Microsoft Intune — це хмарна платформа для управління мобільними пристроями (MDM) та мобільними додатками (MAM), яка входить до екосистеми Microsoft 365. Раніше відома як Windows Intune, платформа забезпечує управління пристроями — від смартфонів до серверів — з єдиної консолі. У цьому гіді ми розглянемо можливості intune, сценарії використання та інтеграцію з Dynamics 365 Business Central для забезпечення безпеки корпоративних даних.
Якщо ваші співробітники працюють з корпоративними даними на особистих пристроях, використовують Business Central з мобільних телефонів або потребують віддаленого доступу — microsoft intune забезпечує безпеку без обмеження продуктивності.
Що таке Microsoft Intune?
Визначення
Microsoft Intune (раніше Windows Intune) — це хмарний сервіс Microsoft для:
- MDM (Mobile Device Management) — управління пристроями (реєстрація, конфігурація, wipe)
- MAM (Mobile Application Management) — управління додатками (політики, захист даних)
- Endpoint Security — захист кінцевих точок (антивірус, firewall, compliance)
- Endpoint Analytics — аналітика стану пристроїв
Еволюція платформи
| Рік | Подія | Назва |
|---|---|---|
| 2011 | Запуск хмарного MDM | Windows Intune |
| 2014 | Інтеграція з Azure AD | Windows Intune |
| 2016 | Ребрендинг | Microsoft Intune |
| 2019 | Об'єднання з SCCM | Microsoft Endpoint Manager |
| 2023 | Повернення бренду Intune | Microsoft Intune (Suite) |
| 2025 | Intune Suite розширення | + Copilot, Advanced Analytics |
| 2026 | AI-driven management | Autonomous endpoint management |
Архітектура
| Компонент | Деталі |
|---|---|
| Інфраструктура | Microsoft Azure (100% хмара) |
| Консоль | Microsoft Intune admin center (web) |
| Ідентифікація | Microsoft Entra ID (Azure AD) |
| Інтеграція | Microsoft 365, Defender, Conditional Access |
| Підтримувані ОС | Windows, macOS, iOS, iPadOS, Android, Linux |
| Масштаб | Від 5 до 500 000+ пристроїв |
Навіщо Бізнесу Microsoft Intune?
Проблеми без MDM/MAM
| Проблема | Ризик | Наслідки |
|---|---|---|
| Співробітник втратив телефон з корпоративною поштою | Витік даних | Штрафи GDPR, репутаційні втрати |
| BYOD без контролю | Malware на особистому пристрої → корпоративна мережа | Ransomware, зупинка бізнесу |
| Звільнений співробітник має доступ | Несанкціонований доступ до даних | Крадіжка даних, конкуренти |
| Немає оновлень безпеки | Вразливості | Кібератаки |
| Різні налаштування на різних ПК | Inconsistency, підтримка | Збільшення витрат IT |
Що вирішує Intune
| Сценарій | Рішення Intune |
|---|---|
| Втрачений пристрій | Remote wipe (повне або selective) |
| BYOD | MAM без реєстрації пристрою (захист тільки корпоративних даних) |
| Звільнення | Автоматичне видалення корпоративних даних |
| Оновлення | Автоматичне розгортання patches |
| Стандартизація | Configuration profiles для всіх пристроїв |
| Compliance | Перевірка відповідності перед доступом |
Ключові Можливості Microsoft Intune
1. Device Management (MDM)
Реєстрація пристроїв (Enrollment)
| Платформа | Методи реєстрації |
|---|---|
| Windows | Autopilot, Azure AD Join, GPO |
| macOS | Apple Business Manager, DEP |
| iOS/iPadOS | Apple Business Manager, Company Portal |
| Android | Android Enterprise (Work Profile, Fully Managed, Dedicated) |
| Linux | Manual enrollment |
Configuration Profiles
Стандартизація налаштувань пристроїв:
- Wi-Fi профілі (автоматичне підключення до корпоративної мережі)
- VPN профілі (Always-on VPN)
- Email профілі (автоматична конфігурація Outlook)
- Certificates (автоматичне розгортання сертифікатів)
- Restrictions (заборона камери, screenshot, USB)
- Kiosk mode (для dedicated devices)
Compliance Policies
Перевірка відповідності пристрою перед доступом:
- Мінімальна версія ОС
- Наявність PIN/пароля (складність)
- Шифрування диску (BitLocker)
- Антивірус активний та оновлений
- Jailbreak/root detection
- Firewall увімкнений
Якщо пристрій не відповідає → блокування доступу до корпоративних ресурсів (Conditional Access).
2. Application Management (MAM)
App Protection Policies (без реєстрації пристрою)
Для BYOD-сценаріїв — захист корпоративних даних без управління пристроєм:
- Заборона copy/paste з корпоративних додатків у особисті
- Заборона Save As у особисте сховище
- PIN для додатку (окремий від PIN пристрою)
- Selective wipe — видалення тільки корпоративних даних
- Шифрування даних додатку
- Мінімальна версія додатку
Підтримувані додатки
- Microsoft 365 apps (Outlook, Teams, OneDrive, Word, Excel, PowerPoint)
- Microsoft Edge (managed browser)
- Power Apps, Power BI Mobile
- Dynamics 365 Business Central (mobile app)
- Сторонні додатки з Intune SDK
3. Endpoint Security
| Компонент | Функція |
|---|---|
| Microsoft Defender for Endpoint | EDR, threat protection |
| Antivirus policies | Конфігурація Windows Defender |
| Firewall policies | Управління Windows Firewall |
| Disk encryption | BitLocker management |
| Attack surface reduction | Блокування exploit-технік |
| Account protection | Windows Hello, credential guard |
4. Conditional Access
Інтеграція Intune + Entra ID для Zero Trust:
Користувач хоче доступ до Business Central
→ Перевірка: Пристрій зареєстрований в Intune? ✅
→ Перевірка: Compliance policy виконана? ✅
→ Перевірка: MFA пройдена? ✅
→ Перевірка: Локація дозволена? ✅
→ Доступ дозволено ✅
Якщо будь-яка перевірка не пройдена → доступ заблоковано або обмежено (наприклад, тільки web без download).
Microsoft Intune та Business Central
Захист доступу до ERP
Управління пристроями через Intune забезпечує безпеку доступу до Business Central:
| Сценарій | Без Intune | З Intune |
|---|---|---|
| Доступ з незахищеного пристрою | Дозволено (ризик) | Заблоковано |
| Втрата мобільного з BC | Дані доступні | Remote wipe |
| Скріншот фінансових даних | Можливий | Заблокований (MAM policy) |
| Копіювання даних у WhatsApp | Можливе | Заблоковане |
| Звільнений співробітник | Ручне відключення | Автоматичне (Azure AD) |
Рекомендовані політики для BC
- Compliance: Пристрій повинен мати PIN, шифрування, актуальну ОС
- Conditional Access: Доступ до BC тільки з compliant пристроїв
- MAM: Заборона copy/paste з BC mobile app у особисті додатки
- App Config: Автоматична конфігурація BC mobile app (URL, tenant)
Ліцензування Microsoft Intune
Плани 2026
| План | Ціна/user/міс | Ключові можливості |
|---|---|---|
| Intune Plan 1 | $8 | MDM, MAM, Compliance, Conditional Access |
| Intune Plan 2 | $4 (add-on) | + Advanced endpoint analytics, firmware management |
| Intune Suite | $10 (add-on) | + Remote Help, Tunnel, Advanced analytics, Copilot |
Включено в інші ліцензії
| Ліцензія | Intune включено |
|---|---|
| Microsoft 365 E3 | ✅ Plan 1 |
| Microsoft 365 E5 | ✅ Plan 1 |
| Microsoft 365 Business Premium | ✅ Plan 1 |
| Microsoft 365 F1/F3 | ✅ Plan 1 (обмежено) |
| EMS E3 | ✅ Plan 1 |
| EMS E5 | ✅ Plan 1 + Plan 2 |
Важливо: Якщо ви вже маєте Microsoft 365 Business Premium або E3/E5 — Intune Plan 1 вже включено у вартість. Додаткова оплата не потрібна.
Впровадження Microsoft Intune
Покроковий план
Фаза 1: Підготовка (1–2 тижні)
- Аудит поточних пристроїв (кількість, ОС, стан)
- Визначення сценаріїв (corporate-owned vs BYOD)
- Планування груп та політик
- Налаштування Entra ID (Azure AD)
- Створення тестової групи (5–10 пристроїв)
Фаза 2: Базове налаштування (2–3 тижні)
- Enrollment profiles (Windows Autopilot, Apple DEP)
- Compliance policies (PIN, encryption, OS version)
- Configuration profiles (Wi-Fi, VPN, Email)
- App deployment (Microsoft 365 apps, Company Portal)
- Conditional Access (базові правила)
Фаза 3: Розгортання (2–4 тижні)
- Pilot group (20–50 пристроїв)
- Тестування всіх сценаріїв
- Документація для користувачів
- Helpdesk training
- Поетапне розгортання (по відділах)
Фаза 4: Advanced Security (2–3 тижні)
- MAM policies для BYOD
- Defender for Endpoint integration
- Attack surface reduction rules
- Endpoint analytics
- Automated remediation
Бюджет впровадження
| Scope | Що включено | Бюджет | Термін |
|---|---|---|---|
| Базовий (50 пристроїв) | MDM + Compliance + CA | $3 000–8 000 | 4–6 тижнів |
| Стандартний (100–200 пристроїв) | + MAM + Defender | $8 000–15 000 | 6–8 тижнів |
| Enterprise (500+ пристроїв) | + Autopilot + Analytics | $15 000–30 000 | 2–3 місяці |
Intune vs Конкуренти
Порівняння MDM-рішень
| Критерій | Microsoft Intune | VMware Workspace ONE | Jamf Pro | Google Endpoint |
|---|---|---|---|---|
| Ціна/user/міс | $8 (або включено в M365) | $4–10 | $4–12 | Включено в Workspace |
| Windows | ✅ Найкраще | ✅ Добре | ❌ | ⚠️ Базове |
| macOS | ✅ Добре | ✅ Добре | ✅ Найкраще | ⚠️ Базове |
| iOS/Android | ✅ Добре | ✅ Добре | ⚠️ Тільки iOS | ✅ Добре |
| Microsoft 365 інтеграція | ✅ Нативна | ⚠️ Через конектори | ⚠️ Обмежена | ⚠️ Обмежена |
| Conditional Access | ✅ Вбудований | ⚠️ Окремий продукт | ❌ | ⚠️ Базовий |
| Zero Trust | ✅ Повний | ⚠️ Частковий | ⚠️ Частковий | ⚠️ Частковий |
Коли обирати Intune
✅ Microsoft Intune — оптимальний вибір коли:
- Використовуєте Microsoft 365 (вже включено в ліцензію)
- Переважно Windows-середовище
- Потрібна інтеграція з Dynamics 365 / Business Central
- Zero Trust стратегія безпеки
- Conditional Access для корпоративних додатків
- BYOD-сценарії з MAM
Zero Trust та Microsoft Intune
Принципи Zero Trust
- Verify explicitly — завжди перевіряй (identity, device, location)
- Least privilege — мінімальні необхідні права
- Assume breach — припускай, що вже зламано
Як Intune реалізує Zero Trust
| Принцип | Реалізація в Intune |
|---|---|
| Verify explicitly | Conditional Access: device compliance + MFA + location |
| Least privilege | App protection policies: тільки необхідні дані |
| Assume breach | Defender for Endpoint: EDR, automated investigation |
Приклад Zero Trust для Business Central
Крок 1: Користувач відкриває BC mobile app
Крок 2: Entra ID перевіряє identity (MFA)
Крок 3: Intune перевіряє device compliance
Крок 4: Conditional Access оцінює ризик (sign-in risk)
Крок 5: Якщо все OK → доступ дозволено
Крок 6: MAM policy захищає дані в додатку
Крок 7: Defender моніторить загрози в реальному часі
Часті Питання (FAQ)
Що таке Microsoft Intune?
Microsoft Intune — хмарна платформа від Microsoft для управління мобільними пристроями (MDM) та додатками (MAM). Дозволяє IT-адміністраторам контролювати безпеку корпоративних даних на будь-яких пристроях: Windows, macOS, iOS, Android. Раніше називалась Windows Intune.
Скільки коштує Microsoft Intune?
Intune Plan 1: $8/user/міс. Але якщо у вас є Microsoft 365 Business Premium ($22/user), E3 ($36/user) або E5 ($57/user) — Intune вже включено у вартість. Додаткова оплата потрібна тільки для Plan 2 ($4) або Suite ($10) add-ons.
Чи потрібен Intune для малого бізнесу?
Так, якщо: співробітники працюють віддалено, використовують особисті пристрої (BYOD), мають доступ до корпоративних даних з мобільних. Навіть для 10 співробітників втрата одного телефону з корпоративною поштою може призвести до серйозного витоку. Intune включено в Microsoft 365 Business Premium.
Як Intune пов'язаний з Business Central?
Intune забезпечує безпеку доступу до Business Central: перевіряє compliance пристрою перед доступом (Conditional Access), захищає дані в BC mobile app (MAM policies), дозволяє remote wipe при втраті пристрою. Це частина Zero Trust стратегії для ERP-даних.
Чим Intune відрізняється від SCCM?
SCCM (Configuration Manager) — on-premises рішення для управління Windows-пристроями в корпоративній мережі. Intune — хмарне рішення для управління будь-якими пристроями з будь-якого місця. Сучасний підхід: co-management (SCCM + Intune разом) або повний перехід на Intune.
Висновок
Microsoft Intune — це фундамент безпеки для сучасного бізнесу, де співробітники працюють з будь-яких пристроїв та локацій. Управління пристроями через Intune забезпечує Zero Trust підхід: кожен доступ перевіряється, кожен пристрій контролюється, кожен додаток захищений.
Для компаній, що використовують Microsoft 365 та Dynamics 365 Business Central, intune — це природне розширення безпеки, яке вже включено в ліцензію. Налаштування базових політик займає 4–6 тижнів і забезпечує захист від найпоширеніших ризиків: втрата пристрою, BYOD без контролю, несанкціонований доступ.
Потрібна допомога з безпекою та управлінням пристроями?
Потрібна консультація з Business Central?
Наші експерти допоможуть обрати правильне рішення для вашого бізнесу.
Зв'яжіться з нами