HOWTO: 使用 Intune 远程停用设备
HOWTO: 使用 Intune 远程停用设备
回顾:
"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"
"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"
"HOWTO: 使用 Intune 部署 Microsoft Edge"
今天 gOxiA 将继续分享 Intune 中的设备管理功能 - 停用(Retire),使用“停用”可以删除托管设备上的应用数据、设置和电子邮件配置文件等内容,但是会将用户个人数据保留在设备上,整体的体验像是之前退域一样。当我们在 Intune 后台设备管理中点击“停用”后会显示停用设备的说明,其重点是此设备将不再由 Intune 托管,且不能再访问公司资源,由 Intune 部署的“现代应用”会被卸载,但不会卸载已经部署的 Win32 应用,Win32 应用包含的数据仍会保留在设备中,用户数据也不会被清理掉。
即使 AAD 账号已经登录,也可以使用“停用”,当停用执行完毕后会看到如下图的通知,当打开 Outlook 时会遇到修复提示,如果此时重启系统你会发现登录界面将会显示最后一次登录的 AAD 账号名称,但是您无法使用密码登录,因为该计算机上的 AAD 账号已经被移除,此时如果用户希望登录系统必须进入 Windows 的安全模式,在 Windows 安全模式下可以使用本地管理员 - Administrator 账号登录(密码为空),进入系统后可以创建一个新的本地管理员账号,用于从正常启动环境登录系统桌面。
登录系统后,你可以在 Users 目录中看到以往登录的用户账户目录,可以提取其中的用户数据。下表展示了“停用”后主要清理的内容:
Intune安装的公司应用和关联数据:卸载应用,删除bypass加载密钥,不会删除Office365专业版,不会卸载 Win32应用。
设置:不再强制实施 Intune 下发的策略。
WiFi和VPN配置文件设置:相关设置会被删除。
证书配置文件设置:删除并吊销证书。
电子邮件:删除已启用EFS的电子邮件及附件,并删除由 Intune 预配的邮件账户。
AzureAD脱离: 删除 AAD 记录。
前面 gOxiA 说过停用会保留用户数据,其中就包括 OneDrive for Business 中的数据,所以组织 IT 人员在使用“停用”时一定要进行谨慎的评估,这意味着 AAD 用户的数据会被保留在设备上,但设备将不再受到组织管控。在停用设备后,用户可以重新加入到 AAD 并托管到 Intune 中,此时用 AAD 账号登录会继续使用之前匹配的用户目录。
HOWTO: 使用 Intune 远程重启设备
HOWTO: 使用 Intune 远程重启设备
我们继续 Intune 的相关知识学习,开始前也可通过以下链接回顾之前的内容。
"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"
“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”
"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"
"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"
"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"
"HOWTO: 使用 Intune 部署 Microsoft Edge"
今天 gOxiA 将介绍如何通过 Intune 远程重启设备。当组织的设备已经开始通过 Intune 管理,那么你会在设备概述中看到可管理的操作选项,如下图所示。
在顶部的选项中我们能看到支持的管理功能,其中“重启”功能很容易理解,当发起重启后客户端设备将会收到从 Intune 发来的重启指令,如果当前用户为锁定状态,那么当再次解锁登录到系统后会收到注销登录的提示,倒计时为2分钟,如下图所示。
如果当前用户为已登录状态,也会收到提示,如下图所示,大概3分钟后会收到如上一截图一样的通知,开始2分钟倒计时,之后强制重启。
如果当前设备未有用户登录,当发起重启后,设备并不会立刻重启,当用户再次登录系统,才会收到注销通知,如果点击关闭则会等待3分钟出现2分钟倒计时,最后强制重启。
但是……但是……重点提示来了!
如果当前设备未有用户登录,或为锁定状态,那么在发起重启指令5分钟后,便会执行强制重启。
以上这些测试结果与 Docs 上的介绍有所出入,在当前文档中介绍发出重启指令后设备端不会收到重启通知,且可能会导致当前工作内容丢失。也许正因为涉及数据的原因,重启机制才发生了变更,并未如文档描述的那样执行。
不过现在这个重启功能其实也失去了它的真正意义,因为在某些特定场景下确实需要管理员立刻!马上!强制重启客户端设备。PS:或许这里的重启应该换个名字叫“紧急重启”!
最后,再与大家分享的是由 Intune 发起重启指令后,是可以通过 shutdown /a 来取消重启的。
Windows Autopilot 网络要求
Windows Autopilot 网络要求
在一些网络访问限制性更强的企业环境下,要确保 Windows Autopilot 能够正常的部署,需要为其创建网络访问白名单。由于 Windows Autopilot 依赖相关的 Internet 服务有很多,必须逐个对这些服务进行评估和配置,才能确保 Autopilot 正常工作。以下是 gOxiA 整理的主要服务相关信息:
- Windows Autopilot 部署服务,即 Windows Autopilot Deployment Service,当 Windows 10 设备网络连接就绪后将会连接到该服务。https://ztd.dds.microsoft.com https://cs.dds.microsoft.com
- Windows 激活:
https://go.microsoft.com/
http://go.microsoft.com/
https://login.live.com
https://activation.sls.microsoft.com/
http://crl.microsoft.com/pki/crl/products/MicProSecSerCA_2007-12-04.crl
https://validation.sls.microsoft.com/
https://activation-v2.sls.microsoft.com/
https://validation-v2.sls.microsoft.com/
https://displaycatalog.mp.microsoft.com/
https://licensing.mp.microsoft.com/
https://purchase.mp.microsoft.com/
https://displaycatalog.md.mp.microsoft.com/
https://licensing.md.mp.microsoft.com/
https://purchase.md.mp.microsoft.com/
- Azure Active Directory,由于涉及到身份验证所以必不可少的包含 AAD,具体可参考 https://docs.microsoft.com/zh-cn/office365/enterprise/office-365-ip-web-service
- Intune,在通过身份验证后,AAD 将在 Intune MDM 服务中出发设备注册,所以还要解决 Intune 的网络需求,具体可参考 https://docs.microsoft.com/zh-cn/intune/fundamentals/intune-endpoints
- 在 Autopilot 配置过程中,Windows 可以获取最新的更新补丁,为此建议确保 Windows Update 访问可用,但它不是必须的,因为在 Windows 更新无法访问时,Autopilot 仍将继续。
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com
http://download.windowsupdate.com
https://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
- 在 Autopilot 部署过程中,会触发 Windows 更新, Store 应用和更新,Office更新和 Intune Win32 应用数据的下载,此过程将联系传递优化服务以启用对等共享内容,以便只有少数设备需要从 Internet 下载数据。如果传递优化服务不可访问,Autopilot 将继续从云中进行优化传递下载。除HTTP/HTTPS端口外,建议允许 TCP/IP 的 7680 和 3544 端口入站流量。
*.do.dsp.mp.microsoft.com
*.dl.delivery.mp.microsoft.com
*.emdl.ws.microsoft.com
- 时间同步也是 Autopilot 成功部署的关键因素之一,当 Windows 设备启动时,将会与网络时间服务器同步,以确保设备时间准确。为此,我们需要确保 time.windows.com 的 UDP 端口 123 能够访问。
- 域名服务(DNS)就不必过多介绍了,省略……
- 如果您在通过 Windows Analytics 收集部署信息,需确保 诊断数据 有效。具体可参考 https://docs.microsoft.com/zh-cn/windows/privacy/configure-windows-diagnostic-data-in-your-organization#manage-enterprise-diagnostic-data-level
- Windows 必须能够判断出设备可以访问 Internet,请确保能够通过 HTTP 访问 www.msftconnecttest.com,即 网络连接状态指示器(NCSI)
- Windows 推送通知服务(WNS),如果无法访问该服务,将不能接收来自应用和服务的通知,该服务不会阻止 Autopilot 部署,若要允许访问请配置通过 HTTPS 访问 *.wns.windows.com。
- 如果要部署 Store 应用,需确保能够访问如下 URL
login.live.com
login.windows.net
account.live.com
clientconfig.passport.net
windowsphone.com
* .wns.windows.com
* .microsoft.com
* .s-microsoft.com
www.msftncsi.com(Windows 10版本1607之前)
www.msftconnecttest.com/connecttest.txt( 从Windows 10版本1607开始替换www.msftncsi.com)
- 如果您需要部署 Office 365 ,请参考 Office 365 URL 和 IP 地址范围
- 由于一些服务还需要检查证书吊销列表来确定服务中使用的证书,所以还需要参考 Office 365 URL 和 IP 地址范围,以及Office 365 证书链 继续访问配置。
- 如果在应用 Autopilot Self-Deploying Mode 或 Autopilot White Glove,还需确保能够访问如下 URL,这是因为带有 TPM 的设备在首次使用时需要从制造商哪里检索证书。
Intel- https://ekop.intel.com/ekcertservice
Qualcomm- https://ekcert.spserv.microsoft.com/EKCertificate/GetEKCertificate/v1
AMD- https://ftpm.amd.com/pki/aia
Infineon- https://pki.infineon.com
参考文档: