Mobil enhetshantering för Configuration Manager 2007-kunder som planerar att migrera till System Center 2012 R2 Configuration Manager
Hur kan den här guiden hjälpa dig? Den här guiden innehåller en normativ testad design som du kan använda för att förstå de design- och implementeringssteg som vi rekommenderar att du använder för att aktivera mobil enhetshantering för iOS-, Android-, Windows Phone 8-, Windows RT- och Windows 8,1-enheter när du har en befintlig Configuration Manager 2007-hierarki och planerar att migrera till System Center 2012 R2 Configuration Manager.
När du planerar att migrera till System Center 2012 R2 Configuration Manager behöver du en lösning som gör att du kan hantera enheter i din organisation. I denna lösningsguide beskrivs hur du kan köra en fristående primär System Center 2012 R2 Configuration Manager-platsserver tillsammans med din Configuration Manager 2007-miljö för hantering av mobila enheter.
Följande diagram illustrerar det problem och scenario som den här lösningsguiden tar upp.
Konfigurationshanteraren och hantering av mobila enheter
.jpeg "Hantering av enheter med Konfigurationshanteraren 2007")
I den här lösningsguiden:
Scenario, problembeskrivning och mål
Vad är den rekommenderade designen för denna lösning?
Vilka övergripande steg krävs för att implementera den här lösningen?
Scenario, problembeskrivning och mål
I det här avsnittet beskrivs scenariot, det aktuella problemet och de mål som du kanske har.
Scenario
Det finns ett växande behov hos företagets anställda av att få åtkomst till företagsdata från sina personliga enheter. Du vill tillmötesgå detta behov genom att ge de anställda flexibiliteten att kunna använda sina egna enheter från vilken plats som helst via internet, så att de kan utföra sina arbetsrelaterade uppgifter.
Din organisation är ett stort företag med fler än 5 000 användare som har med sig sina egna enheter till arbetsplatsen. Infrastrukturen stöder hantering av datorer för lokala användare och användare som är fjärransluta till företagsnätverket via VPN. CFör närvarande kan du hantera dessa datorer med hjälp av Configuration Manager 2007, men är inte redo att göra en fullständig distribution av System Center 2012 R2 Configuration Manager.
Den teknik som för närvarande används av din organisation är med andra ord följande:
En domän- och katalogtjänst, mer specifikt Active Directory.
Program för datorhantering, mer specifikt System Center Configuration Manager 2007.
Datorer som är anslutna till domänen och hanteras av Configuration Manager 2007
Egna mobila enheter som ägs av de anställda, liksom egna datorer som inte är anslutna till domänen.
Problembeskrivning
Du använder idag Configuration Manager 2007 Du använder idag sccmshortname för att hantera enheter i din organisation, men denna lösning hanterar inte iOS-, Android-, Windows Phone 8, Windows RT- eller egna Windows 8,1-enheter. Den senaste versionen av Konfigurationshanteraren och Windows Intune tillhandahåller dock support för dessa enheter. Eftersom du planerar att migrera till System Center 2012 R2 Configuration Manager vill du använda den som din lösning för hantering av mobila enheter, och därigenom undvika de kostnader och det merarbete som integreringen av en tredjepartslösning innebär. Du vill kanske implementera System Center 2012 R2 Configuration Manager som en hanteringslösning även om du varken är redo att helt ut distribuera den här versionen eller migrera hela din infrastruktur från Configuration Manager 2007.
Organisationsmål
Du kan hantera dagens mobila enheter, i synnerhet Windows Phone 8-, Windows RT-, iOS-, Android- och egna Windows 8.1-enheter. Att hantera enheter kan omfatta hantering av inställningar för säkerhet och efterlevnad, inventering av program- och maskinvara eller distribution av programvara.
Du kan skydda företagsdata genom att rensa företagsdata från mobila enheter via internet.
Du kan hantera upp till 100 000 mobila enheter.
Du vill ha en lösning som du är bekant med och som kräver minsta möjliga inlärningskurva.
Du kan implementera en lösning som är kompatibel med din nuvarande miljö och som kan anpassas för framtida bruk.
Vad är den rekommenderade designen för denna lösning?
I en miljö där du hanterar lokala enheter med Configuration Manager 2007 vill du även kunna hantera mobila enheter. Den huvudsakliga begränsningen är att du inte är redo att migrera till den senaste versionen av Konfigurationshanteraren, men du vill kunna använda dess hanteringsfunktioner för mobila enheter. Eftersom du planerar att migrera till den senaste versionen av Konfigurationshanteraren bör du uppskatta den tillfälliga lösningen för hantering av mobila enheter efter migreringen.
System Center 2012 R2 Configuration Manager fungerar med Windows Intune vid hantering av mobila enheter. Genom Konfigurationshanteraren-konsolen kan du hantera mobila enheter ungefär på samma sätt som du skulle hantera andra enheter. Den största skillnaden när det gäller mobila enheter jämfört med datorer i din domän är att de hanteras via internet. Konfigurationshanteraren-konsolens gränssnitt gentemot Windows Intune-tjänsten, som utför den faktiskaa hanteringen av mobila enheter via internet. När du använder System Center 2012 R2 Configuration Manager med Windows Intune för hantering av mobila enheter kan du:
Skydda dina företagsdata med säkerhetsinställningar och möjlighet att rensa bort företagsdata från tillbakadragna enheter. Du kan använda kompatibilitetsinställningarna för att påtvinga mobilenhetsanvändarna en säkerhetsprincip. Dessa inställningar kan omfatta attribut som lösenords-, kamera-, system- eller säkerhetsinställningar. Du kan också köra rapporter för att identifiera rotade Android-enheter och ändrade iOS-enheter.
Hantera enheter via kompatibilitetsinställningar. Överensstämmelseinställningarna kan omfatta allt från roaming, lagring och enhetsinställningar. En fullständig lista över inställningarna finns i Kompatibilitetsinställningar för mobila enheter i Konfigurationshanteraren.
Inventering av maskin- och programvara Du kan köra rapporter som tar fram maskinvaruinventeringar som beskriver vilka typer av enheter som har registrerats och programvruinventeringar som rapporterar vilka program som har installerats på enheterna.
Hantera appar antingen genom att läsa in appar separat till mobila enheter eller genom att distribuera länkar till program som är tillgängliga i butiker som Windows Store, Windows Phone Store, App Store och Google Play.
Skapa en konsekvent upplevelse för åtkomst till företagsdata med hjälp av företagsportalen. Företagsportalen är ett gränssnitt där användare kan visa företagsdata och installera appar.
I den här lösningen aktiveras hanteringen av mobila enheter av en fristående primär System Center 2012 R2 Configuration Manager-plats och en Windows Intune-anslutning. Windows Intune är en molntjänst, så om du vill att användarna ska kunna registrera sina enheter måste du synkronisera dina domänanvändarkonton med Windows Azure. Detta gör att du kan reglera vilka användare som ges åtkomst till företagets resurser med sina mobila enheter. När användarna väl kan komma åt företagsresurserna via internet med sina mobila enheter kan du använda Active Directory Federation Service (AD FS) för att aktivera enkel inloggning.
Följande diagram visar hur komponenterna i en fristående primär System Center 2012 R2 Configuration Manager-platsserver kommunicerar sida vid sida med en Configuration Manager 2007-miljö. AD FS-delen av diagrammet är valfri.
Den fristående primära System Center 2012 R2 Configuration Manager-servern körs sida-vid-sida med en Configuration Manager 2007-miljö.
.jpeg "Hantering av mobila enheter med Konfigurationshanteraren")
Följande tabell visar element som är en del av denna lösningsdesign och beskriver anledningen till designvalet.
Element för designlösning |
Varför ingår det i den här lösningen? |
|---|---|
System Center 2012 R2 Configuration Manager |
Hanterar mobila enheter med hjälp av Windows Intune-tjänsten. |
Windows Intune |
Hanterar mobila enheter över internet. |
Windows Azure Active Directory |
Användare av bestämmelserna i molnet. |
Katalogsynkronisering |
Synkroniserar lokala Active Directory-användare med Windows Azure Active Directory. |
Active Directory Federation Services (AD FS) |
Gör en enda inloggningsprocess. |
System Center 2012 R2 Configuration Manager och Windows Intune Connector
Du kommer att köra System Center 2012 R2 Configuration Manager sida vid sida med Configuration Manager 2007. System Center 2012 R2 Configuration Manager-webbplatsen kommer bara att användas för hantering av mobila enheter tills du migrerar hela Configuration Manager-miljön till System Center 2012. Eftersom du kan installera System Center 2012 R2 Configuration Manager-konsolen på samma dator där du installerar en Configuration Manager 2007-konsolen, kan du hantera enheter från enda dator.
När du kör båda produkterna sida-vid-sida måste du vidta vissa försiktighetsåtgärder för att förhindra att enheter som skulle hanteras av Configuration Manager 2007 upptäcker din System Center 2012 R2 Configuration Manager-distribution. Du bör t.ex.kontrollera att de två produkterna inte konfigurerar gränser för platstilldelning där dessa gränser inkluderar samma nätverksplatser. Detta kallas för överlappande gränser. Överlappande gränser är som tur är lätta att undvika eftersom de inte konfigureras som standard och eftersom du inte behöver konfigurera några gränser för System Center 2012 R2 Configuration Manager för att aktivera hantering av mobila enheter när du använder Windows Intune.
Du kommer att installera en Windows Intune Connector-platssystemsroll för den System Center 2012 R2 Configuration Manager-plats som ansluter dig till Windows Intune-tjänsten.
Windows Azure Active Directory och katalogsynkronisering (DirSync)
Windows Intune använder Windows Azure Active Directory för att lagra användarkonton. Du måste synkronisera dina Active Directory-användare med Windows Azure Active Directory. Katalogsynkronisering är avsett som en pågående relation mellan din lokala miljö och molnet. När du har aktiverat katalogsynkronisering kan du redigera synkroniserade objekt i lokal miljö och dessa ändringar synkroniseras med din Windows Intune-prenumeration.
Alternativ för användarautentisering
När du väl har fyllt Windows Azure AD med dina användarkonton kan du välja mellan olika alternativ för hur du ska autentisera användarna. Alternativen är AD FS, lösenordssynkronisering eller ingetdera.
AD FS tillhandahåller enkel inloggning tillsammans med Active Directory-autentiseringsprotokoll. AD FS är den säkrare lösningen eftersom den aldrig delar lösenordsinformation med molntjänsten, Windows Azure AD. Din lokala Active Directory-katalog och AD FS interagerar med Windows Azure AD-identitetsplattformen för att få tillgång till en eller flera av Microsofts molntjänster. När du konfigurerar enkel inloggning upprättar du ett federerat förtroende mellan din domän och Windows Azure AD-autentiseringssystemet. På så vis kan användarna få sömlös åtkomst till Microsofts molntjänster utan att behöva logga in med olika behörigheter.
Med AD FS behöver du minst en federationsserver eller ett serverkluster och en federationsproxyserver. Federationsservern verifierar klienter, medan federationsserverproxyn tillhandahåller ett säkerhetslager och omdirigerar klientautentiseringsförfrågningar vars ursprung ligger utanför företagsnätverket till dina federationsservrar. Att som Windows Intune-kund distribuera en federationsserverproxy till din befintliga AD FS-infrastruktur är nödvändigt för att du ska kunna göra det möjligt för användare av mobila enheter att autentisera sig från internet.
Lösenordssynkronisering är ett enkelt alternativ som ger användarna en upplevelse som påminner om enkel inloggning och som är mycket enkelt att distribuera. Även om lösenordssynkronisering inte är en genuin funktion för enkel inloggning, så är det ett valbart alternativ inom DirSync som låter DirSync lagra en hash av lösenordet i Windows Azure AD. Användare kan autentisera sig för molntjänster och lokala tjänster med samma användarnamn och lösenord.
Om du väljer att inte implementera AD FS eller lösenordssynkronisering måste användarna antingen uppdatera sina lösenord manuellt för att hålla dem synkroniserade eller också hålla reda på flera lösenord, beroende på om de vill ha åtskomst till molntjänster eller lokala tjänster. Den här metoden är inte att rekommendera, eftersom den kräver administrativa merkostnader för hantereringen av initiala lösenord och fortlöpande lösenordsändringar, vilket ger ett mindre användarvänligt resultat.
Företagsportal
Företagsportalen erbjuder ett enkelt sätt för användarna att få åtkomst till alla sina företagsappar från ett och samma ställe. Du kan fylla företagsportalen med såväl interna affärsapplikationer som länkar till tillgängliga appar i offentliga butiker (Microsoft Windows Store, Windows Phone Store, Apple App Store och Google Play). Inifrån företagsportalen kan användare hantera sina enheter och utföra olika åtgärder, som att radera en förlorad eller utbytt enhet.
Användarna registrerar sig via företagsportalen på sina mobila enheter. Under registreringen kommunicerar den mobila enheten med federationsproxyn som autentiserar användaren för registreringen.
Migrering
När du är redo att migrera din Configuration Manager 2007-infrastruktur till System Center 2012 R2 Configuration Manager kan du använda befintliga fristående primära platser som utgångspunkt. System Center 2012 R2 Configuration Manager stöder migrering av data och klienter från din Configuration Manager 2007-infrastruktur till System Center 2012 R2 Configuration Manager. När du sedan har migrerat dina data och klienter kan du inaktivera dina Configuration Manager 2007-platser och din infrastruktur.
När din Configuration Manager 2007-infrastruktur omfattar fler enheter än du kan hantera med en enda fristående primär System Center 2012 R2 Configuration Manager-plats kan du välja alternativet att expandera denna fristående primära webbplats till en större hierarki som omtfattar en central administrationswebbplats och ytterligare primära platser. Med det här alternativet kan du bevara din aktuella primära plats om du vill hantera dina mobila enheter, samtidigt som du lägger till flera primära platser i hierarkin, vilket ökar den totala kapaciteten för hur många enheter som hierarkin kan stödja.
Vilka övergripande steg krävs för att implementera den här lösningen?
Implementera lösningen genom att följa stegen i det här avsnittet. Kontrollera att varje steg genomförs korrekt innan du fortsätter till nästa steg.
Skaffa en Windows Intune-prenumeration.
Innan du kan installera Windows Intune Connector måste du skapa en Windows Intune-prenumeration. Du kan registrera dig för ett konto på Windows Intune.
Konfigurera din offentliga domän.
Om du vill använda tjänsten Windows Intune behöver du också ett offentligt organisationsdomännamn som kan verifieras genom en registreringstjänst för domännamn, som GoDaddy. Lägg till och verifiera din offentliga domän på Windows Intune-kontoportalen på https://account.manage.microsoft.com under noden Domäner.
Se till att den offentliga domänen har lagts till som ett alternativt UPN-suffix i den lokala Active Directory-katalogen. Användarna måste ha samma User Principal Name (UPN) för den offentliga domänen i molnet och den lokala Active Directory-katalogen för att kunna registrera mobila enheter. Du måste verifiera att användarna har ett UPN för den offentliga domänen innan du konfigurerar katalogsynkronisering och AD FS. Om du hoppar över det här steget kan det sluta med att användarna automatiskt får tillägget "onmicrosoft.com" lagt till i sina moln-UPN, vilket leder till felaktig matchning med deras lokala Active Directory-användarnamn. Information om hur du ändrar UPN finns i Lägga till UPN-suffix i Active Directory-dokumentationsbiblioteket.
Lägga till en CNAME-post i DNS som dirigerar enterpriseenrollment.<publicdomain> till manage.microsoft.com. CNAME-posten används senare som en del av registreringsprocessen.
Verifieringssteg:
Kontrollera sidan Domäner på Windows Intune-kontoportalen och kontrollera att den offentliga domänen är listad och verifierad.
Kontrollera egenskaperna för ett användarkonto i din lokala Active Directory-katalog för att se att UPN-namnet har listats med det offentliga domännamnet.
Pinga enterpriseenrollment.<publicdomain> och säkerställ att det matchar IP-adressen för manage.microsoft.com. CNAME-posten används som en del av registreringsprocessen.
Konfigurera användarautentisering
Du kan konfigurera AD FS från Windows Intune-kontoportalen på https://account.manage.microsoft.com. Gå till portalens nodAnvändare och klicka på Enkel inloggning:Konfigurera, och följ sedan de steg som beskrivs i Konfigurera och hantera enkel inloggning. Mer information finns i Checklista:Använda AD FS för att implementera och hantera enkel inloggning i Active Directory-dokumentatonsbiblioteket. I den här artikeln ges utförlig information om de krav som ställs, om planerings- och distributionsprocessen och om hur du verifierar att AD FS har distribuerats och konfigurerats korrekt.
Du kan också överväga att implementera lösenordssynkronisering beroende på dina säkerhetsöverväganden. Lösenordssynkronisering är en funktion som ingår i verktyget Active Directory-synkronisering i Windows Azure, och som synkroniserar lösenord från din lokala Active Directory-katalog till Windows Azure-Active Directory. Du kan implementera lösenordssynkronisering som en del av katalogsynkroniseringskonfigurationen. Att förstå säkerhetsaspekter och se om detta är rätt beslut för din organisation, implementera Lösenordssynkronisering.
Etablera användare genom att konfigurera katalogsynkronisering.
I noden Användare i Windows Intune-kontoportalen på https://account.manage.microsoft.com klickar du på Active Directory-synkronisering:Konfigurera, och följer sedan de steg som beskrivs i Konfigurera och hantera Active Directory-synkronisering. Mer information finns i Konfigurera katalogsynkronisering i Active Directory-dokumentationsbiblioteket. Du kan installera DirSync på vilken dator som helst så länge det inte är en domänkontrollant.
Verifieringssteg: Gå till Windows Intune-kontoportalen på https://account.manage.microsoft.com och visa användarkonton.
Planera din fristående primära platsserver.
Identifiera en server som uppfyller både program- och maskinvarukraven för att kunna vara värd för en primär Configuration Manager-plats. När du installerar en primär plats för Configuration Manager installeras som standard även hanterings- och distributionsplatsystemsrollerna. Eftersom du bara ska hantera mobila enheter i det här scenariot används inte hanterings- och distributionspunkterna. Deras närvaro påverkar dock inte platsens prestanda. Vi rekommenderar därför att du låter dessa platssystemsroller installeras.
Information om maskinvarustorlek för den primära platsen finns i Planera för maskinvarukonfigurationer för Konfigurationshanteraren. Den tillhandahållna informationen för en fristående primära plats ger dig grunderna för hur du kör en primär plats som kan stödja Windows Intune Connector och upp till 100 000 mobila enheter.
Mer information om programvarukrav och vilka operativsystem som stöds för att vara värd för en Configuration Manager-webbplats finns i Webbplatskrav. Läs särskilt avsnittet om vilka krav som gäller för det operativsystem som du använder som värd för den den fristående primära platsen. De platssystemsroller som installerats som standard är platsservern, databasservern, SMS-providerservern, hanteringsplatsen och distributionsplatsen.
Distribuera en fristående primär platsserver.
Installera och konfigurera en fristående primär System Center 2012 R2 Configuration Manager-plats med vilken du kan hantera mobila enheter. Mer information finns på Installera en primär platsserver.
Efter det att du har slutfört platsinstallationen är klar bekräftar eller anger du följande vanliga konfigurationer för primära Configuration Manager-platser:
Konfigurera inte platsgränser. Några platsgränser skapas inte som standard för en ny plats. Platsgränser används av nya Configuration Manager-klienter när de vill kunna identifiera en plats att ansluta till och titta på det innehåll du distribuerar. I det här scenariot gäller inte någon av aktiviteterna.
Konfigurera och kör Active Directory User Discovery på din domän så att du kan upptäcka användare för framtida registrering.
Kontrollera att Push-installation av klient inte har aktiverats. Detta alternativ används bara när du är redo att installera Configuration Manager-klienten på Windows-enheter och inte är van vid att hantera mobila enheter.
Konfigurera Windows Intune-prenumerationen och installera Windows Intune Connector-platssystemsrollen på din fristående primära platsserver.
Innan du kan använda Configuration Manager för att hantera mobila enheter måste du konfigurera din Windows Intune-prenumeration och installera Windows Intune Connector-platssystemsrollen på den fristående primära platsservern. Mer information finns i Hur man hanterar mobila enheter med hjälp av Konfigurationshanteraren och Windows Intune.
Verifieringssteg:
På den primära webbplatsservern granskar du Sitecomp.log för att kontrollera att Windows Intune Connector-webbplatssystemsrollen har installerats.
På den dator där du installerar Windows Intune Connector granskar du Cloudusersync.log för att kontrollera att användare från din domän har synkroniserats med Windows Intune. Loggfilen bekräftar att UPN-namnen överensstämmer mellan Windows Azure AD och den lokala AD-katalogen. Om några användare inte kan synkronisera beror detta sannolikt på UPN-felmatchningar.
På den primära platsservern granskar du Certmgr.log för att bekräfta att den dator där du har installerat Windows Intune Connector delar anslutningscertifikatet. Certifikatet delas efter det att Windows Intune Connector-webbplatssystemsrollen har installerats.
På den dator där du installerar Windows Intune Connector granskar du Dmpuploader.log för att kontrollera att Connector-platssystemsrollen kan överföra princip och konfigurationsändringar till Windows Intune-tjänsten.
På den dator där du installerar Windows Intune Connector granskar du Dmpdownloader.log för att kontrollera att Windows Intune Connector kan hämta meddelanden från Windows Intune. Den här loggen visar kanske bara en ping i början av hämtningen och det kan ta lite tid innan poster som relaterar till nedladdningen loggas.
Installera System Center 2012 R2 Configuration Manager-konsolen.
När du installerar en primär plats installeras också Configuration Manager-konsolen som standard på den primära platsservern. När platsen har installerats kan du installera ytterligare System Center 2012 R2 Configuration Manager-konsoler på datorer för att hantera platsen. Installation av en konsol från både Configuration Manager 2007 och System Center 2012 R2 Configuration Manager på samma dator stöds. Med denna sida vid sida-installation kan du använda en enda dator för att hantera både din befintliga Configuration Manager 2007-infrastruktur och de mobila enheter som du hanterar med Windows Intune med System Center 2012 R2 Configuration Manager. Du kan dock inte använda hanteringskonsolen från System Center 2012 R2 Configuration Manager för att hantera dina Configuration Manager 2007-platser, och vice versa. Mer information finns i Installera en Configuration Manager-konsol.
Registrera mobila enheter.
Mer information om hur du registrerar mobila enheter finns i Registrering av mobila enheter.
Hantera mobila enheter.
Efter installation och grundläggande konfigurationer för fristående primära platsen kan du börja konfigurera hantering av mobila enheter. Här följer några vanliga åtgärder som du kan konfigurera:
Information om hur du tillämpar kompatibilitetsinställningarna på mobila enheter finns i Kompatibilitetsinställningar för mobila enheter i Configuration Manager.
Information om hur du skapar och distribuerar program till mobila enheter finns i Hur du skapar och distribuerar program för mobila enheter i Configuration Manager.
Information om hur du konfigurerar Maskinvaruinventering finns i Hur du konfigurerar Maskinvaruinventering för mobila enheter registrerade av Windows Intune och Configuration Manager.
Information om hur du konfigurerar Programvaruinventering finns i Introduktion till Programvaruinventering i Configuration Manager.
Information om hur du raderar innehåll från mobila enheter finns i Radera företagsinnehåll från mobila enheter.
Migrera till System Center 2012 R2 Configuration Manager.
Mer information om hur du migrerar till System Center 2012 R2 Configuration Manager finns i Migrera hierarkier i System Center 2012 Configuration Manager.
Om du vill hantera mer än 100 000 enheter måste du expandera din primära fristående plats till en hierarki. Mer information finns i planerar att expandera en primär plats för fristående.