了解如何在 Microsoft Intune 中管理和保护设备

管理设备是任何终结点管理策略和解决方案的重要组成部分。 组织必须管理台式机、笔记本电脑、平板电脑、移动电话、可穿戴设备等。 它可能是一项大型任务，尤其是在不确定从何处开始的情况下。

Microsoft Intune可以提供帮助。 Intune是基于云的服务，可以通过策略（包括安全策略）控制设备。

管理设备的任何组织的目标是保护设备及其访问的数据。

设备管理涉及：

• 配置设备内置的功能，例如启用蓝牙和阻止自动连接到 Wi-Fi 热点
• 保护设备并防止从设备未经授权访问组织资源，例如使用移动威胁防御和加密硬盘
• 创建用于维护设备完整性的符合性规则，例如设置最低 OS 版本和防止简单密码
• 负责组织拥有的设备和访问组织资源的个人拥有的设备

从服务角度来看，Intune对设备存储和权限使用Microsoft Entra ID。 使用 Microsoft Intune 管理中心，可以在设计用于终结点管理的中心位置管理设备任务和策略。

本文讨论管理设备时应考虑的概念和功能。

管理组织拥有和个人的设备

许多组织允许个人拥有的设备访问组织资源，包括电子邮件和会议。 可以使用不同的选项，这些选项取决于组织的严格程度。

可以要求在组织的设备管理服务中注册个人设备。 在这些个人设备上，管理员可以部署策略、设置规则和配置设备功能。 或者，可以使用侧重于保护应用数据的应用保护策略，例如 Outlook、Teams 和 Sharepoint。 还可以结合使用设备注册和应用保护策略。

组织拥有的设备应注册到 MDM 服务中，例如Intune。 注册后，管理员会创建策略并设置保护数据的规则。 不要依赖最终用户来管理这些设备。

有关详细信息和指导，请转到：

• Microsoft Intune 规划指南
• 部署指南: 设置或移动到 Microsoft Intune

使用现有设备并使用新设备

可以管理新设备和现有设备。 Intune支持 Android、iOS/iPadOS、Linux、macOS 和 Windows 设备。

有一些事情你应该知道。 例如，如果另一个 MDM 提供程序管理现有设备，则这些设备可能需要恢复出厂设置。 如果设备使用的是较旧的作系统版本，则它们可能不受支持。

如果你的组织正在投资新设备，我们建议你从使用 Intune 的云方法开始。

有关详细信息和指导，请转到：

• Microsoft Intune 规划指南
• 部署指南: 设置或移动到 Microsoft Intune

有关平台的更具体信息，请转到：

• Android 平台部署指南
• iOS/iPadOS 平台部署指南
• Linux 注册部署指南
• macOS 平台部署指南
• Windows 注册部署指南

检查设备的符合性运行状况

设备符合性是管理设备的重要部分。 你的组织应为这些设备上的安全功能设置密码/PIN 规则和检查。 你想知道哪些设备不符合规则。 符合性就是此任务。

可以创建阻止简单密码、要求防火墙、设置最低 OS 版本等的符合性策略。 可以使用这些策略和内置报告来查看不合规的设备，并查看这些设备上的不合规设置。 此信息可让你了解访问组织资源的设备的整体运行状况。

条件访问是Microsoft Entra ID的一项功能。 使用条件访问，可以强制实施符合性。 例如，如果设备不符合合规性规则，则可以阻止访问组织资源，包括 Outlook、SharePoint 和 Teams。 条件访问可帮助组织保护数据并保护设备。

有关详细信息，请转到：

• 使用符合性策略为管理的设备设置规则
• 监视设备符合性策略的结果
• 了解条件访问和Intune

控制设备功能并将策略分配给设备组

所有设备都具有可以使用策略控制和管理的功能。 例如，可以阻止内置相机、允许蓝牙配对和管理电源按钮。

对于许多组织来说，创建设备组很常见。 设备组是仅包含设备的Microsoft Entra组。 它们不包括用户标识。

拥有设备组时，可以创建专注于设备体验或任务的策略，例如运行单个应用或扫描条形码。 还可以创建策略，这些策略包括你希望始终在设备上的设置，而不管谁使用该设备。

可以按 OS 平台、功能、位置和其他你喜欢的功能对设备进行分组。

设备组还可以包括与多个用户共享或未与特定用户关联的设备。 这些专用或展台设备通常由一线员工 (FLW) 使用，也可以由Intune管理。

组准备就绪后，可以将策略分配给这些设备组。

有关详细信息，请转到：

• Intune中的 FLW 设备管理
• 适合一线员工的 Microsoft 365 入门
• 使用 Intune 作为专用展台运行的 Windows 设备设置
• 使用 Intune 控制共享电脑或多用户设备上的访问权限、帐户和电源功能

保护您的设备

为了帮助保护设备，可以安装防病毒、扫描 & 对恶意活动做出反应，并启用安全功能。

在Intune中，一些常见的安全任务包括：

• 与移动威胁防御 (MTD) 合作伙伴集成，以帮助保护组织拥有的设备和个人拥有的设备。 这些 MTD 服务扫描设备，有助于修正漏洞。

  MTD 合作伙伴支持不同的平台，包括 Android、iOS/iPadOS、macOS 和 Windows。

  有关更具体的信息，请转到移动威胁防御与 Intune

• 在 Windows 设备上使用安全基线。 安全基线是可部署到设备的预配置设置。 这些基线设置侧重于精细级别的安全性，还可以进行更改以满足任何组织特定的要求。

  如果不确定从何处着手，请查看安全基线和内置引导式方案。

  有关更具体的信息，请转到：

  • 使用安全基线在 Intune 中配置 Windows 10 设备
  • 引导式方案概述

• 使用内置策略设置管理软件更新、加密硬盘、配置内置防火墙等。 还可以使用 Windows 自动修补来自动修补 Windows，包括 Windows 质量更新和 Windows 功能更新。

  有关详细信息，请转到：

  • 在 Microsoft Intune 中管理终结点安全性
  • 使用 Microsoft Intune 中的终结点安全策略管理设备安全性
  • Windows Autopatch 概览

• 使用 Intune 管理中心远程管理设备。 你可以远程锁定、重启、查找丢失的设备，并将设备还原到其出厂设置。 如果设备丢失或被盗，或者你要对设备进行远程故障排除，则这些任务非常有用。

  有关详细信息，请转到 Intune 中的远程作。

相关文章

• 了解如何在 Intune 中管理标识
• 了解如何在 Intune 中管理应用