尽管PC与笔记本的操作系统仍是Windows独霸群雄，但是在智能移动设备的部分(手机、平板)却是正好相反，Windows反而成为了稀有动物了。因为如今几乎是iOS与Android系列设备的天下了，看来BYOD的信息安全问题所要管理的对象当中，使用iOS与Android的员工已变成了最主要的目标了。

在这里我们首当应该先了解针对Android系列的设备，该如何经由Windows Intune进行管理，因为由于它的安全管制措施并没有像Apple那样的严厉，因此无论您的设备是 HUAWEI、ASUS、SAMSUNG还是小米机等设备，皆只要在“Play商店”中搜寻Windows Intune关键词便可以找到它的App，然后完成安装与账号的登录即可。

至于iOS的设备呢？那可就稍微比较麻烦一点，不过还好那只是初次在Windows Intune网站上的设置比较啰唆一点而已。请先开启至系统管理入口网站中的“移动设备管理”→“iOS”节点页面。在此可以看到在我们进行iOS设备管理之前，必须先取得APNs的凭证，而这项凭证的取得必须使用一组Apple ID的登录才能够产生与下载。

请开启Apple Push Certificates Portal网站(https://idmsa.apple.com)，然后输入Apple ID与密码并且点击“Sign in”登录。接着请点击“Create Certificate” 按钮。在“Create a New Push Certificate”页面中，它要求我们必须先上传一个凭证签入的要求文件，才能够创建一个新的凭证文件来供我们使用，因此我们必须再回到Windows Intune的系统管理入口网站中，来产生凭证要求档。

点击在“移动设备管理”→“iOS”节点页面中的“上传APNs凭证”连接，接着点击“下载APNs凭证要求”按钮，然后再将此文件(*.csr)存储在本地计算机之中等待使用。回到刚刚的Apple Push Certificates Portal网站继续。

再次回到等待中的“Create a New Push Certificate”页面中之后，请点击“浏览”按钮来选取刚刚所下载的CSR文件，然后点击“Upload”按钮，一旦成功上传之后将会开启如图2所示的确认页面。在此您可以先点击“Manage Certificates”按钮，来查看目前这个凭证的相关信息。

图2 成功创建凭证

在“Certificate for Third-Party Servers”页面当中，其实就是让用户可以管理所有在这个网站上所申请过的凭证，因为有许多类似于MDM方面的解决方案，都是需要到这个网站上来下载APNs的凭证，因此在这里就可以看到这个刚刚申请的凭证的第三厂商(Vendor)就是Microsoft。未来如果凭证过期之后想要继续使用，就可以在此点击“Renew”按 钮来更新即可。点击“Download”按钮下载，它的档名应该会是MDM_ Microsoft Corporation_Certificate.pem。

完成了APNs的凭证下载后，便可回到“移动设备管理”、“iOS”节点页面中来进行上传。在“上传APNs凭证”的页面中，除了需要点击“浏览”按钮来上传APNs凭证外，还需要输入已注册的Apple ID，然后点击“上传”并完成相对密码的输入即可。

一旦成功上传APNs凭证于Windows Intune网站之中，便可以检视到该凭证的状态、主体ID、上次更新日期以及到期日信息。未来如果凭证即将到期时，请务必将更新后的凭证再一次上传。

Windows智能移动设备的安装

接下来马上来看看有关移动客户端的Windows Intune App安装设置方法。

所有用户都可以在Windows 8、Windows 10 的平板或智能型手机当中来安装它。无论移动客户端的智能设备是哪一种操作系统，在完成Windows Intune App安装之后，第一次都需要进行Windows Intune帐户密码的登录。建议请将“让我保持登录”设置勾选。

针对一个已安装在iPad Air平板中的Windows Intune App，请在开启与登录之后，请点击左下角的“我的设备”图示，以完成最后添加设备于Windows Intune网站的操作。

在“设备详细数据”页面中，首先可以检视到目前此设备的基本信息，包括了原始名称、制造商、型号以及操作系统，至于完整的详细信息则会在添加设备成功之后，自动回传到Windows Intune网站数据库之中。然后点击“添加设备”选项继续。

紧接着将会出现新增设备的提示信息，其内容主要是告知用户，一旦设备添加到Windows Intune系统的管理中，其设备的软硬件信息将可能会被企业IT所收集，并且可能也会因故被抹除设备中的数据或回到出厂设置值。确认后点击右上角的“添加”继续。

接着将会开启“安装描述档”页面，在点击“安装”之后将会再出现确认信息，请点击“立即安装”。接着会再出现有关“移动设备管理”页面中的说明，点击位在右上角的“安装”即可。

等到完成安装之后将可以看到所有安装描述档的完整信息，这包括了签署凭证以及管理权限的信息。当完成添加设备至Windows Intune之后，在“设备详细数据”页面中，可以随时进行重设设备、移除设备以及重新命名设备等功能。

接下来我们以系统管理员身份登录到Windows Intune网站，然后在“All Mobile Devices”节点页面中，看看是否有出现刚刚所添加的iPad设备，在此应该会先在一般信息的区域之中，看到有关这部iPad目前用户的Email登录信息、操作系统版本、管理状态、管理通道、可用存储空间以及存储空间总计、上次更新日期等信息。

此外，未来如果有用户的设备不慎遗失了，也可以在此选择该设备，然后点击“淘汰/抹除”功能，来远程立即完成活页夹的清除作业，以及让设备恢复到原厂出厂设置，以防范可能的商务数据或个人数据之外泄。

最后您可以点击“检视属性”。在“移动设备属性”页面中，我们可以从“硬件”信息之中，更进一步查看到硬件与系统面的详细信息，这包含了唯一设备ID、序号、型号、IMEI等等。

管制iOS智能设备的安全配置

记得早期Microsoft的System Center解决方案，仅能够用来管理Windows计算机以及Windows移动设备的安全，如今为了适应三分天下的管理需求(Windows、iOS、Android)，对于企业移动设备的管理策略之落实，已经到了无法对于其他两类系统视而不见了。相反的，现阶段还得以这两类的移动设备为主要管理的对象。

以下就让我们先来了解一下，Windows Intune如何有效管制企业人员对于iPad与iPhone的安全配置。

首先在“策略概观”的页面中，可以看到系统管理人员，将可以藉由不同策略的设置与应用，来决定哪一些个体或群体的设备功能，需要特别强制设置其组态，或是开放哪一些功能让用户可以自行改变其设置值。请点击位于“工作”区域中的“添加策略”连接继续。

在“创建新策略”页面中，默认会有四种模板可以选择，其中“Windows防火墙设置”当然仅适用在Windows系列的客户端计算机上，因此在这里我们选取“移动设备安全性策略”，然后再点击“使用建议的设置创建及部署策略”。点击“创建策略”继续。

请注意！在您创建策略之前，如果想要先查看这默认模板的应用属性有哪一些，可以先点击“检视此策略模板的建议设置”。

您可以从现有的组之中，来挑选准备要应用此安全策略的组。在默认的状态下仅会有一个“Ungrouped Users”，您可以事先自定义好所有的组，并且可以使用中文命名。完成添加之后点击“确定”。

图3 iPad照相功能消失

完成了新策略的创建与部署之后，仍可以随时对于策略设置属性来进行调整，以及重新设置所要应用的组。在“所有策略”页面中，可以看到我们刚刚所创建的策略。在选取后点击“编辑”选项。

接下来让我们看看几个常见的iOS安全设置项目。在“应用程序”区域中，可以看到IT部门可以分别决定是否要允许应用程序存放区、需要密码来访问应用程序存放区、允许应用程序内购买。

例如如果我们将其中的“允许应用程序内购买”设置为“否”，那么用户的iPad与iPhone将无法在某一些App的使用当中，来进行加购某一些升级或功能的行为，而这类的操作需求通常出现在某一些商务App与游戏App，对于功能的增强或游戏角色能力的提升，所提供的临时选购的机制，可以考虑关闭。

在“设备功能”区域中，可以管理许多硬件功能面的使用管制，这包括了相机、卸除式设备、Wi-Fi网络以及蓝芽功能等等。在这里我想最多企业信息安全策略会封锁的第一名肯定是“允许相机”，因此可以将它设置为“否”，以强制关闭其功能。至于卸除设备功能的管理，虽然也是许多企业信息安全管理的重点，但在iOS系列设备中是不适用的，因为它本身就已经不提供此功能，除非用户采用越狱破解。但是越狱破解在Windows Intune的策略管制之中是可以加以防范的，所以用户可别想动手脚。

在“功能”区域中，则可以设置是否允许使用语音助理(Siri)，以及是否允许在锁定设备时使用语音助理，在此我们先将它们皆设置为“否”，待回再来看看应用后的结果。此外也可以设置是否允许语音拨号，以及是否允许复制及粘贴等功能。

在完成了移动设备安全策略的属性设置与存储之后，可以切换到“策略”页面之中，便可以看到目前已设置的各项策略项目之设置值。当所设置的项目很多时，则可以通过“筛选器”来快速找到所要检视的项目。

还记得在前面步骤的策略范例当中，我们曾经将设备的相机以及语音助理功能予以关闭，接着就来看看此移动设备策略应用后的结果。

如图3所示，首先是相机功能的部分，发现它已神奇地消失在iPad的快捷区域之中，当回到桌面时同样也会发现此App也同样消失的无影无踪了。

至于iPad的语音助理呢？让我们调出快显示窗来看看Siri功能项吧，哇！果真也不见了，此时您可能想要通过按键来呼叫出Siri，也将发现此功能也同样完全失效了。

预防Windows中毒问题

至今最容易遭受病毒侵害以及恶意网络攻击的操作系统仍是Windows。没办法，这也是由于它仍是计算机操作系统的最大宗，而非它真的比较脆弱。想想看，如今以Android为主的当红智能设备，不也全球中毒的一蹋胡涂吗？无论如何，目前Windows计算机与平板，仍是我们工作上最重要的信息工具与最佳伙伴，因此强制管理企业Windows计算机与设备的防毒系统，肯定是必要的安全手段。

在这里所提到的Windows防毒软件，不一定非得使用Windows内置的Windows Defender，只要是通过Microsoft安全认证的防毒软件，无论是免费还是付费的通通可以达到一定程度的防护效果。如果想要通过Windows Intune来强制安装与管制Windows客户端的Windows Defender防毒软件，请在现有策略或新策略的编辑中，在“Endpoint Protection”节点页面中的相关设置，在此您除了可以决定是否要帮客户端，来自动安装与启用微软的防毒软件之外，还可以决定几个重要的安全防护设置，这包括了停用客户端UI(界面)、启用实时保护、扫描所有下载、监视计算机上的文件和活动以及所要监视的文件类型设置等等。

在完成了有关于Endpoint Protection安全策略的部署之后，接着便可以来看看Windows Intune的策略，在Windows客户端的应用状况。

请开启“Windows Intune Center”界面。在此将可以看到位于“Endpoint Protection”区域中的“启动Windows Intune Endpoint Protection”连接可以点击。

紧接着开启“Windows Intune Endpoint Protection”管理界面，其实也就是Windows Defender防毒软件，只要我们在策略中没有设置停用客户端UI，用户便可以随时开启此界面。在“首页”中可以知道目前的防毒系统是否有开启实时保护，以及是否已经完成最新病毒特征与间谍过程定义的更新，在此用户也可以随时点击“立即扫描”按钮，来进行快速、完整或是自定的安全扫描。在“历史记录”页面中，则可以检视到隔离的项目、允许的项目、所有侦测到的项目。范例中便是一个已遭受隔离的病毒程序，用户可以在此立即将它移除。

除了客户端用户可以自行检视到关于扫毒的历程记录之外，系统管理员也可以在Windows Intune界面中，针对不同的计算机来检视“恶意程序码”的历程记录。从此页面中可已得知每一只病毒程序的目前状态、恶意程序码执行状态、严重性、至今的侦测数。进一步还可以点击“了解此恶意程序码”，来查询有关于此恶意程序码的完整说明。

图4 检查设备端点保护状态

当我们回到“Endpoint Protection”专属管理页面时，便可以直接在“概观”的节点中得知目前恶意程序码的处理状态，以及Endpoint Protection与其他第三方防毒软件在受管理的计算机中之部署状态。此外在这里也可以得知目前所有已侦测到的恶意程序码之排行榜。

关于Endpoint Protection的部署情形，我们也可以从如图4所示的组类别中，来一一检视目前每部Windows计算机的防毒执行状态，这包含了采用Endpoint Protection以及采用第三防毒软件的侦测。

当受管理保护的计算机数量相当多时，系统管理员可以通过“筛选器”下拉选单中的“恶意程序码”类别，来选取仅显示特定的计算机列表。在这个类别之中可选择的项目包括了恶意程序码需要后续追踪、未受保护、具有防护警告、最近已解决恶意程序码、正在执行其他Endpoint Protection应用程序。

结语：

IT市场上如今较为知名的MDM解决方案除了有Microsoft Windows Intune之外，还有像是VMware的AirWatch、Citrix的XenMobile，甚至于连防毒软件公司Kaspersky的Security for Mobile解决方案都来插一脚，该如何评估与选择呢？其实就笔者的经验而言，尽管智能移动设备的用户数目前仍是以Android与iOS为最大宗，但大多数的商务工作者仍是以Windows的计算机，来作为协同合作的主要工具，因此笔者仍强烈建议采用Microsoft自家的Windows Intune来做为MDM的解决方案，肯定是企业IT最佳的选择。