Microsoft Intune 安全地管理身分識別、管理應用程式及管理裝置

由於組織支援混合和遠端工作的員工，因此他們會面臨管理可存取組織資源之不同裝置的挑戰。 員工和學生需要進行共同作業、從任何地方工作，以及安全地存取和連線到這些資源。 系統管理員必須保護組織資料、管理使用者存取權，以及支援使用者異地工作。

✅ 若要協助解決這些挑戰和工作，請使用 Microsoft Intune。

Microsoft Intune 是 雲端式端點管理解決方案。 它會管理使用者對組織資源的存取權，並簡化您許多裝置上的應用程式和裝置管理，包括行動裝置、桌上型電腦和虛擬端點。

您可以保護組織擁有和使用者個人裝置上的存取權和資料。 而且，Intune 具有支援 零信任資訊安全模型 的合規性和回報功能。

本文列出部分 Microsoft Intune 的功能和優點。

提示

• 若要取得 Intune，請移至 Microsoft Intune 適用的授權 和 Intune 30 天試用版。
• 如需 Intune 授權方案的詳細資訊，請移至 Microsoft Intune 功能和方案。
• 如需雲端原生的意義相關資訊，請移至 深入了解雲端原生端點。

主要功能和優點

Intune 的一些主要功能和優點包括:

✅ 管理使用者和裝置

使用 Intune，您可以管理貴組織所擁有的裝置，以及您的使用者所擁有的裝置。 Microsoft Intune 支援 Android、Android 開放原始碼專案 (AOSP)、iOS/iPadOS、Linux Ubuntu 桌面版、macOS 和 Windows 用戶端裝置。 透過 Intune，您可以使用這些裝置，使用您建立的原則安全地存取組織資源。

如需詳細資訊，請移至:

• 使用 Microsoft Intune 管理身分識別
• 使用 Microsoft Intune 管理裝置
• Microsoft Intune 中受支援的操作系統

注意事項

如果您管理內部部署 Windows Server，您可以使用 Configuration Manager。

✅ 簡化應用程式管理

Intune 具有內建的應用程式體驗，包括應用程式部署、更新和移除。 您可以：

• 從您的私人應用程式市集連線及散發應用程式。
• 啟用 Microsoft 365 Apps，包括 Microsoft Teams。
• 部署 Win32 和企業營運 (LOB) 應用程式。
• 建立可保護應用程式內資料的應用程式保護原則。
• 管理應用程式 & 其資料的存取權。

如需詳細資訊，請移至 使用 Microsoft Intune 管理應用程式。

✅ 自動化原則部署

您可以建立應用程式、安全性、裝置設定、合規性、條件式存取等原則。 當原則準備就緒時，您可以將這些原則部署到您的使用者群組和裝置群組。 若要接收這些原則，裝置只需要使用網際網路存取。

如需詳細資訊，請移至 在 Microsoft Intune 中指派原則。

✅ 使用自助功能

員工和學生可以使用公司入口網站應用程式和網站來重設 PIN/密碼、安裝應用程式、加入群組等等。 您可以自訂公司入口網站，協助減少支援通話。

如需詳細資訊，請移至 設定 Intune 公司入口網站應用程式、公司入口網站和 Intune 應用程式。

✅ 與行動威脅防禦整合

Intune 與適用於端點的 Microsoft Defender 和第三方合作夥伴服務整合。 使用這些服務時，重點在於端點安全性。 您可以建立原則來回應威脅、執行即時風險分析，以及自動化補救。

如需詳細資訊，請移至 與 Intune 的行動威脅防禦整合。

✅ 使用 Web 型系統管理中心

Intune 系統管理中心著重於端點管理，包括資料導向的報告。 系統管理員可以從任何具有網際網路存取的裝置登入系統管理中心。

如需詳細資訊，請移至 逐步解說 Intune 系統管理中心。 若要登入系統管理中心，請移至 Microsoft Intune 系統管理中心。

此系統管理中心會使用 Microsoft Graph REST API，以程式設計方式存取 Intune 服務。 系統管理中心的每個動作都是 Microsoft Graph 呼叫。 如果您不熟悉 Graph，而且想要深入了解，請移至 Graph 與 Microsoft Intune 整合。

✅ 進階端點管理和安全性

Microsoft Intune 套件提供不同的功能，例如遠端說明、端點權限管理、適用於行動應用程式管理的 Microsoft Tunnel 等等。

如需詳細資訊，請移至 Intune Suite 附加元件功能。

提示

逐步完成訓練模組，了解如何使用 Microsoft Intune 從新式端點管理獲益。

✅ 使用 Intune 中的 Microsoft Copilot 獲得 AI 產生的分析

Intune 中的 Copilot 可供使用，且具有由 Security Copilot 提供技術的功能。

Copilot 可以摘要說明現有的原則，提供更多設定資訊，包括建議使用的值和潛在衝突。 您也可以取得裝置詳細資料，並對裝置進行疑難解答。

如需詳細資訊，請移至 Intune 中的 Microsoft Copilot。

與其他 Microsoft 服務和應用程式整合

Microsoft Intune 與其他著重於端點管理的 Microsoft 產品和服務整合，包括:

• 適用於內部部署端點管理和 Windows Server 的 Configuration Manager，包括部署軟體更新和管理資料中心

  您可以在共同管理案例中同時使用 Intune 和 Configuration Manager、使用租用戶附加，或兩者一起使用。 透過這些選項，您可以取得 Web 型系統管理中心的權益，並可使用其他在 Intune 中提供的雲端式功能。

  如需更具體的資訊，請移至:

  • 何謂共同管理
  • 有關轉碼器的常見問題集
  • 如何啟用租用戶附加

• 適用於新式 OS 部署和佈建的 Windows Autopilot

  使用 Windows Autopilot，您可以佈建新的裝置，並直接從 OEM 或裝置提供者將這些裝置寄送給使用者。 對於現有的裝置，您可以重新製作這些裝置的映像以使用 Windows Autopilot，並部署最新的 Windows 版本。

  如需更具體的資訊，請移至:

  • Windows Autopilot 概觀
  • 適用現有裝置的 Windows Autopilot

• 端點分析， 以取得使用者體驗的可見度和報告，包括裝置效能和可靠性

  您可以使用端點分析來協助識別原則或導致裝置速度變慢的硬體問題。 它也提供可協助您主動改善使用者體驗並減少支援人員票證的指導方針。

  如需更具體的資訊，請移至:

  • 什麼是端點分析
  • 將 Intune 裝置註冊到端點分析

• 適用於使用者生產力 Office 應用程式的 Microsoft 365，包括 Outlook、Teams、Sharepoint、OneDrive 等

  使用 Intune，您可以將 Microsoft 365 Apps 部署到貴組織中的使用者和裝置。 您也可以在使用者第一次登入時部署這些應用程式。

  如需更具體的資訊，請移至:

  • 使用 Microsoft 365 Intune 將 應用程式新增至 Windows 10/11 裝置
  • Microsoft 365 文件: 使用 Intune 管理裝置

• 適用於端點的 Microsoft Defender 可協助企業網路預防、偵測、調查及回應威脅

  在 Intune 中，您可以在 Intune 和適用於端點的 Microsoft Defender 之間建立服務對服務連線。 連線時，您可以建立原則來掃描檔案、偵測威脅，並將威脅層級回報給適用於端點的 Microsoft Defender。 您也可以建立可設定允許的風險層級得合規性原則。 與條件式存取結合時，您可以針對不符合規範的裝置封鎖其對組織資源的存取。

  如需更具體的資訊，請移至:

  • Intune 中針對適用于端點的 Microsoft Defender 使用條件式存取強制執行
  • 在 Intune 中設定適用於端點的 Microsoft Defender

• Windows 自動修補 用於 Windows、Microsoft 365 Apps 企業版、Microsoft Edge 和 Microsoft Teams 的自動修補

  Windows 自動修補是一項雲端式服務。 它會讓軟體保持最新狀態、為使用者提供最新的生產力工具、最大限度的簡化內部部署基礎結構，並協助釋出 IT 系統管理員以專注於其他專案。 Windows 自動修補使用 Microsoft Intune 管理修補 Intune 註冊裝置或使用共同管理 (Intune + Configuration Manager) 的裝置。

  如需更具體的資訊，請移至:

  • 什麼是 Windows 自動修補?
  • Windows 自動修補的常見問題集

與第三方合作夥伴裝置和應用程式整合

Intune 系統管理中心可讓您輕鬆地連線到不同的合作夥伴服務，包括:

• 受管理的 Android 應用程式適用的 Google Play: 當您連線到受管理的 Google Play 帳戶時，系統管理員可以存取貴組織的 Android 應用程式適用的私人市集，並將這些應用程式部署到您的裝置。

  如需詳細資訊，請移至 使用 Intune 將受管理的 Google Play 應用程式新增至 Android 企業版裝置。

• 註冊和應用程式的 Apple 權杖和憑證: 新增時，您的 iOS/iPadOS 和 macOS 裝置可以在 Intune 中註冊，並從 Intune 接收原則。 系統管理員可以存取您大量購買的 iOS/iPad 和 macOS 應用程式授權，並將這些應用程式部署到您的裝置。

  如需詳細資訊，請移至:

  • 取得 Apple MDM 推播憑證
  • 透過使用 Apple 的自動裝置註冊功能來自動註冊 iOS/iPadOS 裝置
  • 使用 Microsoft Intune 管理透過 Apple Business Manager 購買的 iOS 和 macOS 應用程式

• 使用 TeamViewer 進行遠端協助: 當您連線到 TeamViewer 帳戶時，可以使用 TeamViewer 以遠端協助裝置。

  如需詳細資訊，請移至 使用 TeamViewer 遠端管理 Intune 裝置。

透過這些服務，Intune:

• 向系統管理員提供簡化的第三方合作夥伴應用程式服務的存取權。
• 可以管理數百個第三方合作夥伴應用程式。
• 支援公用零售商店應用程式、企業營運 (LOB) 應用程式、公用市集中無法使用的私人應用程式、自訂應用程式等等。

如需在 Intune 中註冊第三方合作夥伴裝置的更多平台特定需求，請移至:

• 部署指南: 在 Microsoft Intune 中註冊 Android 裝置
• 部署指南: 在 Microsoft Intune 中註冊 iOS 和 iPadOS 裝置
• 部署指南: 在 Microsoft Intune 中註冊 Linux 裝置
• 部署指南: 在 Microsoft Intune 中註冊 macOS 裝置

在裝置管理、應用程式管理中註冊或兩者皆註冊

✅ 組織擁有的裝置會在 Intune 中註冊，取得 行動裝置管理 (MDM)。 MDM 是以裝置為中心，因此裝置功能會以需要的人員為依據來設定。 例如，您可以設定裝置以允許存取 Wi-Fi，但前提是登入的使用者為組織帳戶。

在 Intune 中，您會建立原則來設定功能與設定，並提供安全性與保護。 您的系統管理小組會完整管理裝置，包括要登入的使用者身分識別、已安裝的應用程式以及存取的資料。

當裝置註冊時，您可以在註冊流程期間部署原則。 註冊完成時，裝置即可供使用。

✅ 針對自備裝置 (BYOD) 案例中的個人裝置，您可以使用 Intune 進行 行動應用程式管理 (MAM)。 MAM 以使用者為中心，因此無論使用何種裝置來存取此資料，應用程式資料都會受到保護。 重點在於應用程式，包括安全地存取應用程式，以及保護應用程式內的資料。

使用 MAM，您可以:

• 將行動裝置應用程式發佈給使用者。
• 設定應用程式並自動更新應用程式。
• 檢視著重於應用程式庫存和應用程式使用量的資料報告。

✅ 您也可以同時使用 MDM 和 MAM。 如果您的裝置已註冊，而且有需要額外安全性的應用程式，您也可以使用 MAM 應用程式保護原則。

如需詳細資訊，請移至:

• 在 Intune 中註冊裝置?
• 應用程式防護原則概觀

保護任何裝置上的資料

使用 Intune，您可以 保護受管理裝置上的資料 (在 Intune 中註冊) 和 保護未受管理裝置上的資料 (未在 Intune 中註冊)。 Intune 可以將組織資料從個人資料中區隔出來。 其概念是使用您設定和部署的原則來保護公司資訊。

針對組織擁有的裝置，您想要完整控制裝置，尤其是安全性。 當裝置註冊時，它們會收到您的安全性規則和設定。

在 Intune 註冊的裝置上，您可以:

• 建立和部署原則，以設定安全性設定、設定密碼要求、部署憑證等等。
• 使用行動威脅防禦服務來掃描裝置、偵測威脅，以及修正威脅。
• 檢視資料和報告，以計量您的安全性設定和規則的合規性。
• 使用條件式存取以僅允許受管理且符合規範的裝置存取組織資源、應用程式和資料。
• 在裝置遺失、遭竊時移除組織資料。

對於個人裝置，使用者可能不希望其 IT 系統管理員擁有完整控制權。 若要支援混合式工作環境，請提供使用者選項。 例如，如果使用者想要完整存取貴組織的資源，可以註冊其裝置。 或者，如果這些使用者只想要存取 Outlook 或 Microsoft Teams，則使用需要多重要素驗證 (MFA) 的應用程式保護原則。

在使用應用程式管理的裝置上，您可以:

• 使用行動威脅防禦服務來保護應用程式資料。 服務可以掃描裝置、偵測威脅，以及評估風險。
• 防止複製組織資料並將組織資料貼入個人應用程式。
• 在於第三方或合作夥伴 MDM 中註冊的應用程式和未受管理之裝置上使用應用程式保護原則。
• 使用條件式存取來限制可存取組織電子郵件和檔案的應用程式。
• 移除應用程式內的組織資料。

如需詳細資訊，請移至:

• 使用 Microsoft Intune 保護資料和裝置
• 與 Intune 的行動威脅防禦整合

簡化存取權

Intune 可協助組織支援可異地工作的員工。 您可以設定一些功能，讓使用者無論身在何處，都可以與組織聯繫。

本節包含一些您可以在 Intune 中設定的常見功能。

使用 Windows Hello 企業版而非密碼

Windows Hello 企業版可協助防範網路釣魚攻擊和其他安全性威脅。 它也可協助使用者更快速且輕鬆地登入其裝置和應用程式。

Windows Hello 企業版會以 PIN 碼或生物特徵辨識取代密碼，例如指紋或臉部辨識。 此生物特徵辨識資訊會儲存在本機裝置上，而且永遠不會傳送至外部裝置或伺服器。

如需詳細資訊，請移至:

• 取得 Windows Hello 企業版概觀
• 在 Intune 中註冊裝置，管理裝置上的 Windows Hello 企業版
• 使用 Microsoft Intune 管理身分識別

建立遠端使用者的 VPN 連線

VPN 原則可讓使用者安全地從遠端存取組織網路。

使用常見的 VPN 連線合作夥伴，包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等，您可以使用網路設定來建立 VPN 原則。 當原則準備就緒時，您可將此原則部署到需要遠端連線到您網路的使用者和裝置。

在 VPN 原則中，您可以使用憑證來驗證 VPN 連線。 當您使用憑證時，您的使用者不需要輸入使用者名稱和密碼。

如需詳細資訊，請移至:

• 在 Intune 中建立 VPN 設定檔以連線到 VPN 伺服器
• 使用憑證以在 Intune 中驗證
• 深入了解 Microsoft Tunnel for Intune
• 使用適用於行動應用程式管理的 Microsoft Tunnel

為內部部署使用者建立 Wi-Fi 連線

對於需要連線到貴組織網路內部部署的使用者，您可以使用網路設定來建立 Wi-Fi 原則。 您可以連線到特定的 SSID、選取驗證方法、使用 Proxy 等等。 您也可以將原則設定為當裝置位於範圍內時，自動連線到 Wi-Fi。

在 Wi-Fi 原則中，您可以使用憑證來驗證 Wi-Fi 連線。 當您使用憑證時，您的使用者不需要輸入使用者名稱和密碼。

當原則準備就緒時，您可將此原則部署到需要連線到您內部部署網路的內部使用者和裝置。

如需詳細資訊，請移至:

• 建立 Wi-Fi 原則以連線到 Intune 中的 Wi-Fi 網路
• 在 Microsoft Intune 中使用憑證進行驗證

對您的應用程式和服務啟用單一登入 (SSO)

當您啟用 SSO 時，使用者可以使用其 Microsoft Entra 組織帳戶自動登入應用程式和服務，包括一些行動威脅防禦合作夥伴應用程式。

特別是：

• 在 Windows 裝置上，系統會自動內建 SSO 並登入使用 Microsoft Entra ID 進行驗證的應用程式和網站，包括 Microsoft 365 Apps。 您也可以在 VPN 和 Wi-Fi 原則上啟用 SSO。

• 在 iOS/iPadOS 和 macOS 裝置上，您可以使用 Microsoft Enterprise SSO 外掛程式自動登入使用 Microsoft Entra ID 進行驗證的應用程式和網站，包括 Microsoft 365 Apps。

  如需詳細資訊，請移至 適用於 Microsoft Intune 中 Apple 裝置的單一登入 (SSO) 概觀和選項。

• 在 Android 裝置上，您可以使用 Microsoft 驗證程式庫 (MSAL) 對 Android 應用程式啟用 SSO。

  如需詳細資訊，請移至:

  • 對內部部署資源的 SSO 如何在 Microsoft Entra 聯結的裝置上運作
  • 在 Microsoft Intune 中的 iOS/iPadOS 和 macOS 裝置上使用 Microsoft Enterprise SSO 外掛程式
  • 使用 MSAL 在 Android 上啟用跨應用程式 SSO

相關文章

• 使用 Microsoft Intune 管理身分識別
• 使用 Microsoft Intune 管理裝置
• 使用 Microsoft Intune 管理應用程式
• 疑難排解 Microsoft Teams