Windows 桌面和平板电脑

要在 Endpoint Management 中管理 Windows 10 桌面和平板电脑设备, 必须配置 Citrix 自动发现服务。请参阅准备注册设备并交付资源

Endpoint Management 将 Windows 10 个桌面和平板电脑设备注册到 MDM 模式。Endpoint Management 支持在 MDM + MAM 模式下 Windows 桌面和平板电脑设备执行以下身份验证类型。有关信息, 请参阅一节证书和身份验证中的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书和域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

开始 Windows 10 个桌面和平板电脑设备管理的一般工作流程如下:

  1. 完成加入过程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅支持的注册方法

  3. 配置 Windows 桌面和 Tablet 设备策略

  4. 使用 Azure 注册 Windows 桌面和平板电脑设备 Active Directory

  5. 设置设备和应用程序安全操作。请参阅安全操作

有关支持的操作系统, 请支持的设备操作系统参阅。

支持的注册方法

下表列出了 Endpoint Management 支持 Windows 桌面和平板电脑设备的注册方法:

方法 支持
Azure Active Directory 注册
Windows 批量注册
手动注册
注册邀请

Azure 注册

运行 Windows 10 Enterprise 的设备可以通过联合 Active Directory 身份验证方式向 Azure 中注册。此安装程序需要 Azure Active Directory Premium 订阅。

可以采用下列方法之一将 Windows 10 设备连接到 Microsoft Azure AD:

  • 首次打开设备电源时在 Azure AD 联接设置过程中在 MDM 中注册。
  • 配置设备后,从“Windows 设置”页面执行 Azure AD 联接过程中在 MDM 中注册。
  • 在个人设备上添加工作帐户时,在 MDM 中作为 Azure AD 加入的一部分注册。

必须先在 Endpoint Management 中配置 Microsoft Azure 服务器,Windows 设备用户才能使用 Azure 进行注册。有关详细信息,请参阅 使用 Azure Active Directory 的单点登录

对于您在 Azure 中注册的 Windows 设备, 可以使用 Windows AutoPilot 来设置和预先配置这些设备。请参阅使用 Windows AutoPilot 设置和配置设备

Windows 批量注册

启用 Windows 批量注册后,可以为 MDM 服务器设置多个不需要重新映像设备就可管理的设备。对 Windows 10 Desktop 和便携式计算机设备的批量注册使用预配软件包。有关信息,请参阅 批量注册 Windows 设备

与 Workspace Environment Management 相集成时的设备管理

使用 Workspace 环境管理 (WEM 说明) 时, 不可能执行 MDM 部署。仅使用 Endpoint Management 时, 您将受到管理 Windows 10 个设备的限制。通过集成这两个, WEM 说明有权访问 MDM 功能, 您可以通过 Endpoint Management 管理范围更广的一系列 Windows 操作系统。该管理采用配置 Windows Gpo 的形式。当前, 管理员将 ADMX 文件导入到 Citrix Endpoint Management, 然后将其推送至 Windows 10 个桌面和平板电脑以配置特定的应用程序。通过使用 Windows GPO 配置设备策略, 可以配置 Gpo 并将更改推送到 WEM 说明服务。然后, WEM 说明代理将 Gpo 应用到设备及其应用程序。

WEM 说明集成不要求 MDM 管理。WEM 说明支持的任何设备都可以将 GPO 配置推送到该设备, 即使 Endpoint Management 未本机支持该设备也是如此。

有关支持的设备的列表, 请参阅操作系统要求

接收 Windows GPO 配置设备策略的设备在名为 WEM 说明的新 Endpoint Management 模式下运行。在已注册的设备的管理 > 设备列表中, wem 说明托管的设备的模式列中列出wem 说明

有关详细信息,请参阅Windows GPO 配置设备策略

配置 Windows 桌面和 Tablet 设备策略

使用这些策略可配置 Endpoint Management 与运行 Windows 10 的桌面和平板电脑设备的交互方式。下表列出了适用于 Windows Desktop 和 Tablet 设备的所有设备策略。

     
应用程序配置 应用程序清单 应用程序锁定
应用程序卸载 应用程序防护 BitLocker
控制操作系统更新 凭据 自定义 XML
Defender Device Guard 设备运行状况证明
Exchange 防火墙 展台
外出 通行码 限制
存储 条款和条件 VPN
Web 剪辑 WiFi Windows 代理
Windows Hello 企业版 Windows GPO 配置 Windows 信息保护

使用 Azure 注册 Windows 桌面和平板电脑设备 Active Directory

  1. 登录 Windows Enterprise edition 计算机。打开设置 > 帐户 > 访问工作单位或学校, 然后单击连接

  2. 设置工作单位或学校帐户其他操作下, 单击将此设备加入 Azure Active Directory

  3. 提供您的 Azure Active Directory 凭据, 然后单击Sign in (登录)。

  4. 接受贵组织所设置的条款和条件。

  5. 单击 “加入” 以继续进行注册过程。

  6. 单击Done (完成) 以完成注册过程。

使用自动发现服务注册 Windows 设备

注意:

SSL 侦听器证书必须是公用证书,才能注册 Windows 设备。自签名 SSL 证书注册失败。

  1. 在设备上,找到并安装所有可用的 Windows 更新。

  2. 在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校

  3. 输入您的企业电子邮件地址,然后轻按继续

    要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如 foo@mydomain.com)。使用不存在的电子邮件地址可以绕过已知 Microsoft 限制, 即 Windows 上的内置设备管理执行注册。在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。设备即会自动发现 Endpoint Management 服务器并开始注册过程。

  4. 输入您的密码。使用与某帐户相关的密码,该帐户应该是 Endpoint Management 中用户组的一部分。

  5. 使用条款对话框中,指明您同意托管自己的设备,然后轻按接受

在不配置自行发现的情况下注册 Windows 设备(仅限测试环境)

生产部署的最佳做法是使用自动发现服务注册 Windows 设备。Citrix 建议仅在测试环境和概念验证部署中注册 Windows 设备而不进行自动发现。没有自动发现服务的注册会导致在连接时调用端口80。

  1. 在设备上,找到并安装所有可用的 Windows 更新。

  2. 在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校

  3. 输入企业电子邮件地址。

  4. 输入服务器地址字段中,键入地址:https://url.cm.cloud.com:8443/zdm/wpe

    如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。

  5. 键入密码。

  6. 使用条款对话框中,指明您同意托管自己的设备,然后轻按接受

安全操作

Windows 10 个桌面和平板电脑支持以下安全操作。有关每个安全操作的说明, 请安全操作参阅。

     
查找 锁定 重新启动
吊销 选择性擦除 擦除