Gestroomlijnd beheer voor mobiele apparaten en computers in een hybride omgeving

Van toepassing op: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

Voor wie is deze handleiding bedoeld? Bedrijven die lokale mobiele apparaten en pc's moeten beheren met behulp van de bestaande Configuration Manager-infrastructuur ter ondersteuning van de werknemersvraag om deze apparaten te gebruiken voor toegang tot bedrijfsresources.

Hoe kan deze handleiding u helpen? Deze handleiding bevat een normatief, getest ontwerp waarin wordt uitgelegd hoe u:

• uw bestaande lokale Configuration Manager-infrastructuur bijwerkt en uitbreidt naar de cloud om uw gebruikers op afstand vanaf het apparaat van hun keuze te laten werken.

• het beheer van pc en mobiele apparaten in één infrastructuur samenvoegt.

• naleving voor alle apparaten onderhoudt.

• zakelijke gegevens beveiligt.

In deze oplossing:

• Scenario, probleemstelling en doelstellingen

  • Scenario

  • Probleemstelling

  • Organisatiedoelstellingen

• Wat is het aanbevolen ontwerp voor deze oplossing?

  • System Center 2012 R2 Configuration Manager installeren en objecten migreren

  • Abonneren op Windows Intune

  • Identiteit en toegang met Windows Azure AD en adreslijstsynchronisatie beheren

  • Veilige, eenvoudige toegang bieden voor gebruikers met wachtwoordsynchronisatie

  • Een gefaseerde platformupgrade plannen

• Implementatiestappen

In het volgende diagram ziet u het probleem waarvoor deze handleiding een oplossing biedt.

Diagram 1: Overzicht van het probleem.

Scenario, probleemstelling en doelstellingen

In deze sectie worden het scenario, de probleemstelling en de doelstellingen voor een voorbeeldorganisatie beschreven.

Scenario

In deze oplossing wordt gebruikgemaakt van een voorbeeldbedrijf waar meer dan 5.000 mensen werken die hun persoonlijk Windows Phone 8-, Windows RT-, iOS- en Android-apparaten meebrengen naar hun werk. Momenteel hebben ze vanaf deze apparaten op geen enkele manier toegang tot bedrijfsbronnen.

Het bedrijf gebruikt Microsoft System Center Configuration Manager 2007-SP2 om pc's te beheren voor gebruikers die op locatie zijn en die extern verbinding maken met het bedrijfsnetwerk via VPN. Het bedrijf kan mobiele apparaten niet beheren.

De infrastructuur van de omgeving van het bedrijf bevat:

• Windows Server 2008 R2

• Windows Server 2008 R2 Active Directory

• Configuration Manager 2007 SP2

• Pc's die zijn toegevoegd aan het domein en worden beheerd door Configuration Manager

In het volgende diagram ziet u de huidige omgeving van het bedrijf.

Diagram 2: Overzicht van de huidige omgeving

Probleemstelling

De huidige infrastructuur voor apparaatbeheer biedt geen ondersteuning voor de groeiende behoeften van het voorbeeldbedrijf:

• Ze beheren pc's in de huidige omgeving, maar kunnen geen mobiele apparaten beheren.

• Een aantal werknemers krijgt zakelijke mobiele apparaten. Andere werknemers willen hun persoonlijke apparaten op het werk gebruiken.

Het bedrijf maakt zich ook zorgen over de resources die nodig zijn om al deze apparaten te beheren. De ondersteuning van veel pc's, apparaten en toepassingen is kostbaar en apparaatbeheer kan IT 24/7 bezighouden.

Het bedrijf moet risico's beheren en ervoor zorgen dat alle zakelijke en persoonlijke apparaten voldoen aan de richtlijnen voor beveiliging.

• Apparaatbeheer is een beveiligingsrisico voor zakelijke activa en informatie. Als werknemers op een apparaat werken dat IT niet beheert (of zelfs niet kent), wordt het moeilijk controle te houden over vertrouwelijke bedrijfsinformatie.

• IT kan niets doen als het apparaat wordt verkocht, zoekraakt of wordt gestolen.

Organisatiedoelstellingen

Het voorbeeldbedrijf zoekt een oplossing waarmee het het volgende kan doen:

• Hun bestaande Configuration Manager-infrastructuur gebruiken. IT heeft een groot aantal bronnen geïnvesteerd in de huidige infrastructuur en wil niet opnieuw beginnen.

• Werknemers zowel hun persoonlijke als zakelijke apparaten laten gebruiken voor toegang tot bedrijfstoepassingen en -gegevens. Hieronder vallen pc's en mobiele apparaten.

• Pc's en persoonlijke apparaten beheren via één beheerconsole. Beheer van apparaten omvat het configureren van beveiligings- en nalevingsinstellingen, het verzamelen van software- en hardware-inventaris of softwaredistributie.

• Toepassingen of koppelingen implementeren op basis van het apparaattype en of het apparaat persoonlijk is of eigendom van het bedrijf.

• Het bedrijf beveiligen door zakelijke gegevens op het mobiele apparaat te wissen wanneer het zoekraakt, wordt gestolen of niet meer wordt gebruikt.

Wat is het aanbevolen ontwerp voor deze oplossing?

Om het zakelijke probleem op te lossen en doelstellingen van de organisatie te behalen, moet het bedrijf:

• Op het hoofdkantoor een nieuwe zelfstandige primaire System Center 2012 R2 Configuration Manager-site installeren en op externe locaties distributiepunten installeren.

• Objecten en distributiepunten van hun bestaande Configuration Manager-2007 SP2 infrastructuur naar System Center 2012 R2 Configuration Manager migreren.

• Zich abonneren op Windows Intune en de Windows Intune-connector in Configuration Manager configureren om met Windows Intune te integreren.

• De domeingebruikersaccounts met Windows Azure synchroniseren, aangezien Windows Intune een cloudservice is. Hierdoor kunnen de gebruikers die vanaf hun mobiele apparaat toegang hebben tot bedrijfsbronnen worden beheerd.

• Wachtwoordsynchronisatie gebruiken zodat gebruikers hun lokale domein-gebruikersnaam en -wachtwoord voor cloudservices kunnen gebruiken.

In het volgende diagram ziet u hoe de elementen in deze oplossing met elkaar communiceren.

Diagram 3: Overzicht van de oplossing

System Center 2012 R2 Configuration Manager installeren en objecten migreren

System Center 2012 R2 Configuration Manager kan de mogelijkheid van het bedrijf uitbreiden om lokale pc's naar de cloud te beheren door Windows Intune te integreren. En met behulp van Configuration Manager met Windows Intune kan het bedrijf de lokale pc's en mobiele apparaten vanaf één console beheren. Ze willen ook IT-overhead verminderen.

Daarom installeert het bedrijf op het hoofdkantoor een nieuwe zelfstandige primaire System Center 2012 R2 Configuration Manager-site en op externe locaties distributiepunten.

Vervolgens worden objecten vanaf hun Configuration Manager 2007-SP2-omgeving naar System Center 2012 R2 Configuration Manager gemigreerd.

Het bedrijf heeft om de volgende redenen voor migratie gekozen:

• Geïntegreerde oplossing: Het bedrijf wil een geïntegreerde oplossing waarmee het pc's en mobiele apparaten vanaf één console kan beheren. System Center 2012 R2 Configuration Manager Windows Intune biedt deze geïntegreerde oplossing.

• Vereenvoudigde hiërarchie: Met System Center 2012 R2 Configuration Manager hebben ze bepaald ze dat ze niet langer een secundaire site op elke externe locatie nodig hebben zoals weergegeven in de volgende diagrammen.

   

  Diagram 3: Bestaande hiërarchie, Configuration Manager 2007

   

  Diagram 4: Nieuwe hiërarchie, System Center 2012 R2 Configuration Manager
   

  Voordelen van vereenvoudigde hiërarchie:

  • Beheer op basis van rollen: In System Center 2012 R2 Configuration Manager kan het bedrijf met beheer op basis van rollen administratieve beveiliging ontwerpen en implementeren voor de System Center 2012 R2 Configuration Manager-hiërarchie met behulp van een of meer van de volgende opties:

    • Beveiligingsrollen

    • Verzamelingen

    • Beveiligingsbereiken

    Deze instellingen worden gecombineerd om een administratief bereik voor een gebruiker met beheerdersrechten te definiëren. Het administratief bereik bepaalt de objecten die een gebruiker met beheerdersrechten kan bekijken in de Configuration Manager-console en de machtigingen van de gebruiker voor deze objecten. Zie Planning for Role-Based Administration (Beheer op basis van rollen plannen).

  • Content management: In System Center 2012 R2 Configuration Manager kan het bedrijf de netwerkbandbreedte configureren die wordt gebruikt om inhoud naar distributiepunten over te zetten en inhoud instellen op distributiepunten op externe locaties. Zie Network Bandwidth Considerations for Distribution Points (Netwerkbandbreedteoverwegingen voor distributiepunten).

• Objecten migreren: Het bedrijf kan hulpprogramma's voor migratie gebruiken om objecten van Configuration Manager 2007-SP2 naar de System Center 2012 R2 Configuration Manager-hiërarchie te migreren. De IT-afdeling van het bedrijf heeft een aanzienlijke hoeveelheid tijd gestoken in het maken van Configuration Manager-objecten, zoals verzamelingen, taakreeksen en configuratie-items. Door te migreren blijven ze profiteren van deze investering.

• Nieuwste functies: Het bedrijf is ook geïnteresseerd in nieuwe functies in System Center 2012 R2 Configuration Manager die niet direct gerelateerd zijn aan deze oplossing. Zie What’s New in System Center 2012 R2 Configuration Manager (Nieuwe functies in System Center 2012 R2 Configuration Manager).

Abonneren op Windows Intune

De Windows Intune-service biedt cloudbeheer van mobiele apparaten. Het bedrijf wordt geabonneerd op Windows Intune en integreert Windows Intune vervolgens met System Center 2012 R2 Configuration Manager voor het beheren van pc's en mobiele apparaten vanaf de Configuration Manager-console.

Een abonnement op Windows Intune biedt ondersteuning voor het doel van het bedrijf voor een geïntegreerde oplossing om pc's en mobiele apparaten te beheren.

Het bedrijf overwoog oplossingen van derden voor het beheer van mobiele apparaten. Geen van deze oplossingen bieden de geïntegreerde ervaring die ze willen. Ze willen ook niet overschakelen op andere producten en training- en implementatiekosten uitgeven.

Het bedrijf kan bovendien de gebruikersaccount van het Windows Intune-abonnement gebruiken wanneer het zich enkele maanden later op Microsoft Office 365 abonneert.

Identiteit en toegang met Windows Azure AD en adreslijstsynchronisatie beheren

Windows Intune gebruikt Windows Azure AD voor het opslaan van gebruikersaccounts. Microsoft-cloudservices, zoals Windows Intune en Office 365, zijn afhankelijk van de mogelijkheden voor identiteitsbeheer die Windows Azure AD biedt.

Het bedrijf gebruikt Windows Azure Directory-synchronisatie (DirSync) om lokale Windows Server AD-gebruikers met Windows Azure AD te synchroniseren. Adreslijstsynchronisatie is bedoeld als een continue relatie tussen lokale AD en Windows Azure AD in de cloud. Het bedrijf koos DirSync om:

• Administratieve kosten te verlagen: Zonder DirSync moest het bedrijf handmatig de accounts van gebruikers en groepen toevoegen aan Windows Azure AD. DirSync synchroniseert de gebruikersaccounts van de lokale Windows-Server AD met Windows Azure AD. Nadat u adreslijstsynchronisatie hebt geactiveerd, kunt u gesynchroniseerde objecten in uw lokale omgeving bewerken. Deze wijzigingen worden gesynchroniseerd met uw Windows Intune-abonnement, waardoor administratieve kosten worden verlaagd.

• Productiviteit verhogen: Door het proces van het synchroniseren van groeps- en gebruikersaccounts te automatiseren, hoeft het bedrijf aanzienlijk minder tijd te besteden aan het toegankelijk maken van cloudservices voor hun werknemers.

Overwegingen voor planning en ontwerp voor adreslijstsynchronisatie

Bij het plannen van adreslijstsynchronisatie dacht het bedrijf onder andere na over hardwarevereisten, beheerdersmachtigingen en prestaties. Deze vereisten worden beschreven in Prepare for directory synchronization (Voorbereiden op adreslijstsynchronisatie).

Veilige, eenvoudige toegang bieden voor gebruikers met wachtwoordsynchronisatie

Gebruikersverificatie moet worden geconfigureerd of werknemers van het bedrijf moeten een andere gebruikersnaam en afzonderlijke wachtwoorden gebruiken voor toegang tot services op locatie en in de cloud. Het bedrijf besloot gebruikersverificatie te gebruiken om extra administratieve overheid te voorkomen, om initiële en lopende wachtwoordwijzigingen te beheren en om een betere gebruikerservaring te bieden. Ze besloten wachtwoordsynchronisatie te gebruiken voor gebruikersverificatie.

Het bedrijf overwoog de volgende verificatiemethoden voor werknemerstoegang tot bronnen in de cloud en op locatie met dezelfde referenties:

• Wachtwoordsynchronisatie is een lichte optie waarmee gebruikers een ervaring hebben die is vergelijkbaar met eenmalige aanmelding en die heel eenvoudig te implementeren is. Wachtwoordsynchronisatie is een optie die u kunt selecteren binnen DirSync waarmee DirSync een hash van het wachtwoord kan opslaan in Windows Azure AD. Als wachtwoordsynchronisatie op uw directory-sync-computer is ingeschakeld, kunnen uw gebruikers zich aanmelden bij Microsoft-cloudservices, zoals Office 365, Dynamics CRM en Windows Intune, met hetzelfde wachtwoord dat ze gebruiken bij het aanmelden bij uw lokale netwerk. Wanneer uw gebruikers hun wachtwoord in uw bedrijfsnetwerk wijzigen, worden deze wijzigingen gesynchroniseerd met de cloud.

  Wachtwoordsynchronisatie biedt echter geen oplossing voor eenmalige aanmelding (SSO, Single Sign-On) die u ontvangt wanneer u AD FS gebruikt. Gebruikers moeten telkens wanneer ze een cloudservice openen hun referenties opnieuw invoeren. Zie:

  • Directory-synchronisatie met wachtwoordsynchronisatiescenario

  • Wachtwoordsynchronisatie implementeren

• Active Directory Federation Services (AD FS) biedt echte eenmalige aanmelding (SSO) en werkt samen met protocollen voor Active Directory-verificatie. De lokale Active Directory en AD FS communiceren met het Windows Azure AD-identiteitsplatform voor toegang tot een of meer Microsoft-cloudservices. Wanneer SSO is geconfigureerd, wordt een federatieve vertrouwensrelatie gemaakt tussen het domein en het Windows Azure AD-verificatiesysteem. Gebruikers kunnen zich verifiëren met cloudservices en lokale services met behulp van de gebruikersnaam en het wachtwoord voor deze services. Nadat gebruikers zijn geverifieerd, wordt ze niet opnieuw om referenties gevraagd wanneer ze een cloudservice openen.

Het bedrijf besloot wachtwoordsynchronisatie te gebruiken voor gebruikersverificatie om verschillende redenen. Wachtwoordsynchronisatie is heel eenvoudig in DirSync te configureren, wat ze al zouden gebruiken om hun lokale gebruikersaccounts te synchroniseren. Ze willen de komende zes maanden ook hun domeincontrollers bijwerken naar Windows Server 2012 R2. AD FS is een siterol in Windows Server 2012 R2 en heeft een groot aantal nieuwe functies. Het bedrijf wil AD FS implementeren wanneer het de domeincontrollers bijwerkt. Zie voor meer informatie over het implementeren van AD FS in Windows Server 2012 R2:

• Beveiligde toegang tot bedrijfsbronnen vanaf elke locatie op elk apparaat

• Overzicht Active Directory Federation Services

Het bedrijf besloot wachtwoordsynchronisatie te gebruiken voor gebruikersverificatie. U kunt echter besluiten AD FS te implementeren voor eenmalige aanmelding in uw omgeving. Zie:

• Overwegingen bij het ontwerpen van AD FS: AD FS 2.0-ontwerphandleiding

• AD FS voor eenmalige aanmelding gebruiken: Controlelijst: AD FS gebruiken om eenmalige aanmelding te implementeren en beheren

Een gefaseerde platformupgrade plannen

Het bedrijf besloot de lokale AD niet bij te werken als onderdeel van deze oplossing, maar wil deze de komende 6 maanden wel bijwerken.

De IT-afdeling van het bedrijf stelde voor de lokale AD bij te werken als onderdeel van de oplossing. In Windows Server 2012 R2 is AD verbeterd met de volgende functies:

• Apparaatregistratie. IT-beheerders kunnen een apparaat laten registreren, zodat het apparaat wordt gekoppeld aan de Active Directory van het bedrijf. Deze koppeling kan worden gebruikt als een naadloze tweedefactorverificatie.

• Eenmalige aanmelding (SSO) van apparaten die zijn gekoppeld aan de Active Directory van het bedrijf.

• Webtoepassingsproxy, waarmee gebruikers vanaf elke locatie verbinding kunnen maken met toepassingen en services.

• Multi-Factor Access Control en Multi-Factor Authentication (MFA), waarmee het risico wordt beheerd van gebruikers die overal werken en beveiligde gegevens op hun apparaten openen.

• Werkmappen, die gebruikers een locatie bieden om werkbestanden op pc's en apparaten op te slaan en te openen.

Zie Active Directory Services.

Terwijl het managementteam van het bedrijf ermee akkoord ging dat de nieuwe functies waardevol waren, konden ze niet de resources goedkeuren om AD als onderdeel van deze oplossing bij te werken. Het managementteam wil de lokale AD de komende zes maanden bijwerken.

Wanneer u er klaar voor bent uw lokale AD bij te werken en AD FS te implementeren, raadpleegt u Secure access to company resources from any location on any device (Beveiligde toegang tot bedrijfsbronnen vanaf elke locatie op elk apparaat).

Implementatiestappen

In deze sectie vindt u de stappen die het bedrijf heeft genomen om de oplossing te implementeren. Als u deze stappen volgt, controleert u van iedere stap of deze goed is geïmplementeerd voordat u verdergaat met de volgende.

1. Abonneer u op Windows Intune.

   Maak een Windows Intune-abonnement op de Windows Intune-website.

   • Als u al een gebruikersaccount voor een andere cloudservice hebt, zoals Office 365, klikt u op Aanmelden om de accountreferenties in te voeren. Hiermee kunt u dezelfde groep gebruikers in alle services in de Windows Azure AD-tenant van uw organisatie delen.

   Verificatiestappen: Nadat u het aanmeldingsproces hebt voltooid, wordt een e-mailbericht verzonden naar het e-mailadres dat u hebt opgegeven. Klik op de koppeling in die e-mail of ga naar de Windows Intune-accountportal op https://account.manage.microsoft.com en controleer of u zich kunt aanmelden.

2. Configureer uw openbare domein.

   1. Haal een openbaar domein op. Als u de Windows Intune-service wilt gebruiken, hebt u ook een domeinnaam van een openbare organisatie nodig die wordt geverifieerd door middel van een domeinnaamregistratieservice. Voeg uw openbare domein toe en controleer het in de Windows Intune-accountportal op https://account.manage.microsoft.com onder het knooppunt Domeinen.

   2. Zorg ervoor dat het openbare domein is toegevoegd als een alternatief UPN-achtervoegsel in de lokale Active Directory. Gebruikers moeten dezelfde openbaredomein-UPN (User Principal Name) in de cloud en de lokale Active Directory hebben om mobiele apparaten te registreren. Uw moet controleren of uw gebruikers een openbaredomein-UPN hebben voordat u adreslijstsynchronisatie configureert. Als u deze stap overslaat, wordt bij gebruikers mogelijk "onmicrosoft.com" aan hun cloud-UPN toegevoegd, waardoor die niet overeenkomt met lokale Active Directory-gebruikersnamen. Zie Add User Principal Name Suffixes (UPN-achtervoegsels toevoegen).

   3. Voeg een CNAME-record toe in DNS die enterpriseenrollment.<publicdomain> naar manage.microsoft.com leidt. De CNAME-record wordt later gebruikt als onderdeel van het registratieproces. Zie Add an Alias (CNAME) Resource Record to a zone (Een aliasbronrecord (CNAME) toevoegen aan een zone).

   Verificatiestappen:

   • Ga naar de pagina Domeinen van de Windows Intune-accountportal om te controleren of het openbare domein wordt weergegeven en is geverifieerd.

   • Bekijk de eigenschappen van een gebruikersaccount in uw lokale Active Directory om te controleren of de UPN wordt vermeld met de naam van het openbare domein.

3. Bied veilige, eenvoudige toegang voor gebruikers met behulp van DirSync met wachtwoordsynchronisatie.

   U kunt wachtwoordsynchronisatie configureren vanaf uw Windows Intune-accountportal op https://account.manage.microsoft.com. In het knooppunt Gebruikers van de portal klikt u op Active Directory-synchronisatie: Instellen en volgt u de stappen die worden beschreven in Active Directory-synchronisatie instellen en beheren. U schakelt wachtwoordsynchronisatie in als u de configuratiewizard van het Directory Sync-hulpprogramma uitvoert door Wachtwoordsynchronisatie inschakelen te selecteren.

   Zie:

   • Overzicht van adreslijstsynchronisatie

   • Wachtwoordsynchronisatie implementeren

   Verificatiestappen: Ga naar de Windows Intune-accountportal op https://account.manage.microsoft.com om gebruikersaccounts weer te geven.

4. Installeer de System Center 2012 R2 Configuration Manager-site of -hiërarchie.

   Na het plannen van de System Center 2012 R2 Configuration Manager-hiërarchie besloot het bedrijf op het hoofdkantoor een zelfstandige primaire site te installeren en op hun externe locaties distributiepunten. U kunt bepalen dat uw hiërarchie een andere configuratie vereist. Gebruik de volgende stappen voor het installeren van uw System Center 2012 R2 Configuration Manager-site of -hiërarchie:

   1. Identificeer een server die voldoet aan de software- en hardwarevereisten om een primaire Configuration Manager-site te hosten. Zie Planning for Hardware Configurations for Configuration Manager )(Hardwareconfiguraties voor Configuration Manager plannen).

   2. Controleer de vereiste software en ondersteunde besturingssystemen voor de hosting van een Configuration Manager-site. Zie Site System Requirements (Systeemvereisten site).

   3. Configureer de Windows-omgeving voor de ondersteuning van System Center 2012 R2 Configuration Manager. Zie Prepare the Windows Environment for Configuration Manager (De Windows-omgeving op Configuration Manager voorbereiden).

   4. Installeer een System Center 2012 R2 Configuration Manager-site. Zie Install Sites and Create a Hierarchy for Configuration Manager (Sites installeren en een hiërarchie maken voor Configuration Manager). Voor deze oplossing moet het bedrijf een zelfstandige primaire site installeren en stappen overslagen om een centrale beheersite of secundaire site te installeren. Als u het onderwerp doorloopt, kiest u sites die bij uw omgeving passen.

   5. Installeer een distributiepunt op externe locaties. Het voorbeeldbedrijf heeft vastgesteld dat het een distributiepunt op alle externe locaties kan gebruiken in plaats van een secundaire site op elke locatie. Zie voor meer informatie over het installeren en configureren van een distributiepunt Configuring Content Management in Configuration Manager (Content management configureren in Configuration Manager).

   Verificatiestappen

   Controleer de voortgang in de wizard Setup op de servercomputer van de primaire site. De wizard Configuration Manager Setup geeft het resultaat van elke site-installatietaak weer. Nadat alle installatietaken zijn voltooid, kunt u de wizard sluiten. Nadat de site-installatie is voltooid, blijft de wizard Setup echter informatie weergeven over lopende configuraties voor de site, die u kunt controleren als u de wizard niet sluit. Het sluiten van de wizard Setup heeft geen invloed op deze lopende configuraties, die op de achtergrond worden voortgezet nadat de wizard is gesloten. Controleer ConfigMgrSetup.log om te controleren of de site is geïnstalleerd.

5. Configureer de beheerfuncties.

   Nadat u uw site of hiërarchie hebt geïnstalleerd, configureert u de site ter ondersteuning van de functies van System Center 2012 R2 Configuration Manager die u wilt gebruiken. Voordat u het Windows Intune-abonnement configureert of de Windows Intune Connector-sitesysteemrol in stap 8 installeert, moet u detectie van Active Directory-gebruikers configureren. Zie:

   1. Sites en de hiërarchie in Configuration Manager configureren

   2. Active Directory-detectie voor computers, gebruikers of groepen configureren

6. Migreer naar System Center 2012 R2 Configuration Manager.

   Als u objecten uit uw Configuration Manager 2007-bronhiërarchie migreert, opent u gegevens van de sitedatabases die u in de broninfrastructuur bepaalt en kopieert u die gegevens naar de System Center 2012 R2 Configuration Manager-hiërarchie. Met migratie worden de gegevens in de bronhiërarchie niet gewijzigd. Deze gegevens worden gedetecteerd en er wordt een kopie opgeslagen in de database van de doelhiërarchie. Zie Migrating Hierarchies in System Center 2012 Configuration Manager (Hiërarchieën in System Center 2012 Configuration Manager migreren).

   Uw Configuration Manager 2007-gegevens naar System Center 2012 R2 Configuration Manager migreren:

   1. Geef uw Configuration Manager 2007-SP2-hiërarchie als de bronhiërarchie voor migratie op. De site op het hoogste niveau van die hiërarchie wordt standaard een bronsite van de bronhiërarchie. Nadat de gegevens uit de eerste bronsite zijn verzameld, kunt u extra bronsites voor migratie configureren.

      Configuration Manager begint onmiddellijk met het verzamelen van gegevens uit de bronsite nadat u een bronhiërarchie hebt opgegeven, referenties voor elke extra bronsite in een bronhiërarchie hebt geconfigureerd of de distributiepunten voor een bronsite hebt gedeeld. Het proces van het verzamelen van de gegevens wordt standaard elke vier uur herhaald, zodat Configuration Manager wijzigingen in gegevens in de bronhiërarchie kan identificeren die u wilt migreren. Het verzamelen van gegevens is ook vereist voor het delen van distributiepunten van de bronhiërarchie aan de doelhiërarchie. Zie Configuring Source Hierarchies and Source Sites for Migration to System Center 2012 Configuration Manager (Bronhiërarchieën en bronsites configureren voor migratie naar System Center 2012 Configuration Manager).

   2. Maak migratietaken voor het migreren van gegevens tussen de bron- en doelhiërarchie. Gebruik migratietaken voor het configureren van de gegevens die u wilt migreren naar uw System Center 2012 R2 Configuration Manager-omgeving. Migratietaken identificeren de objecten die u wilt migreren en ze worden uitgevoerd op het hoogste niveau in uw hiërarchie. ZIe Create and Edit Migration Jobs for System Center 2012 Configuration Manager (Migratietaken maken en bewerken voor System Center 2012 Configuration Manager).

   3. Controleer migratietaken. Controleer de voortgang van migratietaken in de System Center 2012 R2 Configuration Manager-console. Zie Monitor Migration Activity in the Migration Workspace (Migratieactviteiten in de migratiewerkruimte controleren).

   4. Werk gedeelde distributiepunten bij. U kunt een ondersteund distributiepunt dat wordt gedeeld vanaf uw Configuration Manager 2007-bronsite bijwerken en er een distributiepunt in de doelhiërarchie van maken. Zie Upgrade or Reassign a Shared Distribution Point in System Center 2012 Configuration Manager (Een gedeeld distributiepunt in System Center 2012 Configuration Manager bijwerken of opnieuw toewijzen).

   5. Migreer Configuration Manager 2007-clients naar System Center 2012 R2 Configuration Manager. Nadat u gegevens van clients tussen hiërarchieën hebt gemigreerd, maar voordat u de migratie hebt voltooid, moet u clients naar doelhiërarchie migreren. Als u clients tussen hiërarchieën wilt migreren, installeert u de Configuration Manager-clientsoftware van de doelhiërarchie. De Configuration Manager-client wordt verwijderd en de System Center 2012 R2 Configuration Manager-client wordt geïnstalleerd en toegewezen aan de primaire site. Zie Planning a Client Migration Strategy in System Center 2012 Configuration Manager (Een clientmigratiestrategie in System Center 2012 Configuration Manager plannen).

   6. De migratie voltooien: Als uw Configuration Manager 2007-hiërarchie geen gegevens meer bevat die u naar uw doelhiërarchie wilt migreren, kunt u de migratie voltooien. Hiervoor doet u het volgende:

      1. Zorg ervoor dat alle bronnen van de bronhiërarchie zijn gemigreerd die u nodig hebt in de doelhiërarchie. Hieronder kunnen gegevens en clients vallen.

      2. Stop met het verzamelen van gegevens van elke bronsite in uw Configuration Manager 2007-hiërarchie. Voer hiervoor de actie Geen gegevens meer verzamelen op de bronsites van de onderlaag uit en herhaal het proces op elke bovenliggende site. De site op het hoogste niveau van de bronhiërarchie moet de laatste site zijn waarop u stopt met het verzamelen van gegevens. U moet op elke onderliggende site stoppen met het verzamelen van gegevens voordat u deze actie op een bovenliggende site uitvoert. Nadat u het verzamelen van gegevens hebt beëindigd, kunt u niet meer distributiepunten tussen de bron- en hiërarchieën delen.

      3. Ruim migratiegegevens op. Gebruik hiervoor de actie Migratiegegevens opruimen. Met deze optionele actie worden gegevens over de huidige bronhiërarchie verwijderd uit de database van de doelhiërarchie. Totdat u migratiegegevens opruimt, blijft elke migratietaak die is uitgevoerd of gepland beschikbaar in de Configuration Manager-console. Wanneer u migratiegegevens opruimt, worden de meeste gegevens over de migratie verwijderd uit de database van de doelhiërarchie. Zie Complete Migration in System Center 2012 Configuration Manager (Migratie in System Center 2012 Configuration Manager voltooien).

      Verificatiestappen: Migratie bestaat uit verschillende afzonderlijke acties of fasen en duurt een bepaalde periode totdat u het migratieproces voltooit. Daarom is er geen verificatiestap die of -proces dat kunt u bekijken om te bevestigen dat de migratie is voltooid. In plaats daarvan kunt u resultaten controleren terwijl ze worden weergegeven in de System Center 2012 R2 Configuration Manager-console als acties voor elke fase worden uitgevoerd of voltooid.

   7. Uw Configuration Manager 2007-hiërarchie buiten gebruik stellen: Nadat u de migratie van een bronhiërarchie hebt voltooid en als die hiërarchie geen bronnen meer bevat die u beheert, kunt u de sites in de bronhiërarchie buiten gebruik stellen en de bijbehorende infrastructuur uit uw omgeving verwijderen. Zie Configuration Manager Tasks for Decommissioning Sites and Hierarchies (Configuration Manager-taken voor het buiten gebruik stellen van sites en hiërarchieën).

7. Certificaten of codes voor mobiele apparaten ophalen

   Het bedrijf heeft certificaten of sideloading-codes nodig voordat het mobiele apparaten kan registreren. De typen mobiele apparaten die u in uw omgeving hebt, bepalen welke certificaten of sideloading-codes u nodig hebt. Zie Obtain Certificates or Keys to Meet Prerequisites per Platform (Certificaten of codes ophalen om aan de vereisten per platform te voldoen).

8. Configureer het Windows Intune-abonnement en installeer de sitesysteemrol van de Windows Intune-connector op de site op het hoogste niveau.

   Voordat het bedrijf Configuration Manager kan gebruiken om mobiele apparaten te beheren, moet het het Windows Intune-abonnement configureren en de sitesysteemrol van de Windows Intune-connector installeren op de siteserver op het hoogste niveau. Ze configureren hun zelfstandige primaire site. Als uw een complexere hiërarchie hebt, configureert u uw centrale beheersite.

   1. Configureer uw Windows Intune-abonnement. Zie Configuring the Windows Intune Subscription (Het Windows Intune-abonnement configureren).

   2. Installeer de Windows Intune-connector. Zie The Windows Connector Site System Role (De Windows Connector-sitesysteemrol).

   Verificatiestappen:

   • Bekijk op de servercomputer van de primaire site sitecomp.log om te controleren of de sitesysteemrol van de Windows Intune-connector is geïnstalleerd.

   • Bekijk op de computer waarop u de Windows Intune-connector installeert cloudusersync.log om te controleren of gebruikers in uw domein zijn gesynchroniseerd met Windows Intune.

   • Bekijk op de servercomputer van de primaire site CertMgr.log om te bevestigen dat de computer waarop u de Windows Intune-connector hebt geïnstalleerd, het connectorcertificaat deelt. Het certificaat wordt gedeeld nadat de installatie van de sitesysteemrol van de Windows Intune-connector is voltooid.

   • Bekijk op de computer waarop u de Windows Intune-connector installeert dmpuploader.log om te controleren of de sitesysteemrol van de connector beleid en configuratiewijzigingen kan uploaden naar de Windows Intune-service.

   • Bekijk op de computer waarop u de Windows Intune-connector installeert dmpdownloader.log om te controleren of de Windows Intune-connector berichten van Windows Intune kan downloaden. Dit logboek geeft mogelijk alleen een ping weer aan het begin van het downloadproces en het kan even duren voordat vermeldingen die betrekking hebben op downloads worden geregistreerd.

9. Registreer mobiele apparaten.

   Registratie zorgt voor een relatie tussen de gebruiker, het mobiele apparaat en de Windows Intune-service. Gebruikers registreren hun eigen mobiele apparaten. Android-apparaten worden niet geregistreerd, maar kunnen met behulp van de Exchange Server-connector worden beheerd. Zie Mobile Device Enrollment (Registratie van mobiele apparaten).

10. Installeer de System Center 2012 R2 Configuration Manager-console.

    Wanneer u een primaire site installeert, wordt de Configuration Manager-console standaard ook op de servercomputer van de primaire site geïnstalleerd. Nadat de site is geïnstalleerd, kunt u aanvullende System Center 2012 R2 Configuration Manager-consoles op computers installeren om de site te beheren. Zie Install a Configuration Manager Console (Een Configuration Manager-controle installeren).

11. Beheer uw pc's en mobiele apparaten.

    Na de installatie en de basisconfiguratie voor uw site kunt u beginnen met het configureren van het beheer van uw pc's en mobiele apparaten. Hier volgen typische functies of functionaliteit die u kunt configureren:

    Functie	Details
    Hardware-inventarisatie	Met hardware-inventarisatie wordt informatie verzameld over de hardwareconfiguratie van clientapparaten in uw organisatie.
    Software-inventarisatie	Met software-inventarisatie wordt informatie verzameld over bestanden op clientapparaten in uw organisatie. Bovendien kunnen met software-inventarisatie bestanden worden verzameld van clientapparaten en worden deze op de siteserver opgeslagen.
    Asset Intelligence	Met Asset Intelligence kunt u softwarelicentiegebruik in uw onderneming inventariseren en beheren en het aantal gegevens die worden verzameld over hardware en software verbeteren.
    Compatibiliteitsinstellingen	Met compatibiliteitsinstellingen beheert u de configuratie en compatibiliteit van servers, laptops, desktops en mobiele apparaten in uw organisatie.
    Toegang tot bedrijfsbronnen	Met toegang tot bedrijfsbronnen hebben gebruikers in uw organisatie toegang tot gegevens en toepassingen vanaf een externe locatie door het volgende te configureren: Certificaatprofielen VPN-profielen Wi-Fi-profielen
    Externe verbindingsprofielen	Met externe verbindingsprofielen kunnen uw gebruikers extern verbinding maken met werkcomputers wanneer ze niet met het domein zijn verbonden of als hun persoonlijke computer is verbonden via internet.
    Toepassingsbeheer	Met toepassingsbeheer kunt u toepassingen in uw bedrijf beheren voor zowel Configuration Manager-gebruikers met beheerdersrechten als gebruikers van clientapparaten.
    Software-updates	Software-updates kunt u compatibiliteit controleren en software-updates implementeren op computers in uw onderneming.
    Mobiele apparaten beheren	Gebruik dit scenario voor de stappen waarmee u Windows Phone 8-, Windows RT-, iOS- en Android-apparaten beheert met de Windows Intune-service via internet.
    Bedrijfsinhoud van mobiele apparaten wissen	U kunt inhoud op Windows Phone 8-, iOS- en Android-apparaten volledig wissen om de fabrieksinstellingen van het apparaat terug te zetten. U kunt ook selectief wissen waarbij alleen bedrijfsinhoud wordt verwijderd.

Zie ook