从微软发iPhone，聊聊企业设备管理

今天讲个上周的旧闻，微软给员工免费发iPhone。其实上周就有很多朋友私信问我，在知乎上邀请我回答相关话题，今天就抽点时间和大家一起聊聊这事。我不想讨论太多新闻本身，而是更想聊聊事件的主要原因——微软企业设备管理，以及直接原因——企业设备管理在中国大陆“安卓”设备上的困境。

为什么微软发iPhone 15

首先可以排除，微软是发福利，虽然历史上微软确实给员工发过手机，但那是微软自己的Windows Phone，可惜我也没赶上。

网上很多人说，是因为国内“安卓”手机（目前国内没有严格意义上的Android手机，各家大厂都在各显神通的自研系统，这里姑且允许我偷懒将这些设备统称为“安卓”手机吧）缺失谷歌GMS服务，所以“Microsoft Authenticator”无法正常使用，因此微软给员工发iPhone，这样员工可以正常使用“Microsoft Authenticator”（Apple的APNS在中国大陆是可以正常使用的）。这确实是原因之一，但光这个原因并不充分。因为，Microsoft Entra（以前的Azure AD）的MFA（多音字身份验证）支持多种验证方式，如果使用动态口令、短信、电话等，其实并不依赖谷歌GMS。

真正迫使微软给员工iPhone的原因是国内“安卓”手机无法完美支持自家的企业设备管理方案（EMS，也就是过去大家说的MDM和MAM的集合）“Intune”。

其实，不仅仅是微软自家的Intune不行，大部分EMS/MDM方案在国内“安卓”手机上都是困难重重，而大部分专家给出的Workaround（折中方案）都是换iOS，只是微软“慷慨”给员工发放的iPhone，有些企业就会让员工自掏腰包购买符合条件的设备，否则就会失去移动办公的便利性。

什么是企业终端管理？

刚才我反复提到“企业终端管理”，那什么是企业终端管理？下面我就以微软“Intune”为例，介绍什么是企业终端管理，企业终端管理可以做什么，企业终端管理有哪些价值？

什么是企业设备管理

企业设备管理是指通过一套综合性的方法和工具来管理、监控和保护企业内的所有计算设备，包括桌面电脑、笔记本、平板电脑和智能手机。企业设备管理旨在确保这些设备的安全性、合规性，并提升其使用效率，进而支持企业的业务目标。

企业设备管理的体系结构

企业设备管理的体系结构通常包括以下几个部分：

1. 设备注册与配置：这一步骤涉及将设备加入到企业的管理系统中，并按照企业的安全和使用策略进行配置。
2. 策略管理：管理和分发设备策略，包括安全策略（如密码要求、加密）、配置策略（如Wi-Fi、VPN设置）以及应用管理策略。<