Microsoft Cloud | Microsoft Online Service | Windows Azure | Office 365 | Exchange Online | SharePoint Online | Lync Online

intune

  

通过 Intune 为 Windows 10 设备自动配置邮件账户

  

        使用 Autopilot 我们实现了 OOBE 的自动化配置,为用户自动安装了应用程序,并下发了设备配置文件。当设备就绪,用户登录到 Windows 桌面,启动 Windows 10 内置的邮件程序,或 Outlook 后,将会提示使用当前登录账户配置这些邮件应用程序,虽然这样的设计已经非常便利,但对于一些用户来说,他们可能需要更人性化的配置方案,实现打开应用自动完成账户配置的过程。

  

        利用 Intune 我们可以通过创建配置文件来实现这一需求,对于 Windows 10 内置的邮件应用可以创建单独类型的配置文件,为此访问 Microsoft Endpoint Manager 管理中心,定位到“设备 > 配置文件”,点击“创建配置文件”,然后选择“平台”为“Windows 10和更高版本”,“配置文件”选择“电子邮件”,然后点击窗格底部的“创建”。

  

ConfigMailApp

  

        在接下来的向导任务中,为这个配置文件起一个易于识别的名称,然后点击“下一页”。在“配置设置”页面下我们输入“电子邮件服务器”的地址,如:outlook.office365.com;“账户名”是显示在邮件应用中的配置名称;AAD用户名属性和电子邮件地址属性都可以使用“用户主体名称”,或者根据需要配置。此外我们还可以配置要同步的电子邮件数量,以及同步计划。如果您的组织允许使用Windows 10内置的联系人、日历和任务应用同步和管理 Office 365 Exchange Online的内容,则可以启用同步这些内容。具体参考如下图所示。

  

ConfigMailApp-settings

  

        接下来要配置的就是将这个配置文件分配给谁,可以是指定的组或者是所有用户,或所有设备。

  

ConfigMailApp-assign

  

        当配置文件下发后,用户打开 Windows 10 的邮件应用就会根据当前登录账号自动配置邮箱,如下图会遇到修复账户的提示,只需要点击修复即可。

  

MailApp_AutoConfig

  

        Outlook via Exchange

  

         对于 Outlook 我们可以创建管理模板配置文件(Administrative template profile)来实现基于 Exchange 服务的 Outlook 自动配置。仍然是创建一个配置文件,平台为“Windows 10 和更高版本”,配置文件选择为“管理模板”。接下来会发现这个管理模板就像经典的组策略一样,其实它就是沿用了 GPO 的概念和机制。我们只需要先选中“用户配置 > 所有设置”,然后搜索“smtp”就能看到两个配置项,这里我们选择“基于 Active Directory 主 SMTP 地址自动配置配置文件”,然后将其设置为“已启用”。

  

ConfigOutlook

  

        下发该配置文件后,当用户首次打开 Outlook 就会自动使用当前登录账户创建 Outlook 配置文件。

  

Outlook_AutoConfig

intune

  

通过 Intune 配置文件的管理模板限制邮件拷贝到本地 PST

  

        如果您是组织的 IT 管理员,正在使用 Office 365 和 Intune,且希望通过推送策略来限制用户客户端(Outlook)将邮件复制到本地的 PST 文件,那么现在可以通过 Intune “配置文件”下的“管理模板”来实现这一需求。

  

        Intune 配置文件中的管理模板实现了之前 Windows GPO 的功能,除了可以配置 Windows 的计算机和用户配置,还可以使用已集成的应用策略对特定程序进行配置,例如:Microsoft Edge,Office 的 Word、Excel、Outlook 等程序。在过去 GPO 管理环境下,则需要先导入 Office ADMX 或 Edge ADMX。

  

AdminTemplates

  

        今天 gOxiA 将演示如何配置管理模板来阻止用户在 Outlook 下将邮件复制或移动到本地 PST 文件。当用户复制邮件到本地 PST 时,粘贴(Ctrl + V)操作会失效;如果移动邮件到 PST 会提示错误,效果如下图。

  

blocktopst

  

        具体的操作如下:

  

        进入 Microsoft Endpoint Manager admin center (Microsoft 365 设备管理),转到“设备” - “配置文件”,然后创建配置,“平台”选择 “Windows 10 and later”,“配置文件”选择“Administrative Templates”。

  

1

  

        然后为配置文件起个易于识别的名称,如下图。

  

2

  

        在配置设置下切换到“User Configuration”,展开至“Microsoft Outlook 2016 / 杂项 / PST 设置”,然后选中“禁止用户将新内容添加到现有 PST 文件”,将其配置为“已启用”。

  

3

  

        之后将配置文件分配给特定的组,或所有用户。

  

4

  

        最后审阅配置,并执行创建。

  

5

  

        当应用到客户端上后,便会向客户端系统注册表写入相关键值,“HKCU\SOFTWARE\Policies\Microsoft\office\xx.0\outlook\pst”,增加名为“PSTDisableGrow”的键,“REG_DWORD”类型,值为“1”。

  

policies_reg

  

        如果是 OCT 进行配置的,则该键值位于“HKCU\Software\Microsoft\Office\xx.0\Outlook\PST”。IT 管理员需要注意的是由于该键值位于“HKCU”下,会有潜在的安全影响。

    

参考文档:https://docs.microsoft.com/en-us/exchange/troubleshoot/outlook-policy/control-pst-use

intune

通过排错 Intune 80180014 了解注册限制

        今天 gOxiA 开通了一套教育版的 M365 测试环境,对其功能和特性进行简单和快速的体验。M365 for EDU 完全基于现有的 AAD、Intune 等云服务,在面向教育领域和其 IT 人员的操作页面等方面进行了优化,显得更为直观和友好。我们可以通过域名“https://intuneeducation.portal.azure.com”访问 Intune for Education 管理门户。当然也可以继续通过“Azure Portal”访问管理。

        在 Intune for Education 门户,我们可以通过“启动快速配置”为教育场景完成了应用的分配和客户端系统的配置。对于国内一些学校,其 IT 人员通常都由计算机课老师担当,虽然有一定的 IT 基础,但由于行业不同在上手配置时可能还是会存在一些问题,所以 Intune for Education 提供了换一套非常便捷的配置向导,可以帮助学校 IT 人员快速继续配置。

intune_edu_quicksetup

        接着 gOxiA 开启了一台安装有 Windows 10 Pro 1903 的虚拟机,在 Windows 10 的 OOBE 阶段通过“针对组织进行配置”进行了安装配置。这个过程非常简单。

8-1-lan-chooseaccount

        但在开始进行配置时发生了错误,服务器错误代码给出的是 80180014,通过微软官方文档“MDM 注册错误值”查询到该错误代码是因为“不支持特定平台(例如Windows)或版本。此错误的一般解决方法是升级设备。”针对这一提示,gOxiA 首先想到的“难道是因为需要Windows 10 教育版才能注册到 Intune for Education?!”,但回过神一想,很明显这个“认为”是错误的!!!即使真的对 Windows SKU 有限制,也应该是后台某个设置中对其进行了配置,所以我们需要进入后台去找到它。

intune_80180014

        如果进入的是 Intune for Education 的管理门户,将无法找到这些设置,正如前面 gOxiA 所讲的教育版也同样基于 Intune,所以我们需要转到 Azure Portal 下的 “Microsoft Intune” 管理界面。如果你经常与 Intune 和 Autopilot 打交道,相信会了解到一项管理功能 - “注册限制”,利用该项功能 Intune 管理员可以创建和管理注册限制,例如限制用户的设备注册数量,或注册设备的操作系统和版本。这些系统可以是基于 Android 的,也可以是基于 iOS/iPadOS 或 macOS 的,当然也包括我们常用的 Windows,此外还可以针对这些平台的版本进行限制。除此之外,还可以对注册的设备类型进行限制,如:公司拥有的设备COD),或 个人设备 即 自带设备办公(BYOD)。

        针对出现的故障现象,对“注册限制”策略进行了检查,发现评估环境默认会阻止个人设备的注册,为此更改为“允许”,保存后生效速度很快,可以马上在客户端进行测试。

intune_80180014-1

        如果作为 Intune 管理员需要结合公司安规对注册设备继续限制,例如需要对注册的设备系统版本进行限制,则参考如下:

  • Android 版本格式为:major.minor.rev.build
  • iOS/iPadOS版本格式为:major.minor.rev
  • Windows 仅对 Windows 10 支持 major.minor.build.rev(如:10.0.18363.657)

        注:要按照厂商进行配置,则可以输入厂商名称并以逗号进行分隔。


引用参考:https://docs.microsoft.com/zh-cn/intune/enrollment/enrollment-restrictions-set

intune

HOWTO: 使用 Intune 远程停用设备

回顾:

"HOWTO: 使用 Intune 远程重启设备"

"Windows Autopilot 网络要求"

"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"

HOWTO: 收集 DeviceID 用于测试 Windows Autopilot

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"


        今天 gOxiA 将继续分享 Intune 中的设备管理功能 - 停用(Retire),使用“停用”可以删除托管设备上的应用数据、设置和电子邮件配置文件等内容,但是会将用户个人数据保留在设备上,整体的体验像是之前退域一样。当我们在 Intune 后台设备管理中点击“停用”后会显示停用设备的说明,其重点是此设备将不再由 Intune 托管,且不能再访问公司资源,由 Intune 部署的“现代应用”会被卸载,但不会卸载已经部署的 Win32 应用,Win32 应用包含的数据仍会保留在设备中,用户数据也不会被清理掉。

Intune_DeviceManager_retire

        即使 AAD 账号已经登录,也可以使用“停用”,当停用执行完毕后会看到如下图的通知,当打开 Outlook 时会遇到修复提示,如果此时重启系统你会发现登录界面将会显示最后一次登录的 AAD 账号名称,但是您无法使用密码登录,因为该计算机上的 AAD 账号已经被移除,此时如果用户希望登录系统必须进入 Windows 的安全模式,在 Windows 安全模式下可以使用本地管理员 - Administrator 账号登录(密码为空),进入系统后可以创建一个新的本地管理员账号,用于从正常启动环境登录系统桌面。

Intune_DeviceManager_retire1

Intune_DeviceManager_retire2

        登录系统后,你可以在 Users 目录中看到以往登录的用户账户目录,可以提取其中的用户数据。下表展示了“停用”后主要清理的内容:

Intune安装的公司应用和关联数据:卸载应用,删除bypass加载密钥,不会删除Office365专业版,不会卸载 Win32应用。

设置:不再强制实施 Intune 下发的策略。

WiFi和VPN配置文件设置:相关设置会被删除。

证书配置文件设置:删除并吊销证书。

电子邮件:删除已启用EFS的电子邮件及附件,并删除由 Intune 预配的邮件账户。

AzureAD脱离: 删除 AAD 记录。

        前面 gOxiA 说过停用会保留用户数据,其中就包括 OneDrive for Business 中的数据,所以组织 IT 人员在使用“停用”时一定要进行谨慎的评估,这意味着 AAD 用户的数据会被保留在设备上,但设备将不再受到组织管控。在停用设备后,用户可以重新加入到 AAD 并托管到 Intune 中,此时用 AAD 账号登录会继续使用之前匹配的用户目录。

intune

HOWTO: 使用 Intune 远程重启设备

我们继续 Intune 的相关知识学习,开始前也可通过以下链接回顾之前的内容。

"Windows Autopilot 网络要求"

"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"

HOWTO: 收集 DeviceID 用于测试 Windows Autopilot

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"


        今天 gOxiA 将介绍如何通过 Intune 远程重启设备。当组织的设备已经开始通过 Intune 管理,那么你会在设备概述中看到可管理的操作选项,如下图所示。

Intune_DeviceManager

        在顶部的选项中我们能看到支持的管理功能,其中“重启”功能很容易理解,当发起重启后客户端设备将会收到从 Intune 发来的重启指令,如果当前用户为锁定状态,那么当再次解锁登录到系统后会收到注销登录的提示,倒计时为2分钟,如下图所示。

Intune_DeviceManager_reboot

        如果当前用户为已登录状态,也会收到提示,如下图所示,大概3分钟后会收到如上一截图一样的通知,开始2分钟倒计时,之后强制重启。

Intune_DeviceManager_reboot_logon

        如果当前设备未有用户登录,当发起重启后,设备并不会立刻重启,当用户再次登录系统,才会收到注销通知,如果点击关闭则会等待3分钟出现2分钟倒计时,最后强制重启。

        但是……但是……重点提示来了!

        如果当前设备未有用户登录,或为锁定状态,那么在发起重启指令5分钟后,便会执行强制重启。

        以上这些测试结果与 Docs 上的介绍有所出入,在当前文档中介绍发出重启指令后设备端不会收到重启通知,且可能会导致当前工作内容丢失。也许正因为涉及数据的原因,重启机制才发生了变更,并未如文档描述的那样执行。

        不过现在这个重启功能其实也失去了它的真正意义,因为在某些特定场景下确实需要管理员立刻!马上!强制重启客户端设备。PS:或许这里的重启应该换个名字叫“紧急重启”!

        最后,再与大家分享的是由 Intune 发起重启指令后,是可以通过 shutdown /a 来取消重启的。

Windows Autopilot 网络要求

[ 2019/12/27 15:42 | by gOxiA ]

intune

Windows Autopilot 网络要求

        在一些网络访问限制性更强的企业环境下,要确保 Windows Autopilot 能够正常的部署,需要为其创建网络访问白名单。由于 Windows Autopilot 依赖相关的 Internet 服务有很多,必须逐个对这些服务进行评估和配置,才能确保 Autopilot 正常工作。以下是 gOxiA 整理的主要服务相关信息:

  • Windows Autopilot 部署服务,即 Windows Autopilot Deployment Service,当 Windows 10 设备网络连接就绪后将会连接到该服务。https://ztd.dds.microsoft.com https://cs.dds.microsoft.com
  • Windows 激活:

https://go.microsoft.com/
http://go.microsoft.com/
https://login.live.com
https://activation.sls.microsoft.com/
http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
https://validation.sls.microsoft.com/
https://activation-v2.sls.microsoft.com/
https://validation-v2.sls.microsoft.com/
https://displaycatalog.mp.microsoft.com/
https://licensing.mp.microsoft.com/
https://purchase.mp.microsoft.com/
https://displaycatalog.md.mp.microsoft.com/
https://licensing.md.mp.microsoft.com/
https://purchase.md.mp.microsoft.com/

http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com

  • 在 Autopilot 部署过程中,会触发 Windows 更新, Store 应用和更新,Office更新和 Intune Win32 应用数据的下载,此过程将联系传递优化服务以启用对等共享内容,以便只有少数设备需要从 Internet 下载数据。如果传递优化服务不可访问,Autopilot 将继续从云中进行优化传递下载。除HTTP/HTTPS端口外,建议允许 TCP/IP 的 7680 和 3544 端口入站流量。

*.do.dsp.mp.microsoft.com

*.dl.delivery.mp.microsoft.com

*.emdl.ws.microsoft.com

  • 时间同步也是 Autopilot 成功部署的关键因素之一,当 Windows 设备启动时,将会与网络时间服务器同步,以确保设备时间准确。为此,我们需要确保 time.windows.com 的 UDP 端口 123 能够访问。
  • 域名服务(DNS)就不必过多介绍了,省略……
  • 如果您在通过 Windows Analytics 收集部署信息,需确保 诊断数据 有效。具体可参考 https://docs.microsoft.com/zh-cn/windows/privacy/configure-windows-diagnostic-data-in-your-organization#manage-enterprise-diagnostic-data-level
  • Windows 必须能够判断出设备可以访问 Internet,请确保能够通过 HTTP 访问 www.msftconnecttest.com,即 网络连接状态指示器NCSI
  • Windows 推送通知服务(WNS),如果无法访问该服务,将不能接收来自应用和服务的通知,该服务不会阻止 Autopilot 部署,若要允许访问请配置通过 HTTPS 访问 *.wns.windows.com。
  • 如果要部署 Store 应用,需确保能够访问如下 URL

login.live.com
login.windows.net
account.live.com
clientconfig.passport.net
windowsphone.com
* .wns.windows.com
* .microsoft.com
* .s-microsoft.com
www.msftncsi.com(Windows 10版本1607之前)
www.msftconnecttest.com/connecttest.txt( 从Windows 10版本1607开始替换www.msftncsi.com

  • 如果您需要部署 Office 365 ,请参考 Office 365 URL 和 IP 地址范围
  • 由于一些服务还需要检查证书吊销列表来确定服务中使用的证书,所以还需要参考 Office 365 URL 和 IP 地址范围,以及Office 365 证书链 继续访问配置。
  • 如果在应用 Autopilot Self-Deploying Mode 或 Autopilot White Glove,还需确保能够访问如下 URL,这是因为带有 TPM 的设备在首次使用时需要从制造商哪里检索证书。

Intel- https://ekop.intel.com/ekcertservice
Qualcomm- https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
AMD- https://ftpm.amd.com/pki/aia
Infineon- https://pki.infineon.com


参考文档:

https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/windows-autopilot-requirements#networking-requirements

HOWTO: 为现有设备添加 Windows Autopilot 配置支持

回顾:

HOWTO: 收集 DeviceID 用于测试 Windows Autopilot

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"


        Windows Autopilot 为组织提供了一种将原始的未接触过的 Windows 10 设备直接交付给最终用户的方法。在 Windows 10 1809或更高版本上提供了适用于现有设备的 Windows Autopilot。使用这个功能我们可以为那些从 Windows 7 升级而来的 Windows 10 设备提供 用户驱动模式User Driven Mode)的 Windows Autopilot 支持。

        其流程就是从 Intune 中获取 Windows Autopilot 的配置文件,并预先将该配置文件部署到这些设备上,在进入 Windows 10 OOBE 阶段会自动加载 Windows Autopilot 配置文件从而启动对应的部署过程。

        首先,我们要在一台 Windows 设备上安装相应的 PowerShell 模块,它们是 AzureAD 以及 WindowsAutopilotIntune 模块,请以管理员权限打开 PowerShell,并执行以下命令:

install-module azuread

1-install-module_azuread

install-moudle windowsautopilotintune

2-install-module_windowsautopilotintune

        以上模块安装完毕后,导入 WindowsAutoPilotIntune 模块,即:

import-module windowsautopilotintune

        然后执行“connect-msgraph”连接并进行身份验证。

3-import-module_windowsautopilotintune

        如果登录成功,则会看到当前的账户和对应的 TenantID。

4-connect-msgraph

        使用“get-autopilotprofile”可以获取到已经创建过的 Windows Autopilot 配置文件。

5-get-autopilotprofile

        要使用这些配置文件,需要将其转换为 JSON 格式,为此执行命令:

get-autopilotprofile | converto-autopilotconfigurationjson

        之后会看到转换后的格式呢容,将 {} 段落间的内容全部复制,然后打开记事本程序,将内容粘贴进去,在保存时务必使用“ANSI”编码,且文件名必须是“autopilotconfigurationfile.json”。

6-convertojson

7-autopilotconfigurationfile_json

        如果想简便也可以执行使用 PowerShell 实现转换并保存为 JSON 文件,参考如下:

get-autopilotprofile | converto-autopilotconfigurationjson | out-file c:\autopilot\autopilotconfigurationfile.json -encoding ascii

        当获取到要使用的 Windows Autopilot 的配置文件(AutoPilotConfigurationFile.json)后,将其部署到目标设备的指定目录下,当进入 OOBE 阶段时便会应用该目录下的 Windows Autopilot 配置文件。

%SYSTEMDRIVE%\Windows\provisioning\Autopilot\


注意:如果现有设备已经注册到 Windows Autopilot,则分配的配置文件优先,仅当在线配置文件超时时,“适用于现有设备的 Windows Autopilot”配置文件才适用。


参考文档:

https://docs.microsoft.com/en-us/configmgr/osd/deploy-use/windows-autopilot-for-existing-devices

https://docs.microsoft.com/en-us/windows/deployment/windows-autopilot/existing-devices

intune

HOWTO: 使用 Intune 部署 Microsoft Edge

        Microsoft Edge Beta 已经发布一段事件,除了微软以外,很多企业也都开始对这个全新的微软浏览器进行评估,如果您的企业正好在使用 Intune,并打算部署基于 Chromium 的 Microsoft Edge,那就不要错过 gOxiA 今天的分享。

        Microsoft Edge 默认是基于云安装的,如果要在企业内部部署,则需要先获取到脱机安装包,为此我们可以访问如下网址下载适用于 Windows 的 64 位 MSI 安装包,此外还提供了 32 位 以及 macOS 的脱机安装包。

https://www.microsoftedgeinsider.com/zh-cn/enterprise

msft_edge_ent_beta

        拿到 MSI 安装包后,便可以通过 Intune 进行部署,在“客户端应用 - 应用”下“添加”新应用。

1

        在“应用类型”中选择“业务线应用”。

2

        然后通过“应用包文件”选取刚才下载的 Microsoft Edge 的 MSI 安装包。

3

        在“应用信息”配置中,输入必填的信息然后“确定”,待 MSI 安装包上传完毕后才能进行后续的配置,例如:分配应用。

4

        分配应用则是指定该应用适用于哪些组,这里 gOxiA 将分配类型改为“必需”安装,并分配给了所有用户和设备。

5

        接下来就等待同步生效了,当设备获取到 Intune 下发的应用时便会自动静默安装,如果用户安装有 Intune 的公司门户,也可以由此处选择安装。

        参考资料:https://docs.microsoft.com/en-us/intune/apps/apps-win32-app-management

Microsoft Intune 公开预览 DFCI

[ 2019/11/08 13:36 | by gOxiA ]

intune

Microsoft Intune 公开预览 DFCI

        微软最近在 Microsoft Intune 上公开发布了 DFCI 预览,即提供了对 Device Firmware Configuration Interface(DFCI - 设备固件配置接口)的支持,也就是说企业 IT 人员可以通过 Intune 来管理设备的 UEFI(BIOS) 配置,既然能配置 UEFI 也就意味着可以设置设备端口的开启或关闭,例如 USB 端口,摄像头等等。

        在过去如果我们要为用户设备配置 UEFI 必须接触到设备,或者使用厂商提供的脚本或工具,在为一些驻外的用户进行配置时多半还是要购买当地的上门服务进行设置,成本较高。

        而现在通过 Intune 的价值则体现为零接触自动化为用户设备配置 UEFI,由于脱离了系统层,即使用户重装系统也仍会保留配置,使 DFCI 管理不会被覆盖。

        DFCI 目前支持管理 Windows 10 RS5(1809)及以上版本的系统,设备制造商还必须在固件上提供 DHCI 的支持,目前已知微软最新发布的 Surface 均支持 DFCI,这些型号包含了:Surface Pro X,Surface Pro 7 以及 Surface Latop 3。

        此外还有一些限制,设备必须由 CSP或 OEM 注册到 Windows Autopilot,如果您参考 gOxiA 之前发布的“HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune”来注册设备可能不受支持,因为 gOxiA 尚未拿到新款 Surface 暂无法进行验证。

        DFCI 目前还处于预览版阶段,如果您在 Intune 的配置文件没有找到“设备固件配置接口”,那么还需要等待一段时间,DFCI 功能可能还没有在当前 Intune 所在区域生效。此外,DFCI 目前提供的可用配置也是有限的,具体如下:

  • 允许本地用户更改UEFI设置
  • CPU 和 IO 虚拟化
  • 相机
  • 麦克风和扬声器
  • 无线电(蓝牙、Wi-Fi 和 NFC)
  • 通过外部媒体(USB 和 SD)启动
  • 通过网络适配器启动

dfci

        长期从事企业 IT 桌面标准化管理的 ITer 会留意到,在上述的配置中缺少对端口的颗粒化配置管理,例如带有前后置摄像头的设备无法单独进行配置,也没有对多 USB 端口的单一配置支持,而无线电方面也仅仅是统一关闭或开启 Wi-Fi,蓝牙 和 NFC,也不支持单一配置,但这些需求却都是在企业实际环境中切切实实存在的,相信微软在微软会不断改进和完善 DFCI。

        有关更加详细的资讯可参考 Microsoft Docs:https://docs.microsoft.com/zh-cn/intune/configuration/device-firmware-configuration-interface-windows/?WT.mc_id=M365-MVP-4000544

        FAQs:https://techcommunity.microsoft.com/t5/Surface-IT-Pro-Blog/Ignite-2019-Announcing-remote-management-of-Surface-UEFI/ba-p/978333

MicrosoftAzure

通过RDP连接Azure中的Ubuntu虚拟机

        上一回 gOxiA 说到了“概览 Windows 10 内置的 OpenSSH 功能”,文末曾提到用RDP协议(Windows 远程桌面)来访问位于 Azure 中Ubuntu虚拟机桌面的愿景。日志发布之后,便开始了测试并参考了其他网文。最后的测试结果是安装 xubuntu-desktop 可以成功从 RDP 登录。而 gOxiA 早期实践的 mate-desktop 却失败了!安装完毕后能够 RDP 连接并进入登录界面。但在输入账号密码后总提示目录需要读、写权限。安装指令可以参考下图,之前实践过是没有问题的!

mate-desktop

XorgDesktop

error

        懒得折腾 Linux,便尝试通过 xubuntu 实现,首先通过 SSH 连接 Azure Ubuntu VM,执行安装指令,大概2个多GB,做好思想准备!

sudo apt-get install xubuntu-desktop"

xubuntu-desktop

        之后,安装 xrdp 以启用 RDP 支持,其实这是整篇的关键!:-P

"sudo apt-get install xrdp"

xrdp

设置并启动 xrdp。

echo xfce4-session > ~/.xsession

"sudo /etc/init.d/xrdp start"

startxrdp

        其他网文推荐修改 /etc/xrdp/startwm.sh,在 ./etc/x11/xsession 前插入一行 xfce4-session,但其实不做也能正常使用,没去深究!gOxiA 是在去设置 Azure 防火墙前重启了一次 VM。下面再来说说 Azure 下 VM 的准备步骤,默认 Ubuntu VM 只会开放 22 端口供 SSH 连接访问使用。既然我们在 Ubuntu 上安装了桌面环境和RDP支持,那么要从远程进行访问就必须开放 RDP 端口,即 3389。对于“经典虚拟机”,需要对其“终结点”进行修改,如下图所示。对基于资源管理器模型的 VM,则需要对“网络安装组(NSGs)”进行修改。理解程度上前者更容易理解,但后者更适合颗粒度管理。

demo

        终结点的完整帮助可以参考 Microsoft Docs - “How to set up endpoints”。如果要使用 PowerShell 进行操作,则需要先安装 Azure PowerShell 支持组件,对于经典模式虚拟机则需要参考 “安装 Azure PowerShell 服务管理模块”进行操作。之后利用“Add-AzureEndpoint”添加,参考命令行如下。

Get-AzureVM -ServiceName "ContosoService" -Name "Ubuntu" | Add-AzureEndpoint -Name "RDP" -Protocol "tcp" -PublicPort 3389 -LocalPort 3389 | Update-AzureVM

        完成配置后,便可使用远程桌面工具像连接 Windows 一样去登录 Ubuntu,如下图所示,界面比较丑陋!但登录进入xubuntu后桌面环境还是显得挺简洁的,不过2GB多的内容也是不少。愿意尝鲜的用户倒是可以尝试!

Logintoxrdp

xrdpdesktop

分页: 1/3 第一页 1 2 3 下页 最后页 [ 显示模式: 摘要 | 列表 ]