現有裝置並使用新裝置

您可以管理新裝置和現有裝置。 Intune 支援 Android、iOS/iPadOS、Linux、macOS 和 Windows 裝置。

有些事情你應該知道。 例如，如果另一個 MDM 提供者管理您現有的設備，則這些設備可能需要恢復原廠設定。 如果裝置使用較舊的作業系統版本，則可能不受支援。

如果您的組織正在投資新裝置，建議您從使用 Intune 的雲端方法開始。

如需詳細資訊和指引，請移至：

• Microsoft Intune 規劃指南
• 部署指南：設定或移至 Microsoft Intune

如需依平台劃分的更具體資訊，請移至：

• Android 平台部署指南
• iOS/iPadOS 平臺部署指南
• Linux 註冊部署指南
• macOS 平台部署指南
• Windows 註冊部署指南

檢查裝置的合規性健康情況

裝置合規性是管理裝置的重要部分。 您的組織應設定密碼/PIN 規則，並檢查這些裝置上的安全功能。 您想知道哪些裝置不符合您的規則。 這項任務是合規性的用武之地。

您可以建立合規性原則來封鎖簡單密碼、需要防火牆、設定最低作業系統版本等等。 您可以使用這些原則和內建報告來查看不合規的裝置，並查看這些裝置上的不合規設定。 此資訊可讓您瞭解存取組織資源之裝置的整體健康情況。

條件式存取是 Microsoft Entra ID 的一項功能。 使用條件式存取，您可以強制執行合規性。 例如，如果裝置不符合您的合規性規則，您可以封鎖組織資源的存取，包括 Outlook、SharePoint 和 Teams。 條件式存取可協助您的組織保護您的資料並保護您的裝置。

如需詳細資訊，請移至:

• 使用合規性原則為您管理的裝置設定規則
• 監控裝置合規性原則的結果
• 了解條件式存取和 Intune

控制裝置功能並將原則指派給裝置群組

所有裝置都具有您可以使用原則來控制和管理的功能。 例如，您可以阻止內置攝像頭、允許藍牙配對以及管理電源按鈕。

對於許多組織來說，建立裝置群組是很常見的。 裝置群組是只包含裝置的 Microsoft Entra 群組。 它們不包含使用者身分識別。

當您有裝置群組時，您可以建立著重於裝置體驗或工作的原則，例如執行單一應用程式或掃描條碼。 您也可以建立原則，其中包含您想要一律在裝置上的設定，而不論誰在使用裝置。

您可以按操作系統平台、功能、位置和您喜歡的其他功能對設備進行分組。

裝置群組也可以包含與許多使用者共用或未與特定使用者相關聯的裝置。 這些專用或 Kiosk 裝置通常由第一線員工 (FLW) 使用，也可以由 Intune 管理。

當群組準備就緒時，您可以將原則指派給這些裝置群組。

如需詳細資訊，請移至:

• Intune 中的 FLW 裝置管理
• 開始使用適用於前線工作者的 Microsoft 365
• 使用 Intune 作為專用 Kiosk 執行的 Windows 裝置設定
• 使用 Intune 控制共用電腦或多使用者裝置上的存取、帳戶和電源功能

保護您的裝置

為了幫助保護您的設備，您可以安裝防病毒軟件、掃描 & 對惡意活動做出反應，並啟用安全功能。

在 Intune 中，一些常見的安全性工作包括：

• 與行動威脅防禦 (MTD) 合作夥伴整合，以協助保護組織擁有的裝置和個人擁有的裝置。 這些 MTD 服務會掃描裝置，並協助修復弱點。

  MTD 合作夥伴支援不同的平台，包括 Android、iOS/iPadOS、macOS 和 Windows。

  如需更具體的資訊，請移至 行動威脅防禦 與 Intune 整合

• 在 Windows 裝置上使用安全性基準。 安全性基準是預先設定的設定，您可以部署至裝置。 這些基準設定著重於細微層級的安全性，也可以變更以符合任何組織特定需求。

  如果您不確定從哪裡開始，請查看安全性基準和內建引導式案例。

  如需更具體的資訊，請移至:

  • 使用安全性基準在 Intune 中設定 Windows 裝置
  • 引導式案例概觀

• 使用內建原則設定管理軟體更新、加密硬碟、設定內建防火牆等。 您也可以使用 Windows 自動修補來自動修補 Windows，包括 Windows 品質更新和 Windows 功能更新。

  如需詳細資訊，請移至:

  • 在 Microsoft Intune 中管理端點安全性
  • 使用 Microsoft Intune 中的端點安全性原則管理裝置安全性
  • Windows 自動修補概觀

• 使用 Intune 系統管理中心從遠端管理裝置。 您可以遠端鎖定、重新啟動、定位遺失的裝置，以及將裝置恢復為出廠設定。 如果裝置遺失或遭竊，或您正在遠端對裝置進行疑難排解，這些工作會很有幫助。

  如需詳細資訊，請移至 Intune 中的遠端動作。

相關文章

• 瞭解如何在 Intune 中管理身分識別
• 瞭解如何在 Intune 中管理應用程式