简介
你可通过 Microsoft Intune 来管理你公司的员工在其设备上使用的应用。 此功能被称为移动应用管理 (MAM)。 Intune 中的 MAM 可保护应用程序级别的组织数据,包括自定义应用和商店应用。 可以在组织拥有的设备和个人设备上使用应用管理。 将其用于个人设备时,可只管理与组织相关的访问和数据。
视频 - 有关设备管理的互动指南
以下互动指南逐步引导你进入 Microsoft Intune 管理中心,向你展示如何管理和保护移动端和桌面应用程序。
假设你是一家拥有数千名员工的公司的管理员。 你所在公司使用 Microsoft Office 来创建信息并在内部和外部共享此信息。 该公司允许员工使用自己的设备。 你必须实施这样的规则,它们在员工尝试使用托管应用来访问、移动或复制公司数据时强制执行。
Microsoft Intune 支持两种 MAM 配置:
- Intune MDM + MAM:IT 管理员仅可在已进行 Intune 移动设备管理 (MDM) 注册的设备上使用 MAM 和应用保护策略管理应用。 若要使用 MDM + MAM 来管理应用,客户应使用 Microsoft Intune 管理中心的 Intune 控制台。
- 无需设备注册的 MAM:无需设备注册的 MAM 或 MAM-WE 使 IT 管理员可以在未进行 Intune MDM 注册的设备上使用 MAM 和应用保护策略管理应用。 此配置意味着 Intune 可以管理向第三方 EMM 提供程序注册的设备上的应用。 若要使用 MAM-WE 来管理应用,客户应使用 Microsoft Intune 管理中心的 Intune 控制台。 此外,Intune 可在向第三方企业移动管理 (EMM) 服务提供商注册的设备上或者完全未注册 MDM 的设备上管理应用。
在 Intune 中管理应用时,管理员可以:
- 在应用级别保护公司数据。 你可以添加移动应用并将其分配到用户组和设备,从而在应用级别保护公司数据。 由于移动应用管理不需要设备管理,因此你可同时在托管设备和非托管设备上保护公司数据。 管理以用户标识为中心,因而不再需要设备管理。
- 将应用配置为在启用了特定设置的情况下启动或运行。 此外,你可更新设备上已有的现有应用。
- 分配策略来限制访问和防止在组织外部使用数据。 需要根据组织的要求选择这些策略的设置。 例如,你能够:
- 需提供 PIN 才能在工作环境中打开应用。
- 控制数据在应用之间的共享。
- 阻止将公司应用数据保存到个人存储位置。
- 支持各种平台和操作系统上的应用。 每个平台各不相同。 Intune 和 Configuration Manager 提供了专门用于每个受支持平台的设置。
- 查看报表了解使用了哪些应用并跟踪其使用情况。 此外,Intune 和 Configuration Manager 提供终结点分析来帮助你评估和解决问题。
- 通过仅从应用中删除组织数据进行选择性擦除。
- 确保个人数据与托管数据隔开。 不会影响最终用户工作效率,且在个人环境中使用应用时不会应用策略。 这些策略仅应用于工作环境,能够在不接触个人数据的情况下保护公司数据。
学习目标
在本模块中,你将:
- 了解如何配置和保护组织的应用。
- 了解应用的生命周期。
- 了解使用应用保护策略的数据保护框架。
先决条件
- 无