本文介绍Microsoft Intune部署的体系结构:云和本地组件以及Intune集成的Microsoft和第三方产品。
有关Intune功能简介,请参阅什么是Microsoft Intune?。 有关Intune如何管理标识、设备和应用的概念演练,请参阅Microsoft Intune核心概念。
此图将典型的Intune部署组织为七个层:
- 云控制平面:Microsoft托管Intune服务。
- 托管终结点:Intune管理的设备。
- 终结点系列服务:Microsoft主要用途是终结点管理的产品。
- 连接器和扩展:Intune集成的基于云的外部服务。
- 对等集成:与Intune集成的其他Microsoft产品。
- 合作伙伴生态系统:与Intune集成的第三方产品和服务。
- 本地服务:客户运营的基础结构,与 Intune 云集成。
以下部分介绍了每个层。
云控制平面
云控制平面是构成Intune租户的一组Microsoft托管服务。 它们存储配置、提供策略、公开编程界面,并显示管理员和用户体验。
| 组件 | Role |
|---|---|
| Microsoft Intune 服务 | 存储配置并协调策略交付的云控制平面。 |
| Microsoft Intune 管理中心 | 适用于管理员的 Web 控制台。 |
| Microsoft 图形 API | 公共编程接口。 每个管理中心操作都由图形 API调用提供支持。 |
| Microsoft Intune 公司门户应用和网站 | 面向用户的图面,用于注册设备、显示所需的应用并显示符合性状态。 |
托管终结点
Intune支持以下平台:Android、iOS、iPadOS、Linux、macOS、tvOS、visionOS 和 Windows。 特殊方案包括展台、一线设备和通过特定于平台的注册路径管理的坚固硬件。
设备通过多种模式进行管理:
- 移动设备管理 (MDM) :通常适用于组织拥有的设备;Intune管理整个设备。
- 移动应用程序管理 (MAM) :典型的个人 (BYOD) 设备;Intune仅管理工作应用和数据。
- 组织拥有的硬件的自动注册:Windows Autopilot、Apple 自动设备注册和 Android Enterprise。
有关完整的支持 OS 矩阵,请参阅Intune支持的操作系统和浏览器。
终结点系列服务
终结点系列服务是Microsoft产品,其主要用途是终结点管理。 每个专用于终结点生命周期的特定方面。
| 服务 | 功能 | 何时使用 |
|---|---|---|
| Windows Autopilot | 针对新 Windows 设备和现有 Windows 设备的基于云的预配,以及用户驱动、自部署 (零接触) 、预预配和重置的选项 | 将设备直接从 OEM 寄送给最终用户,或大规模重新调整现有设备的用途 |
| Windows 365 | 云托管的 Windows 桌面 (云电脑) | 远程工作者、BYOD、承包商、受管制工作负载 |
| Windows Autopatch | 适用于 Windows、Microsoft 365 企业应用版、Microsoft Edge、Microsoft Teams 以及设备驱动程序和固件的托管更新服务 | 减少手动更新管理 |
| 终结点分析 | 有关设备运行状况和性能的遥测和建议 | 识别性能问题并减少支持人员数量 |
连接器和扩展
连接器和扩展是基于云的外部服务,Intune与之集成。 它们没有本地占用空间。 Intune通过 Internet 与他们通信。
| Connector | Role |
|---|---|
| Microsoft云 PKI | 云托管的 PKI 为Intune管理的设备颁发、续订和吊销 SCEP 证书,而无需本地 AD CS、NDES 或证书连接器。 支持完全云托管的层次结构或定位到现有专用根 (BYOCA) 。 |
| Apple Business /VPP | Apple 应用交付的基于令牌的集成。 |
| Apple 推送通知服务 (APN) | Apple 设备管理是必需的。 |
| 托管 Google Play | Android Enterprise 应用目录。 |
| Microsoft Store | 适用于 Windows 应用的内置目录。 |
对等集成
对等集成是与Intune一起使用的Microsoft产品。 它们有自己的主要目的:与 Intune 集成是众多用途之一。
| 产品 | Role |
|---|---|
| Microsoft 365 个应用 | 通过 Intune 部署到托管终结点。 |
| Microsoft Defender中的终结点安全性 | 将实时设备风险信号馈送到Intune合规性评估和条件访问决策中。 还充当移动威胁防御 (MTD) 适用于 iOS、iPadOS 和 Android 的源。 |
| Intune 中的 Copilot | 智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®Microsoft Intune管理中心内显示的功能。 |
| Microsoft Purview | 敏感度标签和终结点数据丢失防护 (DLP) 应用于Intune管理设备上的数据的策略。 |
合作伙伴生态系统
合作伙伴生态系统包括第三方产品和服务,这些产品和服务通过记录的 API、连接器或配置模式与Intune集成。
| 类别 | 说明和示例 |
|---|---|
| 移动威胁防御 (MTD) 合作伙伴 | 将设备风险信号馈送给Intune的第三方服务。 示例:Lookout、Zimperium、Check Point。 Microsoft Defender 中的终结点安全性也是 MTD 源:请参阅对等集成。 |
| 设备合规性合作伙伴 | 非Intune MM,成为分配的用户组的 MDM 颁发机构,并将设备符合性状态报告到Microsoft Entra ID,以便Intune条件访问。 在 Android、iOS、iPadOS 和 macOS 上受支持。 示例:Jamf Pro、Ivanti EPMM、BlackBerry UEM、Omnissa Workspace ONE、Kandji、SOTI MobiControl。 |
| IT 服务管理 (ITSM) 合作伙伴 | 事件和资产集成。 示例:ServiceNow、Jira。 |
| 远程支持合作伙伴 | 远程控制和协助。 示例: TeamViewer。 |
| 设备供应商门户 | 特定于供应商的特殊硬件管理。 示例: Surface Management Portal、Lenovo、Intel vPro。 |
| 网络访问控制 (NAC) 合作伙伴 | 网络层访问强制实施。 示例:Cisco ISE、Aruba ClearPass。 |
本地服务
本地服务是客户运营的基础结构,在网络上运行并与 Intune 云控制平面集成。
| 组件 | Role |
|---|---|
| Microsoft隧道网关 | 适用于 iOS、iPadOS 和 Android Enterprise 设备和应用的 VPN 网关。 在 Linux 上的容器中运行。 |
| Microsoft Intune 证书连接器 | 将Intune桥接到本地证书服务,以颁发 SCEP 和 PKCS 证书、导入 S/MIME 的 PFX 证书以及吊销证书。 |
| Microsoft Configuration Manager | Windows 客户端和服务器的本地对等Intune。 通过共同管理和租户附加与 Intune 集成。 请参阅 共同管理和租户附加。 |
共同管理和租户附加
Microsoft Configuration Manager是 Windows 客户端和服务器的本地对等Intune。 它管理网络上或通过云管理网关连接的台式机、Windows 服务器和笔记本电脑。 Configuration Manager和Intune通过:
- 共同管理:允许Configuration Manager和Intune都管理 Windows 客户端。 可以按照自己的节奏将工作负载迁移到云。
- 租户附加:将Configuration Manager管理的设备引入Intune管理中心,以便进行可见性、远程操作、基于云的报告、终结点安全策略创作 (防病毒、ASR) 、CMPivot、PowerShell 脚本、应用程序安装和统一设备时间线。
通过使用共同管理和租户附加,已运行 Configuration Manager 的组织可以添加Intune功能,而无需重新生成其环境。