Windows 10 Mobile и управление мобильными устройствами
Это руководство содержит обзор технологий для управления мобильными устройствами и приложениями в операционной системе Windows 10 Mobile. В нем рассказывается, как встроенный клиент управления устройствами используется в системах управления мобильными устройствами (MDM) для развертывания, настройки, обслуживания и поддержки телефонов и небольших планшетов под управлением Windows 10 Mobile.
Концепция «Принеси свое устройство» (BYOD — то есть личные устройства) и использование корпоративных устройств — это основные сценарии, на которые распространяются возможности MDM системы Windows 10 Mobile. Операционная система предлагает гибкий подход к регистрации устройств в службах каталогов и системах MDM, благодаря чему ИТ-отделы могут создавать комплексные профили конфигурации устройств с учетом потребностей компании в отношении управления мобильными бизнес-данными и их защиты.
Windows 10 Mobile предоставляет не только расширенные ограничительные параметры конфигурации Windows по сравнению с Windows Phone 8.1, но и возможности для развертывания приложений на основе универсальной платформы Windows (UWP) и управления ими. Компании могут распределять приложения непосредственно из Магазина Windows или с помощью системы MDM. Аналогичным образом они могут контролировать и распределять пользовательские бизнес-приложения.
Обзор
Пользователи организаций все активнее пользуются мобильными устройствами, однако наличие в ИТ-среде организации телефонов и планшетов ставит перед специалистами ИТ-отделов новые, ранее не существовавшие задачи. С одной стороны, ИТ-специалисты должны иметь возможность быстро развертывать мобильные устройства и приложения и управлять ими, обеспечивая поддержку бизнеса. С другой стороны, из-за меняющихся законов и норм и роста киберпреступности все более актуальной становится задача защиты корпоративных данных. ИТ-отдел обязан обеспечить безопасность приложений и данных на мобильных устройствах, особенно на персональных. Windows 10 Mobile предоставляет надежный, гибкий встроенный клиент MDM и помогает организациям успешно решать эти задачи. Для управления этим клиентом можно воспользоваться любой системой MDM.
Встроенный клиент MDM
Встроенный клиент MDM входит в состав всех выпусков операционной системы Windows 10, включая настольный, мобильный и Интернет вещей (IoT). Этот клиент предоставляет единый интерфейс для управления любым устройством с операционной системой Windows 10. Клиент выполняет две важные функции: регистрация устройства в системе MDM и управление устройством.
Регистрация устройства. Пользователи могут зарегистрировать устройство в системе MDM. В Windows 10 пользователь может зарегистрировать устройство одновременно в службе каталогов Microsoft Azure Active Directory (Azure AD) и системе MDM, чтобы с помощью последней управлять устройством, выполняемыми на нем приложениями и хранимыми на нем конфиденциальными данными. При регистрации назначается центр управления устройством. Невозможно назначить устройству несколько центров управления (или регистраций MDM) одновременно, что защищает от несанкционированного доступа к устройствам, обеспечивает их стабильную работу и надежность.
Управление устройством. Клиент MDM позволяет системе MDM настраивать параметры политики, развертывать приложения и обновления и выполнять другие задачи управления, например удаленную очистку устройства. Система MDM отправляет запросы конфигурации и собирает данные инвентаризации с помощью клиента MDM. Клиент использует поставщиков службы конфигурации (CSP) для настройки и инвентаризации параметров. Поставщик службы конфигурации — это интерфейс для чтения, настройки, изменения или удаления параметров конфигурации на устройстве. Эти параметры сопоставляются разделам реестра или файлам. (Архитектура безопасности Windows 10 Mobile не позволяет осуществлять доступ к параметрам реестра и файлам операционной системы напрямую. Дополнительные сведения см. в Руководстве по безопасности Windows 10 Mobile).
Клиент MDM является неотъемлемой частью Window 10 Mobile. Следовательно, чтобы зарегистрировать устройство или наладить управление им с помощью системы MDM, не требуется использовать дополнительное пользовательское приложение MDM. Все системы MDM имеют равный доступ к программным интерфейсам (API) MDM операционной системы Windows 10 Mobile, поэтому для управления устройствами Windows 10 Mobile можно выбрать Microsoft Intune или любой сторонний продукт MDM. Дополнительные сведения об API управления устройствами Windows 10 Mobile см. в разделе Управление мобильными устройствами.
Выпуски Windows 10 Mobile
На каждом устройстве под управлением Windows 10 Mobile реализованы все функции безопасности мобильного устройства и управления им корпоративного уровня, которые предоставляются клиентом MDM. Корпорация Майкрософт также предлагает корпоративный выпуск Windows 10 Mobile, который обеспечивает три дополнительные возможности. Для включения этих возможностей достаточно предоставить файл лицензии, не переустанавливая операционную систему.
**Возможность откладывать обновления программного обеспечения.**Windows 10 Mobile получает обновления программного обеспечения непосредственно из Центра обновления Windows, отобрать их перед развертыванием невозможно. Windows 10 Mobile Корпоративная, в свою очередь, позволяет отбирать и проверять обновления перед развертыванием.
Нет ограничений на количество развертываемых на одном устройстве самозаверяющих бизнес-приложений. Чтобы использовать систему MDM для развертывания бизнес-приложений непосредственно на устройствах, нужно криптографически подписать пакеты программного обеспечения с помощью созданного центром сертификации вашей организации сертификата подписи кода. На устройстве Windows 10 Mobile можно развернуть не более 20 самоподписанных бизнес-приложений; если устройства организации работают под управлением Windows 10 Mobile Корпоративная — более 20 приложений.
Перевод телеметрии в режим "Безопасность". Если выбран уровень телеметрии "Безопасность", операционная система собирает только телеметрические данные, необходимые для обеспечения безопасности устройств.
Примечание
Организация может приобрести сертификат подписи кода Verisign, чтобы подписывать бизнес-приложения, или приобретать приложения в Магазине Windows для бизнеса. При использовании любого подхода с помощью системы MDM можно распределить на одно устройство более 20 приложений, не активируя Windows 10 Mobile Корпоративная.
Чтобы активировать Windows 10 Mobile Корпоративная на любом устройстве с Windows 10 Mobile, воспользуйтесь системой MDM своей компании или пакетом подготовки и добавьте лицензию на устройство. Загрузить лицензию Windows 10 Mobile Корпоративная можно на портале поддержки для бизнеса.
Управление жизненным циклом
Windows 10 Mobile поддерживает управление полным жизненным циклом устройства, обеспечивая контроль над устройствами, данными и приложениями. В комплексных системах MDM для управления устройствами в течение жизненного цикла используется встроенный клиент MDM (см. Рис. 1). Далее в этом руководстве описываются возможности операционной системы по управлению мобильными устройствами и приложениями на каждом этапе жизненного цикла, иллюстрируется использование конкретных функций системами MDM.
.png "Рис. 1")
Рис. 1. Жизненный цикл управления устройством
Развертывание устройства
Развертывание устройства включает первоначальную регистрацию и конфигурацию устройства, включая регистрацию в системе MDM. Иногда компания предустанавливает некоторые приложения. Способ развертывания устройств и внедрение тех или иных элементов управления определяются тем, кто владеет устройством и как его планируется использовать. В этом руководстве рассматриваются два сценария.
Компании позволяют пользователям персонализировать устройства, потому что последние принадлежат пользователям или политика компании не требует жесткого контроля над устройствами (такие устройства в этом руководстве называются персональными).
Компании не разрешают пользователям персонализировать устройства или ограничивают персонализацию, потому что, как правило, устройства принадлежат организации или требования безопасности высоки (такие устройства в этом руководстве называются корпоративными).
Зачастую сотрудники могут выбирать устройства из списка поддерживаемых моделей, или компании предоставляют предварительно настроенные устройства с базовой конфигурацией, выполнив так называемую начальную загрузку.
Майкрософт рекомендует для корпоративных устройств присоединение к Azure AD, а для персональных устройств — регистрацию в Azure AD. Для регистрации обоих типов устройств и управления ими рекомендуется использовать систему MDM.
Сценарии развертывания
Большинство организаций поддерживает сценарии и с персональными, и с корпоративными устройствами. Для реализации этих сценариев используется аналогичная инфраструктура, различаются лишь политики конфигурации и процедура развертывания. В таблице 1 представлены характеристики сценариев с использованием персональных и корпоративных устройств. Активация устройства с организационным удостоверением — уникальная процедура Windows 10 Mobile.
Табл. 1. Характеристики сценариев с использованием персональных и корпоративных устройств
| Персональные устройства | Корпоративные устройства | |
| Владелец | Пользователь | Организация |
| Основное назначение | Персональное | Рабочее |
| Развертывание | Основное удостоверение на устройстве — личное. Учетная запись Майкрософт — это настройка по умолчанию для Windows 10 Mobile. | Основное удостоверение на устройстве — организационное. Учетная запись Azure AD — это настройка по умолчанию для Windows 10 Mobile. |
Управление удостоверениями
Для активации устройства можно использовать только одну учетную запись, поэтому очень важно, чтобы организация контролировала, какая учетная запись активируется первой. Выбранная учетная запись определяет, кто контролирует устройство, и влияет на возможности управления. В следующем списке описано, какое влияние удостоверения пользователей оказывают на управление устройствами (эта информация обобщена в таблице 2).
Личное удостоверение. В этом сценарии для активации устройства сотрудники используют свою учетную запись Майкрософт. Для регистрации устройства в Azure AD и корпоративном решении MDM они используют свою учетную запись Azure AD (организационное удостоверение). Можно применить определенные политики, чтобы защитить и сохранить корпоративные приложения и данные на этих устройствах (это позволит предотвратить утечку интеллектуальной собственности), однако пользователи сохраняют полный контроль над персональными операциями, такими как загрузка и установка приложений и игр.
Организационное удостоверение. В этом сценарии для регистрации устройства в Azure AD и автоматической регистрации в корпоративном решении MDM пользователи используют свою учетную запись Azure AD. В данном случае компания может заблокировать использование устройства в личных целях. Использование организационных удостоверений для инициализации устройств дает организациям полный контроль над последними и позволяет предотвратить персонализацию.
Табл. 2. Личное или организационное удостоверение
| Личное удостоверение | Корпоративное удостоверение | |
| Первая учетная запись на устройстве | Учетная запись Майкрософт | Учетная запись Azure AD |
| Вход на устройство | Пользователи не могут выполнить вход на устройства, используя учетные данные Azure AD, даже если учетные данные добавлены после первоначальной активации с использованием учетной записи Майкрософт. | Пользователи могут разблокировать устройства, воспользовавшись учетной записью Azure AD. Организации могут запретить добавление личного удостоверения. |
| Перенос параметров пользователей и данных между устройствами | При использовании личного хранилища OneDrive параметры пользователей и приложений переносятся на все устройства, активируемые с тем же личным удостоверением. | ОС Windows 10 Mobile в настоящее время не поддерживает перенос параметров пользователей и приложений в корпоративном облаке. Система может заблокировать перенос личных параметров облака. |
| Возможность блокировать использование личного удостоверения на устройстве | Нет | Да |
| Уровень контроля | Организация может применить в отношении устройств наиболее жесткие* политики ограничения, однако удалить учетную запись Майкрософт с них невозможно. Чтобы вновь обрести полный контроль над своим устройством, пользователю достаточно отменить его регистрацию в решении MDM организации. Примечание* В дальнейшем функция управления мобильными устройствами (MDM) на персональных устройствах может быть ограничена. |
Организации могут применять политики ограничения в отношении устройств в соответствии с требованиями политик, стандартов и норм и блокировать отмену регистрации устройства в корпоративной системе пользователем. |
Требования инфраструктуры
В обоих сценариях для развертывания устройств с Windows 10 Mobile и управления ими требуются следующие важнейшие элементы инфраструктуры и инструменты: подписка Azure AD и система MDM.
Azure AD — это облачная служба каталогов, обеспечивающая управление удостоверениями и доступом. Ее можно интегрировать с существующими локальными каталогами, создав тем самым гибридное решение. Служба каталогов Azure AD доступна в трех выпусках: Free, Basic и Premium (см. статью Выпуски Azure Active Directory). Все выпуски поддерживают регистрацию устройств в службе Azure AD, однако для включения автоматической регистрации в системе MDM и условного доступа в зависимости от состояния устройства требуется выпуск Premium. Организациям, которые пользуются Microsoft Office 365 или Intune, уже доступна служба Azure AD.
Примечание
Большинство ведущих отраслевых поставщиков систем MDM уже поддерживают интеграцию с Azure AD или работают над этим. См. список поставщиков систем MDM, поддерживающих Azure AD, на сайте Azure Marketplace.
Пользователи могут зарегистрировать устройства под управлением Windows 10 Mobile в сторонних системах MDM, не пользуясь организационной учетной записью Azure AD. (Intune использует Azure AD по умолчанию и включает лицензию). Если организация не использует Azure AD, для активации устройств и включения общих сценариев, таких как загрузка приложений Магазина Windows, требуется использовать личное удостоверение.
Доступно несколько систем MDM, поддерживающих Windows 10 Mobile. Большинство из них поддерживают сценарии развертывания с использованием как персональных, так и корпоративных устройств. Корпорация Майкрософт предлагает приложение Intune в составе набора Enterprise Mobility Suite, облачную систему MDM для управления устройствами за пределами корпоративной сети. Как и Office 365, Intune использует Azure AD для управления удостоверениями, поэтому сотрудники используют те же учетные данные для регистрации устройств в Intune и входа в Office 365. Intune поддерживает устройства, которые работают под управлением и других операционных систем, таких как iOS и Android, и поэтому представляет собой полнофункциональное решение MDM.
Кроме того, можно интегрировать Intune с System Center Configuration Manager и получить единую консоль управления всеми устройствами — в облаке и локальной среде. См. дополнительные сведения в разделе Управление мобильными устройствами с помощью Configuration Manager и Microsoft Intune. Рекомендации по выбору между одиночной установкой Intune и установкой приложения Intune, интегрированного с Configuration Manager, см. в статье Выбор варианта установки Intune: отдельно или в интеграции с System Center.
Помимо Intune, другие поставщики систем MDM поддерживают Windows 10 Mobile. В настоящее время, согласно заявлениям изготовителей, следующие системы MDM поддерживают Windows 10 и Windows 10 Mobile: AirWatch, Citrix, Lightspeed Systems, Matrix42, MobileIron, SAP, SOTI и Symantec.
Все поставщики систем MDM имеют равный доступ к программным интерфейсам MDM операционной системы Windows 10. Степернь реализации этих программных интерфейсов, тем не менее, зависит от поставщика. Чтобы определить реализованный уровень поддержки, свяжитесь с выбранным вами поставщиком систем MDM.
Примечание
Несмотря на то что информация по этому вопросу отсутствует в этом руководстве, для управления мобильными устройствами можно использовать Exchange ActiveSync (EAS) вместо полнофункциональной системы MDM. EAS доступна в Microsoft Exchange Server 2010 и выше и Office 365.
Кроме того, корпорация Майкрософт недавно расширила функциональность Office 365, добавив в операционную систему функции MDM на базе Intune. MDM для Office 365 поддерживает только мобильные устройства под управлением Windows 10 Mobile, iOS и Android. MDM для Office 365 предоставляет подмножество возможностей управления, реализованных в Intune, включая возможность удаленной очистки устройства, блокирования доступа к электронной почте Exchange Server с устройства и настройки политик устройства (например, требования о вводе секретного кода). Дополнительные сведения о функциях MDM в Office 365 см. в разделе Обзор управления мобильными устройствами для Office 365.
Подготовка
Подготовка — это новая функция Windows 10, основанная на использовании клиента MDM в Windows 10 Mobile. Можно создать пакет подготовки среды выполнения, чтобы применить к устройству под управлением Windows 10 параметры, профили и файловые ресурсы.
Чтобы помочь пользователям с регистрацией системы MDM, воспользуйтесь пакетом подготовки. Для этого воспользуйтесь Конструктором образов и конфигураций Windows, чтобы создать пакет подготовки, а затем установите этот пакет на устройство.
Пользователи могут выполнять самостоятельную регистрацию в системе MDM в следующих сценариях развертывания.
Корпоративное устройство. При использовании готовой системы можно попросить пользователя выбрать вариант Это устройство принадлежит моей организации и присоединить устройство к службе Azure AD и системе MDM.
Личное устройство. Пользователь активирует устройство, используя учетную запись Майкрософт, однако пользователя можно попросить зарегистрировать устройство в Azure AD и Intune. Для этого в Windows 10 Mobile пользователь последовательно щелкает Параметры, Учетные записи и Рабочий доступ.
Чтобы автоматизировать регистрацию в системе MDM, используйте пакет подготовки следующим образом.
Корпоративное устройство. Можно создать пакет подготовки и применить его к корпоративному устройству до того, как оно будет предоставлено пользователю, или попросить пользователя установить пакет во время настройки готовой системы. После установки пакета подготовки процедура настройки готовой системы автоматически выбирает корпоративный путь и требует, чтобы пользователь зарегистрировал устройство в службе Azure AD и системе MDM.
Личное устройство. Можно создать пакет подготовки и предоставить его пользователям, которые желают зарегистрировать свое личное устройство в корпоративной системе. Пользователь регистрирует устройство в корпоративной системе MDM, чтобы в дальнейшем настроить его, установив пакет подготовки. Для этого в Windows 10 Mobile пользователь последовательно щелкает Параметры, Учетные записи и Подготовка).
Чтобы распространить пакеты подготовки для устройств, публикуйте их в доступном расположении (в виде вложения к сообщению электронной почты или на веб-странице). Можно криптографически подписать или зашифровать пакеты подготовки и потребовать от пользователя ввода пароля для установки пакета.
См. дополнительные сведения о создании пакетов подготовки в разделе Создание и применение пакета подготовки.
Конфигурация устройств
В следующих разделах описаны возможности конфигурации устройств, предоставляемые встроенным клиентом MDM операционной системы Windows 10 Mobile. Клиент предоставляет эти возможности любой системе MDM, совместимой с Windows 10. Настраиваемые параметры включают следующее.
Учетные записи электронной почты
Ограничения учетных записей
Ограничения на блокировку устройства
Аппаратные ограничения
Управление сертификатами
Wi-Fi
Прокси-сервер
Виртуальная частная сеть (VPN)
Профили имени точки доступа (APN)
Защита от утечки данных
Управление хранением
Примечание
Несмотря на то что все параметры MDM, описанные в этом разделе, доступны в Windows 10 Mobile, не во всех системах MDM они отображаются в пользовательском интерфейсе. Кроме того, в каждой системе MDM они могут называться по-разному. См. дополнительные сведения в документации вашей системы MDM.
Учетные записи электронной почты
Для управления корпоративными учетными записями электронной почты можно использовать корпоративную систему MDM. Определите профили учетных записей электронной почты в системе MDM, а затем разверните их на устройствах. Как правило, эти параметры развертываются сразу после регистрации независимо от выбранного сценария.
Эта возможность доступна и в системах электронной почты, использующих EAS. В таблице 3 перечислены параметры, которые можно настроить в профилях электронной почты EAS.
Табл. 3. Параметры Windows 10 Mobile для профилей электронной почты EAS
| Параметр | Описание |
|---|---|
| Адрес электронной почты | Адрес электронной почты, связанный с учетной записью EAS |
| Домен | Доменное имя экземпляра Exchange Server |
| Имя учетной записи | Понятное имя учетной записи электронной почты на устройстве |
| Пароль | Пароль для учетной записи электронной почты |
| Имя сервера | Имя сервера, используемое учетной записью электронной почты |
| Имя пользователя | Имя пользователя учетной записи электронной почты |
| Возрастной фильтр календаря | Возраст элементов календаря, которые необходимо синхронизировать с устройством (например, синхронизировать элементы календаря за последние 7 дней) |
| Ведение журнала | Уровень диагностического ведения журнала |
| Тип основной части сообщения | Тип формата основной части электронного сообщения: текст, HTML, RTF или MIME |
| Усечение почты в формате HTML | Максимальный размер сообщения электронной почты в формате HTML до синхронизации сообщения с устройством (любое сообщение электронной почты в формате HTML, которое превышает этот размер, автоматически усекается). |
| Усечение обычного текстового сообщения почты | Максимальный размер сообщения электронной почты в текстовом формате до синхронизации сообщения с устройством (любое сообщение электронной почты в текстовом формате, которое превышает этот размер, автоматически усекается). |
| Расписание | Расписание синхронизации электронной почты между экземпляром Exchange Server и устройством |
| Использование SSL | Указывает, требуется ли для синхронизации протокол SSL |
| Возрастной фильтр почты | Возраст сообщений, которые необходимо синхронизировать с устройством (например, синхронизация сообщений за последние 7 дней) |
| Типы содержимого | Синхронизируемый тип содержимого (электронная почта, контакты, календарь, элементы задач) |
В таблице 4 перечислены параметры, которые можно настроить в других профилях электронной почты.
Табл. 4. Параметры Windows 10 Mobile для других профилей электронной почты
| Параметр | Описание |
|---|---|
| Имя пользователя для входа в систему | Имя пользователя учетной записи электронной почты для входа в систему |
| Требуется исходящая аутентификация | Требует ли исходящий сервер аутентификации |
| Пароль | Пароль учетной записи в поле Имя пользователя для входа |
| Домен | Доменное имя учетной записи в поле Имя пользователя для входа |
| Кол-во дней для загрузки | Какой объем электронной почты (измеряемый в днях) следует загрузить с сервера |
| Сервер входящей почты | Имя сервера входящей почты и номер порта, где формат значения — имя_сервера:номер_порта (номер порта указывать не обязательно). |
| Расписание отправки и получения | Время (в минутах) между отправкой и получением обновлений по электронной почте |
| Максимальный размер вложения IMAP4 | Максимальный размер вложений в сообщения для учетных записей протокола IMAP версии 4 (IMAP4) |
| Отображение имени отправителя в сообщении | Имя отправителя отображается на отправляемом сообщении электронной почты |
| Сервер исходящей почты | Имя сервера исходящей почты и номер порта, где формат значения — имя_сервера:номер_порта (номер порта указывать не обязательно). |
| Адрес ответа | Адрес электронной почты пользователя для отпарвки ответа |
| Имя службы электронной почты | Название службы электронной почты |
| Тип службы электронной почты | Тип службы электронной почты (например, POP3, IMAP4). |
| Максимальный размер получаемых сообщений | Максимальный размер (в байтах) сообщений, извлекаемых с сервера входящей почты (сообщения, превышающие этот размер, усекаются до максимально допустимого размера). |
| Действие удаления сообщения | Способ удаления сообщений на сервере (сообщения могут удаляться окончательно или отправляться в папку «Корзина»). |
| Использовать только мобильную связь | Указывает, должна ли учетная запись использоваться только с мобильными подключениями (не с Wi-Fi) |
| Типы содержимого для синхронизации | Типы содержимого, поддерживающие синхронизацию (другими словами, почтовые сообщения, контакты, элементы календаря) |
| Сервер синхронизации содержимого | Имя сервера синхронизации содержимого, если он отличается от сервера электронной почты |
| Сервер синхронизации календаря | Имя сервера синхронизации календаря, если он отличается от сервера электронной почты |
| Требует ли сервер контактов использования SSL | Требует ли сервер контактов подключения по протоколу SSL |
| Требует ли сервер календаря использования SSL | Требует ли сервер календаря подключения по протоколу SSL |
| Расписание синхронизации элементов контакта | Расписание, по которому выполняется синхронизация элементов контакта |
| Расписание синхронизации элементов календаря | Расписание, по которому выполняется синхронизация элементов календаря |
| Альтернативная учетная запись электронной почты SMTP | Отображаемое имя, связанное с альтернативной учетной записью электронной почты SMTP пользователя |
| Альтернативное доменное имя SMTP | Доменное имя альтернативной учетной записи электронной почты SMTP пользователя |
| Включена ли альтернативная учетная запись SMTP | Указывает, включена ли альтернативная учетная запись SMTP пользователя |
| Альтернативный пароль SMTP | Пароль альтернативной учетной записи SMTP пользователя |
| Требуют ли серверы входящей и исходящей почты SSL | Группа свойств, которые определяют, используют ли серверы входящей и исходящей почты SSL |
Ограничения учетных записей
На корпоративном устройстве, зарегистрированном в службе Azure AD и системе MDM, можно контролировать, могут ли пользователи использовать учетную запись Майкрософт или добавлять другие учетные записи электронной почты покупателя. В таблице 5 перечислены параметры, которые можно использовать для управления учетными записями на устройствах Windows 10 Mobile.
Табл. 5. Параметры управления учетными записями Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить учетную запись Майкрософт | Указывает, разрешено ли пользователям добавлять учетную запись Майкрософт на устройство после регистрации в системе MDM и использовать эту учетную запись для аутентификации подключения и использования услуг, таких как приобретение приложений в Магазине Windows, или облачных потребительских служб, таких как Xbox или Groove. Если устройство активировано с помощью учетной записи Майкрософт, система MDM не сможет заблокировать использование этой учетной записи. |
| Разрешить добавление учетных записей, не являющихся учетными записями Майкрософт | Указывает, разрешено ли пользователям добавлять учетные записи электронной почты, отличные от учетных записей Майкрософт, после регистрации в системе MDM. Если установлен параметр Разрешить учетную запись Майкрософт, пользователь также может использовать учетную запись Майкрософт. |
| Разрешить параметр "Ваша учетная запись" | Указывает, могут ли пользователи изменить конфигурацию учетной записи на панели Ваша электронная почта и учетные записи в разделе "Параметры". |
Ограничения на блокировку устройства
Логично блокировать устройство, если оно не используется. Корпорация Майкрософт рекомендует защищать устройства Windows 10 Mobile и пользоваться политикой блокировки устройства. Пароль устройства или блокировка с PIN-кодом — лучший способ защиты приложений и данных на устройствах. Windows Hello — это название нового способа биометрического входа в систему, который позволяет использовать для разблокировки совместимого устройства лицо, радужную оболочку глаза или отпечатки пальцев (все эти возможности поддерживаются в Windows 10).
Примечание
Помимо ограничений на блокировку устройства, которые рассматриваются в этом разделе, Windows 10 также поддерживает использование Microsoft Passport для работы, что позволяет осуществлять доступ к приложениям и службам без пароля.
В таблице 6 перечислены параметры MDM в Windows 10 Mobile, которые можно использовать для настройки ограничений блокировки устройства.
Табл. 6. Ограничения блокировки устройства в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Пароль устройства включен | Указывает, должны ли пользователи использовать пароль для блокировки устройства Примечание
|
| Разрешить простой пароль для устройства | Указывает, могут ли пользователи использовать простой пароль (например, 1111 или 1234). |
| Требуется буквенно-цифровой пароль для устройства | Указывает, должны ли пользователи использовать буквенно-цифровой пароль. Если этот параметр настроен, Windows предлагает пользователю ввести сложный пароль и отображает для этого полную клавиатуру устройства. Если параметр не настроен, пользователь сможет ввести числовой PIN-код на клавиатуре устройства. |
| Минимальное количество сложных символов в пароле устройства | Количество типов элементов пароля (прописных или строчных букв, цифр или знаков пунктуации), необходимых для создания строгого пароля |
| Срок действия пароля на устройстве | Количество дней до истечения срока действия пароля (срок действия биометрических данных не истекает). |
| История паролей устройства | Число паролей, которое хранится в истории паролей Windows 10 Mobile (пользователи не могут повторно использовать хранимые в истории пароли для создания новых). |
| Минимальная длина пароля устройства | Минимальное количество символов, необходимое для создания нового пароля |
| Максимальный период перед блокировкой устройства | Период неактивности (в минутах) до блокировки устройства (после чего для разблокировки потребуется ввести пароль) |
| Возврат из спящего режима без пароля | Указывает, нужно ли пользователям проходить повторную аутентификацию, когда их устройства выходят из спящего режима до достижения максимального периода неактивности |
| Максимальное число неудачных попыток ввода пароля на устройстве | Допустимое число неудачных попыток аутентификации до очистки устройства (значение 0 отключает функцию очистки устройства). |
| Время ожидания экрана во время блокировки | Продолжительность (в минутах) до истечения времени ожидания экрана блокировки (эта политика влияет на управление питанием устройства). |
| Пользовательская конфигурация функции "Разрешить время ожидания экрана во время блокировки" | Указывает, могут ли пользователи вручную настроить время ожидания экрана, пока на устройстве отображается экран блокировки (Windows 10 Mobile игнорирует настройку Время ожидания экрана во время блокировки, если отключить этот параметр). |
Аппаратные ограничения
В устройствах под управлением Windows 10 Mobile используется современная технология, включающая популярные аппаратные функции, такие как камеры, датчики GPS, микрофоны, динамики, NFS-радио, слоты для карт хранения данных, интерфейсы USB и Bluetooth, сотовые радио и Wi-Fi. Аппаратные ограничения можно использовать, чтобы контролировать доступность этих функций. В таблице 7 перечислены параметры MDM для настройки аппаратных ограничений, поддерживаемые Windows 10 Mobile.
Примечание
Некоторые из этих аппаратных ограничений обеспечивают возможность подключения и помогают защитить данные. Защита корпоративных данных в настоящее время тестируется в избранных программах оценки клиентами.
Табл. 7. Аппаратные ограничения Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить NFS | Указывает, включено ли радио NFS |
| Разрешить подключение USB | Указывает, включено ли подключение USB (этот параметр не влияет на зарядку по USB) |
| Разрешить Bluetooth | Указывает, могут ли пользователи включать и использовать на своих устройствах радио Bluetooth |
| Разрешить рекламу Bluetooth | Указывает, может ли устройство использоваться как источник распространяемой по Bluetooth рекламы и быть доступным для обнаружения другими устройствами |
| Разрешить режим обнаружения по Bluetooth | Указывает, может ли устройство обнаруживать другие устройства (например, наушники) |
| Список разрешенных служб Bluetooth | Список служб Bluetooth и профилей, к которым может подключаться устройство |
| Задать локальное имя устройства Bluetooth | Локальное имя, присвоенное устройству Bluetooth |
| Разрешить Wi-Fi | Указывает, включено ли радио Wi-Fi |
| Разрешить автоматическое подключение к хот-спотам контроля Wi-Fi | Указывает, может ли устройство автоматически подключаться к хот-спотам Wi-Fi и домашним сетям друзей, доступ к которым предоставляется через Wi-Fi Sense |
| Разрешить настройку Wi-Fi вручную | Указывает, могут ли пользователи вручную подключаться к сетям Wi-Fi, не указанным в списке настроенных сетей Wi-Fi системы MDM |
| Режим сканирования WLAN | Указывает, насколько активно устройство сканирует пространство с целью обнаружения сетей Wi-Fi (это аппаратнозависимый параметр). |
| Разрешить камеру | Указывает, включена ли камера |
| Разрешить карту хранения | Указывает, включен ли слот для карты хранения данных |
| Разрешить голосовую запись | Указывает, может ли пользователь использовать микрофон для создания голосовых записей |
| Разрешить располжение | Указывает, может ли устройство использовать датчик GPS или другие методы для определения расположения, чтобы информация о расположении была доступна приложениям |
Управление сертификатами
Управление сертификатами может казаться пользователям сложным, однако сертификаты используются для решения большого количества задач, включая аутентификацию учетных записей, аутентификацию Wi-Fi, шифрование VPN и SSL-шифрование веб-содержимого. Несмотря на то что пользователи могут управлять сертификатами на устройствах вручную, рекомендуется использовать для управления этими сертификатами на протяжении всего жизненного цикла (от регистрации и продления до отзыва) систему MDM. Для установки сертификатов в Windows 10 Mobile использовать протокол SCEP или файлы сертификатов PFX. Управление сертификатами с использованием протокола SCEP и систем MDM полностью прозрачно для пользователей и не требует вмешательства пользователей, что позволяет повысить производительность пользователей и уменьшить число обращений в службу поддержки. Система MDM может автоматически развертывать эти сертификаты в хранилищах сертификатов устройств после регистрации устройства. В таблице 8 перечислены параметры SCEP, предоставляемые клиентом MDM в Windows 10 Mobile.
Табл. 8. Параметры регистрации сертификатов SCEP в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| URL-адреса серверов для регистрации сертификатов | Серверы регистрации сертификатов (чтобы указать несколько URL-адресов серверов, разделите их точкой с запятой [;]) |
| Задача по регистрации в SCEP | Задача по регистрации в SCEP с шифрованием Base64 |
| Идентификаторы объектов для расширенного использования ключей | Идентификаторы объектов (OID) для расширенного использования ключей |
| Использование ключей | Биты использования ключей для сертификата в десятичном формате |
| Имя субъекта | Имя субъекта сертификата |
| Хранилище закрытых ключей | Место хранения закрытых ключей (другими словами, доверенный платформенный модуль (TPM), поставщик хранения программных ключей (KSP) или KSP Microsoft Passport) |
| Задержка ожидающих повторных попыток | Указывает, сколько времени будет ждать устройство до выполнения повторной попытки, если сервер SCEP отправляет ожидающий статус |
| Число ожидающих повторных попыток | Число повторных попыток, предпринимаемых устройством, когда сервер SCEP отправляет ожидающий статус |
| Имя шаблона | OID имени шаблона сертификата |
| Длина закрытого ключа | Длина закрытого ключа (1024, 2048 или 4096 бит; Microsoft Passport поддерживает только ключи длиной 2048 бит) |
| Хэш-алгоритм сертификата | Семейство хэш-алгоритмов (другими словами, SHA-1, SHA-2, SHA-3; при использовании нескольких семейств хэш-алгоритмов они разделяются знаками "плюс" [+]) |
| Отпечаток корневого центра сертификации | Отпечаток, сделанный с корневого центра сертификации |
| Альтернативные названия субъекта | Альтернативные названия субъекта для сертификата (используйте точку с запятой для разделения нескольких альтернативных названий субъекта) |
| Период действия | Единица измерения периода, когда сертификат считается действительным (в днях, месяцах или годах) |
| Единицы измерения действительных периодов | Период (в единицах измерения времени), когда сертификат считается действительным (используйте эту настройку с настройкой Действительный период). Например, если этот параметр равен 3, а Действительный период — Годы, сертификат действителен в течение 3 лет). |
| Пользовательский текст, отображаемый в запросе на ввод PIN-кода Microsoft Passport | Пользовательский текст, который отображается в запросе на ввод PIN-кода Microsoft Passport во время регистрации сертификата |
| Отпечаток | Текущий отпечаток сертификата, если сертификат успешно зарегистрирован |
Windows 10 Mobile поддерживает не только управление сертификатами SCEP, но и развертывание сертификатов PFX. В таблице 9 перечислены параметры развертывания сертификатов PFX в Windows 10 Mobile.
Табл. 9. Параметры развертывания сертификатов PFX в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Хранилище закрытых ключей | Место хранения закрытого ключа (TPM, программный KSP или KSP Microsoft Passport) |
| Название контейнера Microsoft Passport | Идентификатор клиента Azure AD, производным от которого является Microsoft Passport (требуется, только если выбрано значение KSP Microsoft Passport для параметра Хранилище закрытого ключа) |
| Пакет PFX | Пакет PFX с экспортированными и зашифрованными сертификатами и ключами в формате Binary64 |
| Пароль для пакета PFX | Пароль, защищающий большой двоичный объект PFX, указанный в пакете PFX |
| Шифрование пароля для пакета PFX | Указывает, шифрует ли система MDM пароль сертификата PFX с помощью сертификата MDM |
| Экспорт закрытого ключа PFX | Указывает, можно ли экспортировать закрытый ключ PFX |
| Отпечаток | Отпечаток установленного сертификата PFX |
Используйте параметр Разрешить установку корневого сертификата вручную, чтобы предотвратить намеренную или случайную установку корневого и промежуточного сертификатов ЦС пользователями вручную.
Примечание
Чтобы диагностировать связанные с сертификатом проблемы на устройствах Windows 10 Mobile, воспользуйтесь бесплатным приложением "Сертификаты" в Магазине Windows. Приложение Windows 10 Mobile может помочь выполнить следующие действия:
просмотреть сводку всех личных сертификатов;
просмотреть подробные сведения отдельных сертификатов;
просмотреть сертификаты, используемые для аутентификации VPN, Wi-Fi и электронной почты;
идентифицировать, срок действия каких сертификатов, возможно, истек;
проверить путь к сертификату и убедиться, что используются подходящие промежуточные и корневые сертификаты ЦС;
просмотреть ключи сертификатов, сохраненные в TPM устройства.
Wi-Fi
Wi-Fi на мобильных устройствах используется не реже (а может быть и чаще), чем мобильные данные. Большинство корпоративных сетей Wi-Fi требует предоставления сертификатов и прочих сложных сведений, чтобы ограничить доступ пользователей и обеспечить его безопасность. Обычному пользователю достаточно сложно настроить расширенные параметры Wi-Fi, однако вы можете использовать систему MDM для полной настройки параметров Wi-Fi без вмешательства пользователя.
В таблице 10 перечислены параметры профиля подключения Wi-Fi в Windows 10 Mobile. Воспользуйтесь информацией в этой таблице для создания профилей подключения Wi-Fi в своей системе MDM.
Табл. 10. Параметры профиля подключения Wi-Fi в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| SSID | Название сети Wi-Fi с учетом регистра (идентификатор беспроводной сети [SSID]) |
| Тип безопасности | Тип безопасности, используемый в сети Wi-Fi. В качестве такового может использоваться один из следующих типов аутентификации.
|
| Шифрование аутентификации | Тип шифрования, используемый аутентификацией; в качестве такового может использоваться один из следующих методов шифрования.
|
| Протокол EAP-TLS | Типы безопасности WPA-Enterprise 802.11 и WPA2-Enterprise 802.11 могут использовать для аутентификации протокол EAP-TLS с сертификатами |
| Протокол PEAP-MSCHAP, версия 2 | Типы безопасности WPA-Enterprise 802.11 и WPA2-Enterprise 802.11 могут использовать для аутентификации протокол PEAP-MSCHAP версии 2 с именем пользователя и паролем |
| Общий ключ | Типы безопасности WPA-Personal 802.11 и WPA2-Personal 802.11 могут использовать для аутентификации общий ключ. |
| Прокси-сервер | Конфигурация любого сетевого прокси-сервера, необходимого для подключения Wi-Fi (чтобы указать прокси-сервер, введите его полное доменное имя, адреса IPv4 и IPv6 либо адрес IPvFuture) |
| Отключить проверки подключения к Интернету | Указывает, должно ли подключение Wi-Fi проверять наличие подключения к Интернету |
| URL-адрес автоматической конфигурации прокси-сервера | URL-адрес, который указывает файл автоматической конфигурации прокси-сервера |
| Включить протокол WPAD | Указывает, включен ли протокол WPAD |
В таблице 11 перечислены параметры для управления подключением к сети Wi-FI в Windows 10 Mobile.
Табл. 11. Параметры подключения к Wi-Fi в Windows 10 Mobile
| Параметр | Конфигурация |
|---|---|
| Разрешить автоматическое подключение к хот-спотам контроля Wi-Fi | Указывает, будет ли устройство автоматически обнаруживать сети Wi-Fi и подключаться к ним |
| Разрешить настройку Wi-Fi вручную | Указывает, может ли пользователь вручную настроить параметры Wi-Fi |
| Разрешить Wi-Fi | Указывает, включено ли оборудование Wi-Fi |
| Режим сканирования WLAN | Указывает, насколько активно устройство сканирует пространство на наличие сетей Wi-Fi |
Прокси-сервер
Приложения, выполняемые в Windows 10 Mobile (например, Microsoft Edge), могут использовать подключения прокси-сервера для получения доступа к интернет-содержимому, однако подключения Wi-Fi в корпоративной интрасети в большинстве случаев используют для этого прокси-подключения. В Windows 10 Mobile можно определить несколько прокси-серверов.
Примечание
Windows 10 Mobile также поддерживает файлы автоматической настройки прокси-серверов (PAC), которые могут автоматически настраивать параметры прокси-сервера. Протокол WPAD позволяет приложениям использовать протокол конфигурации динамических узлов и средства поиска системы доменных имен (DNS) для нахождения PAC-файла.
В таблице 12 перечислены параметры Windows 10 Mobile для подключения к прокси-серверам.
Табл. 12. Параметры для подключения к прокси-серверам в Windows 10 Mobile
| Параметры | Конфигурация |
|---|---|
| Имя прокси-сервера | Уникальное имя подключения к прокси-серверу |
| Идентификатор прокси | Уникальный идентификатор подключения к прокси-серверу |
| Имя | Понятное имя подключения к прокси-серверу |
| Адрес сервера | Адрес прокси-сервера, который может являться полным доменным именем сервера или его IP-адресом |
| Тип IP-адреса | Тип IP-адреса, определяющий прокси-сервер, который может принимать одно из следующих значений:
|
| Тип подключения к прокси-серверу | Тип подключения к прокси-серверу, который может принимать одно из следующих значений:
|
| Порты | Сведения о портах для подключения к прокси-серверу; включает следующие параметры:
|
| Справка по конфигурации | Справочная информация по конфигурации для подключения к прокси-серверу. Сведения, указываемые для этого необязательного параметра, определяются организацией. |
VPN
Помимо Wi-Fi пользователи часто используют VPN для безопасного доступа к приложениям и ресурсам в интрасети компании за пределами брандмауэра. Windows 10 Mobile поддерживает несколько поставщиков VPN в дополнение к собственным VPN корпорации Майкрософт (например, PPTP, L2TP и IKEv2), включая следующие:
IKEv2
Безопасность IP
Подключения VPN по протоколу SSL (требующие загружаемого подключаемого модуля от поставщика сервера VPN)
Также можно настроить Windows 10 Mobile для использования автоматически инициируемых подключений VPN. Вы определяете подключение VPN для каждого приложения, требующего подключения к интрасети. Когда пользователи переключаются между приложениями, операционная система автоматически устанавливает подключение VPN для этого приложения. Если устройство разрывает подключение VPN, Windows 10 Mobile автоматически повторно подключается к VPN без участия пользователя.
При наличии постоянного подключения VPN операционная система Windows 10 Mobile может автоматически инициировать подключение VPN, когда пользователь выполняет вход. Подключение VPN сохраняется до тех пор, пока не будет вручную отключено пользователем.
Поддержка VPN-подключений системой MDM в Windows 10 Mobile подразумевает подготовку и обновление профилей подключений VPN и связывание подключений VPN с приложениями. Можно создать и подготовить профили подключений VPN, а затем развернуть их на управляемых устройствах под управлением Windows 10 Mobile. В таблице 13 перечислены поля в Windows 10 Mobile для профилей подключения VPN.
Табл. 13. Параметры профиля подключения VPN в WWindows10 Mobile
| Параметр | описание |
|---|---|
| Собственный профиль протокола VPN | Сведения о конфигурации, когда VPN использует собственные VPN-протоколы операционной системы Windows 10 Mobile (IKEv2, PPTP или L2TP); включает следующие параметры.
|
| Профиль подключаемого модуля VPN | Подключаемые модули VPN из Магазина Windows для подключений VPN; включают следующие параметры:
|
| Постоянное подключение | Указывает, подключается ли VPN в момент входа пользователя в систему и остается подключенным до тех пор, пока пользователь вручную не разорвет подключение VPN. |
| Список приложений-триггеров | Список приложений, которые автоматически инициируют VPN-подключение. Каждое приложение-триггер в списке содержит следующие параметры.
|
| Суффиксы DNS | Разделенный запятыми список суффиксов DNS для подключения VPN. Любые DNS-суффиксы из этого списка автоматически добавляются в Список поиска суффиксов. |
| VPN-профиль блокировки | Указывает, является ли данное VPN-подключение профилем блокировки. VPN-профиль блокировки имеет следующие характеристики.
Необходимо удалить VPN-профиль блокировки, прежде чем добавлять, удалять или подключать другие VPN-профили. |
| Правила таблицы политики разрешения имен | Список правил таблицы политики разрешения имен для VPN-подключения. Каждое правило в списке включает следующие параметры:
|
| Прокси-сервер | Любая поддержка прокси-сервера, требуемая VPN-подключению после установки подключения; включает следующие параметры:
|
| Запомнить учетные данные | Указывает, кэширует ли подключение VPN учетные данные. |
| Список маршрутизации | Список маршрутов для добавления в таблицу маршрутизации для VPN-подключения. Каждый маршрут в списке включает следующие параметры:
|
| Список фильтрации трафика | Список правил трафика, определяющих трафик, который может быть отправлен по подключению VPN. Каждое правило в списке включает следующие параметры:
|
| Обнаружение доверенной сети | Разделенный запятыми список доверенных сетей, который заставляет VPN не подключаться, если интрасеть доступна напрямую. |
В таблице 14 перечислены параметры управления подключениями VPN в Windows 10 Mobile. Эти параметры помогают управлять VPN в подключениях мобильных данных, что позволяет снизить затраты, связанные с роумингом, и расходы, связанные с оплатой тарифных планов передачи данных.
Табл. 14. Параметры управления VPN в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить VPN | Указывает, могут ли пользователи менять параметры VPN |
| Разрешить VPN в подключениях мобильных данных | Указывает, могут ли пользователи устанавливать подключения VPN при использовании мобильных сетей |
| Разрешить VPN в подключениях мобильных данных в роуминге | Указывает, могут ли пользователи устанавливать подключения VPN при использовании мобильных сетей в роуминге |
Профили APN
APN определяет сетевые пути для установки подключений мобильных данных. Как правило, определяется одна APN для устройства в сотрудничестве с мобильным оператором, однако если компания пользуется услугами нескольких мобильных операторов, можно определить несколько APN.
APN обеспечивает закрытое подключение к корпоративной сети, которое недоступно другим компаниям в сети мобильного оператора. Корпорации в Европе и Азиатско-Тихоокеанском регионе используют APN, однако для США это нетипично.
Можно определить и развернуть профили APN в системах MDM, настраивающих подключение мобильных данных для Windows 10 Mobile. Устройства под управлением Windows 10 Mobile могут иметь только один профиль APN. В таблице 15 перечислены параметры профилей APN в системе MDM, поддерживаемые в Windows 10 Mobile.
Табл. 15. Параметры профиля APN в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Имя APN | Имя, присвоенное APN |
| Тип IP-подключения | Тип IP-подключения; можно задать одно из следующих значений.
|
| Подключение к LTE | Указывает, нужно ли прикрепить APN, воспользовавшись функцией LTE Attach |
| Идентификатор класса APN | Глобально уникальный идентификатор, определяющий класс APN для модема |
| Тип аутентификации APN | Тип аутентификации APN; задайте одно из следующих значений:
|
| Имя пользователя | Учетная запись пользователя, когда пользователи выбирают аутентификацию по протоколу PAP, CHAP или MSCHAPv2 в поле Тип аутентификации APN |
| Пароль | Пароль для учетной записи пользователя, указанной в поле Имя пользователя |
| Идентификатор интегрированной сетевой карты | Идентификатор интегрированной сетевой карты, связанный с профилем мобильного подключения |
Защита от утечки данных
Некоторые действия пользователей могут ставить под угрозу корпоративные данные, сохраненные на корпоративных устройствах. Например, если разрешить пользователям копировать и вставлять информацию из бизнес-приложения организации, данные могут оказаться под угрозой. Чтобы свести эти риски к минимуму, можно ограничить возможности пользователей Windows 10 Mobile, защитить корпоративные данные и предотвратить утечку данных. Так, можно запретить синхронизацию параметров, операции копирования и вставки и создание снимков экрана. В таблице 16 перечислены параметры MDM в Windows 10 Mobile, с помощью которых можно предотвратить утечки данных.
Табл. 16. Параметры защиты от утечки данных в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить копирование и вставку | Указывает, может ли пользователь копировать и вставлять содержимое |
| Разрешить Кортану | Указывает, может ли пользователь использовать на устройстве Кортану, если она доступна |
| Разрешить обнаружение устройства | Указывает, доступна ли функция обнаружения устройства на экране блокировки (так, с помощью этого параметра можно контролировать, могло ли устройство обнаружить проектор (или другие устройства), когда отображается экран блокировки). |
| Разрешить персонализацию ввода | Указывает, может ли информация, позволяющая установить личность пользователя, покидать устройство или сохраняться локально (обучение Кортаны, письмо чернилами, диктант) |
| Разрешить отмену регистрации в системе MDM вручную | Указывает, разрешено ли пользователям удалять рабочую учетную запись (другими словами, отменять регистрацию устройства в системе MDM) |
| Разрешить фиксирование экрана | Указывает, могут ли пользователи делать снимки экрана устройства |
| Разрешить диалоговый запрос об ошибке SIM-карты | Указывает, нужно ли отображать диалоговое окно с запросом, если SIM-карта не установлена |
| Разрешить синхронизацию моих параметров | Указывает, синхронизируются ли параметры пользовательского интерфейса между устройствами (работает только с учетными записями Майкрософт) |
| Разрешить всплывающие уведомления над экраном блокировки | Указывает, могут ли пользователи просматривать всплывающие уведомления на экране блокировки устройства |
| Разрешить голосовую запись | Указывает, разрешено ли пользователям выполнять голосовую запись. |
Управление хранением
Защита приложений и данных, сохраненных на устройстве, имеет критическое значение для безопасности устройства. Одним из методов защиты ваших приложений и данных является шифрование внутреннего хранилища устройства с использованием функции шифрования устройств в Windows 10 Mobile. Такой подход позволяет защитить корпоративные данные от несанкционированного доступа, даже если несанкционированный пользователь получает физический доступ к устройству.
В Windows 10 Mobile реализована возможность установки приложений на защищенную цифровую SD-карту. Операционная система сохраняет приложения в разделе, который специально для этого предназначен. Эта функция используется всегда, поэтому для ее включения не нужно явно задавать никакую политику.
Между SD-картой и устройством создается уникальная парная связь. Никакие другие устройства не видят приложения и данные, сохраненные в этом зашифрованном разделе, однако они имеют доступ к данным, сохраненным в незащищенном разделе SD-карты, например музыке или фото.
Можно отключить параметр Разрешить карту хранения, чтобы пользователи вообще не могли использовать SD-карты, но основным преимуществом функции шифрования раздела приложений на карте SD является то, что организации могут разрешить пользователям гибко использовать SD-карту и при этом защитить конфиденциальные приложения и данные, расположенные на ней.
Если не зашифровать хранилище, защитить корпоративные приложения и данные можно с помощью параметров Ограничить распространение данных приложения системным томом и Ограничить распространение приложений системным томом. Эти параметры позволяют предотвратить копирование приложений и данных на SD-карты пользователями.
В таблице 17 перечислены параметры управления хранением в MDM, поддерживаемые в Windows 10 Mobile.
Табл. 17. Параметры управления хранением в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить карту хранения | Указывает, могут ли пользователи использовать карты хранения в качестве хранилища устройства (этот параметр не блокирует программный доступ к картам хранения). |
| Требовать шифрование устройства | Указывает, зашифровано ли внутреннее хранилище (если устройство зашифровано, невозможно использовать политику для отключения шифрования). |
| Метод шифрования | Задает метод шифрования диска с помощью BitLocker и строгость шифра; может иметь одно из следующих значений:
|
| Разрешить политику алгоритма FIPS | Указывает, разрешает ли устройство использовать политику алгоритмов FIPS |
| Наборы шифров SSL | Задает список разрешенных криптографических алгоритмов шифрования для подключений SSL |
| Ограничить распространение данных приложения системным томом | Указывает, ограничено ли распространение данных приложений системным диском |
| Ограничить распространение приложений системным томом | Указывает, ограничена ли сфера распространения приложений системным диском |
Управление приложениями
Приложения способствуют повышению продуктивности пользователей на мобильных устройствах. В Windows 10 впервые реализована возможность приобретения организациями приложений в Магазине Windows для своих сотрудников и развертывания этих приложений из Магазина Windows или системы MDM. Управление приложениями становится ключевой возможностью систем MDM, поскольку уменьшает усилия, необходимые для выполнения стандартных задач, связанных с приложениями, таких как распространение приложений и защита данных через политики приложений. В этом разделе описаны функции управления приложениями в Windows 10 Mobile. Раздел содержит следующие темы:
Универсальная платформа Windows (UWP)
Поиск подходящего приложения
Магазин Windows для бизнеса
Политики управления мобильными приложениями (MAM)
Microsoft Edge
Универсальная платформа Windows
В Windows 10 впервые представлена универсальная платформа Windows, представляющая собой единую платформу приложений для всех устройств под управлением любого выпуска Windows 10. Приложения UWP без изменений выполняются во всех выпусках Windows 10, а в Магазине Windows теперь доступны приложения, которые можно приобрести (равно как и лицензию к ним) для всех ваших устройств Windows 10. Приложения Windows Phone 8.1 и Windows 8.1 по-прежнему выполняются на устройствах Windows 10, однако усовершенствования MAM в Windows 10 проявляют себя только для приложений UWP. См. дополнительные сведения в разделе Руководство по приложениям универсальной платформы Windows (UWP).
Поиск подходящего приложения
Первым шагом в процессе управления приложениями является получение приложений, которые нужны вашим пользователям. Теперь это можно сделать в Магазине Windows. Разработчики также могут создавать нужные организации приложения, которые получили название line-of-business (LOB) apps (разработчиков таких приложений называют LOB publishers). Разработчик бизнес-приложений (внутренний или внешний по отношению к организации) теперь может публиковать эти приложения в Магазине Windows по вашему запросу, чтобы вы могли получить пакеты приложений в автономном режиме и распространить их через свою систему MDM.
Чтобы установить приложения из Магазина Windows или бизнес-приложения, воспользуйтесь облачной службой Магазина Windows или системой MDM для распространения пакетов приложений. Система MDM может развертывать приложения в Интернете, перенаправляя пользователя к лицензированному приложению в Магазине Windows или в автономном режиме, распространяя скачанный из Магазина Windows пакет (также называется sideloading) на устройствах Windows 10 Mobile. Можно полностью автоматизировать процедуру развертывания приложений и полностью исключить вмешательство пользователей.
ИТ-администраторы могут получать приложения в Магазине для бизнеса. Большинство приложений можно распространять в Интернете, что означает, что пользователь должен выполнить вход на устройство с помощью учетной записи Azure AD и иметь доступ к Интернету в момент установки. Для распространения приложений в автономном режиме разработчик должен выразить на это свое согласие. Если разработчик приложения не разрешит загрузку приложения Магазина Windows, необходимо будет получить файлы непосредственно у разработчика или воспользоваться интернет-способом. См. дополнительные сведения о приложениях, полученных с помощью Магазина для бизнеса, в разделе Магазин Windows для бизнеса.
Приложения из Магазина Windows автоматически становятся доверенными. Что касается пользовательских бизнес-приложений, разработанных специалистами организации или доверенным поставщиком ПО, необходимо убедиться, что устройство доверяет сертификату подписи приложения. Существует два способа установить такое доверие: использовать сертификат подписи из доверенного источника или создать собственный сертификат подписи и добавить цепочку сертификатов к доверенным сертификатам на устройстве. На устройство под управлением Windows 10 Mobile можно установить до 20 самоподписанных приложений. При приобретении сертификата подписи в общедоступном ЦС можно установить на устройстве более 20 приложений, хотя Windows 10 Mobile Корпоративная позволяет устанавливать более 20 самоподписанных приложений на устройство.
Пользователи могут устанавливать приложения из Магазина Windows, приобретаемые их организацией в приложении "Магазин" на их устройстве. Если разрешить пользователям входить в систему с учетной записью Майкрософт, приложение "Магазин" на их устройстве предоставит единый способ для установки личных и корпоративных приложений.
Магазин для бизнеса
Магазин Windows для бизнеса — это веб-портал, используемый ИТ-профессионалами и потребителями для поиска, приобретения, распространения приложений на устройствах Windows 10 и управления такими приложениями. Этот веб-портал обеспечивает менеджерам, которые прошли аутентификацию с помощью Azure AD, доступ к функциональности и параметрам Магазина для бизнеса. Менеджеры могут создать частный раздел Магазина Windows, с помощью которого организации будут управлять своими частными приложениями. Магазин для бизнеса позволяет организациям предоставлять приложения пользователям и приобретать для них лицензии на приложения. Кроме того, подписки Магазина для бизнеса можно интегрировать с системами MDM, чтобы развертывать приложения из своей бесплатной подписки Магазина для бизнеса с помощью системы MDM.
Процедура использования Магазина для бизнеса описана ниже.
Создайте подписку Магазина для бизнеса для своей организации.
На портале Магазина для бизнеса приобретите приложения из Магазина Windows (пока вам доступны только бесплатные приложения).
В Магазине для бизнеса предоставьте эти приложения пользователям и осуществляйте управление лицензиями для приобретенных в предыдущем шаге приложений.
Интегрируйте свою систему MDM с подпиской Магазина для бизнеса вашей организации.
Используйте систему MDM для развертывания приложений.
Дополнительные сведения о Магазине для бизнеса см. в разделе Магазин Windows для бизнеса.
Политики управления мобильными приложениями (MAM)
С помощью MDM можно управлять защитником Device Guard в Windows 10 Mobile и создать белый или черный список приложений. Эта возможность распространяется и на встроенные приложения, включая телефон, текстовые сообщения, электронную почту и календарь. Возможность разрешить или запретить использование тех или иных приложений гарантирует, что пользователи будут использовать свои мобильные устройства по назначению.
Кроме того, можно контролировать доступ пользователей в Магазин Windows и автоматическое обновление приложений службой Магазина. Всеми этими возможностями можно управлять с помощью системы MDM. В таблице 18 перечислены параметры управления приложениями в Windows 10 Mobile.
Табл. 18. Параметры управления приложениями в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить все доверенные приложения | Указывает, могут ли пользователи загружать неопубликованные приложения на устройстве |
| Разрешить автоматическое обновление Магазина приложений | Указывает, разрешены ли автоматические обновления приложений из Магазина Windows |
| Разрешить разблокировку разработчиком | Указывает, может ли разработчик разблокировать приложение |
| Разрешить общий доступ к данным приложения пользователя | Указывает, возможен ли общий доступ пользователей к данным одного приложения |
| Разрешить Магазин | Указывает, разрешен ли запуск приложений из Магазина Windows |
| Разрешить выполнение моста Windows для Android | Указывает, разрешен ли запуск моста Windows для Android |
| Ограничения приложений | Большой двоичный XML-объект, определяющий ограничения приложений для устройства (этот объект может содержать белый или черный список приложений; можно разрешать или блокировать приложения по идентификатору или издателю). |
| Требовать только частный магазин | Указывает, имеют ли пользователи исключительный доступ в частный магазин (если параметр включен, им доступен только частный магазин; если параметр отключен, пользователям доступен и розничный каталог, и частный магазин). |
| Ограничить распространение данных приложения системным томом | Указывает, разрешено ли хранение данных приложения только на системном диске |
| Ограничить распространение приложений системным томом | Указывает, разрешена ли установка приложений только на системный диск |
| Структура начального экрана | Большой двоичный XML-объект, используемый для настройки начального экрана (см. дополнительные сведения в разделе Структура начального экрана для выпусков Windows 10 Mobile). |
Потенциальная проблема безопасности заключается в том, что пользователи могут зарегистрироваться в качестве разработчиков приложений Windows 10 Mobile и включить на устройстве функции разработчика с возможностью установки приложений из неизвестных источников, что сделает устройство уязвимым для вредоносного ПО. Чтобы не допустить этого, настройте политику Отключить разблокировку разработчиком (загрузку неопубликованных приложений) с помощью системы MDM.
Microsoft Edge
Системы MDM позволяют управлять приложением Microsoft Edge на мобильных устройствах. В таблице 19 перечислены параметры Microsoft Edge для Windows 10 Mobile.
Табл. 19. Параметры Microsoft Edge для Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить активные сценарии | Указывает, разрешены ли активные сценарии |
| Разрешить автозаполнение | Указывает, заполняются ли значения на веб-сайтах автоматически |
| Разрешить браузер | Указывает, разрешено ли использовать браузер Internet Explorer на устройстве |
| Разрешить файлы cookie | Указывает, разрешены ли файлы cookie |
| Разрешить заголовки «Не отслеживать» | Указывает, разрешены ли заголовки «Не отслеживать» |
| Разрешить режим InPrivate | Указывает, могут ли пользователи работать в Интернете в режиме InPrivate |
| Разрешить диспетчер паролей | Указывает, могут ли пользователи использовать диспетчер паролей для локального сохранения паролей и управления ими |
| Разрешить предложение вариантов поиска в адресной строке | Указывает, предлагаются ли в адресной строке варианты поиска |
| Разрешить SmartScreen | Указывает, включен ли фильтр SmartScreen |
| URL-адрес первого запуска | URL-адрес, который должен открываться при первом запуске пользователем Microsoft Edge |
| Включить сайты, обходящие прокси-сервер, в число сайтов интрасети | Указывает, могут ли веб-сайты, обходящие прокси-сервер, пользоваться зоной безопасности интрасети |
| Включить пути UNC в число сайтов интрасети | Указывает, могут ли пути URL представлять пути UNC в зоне безопасности интрасети. |
| Сайты интрасети | Список веб-сайтов в зоне безопасности интрасети |
| Запретить переопределение запросов SmartScreen для файлов | Указывает, могут ли пользователи переопределять предупреждения фильтра SmartScreen о загрузке непроверенных файлов |
Эксплуатация устройств
В этом разделе рассказывается, как реализовывать следующие сценарии с помощью параметров MDM в Windows 10 Mobile:
Обновление устройств
Мониторинг соответствия устройств
Инвентаризация устройств
Удаленная помощь
Облачные службы
Обновление устройств
Чтобы защитить мобильные устройства и сохраненные на них данные, необходимо регулярно обновлять устройства. Центр обновлений Windows автоматически устанавливает обновления, когда те становятся доступны.
Функции обновления устройств, описанные в этом разделе, доступны только в Windows 10 Mobile Корпоративная. Можно отложить системные обновления с помощью системы MDM, активировав корпоративную лицензию на устройствах под управлением Windows 10 Mobile, и контролировать применение обновлений. Так, можно отключить обновления вообще, отложить обновления или запланировать их установку на определенную дату и время аналогично тому, как вы бы использовали службы обновления Windows Server (WSUS) на настольных компьютерах Windows 10, где выполняется Текущая ветвь для бизнеса. В таблице 20 перечислены параметры Windows 10 Mobile Корпоративная, которые можно использовать для настройки обновлений.
Табл. 20. параметры управления обновлениями в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Разрешить автоматическое обновление | Поведение автоматического обновления для поиска, загрузки и установки обновлений; возможны следующие значения:
|
| Разрешить обновления без подписи Microsoft | Указывает, допускает ли система автоматических обновлений обновления, подписанные кем-либо, кроме Microsoft |
| Разрешить службу обновлений | Указывает, могут ли устройства получать обновления из Центра обновления Windows, WSUS или Магазина Windows |
| Отложенные ежемесячные обновления безопасности | Указывает, откладываются ли ежемесячные обновления (например, исправления безопасности); можно откладывать обновления на срок до 4 недель. |
| Отложенные обновления, не связанные с безопасностью | Указывает, откладываются ли обновления, не связанные с безопасностью (такие обновления можно откладывать на срок до 8 месяцев). |
| Приостановить отсрочку обновлений | Указывает, должно ли устройство пропустить цикл обновления (этот параметр действителен, только если на устройствах настроено откладывание обновлений). |
| Требовать утверждения обновления | Указывает, требуется ли утверждение, прежде чем обновления можно будет установить на устройство (если утверждение требуется, любые обновления, предоставляемые по соглашению EULA, автоматически принимаются от лица пользователя). |
| Запланировать время установки | Запланированное время установки обновлений |
| Запланированный день установки | Расписание установки обновлений (в днях) |
| Период отсрочки обновлений | Указывает, на какой период нужно отложить обновления |
| URL-адрес службы обновлений | Имя сервера WSUS, с которого следует загружать обновления вместо Центра обновления Windows |
| Период отсрочки системных обновлений | Указывает, на какой период нужно отложить системные обновления Windows 10 Mobile |
Помимо настройки способа получения обновлений системой Windows 10 Mobile Корпоративная можно управлять отдельными обновлениями Windows 10 Mobile. В таблице 21 представлена информация об утвержденных обновлениях, которая поможет вам контролировать развертывание новых обновлений на устройствах под управлением Windows 10 Mobile Корпоративная.
Табл. 21. Сведения об утвержденных обновлениях Windows 10 Mobile Корпоративная
| Параметр | Описание |
|---|---|
| Утвержденные обновления | Список утвержденных обновлений. Для каждого обновления в списке указан параметр Время утверждения, указывающий на время утверждения обновления. Любые утвержденные обновления автоматически принимают условия соглашения EULA от имени пользователя. |
| Завершившиеся сбоем обновления | Список обновлений, установка которых завершилась ошибкой Для каждого обновления в списке доступны следующие параметры.
|
| Установленные обновления | Список установленных на устройстве обновлений. |
| Доступные для установки обновления | Список доступных для установки обновлений. Для каждого обновления в списке доступны следующие параметры.
|
| Ожидающие перезагрузки обновления | Список обновлений, для завершения установки которых требуется перезагрузка. Для каждого обновления в списке параметр Время установки включен и указывает время установки обновления. |
| Время последнего успешного сканирования | Время, когда было выполнено последнее успешное сканирование на наличие обновлений. |
| Отложить обновление | Указывает, откладывается ли обновление до следующего цикла обновлений. |
Мониторинг соответствия устройств
Систему MDM можно использовать для мониторинга соответствия устройств. Windows 10 Mobile предоставляет информацию аудита, позволяющую отслеживать проблемы и принимать корректирующие меры. Эта информация позволит гарантировать, что устройства настроены в соответствии со стандартами организации.
Можно также оценить работоспособность устройств под управлением Windows 10 Mobile и принять меры в соответствии с политикой организации. Функция аттестации работоспособности в Windows 10 Mobile действует следующим образом.
Клиент аттестации работоспособности собирает данные, используемые для проверки состояния устройства.
Клиент пересылает данные службе аттестации работоспособности (HAS).
Служба формирует сертификат аттестации работоспособности.
Клиент пересылает сертификат аттестации работоспособноти и связанную информацию в систему MDM для проверки.
Дополнительные сведения об аттестации работоспособности в Windows 10 Mobile см. в разделе Руководство по безопасности Windows 10 Mobile.
В зависимости от результатов проверки работоспособности система MDM может предпринять одно из следующих действий.
Разрешить устройству доступ к ресурсам.
Разрешить устройству доступ к ресурсам, но пометить устройство для дальнейшего изучения.
Запретить устройству доступ к ресурсам.
В таблице 21 перечислены точки данных, которые служба HAS собирает и оценивает с устройств под управлением Windows 10 Mobile, чтобы определить, какое действие нужно предпринять. Для большинства из этих точек данных система MDM может предпринять одно из следующих действий.
Заблокировать любой доступ.
Заблокировать доступ к активам, оказывающим существенное влияние на бизнес.
Разрешить условный доступ с учетом других точек данных, присутствующих на момент оценки, например других атрибутов сертификата о работоспособности, прошлых действиях, выполненных устройством, и истории доверия.
Предпринять одно из вышеперечисленных действий и поместить устройство в список наблюдения, чтобы осуществлять более тщательный мониторинг рисков.
Предпринять корректирующее действие, например уведомить ИТ-администраторов о необходимости связаться с владельцем и изучить вопрос более детально.
Табл. 21. Точки данных службы HAS в Windows 10 Mobile
| Точка данных | Описание |
|---|---|
| Наличие ключа удостоверения подлинности (AIK) | Указывает, присутствует ли ключ удостоверения подлинности (другими словами, устройство с AIK может быть более доверенным, чем устройство без такого ключа). |
| Предотвращение выполнения данных (DEP) включено | Указывает, включена ли на устройстве политика DEP (устройство с включенной политикой может быть более доверенным, чем устройство без нее). |
| Состояние BitLocker | BitLocker помогает защитить хранилище на устройстве. Устройство с технологией BitLocker может быть более доверенным, чем устройство без этой технологии. |
| Включена безопасная загрузка | Указывает, включена ли безопасная загрузка на устройстве. Устройство с включенной безопасной загрузкой может быть более доверенным, чем устройство без этой технологии. Безопасная загрузка всегда включена на устройствах Windows 10 Mobile. |
| Включена проверка целостности кода | Указывает, проверяется ли целостность кода дискового или системного файла всякий раз, когда он загружается в память. Устройство с включенной проверкой целостности кода может быть более доверенным, чем устройство без этой технологии. |
| Безопасный режим | Указывает, работает ли Windows в безопасном режиме. Устройство под управлением Windows в безопасном режиме не всегда столь надежно, как устройство в стандартном режиме. |
| Запуск среды предустановки Windows (Windows PE) | Указывает, запускается ли на устройстве среда Windows PE. Устройство под управлением Windows PE не столь безопасно, как устройство под управлением Windows 10 Mobile. |
| Отладка загрузки включена | Указывает, включена ли отладка загрузки на устройстве. Устройство с включенной отладкой загрузки менее безопасно (доверено), чем устройстве без этой функции. |
| Отладка ядра ОС включена | Указывает, включена ли отладка ядра ОС на устройстве. Устройство с включенной отладкой ядра операционной системы менее безопасно (доверено), чем устройство с выключенной функцией. |
| Тестовая подпись включена | Указывает, включена ли тестовая подпись. Устройство с выключенной тестовой подписью более надежно, чем устройство с включенной тестовой подписью. |
| Версия диспетчера загрузки | Версия диспетчера загрузки, выполняемого на устройстве. Служба HAS может проверить эту версию, чтобы определить, выполняется ли наиболее актуальная версия диспетчера загрузки, что является более безопасным (доверенным) сценарием. |
| Версия целостности кода | Указывает версию кода, которая выполняет проверки целостности во время последовательности загрузки. Служба HAS может проверить эту версию, чтобы убедиться, что выполняется наиболее актуальная версия кода, что является более безопасным (доверенным) сценарием. |
| Политика конфигурации безопасной загрузки (SBCP) присутствует | Указывает, присутствует ли хэш пользовательской политики SBCP. Устройство, на котором присутствует хэш SBCP, является более доверенным, чем устройство без хэша. |
| Белый список цикла загрузки | Вид платформы узла между циклами загрузки в соответствии по определению изготовителя в сравнении с опубликованным белым списком. Устройство, которое соответствует этому белому списку, является более доверенным (безопасным), чем несоответствующее устройство. |
Инвентаризация устройств
Инвентаризация устройств помогает организациям лучше управлять устройствами, поскольку предоставляет подробные сведения о них. Системы MDM собирают сведения об инвентаризации удаленно, а воспользовавшись функциями отчетности системы, можно проанализировать ресурсы устройства и прочие сведения о нем. Эта информация позволяет оценить текущие аппаратные и программные ресурсы устройства (например, установленные обновления).
В таблице 22 перечислены примеры сведений о программных и аппаратных ресурсах Windows 10 Mobile, предоставляемые в процессе инвентаризации устройств. В дополнение к этим сведениям система MDM может считывать любые параметры конфигурации, описанные в этом руководстве.
Табл. 22. Примеры сведений об инвентаризации программных и аппаратных ресурсов Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Установленные корпоративные приложения | Список установленных на устройстве корпоративных приложений |
| Имя устройства | Имя, настроенное для устройства |
| Версия микропрограммного обеспечения | Версия микропрограммного обеспечения, установленная на устройстве |
| Версия операционной системы | Версия операционной системы, установленная на устройстве |
| Местное время на устройстве | Местное время, установленное на устройстве |
| Тип процессора | Тип процессора этого устройства |
| Модель устройства | Модель устройства по определению изготовителя |
| Изготовитель устройства | Изготовитель устройства |
| Архитектура процессора устройства | Архитектура процессора данного устройства |
| Язык устройства | Язык, используемый на устройстве |
| Номер телефона | Номер телефона, назначенный устройству |
| Состояние роуминга | Указывает, имеется ли на устройстве мобильное подключение с роумингом |
| Международый идентификатор мобильного оборудования (IMEI) и международный идентификатор мобильного абонента (IMSI) | Уникальные идентификаторы мобильного подключения на телефоне; глобальная система мобильных сетей связи идентифицирует допустимые устройства, используя идентификатор IMEI, а для идентификации пользователя и устройства все мобильные сети используют идентификатор IMSI |
| IP-адрес Wi-Fi | Адреса IPv4 и IPv6, которые в настоящее время назначены адаптеру Wi-Fi устройства |
| MAC-адрес Wi-Fi | MAC-адрес, назначенный адаптеру Wi-Fi на устройстве |
| Суффикс DNS и маска подсети Wi-Fi | Суффикс DNS и маска IP-подсети, назначенная адаптеру Wi-Fi устройства |
| Состояние безопасной загрузки | Указывает, включена ли безопасная загрузка |
| Соблюдение корпоративной политики шифрования | Указывает, зашифровано ли устройство |
Удаленная помощь
Функции удаленной помощи в Windows 10 Mobile помогают решать возникающие у пользователей проблемы даже при отсутствии физического доступа к устройству сотрудников службы поддержки. Эти функции включают следующее.
Удаленная блокировка. Специалист поддержки может удаленно заблокировать устройство. Эта функция полезна, если пользователь теряет свое мобильное устройство, однако в будущем оно может быть найдено (например, специалист забывает устройство на объекте клиента).
Удаленный сброс PIN-кода. Специалист поддержки может удаленно сбросить PIN-код, что полезно, если пользователь забыл свой PIN-код и не может получить доступ к устройству. Пользователь быстро получает доступ к устройству, все корпоративные данные и данные пользователя сохраняются.
Удаленный звонок. Специалист службы поддержки может удаленно отправить вызов на устройство. Это может помочь найти оставленное где-либо устройство, а в сочетании с функцией удаленной блокировки — предотвратить доступ к устройству несанкционированных пользователей.
Удаленный поиск. Специалист службы поддержки может удаленно найти устройство на карте, установив его географическое расположение. Чтобы настроить функцию удаленного поиска в Windows 10 Mobile, воспользуйтесь параметрами в таблице 23. Функция удаленного поиска позволяет получить актуальные сведения о местонахождении устройства (ширина, долгота и высота).
Вышеописанные функции удаленного управления значительно упрощают управление устройствами для ИТ-специалистов организации. Кроме того, благодаря этим функциям пользователи смогут быстро возобновить работу с устройством, если они оставили его где-либо или забыли пароль.
Табл. 23. Параметры удаленного поиска Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Желаемая точность определения местоположения | Желаемая точность выражается значением радиуса в метрах (допустимый диапазон: от 1 до 1 000 метров) |
| Максимальная подолжительность удаленного поиска | Максимальная продолжительность периода (в минутах), когда сервер примет успешный удаленный поиск; значение от 0 до 1 000 минут |
| Время ожидания удаленного поиска | Требуемое время (в секундах) ожидания завершения удаленного поиска устройством; значение от 0 до 1 800 секунд |
Облачные службы
На мобильных устройствах под управлением Windows 10 Mobile пользователи могут легко подключаться к приложениям и данным. Следовательно, они часто подключаются к облачным службам, которые отправляют уведомления пользователям и собирают телеметрические данные (данные об использовании). Windows 10 Mobile позволяет организациям управлять использованием этих облачных служб на устройствах.
Управление push-уведомлениями
Службы push-уведомлений Windows позволяют разработчикам программного обеспечения отправлять обновления всплывающих уведомлений, плиток и индикаторов событий и необработанные обновления из своих облачных служб. Таким образом, предоставляется энергоэффективный и надежный механизм поставки обновлений пользователям.
Push-уведомления могут влиять на время работы батареи, поэтому режим экономии заряда в Windows 10 Mobile ограничивает фоновую активность на устройствах, чтобы увеличить это время. Пользователи могут настроить автоматическое включение режима экономии заряда в случае падения уровня заряда ниже установленного порогового значения. Если режим экономии заряда включен, Windows 10 Mobile отключает получение push-уведомлений в целях экономии ресурсов.
Однако существуют и исключения из этого поведения. В Windows 10 Mobile параметры режима экономии заряда Всегда разрешено (в приложении «Параметры») позволяют приложениям получать push-уведомления даже в режиме экономии заряда. Пользователи могут вручную настроить этот список или воспользоваться для этого системой MDM, то есть в Windows 10 Mobile (ms-settings:batterysaver-settings) для настройки этих параметров можно использовать схему URI параметров режима экономии заряда.
Дополнительные сведения о push-уведомлениях см. в разделе Обзор служб push-уведомлений Windows (WNS).
Управление телеметрией
При работе пользователей с Windows 10 Mobile операционная система может собирать телеметрические данные о производительности и использовании, которые помогают Майкрософт идентифицировать и устранять проблемы и совершенствовать свои продукты и услуги. Майкрософт рекомендует выбирать значение Полный для этой настройки.
Сотрудники, подрядчики, поставщики и партнеры Майкрософт могут иметь доступ к соответствующим частям данных, собираемых Windows 10 Mobile, но им разрешено использовать эту информацию только для устранения неполадок в продуктах и услугах Microsoft и стороннем программном и аппаратном обеспечении, предназначенном для использования с продуктами и услугами Microsoft, и повышения их качества.
Можно контролировать уровень собираемых системами MDM данных. В таблице 24 перечислены уровни данных, собираемых Windows 10 Mobile, с кратким описанием каждого из них. Чтобы настроить устройства, укажите один из этих уровней в настройке Разрешить телеметрию.
Табл. 24. Уровни сбора данных Windows 10 Mobile
| Уровень данных | Описание |
|---|---|
| Безопасность | Собирает информацию, необходимую для обеспечения безопасности корпоративного уровня в Windows 10 Mobile, включая сведения о параметрах клиента телеметрии, средстве удаления вредоносных программ и Защитнитке Windows. Этот уровень доступен только в Windows 10 Корпоративная, Windows 10 для образовательных учреждений и Windows 10 IoT Базовая. В Windows 10 Mobile этот параметр отключает телеметрию Windows 10 Mobile. |
| Базовый | Предоставляет только данные, которые чрезвычайно важны для работы Windows 10 Mobile. Этот уровень данных обеспечивает правильную работу Windows 10 Mobile и выполняемых в нем приложений, поскольку обеспечивает отправку в Майкрософт данных о возможностях устройства, установленном программном обеспечении и работоспособности Windows. Этот параметр также включает функцию отправки базовой отчетности об ошибках в Майкрософт. Выбирая этот параметр, вы позволяете Майкрософт предоставлять обновления через Центр обновлений Windows, включая защиту от вредоносного ПО, с использованием средства удаления вредоносных программ. |
| Расширенный | Включает все основные данные, отправляемые в базовом режиме, плюс данные о том, как пользователи используют Windows 10 Mobile, например как часто или как долго они используют определенные функции или приложения и какие приложения они используют чаще всего. Этот параметр также позволяет операционной системе собирать расширенные диагностические сведения, такие как состояние памяти устройства в момент сбоя системы или приложения и измерять надежность устройств, операционной системы и приложений. |
| Полный | Включает все сведения, отправляемые в базовом и расширенном режиме, а также включает расширенные функции диагностики, собирающие дополнительные данные с устройств, например системные файлы или снимки памяти, которые могут случайно содержать части документов, над которыми пользователи работали в момент сбоя. Эта информация помогает Майкрософт диагностировать и устранять проблемы. Если отчет об ошибках содержит личные данные, Майкрософт не использует эту информацию, чтобы идентифицировать пользователей, налаживать с ними контакты или рассылать им целевую рекламу. |
Утилизация устройств
Утилизация устройства (отмена регистрации) — это последний этап жизненного цикла устройства. Исторически утилизация мобильных устройств представляла собой весьма сложную для организаций процедуру. Если устройство больше не требуется организации, необходимо удалить (стереть) с него корпоративные данные. В сценариях BYOD утилизация устройства — еще более сложная задача, потому что пользователи ожидают, что их личные приложения и данные останутся нетронутыми. Следовательно, требуется удалить данные организации, не затрагивая данные пользователя.
Можно удаленно стереть все корпоративные данные с устройств под управлением Windows 10 Mobile, не затрагивая существующие данные пользователя (частичное удаление или удаление в масштабах организации). Утилизация устройства может инициироваться службой технической поддержки или пользователем устройства. По окончании утилизации Windows 10 Mobile возвращает устройства в то состояние, в котором они находились до регистрации. В следующем списке суммируются корпоративные данные, которые удаляются с устройства в рамках утилизации.
Учетные записи электронной почты
Выданные организацией сертификаты
Сетевые профили
Развернутые организацией приложения
Любые данные, связанные с развернутыми организацией приложениями
Примечание
Все эти функции доступны в дополнение к функциям сброса программного и аппаратного обеспечения устройства до заводских настроек, которое можно использовать для восстановления заводской конфигурации на устройстве.
Чтобы указать, могут ли пользователи удалять рабочую учетную запись на панели управления и отменять регистрацию в системе MDM, включите параметр Разрешить отмену регистрации в системе MDM вручную. В таблице 25 перечислены дополнительные параметры удаленной очистки Windows 10, которые можно настроить с помощью системы MDM.
Табл. 25. Параметры удаленной очистки в Windows 10 Mobile
| Параметр | Описание |
|---|---|
| Очистка | Указывает, нужно ли выполнять удаленную очистку устройства |
| Разрешить отмену регистрации в системе MDM вручную | Указывает, разрешено ли пользователям удалять рабочую учетную запись (другими словами, отменять регистрацию устройства в системе MDM) |
| Разрешить пользователю сбросить настройки телефона | Разрешено ли пользователям использовать панель управления или сочетания аппаратных клавиш, чтобы вернуть для устройства настройки по умолчанию. |
Связанные разделы
Управление мобильными устройствами