(0) exportieren Drucken
Alle erweitern

Optimierte Verwaltung mobiler Geräte und Computer in einer Hybridumgebung

Letzte Aktualisierung: August 2014

Betrifft: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

Zielgruppe dieses Handbuchs: Unternehmen, die mobile Geräte und PCs lokal und remote verwalten müssen, indem sie ihre vorhandene Konfigurationsmanager-Infrastruktur verwenden, um die Nachfragen der Mitarbeiter zur Verwendung dieser Geräte für den Zugriff auf Unternehmensressourcen zu unterstützen.

Wie kann Ihnen dieses Handbuch helfen? Dieses Handbuch enthält einen genehmigten, getesteten Entwurf, der Folgendes erläutert:

  • Aktualisieren Ihrer vorhandenen lokalen Konfigurationsmanager-Infrastruktur und deren Erweiterung auf die Cloud, damit Ihre Benutzer über ein Gerät ihrer Wahl remote arbeiten können.

  • Vereinen der Verwaltung von PC und mobilem Gerät zu einer einzelnen Infrastruktur.

  • Einhalten unternehmensbezogener Richtlinien für alle Geräte.

  • Schützen von Unternehmensdaten.

In dieser Lösung:

Das folgende Diagramm veranschaulicht das Problem, das dieses Lösungshandbuch behandelt.

Allgemeine Übersicht über das Problem

 

Diagramm 1: Allgemeine Übersicht über das Problem.

In diesem Abschnitt werden das Szenario, das Problem und die Ziele für ein Beispielunternehmen beschrieben.

Diese Lösung verwendet ein Beispielunternehmen mit mehr als 5.000 Mitarbeitern, die ihre privaten Geräte mit Windows Phone 8, Windows RT, iOS und Android mit zur Arbeit bringen. Derzeit besteht keine Möglichkeit, über diese Geräte auf die Unternehmensressourcen zuzugreifen.

Im Unternehmen wird Microsoft System Center Configuration Manager 2007 SP2 verwendet, um lokale PCs für Benutzer zu verwalten, die eine Remoteverbindung zum Unternehmensnetzwerk über VPN herstellen. Das Unternehmen ist nicht in der Lage, mobile Geräte zu verwalten.

Die Infrastruktur der Unternehmensumgebung umfasst Folgendes:

  • Windows Server 2008 R2

  • Windows Server 2008 R2 Active Directory

  • Configuration Manager 2007 SP2

  • PCs, die der Domäne angehören und von Konfigurationsmanager verwaltet werden

Die aktuelle Umgebung für das Unternehmen wird im folgenden Diagramm veranschaulicht.

Allgemeine Übersicht über die Umgebung des Unternehmens

Diagramm 2: Allgemeine Übersicht über die aktuelle Umgebung

Die aktuelle Infrastruktur zur Geräteverwaltung unterstützt die wachsenden Anforderungen des Beispielunternehmens nicht:

  • Sie verwalten die PCs in ihrer aktuellen Umgebung, können aber keine mobilen Geräte verwalten.

  • Sie stellen einigen Mitarbeitern firmeneigenen mobile Geräte bereit. Andere Mitarbeiter möchten Ihre privaten Geräte bei der Arbeit verwenden.

Das Unternehmen hat zudem Bedenken hinsichtlich der zur Verwaltung dieser Geräte erforderlichen Ressourcen. Es ist teuer, viele PCs, Geräte und Anwendungen zu unterstützen, und die Geräteverwaltung kann die IT-Abteilung rund um die Uhr in Anspruch nehmen.

Das Unternehmen muss das Risiko bewältigen und sicherstellen, dass alle Geräte, sowohl firmeneigene als auch private, den Sicherheitsrichtlinien entsprechen.

  • Die Geräteverwaltung stellt für die Ressourcen und Informationen im Unternehmen ein Sicherheitsrisiko dar. Sobald die Mitarbeiter auf einem Gerät arbeiten, das nicht von der IT-Abteilung verwaltet wird (oder die nicht darüber informiert ist), wird es sehr schwierig, die Kontrolle über vertrauliche Unternehmensdaten zu behalten.

  • Die IT-Abteilung hat keine Möglichkeiten, wenn das Gerät verkauft oder gestohlen wird bzw. verloren geht.

Das Beispielunternehmen ist auf der Suche nach einer Lösung, die ihnen Folgendes ermöglicht:

  • Die vorhandene Konfigurationsmanager-Infrastruktur verwenden. Die IT-Abteilung hat zahlreiche Ressourcen in die aktuelle Infrastruktur investiert und möchte nicht von vorne beginnen.

  • Mitarbeitern die Verwendung privater sowie firmeneigener Geräte gestatten, um auf die Anwendungen und Daten im Unternehmen zuzugreifen. Dazu zählen PCs und mobile Geräte.

  • PCs und private Geräte über eine einzelne Administratorkonsole verwalten. Die Verwaltung von Geräten umfasst das Festlegen von Sicherheits- und Kompatibilitätseinstellungen, die Erfassung des Software- und Hardwarebestands oder die Bereitstellung von Software.

  • Anwendungen oder Weblinks auf Basis des Gerätetyps oder der Tatsache bereitstellen, ob es sich um ein privates oder firmeneigenes Gerät handelt.

  • Das Unternehmen schützen, indem die auf mobilen Geräten gespeicherten Unternehmensdaten gelöscht werden, wenn das Gerät verloren geht oder gestohlen bzw. ausgesondert wird.

Das Unternehmen muss folgende Schritte zur Lösung des Problems und zur Einhaltung der Unternehmensziele ausführen:

  • Eine neue eigenständige primäre System Center 2012 R2 Configuration Manager-Website am Hauptsitz sowie Verteilungspunkte an Remotestandorten installieren.

  • Objekte und Verteilungspunkte von der vorhandenen Konfigurationsmanager 2007 SP2-Infrastruktur zu System Center 2012 R2 Configuration Manager migrieren.

  • Windows Intune abonnieren und den Windows Intune-Connector in Konfigurationsmanager konfigurieren, um die Integration mit Windows Intune vorzunehmen.

  • Die vorhandenen Domänenbenutzerkonten mit Windows Azure synchronisieren, da Windows Intune ein Clouddienst ist. Dadurch können die Benutzer verwaltet werden, die über ihre mobilen Geräte auf die Unternehmensressourcen zugreifen können.

  • Die Kennwortsynchronisierung dazu verwenden, dass Benutzer ihre lokalen Domänenbenutzernamen und zugehörigen Kennwörter für Clouddienste verwenden können.

Das folgende Diagramm veranschaulicht, wie die Elemente in dieser Lösung untereinander kommunizieren.

Allgemeine Übersicht über die Lösung des Unternehmens

Diagramm 3: Allgemeine Übersicht über die Lösung

 

 

Lösungsentwurfselement Warum ist es in dieser Lösung enthalten?

System Center 2012 R2 Configuration Manager

Bietet eine sichere und skalierbare Softwarebereitstellung, die Verwaltung von Kompatibilitätseinstellungen und eine umfassende Ressourcenverwaltung für Server, Desktopcomputer, Laptops und mobile Geräte (wenn Windows Intune integriert ist).

Windows Intune

Verwaltet mobile Geräte über das Internet. Bei einer Integration mit System Center 2012 R2 Configuration Manager können Sie sowohl PCs als auch mobile Geräte über die Konfigurationsmanager-Konsole verwalten.

Windows Azure Active Directory (AD)

Ein Dienst, der Identitäts- und Zugriffsfunktionen für lokale und Cloudanwendungen bereitstellt.

Windows Azure-Verzeichnissynchronisierung (DirSync)

Synchronisiert lokale Active Directory-Benutzer mit Windows Azure AD.

Kennwortsynchronisierung

Gestattet Benutzern die Verwendung derselben Namen und Kennwörter für lokale und für Clouddienste.

System Center 2012 R2 Configuration Manager kann die Eignung des Unternehmens zur lokalen Verwaltung von PCs durch die Integration von Windows Intune auf die Cloud erweitern. Durch die Verwendung von Konfigurationsmanager mit Windows Intune kann das Unternehmen sowohl die lokalen PCs als auch die mobilen Geräte über eine einzelne Konsole verwalten. Es soll auch der Mehraufwand für die IT-Abteilung verringert werden.

Daher will das Unternehmen eine eigenständige primäre System Center 2012 R2 Configuration Manager-Website am Hauptsitz sowie Verteilungspunkte an Remotestandorten installieren.

Dann sollen Objekte von der Configuration Manager 2007 SP2-Umgebung zu System Center 2012 R2 Configuration Manager migriert werden.

Folgende Gründe haben das Unternehmen zur Migration bewegt:

  • Integrierte Lösung: Das Unternehmen erwartet eine integrierte Lösung, mit der es sowohl PCs als auch mobile Geräte über eine einzelne Konsole verwalten können. System Center 2012 R2 Configuration Manager mit Windows Intune stellt diese integrierte Lösung bereit.

  • Vereinfachte Hierarchie: Mit System Center 2012 R2 Configuration Manager hat das Unternehmen festgestellt, dass an den Remotestandorten keine sekundären Websites mehr erforderlich sind, wie in den folgenden Diagrammen veranschaulicht.

     

    Vorhandene Hierarchie, Configuration Manager 2007  

    Diagramm 3: Vorhandene Hierarchie, Configuration Manager 2007

     

     

    Neue Hierarchie, System Center 2012 R2 ConfigMgr  

    Diagramm 4: Neue Hierarchie, System Center 2012 R2 Configuration Manager

     

     

    Entscheidende Faktoren für die vereinfachte Hierarchie:

    • Rollenbasierte Administration: Mithilfe der rollenbasierten Verwaltung in System Center 2012 R2 Configuration Manager kann das Unternehmen eine administrative Sicherheit für die System Center 2012 R2 Configuration Manager-Hierarchie entwerfen und implementieren, indem es eine beliebige Option oder alle folgenden Optionen verwendet:

      • Sicherheitsrollen

      • Sammlungen

      • Sicherheitsbereiche

      Von diesen Einstellungen wird ein Verwaltungsbereich für einen Administrator definiert. Mit diesem Verwaltungsbereich werden die Objekte, die ein Administrator in der Konfigurationsmanager-Konsole anzeigen kann, sowie die Berechtigungen dieses Benutzers in Bezug auf diese Objekte verwaltet. Weitere Informationen finden Sie unter Planen der rollenbasierten Verwaltung.

    • Inhaltsverwaltung: In System Center 2012 R2 Configuration Manager kann das Unternehmen die Netzwerkbandbreite konfigurieren, die zum Übertragen von Inhalten zu Verteilungspunkten und zur Vorabbereitstellung an Remotestandorten verwendet wird. Weitere Informationen finden Sie unter Überlegungen zur Netzwerkbandbreite für Verteilungspunkte.



  • Migrieren von Objekten: Das Unternehmen verwendet die Migrationstools, um die Objekte von Configuration Manager 2007 SP2 zur System Center 2012 R2 Configuration Manager-Hierarchie zu migrieren. Die IT-Abteilung des Unternehmens hat sehr viel Zeit in die Erstellung von Konfigurationsmanager-Objekten wie Sammlungen, Tasksequenzen, Konfigurationselementen usw. investiert. Durch die Migration können Sie von dieser Investition profitieren.

  • Neueste Features: Das Unternehmen ist auch an den neuen Features von System Center 2012 R2 Configuration Manager interessiert, die sich nicht direkt auf diese Lösung beziehen. Weitere Informationen finden Sie unter Neues in System Center 2012 R2 Configuration Manager.

Der Windows Intune-Dienst ermöglicht die cloudbasierte Verwaltung von mobilen Geräten. Das Unternehmen abonniert Windows Intune und integriert dann Windows Intune mit System Center 2012 R2 Configuration Manager, um sowohl PCs als auch mobile Geräte über die Konfigurationsmanager-Konsole zu verwalten.

Ein Abonnement von Windows Intune unterstützt das Ziel des Unternehmens, eine integrierte Lösung zu erhalten, mit der sowohl PCs als auch mobile Geräte verwaltet werden können.

Das Unternehmen hat Verwaltungslösungen für mobile Geräte von Drittanbietern berücksichtigt. Keine dieser Lösungen bietet die gewünschte Integration. Sie möchten auch nicht zu anderen Produkten wechseln, bei denen Schulungs- und Implementierungskosten anfallen würden.

Ein weiterer Vorteil ist, dass das Unternehmen sein Benutzerkonto für das Windows Intune-Abonnement verwenden kann, wenn es einige Monate später Microsoft Office 365 abonniert.

TipTipp
Wenn im Unternehmen bereits Microsoft Online Services für Dienste wie Microsoft Office 365 verwendet werden, nutzen Sie dasselbe Benutzerkonto, wenn Sie Windows Intune abonnieren. Auf diese Weise können Sie für alle Dienste im Windows Azure AD-Mandanten des Unternehmens dieselbe Gruppe von Benutzern verwenden. Wenn Sie sich nicht als vorhandener Benutzer anmelden, wird ein neuer Windows Azure AD-Mandant für Sie erstellt. Sie müssen dann Benutzer zum neuen Mandanten hinzufügen.

Windows Intune verwendet Windows Azure AD zum Speichern von Benutzerkonten. Microsoft-Clouddienste wie Windows Intune und Office 365 vertrauen auf die von Windows Azure AD bereitgestellten Funktionen zur Identitätsverwaltung.

Das verwendet die Windows Azure-Verzeichnissynchronisierung (DirSync), um lokale Windows Server AD-Benutzer mit Windows Azure AD zu synchronisieren. Die Verzeichnissynchronisierung ist als fortlaufende Beziehung zwischen dem lokalen Active Directory und dem cloudbasierten Windows Azure AD konzipiert. Das Unternehmen hat die Verzeichnissynchronisierung für folgende Aufgaben ausgewählt:

  • Reduzieren der Verwaltungskosten: Ohne die Verzeichnissynchronisierung müsste das Unternehmen seine Benutzer- und Gruppenkonten manuell zu Windows Azure AD hinzufügen. Die Verzeichnis Synchronisierung synchronisiert die Benutzerkonten von einem lokalen Windows Server AD zu Windows Azure AD. Nachdem Sie die Verzeichnissynchronisierung aktiviert haben, können Sie synchronisierte Objekte in Ihrer lokalen Umgebung bearbeiten, und diese Änderungen werden mit Ihrem Windows Intune-Abonnement synchronisiert, wodurch die Verwaltungskosten reduziert werden.

  • Erhöhen der Produktivität: Durch die Automatisierung der Synchronisierung von Benutzer- und Gruppenkonten kann das Unternehmen den Zeitaufwand erheblich verringern, der benötigt wird, um cloudbasierte Dienste für seine Mitarbeiter zur Verfügung zu stellen.

Bei der Planung der Verzeichnissynchronisierung hat das Unternehmen die Hardwareanforderungen, Administratorrechte, Leistungsüberlegungen usw. berücksichtigt. Diese Anforderungen sind unter Vorbereiten der Verzeichnissynchronisierung dokumentiert.

Die Benutzerauthentifizierung muss konfiguriert werden oder die Mitarbeiter im Unternehmen müssen einen anderen Benutzernamen und separate Kennwörter verwenden, um auf die Cloud- und lokalen Dienste zuzugreifen. Das Unternehmen hat sich dazu entschieden, dass eine Benutzerauthentifizierung erforderlich ist, um einen Verwaltungsmehraufwand beim Verwalten anfänglicher und fortlaufender Kennwortänderungen zu vermeiden und eine höhere Benutzerfreundlichkeit zu bieten. Es wurde entschieden, die Kennwortsynchronisierung zur Benutzerauthentifizierung zu verwenden.

Das Unternehmen hat die folgenden Authentifizierungsmethoden für den Mitarbeiterzugriff auf Cloud- und lokale Ressourcen mit denselben Anmeldeinformationen in Erwägung gezogen:

  • Die Kennwortsynchronisierung ist eine einfache Option, die Benutzern eine Benutzererfahrung bietet, die der einmaligen Anmeldung ähnlich und sehr einfach bereitzustellen ist. Die Kennwortsynchronisierung ist eine Option, die Sie innerhalb der Verzeichnissynchronisierung auswählen können und die es der Verzeichnissynchronisierung gestattet, ein Hash des Kennworts in Windows Azure AD zu speichern. Wenn die Kennwortsynchronisierung auf dem für die Verzeichnissynchronisierung zuständigen Computer aktiviert ist, können sich Ihre Benutzer bei Microsoft-Clouddiensten wie Office 365, Dynamics CRM und Windows Intune mithilfe desselben Kennworts anmelden, das sie für die Anmeldung beim lokalen Netzwerk verwenden. Wenn die Benutzer ihre Kennwörter im Unternehmensnetzwerk ändern, werden diese Änderungen mit der Cloud synchronisiert.

    Die Kennwortsynchronisierung bietet jedoch keine Lösung mit einmaliger Anmeldung (Single Sign-On, SSO), die Sie bei Verwendung von AD FS erhalten. Die Benutzer müssen ihre Anmeldeinformationen bei jedem Zugriff auf einen Clouddienst erneut eingeben. Weitere Informationen finden Sie unter:

  • Active Directory-Verbunddienste (AD FS) bieten eine echte SSO-Erfahrung (einmalige Anmeldung), die mit Active Directory-Authentifizierungsprotokollen zusammenarbeitet. Das lokale Active Directory und die Active Directory-Verbunddienste (AD FS) interagieren mit der Windows Azure AD-Identitätsplattform, um den Zugriff auf einen oder mehrere Microsoft-Clouddienste zu ermöglichen. Wenn die einmalige Anmeldung konfiguriert ist, wird zwischen der Domäne und dem Windows Azure AD-Authentifizierungssystem eine Verbundvertrauensstellung erstellt. Die Benutzer können sich mithilfe von Clouddiensten und lokalen Diensten authentifizieren, indem sie für beide denselben Benutzernamen und dasselbe Kennwort verwenden. Nachdem ein Benutzer authentifiziert wurde, wird er nicht länger zur Eingabe seiner Anmeldeinformationen aufgefordert, wenn er auf einen Clouddienst zugreift.

Das Unternehmen hat sich aus verschiedenen Gründen dazu entschieden, die Kennwortsynchronisierung zur Benutzerauthentifizierung zu verwenden. Die Konfiguration der Kennwortsynchronisierung gestaltet sich für die Verzeichnissynchronisierung sehr einfach, deren Verwendung bereits für die Synchronisierung der lokalen Benutzerkonten geplant ist. Zudem ist geplant, die vorhandenen Domänencontroller innerhalb der nächsten sechs Monate auf Windows Server 2012 R2 zu aktualisieren. AD FS ist eine Siterolle in Windows Server 2012 R2 und verfügt über eine Vielzahl neuer Features. Das Unternehmen plant die Implementierung von AD FS für die Aktualisierung der Domänencontroller. Weitere Informationen zum Implementieren von AD FS in Windows Server 2012 R2 finden Sie unter:

Das Unternehmen hat sich zur Benutzerauthentifizierung für die Kennwortsynchronisierung entschieden. Sie können sich jedoch auch für die Implementierung von AD FS für die einmalige Anmeldung in Ihrer Umgebung entscheiden. Weitere Informationen finden Sie unter:

Das Unternehmen hat sich dazu entschieden, sein lokales Active Directory im Rahmen dieser Lösung nicht zu aktualisieren. Eine Aktualisierung ist jedoch innerhalb der nächsten sechs Monate vorgesehen.

Die IT-Abteilung des Unternehmens hat vorgeschlagen, dass das lokale Active Directory im Rahmen der Lösung aktualisiert wird. In Windows Server 2012 R2 wurde Active Directory mit den folgenden Funktionen erweitert:

  • Geräteregistrierung. IT-Administratoren können einem Gerät die Registrierung gestatten, wodurch das Gerät dem Active Directory des Unternehmens zugeordnet wird. Diese Zuordnung kann als übergangslose Zweitfaktorauthentifizierung verwendet werden.

  • Einmalige Anmeldung (Single Sign-On, SSO) über Geräte, die dem Active Directory des Unternehmens zugeordnet sind.

  • Webanwendungsproxy, der es Benutzern gestattet, von überall aus Verbindungen zu Anwendungen und Diensten herzustellen.

  • Multi-Factor Access Control und Multi-Factor Authentication (MFA), die das Risiko von Benutzern bewältigen, die von überall aus arbeiten und über ihre Geräte auf geschützte Daten zugreifen.

  • Arbeitsordner, die Benutzern einen Speicherort für arbeitsbezogene Dateien auf PCs und Geräten bieten, an dem sie diese Dateien speichern und bearbeiten können.

Weitere Informationen finden Sie unter Active Directory-Dienste.

Obwohl das Managementteam des Unternehmens die Bedeutung der neuen Features bestätigt hat, konnten sie die Ressourcen nicht genehmigen, die für die Aktualisierung von Active Directory im Rahmen dieser Lösung erforderlich sind. Das Managementteam möchte das lokale Active Directory in den nächsten sechs Monaten aktualisieren.

Wenn Sie bereit sind, das lokal Active Directory zu aktualisieren und die Active Directory-Verbunddienste (AD FS) zu implementieren, finden Sie weitere Informationen unter Sicherer Zugriff auf Unternehmensressourcen – von beliebigen Orten aus und auf jedem Gerät.

Dieser Abschnitt enthält die Schritte, die das Unternehmen zur Implementierung der Lösung ausgeführt hat. Wenn Sie diese Schritte befolgen, stellen Sie sicher, dass Sie die ordnungsgemäße Implementierung der einzelnen Schritte überprüfen, bevor Sie mit dem nächsten Schritt fortfahren.

  1. Abonnieren Sie Windows Intune.

    Erstellen Sie auf der Website Windows Intune ein Windows Intune-Abonnement.

    • Wenn Sie bereits über ein Benutzerkonto für einen anderen Clouddienst wie Office 365 verfügen, können Sie auf Anmelden klicken, um die Anmeldeinformationen für das Konto einzugeben. Auf diese Weise können Sie dieselbe Gruppe von Benutzern für alle Dienste des Windows Azure AD-Mandanten in Ihrem Unternehmen freigeben.

    Überprüfungsschritte: Nachdem Sie den Anmeldungsprozess abgeschlossen haben, wird eine E-Mail an die von Ihnen bereitgestellte E-Mail-Adresse gesendet. Klicken Sie auf den in dieser E-Mail enthaltenen Link, oder wechseln Sie zum Windows Intune-Kontoportal unter https://account.manage.microsoft.com, und überprüfen Sie, ob Sie sich anmelden können.

  2. Konfigurieren Sie Ihre öffentliche Domäne.

    1. Besorgen Sie sich eine öffentliche Domäne. Damit Sie den Windows Intune-Dienst verwenden können, benötigen Sie auch einen öffentlichen Domänennamen für das Unternehmen, der über einen Domänennamen-Registrierungsdienst überprüft werden kann. Fügen Sie Ihre öffentliche Domäne im Windows Intune-Kontoportal unter https://account.manage.microsoft.com über den Knoten Domänen hinzu, und überprüfen Sie sie anschließend.

    2. Stellen Sie sicher, dass die öffentliche Domäne als alternatives UPN-Suffix zum lokalen Active Directory hinzugefügt wurde. Benutzer müssen für die Cloud und das lokale Active Directory denselben Benutzerprinzipalnamen (User Principal Name, UPN) für die öffentliche Domäne verwenden, um mobile Geräte registrieren zu können. Sie müssen überprüfen, ob Ihre Benutzer einen UPN für die öffentliche Domäne besitzen, bevor Sie die Verzeichnissynchronisierung konfigurieren können. Wenn Sie diesen Schritt überspringen, wird für die Benutzer möglicherweise "onmicrosoft.com" an den Benutzerprinzipalnamen (UPN) für die Cloud angefügt, was zu einem Konflikt mit den lokalen Active Directory-Benutzernamen führt. Weitere Informationen finden Sie unter Hinzufügen von Benutzerprinzipalnamen-Suffixen.

    3. Fügen Sie einen CNAME-Eintrag in DNS hinzu, der enterpriseenrollment.<öffentliche_Domäne> auf manage.microsoft.com verweist. Der CNAME-Eintrag wird später im Rahmen des Registrierungsvorgangs verwendet. Weitere Informationen finden Sie unter Hinzufügen eines Aliasressourceneintrags (CNAME) zu einer Zone.

    Überprüfungsschritte:

    • Prüfen Sie die Seite Domänen des Windows Intune-Kontoportals, um sicherzustellen, dass die öffentliche Domäne aufgelistet und überprüft wurde.

    • Prüfen Sie die Eigenschaften eines Benutzerkontos in Ihrem lokalen Active Directory, um sicherzustellen, dass der Benutzerprinzipalname (UPN) mit dem öffentlichen Domänennamen aufgelistet wird.

  3. Stellen Sie den sicheren einfachen Zugriff für Benutzer bereit, indem Sie die Kennwortsynchronisierung für die Verzeichnissynchronisierung verwenden.

    Sie können die Kennwortsynchronisierung über Ihr Windows Intune-Kontoportal unter https://account.manage.microsoft.com konfigurieren. Klicken Sie auf dem Portal im Knoten Benutzer auf Active Directory-Synchronisierung: Einrichten, und befolgen Sie dann die Schritte, die unter Active Directory-Synchronisierung einrichten und verwalten aufgeführt sind. Sie können die Kennwortsynchronisierung während der Ausführung des Konfigurations-Assistenten für die Verzeichnissynchronisierung aktivieren, indem Sie die Option Kennwortsynchronisierung aktivieren auswählen.

    Weitere Informationen finden Sie unter:

    Überprüfungsschritte: Prüfen Sie das Windows Intune-Kontoportal unter https://account.manage.microsoft.com, um die Benutzerkonten anzuzeigen.

  4. Installieren Sie Ihre System Center 2012 R2 Configuration Manager-Website oder -Hierarchie.

    Im Anschluss an die Planung der System Center 2012 R2 Configuration Manager-Hierarchie wurde im Unternehmen entschieden, dass eine eigenständige primäre Website am Hauptsitz sowie Verteilungspunkte an den Remotestandorten installiert werden. Möglicherweise werden Sie feststellen, dass Ihre Hierarchie eine andere Konfiguration erfordert. Installieren Sie Ihre System Center 2012 R2 Configuration Manager-Website oder -Hierarchie über die folgenden Schritte:

    1. Ermitteln Sie einen Server, der sowohl die Software- als auch die Hardwareanforderungen zum Hosten einer primären Konfigurationsmanager-Website erfüllt. Weitere Informationen finden Sie unter Planen der Hardwarekonfigurationen für Configuration Manager.

    2. Überprüfen Sie die erforderliche Software und unterstützten Betriebssysteme für das Hosten einer Konfigurationsmanager-Website. Weitere Informationen finden Sie unter Anforderungen für Standortsysteme.

    3. Konfigurieren Sie Ihre Windows-Umgebung für die Unterstützung von System Center 2012 R2 Configuration Manager. Weitere Informationen finden Sie unter Vorbereiten der Windows-Umgebung für Configuration Manager.

    4. Installieren Sie eine System Center 2012 R2 Configuration Manager-Website. Weitere Informationen finden Sie unter Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager. Für diese Lösung will das Unternehmen eine eigenständige primäre Website installieren und die Schritte zum Installieren einer zentralen Verwaltungswebsite oder sekundären Website überspringen. Wählen Sie die für Ihre Umgebung geeigneten Websites aus, während Sie dieses Thema behandeln.

    5. Installieren Sie einen Verteilungspunkt an Remotestandorten. Im Beispielunternehmen wurde ermittelt, dass an jedem seiner Remotestandorte ein Verteilungspunkt verwendet werden kann, anstatt an jedem Standort eine sekundäre Website zu verwenden. Weitere Informationen zum Installieren und Konfigurieren eines Verteilungspunkts finden Sie unter Konfigurieren der Inhaltsverwaltung in Configuration Manager.

    Überprüfungsschritte

    Überwachen Sie auf dem Computer für den primären Websiteserver den Fortschritt im Setup-Assistenten. Der Setup-Assistent von Konfigurationsmanager zeigt die Ergebnisse der einzelnen Schritte für die Websiteinstallation an. Nachdem alle Installationsaufgaben abgeschlossen sind, können Sie den Assistenten schließen. Nachdem die Websiteinstallation abgeschlossen ist, zeigt der Setup-Assistent jedoch weiterhin Informationen zu fortlaufenden Konfigurationen für die Website an, die Sie überwachen können, wenn Sie den Assistenten nicht schließen. Das Schließen des Setup-Assistenten wirkt sich nicht auf diese anhaltenden Konfigurationen aus, die nach dem Schließen des Assistenten weiterhin im Hintergrund ausgeführt werden. Überprüfen Sie in der Datei ConfigMgrSetup.log, ob die Website erfolgreich installiert wurde.

  5. Konfigurieren Sie Verwaltungsfeatures und -funktionen.

    Nachdem Sie Ihre Website oder Hierarchie installiert haben, konfigurieren Sie die Website für die Unterstützung der Verwaltungsfeatures und -funktionen von System Center 2012 R2 Configuration Manager, die Sie verwenden möchten. Sie müssen die Active Directory-Benutzerermittlung konfigurieren, bevor Sie das Windows Intune-Abonnement konfigurieren oder die Standortsystemrolle "Windows Intune-Connector" in Schritt 8 installieren. Weitere Informationen finden Sie unter:

    1. Konfigurieren von Standorten und der Hierarchie in Configuration Manager

    2. Konfigurieren der Active Directory-Ermittlung für Computer, Benutzer oder Gruppen

  6. Führen Sie die Migration zu System Center 2012 R2 Configuration Manager durch.

    Wenn Sie Objekte von Ihrer Configuration Manager 2007-Quellhierarchie migrieren, greifen Sie auf Daten der Websitedatenbanken zu, die Sie in der Quellinfrastruktur identifizieren, und kopieren dann die Daten in die System Center 2012 R2 Configuration Manager-Hierarchie. Durch die Migration werden die Daten in der Quellhierarchie nicht geändert. Dabei werden die Daten ermittelt und eine Kopie in der Datenbank der Zielhierarchie gespeichert. Weitere Informationen finden Sie unter Migrieren von Hierarchien in System Center 2012 Configuration Manager.

    So migrieren Sie Ihre Configuration Manager 2007-Daten zu System Center 2012 R2 Configuration Manager

    1. Geben Sie Ihre Configuration Manager 2007 SP2-Hierarchie als Quellhierarchie für die Migration an. Standardmäßig wird der Standort der obersten Ebene dieser Hierarchie zu einem Quellstandort der Quellhierarchie. Nachdem die Daten von der anfänglichen Quellwebsite erfasst wurden, können Sie weitere Quellwebsites für die Migration konfigurieren.

      Konfigurationsmanager beginnt sofort, nachdem Sie eine Quellhierarchie und Anmeldeinformationen für jede weitere Quellwebsite in der Quellhierarchie angegeben oder die Verteilungspunkte für eine Quellwebsite freigegeben haben, mit der Sammlung der Daten von der Quellwebsite. Standardmäßig wird der Datensammlungsprozess alle vier Stunden wiederholt, damit von Konfigurationsmanager Änderungen der ggf. zu migrierenden Daten in der Quellhierarchie identifiziert werden können. Die Datensammlung ist auch erforderlich, um Verteilungspunkte der Quellhierarchie für die Zielhierarchie freizugeben. Weitere Informationen finden Sie unter Konfigurieren von Quellhierarchien und Quellstandorten für die Migration zu System Center 2012 Configuration Manager.

    2. Erstellen Sie Migrationsaufträge, um die Daten zwischen der Quell- und Zielhierarchie zu migrieren. Verwenden Sie zur Konfiguration von bestimmten Daten, die zur System Center 2012 R2 Configuration Manager-Umgebung migriert werden sollen, Migrationsaufträge. Migrationsaufträge identifizieren die Objekte, deren Migration Sie planen, und sie werden in der Hierarchie auf der Website auf oberster Ebene ausgeführt. Weitere Informationen finden Sie unter Erstellen und Bearbeiten von Migrationsaufträgen für System Center 2012 Configuration Manager.

    3. Überwachen Sie die Migrationsaufträge. Überwachen Sie den Fortschritt der Migrationsaufträge über die System Center 2012 R2 Configuration Manager-Konsole. Weitere Informationen finden Sie unter Überwachen der Migrationsaktivität im Arbeitsbereich "Migration".

    4. Aktualisieren Sie freigegebene Verteilungspunkte. Sie können einen unterstützten Verteilungspunkt aktualisieren, der von der Configuration Manager 2007-Quellwebsite freigegeben wird, damit er zu einem Verteilungspunkt in der Zielhierarchie wird. Weitere Informationen finden Sie unter Aktualisieren oder erneutes Zuweisen eines freigegebenen Verteilungspunkts in System Center 2012 Configuration Manager.

    5. Migrieren Sie die Configuration Manager 2007-Clients zu System Center 2012 R2 Configuration Manager. Planen Sie die Migration der Clients zur Zielhierarchie, nachdem das Migrieren von Clientdaten zwischen Hierarchien fertig gestellt wurde, die Migration aber noch nicht abgeschlossen ist. Installieren Sie die Konfigurationsmanager-Clientsoftware aus der Zielhierarchie, um Clients zwischen den Hierarchien zu migrieren. Der Konfigurationsmanager-Client wird deinstalliert und der System Center 2012 R2 Configuration Manager-Client wird anschließend installiert und der primären Website zugeordnet. Weitere Informationen finden Sie unter Planen einer Strategie für die Clientmigration in System Center 2012 Configuration Manager.

    6. Abschließen des Migrationsprozesses: Wenn Ihre Configuration Manager 2007-Hierarchie keine Daten mehr enthält, die Sie in die Zielhierarchie migrieren möchten, können Sie den Migrationsprozess abschließen. Gehen Sie hierzu folgendermaßen vor:

      1. Stellen Sie sicher, dass Sie erfolgreich alle Ressourcen aus der Quellhierarchie migriert haben, die in der Zielhierarchie erforderlich sind. Bei diesen Ressourcen kann es sich um Daten und Clients handeln.

      2. Beenden Sie die Sammlung der Daten aus den einzelnen Quellwebsites Ihrer Configuration Manager 2007-Hierarchie. Führen Sie dazu die Aktion Sammeln von Daten beenden auf die Quellwebsites der untersten Ebene aus, und wiederholen Sie den Vorgang dann für jede übergeordnete Website. Der Standort der obersten Ebene der Quellhierarchie muss der letzte Standort sein, an dem Sie die Datensammlung beenden. Sie müssen die Datensammlung für die einzelnen untergeordneten Websites beenden, bevor Sie diese Aktion für eine übergeordnete Website ausführen können. Nachdem Sie die Datensammlung beendet haben, können Sie zwischen den Quell- und Zielhierarchien keine Verteilungspunkte mehr freigeben.

      3. Bereinigen Sie die Migrationsdaten. Verwenden Sie dazu die Aktion Migrationsdaten bereinigen. Mit diesem optionalen Vorgang werden Daten zur aktuellen Quellhierarchie aus der Datenbank der Zielhierarchie entfernt. Bis die Migrationsdaten bereinigt wurden, sind alle geplanten und ausgeführten Migrationsaufträge in der Konfigurationsmanager-Konsole verfügbar. Beim Bereinigen der Migrationsdaten werden die meisten Daten zur Migration aus der Datenbank der Zielhierarchie entfernt. Weitere Informationen finden Sie unter Abschließen der Migration in System Center 2012 Configuration Manager.

      Überprüfungsschritte: Die Migration besteht aus mehreren unterschiedlichen Aktionen oder Phasen und erstreckt sich über einen bestimmten Zeitraum, bis Sie dann entscheiden, die Migration abzuschließen. Daher gibt es keinen einzelnen Überprüfungsschritt oder Prozess, den Sie überprüfen können, um zu bestätigen, dass die Migration abgeschlossen ist. Stattdessen können Sie Ergebnisse überprüfen, während diese in der System Center 2012 R2 Configuration Manager-Konsole angezeigt werden, wenn Aktionen für die einzelnen Phasen ausgeführt oder abgeschlossen werden.

    7. Außerbetriebsetzung der Configuration Manager 2007-Hierarchie: Wenn die Migration aus einer Quellhierarchie abgeschlossen ist und in dieser Hierarchie keine Ressourcen mehr enthalten sind, die von Ihnen verwaltet werden, können Sie die Standorte der Quellhierarchie außer Betrieb nehmen und die entsprechende Infrastruktur aus der Umgebung entfernen. Weitere Informationen finden Sie unter Aufgaben zum Außerbetriebsetzen von Standorten und Hierarchien in Configuration Manager.

  7. Abrufen von Zertifikaten oder Schlüsseln für mobile Geräte

    Das Unternehmen muss über Zertifikate oder quergeladene Schlüssel verfügen, bevor mobile Geräte registriert werden können. Die verschiedenen Arten der mobilen Geräte, die Sie in Ihrer Umgebung verwenden, bestimmen, welche Zertifikate oder quergeladenen Schlüssel Sie benötigen. Weitere Informationen finden Sie unter Abrufen von Zertifikaten oder Schlüsseln zum Erfüllen der plattformspezifischen Voraussetzungen.

  8. Konfigurieren Sie das Windows Intune-Abonnement, und installieren Sie die Standortsystemrolle "Windows Intune-Connector" auf der Website der obersten Ebene.

    Bevor das Unternehmen Konfigurationsmanager zum Verwalten mobiler Geräte verwenden kann, installieren Sie die Standortsystemrolle "Windows Intune-Connector" auf dem Server der Website der obersten Ebene. Das Unternehmen will seine eigenständige primäre Website konfigurieren. Wenn Sie über eine komplexere Hierarchie verfügen, konfigurieren Sie Ihre zentrale Verwaltungswebsite.

    1. Konfigurieren Sie Ihr Windows Intune-Abonnement. Weitere Informationen finden Sie unter Konfigurieren des Windows Intune-Abonnements.

    2. Installieren Sie Windows Intune-Connector. Weitere Informationen finden Sie unter Standortsystemrolle "Windows Intune-Connector".



    Überprüfungsschritte:

    • Überprüfen Sie die Datei sitecomp.log auf dem Computer für den primären Standortserver, um zu bestätigen, ob die Standortsystemrolle "Windows Intune-Connector" erfolgreich installiert wurde.

    • Überprüfen Sie auf dem Computer, auf dem Sie Windows Intune-Connector installieren, die Datei cloudusersync.log, um zu bestätigen, ob Benutzer aus Ihrer Domäne erfolgreich mit Windows Intune synchronisiert wurden.

    • Überprüfen Sie auf dem Computer für den primären Standortserver die Datei CertMgr.log, um zu bestätigen, ob der Computer, auf dem Sie Windows Intune-Connector installiert haben, das Connectorzertifikat freigibt. Das Zertifikat wird nach Abschluss der Installation der Standortsystemrolle "Windows Intune-Connector" freigegeben.

    • Überprüfen Sie auf dem Computer, auf dem Sie Windows Intune-Connector installieren, die Datei dmpuploader.log, um zu bestätigen, ob die Standortsystemrolle "Windows Intune-Connector" Richtlinien- und Konfigurationsänderungen zum Windows Intune-Dienst hochladen kann.

    • Überprüfen Sie auf dem Computer, auf dem Sie Windows Intune-Connector installieren, die Datei dmpdownloader.log, um zu bestätigen, ob Windows Intune-Connector Mitteilungen aus Windows Intune herunterladen kann. Dieses Protokoll zeigt zu Beginn des Downloadvorgangs möglicherweise nur ein Ping an, und es kann einige Zeit dauern, bevor Einträge protokolliert werden, die sich auf Downloads beziehen.

  9. Registrieren Sie die mobilen Geräte.

    Durch die Registrierung wird eine Beziehung zwischen Benutzer, mobilem Gerät und dem Windows Intune-Dienst hergestellt. Die Benutzer registrieren ihre eigenen mobilen Geräte. Android-Geräte werden nicht angemeldet, sie können aber mithilfe von Exchange Server-Connector verwaltet werden. Weitere Informationen finden Sie unter Anmeldung mobiler Geräte.

  10. Installieren Sie die System Center 2012 R2 Configuration Manager-Konsole.

    Standardmäßig wird bei der Installation eines primären Standorts die Konfigurationsmanager-Konsole auf dem Servercomputer des primären Standorts installiert. Nach der Installation der Website, können Sie weitere System Center 2012 R2 Configuration Manager-Konsolen auf den Computern installieren, um die Website zu verwalten. Weitere Informationen finden Sie unter Installieren einer Configuration Manager-Konsole.

  11. Verwalten Sie Ihre PCs und mobilen Geräte.

    Nach der Installation und der grundlegenden Konfiguration Ihrer Website, können Sie damit beginnen, die Verwaltung der PCs und mobilen Geräte zu konfigurieren. Typische Features oder Funktionen, die Sie möglicherweise konfigurieren:

     

    Komponente Details

    Hardwareinventur

    Führen Sie eine Hardwareinventur durch, um Informationen zur Hardwarekonfiguration von Clientgeräten im Unternehmen zu sammeln.

    Softwareinventur

    Führen Sie eine Softwareinventur durch, um Informationen zu Dateien zu sammeln, die auf den Clientgeräten im Unternehmen enthalten sind. Zusätzlich können bei der Softwareinventur Dateien von Clientgeräten gesammelt und auf dem Standortserver gespeichert werden.

    Asset Intelligence

    Verwenden Sie die Asset Intelligence, um die Nutzung von Softwarelizenzen im gesamten Unternehmen zu inventarisieren und zu verwalten sowie den Umfang der Informationen zu optimieren, die zur Hardware und Software gesammelt werden.

    Kompatibilitätseinstellungen

    Verwenden Sie Kompatibilitätseinstellungen, um die Konfiguration und Kompatibilität von Servern, Laptops, Desktopcomputern und mobilen Geräten im Unternehmen zu verwalten.

    Zugriff auf Unternehmensressourcen

    Nutzen Sie den Zugriff auf Unternehmensressourcen, um Benutzern im Unternehmen von Remotestandorten aus den Zugriff auf Daten und Anwendungen bereitzustellen, indem Sie Folgendes konfigurieren:

    • Zertifikatprofile

    • VPN-Profile

    • WLAN-Profile

    Remoteverbindungsprofile

    Verwenden Sie Remoteverbindungsprofile, um Benutzern das Herstellen von Remoteverbindungen mit Arbeitscomputern zu ermöglichen, wenn keine Verbindung mit der Domäne besteht oder die Benutzer über das Internet mit dem PC verbunden sind.

    Anwendungsverwaltung

    Verwenden Sie die Anwendungsverwaltung, um Anwendungen im Unternehmen für administrative und Clientgerätbenutzer von Konfigurationsmanager zu verwalten.

    Softwareupdates

    Verwenden Sie Softwareupdates, um die Kompatibilität zu überwachen und Softwareupdates auf Computern im Unternehmen bereitzustellen.

    Verwalten mobiler Geräte

    Verwenden Sie diese Vorgehensweise für die Schritte, damit Sie Geräte mit Windows Phone 8, Windows RT, iOS und Android mithilfe des Windows Intune-Diensts über das Internet verwalten können.

    Zurücksetzen von Unternehmensinhalt auf mobilen Geräten

    Sie können auf Geräten mit Windows Phone 8, iOS und Android eine vollständige Zurücksetzung vornehmen, um die Werkseinstellungen des Geräts wiederherzustellen. Sie können auch eine selektive Zurücksetzung ausführen, um ausschließlich Unternehmensinhalt zu entfernen.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2014 Microsoft