管理和保护应用及其数据是任何终结点管理策略和解决方案的重要组成部分。 在大多数环境中,用户可以安装公共零售应用,并可能从这些应用访问组织数据。 许多组织还拥有自己的专用应用和业务线应用,需要部署 & 管理。 他们必须确保此应用数据保留在组织中。
应用管理可能具有挑战性,Intune 可以提供帮助。 Microsoft Intune 是一种基于云的服务 ,可以管理许多应用类型。 使用 Intune,管理员可以部署、配置、保护和更新访问组织资源的应用。
Microsoft Intune 可以管理 Android、iOS/iPadOS、macOS 和 Windows 客户端设备上的应用。 因此,可以在许多设备上使用 Intune 的应用管理功能。
从服务角度来看,Intune 使用 Microsoft Entra ID 进行标识管理。 若要使用某些应用,这些Microsoft Entra用户标识必须分配有许可证。 Microsoft Intune 管理中心也可以帮助你管理许可。
本文讨论管理和保护应用时应考虑的概念和功能。
部署组织使用的应用
组织使用许多不同类型的应用,包括应用商店应用、业务线 (LOB) 应用、Web 应用等。 可以将应用添加到 Intune,然后使用其应用策略管理将这些应用部署到设备。
利用 Intune 管理中心中的应用功能,可以更轻松地部署这些不同类型的应用。
✅ Android 设备
Intune 管理中心会自动连接到公共 Play 商店,并让你能够搜索应用。 还可以与托管 Google Play 帐户同步,以访问 Android Enterprise 应用,包括专用应用。
在 Android 设备上,可以部署:
- 公共 Play 商店中的公共应用和零售应用
- 托管 Google Play 应用到 Android Enterprise 设备
- 指向 Web 应用的 Web 链接
- 内置应用,这些应用是自动包含在 Intune 管理中心内且可用的应用
- 组织创建的自定义业务线应用
- Android Enterprise 系统应用,这些应用通常包含在 Android 设备上
如果使用 Google 移动服务 (GMS) (打开 Android 网站) ,则可以购买 GMS 许可证,这通常在购买 Android 设备时发生。 GMS 允许用户访问公共 Play 商店及其公共应用。
如果你的组织不使用 Google 移动服务 (GMS) ( 打开 Android 网站) ,Intune 还可以使用 Android 开源项目 (AOSP) 平台管理设备。
有关更具体的信息,请转到:
- 如何在没有 Google 移动服务的环境中使用 Intune
- 将托管 Google Play 应用添加到 Android Enterprise 设备
- 在 Google Play (中管理专用 Android 应用 会打开 Google 的网站)
- 添加内置应用
✅ iOS/iPadOS 设备
Intune 管理中心会自动连接到公共App Store,并让你能够搜索应用。 你还可以与 Apple Business Manager 或 Apple School Manager 帐户同步,以访问批量许可的应用。 同步时, (许可应用) 购买的应用将自动显示在 Intune 管理中心中。
在 iOS/iPadOS 设备上,可以部署:
- 来自公共App Store的公共应用和零售应用
- 使用 Apple Business Manager 或 Apple School Manager 的批量许可应用
- Web 剪辑,它是可添加到主屏幕的网站链接的快捷方式
- 指向 Web 应用的 Web 链接
- 内置应用,这些应用是自动包含在 Intune 管理中心内且可用的应用
- 组织创建的自定义业务线应用
有关更具体的信息,请转到:
✅ macOS 设备
Intune 管理中心具有内置功能,其中包括通常部署到 macOS 的应用,包括 Microsoft Edge 和 Microsoft 365 应用。 你还可以与 Apple Business Manager 或 Apple School Manager 帐户同步,以访问批量许可的应用。 同步时, (许可应用) 购买的应用将自动显示在 Intune 管理中心中。
在 macOS 设备上,可以部署:
- 使用 Apple Business Manager 或 Apple School Manager 的批量许可应用
- Microsoft 365 个应用,其中包括 Word、Excel、PowerPoint、Outlook、OneNote、Teams 和 OneDrive
- Microsoft Edge 版本 77 及更新版本,即新式 chromium 版本
- Microsoft Defender for Endpoint,它是一种云服务,用于检测恶意意图,可帮助修正安全威胁
- 指向 Web 应用的 Web 链接
- 组织创建的自定义业务线应用
- Apple 磁盘映像 (DMG) 应用,该文件包含一个或多个要部署的应用
- 非托管 PKG 文件 (自定义包、未签名的包、没有有效负载的包)
有关更具体的信息,请转到:
- 管理通过 Apple Business Manager 购买的 iOS/iPadOS 和 macOS 应用
- 将 Microsoft 365 分配给 macOS 设备
- 添加 macOS LOB 应用
- 添加 macOS PKG 应用
- 将 Microsoft 应用商店应用添加到 Microsoft Intune
✅ Windows 设备
Intune 管理中心会自动连接到公共Microsoft应用商店,并让你能够搜索应用。
在 Windows 设备上,可以部署:
- Microsoft应用商店中的公共应用和零售应用
- Microsoft 365 个应用,其中包括 Word、Excel、PowerPoint、Outlook、OneNote、Teams 和 OneDrive
- Microsoft Edge 版本 77 及更新版本,即新式 chromium 版本
- 指向 Web 应用的 Web 链接
- 组织创建的自定义业务线应用
- Win32 应用
有关更具体的信息,请转到:
在安装应用之前对其进行配置
将 Android 或 iOS/iPadOS 应用部署到用户和设备时,系统可能会提示用户输入配置信息。 用户可能不知道要输入的内容,或者你可能希望以某种方式配置组织设置。
应用配置策略提供这些功能。 可以创建自动配置应用的应用配置策略。 根据策略设置,用户在打开应用时可能不需要输入任何配置信息。
例如,在应用配置策略中,可以输入应用语言、添加组织的徽标、阻止应用使用个人帐户等。
可以随时部署应用配置策略。 如果要在用户首次打开应用之前配置应用,请在用户注册其设备时包括应用配置策略。 在注册期间,会自动部署应用配置策略,并且应用包括配置设置。
有关更具体的信息,请转到 Intune 中的应用配置策略。
保护组织拥有和个人设备上的应用
应用保护策略是保护访问组织数据的应用中的数据的关键部分。 如果用户拥有的个人设备正在访问组织数据,则需要应用保护策略。 使用这些策略来保护电子邮件、保护共享文件、保护对会议的访问等。
可以使用 Intune 创建、配置应用保护策略并将其部署到用户和设备,包括个人拥有的设备以及由其他 MDM 提供商管理的设备。 通常,组织拥有的设备由组织管理。 如果这些托管设备上的应用需要额外的安全性,则还可以在这些设备上使用应用保护策略。
应用保护策略还有助于将个人数据与组织数据分开。 例如,可以创建阻止应用之间的复制和粘贴、打开应用时需要 PIN、阻止备份到个人云服务等的策略。
有关更具体的信息,请转到:
将应用更新到最新版本
应用通常会更新为包括 bug 修复、功能改进、安全更新等。 使用 Intune 部署应用时,当有应用更新可用时,大多数应用都会自动更新。 因此,建议使用 Intune 部署组织使用的应用。
还可以使用 Windows 自动修补来自动修补Microsoft 365 企业应用版、Microsoft Edge 和 Microsoft Teams。
如果用户自行安装应用(包括从公共应用商店安装应用),则需要手动更新这些应用。 在这种情况下,可以使用应用保护策略强制实施最低应用版本,甚至擦除不符合标准的设备上的组织数据。
有关详细信息,请转到: