(0) exportieren Drucken
Alle erweitern

Mobile Geräte und PCs durch Migration zu Configuration Manager mit Windows Intune verwalten

Letzte Aktualisierung: Januar 2014

Betrifft: System Center 2012 R2 Configuration Manager, Windows Azure, Windows Intune

Zielgruppe: IT-Experten, die ihre gegenwärtige -Infrastruktur erweitern müssen, um den Bedarf von Mitarbeitern zu unterstützen, die mit ihren PCs und mobilen Geräten unter Windows Phone 8, Windows RT, iOS und Android auf Unternehmensressourcen zugreifen möchten.

Wie profitieren Sie von dieser Anleitung? In dieser Anleitung wird erklärt, wie Sie:

  • Ihre Infrastruktur so erweitern, dass Benutzer remote mit dem Gerät ihrer Wahl arbeiten können

  • die Verwaltung von PCs und mobilen Geräten zu einer einzigen Infrastruktur zusammenfassen

  • die Kompatibilitätsanforderungen des Unternehmens für alle Geräte aufrechterhalten

  • Unternehmensdaten schützen

In dieser Lösung finden Sie:

Ihre Firma ist ein mittelgroßes bis großes Unternehmen, und Sie suchen nach einer Möglichkeit, sowohl PCs als auch mobile Geräte zu verwalten. Damit Sie einen Weg finden, dieses Problem zu lösen, wird hier gezeigt, wie die Lösung des Problems bei Contoso – einem Unternehmen ähnlich dem Ihren – stattgefunden hat. Nach der Beschreibung der Lösung von Contoso können Sie überprüfen, ob diese Ihren Anforderungen entspricht oder Sie sie an Ihre Umgebung anpassen müssen.

Contoso ist ein Unternehmen mit über 5000 Mitarbeitern, die persönliche Geräte unter Windows Phone 8, Windows RT, iOS und Android zur Arbeit mitbringen. Gegenwärtig besteht für sie keine Möglichkeit, über diese Geräte auf Unternehmensressourcen zuzugreifen.

Bei Contoso wird  SP2 zur Verwaltung von PCs für Benutzer verwendet, die sich auf dem Unternehmensgelände befinden und via VPN eine Remoteverbindung mit dem Unternehmensnetzwerk herstellen. Mobile Geräte können bei Contoso nicht verwaltet werden.

Die Infrastruktur der Umgebung von Contoso umfasst:

  • Windows Server 2008 R2

  • Windows Server 2008 R2 Active Directory

  •  SP2

  • PCs, die der Domäne angehören und verwaltet werden von

Abbildung 1 zeigt eine allgemeine Übersicht über die Umgebung von Contoso:

Grobe Übersicht über die Umgebung von Contoso

Abbildung 1: Allgemeine Übersicht über die Umgebung von Contoso

 

Die wachsenden Bedürfnisse von Contoso werden von der aktuellen Geräteverwaltungsinfrastruktur des Unternehmens nicht unterstützt:

  • PCs werden in der derzeitigen Umgebung verwaltet, nicht aber mobile Geräte.

  • Einigen Mitarbeitern werden mobile Geräte bereitgestellt, die sich im Besitz des Unternehmens befinden. Andere Mitarbeiter möchten ihre persönlichen Geräte am Arbeitsplatz einsetzen.

Bei Contoso herrschen zudem Bedenken hinsichtlich der Ressourcen, die zur Verwaltung all dieser Geräte erforderlich sind. Die Unterstützung zahlreicher PCs, Geräte und Anwendungen ist kostspielig, und die Geräteverwaltung könnte die IT-Abteilung rund um die Uhr in Anspruch nehmen.

Bei Contoso müssen die Risiken verwaltet werden, und es muss sichergestellt sein, dass alle Geräte – sowohl unternehmenseigene als auch persönliche – den Sicherheitsrichtlinien entsprechen.

  • Die Geräteverwaltung stellt für Unternehmensanlagen und -daten ein Sicherheitsrisiko dar. Wenn Mitarbeiter an einem Gerät arbeiten, das nicht von der IT-Abteilung verwaltet wird (und dessen Existenz ihr womöglich nicht einmal bekannt ist), wird es sehr schwierig, die Kontrolle über sensible Unternehmensdaten aufrechtzuerhalten.

  • Geht ein Gerät verloren oder wird es gestohlen oder verkauft, dann kann die IT-Abteilung nichts mehr machen.

Bei Contoso wird nach einer Lösung gesucht, von der Folgendes ermöglicht wird:

  • Weiterverwenden der bestehenden -Infrastruktur. Durch die IT-Abteilung von Contoso wurden umfangreiche Ressourcen in die derzeitige Infrastruktur investiert, und es soll nicht alles von vorne begonnen werden.

  • Zugriff auf Unternehmensanwendungen und Daten durch die Mitarbeiter über persönliche wie auch unternehmenseigene Geräte. Dies umfasst gleichermaßen PCs und mobile Geräte.

  • Verwalten von PCs und privaten Geräten über dieselbe Administratorkonsole. Das Verwalten der Geräte schließt das Konfigurieren von Sicherheits- und Kompatibilitätseinstellungen, das Erfassen von Software- und Hardwareinventar und die Bereitstellung von Software ein.

  • Bereitstellen von Anwendungen oder Weblinks abhängig vom Gerätetyp und davon, ob es sich um ein persönliches oder ein im Besitz des Unternehmens befindliches Gerät handelt.

  • Schützen des Unternehmens durch Zurücksetzen von Unternehmensdaten, die auf dem mobilen Gerät gespeichert sind, im Falle von Verlust, Diebstahl oder Abkopplung.

Zur Lösung des Geschäftsproblems und zum Erreichen der Ziele muss Contoso folgende Maßnahmen ergreifen:

  • Installieren eines neuen eigenständigen primären System Center 2012 R2 Configuration Manager-Standorts am Unternehmenssitz und von Verteilungspunkten an Remotestandorten

  • Migrieren von Objekten und Verteilungspunkten in der bestehenden  2007 SP2-Infrastruktur zu System Center 2012 R2 Configuration Manager

  • Abonnieren von Windows Intune und Konfigurieren des Windows Intune-Connectors in zur Integration mit Windows Intune

  • Synchronisieren der Domänenbenutzerkonten zu Windows Azure, da Windows Intune ein Clouddienst ist. Auf diese Weise können Benutzer verwaltet werden, die mit ihren mobilen Geräten auf Unternehmensressourcen zugreifen können.

  • Verwenden der Kennwortsynchronisierung, damit Benutzer ihre lokalen Domänenbenutzernamen und Kennwörter für Clouddienste verwenden können

In Abbildung 2 wird gezeigt, wie die Kommunikation der Elemente dieser Lösung miteinander erfolgt.

Grobe Übersicht über die Lösung von Contoso

Abbildung 2: Allgemeine Übersicht über die Lösung von Contoso

 

 

Element im Lösungsentwurf Grund für die Verwendung in der Lösung

System Center 2012 R2 Configuration Manager

Mit der Lösung wird die sichere und skalierbare Bereitstellung von Software, die Verwaltung von Kompatibilitätseinstellungen sowie die umfassende Anlagenverwaltung von Servern, Desktops, Laptops und mobilen Geräten (bei Integration von Windows Intune) ermöglicht.

Windows Intune

Verwaltet mobile Geräte über das Internet. Durch die Integration mit System Center 2012 R2 Configuration Manager können Sie PCs wie auch mobile Geräte über die -Konsole verwalten.

Windows Azure Active Directory (AD)

Mit diesem Dienst werden Identitäts- und Zugriffsfunktionen für lokale und Cloudanwendungen bereitgestellt.

Windows Azure-Verzeichnissynchronisierung (DirSync)

Hiermit werden lokale AD-Benutzer mit Windows Azure AD synchronisiert.

Kennwortsynchronisierung

Gestattet Benutzern die Verwendung ihrer lokalen Domänenbenutzernamen und Kennwörter für Clouddienste.

kann die Möglichkeiten von Contoso zum lokalen Verwalten von PCs durch Integration von Windows Intune auf die Cloud ausdehnen. Zudem können bei Contoso mithilfe von mit Windows Intune sowohl die lokalen PCs als auch die mobilen Geräte über dieselbe Konsole verwaltet werden. Gleichzeitig soll aber der Aufwand der IT-Abteilung verringert werden.

Deswegen wird Contoso einen neuen eigenständigen primären System Center 2012 R2 Configuration Manager-Standort am Unternehmenssitz und Verteilungspunkte an Remotestandorten installieren.

Danach werden die Objekte aus der  SP2-Umgebung von Contoso zu System Center 2012 R2 Configuration Manager migriert.

Integrierte Lösung: Bei Contoso wird eine integrierte Lösung gewünscht, mit der sowohl PCs als auch mobile Geräte über dieselbe Konsole verwaltet werden können. System Center 2012 R2 Configuration Manager mit Windows Intune stellt eine solche integrierte Lösung bereit.

Vereinfachte Hierarchie: Vonseiten Contosos wurde festgestellt, dass mit System Center 2012 R2 Configuration Manager kein sekundärer Standort mehr an den einzelnen Remotestandorten benötigt wird (siehe folgende Abbildungen).

 

Vorhandene Hierarchie, Configuration Manager 2007

Abbildung 3: Bestehende Hierarchie mit

 

Neue Hierarchie, System Center 2012 R2-Konfigurations-Manager

Abbildung 4: Neue Hierarchie mit System Center 2012 R2 Configuration Manager

 

Wichtige Beweggründe für die vereinfachte Hierarchie:

  • Rollenbasierte Verwaltung: Bei der rollenbasierten Verwaltung in System Center 2012 R2 Configuration Manager können Sie die administrative Sicherheit der System Center 2012 R2 Configuration Manager-Hierarchie anhand folgender Hilfsmittel entwerfen und implementieren:

    • Sicherheitsrollen

    • Sammlungen

    • Sicherheitsbereiche

    Von diesen Einstellungen wird ein Verwaltungsbereich für einen Administrator definiert. Mit diesem Verwaltungsbereich werden die Objekte, die ein Administrator in der -Konsole anzeigen kann, sowie die Berechtigungen dieses Benutzers in Bezug auf diese Objekte verwaltet. Weitere Informationen finden Sie unter Planen der rollenbasierten Verwaltung.

  • Inhaltsverwaltung: In System Center 2012 R2 Configuration Manager kann die für die Übertragung von Inhalt an Verteilungspunkte verwendete Netzwerkbandbreite von Contoso konfiguriert werden, und Sie können Inhalt auf Verteilungspunkten an Remotestandorten vorab bereitstellen. Weitere Informationen finden Sie unter Überlegungen zur Netzwerkbandbreite für Verteilungspunkte.

Migrierte Objekte: Mithilfe von Migrationstools können Objekte von Contoso von  SP2 zur System Center 2012 R2 Configuration Manager-Hierarchie migriert werden. Die IT-Abteilung von Contoso hat beträchtlich viel Zeit in die Erstellung von -Objekten wie Sammlungen, Tasksequenzen, Konfigurationselementen usw. investiert. Mithilfe der Migration kann sie von dieser Investition auch weiterhin profitieren.

Aktuelle Features: Aufseiten von Contoso besteht auch Interesse an den neuen Features in System Center 2012 R2 Configuration Manager, die nicht direkt mit dieser Lösung in Zusammenhang stehen. Weitere Informationen finden Sie unter Neues in System Center 2012 R2 Configuration Manager.

In System Center 2012 R2 Configuration Manager ersetzt die integrierte Migrationsfunktion direkte Upgrades der bestehenden -Infrastruktur mithilfe eines Vorgangs, bei dem Objekte von aktiven  SP2-Standorten kopiert werden. Bei der Planung der Migration bei Contoso wurde zunächst die Installation der System Center 2012 R2 Configuration Manager-Hierarchie und dann die Migration der Objekte in die neue Hierarchie geplant.

Externe Abhängigkeiten: Bei der Planung für System Center 2012 R2 Configuration Manager wurden die externen Abhängigkeiten von durch Contoso berücksichtigt. Ferner wurde überprüft, ob Ressourcen in nicht vertrauenswürdigen Gesamtstrukturen oder im Internet verwaltet werden müssen und wie diese Szenarien von unterstützt werden.

Sie müssen entscheiden, welcher Ansatz für Ihre Umgebung geeignet ist. Diese externen Abhängigkeiten und andere Faktoren können den Entwurf Ihrer Hierarchie sowie die Platzierung von Standorten und Standortsystemrollen beeinflussen. Siehe:

Hierarchieentwurf: Während der Planungsphase wurden Anzahl und Typ der System Center 2012 R2 Configuration Manager-Standorte sowie der Ort identifiziert, an dem die Standorte von Contoso bereitgestellt werden sollten.

Sie müssen entscheiden, welche Planungen für die einzelnen Standorte erforderlich sind, und ermitteln, wo die Standortsystemrollen jeweils installiert werden sollen. Siehe:

Verwalten von Bandbreite mit Verteilungspunkten: Mithilfe von Verteilungspunkten werden in Dateien gespeichert, die zum Ausführen von Software auf Clientcomputern erforderlich sind. Für die Clients ist zum Herunterladen der Dateien ein Zugriff auf mindestens einen Verteilungspunkt erforderlich. System Center 2012 R2 Configuration Manager bietet neue Funktionen zum Verwalten der Netzwerkbandbreite, die beim Kopieren von Dateien von einem Standortserver auf einen Remoteverteilungspunkt verwendet wird.

Contoso hat sich für das Hinzufügen von Verteilungspunkten an Remotestandorten entschieden, statt sekundäre Standorte zu installieren, wie es derzeit bei  SP2 gemacht wird. Mithilfe der neuen Funktionalität in System Center 2012 R2 Configuration Manager können bei Contoso Bandbreiteneinstellungen und Einschränkungseinstellungen konfiguriert und ein Zeitplan für die Inhaltsverteilung zwischen Standortserver und Verteilungspunkt erstellt werden, um die benötigte Bandbreite während der Geschäftszeiten zu verringern. Ferner können umfangreiche Inhaltsdateien wie Microsoft Office auf den Verteilungspunkten an den Remotestandorten vorab bereitgestellt werden. Siehe:

Planen von Verwaltungsfeatures und -funktionen: Contoso hat Planungen für die Verwaltungsfeatures und -funktionen durchgeführt, die in der System Center 2012 R2 Configuration Manager-Hierarchie verwendet werden sollen, die vor Beginn des Migrationsvorgangs implementiert werden soll.

Sie müssen entscheiden, welche Verwaltungsfeatures und -funktionen für Ihre Umgebung geeignet sind. Zumindest die Active Directory-Benutzerermittlung müssen Sie jedoch konfigurieren, bevor Sie Windows Intune abonnieren. Siehe:

Mithilfe von Migrationstools kann Contoso den Großteil der Objekte von  SP2 zum neuen primären System Center 2012 R2 Configuration Manager-Standort migrieren. Im Zuge dessen werden auch alte Objekte bereinigt, die von Contoso nicht mehr benötigt werden. Einige Objekte, die nicht migriert werden können, werden später manuell neu erstellt.

Die Inhalte auf den -Verteilungspunkten sollen nach der Migration zu System Center 2012 R2 Configuration Manager nicht alle neu verteilt werden. Bei der Migration von wird Contoso die -Verteilungspunkte freigeben, um sie zu System Center 2012 R2 Configuration Manager-Verteilungspunkten zu machen.

Nach dem Upgrade eines Verteilungspunkts sind der Verteilungspunktserver und der Inhalt auf diesem Verteilungspunkt in der System Center 2012 R2 Configuration Manager-Hierarchie verfügbar. Eine Neuverteilung der migrierten Inhalte auf den aktualisierten Verteilungspunkten ist nicht erforderlich. Hierdurch wird in beträchtlichem Maße Bandbreite eingespart, die bei einer Neuverteilung der Inhalte benötigt worden wäre. Zudem wird auch erheblich weniger Zeit gebraucht. Weitere Informationen finden Sie unter Planen von Upgrades freigegebener Configuration Manager 2007-Verteilungspunkte.

Wenn Sie noch nicht zur Migration zu System Center 2012 R2 Configuration Manager bereit sind, aber diese für die Zukunft planen und mobile Geräte sofort verwalten möchten, wird in Verwaltung mobiler Geräte für Configuration Manager 2007-Kunden, die beabsichtigen, zu System Center 2012 R2 Configuration Manager zu migrieren ein Zwischenansatz beschrieben.

In diesem Zwischenansatz wird erläutert, wie Sie einen eigenständigen primären System Center 2012 R2 Configuration Manager-Standortserver installieren können, um mobile Geräte parallel zu Ihrer -Umgebung zu verwalten, in der PCs verwaltet werden. Sie verwalten PCs über die - und mobile Geräte über die System Center 2012 R2 Configuration Manager-Konsole. Beide Konsolen können Sie auf demselben Computer ausführen.

Die cloudbasierte Verwaltung mobiler Geräte wird vom Windows Intune-Dienst bereitgestellt. Contoso wird Windows Intune abonnieren und es dann mit System Center 2012 R2 Configuration Manager integrieren, um PCs und mobile Geräte über die -Konsole zu verwalten.

Mit dem Windows Intune-Abonnement wird das Ziel einer integrierten Lösung bei der Verwaltung von PCs und mobilen Geräten unterstützt.

Von Contoso wurden auch verschiedene Drittanbieterlösungen zur Verwaltung mobiler Geräte in Betracht gezogen. Allerdings wurde von keiner dieser Lösungen die gewünschte integrierte Funktionalität geboten. Einem Produktwechsel stand Contoso ebenfalls ablehnend gegenüber, da hierdurch Schulungs- und Implementierungskosten anfallen würden.

Ein zusätzlicher Vorteil für Contoso besteht darin, dass das Benutzerkonto aus dem Windows Intune-Abonnement beim einige Monate später erfolgenden Abonnement von Microsoft Office 365 verwendet werden kann.

TipTipp
Wenn Ihr Unternehmen bereits Microsoft Online Services für Dienste wie Microsoft Office 365 verwendet, können Sie für das Windows Intune-Abonnement dasselbe Benutzerkonto verwenden. Auf diese Weise können Sie dieselbe Benutzergruppe dienstübergreifend im Windows Azure AD-Mandanten Ihrer Organisation einsetzen. Wenn Sie die Option zur Verwendung des bestehenden Benutzers bei der Anmeldung nicht auswählen, wird für Sie ein neuer Windows Azure AD-Mandant erstellt. Sie müssen dann Benutzer zum neuen Mandanten hinzufügen.

Zum Speichern von Benutzerkonten wird von Windows Intune Windows Azure AD verwendet. Microsoft-Clouddienste wie Windows Intune und Office 365 sind auf die von Windows Azure AD bereitgestellten Funktionen zur Identitätsverwaltung angewiesen.

Contoso wird die Windows Azure-Verzeichnissynchronisierung (DirSync) zur Synchronisierung lokaler Windows Server AD-Benutzer mit Windows Azure AD verwenden. Die Verzeichnissynchronisierung ist als ständige Beziehung zwischen dem lokalen AD und dem cloudbasierten Windows Azure AD gedacht.

Geringere Verwaltungskosten: Ohne DirSync hätte Contoso die Benutzer- und Gruppenkonten manuell zu Windows Azure AD hinzufügen müssen. Die Benutzerkonten im lokalen Windows Server AD von Contoso werden von DirSync mit Windows Azure AD synchronisiert. Nachdem Sie die Verzeichnissynchronisierung aktiviert haben, können Sie synchronisierte Objekte in Ihrer lokalen Umgebung bearbeiten. Die Bearbeitungen werden dann mit Ihrem Windows Intune-Abonnement synchronisiert, was eine Senkung der Verwaltungskosten zur Folge hat.

Verbesserte Produktivität: Durch Automatisierung des Vorgangs der Synchronisierung von Benutzer- und Gruppenkonten kann Contoso den Mitarbeitern cloudbasierte Dienste wesentlich schneller bereitstellen.

Beim Planen der Verzeichnissynchronisierung wurden von Contoso Hardwareanforderungen, Administratorberechtigungen, Leistungsaspekte usw. in Betracht gezogen. Diese Anforderungen sind in Vorbereiten der Verzeichnissynchronisierung dokumentiert.

Die Benutzerauthentifizierung muss konfiguriert werden, weil die Mitarbeiter von Contoso andernfalls unterschiedliche Benutzernamen und separate Kennwörter für den Zugriff auf Dienste in der Cloud und lokale Dienste verwenden müssten. Bei Contoso wurde beschlossen, dass eine Benutzerauthentifizierung erforderlich ist, um den administrativen Mehraufwand für das Verwalten erster und nachfolgender Kennwortänderungen zu umgehen und die Ergebnisse benutzerfreundlicher zu gestalten. Contoso hat sich für die Verwendung der Verzeichnissynchronisierung zur Benutzerauthentifizierung entschieden.

Bei Contoso wurden die folgenden Authentifizierungsmethoden für den Mitarbeiterzugriff auf Cloud- und lokale Ressourcen mit denselben Anmeldeinformationen in Betracht gezogen:

  • Kennwortsynchronisierung. Dies ist eine schlanke Option, durch die Benutzern eine Oberfläche bereitgestellt wird, die dem einmaligen Anmelden sehr ähnlich und zudem sehr einfach bereitzustellen ist. Die Kennwortsynchronisierung ist eine Option, die Sie in DirSync auswählen können und mit der DirSync das Speichern eines Kennworthashs in Windows Azure AD ermöglicht wird. Wenn die Kennwortsynchronisierung auf Ihrem Verzeichnissynchronisierungscomputer aktiviert ist, können Ihre Benutzer sich bei Microsoft-Clouddiensten wie Office 365, Dynamics CRM oder Windows Intune mit demselben Kennwort anmelden, das sie auch zur Anmeldung im lokalen Netzwerk verwenden. Ändern Ihre Benutzer Kennwörter im Unternehmensnetzwerk, dann werden diese Änderungen in der Cloud synchronisiert.

    Allerdings stellt die Kennwortsynchronisierung keine Lösung für einmaliges Anmelden in der Art bereit, wie Sie sie bei der Verwendung von AD FS erhalten. Die Benutzer müssen Ihre Anmeldeinformationen jedes Mal, wenn sie auf einen Clouddienst zugreifen, erneut eingeben. Siehe:

  • Active Directory-Verbunddienste (AD FS). In AD FS wird echtes einmaliges Anmelden in Verbindung mit den Active Directory-Authentifizierungsprotokollen bereitgestellt. Zwischen dem lokalen Active Directory und AD FS einerseits und der Windows Azure AD-Identitätsplattform andererseits erfolgt eine Interaktion, um Zugriff auf einen oder mehrere Microsoft-Clouddienste zu gewähren. Wenn das einmalige Anmelden konfiguriert ist, wird eine Verbundvertrauensstellung zwischen Ihrer Domäne und dem Windows Azure AD-Authentifizierungssystem erstellt. Benutzer können sich bei den Cloud- und den lokalen Diensten mithilfe desselben Benutzernamens und Kennworts authentifizieren. Benutzer, die bereits authentifiziert wurden, werden beim Zugriff auf einen Clouddienst nicht erneut zur Eingabe ihrer Anmeldeinformationen aufgefordert.

Contoso hat sich aus mehreren Gründen für die Verwendung der Verzeichnissynchronisierung zur Benutzerauthentifizierung entschieden. Die Kennwortsynchronisierung ist in DirSync, das ohnehin zur Synchronisierung der lokalen Benutzerkonten vorgesehen ist, sehr einfach zu konfigurieren. Außerdem wird bei Contoso ein Upgrade der Domänencontroller auf Windows Server 2012 R2 innerhalb der kommenden sechs Monate geplant. AD FS ist eine Standortrolle in Windows Server 2012 R2 und bietet zahlreiche neue Features. Contoso plant die Implementierung von AD FS im Zuge des Upgrades der Domänencontroller. Weitere Informationen zur Implementierung von AD FS in Windows Server 2012 R2 finden Sie unter

Contoso hat sich für die Verwendung der Verzeichnissynchronisierung zur Benutzerauthentifizierung entschieden. Möglicherweise entscheiden Sie sich jedoch für die Implementierung von AD FS, um das einmalige Anmelden in Ihrer Umgebung nutzen zu können. Siehe:

Bei Contoso wurde beschlossen, das lokale AD nicht im Zuge dieser Lösung zu aktualisieren, doch wird für die kommenden sechs Monate ein Upgrade geplant.

Von der IT-Abteilung von Contoso wurde vorgeschlagen, das lokale AD als Bestandteil der Lösung zu aktualisieren. In Windows Server 2012 R2 wurde das AD mit der folgenden Funktionalität erweitert.

  • Geräteregistrierung. IT-Administratoren können die Registrierung eines Geräts zulassen, wodurch das Gerät dem Active Directory des Unternehmens zugeordnet wird. Diese Zuordnung kann als nahtlose zweistufige Authentifizierung verwendet werden.

  • Einmaliges Anmelden von Geräten, die dem Active Directory des Unternehmens zugeordnet sind.

  • Webanwendungsproxy. Hiermit können Benutzer überall eine Verbindung mit Anwendungen und Diensten herstellen.

  • Multi-Factor Access Control und Multi-Factor Authentication (MFA) zur Verwaltung der Risiken von Benutzern, die überall arbeiten und über ihre Geräte auf geschützte Daten zugreifen.

  • Arbeitsordner, mit denen Benutzern ein Speicherort für Speicherung und Zugriff auf Arbeitsdateien auf PCs und Geräten bereitgestellt wird.

Weitere Informationen finden Sie unter Active Directory-Dienste.

Zwar war auch das Managementteam von Contoso der Meinung, dass die neuen Features wertvoll sind, doch konnte es die Ressourcen für ein Upgrade von AD als Bestandteil im Zuge dieser Lösung nicht genehmigen. Vielmehr möchte das Managementteam das Upgrade des lokalen AD in den nächsten sechs Monaten durchführen.

Wenn Sie bereit sind, Ihr lokales AD zu aktualisieren und AD FS zu implementieren, finden Sie weitere Informationen unter Secure access to company resources from any location on any device (Sicherer Zugriff auf Unternehmensressourcen von einem beliebigen Standort über ein beliebiges Gerät).

In diesem Abschnitt werden die Schritte erläutert, die Contoso zur Implementierung der Lösung durchgeführt hat. Wenn Sie diese Schritte durchführen, überprüfen Sie in jedem Fall die richtige Bereitstellung jedes einzelnen Schritts, bevor Sie mit dem nächsten fortfahren.

  1. Abonnieren Sie Windows Intune.

    Erstellen Sie ein Windows Intune-Abonnement auf der Windows Intune-Website.

    • Verfügen Sie bereits über ein Benutzerkonto für einen anderen Clouddienst wie Office 365, dann können Sie auf Anmelden klicken und die Anmeldeinformationen des Kontos eingeben. Auf diese Weise können Sie dieselbe Benutzergruppe dienstübergreifend im Windows Azure AD-Mandanten Ihrer Organisation verwenden.

    Überprüfungsschritte: Wenn der Anmeldevorgang abgeschlossen ist, wird eine E-Mail an die von Ihnen angegebene Adresse gesendet. Klicken Sie auf den Link in der E-Mail, oder rufen Sie das Windows Intune-Kontoportal unter https://account.manage.microsoft.com auf, und überprüfen Sie, ob Sie sich anmelden können.

  2. Konfigurieren Sie Ihre öffentliche Domäne.

    1. Beschaffen Sie sich eine öffentliche Domäne. Zur Verwendung des Windows Intune-Diensts benötigen Sie außerdem einen öffentlichen Organisationsdomänennamen, der von Registrierungsdiensten für Domänennamen verifiziert werden kann. Fügen Sie Ihre öffentliche Domäne im Windows Intune-Kontoportal unter https://account.manage.microsoft.com unter dem Knoten Domänen hinzu und überprüfen Sie sie.

    2. Stellen Sie sicher, dass die öffentliche Domäne als alternatives UPN-Suffix im lokalen Active Directory hinzugefügt wurde. Zur Registrierung mobiler Geräte müssen die Benutzer denselben Benutzerprinzipalnamen (UPN) der öffentlichen Domäne in der Cloud und im lokalen Active Directory verwenden. Vor der Konfiguration der Verzeichnissynchronisierung müssen Sie überprüfen, ob Ihre Benutzer über einen UPN der öffentlichen Domäne verfügen. Wenn Sie diesen Schritt überspringen, wird möglicherweise „onmicrosoft.com“ an den Cloud-UPN der Benutzer angehängt, wodurch eine Diskrepanz zu den Benutzernamen im lokalen Active Directory entsteht. Weitere Informationen finden Sie unter Hinzufügen von Benutzerprinzipalnamen-Suffixen.

    3. Fügen Sie einen CNAME-Eintrag in DNS hinzu, durch den enterpriseenrollment.<öffentlichedomäne> auf manage.microsoft.com verwiesen wird. Der CNAME-Eintrag wird später als Teil des Anmeldevorgangs verwendet. Weitere Informationen finden Sie unter Hinzufügen eines Aliasressourceneintrags (CNAME) zu einer Zone.

    Überprüfungsschritte:

    • Überprüfen Sie auf der Seite Domänen des Windows Intune-Kontoportals, ob die öffentliche Domäne aufgeführt und verifiziert ist.

    • Zeigen Sie die Eigenschaften eines Benutzerkontos in Ihrem lokalen Active Directory an, um sicherzustellen, dass der UPN mit dem Namen der öffentlichen Domäne aufgeführt ist.

  3. Ermöglichen Sie einen sicheren Zugriff durch Benutzer mithilfe von DirSync mit der Kennwortsynchronisierung.

    Sie können die Kennwortsynchronisierung über Ihr Windows Intune-Kontoportal unter https://account.manage.microsoft.com konfigurieren. Klicken Sie im Knoten Benutzer des Portals auf Active Directory-Synchronisierung: Einrichtung, und befolgen Sie die Schritte unter Active Directory-Synchronisierung einrichten und verwalten. Sie aktivieren die Kennwortsynchronisierung, indem Sie bei der Ausführung des Konfigurations-Assistenten für das Verzeichnissynchronisierungs-Tool Kennwortsynchronisierung aktivieren auswählen.

    Siehe:

    Überprüfungsschritte: Melden Sie sich am Windows Intune-Kontoportal unter https://account.manage.microsoft.com an, um die Benutzerkonten anzuzeigen.

  4. Installieren Sie Ihren System Center 2012 R2 Configuration Manager-Standort bzw. Ihre System Center 2012 R2 Configuration Manager-Hierarchie.

    Nach dem Planen der System Center 2012 R2 Configuration Manager-Hierarchie wurde bei Contoso beschlossen, einen neuen eigenständigen primären Standort am Unternehmenssitz und Verteilungspunkte an den Remotestandorten zu installieren. Sie werden möglicherweise feststellen, dass für Ihre Hierarchie eine andere Konfiguration erforderlich ist. Führen Sie die folgenden Schritte aus, um Ihren System Center 2012 R2 Configuration Manager-Standort bzw. Ihre System Center 2012 R2 Configuration Manager-Hierarchie zu installieren.

    1. Wählen Sie einen Server aus, der die Hardware- und Softwarevoraussetzungen für das Hosten eines primären -Standorts erfüllt. Weitere Informationen finden Sie unter Planen der Hardwarekonfigurationen für Configuration Manager.

    2. Prüfen Sie die erforderliche Software und die unterstützten Betriebssysteme für das Hosten eines -Standorts. Weitere Informationen finden Sie unter Anforderungen an Standortsysteme.

    3. Konfigurieren Sie Ihre Windows-Umgebung für die Unterstützung von System Center 2012 R2 Configuration Manager. Weitere Informationen finden Sie unter Vorbereiten der Windows-Umgebung für Configuration Manager.

    4. Installieren Sie einen System Center 2012 R2 Configuration Manager-Standort. Weitere Informationen finden Sie unter Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager. Für diese Lösung wird von Contoso ein eigenständiger primärer Standort installiert. Die Schritte zum Installieren eines Standorts der zentralen Verwaltung oder eines sekundären Standorts werden übersprungen. Wenn Sie das Thema bearbeiten, wählen Sie Standorte aus, die für Ihre Umgebung geeignet sind.

    5. Installieren Sie einen Verteilungspunkt an Remotestandorten. Contoso hat festgestellt, dass an jedem Remotestandort anstelle eines sekundären Standorts ein Verteilungspunkt verwendet werden kann. Details zum Installieren und Konfigurieren eines Verteilungspunkts finden Sie unter Konfigurieren der Inhaltsverwaltung in Configuration Manager.

    Überprüfungsschritte

    Beobachten Sie den Fortschritt im Setup-Assistenten auf dem Servercomputer des primären Standorts. Das Ergebnis des Installationstasks für jeden Standort wird vom -Setup-Assistenten angezeigt. Sind alle Installationstasks abgeschlossen, können Sie den Assistenten schließen. Allerdings zeigt der Setup-Assistent nach Abschluss der Standortinstallation weiterhin Informationen zu laufenden Konfigurationen für den Standort an. Sie können diese überwachen, wenn Sie den Assistenten nicht schließen. Das Schließen des Setup-Assistenten hat keine Auswirkungen auf diese laufenden Konfigurationen, die nach dem Schließen des Assistenten weiterhin im Hintergrund ausgeführt werden. Überprüfen Sie in der Datei ConfigMgrSetup.log, ob der Standort erfolgreich installiert wurde.

  5. Konfigurieren Sie Verwaltungsfeatures und -funktionen.

    Nach dem Installieren Ihres Standorts oder Ihrer Hierarchie konfigurieren Sie den Standort für die Unterstützung derjenigen Verwaltungsfeatures und -funktionen von System Center 2012 R2 Configuration Manager, die Sie verwenden möchten. Sie müssen vor dem Konfigurieren des Windows Intune-Abonnements oder dem Installieren der Standortsystemrolle „Windows Intune-Connector“ in Schritt 8 die Active Directory-Benutzerermittlung konfigurieren. Siehe:

    1. Konfigurieren von Standorten und der Hierarchie in Configuration Manager

    2. Konfigurieren der Active Directory-Ermittlung für Computer, Benutzer oder Gruppen

  6. Migrieren Sie zu System Center 2012 R2 Configuration Manager.

    Wenn Sie Objekte aus Ihrer -Quellhierarchie migrieren, greifen Sie auf die Daten aus den Standortdatenbanken zu, die Sie in der Quellinfrastruktur identifizieren, und kopieren diese Daten dann in die System Center 2012 R2 Configuration Manager-Hierarchie. Durch eine Migration werden keine Daten in der Quellhierarchie verändert. Vielmehr werden die Daten ermittelt, und eine Kopie davon wird in der Datenbank der Zielhierarchie gespeichert. Weitere Informationen finden Sie unter Migrating Hierarchies in System Center 2012 Configuration Manager (Migrieren von Hierarchien in System Center 2012 Configuration Manager).

    So migrieren Sie Ihre -Daten zu System Center 2012 R2 Configuration Manager:

    1. Geben Sie Ihre  SP2-Hierarchie als Quellhierachie für die Migration an. Standardmäßig wird der Standort der obersten Ebene dieser Hierarchie zu einem Quellstandort der Quellhierarchie. Nach Abschluss der Datensammlung für den ersten Quellstandort können Sie weitere Quellstandorte für die Migration konfigurieren.

      startet die die Datensammlung am Quellstandort direkt nach der Angabe einer Quellhierarchie, der Konfiguration von Anmeldeinformationen für einen zusätzlichen Quellstandort in einer Quellhierarchie oder der Freigabe der Verteilungspunkte für einen Quellstandort. Standardmäßig wird der Datensammlungsprozess alle vier Stunden wiederholt, damit von Änderungen der ggf. zu migrierenden Daten in der Quellhierarchie identifiziert werden können. Die Datensammlung ist auch erforderlich, um Verteilungspunkte der Quellhierarchie für die Zielhierarchie freizugeben. Weitere Informationen finden Sie unter Konfigurieren von Quellhierarchien und Quellstandorten für die Migration zu System Center 2012 Configuration Manager.

    2. Erstellen Sie Migrationsaufträge zum Migrieren von Daten zwischen der Quell- und Zielhierarchie. Verwenden Sie zur Konfiguration von bestimmten Daten, die zur System Center 2012 R2 Configuration Manager-Umgebung migriert werden sollen, Migrationsaufträge. Von Migrationsaufträgen werden die zu migrierenden Objekte identifiziert. Diese Migrationsaufträge werden am Standort der obersten Ebene der Hierarchie ausgeführt. Weitere Informationen finden Sie unter Erstellen und Bearbeiten von Migrationsaufträgen für System Center 2012 Configuration Manager.

    3. Überwachen Sie die Migrationsaufträge. Überwachen Sie den Fortschritt der Migrationsaufträge in der System Center 2012 R2 Configuration Manager-Konsole. Weitere Informationen finden Sie unter Überwachen der Migrationsaktivität im Arbeitsbereich „Migration“.

    4. Führen Sie ein Upgrade für freigegebene Verteilungspunkte aus. Sie können ein Upgrade für einen unterstützten Verteilungspunkt ausführen, der von Ihrem -Quellstandort als Verteilungspunkt in der Zielhierarchie freigegeben ist. Weitere Informationen finden Sie unter Aktualisieren oder erneutes Zuweisen eines freigegebenen Verteilungspunkts in System Center 2012 Configuration Manager.

    5. Migrieren Sie -Clients nach System Center 2012 R2 Configuration Manager. Planen Sie die Migration der Clients zur Zielhierarchie, nachdem das Migrieren von Clientdaten zwischen Hierarchien fertig gestellt wurde, die Migration aber noch nicht abgeschlossen ist. Zum Migrieren von Clients zwischen Hierarchien installieren Sie die -Clientsoftware aus der Zielhierarchie. Der -Client wird deinstalliert, und der System Center 2012 R2 Configuration Manager-Client wird installiert und dem primären Standort zugewiesen. Weitere Informationen finden Sie unter Planen einer Strategie für die Clientmigration in System Center 2012 Configuration Manager.

    6. Schließen Sie den Migrationsvorgang ab: Wenn Ihre -Hierarchie keine Daten mehr enthält, die Sie zur Zielhierarchie migrieren möchten, können Sie den Migrationsprozess abschließen. Gehen Sie hierzu wie folgt vor:

      1. Vergewissern Sie sich, dass Sie alle Ressourcen aus der Quellhierarchie, die Sie in der Zielhierarchie benötigen, erfolgreich migriert haben. Bei diesen Ressourcen kann es sich um Daten und Clients handeln.

      2. Beenden Sie das Sammeln von Daten von allen Quellstandorten in Ihrer -Hierarchie. Hierzu führen Sie die Aktion Sammeln von Daten beenden für die Quellstandorte der untersten Ebene aus und wiederholen den Vorgang dann bei jedem übergeordneten Standort. Der Standort der obersten Ebene der Quellhierarchie muss der letzte Standort sein, an dem Sie die Datensammlung beenden. Beenden Sie die Datensammlung bei jedem untergeordneten Standort, ehe Sie diese Aktion bei einem übergeordneten Standort ausführen. Nach dem Beenden der Datensammlung können Sie keine Verteilungspunkte mehr zwischen Quell- und Zielhierarchie freigeben.

      3. Bereinigen Sie die Migrationsdaten. Hierzu verwenden Sie die Aktion Migrationsdaten bereinigen. Mit diesem optionalen Vorgang werden Daten zur aktuellen Quellhierarchie aus der Datenbank der Zielhierarchie entfernt. Bis die Migrationsdaten bereinigt wurden, sind alle geplanten und ausgeführten Migrationsaufträge in der -Konsole verfügbar. Beim Bereinigen der Migrationsdaten werden die meisten Daten zur Migration aus der Datenbank der Zielhierarchie entfernt. Weitere Informationen finden Sie unter Abschließen der Migration in System Center 2012 Configuration Manager.

      Überprüfungsschritte: Die Migration besteht aus mehreren separaten Aktionen oder Phasen und erstreckt sich über einen gewissen Zeitraum, der mit Ihrer Entscheidung endet, den Migrationsvorgang zu beenden. Aus diesem Grund gibt es keinen einzelnen Überprüfungsschritt oder -vorgang, den Sie kontrollieren können, um die Vollständigkeit der Migration zu bestätigen. Stattdessen können Sie die Ergebnisse überprüfen, wenn diese bei oder nach der Ausführung der Aktionen für die einzelnen Phasen in der System Center 2012 R2 Configuration Manager-Konsole angezeigt werden.

    7. Setzen Sie Ihre -Hierarchie außer Betrieb: Wenn die Migration aus einer Quellhierarchie abgeschlossen ist und in dieser Hierarchie keine Ressourcen mehr enthalten sind, die von Ihnen verwaltet werden, können Sie die Standorte der Quellhierarchie außer Betrieb nehmen und die entsprechende Infrastruktur aus der Umgebung entfernen. Weitere Informationen finden Sie unter Aufgaben zum Außerbetriebsetzen von Standorten und Hierarchien in Configuration Manager.

  7. Abrufen von Zertifikaten oder Schlüsseln für mobile Geräte

    Contoso muss über Zertifikate oder Sideload-Schlüssel verfügen, um mobile Geräte registrieren zu können. Durch die Arten von mobilen Geräten in Ihrer Umgebung wird bestimmt, welche Zertifikate oder Sideload-Schlüssel Sie benötigen. Weitere Informationen finden Sie unter Abrufen von Zertifikaten oder Schlüsseln zum Erfüllen der plattformspezifischen Voraussetzungen.

  8. Konfigurieren Sie das Windows Intune-Abonnement, und installieren Sie die Standortsystemrolle „Windows Intune-Connector“ auf dem Standort der obersten Ebene.

    Damit von Contoso zum Verwalten mobiler Geräte verwendet werden kann, müssen das Windows Intune-Abonnement konfiguriert und die Standortsystemrolle „Windows Intune-Connector“ auf dem Standortserver der obersten Ebene installiert werden. Hierzu wird der eigenständige primäre Standort von Contoso konfiguriert. Wenn Sie eine komplexere Hierarchie betreiben, konfigurieren Sie Ihren zentralen Verwaltungsstandort.

    1. Konfigurieren Sie Ihr Windows Intune-Abonnement. Weitere Informationen finden Sie unter Konfigurieren des Windows Intune-Abonnements.

    2. Installieren Sie den Windows Intune-Connector. Weitere Informationen finden Sie unter Die Standortsystemrolle „Windows Intune-Connector“.



    Überprüfungsschritte:

    • Überprüfen Sie auf dem primären Standortservercomputer in der Datei sitecomp.log, ob die Standortsystemrolle „Windows Intune-Connector“ erfolgreich installiert wurde.

    • Überprüfen Sie auf dem Computer, auf dem Sie den Windows Intune-Connector installieren, in der Datei cloudusersync.log, ob die Benutzer Ihrer Domäne erfolgreich zu Windows Intune synchronisiert wurden.

    • Überprüfen Sie auf dem primären Standortservercomputer in der Datei CertMgr.log, ob das Connectorzertifikat auf dem Computer, auf dem Sie den Windows Intune-Connector installiert haben, freigegeben wurde. Das Zertifikat wird nach Abschluss der Installation der Standortsystemrolle „Windows Intune-Connector“ freigegeben.

    • Überprüfen Sie auf dem Computer, auf dem Sie den Windows Intune-Connector installieren, in der Datei dmpuploader.log, ob von der Connector-Standortsystemrolle Richtlinien- und Konfigurationsänderungen zum Windows Intune-Dienst hochgeladen werden können.

    • Überprüfen Sie auf dem Computer, auf dem Sie den Windows Intune-Connector installieren, in der Datei dmpdownloader.log, ob durch den Windows Intune-Connector Nachrichten von Windows Intune heruntergeladen werden können. Für den Beginn des Downloadvorgangs wird in dieser Protokolldatei möglicherweise nur ein Ping angezeigt, und es kann einige Zeit dauern, bis mit Downloads in Zusammenhang stehende Einträge protokolliert werden.

  9. Melden Sie mobile Geräte an.

    Durch die Anmeldung wird eine Beziehung zwischen dem Benutzer, dem mobilen Gerät und dem Windows Intune-Dienst hergestellt. Benutzer melden ihre eigenen mobilen Geräte an. Android-Geräte werden nicht angemeldet, sie können aber mithilfe von Exchange Server-Connector verwaltet werden. Weitere Informationen finden Sie unter Anmeldung mobiler Geräte.

  10. Installieren Sie die System Center 2012 R2 Configuration Manager-Konsole.

    Standardmäßig wird, wenn Sie einen primären Standort installieren, auch die -Konsole auf dem primären Standortservercomputer installiert. Nach der Installation des Standorts können Sie weitere System Center 2012 R2 Configuration Manager-Konsolen auf Computern installieren, um den Standort zu verwalten. Weitere Informationen finden Sie unter Installieren einer Configuration Manager-Konsole.

  11. Verwalten Sie Ihre PCs und mobilen Geräte.

    Nachdem Sie die Installation und die grundlegende Konfiguration Ihres Standorts durchgeführt haben, können Sie mit dem Verwalten Ihrer PCs und mobilen Geräte beginnen. Nachfolgend aufgeführt sind Features und Funktionen, die typischerweise von Ihnen konfiguriert werden können:

     

    Feature Details

    Hardwareinventur

    Sammeln Sie mit der Hardwareinventur Informationen zur Hardwarekonfiguration der Clientgeräte in Ihrer Organisation.

    Softwareinventur

    Sammeln Sie mit der Softwareinventur Informationen zu Dateien, die auf Clientgeräten in Ihrer Organisation vorliegen. Zusätzlich können bei der Softwareinventur Dateien von Clientgeräten gesammelt und auf dem Standortserver gespeichert werden.

    Asset Intelligence

    Führen Sie mit Asset Intelligence im gesamten Unternehmen eine Inventur der Softwarelizenzverwendung durch, und verbessern Sie den Umfang der zu Hardware und Software erfassten Informationen.

    Kompatibilitätseinstellungen

    Verwenden Sie die Kompatibilitätseinstellungen zum Verwalten von Konfiguration und Kompatibilität Ihrer Server, Laptops, Desktopcomputer und mobilen Geräte in Ihrer Organisation.

    Zugriff auf Unternehmensressourcen

    Vermitteln Sie über den Zugriff auf Unternehmensressourcen Ihren Benutzern von Remotestandorten aus Zugriff auf Daten und Anwendungen. Hierzu konfigurieren Sie:

    • Zertifikatprofile

    • VPN-Profile

    • WLAN-Profile

    Remoteverbindungsprofile

    Verwenden Sie Remoteverbindungsprofile, um Benutzern das Herstellen von Remoteverbindungen mit Arbeitscomputern zu ermöglichen, wenn keine Verbindung mit der Domäne besteht oder die Benutzer über das Internet mit dem PC verbunden sind.

    Anwendungsverwaltung

    Verwalten Sie mit der Anwendungsverwaltung Anwendungen in Ihrem Unternehmen sowohl für -Administratoren als auch für Benutzer von Clientgeräten.

    Softwareupdates

    Überwachen Sie mit Softwareupdates die Kompatibilität, und stellen Sie Softwareupdates in Ihrem Unternehmen bereit.

    Verwalten mobiler Geräte

    Dieser exemplarischen Vorgehensweise können Sie entnehmen, wie Sie Windows Phone 8-, Windows RT-, iOS- und Android-Geräte mithilfe des Windows Intune-Diensts über das Internet verwalten.

    Zurücksetzen von Unternehmensinhalt auf mobilen Geräten

    Sie können Windows Phone 8-, iOS- und Android-Geräte vollständig zurücksetzen, um die Werkseinstellungen wiederherzustellen. Alternativ können Sie eine selektive Zurücksetzung ausführen, bei der nur Unternehmensinhalte entfernt werden.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft