乘风破浪,遇见最美Windows 11之现代Windows开发运维 - Microsoft Intune实现云注册和云管理企业/学校/政府所有设备
什么是Microsoft Intune
https://docs.microsoft.com/zh-cn/mem/intune/fundamentals/what-is-intune
Microsoft Intune是一种基于云的服务,侧重于移动设备管理(MDM)和移动应用程序管理(MAM)。可以控制如何使用组织的设备,包括移动电话、平板电脑和笔记本电脑。还可以配置特定策略来控制应用程序。例如,可以阻止电子邮件发送给组织外部人员。使用Intune,组织中的人员还可在学校或工作中使用个人设备。在个人设备上,Intune有助于确保组织数据始终受到保护,并可将组织数据与个人数据隔离开来。
Intune属于Microsoft企业移动性+安全性(EMS)套件。Intune与Azure Active Directory(Azure AD)集成,以控制谁具有访问权限以及可以访问的内容。它还与Azure信息保护集成,进行数据保护。它可以与Microsoft 365产品套件配合使用。例如,可以将Microsoft Teams、OneNote和其他Microsoft 365应用部署到设备。借助此功能,组织中的人员可以在自己的所有设备上高效工作,同时使用你创建的策略来保护组织的信息。
优势
使用Intune,可以执行以下操作:
- 选择使用Intune的100%云,或与Configuration Manager和Intune共同托管。
- 在个人和组织拥有的设备上设置规则和配置设置以访问数据和网络。
- 在本地和移动设备上部署和验证应用。
- 通过控制用户访问和共享信息的方式来保护公司信息。
- 请确保设备和应用符合安全要求。
管理设备
在Intune中,使用适合你的方法来管理设备。对于组织拥有的设备,你可能希望完全控制设备,包括设置、功能和安全性。在这种方法中,设备及其用户在Intune中“注册”。注册后,他们将通过Intune中配置的策略接收你的规则和设置。例如,可以设置密码和PIN要求、创建VPN连接以及设置威胁防护等。
对于个人设备或自带设备办公(BYOD),用户可能不希望其组织管理员拥有完全控制权。在这种方法中,为用户提供选项。例如,如果用户需要拥有对组织资源的完全访问权限,则注册其设备。或者,如果这些用户仅希望访问电子邮件或Microsoft Teams,则可使用需要多重身份验证(MFA)的应用保护策略来使用这些应用。
当设备在Intune中注册和管理时,管理员可以:
- 查看已注册的设备,并获取访问组织资源的设备的清单。
- 配置设备,以便其满足安全和运行状况标准。例如,你可能希望阻止越狱设备。
- 将证书推送到设备,以便用户可以轻松访问Wi-Fi网络,或使用VPN连接到网络。
- 查看有关用户和设备合规性的报告。
- 如果设备丢失、被盗或不再使用,请删除组织数据。
管理应用
Intune中的移动应用程序管理(MAM)旨在应用程序级别保护组织数据(包括自定义应用和应用商店应用)。可以在组织拥有的设备和个人设备上使用应用管理。
在Intune中管理应用时,管理员可以:
- 添加移动应用并将其分配给用户组和设备,包括特定组中的用户、特定组中的设备等。
- 将应用配置为启用特定设置后启动或运行,并更新设备上的现有应用。
- 查看有关使用哪些应用的报表,并跟踪其使用情况。
- 通过仅从应用中删除组织数据执行选择性擦除。
Intune提供移动应用安全性的一种方法是通过应用保护策略。应用保护策略:
- 使用Azure AD标识将组织数据与个人数据隔离。因此,个人信息与组织IT识别隔离。使用组织凭据访问的数据被授予其他安全保护。
- 通过限制用户可执行的操作(例如复制和粘贴、保存以及查看)来帮助保护个人设备上的访问权限。
- 可以在已在Intune中注册的设备、已在其他MDM服务中注册的设备或未在任何MDM服务中注册的设备上创建和部署。在已注册的设备上,应用保护策略可以添加额外的保护层。
例如,用户使用其组织凭据登录到设备。使用组织标识可以访问被其个人标识拒绝的数据。用户使用该组织数据时,应用保护策略会控制数据的保存方式和共享方式。当用户使用其个人标识登录时,不会应用这些相同的保护。这样,IT能够控制组织数据,而最终用户可以保持对其个人数据的控制和私密性。
此外,还可以将Intune与EMS中的其他服务结合使用。此功能提供了操作系统和任何应用所不包括的组织的移动应用安全性。使用EMS管理的应用可以访问更广泛的移动应用和数据保护功能。
符合性和条件访问
Intune与Azure AD集成,实现广泛的访问控制方案。例如,在访问网络资源(如电子邮件或SharePoint)之前,要求移动设备符合Intune中定义的组织标准。同样,可以锁定服务,以便其仅可用于一组特定的移动应用。例如,可以锁定Exchange Online,以便只允许由Outlook或Outlook Mobile对其进行访问。
- 在设备上设置规则以允许访问组织资源
- 通过Intune使用条件访问的常见方式
Microsoft Intune许可
https://docs.microsoft.com/zh-cn/mem/intune/fundamentals/licenses
Microsoft Intune可满足不同的客户需求,并适用于不同的组织规模,包括为学校和小型企业提供的简单易用的管理体验,以及企业客户所需的更高级功能。只要订阅处于活动状态,包含Microsoft Intune的大多数许可证还会授予使用Microsoft Endpoint Configuration Manager的权限。管理员必须拥有分配的许可证才能管理Intune(除非你允许未授权的管理员)。
以下许可证包含Intune:
- Microsoft 365 E5
- Microsoft 365 E3
- 企业移动性 + 安全性E5
- 企业移动性 + 安全性E3
- Microsoft 365商业高级版
- Microsoft 365 F1
- Microsoft 365 F3
- Microsoft 365政府版 G5
- Microsoft 365政府版 G3
- Intune教育版
设备管理
任何管理员的一项关键任务是保护组织中设备上组织的资源和数据。此任务是设备管理。用户从个人帐户接收和发送电子邮件,从家和餐厅浏览网站,以及安装应用和游戏。这些用户也是员工和学生。在设备上,他们希望访问工作和学校资源,如电子邮件和OneNote,并快速访问它们。作为管理员,您的目标是保护这些资源,并同时为用户提供跨其许多设备的轻松访问。
设备管理使组织能够保护其资源和数据以及来自不同设备的安全。
使用设备管理提供程序,组织可以确保只有授权人员和设备可以访问专有信息。同样,设备用户可以轻松从手机访问工作数据,因为他们知道其设备满足组织的安全要求。作为组织,您可能会询问-我们应当使用什么来保护我们的资源?
答案是Microsoft Intune。
Intune提供移动设备管理(MDM)MAM(移动应用)。任何MDM或MAM解决方案的一些关键任务是:
- 支持不同的移动环境,并安全地管理iOS/iPadOS、Android、Windows和macOS设备。
- 确保设备和应用符合组织的安全要求。
- 创建有助于在组织拥有和个人设备上确保组织数据安全的策略。
- 使用单个统一的移动解决方案强制实施这些策略,并帮助管理设备、应用、用户和组。
- 通过帮助控制员工访问和共享其数据的方式来保护公司信息。
Intune包含在Microsoft Azure、Microsoft 365中,Azure Active Directory(AzureAD)。AzureAD帮助控制谁有权访问哪些用户,以及他们有权访问哪些项目。
什么是Intune for Government?
https://docs.microsoft.com/zh-cn/mem/intune/fundamentals/introduction-intune-government
Intune for Government是一个应用程序和移动管理平台,旨在帮助确保安全性、隐私和控制、合规性和透明度。该平台通过与物理和逻辑网络隔离的Azure实例满足联邦、州和美国政府的要求。这些实例专门为美国政府提供,其中包括位于美国大陆的所有客户数据、应用程序和硬件。
Intune for Government包含一个物理隔离的Microsoft Intune实例,该实例支持对美国政府至关重要的安全和合规性要求。Intune是基于云的企业移动性管理(EMM)服务,该服务是Intune for Government的基础。政府机构可以访问适用于商业客户的相同功能。其中包括FedRAMP和美国国防部(DoD)合规性认证,并且由选定的美国人士操作。
借助Intune for Government,你可以使用Intune中提供的完整MDM功能管理Windows 10、iOS和Android设备。例如,你能够:
- 管理政府员工访问数据所使用的移动设备。
- 管理用户访问的移动应用。
- 通过控制用户访问和共享数据的方式来保护政府数据。
- 确保设备和应用符合安全要求。
Windows 11设备连接到组织
系统设置-连接工作或学校账户
前往Windows 11系统"设置",找到左侧"账户"分类,点击后找到右侧二级分类"连接工作或学校账户",点击进入。
在"添加工作或学校账户"一栏点击右侧的"连接"按钮。
将此设备加入Azure Active Directory
会弹出一个"Microsoft账户"对话框,这时候点击对话框下方的"将此设备加入Azure Active Directory"
登录企业/学校/政府Microsoft 365账号
输入当前的学校或者企业邮箱账号
确认加入指定组织
确认需要连接的"组织信息",如果确认之后,就点击"加入"按钮
完成组织设置
等待设备被设置
恭喜连接到指定组织。
点击完成按钮即可,这时候我们会看到已经产生了一条连接信息。
注销当前用户改用组织账号登陆
注销当前登录用户。
根据提示,接下来我们就可以使用我们的企业账户来登录系统了。
通过Profwiz将域用户进行迁移
获取Profwiz
https://www.forensit.com/downloads.html
- User Profile Wizard R24 Freeware Edition for Windows 10, Windows 11, and Windows 7
执行Profwiz
选择已有的用户配置路径,点击下一步
在账户名那里输入你的企业或者工作邮箱,点击回车
这时候会从Azure AD去找你的账户并且完成域迁移工作,这里我们可以看到迁移结果。
点击下一步、再点完成即可。