Windows 8上的企业侧载故事?这很复杂

人工智能2020-07-23 12:10:41
导读后PC设备的核心思想之一是“完全信任”。这归结起来就是,如果没有某种形式的自上而下的控

后PC设备的核心思想之一是“完全信任”。这归结起来就是,如果没有某种形式的自上而下的控制,安装软件就会变得尽可能困难。通过限制可以安装的软件,平台所有者可以获得对恶意软件的一些控制权,这些恶意软件多年来一直是用户和IT管理人员的祸害。

然而,如果你想在你的组织内购买平板电脑-不管你买了1万还是1万,你可以合理地期望你可以安装你构建的应用程序来支持你想要做的任何事情。因此,“sideloading”就是让你在自己的设备上安装你想要的任何东西的过程。

(不管怎样,对我来说,你可以在设备上安装哪种软件越严格越好,特别是在后PC设备上。

但是在Windows8和WindowsRT上,侧载的故事很难让你的头转过来,而且它有一种在最后一分钟被拍在一起的感觉。让我们看看你需要做什么。

我将通过在Android和iOS上谈论这是如何工作的来框架讨论。

Android的设计不是“自上而下的安全”。当应用程序进入GooglePlay商店时,它们不会被验证。开箱即用,Android设备只能从GooglePlay下载应用程序..您可以进入设置并打开一个选项,允许您从您喜欢的任何来源安装应用程序-即。“允许侧装”。

这里的风险是一旦你打开了门,你可以把任何你想要的东西扔到Android设备上。更重要的是,任何实体都可以把他们想要的任何东西拍到任何你管理的处于这种状态的Android设备上。它在设备上打开了一个张开的安全孔。

苹果也许拥有最著名的限制性应用程序商店。当你注册一个开发者帐户时,你可以推出多达100个设备的应用程序。但您绝对不能在这种模式下运行生产应用程序-您只能允许测试。

苹果提供了一个名为iOS开发者企业程序的程序。每年会员费299美元。通过这一点,你可以分发私人应用程序。设备没有上限或下限。部署应用程序的实际过程是相同的,无论您是一个开发人员推出测试构建,还是使用企业程序推出生产构建。

这个过程的一个关键点是它完全跳过App Store验证。你可以把东西放在上面,然后用户可以安装它。您可能希望使用第三方移动设备管理(MDM)工具来实际管理部署过程。因为任何用于业务的设备都应该在IT系统过程中得到适当的管理,包括加密和远程擦除等好东西。

与Android侧加载过程不同的是,在苹果上,切换侧加载将打开设备,该过程依赖于用户在设备上安装“配置文件”,并将其与所有者的企业程序成员配对。每个设备都有一个苹果应用商店的特殊配置文件,您不能更改。任何安装的应用程序都会根据匹配的配置文件进行检查。无配套型材,无安装..

总之,尽管我对做这件事的技巧一直很苛刻,但苹果的附带故事几乎是完美的。它使您能够保持设备的安全性,同时也使自定义业务线应用程序能够部署到用户。

系上安全带,这将是一段漫长的旅程。

你必须知道的第一件事是,这个过程在Windows8到WindowsRT中是不同的。我要先为Windows8解释一下,因为它更容易。

默认情况下,当您构建Windows Store应用程序时,它们将使用临时密钥进行本地测试。这需要开发人员从微软获得“开发人员许可证”,这是免费的,每个人都可以免费获得(提供给您注册)。

任何安装了开发者许可证的机器都是大开放的,它是一个全球性的侧载标志,很像Android的。这是详细的MSDN文章获得开发人员许可证。他们甚至在那篇文章中说:“如果你从Windows Store以外的渠道获取并运行Windows Store应用程序,那么在从网络获取桌面应用程序时也要采取同样的预防措施。”

他们还在那篇文章中谈到“欺诈性地使用开发商许可证”。他们在这里实际上说的是“不要使用开发者许可来附带加载”。他们希望你使用“适当的”侧加载方法。

微软在这里最想要的是一个Windows8企业客户端,它的域被加入。如果你这样做了,你就回家了。您所要做的就是打开一个名为“允许所有受信任的应用程序安装并离开”的组策略项。尽管“信任”是这一切的关键词。这意味着你必须在设备上有一个证书,与一个用来签署应用程序的证书相匹配。

这大致反映了苹果的供应配置文件的想法。在组织中,您将创建或获得一个代码签名密钥,该密钥部署到所有必须运行应用程序的设备上。在企业设置中,创建证书和管理信任链并不是不必要的困难,而且可能是由于其他原因已经完成的。(然而,如果你有一个与邪恶的应用程序相匹配的邪恶的证书,打开sideload也可以安装邪恶的应用程序。这里令人担忧的媒介将是长矛钓鱼。与苹果类似,每个Windows8和Windows RT设备都能够验证来自Windows Store开箱即用的应用程序。

那么,如果您不使用Windows8Enterprise,或者运行Windows8Pro,但不想将其加入到域中,该怎么办?

虽然苹果的做法是“购买设备,购买企业程序,你就完成了”,但微软的做法更多的是“让我们在我们的许可材料中间打侧加载的东西!”这增加了一个巨大的后勤复杂程度。没有人喜欢微软的许可,除了微软总部的法律和会计精灵。

你可以在这里找到一篇TechNet的文章。

一般的想法是,如果你没有使用Windows8Pro运行一个设备,或者使用Windows8Enterprise的设备不是域名,你需要购买一个“企业侧加载产品密钥”。您将该键应用于设备,重做Windows激活,您应该很好。

(此产品密钥以100包出售,您可以通过谷歌搜索找到它的内部代码“J7S-00005”。你要花多少钱?每100台3000美元,所以每台30美元。除非你有101台设备,否则每台设备要花费59美元。

你应该知道我不是微软授权的专家,我也不会给任何人,特别是我不认识的人提供建议。要正确获得微软的授权非常困难,你应该经常寻求专业的建议。但我确实需要说点什么...

大体上来说,两种购买方式有两种.你可以在零售店买。装箱产品形成一个商店,或OEM版本安装的系统供应商),或您可以购买他们的“批量许可证”(V L)程序从微软。VL的想法是它使你的整个组织更容易获得许可。如果你沿着VL路线走,你也会在额外的权利和工具方面得到一些好处。

微软将侧加载描述为他们所谓的软件保证(SA)的好处。SA是在准订阅基础上购买微软软件的一种方式。上面我描述的侧载产品密钥只适用于Windows8的副本,这些副本是SA许可的副本,或者适合于其他使它们更“类似于SA”的程序。(Windows RT有点不同,我来看看。)

事实似乎是,如果你从戴尔、联想或任何人那里购买50台笔记本电脑,这些笔记本电脑将伴随着Windows8Pro的零售拷贝。因为这是一个零售许可证,而不是SA许可证,要么侧加载产品密钥不工作,要么它将工作,您的许可证将无效。

安全?好吧,还是会更让人困惑。此时,您可以在SA许可证下重新授权那些新的笔记本电脑,要么是Pro(在那里您仍然需要侧加载产品密钥),要么是Enterprise(如果您没有将它们放在域上,则需要侧加载产品密钥)。或者,如果设备有活动的WindowsInTune订阅,您仍然可以使用侧载产品键启用侧载。(如果你不知道Intune是什么,Mary Jo Foley有一个很好的解释:Windows Intune是微软基于云的PC管理和安全服务。Intune用户可以获得当前和未来版本的Windows操作系统的使用权——类似于如果他们注册了微软的软件保证批量授权程序的话。

还想要更多吗?好的,如果该设备在VDA许可证下覆盖,您可以应用侧载产品密钥。不知道VDA是什么??嗯,在这篇文章的前三个草稿中,我试图解释它不到一千个字,但失败了-它与虚拟化和VDI有关。还有更多?好的-如果设备被Windows Companion设备许可证(CDL)覆盖,您可以应用侧载侧载密钥。(CDL与微软的VDA授权有关。)您可以在这里找到一个很好的写法,为此添加一些颜色,尽管您需要通过免费注册。

还记得Windows RT吗?嗯,因为基本的许可要简单得多-只有一个版本的WindowsRT许可证存在,这是OEM许可证。此外,您不能域加入它们。

其结果如下:

-Windows RT上的侧载?您将需要一个侧加载产品密钥。买它,应用它,然后你离开。

-Windows8上的侧载?呃...寻求专家的建议。

对于任何希望向平板电脑提供定制业务线的组织来说,侧载绝对是必不可少的,不管它们是BYOD还是你拥有的。对我来说,令人震惊的是,微软让一件简单的事情变得非常困难,而且实际上相当昂贵。

微软已经成功地创建了一个系统,给IT部门带来了过多的负担。首先是证书。虽然许多IT部门已经管理PKI,但我相信他们不会感谢微软增加了负担。

但这里真正的问题是许可。没有人喜欢处理微软曲折的授权安排,而且在你按下按钮之前,没有人检查你的计算,你基本上不能做侧加载。

还有费用。每台30美元并不是一大笔钱,但对于Windows RT设备(在那里你无法避免)来说,这是5%,而单价是600美元。买1万台,而且好吧,你可能会得到一个很好的折扣,这是一个额外的300美元,你的订单,仅仅是为了运行你自己的应用程序的特权。与苹果相比,苹果每年将向你收取300美元的费用。

免责声明:本文由用户上传,如有侵权请联系删除!