共用方式為


Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置

由於組織支援混合式和遠端員工,因此會面臨管理可存取組織資源之不同裝置的挑戰。 員工和學生需要共同作業、從任何地方工作,以及安全地存取和聯機到這些資源。 系統管理員必須保護組織數據、管理使用者存取權,以及支援使用者不論工作何處。

✅若要協助解決這些挑戰和工作,請使用 Microsoft Intune。

Microsoft Intune 是雲端端點管理解決方案。 它會管理使用者對組織資源的存取權,並簡化您許多裝置上的應用程式和裝置管理,包括行動裝置、桌面計算機和虛擬端點。

顯示 Microsoft Intune 特性和優點的圖表。

您可以保護組織擁有和使用者個人裝置上的存取權和資料。 此外,Intune 具有支援 零信任 安全性模型的合規性和報告功能。

本文列出 Microsoft Intune 的一些功能和優點。

提示

主要功能和優點

Intune 的一些主要功能和優點包括:

管理使用者和裝置

透過 Intune,您可以管理組織所擁有的裝置,以及使用者所擁有的裝置。 Microsoft Intune 支援 Android、Android 開放原始碼專案 (AOSP) 、iOS/iPadOS、Linux Ubuntu Desktop、macOS 和 Windows 用戶端裝置。 透過 Intune,您可以使用這些裝置,透過您建立的原則安全地存取組織資源。

如需詳細資訊,請移至:

注意事項

如果您管理內部部署 Windows Server,您可以使用 Configuration Manager。

簡化應用程式管理

Intune 具有內建的應用程式體驗,包括應用程式部署、更新和移除。 您可以:

  • 從私人應用程式市集連線並散發應用程式。
  • 啟用 Microsoft 365 應用程式,包括 Microsoft Teams。
  • 部署 Win32 和企業營運 (LOB) 應用程式。
  • Create 保護應用程式內數據的應用程式保護原則。
  • 管理應用程式 & 其數據的存取權。

如需詳細資訊,請移至使用 Microsoft Intune 管理應用程式

自動化原則部署

您可以建立應用程式、安全性、裝置設定、合規性、條件式存取等原則。 當原則準備就緒時,您可以將這些原則部署到您的使用者群組和裝置群組。 若要接收這些原則,裝置只需要因特網存取。

如需詳細資訊,請移至在 Microsoft Intune 中指派原則

使用自助功能

員工和學生可以使用 公司入口網站 應用程式和網站來重設 PIN/密碼、安裝應用程式、加入群組等等。 您可以自定義 公司入口網站,以協助減少支援呼叫。

如需詳細資訊,請移至設定 Intune 公司入口網站 應用程式、公司入口網站 網站和 Intune 應用程式

與行動威脅防禦整合

Intune 與 適用於端點的 Microsoft Defender 第三方合作夥伴服務整合。 透過這些服務,重點在於端點安全性。 您可以建立原則來回應威脅、執行實時風險分析,以及自動化補救。

如需詳細資訊,請移至Mobile Threat Defense 與 Intune整合

使用 Web 型系統管理中心

Intune 系統管理中心著重於端點管理,包括數據驅動報告。 系統管理員可以從任何可存取因特網的裝置登入系統管理中心。

如需詳細資訊,請移至 Intune 系統管理中心逐步解說。 若要登入系統管理中心,請移至 Microsoft Intune 系統管理中心

此系統管理中心會使用 Microsoft Graph REST API,以程式設計方式存取 Intune 服務。 系統管理中心的每個動作都是 Microsoft Graph 通話。 如果您不熟悉 Graph,而且想要深入瞭解,請移至 Graph 與 Microsoft Intune 整合

進階端點管理和安全性

Microsoft Intune Suite 提供不同的功能,例如 遠端說明、端點許可權管理、適用於 MAM 的 Microsoft Tunnel 等等。

如需詳細資訊,請移至 Intune Suite 附加元件功能。

提示

逐步執行訓練課程模組,以瞭解如何透過 Microsoft Intune 從新式端點管理獲益

在 Intune 中使用 Microsoft Copilot 進行 AI 產生的分析

Intune 中的 Copilot 可供使用,且具有由 Copilot for Security 提供技術的功能。

Copilot 可以摘要說明現有的原則,提供更多設定資訊,包括建議的值和潛在的衝突。 您也可以取得裝置詳細數據,並針對裝置進行疑難解答。

如需詳細資訊,請移至 Intune 中的 Microsoft Copilot

與其他 Microsoft 服務和應用程式整合

Microsoft Intune 與其他著重於端點管理的 Microsoft 產品和服務整合,包括:

與第三方合作夥伴裝置和應用程式整合

Intune 系統管理中心可讓您輕鬆地連線到不同的合作夥伴服務,包括:

透過這些服務,Intune:

  • 讓系統管理員簡化第三方合作夥伴應用程式服務的存取。
  • 可以管理數百個第三方合作夥伴應用程式。
  • 支援公用零售市集應用程式、企業營運 (LOB) 應用程式、公用市集中無法使用的私人應用程式、自定義應用程式等等。

如需在 Intune 中註冊第三方合作夥伴裝置的更多平臺特定需求,請移至:

註冊裝置管理、應用程式管理或兩者

✅組織擁有的裝置會在 Intune 中註冊,以進行行動裝置管理, (MDM) 。 MDM 以裝置為中心,因此裝置功能會根據需要的人員進行設定。 例如,您可以設定裝置以允許存取Wi-Fi,但前提是登入的用戶是組織帳戶。

在 Intune 中,您會建立原則來設定功能 & 設定,並提供安全性 & 保護。 您的系統管理小組會完全管理裝置,包括登入的使用者身分識別、已安裝的應用程式,以及存取的數據。

當裝置註冊時,您可以在註冊程序期間部署原則。 註冊完成時,裝置即可供使用。

✅針對自備裝置 (BYOD) 案例中的個人裝置,您可以使用 Intune 來管理行動應用程式, (MAM) 。 MAM 以使用者為中心,因此無論用來存取此資料的裝置為何,應用程式數據都會受到保護。 著重於應用程式,包括安全地存取應用程式,以及保護應用程式內的數據。

使用 MAM,您可以:

  • 將行動裝置應用程式發佈給使用者。
  • 設定應用程式並自動更新應用程式。
  • 檢視著重於應用程式清查和應用程式使用量的數據報表。

✅ 您也可以同時使用 MDM 和 MAM。 如果您的裝置已註冊,而且有需要額外安全性的應用程式,您也可以使用 MAM 應用程式保護原則。

如需詳細資訊,請移至:

保護任何裝置上的數據

透過 Intune,您可以在 Intune) 註冊 (保護受管理裝置上的數據,並保護未在 Intune) 中註冊之非受控裝置上的數據 (。 Intune 可以隔離組織數據與個人資料。 其概念是使用您設定和部署的原則來保護公司資訊。

針對組織擁有的裝置,您想要完全控制裝置,特別是安全性。 當裝置註冊時,它們會收到您的安全性規則和設定。

在 Intune 註冊的裝置上,您可以:

  • Create和部署設定安全性設定、設定密碼需求、部署憑證等原則。
  • 使用行動威脅防禦服務來掃描裝置、偵測威脅,以及補救威脅。
  • 檢視數據和報告,以測量安全性設定和規則的合規性。
  • 使用條件式存取,只允許受管理且相容的裝置存取組織資源、應用程式和數據。
  • 如果裝置遺失或遭竊,請移除組織數據。

對於個人裝置,使用者可能不希望其IT系統管理員擁有完全控制權。 若要支援混合式工作環境,請提供用戶選項。 例如,如果使用者想要完整存取貴組織的資源,請註冊其裝置。 或者,如果這些使用者只想要存取 Outlook 或 Microsoft Teams,請使用需要多重要素驗證的應用程式保護原則 (MFA) 。

在使用應用程式管理的裝置上,您可以:

  • 使用行動威脅防護服務來保護應用程式數據。 服務可以掃描裝置、偵測威脅,以及評估風險。
  • 防止將組織數據複製並貼到個人應用程式中。
  • 在第三方或合作夥伴 MDM 中註冊的應用程式和非受控裝置上使用應用程式保護原則。
  • 使用條件式存取來限制可存取組織電子郵件和檔案的應用程式。
  • 拿掉應用程式內的組織數據。

如需詳細資訊,請移至:

簡化存取

Intune 可協助組織支援可從任何地方工作的員工。 您可以設定一些功能,讓使用者可以隨時隨地連線到組織。

本節包含一些您可以在 Intune 中設定的常見功能。

使用 Windows Hello 企業版 而非密碼

Windows Hello 企業版 有助於防範網路釣魚攻擊和其他安全性威脅。 它也可協助使用者更快速且輕鬆地登入其裝置和應用程式。

Windows Hello 企業版 以 PIN 或生物特徵辨識取代密碼,例如指紋或臉部辨識。 此生物特徵辨識資訊會儲存在本機裝置上,而且永遠不會傳送至外部裝置或伺服器。

如需詳細資訊,請移至:

Create遠端使用者的 VPN 連線

VPN 原則可讓使用者安全地遠端存取您的組織網路。

使用常見的 VPN 連線合作夥伴,包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等等,您可以使用網路設定來建立 VPN 原則。 當原則準備就緒時,您會將此原則部署到需要從遠端連線到網路的用戶和裝置。

在 VPN 原則中,您可以使用憑證來驗證 VPN 連線。 當您使用憑證時,終端使用者不需要輸入使用者名稱和密碼。

如需詳細資訊,請移至:

Create 內部部署使用者的 Wi-Fi 連線

對於需要連線到組織內部部署網路的使用者,您可以使用網路設定建立 Wi-Fi 原則。 您可以連線到特定 SSID、選取驗證方法、使用 Proxy 等等。 您也可以將原則設定為在裝置範圍內時自動連線到 Wi-Fi。

在 Wi-Fi 原則中,您可以使用憑證來驗證 Wi-Fi 連線。 當您使用憑證時,終端使用者不需要輸入使用者名稱和密碼。

當原則準備就緒時,您會將此原則部署至需要連線到內部部署網路的內部部署用戶和裝置。

如需詳細資訊,請移至:

對您的應用程式和服務啟用單一登錄 (SSO)

當您啟用 SSO 時,使用者可以使用其 Microsoft Entra 組織帳戶自動登入應用程式和服務,包括一些行動威脅防禦夥伴應用程式。

特別是: