近年来由于智慧移动设备的迅速发展，导致许多原本在个人计算机（PC）与膝上型计算机（Notebook或Netbook） 才会发生的病毒、木马以及网络钓鱼等恶意程序，如今也延伸到智能型手机与平板等设备，然而这一类的智慧设备所造成的信息安全问题，早已远远超越了传统的计算机。 

       在智慧移动设备的云端世界中，病毒与木马只是恶意程序散播的基本方式，而简讯、实时讯息、社交网络等新世代应用工具所造成的资安灾情几乎天天上演。智慧移动设备所造成的灾情无论是发生在个人还是企业内，其根本的原因就是“资料外泄”。 



      针对个人而言，想要有效防范因智慧移动设备所造成的资料外泄问题，最根本的方法就是在移动设备上加装相关的安全防护App（例如趋势科技免费提供的移动安全防护-全民版），以及为自身的设备设定密码保护，并且不使用任何来路不明的App。另外，还必须注意的是，万一设备需要送修时，建议先将储存卡片取出，并将设备恢复到出厂设定状态。 



      落实以上基本的安全措施之后，个人使用移动设备的安全问题大部分将可以有效地免除。 



       至于企业所面临之人员自携设备（Bring Your Own Device，BYOD）的资安问题，除了需要严格规范智慧移动设备的使用外，IT部门还必须有一套符合企业现行控管需求的解决方案，那就是移动设备管理（Mobile Device Management，MDM）系统。 



       如此一来，IT部门才能够真正掌握所有人员对于各类移动设备的使用状况，进一步有效防范可能因为内部有心员工或外部恶意攻击所造成的企业敏感资料外泄危机。 



       企业中有哪一些智慧移动设备需要纳入MDM方案的控管呢？目前看来，肯定除了Windows的各类型笔电之外，绝大多数几乎都是装载iOS与Android作业系统的手机与平板。 



Microsoft的MDM解决方案共提供了私有云端版的System Center Configuration Manager与公开云版的Windows Intune。 



私有云端版的System Center Configuration Manager让企业IT可以根据企业的组织架构来部署于企业内部，而Windows Intune则负责公开云的部分，这两者虽是各自独立，但也可以相互整合，以形成混合云的完整解决方案。 



目前在Microsoft官方网站上已经提供最新版本的Windows Intune免费30天试用版（图1），可以注册25个账户进行测试。除此之外，还提供了20GB的在线储存空间，以做为企业应用程序的上传与发布之用。 

图1 评估Windows Intune。

须注意的是，如果已注册Office 365服务并且还在使用期限内，建议使用相同的使用者识别码来注册与试用Windows Intune。 



Microsoft Windows Intune的网站位址为“http://www.microsoft.com/zh-tw/server-cloud/products/windows-intune/default.aspx”，QR码则如图2所示。 

图2 Windows Intune网站QR码。

在如图3所示的试用注册页面内，除了须填写相关申请人与公司资料外，还必须输入一个测试用的新网域名称以做为后续的连线网址，而这个网址后续也可以透过DNS服务的相关设定，转换成公司正式的网域名称来使用。 

 图3 试用服务须先注册。

填写好注册信息之后，系统将会以初次设定的账户来做为预设的系统管理员，并且如图4所示般完成第一次登入。 

图4 初次登入。

如图5所示，在初次登入成功时，将出现设定个人移动电话号码与电子邮件地址的页面，其主要目的是后续重设密码时用来通知。 



完成上述设定之后，按一下〔储存并继续〕按钮继续后面的设定。 

图5 密码重设通知设定。

后续，系统管理员可以透过以下的两个网址，分别进行人员账户的管理以及系统组态的配置。 



Windows Intune账户入口网站：

https://account.manage.microsoft.com

Windows Intune系统管理入口网站：

https://admin.manage.microsoft.com





TOP 1：如何管理Windows Intune使用者 







在Windows Intune的使用者与群组管理中，使用者可以直接在账户入口网站上逐笔建立，或是透过所提供的工具将企业内部现有的Active Directory进行同步。这里将以逐笔建立的方式来做示范。 



如图6所示，在账户入口网站的“管理员概观”页面内，就有“新增使用者”超连结可以点选。 

图6 管理员概观。

接着开启如图7所示的“新增使用者”页面，在“详细资料”画面中输入新使用者的姓名与使用者名称，其中的姓氏和名字一般都输入中文，而它也会自动出现在“显示名称”栏位内。 

图7 新增使用者。

至于使用者名称，由于是登入名称，因此务必输入英文姓名缩写，或是像某些公司一样输入员工编号。全部输入之后，按一下〔下一步〕按钮继续。 



接着来到如图8所示的“设定”页面内，在此决定该使用者是否要赋予相关系统管理员角色的权限，以及设定使用者所在的位置，例如台湾。 

图8 指派角色。

如果打算让新使用者拥有系统管理员角色，在“选取角色”下拉选单中选取适当的角色即可，目前内建的角色包括【计费管理员】、【服务支援管理员】、【全域管理员】、【使用者管理员】以及【密码管理员】。 



举例来说，如果是想找一位助理工程师来协助管理全公司的人员账户，但却又不希望他更动到其他系统的设定值，这个时候赋予这位人员使用者管理员的角色即可。 



按一下〔下一步〕按钮后，如图9所示切换至“群组”页面内，这里预设仅有一个“Windows Intune”群组可以选择，不过后续仍然能够在“安全性群组”页面内新增自订的群组名称，并且分配各群组的成员名单。设定完毕，按一下〔下一步〕按钮。 

图9 进行群组设定。

接着出现的是“电子邮件”页面，如图10所示可以设定准备接收新账户暂时密码通知的E-mail地址，在预设的状态下，只会显示当初注册Windows Intune服务时所设定的E-mail地址，建议加入该名新账户现有的E-mail地址。 

图10 电子邮件设定。

此处最多可以输入5组的E-mail地址，并且必须使用分号来进行分隔。最后，按一下〔建立

---

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。