Windows 桌面设备管理

注册并配置设备后，使用 Workspace ONE™ UEM Console 管理设备。管理工具和功能允许您监控设备和远程执行管理功能。

您可以从 Workspace ONE UEM console 管理所有设备。仪表板是一个可以用来筛选和查找特定设备的可搜索、可定制化视图。利用此功能，可以更轻松地对一组特定的设备执行管理功能。“设备列表视图”显示当前在您的 Workspace ONE UEM 环境中注册的所有设备及其状态。设备详细信息页面提供设备的特定信息，例如配置文件、应用、Workspace ONE Intelligent Hub 版本和设备上当前安装的任何适用 OEM 服务的版本。您还可以通过“设备详细信息”页面在设备上执行特定于平台的远程操作。

设备仪表板

设备注册后，您可以从 Workspace ONE UEM 中的设备仪表板管理这些设备。

设备仪表板为您的整个群提供了一个高级视图，并允许您快速在单个设备上操作。

您可以查看图示的相关统计信息，包括有关您的设备库重要设备信息，如设备所有权类型、合规统计信息和平台及操作系统分类细目等。从设备仪表板任选可用数据视图，可访问所显示的类别中的各组设备。

您可以从列表视图页面执行以下管理操作：发送消息、锁定设备、删除设备，以及更改与设备相关联的组等。

• 安全性 – 查看您设备群里引发安全问题的首要原因。选择任一环状图表会显示一个已筛选的设备列表视图，此视图由受到选定安全问题影响的设备组成。如果受平台支持，您可以配置合规策略以对这些设备采取操作。

  • 被破解 – 您的部署中被破解（即越狱或根破解）设备的数量和百分比。
  • 无密码 – 未配置用以确保安全性的密码的设备数量和百分比。
  • 未加密 – 未进行安全加密的设备的数量和百分比。报告的图表不含 Android SD 卡加密。环状图中仅会报告缺少磁盘加密的 Android 设备。
• 所有权 – 查看每个所有权类别中的设备总数。选择任一条形图段会显示一个已筛选的设备列表视图，此视图由受到选定所有权类型影响的设备组成。
• 最后上线时间概览/分类细目 – 查看近期与 Workspace ONE UEM MDM 服务器通信的设备数量和百分比。例如，如果有数台设备在过去 30 多天没有上线，则选择对应的条形图来只显示这些设备。然后，您可以选择所有这些筛选的设备并发出查询命令，以便设备可以签入。
• 平台 – 查看每个设备平台类别中的设备总数。选择任一图形会显示一个经过筛选的设备列表视图，此视图由选定平台的设备组成。
• 注册 – 查看每个注册类别中的设备总数。选择任一图形会显示一个经过筛选的设备列表视图，此视图由处于选定注册状态的设备组成。
• 操作系统分类细目 – 按操作系统查看在您设备群里的设备。每个受支持的操作系统都有单独的图表。选择任一图形会显示一个经过筛选的设备列表视图，此视图由运行选定操作系统版本的设备组成。

设备列表视图

使用 Workspace ONE UEM 中的设备列表视图可查看当前所选组织组中的完整设备列表。

最后上线时间列中有一个指示器，显示自设备上次签入起已过的分钟数。该指示器为红色或绿色，具体取决于设备处于非活跃状态的时间。默认值为 480 分钟（8 小时），但您可以通过导航到组与设置 > 所有设置 > 设备与用户 > 常规 > 高级并更改设备非活动超时（分钟）值来自定义此值。

选择常规信息列中的设备友好名称，即可随时打开该设备的详细信息页面。友好名称是您分配给设备以帮助您将该设备与相同品牌和型号的其他设备区分开来的标签。

按列排序并配置信息筛选器，以根据特定信息审阅活动。例如，可按合规状态列排序，以便只查看当前不合规的设备，并只对这些特定设备执行相关操作。搜索全部设备来查找某一友好名称或用户名称，以便将相关设备或用户分离出来。

自定义设备列表视图的布局

选择布局按钮，然后选择自定义选项，即可在设备列表视图中显示可见列的完整列表。此视图让您能够按照偏好显示或隐藏“设备列表”列。

还可以将自定义的列视图应用于当前组织组 (OG) 或其以下级别的所有管理员。例如，您可以从当前组织组及其下所有组织组的设备列表视图中隐藏“资产编号”。

完成所有自定义后，选择接受按钮保存您的列首选项并应用此新列视图。您可以随时返回到布局按钮设置，以调整列显示首选项。

一些值得注意的设备列表视图自定义布局列包括以下部分。

• Android 管理
• SSID（服务集标识符或 Wi-Fi 网络名称）
• Wi-Fi MAC 地址
• Wi-Fi IP 地址
• 公共 IP 地址

导出列表视图

选择导出按钮以保存整个设备列表视图的 XLSX 或 CSV（逗号分隔值）文件，这两种格式的文件都可以使用 Microsoft Excel 进行查看和分析。如果您对设备列表视图应用了筛选器，则导出的列表会反映筛选结果。

在设备列表视图内搜索

您可以搜索某台设备，以便快速读取其信息并在设备上执行远程操作。

导航到设备 > 列表视图，选择搜索列表栏并输入一个用户名、设备友好名称或其他设备识别因素来运行搜索。此操作会启动一个跨所有设备、使用搜索参数且在当前组织组及所有子组内的搜索。

设备列表视图操作按钮集

在“设备列表”视图中选择一个或多个设备时，您可以使用操作按钮集执行常见操作，包括查询、发送 [消息]、锁定以及通过更多操作按钮访问的其他操作。

可用的设备操作因平台、设备制造商、型号、注册状态，以及 Workspace ONE UEM console 的具体配置而异。

远程协助

您可以在单台合格设备上启动远程协助会话，以便查看屏幕和控制该设备。此功能非常适合于对您的设备库中的设备进行故障排除和执行高级配置。

要使用此功能，必须满足以下要求。

• 您必须拥有 Workspace ONE Assist 的有效许可证。
• 您必须是分配了包括相应协助权限的角色的管理员。
• 必须在设备上安装 Assist 应用。
• 支持的设备平台：
  • Android
  • iOS
  • macOS
  • Windows 桌面
  • Windows Mobile

在设备列表视图中，选中合格设备左侧的复选框，此时将显示远程协助按钮。选择此按钮以启动远程协助会话。

设备详细信息页面（Windows 桌面）

使用 Workspace ONE UEM 中的“设备详细信息”页面跟踪Windows桌面设备的详细设备信息，并快速访问用户和设备管理操作。您可以通过从“设备列表视图”选择“友好名称”来访问“设备详细信息”页面，也可以使用任一仪表板或搜索工具访问该页面。

Windows 通知服务详细信息

您可以从“设备详细信息”页面的“网络”选项卡中查看设备与 Windows 通知服务 (WNS) 通信的状态。WNS 支持向您的设备发送通知，并且不会用于敏感信息。如果设备当前未联机，该服务将缓存通知，直到设备再次连接。有关 WNS 的更多信息，请参阅设备管理的推送通知支持。

WNS 状态包括以下内容：

• WNS 服务器状态 - 显示 WNS 服务器的状态。
• 上次 WNS 续订请求 - 上次尝试续订 Windows 通知服务 (WNS) 与设备的连接的日期和时间。通过此连接，Workspace ONE UEM 可以查询策略并将其推送到设备（网络连接、电池感知和数据感知条件允许）。
• 下次 WNS Get 请求：- 下次计划尝试续订 WNS 与设备之间的连接的日期和时间。
• WNS 通道 URI - 设备和 Workspace ONE UEM 使用的 WNS 通信端点。此端点使用以下格式：https://*.notify.windows.com/?token=_{TOKEN}。

更多操作

通过设备详细信息页面上的更多操作下拉列表，您可以隔空对选定设备执行远程操作。

具体操作因各种因素（例如 Workspace ONE UEM console 设置和注册状态）而异。

• 应用（查询）– 向设备发出 MDM 查询命令，令其返回一份已安装应用程序的列表。

  “应用 (查询)”操作需要活动的注册用户登录。

• 基准（查询）– 向设备发出 MDM 查询命令，令其返回一份样本列表。

• 证书 (查询) – 向设备发出 MDM 查询命令，令其返回一份已安装证书的列表。

  “证书 (查询)”操作需要活动的注册用户登录。

• 更改组织组 – 将设备的主组织组变更为另一个现有组织组。此操作包括一个选择静态或动态组织组的选项。

  如果要一次更改多台设备的组织组，则必须选择相应设备以执行批量操作。使用块选择方法（使用 Shift 键）而不是“全局”复选框（在设备列表视图中的“最后上线时间”列标题旁边）。

• 更改密码 - 更改通过基本用户注册的 Windows 桌面设备上的设备密码。此菜单项不支持目录服务。选择使用此选项时，Workspace ONE UEM 会生成一个新密码，并在 Workspace ONE UEM console 中显示该密码。使用新密码解锁设备。

• 删除设备 – 删除设备，并从控制台取消设备注册。将企业擦除命令发送到在下一次签入过程中擦除的设备，并在控制台上将该设备标记为正在删除。如果设备上的擦除保护处于关闭状态，则发出的命令会立即执行企业擦除，并移除控制台中的设备表示形式。
• 设备信息（查询） - 向设备发出 MDM 查询命令，令其返回友好名称、平台、型号、组织组、操作系统版本和所有权状态等设备信息。
• 设备擦除 – 发出 MDM 命令以擦除设备上的所有数据和操作系统。此操作无法撤销。
• 编辑设备 – 编辑诸如友好名称、资产编号、设备所有权、设备组以及设备类别等设备信息。

• 企业重置 – 执行企业重置会使设备恢复出厂设置（仅保留 Workspace ONE UEM 注册）。

  当设备损坏或有应用程序出现故障时，“企业重置”会将设备还原到就绪状态。它会重新安装 Windows 操作系统并保留用户数据、用户帐户和纳管应用程序。重新同步后，设备将重新同步自动部署的企业设置、策略和应用程序，同时仍由 Workspace ONE 管理。

• 企业擦除 – 对设备进行企业擦除，可取消设备注册并移除所有受管的企业资源，包括应用程序和配置文件。

  • 此操作不可撤销，而且必须重新进行注册，然后 Workspace ONE UEM 才能再次管理此设备。
  • 此设备操作包括用于阻止将来重新注册的选项，还包括一个备注说明文本框，供您添加有关操作的信息。
  • 如果要将受管应用保留在 Windows 设备上，请使用企业擦除向导中的在设备上保留应用菜单项。当您希望将设备快速注册到新用户，并且不希望等待大型应用安装在重新分配的 Windows 设备上时，此功能非常有用。除非 Windows 设备和应用满足这些要求，否则您无法访问此功能。
    • Windows 计算机上必须安装应用部署代理。
      • 默认情况下，Workspace ONE UEM 为 SaaS 和内部部署启用软件分发。软件分发功能会自动将应用部署代理部署到 Workspace ONE UEM 环境中管理的 Windows 设备。如果禁用了此功能，则必须重新启用，以确保将最新的应用部署代理部署到设备。
      • 控制台随每个控制台更新一起发送最新的应用部署代理，并且设备会自动接收更新。
      • 企业擦除向导中的在设备上保留应用列会指示设备是否满足使用该功能的要求。
    • 企业擦除后想要在设备上保留的应用必须在 Workspace ONE UEM 中进行管理。此功能不适用于非受管应用。

注意：云域加入设备不支持企业擦除。

• 强制重置 BIOS 密码 – 强制设备将 BIOS 密码重置为自动生成的新密码。

• 锁定设备 – 发送 MDM 命令锁定所选的设备，以表明该设备在解锁之前无法使用。

  重要提示：在锁定设备时，已注册用户必须先登录到该设备系统才能处理锁定命令。锁定命令将设备锁定后，任何已登录的用户必须与 Windows 重新进行身份验证。如果已注册用户登录到设备，锁定设备命令即会锁定设备。如果已注册用户未登录，则系统就不会处理锁定设备命令。

• 查询所有 – 向设备发送查询命令，令其返回一份已安装的应用程序（包括适用的 Workspace ONE Intelligent Hub）、图书、证书、设备信息、配置文件和安全措施等的列表。

• 重启设备 – 远程重启设备，再现开关设备电源的影响。
• 远程管理 – 使用此操作远程控制受支持的设备，这会启动控制台应用程序，让您能够在设备上提供支持和执行故障排除。

• 修复 Hub - 修复 Windows 设备上的 Workspace ONE Intelligent Hub，以重新建立控制台与设备之间的通信。

  某些事件可能会影响设备与控制台之间的通信。一些示例包括停止关键 Workspace ONE UEM 服务、移除或损坏 Workspace ONE Intelligent Hub 相关文件以及因网络中断而导致的 Workspace ONE Intelligent Hub 组件升级失败。

  “修复 Hub”命令会执行一些步骤来修复这些问题。成功修复 Hub 后，它会检查是否存在用于恢复 HMAC 的命令。如果出现 HMAC 错误，它会自动恢复 HMAC。此外，“修复 Hub”还会检查是否存在版本升级。如果检测到更新并自动进行更新，则会启用对 Hub 的更新，并升级 Hub。

• 请求设备日志 - 请求选定设备的调试日志，然后您可以通过选择更多选项卡并选择附件 > 文档来查看日志。您无法在 Workspace ONE UEM console 中查看日志。日志记录将以 ZIP 文件形式提供，可用于故障排查并提供支持。

  请求日志时，您可以选择从系统或 Hub 接收日志。系统提供系统级日志。Hub 从设备上运行的多个代理提供日志。

• 安全性（查询） – 向设备发出 MDM 查询命令，令其返回一份活跃安全措施（设备管理器、加密、密码、证书等）的列表。

• 发送消息 – 向选定设备的用户发送消息。在电子邮件、推送通知（通过 AirWatch Cloud Messaging）和短信之间进行选择。
• 查看 BIOS 密码 - 查看 Workspace ONE UEM console 自动为设备生成的 BIOS 密码。您会看到上次应用的密码和上次提交的密码。
• 挂起 BitLocker - 您现在可以从控制台挂起和恢复 BitLocker 加密。此功能对于没有 BitLocker 管理权限但需要设备帮助的用户非常有用。
  
  当您选择为设备挂起 BitLocker 时，控制台会显示多个选项，其中一个选项用于重新引导次数。选择您认为设备在适用情况下重新启动的次数。例如，帮助用户更新其 BIOS 可能需要系统重新引导两次，因此，请选择 3。此值会使系统额外重新引导一次并挂起加密，以确保 BIOS 在恢复 BitLocker 之前正确更新。
  
  但是，如果您不知道任务需要重新引导多少次，请选择一个较大值。完成任务后，您可以使用更多操作 > 恢复 BitLocker 操作。

管理 Microsoft HoloLens 设备

Workspace ONE UEM 支持注册和管理 Microsoft HoloLens 设备。您必须使用本机注册和管理功能来管理 Windows HoloLens 设备。

您必须先将许可 XML 文件应用于设备，然后才能使用 Workspace ONE UEM 来管理 HoloLens 设备。如果使用的是 HoloLens 1 设备，则必须在注册之前应用该文件。有关应用许可的更多信息，请参阅解除锁定 Windows Holographic for Business 功能。HoloLens 2 设备不需要执行此步骤。

注册 HoloLens 设备

您可以使用本机管理功能将 Microsoft HoloLens 设备注册到 Workspace ONE UEM 中。您必须使用本机 Windows 注册方法，因为 HoloLens 设备不支持 Workspace ONE Intelligent Hub 功能。使用本机 MDM 注册过程之一进行注册（使用或不使用 Windows 自动发现）。

管理 HoloLens 设备

注册后，您可以使用 Workspace ONE UEM 将支持的配置文件应用于 HoloLens 设备。有关受支持的 CSP 的列表，请参阅 HoloLens 设备中支持的 CSP。

管理和注册 Arm64 设备

Workspace ONE UEM支持注册和管理运行 Windows 11 的 ARM64 设备。ARM64 支持 Workspace ONE Intelligent Hub，允许使用 Hub 或本机 MDM 注册来注册 ARM64 设备。注册设备后，您可以部署和管理应用，使用Workspace ONE UEM应用传感器、脚本和某些配置文件。ARM64 设备当前支持所有 OMADM 配置文件和基于 Hub 的加密配置文件。

注意：ARM64 设备不支持基于 WMI 的传感器查询。应改为使用基于 CIM 的查询。通常，建议所有 Windows 设备使用基于 CIM 的传感器查询。

产品预置

借助产品预置，您可以通过 Workspace ONE™ UEM 创建包含配置文件、应用程序、文件/操作和事件操作（取决于您使用的平台）的产品。这些产品以一系列规则、日程和依赖项作为准则，旨在确保您的设备保持最新状态且包含所需的内容。

产品预置还包含中继服务器的使用。这些服务器设计用作设备和 Workspace ONE UEM console 之间的中介 FTP(S) 服务器。为每个商店或仓库创建这些服务器，以存储产品内容以便分发至设备。有关详细信息，请参见产品置备。

管理 Windows 设备更新

Windows 设备更新现在位于设备配置文件下。在 Workspace ONE UEM 控制台中，导航到：资源 > 配置文件和基准 > 配置文件 > 添加 > 选择添加配置文件 > Windows > Windows 桌面 > 设备配置文件 > Windows 更新。

可以单独配置五个类别。- 设备调度 - 更新行为 - 设备行为 - 交付优化 - 操作系统版本

管理员可以根据其特定需求自定义这些设置。每个类别默认使用最常用的设置。通过选择启用或禁用，可以根据需要配置这些类别。请记住，完成配置后选择保存并发布。

资源 - 设备更新

对于 Windows 用户，版本 2310 中添加了有限可用性功能，以便更好地报告更新。由于 Windows 同时具有不同版本的 Windows 10 和 Windows 11 设备，因此该功能将提供一个易于理解的概述，显示组织组和子组织中的每个 Windows 版本。注：这需要为环境启用现代堆栈。

要查找未在最新质量更新上运行的设备，请检查修订版本概览以查看标识已安装质量更新的版本修订版本。

作为管理员，您可以直观地查看已向每台设备交付和未交付的更新，并可以单击相应部分以更改其选择。您可以按“更新”或“设备概览”进行筛选或搜索。然后，每个类别还允许通过筛选器和单击表的列标题进一步筛选功能。

功能和质量更新故障排除

由于 Windows 更新可能会导致与特定驱动程序或应用程序一起出现问题，因此添加了三个按钮以帮助管理员对这些情况进行故障排除。

1. 暂停 - 此按钮允许在功能和质量更新推出之前对其进行暂停（但仅限 35 天）。
2. 恢复 - 此按钮可再次启用 Windows 更新搜索和安装。恢复更新后，您将看到开始时间的注册表将被清除。
3. 回滚 - 此按钮将允许在解决问题时，对已进行但导致不可预见的问题的更新暂时返回到以前的版本。

激活其中任何一个按钮命令后，该命令将在设备上排队，并且事件日志将保留为空。命令状态也不会更改，但会继续显示为挂起。成功和或失败将显示在控制台的故障排除选项卡中。对于所有按钮命令，35 天是 Microsoft 允许的任何延迟的最长时间。