IT 人的树洞，我们“偷听”到了！

3 问企业，如何做到“外防内优” ？...

刊登一则来自树洞的匿名投稿：

就职于公司的 IT 部门，需要负责公司电脑的部署、管理和支持等各种任务，常常拿着 U 盘或者装机光盘挨个工位跑，手工安装效率略低；后续还要负责整个 IT 环境、各客户端设备的管理。除此外，IT 工作更本质的其实是“内忧外患”——大环境堪忧，网络安全威胁层出不穷，要不断更新安全防护方案并部署；其次，员工偶有突发的设备丢失同样令人头大。

求问有没有统一的工具，能够解决内外忧患的同时，再帮助提升下 IT 工作效率呢？

来稿回复：

朋友，Microsoft Intune 了解一下吧！

Microsoft Intune（下文简称为 Intune）是一种云的服务，作为 Microsoft 365 企业安全防护套件解决方案中的一环，提供了设备管理和应用程序管理功能，帮助组织全面控制企业环境中的设备和应用程序，并针对端点设备提供全面的系统管理和安全保护。

本期我们将从大家最亟待解决的几个方面问题，一起看看它是如何帮助大家“外防御内优化”的！

场景1：企业购置新设备，如何快速部署并保证安全系数一步到位？

操作系统的批量部署始终是很多企业 IT 部门最头疼的任务。传统方式下，就算采用了某些批量部署工具，IT 人员依然需要花费大量时间来构建和定制映像，使其包含企业需要的各类应用程序和软件，然后将其部署到设备中，整个流程耗时长且十分复杂。

Intune 中提供的 Windows Autopilot 是一项用于预配置计算机的技术。通过 Autopilot 部署，设备可以迅速投入生产使用，并且 Windows Autopilot 还可用于重置和恢复设备。这些操作几乎不需要管理任何基础架构，只需要简单的流程就可以实现。



从 IT 管理员的角度来看，在该功能的帮助下，终端用户拿到设备（公司配发的设备，或自行采购的设备）后，只需要将设备连接到网络（无论公司内网或是互联网），并验证用户账户身份，随后即可自动部署公司提供的操作系统映像（其中包含自定义的设置、配置、软件应用程序等）。对于用户来说，自己只需要执行几个简单的操作，即可使新设备就绪，立即能够投入使用。

场景2：公司电脑不慎遗失或遭窃，如何保证公司数据安全？

移动办公大趋势下不得不考虑的数据安全问题。笔记本办公固然方便，可一旦设备失窃或丢失，其中包含的机密数据很可能面临外泄隐患。Windows 10 自带的 BitLocker 驱动器加密技术可有效杜绝这种情况下的数据外泄，并且能与 Secure Boot 等功能相互配合，进一步提高安全防护等级。

按照设计，BitLocker 可以提供硬件层面的数据安全保护，但这也意味这种行为只能由管理员手动启用。虽然经过一些配置，在组织内部网络环境中，通过本地 Active Directory 的帮助使用组策略自动启用设备的 BitLocker 加密，然而如果用户无法访问内网呢？例如因为疫情隔离不能回到公司，只能在家远程办公的用户，该如何用 BitLocker 保护他们电脑中的数据？

在借助 Windows Autopilot 为远程办公的用户部署操作系统时，还可以同步将 BitLocker 规则推送到设备上，并在最终用户使用系统时自动启用 BitLocker。这一过程是完全静默的，用户不会收到任何提示，拿到新设备并登录后，即可自动完成 Autopilot 初始化进程，并在推送业务应用的同时启用 BitLocker 技术加密设备数据。



场景3：企业或员工私人设备上发生数据泄露，如何保证公司数据安全？

只要保证设备不丢失，数据就真的安全无虞吗？其实企业还需要针对员工的数据访问过程进行必要保护。例如员工在家里使用自己的电脑远程办公，电脑上不可避免会同时包含企业数据以及个人数据，如何对这两类数据进行有效隔离？又或者，如何确保员工可以在自己电脑上访问企业机密数据，但无法将这些数据通过个人邮箱或 IM 软件发送给外部人员？

对此，Windows 10提供了一个名为 Windows Information Protection（WIP）的功能，借此可在不影响用户体验的情况下防范潜在的数据泄露，同时 WIP 还有助于保护企业应用和数据，防止企业拥有的设备和员工私人设备上可能发生的意外数据泄露，而这一切完全不需要对环境或其他应用进行对应更改或调整即可生效。



Intune 作为微软提供的移动平台管理解决方案，可以帮助我们非常简单明了地配置WIP相关管理策略，并便捷地部署给最终用户。借助 Intune，我们可以方便、高效、快捷地将 Office 365 相关应用/服务与 WIP 策略相结合，防止企业机密数据外泄，维持企业对重要数据的所有权和控制权，并对用户个人应用程序访问企业数据的行为加以限制。

Intune 技术支持团队，微软最好的技术支持团队之一。

竭诚为客户服务，本着一心为客户的宗旨，竭尽心力解决任何可能的技术问题，守护企业安全，实现客户和品牌的双赢。

作为 Microsoft 365 企业安全防护套件解决方案中的重要一环，Microsoft Intune 提供了完善的设备部署、管理和安全保护功能。如需了解更多关于 Microsoft 365 和微软其他企业安全防护套件内容，收获来自微软的强有力安全防护！

9月23日我们邀请了微软安全专家，EY 嘉宾以及两位企业嘉宾，一起聊聊安全的那些事儿~~ 扫描下图二维码加入网络研讨会，与企业代表 、微软安全专家一道护航企业数字安全。

    关注 微软科技