Exportar (0) Imprimir
Expandir todo

Administración de dispositivos móviles para clientes de Configuration Manager 2007 que planean migrar a System Center 2012 R2 Configuration Manager

Actualizado: noviembre de 2013

Se aplica a: System Center 2012 R2 Configuration Manager

Esta guía describe cómo se puede habilitar la administración de dispositivos móviles iOS, Android, , y Windows 8.1 mediante un servidor de sitio primario independiente de Administrador de configuración de System Center 2012 R2 junto con el entorno de .

¿A quién está destinada esta guía?

  • Administradores de Configuration Manager 2007 que planean migrar a System Center 2012 R2 Configuration Manager y están interesados en la administración de dispositivos móviles.

  • Arquitectos de infraestructura que desean comprender mejor la administración de dispositivos móviles.

  • Especialistas de seguridad de empresas y especialistas en administración de dispositivos interesados en conocer cómo se puede trabajar con dispositivos personales (BYOD) para proporcionar acceso a recursos internos a la vez que se protegen los recursos de la compañía.

  • Implementadores de TI interesados en las consideraciones de diseño para poner en marcha la administración de dispositivos móviles.

El siguiente diagrama ilustra el problema y el escenario al que va dirigido esta guía de soluciones.

Configuration Manager y administración de dispositivos móviles

Administración de dispositivos con Configuration Manager 2007

En esta guía de soluciones:

Escenario

Hay una creciente demanda por parte de los empleados de su compañía de acceso a los datos de la compañía desde sus dispositivos personales. Usted desea satisfacer esta demanda proporcionando a los empleados la flexibilidad para utilizar sus propios dispositivos a través de Internet desde cualquier ubicación con el fin de realizar tareas relacionadas con su trabajo.

Su organización es una empresa grande con más de 5.000 usuarios que llevan sus dispositivos personales al lugar de trabajo. Su infraestructura admite la administración de los equipos de los usuarios que se encuentran en las instalaciones y de los que se conectan de forma remota a la red corporativa mediante VPN. En la actualidad, esos equipos se administran mediante , pero no está preparado para realizar una implementación completa de Administrador de configuración de System Center 2012 R2.

En resumen, las tecnologías actuales usadas por su organización son:

  • Un dominio y un servicio de directorio, en concreto, Active Directory.

  • Software de administración de equipos, en concreto, System Center .

  • Equipos que se unen al dominio y están administrados por .

  • Dispositivos móviles personales de empleados, así como equipos personales no unidos al dominio.

Exposición del problema

En la actualidad, usa para administrar dispositivos de su organización, pero esta solución no administra dispositivos iOS, Android, , y dispositivos personales Windows 8.1. No obstante, la última versión de Configuration Manager y Windows Intune proporciona compatibilidad para estos dispositivos. Al estar planeando migrar a System Center 2012 R2 Configuration Manager, su intención es usarla como solución de administración de dispositivos móviles para evitar el coste y el esfuerzo que supone integrar una solución de terceros. Le gustaría implementar Administrador de configuración de System Center 2012 R2 como solución de administración aunque no esté preparado para implementar esta versión o migrar la infraestructura completa desde .

Objetivos de la organización

  • Puede administrar dispositivos móviles actuales, en concreto, dispositivos Windows Phone 8, Windows RT, iOS, Android y dispositivos Windows 8.1 personales. La administración de dispositivos puede incluir la configuración de opciones de seguridad y cumplimiento, la recopilación de inventario de hardware y software o la implementación de aplicaciones móviles.

  • Puede proteger los datos de la empresa gracias a la capacidad de eliminar datos de la empresa desde dispositivos móviles a través de Internet.

  • Puede aumentar la infraestructura hasta administrar 100.000 dispositivos móviles.

  • Desea una solución con la que esté familiarizado y con una curva de aprendizaje mínima.

  • Puede implementar una solución que sea compatible con su entorno actual y de la que sea posible beneficiarse en un futuro.

En un entorno donde se administran dispositivos locales mediante , desea poder administrar igualmente dispositivos móviles. Su principal limitación es que no está preparado para migrar a la versión más reciente de Configuration Manager, pero desea utilizar sus capacidades de administración de dispositivos móviles. Puesto que está planeando migrar a la versión más reciente de Configuration Manager, desearía contar con una solución provisional para la administración de dispositivos móviles que sea relevante tras la migración.

Administrador de configuración de System Center 2012 R2 funciona con Windows Intune para administrar dispositivos móviles. A través de la consola de Configuration Manager, puede administrar dispositivos móviles del mismo modo que administraría otros dispositivos. La diferencia principal con los dispositivos móviles en comparación con los equipos de su dominio es que se administran a través de internet. Las consola de Configuration Manager interactúa con el servicio de Windows Intune que realiza la administración real de los dispositivos móviles a través de Internet. Administrador de configuración de System Center 2012 R2 con Windows Intune para administración de dispositivos móviles permite:

  • Proteger los datos de su compañía con configuración de seguridad además de eliminar datos de la compañía de los dispositivos retirados. Puede utilizar la configuración de compatibilidad para aplicar la directiva de seguridad a los usuarios de dispositivos móviles. Esta configuración puede incluir atributos como contraseña, cámara, sistema y configuración de seguridad. También puede ejecutar informes para identificar dispositivos Android liberados y dispositivos iOS modificados.

  • Administrar dispositivos a través de la configuración de compatibilidad. La configuración de compatibilidad puede incluir desde configuración de movilidad o almacenamiento, hasta configuración del dispositivo. Para obtener una lista completa de las opciones, consulte How to Create Configuration Items for Devices enrolled by Windows Intune and Configuration Manager .

  • Recopilar el inventario de hardware y de software. Es posible ejecutar informes para ver el inventario de hardware que describe los tipos de dispositivos inscritos, mientras que los informes del inventario de software incluyen las aplicaciones instaladas en los dispositivos.

  • Administrar aplicaciones mediante la instalación de prueba de aplicaciones en dispositivos móviles o la implementación de vínculos en aplicaciones disponibles en tiendas de dispositivos como Tienda Windows, Tienda de Windows Phone, Tienda de aplicaciones y Google Play.

  • Crear una experiencia coherente para tener acceso a los datos de la compañía mediante el portal de la compañía. El portal de la compañía es una interfaz donde los usuarios pueden ver datos de la compañía e instalar aplicaciones.

En esta solución, se habilitará la administración de dispositivos móviles mediante un sitio primario independiente de Administrador de configuración de System Center 2012 R2 y un conector de Windows Intune. Windows Intune es un servicio de nube, por lo que para permitir a los usuarios inscribir sus dispositivos, es necesario sincronizar las cuentas de usuario de dominio con Windows Azure. Esto le permitirá administrar los usuarios que pueden tener acceso a los recursos de la compañía con sus dispositivos móviles. Una vez que los usuarios pueden acceder a los recursos de la compañía a través de Internet con sus dispositivos móviles, puede utilizar el Servicio de federación de Active Directory (AD FS) para habilitar una experiencia de inicio de sesión único.

El diagrama siguiente muestra cómo los componentes de un servidor de sitio primario independiente de Administrador de configuración de System Center 2012 R2 se comunica en paralelo con un entorno de . La parte de AD FS del diagrama es opcional.

El servidor de sitio primario independiente de Administrador de configuración de System Center 2012 R2 se ejecuta en paralelo con un entorno de .

Administración de dispositivos móviles con Configuration Manager

En la tabla siguiente se muestran los elementos que son parte de este diseño de solución y describe el motivo por el que se ha elegido este diseño.

 

Elemento de diseño de la solución ¿Por qué se incluye en esta solución?

Administrador de configuración de System Center 2012 R2

Administra dispositivos móviles mediante el servicio de Windows Intune.

Windows Intune

Administra dispositivos móviles a través de Internet.

Windows Azure Active Directory

Aprovisiona usuarios en la nube.

Sincronización de directorios

Sincroniza los usuarios de Active Directory local con Windows Azure Active Directory.

Servicios de federación de Active Directory (AD FS)

Habilita una experiencia de inicio de sesión único.

Administrador de configuración de System Center 2012 R2 y el conector de Windows Intune

Se ejecutará Administrador de configuración de System Center 2012 R2 en paralelo con . El sitio de Administrador de configuración de System Center 2012 R2 solo se usará para la administración de dispositivos móviles hasta que migre todo el entorno de Configuration Manager a System Center 2012. Al poderse instalar la consola de Administrador de configuración de System Center 2012 R2 en el mismo equipo en el que se instala una consola de , es posible administrar dispositivos desde un único equipo.

Al ejecutar ambos productos en paralelo, debe tomar algunas precauciones para evitar que los dispositivos que deben administrarse mediante detecten su implementación de Administrador de configuración de System Center 2012 R2. Por ejemplo, debe asegurarse de que los dos productos no configuren límites para la asignación de sitios de modo que esos límites incluyan las mismas ubicaciones de red. Esto se conoce como superposición de límites. Afortunadamente, la superposición de límites es fácil de evitar porque no está configurada de forma predeterminada y no es necesario configurar ningún límite para Administrador de configuración de System Center 2012 R2 con el fin de habilitar la administración de dispositivos móviles cuando se usa Windows Intune.

Se instalará un rol de sistema de sitio de conector de Windows Intune al sitio de Administrador de configuración de System Center 2012 R2, que le conecta al servicio de Windows Intune.

Windows Azure Active Directory y sincronización de directorios (DirSync)

Windows Intune utiliza Windows Azure Active Directory para almacenar cuentas de usuario. Deberá sincronizar los usuarios de Active Directory con Windows Azure Active Directory. La sincronización de directorios pretende crear una relación continuada entre el entorno local y la nube. Una vez activada la sincronización de directorios, puede editar los objetos sincronizados en su entorno local y estas ediciones se sincronizarán con la suscripción de Windows Intune.

Opciones de autenticación de usuario

Una vez que haya incluido en Windows Azure AD las cuentas de usuario, tiene varias opciones para autenticar los usuarios. Las opciones son AD FS, sincronización de contraseña o ninguna.

AD FS ofrece una auténtica experiencia de inicio de sesión único al funcionar junto con los protocolos de autenticación de Active Directory. AD FS es la solución más segura porque nunca comparte información de contraseña con el servicio de nube, Windows Azure AD. Active Directory y AD FS locales interactúan con la plataforma de identidad de Windows Azure AD para proporcionar acceso a uno o más servicios de nube de Microsoft. Al configurar el inicio de sesión único, establece una confianza federada entre su dominio y el sistema de autenticación de Windows Azure AD. Esto permite a los usuarios acceder sin problemas a los servicios de nube de Microsoft sin necesidad de iniciar sesión con credenciales diferentes.

Con AD FS necesitará al menos un servidor o una granja de servidores de federación y un servidor proxy de federación. El servidor de federación autentica clientes, mientras que el servidor proxy de federación proporciona una capa de seguridad y redirige las solicitudes de autenticación de clientes procedentes de fuera de la red corporativa a los servidores de federación. Como cliente de Windows Intune, la implementación de un servidor proxy de federación en su infraestructura de AD FS existente es necesaria para habilitar la autenticación de usuarios de dispositivos móviles desde Internet.

La sincronización de contraseña es una opción ligera que proporciona a los usuarios una experiencia similar al inicio de sesión único, y que es muy fácil de implementar. Aunque no sea una auténtica función de inicio de sesión único, la sincronización de contraseña es una opción seleccionable dentro de DirSync que permite a DirSync almacenar un hash de la contraseña en Windows Azure AD. Los usuarios pueden autenticarse con servicios de nube y locales utilizando el mismo nombre de usuario y la misma contraseña para ambos.  

Si decide no implementa AD FS o sincronización de contraseña, los usuarios tendrán que actualizar manualmente las contraseñas para mantenerlas sincronizadas o recordar simplemente más de una contraseña, dependiendo de si están accediendo a servicios de nube o locales. Este enfoque no es recomendable, ya que requiere una carga administrativa adicional para administrar los cambios de contraseña iniciales y continuos, lo que resulta en una experiencia de usuario más incómoda.

Portal de la compañía

El portal de la compañía es una forma fácil de que los usuarios tengan acceso a todas sus aplicaciones corporativas desde un solo lugar. Puede incluir en el portal de la compañía aplicaciones internas de la línea de negocio, así como vínculos a las aplicaciones disponibles en las tiendas de aplicaciones públicas (Tienda Microsoft Windows, Tienda de Windows Phone, App Store de Apple y Google Play). Desde el portal de la compañía, los usuarios pueden administrar sus dispositivos y realizar diversas acciones, como borrar un dispositivo perdido o reemplazado.

Inscripción de usuarios a través del portal de la compañía en su dispositivo móvil. Durante la inscripción, el dispositivo móvil se comunica con el proxy de federación que autentica el usuario para la inscripción.

Migración

Si está preparado para migrar la infraestructura de a Administrador de configuración de System Center 2012 R2, puede usar el sitio primario independiente existente como punto de partida. Administrador de configuración de System Center 2012 R2 admite la migración de datos y clientes desde la infraestructura de a Administrador de configuración de System Center 2012 R2. A continuación, una vez que ha migrado los datos y los clientes, puede retirar los sitios y la infraestructura de .

Cuando la infraestructura de incluye más dispositivos de los que puede administrar con un único sito primario independiente de Administrador de configuración de System Center 2012 R2, puede usar la opción para expandir ese sitio primario independiente en una jerarquía que incluya un sitio de administración central y sitios primarios adicionales. Esta opción le permite mantener el sitio primario actual para administrar los dispositivos móviles a la vez que agrega más sitios primarios a la jerarquía, lo que aumenta la capacidad total de dispositivos que puede soportar la jerarquía.

Puede utilizar los pasos de esta sección para implementar la solución. Asegúrese de comprobar la correcta implementación de cada paso antes de continuar con el paso siguiente.

  1. Obtener una suscripción de Windows Intune.

    Antes de instalar el conector de Windows Intune, necesitará crear una suscripción de Windows Intune. Puede registrarse para obtener una cuenta en Windows Intune.

  2. Configurar el dominio público.

    1. Para utilizar el servicio de Windows Intune necesita también un nombre de dominio de organización pública que se pueda comprobar a través de servicios como GoDaddy. Agregue y compruebe su dominio público en el portal de cuentas de Windows Intune en https://account.manage.microsoft.com en el nodo Dominios.

    2. Asegurarse de que se ha agregado el dominio público como un sufijo UPN alternativo en Active Directory local. Los usuarios deben tener el mismo Nombre principal del usuario (UPN) de dominio público en la nube y en el Active Directory local para inscribir dispositivos móviles. Debe comprobar que los usuarios tengan un UPN de dominio público antes de configurar la sincronización de directorios y AD FS. Si omite este paso, es posible que los usuarios obtengan automáticamente "onmicrosoft.com" anexado a su UPN de nube, lo que hará que no coincida con los nombres de usuario de Active Directory local. Para obtener más información sobre cómo cambiar el UPN, consulte Agregar sufijos de nombre principal de usuario en la biblioteca de documentación de Active Directory.

    3. Agregar un registro CNAME en DNS que señale enterpriseenrollment.<dominiopúblico> a manage.microsoft.com. El registro CNAME se utiliza posteriormente como parte del proceso de inscripción.

    Pasos de comprobación:

    • Compruebe la página Dominios del portal de cuentas de Windows Intune para asegurarse de que el dominio público se muestra y se comprueba.

    • Observe las propiedades de una cuenta de usuario en su Active Directory local para asegurarse de que el UPN aparece con el nombre de dominio público.

    • Haga ping a enterpriseenrollment.<dominiopúblico> y asegúrese de que esté resolviendo la dirección IP de manage.microsoft.com. El registro CNAME se usa como parte del proceso de inscripción.

  3. Configurar la autenticación de usuario.

    Puede configurar AD FS desde el portal de cuentas de Windows Intune en https://account.manage.microsoft.com. En el nodo Usuario del portal, haga clic en Inicio de sesión único: Configurar y, a continuación, siga los pasos para Configurar y administrar el inicio de sesión único. Para obtener más información, consulte Lista de comprobación: Usar AD FS para implementar y administrar el inicio de sesión único en la biblioteca de documentación de Active Directory. Este artículo incluye toda la información sobre los requisitos necesarios, el proceso de planeación e implementación, así como sobre el modo de comprobar que AD FS se ha implementado y configurado correctamente.

    Como alternativa, puede considerar implementar la sincronización de contraseña en función de las consideraciones de seguridad. Sincronización de contraseña es una característica de la herramienta de sincronización de Windows Azure Active Directory que sincroniza las contraseñas de usuario de Active Directory local con Windows Azure Active Directory. Puede implementar la sincronización de contraseña como parte de la configuración de sincronización de directorios. Para entender las consideraciones de seguridad y si es la decisión correcta para su organización, consulte Implement Password Synchronization (Implementación de la sincronización de contraseña).

  4. Aprovisionar usuarios mediante la configuración de sincronización de directorios.

    En el nodo Usuarios del portal de cuentas de Windows Intune Account en https://account.manage.microsoft.com, haga clic en Sincronización de Active Directory: Configuración y, a continuación, siga los pasos descritos en Configurar y administrar la sincronización de Active Directory. Para obtener más información, consulte Configurar la sincronización de directorios en la biblioteca de documentación de Active Directory. Puede instalar DirSync en cualquier equipo siempre y cuando no sea un controlador de dominio.

    Pasos de comprobación: Inicie sesión en el portal de cuentas de Windows Intune en https://account.manage.microsoft.com para ver las cuentas de usuario.

  5. Planear el servidor de sitio primario independiente.

    Identifique un servidor que cumpla los requisitos previos tanto de software como de hardware para hospedar un sitio primario de Configuration Manager. De manera predeterminada, cuando se instala un sitio primario para Configuration Manager, se instalan también los roles de sistema de sitio de punto de administración y punto de distribución. Dado que solo va a administrar dispositivos móviles para este escenario, no se utilizan los puntos de administración y distribución. Sin embargo, su presencia no afecta el rendimiento de su sitio. Por lo tanto, recomendamos dejar estos roles de sistema de sitio instalados.

    Para obtener información sobre el tamaño del hardware para el sitio primario, vea la sección Sistemas de sitio de Configuration Manager de losSistemas de sitio de Configuration Manager. La información proporcionada para un sitio primario independiente le servirán de base para ejecutar un sitio primario que pueda admitir el conector de Windows Intune y hasta 100.000 dispositivos móviles.

    Para obtener información sobre el software necesario y los sistemas operativos compatibles para alojar un sitio de Configuration Manager, consulte Requisitos de sistema de sitio. En concreto, revise la sección que se refiere los requisitos previos que se aplican al sistema operativo que se utiliza para hospedar el sitio primario independiente. Los roles de sistema de sitio instalados de forma predeterminada son el servidor de sitio, el servidor de base de datos, el servidor de proveedor de SMS, el punto de administración y el punto de distribución.

  6. Implementar un servidor de sitio primario independiente.

    Instalar y configurar un sitio primario independiente de Administrador de configuración de System Center 2012 R2, que le permitirá administrar dispositivos móviles. Para obtener información, consulte Instalar un servidor de sitio primario.

    Una vez completada la instalación, confirme o establezca las siguientes configuraciones comunes para sitios primarios de Configuration Manager:

    • No configure los límites del sitio. De manera predeterminada, No se crean límites para un sitio nuevo. Los nuevos clientes de Configuration Manager utilizan los límites del sitio para identificar un sitio al que unirse y para buscar el contenido implementado. Para este escenario, no se aplica ninguna actividad.

    • Configurar y ejecutar la detección de usuarios de Active Directory en el dominio para detectar usuarios que se vayan a inscribir en un futuro.

    • Asegúrese de que no esté habilitada la instalación de inserción de cliente. Esto solo se utiliza cuando se está preparado para instalar el cliente de Configuration Manager en dispositivos de Windows, y no se utiliza para administrar dispositivos móviles.

  7. Configurar la suscripción de Windows Intune e instalar el rol de sistema de sitio de conector de Windows Intune en el servidor de sitio primario independiente.

    Antes de poder usar Configuration Manager para administrar dispositivos móviles, debe configurar su suscripción de Windows Intune e instalar el rol de sistema de sitio de conector de Windows Intune en el servidor de sitio primario independiente. Para obtener más información, consulte How to Manage Mobile Devices by Using Configuration Manager and Windows Intune.

    Pasos de comprobación:

    • En el equipo del servidor del sitio primario, revise el Sitecomp.log para comprobar que el rol de sistema de sitio de Conector de Windows Intune está instalado correctamente.

    • En el equipo donde instale el conector de Windows Intune, revise el Cloudusersync.log para comprobar que los usuarios de su dominio se hayan sincronizado correctamente con Windows Intune. El archivo de registro confirmará que los nombres UPN son coherentes entre Windows Azure AD y AD local. Si no se pueden sincronizar los usuarios, es muy probable que se deba a que los nombres UPN no coinciden.

    • En el equipo de servidor del sitio primario, revise el Certmgr.log para confirmar que el equipo donde instaló el conector de Windows Intune comparte el certificado del conector. El certificado se comparte una vez completada la instalación del rol de sistema de sitio de conector de Windows Intune.

    • En el equipo donde instale el conector de Windows Intune, revise el Dmpuploader.log para comprobar que el rol de sistema de sitio de conector puede cargar cambios de directiva y de configuración en el servicio de Windows Intune.

    • En el equipo donde instale el conector de Windows Intune, revise el Dmpdownloader.log para comprobar que el conector de Windows Intune puede descargar mensajes desde Windows Intune. Es posible que este archivo de registro solo muestre un ping al principio del proceso de descarga y que transcurra algún tiempo antes de que se registren las entradas relacionadas con las descargas.

  8. Instalar la consola de Administrador de configuración de System Center 2012 R2.

    De forma predeterminada, cuando se instala un sitio primario, también se instala la consola de Configuration Manager en el equipo del servidor de sitio primario. Una vez instalado el sitio, puede instalar consolas de Administrador de configuración de System Center 2012 R2 adicionales en equipos adicionales para administrar el sitio. Se admite la instalación de una consola tanto de como de Administrador de configuración de System Center 2012 R2 en el mismo equipo. Esta instalación paralela le permite usar un equipo único para administrar tanto la infraestructura de existente, como los dispositivos móviles que administra mediante Windows Intune Administrador de configuración de System Center 2012 R2. No obstante, no puede usar la consola de administración de Administrador de configuración de System Center 2012 R2 para administrar el sitio de y viceversa. Para obtener más información, consulte Instalación de una consola de Configuration Manager.

  9. Inscribir dispositivos móviles.

    Para obtener información acerca de cómo inscribir dispositivos móviles, consulte Inscripción de dispositivo móvil.

  10. Administrar dispositivos móviles

    Después de instalar y realizar las configuraciones básicas para el sitio primario independiente, puede empezar a configurar la administración de dispositivos móviles. Estas son las acciones típicas que se pueden configurar:

  11. Migrar a Administrador de configuración de System Center 2012 R2.

    Para obtener información sobre la migración a System Center 2012 R2 Configuration Manager, consulte Migrating Hierarchies in System Center 2012 Configuration Manager.

    Si va a administrar más de 100.000 dispositivos, necesitará ampliar su sitio primario independiente en una jerarquía. Para obtener más información, consulte Planeación para expandir un sitio primario independiente.

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft