步骤 2 - 使用Intune添加、配置和保护应用

部署Intune的下一步是添加和保护访问组织数据的应用。

显示步骤 2 的Microsoft Intune入门的示意图,该步骤是使用 Microsoft Intune 添加和保护应用。

管理组织中的设备上的应用程序是安全高效的企业生态系统的核心部分。 可以使用Microsoft Intune来管理公司员工使用的应用。 通过管理应用,你可以帮助控制公司使用的应用,以及应用的配置和保护。 此功能称为移动应用程序管理 (MAM) 。 Intune 中的 MAM 旨在保护应用程序级别的组织数据,包括自定义应用和应用商店应用。 可以在组织拥有的设备和个人设备上使用应用管理。 当它与个人设备一起使用时,仅管理与组织相关的访问和数据。 这种类型的应用管理称为 MAM,无需注册,或者从最终用户的角度来看,将自己的设备 (BYOD) 。

MAM 配置

在无限制的情况下使用应用时,公司和个人数据可能混合。 公司数据可能最终位于个人存储空间等位置或传输到监控范围外的应用中,导致数据丢失。 使用 MAM 而无需设备注册Intune MDM + MAM 的主要原因之一是帮助保护组织的数据。

Microsoft Intune支持两种 MAM 配置:

无需设备管理的 MAM

此配置允许Intune管理组织的应用,但不会注册由Intune管理的设备。 此配置通常称为 MAM,无需设备注册。 IT 管理员可以在未注册Intune移动设备管理 (MDM) 的设备上使用Intune配置和保护策略,使用 MAM 管理应用。

注意

此配置包括在注册了第三方企业移动性管理 (EMM) 提供商的设备上使用Intune管理应用。 可以使用Intune独立于任何 MDM 解决方案的应用保护策略。 这种独立性可帮助保护公司数据,无论是否将设备注册到设备管理解决方案中。 通过实现应用级策略,既可以限制对公司资源的访问,也可以将数据保留在 IT 部门的范围之内。

移动应用程序管理 (MAM) 非常适合帮助保护组织成员用于个人和工作任务的移动设备上的组织数据。 在确保组织成员能够高效工作的同时,你希望防止有意和无意的数据丢失。 你还希望保护从非你管理的设备访问的公司数据。 MAM 允许你在应用程序中管理和保护组织的数据。

提示

许多实现高效工作的应用(如 Microsoft Office 应用)可由 Intune MAM 进行管理。 请参阅可供公众使用的 Microsoft Intune 保护的应用的官方列表。

对于未在任何 MDM 解决方案中注册的 BYOD 设备,应用保护策略可帮助保护应用级别的公司数据。 但是,有一些限制需要注意,如:

  • 无法将应用部署到设备。 最终用户必须从应用商店获取应用。
  • 无法在这些设备上预配证书配置文件。
  • 无法在这些设备上设置公司 Wi-Fi 和 VPN 设置。

有关 Intune 中的应用保护的详细信息,请参阅应用保护策略概述

具有设备管理的 MAM

此配置允许管理组织的应用和设备。 此配置通常称为 MAM + MDM。 IT 管理员可以在已注册 Intune MDM 的设备上使用 MAM 管理应用。

MDM 和 MAM 确保该设备受到保护。 例如,你可以要求使用 PIN 以访问设备,或将托管应用部署到设备。 还可通过 MDM 解决方案将应用部署到设备,以便更好地控制应用管理。

将 MDM 与应用保护策略一起使用还有其他优点,公司可以同时使用应用保护策略与 MDM,也可以单独使用应用保护策略。 例如,组织成员可以拥有公司颁发的电话和他们自己的个人平板电脑。 公司手机可以在 MDM 中注册并受应用保护策略的保护,而个人设备仅受应用保护策略的保护。

在使用 MDM 服务的已注册设备上,应用保护策略可以添加额外的保护层。 例如,用户使用其组织凭据登录到设备。 用户使用该组织数据时,应用保护策略会控制数据的保存方式和共享方式。 当用户使用个人标识登录时,不会应用这些相同的保护 (访问和限制) 。 这样,IT 能够控制组织数据,而最终用户可以保持对其个人数据的控制和私密性。

MDM 解决方案通过提供以下功能增值:

  • 注册设备
  • 将应用部署到设备
  • 提供持续的设备合规性和管理

应用保护策略通过提供以下功能增值:

  • 帮助防止公司数据泄露到使用者应用和服务
  • 将限制(如“另存为”、“剪贴板”或“PIN”)应用到客户端应用
  • 必要时,从应用擦除公司数据而不从设备删除这些应用

MAM 与Intune的优点

在 Intune 中管理应用时,管理员可以执行以下操作:

  • 在应用级别保护公司数据。 你可以向用户组和设备添加和分配移动应用。 这允许在应用级别保护公司数据。 你可以保护托管和非托管设备上的公司数据,因为移动应用管理不需要设备管理。 管理以用户标识为中心,因而不再需要设备管理。
  • 配置应用以在启用特定设置的情况下启动或运行。 此外,还可以更新设备上已有的现有应用。
  • 分配策略以限制访问并防止数据在组织外部使用。 可以根据组织的要求为这些策略选择设置。 例如,你能够:
    • 规定在工作环境中打开应用时需使用 PIN。
    • 阻止托管的应用在已越狱或取得 root 权限的设备上运行
    • 控制应用之间的数据共享。
    • 通过使用数据重定位策略(例如 保存组织数据的副本限制剪切、复制和粘贴),防止将公司应用数据保存到个人存储位置。
  • 支持各种平台和操作系统上的应用。 每个平台都不同。 Intune专门为每个受支持的平台提供可用设置。
  • 查看有关使用的应用的报告,并跟踪其使用情况。 此外,Intune还提供终结点分析来帮助评估和解决问题。
  • 通过仅从应用中删除组织数据执行选择性擦除。
  • 确保个人数据与托管数据分开。 不会影响最终用户工作效率,且在个人环境中使用应用时不会应用策略。 这些策略仅应用于工作环境,能够在不接触个人数据的情况下保护公司数据。

向 Intune 添加应用

向组织提供应用的第一步是先将应用添加到Intune,然后再将其分配给Intune中的设备或用户。 虽然可以使用许多不同的应用类型,但基本过程是相同的。 借助 Intune,你可以添加不同的应用类型,包括内部 (业务线) 编写的应用、来自应用商店的应用、内置应用和 Web 上的应用。

公司的应用和设备用户(即公司员工)可能具有多个应用要求。 你可能会发现评估和了解若干应用基础知识是有帮助的,然后再将应用添加到 Intune 并向员工提供。 Intune 提供多种类型的应用。 必须确定公司用户所需的应用需求,例如你的员工所需的平台和功能。 必须确定是要使用 Intune 管理设备(包括应用),还是要使用 Intune 管理应用(不包括设备)。 此外,必须确定员工所需的应用和功能,以及需要这些应用和功能的具体人员。 本文的信息可帮助你开始使用。

在将应用添加到Intune之前,请考虑查看支持应用类型并评估应用要求。 有关详细信息,请参阅将应用添加到 Microsoft Intune

提示

若要更好地了解Intune的应用类型、应用购买和应用许可证,请参阅为Microsoft Intune购买和添加应用解决方案。 此解决方案内容还提供了评估应用要求、创建应用类别、购买应用和添加应用的建议步骤。 此外,此解决方案内容介绍了如何管理应用和应用许可证。

添加Microsoft应用

Intune包括许多基于用于Intune的Microsoft许可证的Microsoft应用。 若要详细了解可用的不同Microsoft企业许可证(包括Intune),请参阅Microsoft Intune许可。 若要比较 Microsoft 365 提供的不同Microsoft应用,请参阅 Microsoft 365 提供的许可选项。 若要查看每个计划的所有选项 (包括可用的Microsoft应用) ,请下载完整的Microsoft订阅比较表,并找到包含Microsoft Intune的计划。

可用的应用类型之一是,适用于 Windows 10 设备的 Microsoft 365 应用。 通过在 Intune 中选择此应用类型,可以将Microsoft 365 个应用分配给管理Windows 10的设备并安装这些应用。 如果你拥有Microsoft Project Online桌面客户端和 Microsoft Visio Online 计划 2 的许可证,还可以分配和安装应用。 365 个应用的可用Microsoft在 Azure Intune 控制台中的应用列表中显示为单个条目。

将以下核心Microsoft应用添加到Intune:

  • Microsoft Edge
  • Microsoft Excel
  • Microsoft Office
  • Microsoft OneDrive
  • Microsoft OneNote
  • Microsoft Outlook
  • Microsoft PowerPoint
  • Microsoft SharePoint
  • Microsoft Teams
  • 微软待办
  • Microsoft Word

有关将Microsoft应用添加到Intune的详细信息,请转到以下主题:

(可选) 添加应用商店应用

Intune控制台中显示的许多标准应用商店应用都可供你免费添加和部署到组织成员。 此外,还可以为每个设备平台购买应用商店应用。

下表提供了适用于应用商店应用的不同类别:

应用商店应用类别 说明
免费应用商店应用 你可以自由地将这些应用添加到Intune并将其部署到组织成员。 这些应用不需要任何额外费用即可使用。
购买的应用 在添加到Intune之前,必须购买这些应用的许可证。 (Windows、iOS、Android) 的每个设备平台都提供一种标准方法来购买这些应用的许可证。 Intune提供了管理每个最终用户的应用许可证的方法。
需要应用开发人员提供帐户、订阅或许可证的应用 可以从Intune自由添加和部署这些应用,但应用可能需要应用供应商提供的帐户、订阅或许可证。 有关支持Intune管理功能的应用列表,请参阅合作伙伴生产力应用合作伙伴 UEM 应用 注意: 对于可能需要帐户、订阅或许可证的应用,必须联系应用供应商以获取特定应用详细信息。
Intune许可证中包含的应用 与 Microsoft Intune 一起使用的许可证可能包括所需的应用许可证。

注意

除了购买应用许可证外,还可以创建Intune策略,允许最终用户将个人帐户添加到其设备以购买非托管应用。

有关将Microsoft应用添加到Intune的详细信息,请转到以下主题:

使用 Intune 配置应用

应用配置策略可以通过允许为策略选择配置设置来帮助消除应用设置问题。 然后,在最终用户运行特定应用之前,会将该策略分配给他们。 然后在最终用户设备上配置应用时自动提供设置。 最终用户不需要执行操作。 配置设置对于每个应用都是唯一的。

可以创建和使用应用配置策略,为 iOS/iPadOS 或 Android 应用提供配置设置。 这些配置设置允许使用应用配置和管理自定义应用。 当应用检查这些设置(通常是第一次运行应用)时,将使用配置策略设置。

例如,应用配置设置可能需要指定以下任何详细信息:

  • 自定义端口号
  • 语言设置
  • 安全设置
  • 品牌设置,如公司徽标

如果最终用户改为输入这些设置,他们可能会错误地执行此操作。 应用配置策略有助于在整个企业中提供一致性,并减少最终用户尝试自行配置设置的技术支持呼叫。 使用应用配置策略可以更轻松、更快地采用新应用。

可用的配置参数最终由应用的开发人员决定。 应查看来自应用程序供应商的文档,以查看应用是否支持配置以及哪些配置可用。 对于某些应用程序,Intune 将填充可用配置设置。

有关应用配置的详细信息,请转到以下主题:

配置 Microsoft Outlook

Outlook for iOS 和 Android 应用旨在通过将电子邮件、日历、联系人和其他文件汇集在一起,使组织中的用户能够从移动设备执行更多操作。

在订阅企业移动性 + 安全性套件(包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能(如条件访问))时,可以使用最丰富且最广泛的 Microsoft 365 数据保护功能。 你至少需要部署一个条件访问策略,该策略允许从移动设备连接到 Outlook for iOS 和 Android,以及确保协作体验受到保护的Intune应用保护策略。

有关配置 Microsoft Outlook 的详细信息,请转到以下主题:

配置 Microsoft Edge

适用于 iOS 和 Android 的 Edge 旨在使用户能够浏览 Web 并支持多身份。 用户可以添加工作帐户和个人帐户进行浏览。 这两个标识完全分离,这与其他Microsoft移动应用中提供的内容类似。

有关配置 Microsoft Edge 的详细信息,请转到以下主题:

配置 VPN

虚拟专用网络 (VPN) 允许用户远程访问组织资源,包括从家里、酒店、咖啡馆等。 在 Microsoft Intune 中,可以使用应用配置策略在 Android Enterprise 设备上配置 VPN 客户端应用。 然后,将此策略及其 VPN 配置部署到组织中的设备。

还可以创建特定应用使用的 VPN 策略。 此功能称为每应用 VPN。 当应用处于活动状态时,它可以连接到 VPN,并通过 VPN 访问资源。 当应用不处于活动状态时,不使用 VPN。

有关配置电子邮件的详细信息,请转到以下主题:

使用 Intune 保护应用

应用保护策略 (APP) 是可确保组织数据在托管应用中保持安全或受到控制的规则。 策略可以是在用户尝试访问或移动“公司”数据时强制执行的规则,或在用户位于应用内时受到禁止或监视的一组操作。 受管理应用是一种自身执行应用保护策略的应用,可由 Intune 管理。

借助移动应用管理 (MAM) 应用保护策略,可以管理和保护应用程序内的组织数据。 许多实现高效工作的应用(如 Microsoft Office 应用)可由 Intune MAM 进行管理。 请参阅可供公众使用的 Microsoft Intune 保护的应用的官方列表。

Intune提供移动应用安全性的主要方式之一是通过策略。 应用保护策略允许执行以下操作:

  • 使用Microsoft Entra标识将组织数据与个人数据隔离开来。 因此,个人信息与组织 IT 识别隔离。 使用组织凭据访问的数据被授予其他安全保护。
  • 通过限制用户可以对组织数据执行的操作(例如复制和粘贴、保存和查看),帮助保护个人设备上的访问。
  • 在已注册Intune、在另一移动设备管理 (MDM) 服务中注册或未在任何 MDM 服务中注册的设备创建和部署。

注意

应用保护策略旨在跨一组应用统一应用,例如在所有 Office 移动应用中应用策略。

组织可以同时使用具有和不使用 MDM 的应用保护策略。 例如,假设一位员工同时使用公司发行的平板电脑和他们自己的个人手机。 公司平板电脑在 MDM 中注册并受应用保护策略保护,而其个人手机仅受应用保护策略的保护。

有关 Intune 中的应用保护的详细信息,请转到以下主题:

应用保护级别

随着越来越多的组织实施移动设备策略来访问工作或学校数据,防止数据泄露变得至关重要。 Intune用于防止数据泄漏的移动应用程序管理解决方案是应用保护策略 (APP) 。 APP 是确保组织数据在托管应用中保持安全或包含在托管应用中的规则,无论设备是否已注册。

配置应用保护策略时,可用的不同设置和选项允许组织根据其特定需求自定义保护。 由于这种灵活性,实现完整方案可能需要哪种策略设置排列可能并不明显。 为了帮助组织确定客户端终结点强化工作的优先级,Microsoft为Windows 10中的安全配置引入了新的分类,Intune正在利用类似的分类来对其 APP 数据保护框架进行移动应用管理。

APP 数据保护配置框架分为三种不同的配置方案:

  • 级别 1 企业基本数据保护 - Microsoft建议将此配置作为企业设备的最低数据保护配置。

  • 级别 2 企业增强型数据保护 - Microsoft为用户访问敏感或机密信息的设备推荐此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控制可能会影响用户体验。

  • 级别 3 企业高数据保护 - Microsoft建议此配置适用于具有更大或更复杂安全团队的组织运行的设备,或者对于具有独特高风险的特定用户或组, (处理高度敏感数据的用户,其中未经授权的披露会导致组织) 遭受重大重大损失。 一个组织可能成为资金雄厚的复杂攻击者的目标,应该渴望这种配置。

基本应用保护 (级别 1)

Intune (级别 1) 中的基本应用保护是企业移动设备的最低数据保护配置。 此配置通过要求 PIN 访问工作或学校数据、加密工作或学校帐户数据以及提供选择性擦除学校或工作数据的功能,取代了对基本Exchange Online设备访问策略的需求。 但是,与Exchange Online设备访问策略不同,以下应用保护策略设置适用于策略中选择的所有应用,从而确保数据访问不受移动消息传送方案保护。

级别 1 中的策略强制实施合理的数据访问级别,同时尽量减少对用户的影响,并在 Microsoft Intune 内创建应用保护策略时镜像默认的数据保护和访问要求设置。

有关基本应用保护的特定数据保护、访问要求和条件启动设置,请转到以下主题:

增强的应用保护 (级别 2)

Intune (级别 2) 中增强的应用保护是建议作为用户访问更多敏感信息的设备的标准数据保护配置。 这些设备如今是企业中的自然目标。 这些建议不假设大量高技能的安全从业者,因此大多数企业组织应该可以访问这些建议。 此配置通过限制数据传输方案和要求最低操作系统版本来扩展级别 1 中的配置。

在级别 2 中强制实施的策略设置包括针对级别 1 建议的所有策略设置,但仅列出以下已添加或更改的设置,以实现比级别 1 更多的控件和更复杂的配置。 虽然这些设置对用户或应用程序的影响可能略高一些,但它们强制执行的数据保护级别与用户访问移动设备上的敏感信息时面临的风险更相称。

有关用于增强应用保护的特定数据保护和条件启动设置,请转到以下主题:

高级应用保护 (级别 3)

针对Intune (级别 3) 的高应用保护是建议作为具有大型复杂安全组织的组织或特定用户和组(这些用户和组将成为攻击者唯一目标)的标准数据保护配置。 此类组织通常以资金雄厚的老练对手为目标,因此需要所述的其他约束和控制。 此配置通过限制其他数据传输方案、增加 PIN 配置的复杂性以及添加移动威胁检测,扩展了级别 2 中的配置。

在级别 3 中强制实施的策略设置包括针对级别 2 建议的所有策略设置,但仅列出以下已添加或更改的设置,以实现比级别 2 更多的控件和更复杂的配置。 这些策略设置可能会对用户或应用程序产生潜在重大影响,从而强制执行与目标组织面临的风险相称的安全级别。

有关基本应用保护的特定数据保护、访问要求和条件启动设置,请转到以下主题:

保护托管设备上的 Exchange Online 电子邮件

可以将设备符合性策略与条件访问结合使用,以确保组织的设备仅当Intune使用批准的电子邮件应用进行管理时,才能访问Exchange Online电子邮件。 可以创建Intune设备符合性策略,以设置设备必须满足才能被视为合规的条件。 还可以创建Microsoft Entra条件访问策略,该策略要求设备在Intune中注册、遵守Intune策略,并使用批准的 Outlook 移动应用访问Exchange Online电子邮件。

有关保护Exchange Online的详细信息,请转到以下主题:

对于使用应用保护策略的最终用户要求

以下列表提供了在由 Intune管理的应用上使用应用保护策略的最终用户要求,其中包括:

  • 最终用户必须具有Microsoft Entra帐户。 请参阅添加用户并向 Intune授予管理权限,了解如何在 Microsoft Entra ID 中创建Intune用户。
  • 最终用户必须具有分配给其Microsoft Entra帐户Microsoft Intune的许可证。 请参阅管理 Intune 许可证,以了解如何向最终用户分配 Intune 许可证。
  • 最终用户必须属于应用保护策略针对的安全组。 相同的应用保护策略必须针对正在使用的特定应用。 可以在Microsoft Intune管理中心中创建和部署应用保护策略。 当前可以在 Microsoft 365 管理中心创建安全组。
  • 最终用户必须使用其Microsoft Entra帐户登录到应用。
  1. 设置 Microsoft Intune
  2. 🡺 (添加、配置和保护应用)
  3. 规划合规性策略
  4. 配置设备功能
  5. 注册设备