混合环境中的移动设备和计算机的简化管理
应用到: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager
本指南适用于谁?:需要利用其现有的 Configuration Manager 基础结构管理本地和远程移动设备和电脑以为需要使用这些设备访问企业资源的员工提供支持的公司。
本指南将如何帮助你? 本指南提供了经过测试的说明性设计,介绍如何执行以下操作:
升级现有的本地 Configuration Manager 基础结构并将其扩展到云中,以允许用户通过他们选择的设备以远程方式工作。
将电脑和移动设备管理统一到单个基础结构中。
维护所有设备的企业合规性。
保护企业数据。
本解决方案的内容:
方案、问题陈述和目标
方案
问题陈述
组织目标
针对本解决方案推荐哪种设计?
安装 System Center 2012 R2 Configuration Manager 和迁移对象
订阅 Windows Intune
使用 Microsoft Azure AD 和目录同步管理标识和访问
使用密码同步为用户提供安全轻松的访问
计划分阶段的平台升级
实现步骤
下图显示了本解决方案指南可解决的问题。
.png "问题的简要概述")
图 1:问题的简要概述。
方案、问题陈述和目标
本节介绍示例组织的方案、问题和目标。
方案
此解决方案使用了一个员工超过 5,000 人的示例公司,这些员工带着其 Windows Phone 8、Windows RT、iOS 和 Android 个人设备来工作。当前,他们无法从这些设备访问公司资源。
该公司使用 Microsoft System Center Configuration Manager 2007 SP2 为本地用户以及通过 VPN 连接到公司网络的用户管理电脑。该公司无法管理移动设备。
公司环境的基础结构包含:
Windows Server 2008 R2
Windows Server 2008 R2 Active Directory
Configuration Manager 2007 SP2
已加入到域并由 Configuration Manager 管理的电脑
下图展示了该公司的当前环境。
.png "公司环境的简要概述")
图 2:当前环境的简要概述
问题陈述
当前设备管理基础结构不支持示例公司不断增长的需求:
它们管理当前环境中的电脑,但无法管理移动设备。
它们可为某些员工提供企业拥有的移动设备。其他员工想要在工作中使用其个人设备。
该公司也担心管理所有这些设备所需的资源。支持许多电脑、设备和应用程序代价会很高昂,并且设备管理会全天候占用 IT 部门。
该公司需要管理风险,并确保所有设备(公司和个人的)都符合安全准则。
设备管理会为公司资产和信息带来安全风险。一旦员工在 IT 部门未管理(或甚至不知道)的设备上工作,保持对敏感的公司信息的控制就会变得非常困难。
如果该设备被卖、丢失或被盗,IT 部门会无能为力。
组织目标
该示例公司正在寻找一个允许他们实现以下目标的解决方案:
使用其现有的 Configuration Manager 基础结构。IT 部门已向当前基础结构投入了大量资源,并且不希望重新开始。
允许员工使用个人设备及公司设备访问公司应用程序和数据。其中包括电脑和移动设备。
可以从单个管理员控制台管理电脑和个人设备。管理设备包括设置安全性和合规性设置、收集软件和硬件清单或部署软件。
根据设备类型以及设备是属于个人还是由公司拥有,部署应用程序或 Web 链接。
在移动设备丢失、被盗或不再使用时,擦除其上存储的公司数据来保护公司。
针对本解决方案推荐哪种设计?
若要解决其业务问题并满足其组织目标,该公司需要:
在其总部安装新的 System Center 2012 R2 配置管理器 独立主站点,并在远程位置安装分发点。
将对象和分发点从其现有的 Configuration Manager 2007 SP2 基础结构迁移到 System Center 2012 R2 配置管理器。
订阅 Windows Intune 并在 Configuration Manager 中配置 Windows Intune 连接器以与 Windows Intune 集成。
将其域用户帐户同步到 Microsoft Azure,因为 Windows Intune 是一种云服务。这样,他们可以管理可能从个人移动设备访问公司资源的用户。
使用“密码同步”允许用户使用其本地域用户名和密码访问云服务。
下图说明了此解决方案中的元素如何相互通信。
.png "公司解决方案的简要概述")
图 3:解决方案的简要概述
| 解决方案设计元素 | 为什么将其包含在本解决方案中? |
|---|---|
System Center 2012 R2 配置管理器 |
提供安全可伸缩的软件部署、合规性设置管理以及对服务器、台式计算机、笔记本电脑和移动设备的综合资产管理(当集成了 Windows Intune 时)。 |
Windows Intune |
通过 Internet 管理移动设备。与 System Center 2012 R2 配置管理器 集成时,可以从 Configuration Manager 控制台同时管理电脑和移动设备。 |
Microsoft Azure Active Directory (AD) |
一种为本地和云应用程序提供标识和访问功能的服务。 |
Microsoft Azure 目录同步 (DirSync) |
将本地 AD 用户与 Microsoft Azure AD 同步。 |
密码同步 |
允许用户使用同一用户名和密码访问本地服务和云服务。 |
安装 System Center 2012 R2 Configuration Manager 和迁移对象
System Center 2012 R2 配置管理器 可以通过集成 Windows Intune 将该公司管理本地电脑的能力扩展到云。并且,通过将 Configuration Manager 与 Windows Intune 配合使用,该公司可以从单个控制台同时管理其本地电脑和移动设备。他们还想减少 IT 开销。
因此,该公司将在其总部安装 System Center 2012 R2 配置管理器 独立主站点,并在远程位置安装分发点。
然后,他们将对象从其 Configuration Manager 2007 SP2 环境迁移到 System Center 2012 R2 配置管理器。
该公司出于以下原因选择了迁移:
集成解决方案:该公司希望有一个集成解决方案,允许他们从单个控制台同时管理电脑和移动设备。System Center 2012 R2 配置管理器 与 Windows Intune 提供了此集成解决方案。
简化层次结构:有了 System Center 2012 R2 配置管理器,他们确定他们不再需要在每个远程位置建立辅助站点,如下图中所示。
.png "现有层次结构,Configuration Manager 2007")
图 3:现有层次结构 Configuration Manager 2007
.png "新层次结构,System Center 2012 R2 ConfigMgr")
图 4:新的层次结构 System Center 2012 R2 配置管理器
简化层次结构的关键驱动因素:
基于角色的管理:在 System Center 2012 R2 配置管理器 中,基于角色的管理允许公司使用以下任一项或所有项为 System Center 2012 R2 配置管理器 层次结构设计和实现管理安全性:
安全角色
集合
安全作用域
将这些设置结合起来定义管理用户的管理作用域。管理作用域控制管理用户可以在 Configuration Manager 控制台中查看的对象以及该用户对这些对象具有的权限。请参阅规划基于角色的管理。
内容管理:在 System Center 2012 R2 配置管理器 中,该公司可以配置用于将内容传输到分发点的网络带宽,并可以在远程位置的分发点上预安排内容。请参阅分发点的网络带宽注意事项。
已迁移的对象:该公司可以使用迁移工具将对象从 Configuration Manager 2007 SP2 迁移到 System Center 2012 R2 配置管理器 层次结构。该公司的 IT 部门已投入了大量时间来创建集合、任务序列、配置项等 Configuration Manager 对象。通过迁移,他们将继续受益于这项投资。
最新功能:该公司也对 System Center 2012 R2 配置管理器 中未直接关系到此解决方案的新增功能感兴趣。请参阅 System Center 2012 R2 Configuration Manager 中的新增功能。
订阅 Windows Intune
Windows Intune 服务为移动设备提供基于云的管理。该公司将订阅 Windows Intune,然后将 Windows Intune 与 System Center 2012 R2 配置管理器 集成,以便从 Configuration Manager 控制台同时管理电脑和移动设备。
订阅 Windows Intune 可支持公司实现同时管理电脑和移动设备的集成解决方案目标。
该公司考虑过使用第三方移动设备管理解决方案。这些解决方案均未提供他们所需的集成体验。他们也不想更换产品并产生培训和实现费用。
一项附加好处是,该公司如果在几个月后订阅 Microsoft Office 365,可以使用其 Windows Intune 订阅中的用户帐户。
提示
如果你的公司已使用 Microsoft Online Services 访问 Microsoft Office 365 等服务,在订阅 Windows Intune 时,请使用同一用户帐户。这样,你便可以对组织的 Microsoft Azure AD 租户中的所有服务使用同一用户组。如果你未选择“使用现有用户登录”选项,则将为你创建一个新的 Microsoft Azure AD 租户。然后,你需要将用户添加到新租户。
使用 Microsoft Azure AD 和目录同步管理标识和访问
Windows Intune 使用 Microsoft Azure AD 来存储用户帐户。Microsoft 云服务(如 Windows Intune 和 Office 365)都依赖于 Microsoft Azure AD 提供的标识管理功能。
该公司将使用 Microsoft Azure 目录同步 (DirSync) 将本地 Windows Server AD 用户与 Microsoft Azure AD 同步。目录同步旨在作为本地 AD 与基于云的 Microsoft Azure AD 之间的一种持续关系。该公司选择了目录同步是为了以下目的:
降低管理成本:如果没有目录同步,该公司将不得不手动将其用户和组帐户添加到 Microsoft Azure AD。目录同步会将本地 Windows Server AD 中的用户帐户同步到 Microsoft Azure AD。激活目录同步后,你可以在本地环境中编辑同步的对象,并且这些编辑将会与你的 Windows Intune 订阅进行同步,从而可以降低管理成本。
提高工作效率:通过自动执行同步用户帐户和组帐户的过程,该公司可以大大减少使基于云的服务可供其员工访问所需的时间。
规划和设计目录同步的注意事项
在规划目录同步时,该公司考虑了硬件要求、管理员权限、性能注意事项等因素。准备进行目录同步中记录了这些要求。
使用密码同步为用户提供安全轻松的访问
必须配置用户身份验证,否则公司的员工将需要使用不同的用户名和单独的密码来访问云和本地服务。该公司决定他们必须设置用户身份验证,以避免因管理初始和后续密码更改而产生的附加管理开销并提供更好的用户体验。他们决定使用密码同步进行用户身份验证。
该公司考虑了以下身份验证方法供员工使用相同的凭据访问云和本地资源:
密码同步是一种轻型选项,可为用户提供类似于单一登录的体验,并且非常易于部署。密码同步是你可以在目录同步中选择的一个选项,它允许目录同步在 Microsoft Azure AD 中存储密码的哈希值。在目录同步计算机上启用密码同步后,你的用户将能够使用他们在登录本地网络时所用的同一密码登录到 Microsoft 云服务(如 Office 365、Dynamics CRM 和 Windows Intune)。当你的用户在企业网络中更改其密码时,这些更改将同步到云。
但是,密码同步不提供在使用 AD FS 时可获得的单一登录 (SSO) 解决方案。用户每次访问云服务时都需要重新输入其凭据。请参阅:
Active Directory 联合身份验证服务 (AD FS) 提供与 Active Directory 身份验证协议一起使用的真正的单一登录 (SSO) 体验。本地 Active Directory 和 AD FS 与 Microsoft Azure AD 标识平台进行交互,以提供对一个或多个 Microsoft 云服务的访问。配置 SSO 时,将在域和 Microsoft Azure AD 身份验证系统之间创建联合信任。用户可以使用云服务和本地服务进行身份验证(对这两种服务使用同一用户名和密码)。对用户进行身份验证后,在这些用户访问云服务时,将不再提示他们输入凭据。
由于几个原因,该公司已决定使用密码同步进行用户身份验证。密码同步很容易在目录同步中配置,而他们已计划使用目录同步来同步其本地用户帐户。他们还计划在下六个月内将其域控制器升级到 Windows Server 2012 R2。AD FS 是 Windows Server 2012 R2 中的站点角色,并具有很多新功能。该公司计划在升级其域控制器时实现 AD FS。有关在 Windows Server 2012 R2 中实现 AD FS 的详细信息,请参阅:
该公司决定使用密码同步进行用户身份验证。但是,你可能决定在环境中实现 AD FS 以进行 SSO。请参阅:
AD FS 设计注意事项:AD FS 2.0 设计指南
使用 AD FS 实现 SSO:清单:使用 AD FS 实现和管理单一登录
计划分阶段的平台升级
该公司决定不作为此解决方案的一部分升级其本地 AD,但计划在下 6 个月内升级。
该公司的 IT 部门建议作为此解决方案的一部分升级其本地 AD。在 Windows Server 2012 R2 中,已通过以下功能对 AD 进行增强:
设备注册。IT 管理员可以允许对设备进行注册,这会将该设备与公司的 Active Directory 相关联。此关联可用作无缝的第二因素身份验证。
从与公司 Active Directory 关联的设备进行单一登录 (SSO)。
Web 应用程序代理,它允许用户从任何位置连接到应用程序和服务。
多重访问控制和多重身份验证 (MFA),它们管理用户在任何位置工作及从其设备访问受保护的数据所带来的风险。
工作文件夹,它们为用户提供了用于存储和访问电脑和设备上的工作文件的位置。
请参阅 Active Directory 服务。
虽然公司的管理团队同意新功能很有价值,但他们不能批准资源作为此解决方案的一部分升级 AD。管理团队想要在下六个月内升级其本地 AD。
当你准备升级本地 AD 和实现 AD FS 时,请参阅从任何位置、在任何设备上安全访问公司资源。
实现步骤
本节提供公司实现此解决方案所需执行的步骤。如果按照这些步骤进行操作,请确保验证每一步都正确部署,然后再继续执行下一步。
订阅 Windows Intune。
在 Windows Intune 网站上创建 Windows Intune 订阅。
- 如果你已有其他云服务(例如 Office 365)的用户帐户,则可以单击 “登录” 以输入帐户凭据。这样,你便可以对组织的 Microsoft Azure AD 租户中的所有服务共用同一用户组。
验证步骤: 完成注册过程后,将向你提供的电子邮件地址发送一封电子邮件。单击该电子邮件中包含的链接,或者转到 Windows Intune 帐户门户(网址为 https://account.manage.microsoft.com)并验证你是否可以登录。
配置你的公共域。
获取公共域。若要使用 Windows Intune 服务,还需要一个可通过域名注册服务验证的公共组织域名。在 Windows Intune 帐户门户(网址为 https://account.manage.microsoft.com)的 “域” 节点下添加并验证你的公共域。
确保已在本地 Active Directory 中添加该公共域作为备用的 UPN 后缀。用户必须在云中和本地 Active Directory 中具有同一公共域用户主体名称 (UPN) 才能注册移动设备。在配置目录同步之前,必须验证你的用户是否具有公共域 UPN。如果你跳过这一步,可能会向用户的云 UPN 后面追加“onmicrosoft.com”,这将导致与在本地 Active Directory 用户名不匹配。请参阅添加用户主体名称后缀。
在 DNS 中添加一条将 enterpriseenrollment.<publicdomain> 指向 manage.microsoft.com 的 CNAME 记录。该 CNAME 记录将在后面的注册过程中使用。请参阅将别名 (CNAME) 资源记录添加到区域。
验证步骤:
检查 Windows Intune 帐户门户的 “域” 页以确保该公共域已列出并已通过验证。
查看本地 Active Directory 中某一用户帐户的属性以确保 UPN 已使用公共域名列出。
通过将目录同步与密码同步配合使用为用户提供安全轻松的访问。
可以在 Windows Intune 帐户门户(网址为 https://account.manage.microsoft.com)中配置密码同步。在该门户的 “用户” 节点中,单击 “Active Directory 同步:设置”,然后按照 “设置并管理 Active Directory 同步” 中所述的步骤进行操作。可以在运行目录同步工具配置向导时通过选择 “启用密码同步” 来启用密码同步。
请参阅:
验证步骤:登入 Windows Intune 帐户门户(网址为 https://account.manage.microsoft.com)以查看用户帐户。
安装 System Center 2012 R2 配置管理器 站点或层次结构。
该公司在规划其 System Center 2012 R2 配置管理器 层次结构后,决定将在其总部安装独立主站点,并在其远程位置安装分发点。你可能会确定你的层次结构需要不同的配置。使用以下步骤来安装 System Center 2012 R2 配置管理器 站点或层次结构:
确定同时满足软件和硬件先决条件的服务器,以便托管 Configuration Manager 主站点。请参阅规划 Configuration Manager 的硬件配置。
查看托管 Configuration Manager 站点所需的软件和支持的操作系统。请参阅站点系统要求。
配置 Windows 环境以支持 System Center 2012 R2 配置管理器。请参阅为 Configuration Manager 准备 Windows 环境。
安装 System Center 2012 R2 配置管理器 站点。请参阅为 Configuration Manager 安装站点和创建层次结构。对于此解决方案,该公司将安装独立主站点,并将跳过用于安装管理中心站点或辅助站点的步骤。当你完成本主题时,请选择适合你的环境的站点。
在远程位置安装分发点。该示例公司已确定他们可以在每个远程位置使用分发点而不是在每个位置使用辅助站点。有关安装和配置分发点的详细信息,请参阅在 Configuration Manager 中配置内容管理。
验证步骤
在主站点服务器计算机上,监视安装向导的进度。Configuration Manager 安装向导将显示每个站点安装任务的结果。在所有安装任务均已完成后,可以关闭该向导。但是,在站点安装完成后,安装向导将继续显示有关正在进行的站点配置的信息,如果不关闭该向导,则可以监视该信息。关闭安装向导不会影响这些正在进行的配置,关闭向导后这些配置将继续在后台运行。查看 ConfigMgrSetup.log 以验证该站点是否已成功安装。
配置管理特性和功能。
安装站点或层次结构后,请将站点配置为支持你要使用的 System Center 2012 R2 配置管理器 的管理特性和功能。在配置 Windows Intune 订阅或在步骤 8 中安装 Windows Intune 连接器站点系统角色之前,必须配置 Active Directory 用户发现。请参阅:
迁移到 System Center 2012 R2 配置管理器。
从 Configuration Manager 2007 源层次结构中迁移对象时,你将访问你在源基础结构中标识的站点数据库中的数据,然后将该数据复制到 System Center 2012 R2 配置管理器 层次结构。迁移不会更改源层次结构中的数据。它会发现数据,并将副本存储在目标层次结构的数据库中。请参阅在 System Center 2012 Configuration Manager 中迁移层次结构。
若要将 Configuration Manager 2007 数据迁移到 System Center 2012 R2 配置管理器,请执行以下操作:
指定 Configuration Manager 2007 SP2 层次结构作为迁移的源层次结构。默认情况下,该层次结构的顶层站点将成为源层次结构的源站点。从初始源站点中收集数据后,然后可以为迁移配置附加源站点。
在你指定源层次结构、为每个附加源站点配置凭据或共享源站点的分发点后,Configuration Manager 将立即开始从源站点收集数据。默认情况下,数据收集过程每四个小时重复执行一次,以便 Configuration Manager 可以确定源层次结构中你可能要迁移的数据是否有更改。从源层次结构向目标层次结构共享分发点也必须进行数据收集。请参阅配置要迁移到 System Center 2012 Configuration Manager 的源层次结构和源站点。
创建用于在源和目标层次结构之间迁移数据的迁移作业。使用迁移作业来配置要迁移到 System Center 2012 R2 配置管理器 环境的特定数据。迁移作业将确定你打算迁移的对象,然后这些作业将在你的层次结构的顶层站点上运行。请参阅创建和编辑 System Center 2012 Configuration Manager 的迁移作业。
监视迁移作业。在 System Center 2012 R2 配置管理器 控制台中监视迁移作业的进度。请参阅在迁移工作区中监视迁移活动。
升级共享的分发点。你可以将从 Configuration Manager 2007 源站点共享的受支持分发点升级为目标层次结构中的分发点。请参阅在 System Center 2012 Configuration Manager 中升级或重新分配共享的分发点。
将 Configuration Manager 2007 客户端迁移到 System Center 2012 R2 配置管理器。在层次结构之间迁移客户端数据之后但在完成迁移之前,计划将客户端迁移到目标层次结构。若要在层次结构之间迁移客户端,请从目标层次结构安装 Configuration Manager 客户端软件。将卸载 Configuration Manager 客户端,然后安装 System Center 2012 R2 配置管理器 客户端并将其分配给主站点。请参阅在 System Center 2012 Configuration Manager 中规划客户端迁移策略。
完成迁移过程:当你的 Configuration Manager 2007 层次结构不再包含要迁移到目标层次结构的数据时,便可以完成迁移过程。执行此操作的步骤:
请确保已从源层次结构成功迁移你在目标层次结构中需要的所有资源。这可以包括数据和客户端。
停止从 Configuration Manager 2007 层次结构中的每个源站点收集数据。为此,请在底层源站点上运行 停止收集数据 操作,然后在每个父站点上重复执行该过程。源层次结构的顶层站点必须是你停止收集数据的最后一个站点。在父站点上执行此操作前,必须先在每个子站点上停止数据收集。 停止收集数据后,你将无法再在源和目标层次结构之间共享分发点。
清理迁移数据。为此,请使用清理迁移数据操作。此可选操作会从目标层次结构的数据库中删除有关当前源层次结构的数据。在清理迁移数据之前,每个已运行或计划运行的迁移作业仍然可以在 Configuration Manager 控制台中访问。清理迁移数据时,将从目标层次结构的数据库中删除有关迁移的大部分数据。请参阅在 System Center 2012 Configuration Manager 中完成迁移。
验证步骤: 迁移由几个不同的操作或阶段组成,并持续一段时间,直到你决定完成迁移过程为止。因此,无法通过查看单个验证步骤或过程来确认迁移已完成。但是,在每个阶段的操作运行或完成时,你可以通过查看 System Center 2012 R2 配置管理器 控制台中显示的内容来验证结果。
取消配置 Configuration Manager 2007 层次结构: 完成从源层次结构进行的迁移并且该层次结构不再包含你管理的资源后,可以取消配置源层次结构中的站点,并从你的环境中删除相关基础结构。请参阅用于取消配置站点和层次结构的 Configuration Manager 任务。
为移动设备获取证书或密钥
公司必须先具有证书或旁加载密钥,然后才能注册移动设备。你要在环境中使用的移动设备类型将确定需要哪些证书或旁加载密钥。请参阅获取证书或密钥以满足每个平台的先决条件。
在顶层站点上配置 Windows Intune 订阅并安装 Windows Intune 连接器站点系统角色。
该公司必须先在其顶层站点服务器上配置其 Windows Intune 订阅,并安装 Windows Intune 连接器站点系统角色,然后才能使用 Configuration Manager 管理移动设备。他们将配置其独立的主站点。如果你有更复杂的层次结构,请配置管理中心站点。
配置 Windows Intune 订阅。请参阅配置 Windows Intune 订阅。
安装 Windows Intune 连接器。请参阅 Windows 连接器站点系统角色。
验证步骤:
在主站点服务器计算机上,查看 sitecomp.log 以验证是否已成功安装 Windows Intune 连接器站点系统角色。
在安装 Windows Intune 连接器的计算机上,查看 cloudusersync.log 以验证你的域中的用户是否已成功同步到 Windows Intune。
在主站点服务器计算机上,查看 CertMgr.log 以确认你安装 Windows Intune 连接器的计算机共享连接器证书。在 Windows Intune 连接器站点系统角色安装完成后,将共享证书。
在你安装 Windows Intune 连接器的计算机上,查看 dmpuploader.log 以验证连接器站点系统角色是否可以将策略和配置更改上载到 Windows Intune 服务。
在你安装 Windows Intune 连接器的计算机上,查看 dmpdownloader.log 以验证 Windows Intune 连接器是否能够从 Windows Intune 中下载消息。此日志可能只在下载过程的开头显示 ping,它可能需要过一些时间才会记录与下载相关的条目。
注册移动设备。
注册会在用户、移动设备和 Windows Intune 服务之间建立关系。用户可注册其自己的移动设备。Android 设备将不会注册,但可通过使用 Exchange Server 连接器来进行管理。请参阅移动设备注册。
安装 System Center 2012 R2 配置管理器 控制台。
默认情况下,当你安装主站点时,Configuration Manager 控制台也将安装在主站点服务器计算机上。安装站点后,你可以在计算机上安装其他 System Center 2012 R2 配置管理器 控制台以管理站点。请参阅安装 Configuration Manager 控制台。
管理你的电脑和移动设备。
在安装站点并对其进行基本配置之后,你可以开始配置电脑和移动设备管理。以下是可能会配置的典型特性或功能:
功能 详细信息 使用硬件清单来收集有关你组织中客户端设备的硬件配置的信息。
使用软件清单来收集有关你组织中客户端设备上包含的文件的信息。此外,软件清单还可以从客户端设备收集文件,并将这些文件存储在站点服务器上。
使用资产智能来盘点和管理整个企业的软件许可证使用情况并提高所收集的有关硬件和软件的信息广度。
使用合规性设置来管理你组织中的服务器、笔记本电脑、台式计算机和移动设备的配置和合规性。
使用公司资源访问权限通过配置以下项来为你组织中的用户提供从远程位置访问数据和应用程序的权限:
- 证书配置文件
- VPN 配置文件
- Wi-Fi 配置文件
使用远程连接配置文件允许用户在未连接到域时或其个人计算机已通过 Internet 进行连接时远程连接到工作计算机。
使用应用程序管理来同时为 Configuration Manager 管理用户和客户端设备用户管理企业中的应用程序。
使用软件更新来监视合规性,并将软件更新部署到企业中的计算机上。
使用本演练的步骤可以让你通过在 Internet 上使用 Windows Intune 服务来管理 Windows Phone 8、Windows RT、iOS 和 Android 设备。
你可以完全擦除 Windows Phone 8、iOS 和 Android 设备上的内容,以将设备还原为出厂设置。你也可以有选择性地只擦除公司内容。
- 证书配置文件
另请参见
| 内容类型 | 引用 |
|---|---|
产品评估/入门 |
|
引用 |
|
相关解决方案 |
|
社区资源 |