Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置

由於組織支援混合式和遠端員工，因此會面臨管理可存取組織資源之不同裝置的挑戰。 員工和學生需要共同作業、從任何地方工作，以及安全地存取和聯機到這些資源。 系統管理員必須保護組織數據、管理使用者存取權，以及支援使用者不論工作何處。

若要協助解決這些挑戰和工作，請使用 Microsoft Intune。

Microsoft Intune 是雲端端點管理解決方案。 它會管理使用者對組織資源的存取權，並簡化您許多裝置上的應用程式和裝置管理，包括行動裝置、桌面計算機和虛擬端點。

您可以保護組織擁有和使用者個人裝置上的存取權和資料。 此外，Intune 具有支援 零信任 安全性模型的合規性和報告功能。

本文列出 Microsoft Intune 的一些特性和優點。

提示

• 若要取得 Intune，請移至 Microsoft Intune 和 Intune 30 天試用版可用的授權。
• 如需雲端原生的意義相關信息，請移至 深入瞭解雲端原生端點。

主要功能和優點

Intune 的一些主要功能和優點包括：

• 您可以 管理使用者和裝置，包括您組織擁有的裝置和個人擁有的裝置。 Microsoft Intune 支援 Android、Android 開放原始碼專案 (AOSP) 、iOS/iPadOS、Linux Ubuntu Desktop、macOS 和 Windows 用戶端裝置。 透過 Intune，您可以使用這些裝置，透過您建立的原則安全地存取組織資源。

  如需詳細資訊，請移至：

  • 使用 Microsoft Intune 管理身分識別
  • 使用 Microsoft Intune 管理裝置
  • Microsoft Intune 中支援的作業系統

  注意事項

  如果您管理內部部署 Windows Server，您可以使用 Configuration Manager。

• Intune 使用內建應用程式體驗簡化 應用程式管理 ，包括應用程式部署、更新和移除。 您可以從私人應用程式市集連線和散發應用程式、啟用 Microsoft 365 應用程式、部署 Win32 應用程式、建立應用程式保護原則，以及管理應用程式 & 其數據的存取權。

  如需詳細資訊，請移至使用 Microsoft Intune 管理應用程式。

• Intune 會自動化 應用程式、安全性、裝置設定、合規性、條件式存取等的原則部署。 當原則準備就緒時，您可以將這些原則部署到您的使用者群組和裝置群組。 若要接收這些原則，裝置只需要因特網存取。

• 員工和學生可以使用 公司入口網站 應用程式中的自助功能來重設 PIN/密碼、安裝應用程式、加入群組等等。 您可以自定義 公司入口網站 應用程式，以協助減少支援呼叫。

  如需詳細資訊，請移至設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式。

• Intune 與行動威脅防護服務整合，包括 適用於端點的 Microsoft Defender 和第三方合作夥伴服務。 透過這些服務，重點在於端點安全性，而且您可以建立原則來回應威脅、執行實時風險分析，以及自動化補救。

  如需詳細資訊，請移至 Mobile Threat Defense 與 Intune 整合。

• 您 使用以 Web 為基礎的系統管理中心 ，其著重於端點管理，包括數據驅動報告。 系統管理員可以從任何可存取因特網的裝置登入 Intune 系統管理中心。

  如需詳細資訊，請移至 Intune 系統管理中心的逐步解說。 若要登入系統管理中心，請移至系統管理中心 Microsoft Intune。

  此系統管理中心會使用 Microsoft Graph REST API，以程式設計方式存取 Intune 服務。 系統管理中心的每個動作都是 Microsoft Graph 通話。 如果您不熟悉 Graph，而且想要深入瞭解，請移至 Graph 與 Microsoft Intune 整合。

• Microsoft Intune Suite 提供進階端點管理和安全性。 套件具有選擇性的附加元件功能，包括 遠端說明、端點許可權管理、適用於 MAM 的 Microsoft Tunnel 等等。

  如需詳細資訊，請移至 Intune Suite 附加元件功能

瞭解如何透過 Microsoft Intune 從新式端點管理獲益。

與其他 Microsoft 服務和應用程式整合

Microsoft Intune 與其他著重於端點管理的 Microsoft 產品和服務整合，包括：

• Configuration Manager 內部部署端點管理和 Windows Server，包括部署軟體更新和管理數據中心

  您可以在共同管理案例中一起使用 Intune 和 Configuration Manager、使用租使用者附加，或同時使用兩者。 透過這些選項，您可以獲得 Web 型系統管理中心的優點，並可使用 Intune 中可用的其他雲端式功能。

  如需更具體的資訊，請移至：

  • 什麼是共同管理
  • 共同管理的常見問題
  • 如何啟用租使用者附加

• 適用於新式 OS 部署和布建的 Windows Autopilot

  使用 Windows Autopilot，您可以佈建新的裝置，並直接從 OEM 或裝置提供者將這些裝置傳送給使用者。 對於現有的裝置，您可以重新安裝這些裝置的映像，以使用 Windows Autopilot 並部署最新的 Windows 版本。

  如需更具體的資訊，請移至：

  • Windows Autopilot 概觀
  • 現有裝置的 Windows Autopilot 部署

• 端點分析， 以取得用戶體驗的可見度和報告，包括裝置效能和可靠性

  您可以使用端點分析來協助識別導致裝置變慢的原則或硬體問題。 它也提供可協助您主動改善用戶體驗並減少技術支持人員票證的指引。

  如需更具體的資訊，請移至：

  • 什麼是端點分析
  • 將 Intune 裝置註冊到端點分析

• 適用於用戶生產力的 Microsoft 365 Office 應用程式，包括 Outlook、Teams、Sharepoint、OneDrive 等等

  使用 Intune，您可以將 Microsoft 365 應用程式部署到組織中的使用者和裝置。 您也可以在使用者第一次登入時部署這些應用程式。

  如需更具體的資訊，請移至：

  • 使用 Microsoft Intune 將 Microsoft 365 Apps 新增至 Windows 10/11 裝置
  • Microsoft 365 檔：使用 Intune 管理裝置

• 適用於端點的 Microsoft Defender，協助企業預防、偵測、調查及回應威脅

  在 Intune 中，您可以在 Intune 與 適用於端點的 Microsoft Defender 之間建立服務對服務連線。 連線時，您可以建立原則來掃描檔案、偵測威脅，以及向 適用於端點的 Microsoft Defender 報告威脅層級。 您也可以建立合規性原則，以設定允許的風險層級。 與條件式存取結合時，您可以針對不符合規範的裝置封鎖對組織資源的存取。

  如需更具體的資訊，請移至：

  • Intune 中針對適用于端點的 Microsoft Defender 使用條件式存取強制執行
  • 在 Intune 中設定 適用於端點的 Microsoft Defender

• 自動 修補 Windows、Microsoft 365 企業版應用程式、Microsoft Edge 和 Microsoft Teams 的 Windows 自動修補

  Windows 自動修補是雲端式服務。 它會讓軟體保持最新狀態、為使用者提供最新的生產力工具、將內部部署基礎結構降至最低，並協助釋放IT系統管理員以專注於其他專案。 Windows Autopatch 會使用 Microsoft Intune，使用 Intune + Configuration Manager) (共同管理來管理已註冊 Intune 之裝置或裝置的修補。

  如需更具體的資訊，請移至：

  • 什麼是 Windows 自動修補？
  • Windows 自動修補的常見問題

與第三方合作夥伴裝置和應用程式整合

Intune 系統管理中心可讓您輕鬆地連線到不同的合作夥伴服務，包括：

• 受控 Google Play：當您連線到受控 Google Play 帳戶時，系統管理員可以存取貴組織針對 Android 應用程式的私人市集，並將這些應用程式部署到您的裝置。

  如需詳細資訊，請移至使用 Intune 將受控 Google Play 應用程式新增至 Android Enterprise 裝置。

• Apple 令牌和憑證：新增它們時，您的 iOS/iPadOS 和 macOS 裝置可以在 Intune 中註冊，並從 Intune 接收原則。 系統管理員可以存取大量購買的 iOS/iPad 和 macOS 應用程式授權，並將這些應用程式部署到您的裝置。

  如需詳細資訊，請移至：

  • 取得 Apple MDM 推播憑證
  • 使用 Apple 的自動裝置註冊來自動註冊 iOS/iPadOS 裝置
  • 使用 Microsoft Intune 管理透過 Apple Business Manager 購買的 iOS 和 macOS 應用程式

• TeamViewer：當您連線到 TeamViewer 帳戶時，可以使用 TeamViewer 從遠端協助裝置。

  如需詳細資訊，請移至 使用 TeamViewer 從遠端管理 Intune 裝置。

透過這些服務，Intune：

• 讓系統管理員簡化第三方合作夥伴應用程式服務的存取。
• 可以管理數百個第三方合作夥伴應用程式。
• 支援公用零售市集應用程式、企業營運 (LOB) 應用程式、公用市集中無法使用的私人應用程式、自定義應用程式等等。

如需在 Intune 中註冊第三方合作夥伴裝置的更多平臺特定需求，請移至：

• 部署指南：在 Microsoft Intune 中註冊 Android 裝置
• 部署指南：在 Microsoft Intune 中註冊 iOS 和 iPadOS 裝置
• 部署指南：在 Microsoft Intune 中註冊 Linux 裝置
• 部署指南：在 Microsoft Intune 中註冊 macOS 裝置

註冊裝置管理、應用程式管理或兩者

組織擁有的裝置會在 Intune 中註冊， 以進行行動裝置管理 (MDM) 。 MDM 以裝置為中心，因此裝置功能會根據需要的人員進行設定。 例如，您可以設定裝置以允許存取Wi-Fi，但前提是登入的用戶是組織帳戶。

在 Intune 中，您會建立原則來設定功能 & 設定，並提供安全性 & 保護。 裝置完全由您的組織管理，包括登入的使用者身分識別、已安裝的應用程式，以及存取的數據。

當裝置註冊時，您可以在註冊程序期間部署原則。 註冊完成時，裝置即可供使用。

針對自備裝置 (BYOD) 案例中的個人裝置，您可以使用 Intune 進行 行動應用程式管理， (MAM) 。 MAM 以使用者為中心，因此無論用來存取此資料的裝置為何，應用程式數據都會受到保護。 著重於應用程式，包括安全地存取應用程式，以及保護應用程式內的數據。

使用 MAM，您可以：

• 將行動裝置應用程式發佈給使用者。
• 設定應用程式並自動更新應用程式。
• 檢視著重於應用程式清查和應用程式使用量的數據報表。

您也可以同時使用 MDM 和 MAM。 如果您的裝置已註冊，而且有需要額外安全性的應用程式，您也可以使用 MAM 應用程式保護原則。

如需詳細資訊，請移至：

• 什麼是註冊至 Intune 的裝置？
• 應用程式防護原則概觀
• 建立和指派應用程式保護原則

保護任何裝置上的數據

使用 Intune，您可以在 Intune) 註冊 (保護受管理 裝置上的數據 ，並保護未在 Intune) 中註冊的非受控 裝置上 的數據 (。 Intune 可以將組織數據與個人資料隔離。 其概念是藉由控制使用者存取和共用資訊的方式來保護公司資訊。

針對組織擁有的裝置，您想要完全控制裝置，特別是安全性。 當裝置註冊時，它們會收到您的安全性規則和設定。

在 Intune 註冊的裝置上，您可以：

• 建立和部署原則，以設定安全性設定、設定密碼需求、部署憑證等等。
• 使用行動威脅防禦服務來掃描裝置、偵測威脅，以及補救威脅。
• 檢視數據和報告，以測量安全性設定和規則的合規性。
• 使用條件式存取，只允許受管理且相容的裝置存取組織資源、應用程式和數據。
• 如果裝置遺失或遭竊，請移除組織數據。

對於個人裝置，使用者可能不希望其IT系統管理員擁有完全控制權。 若要支援混合式工作環境，請提供用戶選項。 例如，如果使用者想要完整存取貴組織的資源，請註冊其裝置。 或者，如果這些使用者只想要存取 Outlook 或 Microsoft Teams，請使用需要多重要素驗證的應用程式保護原則 (MFA) 。

在使用應用程式管理的裝置上，您可以：

• 使用行動威脅防禦服務，藉由掃描裝置、偵測威脅及評估風險來保護應用程序數據。
• 防止將組織數據複製並貼到個人應用程式中。
• 在第三方或合作夥伴 MDM 中註冊的應用程式和非受控裝置上使用應用程式保護原則。
• 使用條件式存取來限制可存取組織電子郵件和檔案的應用程式。
• 拿掉應用程式內的組織數據。

如需詳細資訊，請移至：

• 使用 Microsoft Intune 保護資料和裝置
• 與 Intune 的行動威脅防禦整合

簡化存取

Intune 可協助組織支援可從任何地方工作的員工。 您可以設定一些功能，讓使用者可以隨時隨地連線到組織。

本節包含您可以在 Intune 中設定的一些常見功能。

使用 Windows Hello 企業版 而非密碼

Windows Hello 企業版 有助於防範網路釣魚攻擊和其他安全性威脅。 它也可協助使用者更快速且輕鬆地登入其裝置和應用程式。

Windows Hello 企業版 將密碼取代為 PIN 或生物特徵辨識，例如指紋或臉部辨識。 此生物特徵辨識資訊會儲存在本機裝置上，而且永遠不會傳送至外部裝置或伺服器。

如需詳細資訊，請移至：

• Windows Hello 企業版概觀
• 在裝置註冊 Intune 時管理裝置上的 Windows Hello 企業版
• 使用 Microsoft Intune 管理身分識別

建立遠端使用者的 VPN 連線

VPN 原則可讓使用者安全地遠端存取您的組織網路。

使用常見的 VPN 連線合作夥伴，包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等等，您可以使用網路設定來建立 VPN 原則。 當原則準備就緒時，您會將此原則部署到需要從遠端連線到網路的用戶和裝置。

在 VPN 原則中，您可以使用憑證來驗證 VPN 連線。 當您使用憑證時，終端使用者不需要輸入使用者名稱和密碼。

如需詳細資訊，請移至：

• 建立 VPN 設定檔以連線到 Intune 中的 VPN 伺服器
• 在 Microsoft Intune 中使用憑證進行驗證
• 適用於 Microsoft Intune 的 Microsoft Tunnel
• 適用於 MAM 的 Microsoft Tunnel

為內部部署使用者建立 Wi-Fi 連線

對於需要連線到組織內部部署網路的使用者，您可以使用網路設定建立 Wi-Fi 原則。 您可以連線到特定 SSID、選取驗證方法、使用 Proxy 等等。 您也可以將原則設定為在裝置範圍內時自動連線到 Wi-Fi。

在 Wi-Fi 原則中，您可以使用憑證來驗證 Wi-Fi 連線。 當您使用憑證時，終端使用者不需要輸入使用者名稱和密碼。

當原則準備就緒時，您會將此原則部署至需要連線到內部部署網路的內部部署用戶和裝置。

如需詳細資訊，請移至：

• 建立 Wi-Fi 原則以連線到 Intune 中的 Wi-Fi 網路
• 在 Microsoft Intune 中使用憑證進行驗證

對您的應用程式和服務啟用單一登錄 (SSO)

當您啟用 SSO 時，使用者可以使用其 Microsoft Entra 組織帳戶自動登入應用程式和服務，包括一些行動威脅防禦夥伴應用程式。

特別是：

• 在 Windows 裝置上，SSO 會自動內建，並用來登入使用 Microsoft Entra 標識碼進行驗證的應用程式和網站，包括 Microsoft 365 應用程式。 您也可以在 VPN 和 Wi-Fi 原則上啟用 SSO。

• 在 iOS/iPadOS 和 macOS 裝置上，您可以使用 Microsoft Enterprise SSO 外掛程式自動登入使用 Microsoft Entra 標識符進行驗證的應用程式和網站，包括 Microsoft 365 應用程式。

• 在 Android 裝置上，您可以使用 Microsoft 驗證連結庫 (MSAL) 來啟用 Android 應用程式的 SSO。

  如需詳細資訊，請移至：

  • SSO 至內部部署資源在已加入 Microsoft Entra 裝置上的運作方式
  • 在 iOS/iPadOS 和 macOS 裝置上使用 Microsoft Enterprise SSO 外掛程式 Microsoft Intune
  • 使用 MSAL 在 Android 上啟用跨應用程式 SSO

後續步驟

• 使用 Microsoft Intune 管理身分識別
• 使用 Microsoft Intune 管理裝置
• 使用 Microsoft Intune管理應用程式