Windows、iPad 以及 Android - 在平板電腦上管理以及使用 Office 資源 (第 2 篇)

  • Article

英文原文已於 2011 年 10 月 13 日星期四發佈

歡迎繼續閱讀本系列的第 2 篇文章,我們會討論如何在平板電腦上管理 Office 資源。在第 1 篇中,我主要介紹有什麼方法可以在各種用戶端、遠端用戶端、Office for Mac、Web Apps 以及手機上使用 Office。現在我想花一些時間討論一些技術,可確保電子郵件、行事曆以及其他 Office 內容可在各式裝置上使用。我認為 “Office” 除了本身是應用程式之外,還負擔通訊、電子郵件以及協同合作等等的工作,所以這些工作在本文中佔很大的篇幅。在深入探討自訂觸控裝置的 Office 使用者介面或者從遠端使用桌面這些主題之前,我會先介紹我所使用的建置環境,然後再討論行動裝置與 Office 工作負載的連線功能基礎。

我的建置環境

開始描述建置環境之前,我一定會先確定各項功能可以執行而且運作正常,就因為如此,我才體會到要建立一個完美的環境是件多麼辛苦的事。雖然有些東西我沒有,例如整個 Windows Server System Reference Architecture (WSSRA) 環境 – 我們內部習慣稱它為 “Minicore” – 做為測試之用,不過我們有一個十分強大 (可攜式) 的環境,WSSRA 中的 Minicore 可執行 32 部虛擬機器,不過我目前使用 6 部虛擬機器,而且使用主機、iPad 以及 Samsung Galaxy Tab 當做用戶端。

  • 搭載 Quad Core i7、16GB RAM 以及 1 TB RAID 0 SSD 硬碟的 HP8540W 膝上型電腦。內建 NIC 和 PCIE NIC
  • 安裝 Hyper-V 角色的 Windows Server 2008 R2 Enterprise
  • 6 部執行 Windows Server 2008 R2 Standard 的虛擬機器
    • 網域控制站
    • SharePoint 2010
    • Exchange Server 2010
    • RDS RemoteApp
    • Citrix XenApp
    • Forefront Unified Access Gateway 2010 (UAG)
  • iPad 2 (安裝 iOS 4)
  • Samsung Galaxy Tab (安裝 Android 2.2)
  • 安裝 Office for Mac 2011 的 MacBook Air
  • 連接至 PCIE NIC 的 Cisco 無線路由器

今年,我就是帶著這些配備參加 TechEd 以及 SharePoint 大會,所以即使在機場過海關的時候也不會太費時。這個系列的其他文章中使用的螢幕擷取畫面也是在這個環境取得的。現在,我們從基本原理開始吧。

Exchange ActiveSync

時間回到 2002 年,我們在 Microsoft Information Server (MIS) 2002 設計了一種稱為 AirSync 的功能,大約 1 年以後,這項功能被設計得更強大了,然後併入 Exchange Server 2003,同時改名為 Exchange ActiveSync。我還記得早期在 Microsoft 工作的時候,最初它的功能是讓我利用手機收發電子郵件和行事曆,這可是我的救星。又過了幾年之後,Exchange ActiveSync (EAS) 功能不斷創新,而且非 Windows 的平台也可以使用了,它變成多種裝置的核心價值以及安全支柱,像是 Windows Mobile 和 Windows Phone、Apple iPad 和 iPhone 以及搭載 Android 的裝置。我在撰寫這篇部落格系列文章時,要想在各種裝置上使用 Office,它可是幕後功臣。

Exchange ActiveSync 提供各種重要的 IT 管理功能,例如要求以及強制輸入 PIN 才能為裝置解鎖。這個設計可為身分認證制定另一個要素,當裝置遺失時,拾獲者需要知道 PIN 才能使用整個裝置 (如果裝置備有原生的 Exchange ActiveSync 支援),或者使用連接至 EAS 的軟體環境,例如 TouchDown (可能為英文網頁) (從 NitroDesk) 或 RoadSync (可能為英文網頁) (從 DataViz)。

上面是 Exchange Server 2010 的屬性畫面,而且除了密碼原則之外,我們還為同步設定以及其他裝置屬性指定適用的原則,例如停用裝置相機和瀏覽器。在嚴格的安全措施環境中,這些控制功能提供更好的保護,不但可以防止資料外洩,還可以封鎖透過瀏覽器入侵的惡意程式碼。Apple 也提供 iPhone Configuration Utility (可能為英文網頁),可以搭配第三方行動裝置管理 (MDM) 基礎結構,將各項原則推送至 iPhone 以及 iPad 裝置。

Exchange ActiveSync 的功能以及支援這些裝置所需投入的人力物力,無一不讓這些裝置的企業安全措施變成重要的環節。對於 Android 2.0 以及配備原生 EAS 支援的新版裝置也是如此。

利用 Exchange ActiveSync 的控制功能讓使用者自己設定裝置,這對於大部分的裝置算是正確的一步,而限制電子郵件存放在裝置上的天數,有助於降低資料安全的風險,不過在包括 iOS、Android、Symbian 以及 Windows Phone 在內的各種裝置上實作 EAS 時,會因為平台之間的不同而大相逕庭。遇到利用 Exchange ActiveSync 的資訊版權管理 (IRM) 情況時,尤其如此,在我寫這篇部落格文章的時候,應用 EAS 的 IRM 僅限於 Windows Phone 和 Windows Mobile 平台。至於需要提高特殊電子郵件通訊安全措施的公司,IRM 會對通信內容提供永久保護。因為 EAS 用戶端用於電子郵件的收發日漸普及,所以您的行動裝置使用者能夠利用一種安全的方法來建立以及使用 IRM 保護的內容,是一個非常重要的課題。當我提到這些裝置的 EAS 支援是邁向正確方向的一大步時,我真正意思是指不可以、也不要與大部分 IT 部門慣用的 Active Directory Group Policy 控制功能相互比較。打算讓使用者改用開發程度尚不成熟的平台時,有些需要注意的地方。

群組原則組態管理與 Office

Office 在 Windows 平台上的精細化組態管理,有著悠久的歷史。從 Office 97 的原則管理功能開始,在往後的 15 年之間,功能變得更多又更加實用。回到以前,當時可強制執行的設定,數量不過才超過 50 個而已,到了 Office 2010,可強制執行的設定,數量已經超過 2000 個了。我知道有些人很好奇,所以我會提到 Office for Mac 2011 (以及舊版的 Mac) 沒有可強制執行的設定 (可能為英文網頁),而且只使用選用的安裝時間偏好設定,這和我在第 1 篇提到的一樣,使用者是可以任意變更的。提到安裝時間偏好設定... 讓我想起在 Windows 上安裝 Office 時,是有方法可以設定 Office 的。這對於 Office 的安全措施和管理特別重要,因為您不僅可以決定 Office 的設定方式,也可以設定其他方面,例如機密設定 (加密以及 IRM 規則)、完整性設定 (信任的發行者和位置及數位簽章規則) 以及可用性設定 (VBA 巨集、增益集、ActiveX、Internet Explorer 以及檔案封鎖規則)。這些控制功能都是執行 Office 的 Windows 環境獨有的。

目前有 3 種主要的控制機制,可以在 Windows 機器上按照自選的方式設定 Office:

  1. 群組原則預先定義的設定
  2. Config.xml
  3. 利用 Office 自訂工具 (OCT) 產生的自訂 MSP 檔案

這幾項也是按照發生衝突時的優先順序列出。和您所想的一樣,群組原則設定擁有最優先的控制權,會取代您在 config.xml 中的定義,而 config.xml 中的定義又優先於自訂 OCT 所產生的 MSP 檔案。設定 Office 2010 的時候,您有上千種可用的群組原則設定。實際上問題變成了「我要從什麼地方開始?」,我們有 Security Compliance Manager (可能為英文網頁) 可幫助您設立基準,因為從已知可用的組態開始,然後再加以調整,會比從零開始要容易多了。

優先順序中的下一個選項是與 Office 搭配使用的 config.xml 檔案。因為它是 XML 而且沒有太多預先定義的設定,所以您可能不會在很長的設定中使用它,不過在設定某些項目的時候,例如啟用服務或者自訂語言校正工具的簡單呼叫,config.xml 檔案是最佳選擇而且有時候是唯一的選擇。相對標準的 config.xml 檔案,看起來會像這樣:

最後一個選項是使用 Office 自訂工具 (可能為英文網頁)。這個工具實質上是引導 Office 的安裝以及設定方式。這些設定和使用 config.xml 一樣,都只在安裝時間設定,而且不會強制執行。如果您之後未使用群組原則強制執行功能,則環境中需要強制執行的原則,其管理程度和安全性就會和 Office for Mac 一樣大打折扣。OCT 某些設定和群組原則一樣,而且允許您在安裝 Office 的過程中寫入系統登錄以及執行自訂的命令。受管理的 Office 2010 部署中最常用的控制功能應該是用於「隱藏 [建議的設定] 對話方塊」的設定,因為它會顯示一則訊息給使用者,基本上是要求使用者選擇加入 Windows Update,也就是大部分受管理環境的 IT 管理員想代替使用者,利用如 Windows Server Update Services (WSUS) 或 System Center Configuration Manager 等工具執行某件事。

這些都是在 Windows 上自訂 Office 安裝的主要方法,而且我要確定我已經說過這些內容,因為即使您閱讀這篇部落格文章是為了找出如何在 iPAD 應用 Office 的線索,當我們開始討論如何在遠端桌面或伺服器架設 Office,然後透過 iPAD、Android 或 Windows 裝置使用 Office 的時候,還是會提到這些方法。無論我是在已安裝遠端桌面服務角色的 Windows Server 2008 R2 機器或者在遠端 Windows 7 虛擬機器上佈建,都希望可以隨心自訂安裝,尤其是在為上千位使用者提供此項服務的時候。

最後,本系列文章的第 2 篇到此即將結束。如果您還沒有讀過第 1 篇,記得找時間看看。希望幾天之後,第 3 篇文章就能與大家見面。

謝謝您閱讀本文章,

Jeremy Chapman

資深產品經理

Office IT 專業人員小組

這是翻譯後的部落格文章。英文原文請參閱 Windows, iPad and Android - Managing and Using Your Office Assets in a Tablet World (Part 2)