Windows Desktop 和 Tablet

要在 Endpoint Management 中管理 Windows 10 桌面和平板电脑设备,必须配置 Citrix 自动发现服务。请参阅 准备注册设备并交付资源

注册配置文件确定 Windows 10 设备是否在 MDM 中注册,用户可选择退出 MDM。

Endpoint Management 支持在 MDM 中注册的 Windows 桌面和平板电脑设备的以下身份验证类型。有关信息,请参阅证书和身份验证部分中的文章。

  • 域加安全令牌
  • 客户端证书
  • 客户端证书加域
  • 身份提供程序:
    • Azure Active Directory
    • Citrix 身份提供程序

启动 Windows 10 桌面和平板电脑设备管理的常规工作流如下所示:

  1. 完成入门流程。请参阅载入和资源设置准备注册设备并交付资源

  2. 选择并配置注册方法。请参阅支持的注册方法

  3. 配置 Windows 桌面和平板电脑设备策略

  4. 使用 Azure Active Directory 注册 Windows 桌面和平板电脑设备

  5. 设置设备和应用程序的安全操作。请参阅 安全操作

有关支持的操作系统,请参阅支持的设备操作系统

支持的注册方法

注册配置文件确定 Windows 10 设备是否在 MDM 中注册,用户可选择退出 MDM。

如果 Endpoint Management 启用了工作空间,则还可以选择允许设备通过工作空间应用进行注册。 在这种情况下,当用户安装 Workspace 应用程序和取消注册的用户安装本机应用程序时,将显示注册提示。

若要配置 Windows 10 设备的注册设置,请转到配置 > 注册配置文件 > Windows

面向 Windows 的注册配置文件页面

有关注册配置文件的更多信息,请参阅注册配置文件

下表列出了 Endpoint Management 支持 Windows 10 设备的注册方法:

方法 支持
Azure Active Directory 注册
Windows 批量注册
手动注册
注册邀请

Azure 注册

运行 Windows 10 Enterprise 的设备可以通过联合 Active Directory 身份验证方式向 Azure 中注册。此设置需要 Azure Active Directory 高级订阅。

可以采用下列方法之一将 Windows 10 设备连接到 Microsoft Azure AD:

  • 首次打开设备电源时在 Azure AD 联接设置过程中在 MDM 中注册。
  • 配置设备后,从“Windows 设置”页面执行 Azure AD 联接过程中在 MDM 中注册。
  • 在个人设备上添加工作帐户时,在 MDM 中作为 Azure AD 加入的一部分注册。

必须先在 Endpoint Management 中配置 Microsoft Azure 服务器,Windows 设备用户才能使用 Azure 进行注册。有关详细信息,请参阅 使用 Azure Active Directory 进行单点登录

对于通过 Azure 注册的 Windows 设备,可以使用 Windows AutoPilot 来设置和预配置设备。请参阅 使用 Windows AutoPilot 设置和配置设备

Windows 批量注册

启用 Windows 批量注册后,可以为 MDM 服务器设置多个不需要重新映像设备就可管理的设备。对 Windows 10 Desktop 和便携式计算机设备的批量注册使用预配软件包。有关信息,请参阅 Windows 设备的批量注册

与 Workspace Environment Management 相集成时的设备管理

仅使用 Workspace Environment Management (WEM),MDM 部署是不可能的。仅使用 Endpoint Management,您只能管理 Windows 10 设备。通过集成两者,WEM 可以访问 MDM 功能,并且可以通过 Endpoint Management 管理管理更广泛的 Windows 操作系统。该管理采取配置 Windows GPO 的形式。目前,管理员将 ADMX 文件导入 Citrix Endpoint Management,并将其推送到 Windows 10 Desktop 和 Tablet 以配置特定应用程序。使用 Windows GPO 配置设备策略,可以配置 GPO 并将更改推送到 WEM 服务。然后,WEM 代理将 GPO 应用到设备及其应用程序。

MDM 管理不是 WEM 集成的要求。WEM 支持的任何设备都可以向其推送 GPO 配置,即使 Endpoint Management 本身不支持该设备亦如此。

有关支持的设备列表,请参阅操作系统要求

接收 Windows GPO 配置设备策略的设备在名为 WEM 的新 Endpoint Management 模式下运行。在已注册设备的管理 > 设备列表中,WEM 管理的设备的模式列中列出了 WEM

有关详细信息,请参阅Windows GPO 配置设备策略

配置 Windows 桌面和平板电脑设备策略

使用这些策略配置 Endpoint Management 如何与运行 Windows 10 的桌面和平板电脑设备进行交互。此表列出了适用于 Windows 桌面和平板电脑设备的所有设备策略。

     
应用程序配置 应用程序清单 应用程序锁定
应用程序卸载 应用程序防护 BitLocker
控制操作系统更新 凭据 自定义 XML
Defender Device Guard 设备运行状况证明
Exchange 防火墙 是否需要 Kiosk
办公网络 通行码 限制
存储 条款和条件 VPN
Web 剪辑 Wi-Fi Windows 代理
Windows Hello 企业版 Windows GPO 配置 Windows 信息保护

使用 Azure Active Directory 注册 Windows 桌面和平板电脑设备

  1. 登录到 Windows 企业版计算机。打开设置 > 帐户 > 访问工作或学校,然后单击连接

  2. 设置工作或学校帐户备选操作下,单击将此设备加入 Azure Active Directory

  3. 提供 Azure Active Directory 凭据,然后单击登录

  4. 接受您的组织设定的条款和条件。

  5. 单击加入继续注册流程。

  6. 单击完成以完成注册过程。

使用自动发现服务注册 Windows 设备

注意:

SSL 侦听器证书必须是公用证书,才能注册 Windows 设备。自签名 SSL 证书的注册失败。

  1. 在设备上,找到并安装所有可用的 Windows 更新。

  2. 在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校

  3. 输入您的企业电子邮件地址,然后轻按继续

    要注册为本地用户,请输入带有正确域名的不存在的电子邮件地址(例如 foo@mydomain.com)。该步骤允许你绕过 Windows 上的内置设备管理执行注册的已知 Microsoft 限制。在正在连接到服务对话框中,输入与本地用户关联的用户名和密码。然后,设备发现 Endpoint Management 服务器并启动注册过程。

  4. 请输入您的密码。使用与某帐户相关的密码,该帐户应该是 Endpoint Management 中用户组的一部分。

  5. 使用条款对话框中,指明您同意托管自己的设备,然后轻按接受

在不配置自行发现的情况下注册 Windows 设备(仅限测试环境)

生产部署的最佳做法是使用自动发现服务注册 Windows 设备。Citrix 建议仅在测试环境和概念验证部署中注册没有自我发现的 Windows 设备。没有自动发现服务的注册会导致连接时调用端口 80。

  1. 在设备上,找到并安装所有可用的 Windows 更新。

  2. 在超级按钮菜单中,轻按设置,然后轻按帐户 > 访问工作单位或学校 > 连接到工作单位或学校

  3. 输入企业电子邮件地址。

  4. 在“输入服务器地址”字段中,键入地址:

    • 商业用途:https://url.xm.cloud.com:8443/zdm/wpe
    • 对于政府:https://url.cem.cloud.us:8443/zdm/wpe

    如果用于未经身份验证 SSL 连接的端口不是 8443,请使用相应的端口号替换此地址中的 8443。

  5. 键入密码。

  6. 使用条款对话框中,指明您同意托管自己的设备,然后轻按接受

安全操作

Windows 10 台式机和平板电脑支持以下安全操作。有关每个安全操作的说明,请参阅安全操作

     
查找 锁定 重新启动
吊销 选择性擦除 擦除

BitLocker 恢复密钥

使用 BitLocker 加密磁盘是一项有用的安全功能。但是,如果用户丢失了 BitLocker 恢复密钥,解锁设备可能是一个挑战。Endpoint Management 现在可以自动安全地为用户保存 BitLocker 恢复密钥。用户可以在自助门户上找到他们的 BitLocker 恢复密钥。要启用和查找 BitLocker 恢复密钥,请执行以下操作:

  1. 在 Endpoint Management 控制台中,导航到设置 > 服务器属性
  2. 搜索 shp 并启用 shp.console.enable 功能。确保 enable.new.shp 保持禁用状态。有关启用自助门户的更多信息,请参阅配置注册模式
  3. 导航到配置 > 设备策略。找到您的 BitLocker 策略或创建一个,并启用 BitLocker 恢复备份到 Endpoint Management 设置。

解锁设备时,最终用户会看到一条消息,要求他们输入密钥。该消息还显示恢复密钥 ID。

BitLocker 恢复消息

要查找其 BitLocker 恢复密钥,用户可以导航到自助门户。

  1. 常规详细信息下,请参阅 BitLocker 恢复数据
    • 恢复密钥 ID: 用于加密磁盘的 BitLocker 恢复密钥的标识符。此 ID 必须与之前消息中给出的密钥 ID 匹配。
    • 恢复密钥: 用户必须输入才能解锁其磁盘的密钥。在解锁提示符处输入此密钥。 自助门户上的 BitLocker 恢复密钥

有关 BitLocker 设备策略的详细信息,请参阅 BitLocker 设备策略