Hi, this is Yan and I’m excited to be able to share with you this What's New in 2012 R2 based blog that was originally posted to the In the Cloud TechNet blog on July 2013. Please note, this blog may contain some links that refer to another blog that is currently only posted in English. If any of the content that we link to is something you would like to see translated, please post a comment on this post and let us know. We really value your opinions and would like to know what topics are most interesting to you. There is also a translation widget on the right side of the English page, which will allow you to translate the post in page. Thanks and we hope you find value with this content.
本博文是“Windows Server 和 System Center 2012 R2 中的新增功能”系列中的一部分(共 9 部分),该系列是 Brad Anderson 的云端瞭望博客中的精选内容。今天的博文将介绍 System Center 2012 R2 Configuration Manager 和 Windows Intune 如何为设备用户提供一致的注册和资源访问体验,以及它如何应用于 Brad 的更大主题“以人为本的 IT”。若要阅读该博文并查看讨论的其他技术,请阅读今天的博文:“提高设备用户的工作效率并保护企业信息”。
近年来,全球掀起了一股面向“IT 消费化”的浪潮,而且这已经发展成为 IT 领域中的一大趋势,它描述的是业务组织不断采用移动电话和 PC 等消费者技术的情形。最近,我们一直看到这样的趋势,即这些新设备不但被员工引进组织,而且组织也不断寻求各种方法,利用这些设备类型支持面向客户的任务。例如在零售业,组织可以在简单的手持设备上为销售人员提供最新的产品信息。
我们将这些新功能称为“以人为中心的 IT”。以人为中心的 IT是指帮助人们随时随地在他们所选的设备上工作。我们的重点在于秉承“以人为本的 IT”理念,继续向用户提供所需的宝贵服务,例如在任何地方的任何设备上访问应用程序和数据,同时为 IT 管理员提供足够的控制权,以确保设备值得信赖,而且丝毫不影响用户的隐私,并防止公司数据丢失。
为此,我们不断努力推进在 Windows 8 RT 中开始启动的工作,并扩展了 Windows 8.1 RT 以及 Windows 8.1 x86 和 x64 的管理功能。
Windows 管理客户端
Windows 8 RT 包括一项全新的管理客户端,该客户端可与云中的管理服务通信,从而向用户提供业务线 (LOB) 应用。
管理客户端内置在操作系统中,可以与 Windows 应用商店应用(公司门户)配合使用。公司门户允许用户浏览和安装可供他们使用的应用。
管理客户端执行以下功能:
- 与组织的管理服务通信
- 定期与管理服务同步,检查所有更新的应用
- 向设备应用 IT 部门配置的最新设置策略
- 帮助下载和安装用户希望安装的所有应用
- 如果用户或管理员选择从管理服务停用设备,管理客户端将清除客户端配置,并禁用用户从公司门户安装的任何 LOB 应用。
对于 Windows 8.1,管理客户端同样是 Windows 8.1 RT 以及 Windows 8.1 x86 和 x64 的一个内置系统组件,因此,无论处理器架构如何,都能实现相同的管理功能。
改进用户体验
正如 Windows 8 一样,我们假设在几乎所有 BYOD 应用场景中,最终用户自身(而非 IT 专业人员)将会在管理服务中注册他们的设备。最初,原始桌面承载 Windows 8 体验,但对于 Windows 8.1,用户体验已迁移到经过全新改进的 PC 设置,从而使用户更易于发现和提供更加无缝的体验。
在“PC 设置”面板中,用户可提供其公司的电子邮件地址,就像他们建立 Exchange 电子邮件帐户时所进行的操作一样。当用户选择打开设备管理时,便开始注册设备。客户端执行服务查寻,根据用户的电子邮件地址查找组织的管理服务。
要在管理服务中注册设备,用户只需输入公司电子邮件地址,然后打开设备管理即可。
管理客户端找到正确的地址后,将与管理服务建立安全连接,并对用户进行身份验证。
如果用户成功通过身份验证,并获得 IT 部门允许注册设备的授权,管理服务将向启动注册的用户签发一个用户证书。该证书将随同组织根证书和客户端指令一起发送回客户端,客户端将使用这些内容配置其与管理服务之间的持续通信。所有这一切将在数秒钟内完成,而且通常无需用户进行其他交互。
完成注册流程
接下来,客户端使用用户证书进行身份验证,自动启动与管理服务的会话。此会话和任何后续会话均使用 SSL 相互身份验证来执行,以确保连接的安全性。该初始会话通过提供某些基本设备信息(例如,品牌和型号、操作系统版本、设备功能和其他硬件信息)来完成设备的管理服务注册。这使 IT 管理员能够监控使用组织资源的设备类型,随着时间的推移,使 IT 部门能够不断改善向用户提供的应用和服务。
初始会话之后,客户端将在以下两种情况下启动与管理服务之间的通信:
- 首先,作为每天在某一时间运行的一项维护任务,用户可通过该任务来配置其客户端。这些维护会话期间所执行的活动主要集中于向管理服务报告更新的硬件信息、向设备的设置策略应用更改、向管理服务报告合规情况,以及将应用更新应用于 LOB 应用,或者重试以前从公司门户启动且安装失败的 LOB 应用。
- 其次,客户端将在用户从公司门户启动应用安装的任何时候,与管理服务进行通信。这些由用户启动的会话将仅专注于应用安装,不执行第一种情况中所描述的维护和管理活动。
无论会话是由计划的维护任务自动启动,还是由用户手动启动,管理客户端都将在设备的电池状态及其当前网络条件的相关方面持续良好运行。
公司门户
很显然,至此我们所谈及的功能主要集中于管理客户端和服务的机制以及 IT 部门的需要,但是整个解决方案最终将通过让用户访问 LOB 应用而惠及最终用户。如果没有这一优势,恐怕用户没有理由还要麻烦地使用企业管理服务。
公司门户是让公司用户访问管理服务的一个日常界面。用户可以从公司门户进行浏览,发现 IT 部门发布的、可供用户使用的应用。实际上,IT 部门可在公司门户为用户发布四种不同类型的应用:
- 内部开发的、尚未在 Windows 应用商店发布的 Windows 应用商店应用
- 由独立软件供应商制造的、已许可组织在内部发布的应用
- 可直接在浏览器中启动网站或基于 Web 应用的 Web 链接
- 指向 Windows 应用商店中应用列表的链接。对 IT 人员来说,这是让用户了解可以公开获取的有用业务应用的一条方便途径。
由于用户将公司凭据指定为初始注册管理服务的一部分,因此,IT 管理员可以指定向每个用户发布哪些应用。这样,用户在公司门户中只能看到适用于他们的那些应用。
在公司门户中浏览 LOB 应用
在公司门户中浏览 LOB 应用
在公司门户中浏览 LOB 应用
除了浏览和安装应用,用户还可以:
- 查看托管的服务
- 为设备提供友好的名称
- 删除设备
- 在设备丢失或被盗的情况下,执行远程擦除或者恢复设备的出厂默认设置(不适用于所有设备)
IT 部门可以通过打造全新的公司门户来提供自定义体验,以及发布帮助中心网站的链接,并提供用于支持的联系电话号码和电子邮件地址。
公司门户中的设备和联系 IT 信息
在使用管理服务交付任何 LOB 应用之前,客户端将进行两项操作。首先,管理服务将签发一个激活密钥,并将该密钥应用于设备,以便让管理客户端安装应用。其次,用于签署应用的所有证书必须添加至设备中的证书存储区。大多数情况下,在与管理服务建立连接之后的首次会话期间,系统将自动应用激活密钥和根证书。或者,在 IT 管理员开启管理服务中的功能之后的后续会话期间,系统将自动部署激活密钥和根证书。
当用户选择安装从公司门户获取的应用时,系统将向管理服务发送请求,并向客户端提供下载链接。客户端随后下载该应用、验证内容的有效性、检查签名并安装应用。所有这一切通常在数秒钟内完成,用户一般无法察觉。如果这一过程的任何环节发生错误(例如,无法获取内容的位置),则客户端将把该应用加入队列,以便在下一常规的计划维护会话期间重新尝试。无论是哪种情况,客户端都将向管理服务报告安装的状态。
公司门户中 LOB 应用的详细信息页面,用户可以在此启动安装
公司门户中 LOB 应用的详细信息页面,用户可以在此启动安装
公司门户中 Windows 应用商店应用的详细信息页面
作为常规维护会话的一部分,客户端将清查当前已安装的 LOB 应用,并向管理服务报告该信息,从而使 IT 部门可以有效地管理 LOB 应用。设备清单中仅包括通过公司门户安装的 Windows 应用商店应用和管理客户端。直接从 Windows 应用商店安装的应用从不作为清单的一部分而进行报告。
每当 IT 管理员发布已在设备上安装的某一应用的更新时,客户端将在下一常规维护会话期间自动下载并安装该更新。
从管理服务停用设备
最后,让我们了解一下如何从管理服务停用设备。既可以由用户在本地从服务停用设备,也可以由 IT 管理器以远程方式停用设备。用户执行的停用操作与初始注册非常类似,可以从“PC 设置”的相同位置启动该操作。用户选择从管理客户端删除设备的原因各种各样,其中包括离开公司或者购买了新设备,因而不再需要在旧设备上访问 LOB 应用。当管理员开始停用设备时,客户端将在下一常规维护会话期间执行该操作。管理员可以选择在用户离开公司之后停用用户的设备,或者由于设备经常不符合组织的安全设置策略而停用设备。
作为设备停用流程的一部分,管理客户端将执行以下操作:
- 删除允许客户端安装 LOB 应用的激活密钥。删除密钥之后,从公司门户和管理客户端安装的所有 Windows 应用商店应用都将被停用。但是请注意,应用将不会自动从设备中删除,但用户无法再启动这些应用,而且无法安装其他 LOB 应用。
- 删除客户端已启用的任何证书。
- 强制终止管理服务已应用的设置策略。
- 如果该进程由管理员启动,则向管理服务报告成功停用。
- 删除客户端配置,包括计划的维护任务。完成此操作之后,客户端将处于休眠状态,直至用户在管理服务中重新注册设备。
用户从管理服务删除设备以停用该设备
总结
要了解“以人为本的 IT”,包括 System Center 2012 R2 Configuration Manager、Windows Intune 和 Windows Server 2012 R2 的实施情况,您可以从 TechEd 北美基础会议观看完整的演示内容和端对端演示。您也可以通过下载以人为本的 IT 预览指南,了解有关“以人为本的 IT”的更多详细内容。
如希望阅读本系列中的所有博文,请查看 Windows Server 和 System Center 2012 R2 中的新增功能存档。
本博文按“原样”提供,且不提供任何担保和授予任何权利。