Udostępnij za pośrednictwem

  • Artykuł

Łatwiejsza ochrona danych dzięki funkcjom czyszczenia danych, zdalnego blokowania lub resetowania kodu dostępu przy użyciu programu Configuration Manager

 

Dotyczy: System Center 2012 SP1, Microsoft Intune, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Usługa System Center 2012 Configuration Manager zapewnia możliwość selektywnego czyszczenia danych, pełnego czyszczenia danych, zdalnego blokowania i resetowania kodu dostępu. Urządzenia przenośne mogą zawierać poufne dane firmowe i umożliwiać dostęp do wielu zasobów firmowych. W celu ochrony urządzeń można wydawać następujące polecenia:

Począwszy od wersji System Center 2012 R2 Configuration Manager:

  • Pełne czyszczenie danych w celu przywrócenia ustawień fabrycznych urządzenia.

  • Selektywne czyszczenie danych w celu usunięcia tylko danych firmowych.

Począwszy od wersji System Center 2012 Configuration Manager z dodatkiem SP2:

  • Zdalna blokada w celu zabezpieczenia urządzenia, które mogło zostać utracone.

  • Resetowanie kodu dostępu urządzenia.

Ten temat zawiera:

  • Czyszczenie danych

  • Resetowanie kodu dostępu

  • Zdalne blokowanie

Urządzenia przenośne zarządzane za pomocą programu Menedżer konfiguracji R2 z usługą Microsoft Intune można czyścić i wycofywać.

Czyszczenie danych

Możesz wydać polecenie czyszczenia urządzenia, gdy zaistnieje potrzeba zabezpieczenia utraconego urządzenia lub wycofania urządzenia z aktywnego użycia.

Wydaj polecenie pełnego czyszczenia urządzenia, aby przywrócić domyślne ustawienia fabryczne urządzenia. Spowoduje to usunięcie wszystkich danych firmowych oraz danych i ustawień użytkownika. Na urządzeniach z systemami Windows Phone, iOS i Android można wykonać pełne czyszczenie danych.

Aby usunąć tylko dane firmowe, wydaj polecenie selektywnego czyszczenia urządzenia. W poniższej tabeli opisano (według platform) usuwane dane oraz wpływ selektywnego czyszczenia na dane pozostające na urządzeniu.

Zawartość usuwana podczas wycofywania urządzenia

Windows 8.1 i Windows RT 8.1

Windows RT

Windows Phone 8 i Windows Phone 8.1

iOS

Android

Samsung KNOX

Aplikacje firmowe i skojarzone dane zainstalowane za pomocą programu Menedżer konfiguracji i usługi Intune.

Aplikacje są dezinstalowane, a klucze ładowania bezpośredniego są usuwane. W przypadku aplikacji używających funkcji selektywnego wymazywania systemu Windows następuje odwołanie klucza szyfrowania, a dane przestają być dostępne.

Klucze ładowania bezpośredniego są usuwane, ale aplikacje pozostają zainstalowane.

Aplikacje zostaną odinstalowane. Dane aplikacji firmowych zostaną usunięte.

Aplikacje zostaną odinstalowane. Dane aplikacji firmowych zostaną usunięte.

Aplikacje i dane pozostają zainstalowane.

Aplikacje zostaną odinstalowane.

Profile sieci VPN i Wi-Fi

Usuwane.

Nie dotyczy.

Usunięte w systemie Windows Phone 8.1.

Usuwane.

Usuwane.

Usuwane.

Certyfikaty

Usuwane i odwołane.

Nie dotyczy.

Usunięte w systemie Windows Phone 8.1.

Usuwane i odwołane.

Odwołano.

Odwołano.

Ustawienia

Wymagania zostały usunięte.

Wymagania zostały usunięte.

Następujące ustawienia zostały usunięte (dotyczy tylko systemu Windows Phone 8.1):

  • Wymagaj hasła do odblokowania urządzeń przenośnych

  • Zezwalaj na proste hasła

  • Minimalna długość hasła

  • Wymagany typ hasła

  • Wygaśnięcie hasła w dniach

  • Pamiętaj historię haseł

  • Liczba dopuszczalnych nieudanych logowań przed wyczyszczeniem danych z urządzenia

  • Czas braku aktywności (w minutach), zanim będzie wymagane podanie hasła

  • Wymagany typ hasła — minimalna liczba zestawów znaków

  • Zezwalaj na używanie aparatu

  • Wymagaj szyfrowania na urządzeniu przenośnym

  • Zezwalaj na używanie magazynu wymiennego

  • Zezwalaj na używanie przeglądarki sieci Web

  • Zezwalaj na korzystanie ze sklepu z aplikacjami

  • Zezwalaj na przechwytywanie ekranu

  • Zezwalaj na używanie funkcji geolokalizacji

  • Zezwalaj na konto Microsoft

  • Zezwalaj na kopiowanie i wklejanie

  • Zezwalaj na tethering Wi-Fi

  • Zezwalaj na automatyczne łączenie z bezpłatnymi punktami hotspot Wi-Fi

  • Zezwalaj na raportowanie informacji o punktach hotspot Wi-Fi

  • Zezwalaj na resetowanie do ustawień fabrycznych

  • Zezwalaj na połączenia Bluetooth

  • Zezwalaj na komunikację NFC

  • Zezwalaj na połączenia Wi-Fi

Usunięte z wyjątkiem:

  • Zezwalaj na roaming połączeń głosowych

  • Zezwalaj na roaming danych

  • Zezwalaj na automatyczną synchronizację podczas roamingu

Wymagania zostały usunięte.

Wymagania zostały usunięte.

Agent zarządzania

Nie dotyczy. Agent zarządzania jest wbudowany.

Nie dotyczy. Agent zarządzania jest wbudowany.

Nie dotyczy. Agent zarządzania jest wbudowany.

Profil zarządzania jest usuwany.

Uprawnienie administratora urządzenia jest odwoływane.

Uprawnienie administratora urządzenia jest odwoływane.

Profile poczty e-mail

Usuwa wiadomości e-mail z obsługą systemu szyfrowania plików, w tym wiadomości e-mail i załączniki z aplikacji poczty dla systemu Windows.

Nie dotyczy.

Usunięte (dotyczy tylko systemu Windows Phone 8.1)

W przypadku profili poczty e-mail udostępnionych przez usługę Microsoft Intune konto e-mail i wiadomości e-mail zostaną usunięte.

Nie dotyczy.

W przypadku profili poczty e-mail udostępnionych przez usługę Microsoft Intune konto e-mail i wiadomości e-mail zostaną usunięte.

Aby zainicjować zdalne czyszczenie danych z poziomu konsoli programu Configuration Manager

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność, a następnie wybierz pozycję Urządzenia. Możesz też kliknąć pozycję Kolekcje urządzeń i wybrać odpowiednią kolekcję.

  2. Wybierz urządzenia, które chcesz wycofać/wyczyścić.

  3. Kliknij pozycję Akcje urządzeń zdalnych w obszarze Grupa urządzeń, a następnie wybierz opcję Wycofaj/wyczyść.

Czyszczenie zawartości z obsługą systemu szyfrowania plików

Selektywne czyszczenie zawartości z obsługą systemu szyfrowania plików jest obsługiwane w systemach Windows 8.1 i Windows RT 8.1. W przypadku selektywnego czyszczenia zawartości z obsługą systemu szyfrowania plików obowiązują następujące reguły:

  • Selektywne czyszczenie zawartości dotyczy tylko aplikacji i danych chronionych przez system szyfrowania plików, który używa tej samej domeny internetowej co konto usługi Intune. Aby uzyskać więcej informacji, zobacz Selektywne czyszczenie danych urządzenia w systemie Windows.

  • Wprowadzenie zmian w domenie skojarzonej z systemem szyfrowania plików może zająć do 48 godzin. Dopiero po upływie tego czasu można selektywnie wyczyścić aplikacje i dane, które używają nowej domeny.

  • Każda domena zarejestrowana w usłudze Intune zostanie wyczyszczona.

Selektywne czyszczenie zawartości z obsługą systemu szyfrowania plików jest obecnie obsługiwane w przypadku następujących danych i aplikacji:

Najlepsze rozwiązania w zakresie selektywnego czyszczenia zawartości

  • Aby zapewnić powodzenie czyszczenia wiadomości e-mail, należy udostępnić profile poczty e-mail urządzeniom z systemami iOS i Windows Phone 8.1.

  • Aby czyszczenie aplikacji powiodło się, muszą one być rozpowszechniane za pośrednictwem funkcji zarządzania aplikacjami dla urządzeń przenośnych. Więcej informacji można znaleźć w temacie Tworzenie i wdrażanie aplikacji dla urządzeń przenośnych w programie Configuration Manager 

  • W przypadku systemu iOS ustawienie „Zezwalaj na wykonywanie kopii zapasowych w usłudze iCloud” musi mieć wartość „Nie zezwalaj”, tak aby użytkownicy nie mogli przywracać zawartości przy użyciu usługi iCloud.

  • Jeśli konto zostało dezaktywowane, po roku zostanie ono wycofane z usługi Intune i zostanie wykonane selektywne czyszczenie zawartości.

Resetowanie kodu dostępu

Jeśli użytkownik zapomni swój kod dostępu, możesz mu pomóc przez usunięcie kodu dostępu z urządzenia lub wymuszenie nowego hasła tymczasowego na urządzeniu. W poniższej tabeli przedstawiono sposób działania resetowania kodu dostępu na różnych platformach mobilnych.

Platforma

Resetowanie kodu dostępu

iOS

Obsługiwane czyszczenie kodu dostępu z urządzenia. Nie powoduje utworzenia nowego hasła tymczasowego.

Android

Jest obsługiwane i powoduje utworzenie tymczasowego kodu dostępu.

Windows Phone 8 i Windows Phone 8.1

Obsługiwane

Windows RT 8.1 i Windows RT

Nieobsługiwane

Windows 8.1

Nieobsługiwane

Aby zdalnie zresetować kod dostępu na urządzeniu przenośnym w programie Configuration Manager

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność, a następnie wybierz pozycję Urządzenia. Możesz też kliknąć pozycję Kolekcje urządzeń i wybrać odpowiednią kolekcję.

  2. Wybierz urządzenie lub urządzenia, na których chcesz zresetować kod dostępu.

  3. Kliknij pozycję Akcje urządzeń zdalnych w obszarze Grupa urządzeń, a następnie wybierz opcję Resetowanie kodu dostępu.

Aby wyświetlić stan resetowania kodu dostępu

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność, a następnie wybierz pozycję Urządzenia. Możesz też kliknąć pozycję Kolekcje urządzeń i wybrać odpowiednią kolekcję.

  2. Wybierz urządzenie lub urządzenia, na których chcesz wyświetlić stan resetowania kodu dostępu.

  3. Kliknij pozycję Akcje urządzeń zdalnych w obszarze Grupa urządzeń, a następnie wybierz opcję Pokaż stan kodu dostępu.

Zdalne blokowanie

Jeśli użytkownik utraci urządzenie, można zablokować je zdalnie. W poniższej tabeli przedstawiono sposób zdalnego blokowania na różnych platformach mobilnych.

Platforma

Zdalne blokowanie

iOS

Obsługiwane

Android

Obsługiwane

Windows Phone 8 i Windows Phone 8.1

Obsługiwane

Windows RT 8.1 i Windows RT

Obsługiwane, jeśli bieżący użytkownik urządzenia jest tym samym użytkownikiem, który zarejestrował urządzenie.

Windows 8.1

Obsługiwane, jeśli bieżący użytkownik urządzenia jest tym samym użytkownikiem, który zarejestrował urządzenie.

Aby zdalnie zablokować urządzenie przenośne za pośrednictwem konsoli programu Configuration Manager

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność, a następnie wybierz pozycję Urządzenia. Możesz też kliknąć pozycję Kolekcje urządzeń i wybrać odpowiednią kolekcję.

  2. Wybierz urządzenie lub urządzenia do zablokowania.

  3. Kliknij pozycję Akcje urządzeń zdalnych w obszarze Grupa urządzeń, a następnie wybierz opcję Zdalna blokada.

Aby wyświetlić stan zdalnego blokowania

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność, a następnie wybierz pozycję Urządzenia. Możesz też kliknąć pozycję Kolekcje urządzeń i wybrać odpowiednią kolekcję.

  2. Wybierz urządzenie lub urządzenia, na których chcesz wyświetlić stan zdalnego blokowania.

  3. Kliknij pozycję Akcje urządzeń zdalnych w obszarze Grupa urządzeń, a następnie wybierz opcję Pokaż stan zdalnej blokady.