Microsoft Cloud | Microsoft Online Service | Windows Azure | Office 365 | Exchange Online | SharePoint Online | Lync Online

logo_intune

  

使用 Get-WindowsAutopilotInfo 直接向 Windows Autopilot 注册设备

  

        如果你还记得这篇文章“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”,应该不会对 Get-WindowsAutopilotInfo 感到陌生。利用 Get-WindowsAutopilotInfo 可以收集设备的 DeviceID,然后参考“HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune”注册到 Windows Autopilot 执行部署。

  

        将 DeviceID 添加到 Intune 的步骤还是比较繁琐的,现在 Get-WindowsAutopilotInfo 可以直接注册设备,这极大简化了测试过程。

  

        让我们重温一下 Get-WindowsAutopilotInfo 的获取步骤:

  

1. 在 PowerShell 命令提示符下执行如下命令行,以安装 Get-WindowsAutopilotInfo。

  

Install-Script –Name Get-WindowsAutopilotInfo –force

  

备注:使用“-RequiredVersion X.X”可以指定要安装的版本,如果之前已经安装了旧版,请务必使用 –force 参数,更详细的参数介绍可参考官方文档“Install-Script”。

  

2. 为了能够执行该脚本,需要修改本地的安全策略。

  

Set-ExecutionPolicy Unrestricted

  

        Get-WindowsAutopilotInfo 准备完毕后,可以事先创建一个设备组并匹配到 Windows Autopilot 配置文件,本例中 gOxiA 创建了一个特定厂商设备的动态组,如下图所示,有关设备组的创建可参考“HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组”。

  

image

  

        现在我们可以执行以下命令行,来获取 DeviceID 并注册到 Windows Autopilot,也可同时分配到指定组,并等待配置文件分配。

  

Get-WindowsAutopilotInfo –Online –AddToGroup “Surface” –Assign

logo_intune

HOWTO: 从 Microsoft Store for Business 删除应用

        如果您正在评估,甚至已经开始使用 Intune 来部署和管理 Windows 终端,会发现 Intune 部署应用的流程非常简单,尤其是通过 Microsoft Store for Business(MSfB) 部署 UWP 应用更加便捷。如果您还没有激活 MSfB 可以即可访问 Microsoft Endpoint Manager 管理中心,在“租户管理”中导航到“连接器和令牌”,之后就能看到“适用于企业的 Microsoft Store”,可以将其启用,并点击“打开企业应用商店”激活该服务,并与 Intune 绑定,成功后会看到如下图所示的界面。

image

        点击“打开企业应用商店”可以访问 MSfB,或者也可以通过这个网址“https://businessstore.microsoft.com/”访问,通过“同步”按钮可以手动将 MSfB 购买的应用与 Intune 同步,否则需要等待15分钟。(PS:有关 MSfB 的性能指标可参考:https://docs.microsoft.com/zh-cn/microsoft-store/manage-private-store-settings

        在 MSfB 中企业 IT 人员可以获取免费或购买收费的应用程序,这些应用程序通常会提供 Online 或 Offline 的授权,前者我们可以通过 Microsoft Store 或 Company Portal 来分发,后者则可以下载 UWP 应用包实现侧加载。在获取到应用后,如果计划通过 Company Portal 分发以及强制部署,那么可以通过 Endpoint Manager 管理中心按需分配这些应用给特定用户和设备。此外您可以会注意到在 MSfB 管理界面中,也提供了分配应用的方法,这里的配置将作用到 Microsoft Store 中的专用商店。

image

        到这里,gOxiA 大致描述了添加应用的过程,而本文的主题是从 Microsoft Store for Business 删除应用,在删除时我们会有以下几种场景。

        第一种场景,我们希望从 Microsoft Store 下的专用商店中删除这些应用,避免用户自行从那里安装应用。这个场景下我们参考前面的截图,在“Private store availability”中将其改为“No one”。

        第二种场景,即 IT 因为测试而获取了一些应用,现在希望从 MSfB 中整体清除它们,也就是从 Products & services 列表中清理掉。此时会发现我们根本找不到删除按钮。此时其实是一种概念的转换,我们实际上要清楚的是这份应用的购买订单,所以应当从“Order history”中退订,具体参考下图。

image

        这样我们的列表就会显得干净许多,一些并不适用的应用也不再碍眼。对于Microsoft Account 类型的消费用户,目前还没有找到清理的办法,在我的列表中还能看到很多上古时代 Windows Phone 的应用。

intune

HOWTO: 为 Intune 启用 Android 设备管理员 注册

        要通过 Intune 管理 Android 设备,也需要将 Android 设备注册到 Intune,目前 Intune 为 Android 设备提供了两种注册管理方式:Android Enterprise 以及 Android 设备管理员。后者也被称为“旧版” Android 管理(随Android 2.2 发布),作为 Android 设备的管理方法,Google 在 Android 5.0 发布时推出了改进的管理功能 – Android Enterprise,用于替代过去的 Android 设备管理员,以实现更现代化、更丰富、更安全的设备管理,目前 Google 正逐渐减少新 Android 版本中对设备管理员的支持。

        看到这里,也许你会对 Android Enterprise 产生浓厚的兴趣,但是当阅读完 Google 这篇文档 https://support.google.com/work/android/answer/6270910 热情立刻减半,是的在支持列表中缺少对本地的支持。如果你需要管理本地的 Android 设备则需要考虑继续使用 Android 设备管理员方式。

       本文分享的内容也非常的简单,就是为 Intune 启用 Android 设备管理员注册。

        首先,登录 Microsoft Endpoint Manager 管理中心,转到“设备 - Android - Android 注册”页面,点击位于页面底部“Android 设备管理员”下的“具有设备管理员特权的个人和公司自有设备”,如下图所示:

Android_DA

        之后,在页面中勾选“使用设备管理员管理设备”这个选项。

Android_DA-1

        到此步骤就告一段落,是不是很简单!接下来,就可以在客户端安装 Intune 公司门户了,成功登录后即通过 Android 设备管员 方式注册到 Intune 中。要在本地下载安装 Intune 公司门户应用,可通过如下渠道:

小米

https://go.microsoft.com/fwlink/?linkid=836947

Lenovo

https://go.microsoft.com/fwlink/?linkid=2125082

华为

https://go.microsoft.com/fwlink/?linkid=836948

百度

https://go.microsoft.com/fwlink/?linkid=2133565

intune

通过 Intune 自定义配置文件实现禁用 UAC

        持续关注 gOxiA Blog 的朋友们可能已经注意到近期的主题都与 Intune 有关,移动设备管理需求剧增,传统 ITPro 是该抓紧时间了解“现代桌面”管理了。如果您跟随 gOxiA 也在学习 Intune,那么不要错过这篇日志。在企业 IT 桌面环境下很多组织都将 UAC 禁用,以避免影响到客户体验,或业务应用程序的运行,虽然 gOxiA 并不建议禁用 UAC(启用 UAC 极大的提高了用户运行环境的安全性,避免无意中触发不必要的变更操作,导致系统环境受损,影响正常运行。)但如果你希望能够通过 Intune 来禁用 UAC 也还是可以实现的。

        还记得之前我们讲过的设备配置文件吗?它与我们传统的客户端管理中使用的组策略(GPO)类似,但支持更多中配置文件类型,有类似于 GPO 的管理模板类型,也有设备限制类型,也有针对应用的如电子邮件类型,自定义类型则利用 CSP策略配置服务提供程序)接口提供了强大的可定制的,灵活的配置能力。本例我们将使用自定义配置文件来创建 UAC 设置。

image

        跟随向导为配置文件起个易于识别的名称,然后添加 OMA-URI 设置。格式参考 https://docs.microsoft.com/zh-cn/windows/configuration/provisioning-packages/how-it-pros-can-use-configuration-service-providers,这里我们会使用 Policy CSP 的 LocalPoliciesSecurityOptions 中的配置项,涉及三个:

OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

数据类型:整型

值:0

OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

数据类型:整型

值:0

OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

数据类型:整型

值:0

image

        OMA-URI 创建完毕后,将配置文件分配给“所有设备”即可。

intune

  

通过 Intune 配置文件的管理模板为 Edge 浏览器限制访问 URL

  

        在互联网上不是每一个网站都是健康或安全的,为了避免最终用户无意或有意的访问那些不良网站,组织 IT 人员需要有一种机制来管理它们,确保用户不能访问那些受限的网站。在过去的传统环境下,通常会配置出口网关进行相关网站的限制访问,移动为先的今天大部分的用户或设备都具备可移动性,过去传统的管理方式已经不能满足现在的应用场景。

  

        如果你的组织已经开始使用 Intune 来管理设备,则可以通过设备配置文件来实现 URL 访问的限制。实际上我们将利用的是 Microsoft Edge 的 URL 列表策略,通过 Intune 设备配置通过互联网推送给终端设备,实现对用户特定 URL 的限制访问。

  

        在开始实践前建议先阅读这篇文档“基于 URL 列表的策略的筛选器格式”,这将帮助我们了解如何准确的添加要限制的 URL。此外确保组织的设备已经部署了 Microsoft Edge,它是一款基于 Chromium 的新浏览器,在今年1月份已正式发布,gOxiA 之前写过一篇介绍的日志 – “微软发布基于 Chromium 的正式版 Microsoft Edge 浏览器”可以参考。

  

        满足以上条件,就可以开始创建设备配置文件,为此登录 Microsoft Endpoint Manager,在左侧点击“设备”,然后点击“配置文件”,并创建新的配置文件,之后请选择 Windows 10 平台,配置文件类型使用管理模板。在接下来的向导中为我们的配置文件创建一个易于识别的名字,下一步之后就会看到策略配置页面,是不是很像我们过去常用的组策略?!

  

        在“计算机配置”下选择“Microsoft Edge”,然后在搜索框中输入“URL”进行显示筛选,你会看到列表中有一个名为“阻止访问 URL 列表”的设置项,我们将通过它来实现阻止用户访问特定的URL,另外你还会看到另一个设置项“定义允许的 URL 列表”,这两个其实就实现了所谓的 URL 黑白名单,你也可以根据实际的场景需求选择性配置。

  

Intune_Edge_BlockURLList

  

        在“阻止访问 URL 列表”中勾选“已启用”,然后手动添加 URL。

  

Intune_Edge_BlockURLList_Settings

  

        在策略生效后,用户访问这些被限制的 URL 时就会收到如下图一样的页面信息,如果希望查看当前 Edge 的策略,可以在地址栏输入”edge://policy”。

  

blockurl-1

  

如果希望了解更多的 Edge 策略支持,可以阅读这篇文档。https://docs.microsoft.com/zh-cn/deployedge/microsoft-edge-policies#urlblocklist

intune

  

通过 Intune 为 Windows 10 设备自动配置邮件账户

  

        使用 Autopilot 我们实现了 OOBE 的自动化配置,为用户自动安装了应用程序,并下发了设备配置文件。当设备就绪,用户登录到 Windows 桌面,启动 Windows 10 内置的邮件程序,或 Outlook 后,将会提示使用当前登录账户配置这些邮件应用程序,虽然这样的设计已经非常便利,但对于一些用户来说,他们可能需要更人性化的配置方案,实现打开应用自动完成账户配置的过程。

  

        利用 Intune 我们可以通过创建配置文件来实现这一需求,对于 Windows 10 内置的邮件应用可以创建单独类型的配置文件,为此访问 Microsoft Endpoint Manager 管理中心,定位到“设备 > 配置文件”,点击“创建配置文件”,然后选择“平台”为“Windows 10和更高版本”,“配置文件”选择“电子邮件”,然后点击窗格底部的“创建”。

  

ConfigMailApp

  

        在接下来的向导任务中,为这个配置文件起一个易于识别的名称,然后点击“下一页”。在“配置设置”页面下我们输入“电子邮件服务器”的地址,如:outlook.office365.com;“账户名”是显示在邮件应用中的配置名称;AAD用户名属性和电子邮件地址属性都可以使用“用户主体名称”,或者根据需要配置。此外我们还可以配置要同步的电子邮件数量,以及同步计划。如果您的组织允许使用Windows 10内置的联系人、日历和任务应用同步和管理 Office 365 Exchange Online的内容,则可以启用同步这些内容。具体参考如下图所示。

  

ConfigMailApp-settings

  

        接下来要配置的就是将这个配置文件分配给谁,可以是指定的组或者是所有用户,或所有设备。

  

ConfigMailApp-assign

  

        当配置文件下发后,用户打开 Windows 10 的邮件应用就会根据当前登录账号自动配置邮箱,如下图会遇到修复账户的提示,只需要点击修复即可。

  

MailApp_AutoConfig

  

        Outlook via Exchange

  

         对于 Outlook 我们可以创建管理模板配置文件(Administrative template profile)来实现基于 Exchange 服务的 Outlook 自动配置。仍然是创建一个配置文件,平台为“Windows 10 和更高版本”,配置文件选择为“管理模板”。接下来会发现这个管理模板就像经典的组策略一样,其实它就是沿用了 GPO 的概念和机制。我们只需要先选中“用户配置 > 所有设置”,然后搜索“smtp”就能看到两个配置项,这里我们选择“基于 Active Directory 主 SMTP 地址自动配置配置文件”,然后将其设置为“已启用”。

  

ConfigOutlook

  

        下发该配置文件后,当用户首次打开 Outlook 就会自动使用当前登录账户创建 Outlook 配置文件。

  

Outlook_AutoConfig

intune

  

通过 Intune 配置文件的管理模板限制邮件拷贝到本地 PST

  

        如果您是组织的 IT 管理员,正在使用 Office 365 和 Intune,且希望通过推送策略来限制用户客户端(Outlook)将邮件复制到本地的 PST 文件,那么现在可以通过 Intune “配置文件”下的“管理模板”来实现这一需求。

  

        Intune 配置文件中的管理模板实现了之前 Windows GPO 的功能,除了可以配置 Windows 的计算机和用户配置,还可以使用已集成的应用策略对特定程序进行配置,例如:Microsoft Edge,Office 的 Word、Excel、Outlook 等程序。在过去 GPO 管理环境下,则需要先导入 Office ADMX 或 Edge ADMX。

  

AdminTemplates

  

        今天 gOxiA 将演示如何配置管理模板来阻止用户在 Outlook 下将邮件复制或移动到本地 PST 文件。当用户复制邮件到本地 PST 时,粘贴(Ctrl + V)操作会失效;如果移动邮件到 PST 会提示错误,效果如下图。

  

blocktopst

  

        具体的操作如下:

  

        进入 Microsoft Endpoint Manager admin center (Microsoft 365 设备管理),转到“设备” - “配置文件”,然后创建配置,“平台”选择 “Windows 10 and later”,“配置文件”选择“Administrative Templates”。

  

1

  

        然后为配置文件起个易于识别的名称,如下图。

  

2

  

        在配置设置下切换到“User Configuration”,展开至“Microsoft Outlook 2016 / 杂项 / PST 设置”,然后选中“禁止用户将新内容添加到现有 PST 文件”,将其配置为“已启用”。

  

3

  

        之后将配置文件分配给特定的组,或所有用户。

  

4

  

        最后审阅配置,并执行创建。

  

5

  

        当应用到客户端上后,便会向客户端系统注册表写入相关键值,“HKCU\SOFTWARE\Policies\Microsoft\office\xx.0\outlook\pst”,增加名为“PSTDisableGrow”的键,“REG_DWORD”类型,值为“1”。

  

policies_reg

  

        如果是 OCT 进行配置的,则该键值位于“HKCU\Software\Microsoft\Office\xx.0\Outlook\PST”。IT 管理员需要注意的是由于该键值位于“HKCU”下,会有潜在的安全影响。

    

参考文档:https://docs.microsoft.com/en-us/exchange/troubleshoot/outlook-policy/control-pst-use

intune

通过排错 Intune 80180014 了解注册限制

        今天 gOxiA 开通了一套教育版的 M365 测试环境,对其功能和特性进行简单和快速的体验。M365 for EDU 完全基于现有的 AAD、Intune 等云服务,在面向教育领域和其 IT 人员的操作页面等方面进行了优化,显得更为直观和友好。我们可以通过域名“https://intuneeducation.portal.azure.com”访问 Intune for Education 管理门户。当然也可以继续通过“Azure Portal”访问管理。

        在 Intune for Education 门户,我们可以通过“启动快速配置”为教育场景完成了应用的分配和客户端系统的配置。对于国内一些学校,其 IT 人员通常都由计算机课老师担当,虽然有一定的 IT 基础,但由于行业不同在上手配置时可能还是会存在一些问题,所以 Intune for Education 提供了换一套非常便捷的配置向导,可以帮助学校 IT 人员快速继续配置。

intune_edu_quicksetup

        接着 gOxiA 开启了一台安装有 Windows 10 Pro 1903 的虚拟机,在 Windows 10 的 OOBE 阶段通过“针对组织进行配置”进行了安装配置。这个过程非常简单。

8-1-lan-chooseaccount

        但在开始进行配置时发生了错误,服务器错误代码给出的是 80180014,通过微软官方文档“MDM 注册错误值”查询到该错误代码是因为“不支持特定平台(例如Windows)或版本。此错误的一般解决方法是升级设备。”针对这一提示,gOxiA 首先想到的“难道是因为需要Windows 10 教育版才能注册到 Intune for Education?!”,但回过神一想,很明显这个“认为”是错误的!!!即使真的对 Windows SKU 有限制,也应该是后台某个设置中对其进行了配置,所以我们需要进入后台去找到它。

intune_80180014

        如果进入的是 Intune for Education 的管理门户,将无法找到这些设置,正如前面 gOxiA 所讲的教育版也同样基于 Intune,所以我们需要转到 Azure Portal 下的 “Microsoft Intune” 管理界面。如果你经常与 Intune 和 Autopilot 打交道,相信会了解到一项管理功能 - “注册限制”,利用该项功能 Intune 管理员可以创建和管理注册限制,例如限制用户的设备注册数量,或注册设备的操作系统和版本。这些系统可以是基于 Android 的,也可以是基于 iOS/iPadOS 或 macOS 的,当然也包括我们常用的 Windows,此外还可以针对这些平台的版本进行限制。除此之外,还可以对注册的设备类型进行限制,如:公司拥有的设备COD),或 个人设备 即 自带设备办公(BYOD)。

        针对出现的故障现象,对“注册限制”策略进行了检查,发现评估环境默认会阻止个人设备的注册,为此更改为“允许”,保存后生效速度很快,可以马上在客户端进行测试。

intune_80180014-1

        如果作为 Intune 管理员需要结合公司安规对注册设备继续限制,例如需要对注册的设备系统版本进行限制,则参考如下:

  • Android 版本格式为:major.minor.rev.build
  • iOS/iPadOS版本格式为:major.minor.rev
  • Windows 仅对 Windows 10 支持 major.minor.build.rev(如:10.0.18363.657)

        注:要按照厂商进行配置,则可以输入厂商名称并以逗号进行分隔。


引用参考:https://docs.microsoft.com/zh-cn/intune/enrollment/enrollment-restrictions-set

intune

HOWTO: 使用 Intune 远程停用设备

回顾:

"HOWTO: 使用 Intune 远程重启设备"

"Windows Autopilot 网络要求"

"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"

HOWTO: 收集 DeviceID 用于测试 Windows Autopilot

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"


        今天 gOxiA 将继续分享 Intune 中的设备管理功能 - 停用(Retire),使用“停用”可以删除托管设备上的应用数据、设置和电子邮件配置文件等内容,但是会将用户个人数据保留在设备上,整体的体验像是之前退域一样。当我们在 Intune 后台设备管理中点击“停用”后会显示停用设备的说明,其重点是此设备将不再由 Intune 托管,且不能再访问公司资源,由 Intune 部署的“现代应用”会被卸载,但不会卸载已经部署的 Win32 应用,Win32 应用包含的数据仍会保留在设备中,用户数据也不会被清理掉。

Intune_DeviceManager_retire

        即使 AAD 账号已经登录,也可以使用“停用”,当停用执行完毕后会看到如下图的通知,当打开 Outlook 时会遇到修复提示,如果此时重启系统你会发现登录界面将会显示最后一次登录的 AAD 账号名称,但是您无法使用密码登录,因为该计算机上的 AAD 账号已经被移除,此时如果用户希望登录系统必须进入 Windows 的安全模式,在 Windows 安全模式下可以使用本地管理员 - Administrator 账号登录(密码为空),进入系统后可以创建一个新的本地管理员账号,用于从正常启动环境登录系统桌面。

Intune_DeviceManager_retire1

Intune_DeviceManager_retire2

        登录系统后,你可以在 Users 目录中看到以往登录的用户账户目录,可以提取其中的用户数据。下表展示了“停用”后主要清理的内容:

Intune安装的公司应用和关联数据:卸载应用,删除bypass加载密钥,不会删除Office365专业版,不会卸载 Win32应用。

设置:不再强制实施 Intune 下发的策略。

WiFi和VPN配置文件设置:相关设置会被删除。

证书配置文件设置:删除并吊销证书。

电子邮件:删除已启用EFS的电子邮件及附件,并删除由 Intune 预配的邮件账户。

AzureAD脱离: 删除 AAD 记录。

        前面 gOxiA 说过停用会保留用户数据,其中就包括 OneDrive for Business 中的数据,所以组织 IT 人员在使用“停用”时一定要进行谨慎的评估,这意味着 AAD 用户的数据会被保留在设备上,但设备将不再受到组织管控。在停用设备后,用户可以重新加入到 AAD 并托管到 Intune 中,此时用 AAD 账号登录会继续使用之前匹配的用户目录。

intune

HOWTO: 使用 Intune 远程重启设备

我们继续 Intune 的相关知识学习,开始前也可通过以下链接回顾之前的内容。

"Windows Autopilot 网络要求"

"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"

HOWTO: 收集 DeviceID 用于测试 Windows Autopilot

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"


        今天 gOxiA 将介绍如何通过 Intune 远程重启设备。当组织的设备已经开始通过 Intune 管理,那么你会在设备概述中看到可管理的操作选项,如下图所示。

Intune_DeviceManager

        在顶部的选项中我们能看到支持的管理功能,其中“重启”功能很容易理解,当发起重启后客户端设备将会收到从 Intune 发来的重启指令,如果当前用户为锁定状态,那么当再次解锁登录到系统后会收到注销登录的提示,倒计时为2分钟,如下图所示。

Intune_DeviceManager_reboot

        如果当前用户为已登录状态,也会收到提示,如下图所示,大概3分钟后会收到如上一截图一样的通知,开始2分钟倒计时,之后强制重启。

Intune_DeviceManager_reboot_logon

        如果当前设备未有用户登录,当发起重启后,设备并不会立刻重启,当用户再次登录系统,才会收到注销通知,如果点击关闭则会等待3分钟出现2分钟倒计时,最后强制重启。

        但是……但是……重点提示来了!

        如果当前设备未有用户登录,或为锁定状态,那么在发起重启指令5分钟后,便会执行强制重启。

        以上这些测试结果与 Docs 上的介绍有所出入,在当前文档中介绍发出重启指令后设备端不会收到重启通知,且可能会导致当前工作内容丢失。也许正因为涉及数据的原因,重启机制才发生了变更,并未如文档描述的那样执行。

        不过现在这个重启功能其实也失去了它的真正意义,因为在某些特定场景下确实需要管理员立刻!马上!强制重启客户端设备。PS:或许这里的重启应该换个名字叫“紧急重启”!

        最后,再与大家分享的是由 Intune 发起重启指令后,是可以通过 shutdown /a 来取消重启的。

分页: 1/3 第一页 1 2 3 下页 最后页 [ 显示模式: 摘要 | 列表 ]