Microsoft Intune безопасно управляет удостоверениями, приложениями и устройствами

Так как организации поддерживают гибридных и удаленных сотрудников, они сталкиваются с проблемой управления различными устройствами, которые обращаются к ресурсам организации. Сотрудники и учащиеся должны сотрудничать, работать из любого места, а также безопасно получать доступ к этим ресурсам и подключаться к ним. Администраторам необходимо защищать данные организации, управлять доступом конечных пользователей и поддерживать пользователей, где бы они ни работали.

Для решения этих задач и задач используйте Microsoft Intune.

Microsoft Intune — это облачное решение для управления конечными точками. Он управляет доступом пользователей к ресурсам организации и упрощает управление приложениями и устройствами на различных устройствах, включая мобильные устройства, настольные компьютеры и виртуальные конечные точки.

Вы можете защитить доступ и данные на принадлежащих организации и личных устройствах пользователей. Кроме того, Intune имеет функции соответствия требованиям и отчетности, поддерживающие модель безопасности "Никому не доверяй".

В этой статье перечислены некоторые функции и преимущества Microsoft Intune.

Основные функции и преимущества

Ниже перечислены некоторые ключевые функции и преимущества Intune.

• Вы можете управлять пользователями и устройствами, включая устройства, принадлежащие вашей организации, и личные устройства. Microsoft Intune поддерживает Android, Android Open Source Project (AOSP), iOS/iPadOS, Linux Ubuntu Desktop, macOS и клиентские устройства Windows. С помощью Intune эти устройства можно использовать для безопасного доступа к ресурсам организации с помощью создаваемых вами политик.

  Дополнительные сведения см. в статьях:

  • Управление удостоверениями с помощью Microsoft Intune
  • Управление устройствами с помощью Microsoft Intune
  • Поддерживаемые операционные системы в Microsoft Intune

  Примечание.

  При управлении локальной средой Windows Server можно использовать Configuration Manager.

• Intune упрощает управление приложениями благодаря встроенному интерфейсу приложения, включая развертывание, обновление и удаление приложений. Вы можете подключаться и распространять приложения из частных магазинов приложений, включать приложения Microsoft 365, развертывать приложения Win32, создавать политики защиты приложений и управлять доступом к приложениям & их данным.

  Дополнительные сведения см. в статье Управление приложениями с помощью Microsoft Intune.

• Intune автоматизирует развертывание политик для приложений, безопасности, конфигурации устройств, соответствия требованиям, условного доступа и многого другого. Когда политики будут готовы, эти политики можно развернуть в группах пользователей и устройствах. Для получения этих политик устройствам требуется только доступ к Интернету.

• Сотрудники и учащиеся могут использовать функции самообслуживания в приложении Корпоративный портал для сброса ПИН-кода или пароля, установки приложений, присоединения к группам и многого другого. Вы можете настроить приложение Корпоративный портал, чтобы уменьшить количество обращений в службу поддержки.

  Дополнительные сведения см. в разделе Настройка приложений Корпоративный портал Intune, веб-сайта Корпоративный портал и приложения Intune.

• Intune интегрируется со службами защиты от угроз для мобильных устройств, включая Microsoft Defender для конечной точки и сторонние партнерские службы. В этих службах основное внимание уделяется безопасности конечных точек, и вы можете создавать политики, которые реагируют на угрозы, анализировать риски в режиме реального времени и автоматизировать исправление.

  Дополнительные сведения см. в статье Интеграция Mobile Threat Defense с Intune.

• Вы используете веб-центр администрирования , который фокусируется на управлении конечными точками, включая отчеты на основе данных. Администраторы могут войти в Центр администрирования Intune с любого устройства с доступом к Интернету.

  Дополнительные сведения см. в статье Пошаговое руководство по Центру администрирования Intune. Чтобы войти в Центр администрирования, перейдите в центр администрирования Microsoft Intune.

  Этот центр администрирования использует REST API Microsoft Graph для программного доступа к службе Intune. Каждое действие в Центре администрирования является вызовом Microsoft Graph. Если вы не знакомы с Graph и хотите узнать больше, перейдите к статье Интеграция Graph с Microsoft Intune.

• Microsoft Intune Suite предлагает расширенное управление конечными точками и безопасность. Набор включает дополнительные функции, включая Удаленная помощь, управление привилегиями конечных точек, Microsoft Tunnel для MAM и многое другое.

  Дополнительные сведения см. в статье Функции надстроек Intune Suite.

Узнайте, как воспользоваться преимуществами современного управления конечными точками с помощью Microsoft Intune.

Интеграция с другими службами и приложениями Майкрософт

Microsoft Intune интегрируется с другими продуктами и службами Майкрософт, которые ориентированы на управление конечными точками, в том числе:

• Configuration Manager для локального управления конечными точками и Windows Server, включая развертывание обновлений программного обеспечения и управление центрами обработки данных

  Intune и Configuration Manager можно использовать вместе в сценарии совместного управления, использовать подключение клиента или использовать оба варианта. С помощью этих параметров вы получите преимущества веб-центра администрирования и можете использовать другие облачные функции, доступные в Intune.

  Дополнительные сведения см. по следующему разделу:

  • Что такое совместное управление
  • Часто задаваемые вопросы о совместном управлении
  • Включение подключения клиента

• Windows Autopilot для развертывания и подготовки современных ОС

  С помощью Windows Autopilot можно подготавливать новые устройства и отправлять эти устройства непосредственно пользователям от изготовителя оборудования или поставщика устройств. Для существующих устройств эти устройства можно создать заново, чтобы использовать Windows Autopilot и развернуть последнюю версию Windows.

  Дополнительные сведения см. по следующему разделу:

  • Обзор Windows Autopilot
  • Развертывание Windows Autopilot для существующих устройств

• Аналитика конечных точек для видимости и создания отчетов о взаимодействии с конечными пользователями, включая производительность и надежность устройства

  Аналитику конечных точек можно использовать для выявления политик или проблем с оборудованием, которые замедляют работу устройств. В нем также содержатся рекомендации, которые помогут вам заранее улучшить взаимодействие с конечными пользователями и сократить количество запросов в службу поддержки.

  Дополнительные сведения см. по следующему разделу:

  • Что такое аналитика конечных точек
  • Регистрация устройств Intune в аналитике конечных точек

• Microsoft 365 для повышения производительности приложений Office для конечных пользователей, включая Outlook, Teams, Sharepoint, OneDrive и т. д.

  С помощью Intune можно развертывать приложения Microsoft 365 для пользователей и устройств в вашей организации. Вы также можете развернуть эти приложения при первом входе пользователей.

  Дополнительные сведения см. по следующему разделу:

  • Добавление Приложения Microsoft 365 на устройства Windows 10/11 с Microsoft Intune
  • Документация По Microsoft 365: управление устройствами с помощью Intune

• Microsoft Defender для конечной точки, помогающие предприятиям предотвращать, обнаруживать, исследовать угрозы и реагировать на них

  В Intune можно создать подключение между службой между Intune и Microsoft Defender для конечной точки. Когда они подключены, вы можете создавать политики, которые сканируют файлы, обнаруживают угрозы и сообщают об уровнях угроз Microsoft Defender для конечной точки. Вы также можете создать политики соответствия, которые задают допустимый уровень риска. В сочетании с условным доступом можно заблокировать доступ к ресурсам организации для устройств, которые не соответствуют требованиям.

  Дополнительные сведения см. по следующему разделу:

  • Обеспечение соответствия требованиям в Microsoft Defender для конечной точки с помощью условного доступа в Intune
  • Настройка Microsoft Defender для конечной точки в Intune

• Автоматическое исправление Windows для автоматического исправления Windows, приложений Microsoft 365 для предприятий, Microsoft Edge и Microsoft Teams

  Автоматическое исправление Windows — это облачная служба. Он поддерживает программное обеспечение в актуальном состоянии, предоставляет пользователям новейшие средства повышения производительности, минимизирует локальную инфраструктуру и помогает освободить ИТ-администраторов, чтобы сосредоточиться на других проектах. Автопатка Windows использует Microsoft Intune для управления исправлениями для зарегистрированных в Intune устройств или устройств с помощью совместного управления (Intune + Configuration Manager).

  Дополнительные сведения см. по следующему разделу:

  • Что такое автоматическое исправление Windows?
  • Часто задаваемые вопросы о автоматическом исправлении Windows

Интеграция со сторонними партнерскими устройствами и приложениями

Центр администрирования Intune упрощает подключение к различным партнерским службам, в том числе:

• Управляемый Google Play. При подключении к управляемой учетной записи Google Play администраторы могут получить доступ к частному магазину вашей организации для приложений Android и развернуть эти приложения на ваших устройствах.

  Дополнительные сведения см. в статье Добавление управляемых приложений Google Play на устройства Android Enterprise с помощью Intune.

• Токены и сертификаты Apple. При их добавлении устройства iOS/iPadOS и macOS могут регистрироваться в Intune и получать политики из Intune. Администраторы могут получить доступ к приобретенным корпоративным лицензиям приложений iOS/iPad и macOS, а также развернуть эти приложения на ваших устройствах.

  Дополнительные сведения см. в статьях:

  • Получите сертификат Apple MDM Push Certificate
  • Автоматическая регистрация устройств iOS/iPadOS в рамках программы автоматической регистрации устройств Apple
  • Управление приложениями iOS и macOS, приобретенными через Apple Business Manager, с помощью Microsoft Intune

• TeamViewer. При подключении к учетной записи TeamViewer можно использовать TeamViewer для удаленной помощи устройствам.

  Дополнительные сведения см. в статье Использование TeamViewer для удаленного администрирования устройств Intune.

С помощью следующих служб Intune:

• Предоставляет администраторам упрощенный доступ к службам приложений сторонних партнеров.
• Может управлять сотнями сторонних партнерских приложений.
• Поддерживает приложения общедоступного розничного магазина, бизнес-приложения (LOB), частные приложения, недоступные в общедоступном магазине, пользовательские приложения и многое другое.

Дополнительные требования к платформе для регистрации устройств сторонних партнеров в Intune см. по следующим причинам:

• Руководство по развертыванию: регистрация устройств Android в Microsoft Intune
• Руководство по развертыванию. Регистрация устройств iOS и iPadOS в Microsoft Intune
• Руководство по развертыванию. Регистрация устройств Linux в Microsoft Intune
• Руководство по развертыванию. Регистрация устройств macOS в Microsoft Intune

Регистрация в управлении устройствами, управление приложениями или и то, и другое

Устройства, принадлежащие организации, регистрируются в Intune для управления мобильными устройствами (MDM). MDM ориентирована на устройства, поэтому функции устройств настраиваются в зависимости от того, кому они нужны. Например, вы можете настроить устройство так, чтобы разрешить доступ к Wi-Fi, но только в том случае, если вошедшего пользователя является учетной записью организации.

В Intune создаются политики, которые настраивают функции & параметры и обеспечивают защиту & безопасности. Устройства полностью управляются вашей организацией, включая удостоверения пользователей, которые входят в систему, установленные приложения и данные, к которым осуществляется доступ.

При регистрации устройств вы можете развернуть политики во время регистрации. После завершения регистрации устройство будет готово к использованию.

Для личных устройств в сценариях использования собственных устройств (BYOD) можно использовать Intune для управления мобильными приложениями (MAM). MAM ориентирован на пользователей, поэтому данные приложения защищены независимо от устройства, используемого для доступа к этим данным. Основное внимание уделяется приложениям, включая безопасный доступ к приложениям и защиту данных в приложениях.

С помощью MAM вы можете:

• Публикация мобильных приложений для пользователей.
• Настройка приложений и автоматическое обновление приложений.
• Просмотр отчетов о данных, посвященных инвентаризации приложений и их использованию.

Вы также можете использовать MDM и MAM вместе. Если ваши устройства зарегистрированы и есть приложения, которым требуется дополнительная безопасность, вы также можете использовать политики защиты приложений MAM.

Дополнительные сведения см. в статьях:

• Что такое регистрация устройств в Intune?
• Обзор политик защиты приложений
• Создание и назначение политик защиты приложений

Защита данных на любом устройстве

С помощью Intune можно защитить данные на управляемых устройствах (зарегистрированных в Intune) и на неуправляемых устройствах (не зарегистрированных в Intune). Intune может изолировать данные организации от персональных данных. Идея заключается в том, чтобы защитить информацию о компании, контролируя способ доступа пользователей к информации и совместного доступа к ней.

Для устройств, принадлежащих организации, требуется полный контроль над устройствами, особенно безопасность. Когда устройства регистрируются, они получают ваши правила и параметры безопасности.

На устройствах, зарегистрированных в Intune, вы можете:

• Создавайте и развертывайте политики, которые настраивают параметры безопасности, устанавливают требования к паролям, развертывают сертификаты и т. д.
• Используйте мобильные службы защиты от угроз для сканирования устройств, обнаружения угроз и устранения угроз.
• Просматривайте данные и отчеты, которые измеряют соответствие параметрам безопасности и правилам.
• Используйте условный доступ, чтобы разрешить доступ к ресурсам, приложениям и данным организации только управляемым и соответствующим устройствам.
• Удалите данные организации в случае потери или кражи устройства.

Для личных устройств пользователи могут не захотеть, чтобы их ИТ-администраторы имели полный контроль. Чтобы обеспечить поддержку гибридной рабочей среды, предоставьте пользователям варианты. Например, пользователи регистрируют свои устройства, если им нужен полный доступ к ресурсам организации. Если эти пользователи хотят получить доступ только к Outlook или Microsoft Teams, используйте политики защиты приложений, требующие многофакторной проверки подлинности (MFA).

На устройствах, использующих управление приложениями, можно:

• Используйте мобильные службы защиты от угроз для защиты данных приложений путем сканирования устройств, обнаружения угроз и оценки риска.
• Запретить копирование и вставку данных организации в личные приложения.
• Используйте политики защиты приложений в приложениях и на неуправляемых устройствах, зарегистрированных в стороннем или партнерском MDM.
• Используйте условный доступ, чтобы ограничить приложения, которые могут получать доступ к электронной почте и файлам организации.
• Удалите данные организации в приложениях.

Дополнительные сведения см. в статьях:

• Защита данных и устройств с помощью Microsoft Intune
• Интеграция Mobile Threat Defense с Intune

Упрощение доступа

Intune помогает организациям поддерживать сотрудников, которые могут работать из любого места. Существуют функции, которые можно настроить, которые позволяют пользователям подключаться к организации, где бы они ни находились.

В этом разделе содержатся некоторые общие функции, которые можно настроить в Intune.

Использование Windows Hello для бизнеса вместо паролей

Windows Hello для бизнеса помогает защититься от фишинговых атак и других угроз безопасности. Это также помогает пользователям быстрее и проще выполнять вход в свои устройства и приложения.

Windows Hello для бизнеса заменяет пароли ПИН-кодом или биометрическими данными, например отпечатками пальцев или распознаванием лиц. Эти биометрические данные хранятся локально на устройствах и никогда не отправляются на внешние устройства или серверы.

Дополнительные сведения см. в статьях:

• Общие сведения о Windows Hello для бизнеса
• Управление Windows Hello для бизнеса на устройствах при регистрации в Intune
• Управление удостоверениями с помощью Microsoft Intune

Создание VPN-подключения для удаленных пользователей

Политики VPN предоставляют пользователям безопасный удаленный доступ к сети организации.

С помощью общих партнеров VPN-подключений, включая Check Point, Cisco, Microsoft Tunnel, NetMotion, Pulse Secure и т. д., вы можете создать политику VPN с параметрами сети. Когда политика будет готова, вы развернете ее для пользователей и устройств, которым необходимо удаленно подключиться к сети.

В политике VPN можно использовать сертификаты для проверки подлинности VPN-подключения. При использовании сертификатов пользователям не нужно вводить имена пользователей и пароли.

Дополнительные сведения см. в статьях:

• Создание профилей VPN для подключения к VPN-серверам в Intune
• Использование сертификатов для проверки подлинности в Microsoft Intune
• Microsoft Tunnel для Microsoft Intune
• Microsoft Tunnel для MAM

Создание подключения Wi-Fi для локальных пользователей

Для пользователей, которым необходимо подключиться к локальной сети организации, можно создать политику Wi-Fi с параметрами сети. Вы можете подключиться к определенному SSID, выбрать метод проверки подлинности, использовать прокси-сервер и многое другое. Вы также можете настроить политику для автоматического подключения к Wi-Fi, когда устройство находится в зоне действия.

В политике Wi-Fi можно использовать сертификаты для проверки подлинности подключения Wi-Fi. При использовании сертификатов пользователям не нужно вводить имена пользователей и пароли.

Когда политика будет готова, вы развернете ее для локальных пользователей и устройств, которым необходимо подключиться к локальной сети.

Дополнительные сведения см. в статьях:

• Создание политики Wi-Fi для подключения к Wi-Fi сетям в Intune
• Использование сертификатов для проверки подлинности в Microsoft Intune

Включение единого входа в приложениях и службах

При включении единого входа пользователи могут автоматически входить в приложения и службы с помощью учетной записи Microsoft Entra организации, включая некоторые мобильные партнерские приложения для защиты от угроз.

Это означает следующее:

• На устройствах Windows единый вход автоматически встроен и используется для входа в приложения и веб-сайты, использующие идентификатор Microsoft Entra для проверки подлинности, включая приложения Microsoft 365. Вы также можете включить единый вход в VPN и политики Wi-Fi.

• На устройствах iOS/iPadOS и macOS вы можете использовать подключаемый модуль единого входа Microsoft Enterprise для автоматического входа в приложения и веб-сайты, использующие идентификатор Microsoft Entra для проверки подлинности, включая приложения Microsoft 365.

• На устройствах Android вы можете использовать библиотеку проверки подлинности Майкрософт (MSAL) для включения единого входа в приложения Android.

  Дополнительные сведения см. в статьях:

  • Принцип работы единого входа в локальные ресурсы на устройствах, присоединенных к Microsoft Entra
  • Используйте подключаемый модуль единого входа Microsoft Enterprise на устройствах iOS, iPadOS и macOS в Microsoft Intune
  • Включение единого входа между приложениями в Android с помощью MSAL

Дальнейшие действия

• Управление удостоверениями с помощью Microsoft Intune
• Управление устройствами с помощью Microsoft Intune
• Управление приложениями с помощью Microsoft Intune