Prostsze zarządzanie urządzeniami przenośnymi i komputerami w środowisku hybrydowym

Dotyczy: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

Dla kogo jest przeznaczony ten przewodnik?: Jest on przeznaczony dla firm, które muszą zarządzać urządzeniami przenośnymi oraz komputerami lokalnymi i zdalnymi przy użyciu istniejącej infrastruktury programu Configuration Manager i zaspakajać potrzeby pracowników w zakresie uzyskiwania dostępu do zasobów firmowych z tych urządzeń.

W czym może być pomocny ten przewodnik? Ten profesjonalnie opracowany i przetestowany przewodnik wyjaśnia, jak:

• Uaktualnić istniejącą lokalną infrastrukturę programu Configuration Manager i rozszerzyć ją w chmurze, aby umożliwić użytkownikom pracę zdalną na wybranym przez nich urządzeniu.

• Ujednolicić zarządzanie komputerami i urządzeniami przenośnymi we wspólnej infrastrukturze.

• Zarządzać zgodnością wszystkich urządzeń z zasadami firmy.

• Chronić dane firmy.

W tym rozwiązaniu:

• Scenariusz, opis problemu i cele

  • Scenariusz

  • Opis problemu

  • Cele organizacji

• Jaki projekt jest zalecany dla tego rozwiązania?

  • Instalowanie programu System Center 2012 R2 Configuration Manager i migrowanie obiektów

  • Subskrybowanie usługi Windows Intune

  • Zarządzanie tożsamościami i dostępem dzięki usłudze Microsoft Azure AD i synchronizacji katalogów

  • Zapewnianie bezpiecznego i łatwego dostępu użytkownikom korzystającym z synchronizacji haseł

  • Planowanie etapowego uaktualnienia platformy

• Kroki implementacji

Na poniższym diagramie zilustrowano problem, którego dotyczy ten przewodnik.

Diagram 1: Ogólne omówienie problemu

Scenariusz, opis problemu i cele

W tej sekcji opisano scenariusz, problem i cele przykładowej organizacji.

Scenariusz

W tym rozwiązaniu użyto przykładowej firmy zatrudniającej ponad 5000 osób, które przynoszą do pracy swoje osobiste urządzenia z systemami Windows Phone 8, Windows RT, iOS i Android. Obecnie pracownicy nie mają dostępu do zasobów firmy z tych urządzeń.

Firma używa programu Microsoft System Center Configuration Manager 2007 z dodatkiem SP2 do zarządzania komputerami użytkowników pracujących lokalnie i łączących się zdalnie z siecią firmową za pośrednictwem połączenia VPN. Firma nie może zarządzać urządzeniami przenośnymi.

Infrastruktura środowiska firmy zawiera następujące elementy:

• Windows Server 2008 R2

• Usługa Active Directory systemu Windows Server 2008 R2

• Program Configuration Manager 2007 z dodatkiem SP2

• Komputery, które są częścią domeny i są zarządzane przez program Configuration Manager

Na poniższym diagramie przedstawiono bieżące środowisko firmy.

Diagram 2: ogólne omówienie bieżącego środowiska

Opis problemu

Bieżąca infrastruktura zarządzania urządzeniami nie zaspokaja rosnących potrzeb przykładowej firmy:

• Zarządzanie komputerami w bieżącym środowisku jest możliwe, ale nie można zarządzać urządzeniami przenośnymi.

• Niektórzy pracownicy mają służbowe urządzenia przenośne. Inni chcą korzystać w pracy ze swoich prywatnych urządzeń.

Firma niepokoi się również o zasoby wymagane do zarządzania wszystkimi tymi urządzeniami. Obsługa wielu komputerów osobistych, urządzeń i aplikacji oraz zarządzanie urządzeniami jest drogie i może pochłaniać cały czas pracy działu IT.

Firma musi zarządzać ryzykiem i mieć pewność, że wszystkie urządzenia (zarówno służbowe, jak i prywatne) działają zgodnie z zasadami bezpieczeństwa.

• Zarządzanie urządzeniami może stanowić ryzyko dla bezpieczeństwa zasobów i informacji firmowych. Jeśli pracownik rozpoczyna pracę na urządzeniu, które nie jest zarządzane przez dział IT (lub o którym ten dział nawet nie wie), zachowanie kontroli nad poufnymi informacjami firmowymi staje się bardzo trudne.

• Dział IT nie można wykonać żadnej czynności, jeśli urządzenie zostanie sprzedane, utracone lub skradzione.

Cele organizacji

Przykładowa firma szuka rozwiązania, które umożliwi:

• Korzystanie z istniejącej infrastruktury programu Configuration Manager. Dział IT zainwestował mnóstwo zasobów w bieżącą infrastrukturę i nie chce zaczynać od nowa.

• Zezwalanie pracownikom na dostęp do aplikacji i danych firmowych przy użyciu urządzeń służbowych i prywatnych. Dotyczy to komputerów i urządzeń przenośnych.

• Zarządzanie komputerami i urządzeniami osobistymi przy użyciu pojedynczej konsoli administratora. Zarządzanie urządzeniami obejmuje konfigurowanie ustawień zabezpieczeń i zgodności, zbieranie danych do spisu oprogramowania i sprzętu oraz wdrażanie oprogramowania.

• Wdrażanie aplikacji lub linków sieci Web na podstawie typu urządzenia i określanie, czy urządzenie jest prywatne, czy należy do firmy.

• Chronienie danych firmowych przez usuwanie ich z utraconego, skradzionego lub wycofanego z użytku urządzenia przenośnego.

Jaki projekt jest zalecany dla tego rozwiązania?

Aby rozwiązać problemy biznesowe i zrealizować cele organizacji, firma musi:

• Zainstalować nową autonomiczną lokację podstawową programu System Center 2012 R2 Configuration Manager w swojej siedzibie głównej, a następnie zainstalować punkty dystrybucji w lokalizacjach zdalnych.

• Przenieść obiekty i punkty dystrybucji z istniejącej infrastruktury programu Configuration Manager 2007 z dodatkiem SP2 do programu System Center 2012 R2 Configuration Manager.

• Zasubskrybować usługę Windows Intune i skonfigurować łącznik usługi Windows Intune w programie Configuration Manager w celu zintegrowania z usługą Windows Intune.

• Zsynchronizować konta użytkowników domen na platformie Microsoft Azure, ponieważ Windows Intune jest usługą w chmurze. Umożliwi to zarządzanie użytkownikami, którzy mogą uzyskiwać dostęp do zasobów firmy z urządzeń przenośnych.

• Użyć funkcji synchronizacji haseł, aby umożliwić użytkownikom korzystanie z lokalnych nazw użytkowników i haseł na potrzeby usług w chmurze.

Na poniższym diagramie przedstawiono sposób komunikowania się elementów tego rozwiązania.

Diagram 3: ogólne omówienie rozwiązania

Instalowanie programu System Center 2012 R2 Configuration Manager i migrowanie obiektów

Program System Center 2012 R2 Configuration Manager może rozszerzyć możliwości przedsiębiorstwa w zakresie zarządzania komputerami lokalnymi do chmury dzięki zintegrowaniu z usługą Windows Intune. Używając programu Configuration Manager z usługą Windows Intune, firma może zarządzać komputerami lokalnymi i urządzeniami przenośnymi z poziomu pojedynczej konsoli. Firma chce również zmniejszyć obciążenie infrastruktury IT.

Dlatego zainstaluje autonomiczną podstawową lokację programu System Center 2012 R2 Configuration Manager w głównej siedzibie oraz punkty dystrybucji w lokalizacjach zdalnych.

Następnie przeprowadzi migrację obiektów ze środowiska programu Configuration Manager 2007 z dodatkiem SP2 do programu System Center 2012 R2 Configuration Manager.

Firma zdecydowała się na przeprowadzenie migracji z następujących powodów:

• Zintegrowane rozwiązanie: firma potrzebuje zintegrowanego rozwiązania, które umożliwi zarządzanie komputerami i urządzeniami przenośnymi z poziomu pojedynczej konsoli. Program System Center 2012 R2 Configuration Manager z usługą Windows Intune zapewnia to zintegrowane rozwiązanie.

• Uproszczona hierarchia: dzięki programowi System Center 2012 R2 Configuration Manager firma nie będzie potrzebować pomocniczej lokacji w każdej lokalizacji zdalnej, tak jak pokazano to na poniższych diagramach.

   

  Diagram 3: istniejąca hierarchia, program Configuration Manager 2007

   

Diagram 4: nowa hierarchia, program System Center 2012 R2 Configuration Manager

Kluczowe elementy przemawiające za uproszczoną hierarchią:

• Administrowanie oparte na rolach — w programie System Center 2012 R2 Configuration Manager administrowanie oparte na rolach umożliwia firmie projektowanie i implementowanie zabezpieczeń administracyjnych hierarchii programu System Center 2012 R2 Configuration Manager przy użyciu wybranych lub wszystkich spośród następujących elementów:

  • role zabezpieczeń,

    • kolekcje,

    • zakresy zabezpieczeń.

    Połączenie tych ustawień umożliwia definiowanie zakresu administracyjnego dla użytkownika z uprawnieniami administracyjnymi. Zakres administracyjny służy do określania obiektów, które użytkownik z uprawnieniami administracyjnymi może wyświetlać w konsoli programu Configuration Manager oraz uprawnień użytkownika do tych obiektów. Zobacz Planowanie administrowania opartego na rolach.

  • Zarządzanie zawartością — w programie System Center 2012 R2 Configuration Manager firma może skonfigurować przepustowość sieci używaną podczas przesyłania zawartości do punktów dystrybucji i wstępnie przygotować zawartość w punktach dystrybucji w lokalizacjach zdalnych. Zobacz Zagadnienia dotyczące przepustowości sieci dla punktów dystrybucji.

• Migrowane obiekty: firma może używać narzędzi migracji do migrowania obiektów z programu Configuration Manager 2007 z dodatkiem SP2 do hierarchii programu System Center 2012 R2 Configuration Manager. Dział IT poświęcił znaczną ilość czasu na tworzenie obiektów programu Configuration Manager, takich jak kolekcje, sekwencje zadań, elementy konfiguracji itd. Dzięki użyciu funkcji migracji firma może nadal osiągać korzyści z tej inwestycji.

• Najnowsze funkcje: firma jest również zainteresowana nowymi funkcjami programu System Center 2012 R2 Configuration Manager, które nie są bezpośrednio związane z tym rozwiązaniem. Zobacz Co nowego w programie System Center 2012 R2 Configuration Manager.

Subskrybowanie usługi Windows Intune

Usługa Windows Intune umożliwia chmurowe zarządzanie urządzeniami przenośnymi. Firma zasubskrybuje tę usługę, a następnie zintegruje ją z programem System Center 2012 R2 Configuration Manager, aby zarządzać komputerami i urządzeniami przenośnymi z poziomu konsoli programu Configuration Manager.

Subskrypcja usługi Windows Intune ułatwi firmie osiągnięcie celu polegającego na wdrożeniu zintegrowanego rozwiązania, które umożliwi zarządzanie komputerami i urządzeniami przenośnymi.

Rozważano również możliwość skorzystania z rozwiązań do zarządzania urządzeniami przenośnymi oferowanych przez inne firmy. Żadne z tych rozwiązań nie zawiera jednak potrzebnego firmie zintegrowanego środowiska pracy. Firma nie chce również zmieniać używanych produktów ani ponosić kosztów szkolenia i implementacji.

Dodatkowa korzyść dla firmy to możliwość korzystania z konta użytkownika subskrypcji usługi Windows Intune po zasubskrybowaniu usługi Microsoft Office 365 kilka miesięcy później.

Zarządzanie tożsamościami i dostępem dzięki usłudze Microsoft Azure AD i synchronizacji katalogów

Usługa Windows Intune przechowuje konta użytkowników przy użyciu usługi Microsoft Azure AD. Usługi chmurowe firmy Microsoft, takie jak Windows Intune i Office 365, polegają na możliwościach zarządzania tożsamościami, które oferuje usługa Microsoft Azure AD.

Firma użyje funkcji synchronizacji katalogów platformy Microsoft Azure (DirSync) w celu zsynchronizowania lokalnych użytkowników usługi Windows Server AD z usługą Microsoft Azure AD. Synchronizacja katalogów została stworzona z myślą o obsłudze ciągłej relacji między lokalną usługą AD a chmurową usługą Microsoft Azure AD. Firma wybrała funkcję DirSync, aby:

• Obniżyć koszty administracyjne: bez funkcji DirSync firma musiałaby ręcznie dodawać konta użytkowników i grup do platformy Microsoft Azure AD. Funkcja DirSync umożliwia synchronizowanie kont użytkowników lokalnej usługi Windows Server AD z platformą Microsoft Azure AD. Po aktywowaniu funkcji synchronizacji katalogów można edytować zsynchronizowane obiekty w środowisku lokalnym, a wprowadzone zmiany zostaną zsynchronizowane z subskrypcją usługi Windows Intune, co umożliwi obniżenie kosztów administracyjnych.

• Zwiększyć wydajność: dzięki automatyzacji procesu synchronizowania kont użytkowników i grup firma może znacznie skrócić czas, jaki zajmuje udostępnienie jej pracownikom usług opartych na chmurze.

Synchronizacja katalogów — zagadnienia dotyczące planowania i projektowania

Planując synchronizację katalogów, firma wzięła pod uwagę m.in. wymagania sprzętowe, uprawnienia administratorów i zagadnienia dotyczące wydajności. Te wymagania zostały opisane w artykule Przygotowywanie do synchronizacji katalogów.

Zapewnianie bezpiecznego i łatwego dostępu użytkownikom korzystającym z synchronizacji haseł

Należy skonfigurować uwierzytelnianie użytkowników lub pracownicy firmy będą musieli używać innej nazwy użytkownika i oddzielnych haseł dostępu do usług w chmurze i lokalnych. Firma chce zastosować uwierzytelnianie użytkowników, aby uniknąć dodatkowych zadań administracyjnych w procesie zarządzania zmianami haseł wstępnych i bieżących oraz aby zapewnić użytkownikom lepsze środowisko pracy. Uwierzytelnianie użytkowników będzie korzystać z synchronizacji haseł.

Firma rozważała użycie następujących metod uwierzytelniania pracowników na potrzeby dostępu do zasobów chmurowych i lokalnych przy użyciu tych samych poświadczeń:

• Synchronizacja haseł to prosta opcja, która udostępnia użytkownikom środowisko podobne do rejestracji jednokrotnej i jest bardzo łatwa do wdrożenia. Synchronizacja haseł to opcja, którą można wybrać w ramach funkcji DirSync. Umożliwia tej funkcji przechowywanie skrótu hasła w usłudze Microsoft Azure AD. Po włączeniu synchronizacji haseł na komputerze synchronizacji katalogów użytkownicy będą mogli zalogować się do usług chmurowych firmy Microsoft, takich jak Office 365, Dynamics CRM czy Windows Intune, używając tego samego hasła co podczas logowania się do sieci lokalnej. Zmiany haseł użytkowników w sieci firmowej są synchronizowane z chmurą.

  Synchronizacja haseł nie oferuje jednak rejestracji jednokrotnej, z której można korzystać w przypadku usług AD FS. Użytkownicy będą musieli ponownie wprowadzić swoje poświadczenia przy każdej próbie uzyskania dostępu do usługi w chmurze. Zobacz:

  • Scenariusz synchronizacji katalogów z synchronizacją haseł

  • Implementowanie synchronizacji haseł

• Usługi Active Directory Federation Services (AD FS) obsługują rejestrację jednokrotną, która współpracuje z protokołami uwierzytelniania usługi Active Directory. Lokalne usługi Active Directory i AD FS współdziałają z platformą tożsamości Microsoft Azure AD w celu zapewnienia dostępu do usług chmurowych firmy Microsoft. Po skonfigurowaniu rejestracji jednokrotnej jest tworzona federacyjna relacja zaufania między domeną a systemem uwierzytelniania platformy Microsoft Azure AD. Użytkownicy mogą uwierzytelniać się w usługach chmurowych i lokalnych, podając tę samą nazwę użytkownika i hasło. Po uwierzytelnieniu użytkownik nie będzie ponownie pytany o poświadczenia podczas uzyskiwania dostępu do usługi w chmurze.

Firma zdecydowała się na uwierzytelnianie użytkowników przy użyciu synchronizacji haseł z kilku powodów. Synchronizację haseł można bardzo łatwo skonfigurować w funkcji DirSync, której użycie w firmie zostało już zaplanowane w celu zsynchronizowania lokalnych kont użytkowników. W firmie planowane jest również uaktualnienie kontrolerów domen do systemu Windows Server 2012 R2 w ciągu kolejnych sześciu miesięcy. Usługa AD FS będąca rolą lokacji w systemie Windows Server 2012 R2 ma wiele nowych funkcji. Podczas uaktualniania kontrolerów domen firma planuje implementację usług AD FS. Aby dowiedzieć się więcej o implementacji usług AD FS w systemie Windows Server 2012 R2, zobacz:

• Bezpieczny dostęp do zasobów firmy z dowolnego miejsca na dowolnym urządzeniu

• Omówienie usług Active Directory Federation Services

Firma zdecydowała się na uwierzytelnianie użytkowników przy użyciu synchronizacji haseł. Można jednak podjąć decyzję o implementacji usług AD FS na potrzeby rejestracji jednokrotnej w środowisku użytkownika. Zobacz:

• Zagadnienia dotyczące projektowania usług AD FS — Podręcznik projektowania usług AD FS 2.0

• Rejestracja jednokrotna przy użyciu usług AD FS — Lista kontrolna: korzystanie z usług AD FS do implementowania rejestracji jednokrotnej i zarządzania nią

Planowanie etapowego uaktualnienia platformy

Firma zrezygnowała z uaktualnienia lokalnej usługi AD w ramach tego rozwiązania, ale planuje uaktualnienie w ciągu najbliższych sześciu miesięcy.

Dział IT zaproponował uaktualnienie lokalnej usługi AD w ramach rozwiązania. W systemie Windows Server 2012 R2 usługa AD została rozszerzona o następujące funkcje:

• Rejestracja urządzeń. Administratorzy IT mogą zezwolić na rejestrację urządzenia, co spowoduje skojarzenie go z firmową usługą Active Directory. To skojarzenie może być używane jako bezproblemowe uwierzytelnianie dwuskładnikowe.

• Rejestracja jednokrotna z urządzeń skojarzonych z firmową usługą Active Directory.

• Serwer proxy aplikacji sieci Web, który pozwala użytkownikom na łączenie się z aplikacjami i usługami z dowolnego miejsca.

• Wieloskładnikowa kontrola dostępu i usługa Multi-Factor Authentication (MFA), które umożliwiają zarządzanie ryzykiem związanym z pracą z dowolnego miejsca i uzyskiwaniem dostępu do chronionych danych.

• Foldery robocze, które służą użytkownikom do przechowywania plików roboczych na komputerach i urządzeniach oraz uzyskiwania dostępu do tych plików.

Zobacz Usługi Active Directory.

Mimo że kadra kierownicza firmy zgodziła się, że nowe funkcje były przydatne, w ramach tego rozwiązania nie można było zatwierdzić zasobów potrzebnych do uaktualnienia usługi AD. Kadra kierownicza chce uaktualnić lokalną usługę AD w ciągu kolejnych sześciu miesięcy.

Jeśli chcesz uaktualnić lokalną usługę AD i zaimplementować usługi AD FS, zobacz Bezpieczny dostęp do zasobów firmy z dowolnego miejsca na dowolnym urządzeniu.

Kroki implementacji

W tej sekcji opisano kroki wykonane w firmie w celu zaimplementowania rozwiązania. Jeśli wykonujesz te kroki, pamiętaj o sprawdzeniu poprawności wdrożenia każdego kroku przed przejściem do kolejnego.

1. Zasubskrybowanie usługi Windows Intune.

   Utworzenie subskrypcji usługi Windows Intune w witrynie usługi Windows Intune w sieci Web.

   • Jeśli masz już konto użytkownika innej usługi w chmurze, takiej jak Office 365, możesz kliknąć opcję Zaloguj się, aby wprowadzić poświadczenia konta. Dzięki temu można udostępnić tę samą grupę użytkowników we wszystkich usługach w ramach dzierżawcy usługi Microsoft Azure AD w organizacji.

   Kroki weryfikacji: Po zakończeniu procesu rejestracji na podany adres zostanie wysłana wiadomość e-mail. Kliknij link w wiadomości e-mail lub przejdź do portalu kont usługi Windows Intune pod adresem https://account.manage.microsoft.com i sprawdź, czy możesz się zalogować.

2. Skonfiguruj domenę publiczną.

   1. Uzyskaj domenę publiczną. Do korzystania z usługi Windows Intune niezbędna jest także nazwa publicznej domeny organizacji, którą można zweryfikować za pośrednictwem usługi rejestracji nazw domen. Dodaj i sprawdź domenę publiczną w portalu kont usługi Windows Intune pod adresem https://account.manage.microsoft.com w węźle Domeny.

   2. Upewnij się, że domena publiczna została dodana jako alternatywny sufiks głównej nazwy użytkownika w lokalnej usłudze Active Directory. Użytkownicy muszą mieć tę samą główną nazwę użytkownika domeny publicznej w chmurze i lokalnej usłudze Active Directory, aby rejestrować urządzenia przenośne. Przed skonfigurowaniem synchronizacji katalogów należy sprawdzić, czy użytkownicy mają główną nazwę użytkownika domeny publicznej. Jeśli ten krok zostanie pominięty, nazwa „onmicrosoft.com” może zostać dołączona do głównych nazw użytkowników w chmurze, co spowoduje niezgodności z nazwami użytkowników lokalnej usługi Active Directory. Zobacz Dodawanie sufiksów głównych nazw użytkowników.

   3. Dodaj w systemie DNS rekord CNAME, który przekazuje parametr enterpriseenrollment.<publicdomain> do witryny manage.microsoft.com. Rekord CNAME jest później używany w ramach procesu rejestracji. Zobacz Dodawanie rekordu zasobu aliasu (CNAME) do strefy.

   Kroki weryfikacji:

   • Sprawdź na stronie Domenyw portalu kont usługi Windows Intune, czy domena publiczna została wymieniona na liście i zweryfikowana.

   • Sprawdź właściwości konta użytkownika w lokalnej usłudze Active Directory, aby upewnić się, że główna nazwa użytkownika znajduje się na liście z nazwą domeny publicznej.

3. Zapewnij użytkownikom bezpieczny i łatwy dostęp dzięki funkcji DirSync z synchronizacją haseł.

   Synchronizację haseł można skonfigurować w portalu kont usługi Windows Intune pod adresem https://account.manage.microsoft.com. W węźle Użytkownicy w portalu kliknij pozycję Synchronizacja usługi Active Directory: konfiguracja, a następnie wykonaj kroki opisane w temacie Konfigurowanie synchronizacji usługi Active Directory i zarządzanie nią. Aby włączyć synchronizację haseł po uruchomieniu Kreatora konfiguracji narzędzia synchronizacji katalogów, wybierz pozycję Włącz synchronizację haseł.

   Zobacz:

   • Plan synchronizacji katalogów

   • Implementowanie synchronizacji haseł

   Kroki weryfikacji: odwiedź portal kont usługi Windows Intune pod adresem https://account.manage.microsoft.com, aby wyświetlić konta użytkowników.

4. Zainstaluj lokację lub hierarchię programu System Center 2012 R2 Configuration Manager.

   Po zakończeniu planowania hierarchii programu System Center 2012 R2 Configuration Manager firma zdecydowała o zainstalowaniu autonomicznej lokacji podstawowej w siedzibie oraz zainstalowaniu punktów dystrybucji w lokalizacjach zdalnych. Można określić, że hierarchia wymaga innej konfiguracji. Wykonaj następujące kroki, aby zainstalować lokację lub hierarchię programu System Center 2012 R2 Configuration Manager:

   1. Zidentyfikuj serwer, który spełnia wymagania wstępne dotyczące oprogramowania i sprzętu, na potrzeby hostowania podstawowej lokacji programu Configuration Manager. Zobacz Planowanie konfiguracji sprzętowych dla programu Configuration Manager.

   2. Przejrzyj informacje na temat wymaganego oprogramowania i obsługiwanych systemów operacyjnych na potrzeby hostowania lokacji programu Configuration Manager. Zobacz Wymagania systemowe lokacji.

   3. Skonfiguruj środowisko systemu Windows do obsługi programu System Center 2012 R2 Configuration Manager. Zobacz Przygotowywanie środowiska systemu Windows dla programu Configuration Manager.

   4. Zainstaluj lokację programu System Center 2012 R2 Configuration Manager. Zobacz Instalowanie lokacji i tworzenie hierarchii programu Configuration Manager. W ramach rozwiązania firma zainstaluje autonomiczną lokację podstawową i pominie kroki związane z instalowaniem centralnej lokacji administracyjnej lub lokacji pomocniczej. Podczas wykonywania kroków opisanych w temacie wybierz lokacje odpowiednie dla danego środowiska.

   5. Zainstaluj punkt dystrybucji w lokalizacjach zdalnych. Przykładowa firma stwierdziła, że może korzystać z punktu dystrybucji w każdej z lokalizacji zdalnych, zamiast używać lokacji dodatkowej w każdej lokalizacji. Aby uzyskać szczegółowe informacje na temat instalowania i konfigurowania punktu dystrybucji, zobacz Konfigurowanie zarządzania zawartością w programie Configuration Manager.

   Kroki weryfikacji

   Na komputerze serwera lokacji podstawowej monitoruj postęp w Kreatorze instalacji. Kreator instalacji programu Configuration Manager wyświetla wynik każdego zadania instalowania lokacji. Po wykonaniu wszystkich zadań instalacji można zamknąć kreatora. Po zakończeniu instalowania lokacji Kreator instalacji będzie jednak nadal wyświetlać informacje o trwających operacjach konfigurowania lokacji, które można monitorować, jeśli kreator nie został zamknięty. Zamknięcie Kreatora instalacji nie ma wpływu na trwające operacje konfiguracji, które będą nadal wykonywane w tle po zamknięciu kreatora. Przejrzyj plik ConfigMgrSetup.log, aby sprawdzić, czy lokacja została pomyślnie zainstalowana.

5. Skonfiguruj funkcje zarządzania.

   Po zainstalowaniu lokacji lub hierarchii skonfiguruj lokację do obsługi funkcji zarządzania programu System Center 2012 R2 Configuration Manager, których chcesz użyć. Przed skonfigurowaniem subskrypcji usługi Windows Intune lub zainstalowaniem roli systemu lokacji łącznika usługi Windows Intune w kroku 8 skonfiguruj funkcję odnajdowania użytkownika usługi Active Directory. Zobacz:

   1. Konfigurowanie lokacji i hierarchii w programie Configuration Manager

   2. Konfigurowanie odnajdowania usługi Active Directory dla komputerów, użytkowników lub grup

6. Wykonaj migrację do programu System Center 2012 R2 Configuration Manager.

   Po przeprowadzeniu migracji obiektów z hierarchii źródłowej programu Configuration Manager 2007 dostęp do danych można uzyskiwać z poziomu bazy danych lokacji identyfikowanych w infrastrukturze źródłowej. Dane te są następnie kopiowane do hierarchii programu System Center 2012 R2 Configuration Manager. Migracja nie powoduje zmian danych w hierarchii źródłowej. Umożliwia ona odnajdowanie danych i przechowywanie kopii w bazie danych hierarchii docelowej. Zobacz Migrowanie hierarchii w programie System Center 2012 Configuration Manager.

   Aby przeprowadzić migrację danych z programu Configuration Manager 2007 do programu System Center 2012 R2 Configuration Manager:

   1. Określ hierarchię programu Configuration Manager 2007 z dodatkiem SP2 jako hierarchię źródłową migracji. Domyślnie w tej hierarchii lokacja najwyższego poziomu staje się lokacją źródłową hierarchii źródłowej. Po zebraniu danych z początkowej lokacji źródłowej można skonfigurować dodatkowe źródła lokacji na potrzeby migracji.

      Program Configuration Manager rozpoczyna zbieranie danych z lokacji źródłowej natychmiast po określeniu hierarchii źródłowej, konfiguruje poświadczenia dla każdej dodatkowej lokacji źródłowej w hierarchii źródłowej lub udostępnia punkty dystrybucji lokacji źródłowej. Domyślnie proces zbierania danych jest powtarzany co cztery godziny, aby program Configuration Manager mógł zidentyfikować zmiany danych w hierarchii źródłowej na potrzeby migracji. Zbieranie danych jest także niezbędne w przypadku udostępniania punktów dystrybucji hierarchii źródłowej w hierarchii docelowej. Zobacz Konfigurowanie hierarchii i lokacji źródłowych na potrzeby migracji do programu System Center 2012 Configuration Manager.

   2. Utwórz zadania migracji, aby przeprowadzić migrację danych między hierarchią źródłową i docelową. Zadania migracji umożliwiają konfigurowanie określonych danych, które chcesz migrować do środowiska programu System Center 2012 R2 Configuration Manager. Zadania migracji pozwalają na zidentyfikowanie obiektów, które zamierzasz migrować. Są one uruchamiane w lokacji najwyższego poziomu w hierarchii. Zobacz Tworzenie i edytowanie zadań migracji dla programu System Center 2012 Configuration Manager.

   3. Monitoruj zadania migracji. Postęp zadań migracji można monitorować w konsoli programu System Center 2012 R2 Configuration Manager. Zobacz Monitorowanie działań migracji w obszarze roboczym migracji.

   4. Uaktualnij udostępnione punkty dystrybucji. Obsługiwany punkt dystrybucji udostępniony z lokacji źródłowej programu Configuration Manager 2007 można uaktualnić tak, aby był punktem dystrybucji w hierarchii docelowej. Zobacz Uaktualnianie lub ponowne przypisywanie udostępnionego punktu dystrybucji w programie System Center 2012 Configuration Manager.

   5. Przeprowadź migrację klientów programu Configuration Manager 2007 do programu System Center 2012 R2 Configuration Manager. Po przeprowadzeniu migracji danych dla klientów między hierarchiami, ale przed zakończeniem migracji, zaplanuj migrację klientów do hierarchii docelowej. Aby migrować klientów między hierarchiami, zainstaluj klienta programu Configuration Manager z poziomu hierarchii docelowej. Klient programu Configuration Manager został odinstalowany, a klient programu System Center 2012 R2 Configuration Manager klienta został zainstalowany i przypisany do lokacji głównej. Zobacz Planowanie strategii migracji klientów w programie System Center 2012 Configuration Manager.

   6. Zakończ proces migracji: jeśli hierarchia programu Configuration Manager 2007 nie zawiera już danych, które chcesz migrować do hierarchii docelowej, możesz zakończyć proces migracji. W tym celu:

      1. Upewnij się, że wszystkie zasoby niezbędne w hierarchii docelowej zostały pomyślnie zmigrowane z hierarchii źródłowej. Może to obejmować dane i klientów.

      2. Zatrzymaj zbieranie danych z poszczególnych lokacji źródłowych w hierarchii programu Configuration Manager 2007. W tym celu uruchom akcję Zatrzymaj zbieranie danych w lokacjach źródłowych dolnej warstwy, a następnie powtórz proces w każdej lokacji nadrzędnej. Lokacja najwyższego poziomu w hierarchii źródłowej musi być ostatnią lokacją, w której zostanie zatrzymane zbieranie danych. Zbieranie danych należy zatrzymać w każdej lokacji podrzędnej przed wykonaniem tej akcji w lokacji nadrzędnej. Po zatrzymaniu zbierania danych nie będzie można udostępniać punktów dystrybucji między hierarchią źródłową a docelową.

      3. Wyczyść dane migracji. W tym celu użyj akcji Wyczyść dane migracji. Ta opcjonalna akcja umożliwia usunięcie danych bieżącej hierarchii źródłowej z bazy danych hierarchii docelowej. Do momentu wyczyszczenia danych migracji każde zadanie migracji, które zostało uruchomione lub zaplanowane do uruchomienia, pozostanie dostępne w konsoli programu Configuration Manager. Czyszczenie danych migracji powoduje usunięcie większości danych dotyczących migracji z bazy danych hierarchii docelowej. Zobacz Kończenie migracji w programie System Center 2012 Configuration Manager.

      Kroki weryfikacji: migracja składa się z kilku różnych akcji lub faz i trwa przez dany okres, dopóki nie zostanie podjęta decyzja o zakończeniu procesu migracji. Z tego względu nie istnieje pojedynczy krok lub proces weryfikacji, który można wykonać, aby upewnić się, że migracja została zakończona. Zamiast tego można sprawdzić wyniki wyświetlane w konsoli programu System Center 2012 R2 Configuration Manager po uruchomieniu lub zakończeniu każdej akcji związanej z daną fazą.

   7. Wycofaj hierarchię programu Configuration Manager 2007 z użycia: jeśli migracja z hierarchii źródłowej została zakończona i hierarchia ta nie zawiera już zasobów, którymi można zarządzać, możesz wycofać z użycia lokacje w hierarchii źródłowej i usunąć powiązaną infrastrukturę ze środowiska. Zobacz Zadania programu Configuration Manager dotyczące wycofywania lokacji i hierarchii z użycia.

7. Pobierz certyfikaty lub klucze dla urządzeń przenośnych.

   Firma musi mieć certyfikaty lub klucze ładowania bezpośredniego, aby umożliwić rejestrację urządzeń przenośnych. Typy urządzeń przenośnych używanych w środowisku określają, które certyfikaty lub klucze ładowania bezpośredniego będą potrzebne. Zobacz Uzyskiwanie certyfikatów lub kluczy w celu spełnienia wymagań wstępnych platformy.

8. Skonfiguruj subskrypcję usługi Windows Intune i zainstaluj rolę systemu lokacji łącznika usługi Windows Intune w lokacji najwyższego poziomu.

   Aby firma mogła zarządzać urządzeniami przenośnymi przy użyciu programu Configuration Manager, musi skonfigurować subskrypcję usługi Windows Intune i zainstalować rolę systemu lokacji łącznika usługi Windows Intune na serwerze lokacji najwyższego poziomu. Firma chce skonfigurować autonomiczną lokację podstawową. W przypadku bardziej złożonej hierarchii skonfiguruj lokację administracji centralnej.

   1. Skonfiguruj subskrypcję usługi Windows Intune. Zobacz Konfigurowanie subskrypcji usługi Windows Intune.

   2. Zainstaluj łącznik usługi Windows Intune. Zobacz Rola systemu lokacji łącznika systemu Windows.

   Kroki weryfikacji:

   • Na komputerze serwera lokacji podstawowej przejrzyj plik sitecomp.log, aby sprawdzić, czy rola systemu lokacji łącznika usługi Windows Intune została pomyślnie zainstalowana.

   • Na komputerze, na którym zainstalowano łącznik usługi Windows Intune, przejrzyj plik cloudusersync.log, aby sprawdzić, czy dane użytkowników domeny zostały pomyślnie zsynchronizowane z usługą Windows Intune.

   • Na komputerze serwera lokacji podstawowej przejrzyj plik CertMgr.log, aby potwierdzić, że komputer, na którym zainstalowano łącznik usługi Windows Intune, udostępnia certyfikat łącznika. Certyfikat jest udostępniany po zakończeniu instalacji roli systemu lokacji łącznika usługi Windows Intune.

   • Na komputerze, na którym zainstalowano łącznik usługi Windows Intune, przejrzyj plik dmpuploader.log, aby sprawdzić, czy rola systemu lokacji łącznika umożliwia przekazywanie zmian zasad i konfiguracji do usługi Windows Intune.

   • Na komputerze, na którym zainstalowano łącznik usługi Windows Intune, przejrzyj plik dmpdownloader.log, aby sprawdzić, czy łącznik usługi Windows Intune umożliwia pobieranie komunikatów z usługi Windows Intune. Ten dziennik może wyświetlać polecenie ping tylko na początku procesu pobierania i może upłynąć jakiś czas, zanim rozpocznie się rejestrowanie wpisów dotyczące plików do pobrania.

9. Zarejestruj urządzenia przenośne.

   Rejestracja ustanawia relację między użytkownikiem, urządzeniem przenośnym i usługą Windows Intune. Użytkownicy rejestrują własne urządzenia przenośne. Urządzenia z systemem Android nie są rejestrowane, ale można nimi zarządzać za pomocą łącznika programu Exchange Server. Zobacz Rejestrowanie urządzeń przenośnych.

10. Zainstaluj konsolę programu System Center 2012 R2 Configuration Manager.

    Domyślnie podczas instalowania lokacji podstawowej konsola programu Configuration Manager jest instalowana na komputerze serwera lokacji podstawowej. Po zainstalowaniu lokacji można zainstalować dodatkowe konsole programu System Center 2012 R2 Configuration Manager na komputerach w celu zarządzania lokacją. Zobacz Instalowanie konsoli programu Configuration Manager.

11. Zarządzaj komputerami i urządzeniami przenośnymi.

    Po zainstalowaniu i utworzeniu podstawowych konfiguracji lokacji można rozpocząć konfigurowanie zarządzania komputerami i urządzeniami przenośnymi. Poniżej przedstawiono typowe funkcje i działania, które można skonfigurować:

    Funkcja	Szczegóły
    Spis sprzętu	Spis sprzętu umożliwia zebranie informacji o konfiguracji sprzętowej urządzeń klienckich w Twojej organizacji.
    Spis oprogramowania	Spis oprogramowania umożliwia zebranie informacji o plikach, które znajdują się na urządzeniach klienckich w organizacji. Ponadto w spisie oprogramowania można zbierać pliki z urządzeń klienckich i przechowywać je na serwerze lokacji.
    Analiza zasobów	Analiza zasobów umożliwia tworzenie spisu licencji programów w przedsiębiorstwie i zarządzanie tymi danymi, a także zwiększanie zakresu zbieranych informacji o sprzęcie i oprogramowaniu.
    Ustawienia zgodności	Ustawienia zgodności umożliwiają zarządzanie konfiguracją i zgodnością serwerów, laptopów, komputerów stacjonarnych oraz urządzeń przenośnych w organizacji.
    Dostęp do zasobów firmy	Dostęp do zasobów firmy umożliwia użytkownikom w organizacji uzyskiwanie dostępu do danych i aplikacji z lokalizacji zdalnych przez skonfigurowanie następujących elementów: profile certyfikatów, profile sieci VPN, profile połączeń Wi-Fi.
    Profile połączeń zdalnych	Profile połączeń zdalnych umożliwiają użytkownikom zdalne łączenie się z komputerami służbowymi, gdy nie są one połączone z domeną lub jeśli ich komputery osobiste są połączone przez Internet.
    Zarządzanie aplikacjami	Umożliwia zarządzanie aplikacjami w przedsiębiorstwie dla użytkowników programu Configuration Manager z uprawnieniami administratora oraz użytkowników urządzeń klienckich.
    Aktualizacje oprogramowania	Służą do monitorowania zgodności i wdrażania aktualizacji oprogramowania na komputerach w przedsiębiorstwie.
    Zarządzanie urządzeniami przenośnymi	Ten przewodnik zawiera opis czynności umożliwiających zdalne zarządzanie urządzeniami z systemami Windows Phone 8, Windows RT, iOS i Android przy użyciu usługi Windows Intune przez Internet.
    Usuwanie zawartości firmowej z urządzeń przenośnych	Na urządzeniach z systemami Windows Phone 8, iOS i Android można przeprowadzić pełne czyszczenie danych, co powoduje przywrócenie ustawień fabrycznych. Można również przeprowadzić selektywne usuwanie danych i usunąć tylko zawartość firmową.

Zobacz też