企业设置和策略管理

• 适用于:

  ✅ Windows 11, ✅ Windows 10

设备和服务器之间的实际管理交互通过 DM 客户端完成。 DM 客户端通过 DM v1.2 SyncML 语法与企业管理服务器通信。 可在 OMA 网站上找到 OMA DM 协议 v1.2 的完整说明。

企业 MDM 设置通过各种配置服务提供程序公开给 DM 客户端。 有关可用配置服务提供程序的列表，请参阅 配置服务提供程序参考。

Windows 当前支持一台 MDM 服务器。 通过注册过程配置的 DM 客户端被授予对企业相关设置的访问权限。 在注册过程中，任务计划程序配置为调用 DM 客户端来定期轮询 MDM 服务器。

下图显示了服务器和客户端之间的工作流。

管理工作流

此协议将与 DM SyncML XML 的基于 HTTPS 的客户端/服务器通信定义为承载管理请求和执行结果的包有效负载。 配置请求通过托管对象 (MO) 解决。 托管对象支持的设置以概念树结构表示。 可配置设备设置的逻辑视图通过将实现详细信息与概念树结构隔离，简化了服务器处理设备设置的方式。

为了促进与远程服务器进行安全性增强的通信，用于企业管理，Windows 支持通过 DM 客户端和管理服务之间的加密 TLS/SSL HTTP 通道进行基于证书的相互身份验证。 服务器和客户端证书是在注册过程中预配的。

DM 客户端配置、公司策略强制实施、业务应用程序管理和设备清单都通过配置服务提供商 (CSP) 公开或表示。 CSP 是托管对象的 Windows 术语。 DM 客户端与服务器通信，并向 CSP 发送配置请求。 服务器只需知道这些 CSP 节点定义的逻辑本地 URI，即可使用 DM 协议 XML 来管理设备。

下面是企业管理支持的 DM 任务的摘要：

• 公司策略管理：通过策略 CSP 支持公司策略，允许企业管理各种设置。 它使管理服务能够配置设备锁相关策略、禁用/启用存储卡，以及查询设备加密状态。 RemoteWipe CSP 允许 IT 专业人员远程完全擦除内部用户数据存储。
• 企业应用程序管理：此任务通过 Enterprise ModernApp Management CSP 和多个与 ApplicationManagement 相关的策略来解决。 它用于安装企业令牌、查询已安装的业务应用程序名称和版本等。此 CSP 只能由企业服务访问。
• 证书管理：证书存储 CSP、RootCACertificate CSP 和 ClientCertificate 安装 CSP 用于安装证书。
• 基本设备清单和资产管理：可以通过 DevInfo CSP、DevDetail CSP 和 DeviceStatus CSP 检索某些基本设备信息。 它们提供基本的设备信息，例如 OEM 名称、设备型号、硬件版本、OS 版本、处理器类型等。此信息适用于资产管理和设备目标。 NodeCache CSP 使设备只能向服务器发送增量清单设置，以减少无线数据使用量。 只有企业服务可以访问 NodeCache CSP。