Jaa


Configuration Manager 中的合规性设置和公司资源访问

Hi, this is Yan and I’m excited to be able to share with you this What's New in 2012 R2 based blog that was originally posted to the In the Cloud TechNet blog on July 2013.  Please note, this blog may contain some links that refer to another blog that is currently only posted in English.  If any of the content that we link to is something you would like to see translated, please post a comment on this post and let us know. We really value your opinions and would like to know what topics are most interesting to you.  There is also a translation widget on the right side of the English page, which will allow you to translate the post in page. Thanks and we hope you find value with this content.

 

本博文是“Windows Server & System Center 2012 R2 中的新增功能”系列中的一部分(共 9 部分),该系列是 Brad Anderson 的云端瞭望博客中的精选内容。今天的博文将介绍 System Center 2012 R2 Configuration Manager 和 Windows Intune 将如何让管理员提供 VPN、WiFi 配置文件和证书,以允许用户连接到公司的资源,以及如何运用 Brad 提出的“以人为中心的 IT”这一大主题。如果您希望了解这些内容,并希望查看所探讨的其他技术,那么请阅读今天的博文:“提高设备用户的工作效率,并保护公司信息”。

作为 System Center 2012 R2 和 Windows Intune 的以人为中心的支柱的一部分,企业客户管理团队进行了大量投入,以让企业能够配置设备,进而连接到公司网络资源,并管理其他 PC 和移动设备设置。很多公司现在都能轻松配置配置文件来连接到公司 VPN 和 Wi-Fi、部署证书进行身份验证,并建立策略基线,以控制和审核设备的配置方式。用户可直接使用统一设备管理来为所有类型的设备管理这些设置和配置文件,并使用 Windows Intune 为通过本地移动设备管理协议得以交付的移动设备管理这些设置和配置文件。

移动设备设置

大量新移动设备设置已添加到“创建配置项目”向导的移动设备设置流中。

首先,必须使用 Windows Intune 连接器注册设备,然后这些设备将显示于 Configuration Manager 控制台的设备节点中,如以下屏幕截图所示。

                

 然后,您可通过从“资产和合规性”|“合规性设置”|“配置项目”下的控制台中运行“创建配置管理器”向导,创建一个新的配置项目。正如您可从以下屏幕截图中所看到的,将配置项目的类型指定为“移动设备”,然后您可指定您希望配置的设置。

                  

 

最后,您可在“资产和合规性”|“合规性设置”|“配置基线”下创建一个配置基线,并向其添加移动配置项目。您随后需要将配置基线部署到目标集合中,以让策略流动到设备之中。

以下表格显示了支持的设置:

合规性设置组

合规性设置

Windows 8.1

iOS 6.0

Android 4.0

密码

移动设备需要密码设置

不适用

密码

密码复杂性

不适用

密码

移动设备不锁定的最长空闲时间(分钟)

密码

最小密码长度(字符)

密码

记住密码的数量

密码

密码过期的天数

密码

擦除设备之前尝试登录的失败次数

密码

最低复杂字符

不适用

密码

允许简单密码

不适用

不适用

密码

允许方便登录

不适用

密码

最大宽限期

不适用

密码

密码质量

不适用

不适用

设备

语音拨号

不适用

不适用

设备

语音助理

不适用

不适用

设备

锁定时使用语音助理

不适用

不适用

设备

屏幕捕获

不适用

不适用

设备

视频会议

不适用

不适用

设备

游戏中心

不适用

不适用

设备

添加游戏中心好友

不适用

不适用

设备

多玩家游戏

不适用

不适用

设备

锁定时使用个人电子钱包软件

不适用

不适用

设备

诊断数据提交

不适用

应用商店

应用商店

不适用

应用商店

强制设置应用商店密码

不适用

不适用

应用商店

应用内购买

不适用

不适用

浏览器

默认浏览器

不适用

浏览器

自动填充

不适用

浏览器

插件

 

不适用

浏览器

活动脚本

不适用

浏览器

弹出窗口阻止程序

不适用

浏览器

诈骗警告

不适用

浏览器

Cookies

不适用

Internet Explorer

转到单字条目对应的 Intranet 站点

不适用

不适用

Internet Explorer

始终发送“请勿跟踪”标题

不适用

不适用

Internet Explorer

Intranet 安全区域

不适用

不适用

Internet Explorer

Internet 区域安全级别

是(只读)

不适用

不适用

Internet Explorer

Intranet 区域安全级别

是(只读)

不适用

不适用

Internet Explorer

受信任站点区域安全级别

是(只读)

不适用

不适用

Internet Explorer

受限制站点区域的安全级别

是(只读)

不适用

不适用

Internet Explorer

存在浏览器安全区域命名空间

不适用

不适用

内容评级

媒体商店中的成人内容

不适用

不适用

内容评级

评级区域

不适用

不适用

内容评级

电影评级

不适用

不适用

内容评级

电视节目评级

不适用

不适用

内容评级

应用评级

不适用

不适用

加密的备份

不适用

不适用

文档同步

不适用

照片同步

不适用

不适用

云备份

不适用

设备同步

是(只读)

不适用

不适用

凭据同步

是(只读)

不适用

不适用

按流量计费的连接同步

是(只读)

不适用

不适用

安全性

可移动存储

不适用

安全性

摄像头

是 (4.1)

安全性

蓝牙

是(只读)

不适用

不适用

漫游

允许语音漫游

不适用

不适用

漫游

漫游时允许全局后台提取

不适用

不适用

漫游

允许数据漫游

不适用

加密

移动设备文件加密

是(只读)

不适用

系统安全性

用户接受不受信任的 TLS 证书

不适用

不适用

系统安全性

用户访问控制

不适用

不适用

系统安全性

网络防火墙

是(只读)

不适用

不适用

系统安全性

更新

不适用

不适用

系统安全性

病毒保护

是(只读)

不适用

不适用

系统安全性

病毒保护签名最新

是(只读)

不适用

不适用

系统安全性

SmartScreen

不适用

不适用

Windows Server 工作文件夹

工作文件夹 URL

不适用

不适用

Windows Server 工作文件夹

强制自动安装

不适用

不适用

 公司资源访问设置

这一组设置解决了向未通过组策略托管的移动设备和 PC 部署配置文件和证书的问题。用户可接收包含指导设备如何连接到公司 VPN 服务器的 VPN 配置文件和允许设备自动连接到公司 Wi-Fi 热点的 Wi-Fi 配置文件的策略。用户还可接收验证这些网络身份的任何必要证书。所有这一切都是无缝的,因而可避免用户遵循一系列复杂指令来设置其设备。对于 Configuration Manager 桌面管理员而言,部署和监视这些配置文件就像是任何其他配置基线一样。 

这一过程始于在 Configuration Manager 控制台中的“资产和合规性”工作区中创建一个新的配置文件。我们为各个新配置文件类型添加了一个包含节点的新的公司资源访问部分。

 

每个节点都将启动一个向导,以创建一个新的配置文件,并将指导您进行与任何受支持的平台相关的设置。 您一次可配置一个配置文件,各个平台的相关设置将在部署时应用。在创建新的配置文件之后,其可部署到用户和设备集合中。请注意,这些配置文件将直接部署,而非添加到配置基线中。对于常规配置项目和配置基线,报告和监控将同样运行,并将让用户了解设备的合规情况。

您也可选择为 Windows 设备导入 XML 格式的 VPN 和 Wi-Fi 配置文件。由于这些配置文件包含相当高级的网络设置,因此组织可能希望授权网络管理员执行该配置,以支持基于角色的管理,Configuration Manager 控制台中已经添加了一个新的资源访问安全角色。 

Wi-Fi 配置文件

“创建 Wi-Fi 配置文件”向导拥有配置基本网络显示名称和 SSID 的设置,以及任何受支持的客户端平台中可用的安全和高级设置。在下面的示例中,一名管理员已经配置了一个配置文件来使用包含 PEAP 身份验证的 WPA2-Enterprise。

单击“配置”按钮将提供熟悉的 Windows EAP 控件来配置服务器和客户端身份验证方法。该控件将与任何给定 Windows 客户端中所用的控件一样,将构建相同的 EAP 配置 XML,并用于配置 Windows 和 Android 客户端。面向 iOS 的服务器和客户端的身份验证证书将使用“选择”按钮来进行配置。

其他向导页面将揭示高级设置,如快速漫游和代理设置。Wi-Fi 配置文件可部署到 Windows 8.1、iOS 和 Android 4 中。

VPN 配置文件

对于 Windows 8.1,Microsoft 与多个 VPN 供应商展开了通力合作,以为其技术提供箱内支持。作为这一工作的一部分,Configuration Manager 统一设备管理将支持针对各个供应商进行配置文件设置,并支持配置新的自动 VPN 连接,这些连接将在用户访问一个配置的公司应用或网络资源时自动开启。如希望了解有关 Windows 8.1 中自动 VPN 连接的更多信息,请查看 https://blogs.technet.com/b/configmgrteam/archive/2013/07/10/user-centric-application-management.aspx。如以下屏幕截图所示,也可为受 iOS 支持的各个 VPN 供应商和诸如 PPTP 和 LT2P 等 VPN 标准创建配置文件。 

该向导揭示了一切其他设置,如身份验证方法、代理设置和基于 DNS 的自动 VPN。自动 VPN 连接可通过软件库工作区配置,并将 Windows 应用商店应用的 ID 与部署到设备中的 VPN 配置文件相关联。

可将 VPN 配置文件部署到 Windows 8.1 和 iOS 客户端中。

证书

证书配置文件可分为两类:

  • 受信任的 CA 证书配置文件 - 受信任的 CA 证书配置文件可用于部署根 CA 证书,从 Wi-Fi 和 VPN 服务器为呈现给某一设备的证书建立信任。证书文件将作为部署给客户端设备的策略中的一部分包含其中,并作为受信任的 CA 证书安装。
  • SCEP 设置配置文件 - 本配置文件包含使用简单证书注册协议 (SCEP) 为客户端证书注册的设置。当设备接收了这一配置文件后,它们将获得注册机构服务器联系所需的所有必要指令和应使用哪一证书属性的所有必要指令。下一部分将介绍有关 SCEP 支持的更多信息。

简单证书注册协议

Apple iOS 采用简单证书注册协议 (SCEP) 作为向 iPhones 和 iPads 传递证书进行客户端身份验证的方式。Configuration Manager 现在可支持通过 SCEP 进行证书注册,并与合作伙伴 Microsoft 紧密合作,将客户端支持扩展到了 Windows 8.1 中,并提供了一种安全的方式生成和验证 SCEP 质询。利用证书配置文件签发证书需要通过 Windows Server 2012 R2 中的网络设备注册服务 (NDES) 角色与企业公钥基础结构集成,并涉及安装一个与 Configuration Manager 集成的策略模块,以针对原始部署的属性验证 SCEP 质询,以确保其完整性。 

可通过证书配置文件向 Windows 8.1、iOS 和 Android 4.0 客户端签发证书。

总结

我们介绍了 System Center 2012 R2 Configuration Manager 中一些有助于您管理设备,并实现无缝、安全地访问公司资源的新功能。如希望了解更多信息,请在 TechNet 上查看以下文档:

-- Heena MacwanChris Green

如希望阅读本系列中的所有博文,请查看 Windows Server 和 System Center 2012 R2 中的新增功能存档。

本博文按“原样”提供,且不提供任何担保和授予任何权利。