category
随着组织支持混合和远程劳动力,他们面临着管理访问组织资源的不同设备的挑战。员工和学生需要协作,在任何地方工作,并安全地访问和连接这些资源。管理员需要保护组织数据,管理最终用户访问权限,并支持用户在任何地方工作。
✅ 为了帮助应对这些挑战和任务,请使用Microsoft Intune。
Microsoft Intune是一个基于云的端点管理解决方案。它管理用户对组织资源的访问,并简化了跨许多设备(包括移动设备、台式计算机和虚拟端点)的应用程序和设备管理。
显示Microsoft Intune的功能和优点的图。
您可以保护组织拥有的和用户个人设备上的访问和数据。而且,Intune具有支持零信任安全模型的合规性和报告功能。
本文列出了Microsoft Intune的一些功能和优点。
小贴士
要获取Intune,请转到可用于Microsoft Intune和Intune 30天试用的许可证。
有关Intune许可计划的更多信息,请访问Microsoft Intune功能和计划。
有关云原生意味着什么的信息,请访问了解更多关于云原生端点的信息。
主要功能和优点
Intune的一些关键功能和好处包括:
✅ 管理用户和设备
使用Intune,您可以管理组织拥有的设备和最终用户拥有的设备。Microsoft Intune支持Android、Android开源项目(AOSP)、iOS/iPad、Linux Ubuntu桌面、macOS和Windows客户端设备。使用Intune,您可以使用这些设备根据您创建的策略安全地访问组织资源。
有关更多信息,请访问:
- Manage identities using Microsoft Intune
- Manage devices using Microsoft Intune
- Supported operating systems in Microsoft Intune
注:如果管理本地Windows Server,则可以使用配置管理器。
✅ 简化应用程序管理
Intune具有内置的应用程序体验,包括应用程序部署、更新和删除。你可以:
连接到您的私人应用商店并从中分发应用。
启用Microsoft 365应用程序,包括Microsoft Teams。
部署Win32和业务线(LOB)应用程序。
创建保护应用程序内数据的应用程序保护策略。
管理对应用程序及其数据的访问。
有关详细信息,请转到使用Microsoft Intune管理应用程序。
✅ 自动化策略部署
您可以为应用程序、安全性、设备配置、合规性、条件访问等创建策略。当策略准备就绪时,您可以将这些策略部署到您的用户组和设备组。要接收这些策略,设备只需要访问互联网。
有关详细信息,请转到Microsoft Intune中的分配策略。
✅ 使用自助服务功能
员工和学生可以使用公司门户应用程序和网站重置PIN/密码、安装应用程序、加入群组等。您可以自定义公司门户,以帮助减少支持电话。
有关详细信息,请转到配置Intune公司门户应用程序、公司门户网站和Intune应用程序。
✅ 与移动威胁防御集成
Intune与Microsoft Defender for Endpoint和第三方合作伙伴服务集成。通过这些服务,重点是端点安全。您可以创建应对威胁的策略,进行实时风险分析,并自动进行补救。
有关更多信息,请转到与Intune的移动威胁防御集成。
✅ 使用基于web的管理中心
Intune管理中心专注于端点管理,包括数据驱动的报告。管理员可以从任何可以访问互联网的设备登录到管理中心。
有关更多信息,请转到Intune管理中心的演练。要登录到管理中心,请转到Microsoft Intune管理中心。
此管理中心使用Microsoft Graph REST API以编程方式访问Intune服务。管理中心中的每个操作都是Microsoft Graph调用。如果您不熟悉Graph,并想了解更多信息,请转到Graph与Microsoft Intune的集成。
✅ 高级端点管理和安全
Microsoft Intune Suite提供不同的功能,如远程帮助、端点权限管理、用于MAM的Microsoft隧道等。
有关更多信息,请转到Intune Suite附加功能。
小贴士
逐步完成培训模块,了解如何从Microsoft Intune的现代端点管理中受益。
✅ 在Intune中使用Microsoft Copilot进行AI生成的分析
Intune中的Copilot可用,并具有由Copilot for Security提供的功能。
Copilot可以总结现有策略,为您提供更多设置信息,包括推荐值和潜在冲突。您还可以获取设备详细信息并对设备进行故障排除。
有关详细信息,请转到Intune中的Microsoft Copilot。
与其他Microsoft服务和应用程序集成
Microsoft Intune与其他专注于端点管理的Microsoft产品和服务集成,包括:
- 用于本地端点管理和Windows Server的配置管理器,包括部署软件更新和管理数据中心
您可以在共同管理场景中同时使用Intune和Configuration Manager,使用租户连接,或同时使用两者。通过这些选项,您可以获得基于web的管理中心的好处,并可以使用Intune中提供的其他基于云的功能。
有关更多具体信息,请访问:
- 用于现代操作系统部署和配置的Windows Autopilot
使用Windows Autopilot,您可以配置新设备,并将这些设备直接从OEM或设备提供商发送给用户。对于现有设备,您可以重新映像这些设备以使用Windows Autopilot并部署最新的Windows版本。
有关更多具体信息,请访问:
- 端点分析,用于查看和报告终端用户体验,包括设备性能和可靠性
您可以使用端点分析来帮助识别降低设备速度的策略或硬件问题。它还提供了指导,可以帮助您主动改善最终用户体验并减少帮助台工单。
有关更多具体信息,请访问:
- 适用于最终用户生产力的Microsoft 365 Office应用程序,包括Outlook、Teams、Sharepoint、OneDrive等
使用Intune,您可以将Microsoft 365应用程序部署到组织中的用户和设备。您还可以在用户首次登录时部署这些应用程序。
有关更多具体信息,请访问:
- Add Microsoft 365 Apps to Windows 10/11 devices with Microsoft Intune
- Microsoft 365 docs: Manage devices with Intune
- Microsoft Defender for Endpoint可帮助企业预防、检测、调查和应对威胁
在Intune中,您可以在Intune和Microsoft Defender for Endpoint之间创建服务到服务的连接。当它们连接时,您可以创建扫描文件、检测威胁并向Microsoft Defender for Endpoint报告威胁级别的策略。您还可以制定合规政策,设定允许的风险水平。当与条件访问相结合时,您可以阻止不符合要求的设备访问组织资源。
有关更多具体信息,请访问:
- Enforce compliance for Microsoft Defender for Endpoint with Conditional Access in Intune
- Configure Microsoft Defender for Endpoint in Intune
- Windows Autopatch用于自动修补Windows、适用于企业的Microsoft 365应用程序、Microsoft Edge和Microsoft Teams
Windows Autopatch是一项基于云的服务。它使软件保持最新,为用户提供最新的生产力工具,最大限度地减少本地基础设施,并帮助您的It管理员腾出时间专注于其他项目。Windows自动修补使用Microsoft Intune来管理Intune注册设备或使用共同管理(Intune+配置管理器)的设备的修补。
有关更多具体信息,请访问:
与第三方合作伙伴设备和应用程序集成
Intune管理中心使连接到不同的合作伙伴服务变得容易,包括:
- 适用于Android应用程序的托管Google Play:当您连接到托管Google Play帐户时,管理员可以访问您组织的Android应用程序私人商店,并将这些应用程序部署到您的设备上。
有关更多信息,请转到使用Intune将托管Google Play应用程序添加到Android Enterprise设备。
- 用于注册和应用程序的Apple令牌和证书:添加后,您的iOS/iPad和macOS设备可以在Intune中注册并从Intune接收策略。管理员可以访问您批量购买的iOS/iPad和macOS应用程序许可证,并将这些应用程序部署到您的设备上。
有关更多信息,请访问:
获取Apple MDM推送证书
使用Apple的自动设备注册功能自动注册iOS/iPad设备
使用Microsoft Intune管理通过Apple Business Manager购买的iOS和macOS应用程序
- TeamViewer用于远程协助:当您连接到TeamViewer帐户时,您可以使用TeamViewer远程协助设备。
有关更多信息,请转到使用TeamViewer远程管理Intune设备。
使用这些服务,Intune:
- 为管理员提供对第三方合作伙伴应用程序服务的简化访问。
- 可以管理数百个第三方合作伙伴应用程序。
- 支持公共零售商店应用程序、业务线(LOB)应用程序、公共商店中不可用的私人应用程序、自定义应用程序等。
有关在Intune中注册第三方合作伙伴设备的更多平台特定要求,请访问:
部署指南:在Microsoft Intune中注册Android设备
部署指南:在Microsoft Intune中注册iOS和iPadOS设备
部署指南:在Microsoft Intune中注册Linux设备
部署指南:在Microsoft Intune中注册macOS设备
注册设备管理、应用程序管理或两者兼而有之
✅ 组织拥有的设备已在Intune中注册,用于移动设备管理(MDM)。MDM是以设备为中心的,因此设备功能是根据谁需要来配置的。例如,您可以配置设备以允许访问Wi-Fi,但前提是登录用户是组织帐户。
在Intune中,您可以创建配置功能和设置并提供安全和保护的策略。您的管理员团队完全管理设备,包括登录的用户身份、安装的应用程序和访问的数据。
当设备注册时,您可以在注册过程中部署策略。注册完成后,设备即可使用。
✅ 对于自带设备(BYOD)场景中的个人设备,您可以使用Intune进行移动应用程序管理(MAM)。MAM以用户为中心,因此无论使用何种设备访问这些数据,应用程序数据都会受到保护。重点放在应用程序上,包括安全访问应用程序和保护应用程序内的数据。
使用MAM,您可以:
向用户发布移动应用程序。
配置应用程序并自动更新应用程序。
查看关注应用库存和应用使用情况的数据报告。
✅ 您还可以同时使用MDM和MAM。如果您的设备已注册,并且有需要额外安全性的应用程序,那么您也可以使用MAM应用程序保护策略。
有关更多信息,请访问:
保护任何设备上的数据
使用Intune,您可以保护托管设备(在Intune中注册)上的数据,也可以保护非托管设备(未在Intune中订阅)上的信息。Intune可以将组织数据与个人数据隔离开来。这个想法是使用您配置和部署的策略来保护您的公司信息。
对于组织拥有的设备,您希望完全控制设备,特别是安全性。当设备注册时,它们会收到您的安全规则和设置。
在Intune中注册的设备上,您可以:
创建和部署配置安全设置、设置密码要求、部署证书等的策略。
使用移动威胁防御服务扫描设备、检测威胁和修复威胁。
查看衡量安全设置和规则合规性的数据和报告。
使用条件访问仅允许受管和合规设备访问组织资源、应用程序和数据。
如果设备丢失或被盗,请删除组织数据。
对于个人设备,用户可能不希望他们的IT管理员拥有完全控制权。要支持混合工作环境,请为用户提供选项。例如,如果用户想要完全访问您组织的资源,可以注册他们的设备。或者,如果这些用户只想访问Outlook或Microsoft Teams,则使用需要多因素身份验证(MFA)的应用程序保护策略。
在使用应用程序管理的设备上,您可以:
使用移动威胁防御服务来保护应用程序数据。该服务可以扫描设备、检测威胁和评估风险。
防止组织数据被复制和粘贴到个人应用程序中。
在第三方或合作伙伴MDM中注册的应用程序和非托管设备上使用应用程序保护策略。
使用条件访问来限制可以访问组织电子邮件和文件的应用程序。
删除应用程序中的组织数据。
有关更多信息,请访问:
使用Microsoft Intune保护数据和设备
移动威胁防御与Intune的集成
简化访问
Intune帮助组织支持可以在任何地方工作的员工。您可以配置一些功能,允许用户连接到组织,无论他们身在何处。
本节包括您可以在Intune中配置的一些常见功能。
使用Windows Hello for Business而不是密码
Windows Hello for Business有助于防止网络钓鱼攻击和其他安全威胁。它还可以帮助用户更快、更轻松地登录他们的设备和应用程序。
Windows Hello for Business将密码替换为PIN或生物识别,如指纹或面部识别。这些生物特征信息存储在设备本地,从不发送到外部设备或服务器。
有关更多信息,请访问:
获取Windows Hello for Business概述
在设备注册Intune时管理设备上的Windows Hello for Business
使用Microsoft Intune管理身份
为远程用户创建VPN连接
VPN策略使用户能够安全地远程访问您的组织网络。
使用常见的VPN连接合作伙伴,包括Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure等,您可以使用您的网络设置创建VPN策略。当策略准备就绪时,您可以将此策略部署到需要远程连接到网络的用户和设备。
在VPN策略中,您可以使用证书对VPN连接进行身份验证。当您使用证书时,您的最终用户不需要输入用户名和密码。
有关更多信息,请访问:
创建VPN配置文件以连接到Intune中的VPN服务器
在Intune中使用证书进行身份验证
了解有关Intune的Microsoft Tunnel的更多信息
使用Microsoft隧道进行MAM
为本地用户创建Wi-Fi连接
对于需要连接到本地组织网络的用户,您可以使用网络设置创建Wi-Fi策略。您可以连接到特定的SSID、选择身份验证方法、使用代理等。您还可以配置策略,使其在设备在范围内时自动连接到Wi-Fi。
在Wi-Fi策略中,您可以使用证书对Wi-Fi连接进行身份验证。当您使用证书时,您的最终用户不需要输入用户名和密码。
当策略准备就绪时,您可以将此策略部署到需要连接到本地网络的本地用户和设备。
有关更多信息,请访问:
创建Wi-Fi策略以连接到Intune中的Wi-Fi网络
在Microsoft Intune中使用证书进行身份验证
为您的应用程序和服务启用单点登录(SSO)
启用SSO后,用户可以使用其Microsoft Entra组织帐户自动登录应用程序和服务,包括一些移动威胁防御合作伙伴应用程序。
明确地:
在Windows设备上,SSO会自动内置并用于登录使用Microsoft Entra ID进行身份验证的应用程序和网站,包括Microsoft 365应用程序。您还可以在VPN和Wi-Fi策略上启用SSO。
在iOS/iPad和macOS设备上,您可以使用Microsoft Enterprise SSO插件自动登录到使用Microsoft Entra ID进行身份验证的应用程序和网站,包括Microsoft 365应用程序。
有关更多信息,请转到Microsoft Intune中Apple设备的单点登录(SSO)概述和选项。
在Android设备上,您可以使用Microsoft身份验证库(SSO)为Android应用程序启用SSO。
有关更多信息,请访问:
- How SSO to on-premises resources works on Microsoft Entra joined devices
- Use the Microsoft Enterprise SSO plug-in on iOS/iPadOS and macOS devices in Microsoft Intune
- Enable cross-app SSO on Android using MSAL
相关文章
- 登录 发表评论
- 9 次浏览
Tags
最新内容
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week ago
- 1 week 6 days ago
- 2 weeks ago
- 2 weeks 3 days ago
- 2 weeks 3 days ago
- 2 weeks 3 days ago