在 Configuration Manager 中使用本地 MDM 管理设备和保护数据
适用于: Configuration Manager(current branch)
移动设备可以存储敏感数据,并提供对许多组织资源的轻松访问。 若要帮助保护设备和数据,请使用 Configuration Manager 执行以下设备管理操作:
完全擦除:将设备还原到其出厂设置
选择性擦除:仅删除组织数据
密码重置:用户忘记密码时删除或重置密码
远程锁定:帮助保护可能丢失的设备
完全擦除
当需要保护丢失的设备或停用设备时,可以开始完全擦除设备。 此操作会将设备还原到其出厂默认值。 它会删除所有组织和用户数据和设置。
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。
选择要擦除的设备。
在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 停用/擦除”。
在“从Configuration Manager停用”窗口中,选择“擦除移动设备并将其从Configuration Manager停用”选项。
选择性擦除
若要仅从设备中删除组织数据,请开始选择性擦除。
按 OS 版本排序的行为
下表描述了将删除哪些数据,以及选择性擦除后对设备上保留的数据的影响。
Windows 10、Windows 8.1、Windows RT 8.1 和 Windows RT
内容 | 选择性擦除行为 |
---|---|
由 Configuration Manager 安装的应用和关联数据 | 它会卸载应用,并删除任何旁加载密钥。 它会撤销使用 Windows 选择性擦除的应用的加密密钥,并且数据不再可访问。 |
VPN 和 Wi-Fi 配置文件 | 删除配置文件 |
证书 | 删除和吊销证书 |
设置 | 删除要求 |
电子邮件配置文件 | 删除启用了 EFS 的电子邮件,其中包括 Windows 电子邮件和附件的邮件应用。 |
Windows 10 移动版、Windows Phone 8.0 和 Windows Phone 8.1
内容 | 选择性擦除行为 |
---|---|
由 Configuration Manager 安装的公司应用和相关数据 | 它会卸载应用并删除组织应用数据。 |
VPN 和 Wi-Fi 配置文件 | 删除 Windows 10 移动版 和 Windows Phone 8.1 的配置文件 |
证书 | 删除 Windows Phone 8.1 的证书 |
电子邮件配置文件 | 删除除 Windows Phone 8.0) 之外的配置文件 ( |
还会从 Windows 10 移动版 和 Windows Phone 8.1 设备中删除以下设置:
- 需要密码才可解锁移动设备
- 允许简单密码
- 最短密码长度
- 所需密码类型
- 密码过期(天数)
- 记住密码历史记录
- 擦除设备之前允许的重复登录失败次数
- 需要密码之前处于非活动状态的分钟数
- 所需的密码类型 - 字符集的最小数目
- 允许相机
- 需要在移动设备上进行加密
- 允许可移动存储
- 允许 Web 浏览器
- 允许应用程序存储
- 允许屏幕截图
- 允许地理位置
- 允许 Microsoft 帐户
- 允许复制和粘贴
- 允许 Wi-Fi 网络共享
- 允许自动连接以释放 Wi-Fi 热点
- 允许 Wi-Fi 热点报告
- 允许恢复出厂设置
- 允许蓝牙
- 允许 NFC
- 允许 Wi-Fi
开始选择性擦除
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。
选择要擦除的设备。
在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 停用/擦除”。
在“从Configuration Manager停用”窗口中,选择以下选项:擦除公司内容并从Configuration Manager停用移动设备。
选择性擦除建议
若要成功擦除电子邮件,请将电子邮件配置文件设置为 Windows Phone 8.1 设备。
若要成功擦除应用,请确保通过移动设备应用管理分发应用。
密码重置
如果用户忘记了密码,请使用此操作在设备上强制使用新的临时密码。 还可以完全删除密码。 下表列出了密码重置在不同移动平台上的工作方式。
OS 版本 | 密码重置 |
---|---|
Windows 10 | 不支持 |
Windows 10移动设备 | 支持,不包括已加入Microsoft Entra的设备 |
Windows Phone 8 和 Windows Phone 8.1 | 支持 |
Windows RT 8.1 | 不支持 |
Windows 8.1 | 不支持 |
注意
从顶级站点启动密码重置操作。 例如,如果使用管理中心站点,则只能在该站点上执行操作。 如果使用的是独立主站点,则只能从该站点执行操作。
在移动设备上远程重置密码
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。
选择要重置密码的设备。
在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 密码重置”。
显示密码重置的状态
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。
选择要显示密码重置状态的设备。
在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 显示密码状态”。
远程锁定
如果用户丢失了设备,你可以远程锁定设备。 下表列出了远程锁定在不同移动平台上的工作原理。
OS 版本 | 远程锁定 |
---|---|
Windows 10 | 不支持 |
Windows Phone 8 和 Windows Phone 8.1 | 支持 |
Windows RT 8.1 | 如果设备的当前用户是注册设备的同一用户,则为支持。 |
Windows 8.1 | 如果设备的当前用户是注册设备的同一用户,则为支持。 |
注意
从顶级站点启动远程锁定操作。 例如,如果使用管理中心站点,则只能在该站点上执行操作。 如果使用的是独立主站点,请从该站点执行操作。
远程锁定移动设备
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。
选择要锁定的一个或多个设备。
在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 远程锁定”。 确认操作。
显示远程锁的状态
在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。
选择要显示远程锁状态的设备。
在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 显示远程锁定状态”。