要查看英语原文,请勾选“英语”复选框。也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

从云管理移动设备和电脑

 

适用对象:Microsoft Intune

本指南将如何帮助你?作为一名小型企业中的 IT 专业人员,你可以使用本解决方案指南,以了解推荐用于通过云管理移动设备和计算机以及让公司员工使用其所选的设备来访问应用程序和数据的解决方案设计和实现步骤。

本解决方案指南介绍了以下内容:没有本地服务器的小型企业如何将其当前基础结构扩展到云,以支持移动设备管理和“自带设备办公 (BYOD)”需求 ,从而在工作时使用个人移动设备和计算机访问公司资源。 除了介绍通过云管理移动设备和计算机之外,本解决方案还介绍了如何让公司员工使用其所选的设备来访问应用程序和数据,同时在这些设备中强制执行公司策略。

本解决方案指南的内容:

  • 方案、问题陈述和目标

  • 针对本解决方案推荐的设计

  • 用于实现本解决方案的步骤

下图显示了本解决方案指南可解决的问题。

用户使用非托管移动设备和计算机访问公司数据和应用程序。

实施 Windows Intune 之前

本部分介绍了你可能具有的方案、当前问题和目标。 在查看本解决方案以查找用户通过非托管移动设备和计算机访问公司应用程序和数据的问题后,你可以确定本解决方案是否满足你的需求,或确定是否需要针对特定的企业环境对其进行调整。

方案

在该解决方案中,小型企业正在寻找仅限云的解决方案,以便管理移动设备和计算机。 此解决方案最适合于小型企业,因为它们通常:

  • 规模非常小的 IT 支持团队。

  • 依靠基于 Web 的免费电子邮件进行员工通信。

  • 没有本地服务器。

  • 不使用适用于移动设备或计算机的管理软件。

问题陈述

要解决的总体问题是:

在没有本地服务器的情况下,小型企业可以尝试管理移动设备和电脑并保护公司数据 小型企业员工在移动环境中工作,并且希望能够一致并轻松地访问需要用来完成其工作的应用程序。 此外,无论身在何处,无论使用何种设备,他们都需要完成其工作。

目标

根据方案和问题陈述,需要一套满足以下目标的适用于移动设备和电脑的管理解决方案:

  • 可以从单一管理控制台中有效地管理员工的移动设备和计算机,而无需考虑这些设备是公司所有还是员工所有。 管理移动设备和计算机包括设置安全性和符合性设置、收集和维护软件与硬件清单,以及部署软件。

  • 有助于防止恶意软件感染和潜在不需要的软件感染连接到公司资源的计算机。

  • 当存储在移动设备上的公司数据丢失、被盗或停用时,可通过擦除这些数据来帮助保护公司数据。

  • 提供公司门户以使员工能够注册其自己的设备、访问许可的应用程序以及与支持部门联系。

  • 无需本地服务器。

我们推荐公司(如之前所述)使用的解决方案是使用 Microsoft Intune 管理公司拥有和员工拥有的移动设备和电脑。 管理员可以使用 Microsoft Intune 管理门户轻松简单地满足其基本移动设备和电脑管理需求,并使用 Microsoft Intune 公司门户部署应用程序或为最终用户提供自助服务。

观看此演示视频,以了解开始使用 Microsoft Intune 的免费试用版和管理您的第一台设备是多么容易:

Get started with a free trial.

Microsoft Intune 是一种适用于计算机和移动设备的基于云的管理解决方案,它无需本地硬件,而且无论这些计算机和移动设备是属于员工还是属于公司都无关紧要。 通过使用 Microsoft Intune,你可以保护公司的信息资产,并管理用户对可使用公司门户自行安装的公司资源和许可软件的访问权限。

System_CAPS_note注意

本解决方案介绍了如何在没有本地服务器的独立且仅限于云的配置所支持的最简单方案中使用 Microsoft Intune。 但是,Microsoft Intune 还可与 System Center 2012 Configuration Manager 结合使用,或者除 Configuration Manager 2007 之外,还可根据本地和移动设备管理需求提供统一的设备管理。

下图显示了在没有本地基础结构的情况下,如何使用 Microsoft Intune 管理移动设备和计算机。

使用 Microsoft Intune 管理移动设备和电脑

实施 Windows Intune Standalone 之后。

下表列出了作为本解决方案设计一部分的元素,并介绍了将其包含在本设计中的原因。 TechNet 上的 Microsoft Intune 文档库中还提供了用于实现 Microsoft Intune 的其他计划信息

解决方案设计元素

为什么将其包含在本解决方案中?

Microsoft Intune

  • Microsoft Intune 是一种基于云的管理解决方案。

  • 它允许你管理 Windows 计算机和移动设备(包括 iOS、Android、Windows RT 和 Windows Phone 设备)。

  • 它可帮助你管理和保护公司的信息资产。

用户

  • 通过创建 Microsoft Intune 用户,你可以轻松管理许可证的使用情况以及对资源的访问权限。

  • 还可以在 Microsoft Intune 管理控制台中向用户分配管理权限

  • 用户可以注册其移动设备和计算机,以使其可从任意位置在自己的设备进行工作,以便更安全地访问公司应用程序和数据。

所有设备

  • 基于 Web 的 Microsoft Intune 管理控制台简化了对公司计算机(包括运行 Windows 7 和 Windows 8 企业版 的计算机)的管理。

  • 并非所有运行 Windows 操作系统(例如 Windows XP Home Edition 操作系统)的计算机都受 Microsoft Intune 管理支持。 你应该查看计算机要求,以获取有关借助 Microsoft Intune 帮助你规划管理基于 Windows 的计算机的详细信息。

  • 公司或员工所拥有的移动设备(包括 Windows RT、Windows Phone 8、iOS 和 Android 设备)还可以由 Microsoft Intune 管理。

  • 与管理基于 Windows 的计算机相比,Microsoft Intune 直接管理移动设备时具有不同的要求和功能。 你应该查看移动设备要求,以获取有关借助 Microsoft Intune 帮助你规划管理移动设备的详细信息。

应用和数据

  • 通过使用 Microsoft Intune,你可以将软件发布到 Microsoft Intune 公司门户。 然后,用户可以访问软件并将其安装在其托管的计算机和设备上。

  • 在将软件部署到移动设备之前,还必须规划并正确设置几个特定于设备的要求 这些要求可能包括要执行的操作,例如获取用于 Windows RT 设备的旁加载密钥、对证书进行代码签名,以及在需要时部署“公司门户”应用程序。

  • 除了部署软件之外,你还可以在计算机上设置和部署适用于 Microsoft Intune 代理设置的策略、管理移动设备策略,以及收集硬件和软件计算机清单。 在评估期间,通过在 Microsoft Intune 管理控制台的“报告”工作区中查看可用报告,你可以查看已收集的数据。

使用本部分中的步骤来实现该解决方案。 在继续执行下一步之前,请务必验证是否已正确部署每个步骤。

System_CAPS_note注意

如果你要打印或导出一组自定义的解决方案主题,请参阅打印/导出多个主题 - 帮助

System_CAPS_important重要事项

在此解决方案的实现步骤中,假定你尚未使用用于身份管理的 Active Directory 或 Microsoft Online Services(如 Microsoft Office 365)。 如果你拥有其中一种技术,则下列步骤可以帮助你在仅限于云的配置中评估 Microsoft Intune,但在生产中并非所有这些步骤都适用或针对组织生成最佳解决方案。

  1. 注册为期 30 天的免费试用版 Microsoft Intune。你可以注册为期 30 天的免费试用版 Microsoft Intune,可管理最多 25 台计算机和移动设备。

    System_CAPS_warning警告

    如果你的公司已经具有 Microsoft Online Services 公司或学校帐户,而且你很有可能在试用期结束后继续在生产中使用此 Microsoft Intune 订阅,请务必单击“登录”页面上的“登录”选项,然后使用公司的全局管理员帐户进行身份验证。 此操作将确保你的 Microsoft Intune 试用版链接到你现有的 Microsoft Online Services 帐户。

    验证步骤:查看 Microsoft Online Services 团队发送的确认电子邮件,以确保所有信息都正确,并确保你可以使用该电子邮件中所含的用户 ID 登录到 Microsoft Intune 帐户门户

  2. 熟悉各种 Microsoft Intune 门户、工作区和任务。你应注意三个 Microsoft Intune 门户:两个可用于访问 Microsoft Intune 服务的各种功能的管理门户,以及一个最终用户用于连接到 Microsoft Intune 服务的公司门户。

    Microsoft Intune 门户

    验证步骤

    Microsoft Intune 帐户门户 通过使用 Microsoft Intune 帐户门户,管理员可以管理所有 Microsoft Online Services(包括 Microsoft Intune 和 Office 365)的用户、组和域。 可以使用该帐户门户来检查订阅状态、添加新订阅、添加新域名以及激活新的用户帐户。 你也可以从中设置和配置指向本地 Active Directory 域服务 (AD DS) 实例(如果有)的链接。

    请确保你可以使用你的租户管理员凭据登录到 Microsoft Intune 帐户门户

    Microsoft Intune 管理控制台 Microsoft Intune 管理控制台是一个基于 Web 的控制台,可帮助你快速访问关键信息和 Microsoft Intune 管理功能。 你可以在此处管理用户和设备组、配置策略设置、查看警报并对其采取操作、查看报告,以及执行其他服务管理任务。

    请确保你可以使用你的租户管理员凭据登录到 Microsoft Intune 管理控制台

    Microsoft Intune 公司门户 若要自行注册计算机,用户必须首先访问 Microsoft Intune 公司门户并使用其 Microsoft Intune 用户 ID 进行登录。 作为管理员,你需要从管理控制台的“管理”工作区中配置公司门户设置,例如公司名称、支持部门联系信息以及隐私声明链接。

    请不要忘记你需要向用户发送阐释了当他们转到公司门户时将会发生的情况的说明。 请确保包含他们的用户 ID 和临时密码、用户将其计算机和移动设备连接到 Microsoft Intune 的步骤,以及有关如何浏览和安装应用和任何联系 IT 部门以获得帮助的信息。

    请确保你可以使用你的租户管理员凭据登录到 Microsoft Intune 公司门户网站。

  3. 添加 Microsoft Intune 用户和管理员

    通过将用户添加到 Microsoft Intune 用户组,租户管理员可以使用帐户门户来将订阅许可证分配给用户 将用户添加到保留在帐户门户中的 Microsoft Intune 用户组时,也可以了解如何使这些用户显示在 Microsoft Intune 管理控制台中。

    在帐户门户中,无法采用与创建常规用户帐户相同的方式来创建适用于 Microsoft Intune 服务的管理员帐户。 你反而可以选择将管理权限分配给现有用户。 通过在管理下的“管理”工作区的管理员控制台中,向用户分配只读访问管理权限或完全访问管理权限,可执行此操作。 分配了只读访问权限的服务管理员无法修改 Microsoft Intune 设置,但可以查看数据和运行报告。 具有完全访问权限的服务管理员拥有所有可能的管理权限。

    通过使用 Microsoft Intune 管理控制台可查看租户管理员信息,但无法在该控制台中创建这些信息。 默认情况下,订阅所有者将成为你的 Microsoft Intune 服务的租户管理员,并且具有对 Microsoft Intune 帐户门户以及 Microsoft Intune 管理控制台的完全访问权限。 建议你使用帐户门户至少创建一个额外的租户管理员帐户,以帮助委派任务并确保在忘记密码时不会锁定 Microsoft Intune 服务管理员帐户。

    验证步骤:

    • 请确保在将用户帐户添加到帐户门户中的 Microsoft Intune 组中以后,它们将出现在 Microsoft Intune 管理控制台的“所有用户”组中。

    • 注销管理控制台,然后确保你可以使用新分配的服务管理员凭据重新登录到该控制台。

  4. 创建组以组织用户和设备 在 Microsoft Intune 中,组可用于帮助你管理用户、移动设备、计算机和软件部署Microsoft Intune 使用可在 Microsoft Intune 管理员控制台中创建的两种类型的组:

    • 用户组 使用用户组以使许可软件可用于用户和目标移动设备安全策略。

    • 设备组 使用设备组以部署软件和更新,以及配置 Microsoft Intune 代理设置和 Windows 防火墙设置策略。

    验证步骤:创建新组后,你应当看到它们显示在 Microsoft Intune 管理控制台中。

  5. 针对移动设备和计算机设置策略Microsoft Intune 策略可使你配置相关设置,这些设置可帮助保护移动设备、部署计算机更新、防护恶意软件、维护防火墙设置以及增强最终用户体验。

    你可以配置 Microsoft Intune 策略并将其部署到组,以管理计算机上的 Microsoft Intune 客户端的设置和基于移动设备策略的设置。 在添加并部署新的策略后,该策略所应用到的组中的所有用户或设备都会将这些设置继承为其基线策略。 你可以始终查看这些策略的详细信息,并且可以在稍后从“策略”工作区中对其进行编辑(如果需要)。

    验证步骤:添加新策略后,你应当看到它们显示在 Microsoft Intune 管理控制台中。

  6. 在计算机上安装 Microsoft Intune 客户端Microsoft Intune 客户端用于管理计算机,并且既可以安装在任何域中已加入域的计算机上,又可以安装在未加入域的计算机上。支持的计算机操作系统上安装了 Microsoft Intune 之后,Microsoft Intune 客户端将通过远程协助请求、软件更新和符合性设置报告提供应用程序管理、Endpoint Protection、硬件和软件清单以及远程控制。

    在没有本地基础结构的情况下,你可以采用以下方式之一在 Microsoft Intune 中注册计算机:

    • 你可以手动部署 Microsoft Intune 客户端软件 在此类型的部署中,管理员将下载 Microsoft Intune 客户端软件并手动将其安装在每台电脑上。 若要下载 Microsoft Intune 客户端软件,请打开 Microsoft Intune 管理控制台,然后在“客户端软件下载”区域中下载该客户端软件包。 安装了该客户端软件之后,Microsoft Intune 将根据需要自动安装其他软件来管理计算机。

    • 通过 Microsoft Intune 公司门户,最终用户可自行注册他们的每台计算机 然后,每台注册的计算机都将自动链接到用于安装 Microsoft Intune 客户端软件的用户帐户。

    • 你可以在操作系统部署过程中将 Microsoft Intune 客户端软件部署到计算机。

    默认情况下,在计算机上安装 Microsoft Intune 客户端时,还将安装 Microsoft Intune Endpoint Protection Endpoint Protection 通过提供潜在威胁实时防护、使恶意软件定义保持最新以及自动运行计划扫描,有助于提高组织中计算机的安全性。 为了提高安全性,你还可以使用 Microsoft Intune 策略来管理托管计算机上的 Windows 防火墙设置

    验证步骤: 

    • 请确保你可以在 Windows 桌面底部的任务栏中看到 Microsoft Intune 客户端图标,并且在单击它们后可获取“技术支持”和“公司门户”选项。

      • “技术支持”选项应该打开 Microsoft Intune Center。 你可以从此处查看技术支持联系信息和其他选项,例如检查可用的应用程序或软件更新,以及使用 Endpoint Protection 扫描计算机中的恶意软件。

      • 公司门户选项应该打开 Web 浏览器并显示 Microsoft Intune“登录”页面。 在使用公司帐户或学校帐户登录之后,你应该看到你的公司门户网站,其中包含用于联系 IT 部门、添加设备的选项以及适用于你的设备的所有应用程序。

  7. 准备移动设备管理 在注册移动设备之前,你必须准备 Microsoft Intune 服务,方法是在“管理”工作区的“移动设备管理”页面上选择相应的移动设备管理机构设置。 移动设备管理机构设置可确定你是使用 Microsoft Intune 还是使用 System Center Configuration Manager 与 Microsoft Intune 的集成来管理移动设备。 在本解决方案中,使用了未与 System Center Configuration Manager 集成的 Microsoft Intune,因此应将该设置设置为 Microsoft Intune。

    System_CAPS_important重要事项

    请仔细考虑你是希望仅使用 Microsoft Intune 还是使用 System Center Configuration Manager 与 Microsoft Intune 的集成来管理移动设备。 在将移动设备管理机构设置为这两个选项中的任一选项后,无法再进行更改。

    除了设置移动设备管理机构之外,可能还需要执行准备管理你的公司所使用的移动设备所需的其他任务。 例如,在注册过程中,Windows RT 和 Windows Phone 设备需要访问注册服务器,并且你需要 Apple 推送通知服务 (APNS) 证书才能管理 iOS 设备。

    验证步骤:确保将移动设备管理机构设置为 Microsoft Intune,并且确保在完成支持你打算支持的移动设备类型所需的任何其他任务之后,再继续进行操作。

  8. 注册移动设备 不需要在受支持的移动设备上安装 Microsoft Intune 客户端软件。 请改用公司门户或公司应用 Windows Phone 设置,在 Microsoft Intune 服务中注册它们。

    在 Microsoft Intune 中注册移动设备后,可针对应用程序管理、托管应用程序的硬件和软件清单以及符合性设备报告提供设备管理功能。 你可以使用以下方法帮助保护公司数据:将安全策略部署到用户组以帮助保护公司数据,以及使用 Microsoft Intune 远程擦除功能在移动设备丢失、被盗或停用时删除存储在其中的公司数据。

    验证步骤: 

    • 请确保“公司门户”应用已成功安装在移动设备上。 如果尚未安装,则需要手动分发它。

    • 使用你的公司帐户或学校帐户登录后,你应该会看到所有可用的应用以及链接到可以用户帐户身份登录的设备。

  9. 将应用程序部署到移动设备和计算机 你可以使用 Microsoft Intune 执行两种类型的软件安装:所需安装,用于将软件自动安装或推送到托管计算机上;或可用安装,用于将软件或指向该软件的链接部署到 Microsoft Intune 公司门户,以便用户可以选择是将软件安装在其计算机上还是移动设备上。

    • 在使用 Microsoft Intune 部署软件之前,你应该确保你具有用于发布、分发和使用该软件的相应许可证。 可以使用“许可证”工作区为以下软件添加和管理许可协议信息:通过 Microsoft 批量许可协议购买的软件,以及通过其他途径购买的 Microsoft 或非 Microsoft 软件。 然后,你可以创建显示了整个公司的托管许可证使用情况信息的许可证报告,以随时了解许可证使用情况活动。

    • 在使用 Microsoft Intune 将软件部署到计算机之前,必须将这些用户链接到他们的计算机。 但是,如果用户尚未自动链接到计算机,则可以使用管理控制台进行链接。 可以将某个用户链接到多台计算机,但是每台计算机只能链接到一个用户。 在注册过程中,移动设备用户将自动链接到其设备,用户还可以使用公司门户自动链接到添加到 Microsoft Intune 的任何计算机。

    • 在确保符合许可证且用户已链接到设备之后,可以从 Microsoft Intune 管理控制台的“软件”工作区中启动 Microsoft Intune 软件发布程序,以发布软件并将软件部署到移动设备和计算机 有两种方式可用于通过软件发布者部署已发布的应用程序:外部链接和软件安装程序包。

      • 外部链接:若要使用外部链接,只需提供一个指向在线应用商店中某个应用程序的 Web 地址的链接。 然后,所提供的链接将提供给公司门户中的用户。 用户可以使用该链接从在线应用商店中获取软件,或重定向到可在设备的 Web 浏览器上运行的基于 Web 的应用程序。

      • 软件安装程序:还可以使用 Microsoft Intune 软件发布程序将已签名的应用程序包直接上载到 Microsoft Intune 服务,以供用户通过公司门户进行访问。 使用软件发布程序,你可以发布以下任何安装程序类型:Windows Installer(.exe 和 .msi 文件)、适用于 Android 的应用包(.apk 文件类型)、适用于 iOS 的应用包(.ipa 文件类型)、Windows Phone 应用包(.xap 文件类型)以及 Windows 应用包(.appx 文件类型)。

        System_CAPS_tip提示

        若要在试用版评估期间使软件部署到 Windows Phone 8 设备的过程更加容易,可以使用适用于 Window Phone 8 的 Microsoft Intune 试用版管理的支持工具,该工具为你提供了要在试用版评估期间进行部署所必需的注册令牌和示例应用程序。 示例“公司门户”应用仅适用于试用版帐户,但是可以通过下载 Windows Phone 8 操作实例指南获取有关在生产期间向 Windows Phone 8 设备部署应用程序的其他帮助。

    验证步骤:确保在使用与软件部署相关联的帐户登录时,可通过公司门户获取已发布的应用程序。

  10. 管理软件更新批准 你可以从 Microsoft Intune 管理控制台中的“更新”工作区中的批准 Microsoft 和非 Microsoft 更新并将其部署到 Microsoft Intune 客户端 如果你希望严格管理个别更新批准,则可以在“更新”工作区中针对每个更新使用“批准”或“拒绝”选项。 还可以通过使用 Microsoft Intune 自动批准规则来自动批准更新。

    验证步骤:批准新的更新后,你应该在管理控制台的“更新”工作区中看到 Yes 显示在这些更新的批准列中。

  11. 配置警报和通知Microsoft Intune 警报用于监控系统和软件性能,或者在需要进行某项操作时通知管理员。 可以通过“警报”工作区,或者通过使服务将警报直接发送到特定服务管理员的电子邮件地址,来配置监控警报。

    验证步骤:生成警报后,你应该看到它们显示在 Microsoft Intune 管理控制台的“警报”工作区中。 如果已配置通知规则,则指定的警报收件人应该能够收到警报通知。

  12. 创建报告以查看组织数据 Microsoft Intune 报告为托管移动设备和计算机提供了以下信息:软件更新状态、检测到的软件、计算机清单、移动设备清单、许可证购买,以及许可证安装报告。

    报告可以帮助你解答一系列问题,例如已安装了特定应用程序或更新的计算机数量、有关正在使用的计算机硬件和移动设备的信息,甚至是软件许可证的购买和使用情况活动问题。Microsoft Intune 提供了一组可按原样使用的内置报告模板,或者你可以根据 Microsoft Intune 工作负载中的视图来创建自定义报告。

    验证步骤:确保在 Microsoft Intune 管理控制台的“报告”工作区中查看报告时,已返回所期望的信息。 如果创建新报告,则应从创建时所在的“报告”页面上的加载列表中提供该报告。

仅限云的实现已完成 在完成实现步骤后,需要满足本解决方案中列出的所有目标,如下所示:

  • 可从基于云的 Microsoft Intune 管理控制台有效地管理移动设备和计算机,从而配置安全和符合性设置、软件和硬件清单以及软件部署。

  • Microsoft Intune Endpoint Protection 将保护 Microsoft Intune 客户端计算机免受恶意软件感染的威胁并防止不需要的软件安装。

  • 当存储在移动设备上的公司数据丢失、被盗或停用时,可使用 Microsoft Intune 远程擦除功能擦除这些数据以保护公司数据。

  • 员工可以访问公司门户,以提供诸如注册自己的设备、访问应用程序和联系 IT 部门等自助服务功能。

  • 因为这是一个无需本地硬件的仅限云的管理解决方案,所以将消除服务器和站点系统角色管理。

是否需要其他分步评估信息?如果是,则应该查看 Microsoft Intune 文档库中的 Microsoft Intune 评估指南 该指南旨在通过提供设置新 Microsoft Intune 评估环境的分步说明,帮助你评估 Microsoft Intune 的主要功能。

购买 Microsoft Intune 订阅 评估 Microsoft Intune 之后,你应该准备好从 Microsoft Intune 免费试用版转为购买订阅,以继续向你的组织提供移动设备和电脑管理服务。

在帐户门户的“管理员”页面上,你可以轻松地将你的免费试用版订阅转换为付费的完整订阅。 你可以通过完整订阅继续使用 Microsoft Intune 服务,而不会使数据出现任何中断或丢失。 或者,你可以让你的初始试用版 Microsoft Intune 订阅过期,以便可以开始配置新的试用版订阅,从而在准备购买 Microsoft Intune 的完整订阅时满足生产需求。

获取 Microsoft Intune 技术帮助 关于已知问题,可以查看 Microsoft Intune 知识库 此外,对于非技术问题(例如付费或订阅问题)或者有关 Microsoft Intune 基于云的服务的技术问题,可通过联系 Microsoft Intune 支持获取手机支持和电子邮件支持。

显示: