Microsoft Intune体系结构

本文介绍Microsoft Intune部署的体系结构:云和本地组件以及Intune集成的Microsoft和第三方产品。

有关Intune功能简介,请参阅什么是Microsoft Intune?。 有关Intune如何管理标识、设备和应用的概念演练,请参阅Microsoft Intune核心概念

显示参考体系结构中Microsoft Intune的关系图,其中包含Microsoft Entra、Microsoft 365、Configuration Manager、本地连接器和托管终结点。

此图将典型的Intune部署组织为七个层:

  1. 云控制平面:Microsoft托管Intune服务。
  2. 托管终结点:Intune管理的设备。
  3. 终结点系列服务:Microsoft主要用途是终结点管理的产品。
  4. 连接器和扩展:Intune集成的基于云的外部服务。
  5. 对等集成:与Intune集成的其他Microsoft产品。
  6. 合作伙伴生态系统:与Intune集成的第三方产品和服务。
  7. 本地服务:客户运营的基础结构,与 Intune 云集成。

以下部分介绍了每个层。

云控制平面

云控制平面是构成Intune租户的一组Microsoft托管服务。 它们存储配置、提供策略、公开编程界面,并显示管理员和用户体验。

组件 Role
Microsoft Intune 服务 存储配置并协调策略交付的云控制平面。
Microsoft Intune 管理中心 适用于管理员的 Web 控制台。
Microsoft 图形 API 公共编程接口。 每个管理中心操作都由图形 API调用提供支持。
Microsoft Intune 公司门户应用和网站 面向用户的图面,用于注册设备、显示所需的应用并显示符合性状态。

托管终结点

Intune支持以下平台:Android、iOS、iPadOS、Linux、macOS、tvOS、visionOS 和 Windows。 特殊方案包括展台、一线设备和通过特定于平台的注册路径管理的坚固硬件。

设备通过多种模式进行管理:

  • 移动设备管理 (MDM) :通常适用于组织拥有的设备;Intune管理整个设备。
  • 移动应用程序管理 (MAM) :典型的个人 (BYOD) 设备;Intune仅管理工作应用和数据。
  • 组织拥有的硬件的自动注册:Windows Autopilot、Apple 自动设备注册和 Android Enterprise。

有关完整的支持 OS 矩阵,请参阅Intune支持的操作系统和浏览器

终结点系列服务

终结点系列服务是Microsoft产品,其主要用途是终结点管理。 每个专用于终结点生命周期的特定方面。

服务 功能 何时使用
Windows Autopilot 针对新 Windows 设备和现有 Windows 设备的基于云的预配,以及用户驱动、自部署 (零接触) 、预预配和重置的选项 将设备直接从 OEM 寄送给最终用户,或大规模重新调整现有设备的用途
Windows 365 云托管的 Windows 桌面 (云电脑) 远程工作者、BYOD、承包商、受管制工作负载
Windows Autopatch 适用于 Windows、Microsoft 365 企业应用版、Microsoft Edge、Microsoft Teams 以及设备驱动程序和固件的托管更新服务 减少手动更新管理
终结点分析 有关设备运行状况和性能的遥测和建议 识别性能问题并减少支持人员数量

连接器和扩展

连接器和扩展是基于云的外部服务,Intune与之集成。 它们没有本地占用空间。 Intune通过 Internet 与他们通信。

Connector Role
Microsoft云 PKI 云托管的 PKI 为Intune管理的设备颁发、续订和吊销 SCEP 证书,而无需本地 AD CS、NDES 或证书连接器。 支持完全云托管的层次结构或定位到现有专用根 (BYOCA) 。
Apple Business /VPP Apple 应用交付的基于令牌的集成。
Apple 推送通知服务 (APN) Apple 设备管理是必需的。
托管 Google Play Android Enterprise 应用目录。
Microsoft Store 适用于 Windows 应用的内置目录。

对等集成

对等集成是与Intune一起使用的Microsoft产品。 它们有自己的主要目的:与 Intune 集成是众多用途之一。

产品 Role
Microsoft 365 个应用 通过 Intune 部署到托管终结点。
Microsoft Defender中的终结点安全性 将实时设备风险信号馈送到Intune合规性评估和条件访问决策中。 还充当移动威胁防御 (MTD) 适用于 iOS、iPadOS 和 Android 的源。
Intune 中的 Copilot 智能 智能 Microsoft Security Copilot 副驾驶® 副驾驶®Microsoft Intune管理中心内显示的功能。
Microsoft Purview 敏感度标签和终结点数据丢失防护 (DLP) 应用于Intune管理设备上的数据的策略。

合作伙伴生态系统

合作伙伴生态系统包括第三方产品和服务,这些产品和服务通过记录的 API、连接器或配置模式与Intune集成。

类别 说明和示例
移动威胁防御 (MTD) 合作伙伴 将设备风险信号馈送给Intune的第三方服务。 示例:Lookout、Zimperium、Check Point。 Microsoft Defender 中的终结点安全性也是 MTD 源:请参阅对等集成
设备合规性合作伙伴 非Intune MM,成为分配的用户组的 MDM 颁发机构,并将设备符合性状态报告到Microsoft Entra ID,以便Intune条件访问。 在 Android、iOS、iPadOS 和 macOS 上受支持。 示例:Jamf Pro、Ivanti EPMM、BlackBerry UEM、Omnissa Workspace ONE、Kandji、SOTI MobiControl。
IT 服务管理 (ITSM) 合作伙伴 事件和资产集成。 示例:ServiceNow、Jira。
远程支持合作伙伴 远程控制和协助。 示例: TeamViewer
设备供应商门户 特定于供应商的特殊硬件管理。 示例: Surface Management Portal、Lenovo、Intel vPro。
网络访问控制 (NAC) 合作伙伴 网络层访问强制实施。 示例:Cisco ISE、Aruba ClearPass。

本地服务

本地服务是客户运营的基础结构,在网络上运行并与 Intune 云控制平面集成。

组件 Role
Microsoft隧道网关 适用于 iOS、iPadOS 和 Android Enterprise 设备和应用的 VPN 网关。 在 Linux 上的容器中运行。
Microsoft Intune 证书连接器 将Intune桥接到本地证书服务,以颁发 SCEP 和 PKCS 证书、导入 S/MIME 的 PFX 证书以及吊销证书。
Microsoft Configuration Manager Windows 客户端和服务器的本地对等Intune。 通过共同管理和租户附加与 Intune 集成。 请参阅 共同管理和租户附加

共同管理和租户附加

Microsoft Configuration Manager是 Windows 客户端和服务器的本地对等Intune。 它管理网络上或通过云管理网关连接的台式机、Windows 服务器和笔记本电脑。 Configuration Manager和Intune通过:

  • 共同管理:允许Configuration Manager和Intune都管理 Windows 客户端。 可以按照自己的节奏将工作负载迁移到云。
  • 租户附加:将Configuration Manager管理的设备引入Intune管理中心,以便进行可见性、远程操作、基于云的报告、终结点安全策略创作 (防病毒、ASR) 、CMPivot、PowerShell 脚本、应用程序安装和统一设备时间线。

通过使用共同管理和租户附加,已运行 Configuration Manager 的组织可以添加Intune功能,而无需重新生成其环境。