什么是Microsoft Intune?
Microsoft Intune是一项基于云的服务,专注于移动设备管理(MDM)和移动应用程序管理(MAM)。您可以控制组织设备的使用方式,包括手机,平板电脑和笔记本电脑。还可以配置特定策略来控制应用程序。例如,您可以阻止将电子邮件发送给组织外部的人。Intune还允许您组织中的人在学校或工作中使用其个人设备。在个人设备上,Intune帮助确保您的组织数据受到保护,并可以将组织数据与个人数据隔离。
Intune是Microsoft企业移动性和安全性(EMS)套件的一部分。Intune与Azure Active Directory(Azure AD)集成以控制谁有权访问以及他们可以访问什么。它还与Azure信息保护集成以提供数据保护。它可以与Microsoft 365产品套件一起使用。例如,您可以将Microsoft Teams,OneNote和其他Microsoft 365应用程序部署到设备。此功能使组织中的人员可以在其所有设备上高效工作,同时通过创建的策略保护组织的信息。
- 选择使用Intune作为100%云,可以实现Configuration Manager和Intune共同管理。
- 在个人和组织拥有的设备上设置规则并配置设置,以访问数据和网络。
- 在本地和移动设备上部署和验证应用程序。
- 通过控制用户访问和共享信息的方式来保护您的公司信息。
- 确保设备和应用符合您的安全要求。
移动设备管理(MDM)
在Intune中,您可以使用适合您的方法来管理设备。对于组织拥有的设备,您可能希望对设备进行完全控制,包括设置,功能和安全性。通过这种方法,设备和这些设备的用户会“注册” Intune。一旦注册,他们就会通过Intune中配置的策略接收您的规则和设置。例如,您可以设置密码和PIN要求,创建VPN连接,设置威胁防护等等。对于个人设备或自带设备(BYOD),用户可能不希望其组织管理员拥有完全控制权。用这种方法,为用户提供选择。例如,如果用户要完全访问您的组织资源,则注册他们的设备。或者,如果这些用户只希望访问电子邮件或Microsoft Teams,则使用需要多因素身份验证(MFA)的应用程序保护策略才能使用这些应用程序。
- 查看已注册的设备,并获取访问组织资源的设备清单。
- 配置设备,使其符合您的安全和健康标准。例如,您可能想阻止越狱设备。
- 将证书推送到设备,以便用户可以轻松访问您的Wi-Fi网络,或使用VPN连接到您的网络。
- 查看有关符合和不符合的用户和设备的报告。
- 如果设备丢失,被盗或不再使用,请删除组织数据。
移动应用管理
Intune中的移动应用程序管理(MAM)旨在在应用程序级别保护组织数据,包括自定义应用程序和商店应用程序。应用程序管理可以在组织拥有的设备和个人设备上使用。
在Intune中管理应用程序后,管理员可以:
- 将移动应用添加并分配给用户组和设备,包括特定组中的用户,特定组中的设备等。
- 将应用程序配置为在启用特定设置的情况下启动或运行,并更新设备上已存在的现有应用程序。
- 查看有关使用哪些应用程序的报告,并跟踪其使用情况。
- 通过仅从应用程序中删除组织数据来进行选择性擦除。
Intune提供移动应用程序安全性的一种方法是通过应用程序保护策略。应用保护政策:
- 使用Azure AD身份将组织数据与个人数据隔离。因此,个人信息与组织的IT意识是隔离的。使用组织凭据访问的数据将获得额外的安全保护。
- 通过限制用户可以执行的操作(例如复制和粘贴,保存和查看)来帮助保护个人设备上的访问。
- 可以在已注册Intune,已注册另一个MDM服务或未注册任何MDM服务的设备上创建和部署。在已注册的设备上,应用程序保护策略可以添加额外的保护层。
合规性有条件访问
Intune与Azure AD集成在一起,以实现广泛的访问控制方案。例如,在访问网络资源(例如电子邮件或SharePoint)之前,要求移动设备符合Intune中定义的组织标准。同样,您可以锁定服务,以便仅对特定的一组移动应用程序可用。例如,您可以锁定Exchange Online,以便仅由Outlook或Outlook Mobile访问它。
前提条件
Intune独立的主要要求是:
- 企业移动性和安全性(EMS)/ Intune订阅
- Office 365订阅(用于Office应用程序和应用程序保护策略托管的应用程序)
- Apple APNs证书(以启用iOS / iPadOS设备平台管理)
- Azure AD Connect(用于目录同步)
- 用于Exchange的Intune本地连接器(如果需要,用于Exchange本地的条件访问)
- Intune证书连接器(如果需要,用于SCEP证书部署)
实施流程
1, 获取Intune订阅
如上面Intune要求部分所述,您需要EMS或Intune订阅。如果您的组织没有,请与Microsoft或Microsoft客户团队联系,以了解您有兴趣购买Enterprise Mobility + Security(EMS)或Intune。
2, 添加O365订阅
此步骤是可选的。如果您计划使用Exchange Online并使用应用程序保护策略管理Office移动应用程序,则需要Office 365订阅。
3, 在Azure AD中添加用户组
您可能需要根据Intune部署用例场景和要求在Active Directory或Azure Active Directory中添加用户或安全组。查看Active Directory或Azure Active Directory中的当前用户和安全组,并确定它们是否完全满足您的需求。添加新用户和安全组时,建议将它们添加到Active Directory中,并使用Azure AD Connect与Azure Active Directory同步。
4, 分配Intune和O365用户许可信息
您针对EMS / Intune和Office 365推出的所有用户都需要分配一个许可证。您可以在Microsoft 365管理中心中分配EMS / Intune和Office 365许可证。
5, 添加和部署条件策略
Intune支持条款和条件政策。适当添加条款和条件策略,然后根据您的Intune部署用例和要求将它们部署到目标组。
6, 添加和部署配置策略
Intune支持两种类型的配置策略,常规和自定义。根据需要添加配置策略,然后根据您的Intune部署用例和要求将其部署到目标组。
7, 添加和部署资源配置文件
Intune支持电子邮件,Wi-Fi和VPN配置文件。根据需要添加这些配置文件,并根据您的Intune部署用例和要求将它们部署到目标组。
8, 添加和部署应用
Intune支持Web,业务线和公共商店应用程序的部署。您还可以通过将与Intune SDK集成的应用程序与应用程序保护策略相关联来管理它们。根据您的Intune部署用例和要求,适当地添加应用程序并将其部署到目标组。
9, 添加和部署合规性策略
Intune支持合规性策略。适当添加合规性策略,然后根据Intune部署用例和要求将其部署到目标组。
10, 启用条件访问
Intune支持对Exchange Online,Exchange本地,SharePoint Online,Skype for Business Online和Dynamics CRM Online进行条件访问。根据您的Intune部署用例和要求,适当地启用和配置条件访问。
11, 注册设备
Intune支持iOS / iPadOS,Mac OS,Android,Windows桌面和Windows移动设备平台。根据您的Intune部署用例和要求,适当地注册移动设备平台。