关于BYOD与MDM
2018-11-07顾武雄
近年来由于智能移动设备的迅速发展,导致许多原本在个人计算机(PC)与膝上型计算机(Note Book或Net Book)才会发生的病毒、木马以及网络钓鱼等恶意程序,如今也延伸到了智能型手机与平板等设备,然而这一类的智能设备所造成的信息安全问题,早已远远超越了传统的计算机。
在智能移动设备的云世界之中,病毒与木马只是恶意程序散播的基本方式,而简讯、实时消息、社交网络等新时代应用工具所造成的信息安全灾情几乎天天上演。然而无论智能移动设备所造成的灾情是发生在个人还是企业之中,其根本的原因就是“数据外泄”。
针对个人而言,想要有效防范因智能移动设备所造成的数据外泄问题,最根本的方法就是在移动设备上加装相关的安全防护App(例如:趋势科技免费提供的移动安全防护-全名版),以及为您的设备设置密码保护并且不使用任何来路不明的App,最后还必须注意的是,万一设备需要送修时,建议请先将存储卡片取出,以及将设备恢复到出厂设置状态。落实以上基本安全措施,个人使用移动设备的安全问题大部分将可以有效避免掉。
至于企业所面临的人员自携设备(BYOD,Bring Your Own Device)的信息安全问题,除了需要严格规范智能移动设备的使用之外,IT部门还必须要有一套符合企业现行管理需求的解决方案,那就是移动设备管理(MDM,Mobile Device Management)系统。如此一来,IT部门才能真正掌握所有人员对于各类移动设备的使用状况,进一步防范可能因内部员工或外部恶意攻击所造成的企业敏感数据外泄危机。
企业中有哪些智能移动设备需要纳入MDM方案的管理呢?我想现况肯定除了Windows的各类型笔记本之外,绝大多数几乎都是iOS与Android的手机与平板了。在Microsoft的MDM解决方案当中,分别提供了私有云版的System Center Configuration Manager,让企业IT可以根据企业的组织架构来部署于企业内部。而在公共云的部分则是 Windows Intune,两者虽是各自独立但也可以相互集成,以形成混合云(Hybrid Cloud)的完整解决方案。
如何试用Windows Intune服务
目前在Microsoft官方网站上,已提供了最新版本的Windows Intune免费三十天试用版,并且让您可以注册25个账户来进行测试,此外还提供了20GB的在线存储空间,以作为企业应用程序的上传与发布。
请注意!若您已经有注册Office 365的服务,并且还在使用期限内,建议您使用相同的用户ID接来注册与试用Windows Intune。
在注册页面中,除了相关申请人与公司信息的填写之外,请输入一个测试用的新域名,以作为后续的连接网址,而这个网址后续也可以通过DNS服务的相关设置,转换成公司正式的Internet域名来使用。
在完成了注册信息的填写之后,系统将会以初次设置的账户来做为默认的系统管理员。在初次登录成之时,将会出现设置个人移动电话号码与电子邮件地址的页面,主要是用来做为后续重设密码时的通知使用。完成设置后点击“存储并继续”。
后续系统管理员可以通过以下的两个网址,来分别进行人员帐户的管理以及系统配置。
Windows Intune账户入口网站:
Windows Intune系统管理入口网站:
管理Windows Intune用户
在Windows Intune的用户与组管理中,用户可以直接在帐户入口网站上来逐笔创建,或是通过所提供的工具将企业内部现有的Active Directory进行同步。在此,我们以逐笔创建的方式来做为示范。在账户入口网站的“管理员概观”页面中,就有“添加用户”的链接可以点击。
接着将会开启“添加用户”页面,请在“详细数据”中输入新用户的姓名与用户名称,其中姓名一般来说都会输入中文,而它也会自动出现在“显示名称”的字段之中。至于用户名称由于为登录名称,因此请务必输入英文姓名缩写,或是像有一些公司一样可以输入员工编号,点击“下一步”。在“设置”页面中,可以决定该用户是否要赋予相关系统管理员角色的权限,以及设置用户所在的位置(例如:中国)。
如果您打算赋予新用户拥有系统管理员角色,则可以在“选取角色”的下拉选单中选取适当的角色即可,目前内置的角色分别有计费管理员、服务支持管理员、全局管理员、用户管理员和密码管理员。
举例来说,您可能会找一位助理工程师,来协助管理全公司的人员账户,但又不希望他更动到其他系统设置值,这时候便可以赋予这位人员用户管理员的角色即可,点击“下一步”按钮。
在“组”页面中,默认仅有一个“Windows Intune”的组可以选择,不过这没关系,因为后续您仍然可以在“安全性组”页面中,来添加自定义的组名称,并且分配各组的成员名单。
点击“下一步”,在“电子邮件”页面中,可以设置准备接收新帐户暂时密码通知的Email地址,在默认的状态下只会显示当初注册Windows Intune服务时,所设置的Email地址,建议您可以加入该名新帐户的现有Email地址。在此最多可以输入五组的Email地址,并且必须使用分号进行分隔,点击“创建”即可。
在“结果”页面当中,可以看到新用户名称的Email地址,以及一组初始密码。登录时必须使用这个Email地址,而初始密码则必须在第一次登录时立刻完成修改,点击“完成”按钮。新用户将将会收到初始密码的Email通知,而这初始密码和我们在前一步骤的“结果”页面中所看到的是一样,此初始密码必须在90天内完成修改,否则将会失效。
一般用户只要点击“Windows Intune公司入口网站”链接,即可进行第一次的登录与修改。而在成功登录之后也可以顺便下载Windows Intune客户端程序,来安装在自己的Windows计算机之中。
部署Windows设备客户端软件
关于Windows Intune的客户端程序部署方式,大致上可以分成三种部署方式来进行。
第一种是由管理员先行到Windows Intune系统管理入口网站上,然后在 “客户端软件”下载页面中,点击“下载客户端软件”按钮。完成下载之后可以放在内部网络的文件共享位置之中,然后通过Email方式寄送下载的UNC超连接让所有人员来自行下载与安装。
第二种方式则可以由管理员将所下载的安装程序,在完成解压缩之后将其中的Windows_Intune_Setup.exe通过组策略以及自定义脚本方式,来完成大量部署即可,当然前提之下是这一些客户端计算机的用户,都必须登录相同的Active Directory网域才可以。
图1 Windows Intune代理程序
至于第三种做法,则是由用户在第一次收到暂时密码通知的时候,点击“Windows Intune公司入口网站”链接,然后在完成密码的变更以及再次登录之后,在页面之中点击右上角的“添加设备”继续。
紧接着请在“注册您的计算机”页面中,点击“下载软件”按钮,来完成Windows Intune客户端ZIP压缩文件的下载。解压缩之后即可执行Windows_Intune_Setup.exe来完成安装即可,但是必须注意的是此用户必须是该计算机的本地系统管理员组的成员,才可以进行安装。
以一部目前最低支持的Windows XP计算机来说,当完成Windows Intune客户端程序的安装时,将可以在“开始”→“所有程序”选单之中,看到Windows Intune Center的程序图标。除此之外Windows Intune客户端程序,也会常驻在如图1所示的任务栏之中,您可以从此图示的鼠标右键中来开启Windows Intune Center界面,或是开启“Company Portal”网站。
在客户端的Windows Intune Center管理界面中,如果未来有发布要部署的应用程序,可以通过点击“从公司入口网站取得应用程序”之连接来查看与下载安装。接着如果管理员有核准最新的更新程序,将可以通过点击“检查更新”来取得。至于在恶意程序的防护部分,则是由“Endpoint Protection”功能所提供,当管理员在Windows Intune网站上有启用此功能的发布,相关的客户端将会自动安装此防毒系统,并且可以随时开起此管理界面。在“远程协助”功能部分,则是可以方便使用在线实时要求管理员远程遥控协助排除计算机故障问题,其中内置使用的Microsoft Easy Assist工具,在Windows 8中已不支持,仅兼容于Windows XP、Windows Vista、Windows 7。
在完成了Windows计算机的Windows Intune代理程序部署之后,您将可以在系统管理入口网站的组分类管理页面中,检视示到这一些计算机详细的软硬件信息,包括了每一部Windows计算机的拥有者信息、等待审核更新的程序列表、已安装的软件与更新程序、防毒保护状态、完整的硬件信息、警示与错误事件等等。