Microsoft Digital 正在改变我们为 Microsoft 员工管理设备的方式。我们正在采用现代设备管理原则和实践，为 Microsoft 员工提供无摩擦、高效的设备体验，并为管理这些设备的 Microsoft Digital 团队提供无缝有效的管理环境。我们正在使用 Windows 10、Microsoft Intune、Azure Active Directory （Azure AD） 和各种相关功能，以便在以互联网为先、以云为中心的环境中更好地管理我们的设备。向新式管理的转变已经开始过渡到 Microsoft Endpoint Manager，将 Intune 和 System Center Configuration Manager 功能和数据融合到统一的端到端管理解决方案中。

　　满足现代管理需求

　　Microsoft Digital 负责管理全球 Microsoft 员工每天使用的超过 264,000 台 Windows 10 设备。从历史上看，我们的管理方法主要基于这些设备所在的网络和基础设施。30 多年来，企业网络一直是 Microsoft 运营的功能基础。我们的技术历史建立在 Active Directory 域服务 （AD DS） 以及随附的身份和访问管理原则之上，这些原则在严格控制和监管的本地网络中运行良好。通过这种模式，Microsoft Digital已经能够管理在受保护和隔离的数字生态系统中连接的设备。

　　然而，在过去的 10 年里，我们设备的使用方式发生了重大变化，并且还在继续发展。对于许多公司来说，企业网络不再是本地计算的默认安全边界或环境，云正迅速成为业务解决方案的标准平台。在 Microsoft，我们一直在不断接受这种新模式，进行数字化转型，审视我们的技术并将其重新构想为提高业务生产力的推动者。

　　因此，我们员工使用的设备越来越以互联网为中心并相互连接。我们的数字化转型需要从企业网络中删除解决方案和服务，并将它们重新部署到 Microsoft Azure、Office 365 和其他 Microsoft 云平台上的云中。

　　评估 Microsoft 的设备管理

　　多年来，我们的 Windows 设备一直由 System Center Configuration Manager 和 AD DS 管理。为了成为我们的第一个也是最好的客户，并支持新式设备体验，我们已开始通过启用与 Intune 和 Configuration Manager 的共同管理来过渡到 Microsoft Endpoint Manager。我们的设备管理团队确定了设备管理体验的几个方面，这些方面需要更改，以便更好地支持我们的设备和用户。一些最重要的方面包括：

　　设备部署工作。我们的设备部署策略主要基于操作系统 （OS） 映像，这些映像经过大量定制并面向特定设备类别。因此，我们管理了大量的操作系统映像。随着我们的环境和要求的变化，这些映像中的每一个都需要维护和更新，这导致 Microsoft Digital 员工投入大量时间和精力来维护这些映像。

　　管理范围。 映像部署主要依赖于连接到企业网络的设备以及支持部署机制的 Configuration Manager 和 AD DS 基础结构。连接到企业网络外部的设备与连接到企业网络的设备不具有相同的体验或部署和管理功能。

　　用户体验。 所有这些问题都对用户体验产生了影响。如果员工主要连接到互联网而不是公司网络，则用户体验会受到影响。策略应用和更新的应用不一致，许多管理和支持工具（包括远程管理）不可用。我们必须为这些员工实施变通方法，例如建立与公司网络的虚拟专用网络 （VPN） 连接，以促进更强大的设备管理。即使使用VPN，互联网优先的体验也不理想。

　　迁移到现代设备管理

　　为了促进用户的新式设备体验并更好地支持我们的数字化转型，我们已开始为 Microsoft 的所有 Windows 10 设备采用新式设备管理。现代设备管理侧重于互联网优先的设备连接、敏捷、灵活的管理和部署模型，以及可扩展的基于云的基础架构，以支持驱动设备管理的机制。

　　建立互联网和云焦点

　　我们的现代设备管理方法始于互联网，也始于互联网。互联网为我们的客户提供最普遍和最广泛的网络。我们的现代管理方法是以互联网连接为默认的，这意味着使用基于互联网的管理工具和方法。为此，我们使用 Intune 和 Azure AD 创建了基于云的基础结构，该基础结构支持 Internet 优先设备，并提供普遍可访问的基础结构模型。

　　通过共同管理从传统走向现代

　　迁移到新式管理需要从植根于 Configuration Manager 和 AD DS 的传统设备管理方法迁移。为了实现平稳过渡，我们决定采用共同管理模式，实现传统和现代基础设施的并行功能。这种模式对于确保平稳过渡至关重要，它使我们能够采取更渐进、分阶段的方法来采用现代管理。共同管理模式的一些优点包括：

　　具有设备符合性的条件访问。

　　基于 Intune 的远程操作，例如重启、远程控制和恢复出厂设置。

　　集中查看设备运行状况。

　　将用户、设备和应用与 Azure AD 链接的功能。

　　使用 Windows Autopilot 进行新式预配。

　　采用分阶段方法

　　我们开发了一种分阶段的方法来转向现代管理。这种方法使我们能够充分测试和采用现代方法。它还使我们能够选择最适合我们业务的过渡步伐。我们概述了三个主要阶段：

　　第一阶段：为现代管理奠定基础

　　第二阶段：简化设备载入和配置

　　第三阶段：从共同管理转向现代管理

　　在每个阶段，我们实施了一个主要构建模块，该构建块将引导我们进入一个完全现代化、互联网优先、基于云的设备管理环境，以支持我们的数字化转型并为我们的员工创造最佳设备体验。

　　第一阶段：为现代管理奠定基础

　　我们首先建立了现代管理基础设施的核心。我们确定了它将如何运作，以及我们将如何支持从传统模式向现代管理的过渡。整个工作的很大一部分投入到第一阶段，这为我们未来的整个现代管理环境奠定了基础。我们在第一阶段的主要任务包括：

　　配置 Azure Active Directory。Azure AD 提供 Intune 和新式管理模型的其他基于云的组件（包括 Office 365、Dynamics 365 和许多其他 Microsoft 云产品/服务）的标识和访问功能。

　　部署和配置 Microsoft Intune。Intune 提供用于管理配置、确保合规性和支持用户体验的机制。两个 Intune 组件被认为对现代管理至关重要：

　　基于策略的配置管理

　　应用程序控制

　　在 Intune 和 Configuration Manager 之间建立共同管理。 我们将 Configuration Manager 和 Intune 配置为支持共同管理，使这两个平台能够并行运行，并在每个 Windows 10 设备上配置对 Intune 和 Configuration Manager 的支持。我们还部署了云管理网关，使 Configuration Manager 客户端能够连接到本地 Configuration Manager 基础结构，而无需 VPN 连接。

　　将组策略转换为移动设备管理 （MDM） 策略。基于策略的配置是确保设备具有适当设置的主要方法，以帮助确保企业安全并启用生产力增强功能。我们从一张白纸开始，选择放弃将组策略设置迁移到 MDM 策略的直接迁移方法。相反，我们在 Internet 优先上下文中评估了设备需要哪些设置，并使用组策略设置作为参考，从那里构建了 MDM 策略配置。这种方法使我们能够确保完整且有针对性的方法，同时避免引入组策略环境中可能存在的任何预先存在的问题。

　　配置适用于企业的 Windows 更新。适用于企业的 Windows 更新已配置为新式托管设备的操作系统和应用程序更新的默认更新。

　　配置 Windows Defender 和 Microsoft Defender 高级威胁防护 （ATP）。我们配置了 Windows Defender 和 Microsoft Defender ATP 来保护我们的设备，将符合性数据发送到 Intune 条件访问，并向安全团队提供事件数据。考虑到我们设备的互联网优先性质以及封闭的公司网络结构的消除，这是关键的一步。

　　为 MDM 策略建立动态设备和用户定位。动态设备和用户定位使我们能够为 MDM 策略应用提供更灵活、更有弹性的环境。它允许我们从较小的标准策略设置集开始，然后根据需要向用户和设备推出更具体和自定义的设置。它还使我们能够在设备移动到不同的策略范围时灵活地将策略应用于设备。

　　第二阶段：简化设备载入和配置

　　我们的设备载入到现代管理的过程相对简单。购买新设备并将其引入环境时，将使用新式管理模型部署和管理这些设备。这是我们在整个设备部署过程中的方法;它使我们能够以相对可控的方式逐步载入设备，并避免为现有设备创建就地迁移路径所需的额外工作。我们预计，根据我们的设备购买和更新政策，此策略将在三年内完全过渡到现代管理。

　　使用 Windows Autopilot 进行简化

　　我们使用 Windows Autopilot 作为简化用户体验和确保更好的企业资产管理的工具。Autopilot 使我们能够大大简化用户和支持该过程的 Microsoft Digital 员工的操作系统部署。Autopilot 为部署过程提供了几个关键的推动因素，包括：

　　自动将设备加入 Azure Active Directory。

　　将设备自动注册到 Intune。

　　限制管理员帐户的创建。

　　根据设备的配置文件创建设备并将其自动分配给配置组。

　　简化全新体验 （OOBE） 并减少用户对部署过程的参与。

　　这些功能使我们能够创建简化的用户体验，并大大减少 Microsoft Digital 支持人员配置映像并将其部署到设备所需的时间。

　　第三阶段：从共同管理转向现代管理

　　我们向现代管理过渡的最后阶段正在进行中。根据我们目前的发展轨迹，我们估计 99% 的设备将在三年内以完全现代的模式进行管理。我们正在共同管理模式下工作，并朝着完全现代化的管理环境迈进。我们的后续步骤包括：

　　当 Endpoint Manager 和我们的业务准备好进行过渡时，停用用于 Windows 10 管理的非现代基础结构。

　　将客户端从 AD DS 转换到 Azure AD，并迁移到 100% Internet 优先的客户端连接模型。

　　我们仍处于现代设备管理的道路上，但在此过程中我们吸取了一些教训。这些学习经验帮助我们更好地实现现代管理，并为 Microsoft 的未来做好准备。一些最重要的经验教训包括：

　　为云构建并重新开始。我们发现，在策略和部署规划等领域重新开始所需的额外时间非常值得投资。重新开始使我们能够准确地规划用户和业务需求，而不是试图重组旧模型以适应新的现实。

　　以您的业务速度前进。向现代设备管理的过渡不是一键式过程。它对一个组织有广泛的影响，需要有意识地、循序渐进地处理。我们发现，大规模的批量迁移在实施它所需的工作和规划方面根本没有提供足够的好处。

　　结论

　　未来几年，随着我们载入设备并完善我们的 Microsoft Endpoint Manager 平台和方法，我们将继续向新式设备管理过渡。Microsoft Endpoint Manager 为 Microsoft Digital 提供了一个平台，可在支持和推动数字化转型的环境中为我们的设备提供简化和高效的管理和配置。我们计划对现代管理进行改进，以改善用户体验，减少将可靠、功能齐全的设备交到用户手中所需的时间，并为 Microsoft Digital 节省成本并提高设备管理效率。

关键词：微软

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。