Intune(设备)

针对移动设备管理,兼容多设备平台 (Windows/Android/IOS/Mac)

移动设备管理(MDM条件访问:限制对托管和合规设备的访问

设备合规性-密码强度,密码更改策略/部署证书/部署应用)

企业对设备的管控-远程锁定设备,清除设备公司资源,强制安全更新,仅允许intune管控下访问公司资源定期推送设备策略与企业APP

管理员报告-定期查看用户登录情况,对异常登录与敏感登录做出预防

image-20221118132812012

移动应用管理(MAM条件访问 :限制可用于访问电子邮件或文件的应用

image-20221118132836657

信息访问安全性-仅Intune托管模式下访问企业信息(邮件,文档,数据),限制异常的数据访问情况。

限制信息访问-设备访问的公司资源无法复制,编辑,分享,上传。脱离管控后,信息删除。

BYOD-设备在intune开启下为工作模式,未开启情况下为个人模式,企业员工自己设备也可访问公司资源(bring your own device)

可持续更新公司策略-企业可定期通过Intune更新设备策略

限制非信任应用-限制含有风险应用,防止三方恶意软件造成的信息泄露

维护设备生命周期-注销intune,设备退休,回归正常设备,无法再访问公司资源

由世纪互联运营的 Intune 中的功能差异

  • 由于中国服务由中国境内的合作伙伴运营,因此与 Intune 存在一些功能差异。
  • 由21Vianet运营的Intune仅支持独立部署。客户可以使用共同管理将其现有 Configuration Manager 部署附加到 Microsoft Intune 云。
  • 不支持从公有云迁移到主权云。有兴趣迁移到由 21Vianet 运营的 Intune 的客户必须手动迁移。
  • 目前不支持租户附加功能(无需注册即可将设备同步到 Intune,以支持云控制台方案)。
  • 派生凭据不支持由 21Vianet 操作的 Intune。
  • 通过使用新式 MDM 通道支持管理 Windows 10。
  • 由 21Vianet 操作的 Intune 不支持本地 Exchange 连接器。
  • Windows Autopilot 和 Business Store 功能目前不可用。
  • Microsoft Endpoint Manager Endpoint Analytics 和 Log Analytics 功能目前不可用。
  • 由于谷歌移动服务在中国不可用,因此由21Vianet运营的Intune中的客户无法使用需要谷歌移动服务的功能。这些功能包括:
    • Google Play 保护功能,例如 SafetyNet 设备证明。
    • 从谷歌Play商店管理应用程序。
    • 安卓企业功能。有关更多信息,请参阅此Google 文档
  • 适用于 Android 的 Intune 公司门户应用使用 Google 移动服务与 Microsoft Intune 服务进行通信。由于 Google Play 服务在中国不可用,因此某些任务最多可能需要 8 小时才能完成。有关详细信息,请参阅此文章
  • 为了遵循当地法规并提供改进的功能,Intune 客户端体验(公司门户应用)在中国可能会有所不同。
  • 围栏不可用。
  • 移动应用程序管理 (MAM) 的可用性取决于这些应用在中华人民共和国中可用。
  • 由21Vianet运营的Intune不支持企业设备的Android(AOSP)管理。
  • 由 21Vianet 运营的 Intune 不支持 MTD 供应商的 Android 和 iOS 设备的移动威胁防御 (MTD) 连接器。

Intune operated by 21Vianet in China | Microsoft Docs

全面生命周期管理

注册:

  • 提供公司门户用于用户自助注册
  • 在注册时提供自定义条款和条件
  • 使用苹果配置器或服务帐户批量注册设备
  • 如果设备未注册,则限制对Exchange电子邮件的访问

准备

  • 部署证书,电子邮件,vpn和WiFi配置文件
  • 部署设备安全策略
  • 设置安装强制性应用.
  • 部署应用限制策略
  • 部署数据保护策略

退役:

  • 移除对公司资源的访问执行选择性,擦除审计丢失设备

管理和保护:

  • 如果违反策略,则限制对公司资源的访问(例如,越狱设备)
  • 通过在INTURE管理的应用程序和个人应用程序之间限制复制,剪切,粘贴和保存等操作来保护公司数据
  • 报告设备和应用程序合规性

intune主要功能

image-20221117165649389

注:“终结点安全性”这块跟E5有关

设备注册

image-20221118133500544

MacOS注册

组织设备:

  • Apple 的自动设备注册 (ADE)
  • 设备注册管理员 (DEM)
  • 直接注册

个人设备:

公司门户网站

portal.manage.microsoft.com/

Mac公司门户

aka.ms/EnrollMyMac

windows 设备注册

自动注册/GPO需要Azure AD premium 1的许可

参考:Windows device enrollment guide for Microsoft Intune - Azure | Microsoft Docs

不支持Windows AutoPilot注册

Android 设备注册

1.DA (Device Administrator):

优点:

​ 使用 DA 将 Android 设备注册到 Intune 时,无需连接到 Google 服务

缺点:

  • 这是一个传统的方式

  • 某些类型的 Android 设备不能注册到 Intune

  • 仍然需要每月连接到谷歌服务一次, 或需要重新安装应用程序, 并在 Intune 中每 1 ~ 3 个月重新注册一次

  • 一些功能推送/任务有延迟

  • (Android Enterprise):

1.优点:

​ 它支持比DA更多的MDM功能,并且是建议的注册方式。

2.缺点:

  • 它需要在注册时连接谷歌服务,大多数国内用户无法完成

  • 某些类型的国内 Android 设备即使连接到 Google 服务(由于OEM 的自定义Android 系统),也无法注册到 Intune

  • 某些任务可能会延迟

    a. 推送通知:由于 Google 服务在中国不可用,无法接收任何推送通知Intune 必须等待下一次设备签入时间才能完成任务。

    b. 策略有效期限:我们正式支持 8 小时政策有效性。此外,某些类型的Android 设备(即使它们可以成功注册)也根本无法接收该策略/超过 8 小时(以下任务可能需要长达 8 小时才能完成)

    •Intune 控制台:完全擦除/选择性擦除/新应用部署或更新应用部署/远程锁定/密码重置

    •适用于 Android 的 Intune 公司门户应用程序: 远程设备删除 / 设备重置 / 安装可用的业务线应用程序

    •Intune 公司门户网站: 设备删除 (本地和远程) / 设备重置 / 设备密码重置

image-20221118140418715

安卓设备的一些测试细节

•1.应用提示需要设置PIN码,但输入后无跳转(米6)

•2.Portal显示应用推送成功,但设备上无应用(米6)

•3.设置了MAM策略禁止用户copy/paste到其他非托管应用,用户无法登录(魅族17)

•4.禁止截屏/规定密码长度&复杂度——成功(米6,OPPO Find X2, Oneplus 8)

•5.添加Android Lob App——成功(魅族17)

•6.设备Onboard以及Offboard——成功(米6,OPPO Find X2, Oneplus 8,魅族17)

•7.推送通知失败

•8.无应用商店应用

配置intune策略管理

需要登录365管理员后台找到“终结点管理-国际版”(https://endpoint.microsoft.com/#home)

国内版- Microsoft Azure 由世纪互联运营 (搜索intune)

image-20221118135024213

image-20221118135038219

image-20221118135100701