如果裝置是統一由公司所購買，使用MDM(Mobile Device Management)使用者通常不會反對，但如果是BYOD(Bring Your Own Device)的話，由於是屬於自己的裝置，使用者就不太願意接受MDM的管理了，可是站在管理者的角度，又不希望公司的資料外洩該怎麼辦呢?其實Intune可以讓裝置不註冊(=不受MDM管理)，也能夠套用MAM的原則喔!

什麼是MAM?之前在Microsoft Intune (04) 究竟什麼樣的原則該用在什麼樣狀況？此篇文章中介紹過的軟體原則，功能是限制在可受管理的應用程式(=和Office365相關的App)中的行為，就是所謂的MAM(Mobile Application Management)。

但比較麻煩的地方是，這項功能要從Azure去設定，所以想要使用此功能我們要先有Azure的帳戶，如何試用Azure請參考如何綁定信用卡，開始免費試用Azure上所有服務 (附送一個月NT$6300信用額度)此篇文章，再來要連結Azure和Office36，方法請參考將 Office365 現有目錄與 Azure AD 整合，使用純雲端的驗證方式存取您的雲端資源此篇文章，而Intune的授權，我們可以從Azure中試用EMS套件(包含Intune)，也可以從Office365中試用或購買EMS或Intune，可參考使用Azure RMS加密重要文件，防止機密被直接複製竊取此篇文章中試用的部分，因為EMS中也包含RMS。

 

開始設定MAM前準備

1.首先我們要有一個帳號，同時有Office365全域管理員和Azure共同管理員的權限。

2.在Office365系統管理中心>群組中，新增一個群組，在群組中加入有Intune授權的使用者。

 

設定MAM原則

1.至Azure的新Protal，https://portal.azure.com/，點選瀏覽>Intune。

2.點選設定>應用程式原則。

3.點選新增原則，輸入原則名稱，選擇平台為iOS或Android，點選App和設定進行設定，都設定完成後點選建立。

4.選取要管理的應用程式，和設定管理原則。

 

部屬MAM原則

1.點選要部屬的原則>使用者群組。

2.點選新增使用者群組>在第二步中建立的群組>選取。

到這裡設定方面就大功告成了!

使用者只要在使用這些App時，用有Intune授權的Office365帳號登入，該App就會受到控管囉~

 

監控

在儀表板中可以看到有幾個使用者受到管理。

而標有旗標的使用者，則是會顯示出誰的裝置有Root過可能存在風險。

 

遠端抹除

管理者也可以用Intune抹除受MAM管理的App中的內容。

1.從儀表板中點選抹除要求>新的抹除要求，選取使用者和要接受抹除的裝置。

2.送出後會看到狀態在擱置中，過一段時間後就會變成成功or失敗。

 

參考文章：https://technet.microsoft.com/en-us/library/mt627825.aspx

== 要試用 Office 365 的朋友，請點 Office 365 Enterprise E3 試用版 – 30 天期 進行試用申請。 ==