混合办公常态下如何兼顾设备管理和安全？微软帮你支招

• 企业如何通过 Windows Autopilot 简化部署，同时充分利用既有投资和本地设施；

• 企业如何借助商用 Surface 产品实现全方位的设备管理，并给予 IT 充分的控制权；

• 企业如何通过商用 Surface 产品从芯片到云的安全性，保障设备和企业数据安全。

受过去两年的影响，许多企业的办公方式已经发生了翻天覆地的变化，混合办公模式已成常态化趋势。职场办公环境和个人生活环境相互融合，办公场所已经打破了写字楼的“墙壁”，不再受空间束缚。一些员工甚至可以通过远程办公的方式完成他们的工作。

灵活的办公方式或许能带给员工更多便利和更大机遇，但给公司 IT 带来的却肯定是挑战。原本在公司的办公环境中，IT 可以对网络环境部署防火墙抵御外在威胁，可以面对面解决员工设备方面的问题，可以手动部署新员工设备或淘汰老旧设备。通过这些方式，IT 解决了终端设备的安全防护和部署管理问题。

但伴随着眼下许多企业的人员调整，以及生成式人工智能的盛行，企业开始重新审视其在 IT 方面的投资，降本增效或将成为未来普遍的趋势。IT 不仅要应对灵活办公所带来的安全隐患，还要面临部署管理所需的时间成本和预算的压力。

微软作为全球领先的科技公司，推出了现代化终端设备管理方案，帮助企业简化部署，优化设备管理方式，并提供从芯片到云的安全性。

下面三个场景你或许似曾相识，或许亲身经历：

场景一

今天是你去新公司报到的第一天，HR 让你去 IT 那儿领办公电脑。你到了发现桌上摆着好几台设备正在装系统，IT 在其中一台电脑前忙碌。好几名同事或在排队，或在等待领取设备。终于轮到你了，IT 在了解完你的部门和职位后，从柜子里取出一台电脑开始部署，让你留下姓名和联系方式，好了会联系你过来领取……

场景二

台风肆虐，你选择在家远程办公。突然电脑出了问题，重启了几次也无法解决。你通过公司内部的即时通讯软件找到了 IT，IT 让你详细描述问题情况，以及问题出现前后做了哪些操作。聊了近 1 个小时，几经尝试，最后 IT 发给你一个驱动，让你试试，看看装完之后问题有没有解决……

场景三

这周你要出差见客户，一路上设备又是连热点，又是连酒店、咖啡厅等各种 Wi-Fi，还在客户办公室连了访客网络。出差回来后就感觉电脑不太对劲，总是会弹一些莫名其妙的广告。IT 怀疑设备存在安全隐患，帮你重装了系统……

这三个场景分别从部署、管理和安全三个方面，列举了 IT 人员常见的处理方式。

那么同样的场景，微软会怎么做？

方案一：简化部署

Windows Autopilot

还是场景一

你去领设备，IT 直接交给你一台商用 Surface 设备和配置好的工作账号。你开启设备，连上网络并登录账号后。设备便开始自动安装部署所需的驱动、设置、策略和应用。等待大概 50 分钟到 1 个小时，便能访问 Windows桌面，常用的应用已经安装到位。登录内部即时通讯工具以及团队云盘，团队资料便开始同步。整个过程没有连接任何外设，甚至没有让 IT 再触碰这台 Surface。这便是 Windows Autopilot 带来的简化部署体验。

商用 Surface 在公司的全生命周期

这台商用 Surface 设备在出厂时信息便已存在云端。一旦公司采购了这台设备，云解决方案提供商 (CSP) 便会将这台商用 Surface 与公司关联，之后 CSP 和公司合作在 Microsoft Endpoint Manager 里面创建一系列公司所需的部署配置文件。公司一旦安装了适用于 Active Directory 的 Intune 连接器，便可将公司的用户数据从本地数据库推送到 Microsoft Intune。当你入职信息录入公司数据库后，IT 便可以在 Azure Active Directory 中将你的角色分配到所属团队。这样这台商用 Surface 设备便知道需要配置哪些驱动、应用和策略。

方案二：全方位设备管理

DFCI / Microsoft Endpoint Manager

再是场景二

你联系 IT，将你的情况告诉他之后。他让你稍等片刻，经过几分钟的检查，IT 似乎已经找到了解决问题的方法。他直接发给你一个驱动，你安装之后，问题确实没有再次出现。你好奇 IT 是如何排查故障问题的，而这便是商用 Surface 全方位设备管理的体现。

Surface Management Portal

如果说其他 Windows 设备也支持 Windows Autopilot，那么只有商用 Surface 允许使用公司颁发和控制的证书实现远程管理。IT 不仅可以通过 DFCI 远程管理商用 Surface 的硬件固件，例如摄像头、USB 等，还能借助 Surface Management Portal 查看用户、策略合规、设备库存以及保修状况，甚至可以通过 Intune 在 Microsoft Endpoint Manager 上管理部署企业资源的所有设备，包括你的 iPhone 手机或安卓平板。

方案三：从芯片到云的安全性

硬件、固件、系统、云层层安全

又是场景三

其实这个场景在使用了商用 Surface 设备后就不会发生了，因为商用 Surface 设备从硬件、固件、系统甚至云服务的每个层面，在设计之初就以安全作为构建基石。

商用 Surface 从芯片到云服务的安全性

硬件：商用 Surface 拥有行业领先的生物识别技术 Windows Hello for Business，为此我们还增强了部分设备的摄像头组件。数据安全方面，不仅可以使用 BitLocker 对数据进行加密，部分机型还采用了可拆卸固态硬盘，确保设备在保修时也能保留敏感数据。此外，Surface Pro 9 5G 设备上采用了最新的 Microsoft Pluton 安全处理器，进一步降低了网络攻击的可能性。

固件：商用 Surface 内置了专属的 Microsoft UEFI，可以让 IT 通过它来管理设备的固件和硬件组件。

系统：商用 Surface 设备通过安全启动确保 Windows 11 的每个阶段都是真实可信的，并默认启动一些 Windows 高级安全功能，如 VBS、HVCI。

云服务：商用 Surface 采用并构建了 Windows 和 Microsoft 365 安全堆栈，不仅符合了安全核心 PC 的标准，还能自动接收来自防御性安全动态环境中更新。

以上便是微软通过商用 Surface 设备实现终端设备现代化管理的解决方案。

为了让各位更好地理解上述内容，微软总部 Surface 团队专门录制了一期节目，让企业管理者或 IT 决策者了解如何借助微软零接触部署，基于云的设备管理以及从芯片到云的安全性方案，解决当前 IT 所面临的挑战和压力，降低投入的时间和成本，并让员工实现随时随地高效办公。