Exportar (0) Imprimir
Expandir Tudo

Gerenciamento de dispositivo móvel para clientes do Configuration Manager 2007 que planejam migrar para o System Center 2012 R2 Configuration Manager

Atualizado: novembro de 2013

Aplica-se a: System Center 2012 R2 Configuration Manager

Este guia descreve como habilitar o gerenciamento de dispositivo móvel para dispositivos iOS, Android, , e Windows 8.1 executando um servidor de site primário autônomo do System Center 2012 R2 Configuration Manager junto com seu ambiente do .

Para quem este guia se destina?

  • Os administradores do Configuration Manager 2007 que estão planejando migrar para o System Center 2012 R2 Configuration Manager e estão interessados em gerenciamento de dispositivo móvel.

  • Arquitetos de infraestrutura buscando compreender melhor o gerenciamento de dispositivos móveis.

  • Especialistas em segurança corporativa e especialistas em gerenciamento de dispositivos interessados em entender como habilitar BYOD (Traga seu próprio dispositivo) para fornecer acesso a recursos internos, ao mesmo tempo em que mantêm protegidos os recursos da empresa.

  • Implementadores de TI interessados nas considerações de design para começar o gerenciamento de dispositivos móveis.

O diagrama a seguir ilustra o problema e o cenário abordados neste guia de soluções.

Configuration Manager e gerenciamento de dispositivo móvel

Gerenciamento de Dispositivo com Gerenciador de Configurações 2007

Neste guia de soluções:

Cenário

Há uma demanda crescente entre os funcionários da sua empresa na habilidade de acessar dados corporativos usando dispositivos pessoais. Você deseja atender essa demanda fornecendo aos funcionários flexibilidade para usar os próprios dispositivos pela Internet de qualquer local para realizar tarefas relacionadas ao trabalho.

Sua organização é uma grande empresa com mais de 5 mil usuários que levam seus próprios dispositivos para o local de trabalho. Sua infraestrutura tem suporte para o gerenciamento dos computadores dos usuários locais e que se conectam remotamente à rede corporativa usando VPN. Atualmente, você gerencia esses computadores usando o e não está pronto para realizar uma implantação total do System Center 2012 R2 Configuration Manager.

Em resumo, as tecnologias atuais usadas pela sua organização:

  • Um serviço de diretório e domínio, especificamente, o Active Directory.

  • Software de gerenciamento de PC, especificamente, o System Center .

  • PCs que ingressaram no domínio e gerenciados pelo .

  • Dispositivos móveis pessoais dos funcionários, bem como PCs que não ingressaram no domínio.

Declaração do problema

Hoje, você usa o para gerenciar dispositivos na sua organização, mas essa solução não gerencia dispositivos iOS, Android, , e Windows 8.1 pessoais. No entanto, as versões mais recentes do Configuration Manager e do Windows Intune fornecem suporte para esses dispositivos. Porque planeja migrar para o System Center 2012 R2 Configuration Manager, deseja usá-lo como a sua solução de gerenciamento de dispositivo móvel para evitar os custos e o esforço de integrar uma solução de terceiros. Você gostaria de implantar o System Center 2012 R2 Configuration Manager como uma solução de gerenciamento, embora não esteja pronto para implantar essa versão por completo, nem para migrar toda a sua infraestrutura do .

Metas da empresa

  • É possível gerenciar os dispositivos móveis de hoje, especificamente, Windows Phone 8, Windows RT, iOS, Android e dispositivos Windows 8.1 de propriedade particular. Gerenciar dispositivos pode implicar configurações de segurança e conformidade, coletar inventário de hardware e software ou implantar aplicativos móveis.

  • Você pode proteger os dados da empresa com a habilidade de limpar dados da empresa de dispositivos móveis pela Internet.

  • Você pode ampliar para gerenciar 100 mil dispositivos móveis.

  • Você deseja uma solução com a qual esteja familiarizado e que possua uma curva de aprendizado mínima.

  • Você pode implantar uma solução compatível com seu ambiente atual e que possa ser aproveitada para uso futuro.

Em um ambiente em que se está gerenciando dispositivos locais usando o , você deseja poder gerenciar dispositivos móveis também. Sua principal restrição é que não está pronto para migrar para a última versão do Configuration Manager, mas deseja usar os recursos de gerenciamento de dispositivo móvel. Uma vez que está planejando migrar para a última versão do Configuration Manager, gostaria que a solução provisória para gerenciamento de dispositivo móvel fosse relevante após a migração.

O System Center 2012 R2 Configuration Manager funciona com o Windows Intune para gerenciar dispositivos móveis. Por meio do console do Configuration Manager, é possível gerenciar dispositivos móveis de maneira muito semelhante a como gerencia outros dispositivos. A principal diferença com os dispositivos móveis em comparação a computadores no seu domínio é que eles são gerenciados pela Internet. O console do Configuration Manager faz interface com o serviço Windows Intune, que realiza o gerenciamento real dos dispositivos móveis pela Internet. Ao usar o System Center 2012 R2 Configuration Manager com o Windows Intune para gerenciamento de dispositivo móvel, é possível:

  • Proteger os dados da empresa com as configurações de segurança e a capacidade de apagar dados de empresa de dispositivos aposentados. Você pode usar configurações de conformidade para impor a política de segurança a usuários de dispositivos móveis. Essas configurações podem incluir atributos como configurações de senha, câmera, sistema e segurança. Você também pode executar relatórios para identificar dispositivos com Android com raiz e dispositivos iOS modificados.

  • Gerenciar dispositivos por meio de configurações de conformidade. Configurações de conformidade podem incluir qualquer item, desde configurações móveis, de armazenamento ou de dispositivo. Para uma lista completa de configurações, consulte How to Create Configuration Items for Devices enrolled by Windows Intune and Configuration Manager.

  • Coletar inventário de hardware e software. Você pode executar relatórios para exibir inventário de hardware que descreva os tipos de dispositivos inscritos e o inventário de software pode relatar que aplicativos estão instalados nos dispositivos.

  • Gerenciar aplicativos por sideload de aplicativos para dispositivos móveis ou implantando links em aplicativos disponíveis em lojas de dispositivos, como Windows Store, Loja do Windows Phone, App Store e Google Play.

  • Criar uma experiência consistente para acessar dados corporativos usando o portal de empresa. O portal da empresa é uma interface em que os usuários podem exibir os dados da empresa e instalar aplicativos.

Nessa solução, o gerenciamento de dispositivos móveis será habilitado por um site primário autônomo do System Center 2012 R2 Configuration Manager e um conector do Windows Intune. O Windows Intune é um serviço de nuvem, assim, para permitir que os usuários registrem seus dispositivos, é preciso sincronizar as contas de usuário do domínio com a do Windows Azure. Isso permitirá gerenciar quais usuários podem acessar os recursos da empresa com dispositivos móveis. Quando os usuários puderem acessar os recursos da empresa pela Internet com os dispositivos móveis, você poderá usar o Serviço de Federação do Active Directory (AD FS) para habilitar uma experiência de logon único.

O diagrama a seguir mostra como os componentes de um servidor de site primário autônomo do System Center 2012 R2 Configuration Manager se comunica lado a lado com um ambiente do . A parte do AD FS do diagrama é opcional.

O servidor primário autônomo do System Center 2012 R2 Configuration Manager executa lado a lado com um ambiente do .

Gerenciamento do dispositivo móvel com Gerenciador de Configurações

A tabela a seguir lista os elementos que fazem parte do projeto dessa solução e descreve o motivo para a opção de projeto.

 

Elemento de design de solução Por que está incluído nesta solução?

System Center 2012 R2 Configuration Manager

Gerenciar dispositivos móveis usando o serviço Windows Intune.

Windows Intune

Gerencia dispositivos móveis pela Internet.

Active Directory do Windows Azure

Provisiona os usuários na nuvem.

Sincronização de diretórios

Sincroniza usuários locais do Active Directory com o Active Directory do Windows Azure.

Serviços de Federação do Active Directory (AD FS)

Permite uma experiência de logon único.

System Center 2012 R2 Configuration Manager e o conector do Windows Intune

Você executará o System Center 2012 R2 Configuration Manager lado a lado com o . O site do System Center 2012 R2 Configuration Manager somente será usado para gerenciamento de dispositivo móvel até que migre todo o ambiente do Configuration Manager para o System Center 2012. É possível instalar o console do System Center 2012 R2 Configuration Manager no mesmo computador em que um console do é instalado, você pode gerenciar dispositivos de um único computador.

Ao executar ambos os produtos lado a lado, deve-se tomar algumas precauções para evitar que dispositivos que deveriam ser gerenciados pelo descubram sua implantação do System Center 2012 R2 Configuration Manager. Por exemplo, você deve garantir que os dois produtos não configurem limites para atribuição de site quando esses limites incluírem os mesmos locais de rede. Isso é conhecido como sobreposição de limites. Felizmente, limites sobrepostos são fáceis de evitar porque eles não são configurados por padrão e não é preciso configurar nenhum limite para o System Center 2012 R2 Configuration Manager para habilitar o gerenciamento de dispositivos móveis quando usar o Windows Intune.

Você instala uma função do sistema de site do conector do Windows Intune para o site do System Center 2012 R2 Configuration Manager, que se conecta ao serviço do Windows Intune.

Sincronização de diretório (DirSync) e Active Directory do Windows Azure

O Windows Intune utiliza o Active Directory do Windows Azure para armazenar contas de usuário. Você precisará sincronizar os usuários do Active Directory para o Active Directory do Windows Azure. A sincronização de diretório serve como um relacionamento contínuo entre o ambiente local e a nuvem. Depois de ter ativado a sincronização do diretório, é possível editar os objetos sincronizados no ambiente local, e essas edições sincronizarão com sua assinatura do Windows Intune.

Opções de autenticação de usuário

Depois de ter preenchido o AD do Windows Azure com suas contas de usuário, você tem algumas opções quanto a como autenticar os usuários. As opções são o AD FS, a sincronização de senha ou nenhuma delas.

O AD FS fornece uma verdadeira experiência de logon único trabalhando em conjunto com os protocolos de autenticação do Active Directory. O AD FS é a solução mais segura porque nunca compartilha informações de senha com o serviço de nuvem, o AD do Windows Azure. O Active Directory e AD FS locais interagem com a plataforma de identidade do AD do Windows Azure para fornecer acesso a um ou mais serviços de nuvem da Microsoft. Ao configurar o logon único, você estabelece uma confiança federada entre seu domínio e o sistema de autenticação do AD do Windows Azure. Isso permite aos seus usuários acessar continuamente os serviços de nuvem da Microsoft sem precisar entrar com credenciais diferentes.

Com o AD FS, você precisará de pelo menos um servidor de federação no farm de servidor e um servidor proxy de federação. O servidor de federação autentica clientes, enquanto o proxy do servidor de federação fornece uma camada de segurança e redireciona as solicitações de autenticação do cliente de fora da rede corporativa para os servidores de federação. Como um cliente do Windows Intune, é necessário implantar um proxy de servidor de federação na sua infraestrutura existente de AD FS, a fim de habilitar os usuários de dispositivos móveis a autenticarem a partir da Internet.

A sincronização de senha é uma opção leve que fornece aos usuários uma experiência similar ao logon único e é muito fácil de implantar. Embora não seja uma verdadeira capacidade de logon único, a Sincronização de Senha é uma opção selecionável dentro do DirSync que permite ao DirSync armazenar um hash da senha no AD do Windows Azure. Os usuários podem autenticar com serviços de nuvem e serviços locais usando o mesmo nome de usuário e senha para ambos.  

Se escolher não implantar o AD FS ou a sincronização de senha, os usuários terão de atualizar manualmente as senhas para mantê-las sincronizadas, ou simplesmente lembrar-se de mais de uma senha, dependendo de se estão acessando serviços na nuvem ou locais. Essa abordagem não é recomendada, uma vez que requer sobrecarga administrativa adicional para gerenciar as alterações de senha inicial e contínuas, e resulta em uma experiência menos simples para o usuário.

Portal da empresa

O portal da empresa é uma maneira fácil de os usuários acessarem todos os seus aplicativos corporativos a partir de um só lugar. Você pode preencher o portal da empresa com aplicativos de linha de negócios internos, bem como com links para aplicativos disponíveis nas lojas de aplicativos públicas (Microsoft Windows Store, Loja do Windows Phone, Apple App Store e Google Play). Dentro do portal da empresa, os usuários podem gerenciar os dispositivos e realizar várias ações, como limpar um dispositivo perdido ou trocado.

Os usuários registram-se usando o portal da empresa no dispositivo móvel. Durante o registro, o dispositivo móvel se comunica com o proxy de federação, que autentica o usuário para o registro.

Migração

Quando estiver pronto para migrar a infraestrutura do para o System Center 2012 R2 Configuration Manager, você pode usar o site primário autônomo existente como o ponto inicial. O System Center 2012 R2 Configuration Manager tem suporte para migrar dados e clientes da infraestrutura do para o System Center 2012 R2 Configuration Manager. Então, depois de os dados e clientes terem sido migrados, é possível desativar os sites e a infraestrutura do .

Quando sua infraestrutura do inclui mais dispositivos do que consegue gerenciar com um único site primário autônomo do System Center 2012 R2 Configuration Manager, é possível usar a opção de expandir esse site primário autônomo a uma hierarquia maior, que inclua um site de administração central e sites primários adicionais. Essa opção permite manter o site primário atual para gerenciar os dispositivos móveis, ao mesmo tempo adicionando mais sites primários à sua hierarquia, o que aumenta a capacidade total de dispositivos aos quais a hierarquia pode oferecer suporte.

Você pode usar as etapas nesta seção para implementar a solução. Certifique-se de confirmar a correta implantação de cada etapa antes de passar para a próxima.

  1. Fazer uma assinatura do Windows Intune.

    Antes de instalar o conector do Windows Intune, é preciso criar uma assinatura do Windows Intune. Você pode se inscrever em uma conta no Windows Intune.

  2. Configure o seu domínio público.

    1. Para usar o serviço Windows Intune, também é preciso ter um nome de domínio da organização pública que possa ser verificado por meio de serviços como o GoDaddy. Adicione e verifique seu domínio público no portal da conta do Windows Intune em https://account.manage.microsoft.com no nó Domínios.

    2. Certifique-se de que o domínio público foi adicionado como um sufixo UPN alternativo no Active Directory local. Os usuários devem ter o mesmo Nome UPN de domínio público, na nuvem e no Active Directory local, para inscrever os dispositivos móveis. Você deve confirmar se os usuários possuem um UPN de domínio público antes de configurar a sincronização do diretório e o AD FS. Se ignorar esta etapa, os usuários podem acabar tendo o “onmicrosoft.com” anexado automaticamente aos seus UPN de nuvem, o que causará uma incompatibilidade com os nomes de usuário do Active Directory local. Para informações sobre como alterar o UPN, consulte Adicionar sufixos de nome principal do usuário na biblioteca de documentação do Active Directory.

    3. Adicionar um registro CNAME no DNS, apontando o enterpriseenrollment.<publicdomain> para o manage.microsoft.com. O registro CNAME é usado mais tarde como parte do processo de registro.

    Etapas de confirmação:

    • Verifique a página Domínios do portal de contas do Windows Intune para garantir que o domínio público esteja relacionado e confirmado.

    • Consulte as propriedades de uma conta de usuário no seu Active Directory local para garantir que o UPN esteja relacionado com o nome de domínio público.

    • Execute o ping em enterpriseenrollment.<publicdomain> e garanta que ele esteja resolvendo o endereço IP de manage.microsoft.com. O registro CNAME é usado como parte do processo de registro.

  3. Configurar a autenticação do usuário.

    Você pode configurar o AD FS a partir do portal da conta do Windows Intune em https://account.manage.microsoft.com. No nó Usuário do portal, clique em Logon único: Configuração e siga as etapas para Configurar e gerenciar o logon único. Para mais informações, consulte a Lista de verificação: Usar AD FS para implementar e gerenciar o logon único na biblioteca de documentação do Active Directory, esse artigo detalha os requisitos necessários, o planejamento e o processo de implantação, bem como a maneira de confirmar se o AD FS foi implantado e configurado corretamente.

    Como alternativa, você pode considerar a implementação da sincronização de senha, dependendo das suas considerações de segurança. A sincronização de senha é um recurso da ferramenta de sincronização do Active Directory do Windows Azure, que sincroniza as senhas de usuários do Active Directory local com as do Active Directory do Windows Azure. Você pode implementar a sincronização de senha como parte da configuração de sincronização de diretório. Para entender as considerações de segurança e se essa é a decisão certa para a sua organização, consulte Implement Password Synchronization (Implementar a sincronização da senha).

  4. Provisionar usuários configurando a sincronização de diretório.

    No nó Usuários do portal de contas do Windows Intune em https://account.manage.microsoft.com, clique em Sincronização do Active Directory: Configurar e siga as etapas descritas em Configurar e gerenciar a sincronização do Active Directory. Para obter mais informações, consulte Configurar a sincronização de diretório na Biblioteca de Documentação do Active Directory. Você pode instalar o DirSync em qualquer computador, desde que não seja um controlador de domínio.

    Etapas de confirmação: Entre no portal de contas do Windows Intune em https://account.manage.microsoft.com para exibir as contas de usuários.

  5. Planeje seu servidor de site primário autônomo.

    Identifique um servidor que atenda aos pré-requisitos de software e hardware, para hospedar um site primário do Configuration Manager. Por padrão, ao instalar um site primário para o Configuration Manager, as funções do sistema do site de ponto de gerenciamento e do ponto de distribuição também são instaladas. Como somente os dispositivos móveis para esse cenário serão gerenciados, o ponto de gerenciamento e o ponto de distribuição não são usados. No entanto, sua presença não afeta o desempenho do seu site. Portanto, é recomendável deixar essas funções de sistema de site instaladas.

    Para informações sobre o dimensionamento do site primário, consulte a seção Sistemas do site do Configuration Manager em Sistemas de site do Configuration Manager. Os detalhes fornecidos para um site primário autônomo oferecem as noções básicas para executar um site primário que possa dar suporte ao conector do Windows Intune e até 100 mil dispositivos móveis.

    Para informações sobre os sistemas operacionais com suporte e o software necessário para hospedar um site do Configuration Manager, consulte Requisitos do sistema do site. Especificamente, revise a seção aplicável para os pré-requisitos que se aplicam ao sistema operacional usado para hospedar o site primário autônomo. As funções do sistema do site instaladas por padrão são o servidor do site, o servidor do banco de dados, o servidor do Provedor de SMS, o ponto de gerenciamento e o ponto de distribuição.

  6. Implantar um servidor de site primário autônomo.

    Instale e configure um site primário autônomo do System Center 2012 R2 Configuration Manager que permita gerenciar dispositivos móveis. Para obter informações, consulte Instalar um servidor de site primário.

    Após a instalação do site ser concluída, confirme ou defina as seguintes configurações comuns para sites primários do Configuration Manager:

    • Não configure limites de site. Por padrão, nenhum limite de site é criado para um novo site. Limites de site são usados por clientes novos do Configuration Manager para identificar um site no qual ingressar e localizar conteúdo a ser implantado. Para esse cenário, nenhuma das atividades se aplica.

    • Configure e execute a descoberta de usuário do Active Directory em seu domínio para descobrir os usuários para registro de futuro.

    • Certifique-se de que a instalação forçada de cliente não está habilitada. Isso é usado apenas quando estiver pronto para instalar o cliente do Configuration Manager em dispositivos Windows e não é usado para gerenciar dispositivos móveis.

  7. Configure a assinatura do Windows Intune e instale a função do sistema de site do conector do Windows Intune no seu servidor de site primário autônomo.

    Antes de poder usar o Configuration Manager para gerenciar dispositivos móveis, é preciso configurar a assinatura do Windows Intune e instalar a função do sistema de site do conector do Windows Intune no servidor de site primário autônomo. Para obter mais informações, consulte How to Manage Mobile Devices by Using Configuration Manager and Windows Intune.

    Etapas de confirmação:

    • No computador do servidor de site primário, revise o Sitecomp.log para verificar se a função do sistema de site do conector do Windows Intune foi instalada com sucesso.

    • No computador em que instalar o conector do Windows Intune, revise o Cloudusersync.log para confirmar se os usuários do domínio sincronizaram-se com sucesso com o Windows Intune. O arquivo de registro confirmará que os nomes UPN são consistentes entre o AD do Windows Azure e o AD local. Se houver falha na sincronização de quaisquer usuário, isso provavelmente se deve à incompatibilidades de UPN.

    • No computador do servidor de site primário, revise o Certmgr.log para confirmar se o computador em que o conector do Windows Intune foi instalado compartilha o certificado do conector. O certificado é compartilhado após a instalação da função de sistema de site do conector do Windows Intune estar concluída.

    • No computador em que instalou o conector do Windows Intune, revise Dmpuploader.log para confirmar se a função do sistema do site do conector pode carregar as mudanças de configuração e de política para o serviço Windows Intune.

    • No computador em que o conector do Windows Intune for instalado, revise o Dmpdownloader.log para verificar se o conector do Windows Intune é capaz de baixar mensagens do Windows Intune. Este registro pode mostrar apenas um ping no início do processo de download e pode levar algum tempo antes de as entradas relacionadas aos downloads serem registradas.

  8. Instalar o console do System Center 2012 R2 Configuration Manager.

    Por padrão, quando você instala o site primário, o console do Configuration Manager também é instalado no computador do servidor do site primário. Depois da instalação do site, é possível instalar consoles adicionais do System Center 2012 R2 Configuration Manager em outros computadores para gerenciar o site. Há suporte para instalar um console no e no System Center 2012 R2 Configuration Manager no mesmo computador. A instalação lado a lado permite usar um único computador para gerenciar a infraestrutura existente do e os dispositivos móveis que você gerencia usando o Windows Intune com ο System Center 2012 R2 Configuration Manager. Porém, não é possível usar o console de gerenciamento do System Center 2012 R2 Configuration Manager para gerenciar o site do , e vice-versa. Para obter mais informações, consulte Instalar um console do Configuration Manager.

  9. Registrar dispositivos móveis.

    Para informações sobre como registrar dispositivos móveis, consulte o Registro de dispositivo móvel.

  10. Gerenciar dispositivos móveis.

    Depois de instalar e fazer as configurações básicas para o site primário autônomo, você pode começar a configurar o gerenciamento dos dispositivos móveis. A seguir estão algumas ações comumente configuradas:

  11. Migrar para System Center 2012 R2 Configuration Manager.

    Para obter informações sobre a migração para o System Center 2012 R2 Configuration Manager, consulte Migrating Hierarchies in System Center 2012 Configuration Manager.

    Se for gerenciar mais de 100 mil dispositivos, você precisará expandir seu site primário autônomo para uma hierarquia. Para mais informações, consulte Planejando a expansão para um site primário autônomo.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft