在 Configuration Manager 中使用本地 MDM 管理设备和保护数据

适用于: Configuration Manager(current branch)

移动设备可以存储敏感数据,并提供对许多组织资源的轻松访问。 若要帮助保护设备和数据,请使用 Configuration Manager 执行以下设备管理操作:

  • 完全擦除:将设备还原到其出厂设置

  • 选择性擦除:仅删除组织数据

  • 密码重置:用户忘记密码时删除或重置密码

  • 远程锁定:帮助保护可能丢失的设备

完全擦除

当需要保护丢失的设备或停用设备时,可以开始完全擦除设备。 此操作会将设备还原到其出厂默认值。 它会删除所有组织和用户数据和设置。

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。

  2. 选择要擦除的设备。

  3. 在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 停用/擦除”。

  4. 在“从Configuration Manager停用”窗口中,选择“擦除移动设备并将其从Configuration Manager停用”选项。

选择性擦除

若要仅从设备中删除组织数据,请开始选择性擦除。

按 OS 版本排序的行为

下表描述了将删除哪些数据,以及选择性擦除后对设备上保留的数据的影响。

Windows 10、Windows 8.1、Windows RT 8.1 和 Windows RT

内容 选择性擦除行为
由 Configuration Manager 安装的应用和关联数据 它会卸载应用,并删除任何旁加载密钥。 它会撤销使用 Windows 选择性擦除的应用的加密密钥,并且数据不再可访问。
VPN 和 Wi-Fi 配置文件 删除配置文件
证书 删除和吊销证书
设置 删除要求
电子邮件配置文件 删除启用了 EFS 的电子邮件,其中包括 Windows 电子邮件和附件的邮件应用。

Windows 10 移动版、Windows Phone 8.0 和 Windows Phone 8.1

内容 选择性擦除行为
由 Configuration Manager 安装的公司应用和相关数据 它会卸载应用并删除组织应用数据。
VPN 和 Wi-Fi 配置文件 删除 Windows 10 移动版 和 Windows Phone 8.1 的配置文件
证书 删除 Windows Phone 8.1 的证书
电子邮件配置文件 删除除 Windows Phone 8.0) 之外的配置文件 (

还会从 Windows 10 移动版 和 Windows Phone 8.1 设备中删除以下设置:

  • 需要密码才可解锁移动设备
  • 允许简单密码
  • 最短密码长度
  • 所需密码类型
  • 密码过期(天数)
  • 记住密码历史记录
  • 擦除设备之前允许的重复登录失败次数
  • 需要密码之前处于非活动状态的分钟数
  • 所需的密码类型 - 字符集的最小数目
  • 允许相机
  • 需要在移动设备上进行加密
  • 允许可移动存储
  • 允许 Web 浏览器
  • 允许应用程序存储
  • 允许屏幕截图
  • 允许地理位置
  • 允许 Microsoft 帐户
  • 允许复制和粘贴
  • 允许 Wi-Fi 网络共享
  • 允许自动连接以释放 Wi-Fi 热点
  • 允许 Wi-Fi 热点报告
  • 允许恢复出厂设置
  • 允许蓝牙
  • 允许 NFC
  • 允许 Wi-Fi

开始选择性擦除

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。

  2. 选择要擦除的设备。

  3. 在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 停用/擦除”。

  4. “从Configuration Manager停用”窗口中,选择以下选项:擦除公司内容并从Configuration Manager停用移动设备

选择性擦除建议

  • 若要成功擦除电子邮件,请将电子邮件配置文件设置为 Windows Phone 8.1 设备。

  • 若要成功擦除应用,请确保通过移动设备应用管理分发应用。

密码重置

如果用户忘记了密码,请使用此操作在设备上强制使用新的临时密码。 还可以完全删除密码。 下表列出了密码重置在不同移动平台上的工作方式。

OS 版本 密码重置
Windows 10 不支持
Windows 10移动设备 支持,不包括已加入Microsoft Entra的设备
Windows Phone 8 和 Windows Phone 8.1 支持
Windows RT 8.1 不支持
Windows 8.1 不支持

注意

从顶级站点启动密码重置操作。 例如,如果使用管理中心站点,则只能在该站点上执行操作。 如果使用的是独立主站点,则只能从该站点执行操作。

在移动设备上远程重置密码

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。

  2. 选择要重置密码的设备。

  3. 在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 密码重置”。

显示密码重置的状态

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。

  2. 选择要显示密码重置状态的设备。

  3. 在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 显示密码状态”。

远程锁定

如果用户丢失了设备,你可以远程锁定设备。 下表列出了远程锁定在不同移动平台上的工作原理。

OS 版本 远程锁定
Windows 10 不支持
Windows Phone 8 和 Windows Phone 8.1 支持
Windows RT 8.1 如果设备的当前用户是注册设备的同一用户,则为支持。
Windows 8.1 如果设备的当前用户是注册设备的同一用户,则为支持。

注意

从顶级站点启动远程锁定操作。 例如,如果使用管理中心站点,则只能在该站点上执行操作。 如果使用的是独立主站点,请从该站点执行操作。

远程锁定移动设备

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。

  2. 选择要锁定的一个或多个设备。

  3. 在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 远程锁定”。 确认操作。

显示远程锁的状态

  1. 在Configuration Manager控制台中,转到“资产和符合性”工作区,然后选择“设备”节点。 还可以选择“ 设备集合 ”,并选择设备所属的集合。

  2. 选择要显示远程锁状态的设备。

  3. 在功能区的“设备”组中,选择“ 远程设备操作”,然后选择“ 显示远程锁定状态”。