Windows桌面和平板电脑
终端管理将Windows 10和Windows 11设备纳入MDM。终端管理支持Windows 10、Windows 11终端注册MDM的认证方式:
- 域的认证
- 活动目录
- Azure Active Directory
- 身份提供者:
- Azure Active Directory
- Citrix身份提供商
有关支持的身份验证类型的详细信息,请参阅证书和身份验证.
启动Windows 10或Windows 11设备管理的一般工作流如下:
完成入职流程。看到入职和资源设置和准备注册设备和交付资源.
如果计划使用自动发现服务注册Windows设备,则必须配置Citrix自动发现服务。请求Citrix技术支持以获得帮助。有关详细信息,请参阅请求Windows设备的自动发现.
选择并配置注册方法。看到支持注册方法.
用户注册Windows 10和Windows 11设备。
设置设备和应用程序安全操作。看见安全的行为.
有关支持的操作系统,请参阅支持的设备操作系统.
支持注册方法
您可以在注册配置文件中指定如何管理Windows 10和Windows 11设备。有两种选择:
- 完全管理(MDM注册)
- 不管理设备(没有MDM注册)
配置Windows 10和Windows 11设备的注册设置,执行配置>注册配置文件>窗口.有关注册概况的更多信息,请参见登记资料.
下表列出了端点管理为Windows 10和Windows 11设备支持的注册方法:
| 方法 | 支持 |
|---|---|
| Azure Active Directory登记 | 对 |
| Citrix工作区应用程序注册 | 对 |
| 自动发现服务登记 | 对 |
| Windows批量注册 | 对 |
| 手动注册 | 对 |
| 报名邀请函 | 没有 |
注意:
- 手动注册需要用户输入Endpoint Management服务器的完全合格域名。我们不建议使用手动注册。相反,使用其他方法来简化用户的注册过程。
- 无法向Windows设备发送注册邀请。Windows用户直接通过其设备注册。
配置Windows Desktop和Tablet设备策略
使用这些策略配置端点管理如何与运行Windows 10或Windows 11的桌面和平板设备交互。该表列出了Windows桌面和平板设备可用的所有设备策略。
| 应用程序配置 | 应用库存 | 应用锁 |
| 应用程序卸载 | 应用程序保护 | 驱动器加密 |
| 控制操作系统更新 | 凭证 | 自定义XML |
| 后卫 | 设备保护 | 设备健康认证 |
| 交换 | 防火墙 | 亭 |
| 办公室 | 密码 | 限制 |
| 商店 | 条款和条件 | VPN |
| Web剪辑 | 网络 | Windows代理 |
| Windows商务版 | Windows GPO配置 | Windows信息保护 |
通过Azure Active Directory注册Windows 10和Windows 11设备
重要的是:
在用户注册之前,必须在Azure中配置Azure Active Directory (AD)设置,然后配置Endpoint Management。有关详细信息,请参见连接终端管理到Azure AD.
Windows 10和Windows 11设备可以注册Azure作为广告身份验证的联合方式。此注册需要Azure AD Premium订阅。有关详细信息,请参阅https://docs.microsoft.com/en-us/azure/active-directory/devices/overview#license-requirements.
您可以使用以下任何一种方法将Windows 10和Windows 11设备加入到Microsoft Azure AD中:
公司设备:
在设备第一次上电时加入Azure AD时加入MDM。在这个场景中,用户按照本文描述的方式完成注册:https://docs.microsoft.com/en-us/azure/active-directory/devices/azuread-joined-devices-frx.
对于使用此方法注册的Windows设备,可以使用Windows AutoPilot设置和预配置设备。有关更多信息,请参见使用Windows AutoPilot设置和配置设备.
当设备从Windows加入Azure AD时,注册MDM设置界面。在此场景中,用户完成如下所述的注册在配置完设备后加入Azure AD时加入MDM.
个人设备(BYOD或移动设备):
- 将Microsoft工作帐户添加到Windows时,在注册到Azure AD时注册MDM。在此场景中,用户按照中所述完成注册在注册Azure AD时注册MDM.
在配置完设备后加入Azure AD时加入MDM
在设备上,从“开始”菜单导航到设置>账户>访问工作或学校点击连接.
在建立一个工作或学校账户对话框,在替代的行动,点击将此设备连接到Azure Active Directory.
输入Azure AD凭据并单击登录.
接受组织要求的条款和条件。
- 如果用户点击下降,设备既没有加入Azure AD,也没有注册Endpoint Management。
点击加入办理注册手续。
点击完成以完成注册程序。
在注册Azure AD时注册MDM
在设备上,从“开始”菜单导航到设置>账户>访问工作或学校点击连接.
在建立一个工作或学校账户对话框中,输入Azure AD凭据并单击登录.
接受组织要求的条款和条件。设备注册到Azure AD并注册到端点管理。
- 如果用户点击下降,设备已注册到Azure AD,但未注册到Endpoint Management。没有信息按钮上的帐户。
点击加入办理注册手续。
点击完成以完成注册程序。
通过Citrix工作区应用程序注册Windows 10和Windows 11设备(预览)
Endpoint Management支持通过Citrix Workspace应用程序自动注册Windows 10和Windows 11设备。这种支持意味着用户可以注册支持的Windows 10和Windows 11设备。
先决条件:
- 基于云计算的部署
- Citrix工作区应用程序1911或更高版本
- Citrix Endpoint Management 20.1.0或更高版本
Citrix端点管理集成了Citrix工作区
有关与Citrix工作区集成的端点管理的信息,请参见与Citrix Workspace体验的集成. 有关在Citrix Cloud中为端点管理启用工作区集成的信息,请参阅中的端点管理Citrix工作区文档.
当用户在Citrix Workspace应用程序中输入他们的凭证以添加商店时,会出现以下注册提示:
只有满足以下条件时,才会出现注册提示:
设备未被mdm登记。
该用户是端点上的本地管理员组的成员。
在Windows 10和Windows 11设备上有一个注册配置文件。
通过使用自动发现服务注册Windows设备
要为Windows设备配置自动发现服务,请向Citrix技术支持寻求帮助。有关详细信息,请参阅请求Windows设备的自动发现.
注意:
对于要注册的Windows设备,SSL侦听器证书必须是公共证书。自签名SSL证书的注册失败。
用户通过以下步骤完成注册:
在设备上,从“开始”菜单导航到设置>账户>访问工作或学校点击仅在设备管理中注册.
在建立一个工作或学校账户对话框中,输入企业邮箱地址,单击下一个.
要注册为本地用户,请输入一个不存在的具有正确域名的电子邮件地址(例如,
foo\@mydomain.com).这一步可以让用户绕过微软的一个已知限制,即Windows上内置的设备管理(Device Management)执行注册。在连接到服务对话框中,输入与本地用户关联的用户名和密码。然后,设备发现端点管理服务器并启动注册过程。输入凭据并单击持续.
在使用条款对话框,同意让设备管理,然后单击接受.
如果域策略禁用MDM注册,则通过AutoDiscovery服务注册加入域的Windows设备将失败。用户可以使用以下两种方法:
- 从域中删除设备,注册,然后重新加入它们。
- 输入要继续的端点管理服务器的FQDN。
Windows批量注册
使用Windows批量注册,可以设置多个设备,让MDM服务器管理,而不需要重新映像设备。在Windows 10和Windows 11桌面和笔记本设备上,您使用一个配置包进行批量注册。信息,请参阅批量注册Windows设备.
安全的行为
Windows 10和Windows 11设备支持以下安全操作。有关每个安全操作的描述,请参见安全的行为.
| 定位 | 锁 | 重新启动 |
| 撤销 | 选择性擦拭 | 擦 |
连接终端管理到Azure AD
Windows 10和Windows 11设备可以注册Azure。在Azure AD中创建的用户可以访问这些设备。端点管理作为MDM服务部署在Microsoft Azure中。将端点管理连接到Azure AD使用户能够在将设备注册到Azure AD时自动将设备注册到端点管理。
要连接Endpoint Management到Azure AD,执行以下步骤:
在Azure门户中,导航到Azure Active Directory>移动(MDM和MAM)>添加应用程序点击本地MDM应用程序.
提供应用程序的名称并单击添加.
选择您创建的应用程序,配置以下内容,然后单击保存.
- MDM用户范围.选择所有.
- MDM使用条款URL.输入格式:
https://.:8443/zdm/wpe/tou - MDM发现URL.输入格式:
https://<端点管理注册FQDN>:8443/zdm/wpe.
点击内部MDM应用程序设置.
- 在性质窗格中,设置应用程序ID URI的格式,
https:// < Endpoint Management Enrollment FQDN>:8443.这个应用程序ID URI是一个唯一的ID,你不能在任何其他应用程序中再次使用。 - 在需要的权限窗格中,选择微软图和Windows Azure活动目录.
- 在键窗格中,创建身份验证密钥。点击保存查询键值。键值只出现一次。保存密钥以备以后使用。你需要在步骤7的关键。
- 在性质窗格中,设置应用程序ID URI的格式,
在端点管理控制台中,转到设置>身份提供程序(IDP)然后点击添加.
在发现URL页面,配置以下内容,然后单击下一个.
- 国内流离失所者的名字.输入唯一的名称来标识正在创建的IdP连接。
- 国内流离失所者类型.选择Azure Active Directory.
- 承租者ID.的目录ID在Azure。当你导航到Azure Active Directory >属性在Azure。
在MDM信息窗口页面,配置以下内容,然后单击下一个.
- 应用程序ID URI.你在Azure中输入的APP ID URI值。
- 客户机ID.的应用程序ID性质在Azure窗格。
- 关键.您在上面步骤4中创建并保存的键值。
在国内流离失所者声称使用页面,配置以下内容,然后单击Next。
- 用户标识符类型.选择userPrincipalName.
- 用户标识符字符串.输入
$ {id_token} .upn.
点击保存.
将Azure AD用户添加为本地用户并将其分配给本地用户组。
创建条款和条件设备策略以及包含该本地用户组的传递组。
与工作区环境管理集成时的设备管理
单独使用工作区环境管理(WEM), MDM部署是不可能的。使用Endpoint Management,你只能管理Windows 10和Windows 11设备。通过集成这两者,WEM可以访问MDM特性,并且可以通过端点管理管理更广泛的Windows操作系统。这种管理的形式是配置Windows GPOs。目前,管理员将ADMX文件导入Citrix Endpoint Management,并将其推送到Windows 10和Windows 11桌面和平板电脑上,以配置特定的应用程序。通过Windows GPO配置设备策略,您可以配置GPO,并将更改推送到WEM服务。然后,WEM Agent将GPOs应用于设备及其应用程序。
MDM管理不是WEM集成的必要条件。任何WEM支持的设备都可以推送GPO配置,即使端点管理本身不支持该设备。
有关支持的设备列表,请参见操作系统要求.
接收Windows GPO配置设备策略的设备运行在名为WEM的新端点管理模式中。在管理>设备注册设备的列表模式列用于wem管理的设备列表韦姆.
有关更多信息,请参见Windows GPO配置设备策略.
BitLocker恢复密钥
使用BitLocker加密磁盘是一个有用的安全功能。然而,如果用户丢失了BitLocker恢复密钥,解锁设备可能是一个挑战。终端管理现在可以自动,安全地为用户保存BitLocker恢复密钥。用户可以在自助门户上找到BitLocker恢复键。启用和找到BitLocker恢复键:
- 在端点管理控制台中,导航到设置>服务器属性.
- 搜索
轴马力和使shp.console.enable特性。确保启用.new.shp仍然是禁用的。有关启用自助门户的详细信息,请参见配置注册安全模式. - 导航到配置>设备策略.找到您的BitLocker策略或创建一个并启用BitLocker恢复备份到端点管理设置。
当解锁他们的设备时,终端用户会看到一条消息,要求他们输入密钥。该消息还显示了Recovery密钥ID。
要找到BitLocker恢复密钥,用户可以导航到自助门户。
- 下全体的详细信息,请参阅驱动器加密恢复数据.
- 恢复键ID:用于加密磁盘的BitLocker恢复密钥的标识符。这个ID必须与前面消息中给出的键ID匹配。
- 恢复密钥:用户解锁磁盘时必须输入的密钥。在解锁提示输入此键。
![自助界面BitLocker恢复键]()
有关BitLocker设备策略的详细信息,请参阅驱动器加密设备的政策.