微软云端MDM方案 解除byod安全心头大患

〕按钮即可。 

如图11所示，最后来到“结果”页面，可以看到新使用者名称的E-mail地址以及一组暂时密码。登入时必须使用这个E-mail地址，而暂时密码必须在第一次登入时立刻修改。确认完毕，按下〔完成〕按钮。 

图11 结果页面。

如图12所示是新使用者收到的暂时密码之E-mail通知讯息，这个暂时密码与前一步骤“结果”页面内所看到的一样，此暂时密码必须在90天内完成修改，否则会失效。 

一般使用者只要点选“Windows Intune公司入口网站”超连结，即可进行第一次的登入与修改，而且在成功登入后也可以顺便下载Windows Intune用户端程序，安装到自己的Windows计算机中。 

图12 暂时密码通知。

TOP 2：如何控管Windows计算机与移动设备 

关于Windows Intune的用户端程序部署方式，大致上可以分成三种部署方式来进行。第一种是由管理员先行到Windows Intune系统管理入口网站上，然后在如图13所示的“用户端软件下载”页面内按下〔下载用户端软件〕按钮。 

完成下载作业后，可以放在内部网络的档案共享位置内，然后透过E-mail方式寄送下载的UNC连结，让所有人员自行下载与安装。 

图13 系统管理页面。

第二种方式则是由管理员将所下载的安装程序解压缩，然后透过群组原则及自订指令码方式将其中的Windows_Intune_Setup.exe档案进行大量部署，但前提是这些用户端计算机的使用者都必须登入相同的Active Directory网域。 

至于第三种做法，则是由使用者在第一次收到暂时密码通知时点选“Windows Intune公司入口网站”超连结，完成密码变更并再次登入。接着，在类似如图14所示的页面内点选右上角的“新增设备”。 

图14 使用者登入Intune网站。

紧接着，在如图15所示的“注册您的计算机”页面内按一下〔下载软件〕按钮，下载Windows Intune用户端ZIP压缩档。解压缩之后，即可执行Windows_Intune_Setup.exe完成安装作业，但此使用者必须是该计算机的本机系统管理员群组的成员才可以进行安装。 

图15 注册计算机。

就安装Windows XP的计算机来说，如图16所示，安装好Windows Intune用户端程序后，在【开始】→【所有程序】选单内就可以找到【Windows Intune Center】程序的启动选项。 

图16 安装完成后，在Windows XP“开始”功能表内就可以找到 【Windows Intune Center】启动选项。

除此之外，Windows Intune用户端程序也会常驻在如图17所示的工作列内，在该图示上按一下鼠标右键，就可以透过快速选单开启Windows Intune Center程序界面或连结至“Company Portal”网站。 

图17 Windows Intune代理程序会常驻在工作列。

图18所示便是Windows Intune Center的管理界面，未来若有要发布部署的应用程序，只要点选“从公司入口网站取得应用程序”连结即可查看与下载安装。倘若管理员有核准最新的更新程序，则可以透过按下〔检查更新〕按钮来取得。 

图18 Windows Intune管理界面。

对于恶意程序的防护，则是由“Endpoint Protection”功能来负责。当管理员在Windows Intune网站上已启用此功能的发布时，相关的用户端就会自动安装此防毒系统，并且可以随时开启此管理界面。 

启用“远端协助”功能，则可以在线实时要求管理员远端遥控协助排除计算机故障问题，其中内建使用的Microsoft Easy Assist工具，在Windows 8中已经不支援，仅兼容于Windows XP、Windows Vista、Windows 7。 
完成Windows计算机的Windows Intune代理程序部署之后，如图19所示在系统管理入口网站的群组分类管理页面内，就可以检视到这些计算机详细的软硬件信息，包括每一部Windows计算机的拥有者信息、等待核准更新的程序清单、已安装的软件与更新程序、防毒保护状态、完整的硬件信息、警示与错误事件等等。 

图19 所有计算机清单。

TOP 3：如何控管iOS与Android系统设备 

       尽管桌机与笔电的作业系统仍是Windows独霸群雄，但是在智慧移动设备（手机、平板）方面却正好相反，Windows反而成了稀有动物，因为现今几乎是iOS与Android系列设备的天下，看来BYOD的资安问题所要管理的对象当中，使用iOS与Android的员工已变成最主要的目标。 

基于以上的理由，应当先了解针对Android系列的设备，该如何经由Windows Intune进行控管，因为它的安全管制措施并没有像Apple那样地严厉。 

无论是HTC、Samsung还是小米机等设备，只要在“Play商店”内搜寻“Windows Intune”关键字，便可以如图20所示找到其所提供App，接着完成安装与账号的登入即可。 

图20 到Google Play搜寻并安装Windows Intune的App。

至于iOS的设备，就稍微麻烦一点，不过还好，只是初次在Windows Intune网站上的设定比较囉嗦一点而已。 

如图21所示，先点选至系统管理入口网站中的“移动设备管理”→“iOS”节点页面。在进行iOS设备管理之前，必须先取得APNs的凭证，而这项凭证的取得，必须先使用一组Apple ID登入才能够产生凭证并且下载。 

图21 系统管理。

如图22所示，开启Apple Push Certificates Portal网站（https://idmsa.apple.com），然后输入Apple ID与密码，并且按下〔Sign in〕按钮登入。 

图22 Apple Push凭证入口。

接着将会开启如图23所示的页面，按一下〔Create a Certificate〕按钮继续。 

图23 准备建立凭证。

进入如图24所示的“Create a New Push Certificate”页面后，将要求先上传一个凭证签入的要求档案，才能够建立一个新的凭证档案以供使用，因此必须再回到Windows Intune的系统管理入口网站，来产生凭证要求档。 

图24 上传凭证要求档。

先点选“移动设备管理”→“iOS”节点页面内的“上传APNs凭证”连结，接着开启如图25所示的页面，再按一下〔下载APNs凭证要求〕按钮。