Contoso 的行動裝置管理
Microsoft 365 企業版包含 Intune 和一組支援行動裝置和應用程式管理和安全性的 Azure 服務。
Contoso 有許多啟用行動裝置的員工。 有些在 Contoso 位置有辦公室,有些則沒有辦公室。 Contoso 需要一種方式來提高員工生產力,但要確保裝置、儲存在這些裝置上的 Contoso 資料,以及應用程式行為的安全。
規劃
Contoso 識別出適用於企業Microsoft 365 的行動裝置管理 Intune 使用案例:
- 保護 Exchange Online 電子郵件和數據,讓行動裝置可以安全地加以存取。
- 為 Contoso 員工實作自備裝置 (BYOD) 計劃。
- 向 Contoso 員工發出組織擁有的手機和有限用途的共享平板電腦。
Contoso 不會使用 Intune 來:
- 允許員工從非受控公用 kiosk 安全地存取 Microsoft 365。
- 保護內部部署電子郵件和數據,讓行動裝置可以安全地加以存取,因為沒有內部部署Microsoft Exchange 伺服器。
部署
這是 Contoso 設定行動裝置管理基礎架構的方式:
將 Intune 設為行動 裝置管理 (MDM) 授權單位,並在 Azure 上使用 Intune 來管理內容及管理裝置
針對註冊和 Intune 設定和裝置型條件式存取原則的裝置建立 Microsoft Entra 群組
如需詳細資訊,請 參閱 Contoso 條件式存取原則。
已啟用 Apple 裝置平臺,以使用 iPad、iMacs 和 iPhone,以及公司擁有的 iPhone 支持員工
建立 Contoso 特定的條款與條件原則,會在行動裝置安裝 Contoso 公司入口網站時出現
針對未註冊的裝置,實作一組行動應用程式管理 (MAM) 原則,要求驗證才能存取 Microsoft 365 服務
建立 Intune 原則以強制執行:
- 允許的應用程式。
- 裝置加密有助於防止未經授權的存取。
- 六位數 PIN 或密碼。
- 非活動逾時期間。
- 防病毒軟體和惡意代碼保護,以及在 Windows 11 裝置上使用 Windows Defender 進行簽章更新。
- 包含最新安全性更新的 Windows 11 裝置上的自動更新。
- 將憑證推送至受控裝置。
- 清楚區分商務和個人資料。 用戶或系統管理員可以選擇性地從裝置抹除公司數據,同時讓圖片、個人電子郵件帳戶和個人檔案等個人資料保持不變。
Contoso 已將已部署的電腦和公司擁有的智慧型手機和平板電腦新增至適當的 Intune 裝置群組, 他們也建立了 BYOD 計劃,讓員工註冊其個人裝置。 註冊的裝置會收到 Intune 原則,這會導致受控且受保護的裝置及其應用程式。 未註冊的裝置具有行動應用程式管理 (MAM) 原則來指定允許的應用程式。
以下是 Contoso 行動裝置管理部署架構。
下一步
瞭解 Contoso 如何使用 Microsoft 365 企業版 的信息保護功能 ,來分類、識別及保護整個組織的重要數字資產。