Intune 是什麼? 當組織支援混合和遠端員工時,他們面臨著管理存取組織資源的不同設備的挑戰。員工和學生需要協作、隨時隨地工作,並安全地存取和連接這些資源。管理員需要保護組織資料、管理最終使用者存取權並在使用者工作的任何地方為他們提供支援。 Microsoft Intune 是一種基於雲端的端點管理解決方案。它管理使用者對組織資源的訪問,並簡化許多設備(包括行動裝置、桌上型電腦和虛擬端點)上的應用程式和裝置管理。 您可以保護組織擁有的設備和使用者個人設備上的存取和資料。而且,Intune 具有支援零信任安全模式的合規性和報告功能。 主要特點 Intune 的一些主要功能和優勢包括:✦ 管理用戶和設備使用 Intune,你可以管理組織擁有的設備和最終用戶擁有的設備。 Microsoft Intune 支援 Android、Android 開源專案 (AOSP)、iOS/iPadOS、Linux Ubuntu 桌面、macOS 和 Windows 用戶端裝置。借助 Intune,你可以使用這些設備透過你創建的策略安全地存取組織資源。✦ 簡化應用管理Intune 具有內建應用程式體驗,包括應用程式部署、更新和刪除。你可以:連接並分發來自您的私人應用程式商店的應用程式。啟用 Microsoft 365 應用,包括 Microsoft Teams。部署 Win32 和業務線 (LOB) 應用程式。建立保護應用程式內資料的應用程式保護策略。管理對應用程式及其資料的存取。✦自動化策略部署您可以為應用程式、安全性、裝置配置、合規性、條件存取等建立策略。當策略準備就緒後,您可以將這些原則部署到您的使用者群組和裝置群組。要接收這些策略,設備只需存取互聯網即可。✦ 使用自助服務功能員工和學生可以使用公司入口網站應用程式和網站重設 PIN/密碼、安裝應用程式、加入群組等。您可以自訂公司入口網站以協助減少支援電話。✦ 與行動威脅防禦集成Intune 與 Microsoft Defender for Endpoint 和第三方合作夥伴服務整合。這些服務的重點是端點安全。您可以建立回應威脅、進行即時風險分析並自動修復的策略。✦ 使用基於網路的管理中心Intune 管理中心專注於端點管理,包括資料驅動的報告。管理員可以從任何可以存取網路的裝置登入管理中心。✦ 先進的端點管理與安全性Microsoft Intune 套件提供不同的功能,例如遠端說明、端點權限管理、Microsoft Tunnel for MAM 等。✦ 在 Intune 中使用 Microsoft Copilot 進行 AI 產生的分析Intune 中的 Copilot 可用,並且具有由 Security Copilot 提供支援的功能。Copilot 可以總結現有策略,為您提供更多設定信息,包括推薦值和潛在衝突。您還可以獲得設備詳細資訊並對設備進行故障排除。 註冊設備管理和或應用程式管理 🖥️ 組織擁有的設備已在 Intune 中註冊以進行行動裝置管理 (MDM)。 MDM 以設備為中心,因此設備功能是根據需要的人員進行配置的。例如,您可以將裝置設定為允許存取 Wi-Fi,但前提是登入使用者是組織帳戶。在 Intune 中,您可以建立設定功能和設定並提供安全性和保護性的政策。您的管理團隊完全管理設備,包括登入的使用者身分、安裝的應用程式以及存取的資料。設備註冊時,您可以在註冊過程中部署策略。註冊完成後,設備即可使用。🖥️ 對於自帶設備 (BYOD) 場景中的個人設備,您可以使用 Intune 進行行動應用程式管理 (MAM)。 MAM 以使用者為中心,因此無論使用什麼裝置存取該數據,應用程式資料都會受到保護。重點關注應用程序,包括安全存取應用程式和保護應用程式內的資料。透過 MAM,您可以:向用戶發布行動應用程式。配置應用程式並自動更新應用程式。查看重點關注應用程式清單和應用程式使用情況的數據報告。🖥️ 您也可以一起使用 MDM 和 MAM。如果您的裝置已註冊並且存在需要額外安全性的應用程序,那麼您也可以使用 MAM 應用程式保護策略。 保護任何裝置上的數據 使用 Intune,你可以保護託管設備(已在 Intune 中註冊)上的數據,也可以保護非託管設備(未在 Intune 中註冊)上的數據。 Intune 可以將組織資料與個人資料隔離。其想法是使用您配置和部署的策略來保護您的公司資訊。對於組織擁有的設備,您希望完全控制設備,尤其是安全性。設備註冊時,會收到您的安全規則和設定。在註冊 Intune 的裝置上,您可以:建立和部署用於配置安全性設定、設定密碼要求、部署憑證等的政策。使用行動威脅防禦服務掃描設備、偵測威脅並修復威脅。查看衡量安全設定和規則合規性的數據和報告。使用條件存取僅允許託管且合規的裝置存取組織資源、應用程式和資料。如果設備遺失或被盜,請刪除組織資料。對於個人設備,使用者可能不希望 IT 管理員擁有完全控制權。為了支援混合工作環境,請為使用者提供選項。例如,如果使用者想要完全存取組織的資源,則需要註冊其設備。或者,如果這些使用者只想存取 Outlook 或 Microsoft Teams,則使用需要多重驗證 (MFA) 的應用程式保護策略。在使用應用程式管理的裝置上,您可以:使用行動威脅防禦服務來保護應用程式資料。該服務可以掃描設備、偵測威脅並評估風險。防止組織資料被複製並貼上到個人應用程式中。在第三方或合作夥伴 MDM 中註冊的應用程式和非託管裝置使用應用程式保護策略。使用條件存取來限制可以存取組織電子郵件和文件的應用程式。刪除應用程式內的組織資料 簡化訪問 Intune 幫助組織支援可以在任何地方工作的員工,您可以配置一些功能,使用戶無論身在何處都可以連接到組織。 為遠端使用者建立 VPN 連接 VPN 策略使用戶可以安全地遠端存取您的組織網路。使用常見的 VPN 連線合作夥伴(包括 Check Point、Cisco、Microsoft Tunnel、NetMotion、Pulse Secure 等),您可以根據網路設定建立 VPN 策略。策略準備就緒後,您可以將此策略部署到需要遠端連接到網路的使用者和裝置。在 VPN 策略中,您可以使用憑證來驗證 VPN 連線。當您使用憑證時,您的最終使用者不需要輸入使用者名稱和密碼。 為本地用戶建立 Wi-Fi 連接 對於需要連接到本地組織網路的用戶,您可以使用網路設定建立 Wi-Fi 策略。您可以連接到特定的 SSID、選擇身份驗證方法、使用代理程式等等。您也可以將政策設定為當裝置在範圍內時自動連線到 Wi-Fi。在Wi-Fi策略中,您可以使用憑證來驗證Wi-Fi連線。當您使用憑證時,您的最終使用者不需要輸入使用者名稱和密碼。策略準備就緒後,您可以將此原則部署到需要連接到本機網路的本機使用者和裝置。 為您的應用程式和服務啟用單一登入 (SSO) 啟用 SSO 後,使用者可以使用其 Microsoft Entra 組織帳戶自動登入應用程式和服務,包括一些行動威脅防禦合作夥伴應用程式。具體來說:在 Windows 裝置上,SSO 會自動內建並用於登入使用 Microsoft Entra ID 進行驗證的應用程式和網站,包括 Microsoft 365 應用程式。您也可以在 VPN 和 Wi-Fi 政策上啟用 SSO。在 iOS/iPadOS 和 macOS 裝置上,您可以使用 Microsoft 企業 SSO 外掛程式自動登入使用 Microsoft Entra ID 進行驗證的應用程式和網站,包括 Microsoft 365 應用程式。在 Android 裝置上,您可以使用 Microsoft 驗證程式庫 (MSAL) 啟用對 Android 應用程式的 SSO。