Compartilhar via


Windows、iPad 和 Android - 在平板电脑中管理和使用 Office 资产(第 2 部分)

原文发布于 2011 年 10 月 13 日(星期四)

欢迎阅读介绍在平板计算设备中管理 Office 资产的系列文章中的第二部分。在第一部分中,我主要介绍了将 Office 用于富客户端、远程富客户端的主要方式,Office for Mac,Web App 和电话上的 Office。现在,我想花些时间讨论相关技术以确保可在多个设备类型中使用电子邮件、日历和其他 Office 内容。我将“Office”视为除应用程序本身之外的通信、电子邮件和协作工作负荷,所以这些工作负荷正是此情景的一部分。在我切入诸如为触摸设备自定义 Office UI 或远程访问桌面的主题之前,让我们从我正在使用的生成环境入手,然后我将探讨移动设备与 Office 工作负荷之间的连接的基础知识。

我的生成环境

我始终坚持确保在我尝试介绍之前,一切都真正运行和起作用,以便我了解生成和启动一切内容的困扰。虽然我没有运行诸如完整 Windows Server System Reference Architecture (WSSRA) 环境(我们过去在内部常将其称为“Minicore”)的设备来彻底验证此结果,但我确实有一个相对强健(和可移植)的环境。WSSRA 中的 Minicore 运行了 32 台虚拟机,但我运行 6 台虚拟机,并且使用主机、iPad 和 Samsung Galaxy Tab 作为客户端。

  • HP8540W 便携式计算机,配置为四核 i7,16GB RAM 和 1 TB RAID 0 SSD 存储。板载 NIC 和 PCIE NIC
  • 安装了 Hyper-V 角色的 Windows Server 2008 R2 Enterprise
  • 六台虚拟机,全部运行 Windows Server 2008 R2 Standard
    • 域控制器
    • SharePoint 2010
    • Exchange Server 2010
    • RDS RemoteApp
    • Citrix XenApp
    • Forefront Unified Access Gateway 2010 (UAG)
  • iPad 2(带 iOS 4)
  • Samsung Galaxy Tab(带 Android 2.2)
  • MacBook Air,带 Office for Mac 2011
  • Cisco 无线路由器,连接到 PCIE NIC

这是我带到 TechEd 和今年的 SharePoint 会议的东西,所以如果您在机场的 TSA 队伍中看到我,不要大惊小怪。这也是我将为此系列的其余部分捕捉屏幕截图的环境。现在,我们将从基础知识入手。

Exchange ActiveSync

回顾 2002 年,我们构建了 Microsoft Information Server (MIS) 2002 的一部分,称为 AirSync,大约一年以后,该功能扩展并移动到 Exchange Server 2003,重命名为 Exchange ActiveSync。我还记得我刚到 Microsoft 时最初在我的电话上设置电子邮件和日历的功能,它为我省去了不少麻烦。多年后,Exchange ActiveSync (EAS) 不断演化,由于它可运用于非 Windows 平台,它已成为许多设备类型(包括 Windows Mobile 和 Windows Phone、Apple 的 iPad 和 iPhone 以及基于 Android 的设备)的关键部分和安全支柱。对于我,就此博客系列而言,它还是在各种设备上获取 Office 访问权限的最低常见标准。

Exchange ActiveSync 提供了各种重要的 IT 管理功能,如要求和强制执行 PIN 以取消锁定设备的功能。这会强制执行其他方面的验证,以便在设备丢失时,人们需要知道 PIN 才能访问整个设备(如果是具有本机 Exchange ActiveSync 支持的设备)或连接到 EAS 的软件环境,如 NitroDesk 的 TouchDown(该链接可能指向英文页面)DataViz 的 RoadSync(该链接可能指向英文页面)

上面是 Exchange Server 2010 的属性视图,除了密码策略之外,我们还可为同步设置和其他设备属性设置策略(如禁用设备相机和浏览器的功能)。在安全性要求很高的环境中,这些控件可提供额外保护,防止数据泄露及恶意代码通过 Web 浏览器进入。Apple 还提供了和第三方移动设备管理 (MDM) 基础结构一起使用的 iPhone 配置实用工具,以便在 iPhone 和 iPad 设备中执行策略。

这些设备的大量企业安全事例来自于 Exchange ActiveSync 功能和这些设备支持这些功能所需的工作。Android 2.0 和具有本机 EAS 支持的新型设备也是如此。

对于多数设备来说,使用 Exchange ActiveSync 中的控件配置设备是沿正确方向迈出的一步,通过限制电子邮件在设备上的存储天数,可帮助减少与数据安全关联的风险,但在设备(包括 iOS、Android、Symbian 和 Windows Phone)中实施 EAS 对于各个平台是显著不同的。对于使用 Exchange ActiveSync 的信息权限管理 (IRM) 来说尤其如此,在我写这篇文章时,使用 EAS 的 IRM 仅限于 Windows Phone 和 Windows Mobile 平台。对于需要针对特定电子邮件流量增强安全性的组织,IRM 可对消息传递内容提供持久的保护。由于用于访问电子邮件的 EAS 客户端正在逐渐增多,您的移动设备用户能够以安全的方式创建和使用受 IRM 保护的内容变得十分重要。当我提到这些设备上的 EAS 支持是沿正确方向迈出的一步时,我真正想说的是它不能也不会与多数 IT 部门习惯使用的 Active Directory 组策略控件相提并论。在迎合将用户推向开发程度较低的平台这一想法时,需要考虑这些事项。

Office 的组策略配置管理

Office 在 Windows 平台上有丰富的粒度配置管理历史。从 Office 97 版本中的策略管理功能开始,这些功能在最近大约 15 年的时间里已显著增强。回顾那些日子,只有仅 50 多个可实施的设置,而对于 Office 2010,则有超过 2000 个可实施设置。我知道有些人想进一步了解,所以我将提到,Office for Mac 2011(和以前的 Mac 版本一样)不包含任何可实施的设置(该链接可能指向英文页面),它只使用可选的安装时首选项,我在第 1 部分中提到,用户可随意更改这些首选项。谈到安装时首选项,它让我想到 Office 在安装时可在 Windows 上配置的方式。它们对 Office 的安全性和可管理性情景非常重要,因为您不仅可确定 Office 的配置方式,还可以配置诸如机密性设置(加密和 IRM 规则)、完整性设置(受信任发布程序和位置 + 数字签名规则)和可用性设置(VBA 宏、外接程序、ActiveX、Internet Explorer 和文件阻止规则)等问题。这些控件是运行 Office 的 Windows 环境所特有的。

有三个主要控制机制可在 Windows 计算机上以自定义方式安装 Office:

  1. 组策略预定义设置
  2. Config.xml
  3. 使用 Office 自定义工具 (OCT) 生成的自定义 MSP 文件

它们之所以按这样的顺序列出是因为,如果发生冲突,则前面列出的控制机制取得优先权。和您预期的一样,组策略设置具有最高控制权,优先于在 config.xml 中定义的所有设置,而后者又优先于自定义 OCT 生成的 MSP 文件中的设置。配置 Office 2010 时,您可以使用成千上万个可能的组策略设置。事实上,问题变成了“我从哪里开始?”,我们可使用 Security Compliance Manager(该链接可能指向英文页面) 来帮助您建立基准,因为它更容易从已知可用配置入手,然后改进它,而不是从头开始。

优先顺序中的下一项是与 Office 一同使用的 config.xml 文件。由于它是 XML,并且没有很多预定义的内容,因此您可能不想使用它来完成一长串设置,但对于配置诸如简单调用激活服务或自定义语言校对工具的内容,config.xml 文件是您的最佳选择,有时还是唯一选择。下面是相对标准的 config.xml 文件的外观:

最后一个选项是使用 Office 自定义工具(该链接可能指向英文页面)。此工具在本质上可确定 Office 安装和配置的方式。这些设置(和 config.xml 一样)是仅在安装时设置的,并且不是强制执行的。如果您稍后不使用组策略强制措施,则需要在环境中通过策略强制实施的可管理性和安全性会严重损坏,与 Office for Mac 类似。OCT 公开了与组策略相同的设置,并且允许您执行注册表写入和在 Office 安装过程中运行自定义命令。在 Office 2010 的托管部署中,最常使用的控件可能是禁止建议的设置对话框的设置,因为这会弹出要求用户选择使用 Windows Update 的消息,大多数托管环境的 IT 管理员都会使用诸如 Windows Server Update Services (WSUS) 或 System Center Configuration Manager 之类的工具代表用户执行该操作。

上面就是在 Windows 上自定义 Office 安装的主要方式,我希望确保包含了此内容,因为即使您阅读此博客以寻找有关如何将 Office 传递到 iPad 的线索,当我们开始讨论在远程桌面或服务器上承载 Office 以及通过 iPad、Android 或 Windows 设备访问该内容的方式时,这些也会发挥作用。无论我是要设置安装了远程桌面服务角色的 Windows Server 2008 R2 服务器还是远程 Windows 7 虚拟机,我都需要能够方便地自定义该安装,尤其是当我为成千上万个用户提供此服务时。

扔出这个炸弹后,我将结束此系列的第 2 部分。如果您还没有阅读第 1 部分,请务必阅读它,我会在几天后发布第 3 部分。

感谢您阅读本文,

Jeremy Chapman

高级产品经理

Office IT 专业人员团队

这是一篇本地化的博客文章。请访问 Windows, iPad and Android - Managing and Using Your Office Assets in a Tablet World (Part 2) 以查看原文