Защита данных с помощью функций удаленной очистки, удаленной блокировки или сброса секретного кода с помощью Configuration Manager

 

Применимо к:System Center 2012 SP1, Microsoft Intune, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System Center 2012 Configuration Manager предоставляет возможности выборочной очистки, полной очистки, удаленной блокировки и сброса секретного кода. Мобильные устройства могут хранить конфиденциальные данные предприятия и предоставлять доступ к различным корпоративным ресурсам. Чтобы защитить устройства, можно отдать следующие команды:

Начиная с System Center 2012 R2 Configuration Manager:

• полная очистка для восстановления заводских настроек;

• выборочная очистка для удаления только корпоративных данных;

Начиная с System Center 2012 Configuration Manager с пакетом обновления 2 (SP2):

• удаленная блокировка для защиты устройства, которое может быть потеряно;

• сброс секретного кода.

Эта статья включает в себя следующие сведения:

• Очистка

• Сброс секретного кода

• Удаленная блокировка

Вы можете очистить мобильные устройства, управляемые с помощью Configuration Manager R2 с Microsoft Intune, или прекратить их использование.

Очистка

Команда очистки выдается для защиты потерянного устройства или в случае вывода устройства из эксплуатации.

Полная очистка применяется для восстановления заводских настроек устройства. При этом удаляются все данные и настройки компании и пользователя. Вы можете выполнить полную очистку на устройствах Windows Phone, iOS и Android.

Выборочная очистка применяется для удаления только корпоративных данных. В следующей таблице представлено описание удаляемых данных и воздействие на данные, оставшиеся на устройстве после выборочной очистки.

Содержимое, удаляемое при снятии устройства с учета	Windows 8.1 и Windows RT 8.1	Windows RT	Windows Phone 8 и Windows Phone 8.1	iOS	Android	Samsung KNOX
Приложения компании и связанные данные, установленные с помощью Configuration Manager и Intune.	Удаляются приложения и ключи загрузки неопубликованных приложений. Для приложений, которые используют выборочную очистку Windows, отзывается ключ шифрования и данные перестают быть доступны.	Ключи загрузки неопубликованных приложений удаляются, но приложения остаются установленными.	Удаляются приложения. Удаляются данные приложений компании.	Удаляются приложения. Удаляются данные приложений компании.	Приложения и данные остаются.	Удаляются приложения.
Профили Wi-Fi и VPN	Удаляются.	Неприменимо.	Удалено для Windows Phone 8.1.	Удаляются.	Удаляются.	Удаляются.
Сертификаты	Удаляются и отзываются.	Неприменимо.	Удалено для Windows Phone 8.1.	Удаляются и отзываются.	Отзываются.	Отзываются.
Параметры	Требования удаляются.	Требования удаляются.	Следующие параметры удалены (только для Windows Phone 8.1): Требовать пароль для разблокировки мобильных устройств Разрешить простые пароли Минимальная длина пароля Требуемый тип пароля Срок действия пароля (дней) Запоминать историю паролей Число разрешенных неудачных попыток входа перед очисткой устройства Минут бездействия до требования пароля Требуемый тип пароля — минимальное число наборов символов Разрешить камеру Требовать шифрование на мобильном устройстве Разрешить съемные носители Разрешить веб-браузер Разрешить Магазин приложений Разрешить снимок экрана Разрешить геолокацию Разрешить учетную запись Майкрософт Разрешить копирование и вставку Разрешить модем Wi-Fi Разрешить автоматическое подключение к свободным хот-спотам Wi-Fi Разрешить отчеты хот-спотов Wi-Fi Разрешить восстановление заводских настроек Разрешить Bluetooth Разрешить NFC Разрешить Wi-Fi	Удалено, за исключением: Разрешить голосовой роуминг Разрешить передачу данных в роуминге Разрешить автоматическую синхронизацию в роуминге	Требования удаляются.	Требования удаляются.
Агент управления	Неприменимо. Агент управления является встроенным средством.	Неприменимо. Агент управления является встроенным средством.	Неприменимо. Агент управления является встроенным средством.	Профиль управления удаляется.	Права администратора устройств аннулируются.	Права администратора устройств аннулируются.
Профили электронной почты	Удаляет сообщение электронной почты с поддержкой EFS, включая приложение "Почта" для электронной почты Windows и вложений.	Неприменимо.	Удалено (только для Windows Phone 8.1)	Для профилей электронной почты, подготовленных с помощью Microsoft Intune, учетная запись и адрес электронной почты удалены.	Неприменимо.	Для профилей электронной почты, подготовленных с помощью Microsoft Intune, учетная запись и адрес электронной почты удалены.

Удаленная очистка из консоли Configuration Manager

1. В консоли Configuration Manager щелкните Активы и соответствие и выберите пункт Устройства. Кроме того, можно щелкнуть элемент Коллекции устройств и выбрать коллекцию.

2. Выберите устройство, которое требуется очистить или прекратить использовать.

3. Щелкните Действия удаленного устройства в группе устройств и щелкните Снять с учета/очистить.

Очистка содержимого с поддержкой EFS

Выборочная очистка содержимого, зашифрованного с помощью EFS, поддерживается в Windows 8.1 и Windows RT 8.1. Для выборочной очистки содержимого с поддержкой EFS справедливо следующее.

• Выборочно удаляются только приложения и данные, защищенные EFS, использующие тот же домен Интернета, что и учетная запись Intune. Дополнительные сведения см. в разделе Выборочная очистка Windows для управления данными устройства.

• При наличии каких-либо изменений, выполненных в домене, связанном с EFS, может пройти до 48 часов, прежде чем приложения и данные, использующие этот новый домен, можно будет выборочно удалить.

• Каждый домен, зарегистрированный в Intune, это домен, который будет удален.

Данные и приложения, которые в настоящее время поддерживаются выборочной очисткой EFS:

• приложение "Почта" для Windows;

• рабочие папки;

• файлы и папки, зашифрованные с помощью EFS; дополнительные сведения см. в статье Рекомендации по использованию шифрованной файловой системы.

Рекомендации по выборочной очистке

• Для успешной очистки электронной почты подготовьте профили электронной почты для устройств iOS и Windows Phone 8.1.

• Для успешной очистки приложений убедитесь, что эти приложения распространяются через управление приложениями мобильных устройств. Дополнительные сведения см. в разделе Создание и развертывание приложений для мобильных устройств в Configuration Manager 

• Для устройств iOS установите для параметра "Разрешить резервное копирование в iCloud" значение "Запретить", чтобы пользователи не могли восстановить содержимое с помощью iCloud.

• Если учетная запись отключена, то через год эта учетная запись будет удалена Intune, и будет выполнена выборочная очистка.

Сброс секретного кода

Секретный код, забытый пользователем, можно удалить с устройства. Или можно применить новый временный секретный код. В следующей таблице описывается действие сброса секретного кода на различных мобильных платформах.

Платформа	Сброс секретного кода
iOS	Поддерживается для очистка секретного кода с устройства. Не создает новый временный секретный код.
Android	Поддерживается; создается временный секретный код.
Windows Phone 8 и Windows Phone 8.1	Поддерживается
Windows RT 8.1 и Windows RT	Не поддерживается
Windows 8.1	Не поддерживается

Удаленный сброс секретного кода на мобильном устройстве в Configuration Manager

1. В консоли Configuration Manager щелкните Активы и соответствие и выберите пункт Устройства. Кроме того, можно щелкнуть элемент Коллекции устройств и выбрать коллекцию.

2. Выберите устройство или устройства, на которых необходимо сбросить секретный код.

3. Щелкните Действия удаленного устройства в группе устройств и щелкните Сброс секретного кода.

Отображение состояния сброса секретного кода

1. В консоли Configuration Manager щелкните Активы и соответствие и выберите пункт Устройства. Кроме того, можно щелкнуть элемент Коллекции устройств и выбрать коллекцию.

2. Выберите устройство или устройства, на которых необходимо узнать состояние сброса секретного кода.

3. Щелкните Действия удаленного устройства в группе устройств и щелкните Показать состояние секретного кода.

Удаленная блокировка

В случае потери устройства пользователь может выполнить его удаленную блокировку. В следующей таблице описывается действие удаленной блокировки на различных мобильных платформах.

Платформа	Удаленная блокировка
iOS	Поддерживается
Android	Поддерживается
Windows Phone 8 и Windows Phone 8.1	Поддерживается
Windows RT 8.1 и Windows RT	Поддерживается, если текущий пользователь устройства является пользователем, зарегистрировавшим устройство.
Windows 8.1	Поддерживается, если текущий пользователь устройства является пользователем, зарегистрировавшим устройство.

Удаленная блокировка мобильного устройства в консоли Configuration Manager

1. В консоли Configuration Manager щелкните Активы и соответствие и выберите пункт Устройства. Кроме того, можно щелкнуть элемент Коллекции устройств и выбрать коллекцию.

2. Выберите одно или несколько устройств для блокировки.

3. Щелкните Действия удаленного устройства в группе устройств и щелкните Удаленная блокировка.

Отображение состояния удаленной блокировки

1. В консоли Configuration Manager щелкните Активы и соответствие и выберите пункт Устройства. Кроме того, можно щелкнуть элемент Коллекции устройств и выбрать коллекцию.

2. Выберите устройство, для которого необходимо узнать состояние удаленной блокировки.

3. Щелкните Действия удаленного устройства в группе устройств и щелкните Показать состояние удаленной блокировки.

См. также

Windows Selective Wipe for Device Data Management (Выборочная очистка Windows для управления данными устройства)