logo_intune

HOWTO: 在 Intune 中使用 Microsoft Store App(New) 添加应用

        早先 gOxiA 曾分享过一篇日志,介绍了如何使用 Intune 为 Windows PC 部署 Microsoft Store 应用,但当时该模式并不支持强制部署,需要用户通过 Company Portal 选择安装。对于那些希望将应用商店里的应用强行部署到客户端设备上的场景,在过去会通过 Microsoft Store for Business,但管理 Intune 的朋友应该也获悉了 Microsoft Store for Business 将于2023年第一季度停用的消息,似乎只能提前下载到那些支持 Offline 部署的 UWP 应用才能满足需求。

MSStoreFB-retire

        但现在,微软在 Intune 中提供了一个新的添加应用的类型 - Microsoft Store App(new),与之前的 Microsoft Store App 相比,新的 Microsoft Store 应用功能进行了重要改进:

  • 可以直接在 Intune 内浏览和搜索来自 Microsoft Store 的应用。(之前有一段时间,我们需要先访问 MSStore 的 Web 站点获取相关的 URL 才能进行添加)
  • 可以为应用部署进行安装或卸载。
  • 可以监视 MSStore App 的安装进度和结果
  • 支持 MSStore 中的 Win32 应用,当前为预览版本。(那些缺少足够信息,或检测、安装和升级性不可靠的 Win32 App 将暂不受支持,具体可参考:https://techcommunity.microsoft.com/t5/intune-customer-success/troubleshooting-the-microsoft-store-and-microsoft-intune/ba-p/3750341
  • UWP 应用支持系统上下文和用户上下文。
  • 部署模式支持“必需,可用于已注册的设备,和 卸载”。


        若要体验 Microsoft Store App(new) 添加应用,可参考如下步骤:

  1. 访问 Microsoft Intune Admin Center (貌似又改名了?!!!),进入“应用”  - “所有应用”,选择“添加”,并确认使用“Microsoft Store 应用(新版)”。
    Intune_MSStoreAppNew
  2. 在“应用信息”界面,点击“搜索 Microsoft Store 应用(新),然后在右侧出现的搜索栏中搜索要部署的应用,例如:Remote Desktop”。
    Intune_MSStoreAppNew-SearchApps

    如果搜索的应用包含 Win32 版本,并且符合 Intune 部署需求,则会显示供我们选择。
    Intune_MSStoreAppNew-SearchApps-2
  3. 之后,所必须的应用信息会自动填写到“应用信息”界面对应的文本框中,这极大提升了 Intune App 部署人员的体验,简化了添加流程。
    Intune_MSStoreAppNew-SearchApps-1
  4. “分配”应用界面中,我们可以根据需要为“组、所有用户、所有设备”分配,也可以供已注册的设备(组或所有用户)选择安装,或执行卸载。在配置分配后,还可以配置最终用户通知,立刻开始安装或指定的日期和时间,还可以为那些安装应用后需要重启的情况指定重启宽限期。
    Intune_MSStoreAppNew-AssignApp
  5. 最后,确认信息和配置无误后便可创建添加应用。

    Intune_MSStoreAppNew-Commit


参考文档:

https://learn.microsoft.com/zh-cn/mem/intune/apps/store-apps-microsoft

TPM 和 Windows 功能

[ 2023/02/25 21:26 | by gOxiA ]

Windows_logo_horiz_blue_rgb

TPM 和 Windows 功能

TPM

        Windows 11 的发布快速推动了 TPM 的普及率,从早期的 TPM 1.x 到 现在的 TPM 2.0 经历了很长的一段时间,在过去只有特殊应用场景的电脑设备才会被管理员启用 TPM 实施某些安全保护,但现在 TPM 已经作为一个必须启用的安全组件,包含在我们的 Modern Device 中。对于设备的最终用户,TPM 貌似并不直接与用户交互,但它却至关重要,例如 BitLocker 硬盘加密,Windows Hello 生物验证都需要用到 TPM,并且很多关键的安全功能也都会使用到 TPM,不论是 Windows 家庭版、专业版还是企业版也都可应用 TPM,下面让我们具体了解一下 Windows 哪些功能需要 TPM 支持。

  • 度量启动,需要 TPM,支持1.2和2.0,并依赖 UEFI 安全启动,微软建议使用 TPM 2.0,因为支持较新的加密算法。
  • BitLocker,非必须 TPM,支持1.2和2.0,虽然 TPM 不是必须的,但微软建议基于 TPM 2.0 实施 BitLocker,因为性能更好,更安全可靠。
  • 设备自动加密,需要 TPM,支持2.0,OEM 或 组织 IT 可以借助自动加密技术,预先配置 BitLocker,当条件满足时就会立刻启用 BitLokcer,无需等待或单独配置。
  • Windows Defender System Guard(DRTM),需要 TPM,支持2.0。
  • Credential Guard,非必须 TPM,支持1.2和2.0,与 DRTM 集成,利用 TPM 2.0 可为 Credential Guard 提供增强的安全性。
  • 设备运行状况证明(Device Health Attestation),必须 TPM,支持1.2和2.0,微软建议使用 TPM 2.0,因为支持较新的加密算法。TPM 1.2 仅支持正在启用的 SHA-1。
  • Windows Hello/Hello Business,非必须 TPM,支持1.2和2.0,AAD虽然加入了两个版本的支持,但需要带有键控哈希消息身份验证代码(Keyed-hash message authentication code - HMAC)和认可密钥(Endorsement Key - EK)证书来支持密钥证明。微软建议使用 TPM 2.0 获得更高性能和安全性。Windows Hello 作为 FIDO 平台验证器时将利用 TPM 2.0 进行密钥存储。
  • TPM 平台加密提供程序密钥存储提供程序,需要 TPM,支持1.2和2.0。
  • 虚拟智能卡,需要 TPM,支持1.2和2.0。
  • 证书存储,非必须 TPM,支持1.2和2.0,仅当证书存储在 TPM 中时才需要 TPM。
  • Windows Autopilot,非必须 TPM,支持2.0,当使用自部署模式和预配部署模式(过去称之为 白手套模式)需要 TPM。
  • SecureBIO,需要 TPM,支持2.0。


        注意:TPM 2.0 在 BIOS 的旧版和 CSM 模式中不受支持,具有 TPM 2.0 的设备必须将其 BIOS 模式配置为 UEFI,并且必须禁用旧版和兼容性支持模块(CSM)选项。为了增强安全性,还应启用安全启动(Secure Boot)。

Windows-11-logo

使用 MDM CSP TenantLockdown 策略将设备锁定到租户

        在 MDM CSP 中包含一个租户锁定的策略,即 TenantLockdown。从官方介绍可了解到 TenantLockdown 可以将设备锁定到租户,从而确保在发生意外或故意重置或擦除设备后,设备仍绑定到租户上。它的实现原理和逻辑还是比较容易理解的,借助 TenantLockdown 提供的 RequireNetworkInOOBE 策略,在值为 True 时,当设备在首次登录或重置后通过 OOBE 时,用户需要联网才能继续,而不是像过去那样有跳过的选项。这将强制用户在 OOBE 阶段进行联网,只要联网设备便会从 Internet 获取到注册状态,当设备之前是注册在 Autopilot 中时,后面的用户登录界面就会强制用户使用 M365 账号登录,从而在一定程度上保护了设备。

./Vendor/MSFT
TenantLockdown
----RequireNetworkInOOBE,布尔值:True 或 False

        参考文档:https://learn.microsoft.com/en-us/windows/client-management/mdm/tenantlockdown-csp

TenantLockdown

        有些网友可能会考虑到一些问题,例如不通过重置当前 Windows 实例,而是重新安装一遍 Windows,根据目前的测试 Windows 较新版本已经开始强制联网才能继续通过 OOBE;此外,TenantLockdown 还会向UEFI 中写入配置变量。对于企业中的普通用户来说,还是能够增加设备重用或非授权再用的难度,但要完全杜绝恐怕在管理技术上还有一段路要走。

force_network_flag

        另外,早先 Intune 的 Windows 限制测试中包含了“要求用户在设备安装期间连接到网络”的策略,但那时是可以通过断网手段来规避的,但随着策略逻辑的完善,对企业终端设备的管理会更加严谨可靠。

win-deviceconfig-restrictions

分页: 10/469 第一页 上页 5 6 7 8 9 10 11 12 13 14 下页 最后页 [ 显示模式: 摘要 | 列表 ]