设计决策：设备注意事项

设备管理的主要挑战是在设备级别强制执行策略。设备策略可以通过 GPO 或 Endpoint Management 软件强制执行。

例如，通过域成员资格应用的 GPO 通过设置诸如屏幕保护程序超时之类的策略来管理设备，以提高安全性。Azure AD 不直接支持设备级别管理。但是，当 Azure AD 与本地Active Directory 或 Azure AD DS 一起使用时，可使用用于设备管理的 GPO。

Citrix和微软都提供了用于管理移动设备的解决方案,这些解决方案可以将策略应用于iOS、Android 和 Windows 10 设备。Citrix 在 Citrix Cloud 中提供Endpoint Management 服务，而Microsoft 则提供包括 Intune 在内的端点管理器。Windows 10 包括用于管理设备的现代功能，并消除了对 Active Directory GPO 的旧依赖关系。您可以根据组织中使用设备管理的广泛程度来选择策略实施方法。以下是您需要回答的有关设备管理的问题：

我的设备还需要 GPO 吗？

• 如果您的所有用户设备都运行的是 Windows 10 或更高版本，则Microsoft Intune 策略可能会取代 GPO

• 如果旧版应用程序需要的设置无法通过 Intune 进行部署，则需要使用传统的 Active Directory DS

• 仔细检查所有现有的 GPO，您可能不再需要它们了

• Citrix VDA 主机仍在使用 GPO

Citrix Endpoint Management 有哪些要求？

• Citrix Endpoint Management 需要 Citrix Cloud Connector 才能进行目录同步

• 应将 Citrix Endpoint Management 设置为通过 Secure Hub 使用 Citrix 身份提供程序，以便Endpoint Management 可以直接向 Azure AD 进行身份验证

• 只要用户不使用本地帐户，Citrix Endpoint Management 就可以与 Azure AD 集成

• Citrix Endpoint Management 与 Microsoft Endpoint Manager 集成，因此您可以使用 Intune 打包自己的业务线 (LOB) 应用程序并提供 Micro-VPN

• Citrix Endpoint Management 要求注册邀请使用 LDAP 身份验证而不是 Azure AD

• Citrix Endpoint Management 要求 Active Directory DS 和 Azure AD 之间的用户名、电子邮件地址和组匹配

• Citrix Endpoint Management 需要在您的资源位置安装 Citrix Gateway（v12.1 或更高版本）才能访问 Microsoft VPN、移动生产力应用程序或与 Microsoft Endpoint Manager 集成

• Citrix Endpoint Management 需要使用本地 StorageZone 控制器来支持具有私有数据存储的 Citrix Files

• Citrix Endpoint Management 需要在 Citrix Gateway 上配置基于证书的身份验证，以提供单点登录体验

• Citrix Endpoint Management 要求使用 Android Enterprise 的注册配置文件，并且 γç£允许用户拒绝设备管理 γç¥ 设置为关闭。

• Citrix Endpoint Management 支持使用 Citrix Cloud 服务在以下平台上对托管设备进行身份验证：
  • 苹果 iOS
  • Android 自带设备
  • Android 传统设备管理模式
• 要管理 Citrix Cloud Endpoint Management 服务，请使用 “我的服务” 下的控制台

Microsoft Endpoint Manager 有什么要求？

• Microsoft Endpoint Manager 支持云和本地部署

• Microsoft Intune 需要 Azure AD 全局管理员或 Intune 服务管理员权限才能部署

• Microsoft Intune 没有用于应用设置来确定某项策略是否明确具有优先级的层次结构。如果 Intune 中存在两个针对相同设置 的策略，则会导致冲突。

• Microsoft Endpoint Manager 支持 iOS、Android、Windows Mobile 和 Windows 10

• Microsoft Intune 可以通过以下三种方式之一获得许可：
  • 独立的 Azure 服务
  • 企业移动性+安全 (EMS)
  • Microsoft 365
• 以下功能需要 Azure AD 高级许可证：
  • 一些 AD 加入操作
  • Windows AutoPilot
  • MFA 设备设置
  • 条件存取
  • 动态设备组
• 通过 Azure Intune 控制台管理Microsoft Intune

其他资源链接

通过 Citrix Cloud 使用 Azure Active Directory 进行身份验证

Citrix Endpoint Management 与 Microsoft Endpoint Manager 的集成

Citrix Endpoint Management 系统要求

置备混合 AAD 加入 Azure 上的虚拟机以启用 Intune