Поделиться через

Приобретение и добавление приложений для Microsoft Intune

  • Статья

Чтобы защитить данные вашей организации, вы можете предоставить членам организации управляемые приложения, чтобы они могли безопасно сотрудничать и быть продуктивными. Управляемые приложения — это подмножество клиентских приложений, которые устанавливаются и управляются на устройствах участников организации. Эти приложения были улучшены для поддержки специальных возможностей конфигурации и защиты. Эти возможности управляются и поддерживаются решением управления конечными точками, например Microsoft Intune. Intune предоставляет веб-консоль для управления, защиты и мониторинга всех конечных точек вашей организации, независимо от того, являются ли эти конечные точки устройствами или приложениями. Возможности, предоставляемые Intune, помогают обеспечить безопасность облачных и локальных устройств, приложений и данных вашей организации. Семейство продуктов Microsoft Intune интегрирует Microsoft Intune, Microsoft Endpoint Configuration Manager, Аналитика компьютеров и Windows Autopilot.

Примечание.

Конечные точки включают мобильные устройства, настольные компьютеры, виртуальные машины, встроенные устройства, серверы, приложения и общие устройства, используемые вашей организацией. Примерами общих и специализированных устройств являются устройства для розничной торговли, прочные устройства, цифровые интерактивные доски, устройства конференц-зала и голографические носимые компьютеры. Кроме того, конечные точки также включают приложения, используемые вашей организацией.

В зависимости от приложений, необходимых вашей организации, может потребоваться приобрести лицензии для определенных приложений. Это содержимое поможет вам понять различные типы приложений, доступных для Intune. Кроме того, вы можете добавлять приложения для управления с помощью политик конфигурации и защиты, а также приложения, которые можно просто развернуть для участников организации. Вы узнаете о приобретении приложений и лицензий приложений. Все эти понятия являются важной частью процесса добавления приложений в Intune.

Что в этом решении

Это решение описывает процесс добавления управляемых приложений в Microsoft Intune. Добавление управляемых приложений в Intune — это первый шаг перед настройкой, защитой и развертыванием приложений, чтобы члены организации могли безопасно использовать их. Управляя приложениями в организации, вы помогаете защитить и защитить данные организации.

Шаги, используемые для приобретения и добавления приложений в Microsoft Intune.

Развертывание Intune

Прежде чем приступать к добавлению и назначению приложений, необходимо понять, как настроить и развернуть возможности Intune. Развертывание Intune обычно включает следующие действия.

Действия по настройке и развертыванию Intune

Шаг Действие Описание
1 Настройка Intune Вы можете попробовать Intune бесплатно, выполнив действия, чтобы быстро приступить к работе. Завершив этот шаг, вы выполните следующие действия:
  • Создан бесплатный клиент Intune. Клиент — это выделенный экземпляр Microsoft Entra ID, где размещается ваша подписка на Intune.
  • Создал пользователя в Intune и назначьте ему лицензию.
  • Создание группы для управления пользователями
  • Настройте автоматическую регистрацию для устройств Windows 10/11.
  • Узнайте, как зарегистрировать устройство.
  • Узнайте, как создать политику соответствия паролям для устройств Android Enterprise.
  • Узнайте, как отправлять уведомления на несоответствующие устройства.
  • Добавлено и назначено приложение.
  • Создана и назначена политика защиты приложений.
  • Создана и назначена настраиваемая роль.
  • Создан профиль устройства электронной почты для iOS/iPadOS.
2 Настройка приложений Добавьте, настройте и защитите приложения, которые использует ваша организация. Завершив этот шаг, вы выполните следующие действия:
3 Создание политик соответствия устройств и условного доступа Вы узнаете, как создавать политики соответствия устройств и политики условного доступа. Завершив этот шаг, вы узнаете о соответствии устройств и условном доступе, а также узнаете, как справиться с несоответствием. Кроме того, вы узнаете о различных уровнях соответствия устройств.
4 Создание политик конфигурации устройств Вы узнаете, как настроить функции и параметры устройства для защиты устройств и доступа к ресурсам. После выполнения этого шага вы узнаете о различных уровнях конфигурации и защиты устройства.
5 Регистрация управляемых устройств По завершении этого шага вы узнаете, как настроить устройства для регистрации, а также изучите политики и ограничения регистрации. Вы также узнаете, как использовать профили регистрации и Windows Autopilot.

Конфигурации управления мобильными приложениями

При использовании приложений без ограничений данные компании и личные данные могут смешиваться. Данные компании могут оказаться в таких местах, как личное хранилище, или передаваться в приложения за пределами вашей компетенции, что приведет к раскрытию и потере данных. Управление приложениями, которые члены организации используют на своих устройствах, называется управление мобильными приложениями (MAM). MAM позволяет обеспечить защиту данных на незарегистрированных устройствах. Незарегистрированные устройства — это личные устройства, которые используются членами организации для доступа к корпоративным данным. Важно понимать, что эти личные устройства не управляются, но по-прежнему нуждаются в защите. Одной из основных причин использования MAM без регистрации устройств или MAM с регистрацией устройств является защита данных вашей организации.

Служба Microsoft Intune поддерживает две конфигурации управления мобильными приложениями (MAM):

MAM без управления устройствами

MAM в Intune предназначен для защиты данных организации на уровне приложений, включая пользовательские приложения и приложения магазина. Управление приложениями можно использовать на устройствах, принадлежащих организации, и персональных устройствах. При использовании с личными устройствами происходит управление только доступом и данными, связанными с организацией. Эта конфигурация позволяет управлять приложениями вашей организации с помощью Intune, но не регистрирует устройства, управляемые Intune. Эту конфигурацию обычно называют MAM без регистрации устройства. ИТ-администраторы могут управлять приложениями с помощью MAM с помощью Intune конфигурации и политик защиты на устройствах, не зарегистрированных в Intune Mobile Управление устройствами (MDM). В сценарии MAM управление приложениями осуществляется на основе пользователя, выполнившего вход в приложение на устройстве. MAM идеально подходит для защиты данных организации на устройствах, используемых членами организации для личных и рабочих задач. MAM без MDM популярен для организаций, которые позволяют членам организации удаленно работать на собственных устройствах (BYOD).

Совет

Intune MAM можно использовать для управления многими офисными приложениями, например приложениями Microsoft Office. См. официальный список общедоступных защищенных приложений Microsoft Intune.

Если вы решили использовать MAM без регистрации устройства, необходимо учитывать некоторые ограничения, например:

  • Вы не можете специально развернуть приложения непосредственно на устройстве. Конечный пользователь (член вашей организации) извлекает приложения из магазина.
  • Вы не можете подготовить профили сертификатов на этих неуправляемых устройствах.
  • Вы не можете подготовить корпоративные параметры Wi-Fi и VPN на этих неуправляемых устройствах.

Примечание.

Конфигурация MAM включает управление приложениями с Intune на устройствах, зарегистрированных сторонними поставщиками управления корпоративной мобильностью (EMM). Вы можете использовать Intune конфигурации приложений и политик защиты независимо от любого решения MDM. Это позволит защитить данные компании как с регистрацией устройств, так и без нее в решении по управлению устройствами. Внедрив политики уровня приложения, вы можете ограничить доступ к корпоративным ресурсам и оставить данные в поле зрения ИТ-отдела.

MAM с управлением устройствами

Эта конфигурация позволяет управлять приложениями и устройствами вашей организации. Эту конфигурацию обычно называют MAM + MDM. ИТ-администраторы могут управлять приложениями с помощью MAM на устройствах, зарегистрированных в Intune MDM.

MDM дополняет MAM в обеспечении защиты устройства. Например, вы можете запросить ПИН-код для доступа к устройству или развернуть на устройстве управляемые приложения.

Использование MDM с политиками защиты приложений имеет дополнительные преимущества. Например, у члена организации может быть как телефон, выданный компанией, так и личный планшет. Телефон компании может быть зарегистрирован в MDM и защищен политиками защиты приложений, а личное устройство защищено только политиками защиты приложений.

На зарегистрированных устройствах, использующих службу MDM, политики защиты приложений могут добавить дополнительный уровень защиты. Например, пользователь входит на устройство с учетными данными организации. При использовании данных организации политики защиты приложений контролируют их сохранение и совместное использование. При входе пользователей с личным удостоверением эти же средства защиты (доступ и ограничения) не применяются. Таким образом, ИТ-отдел может управлять данными организации, а пользователи сохраняют контроль над своими личными данными, которые остаются конфиденциальными.

Решение MDM повышает ценность, предоставляя следующие возможности:

  • регистрирует устройство;
  • развертывает приложения на устройстве;
  • на постоянной основе обеспечивает управление устройством и его соответствие требованиям.

Политики защита приложений добавляют ценность, предоставляя следующие возможности:

  • помогают защитить данные организации от утечки в потребительские приложения и службы;
  • применяют ограничения (сохранить как, буфер обмена, ПИН-код и т. д.) к клиентским приложениям;
  • удаляют данные компании из приложений без удаления самих приложений с устройства.

Преимущества MAM с Intune

Когда приложения управляются в Intune, администраторы могут выполнять следующие действия:

  • Защита данных компании на уровне приложения. Вы можете добавлять и назначать мобильные приложения группам пользователей и устройствам. Это управление позволяет защитить корпоративные данные на уровне приложения. Вы можете защитить корпоративные данные как на управляемых, так и на неуправляемых устройствах, так как управление мобильными приложениями не требует управления устройствами. Управление основано на удостоверении пользователя, что устраняет необходимость в управлении устройствами.
  • Настройте приложения для запуска или запуска с включенными параметрами. Кроме того, можно обновить существующие приложения, уже имеющиеся на устройстве.
  • Назначьте политики для ограничения доступа и предотвращения использования данных за пределами организации. Вы выбираете параметр для этих политик в соответствии с требованиями вашей организации. Например, вы можете:
    • Требовать PIN-код для открытия приложения в рабочем контексте.
    • Запретить запуск управляемых приложений на устройствах со снятой защитой или с привилегированным доступом.
    • Контролируйте обмен данными между приложениями.
    • Предотвращение сохранения данных корпоративного приложения в личном хранилище с помощью политик перемещения данных, таких как Сохранение копий данных организации и Ограничение вырезания, копирования и вставки.
  • Поддержка приложений на различных платформах и операционных системах. Каждая платформа отличается. Intune предоставляет доступные параметры специально для каждой поддерживаемой платформы.
  • Просмотрите отчеты об используемых приложениях и отслеживайте их использование. Кроме того, Intune предоставляет аналитику конечных точек для оценки и устранения проблем.
  • Выполнить выборочную очистку, удалив из приложений только данные организации.
  • Убедитесь, что персональные данные хранятся отдельно от управляемых данных. Это позволяет пользователям поддерживать требуемый уровень производительности, а также не применять политики при использовании приложения в личных целях. Политики применяются только в рабочем контексте, позволяя вам защитить данные организации, не затрагивая персональные данные.

Общие сведения о типах приложений

Пользователи приложений и устройств в вашей организации могут иметь несколько требований к приложениям. Прежде чем добавлять приложения в Intune и делать их доступными для членов организации, вам может оказаться полезным оценить и понять некоторые основы приложений. В Intune существуют различные типы приложений. Необходимо определить требования к приложениям, необходимые пользователям в вашей организации, например платформы и возможности, необходимые членам организации. Нужно решить, будет ли Intune использоваться для управления устройствами (включая приложения) или же только для управления приложениями. Кроме того, необходимо определить, какие приложения и возможности нужны участникам вашей организации, а также кто в них нуждается. Дополнительные сведения см. в статье Типы приложений для управляемых сред или общие сведения.

Приобретение приложений

Часто перед распространением приложения среди членов организации необходимо либо приобрести приложение, либо приобрести лицензию на использование приложения, либо получить лицензию на использование приложения. Многие приложения бесплатны, однако вам по-прежнему может потребоваться выполнить процесс покупки, чтобы распространить эти приложения среди членов вашей организации. Из этих бесплатных приложений большинство из них не предназначены для защиты и настройки с помощью Intune. Дополнительные сведения см. в статье Приобретение приложений для Intune обзор.

Добавление приложений в Intune

Прежде чем распространять управляемое приложение среди участников организации, сначала необходимо добавить его в Intune. После добавления можно создать политики конфигурации и защиты для поддержки приложения. Когда вы будете готовы, вы можете назначить приложения участникам вашей организации. Дополнительные сведения см. в статье Добавление приложений в Microsoft Intune Обзор.