在 Microsoft Intune 中管理设备并控制设备功能

管理设备是任何终结点管理策略和解决方案的重要组成部分。 组织必须管理笔记本电脑、平板电脑、移动电话、可穿戴设备等。 它可能是一项大型任务，尤其是在不确定从何处开始的情况下。

输入 Microsoft Intune。 Intune是一种基于云的服务，可以通过策略（包括安全策略）控制设备。 有关Intune及其优势的详细信息，请转到什么是Microsoft Intune？。

管理设备的任何组织的目标是保护设备及其访问的数据。 此任务包括组织拥有的设备以及访问组织资源的个人拥有的设备。

从服务角度来看，Intune对设备存储和权限使用Microsoft Entra ID。 使用 Microsoft Intune 管理中心，可以在设计用于终结点管理的中心位置管理设备任务和策略。

本文讨论管理设备时应考虑的概念和功能。

管理组织拥有和个人的设备

许多组织允许个人拥有的设备访问组织资源，包括电子邮件、会议等。 可以使用不同的选项，这些选项取决于组织的严格程度。

可以要求在组织的设备管理服务中注册个人设备。 在这些个人设备上，管理员可以部署策略、设置规则、配置设备功能等。 或者，可以使用侧重于保护应用数据的应用保护策略，例如 Outlook、Teams 和 Sharepoint。 还可以结合使用设备注册和应用保护策略。

对于组织拥有的设备，它们应完全由组织管理，并接收强制实施规则和保护数据的策略。

有关详细信息和指导，请转到：

• Microsoft Intune 规划指南
• 部署指南: 设置或移动到 Microsoft Intune

使用现有设备并使用新设备

可以管理新设备和现有设备。 Intune支持 Android、iOS/iPadOS、Linux、macOS 和 Windows 设备。

有一些事情你应该知道。 例如，如果现有设备由另一个 MDM 提供程序管理，则可能需要恢复出厂设置。 如果设备使用的是较旧的操作系统版本，则它们可能不受支持。

如果你的组织正在投资新设备，则建议使用 Intune 从云方法开始。

有关详细信息和指导，请转到：

• Microsoft Intune 规划指南
• 部署指南: 设置或移动到 Microsoft Intune

有关平台的更具体信息，请转到：

• Android 平台部署指南
• iOS/iPadOS 平台部署指南
• Linux 注册部署指南
• macOS 平台部署指南
• Windows 注册部署指南

检查设备的符合性运行状况

设备符合性是管理设备的重要部分。 你的组织需要为这些设备上的安全功能设置密码/PIN 规则和检查。 你需要知道哪些设备不符合你的规则。 符合性就是此任务。

可以创建阻止简单密码、要求防火墙、设置最低 OS 版本等的符合性策略。 可以使用这些策略和内置报告来查看不合规的设备，并查看这些设备上的不合规设置。 此信息可让你了解访问组织资源的设备的整体运行状况。

条件访问是Microsoft Entra ID的一项功能。 使用条件访问，可以强制实施符合性。 例如，如果设备不符合合规性规则，则可以阻止访问组织资源，包括 Outlook、SharePoint、Teams 等。 条件访问可帮助组织保护数据并保护设备。

有关详细信息，请转到：

• 使用符合性策略为管理的设备设置规则
• 监视设备符合性策略的结果
• 了解条件访问和Intune

控制设备功能并将策略分配给设备组

所有设备都具有可以使用策略控制和管理的功能。 例如，可以阻止内置摄像头、允许蓝牙配对、管理电源按钮等。

对于许多组织来说，创建设备组很常见。 设备组是仅包含设备的Microsoft Entra组。 它们不包括用户标识。

拥有设备组时，可以创建专注于设备体验或任务的策略，例如运行单个应用或扫描条形码。 还可以创建策略，这些策略包括你希望始终在设备上的设置，而不管谁使用该设备。

可以按 OS 平台、功能、位置和其他你喜欢的功能对设备进行分组。

设备组还可以包括与多个用户共享或未与特定用户关联的设备。 这些专用或展台设备通常由一线员工 (FLW) 使用，也可以由Intune管理。

组准备就绪后，可以将策略分配给这些设备组。

有关详细信息，请转到：

• Intune中的 FLW 设备管理
• 适合一线员工的 Microsoft 365 入门
• 使用 Intune 作为专用展台运行的 Windows 设备设置
• 使用 Intune 控制共享电脑或多用户设备上的访问权限、帐户和电源功能

保护您的设备

为了帮助保护设备，可以安装防病毒、扫描 & 对恶意活动做出反应，并启用安全功能。

在Intune中，一些常见的安全任务包括：

• 与移动威胁防御 (MTD) 合作伙伴集成，以帮助保护组织拥有的设备和个人拥有的设备。 这些 MTD 服务扫描设备，有助于修正漏洞。

  MTD 合作伙伴支持不同的平台，包括 Android、iOS/iPadOS、macOS 和 Windows。

  有关更具体的信息，请转到移动威胁防御与 Intune

• 在 Windows 设备上使用安全基线。 安全基线是可部署到设备的预配置设置。 这些基线设置侧重于精细级别的安全性，还可以进行更改以满足任何组织特定的要求。

  如果不确定从何处着手，请查看安全基线和内置引导式方案。

  有关更具体的信息，请转到：

  • 使用安全基线在 Intune 中配置 Windows 10 设备
  • 引导式方案概述

• 使用内置策略设置管理软件更新、加密硬盘、配置内置防火墙等。 还可以使用 Windows 自动修补来自动修补 Windows，包括 Windows 质量更新和 Windows 功能更新。

  有关详细信息，请转到：

  • 在 Microsoft Intune 中管理终结点安全性
  • 使用 Microsoft Intune 中的终结点安全策略管理设备安全性
  • Windows Autopatch 概览

• 使用 Intune 管理中心远程管理设备。 你可以远程锁定、重启、查找丢失的设备、将设备还原到其出厂设置等。 如果设备丢失或被盗，或者你要对设备进行远程故障排除，则这些任务非常有用。

  有关详细信息，请转到 Intune 中的远程操作。

后续步骤

• 在 Intune 中管理标识
• 管理应用