企业办公电脑每隔几年就会更新一次,领到一台新的电脑,大家比较熟悉的流程是约好 IT 工程师的时间,然后让他来为你安装应用软件,设置企业邮箱,配置 WiFi、VPN 等。如果一次更新的电脑数量较多的话,IT 需要忙好几天才能把所有的新系统都配好。有没有更方便的配置方法呢?
Workspace ONE 能够让管理员预先制定各种配置策略,然后快速部署到每一台电脑中,来配置每一台电脑的参数。系统的配置参数和策略被定义在配置文件(profile)中,通过下发配置文件来部署到设备,Windows 10 中有两种类型的配置文件:
- 设备配置文件:所定义的管理策略作用于整个设备,如配置公司的 WiFi、VPN 等;
- 用户配置文件:所定义的管理策略仅作用于特定的用户,如配置用户的企业邮箱等。
Workspace ONE 中能够对 Windows 10 设备进行很多方面的配置,下图是设备配置文件的 Wizard 界面,可以看到能够配置的参数有很多,包括密码策略、WiFi/VPN 接入、系统证书、各种系统限制,防火墙、防病毒、加密、系统更新策略等。
Device Profile 的各种配置
部署一台新的笔记本,传统的方式一般采用刷硬盘镜像的方式,或者是纯手工配置,需要一台一台地做,效率比较低下。通过 Workspace ONE 可以把所要部署的系统配置预先准备成各种配置文件,然后让用户在领用新的笔记本后自动地下载应用配置文件,来完成各种系统配置和软件安装,而不需要任何人工的干预,这不仅提高的 IT 团队的工作效率,也大大提升了使用者的体验和效率。
设备配置文件中的各种操作限制也是带给管理员的一大便利,传统上系统管理员需要运行 gpedit.msc 来设置组策略,通过组策略来控制各种管控行为。Workspace ONE 大大简化了这一操作,只需要在设备配置文件中指定各种操作限制就行了,例如禁止用户访问移动存储设备、禁止安装非 Windows Store 中的应用、浏览器能够访问站点的白名单等等。这些限制都是为了保证企业桌面的可用性,防止因为使用者有意或者无意的操作而使 Windows 不能正常工作。
而且微软的组策略要求用户的设备必须连接在企业的网络中,连接到 Domain Controller 之后才能够把组策略下发到设备。在现实中,很多员工经常在外出差,平时收发邮件也不需要连上 VPN,所以很多重要的安全策略没有被及时下发到员工的电脑。Workspace ONE 的设备配置文件则可以利用任意网络来进行下发,从而可以被及时地调配到每一台设备上。
Device Profile 中的各种限制
Workspace ONE 的设备配置文件中还有应用控制(Application Control),管理员可以利用这个功能来控制办公电脑上的软件黑名单(或白名单),例如在办公电脑上不允许运行视频和游戏类软件,用户如果要打开这类软件的话,就会看到以下的提示。
Workspace ONE 代表了一种新的设备管理方法——UEM(Unified EndPoint Management), 跟 System Center 所代表的传统电脑管理方法相比更适合现代移动-云计算的模式,方法有以下几个方面的优点:
- 加速工作空间就绪:管理员把相关的系统配置(包括 WiFi、用户组)预先定义成配置文件,也可以针对一组用户指定要安装的应用软件,并且在系统中定义文件关联,为这组用户指定桌面壁纸、URL 书签等定制化工作环境。所有的这些配置可以批量地部署到一批指定的设备。
- 开箱即用的体验:用户拿到新的笔记本后,第一次登录 Windows 系统,Workspace ONE 就会根据当前的用户身份来快速配置该用户的工作空间,而不需要任何人工干预,经过几分钟的自动调配,用户就可以拥有属于自己的工作环境。
- 不依赖于 Windows Domain:传统的 Windows 管理方案要用电脑加入 Windows Domain 来完成设备纳管,很多管理功能只能针对加入域的电脑才有效。 Windows 10 在 Workspace ONE 的配合下解除了这种限制,用户可以通过任何网络(公司或非公司网络)来完成设备的注册准备工作,不再需要加入公司的 Domain 或连接公司的网络。
- 批量部署:有时候因为某个项目需要批量部署一批设备,或者是对员工的电脑进行批量更新。在新的 UEM 管理模式下能够批量调配一组设备,系统配置一旦有所变化,只要增加或修改某些配置文件就可以实现所有相关设备的修改。
