步骤 4 - 配置设备功能和设置以保护设备和访问资源

到目前为止,你已设置 Intune 订阅,创建了应用保护策略,并创建了设备符合性策略。

在此步骤中,你已准备好配置所有设备必须具有的最低安全性和设备功能集或基线功能集。

显示通过步骤 4 开始使用 Microsoft Intune 的示意图,该步骤是配置设备功能和安全设置。

本文适用于:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

创建设备配置文件时,可以使用不同级别和类型的策略。 这些级别是建议策略的最低Microsoft级别。 了解你的环境和业务需求可能会有所不同。

  • 级别 1 - 最低设备配置:在此级别中,Microsoft建议创建以下策略:

    • 专注于设备安全性,包括安装防病毒、创建强密码策略以及定期安装软件更新。
    • 无论用户身在何处,都允许用户访问其组织电子邮件,并控制对网络的安全访问。
  • 级别 2 - 增强的设备配置:在此级别中,Microsoft建议创建以下策略:

    • 展开设备安全性,包括配置磁盘加密、启用安全启动和添加更多密码规则。
    • 使用内置功能和模板配置对组织非常重要的更多设置,包括分析本地组策略对象 (GPO) 。
  • 级别 3 - 高设备配置:在此级别中,Microsoft建议创建以下策略:

    • 转到无密码身份验证,包括使用证书、配置单一登录 (SSO) 应用、启用多重身份验证 (MFA) ,以及配置 Microsoft Tunnel。
    • 使用 Android 通用条件模式或为 Windows 设备创建 DFCI 策略,添加额外的安全层。
    • 使用内置功能配置展台设备、专用设备、共享设备和其他专用设备。
    • 部署现有 shell 脚本。

本文列出了组织应使用的不同级别的设备配置策略。 本文中的大多数策略侧重于访问组织资源和安全性。

这些功能在 Microsoft Intune 管理中心的设备配置文件中配置。 Intune 配置文件准备就绪后,可以将其分配给用户和设备。

级别 1 - 创建安全基线

为了帮助保护组织数据和设备的安全,可以创建侧重于安全性的不同策略。 应创建所有用户和/或所有设备必须具有的安全功能列表。 此列表是安全基线。

在基线中,至少Microsoft建议以下安全策略:

  • 安装防病毒 (AV) 并定期扫描恶意软件
  • 使用检测和响应
  • 打开防火墙
  • 定期安装软件更新
  • 创建强 PIN/密码策略

本部分列出了可用于创建这些安全策略的 Intune 和Microsoft服务。

有关 Windows 设置及其建议值的更精细列表,请转到 Windows 安全基线

防病毒和扫描

安装防病毒软件并定期扫描恶意软件

所有设备都应安装防病毒软件,并定期扫描恶意软件。 Intune 与第三方合作伙伴移动威胁防御 (MTD 集成,) 提供 AV 和威胁扫描的服务。 对于 macOS 和 Windows,防病毒和扫描内置于 Intune 中,Microsoft Defender for Endpoint。

策略选项:

平台 策略类型
Android Enterprise - 移动威胁防御合作伙伴
- Microsoft Defender for Endpoint for Android 可以扫描恶意软件
iOS/iPadOS 移动威胁防御合作伙伴
macOS Intune Endpoint Security 防病毒配置文件 (Microsoft Defender for Endpoint)
Windows 客户端 - Intune 安全基线 (建议)
- Intune Endpoint Security 防病毒配置文件 (Microsoft Defender for Endpoint)
- 移动威胁防御合作伙伴

有关此类功能的详细信息,请参阅:

检测和响应

检测攻击并应对这些威胁

快速检测到威胁时,可帮助将威胁的影响降到最低。 将这些策略与条件访问相结合时,如果检测到威胁,可以阻止用户和设备访问组织资源。

策略选项:

平台 策略类型
Android Enterprise - 移动威胁防御合作伙伴
- Android 上的 Microsoft Defender for Endpoint
iOS/iPadOS - 移动威胁防御合作伙伴
- Microsoft iOS/iPadOS 上的 Defender for Endpoint
macOS 不可用
Windows 客户端 - Intune 安全基线 (建议)
- Intune 终结点检测和响应配置文件 (Microsoft Defender for Endpoint)
- 移动威胁防御合作伙伴

有关此类功能的详细信息,请参阅:

防火墙

在所有设备上启用防火墙

某些平台附带内置防火墙,而在另一些平台上,可能需要单独安装防火墙。 Intune 与第三方合作伙伴移动威胁防御 (MTD 集成,) 服务可以管理 Android 和 iOS/iPadOS 设备的防火墙。 对于 macOS 和 Windows,防火墙安全性内置于 Intune 中,Microsoft Defender for Endpoint。

策略选项:

平台 策略类型
Android Enterprise 移动威胁防御合作伙伴
iOS/iPadOS 移动威胁防御合作伙伴
macOS Intune Endpoint Security 防火墙配置文件 (Microsoft Defender for Endpoint)
Windows 客户端 - Intune 安全基线 (建议)
- Intune Endpoint Security 防火墙配置文件 (Microsoft Defender for Endpoint)
- 移动威胁防御合作伙伴

有关此类功能的详细信息,请参阅:

密码策略

创建强密码/PIN 策略并阻止简单密码

PIN 解锁设备。 在访问组织数据的设备(包括个人拥有的设备)上,应要求使用强 PIN/密码并支持生物识别来解锁设备。 建议使用生物识别是无密码方法的一部分。

Intune 使用设备限制配置文件来创建和配置密码要求。

策略选项:

平台 策略类型
Android Enterprise Intune 设备限制配置文件用于管理:
- 设备密码
- 工作配置文件密码
Android Open-Source Project (AOSP) Intune 设备限制配置文件
iOS/iPadOS Intune 设备限制配置文件
macOS Intune 设备限制配置文件
Windows 客户端 - Intune 安全基线 (建议)
- Intune 设备限制配置文件

有关可配置的设置列表,请转到:

软件更新

定期安装软件更新

应定期更新所有设备,并创建策略以确保成功安装这些更新。 对于大多数平台,Intune 具有侧重于管理和安装更新的策略设置。

策略选项:

平台 策略类型
Android Enterprise 组织拥有的设备 使用 Intune 设备限制配置文件的系统更新设置
Android Enterprise 个人拥有的设备 不可用

可以使用符合性策略设置最低修补程序级别、最小/最大 OS 版本等。
iOS/iPadOS Intune 更新策略
macOS Intune 更新策略
Windows 客户端 - Intune 功能更新策略
- Intune 加速更新策略

有关这些功能和/或可配置的设置的详细信息,请转到:

级别 1 - 访问组织电子邮件、连接到 VPN 或 Wi-Fi

本部分重点介绍如何访问组织中的资源。 这些资源包括:

  • 工作或学校帐户的电子邮件
  • 用于远程连接的 VPN 连接
  • 本地连接的 Wi-Fi 连接

显示从 Microsoft Intune 部署到最终用户设备的电子邮件、VPN 和 Wi-Fi 配置文件的关系图。

电子邮件

许多组织将具有预配置设置的电子邮件配置文件部署到用户设备。

自动连接到用户电子邮件帐户

配置文件包括连接到电子邮件服务器的电子邮件配置设置。

根据配置的设置,电子邮件配置文件还可以自动将用户连接到其个人电子邮件帐户设置。

使用企业级电子邮件应用

Intune 中的电子邮件配置文件使用常用电子邮件应用,如 Outlook。 电子邮件应用将部署到用户设备。 部署应用后,使用配置电子邮件应用的设置部署电子邮件设备配置文件。

电子邮件设备配置文件包括连接到 Exchange 的设置。

访问工作或学校电子邮件

对于在其设备上使用电子邮件的用户的组织,创建电子邮件配置文件是一种常见的最低基线策略。

Intune 具有适用于 Android、iOS/iPadOS 和 Windows 客户端设备的内置电子邮件设置。 当用户打开其电子邮件应用时,他们可以在其设备上自动连接、验证和同步其组织电子邮件帐户。

随时部署

在新设备上,我们建议在注册过程中部署电子邮件应用。 注册完成后,部署电子邮件设备配置策略。

如果有现有设备,请随时部署电子邮件应用,并部署电子邮件设备配置策略。

电子邮件配置文件入门

首先,请执行以下操作:

  1. 将电子邮件应用部署到设备。 有关一些指南,请转到 使用 Intune 将电子邮件设置添加到设备

  2. 在 Intune 中创建电子邮件设备配置文件。 根据组织使用的电子邮件应用,可能不需要电子邮件设备配置文件。

    有关一些指南,请转到 使用 Intune 将电子邮件设置添加到设备

  3. 在电子邮件设备配置文件中,配置平台的设置:

  4. 将电子邮件设备配置文件分配给 用户或用户组。

VPN

许多组织将具有预配置设置的 VPN 配置文件部署到用户设备。 VPN 将设备连接到内部组织网络。

如果组织使用具有新式身份验证和安全标识的云服务,则可能不需要 VPN 配置文件。 云原生服务不需要 VPN 连接。

如果你的应用或服务不是基于云的,或者不是云原生的,请部署 VPN 配置文件以连接到内部组织网络。

随时随地工作

对于具有远程辅助角色和混合辅助角色的组织,创建 VPN 配置文件是常见的最低基线策略。

当用户随时随地工作时,他们可以使用 VPN 配置文件安全地连接到组织的网络来访问资源。

Intune 具有适用于 Android、iOS/iPadOS、macOS 和 Windows 客户端设备的内置 VPN 设置。 在用户设备上,VPN 连接显示为可用连接。 用户选择它。 并且,根据 VPN 配置文件中的设置,用户可以在其设备上自动进行身份验证并连接到 VPN。

使用企业级 VPN 应用

Intune 中的 VPN 配置文件使用常见的企业 VPN 应用,例如 Check Point、Cisco、Microsoft Tunnel 等。 VPN 应用部署到用户设备。 部署应用后,使用配置 VPN 应用的设置部署 VPN 连接配置文件。

VPN 设备配置文件包括连接到 VPN 服务器的设置。

随时部署

在新设备上,我们建议在注册过程中部署 VPN 应用。 注册完成后,然后部署 VPN 设备配置策略。

如果有现有设备,请随时部署 VPN 应用,然后部署 VPN 设备配置策略。

VPN 配置文件入门

首先,请执行以下操作:

  1. 将 VPN 应用部署到设备。

  2. 在 Intune 中创建 VPN 配置文件

  3. 在 VPN 设备配置文件中,配置平台的设置:

  4. 将 VPN 设备配置文件分配给 用户或用户组。

Wi-Fi

许多组织使用预配置设置将 Wi-Fi 配置文件部署到用户设备。 如果组织只有远程员工,则无需部署 Wi-Fi 连接配置文件。 Wi-Fi 配置文件是可选的,用于本地连接。

无线连接

当用户在不同的移动设备上工作时,他们可以使用 Wi-Fi 配置文件以无线方式安全地连接到组织的网络。

配置文件包括自动连接到网络和/或 SSID (服务集标识符) Wi-Fi 配置设置。 用户无需手动配置其 Wi-Fi 设置。

支持本地移动设备

对于在本地工作的移动设备的组织,创建 Wi-Fi 配置文件是常见的最低基线策略。

Intune 具有适用于 Android、iOS/iPadOS、macOS 和 Windows 客户端设备的内置 Wi-Fi 设置。 在用户设备上,Wi-Fi 连接显示为可用连接。 用户选择它。 并且,根据 Wi-Fi 配置文件中的设置,用户可以在其设备上自动进行身份验证并连接到 Wi-Fi。

随时部署

在新设备上,建议在设备在 Intune 中注册时部署 Wi-Fi 设备配置策略。

如果有现有设备,可以随时部署 Wi-Fi 设备配置策略。

Wi-Fi 配置文件入门

首先,请执行以下操作:

  1. 在 Intune 中创建 Wi-Fi 设备配置文件

  2. 配置平台的设置:

  3. 将 Wi-Fi 设备配置文件分配给 用户或用户组。

级别 2 - 增强的保护和配置

此级别扩展了你在级别 1 中配置的内容,并为设备增加了更多安全性。 在本部分中,将创建一组级别 2 的策略,用于为设备配置更多安全设置。

Microsoft建议以下级别 2 安全策略:



  • Intune 包括 数百个可以管理设备功能和 设置的设置,例如禁用内置摄像头、控制通知、允许蓝牙、阻止游戏等。

    可以使用 内置模板设置目录 来查看和配置设置。

    • 设备限制模板 具有许多内置设置,可以控制设备的不同部分,包括安全性、硬件、数据共享等。

      可以在以下平台上使用这些模板:

      • Android
      • iOS/iPadOS
      • macOS
      • Windows
    • 使用“设置”目录 可查看和配置所有可用设置。 可以在以下平台上使用设置目录:

      • iOS/iPadOS
      • macOS
      • Windows
    • 使用内置的管理模板,类似于在本地配置 ADMX 模板。 可以在以下平台上使用 ADMX 模板:

      • Windows
  • 如果使用 本地 GPO 并想知道 Intune 中是否提供这些相同的设置,请使用 组策略分析。 此功能可分析 GPO,并根据分析结果将其导入 Intune 设置目录策略。

    有关详细信息,请转到 分析本地 GPO 并将其导入 Intune

级别 3 - 高保护和配置

此级别扩展了你在级别 1 和级别 2 中配置的内容。 它添加了企业级组织中使用的额外安全功能。


  1. 设置 Microsoft Intune
  2. 添加、配置和保护应用
  3. 规划合规性策略
  4. 🡺 配置设备功能 (你在这里)
  5. 注册设备