微软移动设备管理指南

过去，公司使用配置管理工具来管理和保护设备上的数据，因为大多数员工都使用雇主提供和拥有的设备工作。

目前的趋势是转向更混合、更灵活的方法：BYOD.意思是 "自带设备"。在这种安排下，员工可以灵活地在家里或办公室使用个人设备工作。

‍

然而，这种趋势使得保护在不同操作系统上运行的不同移动设备上的数据变得具有挑战性。使用微软配置管理器的公司只能管理 Windows、macOS 和 Windows Server 设备。 

‍

微软推出了一款名为 Microsoft Intune 的产品来解决这一问题。利用 Intune，IT 管理员可以管理在主流操作系统（即 Android、iOS/iPadOS、macOS 和 Windows）上运行的笔记本电脑、平板电脑和智能手机。

本文是 Microsoft 移动设备管理指南。您将了解微软移动设备管理生态系统的工作原理、功能以及如何在企业中部署。

‍

什么是微软移动设备管理？

微软为企业提供了一整套解决方案和技术，用于远程管理、访问和保护存储在企业和员工自有设备中的数据。这种管理设备和数据的做法被称为移动设备管理（MDM）。

‍

微软端点管理器（MEM）是微软 365 服务堆栈的一部分，在 MEM 品牌下，您可以获得配置管理器和 Intune 订阅。这两个平台可以让你完全控制访问公司数据的任何设备上的数据，无论是公司拥有的还是员工拥有的。除了端点管理器，你还需要 Azure Active Directory（Azure AD）订阅来存储用户/员工数据。 

在允许用户访问公司网络之前，端点管理器会从 Azure AD 获取并验证这些数据。

‍

Endpoint Manager、Intune 和 Azure Active Directory 都是云原生解决方案。不过，请注意，如果您对此感兴趣，微软提供了使内部活动目录和内部配置管理器与 Intune 协同工作的方法。

‍

Intune 还具有移动应用管理 (MAM) 功能，允许 IT 经理访问、更新、故障排除和管理用户设备上的单个应用。 

MDM + MAM 对员工也有好处。例如，他们不必担心不小心违反公司政策或手动更新应用程序。

‍

通过 Microsoft MDM 和 MAM，企业可以完全控制存储在企业自有和员工自有设备中的公司数据，同时不会损害员工的隐私。 

微软移动设备管理有什么用？ 

通过 MDM 服务，您可以创建安全策略，规定设备在访问公司敏感数据时的行为。这些策略规定了用户如何登录公司门户网站（网站或应用程序），以及登录后能做什么和不能做什么。如果员工希望携带自己的设备上班，就必须接受这些策略。

‍

以下是一些移动设备管理的使用案例： 

• 限制访问无线网络。你可以规定员工只能通过企业内部的无线网络或 VPN 网络访问公司门户网站。您还可以限制通过公共网络访问公司门户网站，因为公共网络容易受到黑客攻击。 
• 擦除数据。IT 管理员可以通过将设备恢复到出厂默认设置来彻底擦除设备，或有选择性地擦除企业数据。在设备丢失、被盗或员工离职的情况下，可以远程执行这一操作。 
• 更新数据。 Intune MAM 允许在公司门户网站上发布内部应用和业务应用。一旦员工注册了移动设备管理，IT 管理员就可以推送、更新、选择性擦除、配置、保护和监控这些应用程序。
• 保护数据。除了按需擦除数据外，Intune 还为您提供了其他保护数据的工具和方法。 

‍

保护数据的例子包括

• 只允许有条件地访问敏感数据
• 限制用户将公司数据导出至个人存储设备
• 制定严格的安全政策来保护数据，例如禁止员工向组织外的人发送电子邮件
• 集成移动威胁防御应用程序，持续扫描网络和用户应用程序中的漏洞 
• 阻止在内部使用摄像机
• 限制组织大楼外的用户连接到 Wifi 网络
• 阻止恶意应用程序下载
• 限制越狱设备接入网络
• 在 Endpoint Manager 控制台中为 IT 管理员分配基于角色的访问控制
• 为某些操作设置多因素身份验证要求

‍

此外，您还可以通过创建策略，指示 Intune 将数据自动保存到云或组织的中央服务器上，从而防止数据丢失。您还可以禁止员工删除敏感数据。 

‍

微软移动设备管理功能

以下是微软移动设备管理解决方案的功能： 

‍

• 使用 Intune，移动管理变得简单。Intune 支持市场上所有主流操作系统。它可以管理市场上主流操作系统软件的手机、平板电脑、笔记本电脑和个人电脑。无论企业规模有多大，您都可以通过单一管理空间（端点管理器）对用户和群组进行分类，以便于管理。
• 协同管理和租户附加选项。 协同管理和租户附加功能适用于已经使用内部部署配置管理器，但希望缓慢或完全不迁移到微软服务的企业。通过协同管理，您可以使用 Intune 和内部配置管理器共享 MDM 工作负载。这种设置非常适合 BYOD 环境，因为单独使用配置管理器会限制您可以管理的设备数量。例如，Microsoft 配置管理器仅支持基于 Windows、macOS 和 Windows Server 的内部部署设备。您还可以启用租户附加功能，使用 Microsoft Endpoint Manager 远程控制您的内部部署配置管理器。
• 与安全保护服务集成。 除了将 Microsoft Defender 和 Windows Defender 集成到您的 MDM 生态系统外，您还可以连接第三方移动威胁防御系统来增强安全性。 

如何使用 Microsoft MDM 管理设备

无论您是想从头开始建立自己的 MDM 生态系统，还是已经有了内部部署的 MDM 服务，您都有几种迁移到 Microsoft MDM 的选择。

‍

如果您已经建立了系统，您可以从 4 个选项中进行选择： 

• 添加租户附加功能。如果使用内部配置管理器管理设备，可以在 Endpoint Manager 中启用租户附加功能，远程控制内部配置管理器。
• 设置协同管理。在内部部署控制管理器和 Intune 之间分担工作量。推荐给希望过渡到 BYOD 模式的公司。
• 从配置管理器移至 Intune。如果大多数用户设备运行的是 Windows 操作系统，则推荐使用。不适合 BYOD 生态系统
•  使用 Microsoft 365 和 Intune 从头开始。假设贵组织生态系统中的大多数客户端设备都运行在 Windows 系统上。在这种情况下，您可以部署 Microsoft 365，充分利用 Office 365 和云存储等 全套 Microsoft 产品和服务，并将其与 Intune 集成。

‍

如果您要从头开始部署 MDM，您有两种直接的选择：

• Intune + Endpoint Manager。整个 MDM 系统将是云原生的。设备可以远程管理。它非常适合 BYOD。
• 配置管理器 + 端点管理器。将企业内部配置管理器与云端端点管理器相结合。

设置 Microsoft Intune 

Intune 和 Configuration Manager 以 Microsoft Endpoint Manager 品牌销售，该品牌包含在 Microsoft 365 解决方案中。因此，要部署 Intune，你需要以下任何一种 许可证： 

• 微软 365 E5
• 微软 365 E3
• 企业移动和安全 E5
• 企业移动与安全 E3
• Microsoft 365 商务高级版
• 微软 365 F1
• 微软 365 F3
• 微软 365 政府 G5
• 微软 365 政府 G3
• 微软 365 教育 A5
• 微软 365 教育 A3

‍

下一步是登录Endpoint Manager并注册 Intune。 

‍

然后按照以下步骤操作： 

1. 使用 Intune配置贵公司的域名。 
2. 添加用户 或组，或将Active Directory与 Intune同步。 
3. 为用户和员工分配许可证，以便他们根据自己的意愿注册 Intune。
4. 为 Intune 或配置管理器分配移动设备管理权限。
5. 添加要在用户设备上推送和管理的应用程序。 
6. 配置设备，以确定用户在注册 Intune 后可以使用或不能使用其设备进行哪些操作。 
7. 自定义公司门户网站，用户可通过该门户网站注册设备和安装应用程序。 
8. 通过门户启用设备注册。
9. 配置策略，防止数据泄漏和删除。 

注册设备 

对于 BYOD 工作场所生态系统，需要将 Intune 设置为 MDM 权限。Intune 可以注册员工和组织拥有的设备。Intune 支持 Windows、iOS、macOS 和 Android 平台。查看此支持平台及其各自版本的列表。 

‍

您的用户需要在 Azure AD 中注册。 

‍

以下是为各种设备获取许可证并将其注册到 Intune 的指南：

• 安卓
• iOS/iPadOS
• MacOS
• 窗户

管理设备和应用程序 

IT 管理员可以通过 Microsoft Endpoint Manager 管理设备。在这里，他们可以执行的操作包括 

• 清除数据
• 重启设备
• 查看设备所有者的姓名
• 定位设备
• 同步设备
• 更新蜂窝数据计划

‍

以下是您可以执行的全部操作列表。

‍

Intune 具有移动应用程序管理功能，管理员可对注册设备上的应用程序进行推送、配置、保护和管理。 

‍

首先在 Intune 中添加要管理的应用程序。然后，为应用程序创建策略，确保数据得到保护。Intune 的控制台会显示应用程序的安装和漏洞状态。以下是使用 Intune 管理应用程序的 Microsoft 指南。 

教育用户 

您的员工可能并不完全了解 BYOD 移动设备管理的工作原理。侵犯隐私会让员工担忧。 

‍

让最终用户了解 Intune 在他们的个人设备上能看到什么、不能看到什么，可以增强用户体验和合规性。例如，Intune 无法访问照片、短信、电子邮件、通话记录、网络历史记录、文件等个人数据，也无法访问任何未管理的应用程序库存。另一方面，IT 管理员可以看到设备型号名称、制造商、设备所有者姓名以及管理应用程序库存。 

‍

您可以与员工分享这份关于 Intune 可以在设备上访问哪些内容的文档，并让他们选择是否注册个人设备。 

‍

如果他们希望注册，这些视频设备注册指南将对他们大有帮助。 

‍

注册后，员工可以借助以下指南从公司门户下载应用程序，享受 BYOD 模式带来的便利： 

• Windows 用户如何获取应用程序
• 安卓用户如何获取应用程序
• iOS/iPadOS 用户如何获取应用程序

‍

需要检查设备？从以下网站获取详细的历史报告Phonecheck

泄露敏感的组织信息会危及个人的职业前景。因此，在购买或出售旧手机时，可以通过检查手机是否已完全清除并处于出厂状态来确保信心。

‍

Phonecheck 报告可用于确定设备是否已被安全擦除并恢复出厂设置。您不希望购买仍注册有 MDM 软件的设备。

‍

Phonecheck提供完整的移动设备处理解决方案，可检查设备是否解锁、是否已报失或被盗、电池是否正常、是否已维修、是否已列入黑名单等。通过Phonecheck 认证，经销商可以放心地购买和出售旧手机。

‍