Microsoft Intune部署入门
Microsoft Intune是一项基于云的服务,可帮助你管理设备和应用。 有关Microsoft Intune可为组织执行的操作的详细信息,请转到Microsoft Intune。
本文概述了启动Intune部署的步骤。
提示
作为本文的配套内容,Microsoft 365 管理中心还提供了一些设置指南。 本指南根据你的环境自定义你的体验。 若要访问此部署指南,请转到Microsoft 365 管理中心中的Microsoft Intune设置指南,并在最低) 使用全局阅读器 (登录。 有关这些部署指南和所需角色的详细信息,请转到 Microsoft 365 和 Office 365 产品的高级部署指南。
若要在不登录和激活自动安装功能的情况下查看最佳做法,请转到 M365 安装程序门户。
开始之前
若要帮助规划Intune部署,请使用规划指南移动到Microsoft Intune。 它涵盖个人设备、许可注意事项、创建推出计划、向用户传达更改等内容。
以下文章是很好的资源:
确定Intune部署的许可证需求和任何其他先决条件。 以下列表提供了一些最常见的先决条件:
Intune订阅:包含在一些Microsoft 365 个订阅中。 你还可以访问Microsoft Intune管理中心,这是一个基于 Web 的控制台,用于管理设备、应用和用户。
Microsoft 365 应用:包含在 Microsoft 365 中,用于生产力应用,包括 Outlook 和 Teams。
Microsoft Entra ID:Microsoft Entra ID用于用户、组和设备的身份管理。 它附带Intune订阅,并且可能附带Microsoft 365 订阅。
Microsoft Entra ID P1 或 P2 可能会产生额外的费用,可提供组织常用的更多功能,包括条件访问、多重身份验证 (MFA) 和动态组。
Windows Autopilot:包含在一些 Microsoft 365 订阅中。 Windows Autopilot 为当前受支持的 Windows 客户端设备版本提供新式 OS 部署。
特定于平台的先决条件:根据设备的平台,还有其他要求。
例如,如果管理 iOS/iPadOS 和 macOS 设备,则需要 Apple MDM 推送证书以及 Apple 令牌。 如果管理 Android 设备,可能需要托管的 Google Play 帐户。 如果使用证书身份验证,则可能需要 SCEP 或 PKCS 证书。
有关详细信息,请转到:
步骤 1 - 设置Intune
此步骤:
✅ 确认设备是否受支持、创建Intune租户、& 组添加用户、分配许可证等。
此步骤侧重于设置Intune,并准备好管理用户标识、应用和设备。 Intune使用Microsoft Entra ID中的许多功能,包括域、用户和组。
有关详细信息,请转到步骤 1 - 设置Microsoft Intune。
步骤 2 - 添加和保护应用
此步骤:
✅ 在将注册Intune的设备上,创建设备必须具有的应用基线,然后在注册期间分配这些应用策略。 在需要额外安全性的应用上,也可以使用应用保护策略。
✅ 在不会注册Intune的设备上,使用应用保护策略和多重身份验证 (MFA) :
- 应用保护策略有助于保护个人设备上的组织数据。
- MFA 有助于保护组织的数据免受未经授权的访问。
有关详细信息,请转到步骤 2 - 使用Intune添加、配置和保护应用。
每个组织都有一组应安装在设备上的基本应用。 在用户注册其设备之前,可以使用Intune将这些应用分配给其设备。 在注册期间,会自动部署应用策略。 注册完成后,应用将安装并可供使用。
如果需要,可以注册设备,然后分配应用。 由您自己选择。 下次用户检查新应用时,他们将看到可用的新应用。
如果具有自己的个人设备的用户访问组织资源,则需要至少使用移动应用程序管理 (MAM) 保护访问组织数据的任何应用。 可以为 Outlook、Teams、SharePoint 和其他应用创建 MAM 策略。 Microsoft Intune规划指南提供了一些有关管理个人设备的指南。
注意
MFA 是必须在Microsoft Entra租户中启用Microsoft Entra ID的一项功能。 然后,为应用配置 MFA。 有关详细信息,请转到:
步骤 3 - 检查符合性并启用条件访问
此步骤:
✅创建设备必须具有的符合性策略基线,然后在注册期间分配这些符合性策略。
✅ 启用条件访问 以强制实施合规性策略。
有关详细信息,请转到 步骤 3 - 规划合规性策略。
Intune等 MDM 解决方案可以设置设备应满足的规则,并且可以报告这些规则的符合性状态。 这些规则称为符合性策略。 将合规性策略与条件访问相结合时,可以要求设备满足某些安全要求,然后才能访问组织的数据。
当用户在 Intune 中注册其设备时,注册过程可以自动部署符合性策略。 注册完成后,管理员可以检查符合性状态,并获取不符合规则的设备列表。
如果需要,可以在检查合规性之前注册设备。 由您自己选择。 在下一Intune 检查,将分配符合性策略。
注意
条件访问是必须在Microsoft Entra租户中启用的Microsoft Entra ID功能。 然后,可以为用户标识、应用和设备创建条件访问策略。 有关详细信息,请转到:
步骤 4 - 配置设备功能
此步骤:
✅创建应启用或阻止的安全功能和设备功能的基线。 在注册期间分配这些配置文件。
有关详细信息,请转到 步骤 4 - 创建设备配置文件来保护设备和访问组织资源。
你的组织可以拥有一组应配置或应阻止的基本设备和安全功能。 这些设置将添加到设备配置和终结点安全配置文件。 Microsoft建议在注册期间分配密钥安全性和设备配置策略。 注册开始时,会自动分配设备配置文件。 注册完成后,将配置这些设备和安全功能。
如果需要,可以在创建配置文件之前注册设备。 由您自己选择。 在下一个Intune 检查中,将分配配置文件。
在 Microsoft Intune 管理中心,可以根据设备平台(Android、iOS/iPadOS、macOS 和 Windows)创建不同的配置文件。
以下文章是很好的资源:
步骤 5 - 注册设备
此步骤:
✅在 Intune 中注册设备。
有关更具体的信息,请转到步骤 5 - 部署指南:在 Microsoft Intune 中注册设备。
若要完全管理设备,必须在 Intune 中注册设备才能接收 & 条件访问策略、应用策略、设备配置策略和安全策略创建的符合性。 作为管理员,你可以为用户和设备创建注册策略。 (Android、iOS/iPadOS、Linux、macOS 和 Windows) 的每个设备平台都有不同的注册选项。 你可以选择最适合你的环境、方案和设备的使用方式。
根据所选的注册选项,用户可以自行注册。 或者,你可以自动注册,以便用户只需使用其组织帐户登录到设备。
设备注册时,会向设备颁发安全 MDM 证书。 此证书与 Intune 服务通信。
不同的平台有不同的注册要求。 以下文章可帮助你了解有关设备注册的详细信息,包括特定于平台的指南:
使用 Configuration Manager 进行云附加
Microsoft Configuration Manager有助于保护本地Windows Server、设备、应用和数据。 如果需要管理云和本地终结点的组合,可以将Configuration Manager环境云附加到Intune。
如果使用 Configuration Manager,则云附加本地设备有两个步骤:
租户附加:将Intune租户注册到Configuration Manager部署。 Configuration Manager设备显示在Microsoft Intune管理中心。 在这些设备上,可以运行不同的操作,包括使用基于 Web 的Intune管理中心安装应用和运行Windows PowerShell脚本。
[共同管理 (./../configmgr/comanage/overview.md) :使用Configuration Manager和Microsoft Intune管理 Windows 客户端设备。 Configuration Manager管理某些工作负荷,Intune管理其他工作负荷。
例如,可以使用 Configuration Manager 来管理 Windows 更新,并使用 Intune 管理符合性 & 条件访问策略。
如果当前使用 Configuration Manager,则通过租户附加立即获得价值,并通过共同管理获得更多价值。
有关适合组织的Microsoft Intune设置的指导,请转到部署指南:设置或移动到Microsoft Intune。