Gestão de dispositivos móveis para clientes do Configuration Manager 2007 que planeiam migrar para o System Center 2012 R2 Configuration Manager
De que forma este guia pode ser útil? Este guia fornece uma concepção prescritiva e testada que pode utilizar para compreender os passos de concepção e implementação recomendados para ativar a gestão de dispositivos móveis para dispositivos iOS, Android, Windows Phone 8, Windows RT e Windows 8,1 quando tem uma hierarquia de Configuration Manager 2007 existente e planeia migrar para o System Center 2012 R2 Configuration Manager.
Embora planeie migrar para o System Center 2012 R2 Configuration Manager, precisa de uma solução que lhe permita gerir os dispositivos na sua organização. Este guia de soluções descreve como pode executar um servidor de sites primário System Center 2012 R2 Configuration Manager autónomo juntamente com o seu ambiente Configuration Manager 2007 para permitir a gestão de dispositivos.
O diagrama seguinte ilustra o problema e o cenário abordados neste guia de soluções.
Configuration Manager e gestão de dispositivos móveis
.jpeg "Gestão de Dispositivos com o Configuration Manager 2007")
Neste guia de soluções:
Cenário, declaração de problema e objetivos
Qual é a concepção recomendada para esta solução?
Quais são os passos de alto nível para implementar esta solução?
Cenário, declaração de problema e objetivos
Esta secção descreve o cenário, o problema atual e os objetivos que possa ter.
Cenário
Existe uma procura crescente por parte dos empregados da sua empresa para terem a capacidade de aceder aos dados da empresa a partir dos seus dispositivos pessoais. Pretende ir ao encontro desta procura ao fornecer aos empregados a flexibilidade de utilizarem os seus dispositivos na Internet, a partir de qualquer local para conseguirem realizar tarefas de trabalho.
A sua organização é uma empresa de grande dimensão com mais de 5000 utilizadores que levam os seus dispositivos pessoais para o local de trabalho. A sua infraestrutura suporta a gestão de computadores para utilizadores que estão no local e que ligam remotamente à rede empresarial através da VPN. Atualmente, gere estes computadores com o Configuration Manager 2007 e não está preparado para efetuar uma implementação completa do System Center 2012 R2 Configuration Manager.
Resumindo, as tecnologias atuais utilizadas pela sua organização:
Um serviço de domínio e diretório, especificamente o Active Directory.
Software de gestão de PCs, especificamente, o System Center Configuration Manager 2007.
PCs que estão associados ao domínio e são geridos pelo Configuration Manager 2007.
Dispositivos móveis pessoais pertencentes aos empregados, bem como PCs pessoais não associados ao domínio.
declaração de problema
Atualmente, utiliza o Configuration Manager 2007 para gerir dispositivos na sua organização, mas esta solução não gere dispositivos pessoais iOS, Android, Windows Phone 8, Windows RT e Windows 8,1. No entanto, a versão mais recente do Configuration Manager e do Windows Intune fornece suporte para estes dispositivos. Visto que está a planear migrar para o System Center 2012 R2 Configuration Manager, pretende utilizá-lo como a sua solução de gestão de dispositivos móveis para evitar o custo e esforço de integrar uma solução de terceiros. Gostaria de implementar o System Center 2012 R2 Configuration Manager como uma solução de gestão, mesmo que não esteja preparado para implementar na íntegra esta versão, nem para migrar a totalidade da sua infraestrutura a partir do Configuration Manager 2007.
Objetivos da organização
Pode gerir os dispositivos móveis atuais, especificamente, dispositivos pessoais Windows Phone 8, Windows RT, iOS, Android e Windows 8.1. A gestão de dispositivos pode significar as definições de segurança e compatibilidade, a recolha de inventário de software e hardware ou a implementação de aplicações móveis.
Pode proteger os dados da empresa com a capacidade de eliminar esses dados dos dispositivos móveis pela Internet.
Pode ampliar a gestão até 100 000 dispositivos móveis.
Quer uma solução que lhe seja familiar e com uma curva de aprendizagem mínima.
Pode implementar uma solução que é compatível com o seu ambiente atual e de que se possa tirar partido para utilização futura.
Qual é a concepção recomendada para esta solução?
Num ambiente onde gere dispositivos no local com o Configuration Manager 2007, quer ser capaz de gerir também dispositivos móveis. A sua principal restrição é que não está preparado para migrar para a versão mais recente do Configuration Manager, mas pretende utilizar as respetivas capacidades de gestão de dispositivos móveis. Uma vez que está a planear migrar para a versão mais recente do Configuration Manager, gostaria que a solução provisória para a gestão de dispositivos móveis fosse relevante depois da migração.
O System Center 2012 R2 Configuration Manager funciona com o Windows Intune para gerir dispositivos móveis. Através da consola do Configuration Manager, pode gerir dispositivos móveis de forma muito semelhante à forma como iria gerir outros dispositivos. A principal diferença dos dispositivos móveis em comparação com os computadores no seu domínio, é que eles são geridos pela Internet. A consola do Configuration Manager tem interface com o serviço Windows Intune que é quem realmente faz a gestão dos dispositivos móveis pela Internet. Quando utiliza o System Center 2012 R2 Configuration Manager com o Windows Intune para a gestão de dispositivos móveis, pode:
Proteger os dados da sua empresa com definições de segurança e com a capacidade de eliminar esses dados de dispositivos que já não são usados. Pode utilizar definições de compatibilidade para impor a política de segurança aos utilizadores de dispositivos móveis. Estas definições podem incluir atributos como definições de palavra-passe, câmara, sistema e segurança. Pode também executar relatórios para identificar dispositivos Android de raiz e dispositivos iOS modificados.
Gerir dispositivos através de definições de compatibilidade. As definições de compatibilidade podem incluir qualquer coisa desde definições de roaming, armazenamento ou dispositivos. Para obter uma lista completa das definições, consulte Definições de Compatibilidade para Dispositivos Móveis no Configuration Manager.
Recolher inventário de hardware e software. Pode executar relatórios para ver o inventário de hardware que descreve os tipos de dispositivos que estão inscritos e o inventário de software pode relatar que aplicações estão instaladas nos dispositivos.
Gerir aplicações através do sideloading de aplicações para dispositivos móveis ou ao implementar ligações para aplicações disponíveis em lojas de dispositivos, como a Loja Windows, a loja Windows Phone, a App Store e o Google Play.
Criar uma experiência consistente para aceder aos dados da empresa através do portal da empresa. O portal da empresa é uma interface onde os utilizadores podem ver dados da empresa e instalar aplicações.
Nesta solução, a gestão de dispositivos móveis será ativada por um site primário autónomo do System Center 2012 R2 Configuration Manager e um conector do Windows Intune. O Windows Intune é um serviço em nuvem pelo que, para permitir que os utilizadores inscrevam os seus dispositivos, precisa de sincronizar as contas de utilizador do seu domínio com o Microsoft Azure. Isto permitir-lhe-á gerir que utilizadores podem aceder aos recursos da empresa com os seus dispositivos móveis. Quando os utilizadores puderem aceder aos recursos da empresa pela Internet com os seus dispositivos móveis, pode utilizar o Serviço de Federação do Active Directory (AD FS) para ativar uma experiência de início de sessão único.
O diagrama que se segue mostra como os componentes de um servidor de sites primário System Center 2012 R2 Configuration Manager autónomo comunica lado a lado com um ambiente Configuration Manager 2007. A parte do AD FS do diagrama é opcional.
O servidor primário System Center 2012 R2 Configuration Manager autónomo é executado lado a lado com um ambiente Configuration Manager 2007.
.jpeg "Gestão de dispositivos móveis com o Configuration Manager")
A tabela seguinte indica os elementos que fazem parte da concepção desta solução e descreve o motivo para a escolha da concepção .
Elemento de concepção da solução |
Porque está incluído nesta solução? |
|---|---|
System Center 2012 R2 Configuration Manager |
Gere dispositivos móveis através do serviço Windows Intune. |
Windows Intune |
Gere dispositivos móveis pela Internet. |
Microsoft Azure Active Directory |
Aprovisiona utilizadores na nuvem. |
Sincronização de diretórios |
Sincroniza utilizadores do Active Directory no local com o Microsoft Azure Active Directory. |
Serviços de Federação do Active Directory (AD FS) |
Ativa uma experiência de início de sessão único. |
System Center 2012 R2 Configuration Manager e o Conector do Windows Intune
Irá executar o System Center 2012 R2 Configuration Manager lado a lado com o Configuration Manager 2007. O site do System Center 2012 R2 Configuration Manager será utilizado apenas para a gestão de dispositivos móveis até que migre todo o seu ambiente Configuration Manager para o System Center 2012. Uma vez que pode instalar a consola do System Center 2012 R2 Configuration Manager no mesmo computador em que instalou uma consola do Configuration Manager 2007 , pode gerir dispositivos a partir de um único computador.
Quando executa ambos os produtos lao a lado, tem de tomar algumas precauções para impedir que os dispositivos que deviam ser geridos pelo Configuration Manager 2007 descubram a sua implementação do System Center 2012 R2 Configuration Manager. Por exemplo, deve certificar-se de que os dois produtos não configuram limites para a atribuição de sites nos casos em que esses limites incluem os mesmos locais de rede. Isto é designado por limites sobrepostos. Felizmente, os limites sobrepostos são fáceis de evitar porque não estão configurados por predefinição e não é preciso configurar quaisquer limites para o System Center 2012 R2 Configuration Manager para permitir a gestão de dispositivos móveis quando utiliza o Windows Intune.
Irá instalar a função de sistema de site do Conector do Windows Intune no site System Center 2012 R2 Configuration Manager, que o liga ao serviço Windows Intune.
Microsoft Azure Active Directory e sincronização de diretórios (DirSync)
O Windows Intune usa o Microsoft Azure Active Directory para armazenar contas de utilizador. Será preciso sincronizar os seus utilizadores do Active Directory com o Microsoft Azure Active Directory. A sincronização de diretórios destina-se a ser uma relação contínua entre o seu ambiente no local e a nuvem. Depois de ter ativado a sincronização de diretórios, pode editar objetos sincronizados no seu ambiente no local e estas edições serão sincronizadas com a sua subscrição do Windows Intune.
Opções para a autenticação de utilizador
Depois de preencher o Microsoft Azure AD com as suas contas de utilizador, tem algumas opções relativamente à forma como autenticar utilizadores. As suas opções são o AD FS, a Sincronização de Palavras-Passe ou nenhuma delas.
O AD FS fornece uma verdadeira experiência de início de sessão único quando utilizado em conjunto com os protocolos de autenticação do Active Directory. O AD FS é a solução mais segura porque nunca partilha as informações de palavra-passe com o serviço em nuvem, o Microsoft Azure AD. O seu Active Directory no local e o AD FS interagem com a plataforma de identidade do Microsoft Azure AD para fornecer acesso a um ou mais serviços em nuvem da Microsoft. Quando configura o início de sessão único, estabelece uma confiança federada entre o seu domínio e o sistema de autenticação do Microsoft Azure AD. Isto permite que os utilizadores acedam de forma totalmente integrada aos serviços em nuvem da Microsoft, sem precisarem de iniciar sessão com credenciais diferentes.
Com o AD FS, precisará de, pelo menos, um servidor de federação ou um farm de servidores e um servidor proxy de federação. A servidor de federação autentica clientes, enquanto o proxy de servidor de federação fornece uma camada de segurança e redireciona os pedidos de autenticação do cliente que vêm de fora da sua rede empresarial para os seus servidores de federação. Como cliente do Windows Intune, é necessário implementar um proxy de servidor de federação na sua infraestrutura de AD FS existente para permitir que os utilizadores de dispositivos móveis se autentiquem a partir da Internet.
A Sincronização de Palavras-passe é uma opção simples que proporciona aos utilizadores uma experiência semelhante ao início de sessão único e é muito fácil de implementar. Embora não seja uma verdadeira capacidade de início de sessão único, a Sincronização de Palavras-passe é uma opção selecionável dentro do DirSync e que lhe permite armazenar um hash da palavra-passe no Microsoft Azure AD. Os utilizadores podem autenticar-se com os serviços em nuvem e os serviços no local com o mesmo nome de utilizador e palavra-passe para ambos.
Se optar por não implementar o AD FS ou a Sincronização de Palavras-passe, os utilizadores terão de atualizar manualmente as palavras-passe para as manter sincronizadas ou simplesmente lembrar-se de mais do que uma palavra-passe, dependendo se estão a aceder a serviços em nuvem ou no local. Esta abordagem não é recomendada, uma vez que requer mais despesas administrativas gerais para gerir alterações iniciais e contínuas de palavra-passe e resulta numa experiência de utilizador menos amigável.
Portal da Empresa
O portal da empresa é uma forma fácil de os utilizadores acederem a todas as suas aplicações empresariais a partir de um local. Pode povoar o portal da empresa com aplicações de linha de negócio internas, bem como com ligações para aplicações disponíveis em lojas de aplicações públicas (Loja Microsoft Windows, Loja Windows Phone, Apple App Store e Google Play). A partir do portal da empresa, os utilizadores podem gerir os seus dispositivos e realizar várias ações, como eliminar os dados de um dispositivo perdido ou substituído.
Os utilizadores inscrevem-se através do portal da empresa no seu dispositivo móvel. Durante a inscrição, o dispositivo móvel comunica com o proxy de federação que autentica o utilizador que se está a inscrever.
Migração
Quando estiver pronto para migrar a sua infraestrutura do Configuration Manager 2007 para o System Center 2012 R2 Configuration Manager, pode utilizar o seu site primário autónomo existente como ponto de partida. O System Center 2012 R2 Configuration Manager suporta a migração de dados e clientes da sua infraestrutura do Configuration Manager 2007 para o System Center 2012 R2 Configuration Manager. Em seguida, depois de ter migrado os dados e os clientes, pode desativar os seus sites e a infraestrutura do Configuration Manager 2007.
Quando a infraestrutura do Configuration Manager 2007 inclui mais dispositivos do que aqueles que consegue gerir com um único site primário autónomo do System Center 2012 R2 Configuration Manager, pode utilizar a opção de expandir esse site primário autónomo para uma hierarquia maior que inclua um site de administração central e sites primários adicionais. Esta opção permite-lhe manter o seu site primário atual para gerir os dispositivos móveis, ao mesmo tempo que adiciona mais sites primários à sua hierarquia, o que aumenta a capacidade total de dispositivos que a hierarquia pode suportar.
Quais são os passos de alto nível para implementar esta solução?
Pode utilizar os passos desta secção para implementar a solução. Certifique-se de que verifica a implementação correta de cada passo antes de avançar para o passo seguinte.
Obter uma subscrição do Windows Intune.
Antes de poder instalar o conector do Windows Intune, precisa de criar uma subscrição do Windows Intune. Pode inscrever-se para obter uma conta em Windows Intune.
Configure o seu domínio público.
Para utilizar o serviço Windows Intune, precisa também de um nome de domínio de organização pública que seja verificável através de serviços, como o GoDaddy. Adicione e valide o seu domínio público no portal de conta do Windows Intune em https://account.manage.microsoft.com, no nó Domínios.
Certifique-se de que o domínio público foi adicionado como um sufixo UPN alternativo no Active Directory no local. Os utilizadores têm de ter o mesmo Nome Principal de Utilizador (UPN) de domínio público na nuvem e no Active Directory no local para inscrever dispositivos móveis. Tem de verificar se os seus utilizadores têm um UPN de domínio público antes de configurar a sincronização de diretórios e o AD FS. Se ignorar este passo, os utilizadores podem ficar automaticamente com “onmicrosoft.com” anexado ao respetivo UPN de nuvem, o que resultará num erro de correspondência com os nomes de utilizador do Active Directory no local. Para obter mais informações sobre como alterar o UPN, consulte Adicionar Sufixos de Nome Principal de Utilizador na biblioteca de documentação do Active Directory.
Adicione um registo CNAME no DNS que aponte inscricaoempresa.<dominiopublico> para manage.microsoft.com. O registo CNAME é usado mais tarde como parte do processo de inscrição.
Passos de verificação:
Verifique a página Domínios do Portal de Conta do Windows Intune para se certificar de que o domínio público está listado e validado.
Veja as propriedades de uma conta de utilizador no Active Directory no local para se certificar de que o UPN está listado com o nome de domínio público.
Envie um ping para inscricaoempresa.<dominiopublico> e certifique-se de que está a resolver para o endereço IP de manage.microsoft.com. O registo CNAME é usado como parte do processo de inscrição.
Configurar a Autenticação de Utilizador.
Pode configurar o AD FS a partir do seu portal de conta do Windows Intune em https://account.manage.microsoft.com. No nó Utilizador do portal, clique em Início de sessão único: Configurar e siga os passos para Configurar e gerir o início de sessão único. Para obter mais informações, consulte Lista de verificação: Utilizar o AD FS para implementar e gerir o início de sessão único na biblioteca de documentação do Active Directory. Este artigo descreve em detalhe os requisitos necessários, o planeamento e a implementação do processo, bem como a forma de verificar que o AD FS foi implementado e configurado corretamente.
Em alternativa, pode considerar a implementação de Sincronização de Palavras-passe, consoante as suas considerações de segurança. A Sincronização de Palavras-passe é uma funcionalidade da ferramenta de Sincronização do Microsoft Azure Active Directory que sincroniza as palavras-passe de utilizador a partir do Active Directory no local para o Microsoft Azure Active Directory. Pode implementar a Sincronização de Palavras-passe como parte da configuração da sincronização de diretórios. Para compreender as considerações de segurança e se esta é a decisão certa para a sua organização, consulte Implementar a Sincronização de Palavras-passe.
Aprovisionar utilizadores ao configurar a sincronização de diretórios.
No nó Utilizadores do portal de Conta do Windows Intune em https://account.manage.microsoft.com, clique em Sincronização do Active Directory: Configurar e siga os passos para Configurar e gerir a sincronização do Active Directory. Para obter mais informações, consulte Configurar a sincronização de diretórios na biblioteca de documentação do Active Directory. Pode instalar o DirSync em qualquer computador, desde que não seja um controlador de domínio.
Passos de verificação: Inicie sessão no portal de Conta do Windows Intune em https://account.manage.microsoft.com para ver as contas de utilizador.
Planear o seu servidor de sites primário autónomo.
Identifique um servidor que cumpra os pré-requisitos tanto de software como de hardware para alojar um site primário do Configuration Manager. Por predefinição, quando instala um site primário no Configuration Manager, as funções de sistema de site de ponto de gestão e de ponto de distribuição também são instaladas. Dado que vai apenas gerir dispositivos móveis para este cenário, o ponto de gestão e o ponto de distribuição não são utilizados. No entanto, a presença dos mesmos não afeta o desempenho do seu site. Por isso, recomendamos que deixe estas funções de sistema de site instaladas.
Para obter informações sobre dimensionamento de hardware para o site primário, consulte Planear as Configurações de Hardware para o Configuration Manager. Os detalhes fornecidos para um site primário autónomo dar-lhe-ão as noções básicas para executar um site primário que pode suportar o conector do Windows Intune e até 100 000 dispositivos móveis.
Para obter informações sobre o software necessário e sistemas operativos suportados para alojar um site do Configuration Manager, consulte Requisitos do Sistema de Sites. Reveja, especificamente, a secção aplicável aos pré-requisitos que se aplicam ao sistema operativo que utiliza para alojar o site primário autónomo. As funções de sistema de sites instaladas por predefinição são o servidor do site, servidor da base de dados, servidor do Fornecedor de SMS, ponto de gestão e ponto de distribuição.
Implementar um servidor do site primário autónomo.
Instale e configure um site primário autónomo do System Center 2012 R2 Configuration Manager, que lhe permitirá gerir dispositivos móveis. Para obter mais informações, consulte Instalar um Servidor do Site Primário.
Quando a instalação do site estiver concluída, confirme ou defina as configurações comuns que se seguem para sites primários do Configuration Manager:
Não configure limites de sites. Por predefinição, não são criados limites de site para um novo site. Os limites de site são utilizados por novos clientes do Configuration Manager para identificar um site para associar e para localizar conteúdo implementado por si. Para este cenário, nenhuma das atividades se aplica.
Configure e execute a Deteção de Utilizadores do Active Directory no seu domínio para detetar utilizadores para inscrição futura.
Certifique-se de que a opção Instalação Push do Cliente não está ativada. Esta opção só é utilizada quando estiver pronto para instalar o cliente do Configuration Manager em dispositivos Windows e não é utilizada para gerir dispositivos móveis.
Configure a subscrição do Windows Intune e instale a função de sistema de site do Conector do Windows Intune no servidor do site primário autónomo.
Antes de poder utilizar o Configuration Manager para gerir dispositivos móveis, tem de configurar a subscrição do Windows Intune e instalar a função de sistema de site do conector do Windows Intune no servidor do site primário autónomo. Para obter mais informações, consulte Como Gerir Dispositivos Móveis Através do Configuration Manager e Windows Intune.
Passos de verificação:
No computador do servidor do site primário, reveja o Sitecomp.log para verificar se a função de sistema de site do conector do Windows Intune foi instalada com êxito.
No computador onde instalar o conector do Windows Intune, analise o Cloudusersync.log para verificar se os utilizadores do seu domínio foram sincronizados com êxito com o Windows Intune. O ficheiro de registo confirma que os nomes UPN são coerentes entre o Microsoft Azure AD e o AD no local. Se existirem utilizadores que não conseguem ser sincronizados, este problema deve-se, muito provavelmente, a erros de correspondência de UPN.
No computador de servidor do site primário, reveja o Certmgr.log para confirmar se o computador onde instalou o conector do Windows Intune partilha o certificado do conector. O certificado é partilhado depois da conclusão da instalação da função de sistema de site do conector do Windows Intune.
No computador onde instalou o conector do Windows Intune, reveja o Dmpuploader.log para verificar se a função de sistema de site do conector pode carregar alterações de política e configuração para o serviço Windows Intune.
No computador onde instalou o conector do Windows Intune, reveja o Dmpdownloader.log para verificar se o conector do Windows Intune é capaz de transferir mensagens do Windows Intune. Este registo pode mostrar apenas um ping no início do processo de transferência e pode levar algum tempo para que as entradas relacionadas com as transferências sejam registadas.
Instalar a consola do System Center 2012 R2 Configuration Manager.
Por predefinição, quando instala um site primário, a consola do Configuration Manager é também instalada no computador do servidor do site primário. Depois da instalação do site, pode instalar consolas adicionais do System Center 2012 R2 Configuration Manager em mais computadores para gerir o site. A instalação de uma consola do Configuration Manager 2007 e do System Center 2012 R2 Configuration Manager no mesmo computador é suportada. A instalação lado a lado permite-lhe utilizar um único computador para gerir a infraestrutura existente do Configuration Manager 2007 e os dispositivos móveis que gere com o Windows Intune com o System Center 2012 R2 Configuration Manager. No entanto, não pode utilizar a consola de gestão a partir do System Center 2012 R2 Configuration Manager para gerir o seu site do Configuration Manager 2007 e vice-versa. Para obter mais informações, consulte Instalar uma Consola do Configuration Manager.
Inscrever dispositivos móveis.
Para obter mais informações sobre como inscrever dispositivos móveis, consulte Inscrição de Dispositivos Móveis.
Gerir dispositivos móveis.
Depois de instalar e de fazer as configurações básicas para o seu site primário autónomo, pode começar a configurar a gestão de dispositivos móveis. As ações que se seguem são configurações típicas que pode considerar:
Para aplicar a definição de compatibilidade a dispositivos móveis, consulte Definições de Compatibilidade para Dispositivos Móveis no Configuration Manager.
Para criar e implementar aplicações em dispositivos móveis, consulte Como Criar e Implementar Aplicações para Dispositivos Móveis no Configuration Manager.
Para configurar o Inventário de Hardware, consulte Como Configurar o Inventário de Hardware para Dispositivos Móveis Inscritos pelo Windows Intune e Configuration Manager.
Para configurar o Inventário de Software, consulte Introdução ao Inventário de Software no Configuration Manager.
Para apagar conteúdo de dispositivos móveis, consulte Apagar Conteúdo Empresarial de Dispositivos Móveis.
Migrar para o System Center 2012 R2 Configuration Manager.
Para obter informações sobre a migração para o System Center 2012 R2 Configuration Manager, consulte Migrar Hierarquias no System Center 2012 Configuration Manager.
Se for gerir mais de 100 000 dispositivos, precisará de expandir o seu site primário autónomo para uma hierarquia. Para obter mais informações, consulte Planear a Expansão de um Site Primário Autónomo.