共用方式為


步驟 4 - 設定裝置功能和設定,以保護裝置和存取資源

到目前為止,您已設定 Intune 訂用帳戶、建立應用程式保護原則,以及建立裝置合規性原則。

在此步驟中,您已準備好設定所有裝置都必須具備的最低或基準一組安全性和裝置功能。

此圖顯示使用步驟 4 開始使用 Microsoft Intune,其會設定裝置功能和安全性設定。

本文適用於:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

當您建立裝置組態配置檔時,有不同層級和類型的可用原則。 這些層級是建議原則的最小Microsoft。 瞭解您的環境和商務需求可能不同。

  • 層級 1 - 裝置設定下限:在此層級中,Microsoft建議您建立下列原則:

    • 專注於裝置安全性,包括安裝防病毒軟體、建立強密碼原則,以及定期安裝軟體更新。
    • 為使用者提供其組織電子郵件的存取權,並控制對您網路的安全存取,無論他們身在何處。
  • 層級 2 - 增強的裝置設定:在此層級中,Microsoft建議您建立下列原則:

    • 擴充裝置安全性,包括設定磁碟加密、啟用安全開機,以及新增更多密碼規則。
    • 使用內建功能和範本來設定對組織而言很重要的更多設定,包括分析內部部署組策略物件 (GPO) 。
  • 層級 3 - 高裝置設定:在此層級中,Microsoft建議您建立下列原則:

    • 移至無密碼驗證,包括使用憑證、設定單一登錄 (SSO) 至應用程式、啟用多重要素驗證 (MFA) ,以及設定 Microsoft Tunnel。
    • 使用 Android 通用準則模式或為 Windows 裝置建立 DFCI 原則,新增額外的安全性層級。
    • 使用內建功能來設定 kiosk 裝置、專用裝置、共用裝置和其他特製化裝置。
    • 部署現有的殼層腳本。

本文列出組織應該使用的不同裝置設定原則層級。 本文中大部分的原則都著重於對組織資源和安全性的存取。

這些功能是在 Microsoft Intune 系統管理中心的裝置組態配置檔中設定。 當 Intune 設定檔準備就緒時,可以將它們指派給您的使用者和裝置。

層級 1 - 建立安全性基準

為了協助保護組織數據和裝置的安全,您可以建立著重於安全性的不同原則。 您應該建立所有使用者和/或所有裝置都必須具備的安全性功能清單。 此清單是您的安全性基準。

在基準中,Microsoft至少建議下列安全策略:

  • 安裝防病毒軟體 (AV) 並定期掃描惡意代碼
  • 使用偵測和回應
  • 開啟防火牆
  • 定期安裝軟體更新
  • 建立強式 PIN/密碼原則

本節列出可用來建立這些安全策略的 Intune 和 Microsoft 服務。

如需更細微的 Windows 設定及其建議值清單,請移至 Windows 安全性基準

防病毒軟體和掃描

安裝防病毒軟體並定期掃描惡意代碼

所有裝置都應該安裝防病毒軟體,並定期掃描是否有惡意代碼。 Intune 與第三方合作夥伴行動威脅防禦整合 (提供防病毒軟體和威脅掃描的 MTD) 服務。 針對macOS和 Windows,防病毒軟體和掃描是使用適用於端點的 Microsoft Defender 內建在 Intune 中。

您的原則選項:

平台 原則類型
Android Enterprise - 行動威脅防護合作夥伴
- Microsoft適用於 Android 的 Defender 可以掃描是否有惡意代碼
iOS/iPadOS 行動威脅防禦合作夥伴
macOS 適用於端點的Defender (Microsoft Intune 端點安全性防病毒軟體設定檔)
Windows 用戶端 - Intune 安全性基準 (建議)
- 適用於端點的 Defender (Microsoft Intune 端點安全性防病毒軟體配置檔)
- 行動威脅防禦合作夥伴

如需這些功能的詳細資訊,請移至:

偵測和回應

偵測攻擊並針對這些威脅採取行動

當您快速偵測到威脅時,您可以協助將威脅的影響降到最低。 當您將這些原則與條件式存取結合時,如果偵測到威脅,您可以封鎖使用者和裝置存取組織資源。

您的原則選項:

平台 原則類型
Android Enterprise - 行動威脅防禦合作夥伴
- Microsoft Android 上適用於端點的 Defender
iOS/iPadOS - 行動威脅防禦合作夥伴
- Microsoft iOS/iPadOS 上適用於端點的 Defender
macOS
Windows 用戶端 - Intune 安全性基準 (建議)
- 適用於端點的 Defender (Microsoft Intune 端點偵測和回應配置檔)
- 行動威脅防禦合作夥伴

如需這些功能的詳細資訊,請移至:

防火牆

在所有裝置上啟用防火牆

有些平臺隨附內建防火牆,而在其他平臺上,您可能必須個別安裝防火牆。 Intune 與第三方合作夥伴行動威脅防禦整合 (可管理 Android 和 iOS/iPadOS 裝置防火牆的 MTD) 服務。 針對macOS和 Windows,防火牆安全性內建於 Intune 中,Microsoft適用於端點的Defender。

您的原則選項:

平台 原則類型
Android Enterprise 行動威脅防禦合作夥伴
iOS/iPadOS 行動威脅防禦合作夥伴
macOS 適用於端點的Defender (Microsoft Intune 端點安全性防火牆配置檔)
Windows 用戶端 - Intune 安全性基準 (建議
) - 適用於端點的 Defender (Microsoft Intune 端點安全性防火牆配置檔)
- 行動威脅防禦合作夥伴

如需這些功能的詳細資訊,請移至:

密碼原則

建立強密碼/PIN 原則並封鎖簡單密碼

PIN 會解除鎖定裝置。 在存取組織數據的裝置上,包括個人擁有的裝置,您應該需要強式 PIN/密碼,並支援生物特徵辨識來解除鎖定裝置。 使用生物特徵辨識是無密碼方法的一部分,建議使用此方法。

Intune 會使用裝置限制配置檔來建立和設定密碼需求。

您的原則選項:

平台 原則類型
Android Enterprise 用來管理的 Intune 裝置限制設定檔:
- 裝置密碼
- 工作配置文件密碼
Android Open-Source Project (AOSP) Intune 裝置限制配置檔
iOS/iPadOS Intune 裝置限制配置檔
macOS Intune 裝置限制配置檔
Windows 用戶端 - Intune 安全性基準 (建議的)
- Intune 裝置限制配置檔

如需您可以設定的設定清單,請移至:

軟體更新

定期安裝軟體更新

所有裝置都應該定期更新,而且應該建立原則以確保這些更新已成功安裝。 對於大部分的平臺,Intune 的原則設定著重於管理和安裝更新。

您的原則選項:

平台 原則類型
Android Enterprise 組織擁有的裝置 使用 Intune 裝置限制配置檔的系統更新設定
Android Enterprise 個人擁有的裝置

可以使用合規性原則來設定最低修補程式層級、最小/最大OS版本等等。
iOS/iPadOS Intune 更新原則
macOS Intune 更新原則
Windows 用戶端 - Intune 功能更新原則
- Intune 加速更新原則

如需這些功能和/或您可以設定之設定的詳細資訊,請移至:

層級 1 - 存取組織電子郵件、連線至 VPN 或 Wi-Fi

本節著重於存取組織中的資源。 這些資源包括:

  • 公司或學校帳戶的電子郵件
  • 遠端連線的 VPN 連線
  • Wi-Fi 內部部署連線的連線

此圖顯示從 Microsoft Intune 部署到使用者裝置的電子郵件、VPN 和 Wi-Fi 設定檔。

電子郵件

許多組織會將具有預先設定設定的電子郵件設置檔部署到用戶裝置。

自動連線到使用者電子郵件帳戶

配置檔包含連線到電子郵件伺服器的電子郵件組態設定。

視您設定的設定而定,電子郵件設置檔也可以自動將用戶連線到其個別的電子郵件帳戶設定。

使用企業層級電子郵件應用程式

Intune 中的電子郵件設置檔會使用常見且熱門的電子郵件應用程式,例如 Outlook。 電子郵件應用程式會部署到用戶裝置。 部署應用程式之後,您可以使用設定電子郵件應用程式的設定來部署電子郵件裝置組態配置檔。

電子郵件裝置組態配置檔包含連線到 Exchange 的設定。

存取公司或學校電子郵件

建立電子郵件設置檔是組織在其裝置上使用電子郵件的一般最低基準原則。

Intune 具有適用於 Android、iOS/iPadOS 和 Windows 用戶端裝置的內建電子郵件設置。 當使用者開啟其電子郵件應用程式時,他們可以自動連線、驗證及同步其裝置上的組織電子郵件帳戶。

隨時部署

在新裝置上,建議您在註冊程式期間部署電子郵件應用程式。 註冊完成時,請部署電子郵件裝置設定原則。

如果您有現有的裝置,請隨時部署電子郵件應用程式,並部署電子郵件裝置設定原則。

開始使用電子郵件設置檔

若要開始使用:

  1. 將電子郵件應用程式部署到您的裝置。 如需一些指引,請移至 使用 Intune 將電子郵件設置新增至裝置

  2. 在 Intune 中建立電子郵件裝置組態配置檔。 根據貴組織使用的電子郵件應用程式,可能不需要電子郵件裝置組態配置檔。

    如需一些指引,請移至 使用 Intune 將電子郵件設置新增至裝置

  3. 在電子郵件裝置組態設定檔中,設定平台的設定:

  4. 將電子郵件裝置組態配置檔指派 給您的用戶或使用者群組。

VPN

許多組織會將具有預先設定設定的 VPN 配置檔部署到用戶裝置。 VPN 會將您的裝置連線到內部組織網路。

如果您的組織使用具有新式驗證和安全身分識別的雲端服務,則您可能不需要 VPN 配置檔。 雲端原生服務不需要 VPN 連線。

如果您的應用程式或服務不是雲端式或不是雲端原生,請部署 VPN 配置檔以連線到您的內部組織網路。

隨處工作

建立 VPN 配置檔是具有遠端工作者和混合式背景工作角色之組織的常見最低基準原則。

當使用者從任何地方工作時,他們可以使用 VPN 配置檔安全地連線到組織的網路以存取資源。

Intune 具有適用於 Android、iOS/iPadOS、macOS 和 Windows 用戶端裝置的內建 VPN 設定。 在使用者裝置上,您的 VPN 聯機會顯示為可用的連線。 用戶選取它。 而且,根據 VPN 設定檔中的設定,使用者可以自動驗證並連線到其裝置上的 VPN。

使用企業層級 VPN 應用程式

Intune 中的 VPN 配置檔使用常見的企業 VPN 應用程式,例如 Check Point、Cisco、Microsoft Tunnel 等等。 VPN 應用程式會部署到用戶裝置。 部署應用程式之後,您會使用設定 VPN 應用程式的設定來部署 VPN 連線設定檔。

VPN 裝置組態配置檔包含連線到 VPN 伺服器的設定。

隨時部署

在新裝置上,建議您在註冊程序期間部署 VPN 應用程式。 註冊完成時,請部署 VPN 裝置設定原則。

如果您有現有的裝置,請隨時部署 VPN 應用程式,然後部署 VPN 裝置設定原則。

開始使用 VPN 設定檔

若要開始使用:

  1. 將 VPN 應用程式部署到您的裝置。

  2. 在 Intune 中建立 VPN 組態配置檔

  3. 在 VPN 裝置組態設定檔中,設定平台的設定:

  4. 將 VPN 裝置組態配置檔指派 給您的使用者或使用者群組。

Wi-Fi

許多組織會使用預先設定的設定,將 Wi-Fi 配置檔部署到用戶裝置。 如果您的組織有僅限遠程的員工,則您不需要部署 Wi-Fi 連線配置檔。 Wi-Fi 設定檔是選擇性的,並用於內部部署連線。

無線連線

當使用者從不同的行動裝置工作時,他們可以使用 Wi-Fi 配置檔以無線方式安全地連線到組織的網路。

配置檔包含 Wi-Fi 組態設定,這些設定會自動連線到您的網路和/或 SSID (服務集識別子) 。 使用者不需要手動設定其 Wi-Fi 設定。

支援內部部署行動裝置

建立 Wi-Fi 配置檔是一般最低基準原則,適用於具有內部部署行動裝置的組織。

Intune 具有適用於 Android、iOS/iPadOS、macOS 和 Windows 用戶端裝置的內建 Wi-Fi 設定。 在使用者裝置上,您的 Wi-Fi 聯機會顯示為可用的連線。 用戶選取它。 而且,根據您 Wi-Fi 配置檔中的設定,用戶可以自動驗證並連線到其裝置上的 Wi-Fi。

隨時部署

在新裝置上,建議您在裝置註冊 Intune 時部署 Wi-Fi 裝置設定原則。

如果您有現有的裝置,您可以隨時部署 Wi-Fi 裝置設定原則。

開始使用 Wi-Fi 配置檔

若要開始使用:

  1. 在 Intune 中建立 Wi-Fi 裝置組態配置檔

  2. 設定平台設定:

  3. 將 Wi-Fi 裝置組態配置檔指派 給您的使用者或使用者群組。

層級 2 - 增強的保護和設定

此層級會擴充您在層級 1 中設定的內容,併為您的裝置增加更多安全性。 在本節中,您會建立一組層級 2 的原則,為您的裝置設定更多安全性設定。

Microsoft建議下列層級 2 安全策略:



  • Intune 包含 數百個可管理裝置功能 和設定的設定,例如停用內建相機、控制通知、允許藍牙、封鎖遊戲等等。

    您可以使用 內建範本設定目錄 來查看和設定設定。

    • 裝置限制範本 有許多內建設定,可以控制裝置的不同部分,包括安全性、硬體、數據共用等等。

      您可以在下列平臺上使用這些樣本:

      • Android
      • iOS/iPadOS
      • macOS
      • Windows
    • 使用 [設定] 目錄 來查看和設定所有可用的設定。 您可以在下列平臺上使用設定目錄:

      • iOS/iPadOS
      • macOS
      • Windows
    • 使用內建的系統管理範本,類似於在內部部署環境中設定ADMX範本。 您可以在下列平臺上使用ADMX樣本:

      • Windows
  • 如果您使用 內部部署 GPO ,並想要知道這些相同的設定是否可在 Intune 中使用,請使用 組策略分析。 這項功能會分析您的 GPO,並根據分析,將它們匯入 Intune 設定目錄原則中。

    如需詳細資訊,請移至 分析內部部署 GPO,並在 Intune 中匯入它們

層級 3 - 高保護和設定

此層級會擴充您在層級 1 和 2 中設定的內容。 它新增了企業層級組織中使用的額外安全性功能。


  1. 設定 Microsoft Intune
  2. 新增、設定及保護應用程式
  3. 規劃合規性政策
  4. 🡺 設定裝置功能 (您在這裡)
  5. 註冊裝置