本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!
微软发布基于 Windows 系统映像的 Microsoft Defender 更新
微软发布基于 Windows 系统映像的 Microsoft Defender 更新
在企业 IT 交付新安装的 Windows PC 的前几个小时可能会导致系统易受工具,这是因为操作系统安装映像可能未安装最新的系统更新,或包含过时了的反恶意软件。对于系统更新企业 IT 可以定期下载离线的系统更新包解决,而对于 Defender 早先可以通过下载“Defender 安全智能更新包”在部署阶段进行动态更新。而现在微软发布了基于 Windows 系统映像的 Microsoft Defender 更新工具,可以方便企业 IT 定期为操作系统安装映像提供 Defender 更新服务,最大程度地减少新部署中的此保护缺口。
该工具可为 WIM 和 VHD 文件格式的系统映像执行反恶意软件更新包的安装任务,且只支持如下系统版本:
- Windows 10(企业版、专业版和家庭版)
- Windows Server 2019
- Windows Server 2016
在执行安装更新后,反恶意软件客户端、反恶意软件引擎和签名版本将会更新到以下版本(本文:20201016):
- 平台版本:4.18.2009.7
- 引擎版本:1.1.17500.4
- 签名版本:1.325.353.0
程序包当前版本:1.1.2010.2(20201016),大小约为 110MB,要运行该工具的先决条件如下:
- 必须运行64位 Windows 10 或更高本本的操作系统环境,且包括 PowerShell 5.1 或更高版本。
- 必须安装 Microsoft PowerShell.Security 和 DISM 模式。
- 必须使用管理员权限再设备上启动 PowerShell。
应用更新
PS C:\> DefenderUpdateWinImage.ps1 - WorkingDirectory<path> -Action AddUpdate - ImagePath <path_to_Os_Image> -Package <path_to_package>
移除更新
PS C:\> DefenderUpdateWinImage.ps1 - WorkingDirectory<path> -Action RemoveUpdate - ImagePath <path_to_Os_Image>
显示当前更新信息
PS C:\> DefenderUpdateWinImage.ps1 - WorkingDirectory<path> -Action ShowUpdate - ImagePath <path_to_Os_Image>
注意:
请勿使用该工具更新实时映像,因为它可能会损坏在虚拟机内部运行的 Windows 安装。
WorkingDirectory 请指定为一个临时工作目录。
[Intune] 使用 Get-WindowsAutopilotInfo 直接向 Windows Autopilot 注册设备
使用 Get-WindowsAutopilotInfo 直接向 Windows Autopilot 注册设备
如果你还记得这篇文章“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”,应该不会对 Get-WindowsAutopilotInfo 感到陌生。利用 Get-WindowsAutopilotInfo 可以收集设备的 DeviceID,然后参考“HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune”注册到 Windows Autopilot 执行部署。
将 DeviceID 添加到 Intune 的步骤还是比较繁琐的,现在 Get-WindowsAutopilotInfo 可以直接注册设备,这极大简化了测试过程。
让我们重温一下 Get-WindowsAutopilotInfo 的获取步骤:
1. 在 PowerShell 命令提示符下执行如下命令行,以安装 Get-WindowsAutopilotInfo。
备注:使用“-RequiredVersion X.X”可以指定要安装的版本,如果之前已经安装了旧版,请务必使用 –force 参数,更详细的参数介绍可参考官方文档“Install-Script”。
2. 为了能够执行该脚本,需要修改本地的安全策略。
Get-WindowsAutopilotInfo 准备完毕后,可以事先创建一个设备组并匹配到 Windows Autopilot 配置文件,本例中 gOxiA 创建了一个特定厂商设备的动态组,如下图所示,有关设备组的创建可参考“HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组”。
现在我们可以执行以下命令行,来获取 DeviceID 并注册到 Windows Autopilot,也可同时分配到指定组,并等待配置文件分配。
HOWTO: 从 Microsoft Store for Business 删除应用
HOWTO: 从 Microsoft Store for Business 删除应用
如果您正在评估,甚至已经开始使用 Intune 来部署和管理 Windows 终端,会发现 Intune 部署应用的流程非常简单,尤其是通过 Microsoft Store for Business(MSfB) 部署 UWP 应用更加便捷。如果您还没有激活 MSfB 可以即可访问 Microsoft Endpoint Manager 管理中心,在“租户管理”中导航到“连接器和令牌”,之后就能看到“适用于企业的 Microsoft Store”,可以将其启用,并点击“打开企业应用商店”激活该服务,并与 Intune 绑定,成功后会看到如下图所示的界面。
点击“打开企业应用商店”可以访问 MSfB,或者也可以通过这个网址“https://businessstore.microsoft.com/”访问,通过“同步”按钮可以手动将 MSfB 购买的应用与 Intune 同步,否则需要等待15分钟。(PS:有关 MSfB 的性能指标可参考:https://docs.microsoft.com/zh-cn/microsoft-store/manage-private-store-settings)
在 MSfB 中企业 IT 人员可以获取免费或购买收费的应用程序,这些应用程序通常会提供 Online 或 Offline 的授权,前者我们可以通过 Microsoft Store 或 Company Portal 来分发,后者则可以下载 UWP 应用包实现侧加载。在获取到应用后,如果计划通过 Company Portal 分发以及强制部署,那么可以通过 Endpoint Manager 管理中心按需分配这些应用给特定用户和设备。此外您可以会注意到在 MSfB 管理界面中,也提供了分配应用的方法,这里的配置将作用到 Microsoft Store 中的专用商店。
到这里,gOxiA 大致描述了添加应用的过程,而本文的主题是从 Microsoft Store for Business 删除应用,在删除时我们会有以下几种场景。
第一种场景,我们希望从 Microsoft Store 下的专用商店中删除这些应用,避免用户自行从那里安装应用。这个场景下我们参考前面的截图,在“Private store availability”中将其改为“No one”。
第二种场景,即 IT 因为测试而获取了一些应用,现在希望从 MSfB 中整体清除它们,也就是从 Products & services 列表中清理掉。此时会发现我们根本找不到删除按钮。此时其实是一种概念的转换,我们实际上要清楚的是这份应用的购买订单,所以应当从“Order history”中退订,具体参考下图。
这样我们的列表就会显得干净许多,一些并不适用的应用也不再碍眼。对于Microsoft Account 类型的消费用户,目前还没有找到清理的办法,在我的列表中还能看到很多上古时代 Windows Phone 的应用。
HOWTO: 为 Intune 启用 Android 设备管理员 注册
HOWTO: 为 Intune 启用 Android 设备管理员 注册
要通过 Intune 管理 Android 设备,也需要将 Android 设备注册到 Intune,目前 Intune 为 Android 设备提供了两种注册管理方式:Android Enterprise 以及 Android 设备管理员。后者也被称为“旧版” Android 管理(随Android 2.2 发布),作为 Android 设备的管理方法,Google 在 Android 5.0 发布时推出了改进的管理功能 – Android Enterprise,用于替代过去的 Android 设备管理员,以实现更现代化、更丰富、更安全的设备管理,目前 Google 正逐渐减少新 Android 版本中对设备管理员的支持。
看到这里,也许你会对 Android Enterprise 产生浓厚的兴趣,但是当阅读完 Google 这篇文档 https://support.google.com/work/android/answer/6270910 热情立刻减半,是的在支持列表中缺少对本地的支持。如果你需要管理本地的 Android 设备则需要考虑继续使用 Android 设备管理员方式。
本文分享的内容也非常的简单,就是为 Intune 启用 Android 设备管理员注册。
首先,登录 Microsoft Endpoint Manager 管理中心,转到“设备 - Android - Android 注册”页面,点击位于页面底部“Android 设备管理员”下的“具有设备管理员特权的个人和公司自有设备”,如下图所示:
之后,在页面中勾选“使用设备管理员管理设备”这个选项。
到此步骤就告一段落,是不是很简单!接下来,就可以在客户端安装 Intune 公司门户了,成功登录后即通过 Android 设备管员 方式注册到 Intune 中。要在本地下载安装 Intune 公司门户应用,可通过如下渠道:
小米
https://go.microsoft.com/fwlink/?linkid=836947
Lenovo
https://go.microsoft.com/fwlink/?linkid=2125082
华为
https://go.microsoft.com/fwlink/?linkid=836948
百度
通过 Intune 自定义配置文件实现禁用 UAC
通过 Intune 自定义配置文件实现禁用 UAC
持续关注 gOxiA Blog 的朋友们可能已经注意到近期的主题都与 Intune 有关,移动设备管理需求剧增,传统 ITPro 是该抓紧时间了解“现代桌面”管理了。如果您跟随 gOxiA 也在学习 Intune,那么不要错过这篇日志。在企业 IT 桌面环境下很多组织都将 UAC 禁用,以避免影响到客户体验,或业务应用程序的运行,虽然 gOxiA 并不建议禁用 UAC(启用 UAC 极大的提高了用户运行环境的安全性,避免无意中触发不必要的变更操作,导致系统环境受损,影响正常运行。)但如果你希望能够通过 Intune 来禁用 UAC 也还是可以实现的。
还记得之前我们讲过的设备配置文件吗?它与我们传统的客户端管理中使用的组策略(GPO)类似,但支持更多中配置文件类型,有类似于 GPO 的管理模板类型,也有设备限制类型,也有针对应用的如电子邮件类型,自定义类型则利用 CSP(策略配置服务提供程序)接口提供了强大的可定制的,灵活的配置能力。本例我们将使用自定义配置文件来创建 UAC 设置。
跟随向导为配置文件起个易于识别的名称,然后添加 OMA-URI 设置。格式参考 https://docs.microsoft.com/zh-cn/windows/configuration/provisioning-packages/how-it-pros-can-use-configuration-service-providers,这里我们会使用 Policy CSP 的 LocalPoliciesSecurityOptions 中的配置项,涉及三个:
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
数据类型:整型
值:0
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
数据类型:整型
值:0
OMA-URI:./Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
数据类型:整型
值:0
OMA-URI 创建完毕后,将配置文件分配给“所有设备”即可。
巧妙利用 MSfB 在 Windows 10 LTSC 上部署 UWP 程序
巧妙利用 MSfB 在 Windows 10 LTSC 上部署 UWP 程序
LTSC即长期服务通道,在过去被称为LTSB(长期服务分支),到目前位置微软一共发行了三个LTSC版本:
l Windows 10企业版 2015 LTSC,基于Windows 10 1507
l Windows 10企业版 2016 LTSC,基于Windows 10 1607
l Windows 10企业版 2019 LTSC,基于Windows 10 1809
通过 LTSC 服务模型,可以帮助企业延迟接收 Windows 功能更新,默认情况下 Windows 10 会在一年中提供两次的功能更新。此外,LTSC 还提供了长达 10年的生命周期。还有一点吸引企业 IT 人员的是 LTSC 未包含 Windows 10 的新桌面体验功能(如:Cortana、Edge、Microsoft Store和所有内置的Windows应用程序)。
不论怎样!LTSC 并非适用于大多数或所有电脑上部署,它仅适用在一些特定的应用场景或专用设备之上。这里有一篇文章介绍了 LTSC,强烈建议先行阅读。
简单理解,如果您的电脑上安装了 Office 等生产力应用软件,或连接了一些打印机等外设,那么这款电脑就不应安装 LTSC,如果您安装了并在使用中发生了一些问题,也无法从微软那里得到有效的技术支持。
即便如此,我们广大的企业IT人员还是非常青睐这个版本的操作系统。因为在 Windows 10 企业版 2019 LTSC 中又添加了很多的新功能,例如:
l 基于Windows 10 1809构建。
l 受Intune支持(注:WUfB目前不受支持),包括执行Autopilot部署。
l 安全性得以增强,提供了Windows Defender ATP、WIP、Windows Hello企业版,等安全功能和特性。
要了解更详尽的信息,可访问:https://docs.microsoft.com/zh-cn/windows/whats-new/ltsc/whats-new-windows-10-2019
回到正题,当我们在部署安装 LTSC 后可能需要使用常规版本下的 Windows 内置的应用程序,如 Windows Camera(相机)。由于缺少 Microsoft Store 我们将无法重新安装那些经典好用的 Windows 内置应用,此时正确的方案应该是从第三方获取独立的相机应用程序,他们可以是 Win32 或 UWP 类型的应用。
但如果当前 LTSC 应用场景下又必须使用 Windows Camera 这类的内置应用,又该有什么办法呢?!
经过研究,如果您所在的组织正好在使用 Intune,并开通了Microsoft Store for Business(简称:MSfB),那么这个问题就很容易解决了。我们可以从 MSfB 门户下载到 Windows Camera 的离线安装包。
首先,利用搜索找到 Windows Camera,您会发现这个 UWP 提供了 Online 和 Offline 两种部署方式,而且授权模式是 Free!!!
获取该应用后,便可以通过管理界面下载它的离线安装包,在下载时请务必正确选择相关的信息,如系统平台为 Windows 10 desktops,最小版本 17134 即不低于 1803 版的 Windows 10,架构是 x64,以及语言。之后,就可以下载这款应用的离线安装包。
此外,根据需要下载应用程序的授权文件,对于 Windows Camera 由于是 Free 授权,这个倒是可以略过。由于 Windows Camera 还需用一些运行框架支持,所以一定要将“Required frameworks”下的三个包也一同下载安装。
所有的应用包获取完毕后,便可以进入实质的安装阶段。首先,将这些文件拷贝到目标设备上的一个目录中,例如:C:\temp\camera。
然后,使用 DISM 或 PowerShell 命令行即可完成安装,通过DISM安装应用包(Appx or AppxBundle)参考如下:
安装完毕之后,在启动程序时请务必确保设备已经能够访问 Internet,否则应用将无法正常启动(会在日志中看到 COM ActivateExtension 相关的网络错误)。
我们也可以通过 PowerShell 命令“Add-AppPackage“进行安装,参考命令如下:
最后,分享两篇有关 LTSC 与 Surface 设备兼容性的指导文章。
https://docs.microsoft.com/en-us/surface/surface-device-compatibility-with-windows-10-ltsc
Windows Insider 变更新版本发行方式
Windows Insider 变更新版本发行方式
微软 Windows Insider Program 在六月中下旬公布了项目的最新变更信息,将当前基于 Ring 的版本发布模式转换成了新的 Channel 模式。这一变化意味着 Windows Insider 版本发布的重心将由多频率转变为高质量。此外该模式也与现有的 Office 和 Edge 吻合,为用户带来一致的评估体验。
新的 Channel 模式也非常便于理解,具体参考如下:
- Dev Channel,对应之前的 Fast ring,适用于一些高级用户或开发人员,可获得开发周期中最早的内部版本,体验到最新的更新,当然这也意味着不完善或存在不稳定的因素。
- Beta Channel,对应之前的 Slow ring,适用于那些喜欢尝鲜但又注重稳定性的用户。
- Release Preview Channel,对应之前的 Release Preview ring,该版本意味着无限接近正式版,已具备最终的关键功能,和可靠的质量更新。适用于组织内部大范围的验证和评估。
需要注意的是,以上变更目前还未正式体现在 Windows 预览体验计划的功能设置中,您看到的仍是“慢、快、Release Preview”三个选项。
更详尽的详细可阅览微软的官方网站:https://blogs.windows.com/windowsexperience/2020/06/15/introducing-windows-insider-channels/
微软发布 Windows File Recovery
微软发布 Windows File Recovery
微软近日在其 Microsoft Store 发布了一款免费的数据恢复工具 – Windows File Recovery,利用该工具可以帮助用户从本地驱动器,甚至是 SSD 或外部可移动存储(SD卡或U盘)上恢复那些已经被删除的文件。
满足 Windows File Recovery 的操作系统版本要求:Windows 10 19041 or 更高版本。Windows File Recovery 支持多种磁盘格式(FAT、exFAT、ReFS、NTFS),在非 NTFS 上进行数据恢复时需使用 Signature Mode 即参数 “/x”。
是否已经心动?!要安装它只需要从 Microsoft Store 获取即可,可以通过这个链接直接访问安装。https://www.microsoft.com/store/r/9N26S50LN705
当安装完毕后启动程序会自动进入 CMD 环境,假设我们要从一个目录恢复指定的文件,可参考如下命令行:
我们也可以从一个目录使用通配符恢复多个不同类型的文件,可参考如下命令行:
[code]winfr c: e: /n \users\<username>\pictures\*.jpg /n \users\<username>\pictures\*.png
对于前面提到的非 NTFS 场景,例如从 SD 卡恢复相片类型的文件,则可以参考如下命令行:
Windows File Recovery 还支持高级选项,可通过 ”/!” 查看高级选项说明。
有关 Windows File Recovery 更详尽的帮助说明,强烈建议学习:https://support.microsoft.com/en-us/help/4538642/windows-10-restore-lost-files?WT.mc_id=thomasmaurer-blog-thmaure
通过 Intune 配置文件的管理模板为 Edge 浏览器限制访问 URL
通过 Intune 配置文件的管理模板为 Edge 浏览器限制访问 URL
在互联网上不是每一个网站都是健康或安全的,为了避免最终用户无意或有意的访问那些不良网站,组织 IT 人员需要有一种机制来管理它们,确保用户不能访问那些受限的网站。在过去的传统环境下,通常会配置出口网关进行相关网站的限制访问,移动为先的今天大部分的用户或设备都具备可移动性,过去传统的管理方式已经不能满足现在的应用场景。
如果你的组织已经开始使用 Intune 来管理设备,则可以通过设备配置文件来实现 URL 访问的限制。实际上我们将利用的是 Microsoft Edge 的 URL 列表策略,通过 Intune 设备配置通过互联网推送给终端设备,实现对用户特定 URL 的限制访问。
在开始实践前建议先阅读这篇文档“基于 URL 列表的策略的筛选器格式”,这将帮助我们了解如何准确的添加要限制的 URL。此外确保组织的设备已经部署了 Microsoft Edge,它是一款基于 Chromium 的新浏览器,在今年1月份已正式发布,gOxiA 之前写过一篇介绍的日志 – “微软发布基于 Chromium 的正式版 Microsoft Edge 浏览器”可以参考。
满足以上条件,就可以开始创建设备配置文件,为此登录 Microsoft Endpoint Manager,在左侧点击“设备”,然后点击“配置文件”,并创建新的配置文件,之后请选择 Windows 10 平台,配置文件类型使用管理模板。在接下来的向导中为我们的配置文件创建一个易于识别的名字,下一步之后就会看到策略配置页面,是不是很像我们过去常用的组策略?!
在“计算机配置”下选择“Microsoft Edge”,然后在搜索框中输入“URL”进行显示筛选,你会看到列表中有一个名为“阻止访问 URL 列表”的设置项,我们将通过它来实现阻止用户访问特定的URL,另外你还会看到另一个设置项“定义允许的 URL 列表”,这两个其实就实现了所谓的 URL 黑白名单,你也可以根据实际的场景需求选择性配置。
在“阻止访问 URL 列表”中勾选“已启用”,然后手动添加 URL。
在策略生效后,用户访问这些被限制的 URL 时就会收到如下图一样的页面信息,如果希望查看当前 Edge 的策略,可以在地址栏输入”edge://policy”。
如果希望了解更多的 Edge 策略支持,可以阅读这篇文档。https://docs.microsoft.com/zh-cn/deployedge/microsoft-edge-policies#urlblocklist
体验新的 Windows 程序包管理器
体验新的 Windows 程序包管理器
微软在 Microsoft Build 2020 大会上公布了 Windows Package Manager (Windows 程序包管理器)预览版,它是一款工具,可以帮助我们自动化在计算机上获取软件的过程。对于企业 IT 人员来说,他的价值也非常巨大,现在只需一个简单的脚本命令即可通过互联网从软件库中获取到要安装软件的最新版本。
例如我们想安装 PowerToys,我们只需要输入“winget install powertoys”命令即可完成安装,而且整个安装过程将自动执行。
目前这个软件库构建在微软社区存储库中,我们可以使用“winget search”进行搜索可安装的软件,虽然目前类别和数量还较少,但相信更多的软件开发人员会加入进来,软件也就会更加丰富。除此之外,我们也可以构建一个本地清单,来部署软件。
此时,您可能会产生一个疑问,这个软件库直接信赖吗?!这是一个好问题,微软也考虑到了,所以会自动检查每一个清单,并利用 SmartScreen,静态分析,通过 SHA256 验证,以及其他一些过程来减少恶意软件进入存储库或计算机。
如果读到这里,您准备开始体验它,微软目前提供了三种方法。加入 Windows Insider 并安装最新版本的 Windows,该工具将内置在其中。或者加入 Windows Package Manager Insider,之后从微软应用商店安装“App Installer”。我们还可以直接从 Github 上获取到该工具的离线安装包,它是一个 appxbundle 格式的安装文件,可以从 https://www.github.com/microsoft/winget-cli 下载。
目前 Microsoft Docs 也提供了文档资料,如果您感兴趣将它应用在企业 IT 桌面交付过程,可以好好研读。
