Поделиться через


Руководство по развертыванию: управление устройствами iOS и iPadOS в Microsoft Intune

Intune поддерживает управление мобильными устройствами (MDM) iPad и iPhone, чтобы предоставить пользователям безопасный доступ к корпоративной электронной почте, данным и приложениям. В этом руководстве приведены рекомендации для iOS, которые помогут настроить регистрацию и развернуть приложения и политики для пользователей и устройств.

Предварительные требования

Прежде чем начать, выполните эти предварительные требования, чтобы включить управление устройствами iOS/iPadOS в Intune. Дополнительная информация о настройке и подключении Intune, а также о переходе на этот сервис приведена в руководстве по развертыванию Intune.

Сведения о ролях и разрешениях Microsoft Intune см. в разделе RBAC с Microsoft Intune. Роли глобального администратора Microsoft Entra и администратора Intune имеют полные права в Microsoft Intune. Глобальный администратор имеет больше разрешений, чем требуется для многих задач управления устройствами в Microsoft Intune. Рекомендуется использовать роль с наименьшими привилегиями, необходимую для выполнения задач. Например, наименее привилегированной ролью, которая может выполнять задачи регистрации устройств, является диспетчер политик и профилей, встроенная Intune роль.

Планирование развертывания

В руководстве по планированию перехода на Microsoft Intune содержатся рекомендации и советы, которые помогут определить цели, сценарии использования и технические требования. В этом документе также описано, как спланировать развертывание, взаимодействие, поддержку, тестирование и проверки.

Создание правил соответствия требованиям

Используйте политики соответствия, чтобы определить правила и условия, которым должны соответствовать пользователи и устройства для доступа к защищенным ресурсам. При использовании условного доступа политики условного доступа могут использовать результаты соответствия устройств для блокировки доступа к ресурсам с несоответствующих устройств. Подробное описание политик соответствия и способы их применения приведены в статье Использование политик соответствия, позволяющих установить правила для устройств, управляемых с помощью Intune.

Задача Сведения
Создание политики соответствия Ознакомьтесь с пошаговыми инструкциями о том, как создать и назначить политики соответствия группам пользователей и устройств.
Добавление действий при несоответствии Выберите, что произойдет, если устройства больше не соответствуют условиям политики. Вы можете добавить действия при обнаружении несоответствия при настройке или изменении политики.
Создание политики условного доступа на основе устройств или приложений Укажите приложение или службы, безопасность которых необходимо обеспечить, и определите условия доступа к ним.
Блокировка приложений, не поддерживающих современные средства аутентификации Создайте политики условного доступа на основе приложений для блокировки приложений, использующих способы проверки подлинности, отличные от OAuth2. Например, вы можете заблокировать приложения, в которых применяется обычная проверка подлинности и аутентификация на основе форм. Однако перед блокировкой доступа войдите в Microsoft Entra ID и просмотрите отчет о действиях методов проверки подлинности, чтобы узнать, используют ли пользователи обычную проверку подлинности для доступа к важным вещам, о которых вы забыли или не знали. Например, календарные киоски для комнат используют обычную проверку подлинности.

Настройка безопасности конечных точек

Задайте настройки безопасности и управляйте задачами по безопасности на устройствах с высоким риском взлома с помощью функции безопасности конечных точек в Intune.

Задача Сведения
Управление устройствами с помощью функций безопасности конечных точек Используйте параметры безопасности конечных точек в Intune, чтобы эффективно управлять безопасностью устройств и устранять проблемы.
Включение соединителя Mobile Threat Defense в Intune для незарегистрированных устройств Включите соединение с MTD в Intune, чтобы партнерские приложения MTD могли работать с Intune и вашими политиками. Если вы не используете защитник Майкрософт для конечной точки, рассмотрите возможность включения соединителя, чтобы можно было использовать другое решение для защиты от угроз для мобильных устройств.
Создание политики защиты приложений MTD Создайте политику защиты приложений Intune, которая оценивает риск и ограничивает Корпоративный доступ устройства на основе уровня угрозы.
Добавление приложений MTD на незарегистрированные устройства Сделайте приложения MTD доступными для пользователей в вашей организации и настройте Microsoft Authenticator для iOS/iPadOS.
Условный доступ для ограничения доступа к Microsoft Tunnel Используйте политики условного доступа для доступа к VPN-шлюзу Microsoft на устройстве шлюза.

Настройка параметров устройства

Используйте Microsoft Intune, чтобы включить или отключить параметры и компоненты на устройствах iOS/iPadOS. Чтобы настроить и применить эти параметры, создайте профиль конфигурации устройства, а затем назначьте профиль группам в Организации. Устройства получают профиль после регистрации.

Задача Сведения
Создание профиля устройства в Microsoft Intune Узнайте о различных типах профилей устройств, которые вы можете создать для своей организации.
Настройка функций устройства Настройте общие функции и возможности iOS/iPadOS для работы или учебы. Описание параметров в этой области см. в справочнике по функциям устройств.
Настройка профиля Wi-Fi Этот профиль позволяет людям находить и подключаться к Wi-Fi сети вашей организации. Описание параметров в этой области см. в справочнике по функциям устройств.
Настройка профиля Wi-Fi Настройте безопаснjt VPN-подключение, например Microsoft Tunnel, для пользователей, подключающихся к сети организации. Вы также можете создать политику VPN для каждого приложения, чтобы требовать от пользователей входить в определенные приложения через VPN-подключение. Описание параметров в этой области см. в справочнике по функциям устройств.
Настройка электронной почты Настройте параметры электронной почты, чтобы пользователи могли подключаться к почтовому серверу и получать доступ к своей рабочей или учебной электронной почте. Описание параметров в этой области см. в справочнике по функциям устройств.
Ограничение возможностей устройств Защитите пользователей от несанкционированного доступа и отвлекающих факторов, ограничив функции устройства, которые они могут использовать на работе или в школе. Описание параметров в этой области см. в справочнике по функциям устройств.
Настройка индивидуального профиля Добавьте и назначьте параметры и функции устройства, которые не встроены в Intune.
Настройка фирменной символики и регистрации Настройте корпоративный портал Intune и приложение Microsoft Intune, используя собственные слова, фирменный стиль, настройки экрана и контактную информацию вашей организации.
Настройка политики обновления программного обеспечения Запланируйте автоматическое обновление ОС и установку для защищенных устройств iOS/iPadOS.

Использование безопасных методов проверки подлинности

Настройте методы проверки подлинности в Intune, чтобы обеспечить доступ к внутренним ресурсам только уполномоченным пользователям. Intune поддерживает многофакторную проверку подлинности, сертификаты и производные учетные данные. Сертификаты также могут использоваться для подписи и шифрования электронной почты с помощью S / MIME.

Задача Сведения
Требование многофакторной проверки подлинности (MFA) Требуйте от пользователей предоставлять два вида учетных данных во время регистрации.
Создание профиля доверенного сертификата Перед созданием профиля сертификата SCEP, PKCS или импортированного сертификата PKCS создайте и разверните профиль доверенного сертификата. Профиль доверенного сертификата развертывает доверенный корневой сертификат для устройств и пользователей с помощью импортированных сертификатов SCEP, PKCS и PKCS.
Использование сертификатов SCEP в Intune Узнайте, что необходимо для использования сертификатов SCEP в Intune и настройки необходимой инфраструктуры. После этого можно создать профиль сертификата SCEP или настроить сторонний центр сертификации с SCEP.
Использование сертификатов SCEP в Intune В этой статье вы узнаете, как настроить необходимую инфраструктуру (например локальные соединители сертификата), экспортировать сертификат PKCS и добавить сертификат в профиль конфигурации устройства Intune.
Использование импортированных сертификатов PKCS в Intune Используйте импортированные сертификаты PKCS, которые позволяют настроить и использовать S/MIME для шифрования электронной почты.
Настройка поставщика производных учетных данных Предоставьте устройствам iOS/iPadOS сертификаты, полученные из пользовательских смарт-карт.

Развертывание приложений

При настройке приложений и политик приложений подумайте о требованиях вашей организации, например о поддерживаемых платформах, задачах, которые пользователи должны выполнить, типах приложений для выполнения этих задач и о группах пользователей, которым нужны эти приложения. Intune можно использовать для управления всем устройством (включая приложения) или только приложениями.

Задача Сведения
Добавление приложений магазина Добавьте приложения iOS/iPadOS из App Store в Intune и распределите их по группам.
Добавление веб-приложений Добавьте веб-приложения в Intune и назначьте их группам.
Добавление встроенных приложений Добавьте встроенные веб-приложения в Intune и назначьте их группам.
Добавление бизнес-приложений Добавьте бизнес-приложения iOS/iPadOS в Intune и назначьте их группам.
Назначение приложений группам Назначьте приложения пользователям и устройствам.
Включение и исключение назначений приложений Управляйте доступом приложения путем включения и исключения выбранных групп из назначения.
Управление приложениями iOS/iPadOS, приобретенными через Apple Business Manager Синхронизируйте, управляйте и назначайте приложения, приобретенные через Apple Business Manager.
Управление электронными книгами iOS/iPadOS, приобретенными через Apple Business Manager Синхронизируйте, управляйте и назначайте электронные книги, приобретенные через Apple Business Manager.
Создание политики защиты приложений для iOS/iPadOS Храните данные организации, содержащиеся в управляемых приложениях, таких как Outlook и Word. Подробные сведения о каждом параметре см. в этой статье.
Создание профиля подготовки приложения Предотвратите истечение срока действия сертификатов приложений, заранее назначив новые профили подготовки устройствам, для которых истекает срок действия приложений.
Создание политики конфигурации приложений Примените пользовательские параметры конфигурации к приложениям iOS/iPadOS на зарегистрированных устройствах. Эти типы политик также можно применять к управляемым приложениям без регистрации устройства.
Настройка Microsoft Edge Используйте политики конфигурации и защиты приложений Intune в Edge для iOS и Android, чтобы гарантировать безопасность доступа на корпоративные веб-сайты.
Настройка приложений Microsoft Office Используйте политики конфигурации и защиты приложений Intune в Edge для iOS и Android, чтобы гарантировать безопасность доступа на корпоративные веб-сайты.
Настройка Microsoft Teams Используйте политики конфигурации и защиты приложений Intune в Teams, чтобы гарантировать безопасность доступа к возможностям для совместной работы.
Настройка Microsoft Outlook Используйте политики конфигурации и защиты приложений Intune в Edge для iOS и Android, чтобы гарантировать безопасность доступа на корпоративные веб-сайты.

Регистрация устройств

Регистрация устройств позволяет им получать создаваемые вами политики, поэтому Microsoft Entra группы пользователей и группы устройств готовы.

Сведения о каждом методе регистрации и о том, как выбрать подходящий для вашей организации, см. в статье руководство по регистрации устройств iOS/iPadOS в Microsoft Intune.

Задача Сведения
Настройка автоматической регистрации устройств Apple (ADE) в Intune Настройте готовую процедуру регистрации для корпоративных устройств, приобретенных через Apple School Manager или Apple Business Manager. Подробнее см. в Руководство. Использование функции регистрации корпоративных устройств Apple в Apple Business Manager (ABM) для регистрации устройств iOS и iPadOS в Intune
Настройка Apple School Manager в Intune Настройте Intune для регистрации устройств, приобретенных через программу Apple School Manager.
Настройка регистрации устройств iOS и iPadOS с помощью Apple Configurator Создайте профиль Apple Configurator для регистрации корпоративных устройств (без сопоставления пользователей) через прямую регистрацию без участия торгового посредника; или регистрации очищенных или новых устройств (с сопоставлением пользователей) через помощника по настройке. Вам нужно будет экспортировать профиль Apple Configurator из Intune, для чего требуется USB-подключение к компьютеру Mac, на котором запущен Apple Configurator.
Определение устройства как корпоративного Присваивайте устройствам статус корпоративной собственности, чтобы активировать дополнительные возможности управления и идентификации в Intune. Корпоративный статус нельзя присвоить устройствам, зарегистрированным через Apple Business Manager.
Настройка регистрации пользователей Apple Создайте профиль регистрации пользователей, чтобы развернуть интерфейс регистрации пользователей Apple на устройствах с помощью управляемого идентификатора Apple ID.
Настройка общих устройств iPad Настройте устройства таким образом, чтобы они могли использоваться более чем одним человеком (тип установки, отображаемый в библиотеке или в среде образовательных учреждений).
Резервное копирование и восстановление устройств Выполняйте резервное копирование и восстановление устройства для подготовки к регистрации или миграции в Intune, например во время автоматической настройки регистрации устройств.
Смена владения устройством После регистрации устройства можно изменить его метку владения в Intune на корпоративное или личное. Эта настройка меняет способ управления устройством.
Устранение проблем с регистрацией Устраняйте неполадки и находите решения проблем, возникающих во время регистрации.

Применение удаленных действий

После настройки устройств вы можете использовать удаленные действия в Intune, чтобы управлять устройствами и устранять неполадки удаленно. Доступность настроек зависит от платформы устройства. Если действие отсутствует или отключено на портале, значит, устройство его не поддерживает.

Задача Сведения
Выполнение удаленных действий на устройствах Узнайте, как детализировать и удаленно управлять отдельными устройствами в Intune, а также устранять их неполадки. В этой статье перечислены все удаленные действия, доступные в Intune, а также приведены ссылки на эти процедуры.
Удаленное администрирование устройств Intune с помощью TeamViewer В этом разделе описано, как настроить TeamViewer в Intune и удаленно управлять устройством.
Устранение уязвимостей, обнаруженных Microsoft Defender для конечной точки При интеграции Intune с Microsoft Defender для конечной точки можно воспользоваться управлением угрозами и уязвимостями в Defender для конечной точки, а также использовать Intune для устранения уязвимостей конечной точки, обнаруженных с помощью возможности управления угрозами в Defender.

Дальнейшие действия

Ознакомьтесь с этими руководствами по регистрации, чтобы узнать, как выполнять некоторые из основных задач в Intune. Учебники — это контент на уровне 100–200 для людей, которые впервые работают с Intune или конкретным сценарием.

Версию этого руководства для Android см. здесь: Руководство по развертыванию. Управление устройствами Android в Microsoft Intune.