Общие сведения об управлении устройствами Device management overview

Основная задача любого администратора заключается в обеспечении безопасности и защиты ресурсов и данных организации на устройствах пользователей в организации. A key task of any Administrator is to protect and secure an organization’s resources and data on user devices in their organization. Эта задача реализует управление устройствами. This task is device management. Пользователи получают и отправляют электронную почту из личных учетных записей, просматривают веб-сайты из дома и общественных мест, устанавливают на устройства приложения и игры. Users receive and send email from personal accounts, browse websites from home and from restaurants, and install apps and games. Эти пользователи также являются сотрудниками организации или учащимися учебного заведения. These users are also employees and students. Они хотят использовать свои устройства для быстрого доступа к рабочим и учебным ресурсам, например к электронной почте и OneNote. On their devices, they want to access work and school resources, such as email and OneNote, and access them quickly. Задача администратора — обеспечить защиту этих ресурсов, а также возможность простого доступа к ним пользователей с разных устройств. As an administrator, your goal is to protect these resources, and provide easy access for users across their many devices, all at the same time.

Управление устройствами позволяет организации защитить свои ресурсы и данные при использовании различных устройств. Device management enables organizations to protect and secure their resources and data, and from different devices.

Используя поставщик управления устройствами, организации предоставляют доступ к конфиденциальной информации только авторизованным пользователям и устройствам. Using a device management provider, organization can make sure that only authorized people and devices get access to proprietary information. Кроме того, пользователи устройств могут легко обращаться к рабочим данным со своих телефонов, так как они знают, что устройства соответствуют требованиям безопасности организации. Similarly, device users can feel at ease accessing work data from their phone, because they know their device meet their organization’s security requirements. В каждой организации может возникнуть вопрос: что нужно использовать для защиты ресурсов? As an organization, you might ask — What should we use to protect our resources?

Ответ — Microsoft Intune. The answer is Microsoft Intune. Intune предлагает функции управления мобильными устройствами (MDM) и управления мобильными приложениями (MAM). Intune offers mobile device management (MDM) and mobile application management (MAM). Решения MDM и MAM предназначены для выполнения следующих ключевых задач. Some key tasks of any MDM or MAM solution are to:

• Поддержка разнообразных мобильных сред и безопасное управление устройствами с iOS, iPadOS, Android, Windows и macOS. Support a diverse mobile environment and manage iOS/iPadOS, Android, Windows, and macOS devices securely.
• Обеспечение соответствия устройств и приложений требованиям безопасности в организации. Make sure devices and apps are compliant with your organization’s security requirements.
• Создание политик для защиты данных организации на корпоративных и личных устройствах. Create policies that help keep your organization data safe on organization-owned and personal devices.
• Использование единого мобильного решения для применения этих политик и управление устройствами, приложениями, пользователями и группами. Use a single, unified mobile solution to enforce these policies, and help manage devices, apps, users, and groups.
• Защита данных организации при помощи управления обращением к ним и их совместным использованием. Protect your company information by helping to control the way your workforce accesses and shares its data.

Intune входит в состав Microsoft Azure, Microsoft 365, а также интегрируется с Azure Active Directory (Azure AD). Intune is included with Microsoft Azure, Microsoft 365, and integrates with Azure Active Directory (Azure AD). Azure AD помогает контролировать лиц, имеющих права доступа, а также ресурсы, к которым они обращаются. Azure AD helps control who has access, and what they have access to.

Microsoft Intune Microsoft Intune

Многие организации, например Майкрософт, используют Intune для обеспечения безопасности защищаемых данных, к которым пользователи получают доступ с корпоративных и личных мобильных устройств. Many organizations, such as Microsoft, use Intune to secure proprietary data that users access from their company-owned and personal mobile devices. Intune включает в себя такие возможности, как политики конфигурации устройств и приложений, политики обновления программного обеспечения и состояния установки (диаграммы, таблицы и отчеты), для защиты и отслеживания доступа к данным. Intune includes device and app configuration policies, software update policies, and installation statuses (charts, tables, and reports) to help you secure and monitor data access.

Зачастую у пользователей есть несколько устройств, работающих на разных платформах. It’s common for people to have multiple devices that use different platforms. Например, сотрудник может использовать Surface Pro для выполнения рабочих задач и мобильное устройство Android в личных целях. For example, an employee might use Surface Pro for work, and an Android mobile device in their personal life. И он также может обращаться с этих нескольких устройств к ресурсам организации, таким как Microsoft Outlook и SharePoint. And, it’s common for a person to access organizational resources, such as Microsoft Outlook and SharePoint, from these multiple devices.

Intune позволяет управлять несколькими устройствами, выделенными каждому сотруднику, и различными платформами, которые поддерживаются на каждом устройстве, включая iOS, iPadOS, macOS, Android и Windows. With Intune, you can manage multiple devices per person, and the different platforms that run on each device, including iOS/iPadOS, macOS, Android, and Windows. Intune разделяет параметры и политики по признаку платформы устройства. Intune separates policies and settings by device platform. Это облегчает управление и просмотр устройств для определенной платформы. So it’s easy to manage and view devices of a specific platform.

Распространенные сценарии — это отличный ресурс, позволяющий найти ответы на общие вопросы при работе с мобильными устройствами в Intune. Common scenarios is a great resource to see how Intune answers common questions when working with mobile devices. Вы найдете сценарии на следующие темы. You’ll find scenarios about:

• Защита электронной почты с помощью локальной службы Exchange Protecting email with on-premises Exchange
• Безопасный доступ к Microsoft 365 Accessing Microsoft 365 safely and securely
• Использование личных устройств для доступа к ресурсам организации Using personal devices to access organizational resources

Дополнительные сведения об Intune см. в статье Что такое Intune. For more information about Intune, see What is Intune.

Совместное управление Co-management

Многие организации используют локальный экземпляр Configuration Manager для управления устройствами, включая настольные компьютеры и серверы. Many organizations use on-premises Configuration Manager to manage devices, including desktops and servers. Локальный экземпляр можно подключить к облачной службе Microsoft Intune. You can cloud-attach your on-premises Configuration Manager to Microsoft Intune. Это обеспечит все преимущества использования Intune и облака, в том числе условный доступ, дистанционное выполнение действий, доступ к Windows Autopilot и т. д. When you cloud-attach, you get the benefits of Intune and the cloud, including conditional access, running remote actions, using Windows Autopilot, and more.

Microsoft Endpoint Manager — это платформа решения, которая объединяет несколько служб. Microsoft Endpoint Manager is a solution platform that unifies several services. К ним относятся Microsoft Intune для управления устройствами в облаке и Configuration Manager + Intune для управления устройствами, подключенными к облаку. It includes Microsoft Intune for cloud-based device management, and Configuration Manager + Intune for cloud-attach device management.

Если вы используете Configuration Manager и готовы переместить некоторые задачи в облако, вам понадобится совместное управление. If you use Configuration Manager, and you’re ready to move some tasks to the cloud, then co-management is your answer.

Дополнительные сведения см. в статье Что такое совместное управление?. For more information about cloud-attaching your Configuration Manager, see What is co-management.

Интеграция со службами безопасности и защиты Integration with secure-and-protect services

Основной задачей любого решения для управления устройствами является обеспечение безопасности и защиты. A key task of any device management solution is to provide security and protection. Для ее реализации Intune отлично интегрируется с другими службами. Intune does a great job of integrating with other services to achieve this task. Пример. For example:

Microsoft 365 является ключевым компонентом для упрощения распространенных ИТ-задач. Microsoft 365 is a key component to simplifying common IT tasks. В центре администрирования Microsoft 365 ведется создание пользователей и управление группами. In the Microsoft 365 admin center, you create users, and manage groups. Вы также получаете доступ к другим службам, таким как Intune, Azure AD и многие другие. You also get access to other services, such as Intune, Azure AD, and more.

Например, в Microsoft 365 можно создать группу устройств с iOS или iPadOS. For example, create an iOS/iPadOS devices group in Microsoft 365. Затем с помощью Intune отправить политики в группу устройств iOS или iPadOS, поддерживающих функции iOS и iPadOS, такие как доступ к магазину приложений, использование AirDrop, резервное копирование в iCloud, использование веб-фильтра Apple и многое другое. Then, use Intune to push policies to the iOS/iPadOS devices group that focus on iOS/iPadOS features, such as access to the app store, using AirDrop, backing up to iCloud, using Apple’s web filter, and more.

Защитник Windows предоставляет множество функций безопасности для защиты устройств Windows 10. Windows Defender includes many security features to help protect Windows 10 devices. Используя Intune вместе с Защитником Windows, вы можете: For example, using Intune and Windows Defender together, you can:

• включить SmartScreen Защитника Windows для поиска подозрительной активности в файлах и приложениях на мобильных устройствах; Enable Windows Defender SmartScreen to look for suspicious activity in files and apps on mobile devices.
• использовать Microsoft Defender для конечной точки для предотвращения брешей в системе безопасности на мобильных устройствах. Use Microsoft Defender for Endpoint) to help prevent security breaches on mobile devices. Также помогите ограничить последствия брешей в системе безопасности путем блокирования пользователей к корпоративным ресурсам. And, help limit the impact of a security breach by blocking a user from corporate resources.

Условный доступ — это функция Azure Active Directory, которая легко интегрируется с Intune. Conditional Access is a feature of Azure Active Directory, and integrates nicely with Intune. С помощью условного доступа доступ к электронной почте, SharePoint и другим приложениям предоставляется только соответствующим устройствам. Using Conditional Access, make sure only compliant devices are allowed access to email, SharePoint, and other apps.

Выбор оптимального решения по управлению устройствами Choose the device management solution that’s right for you

Существует несколько подходов к решению вопроса об управлении устройствами. There are a couple of ways to approach device management. Во-первых, для управления различными аспектами устройств можно использовать все встроенные возможности Intune. First, you can manage different aspects of devices using the features built in to Intune. Этот подход называется управлением мобильными устройствами (MDM) . This approach is called Mobile device management (MDM). В этом случае пользователи регистрируют свои устройства и взаимодействуют с Intune с помощью сертификатов. Users «enroll» their devices, and use certificates to communicate with Intune. ИТ-администратор может отправлять приложения на устройства, ограничивать устройства определенной операционной системой, блокировать личные устройства и многое другое. As an IT administrator, you push apps on devices, restrict devices to a specific operating system, block personal devices, and more. Если устройство будет потеряно или украдено, с него можно удалить все данные. If a device is ever lost or stolen, you can also remove all data from the device.

Второй подход заключается в управлении приложениями на устройствах. In the second approach, you manage apps on devices. Этот подход называется управлением мобильными приложениями (MAM) . This approach is called Mobile application management (MAM). В этом случае пользователи обращаются к ресурсам организации со своих личных устройств. Users can use their personal devices to access organizational resources. При открытии приложения, например электронной почты или SharePoint, пользователям предлагается пройти дополнительную проверку подлинности. When opening an app, such as email or SharePoint, users are prompted for additional authentication. Если устройство будет потеряно или украдено, вы можете удалить все данные организации из приложений Microsoft Intune. If a device is ever lost or stolen, you can remove all organization data from the Intune Managed applications.

Также можно использовать сочетание MDM и MAM. You can also use a combination of MDM and MAM together.

При настройке Intune для управления устройствами можно выбрать только портал Azure или комбинацию Intune и Microsoft 365. When you set up Intune, you also choose to work solely in the Azure portal to manage devices, or use Intune and Microsoft 365 together to manage devices. Перенос управления мобильными устройствами в Intune на портале Azure — это пример использования ИТ в Майкрософт. Migrating mobile device management to Intune in the Azure portal is a Microsoft IT case study. Мы рассмотрим, как ИТ-отдел Майкрософт использовал современный подход к управлению устройствами, и узнаем про сделанные выводы. In this case study, see how Microsoft IT chose a modern device management approach, and read the lessons learned.

Упрощение ИТ-задач с помощью центра администрирования «Управление устройствами» Simplify IT tasks using the Device Management admin center

Центр администрирования Microsoft Endpoint Manager — это централизованное средство для выполнения и администрирования задач для мобильных устройств. The Microsoft Endpoint Manager admin center is a one-stop shop to manage and complete tasks for your mobile devices. В этой рабочей области находятся службы, используемые для управления устройствами, включая Intune и Azure Active Directory, а также для управления клиентскими приложениями. This workspace includes the services used for device management, including Intune and Azure Active Directory, and to also manage client apps.

В центре администрирования «Управление устройствами» можно выполнять приведенные ниже задачи. On the Device Management admin center, you can:

Дальнейшие шаги Next steps

Когда вы будете готовы начать работу с решением MDM и MAM, настроить Intune, зарегистрировать устройства и приступить к созданию политик, When you’re ready to get started with an MDM or MAM solution, walk through the different steps to set up Intune, enroll devices, and start creating policies. см. сведения в статье Управление мобильными устройствами для Microsoft 365. Mobile device management for Microsoft 365 is also a great resource.