现已发布新的 Intune 和条件访问管理控制台
我发现每次参加客户和合作伙伴会议时,有几个话题总是被提及。其中一个最常见的话题是如何平衡最终用户的生产力与公司数据的安全性和控制需求。在这两个需求之间存在矛盾的背景下,一个更大的难题日益突显: 随着技术的加速发展以及各行业形势的变化,每个组织都要求其 IT 团队提供事半功倍的支持。
通过这些会议,我了解到大家的需求非常明确和一致:我们需要高效的解决方案来更轻松地管理和控制不断增加的复杂性。你们能否帮我们降低复杂性?
今天,我们将带给大家这方面的好消息: 对于快速壮大的 IT 专业人员群体而言,通过 Azure AD 管理 Intune 和条件访问变得简单了许多。截至今天,我们在 Microsoft Intune 和 EMS 条件访问功能方面已实现了两个重要的里程碑: 现在,两个新管理体验均已在 Azure 门户中正式发布!
重新设计的 Intune 带给组织的好处
从技术上而言,将 Intune 迁移到 Azure 门户是一件了不起的事情。不仅 Intune 控制台经过更改,而且 EMS 控制台的所有组件也集中在一起。将功能迁移到新门户的过程是一个重新设计整体管理体验的良机。我们现在提供的新体验体现了我们对移动管理的独到远见,而这种远见基于超过 45,000 名独特的付费客户的需求。
我对我们现阶段所取得的进展非常满意,因为 Azure 上的 Intune 为我们的现有客户提供了极大的帮助:他们现在不仅可以统一地管理所有 Intune MAM 和 MDM 功能,而且可以统一且无缝地利用 Azure AD 的所有功能。棒极了!
实际上,这种新管理体验还有许多其他方面的改进。我们不仅将管理体验聚合,还将 Intune 和 Azure Active Directory 聚合到一个共同的体系结构和平台上。聚合体系结构不仅极大地简化了我们的支持工作和客户使用所需要做的工作,还支持许多优秀的身份和企业移动管理端到端方案。
你需要了解的有关 Azure 上的 Intune 的 3 件事:
- 为利用 Azure 的超大规模而构建
Azure 平台极大地增强了 Intune 的弹性和可靠性,且为近乎无限的规模提供了基础。此外,任何形状尺寸的任何设备上的任何浏览器均支持这种新管理体验。现在,可以从任何设备(包括手机)上管理 Intune!
重新设计的体系结构以及新的控制台使得该服务具有近乎无限的规模。当前,有些客户的单个租户中的设备正迅速增加至数十万台。完全没问题! 一位客户告诉我们,他们已将一个复杂的策略关联到约 20 万用户,过去需要数小时才能完成的事情现在耗时不到 3 分钟。现在,由于 Intune 内置在 Azure 控制台内,你可以使用所有基于角色的管理功能来进行授权。
- 针对跨 EMS 工作流而优化
Intune 迁移到 Azure 和 Azure 门户后,我们现在与 Azure Active Directory 和 Azure 信息保护等其他核心 EMS 服务共用一个控制台。这些服务集中在一起所产生的总体功能,使得标识和访问管理、MDM 与 MAM 以及信息保护工作负载管理变得更为高效和简单。
例如: 如果你已使用 Intune 在相同门户环境中创建了一组条件访问策略以控制数据访问,现在仅需点击一下即可添加其他应用保护策略,以确保数据在移动设备上被访问和使用时受到保护。
通过将 Intune 转移到 Azure 还实现了与 Azure Active Directory 组的深度集成,这可将用户和设备表示为与组织本地 Active Directory 完全联合的本机动态目标组。
- 可以简化管理、实现自动化管理以及将管理与 Microsoft Graph 集成
构建于 Microsoft Graph API 之上,Intune 新体验还支持更广泛的系统集成和自动化。这意味着我们的客户现可简化、自动化和集成 Intune 和所用任何其他服务之间的工作流,无论其适合程度如何。若要详细了解相关功能,我建议你阅读此博客。Microsoft Graph API 功能当前处于预览版;此功能有望在下季度正式发布。
如果你尚未试用过 Azure 上的 Intune,我们诚邀你加入 Intune 新体验。立即登录 Microsoft Azure 门户亲身体验吧! 我们会始终聆听和分析你的反馈,我们希望了解你的观点! 自 12 月发布预览版以来,已预配超过 10 万付费和试用租户!
条件访问 – Azure 门户中的新管理体验
条件访问管理新体验也于今日正式发布。Azure 中的条件访问使 Azure Active Directory 和 Intune 中的丰富功能集中在一个统一的控制台中。了解到客户希望跨工作负载进行更多集成和使用更少控制台后,我们构建了此功能。我们现在提供的体验正是顺应了这一需求。
任何地方的组织都面临着在数量不断增加的移动设备上支持用户的这一挑战,而他们负责保护的数据逐渐从他们的网络边界外移到云服务中。与此同时,攻击的严重程度和复杂程度也不断剧增。IT 团队需要一种方式来量化用于访问公司数据的身份、设备和应用的风险,同时还需考虑物理位置,然后基于这四个矢量的整体风险来授予或阻止对公司应用/数据的访问。这是成功之道。
条件访问可以实现此目的,并确保仅通过恰当身份验证和认证的用户,在特定条件下从合规设备和经批准的应用可以访问公司数据。虽然这项功能在技术上很出色,但这些控制的细化程度和强大功能并不总是显而易见。Azure 上的新条件访问在一个合并视图中显示每个级别的深度控制,使得这项技术更加清晰明了:
现在,你可以通过单步执行轻松完成一个合并的流程,在此流程中,可设置精细化策略来定义用户级别、设备级别、应用级别和位置级别的访问权限。 过去 6 个月以来,我曾向数百个客户展示过这种集成体验,客户最常见的评论是: “我现在完全明白为什么 Microsoft 一直在说身份管理/保护需要结合 Enterprise Mobility Management 来保护我们的数据了。” Microsoft Intelligent Security Graph 也集成在其中,使得动态风险评估成为条件访问决策的一部分。
你还可以通过海量数据,基于用户登录风险来控制资源访问权限。设置策略后,在正确条件下操作的用户会被授予实时的应用和数据访问权限。但是,如果条件发生变化,智能控制会开始发挥作用,确保数据安全。这些控制包括:
- 要求用户进行 MFA 以证明其真实身份。
- 提示用户在 Intune 中注册设备。
- 指导用户调整设备以满足组织的安全要求。
- 完全阻止访问或者擦除设备。
- 使用本机应用(例如 Word)和 Web 应用(例如 Word Onlin)时授予不同的访问特权。
我们相信 Microsoft 完全能够提供综合、成熟且操作简单的解决方案。EMS 使得这类功能成为可能。我们正在从头集中构建这些功能,践行安全性和移动生产力这一承诺。
在 Intune 和 Azure AD 的边栏选项卡中,均可在菜单中访问新的条件访问控制台。若要观看此功能介绍视频,请观看本集 Endpoint Zone。
下一步计划
我们的不断创新承诺意味着我们会始终倾听客户意见、推出新功能和朝下一步计划继续努力。展望未来,我们全年会继续稳定地发布新功能和改进功能。 从现在开始,所有 Intune 和条件访问新功能会在新门户中提供,请持续关注。
附言: 请告诉我们你的想法;与客户沟通是我们最宝贵的开发输入来源。
结语: 今天对我们所有人来说都是非常有意义的一天。我对 Microsoft 目前在体系结构和管理体验方面所做的工作感到满意。我为我们的团队和所取得的成就感到高兴。此外,我也非常高兴,许多客户提供了有关新管理体验的丰富性和活力以及服务性能的反馈。虽然可能显得有点话多,但我还是得说,很高兴听到这种新体验极大地简化了你们的工作,并提供了集成条件访问等全新而独特的功能。
