Microsoft Endpoint Manager：Intune 的继任者有何功能以及其工作原理

微软的端点管理器结合内嵌和系统中心配置管理器减少IT管理员管理桌面和移动工作环境所需的时间和精力。

由于企业希望为员工提供灵活的工作空间（无论是在桌面还是移动设备、在办公室还是在现场），IT 商店在过去十年中不得不努力使用单一控制台来整合硬件管理。

秉承这一 IT 目标，微软于 2011 年推出了Intune 云服务以满足企业新兴的企业移动管理 (EMM) 需求。八年后，即 2019 年，微软决定加入其 Intune 统一端点管理 (UEM) 平台及其配置管理器 (ConfigMgr)，使用户只需一个界面即可访问两者。

合并后的产品（称为 Endpoint Manager）使所有 ConfigMgr 客户都可以获得 Intune 许可，以共同管理 Windows 设备。据微软称，目前两家云服务公司共管理着超过 2 亿台设备。

除了 ConfigMgr 和 Intune 的单一管理界面外，Endpoint Manager 还包括设备管理管理中心（DMAC）、Windows Autopilot 和桌面分析。

该软件为 IT 管理员提供了内部部署和云管理工具以及共同管理选项，以便在整个企业内配置、部署、管理和保护端点（桌面、移动设备和应用程序）。

简而言之，Endpoint Manager 旨在让管理各种设备变得更加容易，既能保护公司数据，又能允许员工使用公司和个人设备完成工作。它将移动设备管理 (MDM) 功能与移动应用程序管理 (MAM) 功能相结合，虽然显然与 Windows 生态系统和其他 Microsoft 产品息息相关，但它可以管理运行其他操作系统的硬件，包括 macOS、iOS 和 Android。

微软还设想使用 Endpoint Manager 来管理云 PC，作为公司Windows 365 风险投资将于 2021 年中期揭晓。

Intune 更名为 Endpoint Manager 最初引起了一些混乱，因为工具有重叠。不过，Gartner 高级主管分析师 Dan Wilson 表示，使用 Endpoint Manager 的公司现在了解了可供他们使用的全套功能。

在某种程度上，将 Intune 与 SCCM/ConfigMgr 结合起来是微软对传统 PC 管理是否最终消亡的回答。（事实并非如此。）

威尔逊表示，传统管理工具将继续在共同管理需要常规生命周期任务（例如磁盘映像和 MDM）的 PC 方面发挥作用。

他说：“2020 年增加并加速了端点共同管理和云管理的采用，以及通过租户附加联合配置管理器和 Intune 控制台的采用。”

作为订阅服务微软按每个用户/每月向企业收取费用。作为微软企业移动套件，其中包括 Azure Active Directory、Azure 权限管理服务以及高级威胁分析。

Endpoint Manager 如何融入 EMM 和 UEM 市场？

当 Intune 推出时，公司仍在苦苦思索如何管理突然涌入的公司数据和网络设备 - 这是 2007 年苹果 iPhone 发布后兴起的自带设备 (BYOD) 潮流的后果。

在企业 BYOD 计划的推动下，硬件管理已摆脱 Windows 主导的世界越来越多样化，包括 iOS、Android 和 Apple 设备。随着越来越多的员工在移动设备上执行任务，统一端点管理 (UEM)增长，因为所有面向用户的设备都可以通过单个控制台进行管理。

Gartner 表示，到 2022 年，50% 的公司 Windows 10 PC 将使用 EMM 软件或 UEM 进行管理 工具。这应该可以帮助公司提高运营效率。对于许多人来说，困难的部分是选择是使用 Intune 之类的工具还是拼凑起来基于众多第三方供应商的软件构建的管理生态系统。

Gartner 认为，要获得成功，任何综合 UEM 系统都需要与客户管理工具集成并满足以下目标：

• 提供单一控制台来配置、管理和监控传统移动设备、PC 和物联网资产的设备管理。
• 统一数据保护、设备配置和使用策略的应用。
• 提供多设备用户的单一视图，以便更好地支持最终用户并收集详细的工作场所分析。
• 充当协调点，协调身份服务和安全基础设施等相关端点技术的活动。

MDM 和 UEM 之间的最大区别：后者设想像管理移动设备一样轻松地管理桌面硬件，并且可以处理多种操作系统，包括桌面和移动设备。

大多数支持 UEM 的软件供应商来自 MDM 和 EMM 市场，许多供应商在过去几年中一直在添加 Windows 管理功能。

其中许多已扩展至支持 Chrome OS 和 macOS 平台，使它们能够管理多种类型的传统端点以及它们管理的移动端点。

客户端管理工具供应商在为其 PC 管理工具构建扩展以便能够处理移动设备和现代操作系统方面通常比较慢。

Wilson 表示：“2021 年 UEM 市场包括更多传统的客户端管理供应商，他们增加了对现代 PC 操作系统和移动设备的无代理管理。传统的 MDM/EMM 供应商更关注与设备无关的安全工作空间和以安全为中心的移动设备用例，而不是继续开发 PC 管理功能。”

他说：“随着 Chrome OS 和 Linux 的普及，操作系统多样性变得越来越重要，这也推动了对 UEM 提供更多支持的需求。”“改进 macOS 支持也很重要，因为 UEM [供应商] 致力于缩小自己与以 Apple 为中心的管理工具之间的功能差距。”

除 Microsoft 外，其他提供 UEM 解决方案的供应商还包括 BlackBerry、IBM、Ivanti（去年收购了 MobileIron）和 VMware。Gartner 2021 年魔力象限报告对于动车组。

端点管理器能做什么？

通过 Endpoint Manager 的控制台，IT 管理员可以执行 UEM 策略，其中最终用户可以通过任何硬件平台进行入职，并且可以应用规则来管理他们可以访问哪些应用程序和哪些数据。UEM 在移动平台上使用 MDM API 来实现身份管理、无线局域网管理、运营分析和资产管理。至少在理论上，UEM 使 IT 能够远程配置、控制和保护从智能手机到平板电脑、笔记本电脑、台式机以及现在的一切物联网 (IoT) 设备只需通过一个控制台即可。

微软

一些 UEM 产品还允许移动应用程序管理 (MAM)，让 IT 管理员控制对特定业务应用程序及其相关内容的访问，而无需控制整个物理设备。

现在，运行 Windows 的商务笔记本电脑和 PC 所需的许多基本应用程序和系统配置功能都可以通过该操作系统的 EMM 控制台完成，这些控制台由 Microsoft 的 Intune 协议启用。这意味着较新部署 Windows PC 的组织可以通过 UEM 使用整合的管理工具和统一的策略和配置平台。

例如，该软件与微软 Azure AD 的集成以及Azure 信息保护使管理员能够通过应用访问规则和条件对文档和电子邮件进行分类（并可选择保护）。Intune 与 Azure Data Protection 的集成使管理员能够在使用移动设备拍摄的任何图像上添加水印，无论是公司发放的还是通过 BYOD 公司政策使用的。

为了使设备管理更加简单（尤其是对于基于 Windows 的商店），Microsoft添加了本机 EMM 功能至 Windows 10 2019 年通过 Intune 实现。

在 Windows 10 的所有版本中，包括桌面版、移动版和物联网 (IoT) 硬件版本，客户端都提供了单一界面，Intune 可通过该界面管理任何 Windows 10 设备。（微软表示，适用于 Windows 10 的管理工具也将适用于即将推出的 Windows 11，不过它并未透露太多细节。）

Intune 支持条件访问，包括拒绝访问不受其管理或不符合公司 IT 政策的设备、管理 Office 365 和 Office 移动应用以及管理运行 Windows Vista 或较新 Windows 版本的 PC。

开放 API 还允许第三方软件提供商（例如 SAP）将其应用程序访问控制包装到 Intune 的 UI 中。

运行 Windows 10 和 11 的商务笔记本电脑和 PC 所需的许多基本应用程序和系统配置功能也可以通过 EMM 控制台执行。Endpoint Manager 与基于代理的 SCCM 配合使用，以支持更高级的 PC 和服务器管理功能。

（主要订阅包括 SCCM 的使用权，允许组织通过同一管理控制台管理 PC 和移动设备 - 这是 UEM 策略的另一个好处。）

微软近几个月宣布了对 Endpoint Manager 的一系列更新，包括端点分析管理中心的报告。它提供了对设备性能的洞察，帮助 IT 部门在用户提交帮助台工单之前主动解决可能影响用户的策略或硬件问题。

微软还引入了 Tunnel，Intune 的 VPN 网关，使 Android 和 iOS 设备能够远程连接到本地应用和资源；2021 年 6 月，支持 Android Enterprise 工作配置文件，它可以分离公司设备上的工作数据和个人数据。