Contoso 的行動裝置管理
Microsoft 365 企業版包含 Intune 和一組 Azure 服務,可支援行動裝置和應用程式管理和安全性。
Contoso 有許多啟用行動裝置的員工。 有些在 Contoso 位置有辦公室,有些則沒有辦公室。 Contoso 需要一種方式來提高員工生產力,但要確保裝置、儲存在這些裝置上的 Contoso 資料,以及應用程式行為的安全。
規劃
Contoso 識別出下列適用于 Microsoft 365 企業版的行動裝置管理 Intune 使用案例:
- 保護Exchange Online電子郵件和資料,讓行動裝置可以安全地加以存取。
- 為 Contoso 員工實作自備裝置 (BYOD) 計畫。
- 向 Contoso 員工發出組織擁有的手機和有限用途的共用平板電腦。
Contoso 不會使用 Intune 來:
- 允許員工從非受控公用 Kiosk 安全地存取 Microsoft 365。
- 保護內部部署電子郵件和資料,讓行動裝置可以安全地加以存取,因為沒有內部部署 Microsoft Exchange 伺服器。
部署
這是 Contoso 設定行動裝置管理基礎架構的方式:
將 Intune 設定為行動裝置管理 (MDM) 授權單位,並在 Azure 上使用 Intune 來管理內容和管理裝置
針對註冊和 Intune 設定以及裝置型條件式存取原則的裝置建立Microsoft Entra群組
如需詳細資訊,請 參閱 Contoso 條件式存取原則。
已啟用 Apple 裝置平臺,以使用 iPad、iMacs 和 iPhone,以及公司擁有的 iPhone 支援員工
建立 Contoso 特定的條款與條件原則,會在行動裝置安裝 Contoso 公司入口網站時出現
針對未註冊的裝置,實作一組行動應用程式管理 (MAM) 原則,要求驗證才能存取 Microsoft 365 服務
建立 Intune 原則以強制執行:
- 允許的應用程式。
- 裝置加密有助於防止未經授權的存取。
- 六位數 PIN 或密碼。
- 非活動逾時期間。
- 防毒軟體和惡意程式碼保護,以及Windows 10裝置上Windows Defender簽章更新。
- 包含最新安全性更新Windows 10裝置上的自動更新。
- 將憑證推送至受控裝置。
- 清楚區分商務和個人資料。 使用者或系統管理員可以選擇性地從裝置抹除公司資料,同時讓圖片、個人電子郵件帳戶和個人檔案等個人資料保持不變。
Contoso 已將已部署的電腦和公司擁有的智慧型手機和平板電腦新增至適當的 Intune 裝置群組,以註冊它們。 他們也建立了 BYOD 計畫,讓員工註冊其個人裝置。 已註冊的裝置會收到 Intune 原則,這會導致受控且受保護的裝置及其應用程式。 未註冊的裝置具有行動應用程式管理 (MAM) 原則來指定允許的應用程式。
以下是 Contoso 行動裝置管理部署架構。
下一步
瞭解 Contoso 如何使用 Microsoft 365 企業版 的資訊保護功能 ,來分類、識別及保護整個組織的重要數位資產。