盡管PC與筆記本的操作系統(tǒng)仍是Windows獨(dú)霸群雄，但是在智能移動(dòng)設(shè)備的部分(手機(jī)、平板)卻是正好相反，Windows反而成為了稀有動(dòng)物了。因?yàn)槿缃駧缀跏莍OS與Android系列設(shè)備的天下了，看來BYOD的信息安全問題所要管理的對(duì)象當(dāng)中，使用iOS與Android的員工已變成了最主要的目標(biāo)了。

在這里我們首當(dāng)應(yīng)該先了解針對(duì)Android系列的設(shè)備，該如何經(jīng)由Windows Intune進(jìn)行管理，因?yàn)橛捎谒陌踩苤拼胧┎]有像Apple那樣的嚴(yán)厲，因此無論您的設(shè)備是 HUAWEI、ASUS、SAMSUNG還是小米機(jī)等設(shè)備，皆只要在“Play商店”中搜尋Windows Intune關(guān)鍵詞便可以找到它的App，然后完成安裝與賬號(hào)的登錄即可。

至于iOS的設(shè)備呢？那可就稍微比較麻煩一點(diǎn)，不過還好那只是初次在Windows Intune網(wǎng)站上的設(shè)置比較啰唆一點(diǎn)而已。請(qǐng)先開啟至系統(tǒng)管理入口網(wǎng)站中的“移動(dòng)設(shè)備管理”→“iOS”節(jié)點(diǎn)頁面。在此可以看到在我們進(jìn)行iOS設(shè)備管理之前，必須先取得APNs的憑證，而這項(xiàng)憑證的取得必須使用一組Apple ID的登錄才能夠產(chǎn)生與下載。

請(qǐng)開啟Apple Push Certificates Portal網(wǎng)站(https://idmsa.apple.com)，然后輸入Apple ID與密碼并且點(diǎn)擊“Sign in”登錄。接著請(qǐng)點(diǎn)擊“Create Certificate” 按鈕。在“Create a New Push Certificate”頁面中，它要求我們必須先上傳一個(gè)憑證簽入的要求文件，才能夠創(chuàng)建一個(gè)新的憑證文件來供我們使用，因此我們必須再回到Windows Intune的系統(tǒng)管理入口網(wǎng)站中，來產(chǎn)生憑證要求檔。

點(diǎn)擊在“移動(dòng)設(shè)備管理”→“iOS”節(jié)點(diǎn)頁面中的“上傳APNs憑證”連接，接著點(diǎn)擊“下載APNs憑證要求”按鈕，然后再將此文件(*.csr)存儲(chǔ)在本地計(jì)算機(jī)之中等待使用?；氐絼倓偟腁pple Push Certificates Portal網(wǎng)站繼續(xù)。

再次回到等待中的“Create a New Push Certificate”頁面中之后，請(qǐng)點(diǎn)擊“瀏覽”按鈕來選取剛剛所下載的CSR文件，然后點(diǎn)擊“Upload”按鈕，一旦成功上傳之后將會(huì)開啟如圖2所示的確認(rèn)頁面。在此您可以先點(diǎn)擊“Manage Certificates”按鈕，來查看目前這個(gè)憑證的相關(guān)信息。

圖2 成功創(chuàng)建憑證

在“Certificate for Third-Party Servers”頁面當(dāng)中，其實(shí)就是讓用戶可以管理所有在這個(gè)網(wǎng)站上所申請(qǐng)過的憑證，因?yàn)橛性S多類似于MDM方面的解決方案，都是需要到這個(gè)網(wǎng)站上來下載APNs的憑證，因此在這里就可以看到這個(gè)剛剛申請(qǐng)的憑證的第三廠商(Vendor)就是Microsoft。未來如果憑證過期之后想要繼續(xù)使用，就可以在此點(diǎn)擊“Renew”按 鈕來更新即可。點(diǎn)擊“Download”按鈕下載，它的檔名應(yīng)該會(huì)是MDM_ Microsoft Corporation_Certificate.pem。

完成了APNs的憑證下載后，便可回到“移動(dòng)設(shè)備管理”、“iOS”節(jié)點(diǎn)頁面中來進(jìn)行上傳。在“上傳APNs憑證”的頁面中，除了需要點(diǎn)擊“瀏覽”按鈕來上傳APNs憑證外，還需要輸入已注冊(cè)的Apple ID，然后點(diǎn)擊“上傳”并完成相對(duì)密碼的輸入即可。

一旦成功上傳APNs憑證于Windows Intune網(wǎng)站之中，便可以檢視到該憑證的狀態(tài)、主體ID、上次更新日期以及到期日信息。未來如果憑證即將到期時(shí)，請(qǐng)務(wù)必將更新后的憑證再一次上傳。

Windows智能移動(dòng)設(shè)備的安裝

接下來馬上來看看有關(guān)移動(dòng)客戶端的Windows Intune App安裝設(shè)置方法。

所有用戶都可以在Windows 8、Windows 10 的平板或智能型手機(jī)當(dāng)中來安裝它。無論移動(dòng)客戶端的智能設(shè)備是哪一種操作系統(tǒng)，在完成Windows Intune App安裝之后，第一次都需要進(jìn)行Windows Intune帳戶密碼的登錄。建議請(qǐng)將“讓我保持登錄”設(shè)置勾選。

針對(duì)一個(gè)已安裝在iPad Air平板中的Windows Intune App，請(qǐng)?jiān)陂_啟與登錄之后，請(qǐng)點(diǎn)擊左下角的“我的設(shè)備”圖示，以完成最后添加設(shè)備于Windows Intune網(wǎng)站的操作。

在“設(shè)備詳細(xì)數(shù)據(jù)”頁面中，首先可以檢視到目前此設(shè)備的基本信息，包括了原始名稱、制造商、型號(hào)以及操作系統(tǒng)，至于完整的詳細(xì)信息則會(huì)在添加設(shè)備成功之后，自動(dòng)回傳到Windows Intune網(wǎng)站數(shù)據(jù)庫(kù)之中。然后點(diǎn)擊“添加設(shè)備”選項(xiàng)繼續(xù)。

緊接著將會(huì)出現(xiàn)新增設(shè)備的提示信息，其內(nèi)容主要是告知用戶，一旦設(shè)備添加到Windows Intune系統(tǒng)的管理中，其設(shè)備的軟硬件信息將可能會(huì)被企業(yè)IT所收集，并且可能也會(huì)因故被抹除設(shè)備中的數(shù)據(jù)或回到出廠設(shè)置值。確認(rèn)后點(diǎn)擊右上角的“添加”繼續(xù)。

接著將會(huì)開啟“安裝描述檔”頁面，在點(diǎn)擊“安裝”之后將會(huì)再出現(xiàn)確認(rèn)信息，請(qǐng)點(diǎn)擊“立即安裝”。接著會(huì)再出現(xiàn)有關(guān)“移動(dòng)設(shè)備管理”頁面中的說明，點(diǎn)擊位在右上角的“安裝”即可。

等到完成安裝之后將可以看到所有安裝描述檔的完整信息，這包括了簽署憑證以及管理權(quán)限的信息。當(dāng)完成添加設(shè)備至Windows Intune之后，在“設(shè)備詳細(xì)數(shù)據(jù)”頁面中，可以隨時(shí)進(jìn)行重設(shè)設(shè)備、移除設(shè)備以及重新命名設(shè)備等功能。

接下來我們以系統(tǒng)管理員身份登錄到Windows Intune網(wǎng)站，然后在“All Mobile Devices”節(jié)點(diǎn)頁面中，看看是否有出現(xiàn)剛剛所添加的iPad設(shè)備，在此應(yīng)該會(huì)先在一般信息的區(qū)域之中，看到有關(guān)這部iPad目前用戶的Email登錄信息、操作系統(tǒng)版本、管理狀態(tài)、管理通道、可用存儲(chǔ)空間以及存儲(chǔ)空間總計(jì)、上次更新日期等信息。

此外，未來如果有用戶的設(shè)備不慎遺失了，也可以在此選擇該設(shè)備，然后點(diǎn)擊“淘汰/抹除”功能，來遠(yuǎn)程立即完成活頁夾的清除作業(yè)，以及讓設(shè)備恢復(fù)到原廠出廠設(shè)置，以防范可能的商務(wù)數(shù)據(jù)或個(gè)人數(shù)據(jù)之外泄。

最后您可以點(diǎn)擊“檢視屬性”。在“移動(dòng)設(shè)備屬性”頁面中，我們可以從“硬件”信息之中，更進(jìn)一步查看到硬件與系統(tǒng)面的詳細(xì)信息，這包含了唯一設(shè)備ID、序號(hào)、型號(hào)、IMEI等等。

管制iOS智能設(shè)備的安全配置

記得早期Microsoft的System Center解決方案，僅能夠用來管理Windows計(jì)算機(jī)以及Windows移動(dòng)設(shè)備的安全，如今為了適應(yīng)三分天下的管理需求(Windows、iOS、Android)，對(duì)于企業(yè)移動(dòng)設(shè)備的管理策略之落實(shí)，已經(jīng)到了無法對(duì)于其他兩類系統(tǒng)視而不見了。相反的，現(xiàn)階段還得以這兩類的移動(dòng)設(shè)備為主要管理的對(duì)象。

以下就讓我們先來了解一下，Windows Intune如何有效管制企業(yè)人員對(duì)于iPad與iPhone的安全配置。

首先在“策略概觀”的頁面中，可以看到系統(tǒng)管理人員，將可以藉由不同策略的設(shè)置與應(yīng)用，來決定哪一些個(gè)體或群體的設(shè)備功能，需要特別強(qiáng)制設(shè)置其組態(tài)，或是開放哪一些功能讓用戶可以自行改變其設(shè)置值。請(qǐng)點(diǎn)擊位于“工作”區(qū)域中的“添加策略”連接繼續(xù)。

在“創(chuàng)建新策略”頁面中，默認(rèn)會(huì)有四種模板可以選擇，其中“Windows防火墻設(shè)置”當(dāng)然僅適用在Windows系列的客戶端計(jì)算機(jī)上，因此在這里我們選取“移動(dòng)設(shè)備安全性策略”，然后再點(diǎn)擊“使用建議的設(shè)置創(chuàng)建及部署策略”。點(diǎn)擊“創(chuàng)建策略”繼續(xù)。

請(qǐng)注意！在您創(chuàng)建策略之前，如果想要先查看這默認(rèn)模板的應(yīng)用屬性有哪一些，可以先點(diǎn)擊“檢視此策略模板的建議設(shè)置”。

您可以從現(xiàn)有的組之中，來挑選準(zhǔn)備要應(yīng)用此安全策略的組。在默認(rèn)的狀態(tài)下僅會(huì)有一個(gè)“Ungrouped Users”，您可以事先自定義好所有的組，并且可以使用中文命名。完成添加之后點(diǎn)擊“確定”。

圖3 iPad照相功能消失

完成了新策略的創(chuàng)建與部署之后，仍可以隨時(shí)對(duì)于策略設(shè)置屬性來進(jìn)行調(diào)整，以及重新設(shè)置所要應(yīng)用的組。在“所有策略”頁面中，可以看到我們剛剛所創(chuàng)建的策略。在選取后點(diǎn)擊“編輯”選項(xiàng)。

接下來讓我們看看幾個(gè)常見的iOS安全設(shè)置項(xiàng)目。在“應(yīng)用程序”區(qū)域中，可以看到IT部門可以分別決定是否要允許應(yīng)用程序存放區(qū)、需要密碼來訪問應(yīng)用程序存放區(qū)、允許應(yīng)用程序內(nèi)購(gòu)買。

例如如果我們將其中的“允許應(yīng)用程序內(nèi)購(gòu)買”設(shè)置為“否”，那么用戶的iPad與iPhone將無法在某一些App的使用當(dāng)中，來進(jìn)行加購(gòu)某一些升級(jí)或功能的行為，而這類的操作需求通常出現(xiàn)在某一些商務(wù)App與游戲App，對(duì)于功能的增強(qiáng)或游戲角色能力的提升，所提供的臨時(shí)選購(gòu)的機(jī)制，可以考慮關(guān)閉。

在“設(shè)備功能”區(qū)域中，可以管理許多硬件功能面的使用管制，這包括了相機(jī)、卸除式設(shè)備、Wi-Fi網(wǎng)絡(luò)以及藍(lán)芽功能等等。在這里我想最多企業(yè)信息安全策略會(huì)封鎖的第一名肯定是“允許相機(jī)”，因此可以將它設(shè)置為“否”，以強(qiáng)制關(guān)閉其功能。至于卸除設(shè)備功能的管理，雖然也是許多企業(yè)信息安全管理的重點(diǎn)，但在iOS系列設(shè)備中是不適用的，因?yàn)樗旧砭鸵呀?jīng)不提供此功能，除非用戶采用越獄破解。但是越獄破解在Windows Intune的策略管制之中是可以加以防范的，所以用戶可別想動(dòng)手腳。

在“功能”區(qū)域中，則可以設(shè)置是否允許使用語音助理(Siri)，以及是否允許在鎖定設(shè)備時(shí)使用語音助理，在此我們先將它們皆設(shè)置為“否”，待回再來看看應(yīng)用后的結(jié)果。此外也可以設(shè)置是否允許語音撥號(hào)，以及是否允許復(fù)制及粘貼等功能。

在完成了移動(dòng)設(shè)備安全策略的屬性設(shè)置與存儲(chǔ)之后，可以切換到“策略”頁面之中，便可以看到目前已設(shè)置的各項(xiàng)策略項(xiàng)目之設(shè)置值。當(dāng)所設(shè)置的項(xiàng)目很多時(shí)，則可以通過“篩選器”來快速找到所要檢視的項(xiàng)目。

還記得在前面步驟的策略范例當(dāng)中，我們?cè)?jīng)將設(shè)備的相機(jī)以及語音助理功能予以關(guān)閉，接著就來看看此移動(dòng)設(shè)備策略應(yīng)用后的結(jié)果。

如圖3所示，首先是相機(jī)功能的部分，發(fā)現(xiàn)它已神奇地消失在iPad的快捷區(qū)域之中，當(dāng)回到桌面時(shí)同樣也會(huì)發(fā)現(xiàn)此App也同樣消失的無影無蹤了。

至于iPad的語音助理呢？讓我們調(diào)出快顯示窗來看看Siri功能項(xiàng)吧，哇！果真也不見了，此時(shí)您可能想要通過按鍵來呼叫出Siri，也將發(fā)現(xiàn)此功能也同樣完全失效了。

預(yù)防Windows中毒問題

至今最容易遭受病毒侵害以及惡意網(wǎng)絡(luò)攻擊的操作系統(tǒng)仍是Windows。沒辦法，這也是由于它仍是計(jì)算機(jī)操作系統(tǒng)的最大宗，而非它真的比較脆弱。想想看，如今以Android為主的當(dāng)紅智能設(shè)備，不也全球中毒的一蹋胡涂嗎？無論如何，目前Windows計(jì)算機(jī)與平板，仍是我們工作上最重要的信息工具與最佳伙伴，因此強(qiáng)制管理企業(yè)Windows計(jì)算機(jī)與設(shè)備的防毒系統(tǒng)，肯定是必要的安全手段。

在這里所提到的Windows防毒軟件，不一定非得使用Windows內(nèi)置的Windows Defender，只要是通過Microsoft安全認(rèn)證的防毒軟件，無論是免費(fèi)還是付費(fèi)的通通可以達(dá)到一定程度的防護(hù)效果。如果想要通過Windows Intune來強(qiáng)制安裝與管制Windows客戶端的Windows Defender防毒軟件，請(qǐng)?jiān)诂F(xiàn)有策略或新策略的編輯中，在“Endpoint Protection”節(jié)點(diǎn)頁面中的相關(guān)設(shè)置，在此您除了可以決定是否要幫客戶端，來自動(dòng)安裝與啟用微軟的防毒軟件之外，還可以決定幾個(gè)重要的安全防護(hù)設(shè)置，這包括了停用客戶端UI(界面)、啟用實(shí)時(shí)保護(hù)、掃描所有下載、監(jiān)視計(jì)算機(jī)上的文件和活動(dòng)以及所要監(jiān)視的文件類型設(shè)置等等。

在完成了有關(guān)于Endpoint Protection安全策略的部署之后，接著便可以來看看Windows Intune的策略，在Windows客戶端的應(yīng)用狀況。

請(qǐng)開啟“Windows Intune Center”界面。在此將可以看到位于“Endpoint Protection”區(qū)域中的“啟動(dòng)Windows Intune Endpoint Protection”連接可以點(diǎn)擊。

緊接著開啟“Windows Intune Endpoint Protection”管理界面，其實(shí)也就是Windows Defender防毒軟件，只要我們?cè)诓呗灾袥]有設(shè)置停用客戶端UI，用戶便可以隨時(shí)開啟此界面。在“首頁”中可以知道目前的防毒系統(tǒng)是否有開啟實(shí)時(shí)保護(hù)，以及是否已經(jīng)完成最新病毒特征與間諜過程定義的更新，在此用戶也可以隨時(shí)點(diǎn)擊“立即掃描”按鈕，來進(jìn)行快速、完整或是自定的安全掃描。在“歷史記錄”頁面中，則可以檢視到隔離的項(xiàng)目、允許的項(xiàng)目、所有偵測(cè)到的項(xiàng)目。范例中便是一個(gè)已遭受隔離的病毒程序，用戶可以在此立即將它移除。

除了客戶端用戶可以自行檢視到關(guān)于掃毒的歷程記錄之外，系統(tǒng)管理員也可以在Windows Intune界面中，針對(duì)不同的計(jì)算機(jī)來檢視“惡意程序碼”的歷程記錄。從此頁面中可已得知每一只病毒程序的目前狀態(tài)、惡意程序碼執(zhí)行狀態(tài)、嚴(yán)重性、至今的偵測(cè)數(shù)。進(jìn)一步還可以點(diǎn)擊“了解此惡意程序碼”，來查詢有關(guān)于此惡意程序碼的完整說明。

圖4 檢查設(shè)備端點(diǎn)保護(hù)狀態(tài)

當(dāng)我們回到“Endpoint Protection”專屬管理頁面時(shí)，便可以直接在“概觀”的節(jié)點(diǎn)中得知目前惡意程序碼的處理狀態(tài)，以及Endpoint Protection與其他第三方防毒軟件在受管理的計(jì)算機(jī)中之部署狀態(tài)。此外在這里也可以得知目前所有已偵測(cè)到的惡意程序碼之排行榜。

關(guān)于Endpoint Protection的部署情形，我們也可以從如圖4所示的組類別中，來一一檢視目前每部Windows計(jì)算機(jī)的防毒執(zhí)行狀態(tài)，這包含了采用Endpoint Protection以及采用第三防毒軟件的偵測(cè)。

當(dāng)受管理保護(hù)的計(jì)算機(jī)數(shù)量相當(dāng)多時(shí)，系統(tǒng)管理員可以通過“篩選器”下拉選單中的“惡意程序碼”類別，來選取僅顯示特定的計(jì)算機(jī)列表。在這個(gè)類別之中可選擇的項(xiàng)目包括了惡意程序碼需要后續(xù)追蹤、未受保護(hù)、具有防護(hù)警告、最近已解決惡意程序碼、正在執(zhí)行其他Endpoint Protection應(yīng)用程序。

結(jié)語：

IT市場(chǎng)上如今較為知名的MDM解決方案除了有Microsoft Windows Intune之外，還有像是VMware的AirWatch、Citrix的XenMobile，甚至于連防毒軟件公司Kaspersky的Security for Mobile解決方案都來插一腳，該如何評(píng)估與選擇呢？其實(shí)就筆者的經(jīng)驗(yàn)而言，盡管智能移動(dòng)設(shè)備的用戶數(shù)目前仍是以Android與iOS為最大宗，但大多數(shù)的商務(wù)工作者仍是以Windows的計(jì)算機(jī)，來作為協(xié)同合作的主要工具，因此筆者仍強(qiáng)烈建議采用Microsoft自家的Windows Intune來做為MDM的解決方案，肯定是企業(yè)IT最佳的選擇。