微软云端MDM方案解除byod安全心头大患

　2014-09-02 09:21:57

New Push Certificate”页面内，按一下〔浏览〕按钮，选取刚刚所下载的CSR档案，然后按下〔Upload〕按钮。

一旦成功上传，就会出现如图27所示的确认页面。可以按一下〔Manage Certificates〕按钮，查看目前这个凭证的相关信息。

▲图27 成功建立凭证。

在如图28所示的页面中，其实就是让使用者管理所有在这个网站上申请过的凭证，因为有许多类似于MDM方面的解决方案，都需要到这个网站下载APNs的凭证，因此在这里即可看到刚刚申请之凭证的第三厂商（Vendor）就是Microsoft。

▲图28 Apple第三方凭证管理。

未来如果凭证过期之后想要继续使用，就可以在此按一下〔Renew〕按钮来更新，或者按一下〔Download〕按钮来将其下载，它的档名应该会是MDM_ Microsoft Corporation_Certificate.pem。

下载APNs的凭证后，便可以回到“移动设备管理”→“iOS”节点页面内进行上传。如图29所示，在“上传APNs凭证”页面内，除了需要按一下〔浏览〕按钮来上传APNs凭证外，还要输入已注册的Apple ID，然后按下〔上传〕按钮并键入相对的密码。

▲图29 上传APNs凭证。

如图30所示便是已经成功上传APNs凭证于Windows Intune网站的显示页面，在此同样可以检视到该凭证的状态、主体识别码、上次更新日期以及到期日信息。未来如果凭证即将到期，务必将更新后的凭证再次上传。

▲图30 完成iOS移动设备管理设定。

接下来，介绍移动用户端的Windows Intune App安装设定方法。如图31所示，此为Windows 8市集中所搜寻到的Windows Intune App，使用者可以在Windows 8平板或智能型手机中安装。

▲图31 Windows Intune之App。

无论移动用户端的智慧设备是哪一种作业系统，在完成Windows Intune App安装后，第一次登入都需要输入Windows Intune的账户密码。如图32所示，建议将“让我保持登入”设定勾选起来。

▲图32 设备登入程序。

如图33所示，则是一个已安装在iPad Air平板中的Windows Intune App，在开启与登入之后，点选左下角的“我的设备”图示，以完成最后新增设备于Windows Intune网站的作业。

▲图33 新增设备至Windows Intune网站。

如图34所示，在“设备详细资料”页面内，可以查看目前此设备的基本信息，包括原始名称、制造商、型号以及作业系统，至于完整的详细信息，则会在成功新增设备之后自动回传到Windows Intune网站数据库内。按一下〔新增设备〕按钮继续。

▲图34 设备详细资料。

紧接着出现如图35所示的提示讯息，其内容主要是告知使用者，一旦该设备纳入Windows Intune系统的管理，该设备的软硬件信息可能会被企业IT所搜集，并且也会因故抹除设备内的资料或回复至出厂设定值。完整确认之后，点选右上角的“新增”继续。

▲图35 新增设备说明。

随即出现如图36所示的“安装描述档”页面，按下〔安装〕按钮后，再次出现确认讯息，然后按一下〔立即安装〕。

▲图36 显示安装描述档内容。

接着出现有关“移动设备管理”页面内的说明，点选右上角的“安装”即可。等到完成安装之后，将可以看到所有安装描述档的完整信息，包括签署凭证与管理权限的信息。

如图37所示是已完成新增设备至Windows Intune后的“设备详细资料”页面，在这里可以随时重设设备、移除设备以及重新命名设备。

▲图37 成功新增设备。

接着，以系统管理员身分登入Windows Intune，然后在如图38所示的“All Mobile Devices”节点页面内查看是否出现新增的iPad设备，在此应该会先在“一般”信息的区域内看到这部iPad目前使用者的E-mail登入信息、作业系统版本、管理状态、管理通道、可用储存空间及储存空间总计、上次更新日期等信息。

▲图38 检视所有的移动设备。

未来如果有使用者不慎遗失设备，也可以在这里选择该设备，然后执行“淘汰/抹除”功能立即远端完成资料夹的清除作业，以及让设备恢复到原厂出厂设定，以防范可能的商务资料或个人资料外泄。点选“检视内容”继续。

如图39所示，在“移动设备内容”页面内，可以从“硬件”信息中进一步查看到硬件与系统面的详细信息，例如唯一设备识别码、序号、型号、IMEI等等。

▲图39 检视iPad硬件信息。

TOP 4：如何管制iOS移动设备的使用安全

记得早期Microsoft的System Center解决方案，只能用于控管Windows计算机和Windows移动设备的安全，如今为了因应三分天下的管理需求（Windows、iOS、Android），想要落实企业移动设备的控管政策，也不得不将其他两类系统一并纳入管理，况且现阶段还得以这两类的移动设备为主要控管的对象。

以下就来了解一下Windows Intune如何有效管理企业人员对于iPad与iPhone的安全控制。

首先，在“原则概观”页面内，如图40所示可以看到系统管理人员可藉由设定与套用不同的原则，来决定哪一些个体或群体的设备功能需要特别强制设定其组态，或是开放哪些功能让使用者能够自行改变其设定值。接下来，点选“工作”区域内的“新增原则”连结。