通过 Intune 控制 Windows 设备的位置服务
通过 Intune 控制 Windows 10 设备的位置服务
在 Windows 中提供了一个“查找我的设备”的功能,可以帮助我们找到这些设备的位置,并根据情况锁定它。注意:该功能仅适用于 MSA 类型的账号。我们可以访问 https://account.microsoft.com/devices 来使用这项功能。具体可参考:“查找并锁定丢失的 Windows 设备”。“查找我的设备”基于位置服务,当位置服务被启用后,其他应用程序也将有访问设备位置的权限,除非我们在隐私逐个对访问位置服务的应用进行配置。
对于使用 Intune 的组织如果希望禁用位置服务,则可以使用 Windows 设备配置文件,有两种方案:
1. 创建一个基于“设置目录”的配置文件,我们可以在“系统”下找到“允许位置”配置项。
允许位置有三个模式:
1)强制关闭位置。所有位置隐私设置将关闭并显示为灰色,用户无法更改。
2)允许使用位置服务。用户具有控制权,可以启用或禁用“位置隐私”设置。
3)强制打开位置。所有位置隐私设置都已切换并显示为灰色,用户无法更改。
当配置为强制关闭位置后,Windows 隐私中的位置将被禁用,将如下图所示。
我们也可以通过添加 CSP 策略来实现,具体为:
./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
格式:Int
值:0 Force Location Off;1 default,Location service is allowed;2 Force Location On
参考:Policy-CSP-System#system-allowlocation
在 Intune 设备管理中也提供了“定位设备”的功能,并且它除了支持 Windows 平台外,还支持 Android Enterprise 以及 iOS/iPadOS,并且提供了更丰富的功能。如果你有兴趣可参阅:Intune 定位设备 | Microsoft Learn
最后,我们通过一篇官方KB了解一下 Windows 位置服务和隐私。
微软推出 Microsoft Intune Suite
微软推出 Microsoft Intune Suite
近期微软 Intune 推出了 Microsoft Intune Suite,经过了学习和研究,了解到它是一个授权类型的解决方案捆绑包,将任务关键型的 Endpoint 管理和安全解决方案统一到一起,从而简化客户的 Endpoint 管理体验,改善其安全状况,并通过卓越的用户体验将人员置于中心位置。微软安全和M365与Intune Suite深度集成可为 IT 和安全团队提供数据科学和 AI 以提高自动化程度,帮助他们在解决终结点管理和其他安全挑战仿麦呢简单快速地从被动转变为主动。
那什么是 Microsoft Intune Suite 呢?!
简单理解,他将 Intune 一些额外的功能或支持特性做了一个打包,包含内容如下:
- Microsoft Intune Remote Help
- Microsoft Intune Endpoint Privilege Management
- Microsoft Tunnel for Mobile Application Management
- Microsoft Intune advanced endpoint analytics
- Microsoft Intune management and protection of specialty devices
看起来它更像是 Intune Plan 的增强版,下图我们可以看到他们之间的区别。
所以如果您的组织正需要完善和增强 Intune 管控设备的能力和体验,则建议首选 Microsoft Intune Suite,但请注意它首先需要具有 Intune Plan 1,这一 Intune 核心功能包含在 Microsoft 365 E3、E5、F1、和 F3 订阅,以及 Enterprise Mobility + Security E3 和 E5 订阅;商业高级版计划中。若要购买或使用 Intune Suite 可以通过 Microsoft 365 Admin Center 或 Microsoft Intune Admin Center
更多有价值的参考资料请移步如下链接:
https://www.microsoft.com/en-sg/security/business/Microsoft-Intune?rtc=1#products
https://learn.microsoft.com/zh-cn/mem/intune/fundamentals/intune-add-ons#available-add-ons
https://www.youtube.com/watch?v=nEa5AFBCRbI
最后,要深入了解 Intune Suite 的总体价值,建议要分步学习和了解其包含的功能和特性。
HOWTO: 在 Intune 中使用 Microsoft Store App(New) 添加应用
HOWTO: 在 Intune 中使用 Microsoft Store App(New) 添加应用
早先 gOxiA 曾分享过一篇日志,介绍了如何使用 Intune 为 Windows PC 部署 Microsoft Store 应用,但当时该模式并不支持强制部署,需要用户通过 Company Portal 选择安装。对于那些希望将应用商店里的应用强行部署到客户端设备上的场景,在过去会通过 Microsoft Store for Business,但管理 Intune 的朋友应该也获悉了 Microsoft Store for Business 将于2023年第一季度停用的消息,似乎只能提前下载到那些支持 Offline 部署的 UWP 应用才能满足需求。
但现在,微软在 Intune 中提供了一个新的添加应用的类型 - Microsoft Store App(new),与之前的 Microsoft Store App 相比,新的 Microsoft Store 应用功能进行了重要改进:
- 可以直接在 Intune 内浏览和搜索来自 Microsoft Store 的应用。(之前有一段时间,我们需要先访问 MSStore 的 Web 站点获取相关的 URL 才能进行添加)
- 可以为应用部署进行安装或卸载。
- 可以监视 MSStore App 的安装进度和结果
- 支持 MSStore 中的 Win32 应用,当前为预览版本。(那些缺少足够信息,或检测、安装和升级性不可靠的 Win32 App 将暂不受支持,具体可参考:https://techcommunity.microsoft.com/t5/intune-customer-success/troubleshooting-the-microsoft-store-and-microsoft-intune/ba-p/3750341)
- UWP 应用支持系统上下文和用户上下文。
- 部署模式支持“必需,可用于已注册的设备,和 卸载”。
若要体验 Microsoft Store App(new) 添加应用,可参考如下步骤:
- 访问 Microsoft Intune Admin Center (貌似又改名了?!!!),进入“应用” - “所有应用”,选择“添加”,并确认使用“Microsoft Store 应用(新版)”。
- 在“应用信息”界面,点击“搜索 Microsoft Store 应用(新),然后在右侧出现的搜索栏中搜索要部署的应用,例如:Remote Desktop”。
如果搜索的应用包含 Win32 版本,并且符合 Intune 部署需求,则会显示供我们选择。 - 之后,所必须的应用信息会自动填写到“应用信息”界面对应的文本框中,这极大提升了 Intune App 部署人员的体验,简化了添加流程。
- “分配”应用界面中,我们可以根据需要为“组、所有用户、所有设备”分配,也可以供已注册的设备(组或所有用户)选择安装,或执行卸载。在配置分配后,还可以配置最终用户通知,立刻开始安装或指定的日期和时间,还可以为那些安装应用后需要重启的情况指定重启宽限期。
- 最后,确认信息和配置无误后便可创建添加应用。
参考文档:
https://learn.microsoft.com/zh-cn/mem/intune/apps/store-apps-microsoft