使用 Configuration Manager 和 Windows Intune 保护移动设备上的公司数据
Hi, this is Yan and I’m excited to be able to share with you this What's New in 2012 R2 based blog that was originally posted to the In the Cloud TechNet blog on July 2013. Please note, this blog may contain some links that refer to another blog that is currently only posted in English. If any of the content that we link to is something you would like to see translated, please post a comment on this post and let us know. We really value your opinions and would like to know what topics are most interesting to you. There is also a translation widget on the right side of the English page, which will allow you to translate the post in page. Thanks and we hope you find value with this content.
本博文是“Windows Server 和 System Center 2012 R2 中的新增功能”系列中的一部分(共 9 部分),该系列是 Brad Anderson 的云端瞭望博客中的精选内容。今天的博文将介绍 System Center 2012 R2 Configuration Manager 和 Windows Intune 如何保护移动设备上的企业数据,以及它如何应用于 Brad 的更大主题“以人为中心的 IT”。若要阅读该博文并查看讨论的其他技术,请阅读今天的博文:“提高设备用户的工作效率并保护企业信息”。
随着移动设备的使用越来越广泛,企业看到允许用户从他们的移动设备访问企业数据可以提高工作效率。但由于企业对用户的个人设备的 IT 控制力非常有限,因此这种工作效率的提高是以更大的风险为代价的。以下因素会导致风险的增加:
- 与 PC 或笔记本电脑相比,移动设备更容易丢失或被盗。
- 用户经常升级其移动设备,并且在出售或处置其移动设备之前,可能不会小心地删除其中敏感的企业数据。
在本博文中,我们将详细介绍 System Center Configuration Manager 和 Windows Intune 如何帮助组织保护存储在移动设备上的敏感企业数据。
设备安全和加密
应该对连接到企业网络的每台移动设备进行配置,以符合组织的密码和数据加密策略。建议您通过创建移动设备配置项来配置以下设置:
- 需要密码
- 密码复杂度(最好是字母数字字符,还可以要求使用特殊字符)
- 禁止使用包含重复的字符或字符串(如 1111 或 1234 等)的简单密码
- 密码长度(至少 4 个字符)
- 在移动设备上启用文件加密
由于最终用户经常使用 iCloud 之类的外部应用程序在其设备上存储数据,因此其设备就成为企业数据泄漏的可能来源。根据组织对风险的容忍程度,您可以利用 System Center 2012 R2 Configuration Manager 中新的设置来限制将信息备份到 iCloud 服务的能力。
有关 System Center 2012 R2 Configuration Manager 版本中支持的设置的完整列表,请参阅此博文:https://blogs.technet.com/b/configmgrteam/archive/2013/07/10/compliance-settings-and-company-resource-access.aspx。
完全擦除
当用户报告设备丢失或被盗时,作为 IT 管理员,您可以选择的做法之一就是将该设备完全重置回其出厂默认值。我们将这种操作称为“完全擦除”。设备上的所有数据都将完全删除,包括照片、视频、个人电子邮件和最终用户从公共应用商店安装的应用程序等所有个人数据。由于此操作可能会对用户的个人数据造成严重影响,因此您需要确保用户同意执行此操作,才能获得对企业数据的访问权限。
若要从 Configuration Manager 控制台远程启动擦除,请导航到 [Assets and Compliance](资产和合规性)工作区的 [Devices](设备)节点,选择然后右键单击该设备。如以下屏幕截图所示,您将看到一个 [Retire/Wipe](停用/擦除)设备的选项。大多数移动操作系统平台都支持完全擦除。如果某特定平台不支持完全擦除,在 Configuration Manager 控制台中,将无法对设备使用此选项。
使用选择性擦除删除企业数据
在有些情形下,例如用户从组织中离职,完全擦除是一项非常具有破坏性的操作,因为设备上的所有个人数据也将被删除。System Center 2012 R2 Configuration Manager 和 Windows Intune 可帮助将设备上的企业数据和个人数据分隔开,并且现在支持“选择性擦除”操作,从而只删除企业数据和使用 Configuration Manager 部署的应用程序。用户设备上的所有照片、视频和其他个人文件都保留不动。IT 管理员可以使用前面显示的同一 [Retire/Wipe](停用/擦除)选项启动选择性擦除。不过,如以下屏幕截图所示,System Center 2012 R2 Configuration Manager 为您提供了一个用于擦除公司内容的新选项,我们将该操作称为“选择性擦除”。
选择性擦除的确切实施方式取决于底层移动操作系统平台的功能。下表提供了各种主流移动操作系统平台上的选择性擦除操作的说明。
停用设备时内容被删除 |
Windows 8.1 Preview |
Windows 8 RT |
Windows Phone 8 |
iOS |
Android |
使用 Configuration Manager 和 Windows Intune 安装的公司应用和相关数据 |
卸载并删除旁加载密钥。 此外,使用 Windows 选择性擦除的任何应用都将吊销加密密钥,用户也无法再访问数据。 |
旁加载密钥被删除,但未被卸载。 |
卸载并删除数据。 |
卸载并删除数据。 |
应用和数据未被卸载。 |
VPN 和 Wi-Fi 配置文件 |
已删除。 |
不适用。 |
不适用。 |
已删除。 |
VPN:不适用。 Wi-Fi:未删除。 |
证书 |
删除并吊销。 |
不适用。 |
不适用。 |
删除并吊销。 |
吊销。 |
设置 |
删除必需项。 |
删除必需项。 |
删除必需项。 |
删除必需项。 |
删除必需项。 |
管理客户端 |
不适用。管理客户端是内置的。 |
不适用。管理客户端是内置的。 |
不适用。管理客户端是内置的。 |
管理配置文件已删除。 |
设备管理员特权已吊销。 |
最终用户启动的擦除
在以下几种情形下,最终用户可能需要启动擦除操作:
- 用户的设备丢失或被盗,并且无法与 IT 部门取得联系以帮助其擦除设备。
- 用户使用其平板电脑出于个人用途之外的其他用途连接并访问公司资源。随后她购买了一台更新型号的设备,并且想将她的旧平板电脑给她的孩子使用。
在上述两种情形下,最终用户都可以通过使用公司门户启动擦除操作,可通过各种操作系统平台(包括 Windows 8、Windows RT、Windows Phone 8、iOS 和 Android)来使用公司门户。
从公司门户中,除了可以查看可供其使用的应用程序列表外,用户还可以查看其设备的列表,并且可以查看有关如何与 IT 部门联系以获取支持的信息。以下屏幕截图显示了用户可能看到的公司门户的外观。
当用户单击任一设备时,她会看到如以下屏幕截图中所示的几个选项:
- 删除 – 这将在设备上启动选择性擦除。
- 恢复出厂设置 – 这会将设备重新设置为操作系统默认状态,在支持完全擦除的平台上,这相当于完全擦除。
总结
除 PC 管理功能外,System Center 2012 Configuration Manager 还提供出色的移动设备管理功能。通过新推出的选项,例如选择性擦除,IT 管理员可以更精细地控制这些设备,同时只针对公司数据而不是用户的个人数据,对设备进行管理,从而让最终用户满意。
如希望阅读本系列中的所有博文,请查看 Windows Server 和 System Center 2012 R2 中的新增功能存档。
本博文按“原样”提供,且不提供任何担保和授予任何权利。