Gerenciamento de dispositivo móvel para clientes do Configuration Manager 2007 planejando a migração para o System Center 2012 R2 Configuration Manager
Como este guia pode ajudar você? Este guia fornece um design prescritivo e testado que você pode usar para entender as etapas de design e implementação que recomendamos para habilitar o gerenciamento de dispositivo móvel para dispositivos iOS, Android, Windows Phone 8, Windows RT e Windows 8,1 quando você tem um hierarquia existente do Configuration Manager 2007 e planeja migrar para o System Center 2012 R2 Configuration Manager.
Embora planeje migrar para o System Center 2012 R2 Configuration Manager, você precisa de uma solução que lhe permita gerenciar os dispositivos em sua organização. Este guia de solução descreve como você pode executar um servidor de site primário autônomo do System Center 2012 R2 Configuration Manager juntamente com o seu ambiente do Configuration Manager 2007 para habilitar o gerenciamento de dispositivo móvel.
O diagrama a seguir ilustra o problema e o cenário que este guia de solução aborda.
Configuration Manager e gerenciamento de dispositivo móvel
.jpeg "Gerenciamento de dispositivos com o Configuration Manager 2007")
Neste guia de solução:
Cenário, descrição do problema e metas
Qual é o design recomendado para esta solução?
Quais são as etapas de alto nível para implementar esta solução?
Cenário, descrição do problema e metas
Esta seção descreve o cenário, o problema atual e as metas que você pode ter.
Cenário
Há uma demanda crescente dos funcionários de sua empresa pela possibilidade de acesso aos dados da empresa de dispositivos pessoais. Você deseja atender a essa demanda fornecendo aos funcionários a flexibilidade para usar seus próprios dispositivos pela Internet de qualquer local para realizar tarefas relacionadas ao trabalho.
Sua organização é uma grande empresa com mais de 5.000 usuários que trazem seus dispositivos pessoais para o local de trabalho. Sua infraestrutura oferece suporte ao gerenciamento de computadores aos usuários que estão nas instalações da empresa e que se conectam remotamente à rede corporativa pela VPN. No momento, você gerencia esses computadores com o Configuration Manager 2007 e não está pronto para uma implantação total do System Center 2012 R2 Configuration Manager.
Em resumo, as tecnologias atuais usadas pela sua organização consistem em:
Um serviço de domínio e diretório, especificamente o Active Directory.
Software de gerenciamento de computadores, especificamente o System Center Configuration Manager 2007.
Computadores associados ao domínio e gerenciados pelo Configuration Manager 2007.
Dispositivos móveis pessoais pertencentes a funcionários, bem como computadores pessoais não associados ao domínio.
Descrição do problema
Atualmente, você usa o Configuration Manager 2007 para gerenciar os dispositivos em sua organização, mas essa solução não gerencia dispositivos iOS, Android, Windows Phone 8, Windows RT e Windows 8,1 pessoais. No entanto, a versão mais recente do Configuration Manager e do Windows Intune fornece suporte a esses dispositivos. Como você planeja migrar para o System Center 2012 R2 Configuration Manager, você deseja usá-lo como sua solução de gerenciamento de dispositivo móvel para evitar o custo e o esforço de integrar uma solução de terceiros. Você gostaria de implantar o System Center 2012 R2 Configuration Manager como uma solução de gerenciamento, mesmo que não esteja pronto para implantar essa versão totalmente nem para migrar sua infraestrutura completa do Configuration Manager 2007.
Metas da organização
Gerenciar dispositivos móveis atuais, especificamente os dispositivos Windows Phone 8, Windows RT, iOS, Android e dispositivos pessoais Windows 8.1. O gerenciamento de dispositivos representa definir configurações de segurança e conformidade, coletar o inventário de software e hardware ou implantar softwares.
Proteger os dados da empresa com a capacidade de apagar os dados corporativos dos dispositivos móveis pela Internet.
Escalar verticalmente para gerenciar 100.000 dispositivos móveis.
Você deseja uma solução com a qual esteja familiarizado e com uma curva de aprendizado mínima.
Implementar uma solução compatível com o ambiente atual e que possa ser aproveitada para uso futuro.
Qual é o design recomendado para esta solução?
Em um ambiente em que você está gerenciando dispositivos locais com o Configuration Manager 2007, você também deseja gerenciar dispositivos móveis. A principal restrição é que você não está pronto para migrar para a versão mais recente do Configuration Manager, mas você deseja usar os recursos de gerenciamento de dispositivo móvel dele. Uma vez que você tem planos para migrar para a versão mais recente do Configuration Manager, você gostaria que a solução temporária para gerenciamento de dispositivo móvel fosse relevante após a migração.
O System Center 2012 R2 Configuration Manager funciona com o Windows Intune no gerenciamento de dispositivos móveis. Pelo console do Configuration Manager, você pode gerenciar dispositivos móveis da mesma forma que faz com os outros dispositivos que gerencia. A principal diferença dos dispositivos móveis em comparação com os computadores no seu domínio é que eles são gerenciados pela Internet. O console do Configuration Manager serve de interface com o serviço Windows Intune, que realiza o gerenciamento de dispositivos móveis real pela Internet. Ao usar o System Center 2012 R2 Configuration Manager com o Windows Intune para gerenciamento de dispositivo móvel, você pode:
Proteger os dados da empresa com configurações de segurança e a capacidade de apagar os dados corporativos dos dispositivos desativados. Você pode usar as configurações de conformidade para impor a política de segurança aos usuários de dispositivos móveis. Essas configurações podem incluir atributos como configurações de senha, câmera, sistema e segurança. Você também pode executar relatórios para identificar dispositivos Android com raiz e dispositivos iOS modificados.
Gerenciar dispositivos pelas configurações de conformidade. As configurações de conformidade podem incluir desde configurações de roaming, de armazenamento até do dispositivo. Para obter uma lista completa das configurações, consulte Configurações de conformidade para dispositivos móveis no Configuration Manager.
Coletar o inventário de softwares e hardwares. Você pode executar relatórios para exibir o inventário de hardware com a descrição dos tipos de dispositivos registrados e o inventário de software pode informar quais aplicativos estão instalados nos dispositivos.
Gerenciar aplicativos com aplicativos de sideload para dispositivos móveis ou com a implantação de links para os aplicativos disponíveis nas lojas do dispositivo, tais como Windows Store, Windows Phone Store, App Store e Google Play.
Criar uma experiência uniforme para acessar os dados corporativos usando o portal para empresas. O portal para empresas é uma interface na qual os usuários podem exibir os dados corporativos e instalar aplicativos.
Nesta solução, o gerenciamento de dispositivo móvel será habilitado por um site primário autônomo do System Center 2012 R2 Configuration Manager e um conector do Windows Intune. O Windows Intune é um serviço de nuvem, portanto, para permitir que os usuários registrem seus dispositivos, você precisa sincronizar suas contas de usuário de domínio com o Microsoft Azure. Com isso, você poderá gerenciar quais usuários poderão acessar os recursos da empresa com seus dispositivos móveis. Após ser possível que os usuários acessem os recursos da empresa na Internet com seus dispositivos móveis, você poderá usar o Serviço de Federação do Active Directory (AD FS) para habilitar uma experiência de logon único.
O diagrama a seguir mostra como os componentes de um servidor de site primário autônomo do System Center 2012 R2 Configuration Manager se comunicam lado a lado com o ambiente do Configuration Manager 2007. A parte do AD FS no diagrama é opcional.
Servidor primário autônomo do System Center 2012 R2 Configuration Manager executa lado a lado com um ambiente do Configuration Manager 2007.
.jpeg "Gerenciamento do dispositivo móvel com o Configuration Manager")
A tabela a seguir lista os elementos que fazem parte do design da solução e descreve o motivo da escolha do design.
Elemento de design da solução |
Por que isso está incluído nesta solução? |
|---|---|
System Center 2012 R2 Configuration Manager |
Gerencia dispositivos móveis usando o serviço Windows Intune. |
Windows Intune |
Gerencia dispositivos móveis na Internet. |
Windows Azure do Active Directory |
Provisiona usuários na nuvem. |
Sincronização de diretório |
Sincroniza usuários do Active Directory local com o Active Directory do Azure. |
Serviços de Federação do Active Directory (AD FS) |
Habilita uma experiência de logon único. |
System Center 2012 R2 Configuration Manager e o conector do Windows Intune
Você executará o System Center 2012 R2 Configuration Manager lado a lado com o Configuration Manager 2007. O site do System Center 2012 R2 Configuration Manager será usado apenas para gerenciamento de dispositivo móvel até você migrar todo o seu ambiente do Configuration Manager para o System Center 2012. Como é possível instalar o console System Center 2012 R2 Configuration Manager no mesmo computador em que instalar um console do Configuration Manager 2007, você pode gerenciar dispositivos em um único computador.
Ao executar os dois produtos lado a lado, você deve tomar algumas precauções para impedir que os dispositivos que devem ser gerenciados pelo Configuration Manager 2007 descubram sua implantação do System Center 2012 R2 Configuration Manager. Por exemplo, verifique se os dois produtos não configuram limites para a atribuição de site, em que esses limites incluem os mesmos locais de rede. Isso é chamado de limites sobrepostos. Felizmente, os limites sobrepostos são fáceis de evitar porque não são configurados por padrão e você não precisa configurar nenhum limite do System Center 2012 R2 Configuration Manager para habilitar o gerenciamento de dispositivo móvel ao usar o Windows Intune.
Você instalará uma função de sistema de site do conector do Windows Intune para o site doSystem Center 2012 R2 Configuration Manager, que se conecta ao serviço Windows Intune.
Active Directory do Azure e sincronização de diretório (DirSync)
O Windows Intune usa o Active Directory do Azure para armazenar as contas de usuário. Você precisará sincronizar os usuários do Active Directory com o Active Directory do Azure. A sincronização de diretórios se destina à obtenção de uma relação contínua entre seu ambiente local e de nuvem. Após ativar a sincronização de diretório, você pode editar objetos sincronizados em seu ambiente local e essas edições serão sincronizadas com a assinatura do Windows Intune.
Opções de autenticação de usuário
Após preencher o AD do Microsoft Azure com suas contas de usuário, você terá algumas opções para autenticar os usuários. As opções são AD FS, sincronização de senha ou nenhuma das duas.
O AD FS fornece uma experiência de logon único legítima que funciona em conjunto com os protocolos de autenticação do Active Directory. O AD FS é a solução mais segura porque nunca compartilha informações de senha com o serviço de nuvem, o AD do Microsoft Azure. Seu Active Directory local e do AD FS interagem com a plataforma de identidade do AD do Microsoft Azure para fornecer acesso a um ou mais serviços em nuvem da Microsoft. Ao configurar o logon único, você estabelece uma relação de confiança federada entre o domínio e o sistema de autenticação do AD do Microsoft Azure. Isso permite que os usuários acessem diretamente os serviços em nuvem da Microsoft, sem a necessidade de entrar com credenciais diferentes.
Com o AD FS, será necessário pelo menos um servidor de federação ou farm de servidores e um servidor proxy de federação. O servidor de federação autentica clientes, enquanto o proxy do servidor de federação fornece uma camada de segurança e redireciona as solicitações de autenticação de clientes provenientes de fora da rede corporativa aos servidores de federação. Como um cliente do Windows Intune, é necessário implantar um proxy do servidor de federação em sua infraestrutura existente do AD FS para permitir que os usuários de dispositivos móveis sejam autenticados na Internet.
A sincronização de senha é uma opção leve que fornece aos usuários uma experiência semelhante ao logon único, além de ser muito fácil de implantar. Embora não seja não um recurso de logon único legítimo, a sincronização de senha é uma opção selecionável no DirSync que permite que o DirSync armazene um hash da senha no AD do Microsoft Azure. Os usuários podem autenticar com serviços de nuvem e locais usando o mesmo nome de usuário e senha para ambos.
Se você escolher não implementar o AD FS ou a sincronização de senha, os usuários terão de atualizar manualmente as senhas para mantê-las em sincronia ou simplesmente lembrar de mais de uma senha, dependendo se acessam os serviços locais ou de nuvem. Essa abordagem não é recomendada, pois exige uma sobrecarga administrativa adicional para gerenciar as alterações iniciais e contínuas de senha, o que resulta em uma experiência de usuário menos amigável.
Portal para Empresas
O portal para empresas é uma maneira fácil para os usuários acessarem todos os aplicativos corporativos de um único local. Você pode abastecer o portal para empresas com aplicativos de linha de negócios internos, bem como com links para os aplicativos disponíveis nas lojas públicas de aplicativos (Microsoft Windows Store, Windows Phone Store, Apple App Store e Google Play). De dentro do portal para empresas, os usuários podem gerenciar seus dispositivos e executar várias ações, como apagar um dispositivo perdido ou substituído.
Os usuários se registram no portal para empresas em seu dispositivo móvel. Durante o registro, o dispositivo móvel se comunica com o proxy de federação, que autentica o usuário para o registro.
Migração
Ao estar pronto para migrar sua infraestrutura do Configuration Manager 2007 para o System Center 2012 R2 Configuration Manager, você pode usar seu site primário autônomo existente como ponto de partida. O System Center 2012 R2 Configuration Manager oferece suporte à migração de dados e clientes de sua infraestrutura do Configuration Manager 2007 para o System Center 2012 R2 Configuration Manager. Em seguida, após a migração dos dados e dos clientes, você pode encerrar seus sites e infraestrutura do Configuration Manager 2007.
Quando a infraestrutura do Configuration Manager 2007 inclui mais dispositivos que você pode gerenciar com um único site primário autônomo do System Center 2012 R2 Configuration Manager, é possível usar a opção para expandir o site primário autônomo em uma hierarquia maior, a qual inclui um site de administração central e outros sites primários. Essa opção permite que você mantenha seu site primário atual para gerenciar dispositivos móveis e adicionar sites primários à sua hierarquia, o que aumenta a capacidade total de dispositivos com suporte pela hierarquia.
Quais são as etapas de alto nível para implementar esta solução?
É possível usar as etapas nesta seção para implementar a solução. Não se esqueça de verificar a implantação correta de cada etapa antes de passar à próxima etapa.
Obter uma assinatura do Windows Intune.
Antes de instalar o conector do Windows Intune, você precisará criar uma assinatura do Windows Intune. Você pode se inscrever em uma conta no Windows Intune.
Configurar seu domínio público.
Para usar o serviço Windows Intune, você também precisa de um nome de domínio público de organização que possa ser verificado por serviços como o GoDaddy. Adicione e verifique seu domínio público no portal de contas do Windows Intune em https://account.manage.microsoft.com no nó Domínios.
Verifique se o domínio público foi adicionado como um sufixo UPN alternativo no Active Directory local. Os usuários devem ter o mesmo nome UPN de domínio público no Active Directory de nuvem e local para registrar dispositivos móveis. Você deve verificar se os seus usuários têm um UPN de domínio público antes de configurar a sincronização de diretório e o AD FS. Se você ignorar essa etapa, talvez os usuários terão "onmicrosoft.com" acrescentado ao UPN de nuvem deles, o que causará incompatibilidade com os nomes de usuário do Active Directory local. Para obter mais informações sobre como alterar o UPN, consulte Adicionar sufixos de nome UPN na biblioteca de documentação do Active Directory.
Adicione um registro CNAME no DNS apontando enterpriseenrollment.<publicdomain> para manage.microsoft.com. O registro CNAME é usado mais tarde como parte do processo de registro.
Etapas de verificação:
Verifique a página Domínios do Portal de Contas do Windows Intune para garantir que o domínio público esteja listado e verificado.
Examine as propriedades de uma conta de usuário no Active Directory local para garantir que o UPN esteja listado com o nome de domínio público.
Execute ping de enterpriseenrollment.<publicdomain> e verifique se está resolvendo para o endereço IP manage.microsoft.com. O registro CNAME é usado como parte do processo de registro.
Configurar a autenticação de usuário.
Você pode configurar o AD FS de seu portal de contas do Windows Intune em https://account.manage.microsoft.com. No nó Usuários do portal, clique em Logon único: Configurar e siga as etapas para Configurar e gerenciar logon único. Para obter mais informações, consulte Lista de verificação: Usar o AD FS para implementar e gerenciar logon único na biblioteca de documentação do Active Directory, uma vez que este artigo detalha totalmente os requisitos necessários, o processo de planejamento e implantação e como verificar se o AD FS foi implantado e configurado corretamente.
Como alternativa, você pode considerar a implementação da sincronização de senha, dependendo de suas considerações de segurança. A sincronização de senha é um recurso da ferramenta de sincronização do Active Directory do Azure que sincroniza as senhas de usuário do Active Directory local com o Active Directory do Azure. Você pode implementar a sincronização de senha como parte da configuração da sincronização de diretório. Para entender as considerações de segurança e saber se esta é a decisão correta para a sua organização, consulte Implementar a sincronização de senha.
Provisionar usuários ao configurar a sincronização de diretório.
No nó Usuários do portal de contas do Windows Intune Windows em https://account.manage.microsoft.com, clique em Sincronização do Active Directory: Configurar e siga as etapas descritas em Configurar e gerenciar sincronização do Active Directory. Para obter mais informações, consulte Configurar a sincronização de diretório na Biblioteca de Documentação do Active Directory. Você pode instalar o DirSync em qualquer computador, desde que não seja um controlador de domínio.
Etapas de verificação: Faça check-in no portal de contas do Windows Intune em https://account.manage.microsoft.compara exibir as contas de usuário.
Planejar o servidor de site primário autônomo.
Identifique um servidor que atenda aos pré-requisitos de software e hardware para hospedar o site primário do Configuration Manager. Por padrão, quando você instala um site primário do Configuration Manager, as funções do sistema de site do ponto de gerenciamento e do ponto de distribuição também são instaladas. Como você gerenciará apenas dispositivos móveis neste cenário, os pontos de gerenciamento e de distribuição não serão usados. No entanto, sua presença não afeta o desempenho de seu site. Portanto, recomendamos deixar essas funções do sistema de site instaladas.
Para informações de dimensionamento de hardware para o site primário, consulte Planejando as configurações de hardware para o Configuration Manager. Os detalhes de um site primário autônomo fornecerão as noções básicas para executar um site primário que possa oferecer suporte ao conector do Windows Intune e até 100.000 dispositivos móveis.
Para obter informações sobre o software necessário e os sistemas operacionais com suporte para hospedar um site do Configuration Manager, consulte Requisitos do sistema de site. Especificamente, examine a seção relacionada aos pré-requisitos que se aplicam ao sistema operacional usado para hospedar o site primário autônomo. As funções do sistema de site instaladas por padrão são: servidor de site, servidor de banco de dados, servidor do provedor de SMS, ponto de gerenciamento e ponto de distribuição.
Implantar um servidor de site primário autônomo.
Instale e configure um site primário autônomo doSystem Center 2012 R2 Configuration Manager que lhe permita gerenciar dispositivos móveis. Para obter informações, consulte Instalar um servidor de site primário.
Após concluir a instalação do site, confirme ou defina as seguintes configurações comuns para os sites primários do Configuration Manager:
Não configure limites de site. Por padrão, nenhum limite de site é criado para um novo site. Os limites de site são usados por novos clientes do Configuration Manager para identificar um site para se associar e para localizar o conteúdo implantado. Para este cenário, nenhuma atividade se aplica.
Configure e execute a descoberta de usuários do Active Directory em seu domínio a fim de descobrir usuários para registro futuro.
Certifique-se de que a Instalação do Cliente por Push não esteja habilitada. Isso será usado apenas quando você estiver pronto para instalar o cliente do Configuration Manager em dispositivos Windows, não sendo usado para gerenciar dispositivos móveis.
Configurar a assinatura do Windows Intune e instalar a função do sistema de site do conector do Windows Intune no servidor de site primário autônomo.
Antes de usar o Configuration Manager para gerenciar dispositivos móveis, você deve configurar a assinatura do Windows Intune e instalar a função do sistema de site do conector do Windows Intune no servidor de site primário autônomo. Para obter mais informações, consulte Como gerenciar dispositivos móveis usando o Configuration Manager e o Windows Intune.
Etapas de verificação:
No computador do servidor de site primário, examine o Sitecomp.log para verificar se a função do sistema de site do conector do Windows Intune foi instalada com êxito.
No computador em que você instalar o conector do Windows Intune, examine o Cloudusersync.log para verificar se os usuários de seu domínio foram sincronizados com o Windows Intune com êxito. O arquivo de log confirmará se os nomes UPN do AD do Microsoft Azure e do AD local são compatíveis. Se algum usuário não conseguir sincronizar, será provavelmente por incompatibilidade de UPN.
No computador do servidor de site primário, examine o Certmgr.log para confirmar que o computador em que você instalou o conector do Windows Intune compartilha o certificado do conector. O certificado é compartilhado após a instalação da função do sistema de site do conector do Windows Intune ser concluída.
No computador em que você instala o conector do Windows Intune, examine o Dmpuploader.log para verificar se a função do sistema de site do conector pode fazer upload de alterações de política e de configuração para o serviço Windows Intune.
No computador em que você instala o conector do Windows Intune, examine o Dmpdownloader.log para verificar se o conector do Windows Intune pode baixar mensagens do Windows Intune. Esse log pode mostrar apenas um ping no início do processo de download e pode demorar algum tempo antes que as entradas relacionadas a downloads sejam registradas.
Instalar o console do System Center 2012 R2 Configuration Manager.
Por padrão, quando você instala um site primário, o console do Configuration Manager também é instalado no computador do servidor de site primário. Após a instalação do site, você pode instalar consoles do System Center 2012 R2 Configuration Manager adicionais em computadores adicionais para gerenciar o site. É possível instalar um console tanto do Configuration Manager 2007 quanto do System Center 2012 R2 Configuration Manager no mesmo computador. Essa instalação lado a lado permite usar um único computador para gerenciar sua infraestrutura existente do Configuration Manager 2007 e os dispositivos móveis que você gerencia usando o Windows Intune com o System Center 2012 R2 Configuration Manager. No entanto, você não pode usar o console de gerenciamento do System Center 2012 R2 Configuration Manager para gerenciar seu site do Configuration Manager 2007 e vice-versa. Para obter mais informações, consulte Instalar um console do Configuration Manager.
Registrar dispositivos móveis.
Para obter informações sobre como registrar dispositivos móveis, consulte Registro do dispositivo móvel.
Gerenciar dispositivos móveis.
Após a instalação e verificação das configurações básicas de seu site primário autônomo, você pode começar a configurar o gerenciamento dos dispositivos móveis. Estas são as ações típicas que você pode configurar:
Para aplicar a configuração de conformidade para dispositivos móveis, consulte Configurações de conformidade para dispositivos móveis no Configuration Manager.
Para criar e implantar aplicativos em dispositivos móveis, consulte Como criar e implantar aplicativos de dispositivos móveis no Configuration Manager.
Para configurar o inventário de hardware, consulte Como configurar o inventário de hardware para dispositivos móveis registrados pelo Windows Intune e pelo Configuration Manager.
Para configurar o inventário de software, consulte Introdução ao inventário de software no Configuration Manager.
Para apagar conteúdo de dispositivos móveis, consulte Apagando conteúdo da empresa de dispositivos móveis.
Migrar para o System Center 2012 R2 Configuration Manager.
Para obter informações sobre a migração para o System Center 2012 R2 Configuration Manager, consulte Migração de hierarquias no System Center 2012 Configuration Manager.
Se você for gerenciar mais de 100.000 dispositivos, será necessário expandir seu site primário autônomo em uma hierarquia. Para obter mais informações, consulte Planejando expandir um site primário autônomo.