Administración optimizada para dispositivos móviles y equipos en un entorno híbrido

Se aplica a: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

¿A quién está destinada esta guía? Las empresas que necesitan administrar dispositivos móviles y PC locales y remotos mediante el uso de su infraestructura de Configuration Manager actual para admitir la demanda de empleados y usar estos dispositivos para tener acceso a recursos corporativos.

¿Cómo puede ayudarle esta guía? Esta guía proporciona un diseño probado y prescritivo que explica cómo:

• Actualizar la infraestructura de Configuration Manager de sus instalaciones existentes y ampliarla a la nube para que sus usuarios puedan trabajar de forma remota desde el dispositivo que elijan.

• Unificar la administración de dispositivos móviles y PC en una única infraestructura.

• Mantener el cumplimiento corporativo para todos los dispositivos.

• Proteger los datos corporativos.

En esta solución:

• Escenario, declaración del problema y objetivos

  • Escenario

  • Declaración del problema

  • Objetivos de la organización

• ¿Cuál es el diseño recomendado para esta solución?

  • Instalar System Center 2012 R2 Configuration Manager y migrar objetos

  • Subscribirse a Windows Intune

  • Administrar identidad y acceso con Windows Azure AD y sincronización de directorios

  • Proporcionar un acceso sencillo y seguro a usuarios con la sincronización de contraseñas

  • Planear una actualización por fases de plataforma

• Pasos de implementación

En el siguiente diagrama, se muestra el problema que esta guía de soluciones aborda.

Diagrama 1: Descripción detallada del problema.

Escenario, declaración del problema y objetivos

Esta sección describe el escenario, el problema y los objetivos de una organización de ejemplo.

Escenario

Esta solución usa una organización de ejemplo que da empleo a más de 5000 personas que llevan sus dispositivos personales Windows Phone 8, Windows RT, iOS y Android al trabajo. Actualmente, no pueden tener acceso a los recursos de la empresa desde estos dispositivos.

La empresa usa Microsoft System Center Configuration Manager 2007 SP2 para administrar PC para los usuarios que trabajan de forma local y que se conectan remotamente a la red corporativa mediante VPN. La empresa no puede administrar dispositivos móviles.

La infraestructura del entorno de la empresa contiene:

• Windows Server 2008 R2

• Active Directory para Windows Server 2008 R2

• Configuration Manager 2007 SP2

• PC unidos al dominio y administrados por Configuration Manager

El siguiente diagrama ilustra el entorno actual de la empresa.

Diagrama 2: Descripción detallada del problema actual

Declaración del problema

La infraestructura de administración del dispositivo actual no cumple las necesidades crecientes de la empresa de ejemplo:

• Administran los PC en su entorno actual, pero no pueden administrar los dispositivos móviles.

• Proporcionan a algunos empleados dispositivos móviles corporativos personales. Otros empleados desean usar sus dispositivos personales en el trabajo.

La empresa también está preocupada por los recursos necesarios para administrar todos estos dispositivos. Resulta costoso mantener muchos PC, dispositivos y aplicaciones; además, la administración de dispositivos puede llegar a ocupar los recursos de TI las 24 horas del día, los 7 días de la semana.

La empresa necesita administrar los riesgos y asegurarse de que todos los dispositivos, tanto corporativos como personales, cumplan las normas de seguridad.

• La administración de dispositivos es un riesgo de seguridad para los activos corporativos y la información. Cuando los empleados trabajan en un dispositivo que la TI no administra (o ni siquiera conoce), resulta muy difícil mantener el control de la información corporativa confidencial.

• La TI no puede hacer nada si el dispositivo se vende, se pierde o se roba.

Objetivos de la organización

La empresa de ejemplo busca una solución que les permita hacer lo siguiente:

• Utilizar su infraestructura de Configuration Manager actual. La TI ha invertido muchos recursos en su infraestructura actual y no desea volver a empezar.

• Permite a los empleados usar dispositivos personales, así como los dispositivos de la empresa, para tener acceso a datos y a las aplicaciones corporativas. Esto incluye PC y dispositivos móviles.

• Administrar PC y dispositivos personales desde una única consola de administrador. La administración de dispositivos incluye configurar las opciones de seguridad y cumplimiento, recopilar un inventario de software y hardware, o implementar software.

• Implementar aplicaciones o vínculos web según el tipo de dispositivo, tanto si el dispositivo es personal como propiedad de la empresa.

• Proteger la empresa limpiando los datos corporativos almacenados en el dispositivo móvil cuando este se pierde, se roba o se retira de su uso.

¿Cuál es el diseño recomendado para esta solución?

Para resolver sus problemas empresariales y cumplir sus objetivos de la organización, la empresa debe:

• Instalar un nuevo sitio principal independiente de Administrador de configuración de System Center 2012 R2 en su sede central e instalar puntos de distribución en ubicaciones remotas.

• Migrar objetos y puntos de distribución desde su infraestructura existente de Configuration Manager 2007 SP2 a Administrador de configuración de System Center 2012 R2.

• Subscribirse a Windows Intune y configurar el conector de Windows Intune en Configuration Manager para integrarse con Windows Intune.

• Sincronizar sus cuentas de usuario de dominio con Windows Azure, ya que Windows Intune es un servicio de nube. Esto les permite administrar los usuarios que tienen acceso a recursos de la empresa desde sus dispositivos móviles.

• Utilice la sincronización de contraseñas para permitir a los usuarios utilizar su nombre de usuario de dominio local y su contraseña para servicios en la nube.

El siguiente diagrama ilustra cómo los elementos en esta solución se comunican entre sí.

Diagrama 3: Descripción detallada de la solución

Instalar System Center 2012 R2 Configuration Manager y migrar objetos

Administrador de configuración de System Center 2012 R2 puede ampliar la capacidad de la empresa de administrar PC locales en la nube mediante la integración de Windows Intune. Y, mediante el uso de Configuration Manager con Windows Intune, la empresa puede administrar sus PC locales y los dispositivos móviles desde una sola consola. También desean reducir la sobrecarga de TI.

Por lo tanto, la empresa instalará un sitio principal independiente de Administrador de configuración de System Center 2012 R2 en sus oficinas centrales, así como puntos de distribución en ubicaciones remotas.

A continuación, migrará objetos desde su entorno de Configuration Manager 2007 SP2 a Administrador de configuración de System Center 2012 R2.

La empresa decidió migrar por las razones siguientes:

• Solución integrada: La empresa desea una solución integrada que les permita administrar PC y dispositivos móviles desde una sola consola. Administrador de configuración de System Center 2012 R2 con Windows Intune proporciona esta solución integrada.

• Jerarquía simplificada: Con Administrador de configuración de System Center 2012 R2, determinaron que ya no necesitaban un sitio secundario en cada ubicación remota tal y como se muestra en los diagramas siguientes.

   

• Diagrama 3: Jerarquía existente, Configuration Manager 2007_

   

• Diagrama 4: Nueva jerarquía, Administrador de configuración de System Center 2012 R2_

  Impulsores clave para la jerarquía simplificada:

  • Administración basada en roles: En Administrador de configuración de System Center 2012 R2, la administración basada en roles permite a la empresa diseñar e implementar la seguridad administrativa para la jerarquía de Administrador de configuración de System Center 2012 R2 utilizando alguno o todos los elementos siguientes:

    • Roles de seguridad

    • Colecciones

    • Ámbitos de seguridad

    Estos valores se combinan para definir un ámbito administrativo para un usuario administrativo. El ámbito administrativo controla los objetos que un usuario administrativo puede ver en la consola de Configuration Manager y los permisos que el usuario tiene en dichos objetos. Vea Planeación de la administración basada en roles.

  • Administración de contenido: En Administrador de configuración de System Center 2012 R2, la empresa puede configurar el ancho de banda de red utilizado para transferir contenido a puntos de distribución y preconfigurar contenido en puntos de distribución en ubicaciones remotas. Vea Consideraciones de ancho de banda de red para puntos de distribución.

• Objetos migrados: La empresa puede usar herramientas de migración para migrar objetos desde Configuration Manager 2007 SP2 a la jerarquía de Administrador de configuración de System Center 2012 R2. La TI de la empresa ha invertido un tiempo considerable creando objetos de Configuration Manager, como colecciones, secuencias de tareas, elementos de configuración, etc. Con la migración, seguirán beneficiándose de esta inversión.

• Características nuevas: La empresa también está interesada en las nuevas características de Administrador de configuración de System Center 2012 R2 que no están directamente relacionadas con esta solución. Vea Novedades de System Center 2012 R2 Configuration Manager.

Subscribirse a Windows Intune

El servicio de Windows Intune proporciona administración de dispositivos móviles basada en la nube. La empresa se subscribirá a Windows Intune y, a continuación, integrará Windows Intune con Administrador de configuración de System Center 2012 R2 para administrar PC y dispositivos móviles desde la consola de Configuration Manager.

Una suscripción a Windows Intune es compatible con el objetivo de la empresa de una solución integrada para administrar PC y dispositivos móviles.

La empresa consideró soluciones de administración de dispositivos móviles de terceros. Ninguna de estas soluciones proporcionan la experiencia integrada que desean. Tampoco desean intercambiar productos e incurrir en costes de aprendizaje e implementación.

Como ventaja adicional, la empresa puede usar la cuenta de usuario de su suscripción de Windows Intune al suscribirse a Microsoft Office 365 unos meses más tarde.

Administrar identidad y acceso con Windows Azure AD y sincronización de directorios

Windows Intune usa Windows Azure AD para almacenar cuentas de usuario. Los servicios de nube de Microsoft, como Windows Intune y Office 365, dependen de las capacidades de administración de identidad proporcionadas por Windows Azure AD.

La empresa utilizará la sincronización de directorios de Windows Azure (DirSync) para sincronizar los usuarios locales de Windows Server AD con Windows Azure AD. La sincronización de directorios está prevista como una relación constante entre usuarios de AD locales y usuarios de Windows Azure AD en la nube. La empresa eligió DirSync para:

• Reducir los costes de administración: Sin DirSync, la empresa habría tenido que agregar manualmente sus cuentas de usuario y de grupo a Windows Azure AD. DirSync sincroniza las cuentas de usuario de usuarios locales de Windows Server AD con Windows Azure AD. Después de activar la sincronización de directorios, puede editar los objetos sincronizados en su entorno local, y estas modificaciones se sincronizarán con su suscripción de Windows Intune, lo que reduce los costes administrativos.

• Mejorar la productividad: Al automatizar el proceso de sincronización de cuentas de usuario y grupo, la empresa puede reducir significativamente la cantidad de tiempo necesario para hacer que los servicios basados en la nube estén accesibles para sus empleados.

Planeación y diseño de consideraciones para la sincronización de directorios

Al planear la sincronización de directorios, la empresa consideró los requisitos de hardware, los permisos de administrador, las consideraciones de rendimiento, etc. Estos requisitos se describen en Preparación para la sincronización de directorios.

Proporcionar un acceso sencillo y seguro a usuarios con la sincronización de contraseñas

La autenticación de usuarios debe configurarse, o los empleados de la empresa tendrán que usar otro nombre de usuario y contraseñas independientes para tener acceso a los servicios de nube y locales. La empresa decidió que deben tener la autenticación de usuario para evitar una sobrecarga administrativa adicional para administrar los cambios de contraseña inicial y actual y ofrecer una mejor experiencia de usuario. Decidieron usar la sincronización de contraseñas para la autenticación de usuario.

La empresa consideró los siguientes métodos de autenticación para el acceso a los recursos de nube y locales con las mismas credenciales de los empleados:

• Sincronización de contraseñas es una opción ligera que proporciona a los usuarios una experiencia similar al inicio de sesión único y muy fácil de implementar. La sincronización de contraseñas es una opción que puede seleccionar en DirSync y que permite a DirSync almacenar un hash de la contraseña en Windows Azure AD. Una vez habilitada la sincronización de contraseñas en el equipo de sincronización de directorios, los usuarios podrán iniciar sesión en los servicios de nube de Microsoft, como Office 365, Dynamics CRM y Windows Intune, con la misma contraseña que usan al iniciar sesión en la red local. Cuando los usuarios cambien sus contraseñas en la red corporativa, esos cambios se sincronizarán con la nube.

  Sin embargo, la sincronización de contraseñas no proporciona una solución de inicio de sesión único (SSO) que se obtiene al usar AD FS. Los usuarios necesitarán volver a escribir sus credenciales cada vez que tengan acceso a un servicio de nube. Vea:

  • Escenario de sincronización de directorios con sincronización de contraseña

  • Implementar la sincronización de contraseñas

• Servicios de federación de Active Directory (AD FS) proporciona una experiencia real de inicio de sesión único (SSO) que funciona junto con los protocolos de autenticación de Active Directory. Active Directory local y AD FS interactúan con la plataforma de identidad de Windows Azure AD para proporcionar acceso a uno o varios servicios de nube de Microsoft. Cuando se configura el SSO, se crea una confianza federada entre el dominio y el sistema de autenticación de Windows Azure AD. Los usuarios pueden autenticarse con servicios en la nube y servicios locales utilizando el mismo nombre de usuario y la misma contraseña para ambos. Una vez que un usuario se autentica, se no le pedirán nuevamente las credenciales cuando tenga acceso a un servicio de nube.

La empresa ha decidido usar la sincronización de contraseñas para la autenticación de usuario por un par de razones. La sincronización de contraseñas es muy fácil de configurar en DirSync, que ya tienen previsto usar para sincronizar sus cuentas de usuario locales. También planean actualizar sus controladores de dominio a Windows Server 2012 R2 dentro de los próximos seis meses. AD FS es un rol de sitio en Windows Server 2012 R2 y tiene muchas características nuevas. La empresa tiene previsto implementar AD FS cuando se actualicen sus controladores de dominio. Para más información acerca de cómo implementar AD FS en Windows Server 2012 R2, vea:

• Acceso seguro a recursos de la empresa desde cualquier ubicación y dispositivo

• Introducción a los Servicios de federación de Active Directory

La empresa decidió usar la sincronización de contraseñas para la autenticación de usuario. Sin embargo, podría decidir implementar AD FS para SSO en su entorno. Vea:

• Consideraciones de diseño de AD FS: Guía de diseño de AD FS 2.0

• Uso de AD FS para SSO: Lista de comprobación: Utilizar AD FS para implementar y administrar el inicio de sesión único

Planear una actualización por fases de plataforma

La empresa decidió no actualizar su AD local como parte de esta solución, pero planea hacerlo en los próximos 6 meses.

La TI de la empresa propuso que su AD local se actualice como parte de la solución. En Windows Server 2012 R2, AD se ha mejorado con la siguiente funcionalidad:

• Registro de dispositivos. Los administradores de TI pueden permitir que un dispositivo se registre, lo que asocia el dispositivo con Active Directory de la empresa. Esta asociación se pueden usar como una autenticación de segundo factor sin problemas.

• Inicio de sesión único (SSO) desde dispositivos asociados con Active Directory en la empresa.

• Proxy de aplicación web, que permite a los usuarios conectarse a aplicaciones y servicios desde cualquier lugar.

• Control de acceso multifactor y autenticación multifactor (MFA), que administran el riesgo de los usuarios que trabajan desde cualquier lugar y obtienen acceso a datos protegidos desde sus dispositivos.

• Carpetas de trabajo, que proporcionan a los usuarios una ubicación para almacenar y tener acceso a los archivos de trabajo en PC y dispositivos.

Vea Servicios de Active Directory.

Aunque el equipo de administración de la empresa estaba de acuerdo en que las nuevas características eran valiosas, no pudieron aprobar que los recursos actualizaran AD como parte de esta solución. El equipo de administración desea actualizar su AD local en los próximos seis meses.

Cuando esté preparado para actualizar su AD local e implementar AD FS, vea Acceso seguro a los recursos de empresa desde cualquier lugar en cualquier dispositivo.

Pasos de implementación

Esta sección indica los pasos que realizó la empresa para implementar la solución. Si sigue estos pasos, asegúrese de comprobar la implementación correcta de cada paso antes de continuar con el paso siguiente.

1. Subscribirse a Windows Intune.

   Cree una suscripción de Windows Intune en el sitio web de Windows Intune.

   • Si ya tiene una cuenta de usuario para otro servicio de nube, como Office 365, haga clic en Iniciar sesión para escribir las credenciales de cuenta. Esto le permite compartir el mismo grupo de usuarios para todos los servicios en el inquilino de Windows Azure AD de su organización.

   Pasos de comprobación: Después de completar el proceso de registro, se enviará un correo electrónico a la dirección de correo electrónico que proporcionó. Haga clic en el vínculo que se incluye en dicho correo electrónico o vaya al portal de cuentas de Windows Intune en https://account.manage.microsoft.com y compruebe que puede iniciar sesión.

2. Configurar el dominio público.

   1. Obtener un dominio público. Para utilizar el servicio de Windows Intune también se necesita un nombre de dominio de organización pública que pueda comprobarse mediante un servicio de registro de nombres de dominio. Agregue y compruebe su dominio público en el portal de cuentas de Windows Intune en https://account.manage.microsoft.com en el nodo Dominios.

   2. Asegúrese de que el dominio público se ha agregado como un sufijo UPN alternativo en Active Directory local. Los usuarios deben tener el mismo nombre principal de usuario (UPN) de dominio público en la nube y en Active Directory local para inscribir dispositivos móviles. Debe comprobar que los usuarios tienen un UPN de dominio público antes de configurar la sincronización de directorios. Si omite este paso, los usuarios pueden tener "onmicrosoft.com" anexado a su UPN de la nube, lo que hará que no coincidan con los nombres de usuario de Active Directory local. Vea Agregar sufijos de nombre principal de usuario.

   3. Agregue un registro CNAME en DNS que señale enterpriseenrollment.<publicdomain> a manage.microsoft.com. El registro CNAME se utiliza posteriormente como parte del proceso de inscripción. Vea Agregar un registro de recursos de alias (CNAME) a una zona.

   Pasos de comprobación:

   • Compruebe la página Dominios del portal de cuentas de Windows Intune para asegurarse de que el dominio público se muestra y se ha comprobado.

   • Examine las propiedades de una cuenta de usuario en Active Directory local para asegurarse de que el UPN aparece con el nombre de dominio público.

3. Proporcione acceso fácil y seguro para los usuarios mediante DirSync con la sincronización de contraseñas.

   Puede configurar la sincronización de contraseñas desde el portal de cuentas de Windows Intune en https://account.manage.microsoft.com. En el nodo Usuarios del portal, haga clic en Sincronización de Active Directory: Configurar y, a continuación, siga los pasos descritos en Configurar y administrar la sincronización de Active Directory. La sincronización de contraseñas se habilita al ejecutar la herramienta Asistente para configuración de sincronización de directorios seleccionando Habilitar la sincronización de contraseñas.

   Vea:

   • Guía de sincronización de directorios

   • Implementar la sincronización de contraseñas

   Pasos de comprobación: Compruebe en el portal de la cuenta de Windows Intune en https://account.manage.microsoft.com para ver las cuentas de usuario.

4. Instale su sitio o jerarquía de Administrador de configuración de System Center 2012 R2.

   Después de planear su jerarquía de Administrador de configuración de System Center 2012 R2, la empresa decidió instalar un sitio primario independiente en su sede central e instalar puntos de distribución en sus ubicaciones remotas. Puede determinar que su jerarquía requiera una configuración diferente. Utilice los pasos siguientes para instalar su sitio o jerarquía de Administrador de configuración de System Center 2012 R2:

   1. Identifique un servidor que cumpla los requisitos previos de software y hardware para hospedar un sitio principal de Configuration Manager. Vea Planeación de configuraciones de hardware para Configuration Manager.

   2. Revise el software necesario y los sistemas operativos compatibles para hospedar un sitio de Configuration Manager. Vea Requisitos del sistema del sitio.

   3. Configure su entorno de Windows para que admita Administrador de configuración de System Center 2012 R2. Vea Preparar el entorno de Windows para Configuration Manager.

   4. Instale un sitio de Administrador de configuración de System Center 2012 R2. Vea Instalar sitios y crear una jerarquía de Configuration Manager. Para esta solución, la empresa instalará un sitio principal independiente y omitirá los pasos para instalar un sitio de administración central o un sitio secundario. Conforme avance en el tema, seleccione sitios adecuados para su entorno.

   5. Instale un punto de distribución en ubicaciones remotas. La empresa de ejemplo ha determinado que pueden utilizar un punto de distribución en cada una de sus ubicaciones remotas en lugar de utilizar un sitio secundario en cada ubicación. Para más información acerca de cómo instalar y configurar un punto de distribución, vea Configuración de administración de contenido en Configuration Manager.

   Pasos de comprobación

   En el equipo del servidor de sitio principal, supervise el progreso en el Asistente para la instalación. El Asistente para la instalación de Configuration Manager muestra el resultado de cada tarea de instalación del sitio. Una vez completadas todas las tareas de instalación, puede cerrar al asistente. Sin embargo, una vez completada la instalación del sitio, el Asistente para la instalación continúa mostrando información acerca de las configuraciones de curso para el sitio, que puede supervisar si no cierra al asistente. Cerrar el Asistente para la instalación no afecta a estas configuraciones continuas, que continúan ejecutándose en segundo plano después de cerrar el asistente. Revise el archivo ConfigMgrSetup.log para comprobar que el sitio se ha instalado correctamente.

5. Configure características y funciones de administración.

   Después de instalar el sitio o la jerarquía, configure el sitio para admitir las características y funciones de administración de Administrador de configuración de System Center 2012 R2 que desea utilizar. Debe configurar la detección de usuarios de Active Directory antes de configurar la suscripción de Windows Intune o instalar el rol de sistema de sitio de conector de Windows Intune en el paso 8. Vea:

   1. Configurar sitios y la jerarquía en Configuration Manager

   2. Configurar la detección de Active Directory para equipos, usuarios o grupos

6. Migre a Administrador de configuración de System Center 2012 R2.

   Al migrar objetos desde su jerarquía de origen de Configuration Manager 2007, obtiene acceso a datos de las bases de datos de sitio que identifica en la infraestructura de origen y, a continuación, copia los datos a la jerarquía de Administrador de configuración de System Center 2012 R2. La migración no cambia los datos de la jerarquía de origen. Detecta los datos y almacena una copia en la base de datos de la jerarquía de destino. Vea Migración de jerarquías en System Center 2012 Configuration Manager.

   Para migrar sus datos de Configuration Manager 2007 a Administrador de configuración de System Center 2012 R2:

   1. Especifique la jerarquía de Configuration Manager 2007 SP2 como la jerarquía de origen para la migración. De forma predeterminada, el sitio de nivel superior de esa jerarquía se convierte en un sitio de origen de la jerarquía de origen. Después de recopilar los datos del sitio de origen inicial, puede configurar sitios de origen adicionales para la migración.

      Configuration Manager comienza a recopilar datos del sitio de origen inmediatamente después de que especifique una jerarquía de origen, configure las credenciales para cada sitio de origen adicionales en una jerarquía de origen o comparta los puntos de distribución para un sitio de origen. De forma predeterminada, el proceso de recopilación de datos se repite cada cuatro horas para que Configuration Manager pueda identificar los cambios en los datos de la jerarquía de origen que desea migrar. La recopilación de datos también es necesaria para compartir puntos de distribución desde la jerarquía de origen a la jerarquía de destino. Vea Configuración de jerarquías de origen y sitios de origen para la migración a System Center 2012 Configuration Manager.

   2. Cree trabajos de migración para migrar datos entre la jerarquía de origen y la de destino. Utilice trabajos de migración para configurar los datos específicos que desea migrar a su entorno de Administrador de configuración de System Center 2012 R2. Los trabajos de migración identifican los objetos que planea migrar y se ejecutan en el sitio de nivel superior en la jerarquía. Vea Crear y editar trabajos de migración de System Center 2012 Configuration Manager.

   3. Supervise los trabajos de migración. Supervise el progreso de los trabajos de migración en la consola de Administrador de configuración de System Center 2012 R2. Vea Supervisión de la actividad de migración en el área de trabajo de migración.

   4. Actualice los puntos de distribución compartidos. Puede actualizar un punto de distribución admitido compartido desde el sitio de origen de Configuration Manager 2007 para que sea un punto de distribución en la jerarquía de destino. Vea Actualizar o reasignar un punto de distribución compartido en System Center 2012 Configuration Manager.

   5. Migre clientes de Configuration Manager 2007 a Administrador de configuración de System Center 2012 R2. Después de migrar datos de clientes entre jerarquías, pero antes de completar la migración, planee la migración de los clientes a la jerarquía de destino. Para migrar clientes entre jerarquías, instale el software de cliente de Configuration Manager desde la jerarquía de destino. El cliente de Configuration Manager se desinstala, y el cliente de Administrador de configuración de System Center 2012 R2 se instala y se asigna al sitio principal. Vea Planeación de una estrategia de migración de clientes en System Center 2012 Configuration Manager.

   6. Complete el proceso de migración: Cuando su jerarquía de Configuration Manager 2007 ya no contiene datos que desea migrar a la jerarquía de destino, puede completar el proceso de migración. Para ello:

      1. Asegúrese de que se han migrado correctamente todos los recursos de la jerarquía de origen que necesita en la jerarquía de destino. Esto puede incluir datos y clientes.

      2. Detenga la recopilación de datos de cada sitio de origen de la jerarquía de Configuration Manager 2007. Para ello, ejecute la acción Detener la recopilación de datos en los sitios de origen de nivel inferior y, a continuación, repita el proceso en cada sitio principal. El sitio de nivel superior de la jerarquía de origen debe ser el último sitio en el que detenga la recopilación de datos. Debe detener la recopilación de datos en cada sitio secundario antes de realizar esta acción en un sitio principal. Después de detener la recopilación de datos, ya no puede compartir puntos de distribución entre las jerarquías de origen y de destino.

      3. Limpie datos de migración. Para ello, utilice la acción Limpiar datos de migración. Esta acción opcional quita datos acerca de la jerarquía de origen actual de la base de datos de la jerarquía de destino. Hasta que limpie los datos de migración, cada trabajo de migración que se ha ejecutado o que está programado para ejecutarse permanece accesible en la consola Configuration Manager. Al limpiar los datos de migración, se quita la mayoría de los datos sobre la migración de la base de datos de la jerarquía de destino. Vea Completar la migración en System Center 2012 Configuration Manager.

      Pasos de comprobación: La migración consta de varias acciones o fases distintas, y se extiende durante un período hasta que decida completar el proceso de migración. Por lo tanto, no hay ningún paso de comprobación o proceso que pueda revisar para confirmar que la migración ha finalizado. En su lugar, puede comprobar los resultados que se muestran en la consola Administrador de configuración de System Center 2012 R2 cuando las acciones para cada fase ejecutada o completada.

   7. Retire su jerarquía de Configuration Manager 2007: Después de completar la migración desde una jerarquía de origen y que esa jerarquía ya no contenga recursos que administrar, puede retirar los sitios de la jerarquía de origen y quitar la infraestructura relacionada de su entorno. Vea Tareas de Configuration Manager para retirar sitios y jerarquías.

7. Obtener certificados o claves para dispositivos móviles

   La empresa debe tener certificados o claves de instalación de prueba antes de poder inscribir los dispositivos móviles. Los tipos de dispositivos móviles que tiene en su entorno determinará qué certificados o claves de instalación de prueba serán necesarios. Vea Obtener certificados o claves para cumplir los requisitos previos por plataforma.

8. Configure la suscripción a Windows Intune e instale el rol de sistema de sitio de conector de Windows Intune en el sitio de nivel superior.

   Antes de que la empresa puede usar Configuration Manager para administrar dispositivos móviles, debe configurar su suscripción a Windows Intune e instalar el rol de sistema de sitio de conector de Windows Intune en su servidor de sitio de nivel superior. Configurarán su sitio principal independiente. Si tiene una jerarquía más compleja, configure el sitio de administración central.

   1. Configure su suscripción a Windows Intune. Vea Configuración de la suscripción a Windows Intune.

   2. Instale el conector de Windows Intune. Vea El rol de sistema de sitio de conector de Windows.

   Pasos de comprobación:

   • En el equipo del servidor del sitio principal, revise el archivo sitecomp.log para comprobar que el rol de sistema de sitio de conector de Windows Intune se ha instalado correctamente.

   • En el equipo donde se instala el conector de Windows Intune, revise el archivo cloudusersync.log para comprobar que los usuarios de su dominio se han sincronizado correctamente a Windows Intune.

   • En el equipo del servidor de sitio principal, revise el archivo CertMgr.log para confirmar que el equipo donde instaló el conector de Windows Intune comparte el certificado del conector. El certificado se comparte una vez completada la instalación del rol de sistema de sitio de conector de Windows Intune.

   • En el equipo donde se instala el conector de Windows Intune, revise el archivo dmpuploader.log para comprobar que el rol de sistema de sitio de conector puede cargar la directiva y los cambios de configuración para el servicio de Windows Intune.

   • En el equipo donde se instala el conector de Windows Intune, revise el archivo dmpdownloader.log para comprobar que el conector de Windows Intune es capaz de descargar mensajes de Windows Intune. Este registro solo puede mostrar un ping al principio del proceso de descarga y puede tardar algún tiempo antes de que se registren las entradas relacionadas con las descargas.

9. Inscriba dispositivos móviles.

   La inscripción establece una relación entre el usuario, el dispositivo móvil y el servicio de Windows Intune. Los usuarios inscriben sus dispositivos móviles. Los dispositivos Android no se inscriben, pero pueden administrarse mediante el conector de Exchange Server. Vea Inscripción de dispositivos móviles.

10. Instale la consola de Administrador de configuración de System Center 2012 R2.

    De forma predeterminada, cuando se instala un sitio principal, la consola de Configuration Manager también se instala en el equipo del servidor de sitio principal. Después de la instalación del sitio, puede instalar consolas de Administrador de configuración de System Center 2012 R2 adicionales en equipos para administrar el sitio. Vea Instalar una consola de Configuration Manager.

11. Administre sus PC y dispositivos móviles.

    Después de instalar y realizar las configuraciones básicas para el sitio, puede empezar a configurar la administración de los PC y dispositivos móviles. Las siguientes son las características típicas o funcionalidades que puede configurar:

    Característica	Detalles
    Inventario de hardware	Use el inventario de hardware para recopilar información sobre la configuración de hardware de dispositivos cliente de su organización.
    Inventario de software	Use el inventario de software para recopilar información acerca de los archivos que se encuentran en los dispositivos cliente de su organización. Además, el inventario de software puede recopilar archivos de dispositivos cliente y los almacenan en el servidor de sitio.
    Asset Intelligence	Use Asset Intelligence para realizar inventario y administrar el uso de licencias de software en toda la empresa y mejorar la riqueza de información que se recopila acerca del hardware y software.
    Configuración de cumplimiento	Use la configuración de cumplimiento para administrar la configuración y el cumplimiento de los servidores, equipos portátiles, equipos de escritorio y dispositivos móviles en su organización.
    Acceso a recursos de empresa	Use el acceso a recursos de empresa para proporcionar a los usuarios de su organización acceso a datos y aplicaciones desde ubicaciones remotas mediante la configuración de los siguientes elementos: Perfiles de certificado Perfiles VPN Perfiles Wi-Fi
    Perfiles de conexión remota	Use perfiles de conexión remota para permitir a los usuarios conectarse remotamente a los equipos de trabajo cuando no están conectados al dominio o si sus equipos están conectados a Internet.
    Administración de aplicaciones	Use la administración de aplicaciones para administrar aplicaciones de su empresa para los usuarios administrativos de Configuration Manager y los usuarios de dispositivos cliente.
    Actualizaciones de software	Actualizaciones de software de uso para supervisar el cumplimiento e implementar actualizaciones de software en equipos de su empresa.
    Administrar dispositivos móviles	Use este tutorial para conocer los pasos que permiten administrar los dispositivos Android, Windows RT, iOS y Windows Phone 8 mediante el servicio de Windows Intune a través de Internet.
    Borrado de contenido de la empresa desde dispositivos móviles	Puede realizar un borrado completo en Windows Phone 8, iOS y Android dispositivos para restaurar el dispositivo a la configuración de fábrica. O bien, puede realizar una eliminación selectiva que solo quita contenido de la empresa.

Vea también