盡管PC與筆記本的操作系統(tǒng)仍是Windows獨霸群雄，但是在智能移動設(shè)備的部分(手機、平板)卻是正好相反，Windows反而成為了稀有動物了。因為如今幾乎是iOS與Android系列設(shè)備的天下了，看來BYOD的信息安全問題所要管理的對象當(dāng)中，使用iOS與Android的員工已變成了最主要的目標(biāo)了。

在這里我們首當(dāng)應(yīng)該先了解針對Android系列的設(shè)備，該如何經(jīng)由Windows Intune進行管理，因為由于它的安全管制措施并沒有像Apple那樣的嚴(yán)厲，因此無論您的設(shè)備是 HUAWEI、ASUS、SAMSUNG還是小米機等設(shè)備，皆只要在“Play商店”中搜尋Windows Intune關(guān)鍵詞便可以找到它的App，然后完成安裝與賬號的登錄即可。

至于iOS的設(shè)備呢？那可就稍微比較麻煩一點，不過還好那只是初次在Windows Intune網(wǎng)站上的設(shè)置比較啰唆一點而已。請先開啟至系統(tǒng)管理入口網(wǎng)站中的“移動設(shè)備管理”→“iOS”節(jié)點頁面。在此可以看到在我們進行iOS設(shè)備管理之前，必須先取得APNs的憑證，而這項憑證的取得必須使用一組Apple ID的登錄才能夠產(chǎn)生與下載。

請開啟Apple Push Certificates Portal網(wǎng)站(https://idmsa.apple.com)，然后輸入Apple ID與密碼并且點擊“Sign in”登錄。接著請點擊“Create Certificate” 按鈕。在“Create a New Push Certificate”頁面中，它要求我們必須先上傳一個憑證簽入的要求文件，才能夠創(chuàng)建一個新的憑證文件來供我們使用，因此我們必須再回到Windows Intune的系統(tǒng)管理入口網(wǎng)站中，來產(chǎn)生憑證要求檔。

點擊在“移動設(shè)備管理”→“iOS”節(jié)點頁面中的“上傳APNs憑證”連接，接著點擊“下載APNs憑證要求”按鈕，然后再將此文件(*.csr)存儲在本地計算機之中等待使用?；氐絼倓偟腁pple Push Certificates Portal網(wǎng)站繼續(xù)。

再次回到等待中的“Create a New Push Certificate”頁面中之后，請點擊“瀏覽”按鈕來選取剛剛所下載的CSR文件，然后點擊“Upload”按鈕，一旦成功上傳之后將會開啟如圖2所示的確認(rèn)頁面。在此您可以先點擊“Manage Certificates”按鈕，來查看目前這個憑證的相關(guān)信息。

圖2 成功創(chuàng)建憑證

在“Certificate for Third-Party Servers”頁面當(dāng)中，其實就是讓用戶可以管理所有在這個網(wǎng)站上所申請過的憑證，因為有許多類似于MDM方面的解決方案，都是需要到這個網(wǎng)站上來下載APNs的憑證，因此在這里就可以看到這個剛剛申請的憑證的第三廠商(Vendor)就是Microsoft。未來如果憑證過期之后想要繼續(xù)使用，就可以在此點擊“Renew”按 鈕來更新即可。點擊“Download”按鈕下載，它的檔名應(yīng)該會是MDM_ Microsoft Corporation_Certificate.pem。

完成了APNs的憑證下載后，便可回到“移動設(shè)備管理”、“iOS”節(jié)點頁面中來進行上傳。在“上傳APNs憑證”的頁面中，除了需要點擊“瀏覽”按鈕來上傳APNs憑證外，還需要輸入已注冊的Apple ID，然后點擊“上傳”并完成相對密碼的輸入即可。

一旦成功上傳APNs憑證于Windows Intune網(wǎng)站之中，便可以檢視到該憑證的狀態(tài)、主體ID、上次更新日期以及到期日信息。未來如果憑證即將到期時，請務(wù)必將更新后的憑證再一次上傳。

Windows智能移動設(shè)備的安裝

接下來馬上來看看有關(guān)移動客戶端的Windows Intune App安裝設(shè)置方法。

所有用戶都可以在Windows 8、Windows 10 的平板或智能型手機當(dāng)中來安裝它。無論移動客戶端的智能設(shè)備是哪一種操作系統(tǒng)，在完成Windows Intune App安裝之后，第一次都需要進行Windows Intune帳戶密碼的登錄。建議請將“讓我保持登錄”設(shè)置勾選。

針對一個已安裝在iPad Air平板中的Windows Intune App，請在開啟與登錄之后，請點擊左下角的“我的設(shè)備”圖示，以完成最后添加設(shè)備于Windows Intune網(wǎng)站的操作。

在“設(shè)備詳細(xì)數(shù)據(jù)”頁面中，首先可以檢視到目前此設(shè)備的基本信息，包括了原始名稱、制造商、型號以及操作系統(tǒng)，至于完整的詳細(xì)信息則會在添加設(shè)備成功之后，自動回傳到Windows Intune網(wǎng)站數(shù)據(jù)庫之中。然后點擊“添加設(shè)備”選項繼續(xù)。

緊接著將會出現(xiàn)新增設(shè)備的提示信息，其內(nèi)容主要是告知用戶，一旦設(shè)備添加到Windows Intune系統(tǒng)的管理中，其設(shè)備的軟硬件信息將可能會被企業(yè)IT所收集，并且可能也會因故被抹除設(shè)備中的數(shù)據(jù)或回到出廠設(shè)置值。確認(rèn)后點擊右上角的“添加”繼續(xù)。

接著將會開啟“安裝描述檔”頁面，在點擊“安裝”之后將會再出現(xiàn)確認(rèn)信息，請點擊“立即安裝”。接著會再出現(xiàn)有關(guān)“移動設(shè)備管理”頁面中的說明，點擊位在右上角的“安裝”即可。

等到完成安裝之后將可以看到所有安裝描述檔的完整信息，這包括了簽署憑證以及管理權(quán)限的信息。當(dāng)完成添加設(shè)備至Windows Intune之后，在“設(shè)備詳細(xì)數(shù)據(jù)”頁面中，可以隨時進行重設(shè)設(shè)備、移除設(shè)備以及重新命名設(shè)備等功能。

接下來我們以系統(tǒng)管理員身份登錄到Windows Intune網(wǎng)站，然后在“All Mobile Devices”節(jié)點頁面中，看看是否有出現(xiàn)剛剛所添加的iPad設(shè)備，在此應(yīng)該會先在一般信息的區(qū)域之中，看到有關(guān)這部iPad目前用戶的Email登錄信息、操作系統(tǒng)版本、管理狀態(tài)、管理通道、可用存儲空間以及存儲空間總計、上次更新日期等信息。

此外，未來如果有用戶的設(shè)備不慎遺失了，也可以在此選擇該設(shè)備，然后點擊“淘汰/抹除”功能，來遠(yuǎn)程立即完成活頁夾的清除作業(yè)，以及讓設(shè)備恢復(fù)到原廠出廠設(shè)置，以防范可能的商務(wù)數(shù)據(jù)或個人數(shù)據(jù)之外泄。

最后您可以點擊“檢視屬性”。在“移動設(shè)備屬性”頁面中，我們可以從“硬件”信息之中，更進一步查看到硬件與系統(tǒng)面的詳細(xì)信息，這包含了唯一設(shè)備ID、序號、型號、IMEI等等。

管制iOS智能設(shè)備的安全配置

記得早期Microsoft的System Center解決方案，僅能夠用來管理Windows計算機以及Windows移動設(shè)備的安全，如今為了適應(yīng)三分天下的管理需求(Windows、iOS、Android)，對于企業(yè)移動設(shè)備的管理策略之落實，已經(jīng)到了無法對于其他兩類系統(tǒng)視而不見了。相反的，現(xiàn)階段還得以這兩類的移動設(shè)備為主要管理的對象。

以下就讓我們先來了解一下，Windows Intune如何有效管制企業(yè)人員對于iPad與iPhone的安全配置。

首先在“策略概觀”的頁面中，可以看到系統(tǒng)管理人員，將可以藉由不同策略的設(shè)置與應(yīng)用，來決定哪一些個體或群體的設(shè)備功能，需要特別強制設(shè)置其組態(tài)，或是開放哪一些功能讓用戶可以自行改變其設(shè)置值。請點擊位于“工作”區(qū)域中的“添加策略”連接繼續(xù)。

在“創(chuàng)建新策略”頁面中，默認(rèn)會有四種模板可以選擇，其中“Windows防火墻設(shè)置”當(dāng)然僅適用在Windows系列的客戶端計算機上，因此在這里我們選取“移動設(shè)備安全性策略”，然后再點擊“使用建議的設(shè)置創(chuàng)建及部署策略”。點擊“創(chuàng)建策略”繼續(xù)。

請注意！在您創(chuàng)建策略之前，如果想要先查看這默認(rèn)模板的應(yīng)用屬性有哪一些，可以先點擊“檢視此策略模板的建議設(shè)置”。

您可以從現(xiàn)有的組之中，來挑選準(zhǔn)備要應(yīng)用此安全策略的組。在默認(rèn)的狀態(tài)下僅會有一個“Ungrouped Users”，您可以事先自定義好所有的組，并且可以使用中文命名。完成添加之后點擊“確定”。

圖3 iPad照相功能消失

完成了新策略的創(chuàng)建與部署之后，仍可以隨時對于策略設(shè)置屬性來進行調(diào)整，以及重新設(shè)置所要應(yīng)用的組。在“所有策略”頁面中，可以看到我們剛剛所創(chuàng)建的策略。在選取后點擊“編輯”選項。

接下來讓我們看看幾個常見的iOS安全設(shè)置項目。在“應(yīng)用程序”區(qū)域中，可以看到IT部門可以分別決定是否要允許應(yīng)用程序存放區(qū)、需要密碼來訪問應(yīng)用程序存放區(qū)、允許應(yīng)用程序內(nèi)購買。

例如如果我們將其中的“允許應(yīng)用程序內(nèi)購買”設(shè)置為“否”，那么用戶的iPad與iPhone將無法在某一些App的使用當(dāng)中，來進行加購某一些升級或功能的行為，而這類的操作需求通常出現(xiàn)在某一些商務(wù)App與游戲App，對于功能的增強或游戲角色能力的提升，所提供的臨時選購的機制，可以考慮關(guān)閉。

在“設(shè)備功能”區(qū)域中，可以管理許多硬件功能面的使用管制，這包括了相機、卸除式設(shè)備、Wi-Fi網(wǎng)絡(luò)以及藍(lán)芽功能等等。在這里我想最多企業(yè)信息安全策略會封鎖的第一名肯定是“允許相機”，因此可以將它設(shè)置為“否”，以強制關(guān)閉其功能。至于卸除設(shè)備功能的管理，雖然也是許多企業(yè)信息安全管理的重點，但在iOS系列設(shè)備中是不適用的，因為它本身就已經(jīng)不提供此功能，除非用戶采用越獄破解。但是越獄破解在Windows Intune的策略管制之中是可以加以防范的，所以用戶可別想動手腳。

在“功能”區(qū)域中，則可以設(shè)置是否允許使用語音助理(Siri)，以及是否允許在鎖定設(shè)備時使用語音助理，在此我們先將它們皆設(shè)置為“否”，待回再來看看應(yīng)用后的結(jié)果。此外也可以設(shè)置是否允許語音撥號，以及是否允許復(fù)制及粘貼等功能。

在完成了移動設(shè)備安全策略的屬性設(shè)置與存儲之后，可以切換到“策略”頁面之中，便可以看到目前已設(shè)置的各項策略項目之設(shè)置值。當(dāng)所設(shè)置的項目很多時，則可以通過“篩選器”來快速找到所要檢視的項目。

還記得在前面步驟的策略范例當(dāng)中，我們曾經(jīng)將設(shè)備的相機以及語音助理功能予以關(guān)閉，接著就來看看此移動設(shè)備策略應(yīng)用后的結(jié)果。

如圖3所示，首先是相機功能的部分，發(fā)現(xiàn)它已神奇地消失在iPad的快捷區(qū)域之中，當(dāng)回到桌面時同樣也會發(fā)現(xiàn)此App也同樣消失的無影無蹤了。

至于iPad的語音助理呢？讓我們調(diào)出快顯示窗來看看Siri功能項吧，哇！果真也不見了，此時您可能想要通過按鍵來呼叫出Siri，也將發(fā)現(xiàn)此功能也同樣完全失效了。

預(yù)防Windows中毒問題

至今最容易遭受病毒侵害以及惡意網(wǎng)絡(luò)攻擊的操作系統(tǒng)仍是Windows。沒辦法，這也是由于它仍是計算機操作系統(tǒng)的最大宗，而非它真的比較脆弱。想想看，如今以Android為主的當(dāng)紅智能設(shè)備，不也全球中毒的一蹋胡涂嗎？無論如何，目前Windows計算機與平板，仍是我們工作上最重要的信息工具與最佳伙伴，因此強制管理企業(yè)Windows計算機與設(shè)備的防毒系統(tǒng)，肯定是必要的安全手段。

在這里所提到的Windows防毒軟件，不一定非得使用Windows內(nèi)置的Windows Defender，只要是通過Microsoft安全認(rèn)證的防毒軟件，無論是免費還是付費的通通可以達(dá)到一定程度的防護效果。如果想要通過Windows Intune來強制安裝與管制Windows客戶端的Windows Defender防毒軟件，請在現(xiàn)有策略或新策略的編輯中，在“Endpoint Protection”節(jié)點頁面中的相關(guān)設(shè)置，在此您除了可以決定是否要幫客戶端，來自動安裝與啟用微軟的防毒軟件之外，還可以決定幾個重要的安全防護設(shè)置，這包括了停用客戶端UI(界面)、啟用實時保護、掃描所有下載、監(jiān)視計算機上的文件和活動以及所要監(jiān)視的文件類型設(shè)置等等。

在完成了有關(guān)于Endpoint Protection安全策略的部署之后，接著便可以來看看Windows Intune的策略，在Windows客戶端的應(yīng)用狀況。

請開啟“Windows Intune Center”界面。在此將可以看到位于“Endpoint Protection”區(qū)域中的“啟動Windows Intune Endpoint Protection”連接可以點擊。

緊接著開啟“Windows Intune Endpoint Protection”管理界面，其實也就是Windows Defender防毒軟件，只要我們在策略中沒有設(shè)置停用客戶端UI，用戶便可以隨時開啟此界面。在“首頁”中可以知道目前的防毒系統(tǒng)是否有開啟實時保護，以及是否已經(jīng)完成最新病毒特征與間諜過程定義的更新，在此用戶也可以隨時點擊“立即掃描”按鈕，來進行快速、完整或是自定的安全掃描。在“歷史記錄”頁面中，則可以檢視到隔離的項目、允許的項目、所有偵測到的項目。范例中便是一個已遭受隔離的病毒程序，用戶可以在此立即將它移除。

除了客戶端用戶可以自行檢視到關(guān)于掃毒的歷程記錄之外，系統(tǒng)管理員也可以在Windows Intune界面中，針對不同的計算機來檢視“惡意程序碼”的歷程記錄。從此頁面中可已得知每一只病毒程序的目前狀態(tài)、惡意程序碼執(zhí)行狀態(tài)、嚴(yán)重性、至今的偵測數(shù)。進一步還可以點擊“了解此惡意程序碼”，來查詢有關(guān)于此惡意程序碼的完整說明。

圖4 檢查設(shè)備端點保護狀態(tài)

當(dāng)我們回到“Endpoint Protection”專屬管理頁面時，便可以直接在“概觀”的節(jié)點中得知目前惡意程序碼的處理狀態(tài)，以及Endpoint Protection與其他第三方防毒軟件在受管理的計算機中之部署狀態(tài)。此外在這里也可以得知目前所有已偵測到的惡意程序碼之排行榜。

關(guān)于Endpoint Protection的部署情形，我們也可以從如圖4所示的組類別中，來一一檢視目前每部Windows計算機的防毒執(zhí)行狀態(tài)，這包含了采用Endpoint Protection以及采用第三防毒軟件的偵測。

當(dāng)受管理保護的計算機數(shù)量相當(dāng)多時，系統(tǒng)管理員可以通過“篩選器”下拉選單中的“惡意程序碼”類別，來選取僅顯示特定的計算機列表。在這個類別之中可選擇的項目包括了惡意程序碼需要后續(xù)追蹤、未受保護、具有防護警告、最近已解決惡意程序碼、正在執(zhí)行其他Endpoint Protection應(yīng)用程序。

結(jié)語：

IT市場上如今較為知名的MDM解決方案除了有Microsoft Windows Intune之外，還有像是VMware的AirWatch、Citrix的XenMobile，甚至于連防毒軟件公司Kaspersky的Security for Mobile解決方案都來插一腳，該如何評估與選擇呢？其實就筆者的經(jīng)驗而言，盡管智能移動設(shè)備的用戶數(shù)目前仍是以Android與iOS為最大宗，但大多數(shù)的商務(wù)工作者仍是以Windows的計算機，來作為協(xié)同合作的主要工具，因此筆者仍強烈建議采用Microsoft自家的Windows Intune來做為MDM的解決方案，肯定是企業(yè)IT最佳的選擇。