Windows 10 中进化的移动设备管理 (MDM)

在企业或组织中工作的各位，请问您在工作中使用多少台设备？许多人的办公桌上可能有台式电脑，外出开会时使用平板电脑，在家查看公司邮件时使用个人智能手机。设备的操作系统也多种多样，例如PC使用Windows，平板使用iOS，智能手机使用Android，这种混合环境已不罕见。

在最大限度享受各类设备便利性的同时，遵守自身的安全政策对IT管理员来说是一个重大挑战。要解决这一问题，高效管理各设备和政策至关重要，市面上充斥着各种移动设备管理 (MDM) 服务。

讨论MDM时，需要关注向移动设备发送管理命令的服务器，以及接收服务器命令并在设备上运行的客户端组件。作为MDM客户端的Windows 10，可以通过Microsoft Intune、System Center Configuration Manager进行管理。此外，还可以通过Mobile Device Management协议或Mobile Device Enrollment协议版本2等MDM协议，从第三方MDM服务器进行管理。

本文将重点介绍作为MDM客户端的Windows 10所支持的政策。

Windows 10 中进化的 MDM 功能

虽然在Windows 8.1中已经内置了MDM，但Windows 10中的MDM功能大幅进化，支持更精细地管理企业内的设备。实际上，新增了100多个新的MDM政策，以下将介绍其中一些专注于安全的政策。

• ID 管理功能强化：Windows 10除了支持Active Directory (AD)外，还支持使用Azure AD。因此，可以添加Azure ID，访问公司内的业务应用和内部资源。此外，使用AD账户登录PC时，还可以自动登录到Office 365等云服务。
• Microsoft Passport 的 PIN 政策：可以设置PIN政策，要求用户使用符合特定条件的PIN。
• 设备擦除：当丢失包含业务数据等的设备时，可以使用此功能从MDM服务器远程擦除数据。
• 设备锁定：例如，对于仅用于向客户展示产品目录等特定用途的设备，可以限制其仅使用管理员设置的应用程序。
• 更新程序的管理与控制（仅限Windows 10 Pro或Enterprise版本）：可以根据公司环境，设置满足特定要求的更新提供源和计划。
• 证书管理：可以使用MDM服务器通过SCEP（简单注册协议）注册客户端证书。此外，还可以进行证书的更新和删除。

除此之外，还可以设置企业数据保护政策和管理多用户等，在保持灵活混合环境的同时，安全地提高企业和组织的生产力。

未来，新型设备将不断涌现，使我们的工作环境更加便利，提高工作效率。IT管理员们，请务必找到最适合贵公司的MDM服务，实现各设备和政策的高效管理。