计划迁移到 System Center 2012 R2 Configuration Manager 的 Configuration Manager 2007 客户的移动设备管理
本指南将如何帮助你? 本指南提供了一个经过测试的规范性设计,你可以使用该设计了解当你将现有 Configuration Manager 2007 层次结构和计划迁移到 System Center 2012 R2 配置管理器 时,我们建议用于为 iOS、Android、Windows Phone 8、Windows RT 和 Windows 8.1 设备启用移动设备管理的设计和实现步骤。
当计划迁移到 System Center 2012 R2 配置管理器 时,你需要允许在组织中管理设备的解决方案。本解决方案指南介绍了如何在 Configuration Manager 2007 旁边运行 System Center 2012 R2 配置管理器 独立主站点服务器,从而启用移动设备管理。
下图说明了本解决方案指南可处理的问题和方案。
Configuration Manager 和移动设备管理
.jpeg "使用 Configuration Manager 2007 进行设备管理")
本解决方案指南的内容:
方案、问题说明和目标
针对本解决方案推荐哪种设计?
实现本解决方案的主要步骤是什么?
方案、问题说明和目标
本部分介绍了你可能具有的方案、当前问题和目标。
方案
公司员工希望能够通过其个人设备访问公司数据的需求不断增长。你希望通过使员工能够灵活地在 Internet 上使用自己的设备从任何位置完成工作相关任务,来满足这种需求。
你的组织是一家由 5,000 多名自带个人设备工作的用户组成的大型企业。你的基础结构支持对本地用户以及通过使用 VPN 远程连接到公司网络的用户的计算机进行管理。当前,你使用 Configuration Manager 2007 管理这些计算机,并且不准备完全部署 System Center 2012 R2 配置管理器。
总而言之,你的组织当前使用的技术包括:
域和目录服务,具体来说,即 Active Directory。
电脑管理软件,具体来说,即 System Center Configuration Manager 2007。
加入到域中并由 Configuration Manager 2007 管理的电脑。
员工拥有的个人移动设备,以及未加入域的个人电脑。
问题说明
目前,你使用 Configuration Manager 2007 来管理组织中的设备,但此解决方案不管理 iOS、Android、Windows Phone 8、Windows RT 和个人拥有的 Windows 8.1 设备。但是,最新版本的 Configuration Manager 和 Windows Intune 提供了对这些设备的支持。因为你计划迁移到 System Center 2012 R2 Configuration Manager,因此希望将其用作移动设备管理解决方案以避免集成第三方解决方案的成本和工作。你希望将 System Center 2012 R2 配置管理器 实现为管理解决方案,即使你既不准备完全部署此版本,也不会从 Configuration Manager 2007 中迁移整个基础结构。
组织目标
你可以管理今天的移动设备,具体来说,即 Windows Phone 8、Windows RT、iOS、Android 和个人拥有的 Windows 8.1 设备。管理设备可能意味着安全性和符合性设置、收集软件和硬件清单,或者部署移动应用。
你可以借助通过 Internet 从移动设备中擦除公司数据的功能来保护公司数据。
你可以扩展到管理 100,000 台移动设备。
你需要一个熟悉并且易于学习的解决方案。
你可以实现一个与当前环境兼容并且可加以调整以供将来使用的解决方案。
针对本解决方案推荐哪种设计?
在使用 Configuration Manager 2007 管理本地设备的环境中,你希望能够同样管理移动设备。主要约束在于你不准备迁移到最新版本的 Configuration Manager,但却希望使用其移动设备管理功能。由于你计划迁移到最新版本的 Configuration Manager,因此你希望移动设备管理的过渡性解决方案在迁移后也有作用。
System Center 2012 R2 配置管理器 使用 Windows Intune 管理本地设备。通过 Configuration Manager 控制台,你可以像管理其他设备一样管理移动设备。与域中的计算机相比,移动设备的主要不同之处在于它们是通过 Internet 管理的。Configuration Manager 控制台与 Windows Intune 服务配合工作,该服务通过 Internet 进行对移动设备的实际管理。将 System Center 2012 R2 配置管理器 与 Windows Intune 结合使用来进行移动设备管理时,你可以:
借助安全设置以及从停用的设备中擦除公司数据的功能来保护你的公司数据。你可以使用符合性设置对移动设备用户强制执行安全策略。这些设置可能包括诸如密码、相机、系统等特性以及安全设置。你还可以运行报告来确定取得 root 权限的 Android 设备和经过修改的 iOS 设备。
通过符合性设置管理设备。符合性设置可以包括漫游、存储或设备设置中的任何内容。有关设置的完整列表,请参阅 Configuration Manager 中移动设备的符合性设置。
收集硬件和软件清单。你可以运行报告来查看描述注册的设备类型的硬件清单,以及可报告设备上所安装的应用的软件清单。
通过将应用旁加载到移动设备,或通过部署设备应用商店(例如 Windows 应用商店、Windows Phone 应用商店、App Store 和 Google Play)中可用应用的链接来管理应用。
使用公司门户创建一致的公司数据访问体验。公司门户是一个用户可在其中查看公司数据和安装应用的界面。
在本解决方案中,将通过 System Center 2012 R2 配置管理器 独立主站点和 Windows Intune 连接器来启用移动设备管理。Windows Intune 是一种云服务,因此,为了让用户能注册其设备,你需要将域用户帐户同步到 Windows Azure。这将允许你对哪些用户能够使用其移动设备访问公司资源进行管理。在用户能够使用其移动设备通过 Internet 访问公司资源后,你可以使用 Active Directory 联合身份验证服务 (AD FS) 来启用单一登录体验。
下图显示了 System Center 2012 R2 配置管理器 独立主站点服务器的组件如何与 Configuration Manager 2007 环境进行并排通信。该图中的 AD FS 部分是可选的。
System Center 2012 R2 配置管理器 独立主服务器与 Configuration Manager 2007 环境并排运行。
.jpeg "使用 Configuration Manager 进行移动设备管理")
下表列出了本解决方案设计中所包含的元素,并介绍了选择此设计的原因。
解决方案设计元素 |
为何将其包括在本解决方案中? |
|---|---|
System Center 2012 R2 配置管理器 |
通过使用 Windows Intune 服务来管理移动设备。 |
Windows Intune |
通过 Internet 管理移动设备。 |
Windows Azure Active Directory |
在云中设置用户。 |
目录同步 |
将本地 Active Directory 用户与 Windows Azure Active Directory 同步。 |
Active Directory 联合身份验证服务 (AD FS) |
启用单一登录体验。 |
System Center 2012 R2 配置管理器 和 Windows Intune 连接器
你将与 Configuration Manager 2007 并排运行 System Center 2012 R2 配置管理器。在你将整个 Configuration Manager 环境迁移到 System Center 2012 之前,System Center 2012 R2 配置管理器 站点将仅用于移动设备管理。由于可以在安装 System Center 2012 R2 配置管理器 控制台的同一计算机上安装 Configuration Manager 2007 控制台,因此你可以通过一台计算机管理设备。
在并排同时运行两个产品时,你必须采取一些预防措施来防止应由 Configuration Manager 2007 管理的设备发现 System Center 2012 R2 配置管理器 部署。例如,你应确保两个产品没有为站点分配配置包括相同网络位置的边界。这称为重叠边界。幸运的是,重叠边界可以轻松避免,因为它们不是默认配置的,并且你在使用 Windows Intune 时不需要为 System Center 2012 R2 配置管理器 配置任何边界也能实现移动设备管理。
你将在 System Center 2012 R2 配置管理器 站点上安装用于连接到 Windows Intune 服务的 Windows Intune 连接器站点系统角色。
Windows Azure Active Directory 和目录同步 (DirSync)
Windows Intune 使用 Windows Azure Active Directory 存储用户帐户。你需要将 Active Directory 用户同步到 Windows Azure Active Directory。目录同步适于用作本地环境和云之间的持续关系。激活目录同步之后,你可以在本地环境中编辑已同步的对象,这些编辑将与 Windows Intune 订阅同步。
用户身份验证的选项
使用用户帐户填充了 Windows Azure AD 之后,你可以选择通过几种方式来进行用户身份验证。可选择的方式包括 AD FS、密码同步,或者两种方式都不使用。
AD FS 提供了与 Active Directory 身份验证协议结合使用的真正单一登录体验。AD FS 是更安全的解决方案,因为它决不会与云服务 Windows Azure AD 共享密码信息。本地 Active Directory 和 AD FS 与 Windows Azure AD 身份平台交互,以提供对一个或多个 Microsoft 云服务的访问。设置单一登录时,你将在域和 Windows Azure AD 身份验证系统之间建立联合信任。这将允许用户无缝访问 Microsoft 云服务,而无需使用不同的凭据登录。
对于 AD FS,你将至少需要一个联合服务器或服务器场以及联合代理服务器。联合服务器对客户端进行身份验证,而联合服务器代理则提供一个安全层,并将来自公司网络外部的客户端身份验证请求重定向到联合服务器。作为 Windows Intune 客户,必须要将联合服务器代理部署到现有 AD FS 基础结构才能使移动设备用户通过 Internet 进行验证。
密码同步是一种轻型选项,它为用户提供了类似于单一登录的体验,并且非常易于部署。尽管密码同步不是一种真正的单一登录功能,但它是 DirSync 内一种允许 DirSync 将密码哈希存储在 Windows Azure AD 中的可选择选项。用户可通过为云服务和本地服务使用同一用户名和密码来对这两种服务进行身份验证。
如果你选择不实现 AD FS 或密码同步,用户将必须手动更新密码才能使密码同步或简单地记住多个密码,具体取决于用户是访问云还是本地服务。不建议使用这种方法,因为它需要额外的管理开销来管理初始和持续密码更改,并且会导致不太友好的用户体验。
公司门户
用户可以通过公司门户从一个位置轻松地访问其所有公司应用。你可以使用内部业务线应用程序以及指向公共应用程序应用商店(Microsoft Windows 应用商店、Windows Phone 应用商店、Apple App Store 和 Google Play)中可用应用的链接填充公司门户。用户可以从公司门户内管理其设备和执行各种操作,例如擦除丢失或更换的设备。
用户在其移动设备上通过公司门户注册。在注册过程中,移动设备将与针对注册对用户进行验证的联合代理通信。
迁移
在准备将 Configuration Manager 2007 基础结构迁移到 System Center 2012 R2 配置管理器 时,你可以使用现有独立主站点作为起始点。System Center 2012 R2 配置管理器 支持将数据和客户端从 Configuration Manager 2007 基础结构迁移到 System Center 2012 R2 配置管理器。然后,在数据和客户端已迁移后,你可以解除 Configuration Manager 2007 站点和基础结构授权。
当你的 Configuration Manager 2007 基础结构包括的设备多于你可以使用单一 System Center 2012 R2 配置管理器 独立主站点管理的设备时,可以使用该选项将独立主站点扩展为一个包括管理中心站点和其他主站点的更大层次结构。利用此选项,你可以继续使用当前主站点来管理移动设备,同时向层次结构中添加更多主站点,从而增加层次结构可支持的设备总容量。
实现本解决方案的主要步骤是什么?
你可以使用本部分中的步骤来实现解决方案。请确保验证每一步的部署是否正确,然后再继续下一步。
获取 Windows Intune 订阅。
你需要创建 Windows Intune 订阅,然后才能安装 Windows Intune 连接器。你可以在 Windows Intune 上注册帐户。
配置公共域。
若要使用 Windows Intune 服务,你还需要一个可通过诸如 GoDaddy 等服务验证的公共组织域名。在 https://account.manage.microsoft.com 上的 Windows Intune 帐户门户中的“域”节点下添加和验证公共域。
确保已添加公共域作为本地 Active Directory 中的备用 UPN 后缀。用户必须在云和本地 Active Directory 中具有相同的公共域用户主体名称 (UPN) 才能注册移动设备。在配置目录同步和 AD FS 之前,你必须验证用户是否具有公共域 UPN。如果跳过此步骤,结果可能是用户的云 UPN 后自动附加“onmicrosoft.com”,从而导致与本地 Active Directory 用户名不匹配。有关如何更改 UPN 的信息,请参阅 Active Directory 文档库中的添加用户主体名称后缀。
在 DNS 中添加一条可将“enterpriseenrollment.<publicdomain>”指向“manage.microsoft.com”的 CNAME 记录。稍后 CNAME 记录将用作注册过程的一部分。
验证步骤:
检查 Windows Intune 帐户门户的“域”页面,以确保公共域已列出并得到验证。
查看本地 Active Directory 中的用户帐户的属性,以确保列出的 UPN 带有公共域名。
对“enterpriseenrollment.<publicdomain>”执行 ping 操作,并确保它解析为 manage.microsoft.com 的 IP 地址。CNAME 记录用作注册过程的一部分。
配置用户身份验证。
你可以从 https://account.manage.microsoft.com 上的 Windows Intune 帐户门户中配置 AD FS。在该门户的“用户”节点中,单击“单一登录:”“设置”,然后按照“设置并管理单一登录”中的步骤进行操作。有关详细信息,请参阅 Active Directory 文档库中的清单:使用 AD FS 实现和管理单一登录,此文全面详述了所需的要求、规划和部署过程,以及如何验证 AD FS 已正确部署和配置。
或者,你可以考虑实现密码同步,具体取决于你的安全注意事项。密码同步是 Windows Azure Active Directory 同步工具中的一项功能,它可将用户密码从本地 Active Directory 同步到 Windows Azure Active Directory。你可以在配置目录同步的过程中实现密码同步。若要了解安全注意事项以及这是否是适用于你的组织的正确决策,请参阅实现密码同步。
通过配置目录同步来设置用户。
在 https://account.manage.microsoft.com 上的 Windows Intune 帐户门户的“用户”节点中,单击“Active Directory 同步:”“设置”,然后按照“设置并管理 Active Directory 同步”中概述的步骤进行操作。有关详细信息,请参阅 Active Directory 文档库中的配置目录同步。你可以在任何计算机上安装 DirSync,只要该计算机不是域控制器即可。
验证步骤:在 https://account.manage.microsoft.com 上的 Windows Intune 帐户门户中检查,以查看用户帐户。
规划你的独立主站点服务器。
标识同时满足软件和硬件先决条件的服务器以托管 Configuration Manager 主站点。默认情况下,当你为 Configuration Manager 安装主站点时,还会安装管理点和分发点站点系统角色。对于此方案,由于你将仅管理移动设备,因此不使用管理点和分发点。但是,它们的存在不会影响你的站点的性能。因此,我们建议仍然安装这些站点系统角色。
有关主站点的硬件大小调整的信息,请参阅规划 Configuration Manager 的硬件配置。针对独立主站点提供的详细信息将使你掌握运行可支持 Windows Intune 连接器和多达 100,000 台移动设备的主站点的基本知识。
有关托管 Configuration Manager 站点的所需软件和支持的操作系统的信息,请参阅站点系统要求。具体而言,请查看你用于托管独立主站点的操作系统的适用先决条件的相应部分。默认情况下安装的站点系统角色为站点服务器、数据库服务器、SMS 提供程序服务器、管理点以及分发点。
部署独立主站点服务器。
安装和配置将允许你管理移动设备的 System Center 2012 R2 配置管理器 独立主站点。有关信息,请参阅安装主站点服务器。
站点安装完成后,为 Configuration Manager 主站点确认或设置以下常用配置:
不要配置站点边界。默认情况下,不会为新站点创建站点边界。新 Configuration Manager 客户端使用站点边界来确定要加入的站点以及查找你部署的内容。对于此方案,任何一种活动都不适用。
在域上配置并运行 Active Directory 用户发现来发现用户以供将来注册。
确保未启用客户端请求安装。只有当你准备在 Windows 设备上安装 Configuration Manager 客户端时才会使用客户端请求安装,并且它不用于管理移动设备。
配置 Windows Intune 订阅,并在独立主站点服务器上安装 Windows Intune 连接器站点系统角色。
你必须配置 Windows Intune 订阅并在独立主站点服务器上安装 Windows Intune 连接器站点系统角色,然后才能使用 Configuration Manager 来管理移动设备。有关详细信息,请参阅如何使用 Configuration Manager 和 Windows Intune 管理移动设备。
验证步骤:
在主站点服务器计算机上,查看“Sitecomp.log”以验证 Windows Intune 连接器站点系统角色是否已成功安装。
在安装 Windows Intune 连接器的计算机上,查看“Cloudusersync.log”以验证你的域中的用户是否已成功同步到 Windows Intune。该日志文件将确认 UPN 名称在 Windows Azure AD 和本地 AD 之间一致。如果任何用户未能同步,则很可能是 UPN 不匹配导致的。
在主站点服务器计算机上,查看“Certmgr.log”以确认安装了 Windows Intune 连接器的计算机共享连接器证书。该证书在 Windows Intune 连接器站点系统角色的安装完成后共享。
在安装 Windows Intune 连接器的计算机上,查看“Dmpuploader.log”以验证连接器站点系统角色是否可以将策略和配置更改上载到 Windows Intune 服务。
在安装 Windows Intune 连接器的计算机上,查看“Dmpdownloader.log”以验证 Windows Intune 连接器是否能够从 Windows Intune 下载消息。此日志可能只在下载过程开始时显示一个 ping,并且可能要花费一段时间才能记录与下载相关的条目。
安装 System Center 2012 R2 配置管理器 控制台。
默认情况下,当你安装主站点时,Configuration Manager 控制台也会安装在主站点服务器计算机上。站点安装之后,你可以在其他计算机上安装其他 System Center 2012 R2 配置管理器 控制台来管理站点。支持在同一计算机上同时安装 Configuration Manager 2007 和 System Center 2012 R2 配置管理器 中的控制台。通过这种并排安装,只需使用一台计算机,你既能管理现有 Configuration Manager 2007 基础结构,又能将 Windows Intune 与 System Center 2012 R2 配置管理器 结合使用来管理移动设备。但是,你不能使用 System Center 2012 R2 配置管理器 中的管理控制台来管理 Configuration Manager 2007 站点,反之亦然。有关详细信息,请参阅安装 Configuration Manager 控制台。
注册移动设备。
有关如何注册移动设备的信息,请参阅移动设备注册。
管理移动设备。
安装独立主站点并对其进行基本配置后,你可以开始配置移动设备的管理。下面是你可以配置的典型操作:
若要将符合性设置应用于移动设备,请参阅 Configuration Manager 中移动设备的符合性设置。
若要创建应用程序并将其部署到移动设备,请参阅如何创建和部署 Configuration Manager 中移动设备的应用程序。
若要配置硬件清单,请参阅如何为 Windows Intune 和 Configuration Manager 注册的移动设备配置硬件清单。
若要配置软件清单,请参阅 Configuration Manager 中的软件清单简介。
若要从移动设备中擦除内容,请参阅从移动设备中擦除公司内容。
迁移到 System Center 2012 R2 配置管理器。
有关迁移到 System Center 2012 R2 Configuration Manager 的信息,请参阅在 System Center 2012 Configuration Manager 中迁移层次结构。
如果你将管理超过 100,000 台设备,则需要将独立主站点扩展为层次结构。有关详细信息,请参阅计划扩展独立主站点。