Contoso 移动设备管理
Microsoft 365 企业版包括Intune以及一组支持移动设备和应用程序管理和安全性的 Azure 服务。
Contoso 拥有许多支持移动功能的员工。 有些在 Contoso 位置设有办事处,有些则没有办公室。 Contoso 需要一种提高员工工作效率的方法,但会保护设备、存储在这些设备上的 Contoso 数据和应用程序行为。
计划
Contoso 确定了Microsoft 365 企业版移动设备管理的以下Intune用例:
- 保护Exchange Online电子邮件和数据,以便移动设备可以安全地访问它。
- 为 Contoso 员工实施自带设备 (BYOD) 计划。
- 向 Contoso 员工颁发组织所有的手机和有限使用的共享平板电脑。
Contoso 不使用 Intune 来:
- 允许员工从非托管公共展台安全访问 Microsoft 365。
- 保护本地电子邮件和数据,以便移动设备可以安全地访问它,因为没有本地Microsoft Exchange 服务器。
部署
以下是 Contoso 设置其移动设备管理基础结构的方式:
将Intune设置为移动设备管理 (MDM) 机构,并使用 Azure 上的Intune来管理内容和管理设备
为设备创建了Microsoft Entra组,用于注册和Intune设置和基于设备的条件访问策略
有关详细信息,请参阅 Contoso 条件访问策略。
启用了 Apple 设备平台,以支持员工使用 iPad、iMac 和 iPhone 以及公司拥有的 iPhone
创建了特定于 Contoso 的条款和条件策略,在移动设备上安装 Contoso 的公司门户时会看到这些策略
对于未注册的设备,实现了一组移动应用程序管理 (MAM) 策略,要求身份验证才能访问 Microsoft 365 服务
创建了强制实施以下内容的 Intune 策略:
- 允许的应用。
- 设备加密,帮助防止未经授权的访问。
- 六位数的 PIN 或密码。
- 非活动超时期限。
- 防病毒和恶意软件保护,以及Windows 11设备上 Windows Defender 的签名更新。
- 包含最新安全更新Windows 11设备上的自动更新。
- 将证书推送到托管设备。
- 业务和个人数据的明确分离。 用户或管理员可以选择性地擦除设备中的公司数据,同时保留个人数据(如图片、个人电子邮件帐户和个人文件)不变。
Contoso 注册了已部署的电脑和公司拥有的智能手机和平板电脑,将其添加到相应的Intune设备组。 他们还建立了一个 BYOD 计划,供员工注册其个人设备。 已注册的设备接收Intune策略,这会导致受管理且受保护的设备及其应用程序。 未注册的设备具有移动应用程序管理 (MAM) 指定允许的应用程序的策略。
下面是 Contoso 移动设备管理部署体系结构。
后续步骤
了解 Contoso 如何使用 Microsoft 365 的信息保护功能 ,让企业对其组织内的关键数字资产进行分类、识别和保护。