瞭解如何在 Microsoft Intune 中管理和保護您的裝置

管理裝置是任何端點管理策略和解決方案的重要部分。 組織必須管理桌面電腦、膝上型電腦、平板電腦、行動電話、穿戴式裝置等等。 這可能是一項大型工作，特別是當您不確定要從何處開始時。

Microsoft Intune 可以提供協助。 Intune 是雲端式服務，可透過原則控制裝置，包括安全策略。

任何管理裝置的組織的目標是保護裝置及其存取的數據。

裝置管理涉及：

• 設定裝置內建的功能，例如啟用藍牙和防止自動連線到 Wi-Fi 熱點
• 保護裝置並防止未經授權的裝置存取組織資源，例如使用行動威脅防護和加密硬碟
• 建立維護裝置完整性的合規性規則，例如設定最低 OS 版本和防止簡單的密碼
• 負責存取組織資源的組織擁有裝置和個人擁有的裝置

從服務的觀點來看，Intune 使用 Microsoft Entra ID 來儲存裝置和許可權。 使用 Microsoft Intune 系統管理中心，您可以在專為端點管理而設計的集中位置管理裝置工作和原則。

本文討論管理裝置時應考慮的概念和功能。

管理組織所擁有的裝置和個人裝置

許多組織允許個人擁有的裝置存取組織資源，包括電子郵件和會議。 有不同的選項可用，而這些選項取決於您組織的嚴格程度。

您可以要求在組織的裝置管理服務中註冊個人裝置。 在這些個人裝置上，您的系統管理員可以部署原則、設定規則及設定裝置功能。 或者，您可以使用著重於保護應用程式數據的應用程式保護原則，例如 Outlook、Teams 和 Sharepoint。 您也可以使用裝置註冊和應用程式保護原則的組合。

您組織所擁有的裝置應該在您的 MDM 服務中註冊，例如 Intune。 註冊時，您的系統管理員會建立原則並設定保護數據的規則。 請勿依賴終端使用者來管理這些裝置。

如需詳細資訊和指引，請移至：

• Microsoft Intune 規劃指南
• 部署指南：設定或移至 Microsoft Intune

使用現有的裝置並使用新的裝置

您可以管理新的裝置和現有的裝置。 Intune 支援 Android、iOS/iPadOS、Linux、macOS 和 Windows 裝置。

您應該知道一些事項。 例如，如果另一個 MDM 提供者管理您現有的裝置，則這些裝置可能需要重設出廠預設值。 如果裝置使用較舊的 OS 版本，則可能不支持它們。

如果您的組織正在投資新的裝置，建議您從使用 Intune 的雲端方法開始。

如需詳細資訊和指引，請移至：

• Microsoft Intune 規劃指南
• 部署指南：設定或移至 Microsoft Intune

如需平臺的更具體資訊，請移至：

• Android 平臺部署指南
• iOS/iPadOS 平臺部署指南
• Linux 註冊部署指南
• macOS 平臺部署指南
• Windows 註冊部署指南

檢查裝置的合規性健康情況

裝置合規性是管理裝置的重要部分。 您的組織應該設定密碼/PIN 規則，並檢查這些裝置上的安全性功能。 您想要知道哪些裝置不符合您的規則。 這項工作是合規性進入的位置。

您可以建立可封鎖簡單密碼、需要防火牆、設定最低OS版本等的合規性原則。 您可以使用這些原則和內建報告來查看不符合規範的裝置，並查看這些裝置上的不符合規範設定。 此資訊可讓您瞭解存取組織資源之裝置的整體健康情況。

條件式存取是 Microsoft Entra ID的功能。 使用條件式存取，您可以強制執行合規性。 例如，如果裝置不符合您的合規性規則，您可以封鎖對組織資源的存取，包括 Outlook、SharePoint 和 Teams。 條件式存取可協助您的組織保護您的數據，並保護您的裝置。

如需詳細資訊，請移至:

• 使用合規性原則為您管理的裝置設定規則
• 監視裝置合規性政策的結果
• 了解條件式存取和 Intune

控制裝置功能並將原則指派給裝置群組

所有裝置都有您可以使用原則來控制和管理的功能。 例如，您可以封鎖內建相機、允許藍牙配對，以及管理電源按鈕。

對於許多組織而言，建立裝置群組很常見。 裝置群組 Microsoft Entra 只包含裝置的群組。 它們不包含使用者身分識別。

當您有裝置群組時，您會建立著重於裝置體驗或工作的原則，例如執行單一應用程式或掃描條碼。 您也可以建立原則，包括您想要一律在裝置上的設定，而不論誰在使用裝置。

您可以依作系統平臺、功能、位置和您偏好的其他功能來分組裝置。

裝置群組也可以包含與許多用戶共用或未與特定使用者相關聯的裝置。 這些專用或 kiosk 裝置通常由一線員工 (FLW) 使用，也可以由 Intune 管理。

當群組準備就緒時，您可以將原則指派給這些裝置群組。

如需詳細資訊，請移至:

• Intune 中的 FLW 裝置管理
• 開始使用適用於前線工作者的 Microsoft 365
• 使用 Intune 以專用 kiosk 執行的 Windows 裝置設定
• 使用 Intune 控制共享電腦或多用戶裝置上的存取、帳戶和電源功能

保護您的裝置

為了協助保護您的裝置，您可以安裝防病毒軟體、掃描 & 回應惡意活動，以及啟用安全性功能。

在 Intune 中，一些常見的安全性工作包括：

• 與Mobile Threat Defense (MTD) 合作夥伴整合，以協助保護組織擁有的裝置和個人擁有的裝置。 這些 MTD 服務會掃描裝置，並可協助補救弱點。

  MTD 合作夥伴支援不同的平臺，包括 Android、iOS/iPadOS、macOS 和 Windows。

  如需更具體的資訊，請移至Mobile Threat Defense 與 Intune

• 在 Windows 裝置上使用安全性基準。 安全性基準是您可以部署到裝置的預先設定設定。 這些基準設定著重於細微層級的安全性，也可以變更以符合任何組織特定需求。

  如果您不確定要從何處開始，請查看安全性基準和內建引導式案例。

  如需更具體的資訊，請移至:

  • 使用安全性基準在 Intune 中設定 Windows 裝置
  • 引導式案例概觀

• 使用內建原則設定來管理軟體更新、加密硬碟、設定內建防火牆等等。 您也可以使用 Windows 自動修補來自動修補 Windows，包括 Windows 品質更新和 Windows 功能更新。

  如需詳細資訊，請移至:

  • 在 Microsoft Intune 中管理端點安全性
  • 在 Microsoft Intune 中使用端點安全策略管理裝置安全性
  • Windows 自動修補概觀

• 使用 Intune 系統管理中心從遠端管理裝置。 您可以從遠端鎖定、重新啟動、找出遺失的裝置，並將裝置還原至其原廠設定。 如果裝置遺失或遭竊，或您要從遠端疑難解答裝置，這些工作會很有説明。

  如需詳細資訊，請移至 Intune 中的遠程動作。

相關文章

• 瞭解如何在 Intune 中管理身分識別
• 瞭解如何在 Intune 中管理應用程式