移动设备管理简称为 MDM，是一种工具集/软件和方法，用于监控和管理访问企业数据的移动设备。 

它提供移动生产力工具和应用程序，同时保护移动设备（手机、平板电脑、笔记本电脑和其他移动端点）上的公司数据。 

MDM 还将其功能扩展到其他服务，例如:

存储重要的移动设备信息，

决定移动设备可以拥有哪些应用程序， 

定位设备，

如果设备放错地方、丢失或被盗，保护设备。 

 

MDM 的常见组件包括:

设备库存和跟踪;

身份和访问管理;

密码强制执行;

应用程序白名单或黑名单; 

应用分发和企业应用商店;

远程擦除;

端点安全和数据加密实施。

在现代企业中，MDM是EMM（企业移动管理）的核心组成部分。这包括移动应用程序管理、访问和身份管理以及企业文件同步和共享。 

为什么 MDM 对企业很重要?

回答:MDM 保护您的业务数据并确保您的公司保留对机密信息的控制。如果移动设备丢失或被盗，MDM 可以远程锁定和擦除所有数据。远程锁定和擦除功能使公司能够确保设备和数据的安全。MDM 优化了用于访问企业数据的公司或个人移动设备的访问、安全性和功能。

这样做时，MDM 将此限制与保护企业数据和网络结合起来。

有效的 MDM 解决方案有助于确保业务设备安全，同时保持员工和管理员的灵活性和生产力。 

让我们解释一下。随着移动设备在企业中不断普及，企业和员工越来越容易受到恶意攻击。为什么? 

个人或企业移动设备用于访问关键业务数据，如果这些数据被黑客入??侵、丢失或被盗，将威胁到企业的安全。 

因此，管理移动设备对于:

增强企业数据安全 

如果移动设备被黑、丢失或被盗，确保您的企业保留对机密企业信息的控制。

通过自动执行重复性任务（例如设备上的 Wi-Fi 配置或应用程序安装）来节省时间的自动化 

允许管理所有公司设备、BYOD（自带设备）和应用程序。

通过在工作时间将非企业应用程序列入黑名单来提高企业生产力。这有助于让员工保持专注和高效。

允许远程移动设备管理。

 

个人设备 (BYOD) 与用于工作的公司设备

随着远程和混合工作模式继续受到关注，用于工作的个人设备也在增加。许多企业现在允许 BYOD 工作策略，以允许员工灵活地使用工作和设备来实现公司目标。这有助于提高员工的工作效率和满意度，同时降低公司成本，因为无需购买额外的硬件。 

但是，将企业 MDM 安全应用到个人设备是一项挑战。允许 BYOD 的企业需要员工同意才能将设备注册到企业 MDM。 

但公司也会向员工发放使用企业 MDM 的 COPE（或公司所有、个人启用）设备或 COBO（或公司所有、仅供企业使用）设备。为什么? 

受 MDM 审查的公司设备通常比个人设备更安全，这要归功于它们预装或列入白名单的软件和应用程序。因为如果 MDM 丢失、被黑客攻击或被盗，无需事先征得员工同意，也可以轻松清除它们。

本质上，Microsoft 提供了两种 MDM 方法:Microsoft Intune 和 MDM for Office 365: 

MDM for Microsoft (Office) 365 是每个Office 365 计划中包含的内置功能。 

Microsoft InTune 是一个独立的、基于订阅的、Microsoft 提供的移动设备管理平台。它有更多的安全规定，并与 Microsoft 365 很好地集成。 

 

注意:您还可以在 Microsoft 365 订阅/计划中购买具有企业移动性 + 安全性 (EMS) 的 InTune。

MDM for Microsoft 365 的功能

MDM for Microsoft 365（以前称为 MDM for Office 365）提供没有 MAM（移动应用程序管理）的轻型 MDM。此条款控制公司 Microsoft 365 对支持的设备和应用程序的数据访问。如果设备被盗或丢失，它还提供远程擦除以删除企业数据。

适用于 Microsoft 365 支持平台的 MDM 包括:

Windows 8 和 8.1（Exchange ActiveSync 功能）

Windows 10（所有版本）- 设备应加入 Azure Active Directory

视窗 11

iOS 10.0 或更高版本

Android 4.4 或更高版本 

MDM for Microsoft 365 支持的策略设置有:

具体密码， 

加密， 

邮件，和，

越狱设置。

这些是支持移动设备管理和身份验证功能的。

Microsoft Intune 功能

Microsoft Intune 提供 MDM 和 MAM，这对于允许 BYOD 的企业至关重要。为什么?

MAM 允许企业通过 IT 管理员部署和管理移动设备的应用程序和软件。

MDM 和 MAM 策略和设置可帮助组织控制企业数据、应用程序和网络访问，尤其是通过 Microsoft 365 和 Azure AD 访问的那些。

此外，InTune 支持应用程序和设备的远程擦除，以在设备丢失、放错地方、被盗或损坏时删除企业数据。  

这为组织提供了一种管理和保护移动设备、应用程序和企业数据的强大方法。 

Intune 支持的平台包括:

Windows 8 和 8.1（包括 Windows 8.1 RT）

Windows 10 - 所有版本 - 带有 Teams、Microsoft IoT 和 Holographic for Business

Windows 11 - 所有版本 - 带有 Teams、IoT 和 Holographic for Business

iOS 和 iPadOS 11.0 或更高版本

Mac OS X 10.0.12 或更高版本

Android 5.0 或更高版本（包括 Android Enterprise） 

InTune 支持的策略设置是高级配置选项，包括 VPN、Wi-Fi 和配置证书。 

如何在 Microsoft 365 中设置移动设备管理 - 分步过程

要在 Microsoft 365 中设置 MDM，请按照以下步骤（相应地）进行操作: 

步骤 1:通过您的帐户启用 Microsoft 365 移动设备管理 (MDM)。

登录到 Microsoft 365 管理门户。链接:https://portal.office.com/AdminPortal

选择以全局管理员用户身份进入中心。选择全局管理选项。

导航到左窗格，在Home下选中并展开 Resources 选项卡。展开选项卡后，选择移动管理。

如果这是你第一次设置 Microsoft 365 移动设备管理，请进入 Microsoft 365 移动设备管理的设置向导。选择“让我们开始吧”按钮。

在新窗口 > 输入安全名称。这是用于为特定用户帐户启用 Microsoft 365 MDM 的组。完成设置后，您将向该组添加用户，以允许他们在其移动设备上配置 Office 应用。

单击“开始设置”> 继续 MDM 设置过程。

您会看到一条通知，内容为“激活 MDM 服务”。等待此设置运行完成（大约 2-5 分钟）。

 

第 2 步:配置您的 MDM 策略

转到 Microsoft 365 管理门户 > 然后是安全与合规性。

展开按钮（安全性和合规性）> 并转到安全策略 > 设备安全策略。 

您会看到一个默认策略，要求设备具有安全密码（四个字符或更多）。 

在右窗格中，单击笔符号。这将允许您编辑安全密码策略。

单击访问要求。在设备连接到公司网络和同步数据之前，请查看在设备上强制执行的可用选项。

在“您希望对设备有哪些要求”下设置您的首选策略。确保该政策 符合贵公司的安全政策

单击保存以确保您设置的策略得到实施。

接下来，您将单击“您还想配置什么”链接以查看您想要配置的任何剩余设置。

根据您的公司政策勾选必要的框以设置您的选项 > 然后单击保存。 

瞧!您已在 Office 365 上设置 MDM。 

第 3 步:允许用户访问 

在将用户帐户添加到已设置的 MDM 安全组（默认）之前，您还没有完成。 

进入 Office 365 管理中心

单击组 > 然后单击编辑组 > 然后将任何将使用移动设备的用户添加到列表中，单击保存以保存添加。 最后的想法，适用于 Microsoft 365 的 MDM 是开始实施 MDM 的企业的一个很好的起点。但这还不够。更好的安全性和移动设备管理需要更高级的 Microsoft InTune 的功能。将 Intune 添加到 MDM for Microsoft 365 是管理移动设备和确保公司和企业安全的好方法。