管理iOS與Android設備

盡管PC與筆記本的操作系統仍是Windows獨霸群雄，但是在智能移動設備的部分(手機、平板)卻是正好相反，Windows反而成為了稀有動物了。因為如今幾乎是iOS與Android系列設備的天下了，看來BYOD的信息安全問題所要管理的對象當中，使用iOS與Android的員工已變成了最主要的目標了。

在這里我們首當應該先了解針對Android系列的設備，該如何經由Windows Intune進行管理，因為由于它的安全管制措施并沒有像Apple那樣的嚴厲，因此無論您的設備是 HUAWEI、ASUS、SAMSUNG還是小米機等設備，皆只要在“Play商店”中搜尋Windows Intune關鍵詞便可以找到它的App，然后完成安裝與賬號的登錄即可。

至于iOS的設備呢？那可就稍微比較麻煩一點，不過還好那只是初次在Windows Intune網站上的設置比較啰唆一點而已。請先開啟至系統管理入口網站中的“移動設備管理”→“iOS”節點頁面。在此可以看到在我們進行iOS設備管理之前，必須先取得APNs的憑證，而這項憑證的取得必須使用一組Apple ID的登錄才能夠產生與下載。

請開啟Apple Push Certificates Portal網站(https://idmsa.apple.com)，然后輸入Apple ID與密碼并且點擊“Sign in”登錄。接著請點擊“Create Certificate” 按鈕。在“Create a New Push Certificate”頁面中，它要求我們必須先上傳一個憑證簽入的要求文件，才能夠創建一個新的憑證文件來供我們使用，因此我們必須再回到Windows Intune的系統管理入口網站中，來產生憑證要求檔。

點擊在“移動設備管理”→“iOS”節點頁面中的“上傳APNs憑證”連接，接著點擊“下載APNs憑證要求”按鈕，然后再將此文件(*.csr)存儲在本地計算機之中等待使用。回到剛剛的Apple Push Certificates Portal網站繼續。

再次回到等待中的“Create a New Push Certificate”頁面中之后，請點擊“瀏覽”按鈕來選取剛剛所下載的CSR文件，然后點擊“Upload”按鈕，一旦成功上傳之后將會開啟如圖2所示的確認頁面。在此您可以先點擊“Manage Certificates”按鈕，來查看目前這個憑證的相關信息。

圖2 成功創建憑證

在“Certificate for Third-Party Servers”頁面當中，其實就是讓用戶可以管理所有在這個網站上所申請過的憑證，因為有許多類似于MDM方面的解決方案，都是需要到這個網站上來下載APNs的憑證，因此在這里就可以看到這個剛剛申請的憑證的第三廠商(Vendor)就是Microsoft。未來如果憑證過期之后想要繼續使用，就可以在此點擊“Renew”按 鈕來更新即可。點擊“Download”按鈕下載，它的檔名應該會是MDM_ Microsoft Corporation_Certificate.pem。

完成了APNs的憑證下載后，便可回到“移動設備管理”、“iOS”節點頁面中來進行上傳。在“上傳APNs憑證”的頁面中，除了需要點擊“瀏覽”按鈕來上傳APNs憑證外，還需要輸入已注冊的Apple ID，然后點擊“上傳”并完成相對密碼的輸入即可。

一旦成功上傳APNs憑證于Windows Intune網站之中，便可以檢視到該憑證的狀態、主體ID、上次更新日期以及到期日信息。未來如果憑證即將到期時，請務必將更新后的憑證再一次上傳。

Windows智能移動設備的安裝

接下來馬上來看看有關移動客戶端的Windows Intune App安裝設置方法。

所有用戶都可以在Windows 8、Windows 10 的平板或智能型手機當中來安裝它。無論移動客戶端的智能設備是哪一種操作系統，在完成Windows Intune App安裝之后，第一次都需要進行Windows Intune帳戶密碼的登錄。建議請將“讓我保持登錄”設置勾選。

針對一個已安裝在iPad Air平板中的Windows Intune App，請在開啟與登錄之后，請點擊左下角的“我的設備”圖示，以完成最后添加設備于Windows Intune網站的操作。

在“設備詳細數據”頁面中，首先可以檢視到目前此設備的基本信息，包括了原始名稱、制造商、型號以及操作系統，至于完整的詳細信息則會在添加設備成功之后，自動回傳到Windows Intune網站數據庫之中。然后點擊“添加設備”選項繼續。

緊接著將會出現新增設備的提示信息，其內容主要是告知用戶，一旦設備添加到Windows Intune系統的管理中，其設備的軟硬件信息將可能會被企業IT所收集，并且可能也會因故被抹除設備中的數據或回到出廠設置值。確認后點擊右上角的“添加”繼續。

接著將會開啟“安裝描述檔”頁面，在點擊“安裝”之后將會再出現確認信息，請點擊“立即安裝”。接著會再出現有關“移動設備管理”頁面中的說明，點擊位在右上角的“安裝”即可。

等到完成安裝之后將可以看到所有安裝描述檔的完整信息，這包括了簽署憑證以及管理權限的信息。當完成添加設備至Windows Intune之后，在“設備詳細數據”頁面中，可以隨時進行重設設備、移除設備以及重新命名設備等功能。

接下來我們以系統管理員身份登錄到Windows Intune網站，然后在“All Mobile Devices”節點頁面中，看看是否有出現剛剛所添加的iPad設備，在此應該會先在一般信息的區域之中，看到有關這部iPad目前用戶的Email登錄信息、操作系統版本、管理狀態、管理通道、可用存儲空間以及存儲空間總計、上次更新日期等信息。

此外，未來如果有用戶的設備不慎遺失了，也可以在此選擇該設備，然后點擊“淘汰/抹除”功能，來遠程立即完成活頁夾的清除作業，以及讓設備恢復到原廠出廠設置，以防范可能的商務數據或個人數據之外泄。

最后您可以點擊“檢視屬性”。在“移動設備屬性”頁面中，我們可以從“硬件”信息之中，更進一步查看到硬件與系統面的詳細信息，這包含了唯一設備ID、序號、型號、IMEI等等。

管制iOS智能設備的安全配置

記得早期Microsoft的System Center解決方案，僅能夠用來管理Windows計算機以及Windows移動設備的安全，如今為了適應三分天下的管理需求(Windows、iOS、Android)，對于企業移動設備的管理策略之落實，已經到了無法對于其他兩類系統視而不見了。相反的，現階段還得以這兩類的移動設備為主要管理的對象。

以下就讓我們先來了解一下，Windows Intune如何有效管制企業人員對于iPad與iPhone的安全配置。

首先在“策略概觀”的頁面中，可以看到系統管理人員，將可以藉由不同策略的設置與應用，來決定哪一些個體或群體的設備功能，需要特別強制設置其組態，或是開放哪一些功能讓用戶可以自行改變其設置值。請點擊位于“工作”區域中的“添加策略”連接繼續。

在“創建新策略”頁面中，默認會有四種模板可以選擇，其中“Windows防火墻設置”當然僅適用在Windows系列的客戶端計算機上，因此在這里我們選取“移動設備安全性策略”，然后再點擊“使用建議的設置創建及部署策略”。點擊“創建策略”繼續。

請注意！在您創建策略之前，如果想要先查看這默認模板的應用屬性有哪一些，可以先點擊“檢視此策略模板的建議設置”。

您可以從現有的組之中，來挑選準備要應用此安全策略的組。在默認的狀態下僅會有一個“Ungrouped Users”，您可以事先自定義好所有的組，并且可以使用中文命名。完成添加之后點擊“確定”。

圖3 iPad照相功能消失

完成了新策略的創建與部署之后，仍可以隨時對于策略設置屬性來進行調整，以及重新設置所要應用的組。在“所有策略”頁面中，可以看到我們剛剛所創建的策略。在選取后點擊“編輯”選項。

接下來讓我們看看幾個常見的iOS安全設置項目。在“應用程序”區域中，可以看到IT部門可以分別決定是否要允許應用程序存放區、需要密碼來訪問應用程序存放區、允許應用程序內購買。

例如如果我們將其中的“允許應用程序內購買”設置為“否”，那么用戶的iPad與iPhone將無法在某一些App的使用當中，來進行加購某一些升級或功能的行為，而這類的操作需求通常出現在某一些商務App與游戲App，對于功能的增強或游戲角色能力的提升，所提供的臨時選購的機制，可以考慮關閉。

在“設備功能”區域中，可以管理許多硬件功能面的使用管制，這包括了相機、卸除式設備、Wi-Fi網絡以及藍芽功能等等。在這里我想最多企業信息安全策略會封鎖的第一名肯定是“允許相機”，因此可以將它設置為“否”，以強制關閉其功能。至于卸除設備功能的管理，雖然也是許多企業信息安全管理的重點，但在iOS系列設備中是不適用的，因為它本身就已經不提供此功能，除非用戶采用越獄破解。但是越獄破解在Windows Intune的策略管制之中是可以加以防范的，所以用戶可別想動手腳。

在“功能”區域中，則可以設置是否允許使用語音助理(Siri)，以及是否允許在鎖定設備時使用語音助理，在此我們先將它們皆設置為“否”，待回再來看看應用后的結果。此外也可以設置是否允許語音撥號，以及是否允許復制及粘貼等功能。

在完成了移動設備安全策略的屬性設置與存儲之后，可以切換到“策略”頁面之中，便可以看到目前已設置的各項策略項目之設置值。當所設置的項目很多時，則可以通過“篩選器”來快速找到所要檢視的項目。

還記得在前面步驟的策略范例當中，我們曾經將設備的相機以及語音助理功能予以關閉，接著就來看看此移動設備策略應用后的結果。

如圖3所示，首先是相機功能的部分，發現它已神奇地消失在iPad的快捷區域之中，當回到桌面時同樣也會發現此App也同樣消失的無影無蹤了。

至于iPad的語音助理呢？讓我們調出快顯示窗來看看Siri功能項吧，哇！果真也不見了，此時您可能想要通過按鍵來呼叫出Siri，也將發現此功能也同樣完全失效了。

預防Windows中毒問題

至今最容易遭受病毒侵害以及惡意網絡攻擊的操作系統仍是Windows。沒辦法，這也是由于它仍是計算機操作系統的最大宗，而非它真的比較脆弱。想想看，如今以Android為主的當紅智能設備，不也全球中毒的一蹋胡涂嗎？無論如何，目前Windows計算機與平板，仍是我們工作上最重要的信息工具與最佳伙伴，因此強制管理企業Windows計算機與設備的防毒系統，肯定是必要的安全手段。

在這里所提到的Windows防毒軟件，不一定非得使用Windows內置的Windows Defender，只要是通過Microsoft安全認證的防毒軟件，無論是免費還是付費的通通可以達到一定程度的防護效果。如果想要通過Windows Intune來強制安裝與管制Windows客戶端的Windows Defender防毒軟件，請在現有策略或新策略的編輯中，在“Endpoint Protection”節點頁面中的相關設置，在此您除了可以決定是否要幫客戶端，來自動安裝與啟用微軟的防毒軟件之外，還可以決定幾個重要的安全防護設置，這包括了停用客戶端UI(界面)、啟用實時保護、掃描所有下載、監視計算機上的文件和活動以及所要監視的文件類型設置等等。

在完成了有關于Endpoint Protection安全策略的部署之后，接著便可以來看看Windows Intune的策略，在Windows客戶端的應用狀況。

請開啟“Windows Intune Center”界面。在此將可以看到位于“Endpoint Protection”區域中的“啟動Windows Intune Endpoint Protection”連接可以點擊。

緊接著開啟“Windows Intune Endpoint Protection”管理界面，其實也就是Windows Defender防毒軟件，只要我們在策略中沒有設置停用客戶端UI，用戶便可以隨時開啟此界面。在“首頁”中可以知道目前的防毒系統是否有開啟實時保護，以及是否已經完成最新病毒特征與間諜過程定義的更新，在此用戶也可以隨時點擊“立即掃描”按鈕，來進行快速、完整或是自定的安全掃描。在“歷史記錄”頁面中，則可以檢視到隔離的項目、允許的項目、所有偵測到的項目。范例中便是一個已遭受隔離的病毒程序，用戶可以在此立即將它移除。

除了客戶端用戶可以自行檢視到關于掃毒的歷程記錄之外，系統管理員也可以在Windows Intune界面中，針對不同的計算機來檢視“惡意程序碼”的歷程記錄。從此頁面中可已得知每一只病毒程序的目前狀態、惡意程序碼執行狀態、嚴重性、至今的偵測數。進一步還可以點擊“了解此惡意程序碼”，來查詢有關于此惡意程序碼的完整說明。

圖4 檢查設備端點保護狀態

當我們回到“Endpoint Protection”專屬管理頁面時，便可以直接在“概觀”的節點中得知目前惡意程序碼的處理狀態，以及Endpoint Protection與其他第三方防毒軟件在受管理的計算機中之部署狀態。此外在這里也可以得知目前所有已偵測到的惡意程序碼之排行榜。

關于Endpoint Protection的部署情形，我們也可以從如圖4所示的組類別中，來一一檢視目前每部Windows計算機的防毒執行狀態，這包含了采用Endpoint Protection以及采用第三防毒軟件的偵測。

當受管理保護的計算機數量相當多時，系統管理員可以通過“篩選器”下拉選單中的“惡意程序碼”類別，來選取僅顯示特定的計算機列表。在這個類別之中可選擇的項目包括了惡意程序碼需要后續追蹤、未受保護、具有防護警告、最近已解決惡意程序碼、正在執行其他Endpoint Protection應用程序。

結語：

IT市場上如今較為知名的MDM解決方案除了有Microsoft Windows Intune之外，還有像是VMware的AirWatch、Citrix的XenMobile，甚至于連防毒軟件公司Kaspersky的Security for Mobile解決方案都來插一腳，該如何評估與選擇呢？其實就筆者的經驗而言，盡管智能移動設備的用戶數目前仍是以Android與iOS為最大宗，但大多數的商務工作者仍是以Windows的計算機，來作為協同合作的主要工具，因此筆者仍強烈建議采用Microsoft自家的Windows Intune來做為MDM的解決方案，肯定是企業IT最佳的選擇。