Windows Autopilot device preparation 与 Windows Autopilot 比较
Windows Autopilot device preparation 与 Windows Autopilot 比较
微软在今年5月下旬公布了 Windows Autopilot device preparation - 设备准备(以下简称Device preparation),在“Windows deployment with the next generation of Windows Autopilot”这篇文章中可以了解到基本概况。gOxiA 也在近期发布了 Demo 视频,感兴趣的网友可以从常用的社交应用访问观看。
从现有资讯来看,大家对 Device preparation 都存在不同的认识和看法,好在官方团队在不断地更新 Q&A。对于Device preparation,gOxiA 一反常态不再先做基本介绍,有需要的可以移步上方官方文档先了解,今天主要跟大家分享的是 Device preparation 与 Windows Autopilot 的常用特性比较,可以更好帮助我们去认识和了解 Device preparation。
- Device preparation 适用于 GCCH 和 DoD 主权云。未来还将在 21v 提供。而 Windows Autopilot 则支持更多种类的设备,例如:Hololens 和 MTR;并且还提供了更多可自定义的选项用于预配体验。
- Device preparation 当前仅支持用户驱动模式。而 Windows Autopilot 包含:用户驱动、预配置、自部署和现有设备。
- Device preparation 不需要为设备进行预注册。而 Windows Autopilot 需要先收集设备信息并注册到 Autopilot。
- Device preparation 需要管理员创建设备准备策略和一个以 Intune 预配客户端 为所有者的设备安全组。而 Windows Autopilot 除了需要预先注册设备外,还需要创建 Windows Autopilot 部署配置文件,以及注册状态页(ESP)。
- Device preparation 仅在 OOBE 期间基于设备进行预配,目前支持部署最多10个应用(LOB、Win32、MSStore、M365),和10个 PowerShell 脚本。而 Windows Autopilot 在 ESP 期间提供基于设备和用户的预配,且支持任意数量的应用程序。
- Device preparation 仅从 Windows 11 的 23H2 和 22H2 的 KB5035942 开始提供支持。而 Windows Autopilot 对所有当前支持的 Windows 11 和 Windows 10 提供支持。
- Device preparation 仅支持 Microsoft Entra 加入。而 Windows Autopilot 提供了混合加入支持。
- Device preparation 不支持 Windows Autopilot 重置。
- Device preparation 不支持 DFCI。
更为详细的内容,可参考:https://learn.microsoft.com/en-us/autopilot/device-preparation/compare
了解以上众多不同,整体看下来还是 Windows Autopilot 提供了更丰富的功能特性,支持也更加广泛。正如官方所讲,仍旧会持续投资 Windows Autopilot,并希望将基于 Windows Autopilot 配置文件和设备准备策略的两个方案并存一段时间!此外,Device preparation 底层体系结构不同,可提供改进部署体验的功能,例如不需要为设备进行预注册。也正因此已在使用 Windows Autopilot 部署的设备将不能同时通过设备准备策略进行部署,需要先从 Autopilot 中取消注册。
后续,gOxiA 也会与大家分享设备准备策略的上手。
HOWTO: 通过 Intune 配置 Windows 客户端拒绝向移动存储写入数据
HOWTO: 通过 Intune 配置 Windows 客户端拒绝向移动存储写入数据
在企业环境下一些 Windows 客户端将受到严格的管控,尤其是在一些涉及敏感数据的场景中,通常需要禁止将本机数据写入到 USB 等移动存储设备中,以避免数据泄露。如果企业正在使用 Intune 管理这些客户端和策略,那将很轻松的能够实现这些需求,并且提供了更为灵活全面的管控方案。今天就跟随 gOxiA 来做这个配置实践,首先登录 Microsoft Intune 管理中心,进入“设备 – Windows - 配置文件”,然后“创建”配置文件,“平台”这里选择“Windows 10 和更高版本”,“配置文件类型”选择“设置目录”。
进入“创建配置文件”向导页面,先为配置文件填入一个名称,本例为“Deny Removable Storage Write Access”。
然后,找到“Storage”类别(也可以通过搜索找到),然后选中“Remove Disk Deny Write Access”,之后将左侧内容窗格中的配置启用 - “Enabled”即可。
OK!到这里主要配置完成,是不是非常轻松便捷!但是我们从备注中可以了解到,一旦启用该配置,将拒绝所有移动存储的写入。对于那些希望允许将数据写入移动存储已启用 Bitlocker To Go 的组织,则建议改用“Computer Configuration\Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drivers”进行配置,如果希望改用则继续关注后面的截图。
我们可以搜索“Bitlocker”分类,找到“Administrative Templates\Windows Components\Bitlocker Drive Encryption\Removable Data Drives”,勾选“Deny write access to removable drives not protected by Bitlocker”,这里我们应当留意它的子选项“Do not allow write access to devices configured in another organization”,这将禁止写入到非授权的设备,即使它已经使用 Bitlocker。此外,我们还要注意,这个分类配置会被前面的“Remove Disk Deny Write Access”覆盖,所以不能同时配置。
OK,一旦决定采用的限制方案即可完成配置进入配置文件分配的页面,最后宣告完成。
如果您希望创建更为复杂的限制策略,可以搜索“Removable”,在“Removable Storage Access”分类中提供了多达38个策略,其中我们可以使用“Custom Classes”为特定设备配置禁止访问的权限。通过“Device Installation Restrictions”还可以允许安装特定的设备进行更为复杂全面的管控,多管齐下的方案总有能够适配组织安全需求的。
最后,如果我们推送了“Remove Disk Deny Write Access”策略,并希望在客户端上验证是否应用了该策略,可以通过事件日志查看器找到“Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider”,并查阅事件ID813的日志,其中能够看到相关的记录。
HOWTO: 使用 Intune 配置 LAPS
HOWTO: 使用 Intune 配置 LAPS
大家在熟悉“HOWTO: 使用 Intune 为 Windows 启用本地管理员”之后,接下来就跟随 gOxiA 了解如何为 Entra(AAD)账号启用 LAPS(Windows Local Administrator Password Solution),以及使用 Intune 配置 LAPS 策略。首先我们需要先在 Microsoft Entra 管理中心为设备启用本地管理员密码解决方案(LAPS)。
进入 Microsoft Entra 管理中心导航至“标识 - 设备 - 设备设置”,在右侧内容窗格中找到“本地管理员设置”,将“启用 Microsoft Entra 本地管理员密码解决方案(LAPS)”配置为“是”。简单一部便可谓云账号启用 LAPS,实属方便!但需要注意只有安装了2023年4月11日累计更新的 Windows 10/11/Server 2019/Server 2022 才受支持。
此外,若要允许对应管理员查看密码和密码元数据,需要授予相关权限:
- microsoft.directory/deviceLocalCredentials/password/read操作
- microsoft.directory/deviceLocalCredentials/standard/read操作
如果列出所有通过 LAPS 管理的设备,可以在 Microsoft Entra 管理中心导航至“标识 - 设备 - 本地管理员密码恢复”进行查阅。也可以通过 Intune 管理中心,找到设备,在监视器选项中找到“本地管理员密码”。
若要使用 Intune 来配置 LAPS 策略,可以在 Intune 管理中心 导航至“终结点安全性 - 账户保护”创建 LAPS 默认策略。
此外,也可以通过设备配置文件为 LAPS 创建策略(配置文件类型:模板;模板名称:管理模板,可找到 LAPS),其中包含以下几项:
- Do not allow password expiration time longer than required by policy
- 启用此设置时,不允许计划的密码过期时间超过“密码设置”策略规定的密码期限。当检测到此类过期时,会立即更改密码,并根据策略设置密码过期。 禁用或未配置此设置时,密码过期时间可能比“密码设置”策略所需的时间长。
- Enable local admin password management
- 启用本地管理员帐户的密码管理 如果启用此设置,则管理本地管理员密码 如果禁用或未配置此设置,则不会管理本地管理员密码。
- Name of administrator account to manage
- 管理员帐户名称:要管理其密码的本地帐户的名称。 使用内置管理员帐户时不要配置。内置管理员帐户由已知 SID 自动检测,即使在重命名时也是如此。
- Password Settings
- 配置密码参数 密码复杂性:生成新密码时使用哪些字符 默认值:大写字母 + 小写字母 + 数字 + 特殊字符 密码长度 最少:8 个字符 最大值:64 个字符 默认值:14 个字符 密码期限(以天为单位) 最短:1 天 最长:365 天 默认值:30 天
基于 Microsoft Entra ID 对 LAPS 的支持包括以下功能:
- 使用 Microsoft Entra ID 启用 Windows LAPS - 启用租户范围的策略和客户端策略,以将本地管理员密码备份到 Microsoft Entra ID。
- 本地管理员密码管理 - 配置客户端策略以设置帐户名、密码期限、长度、复杂性、手动密码重置等。
- 恢复本地管理员密码 - 使用 API/门户体验恢复本地管理员密码。
- 枚举所有启用了 Windows LAPS 的设备 - 使用 API/门户体验枚举启用了 Windows LAPS 的 Microsoft Entra ID 中的所有 Windows 设备。
- 本地管理员密码恢复授权 - 将基于角色的访问控制 (RBAC) 策略与自定义角色和管理单元结合使用。
- 审核本地管理员密码更新和恢复 - 使用审核日志 API/门户体验来监视密码更新和恢复事件。
- 本地管理员密码恢复的条件访问策略 - 在具有密码恢复授权的目录角色上配置条件访问策略。
毋庸置疑,基于Microsoft Entra ID 的 LAPS 方案以及通过 Intune 管理的 LAPS 策略是最易于部署和配置的。
官方参考资料: