Microsoft Intune 部署入门
Microsoft Intune 是一项基于云的服务,可帮助你管理设备和应用。 若要详细了解 Intune Microsoft可为组织执行的操作,请转到 Intune Microsoft。
本文概述了启动 Intune 部署的步骤。
提示
作为本文的配套内容,Microsoft 365 管理中心还提供了一些设置指南。 本指南根据你的环境自定义你的体验。 若要访问此部署指南,请转到 Microsoft 365 管理中心的 Microsoft Intune 设置指南,并在最低) 使用 全局阅读器 (登录。 有关这些部署指南和所需角色的详细信息,请转到 Microsoft 365 和 Office 365 产品的高级部署指南。
若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 M365 安装程序门户。
开始之前
若要帮助规划 Intune 部署,请使用 规划指南移动到 Microsoft Intune。 它涵盖个人设备、许可注意事项、创建推出计划、向用户传达更改等内容。
以下文章是很好的资源:
确定 Intune 部署的许可证需求和任何其他先决条件。 以下列表提供了一些最常见的先决条件:
Intune 订阅:包含在一些Microsoft 365 个订阅中。 还可以访问 Microsoft Intune 管理中心,它是一个基于 Web 的控制台,用于管理设备、应用和用户。
Microsoft 365 应用:包含在 Microsoft 365 中,用于生产力应用,包括 Outlook 和 Teams。
Microsoft Entra ID:Microsoft Entra ID 用于用户、组和设备的身份管理。 它随附 Intune 订阅,并且可能附带 Microsoft 365 订阅。
Microsoft Entra ID P1 或 P2(可能需要额外付费)为你提供更多组织常用的功能,包括条件访问、多重身份验证 (MFA) 和动态组。
Windows Autopilot:包含在一些 Microsoft 365 订阅中。 Windows Autopilot 为当前受支持的 Windows 客户端设备版本提供新式 OS 部署。
特定于平台的先决条件:根据设备的平台,还有其他要求。
例如,如果管理 iOS/iPadOS 和 macOS 设备,则需要 Apple MDM 推送证书以及 Apple 令牌。 如果管理 Android 设备,可能需要托管的 Google Play 帐户。 如果使用证书身份验证,则可能需要 SCEP 或 PKCS 证书。
有关详细信息,请转到:
步骤 1 - 设置 Intune
此步骤:
✅ 确认设备是否受支持、创建 Intune 租户、& 组添加用户、分配许可证等。
此步骤侧重于设置 Intune 并准备好管理用户标识、应用和设备。 Intune 使用 Microsoft Entra ID 中的许多功能,包括域、用户和组。
有关详细信息,请转到 步骤 1 - 设置 Microsoft Intune。
步骤 2 - 添加和保护应用
此步骤:
✅在将在 Intune 中注册的设备上,创建设备必须具有的应用基线,然后在注册期间分配这些应用策略。 在需要额外安全性的应用上,也可以使用应用保护策略。
✅ 在不会在 Intune 中注册的设备上 ,使用应用保护策略和多重身份验证 (MFA) :
- 应用保护策略有助于保护个人设备上的组织数据。
- MFA 有助于保护组织的数据免受未经授权的访问。
有关详细信息,请转到 步骤 2 - 使用 Intune 添加、配置和保护应用。
每个组织都有一组应安装在设备上的基本应用。 在用户注册其设备之前,可以使用 Intune 将这些应用分配给其设备。 在注册期间,会自动部署应用策略。 注册完成后,应用将安装并可供使用。
如果需要,可以注册设备,然后分配应用。 由您自己选择。 下次用户检查新应用时,他们将看到可用的新应用。
如果具有自己的个人设备的用户访问组织资源,则需要至少使用移动应用程序管理 (MAM) 保护访问组织数据的任何应用。 可以为 Outlook、Teams、SharePoint 和其他应用创建 MAM 策略。 Microsoft Intune 规划指南提供了一些有关管理个人设备的指南。
注意
MFA 是Microsoft Entra ID 的一项功能,必须在 Microsoft Entra 租户中启用该 ID。 然后,为应用配置 MFA。 有关详细信息,请转到:
步骤 3 - 检查符合性并启用条件访问
此步骤:
✅创建设备必须具有的符合性策略基线,然后在注册期间分配这些符合性策略。
✅ 启用条件访问 以强制实施合规性策略。
有关详细信息,请转到 步骤 3 - 规划合规性策略。
Intune 等 MDM 解决方案可以设置设备应满足的规则,并且可以报告这些规则的符合性状态。 这些规则称为符合性策略。 将合规性策略与条件访问相结合时,可以要求设备满足某些安全要求,然后才能访问组织的数据。
当用户在 Intune 中注册其设备时,注册过程可以自动部署符合性策略。 注册完成后,管理员可以检查符合性状态,并获取不符合规则的设备列表。
如果需要,可以在检查合规性之前注册设备。 由您自己选择。 在下一次 Intune 签入时,会分配符合性策略。
注意
条件访问是必须在 Microsoft Entra 租户中启用Microsoft Entra ID 的功能。 然后,可以为用户标识、应用和设备创建条件访问策略。 有关详细信息,请转到:
步骤 4 - 配置设备功能
此步骤:
✅创建应启用或阻止的安全功能和设备功能的基线。 在注册期间分配这些配置文件。
有关详细信息,请转到 步骤 4 - 创建设备配置文件来保护设备和访问组织资源。
你的组织可以拥有一组应配置或应阻止的基本设备和安全功能。 这些设置将添加到设备配置和终结点安全配置文件。 Microsoft建议在注册期间分配密钥安全性和设备配置策略。 注册开始时,会自动分配设备配置文件。 注册完成后,将配置这些设备和安全功能。
如果需要,可以在创建配置文件之前注册设备。 由您自己选择。 在下一次 Intune 签入时,将分配配置文件。
在 Microsoft Intune 管理中心,可以根据设备平台(Android、iOS/iPadOS、macOS 和 Windows)创建不同的配置文件。
以下文章是很好的资源:
步骤 5 - 注册设备
此步骤:
✅在 Intune 中注册设备。
有关更具体的信息,请转到 步骤 5 - 部署指南:在 Microsoft Intune 中注册设备。
若要完全管理设备,必须在 Intune 中注册设备才能接收符合性 & 条件访问策略、应用策略、设备配置策略和安全策略。 作为管理员,你可以为用户和设备创建注册策略。 (Android、iOS/iPadOS、Linux、macOS 和 Windows) 的每个设备平台都有不同的注册选项。 你可以选择最适合你的环境、方案和设备的使用方式。
根据所选的注册选项,用户可以自行注册。 或者,你可以自动注册,以便用户只需使用其组织帐户登录到设备。
设备注册时,会向设备颁发安全 MDM 证书。 此证书与 Intune 服务通信。
不同的平台有不同的注册要求。 以下文章可帮助你了解有关设备注册的详细信息,包括特定于平台的指南:
使用 Configuration Manager 进行云附加
Microsoft Configuration Manager 可帮助保护本地 Windows Server、设备、应用和数据。 如果需要管理云和本地终结点的组合,可以将 Configuration Manager 环境云附加到 Intune。
如果使用 Configuration Manager,则云附加本地设备有两个步骤:
租户附加:将 Intune 租户注册到 Configuration Manager 部署。 Microsoft Intune 管理中心中会显示 Configuration Manager 设备。 在这些设备上,可以运行不同的操作,包括使用基于 Web 的 Intune 管理中心安装应用和运行 Windows PowerShell 脚本。
[共同管理 (./../configmgr/comanage/overview.md) :使用 Configuration Manager 和 Microsoft Intune 管理 Windows 客户端设备。 Configuration Manager 管理某些工作负载,Intune 管理其他工作负荷。
例如,可以使用 Configuration Manager 管理 Windows 更新,并使用 Intune 管理符合性 & 条件访问策略。
如果当前使用 Configuration Manager,则通过租户附加立即获得价值,并通过共同管理获得更多价值。
有关适合组织的 Microsoft Intune 设置的指导,请转到 部署指南:设置或移动到 intune Microsoft。