Mobile Device Management overview
Windows provides an enterprise management solution to help IT pros manage company security policies and business applications, while avoiding compromise of the users’ privacy on their personal devices. A built-in management component can communicate with the management server.
There are two parts to the Windows management component:
- The enrollment client, which enrolls and configures the device to communicate with the enterprise management server. For more information, see Enrollment overview.
- The management client, which periodically synchronizes with the management server to check for updates and apply the latest policies set by IT.
Third-party MDM servers can manage Windows devices using the MDM protocol. The built-in management client is able to communicate with a third-party server proxy that supports the protocols outlined in this document to perform enterprise management tasks. The third-party server has the same consistent first-party user experience for enrollment, which also provides simplicity for Windows users. MDM servers don’t need to create or download a client to manage Windows.
For details about the MDM protocols, see
- [MS-MDE2]: Mobile Device Enrollment Protocol Version 2
- [MS-MDM]: Mobile Device Management Protocol
MDM security baseline
Microsoft provides MDM security baselines that function like the Microsoft group policy security baseline. You can easily integrate this baseline into any MDM solution to support IT pros’ operational needs, addressing security concerns for modern cloud-managed devices.
The MDM security baseline includes policies that cover the following areas:
- Microsoft inbox security technologies (not deprecated) such as BitLocker, Windows Defender SmartScreen, Exploit Guard, Microsoft Defender Antivirus, and Firewall
- Restricting remote access to devices
- Setting credential requirements for passwords and PINs
- Restricting use of legacy technology
- Legacy technology policies that offer alternative solutions with modern technology
- And much more
For more information about the MDM policies defined in the MDM security baseline and what Microsoft’s recommended baseline policy values are, see:
- MDM Security baseline for Windows 11
- MDM Security baseline for Windows 10, version 2004
- MDM Security baseline for Windows 10, version 1909
- MDM Security baseline for Windows 10, version 1903
- MDM Security baseline for Windows 10, version 1809
For information about the MDM policies defined in the Intune security baseline, see Windows security baseline settings for Intune.
Windows edition and licensing requirements
The following table lists the Windows editions that support Modern device management through (MDM):
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Yes | Yes | Yes | Yes |
Modern device management through (MDM) license entitlements are granted by the following licenses:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Yes | Yes | Yes | Yes | Yes |
For more information about Windows licensing, see Windows licensing overview.
Frequently Asked Questions
Can there be more than one MDM server to enroll and manage devices in Windows?
No. Only one MDM is allowed.
How do I set the maximum number of Azure Active Directory-joined devices per user?
- Sign in to the portal as tenant admin: https://portal.azure.com.
- Navigate to Azure AD, then Devices, and then select Device Settings.
- Change the number under Maximum number of devices per user.
What is dmwappushsvc?
| Entry | Description |
|---|---|
| What is dmwappushsvc? | It’s a Windows service that ships in Windows operating system as a part of the windows management platform. It’s used internally by the operating system as a queue for categorizing and processing all Wireless Application Protocol (WAP) messages, which include Windows management messages, and Service Indication/Service Loading (SI/SL). The service also initiates and orchestrates management sync sessions with the MDM server. |
| What data is handled by dmwappushsvc? | It’s a component handling the internal workings of the management platform and involved in processing messages that have been received by the device remotely for management. The messages in the queue are serviced by another component that is also part of the Windows management stack to process messages. The service also routes and authenticates WAP messages received by the device to internal OS components that process them further. This service doesn’t send telemetry. |
| How do I turn if off? | The service can be stopped from the «Services» console on the device (Start > Run > services.msc) and locating Device Management Wireless Application Protocol (WAP) Push message Routing Service. However, since this service is a component part of the OS and required for the proper functioning of the device, we strongly recommend not to disable the service. Disabling this service causes your management to fail. |
Feedback
Submit and view feedback for
Обзор мобильных Управление устройствами
Windows предоставляет решение для управления предприятием, помогающее ИТ-специалистам управлять политиками безопасности компании и бизнес-приложениями, избегая при этом нарушения конфиденциальности пользователей на личных устройствах. Встроенный компонент управления может взаимодействовать с сервером управления.
Компонент управления Windows имеет две части:
- Клиент регистрации, который регистрирует и настраивает устройство для связи с корпоративным сервером управления. Дополнительные сведения см. в статье Общие сведения о регистрации.
- Клиент управления, который периодически синхронизируется с сервером управления для проверка обновлений и применения последних политик, заданных ИТ-службой.
Сторонние серверы MDM могут управлять устройствами Windows с помощью протокола MDM. Встроенный клиент управления может взаимодействовать со сторонним прокси-сервером, который поддерживает протоколы, описанные в этом документе, для выполнения задач корпоративного управления. Сторонний сервер имеет тот же согласованный пользовательский интерфейс для регистрации, что также обеспечивает простоту для пользователей Windows. Серверам MDM не нужно создавать или скачивать клиент для управления Windows.
Дополнительные сведения о протоколах MDM см. в разделе
- [MS-MDE2]: протокол регистрации мобильных устройств версии 2
- [MS-MDM]: протокол мобильного Управление устройствами
Базовые показатели безопасности MDM
Корпорация Майкрософт предоставляет базовые показатели безопасности MDM, которые работают так же, как базовые показатели безопасности групповой политики Майкрософт. Вы можете легко интегрировать этот базовый план в любое решение MDM для удовлетворения операционных потребностей ИТ-специалистов, устраняя проблемы безопасности современных облачных устройств.
Базовые показатели безопасности MDM включают политики, охватывающие следующие области:
- Технологии безопасности папки «Входящие» (не рекомендуется), такие как BitLocker, SmartScreen в Защитнике Windows, Exploit Guard, антивирусная программа Microsoft Defender и брандмауэр
- Ограничение удаленного доступа к устройствам
- Установка требований к учетным данным для паролей и ПИН-кодов
- Ограничение использования устаревших технологий
- Устаревшие технологические политики, предлагающие альтернативные решения с использованием современных технологий
- И многое другое
Дополнительные сведения о политиках MDM, определенных в базовых планах безопасности MDM, и о рекомендуемых значениях базовых политик Майкрософт см. в следующих разделах:
- Базовые показатели безопасности MDM для Windows 11
- Базовые показатели безопасности MDM для Windows 10 версии 2004
- Базовые показатели безопасности MDM для Windows 10 версии 1909
- Базовые показатели безопасности MDM для Windows 10 версии 1903
- Базовые показатели безопасности MDM для Windows 10, версия 1809
Сведения о политиках MDM, определенных в Intune базовых планах безопасности, см. в статье Параметры базовых показателей безопасности Windows для Intune.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие современное управление устройствами через (MDM):
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Современные права на управление устройствами с помощью лицензий (MDM) предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Часто задаваемые вопросы
Может ли быть несколько серверов MDM для регистрации устройств и управления ими в Windows?
Нет. Допускается только одна MDM.
Разделы справки задать максимальное количество устройств, присоединенных к Azure Active Directory, на пользователя?
- Войдите на портал с правами администратора клиента: https://portal.azure.com.
- Перейдите к Azure AD, затем Устройства, а затем выберите Параметры устройства.
- Измените число в разделе Максимальное число устройств на пользователя.
Что такое dmwappushsvc?
| Запись | Описание |
|---|---|
| Что такое dmwappushsvc? | Это служба Windows, которая поставляется в операционной системе Windows как часть платформы управления Windows. Он используется внутренне операционной системой в качестве очереди для классификации и обработки всех сообщений протокола беспроводного приложения (WAP), в том числе сообщений управления Windows и индикации и загрузки службы (SI/SL). Служба также инициирует и оркестрирует сеансы синхронизации управления с сервером MDM. |
| Какие данные обрабатываются dmwappushsvc? | Это компонент, обрабатывающий внутреннюю работу платформы управления и участвующий в обработке сообщений, полученных устройством удаленно для управления. Сообщения в очереди обслуживаются другим компонентом, который также является частью стека управления Windows для обработки сообщений. Служба также направляет и проверяет подлинность сообщений WAP, полученных устройством, во внутренние компоненты ОС, которые обрабатывают их далее. Эта служба не отправляет данные телеметрии. |
| Разделы справки отключить, если выключить? | Службу можно остановить в консоли «Службы» на устройстве (запуск > службы.msc>) и найти службу маршрутизации push-сообщений Управление устройствами протокола WAP. Однако, так как эта служба является компонентной частью ОС и требуется для правильной работы устройства, настоятельно рекомендуется не отключать службу. Отключение этой службы приводит к сбою управления. |
Локальное управление мобильными устройствами в Configuration Manager
Начиная с ноября 2021 г. эта функция Configuration Manager является устаревшей.
Configuration Manager локальное управление мобильными устройствами (MDM) — это решение для управления устройствами, которое использует встроенные возможности управления Windows. Эта функция основана на стандарте Open Mobile Alliance (OMA) Управление устройствами (DM). Она использует инфраструктуру Configuration Manager вашей организации для управления устройствами и их обслуживания. Для использования этой функции вашей организации требуются Microsoft Intune лицензии, но для этого не требуется подключение к облаку. Configuration Manager хранит все данные о ваших устройствах в локальной базе данных сайта.
Локальная среда MDM отличается от Microsoft Intune, которая также использует встроенные возможности OMA DM. Все функции управления в Intune предоставляются через облачные службы. Локальные MDM также отличаются от клиентского решения управления, традиционно предлагаемого Configuration Manager. Он использует аналогичную инфраструктуру, но не использует отдельно установленное клиентское программное обеспечение на управляемых устройствах.
Сравнение
В следующих разделах перечислены преимущества и недостатки локальных MDM по сравнению с традиционным управлением на основе клиента.
Преимущества
- Упрощенная инфраструктура: требуется меньше ролей системы сайта.
- Проще в обслуживании. Так как функции управления встроены в ОС устройства, новые версии клиента Configuration Manager не требуются при появлении на сайте новых функций управления.
- Локальная среда: все управление и данные хранятся в локальной среде.
Недостатки
Меньше возможностей управления клиентами: нет оркестрации, контроля использования программного обеспечения, сторонней интеграции, последовательности задач или поддержки центра программного обеспечения.
- Ограниченная поддержка устройств: локальная среда MDM не поддерживает столько версий ОС, сколько Configuration Manager клиент. Дополнительные сведения см. в статье Поддерживаемые версии операционных систем для клиентов и устройств.
Следующий этап
Узнайте, что следует учитывать при настройке инфраструктуры Configuration Manager и планировании регистрации устройств в локальной среде MDM.
При подготовке материала использовались источники:
https://learn.microsoft.com/en-us/windows/client-management/mdm-overview
https://learn.microsoft.com/ru-ru/windows/client-management/mdm-overview
https://learn.microsoft.com/ru-ru/mem/configmgr/mdm/understand/manage-mobile-devices-with-on-premises-infrastructure