近年來(lái)由于智能移動(dòng)設(shè)備的迅速發(fā)展，導(dǎo)致許多原本在個(gè)人計(jì)算機(jī)(PC)與膝上型計(jì)算機(jī)(Note Book或Net Book)才會(huì)發(fā)生的病毒、木馬以及網(wǎng)絡(luò)釣魚等惡意程序，如今也延伸到了智能型手機(jī)與平板等設(shè)備，然而這一類的智能設(shè)備所造成的信息安全問(wèn)題，早已遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)的計(jì)算機(jī)。

在智能移動(dòng)設(shè)備的云世界之中，病毒與木馬只是惡意程序散播的基本方式，而簡(jiǎn)訊、實(shí)時(shí)消息、社交網(wǎng)絡(luò)等新時(shí)代應(yīng)用工具所造成的信息安全災(zāi)情幾乎天天上演。然而無(wú)論智能移動(dòng)設(shè)備所造成的災(zāi)情是發(fā)生在個(gè)人還是企業(yè)之中，其根本的原因就是“數(shù)據(jù)外泄”。

針對(duì)個(gè)人而言，想要有效防范因智能移動(dòng)設(shè)備所造成的數(shù)據(jù)外泄問(wèn)題，最根本的方法就是在移動(dòng)設(shè)備上加裝相關(guān)的安全防護(hù)App(例如：趨勢(shì)科技免費(fèi)提供的移動(dòng)安全防護(hù)-全名版)，以及為您的設(shè)備設(shè)置密碼保護(hù)并且不使用任何來(lái)路不明的App，最后還必須注意的是，萬(wàn)一設(shè)備需要送修時(shí)，建議請(qǐng)先將存儲(chǔ)卡片取出，以及將設(shè)備恢復(fù)到出廠設(shè)置狀態(tài)。落實(shí)以上基本安全措施，個(gè)人使用移動(dòng)設(shè)備的安全問(wèn)題大部分將可以有效避免掉。

至于企業(yè)所面臨的人員自攜設(shè)備(BYOD，Bring Your Own Device)的信息安全問(wèn)題，除了需要嚴(yán)格規(guī)范智能移動(dòng)設(shè)備的使用之外，IT部門還必須要有一套符合企業(yè)現(xiàn)行管理需求的解決方案，那就是移動(dòng)設(shè)備管理(MDM，Mobile Device Management)系統(tǒng)。如此一來(lái)，IT部門才能真正掌握所有人員對(duì)于各類移動(dòng)設(shè)備的使用狀況，進(jìn)一步防范可能因內(nèi)部員工或外部惡意攻擊所造成的企業(yè)敏感數(shù)據(jù)外泄危機(jī)。

企業(yè)中有哪些智能移動(dòng)設(shè)備需要納入MDM方案的管理呢？我想現(xiàn)況肯定除了Windows的各類型筆記本之外，絕大多數(shù)幾乎都是iOS與Android的手機(jī)與平板了。在Microsoft的MDM解決方案當(dāng)中，分別提供了私有云版的System Center Configuration Manager，讓企業(yè)IT可以根據(jù)企業(yè)的組織架構(gòu)來(lái)部署于企業(yè)內(nèi)部。而在公共云的部分則是 Windows Intune，兩者雖是各自獨(dú)立但也可以相互集成，以形成混合云(Hybrid Cloud)的完整解決方案。

如何試用Windows Intune服務(wù)

目前在Microsoft官方網(wǎng)站上，已提供了最新版本的Windows Intune免費(fèi)三十天試用版，并且讓您可以注冊(cè)25個(gè)賬戶來(lái)進(jìn)行測(cè)試，此外還提供了20GB的在線存儲(chǔ)空間，以作為企業(yè)應(yīng)用程序的上傳與發(fā)布。

請(qǐng)注意！若您已經(jīng)有注冊(cè)O(shè)ffice 365的服務(wù)，并且還在使用期限內(nèi)，建議您使用相同的用戶ID接來(lái)注冊(cè)與試用Windows Intune。

在注冊(cè)頁(yè)面中，除了相關(guān)申請(qǐng)人與公司信息的填寫之外，請(qǐng)輸入一個(gè)測(cè)試用的新域名，以作為后續(xù)的連接網(wǎng)址，而這個(gè)網(wǎng)址后續(xù)也可以通過(guò)DNS服務(wù)的相關(guān)設(shè)置，轉(zhuǎn)換成公司正式的Internet域名來(lái)使用。

在完成了注冊(cè)信息的填寫之后，系統(tǒng)將會(huì)以初次設(shè)置的賬戶來(lái)做為默認(rèn)的系統(tǒng)管理員。在初次登錄成之時(shí)，將會(huì)出現(xiàn)設(shè)置個(gè)人移動(dòng)電話號(hào)碼與電子郵件地址的頁(yè)面，主要是用來(lái)做為后續(xù)重設(shè)密碼時(shí)的通知使用。完成設(shè)置后點(diǎn)擊“存儲(chǔ)并繼續(xù)”。

后續(xù)系統(tǒng)管理員可以通過(guò)以下的兩個(gè)網(wǎng)址，來(lái)分別進(jìn)行人員帳戶的管理以及系統(tǒng)配置。

Windows Intune賬戶入口網(wǎng)站：

Windows Intune系統(tǒng)管理入口網(wǎng)站：

管理Windows Intune用戶

在Windows Intune的用戶與組管理中，用戶可以直接在帳戶入口網(wǎng)站上來(lái)逐筆創(chuàng)建，或是通過(guò)所提供的工具將企業(yè)內(nèi)部現(xiàn)有的Active Directory進(jìn)行同步。在此，我們以逐筆創(chuàng)建的方式來(lái)做為示范。在賬戶入口網(wǎng)站的“管理員概觀”頁(yè)面中，就有“添加用戶”的鏈接可以點(diǎn)擊。

接著將會(huì)開(kāi)啟“添加用戶”頁(yè)面，請(qǐng)?jiān)凇霸敿?xì)數(shù)據(jù)”中輸入新用戶的姓名與用戶名稱，其中姓名一般來(lái)說(shuō)都會(huì)輸入中文，而它也會(huì)自動(dòng)出現(xiàn)在“顯示名稱”的字段之中。至于用戶名稱由于為登錄名稱，因此請(qǐng)務(wù)必輸入英文姓名縮寫，或是像有一些公司一樣可以輸入員工編號(hào)，點(diǎn)擊“下一步”。在“設(shè)置”頁(yè)面中，可以決定該用戶是否要賦予相關(guān)系統(tǒng)管理員角色的權(quán)限，以及設(shè)置用戶所在的位置(例如：中國(guó))。

如果您打算賦予新用戶擁有系統(tǒng)管理員角色，則可以在“選取角色”的下拉選單中選取適當(dāng)?shù)慕巧纯?，目前?nèi)置的角色分別有計(jì)費(fèi)管理員、服務(wù)支持管理員、全局管理員、用戶管理員和密碼管理員。

舉例來(lái)說(shuō)，您可能會(huì)找一位助理工程師，來(lái)協(xié)助管理全公司的人員賬戶，但又不希望他更動(dòng)到其他系統(tǒng)設(shè)置值，這時(shí)候便可以賦予這位人員用戶管理員的角色即可，點(diǎn)擊“下一步”按鈕。

在“組”頁(yè)面中，默認(rèn)僅有一個(gè)“Windows Intune”的組可以選擇，不過(guò)這沒(méi)關(guān)系，因?yàn)楹罄m(xù)您仍然可以在“安全性組”頁(yè)面中，來(lái)添加自定義的組名稱，并且分配各組的成員名單。

點(diǎn)擊“下一步”，在“電子郵件”頁(yè)面中，可以設(shè)置準(zhǔn)備接收新帳戶暫時(shí)密碼通知的Email地址，在默認(rèn)的狀態(tài)下只會(huì)顯示當(dāng)初注冊(cè)Windows Intune服務(wù)時(shí)，所設(shè)置的Email地址，建議您可以加入該名新帳戶的現(xiàn)有Email地址。在此最多可以輸入五組的Email地址，并且必須使用分號(hào)進(jìn)行分隔，點(diǎn)擊“創(chuàng)建”即可。

在“結(jié)果”頁(yè)面當(dāng)中，可以看到新用戶名稱的Email地址，以及一組初始密碼。登錄時(shí)必須使用這個(gè)Email地址，而初始密碼則必須在第一次登錄時(shí)立刻完成修改，點(diǎn)擊“完成”按鈕。新用戶將將會(huì)收到初始密碼的Email通知，而這初始密碼和我們?cè)谇耙徊襟E的“結(jié)果”頁(yè)面中所看到的是一樣，此初始密碼必須在90天內(nèi)完成修改，否則將會(huì)失效。

一般用戶只要點(diǎn)擊“Windows Intune公司入口網(wǎng)站”鏈接，即可進(jìn)行第一次的登錄與修改。而在成功登錄之后也可以順便下載Windows Intune客戶端程序，來(lái)安裝在自己的Windows計(jì)算機(jī)之中。

部署Windows設(shè)備客戶端軟件

關(guān)于Windows Intune的客戶端程序部署方式，大致上可以分成三種部署方式來(lái)進(jìn)行。

第一種是由管理員先行到Windows Intune系統(tǒng)管理入口網(wǎng)站上，然后在 “客戶端軟件”下載頁(yè)面中，點(diǎn)擊“下載客戶端軟件”按鈕。完成下載之后可以放在內(nèi)部網(wǎng)絡(luò)的文件共享位置之中，然后通過(guò)Email方式寄送下載的UNC超連接讓所有人員來(lái)自行下載與安裝。

第二種方式則可以由管理員將所下載的安裝程序，在完成解壓縮之后將其中的Windows_Intune_Setup.exe通過(guò)組策略以及自定義腳本方式，來(lái)完成大量部署即可，當(dāng)然前提之下是這一些客戶端計(jì)算機(jī)的用戶，都必須登錄相同的Active Directory網(wǎng)域才可以。

圖1 Windows Intune代理程序

至于第三種做法，則是由用戶在第一次收到暫時(shí)密碼通知的時(shí)候，點(diǎn)擊“Windows Intune公司入口網(wǎng)站”鏈接，然后在完成密碼的變更以及再次登錄之后，在頁(yè)面之中點(diǎn)擊右上角的“添加設(shè)備”繼續(xù)。

緊接著請(qǐng)?jiān)凇白?cè)您的計(jì)算機(jī)”頁(yè)面中，點(diǎn)擊“下載軟件”按鈕，來(lái)完成Windows Intune客戶端ZIP壓縮文件的下載。解壓縮之后即可執(zhí)行Windows_Intune_Setup.exe來(lái)完成安裝即可，但是必須注意的是此用戶必須是該計(jì)算機(jī)的本地系統(tǒng)管理員組的成員，才可以進(jìn)行安裝。

以一部目前最低支持的Windows XP計(jì)算機(jī)來(lái)說(shuō)，當(dāng)完成Windows Intune客戶端程序的安裝時(shí)，將可以在“開(kāi)始”→“所有程序”選單之中，看到Windows Intune Center的程序圖標(biāo)。除此之外Windows Intune客戶端程序，也會(huì)常駐在如圖1所示的任務(wù)欄之中，您可以從此圖示的鼠標(biāo)右鍵中來(lái)開(kāi)啟Windows Intune Center界面，或是開(kāi)啟“Company Portal”網(wǎng)站。

在客戶端的Windows Intune Center管理界面中，如果未來(lái)有發(fā)布要部署的應(yīng)用程序，可以通過(guò)點(diǎn)擊“從公司入口網(wǎng)站取得應(yīng)用程序”之連接來(lái)查看與下載安裝。接著如果管理員有核準(zhǔn)最新的更新程序，將可以通過(guò)點(diǎn)擊“檢查更新”來(lái)取得。至于在惡意程序的防護(hù)部分，則是由“Endpoint Protection”功能所提供，當(dāng)管理員在Windows Intune網(wǎng)站上有啟用此功能的發(fā)布，相關(guān)的客戶端將會(huì)自動(dòng)安裝此防毒系統(tǒng)，并且可以隨時(shí)開(kāi)起此管理界面。在“遠(yuǎn)程協(xié)助”功能部分，則是可以方便使用在線實(shí)時(shí)要求管理員遠(yuǎn)程遙控協(xié)助排除計(jì)算機(jī)故障問(wèn)題，其中內(nèi)置使用的Microsoft Easy Assist工具，在Windows 8中已不支持，僅兼容于Windows XP、Windows Vista、Windows 7。

在完成了Windows計(jì)算機(jī)的Windows Intune代理程序部署之后，您將可以在系統(tǒng)管理入口網(wǎng)站的組分類管理頁(yè)面中，檢視示到這一些計(jì)算機(jī)詳細(xì)的軟硬件信息，包括了每一部Windows計(jì)算機(jī)的擁有者信息、等待審核更新的程序列表、已安裝的軟件與更新程序、防毒保護(hù)狀態(tài)、完整的硬件信息、警示與錯(cuò)誤事件等等。