通过

Microsoft Intune

  • 项目

零信任

FastTrack 提供有关实施零信任安全原则的全面指导。 零信任模型假定存在漏洞,并会验证每个请求,就好像请求是源自不受控制的网络一样。 此方法可确保跨网络、应用程序和环境提供可靠的安全性。 FastTrack 通过专注于标识、设备、应用程序、数据、基础结构和网络来实现这一点。 借助 FastTrack,你可以自信地推进零信任安全之旅,并有效地保护数字资产。

使用 Microsoft Intune,可以通过安全预配、配置和更新所有终结点设备来实现零信任原则。 这包括通过云强制执行安全策略,涵盖终结点安全性、设备配置、应用保护和合规性。 此方法有助于防止数据泄漏到不受信任的应用或服务,并确保及时响应安全威胁。

Microsoft Intune

Microsoft Intune是基于云的移动设备管理 (MDM) 和移动应用管理 (MAM) 应用和设备提供商。 每个客户都有自己独特的环境。 协助基于特定的移动设备和移动应用管理需求。

FastTrack 提供远程指南:

  • 许可最终用户。
  • 使用本地 Active Directory标识或云标识 (Microsoft Entra ID) 配置Intune使用的标识。
  • 将用户添加到Microsoft Intune订阅、定义 IT 管理员角色以及创建用户和设备组。
  • 根据管理需求配置 MDM 机构,包括在Intune是唯一的 MDM 解决方案时将Intune设置为 MDM 机构。
  • 为以下操作提供 MDM 指南:
    • 配置用于验证 MDM 管理策略的测试组。
    • 配置 MDM 管理策略和服务,包括:
      • 通过 Web 链接或深层链接为每个受支持的平台部署应用。
      • 条件访问策略。
      • 为组织中的现有证书颁发机构、无线网络或 VPN 基础结构部署电子邮件、无线网络、VPN 配置文件。
      • 连接到Intune Data Warehouse。
      • 将 Intune 与以下内容进行集成:
        • ) 需要团队查看器订阅 (远程协助的团队查看器。
        • ) 需要 MTD 订阅 (移动威胁防御 (MTD) 合作伙伴解决方案。
        • ) 需要电信费用管理解决方案订阅 (电信费用管理解决方案。
      • 将每个受支持平台的设备注册到 Intune。
      • 使用 Intune 配置终结点安全策略,包括 Windows 本地管理员密码解决方案 (LAPS) 。
  • 提供有关以下方面的应用保护指南:
    • 为每个受支持的平台配置应用保护策略。
    • 为托管应用配置条件访问策略。
    • 面向具有前面提到的 MAM 策略的相应用户组。
    • 使用托管应用使用情况报告。
  • 提供从旧版电脑管理到 Intune MDM 的迁移指南。

注意

对于使用安全计算单元 (SCU) 预配的客户,FastTrack 提供了本主题所涵盖范围内Intune体验中的嵌入式Microsoft Copilot演练。

超出范围

  • 为Intune设置或配置证书颁发机构、无线网络、VPN 基础结构或 Apple MDM 推送证书。
  • 设置或升级Configuration Manager站点服务器或客户端,以达到支持云附加所需的最低要求。
  • 将Intune与Microsoft Defender for Endpoint集成,并根据Windows 10风险级别评估创建设备符合性策略。 FastTrack 无法协助购买、许可或激活。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

证书传递

FastTrack 提供远程指南:

  • 简单证书注册协议 (SCEP) 和网络设备注册服务 (NDES) 。
    • 配置与企业证书颁发机构相关的项。
    • 创建和颁发 SCEP 证书模板。
    • 安装和配置 NDES。
    • 安装和配置适用于 SCEP 的 Microsoft Intune 连接器。
    • 安装和配置Microsoft Entra应用程序代理和Microsoft Entra应用程序连接器。
    • 在 Microsoft Endpoint Manager 中创建和分配受信任的证书设备配置文件。
    • 在 Microsoft Endpoint Manager 上创建和分配 SCEP 证书设备配置文件。
  • Public-Key 加密标准 (PKCS) 和 PFX (PKCS#12) 证书。
    • 配置与企业证书颁发机构相关的项。
    • 创建和颁发 PKCS 证书模板。
    • 安装和配置 PFX 证书连接器。
    • 在 Microsoft Endpoint Manager 中创建和分配受信任的证书设备配置文件。
    • 在 Microsoft Endpoint Manager 中创建和分配 PKCS 证书设备配置文件。

超出范围

  • 帮助提供公钥基础结构 (PKI) 证书或企业证书颁发机构。
    • 支持高级方案,包括:
      • 将 NDES 服务器置于客户的外围网络中。
      • 配置或使用 Web 应用程序代理 服务器将 NDES URL 从外部发布到公司网络。 建议并提供有关使用 Microsoft Entra 应用程序代理完成配置的指导。
      • 使用导入的 PKCS 证书。
      • 使用硬件安全模块配置Intune认证部署 (HSM) 。

云附加

FastTrack 为客户提供使用Intune将现有Configuration Manager环境云附加的远程指导。

这包括:

  • 许可最终用户。
  • 使用 本地 Active Directory 和云标识配置Intune要使用的标识。
  • 将 Intune 订阅添加到用户,定义 IT 管理角色并创建用户和设备组。
  • 提供设置Microsoft Entra混合联接的指导。
  • 提供有关为 MDM 自动注册设置Microsoft Entra ID的指导。
  • 提供有关在用作共同管理基于 Internet 的远程设备管理解决方案时如何设置云管理网关的指导。
  • 配置支持的工作负载以切换到Intune。
  • 在 Intune 注册的设备中安装 Configuration Manager 客户端。

安全部署适用于 iOS 和 Android 的 Outlook 移动版

FastTrack 为客户提供远程指导,以便安全地部署适用于 iOS 和 Android 的 Outlook 移动版,以确保用户已安装所有必需的应用。

这包括:

  • 通过 Apple App Store 或 Google Play Store 下载 Outlook for iOS 和 Android、Microsoft Authenticator 和 Intune 公司门户 应用。
  • 建立:
    • Outlook for iOS 和 Android、Microsoft Authenticator 以及使用 Intune Intune 公司门户 应用部署。
    • 应用保护策略。
    • 条件访问策略。
    • 应用配置策略。

终结点分析

FastTrack 为客户提供启用终结点分析的远程指导。

这包括:

  • 确认终结点和用户的许可证。
  • 确认组织环境满足终结点分析功能的先决条件。
  • 使用正确的策略配置终结点以启用终结点分析功能。
  • 设置组织基线以跟踪进度。
  • 提供有关在终结点分析中使用修正的指导,包括:
    • 使用Microsoft创作的修正脚本。

超出范围

  • 创建自定义修正脚本。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

源环境预期

  • IT 管理员必须在其生产环境中启用现有的证书颁发机构、无线网络和 VPN 基础结构,才能使用Intune部署无线网络和 VPN 配置文件。
  • 使用 Intune 启用 PKCS 和 SCEP 证书传递之前,客户环境应具有现有的正常运行的 PKI。
  • 终结点设备必须由 Intune 管理。
  • IT 管理员负责将设备注册到组织,方法是让硬件供应商上传硬件 ID,以便将设备本身上传到 Windows Autopilot 服务。

Microsoft Intune Suite

Microsoft Intune Suite为Intune提供任务关键型高级终结点管理和安全功能。 

终结点特权管理

Endpoint Privilege Management (EPM) 通过帮助组织实现以最低特权运行的广泛用户群,同时允许用户仍运行组织允许的任务并保持工作效率,从而支持零信任旅程。

FastTrack 为客户提供启用 EPM 的远程指导。

这包括:

  • 概述 EPM、先决条件和终结点。
  • 提供有关为提升请求启用 EPM 和提升设置策略以及默认响应的指导。
  • 提供有关如何创建提升规则策略以管理特定文件的标识以及如何处理这些文件的提升请求的指导。
  • 创建可重用设置组以管理已到位的证书。
  • 提供策略冲突处理指南。
  • 提供支持批准的文件提升。
  • 为提升请求提供基于角色的访问控制 (RBAC) 权限。
  • 为支持批准的文件提升创建策略。
  • 管理挂起的提升请求。
  • 提供 EPM 报告。

超出范围

  • 使用自动化管理挂起的审批。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

有关详细信息,请参阅将 Endpoint Privilege Management 与 Microsoft Intune 配合使用

企业应用程序管理

企业应用程序管理提供了 Win32 应用的企业应用目录,这些应用可在 Intune 中轻松访问。 可以通过从企业应用目录中选择这些应用,将这些应用添加到租户。 将企业应用目录应用添加到 Intune 租户时,系统会自动提供默认安装、要求和检测设置。 此外,Intune Microsoft存储中托管企业应用目录应用。

FastTrack 为客户提供启用企业应用程序管理的远程指导。

这包括:

  • 提供企业应用程序管理的概述和先决条件。
  • 配置预打包和预配置自更新的应用。
  • 将 Windows 目录应用添加到Intune。
  • 启用应用信息监视。
  • 启用应用安装状态报告。

超出范围

  • 使用 Microsoft 图形 API 实现自动化。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

有关详细信息,请参阅 Microsoft Intune 企业应用程序管理

高级分析

高级分析是一组分析驱动的功能,可帮助 IT 管理员了解、预测和改进最终用户体验。

FastTrack 为客户提供启用高级分析的远程指导。

这包括:

  • 提供高级分析的概述和先决条件。
  • 在终结点分析中启用异常检测将监视设备的运行状况,以便在配置更改后实现用户体验和工作效率回归。
  • 在特定设备上提供增强的设备时间线事件,以帮助排查设备问题。
  • 在终结点分析中配置设备范围,包括自定义设备范围,以将终结点分析报告切片到设备子集。
  • 在 Intune 中配置设备查询,包括准实时访问有关设备状态的数据。
  • 启用电池运行状况报告。

源环境预期

  • 客户使用Intune进行设备管理。

有关详细信息,请参阅什么是Microsoft Intune 高级分析?

远程帮助

远程帮助是一种基于云的解决方案,用于通过基于角色的访问控制 (RBAC) 进行安全技术支持连接。

FastTrack 为客户提供启用远程帮助的远程指导。

这包括:

  • 提供远程帮助的概述和先决条件。
  • 阐明 Windows、Android 和 macOS 上远程帮助的先决条件。
  • 为客户的租户配置远程帮助。
  • 配置 RBAC 以设置允许帮助程序访问的级别。
  • 在 Windows 注册和未注册的设备上配置远程帮助,包括:
    • 阐明网络注意事项。
    • 安装和更新 远程帮助 Win32 应用。
    • 启用日志文件
  • 配置远程帮助以使用条件访问。
  • 配置 ServiceNow 连接器。
  • 在 macOS 注册和未注册的设备上配置远程帮助,包括:
    • 阐明网络注意事项。
    • 安装 远程帮助 应用,
    • 配置本机应用 OS 权限。
    • 安装和更新远程帮助本机 macOS 应用。
  • 在 Android 设备上配置远程帮助,包括:
    • 澄清要求。
    • 部署远程帮助应用。
    • 提供有关为 Zebra 和 Samsung 设备授予权限的指导。
    • 在 Android 设备上使用远程帮助。

超出范围

  • ServiceNow 集成和故障排除。
  • 配置原始设备制造商 (OEM) Android 设备。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

有关详细信息,请参阅将远程帮助与Microsoft Intune配合使用

用于移动应用程序管理的Microsoft隧道

使用 Microsoft Tunnel VPN 网关时,可以通过添加 Tunnel for Mobile Application Management (MAM) 来扩展 Microsoft Tunnel 支持。 用于 MAM 的 Tunnel 扩展了 Microsoft Tunnel VPN 网关,以支持运行 Android 或 iOS 且未使用 Intune 注册的设备。

FastTrack 为客户提供启用 Tunnel for MAM 的远程指导。

这包括:

  • 提供 Tunnel for MAM 的概述和先决条件。
  • 为未注册的 Android 设备配置 Microsoft Tunnel VPN。
  • 配置策略以支持 MAM 的 Tunnel。
  • 配置业务线 (LOB) 应用。
  • 为未注册的 iOS 和 iPad 设备配置Microsoft隧道 VPN。
  • 查看适用于 iOS 的所需 SDK。
  • 为 IOS 的 MAM 的 Tunnel 配置策略。
  • 在 Microsoft Entra 管理中心 中配置 LOB 应用
  • 配置 Xcode LOB 应用集成。
  • 监视Microsoft隧道。

超出范围

  • 核心Microsoft Tunnel 网关设置。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

有关详细信息,请参阅 Microsoft Tunnel for Mobile Application Management

Microsoft 云 PKI

Microsoft 云 PKI是一项基于云的服务,可简化和自动执行Intune托管设备的证书生命周期管理。 它为组织提供专用公钥基础结构 (PKI) ,并处理所有支持Intune的平台的证书颁发、续订和吊销。

FastTrack 为客户提供启用Microsoft 云 PKI的远程指导。

这包括:

  • 提供Microsoft 云 PKI的概述和先决条件。
  • 使用Microsoft 云 PKI权限配置 RBAC 创建的自定义角色。
  • 在云中创建具有根证书颁发机构和证书颁发机构的两层 PKI 层次结构, (CA) 。
  • 配置自带 CA (BYOCA) ,以便通过 Active Directory 证书服务或非Microsoft证书服务将Intune颁发 CA 定位到专用 CA。
  • 创建受信任的证书配置文件。
  • (SCEP) 证书配置文件创建简单证书注册协议。
  • 监视颁发 CA 并查看颁发的证书。
  • 提供 SCEP 证书配置文件报告
  • 启用Microsoft 云 PKI审核日志。

超出范围

  • 解释加密概念。
  • 设置或配置本地 CA。
  • 为 Web 服务注册配置 CA。
  • 在依赖方 (部署证书,例如 VPN、Wi-Fi、应用或服务器) 。
  • 配置网络策略服务器 (NPS) 或远程身份验证拨入用户服务 (RADIUS) 。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

有关详细信息,请参阅Microsoft Intune Microsoft 云 PKI概述

固件无线更新和专用设备管理

固件无线 (FOTA) 更新允许使用无线连接远程更新设备固件,而无需将设备物理连接到计算机或网络。

使用 Intune 的专用设备管理为专用设备(如 AR 和 VR 头戴显示设备、大型智能屏幕设备以及精选会议室会议设备)提供一系列管理、配置和保护功能。

FastTrack 为客户提供远程指导,以启用 FOTA 更新和专业设备管理。

这包括:

  • 在 Android 开源项目 (AOSP) 平台上为 Android 设备设置Intune注册, (包括 RealWear 设备) 。
  • 启用 Android FOTA 更新。
  • 启用 Samsung Enterprise FOTA (E-FOTA) 更新管理。
  • 启用 Zebra LifeGuard 无线 (LG OTA) 集成。
  • 使用 Microsoft Entra ID 为元工作帐户配置自动用户预配。
  • 使用 Microsoft Entra ID 为 business Work Accounts 的 Meta Quest 配置自动用户预配。
  • 监视预配日志。
  • 设置Meta Quest 设备管理器。
  • 配置Intune与 Meta Quest 设备管理器 的集成。

超出范围

  • Meta Quest for Business 故障排除。
  • OEM 配置和集成故障排除。

请联系 Microsoft合作伙伴 ,获取任何范围外服务的帮助。

有关详细信息,请参阅 无线移动固件更新

Microsoft高级部署指南

Microsoft为客户提供技术和指导,以协助部署Microsoft 365、Microsoft Viva和安全服务。 我们鼓励客户使用 这些产品 /服务开始其部署之旅。

对于非 IT 管理员,请参阅 Microsoft 365 安装程序