microsoft 用于消费化的技术download.microsoft.com/documents/china/consumerization...microsoft...
TRANSCRIPT
Microsoft 用于消费化的技术
发布日期:2011 年 4 月 19 日
工作场所正在发生变化。工作和个人生活之间的界限正在变得模糊。工作场所不再局限于办公室内。员工晚上在家查收工作电子邮件,白天在
办公室更新他们的社交媒体。除了台式机,他们还使用便携式计算机、平板电脑和智能手机。
许多设备都具备了更强的计算能力,这是推动上述趋势的因素之一。智能手机和多媒体平板电脑等消费类设备也具有足够的能力来运行先前仅
限于台式机和便携式计算机的应用程序。对于许多工作人员而言,这些设备代表着计算的未来,并能帮助他们提高工作效率。
如今,一个严格管理的信息技术 (IT) 基础结构看起来很不灵活,工作人员更愿意使用许多可用的消费类设备。IT 面临的挑战是适当地接受消费
化,同时将企业及其数据的风险降到最低。许多消费类设备起初并非用于业务,所以 IT 必须仔细规划以达到企业要求的管理和控制水平。
作为企业技术和消费类技术的行业领先者,Microsoft 独一无二的行业地位使我们能够了解消费化,并能引导企业以负责任的方式接受消费化。
在之前出版的白皮书消费化接受策略中,您将了解有关接受最新消费化趋势的特定策略。本文将探讨该白皮书在其各种方案中推荐的特定技术。
本文内容:
Windows 桌面优化
Windows 云服务
Microsoft 应用程序虚拟化
虚拟桌面基础结构
选择适合的技术
智能手机和移动操作系统支持
结论
Windows Optimized Desktop
Windows Cloud Services
Microsoft Application Virtualization
Virtual Desktop Infrastructure
Choosing the Right Technologies
Smartphones and Mobile OS Support
Conclusion
Windows 桌面优化
Windows 桌面优化提供多种客户端计算选择,可提高用户的工作效率,同时满足特定的企业和 IT 需求。Windows 桌面优化采用 Windows 7
企业版操作系统,由 Microsoft System Center 管理,并由 Microsoft Forefront Endpoint Protection 保护安全,它包含虚拟化技术以及跨物理
机和虚拟机 (VM)(包括虚拟桌面基础结构)的集成管理。添加 Microsoft Office 2010、Windows Internet Explorer 9 和 Microsoft Desktop
Optimization Pack (MDOP),以提高员工的工作效率、可管理性和安全性。
本节重点探讨 Windows 桌面优化中的特定技术,这些技术将有助于 IT 接受与各种运行 Windows 7 的设备有关的消费化。这些技术可以应对
各种挑战,例如,在消费化方案中管理应用程序和用户数据、保护数据、保护网络以及保护知识产权。
应用程序管理
在消费化方案中,应用程序管理包括提供应用程序和控制用户可在其计算机上运行哪些应用程序。System Center Configuration Manager 2007
和 Microsoft Application Virtualization (App-V) 是主要的部署技术。此外,AppLocker 是 Windows 7 企业版的一个功能,您可以使用此功能
控制对应用程序的访问。
Configuration Manager 提供大量的工具和资源,您可以使用这些工具和资源来管理企业中的复杂任务,例如,创建、修改以及将应用程序包
分发给计算机。通过使用现有 Configuration Manager 基础结构,可以非常轻松地部署应用程序。TechNet 上的软件分发管理员工作流详细介
绍了此过程:
1. 创建包含应用程序安装文件的软件分发包。
2. 创建包中的程序。在其他选择中,此程序确定安装应用程序包所需的命令。
3. 将包分发给分发点。
4. 将包发布到组织中的计算机。
使用 System Center Essentials 的组织也可以用它来分发应用程序。有关 Essentials 的详细信息,请参阅 System Center Essentials。有关部署
应用程序的技术指导也可在 System Center Essentials 2010 操作指南中找到。
Windows 7 企业版提供 AppLocker 以控制对物理或虚拟应用程序的访问。AppLocker 是一种新功能,它取代了较早 Windows 版本中的软件限
制策略功能。它新增了一些功能,这些功能可降低管理开销和帮助控制用户对程序文件、脚本和 Windows Installer 文件的访问。通过使用
AppLocker 控制对物理应用程序的访问,您可以阻止未经许可的、恶意的和未经授权的应用程序运行。
要使用 AppLocker,您需要创建组策略对象 (GPO),然后在其中定义 AppLocker 规则。在规则中,您可以允许或拒绝某个特定用户或组对程
序文件、脚本或 Windows Installer 文件的访问。从数字签名处基于文件属性(包括发行者、产品名称、文件名称以及文件版本)识别文件。
例如,您可以基于在各更新中保持不变的产品名称和文件版本属性创建规则,或者您也可以创建以文件的某个特定版本为目标的规则。除了可
以允许或拒绝对某个文件的访问之外,您还可以定义例外情况。例如,您可以创建一个规则,允许运行所有作为 Windows 7 一部分提供的程
序,但注册表编辑器 (regedit.exe) 除外。
AppLocker 极易配置和部署。它提供向导,使程序文件、脚本和 Windows Installer 文件的规则定义简单明了。然而,由于 AppLocker 阻止用
户打开或运行未在规则中明确定义的文件,您应该先研究环境中使用的应用程序的清单,然后再规划 AppLocker 部署。有关 AppLocker 的详
细信息,请参阅 TechNet 上的 AppLocker。
用户状态虚拟化
接受消费化的一个特定挑战是人们不止在一台计算机上工作。这种情形对于最终用户和 IT 专业人员来说可能都是痛苦的。当用户从一台计算
机漫游至另一台计算机时,他们的文件和设置并不会跟着他们走。例如,如果用户在自己的工作计算机上创建了一个文档,然后登录平板电脑
或通过非 Windows PC 访问虚拟机,该文档并不会立即可用。对于 IT,分散存储的文件和设置则带来更多挑战。备份文件不是一件轻而易举
的事情。很难保护这些文件的安全。并且由于它们散布于许多 PC 上,所以很难管理重要文件的可用性。
用户状态虚拟化解决了这些难题。它集中存储用户的文件和设置,以使备份和安全保护更容易进行。可以管理重要文件的可用性。此外,用户
状态虚拟化使用户的文件和设置跟随他们从一台 PC 到另一台 PC,甚至是到虚拟机。在 Windows 7 中,有三种技术支持用户状态虚拟化:
漫游用户配置文件 使您能够在网络共享中存储用户配置文件(即,存储在 C:\Users\用户名 中的文件,包括注册表配置单元文件)。
当用户登录计算机并注销计算机后,Windows 7 会同步本地和远程用户配置文件。有关详细信息,请参阅 What's New in Folder
Redirection and User Profiles。
文件夹重定向 可重定向文件夹,例如,将文档、图片和视频从用户配置文件重定向到网络共享。重定向文件夹降低了漫游用户配置文
件的大小,可以提高登录和注销性能。您可使用组策略来配置文件夹重定向。漫游用户配置文件与文件夹重定向之间的一个重要区别
是,漫游用户配置文件主要是用于设置,而文件夹重定向则是用于文档。有关详细信息,请参阅 What's New in Folder Redirection
and User Profiles。
脱机文件,Windows 7 中默认启用的功能,通过本地缓存副本,在断开网络连接时,使人们还能够使用重定向的文件夹和其他共享的
网络内容。下一次连接可用时,脱机文件将同步更改。有关详细信息,请参阅 What's New in Offline Files。
Infrastructure Planning and Design: Windows User State Virtualization 指南可以帮助您实现用户状态虚拟化。
本地数据安全性
BitLocker 驱动器加密是 Windows 7 企业版中的一种整体安全性功能,它有助于保护存储在固定驱动器和操作系统驱动器上的数据。BitLocker
有助于防止脱机攻击,脱机攻击指的是通过禁用或避开安装的操作系统或者物理删除硬盘驱动器以单独攻击数据而进行的攻击。BitLocker 可
帮助确保仅当用户拥有所需的密码、智能卡凭据或者他们在一台有正确密钥的受 BitLocker 保护的计算机上使用数据驱动器时,用户可以读取
驱动器上的数据以及将数据写入驱动器。
操作系统驱动器上的 BitLocker 保护支持使用受信任的平台模块 (TPM) 与个人标识号 (PIN) 或启动密钥支持双因素身份验证,同时支持将密钥
存储在 USB 闪存驱动器上或仅使用 TPM 来支持单因素身份验证。将 BitLocker 与 TPM 配合使用可提供增强的数据保护并帮助确保早期启动组
件的完整性。此选项要求计算机具有兼容的 TPM 微型芯片和 BIOS:
兼容的 TPM 定义为 TPM 1.2 版。
兼容的 BIOS 必须支持由受信任的计算组定义的 TPM 和可信测量的静态根。有关 TPM 规范的详细信息,请访问 Trusted Computing
Group 网站的“TPM 规范”部分。
TPM 与 BitLocker 操作系统驱动器保护进行交互可帮助在系统启动时提供保护。这对用户是不可见的,用户登录体验不会改变。然而,如果启
动信息已更改,BitLocker 将进入恢复模式,用户将需要恢复密码或恢复密钥才能重新访问数据。
BitLocker 驱动器加密部署指南(针对 Windows 7)提供了详细的 BitLocker 部署指导。此外,有大量的组策略设置可用于管理 BitLocker。您
可以在 BitLocker 组策略参考中了解这些内容。您可以在部署过程中使用 Microsoft 部署工具包 (MDT) 2010 或 Configuration Manager 来设置
BitLocker。有关详细信息,请参阅 MDT 2010 文档。
Windows 7 家庭高级版和 Windows 7 专业版不包括 BitLocker。如果允许员工使用运行这些操作系统的设备,您可以使用加密文件系统 (EFS)
帮助保护这些计算机上的公司数据。然而,EFS 不像 BitLocker 一样提供全卷加密。用户需要选择要加密的文件夹和文件。有关 Windows 7 中
EFS 的详细信息,请参阅 The Encrypting File System。
注意:运行 Windows 7 家庭高级版或 Windows 7 专业版的用户可以使用 Windows Anytime Upgrade 将这些版本升级至 Windows 7 旗舰版,
但需要支付一定的费用。升级后的版本将提供 BitLocker。有关 Windows Anytime Upgrade 的详细信息,请参阅 Windows 7 升级密钥产品包。
可移动存储
在 Windows 7 企业版中,BitLocker To Go 将 BitLocker 扩展至便携式驱动器,例如 USB 闪存驱动器。用户可以使用密码或智能卡对便携式驱
动器进行加密。经授权的用户使用 BitLocker To Go Reader,可以在任何一台运行 Windows 7、Windows Vista 或 Windows XP 的 PC 上查看
信息。此外,通过使用组策略,您还可以对写入任何可移动存储设备的操作设置数据保护,并且使未受保护的存储设备以只读模式使用。
BitLocker 驱动器加密部署指南(针对 Windows 7)提供了有关使用 BitLocker To Go 的详细指导。此外,BitLocker 组策略参考描述了大量可
用于管理 BitLocker To Go 的组策略设置。
备份
Windows 7 备份和恢复功能可以为用户最重要的个人文件创建安全副本。他们可以按照最适合他们的安排让 Windows 选择要备份的内容或选
取单个文件夹、库和驱动器进行备份。Windows 支持备份到其他驱动器或 DVD。Windows 7 专业版、Windows 7 旗舰版和 Windows 7 企业版
也支持将文件备份到网络位置。
Windows 7 提供了用户可在其自己的设备上使用的内置备份功能,而 System Center Data Protection Manager (DPM) 2010 则使组织能够创建
一个双层备份解决方案,这一方案将短期备份磁盘(大多数恢复要求集中于此)的便利性和可靠性与长期存档磁带或其他可移动媒体的安全性
相结合。此双层系统可帮助缓解与磁带备份解决方案相关的问题,同时仍支持对长期场外档案的维护。
DPM 2010 对消费化方案很重要,它添加了对保护客户端计算机的支持,例如,笔记本电脑和平板电脑,这些计算机并不总是与网络相连接。
此外,用户可以不用等待备份管理员就可恢复自己的数据。您可在 System Center Data Protection Manager 2010 中了解有关 DPM 2010 的详
细信息。
网络访问
Forefront Unified Access Gateway (UAG) 向远程客户端端点提供了通过网站访问公司应用程序、网络和内部资源的权限。客户端端点不仅包括
运行 Windows 的计算机,还包括其他非 Windows 设备。它支持以下解决方案:
Forefront UAG 作为发布服务器。您可以配置 Forefront UAG 以发布公司应用程序和资源,并使远程用户能够从各个范围内的端点和
位置以受控的方式访问这些应用程序。
Forefront UAG 作为 DirectAccess 服务器。您可以将 Forefront UAG 配置为一个 DirectAccess 服务器,将 DirectAccess 的优势扩展到
整个基础结构,从而增强可伸缩性并简化部署和行进中管理。Forefront UAG DirectAccess 向可以访问 Internet 的用户提供了一种无
缝连接至内部网络的体验。有关内部资源的请求将安全定向至内部网络,而无需 VPN 连接。
单个或多个服务器部署。您可以将单个服务器配置为发布服务器和 Forefront UAG DirectAccess 服务器,或者部署一系列服务器,
以实现可伸缩性和高可用性。
TechNet 上的 Infrastructure Planning and Design: Forefront Unified Access Gateway 提供了设计 Forefront UAG 部署的指导。有关技术指导的
其他详细信息,请参阅 TechNet 上的 Forefront Unified Access Gateway (UAG)。
网络安全
网络访问保护 (NAP) 包括客户端和服务器组件,这些组件允许创建和执行健康要求策略,这些策略定义了计算机连接至网络所需的软件和系
统配置。NAP 执行健康要求以获得不受限制的网络访问,方法是调查和评估客户端计算机的健康,在客户端计算机不合规时限制网络访问,
以及修补不合规的客户端计算机。NAP 对尝试连接至网络的客户端计算机执行健康要求。当一台合规的客户端计算机连接至网络时,NAP 也
可以提供持续健康合规性的强制执行。
当客户端计算机尝试通过网络访问服务器(如运行路由和远程访问 (RRAS) 的虚拟专用网络 (VPN) 服务器)访问网络时,或当客户端尝试与其
他网络资源通信时,会发生 NAP 强制执行。执行 NAP 的方式取决于您所选择的强制执行方法。NAP 针对以下方面执行健康要求:
受 Internet 协议安全 (IPsec) 保护的通信
经过电气和电子工程师协会 (IEEE) 802.1X 身份验证的连接
VPN 连接
动态主机配置协议 (DHCP) 配置
终端服务网关(TS 网关)连接
Network Access Protection Design Guide 可以帮助您设计 NAP 部署。Network Access Protection Deployment Guide 提供了针对上述方案的
详细技术指导。
在 Configuration Manager 中,NAP 使您的系统健康要求包括软件更新。Configuration Manager NAP 策略定义了要包括的软件更新,同时
Configuration Manager 系统健康验证程序点将客户端的合规或不合规健康状态传送至网络策略服务器 (NPS)。然后,NPS 确定客户端是否有
完全的或受限的网络访问权限,以及是否通过修补将不合规的客户端变为合规客户端。有关 Configuration Manager 中 NAP 的详细信息,请
参阅 Configuration Manager 中的网络访问保护。
信息保护
如果您接受消费化,则除了保护本地数据和网络访问外,保护对业务信息(例如,知识产权)的访问也很重要。有两种技术可用于保护此类
信息:
权限管理服务。借助 Active Directory Rights Management Services (AD RMS) 和 AD RMS 客户端,您可以通过持续的使用策略来保护
信息(不管信息移动至何处,这些策略都属于该信息),从而增强组织的安全策略。您可以使用 AD RMS 来帮助防止敏感信息(例如,
财务报表、产品规格、客户数据和机密电子邮件)有意或无意地落入不法分子之手。Microsoft Exchange Server 2010 和 Microsoft
Office SharePoint Server 2010 是与 AD RMS 集成的应用程序的示例。您可在 Active Directory Rights Management Services 中了解有
关 AD RMS 的详细信息。
文件分类基础结构。为降低与此类数据管理相关的成本和风险,Windows Server 2008 R2 中的文件分类基础结构提供了一个平台,
该平台允许对文件进行分类并基于此分类应用策略。数据管理要求不会影响存储布局,并且您可以更容易地适应这种不断变化的业务
和监管环境。可以采用多种方式对文件进行分类。此外,您可以基于文件分类指定文件管理策略,且可以基于业务价值自动应用公司
对管理数据的要求。您可以轻松修改策略并使用支持分类的工具来管理文件。例如,您可以自动管理对包含机密 一词的文件的权限。
有关文件分类基础结构的详细信息,请参阅使用文件分类。
Windows 云服务
对于没有支持 Windows 桌面优化的资源或基础结构的组织,Windows Intune 可帮助传递管理和安全基础。已部署 Windows 桌面优化的组织
可以使用 Windows Intune(图 1)来管理少量不受管理的计算机(家庭办公计算机和运行 Windows 的工作消费类设备)。
图 1 Windows Intune
Windows Intune 结合了 Windows 云服务和升级许可,有助于管理环境中的计算机并保护其安全。Windows Intune 通过单一的基于 Web 的管
理控制台传送基于云的管理和安全功能。您可以使用 Windows Intune 从几乎任何地方管理计算机,仅仅需要连接 Internet 并在每台受管理的
计算机上安装 Windows Intune。此外,通过一个活动的 Windows Intune 订阅,您即可拥有升级至 Windows 未来版本的权限,并享有相同的
针对 Windows 的 Microsoft 软件保障计划权益。
Windows Intune 管理员控制台将管理任务划分到下列工作区,您可以从几乎任何一个支持 Microsoft Silverlight 的浏览器上管理这些工作区:
系统概览。系统概览工作区提供了评估组织中计算机整体健康状况、识别问题和执行基本管理任务(例如,创建计算机组和查看报告)
的起点。
计算机。使用计算机工作区创建和管理计算机组,可以实现轻松和灵活的管理。能够以最适合组织需要的方式组织计算机组(例如,
根据地理位置、部门或硬件特点)并在组之间移动计算机。
更新。使用更新工作区可以有效管理组织中所有受管理计算机的软件更新过程。Windows Intune 管理员控制台支持并鼓励更新管理的
最佳方法,使您集中于您所在的环境以及需要执行的任务。
端点保护。Windows Intune Endpoint Protection 提供针对潜在威胁的实时保护,保持恶意软件的定义最新以及自动运行扫描,从而增
强受管理计算机的安全。Windows Intune 管理员控制台提供“端点保护”状态摘要,因此,如果在受管理计算机上检测到恶意软件或
者某台计算机未保护,您就可以快速地识别受影响的计算机并采取相应的行动。
警报。使用警报工作区可以快速评估组织中受管理计算机的整体健康状况。警报让您识别潜在的或当前的问题并相应地采取行动,从
而防止对业务运作造成负面影响或将该影响降到最低。例如,您可以查看最近的所有警报以了解计算机的整体健康状况。或者您可能
希望调查发生在特定计算机组成员上或特定工作区(例如端点保护)的特定问题。您可以使用过滤器查看属于某个特定严重级别的所
有警报,并且可以显示活动的或已关闭的警报。
软件。软件工作区列出了在所有使用 Windows Intune 进行管理的客户端计算机上安装的程序,并且让您可以通过软件发行者、名称、
安装计数或类别对库存进行分类。每个唯一的软件标题在列表中都有自己的条目。您也可以搜索特定软件。
许可证。许可证工作区让您可以将 Microsoft 软件许可条款信息上载至 Microsoft 批量许可服务 (MVLS),并确定对应于一组 Microsoft
批量许可协议的许可证授权。
策略。您可以使用策略工作区来在计算机上配置用于管理更新设置、端点保护、Windows 防火墙和 Windows Intune 中心的 Windows
Intune 策略。可以基于模板创建策略,配置策略设置,然后将策略部署到计算机组。策略模板包括设置描述和推荐值。此外,您可以
通过名称或描述搜索策略。
报告。尽管 Windows Intune 管理员控制台中的其他工作区也提供搜索和过滤功能,但您可以使用报告工作区获取更详细的报告并打印
或导出信息。报告工作区提供了关于更新、软件和许可的报告。例如,许可证调整报告提供了与许可证相比较的软件详细列表。
管理。管理工作区让您可以下载最新版本的客户端软件,查看 Windows Intune 帐户的详细信息(例如,帐户名称、状态和活动座位计
数),以及向帐户添加管理员。您也可以使用管理工作区中的工具配置某类更新,您希望将此类更新部署到组织中的受管理计算机,
并在出现特定警报时向组织中的其他人发送电子邮件通知。此外,您可以启用或禁用某个特定类型的警报,以使您可以集中于环境中
最重要的警报。
远程协助警报提供了一个关键工具,用以对出现在受管理计算机上的问题进行故障排除。受管理计算机上的用户可以发起远程协助请求,这将
生成一个警报。当您查看 Windows Intune 管理员控制台中的警报时,可以接受该请求。接受该请求将打开一个 Microsoft Easy Assist 会话,
这样您就可以在用户计算机上执行远程故障排除。
Windows Intune 也为 Windows 7 企业版升级权限提供了软件保障。使用 Windows Intune 提供的升级权限,您可以升级任何由 Windows
Intune 管理的计算机以及符合 Windows 7 企业版最低 Windows 7 系统要求的计算机。Windows Intune 也提供了针对 Windows 的 Microsoft
软件保障计划的所有权益,包括:
新版本权限
通过软件保障获得的 TechNet 权益
扩展的修补程序支持
全天候问题解决支持
员工购买计划
远程学习
培训凭单
您可以在 Windows Intune 网站上了解有关 Windows Intune 的详细信息。Windows Intune TechCenter 也提供了有关 Windows Intune 的技术
信息。
应用程序虚拟化
以流式将虚拟应用程序作为网络服务传输至计算机。它们在系统上不留痕迹且易于更新。它们也是独立的,这有助于防止个人和业务应用程序
之间出现冲突,这类冲突可能会导致停机且需要支持团队的干预。
App-V(包含在 MDOP 中)支持虚拟应用程序的打包、部署和管理。App-V 可以向最终用户计算机提供应用程序,而无需在这些计算机上直
接安装应用程序。可以通过称为排列应用程序顺序的一个进程完成该过程,从而使客户端计算机上的每个应用程序能够在其独立的虚拟环境中
运行。已编序的应用程序彼此之间是孤立的。此方案消除了应用程序冲突,但应用程序仍然可以与客户端计算机交互。
将应用程序发布至计算机后,最终用户可以通过 App-V 客户端功能与应用程序进行交互。客户端管理虚拟环境,在此环境中,虚拟化应用程
序在每台计算机上运行。在一台计算机上安装客户端后,必须通过一个称为发布的进程向该计算机提供应用程序,从而使最终用户能够运行虚
拟应用程序。发布进程会将虚拟应用程序图标和快捷方式复制到计算机(通常位于 Windows 桌面上或“开始”菜单上),还会将包定义信息
和文件类型关联信息复制到计算机。发布进程也会向最终用户的计算机提供应用程序包内容。
可以将虚拟应用程序包内容复制到一个或多个 App-V 服务器,以使它们按需要流入客户端并进行本地缓存。也可以将文件服务器和 Web 服务
器用作流式服务器,或者可以将内容直接复制到最终用户的计算机。在多服务器实施中,在所有流式服务器上,维护包内容并使其最新需要综
合包管理解决方案。根据组织的规模,您可能需要向世界各地的最终用户提供许多虚拟应用程序。当用户随时随地需要访问应用程序时,要确
保向所有用户提供适当的应用程序,因此管理包是个很重要的要求。
组件
如图 2 所示,App-V 的主要组件为:
客户端。客户端提供并管理客户端 PC 上的虚拟环境。它管理缓存、发布更新、传输和所有与 App-V 服务器的交互。
数据存储。数据存储是一个 Microsoft SQL Server 数据库,负责存储与 App-V 基础结构相关的所有信息。此类信息包括所有应用程序
记录、应用程序分配和负责管理 App-V 环境的组。
管理控制台。管理控制台是 Microsoft 管理控制台 (MMC) 3.0 的一个管理单元,用于管理 App-V 基础结构。您可以将此工具安装在
App-V 服务器或独立的 PC 上。
管理服务器。管理服务器负责流式处理包内容并将快捷方式和文件类型关联信息发布至客户端。它支持主动升级、许可证管理以及可
用于报告的数据库。
管理 Web 服务。管理 Web 服务将读取和写入请求传送至数据存储。您可以在管理服务器或已安装 Microsoft Internet 信息服务 (IIS) 的
独立 PC 上安装管理 Web 服务。
排序器。排序器用于监视以及捕获应用程序的安装以创建虚拟应用程序包。输出包含应用程序的图标、一个包含包定义信息的 .osd 文
件、一个包清单文件和一个包含应用程序的内容文件的 .sft 文件。
流式服务器。流式服务器负责托管 App-V 包以流入分支机构中的客户端,此处返回至管理服务器的链接速度较慢。此类服务器仅包含
流式处理功能,不提供管理控制台和管理 Web 服务。
内容文件夹。内容文件夹包含可进行流式处理的 App-V 包。您可以将此文件夹定位在管理服务器或其他地方的共享上。
图 2 应用程序虚拟化
App-V 4.6 是产品的最新版本。您可以使用 App-V 4.6 排序并运行 Windows 7 64 位版本上的 32 位和 64 位的应用程序。它支持新的 Windows
7 功能,例如,任务栏、跳转列表、AppLocker、BranchCache 以及 BitLocker To Go。App-V 4.6 添加了对其他 12 种语言的支持。为了支持
Microsoft 虚拟桌面基础结构 (VDI),App-V 4.6 为只读共享缓存提供了可帮助优化服务器磁盘存储的功能。最后,App-V 4.6 提高了排序体验
并提供了对 32 位和 64 位应用程序进行排序的支持。您可以在 Microsoft Desktop Optimization Pack 网站中了解有关 App-V 的详细信息。有
关详细的技术信息,请参阅 TechNet 上的 Application Virtualization。
注意:Citrix XenApp 是一种 Microsoft 合作伙伴解决方案,它将对传统虚拟应用程序和 App-V 虚拟应用程序的支持延伸到多种设备,包括智能
手机和其他非 Windows 设备。Citrix XenApp 提供按需应用程序交付,可以对数据中心内几乎所有的应用程序进行虚拟化、集中化和管理。您
可以使用 XenApp 对数据中心内的应用程序进行集中化,对数据和应用程序的访问进行控制和加密,并立即向几乎任何地方的用户提供应用程
序。有关 Citrix XenApp 的详细信息,请参阅 Citrix XenApp 网站。此外,文章“How to publish an App-V-enabled application in Citrix XenApp”
描述了如何使用 XenApp 发布 App-V 应用程序。
System Center Configuration Manager 2007
Configuration Manager 使 IT 专业人员能够在单个管理体验中部署、升级和追踪物理和虚拟应用程序的使用。通过将虚拟应用程序格式无缝集
成到 Configuration Manager 软件分发功能,IT 专业人员可以遵循已知进程和工作流程将虚拟应用程序提供给最终用户。这使 IT 能够更快地提
供应用程序,同时隔离存在潜在冲突的应用程序,以防彼此妨碍。Configuration Manager 与 App-V 的集成提供了额外的可伸缩性,同时还使
得 IT 能够使用现有分发点来流式处理虚拟应用程序,消除了对独立 App-V 基础结构的需求。使用 Configuration Manager 可以将虚拟应用程
序提供给计算机或用户。管理员可以清点虚拟应用程序存货,并提供作为操作系统部署任务序列一部分的虚拟应用程序。
Configuration Manager 与现有 Configuration Manager 基础结构(其已提供传统的应用程序和更新等)集成,代替了典型的 App-V 完整基础
结构中的发布和流式处理组件。图 3 说明了最小化的 Configuration Manager 和 App-V 进程以及使用 Configuration Manager 管理虚拟应用
程序所需的组件。App-V 排序器生成可通过 Configuration Manager 基础结构分发至 Configuration Manager 客户端的包。这消除了对支持应
用程序部署的两个独立基础结构的需要,使传统应用程序和虚拟应用程序都可以从相同的控制台进行部署。
图 3 Configuration Manager 与 App-V 基础结构
使用 Configuration Manager 发布虚拟应用程序需要遵循一个简单的过程。在较高水平上,使用 Configuration Manager 管理虚拟应用程序需
要对应用程序进行排序,使用 Configuration Manager 广告发布应用程序并将应用程序提供给最终客户端。支持 Configuration Manager 基础
结构中的 App-V 需要以下最小化的流程:
1. 排序。Configuration Manager 中的虚拟应用程序管理与 App-V 类似,它从将应用程序移入已排序的格式开始。Configuration Manager
要求使用 App-V 4.5 或更新的排序器对应用程序进行排序,以创建发布和提供应用程序所需的文件(Manifest.xml 文件)。
2. 发布。发布是 Configuration Manager 中为用户或计算机配置虚拟应用程序的一个进程。Configuration Manager 使用分发点以流式处
理或下载并执行格式提供应用程序。
3. 交付。交付是将虚拟应用程序资产移入客户端计算机的一个进程。此进程在 App-V 完整基础结构中通常称为流式处理。Configuration
Manager 提供了两种交付虚拟应用程序的选项(流式处理 和下载并执行)。默认的交付格式是下载并执行,以避免连接依赖。
使用 Configuration Manger 管理虚拟应用程序需要可创建包的 App-V 排序器、Configuration Manager 站点服务器、用于包交付的 Configuration
Manager 分发点以及已安装 App-V 客户端的 Configuration Manager 客户端计算机。支持 Configuration Manager 基础结构中的 App-V 至少
需要以下组件:
Microsoft App-V 排序器。App-V 排序器与 App-V 基础结构类似,它用于打包虚拟应用程序,以便使用 Configuration Manager 进行
部署。
Configuration Manager 站点服务器。作为 Configuration Manager 站点层次结构的一部分,Configuration Manager 站点服务器通过
Configuration Manager 分发点管理虚拟应用程序(作为流式处理服务或本地交付包)向目标系统的分发。
Configuration Manager 分发点。Configuration Manager 分发点站点角色向 Configuration Manager 目标系统提供管理服务,例如硬件
和软件库存、操作系统部署、软件更新以及物理和虚拟应用程序的软件分发。
Configuration Manager/App-V 客户端。客户端设备包括台式机、笔记本电脑以及终端服务器和 VDI 客户端。接收来自 Configuration
Manager 基础结构的虚拟应用程序交付的 Configuration Manager 客户端需要安装 Configuration Manager 客户端软件和 App-V 客户
端软件并对其进行配置。Configuration Manager 与 App-V 客户端软件一起交付、解释和启动虚拟应用程序包。Configuration Manager
客户端管理虚拟应用程序包到 App-V 客户端的交付。App-V 客户端执行客户端计算机上的虚拟应用程序。
System Center Configuration Manager 2012
Configuration Manager 2012(目前是 beta 2 版本)有助于 IT 授予用户所需的设备和应用程序,从而提高生产效率,并维持必要的控制以保
护公司资产。它提供了一种统一的基础结构,用以管理移动、物理和虚拟环境,从而使 IT 可以基于用户标识、连接性和设备细节提供和控制
用户体验。通过 Configuration Manager,您可以使用期待已久的世界级库存、操作系统部署、更新管理、评估和设置强制执行,除此之外,
新版本还将提供:
集成的移动、物理和虚拟管理。提供单一的统一工具,用于管理所有客户端桌面、瘦客户端、移动设备和虚拟桌面。
个性化的应用程序体验。评估公司形象、设备类型和网络功能,从而以最适合用户的方式提供应用程序,不管是以本地安装的方式,
通过 App-V 进行流式处理的方式还是通过演示服务器。它集成了 Citrix XenApp,使用户能够从一系列移动平台访问任何企业应用程序。
应用程序自助服务。允许用户通过易于使用的网站目录自行从任何位置安全地设置应用程序。
集成的安全性和合规性。与 Forefront Endpoint Protection 集成,以提供单一的解决方案,从而防范恶意软件、识别和修补漏洞并发现
不合规的系统。
连续设置的强制执行。自动识别并修补不合规的物理或虚拟个人桌面。
您可以了解最新更新的功能的详细信息,这些功能包括 Introduction to Application Management in Configuration Manager 2012 上介绍的
System Center Configuration Manager 2012 beta 2 中虚拟应用程序的部署。
虚拟桌面基础结构
由于消费化,用户在工作中使用的设备不仅仅是运行 Windows 的 PC。非 Windows 平板电脑和平板计算机可运行多种操作系统,例如 Apple
iOS、Google Android、Linux 等。这些设备采用不同的用户界面、不同的安全级别和不同的管理功能。消费类设备中使用的操作系统多种多
样,所以必须采用一种系统化的管理和安全防护方法。
Microsoft 提供的技术可以对这些类别的不同消费类设备进行管理和安全防护。对于无法提供完整 Windows 7 体验和安全的设备,您可以使用
基于 VDI 的策略,从而安全访问由服务器托管的基于 Windows 的桌面。此方法最适用于非 Windows 便携式计算机和平板电脑。然而,当员
工将其 Windows 便携式计算机带进工作场所时,也可以使用基于 VDI 的策略。在这种情况下,VDI 用于提供安全的企业桌面,同时将所有个
人数据和软件隔离在公司网络以外。
VDI 是一种集中式的桌面交付解决方案。如图 4 所示,VDI 的概念是存储和运行数据中心中基于服务器的虚拟机中的桌面工作负荷(包括
Windows 客户端操作系统、应用程序和数据),并且使用户能够通过远程桌面协议 (RDP) 和 RemoteFX 与呈现在用户设备上的桌面进行交互。
VDI 是企业整个 IT 基础结构上统一的、整体的虚拟化策略的一部分,支持 Microsoft 有关动态 IT 的构想。VDI 不是一个孤立的体系结构,而
是可用于优化企业桌面的多种技术中的一种。
对于无法提供完整 Windows 7 环境的设备,通过 VDI 可以安全地访问由服务器托管的 Windows 7 桌面。对于未运行 Windows 的计算机和平
板计算机(即,Apple Mac、Apple iPad 和基于 Linux 的笔记本),VDI 可能是最有效的解决方案。然而,当员工将其运行 Windows 的便携式
计算机带进工作场所时,也可以使用 VDI。它可以提供安全的企业桌面,将所有个人数据和软件隔离在公司网络以外。
图 4 虚拟桌面基础结构
有关 VDI 的详细信息,请参阅 Virtualization Products and Technologies。
体验
远程桌面服务 (RDS) 是 Windows Server 2008 R2 的一部分,提供远程桌面连接代理(RD 连接代理)。RD 连接代理是本机 VDI 连接代理,可
为访问 VDI 和基于传统会话的远程桌面提供统一体验。RD 连接代理提供虚拟桌面,与 RemoteApp 类似。例如,用户经过身份验证后,可以
访问 http://rds-all.contoso.corp/rdweb 以查看列出了授权应用程序和桌面的网页。
图 5 显示了三个使用 RemoteApp 发布的 Office 2007 应用程序。在 Windows Server 2008 R2 中,可以从多种源组成 URL 中显示的 RemoteApp
程序。它们不需要安装在同一个远程桌面会话主机(RD 会话主机)或终端服务服务器上。它们可以来自多个 RD 会话主机和终端服务服务器,
但要在同一个 URL 中组成并呈现。此外,RemoteApp 程序的存在基于 RD 会话主机中已发布应用程序的访问控制列表 (ACL)。默认情况下,
所有经过身份验证的用户有权访问已发布的 RemoteApp 程序。
图 5 远程桌面连接代理
虚拟桌面
“我的桌面”图标仅对那些已分配有个人虚拟桌面的用户可见。可在 RD 连接代理或 AD DS 用户对象中完成分配。用户经过身份验证后,单
击“我的桌面”图标时,虚拟桌面将提供给用户设备。
“Contoso 桌面”图标用于访问在虚拟机上运行的虚拟桌面,该虚拟机是从一个在 RD 连接代理中定义的虚拟机池中动态选取的。定义虚拟机
池后,用以访问池中虚拟机的图标将显示在 RDS 网页上,不管用户是否有访问该池的权限,所有经过身份验证的用户都可以使用该图标。在 RD
连接代理中,可轻松地自定义用于访问虚拟机池的页面的显示名称和图标的显示名称,在此示例中,“Contoso Wonder LAN”和“Contoso
桌面”是自定义的显示名称。有关 RDS 体系结构以及 RD 连接代理如何在 VDI 解决方案中发挥中心作用的详细信息,请参阅 Remote Desktop
Services (RDS) Architecture Explained。
Windows Server 2008 R2 中的一个新功能是 RemoteApp 和桌面连接,这一功能使人们能够从一台运行 Windows 7 的计算机的“开始”菜单
访问 RemoteApp 程序、远程桌面以及虚拟桌面。您可以配置 RemoteApp 和桌面连接,如下所示:
在控制面板中手动配置。完成此过程需要 RDS 网页的 URL 和用户凭据。当 RemoteApp 和桌面连接代表用户访问某个 RDS 网页时,
该网页将提示他们提供凭据。
使用客户端配置 (.wcx) 文件手动配置。您可以创建一个客户端配置 (.wcx) 文件并将其分发给用户,该文件用于配置 RemoteApp 和桌面
连接。
使用脚本自动配置。您可以分发一个脚本来默默地运行客户端配置文件,这样用户登录其运行 Windows 7 的计算机时,系统将自动设
置 RemoteApp 和桌面连接。自动操作过程很简单,它将操作员的干预降到最低并提供很好的用户体验。
使用 RemoteApp 和桌面连接,用户可以直接从“开始”菜单访问 RemoteApp 程序和虚拟桌面,而无需指定 RDS URL。此功能将用户培训降
到最低,并提供持续的 Windows 应用程序用户体验。
组件
通过 VDI 可以将虚拟桌面同客户端设备隔离,该虚拟桌面在一个在某个数据中心维护的虚拟机中运行。设备可以是运行 Windows 或其他操作
系统的台式机、笔记本电脑、平板计算机或瘦客户端计算机。用户通过 RDP 和 RemoteFX 与他们的虚拟桌面交互,这种交互提供了丰富的桌
面体验。与基于会话的远程桌面(即,终端服务)类似,VDI 向服务器会话提供了一个十分逼真的桌面环境,这一环境是在基于服务器的虚拟
机监控程序中进行虚拟化的。VDI 的前提是所有用户都在虚拟机上运行虚拟桌面。关键技术组件实现了 VDI,包括:
Windows Server 2008 R2 with Hyper-V。这是一种运行虚拟机的虚拟化主机,实际上是虚拟化解决方案基础结构中一个网格。它是一个
包含虚拟化资源(例如,VM、虚拟硬盘 (VHD)、硬件和软件配置文件等)的存储库。
Microsoft App-V。App-V 是一种基于用户配置文件的动态应用程序部署工具,该工具对本地操作系统来说是透明的。有关 App-V 的详
细信息,请参阅本白皮书中标题为“应用程序虚拟化”的一节。
Microsoft RDS。RDS 提供单一、一致的 URL,用于访问在多个远程桌面会话主机 (RDSH) 和终端服务器中发布的资源。
Microsoft RemoteFX。作为 Windows 7 Service Pack 1 和 Windows Server 2008 R2 Service Pack 1 的一部分,RemoteFX 能够将完整的
Windows 用户体验提供给多个客户端设备,包括消费类设备。RemoteFX 可以通过提供 3D 虚拟适配器、智能编码解码器和在虚拟机中
重定向 USB 设备的功能来提供丰富的 VDI 用户体验。它集成了 RDP,通过该协议可共享加密、身份验证、管理和设备支持。
系统中心管理套件。该套件提供综合性管理解决方案,以管理企业 IT 生命周期。它可以简化虚拟化主机和虚拟机的部署、设置以及管理。
功能包括:
o 虚拟桌面和应用程序管理。Configuration Manager 提供了资产、应用程序、用法以及个人物理和虚拟桌面所需的配置管理。
o VDI 基础结构的端到端管理。System Center Operations Manager 监视状态、健康状况以及性能,以确保正常运行并减少管理的整体
成本。
o 第三方 VDI 的管理。对于使用 Citrix VDI 解决方案的组织,System Center Virtual Machine Manager 管理整个数据中心中虚拟机和服务
器使用率。Virtual Machine Manager 集成了 Operations Manager,以增强对 VDI 方案的管理,并基于性能和资源分配虚拟机。
o 合规性洞察。System Center Service Manager 及其 IT GRC 进程管理包使用从 Configuration Manager、Operations Manager 以及
Active Directory 收集的信息来提供统一的报告和 VDI 环境中合规性的可见性。
模型
存在两种 VDI 部署模型:
静态虚拟桌面或持续性虚拟桌面。在静态体系结构中,存在虚拟机到用户的一对一映射。每个用户都分配了一个指定的虚拟机。由于
虚拟机通常存储在存储区域网络 (SAN) 中并在服务器上执行,因此,如果存在大量的用户,将很可能导致巨大的 SAN 需求。
动态虚拟桌面或非持续性虚拟桌面。在动态体系结构中,仅存储了桌面的一个主映像。所有的用户个性化设置、配置文件、应用程序
等均分别存储在桌面以外的其他位置。用户发出桌面请求后,从主映像克隆的虚拟机会与基于漫游配置文件和 App-V 来动态提供给用
户设备的用户个人数据和应用程序相结合。这通过动态提供基本映像来提供个性化的桌面体验。它通过减少桌面映像的保存数量来简
化整体虚拟机管理。
许可
实质上,VDI 通过网络连接按需向用户设备提供桌面。这与运行传统台式机不同,在传统台式机中,OEM 许可证受硬件限制并且不能像在
VDI 中一样进行动态分配。传统许可已不能充分地正确反映 VDI 提供的桌面部署中使用的许可证的数量。
为了适应新的部署方案,Microsoft 推出了两款新的 VDI 产品:
Microsoft 虚拟桌面基础结构标准套件(VDI 标准套件)
Microsoft 虚拟桌面基础结构高级套件(VDI 高级套件)
已针对访问 VDI 环境的每个客户端设备发放 VDI 标准套件和 VDI 高级套件的许可证,从而可以灵活地进行服务器基础结构的设计与改进。
您可以通过 Microsoft 的 Remote Desktop Services 站点来了解有关 VDI 套件许可的详细信息。有关远程桌面服务许可的详细信息,请参阅
Licensing Remote Desktop Services in Windows Server 2008 R2。
考虑事项
RDS 和 VDI 都是桌面虚拟化的核心组件,它们满足特定的计算要求和具备快速和灵活部署的方案。对于需要访问特定应用程序以完成明确定
义任务(例如,输入数据或报告时间报告、库存更新或事件报告的状态)的远程任务工作人员,RemoteApp 可能已经足够了。然而,对于执
行复杂的或无结构的日常工作(例如分析数据、构建解决方案、设计产品、编写代码或排除系统故障)的知识工作人员,他们可能需要具有桌
面的完全访问权限以保证生产效率,部署虚拟桌面就是一种解决方案。
尽管 VDI 很灵活,但与基于传统会话的远程桌面方法相比,它需要更多的服务器硬件资源。表 1 比较了基于会话的虚拟化与 VDI。通常,VDI
需要在前期对服务器和存储硬件进行投资以存储和执行所有需要的虚拟机。为了确保用户能够访问虚拟桌面,支持 VDI 的网络需要具有高可
用性。一般而言,支持 VDI 比支持终端服务需要更高的网络带宽。管理企业虚拟桌面还必须使用虚拟机管理软件。
表 1 基于会话的虚拟化与 VDI 的比较
此外,用户不应指望远程桌面或虚拟桌面能够像本地安装的桌面那样准确地执行操作。远程桌面上的音频、视频和 USB 性能可能不如直接在
用户设备上运行的或附加于用户设备的那些性能丰富。丰富客户端将始终提供一种优于 VDI 提供的用户体验。总体而言,VDI 解决方案的考虑
事项应该包括但不限于:
应用程序提供
连接管理
数据中心容量
映像管理
带虚拟监控程序主机的基础结构
许可
虚拟机管理
注意:Citrix XenDesktop 是一种 Microsoft 合作伙伴解决方案,不管用户是在何种设备上使用它,也不管用户是在何处使用它,它都可以按需
提供虚拟桌面和应用程序给用户。有关 Citrix XenDesktop 的详细信息,请参阅 Citrix XenDesktop 网站。此外,日志 Microsoft Virtual Desktop
Infrastructure (VDI) utilising Citrix Xendesktop as the Broker 详细描述了 XenDesktop 如何适应并增强 VDI 体系结构。
选择合适的技术
本文已描述了四种可以帮助您的组织接受消费化的技术。这些技术是 Windows 桌面优化、Windows Intune、应用程序虚拟化和 VDI。以下列
表描述了这些技术如何适应特定的消费化方案:
受管理的 Windows PC。Windows 桌面优化可以为 IT 专业人员提供控制 PC 配置所需的控件,同时为用户提供完成工作所需的灵活性。
有关详细信息,请参阅上文中标题为“Windows 桌面优化”的一节。
不受管理的 Windows PC。Windows Intune 易于部署,您可以使用它来管理用户带进工作场所的那些不受管理的 Windows PC。有关
Windows Intune 的详细信息,请参阅上文中标题为“Windows 云服务”的一节。
非 Windows 设备。对于不运行 Windows 的设备,您可以使用 VDI 来向用户提供完整的 Windows 环境。有关 VDI 的详细信息,请参
阅上文中标题为“虚拟桌面基础结构”的一节。
在所有情况下,应用程序虚拟化均可以向用户提供对所需应用程序的访问权限。有关详细信息,请参阅上文中标题为“应用程序虚拟化”的
一节。
智能手机和移动操作系统支持
在企业中可以使用一些工具来管理智能手机。例如,您可以使用 Exchange ActiveSync 来管理多个 Microsoft 和非 Microsoft 智能手机。
Exchange ActiveSync 是一种 Microsoft Exchange Server 同步协议,优化后的 Exchange ActiveSync 可在高延迟和低带宽网络中工作。该协议
基于 HTTP 和 XML,设备可以通过该协议访问信息,例如,Exchange Server 系统上的电子邮件、日历和联系人。
Exchange ActiveSync 还可以通过 Exchange ActiveSync 邮箱策略和相关工具提供管理工具。例如,Windows Phone 7 支持类似于需要密码和
增强密码强度的管理策略。多次解锁失败后,您也可以使用 Windows Phone 7 的功能来远程擦除设备并恢复移动电话的原始出厂设置。
基于 Exchange ActiveSync 进行管理是智能手机和其他小型设备的行业标准。Apple iPhone 和 iPad、Google Android、Nokia Symbian 以及
Palm 等平台都在不同程度上支持 Exchange ActiveSync 和邮箱策略。博客文章 Updated - Comparison of Exchange ActiveSync Clients
(Windows phone, Windows Mobile, Android, Nokia, Apple, Palm) 比较了许多不同平台对 Exchange ActiveSync 的支持。
本节描述了 Exchange ActiveSync 中的一些可用于管理智能手机的邮箱策略和工具。有关 Exchange ActiveSync 的详细信息,请参阅 TechNet
上的管理 Exchange ActiveSync 设备。
远程设备擦除
移动电话可以存储敏感的公司数据并提供访问许多公司资源的权限。如果设备丢失或被盗,数据可能会泄露。通过 Exchange ActiveSync 策略,
您可以向移动电话添加密码要求,即要求用户输入密码才能访问他们的电话。Microsoft 建议除了要求设备密码外,您还可以将移动电话配置
为在其处于不活动状态一段时间后自动提示要求密码。设备密码和不活动锁定的结合使公司数据更安全。有关详细信息,请参阅本白皮书中稍
后的标题为“设备管理”的一节。
除了这些功能外,Microsoft Exchange Server 2010 还提供了一种远程设备擦除功能。您可以从 Exchange 管理控制台 (EMC) 发起远程设备擦
除命令。用户可以从 Microsoft Office Outlook Web App 用户界面发起自己的远程设备擦除命令。远程设备擦除功能还包括一种确认功能,该
功能可在用户邮箱的同步状态数据中写入时间戳。此时间戳显示在 Outlook Web App 中,也显示在 EMC 中的用户移动电话属性对话框中。
远程设备擦除除了将移动电话重新设置为出厂默认设置外,它还删除插入移动电话中的任何存储卡上的所有数据。
重要说明:发生远程设备擦除之后,数据就很难还原了。然而,没有一个数据删除过程能够让设备像新的那样没有任何残留数据。通过使用复
杂工具,仍然有可能恢复设备中的数据。
您可以使用以下三种方法中的一种来远程擦除设备:
使用 EMC 执行移动电话上的远程擦除。
使用 Outlook Web App 执行移动电话上的远程擦除。
使用 Exchange 命令行管理程序执行移动电话上的远程擦除。
有关 Exchange Server 2010 中远程设备擦除的详细信息,请参阅 TechNet 上的对移动电话执行远程擦除。
设备管理
您可以创建 Exchange ActiveSync 邮箱策略来为用户及其设备配置多种安全选项。除了添加密码要求和设置外,您还可以使用策略上的“常规”
选项卡指定可连接至 Exchange 服务器系统的移动电话的类型,并指定是否可以同步附件。有关可用策略的总结如下:
常规策略指定可连接至 Exchange Server 系统的移动电话的类型,并指定是否可以同步附件:
o 允许不可设置的设备。允许无法自动设置的移动电话。这些移动电话可能无法执行所有 Exchange ActiveSync 策略设置。即使可
能没有应用一些策略设置,启用此策略也可以同步这些移动电话。
o 更新间隔。强制服务器在固定的间隔内将策略重新发送至客户端,策略更新事件间的间隔以小时数定义。
Exchange ActiveSync 客户端的密码要求:
o 要求密码。要求移动电话的密码。如果要求密码,以下策略将变得可用。
o 要求字母数字密码。指定移动电话密码必须包括非数字字符。要求密码中有非数字字符可增加密码安全强度。
o 字符集的最小数量。指定字母数字密码的复杂度并强制用户使用以下这些不同的字符集:小写字母、大写字母、符号和数字。
o 启用密码恢复。启用移动电话的密码恢复。用户可以使用 Outlook Web App 查找恢复密码并将移动电话解锁。管理员可以使用
EMC 查找用户的恢复密码。
o 要求加密设备。要求加密移动电话。这通过将移动电话上的所有信息加密来增加安全性。
o 要求加密存储卡。要求加密移动电话的移动存储卡。这通过将移动电话存储卡上的所有信息加密来增加安全性。
o 允许简单密码。允许用户使用简单密码(例如,1111 或 1234)锁定移动电话。如果您清除了此复选框,系统将要求用户使用
更安全的密码序列。
o 可允许的失败尝试次数。限制在删除移动电话上的所有信息并自动恢复到移动电话的原始出场设置之前,移动电话可接受的密
码尝试失败次数。这降低了未经授权用户访问丢失或被盗的要求密码的移动电话上信息的概率。
o 最短密码长度。指定移动电话密码的最短密码长度。长密码可以增强安全性。但是,长密码也会降低移动电话的可用性。建议
使用四至六个字符的中等长度密码。
o 必须重新输入密码前等待用户输入的时间(以分钟为单位)。当要求移动电话密码时,系统会在移动电话处于指定的非活动状
态时间后提示用户输入密码。例如,如果将此设置设为 15 分钟,则在移动电话空闲 15 分钟后,用户必须输入移动电话密码。
如果移动电话空闲 10 分钟,用户就不必重新输入密码。
o 密码过期(天)。强制用户在给定间隔内重新设置移动电话密码。以天数为单位设置间隔。
o 执行密码历史。强制移动电话阻止用户重复使用之前的密码。您设置的数量确定了不允许用户重复使用的密码的数量。
同步设置策略指定了多种特定于同步的设置:
o 包括过去的日历项目。选择要同步到移动电话的日历项目的日期范围。可用选项包括:全部、两周、一个月、三个月和六个月。
如果必须指定其他选项,请使用 Shell 配置此设置。
o 包括过去的电子邮件项目。选择要同步到移动电话的电子邮件项目的日期范围。可用选项包括:全部、一天、三天、一周、两周
和一个月。如果必须指定其他选项,请使用 Shell 配置此设置。
o 限制电子邮件大小 (KB)。限制可下载至移动电话的消息大小。启用此策略后,指定以千字节 (KB) 为单位的最大消息大小。
o 漫游时允许直接强制。当您的电话处于漫游状态时,请在新项目到达时启用移动电话的同步功能。当您在正常服务区域之外时,
您处于漫游状态。与您的移动服务提供商联系以确定您的正常服务区域。当您的电话处于漫游状态时,禁用此策略将强制您手
动启动同步,并且数据速率比传统的数据速率要快。
o 允许 HTML 格式的电子邮件。使格式为 HTML 的电子邮件能够同步到移动电话。如果未启用此策略,则在同步前需要将所有电
子邮件转换为纯文本。此策略不影响移动电话接收消息。
o 允许将附件下载到设备。使附件能够下载到移动电话。如果禁用此策略,附件名称在电子邮件中是可见的,但附件却不能下载
到移动电话。
o 最大附件大小 (KB)。指定可下载至移动电话的附件的最大大小。启用此策略后,输入一个以 KB 为单位的最大附件大小。如果启
用此策略,大于该指定值的附件将不能下载到设备。
设备策略指定了多种特定于设备的设置:
o 允许可移动存储。允许从移动电话访问存储卡。如果未启用此策略,则不可以从移动电话访问存储卡。
o 允许照相机。允许使用移动电话照相机。
o 允许 Wi-Fi。允许移动电话使用 Wi-Fi 连接访问 Internet。Wi-Fi 上不支持直接强制。
o 允许红外线。允许移动电话与其他设备或计算机建立红外线连接。
o 允许设备共享 Internet。允许其他设备共享移动电话的 Internet 连接。当设备充当笔记本电脑或台式机的调制解调器时,通常
会使用 Internet 共享。
o 允许设备建立远程桌面。允许移动电话与其他计算机建立远程桌面连接。
o 允许桌面同步。允许移动电话通过桌面 ActiveSync 或 Windows Mobile 设备中心与台式机同步。
o 允许蓝牙。控制移动电话的蓝牙功能。您可以选择“允许”、“禁用”或者仅启用“蓝牙免提”。
设备应用程序策略可启用或禁用移动电话上的特定功能:
o 允许浏览器。允许移动电话使用 Pocket Internet Explorer。此策略不控制对第三方移动电话浏览器的访问。
o 允许用户邮件。允许移动电话访问除 Exchange Server 帐户外的电子邮件帐户。用户电子邮件帐户包括通过 POP3 和 IMAP4 访
问的帐户。此策略不控制对第三方移动电话电子邮件应用程序的访问。
o 允许未签名的应用程序。允许在移动电话上安装未签名的应用程序。
o 允许未签名的安装包。允许在移动电话上运行未签名的安装包。
其他策略指定允许的和阻止的应用程序:
o 允许的应用程序。向“允许的应用程序”列表中添加应用程序或从中删除应用程序。可以在移动电话上安装并运行允许的应用
程序。单击“添加”可添加应用程序,单击“删除”可删除应用程序。
o 阻止的应用程序。向“阻止的应用程序”列表中添加应用程序或从中删除应用程序。严禁阻止的应用程序在移动电话上运行。
单击“添加”可添加应用程序,单击“删除”可删除应用程序。
在 TechNet 上,使用策略管理 Exchange ActiveSync 提供了邮箱策略的完整列表,并描述了如何使用 EMC 和 Shell 对这些策略进行配置。通过
Exchange Active Synch 管理设备的功能也将成为即将到来的 System Center Configuration Manager 2012(现为 beta 2 版本)的核心功能。
空闲超时值
直接强制技术使用 Exchange ActiveSync 来保持智能手机上的数据与 Exchange Server 上的数据同步。在防火墙上,网络空闲连接超时指示
在完全建立传输控制协议 (TCP) 连接后允许连接在没有流量的情况下存在的时间。您必须正确设置此超时值,以允许 Exchange ActiveSync
检测信号间隔和企业会话间隔有效地通信。如果防火墙关闭了回话,邮件将在客户端重新连接前保持未传送的状态,且用户将在较长时间内
处于未同步状态。Microsoft 建议组织将传入防火墙上的超时值设置为 30 分钟。有关详细信息,请参阅 Understanding Direct Push and
Exchange Server 2010。
自动发现设置
Exchange Server 包括自动发现服务,其通过在用户输入其电子邮件地址和密码后返回所需的系统设置来简化移动电话的设置。默认情况下,
Exchange Server 2010 中已启用自动发现服务(图 6)。
图 6 带 Exchange ActiveSync 的自动发现
图 6 描述的流程如下:
1. 用户在移动电话上输入其电子邮件地址和密码。
2. 移动电话连接至根 DNS 服务器,以检索自动发现服务的 URL 以及用户域的 IP 地址。
3. 移动电话使用安全套接字层 (SSL) 连接来通过防火墙连接至自动发现服务虚拟目录。自动发现服务基于服务器同步设置组装 XML 响应。
4. 自动发现服务使用 SSL 来通过防火墙发送 XML 响应。此 XML 响应由移动电话解释,且移动电话上自动配置了同步设置。
能否使用自动发现取决于您所使用的移动电话的操作系统。并非所有支持与 Exchange Server 同步的移动电话操作系统均支持自动发现。有关
支持自动发现的操作系统的详细信息,请参阅博客文章 Updated - Comparison of Exchange ActiveSync Clients (Windows phone, Windows Mobile,
Android, Nokia, Apple, Palm)。
有关在 Exchange Server 中配置自动发现的说明,请参阅配置 Exchange ActiveSync 自动发现设置。
结论
IT 必须能够在适当情况下接受消费化,同时将企业及其数据的风险降到最低。除了解用户希望使用的设备外,评估和了解您的用户还有助于确
保消费化对企业有益,并确保可以衡量和评估这些权益。
接受消费化可以使企业提高生产效率并凸显竞争优势。如果遵循此白皮书中描述的策略,消费化将成为一个主要机遇,可确保公司资产安全,
并为具备强大支持的员工和 IT 建立新的角色,即作为合作伙伴。Microsoft 拥有多种企业就绪解决方案,从部署 Window 桌面优化,到使用
Windows Intune 进行基于云的管理,再到接受 Windows 和非 Windows 智能手机,这些解决方案可以帮助您满足用户对消费化的需求。