關于BYOD與MDM

近年來由于智能移動設備的迅速發展，導致許多原本在個人計算機(PC)與膝上型計算機(Note Book或Net Book)才會發生的病毒、木馬以及網絡釣魚等惡意程序，如今也延伸到了智能型手機與平板等設備，然而這一類的智能設備所造成的信息安全問題，早已遠遠超越了傳統的計算機。

在智能移動設備的云世界之中，病毒與木馬只是惡意程序散播的基本方式，而簡訊、實時消息、社交網絡等新時代應用工具所造成的信息安全災情幾乎天天上演。然而無論智能移動設備所造成的災情是發生在個人還是企業之中，其根本的原因就是“數據外泄”。

針對個人而言，想要有效防范因智能移動設備所造成的數據外泄問題，最根本的方法就是在移動設備上加裝相關的安全防護App(例如：趨勢科技免費提供的移動安全防護-全名版)，以及為您的設備設置密碼保護并且不使用任何來路不明的App，最后還必須注意的是，萬一設備需要送修時，建議請先將存儲卡片取出，以及將設備恢復到出廠設置狀態。落實以上基本安全措施，個人使用移動設備的安全問題大部分將可以有效避免掉。

至于企業所面臨的人員自攜設備(BYOD，Bring Your Own Device)的信息安全問題，除了需要嚴格規范智能移動設備的使用之外，IT部門還必須要有一套符合企業現行管理需求的解決方案，那就是移動設備管理(MDM，Mobile Device Management)系統。如此一來，IT部門才能真正掌握所有人員對于各類移動設備的使用狀況，進一步防范可能因內部員工或外部惡意攻擊所造成的企業敏感數據外泄危機。

企業中有哪些智能移動設備需要納入MDM方案的管理呢？我想現況肯定除了Windows的各類型筆記本之外，絕大多數幾乎都是iOS與Android的手機與平板了。在Microsoft的MDM解決方案當中，分別提供了私有云版的System Center Configuration Manager，讓企業IT可以根據企業的組織架構來部署于企業內部。而在公共云的部分則是 Windows Intune，兩者雖是各自獨立但也可以相互集成，以形成混合云(Hybrid Cloud)的完整解決方案。

如何試用Windows Intune服務

目前在Microsoft官方網站上，已提供了最新版本的Windows Intune免費三十天試用版，并且讓您可以注冊25個賬戶來進行測試，此外還提供了20GB的在線存儲空間，以作為企業應用程序的上傳與發布。

請注意！若您已經有注冊Office 365的服務，并且還在使用期限內，建議您使用相同的用戶ID接來注冊與試用Windows Intune。

在注冊頁面中，除了相關申請人與公司信息的填寫之外，請輸入一個測試用的新域名，以作為后續的連接網址，而這個網址后續也可以通過DNS服務的相關設置，轉換成公司正式的Internet域名來使用。

在完成了注冊信息的填寫之后，系統將會以初次設置的賬戶來做為默認的系統管理員。在初次登錄成之時，將會出現設置個人移動電話號碼與電子郵件地址的頁面，主要是用來做為后續重設密碼時的通知使用。完成設置后點擊“存儲并繼續”。

后續系統管理員可以通過以下的兩個網址，來分別進行人員帳戶的管理以及系統配置。

Windows Intune賬戶入口網站：

Windows Intune系統管理入口網站：

管理Windows Intune用戶

在Windows Intune的用戶與組管理中，用戶可以直接在帳戶入口網站上來逐筆創建，或是通過所提供的工具將企業內部現有的Active Directory進行同步。在此，我們以逐筆創建的方式來做為示范。在賬戶入口網站的“管理員概觀”頁面中，就有“添加用戶”的鏈接可以點擊。

接著將會開啟“添加用戶”頁面，請在“詳細數據”中輸入新用戶的姓名與用戶名稱，其中姓名一般來說都會輸入中文，而它也會自動出現在“顯示名稱”的字段之中。至于用戶名稱由于為登錄名稱，因此請務必輸入英文姓名縮寫，或是像有一些公司一樣可以輸入員工編號，點擊“下一步”。在“設置”頁面中，可以決定該用戶是否要賦予相關系統管理員角色的權限，以及設置用戶所在的位置(例如：中國)。

如果您打算賦予新用戶擁有系統管理員角色，則可以在“選取角色”的下拉選單中選取適當的角色即可，目前內置的角色分別有計費管理員、服務支持管理員、全局管理員、用戶管理員和密碼管理員。

舉例來說，您可能會找一位助理工程師，來協助管理全公司的人員賬戶，但又不希望他更動到其他系統設置值，這時候便可以賦予這位人員用戶管理員的角色即可，點擊“下一步”按鈕。

在“組”頁面中，默認僅有一個“Windows Intune”的組可以選擇，不過這沒關系，因為后續您仍然可以在“安全性組”頁面中，來添加自定義的組名稱，并且分配各組的成員名單。

點擊“下一步”，在“電子郵件”頁面中，可以設置準備接收新帳戶暫時密碼通知的Email地址，在默認的狀態下只會顯示當初注冊Windows Intune服務時，所設置的Email地址，建議您可以加入該名新帳戶的現有Email地址。在此最多可以輸入五組的Email地址，并且必須使用分號進行分隔，點擊“創建”即可。

在“結果”頁面當中，可以看到新用戶名稱的Email地址，以及一組初始密碼。登錄時必須使用這個Email地址，而初始密碼則必須在第一次登錄時立刻完成修改，點擊“完成”按鈕。新用戶將將會收到初始密碼的Email通知，而這初始密碼和我們在前一步驟的“結果”頁面中所看到的是一樣，此初始密碼必須在90天內完成修改，否則將會失效。

一般用戶只要點擊“Windows Intune公司入口網站”鏈接，即可進行第一次的登錄與修改。而在成功登錄之后也可以順便下載Windows Intune客戶端程序，來安裝在自己的Windows計算機之中。

部署Windows設備客戶端軟件

關于Windows Intune的客戶端程序部署方式，大致上可以分成三種部署方式來進行。

第一種是由管理員先行到Windows Intune系統管理入口網站上，然后在 “客戶端軟件”下載頁面中，點擊“下載客戶端軟件”按鈕。完成下載之后可以放在內部網絡的文件共享位置之中，然后通過Email方式寄送下載的UNC超連接讓所有人員來自行下載與安裝。

第二種方式則可以由管理員將所下載的安裝程序，在完成解壓縮之后將其中的Windows_Intune_Setup.exe通過組策略以及自定義腳本方式，來完成大量部署即可，當然前提之下是這一些客戶端計算機的用戶，都必須登錄相同的Active Directory網域才可以。

圖1 Windows Intune代理程序

至于第三種做法，則是由用戶在第一次收到暫時密碼通知的時候，點擊“Windows Intune公司入口網站”鏈接，然后在完成密碼的變更以及再次登錄之后，在頁面之中點擊右上角的“添加設備”繼續。

緊接著請在“注冊您的計算機”頁面中，點擊“下載軟件”按鈕，來完成Windows Intune客戶端ZIP壓縮文件的下載。解壓縮之后即可執行Windows_Intune_Setup.exe來完成安裝即可，但是必須注意的是此用戶必須是該計算機的本地系統管理員組的成員，才可以進行安裝。

以一部目前最低支持的Windows XP計算機來說，當完成Windows Intune客戶端程序的安裝時，將可以在“開始”→“所有程序”選單之中，看到Windows Intune Center的程序圖標。除此之外Windows Intune客戶端程序，也會常駐在如圖1所示的任務欄之中，您可以從此圖示的鼠標右鍵中來開啟Windows Intune Center界面，或是開啟“Company Portal”網站。

在客戶端的Windows Intune Center管理界面中，如果未來有發布要部署的應用程序，可以通過點擊“從公司入口網站取得應用程序”之連接來查看與下載安裝。接著如果管理員有核準最新的更新程序，將可以通過點擊“檢查更新”來取得。至于在惡意程序的防護部分，則是由“Endpoint Protection”功能所提供，當管理員在Windows Intune網站上有啟用此功能的發布，相關的客戶端將會自動安裝此防毒系統，并且可以隨時開起此管理界面。在“遠程協助”功能部分，則是可以方便使用在線實時要求管理員遠程遙控協助排除計算機故障問題，其中內置使用的Microsoft Easy Assist工具，在Windows 8中已不支持，僅兼容于Windows XP、Windows Vista、Windows 7。

在完成了Windows計算機的Windows Intune代理程序部署之后，您將可以在系統管理入口網站的組分類管理頁面中，檢視示到這一些計算機詳細的軟硬件信息，包括了每一部Windows計算機的擁有者信息、等待審核更新的程序列表、已安裝的軟件與更新程序、防毒保護狀態、完整的硬件信息、警示與錯誤事件等等。