Možnosti efektivní správy mobilních zařízení a počítačů v hybridním prostředí

Platí pro: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

Komu je tato příručka určená?: Společnosti, které potřebují spravovat mobilní zařízení a počítače nacházející se v místě nebo vzdálené s využitím stávající Configuration Manager infrastruktury pro podporu poptávky zaměstnanců na využívání těchto zařízení k přístupu k podnikovým prostředkům.

V čem vám může tento průvodce pomoct? Tento průvodce nabízí doporučený, otestovaný návrh, který vysvětluje, jak:

  • Upgradovat stávající místní infrastrukturu Configuration Manager a rozšířit ji do cloudu a umožnit tak uživatelům pracovat vzdáleně ze zařízení podle svého výběru.

  • Sjednotit správu počítačů a mobilních zařízení do jediné infrastruktury.

  • Udržovat podnikovou kompatibilitu pro všechna zařízení.

  • Chránit firemní data.

V tomto řešení:

  • Scénář, formulace problému a cíle

    • Situace

    • Stanovení problému

    • Cíle společnosti

  • Jaký je doporučený návrh tohoto řešení?

    • Instalace System Center 2012 R2 Configuration Manager a migrace objektů

    • Přihlásit do Windows Intune

    • Správa identity a přístupu k Microsoft Azure AD a synchronizace adresářů

    • Poskytování zabezpečeného snadného přístupu pro uživatele se synchronizací hesla

    • Plánování upgradu platformy v několika fázích

  • Postup implementace

Následující diagram znázorňuje problém, který tato příručka řeší.

Přehled problému

 

Graf 1: Přehled problému.

Scénář, formulace problému a cíle

Tato část popisuje scénář, problém a cíle ukázkové společnosti.

Situace

Toto řešení používá ukázkovou společnost s více než 5 000 zaměstnanci, kteří přináší svá osobní zařízení Windows Phone 8, Windows RT, iOS a zařízení se systémem Android do práce. V současné době nemají žádný způsob, jak využívat zdroje společnosti z těchto zařízení.

Společnost používá Microsoft System Center Configuration Manager 2007 SP2 ke správě počítačů pro uživatele, kteří se nachází v prostorách společnosti a kteří se vzdáleně připojují k podnikové síti pomocí sítě VPN. Společnost nemůže spravovat mobilní zařízení.

Infrastruktura prostředí společnosti obsahuje:

  • Windows Server 2008 R2

  • Windows Server 2008 R2 Active Directory

  • Configuration Manager 2007 SP2

  • Počítače, které jsou připojené k doméně a jsou spravované Configuration Manager

Následující graf znázorňuje aktuální prostředí pro společnost.

Přehled prostředí společnosti

Graf 2: Přehled aktuálního prostředí

Stanovení problému

Aktuální infrastruktura správy zařízení nepodporuje rostoucí potřeby ukázkové společnosti:

  • V aktuálním prostředí spravují osobní počítače, ale nemohou spravovat mobilní zařízení.

  • Některým zaměstnancům poskytují mobilní zařízení společnosti. Ostatní zaměstnanci chtějí při práci používat své osobní zařízení.

Společnost má také obavy týkající se prostředků nutných ke správě všech těchto zařízení. Je nákladné podporovat mnoho počítačů, zařízení a aplikací a správa zařízení může vytížit IT oddělení 24 hodin denně, 7 dní v týdnu.

Společnost potřebuje spravovat riziko a ujistit se, že všechna zařízení, včetně podnikových a osobních, budou v souladu s pokyny pro zabezpečení.

  • Správa zařízení je bezpečnostní riziko pro podniková aktiva a informace. Jakmile zaměstnanci pracují na zařízení, které IT oddělení nespravuje (nebo dokonce o něm neví), začíná být velmi obtížné zachovat kontrolu nad citlivými podnikovými informacemi.

  • IT oddělení nemůže provádět žádné akce, pokud se zařízení prodá, ztratí nebo ho někdo ukradne.

Cíle společnosti

Ukázková společnost hledá řešení, které jí umožní provádět následující kroky:

  • Používat stávající infrastrukturu Configuration Manager. IT oddělení investovalo mnoho prostředků do aktuální infrastruktury a nechce začínat od začátku.

  • Umožnit zaměstnancům používat osobní zařízení a také podniková zařízení pro přístup k podnikovým aplikacím a datům. To zahrnuje osobní počítače a mobilní zařízení.

  • Spravovat počítače a osobní zařízení z jedné konzoly správce. Správa zařízení zahrnuje nastavení zabezpečení a kompatibility, vytváření inventáře hardwaru a softwaru nebo nasazování softwaru.

  • Nasazovat aplikace nebo webové odkazy podle typu zařízení a podle toho, jestli je zařízení osobní nebo ve vlastnictví společnosti.

  • Chránit společnost vymazáním firemních dat uložených v mobilním zařízení, pokud dojde k jeho ztrátě, odcizení nebo vyřazení.

Jaký je doporučený návrh tohoto řešení?

K vyřešení obchodního problému a splnění cílů společnosti musí společnost:

  • Nainstalovat novou samostatnou primární lokalitu System Center 2012 R2 Configuration Manager do své centrály a nainstalovat distribuční body na vzdálených místech.

  • Migrovat objekty a distribuční body ze své stávající infrastruktury Configuration Manager 2007 SP2 na System Center 2012 R2 Configuration Manager.

  • Přihlásit se do Windows Intune a nakonfigurovat konektor Windows Intune v Configuration Manager k integraci s Windows Intune.

  • Synchronizovat své doménové uživatelské účty Microsoft Azure, jelikož Windows Intune je cloudová služba. To jim umožní spravovat uživatele, kteří získají přístup k prostředkům společnosti ze svých mobilních zařízení.

  • Pokud chcete uživatelům povolit používání uživatelského jména a hesla místní domény pro cloudové služby, použijte synchronizaci hesla.

Následující graf ukazuje, jak spolu vzájemně prvky tohoto řešení komunikují.

Přehled řešení společnosti

Graf 3: Přehled řešení

 

Prvek návrhu řešení Proč je součástí řešení?

System Center 2012 R2 Configuration Manager

Poskytuje zabezpečené a škálovatelné nasazení softwaru, správu nastavení pravidel a komplexní správu prostředků serverů, stolních počítačů, přenosných počítačů a mobilních zařízení (v případě integrace Windows Intune).

Windows Intune

Slouží ke správě mobilních zařízení prostřednictvím Internetu. V případě integrace s System Center 2012 R2 Configuration Manager můžete spravovat počítače a mobilní zařízení z konzoly Configuration Manager.

Microsoft Azure Active Directory (AD)

Služba, která poskytuje identitu a možnosti přístupu k místním a cloudovým aplikacím.

Synchronizace adresářů Microsoft Azure (DirSync)

Synchronizuje místní uživatele AD s Microsoft Azure AD.

Synchronizace hesla

Umožňuje uživatelům používat stejné uživatelské jméno a heslo pro místní a cloudové služby.

Instalace System Center 2012 R2 Configuration Manager a migrace objektů

System Center 2012 R2 Configuration Manager dokáže rozšířit možnost společnosti pro správu místních počítačů v cloudu díky integraci funkcí Windows Intune. A použitím Configuration Manager s Windows Intune dokáže společnost spravovat své místní počítače a mobilní zařízení z jediné konzoly. Chtějí také snížit režii IT oddělení.

Takže společnost nainstaluje samostatnou primární lokalitu System Center 2012 R2 Configuration Manager ve svém sídle a distribuční body na vzdálených místech.

Pak bude migrovat objekty ze svého prostředí Configuration Manager 2007 SP2 do System Center 2012 R2 Configuration Manager.

Společnost se rozhodla pro migraci z následujících důvodů:

  • Integrované řešení: Společnost chce integrované řešení, které ji umožňuje spravovat jak počítače, tak i mobilní zařízení z jedné konzoly. System Center 2012 R2 Configuration Manager s Windows Intune poskytuje integrované řešení.

  • Zjednodušená hierarchie: S System Center 2012 R2 Configuration Manager splečnost zjistila, že už nepotřebuje sekundární lokalitu v každém vzdáleném umístění, jak uvádí následující grafy.

    Existující hierarchie, Configuration Manager 2007  

    • Graf 3: Existující hierarchie, Configuration Manager 2007_  

    Nová hierarchie, System Center 2012 R2 Configuration Manager  

    • Graf 4: Nová hierarchie, System Center 2012 R2 Configuration Manager_
       

    Klíčové faktory pro zjednodušenou hierarchii:

    • Správa založená na rolích: V System Center 2012 R2 Configuration Manager umožňuje společnosti správa založená na rolích navrhování a implementaci zabezpečení správy pro hierarchii System Center 2012 R2 Configuration Manager pomocí některé nebo všech z následujících akcí:

      • Role zabezpečení

      • Kolekce

      • Obory zabezpečení

      Tato nastavení se kombinují a definují rozsah správy pro uživatele s oprávněním správce. Obor správy řídí objekty, které uživatel s oprávněními správce může zobrazit v konzole Configuration Manager, a oprávnění, která tento uživatel má pro tyto objekty. Viz téma Plánování pro správu založenou na rolích.

    • Správa obsahu: V System Center 2012 R2 Configuration Manager může společnost nakonfigurovat šířku pásma sítě použitou k přenosu obsahu do distribučních bodů a přednastavit obsah distribučních bodů na vzdálených místech. Viz téma Důležité informace týkající se šířky pásma sítě pro distribuční body.

  • Migrované objekty: Společnost můžete použít nástroje pro migraci k migraci objektů z Configuration Manager 2007 SP2 do hierarchie System Center 2012 R2 Configuration Manager. IT oddělení společnosti investovalo významné množství času na vytvoření objektů Configuration Manager, například kolekcí, sekvencí úloh, položek konfigurace a tak dále. Pomocí migrace budou nadále moct využívat tyto investice.

  • Nejnovější funkce: Společnost má také zájem o nové funkce v System Center 2012 R2 Configuration Manager, které přímo nesouvisí s tímto řešením. Viz téma Co je nového v System Center 2012 R2 Configuration Manager.

Přihlásit do Windows Intune

Windows Intune poskytuje cloudovou správu mobilních zařízení. Společnost se zaregistruje k odběru Windows Intune a potom integruje Windows Intune do System Center 2012 R2 Configuration Manager ke správě počítačů a mobilních zařízení z konzoly Configuration Manager.

Registrace k odběru Windows Intune podporuje cíl společnosti pro integrované řešení ke správě počítačů a mobilních zařízení.

Společnost zvažovala řešení správy mobilních zařízení třetích stran. Žádné z těchto řešení neposkytuje integrované možnosti, které společnost chce. Stejně tak nechce přejít na jiné produkty, protože to s sebou nese náklady na školení a implementaci.

Další výhodou je, že společnost může používat uživatelské účty z odběru Windows Intune, když se přihlásí k odběru Microsoft Office 365 o několik měsíců později.

Tip

Pokud vaše společnost už používá Microsoft Online Services, například Microsoft Office 365, použijte stejný uživatelský účet, jako když jste se zaregistrovali k odběru Windows Intune. To umožňuje použít stejnou skupinu uživatelů v rámci všech služeb v klientoviMicrosoft Azure AD vaší společnosti. Pokud nevyberete možnost přihlášení pomocí stávajícího uživatele, dojde k vytvoření nového klienta Microsoft Azure AD. Pak ale bude nutné přidat uživatele do nového klienta.

Správa identity a přístupu k Microsoft Azure AD a synchronizace adresářů

Windows Intune používá k ukládání uživatelských účtů Microsoft Azure AD. Cloudové služby společnosti Microsoft, například Windows Intune a Office 365, spoléhají na funkce pro správu identity poskytované Microsoft Azure AD.

Společnost bude používat synchronizaci adresářů Microsoft Azure (DirSync) k synchronizaci místních uživatelů Windows Server AD s Microsoft Azure AD. Synchronizace adresářů je určená jako neustálý vztah mezi místním AD a cloudovým Microsoft Azure AD. Společnost zvolila DirSync ke:

  • Snížení nákladů na správu: Bez DirSync by společnost musela přidávat účty svých uživatelů a skupin do Microsoft Azure AD ručně. DirSync synchronizuje uživatelské účty z místního Windows Server AD do Microsoft Azure AD. Po aktivaci synchronizace adresářů můžete upravovat synchronizované objekty ve vašem místním prostředí a tyto úpravy synchronizovat s odběrem Windows Intune, to snižuje náklady na správu.

  • Zvýšení produktivity: Automatizací procesu synchronizace účtů uživatelů a skupin může společnost výrazně snížit dobu potřebnou k přístupu do cloudových služeb pro své zaměstnance.

Plánování a důležité informace návrhu týkající se synchronizace adresářů

Při plánování synchronizace adresářů společnosti zvažovala požadavky na hardware, oprávnění správce, důležité informace o výkonu a tak dále. Tyto požadavky jsou popsané v části Příprava pro synchronizaci adresáře.

Poskytování zabezpečeného snadného přístupu pro uživatele se synchronizací hesla

Ověření uživatele musíte nakonfigurovat, nebo budou muset zaměstnanci společnosti používat jiné uživatelské jméno a samostatná hesla pro přístup do cloudu a k místním službám. Společnost se rozhodla, že musí mít ověření uživatele, aby se zabránilo další administrativní zátěži při správě počátečních a pokračujících změn hesel a vytvořilo se lepší uživatelské prostředí. Rozhodla se používat synchronizaci hesla k ověřování uživatelů.

Společnost zvažovala následující metody ověřování přístupu zaměstnanců ke cloudovým a místním prostředkům se stejnými přihlašovacími údaji:

  • Synchronizace hesla je odlehčená možnost, která uživatelům poskytuje prostředí, které se podobá jednoduchému přihlašování a velmi snadno se nasazuje. Synchronizace hesla je možnost, kterou můžete vybrat v rámci DirSync, která umožňuje DirSync ukládání klíče hash hesla v Microsoft Azure AD. Pokud je ve vašem počítači synchronizace adresáře povolená synchronizace hesla, uživatelé se budou moct přihlásit ke cloudovým službám společnosti Microsoft, například Office 365, Dynamics CRM a Windows Intune pomocí stejného hesla, které používají k přihlašování do místní sítě. Pokud uživatelé změní své heslo v podnikové síti, tyto změny se synchronizují do cloudu.

    Synchronizace hesla ale nezajišťuje řešení jednoduchého přihlašování (SSO), které získáte při použití AD FS. Aby uživatelé získali přístup ke cloudové službě, budou muset pokaždé znovu zadat své přihlašovací údaje. Viz:

  • Služba ADFS (Active Directory Federation Services) poskytuje prostředí skutečného jednotného přihlašování (SSO) při spolupráci s protokoly pro ověřování Active Directory. Místní Active Directory a AD FS komunikují s platformou identity Microsoft Azure AD a poskytují přístup k jedné nebo více službám cloudu společnosti Microsoft. Pokud je nakonfigurované SSO, dojde k vytvoření federovaného vztahu důvěryhodnosti mezi doménou a systémem ověřování Mirosoft Azure AD. Uživatelé se mohou ověřovat pro cloudové služby i místní služby pomocí stejného uživatelského jména a hesla. Po ověření uživatele je cloudové služby při přístupu nebudou znovu vyzývat k zadání pověření.

Společnost se rozhodla používat synchronizaci hesla pro ověření uživatele z několika příčin. Synchronizace hesla se velmi snadno konfiguruje v DirSync, kterou už plánují používat k synchronizaci svých místních uživatelských účtů. Také plánují upgrade svých řadičů domény na Windows Server 2012 R2 během dalších šesti měsíců. AD FS představuje roli lokality ve Windows Server 2012 R2 a obsahuje mnoho nových funkcí. Společnosti plánuje implementaci AD FS při upgradu svých řadičů domény. Další informace o implementaci AD FS ve Windows Server 2012 R2 najdete v tématu:

Společnost se rozhodla používat synchronizaci hesla k ověřování uživatelů. Vy se ale můžete rozhodnout k implementaci AD FS pro SSO ve svém prostředí. Viz:

Plánování upgradu platformy v několika fázích

Společnost se rozhodla neupgradovat své místní AD jako součást tohoto řešení, ale plánuje upgrade během příštích 6 měsíců.

IT oddělení společnosti navrhlo, aby se místní AD upgradovalo v rámci tohoto řešení. Ve Windows Server 2012 R2 AD se vylepšily následující funkce:

  • Registrace zařízení. Správci IT mohou umožnit registraci zařízení, která přidruží zařízení k Active Directory společnosti. Toto přidružení jde použít jako plynulé ověření pomocí druhého faktoru.

  • Jednotné přihlášení (SSO) ze zařízení, která jsou přidružená k Active Directory společnosti.

  • Proxy server webové aplikace, který umožňuje uživatelům připojit se k aplikacím a službám z libovolného místa.

  • Řízení přístupu a vícefaktorové ověřování (MFA), která spravují riziko uživatelů pracujících z libovolného místa a přistupujících ke chráněným datům ze svých zařízení.

  • Pracovní složky, které poskytují uživatelům umístění, kam mohou ukládat a přistupovat k pracovním souborům na počítačích a zařízeních.

Viz téma Služby Active Directory.

I když tým správy společnosti souhlasí, že nové funkce by byly užitečné, nemůže schválit zdroje k upgradu AD jako součásti tohoto řešení. Manažerský tým chce upgradovat svůj místní AD v následujících šesti měsících.

Jakmile budete připraveni k upgradu místní AD a implementaci AD FS, přečtěte si téma Zabezpečený přístup k prostředkům společnosti z libovolného místa na všech zařízeních.

Postup implementace

Tato část obsahuje kroky, které společnost provedla k implementaci řešení. Pokud budete postupovat podle těchto kroků, nezapomeňte ověřit správné nasazení každého kroku, než budete pokračovat dalším krokem.

  1. Zaregistrovat se k odběru Windows Intune.

    Vytvořte odběr Windows Intune na webové stránce Windows Intune.

    • Pokud už máte účet uživatele pro jiné cloudové služby, např. Office 365, můžete kliknout na tlačítko Přihlásit a zadat přihlašovací údaje účtu. To umožňuje sdílet stejnou skupinu uživatelů v rámci všech služeb v systému klienta Microsoft Azure AD vaší společnosti.

    Postup ověření: Po dokončení procesu registrace vám zašleme e-mail na zadanou e-mailovou adresu. Klikněte na přiložený odkaz v e-mailu nebo přejděte na portál účtu Windows Intune na adrese https://account.manage.microsoft.com a ověřte, jestli se můžete přihlásit.

  2. Proveďte konfiguraci své domény.

    1. Získejte veřejnou doménu. Pokud chcete používat Windows Intune, potřebujete také název domény veřejné společnosti, která je ověřitelná prostřednictvím služby registrace názvu domén. Přidejte a ověřte vaší veřejnou doménu na portálu účtu Windows Intune na adrese https://account.manage.microsoft.com pod uzlem Domény.

    2. Ujistěte se, že se veřejná doména přidala jako alternativní přípona UPN v místním Active Directory. Uživatelé musí mít stejný hlavní název uživatele (UPN) veřejné domény v cloudu a v místním Active Directory pro registraci mobilních zařízení. Je potřeba ověřit, že uživatelé mají UPN veřejné domény předtím, než nakonfigurujete synchronizace adresářů. Pokud tento krok přeskočíte, mohou uživatelé získat doménu „onmicrosoft.com“ připojenou ke svému cloudovému UPN a to způsobí neshodu s uživatelskými jmény místní Active Directory. Viz téma Přidání přípon hlavního uživatelského jména.

    3. Přidejte záznam CNAME na serveru DNS odkazující z enterpriseenrollment.<veřejnádoména> na manage.microsoft.com. Záznam CNAME se později používá jako součást procesu registrace. Viz téma Přidání záznamu o zdroji aliasu (CNAME) do zóny.

    Postup ověření:

    • Zkontrolujte stránku DoményPortálu účtu Windows Intune a ujistěte se, že je veřejná doména uvedená v seznamu a ověřená.

    • Podívejte se na vlastnosti uživatelského účtu v místním Active Directory a ujistěte se, že UPN je uvedený s názvem veřejné domény.

  3. Poskytování zabezpečeného snadného přístupu pro uživatele pomocí DirSync se synchronizací hesla.

    Synchronizace hesla jde nakonfigurovat z portálu účtu Windows Intune na adrese https://account.manage.microsoft.com. V uzlu Uživatelé portálu klikněte na tlačítko Synchronizace Active Directory: Nastavit a pak postupujte podle kroků uvedených v části Nastavit a spravovat synchronizaci Active Directory. Povolte synchronizaci hesla při spuštění Průvodce konfigurací nástroje synchronizace adresářů výběrem možnosti Povolit synchronizaci hesla.

    Viz:

    Postup ověření: Pokud chcete zobrazit uživatelské účty, podívejte se na portál účtu Windows Intune na adrese https://account.manage.microsoft.com.

  4. Nainstalujte svou lokalitu System Center 2012 R2 Configuration Manager nebo hierarchii.

    Po naplánování pro svou hierarchii System Center 2012 R2 Configuration Manager se společnost rozhodla, že nainstaluje samostatnou primární lokalitu ve své centrále a nainstaluje distribuční body ve vzdálených pracovištích. Vy se můžete rozhodnout, že vaše hierarchie vyžaduje jinou konfiguraci. Postupujte podle následujících kroků k instalaci své lokality System Center 2012 R2 Configuration Manager nebo hierarchie:

    1. Identifikujte server, který splňuje požadavky softwaru a hardwaru na hostitele primární lokality Configuration Manager. Viz téma Plánování hardwarových konfigurací Configuration Manager.

    2. Zkontrolujte požadovaný software a podporované operační systémy pro hostování lokality Configuration Manager. Viz téma Systémové požadavky lokality.

    3. Nakonfigurujte prostředí Windows pro podporu System Center 2012 R2 Configuration Manager. Viz téma Příprava prostředí Windows pro produkt Configuration Manager.

    4. Nainstalujte lokalitu System Center 2012 R2 Configuration Manager. Viz téma Instalace lokalit a vytvoření hierarchie Configuration Manager. Pro toto řešení společnost nainstaluje samostatnou primární lokalitu a vynechá kroky instalace lokality centrální správy nebo sekundární lokality. Při procházení tématu vyberte lokality, které jsou vhodné pro vaše prostředí.

    5. Nainstalujte distribuční bod ve vzdálených místech. Ukázková společnost zjistila, že místo použití sekundární lokality v každém umístění může použít distribuční bod na každém ze vzdálených umístění. Podrobnosti o instalaci a konfiguraci distribučního bodu najdete v tématu Konfigurace správy obsahu v Configuration Manager.

    Postup ověření

    V počítači serveru primární lokality sledujte průběh průvodce instalací. Průvodce instalací Configuration Manager zobrazí výsledek každé úlohy instalace lokality. Po dokončení všech úloh instalace můžete průvodce zavřít. Po dokončení instalace lokality ale průvodce instalací dál zobrazuje informace o probíhající konfiguraci lokality, které můžete sledovat, pokud průvodce nezavřete. Zavření průvodce instalací nemá vliv na tyto probíhající konfigurace, které dál poběží na pozadí po zavření průvodce. Zkontrolujte soubor ConfigMgrSetup.log a ověřte, jestli se lokalita úspěšně nainstalovala.

  5. Konfigurujte funkcí a vlastností pro správu.

    Po instalaci lokality nebo hierarchie nakonfigurujte lokalitu pro podporu funkcí a vlastností pro správu System Center 2012 R2 Configuration Manager, které chcete použít. Před konfigurací předplatného Windows Intune nebo instalací role systému lokality konektoru Windows Intune v kroku 8 musíte nakonfigurovat vyhledávání uživatele Active Directory. Viz:

    1. Konfigurace lokalit a hierarchie v Configuration Manager

    2. Konfigurace zjišťování Active Directory pro počítače, uživatele nebo skupiny

  6. Migrace do System Center 2012 R2 Configuration Manager.

    Při migraci objektů ze zdrojové hierarchie Configuration Manager 2007 otevíráte data z databáze lokality, které můžete určit ve zdrojové infrastruktuře a pak zkopírovat tato data do hierarchie System Center 2012 R2 Configuration Manager. Migrace nemění data ve zdrojové hierarchii. Vyhledá data a ukládá kopie v databázi cílové hierarchie. Viz téma Migrace hierarchií v System Center 2012 Configuration Manager.

    Pokud chcete migrovat data Configuration Manager 2007 do System Center 2012 R2 Configuration Manager:

    1. Zadejte svou hierarchii Configuration Manager 2007 SP2 jako zdrojovou hierarchii pro migraci. Ve výchozím nastavení se lokalita nejvyšší úrovně dané hierarchie změní na zdrojovou lokalitu zdrojové hierarchie. Po shromáždění dat z počáteční zdrojové lokality pak můžete nakonfigurovat další zdrojové lokality pro migraci.

      Configuration Manager spustí shromažďování dat ze zdrojové lokality okamžitě po určení zdrojové hierarchie, nakonfigurování pověření pro každou dodatečnou zdrojovou lokalitu ve zdrojové hierarchii nebo nasdílení distribučních bodů pro zdrojovou lokalitu. Ve výchozím nastavení se proces shromažďování dat opakuje každé čtyři hodiny, aby Configuration Manager dokázal identifikovat změny dat ve zdrojové hierarchii, které chcete migrovat. Shromažďování dat je také nezbytné pro sdílení distribučních bodů ze zdrojové hierarchie do cílové hierarchie. Viz téma Konfigurace zdrojové hierarchie a zdrojových lokalit pro migraci do System Center 2012 Configuration Manager.

    2. Vytvoření úloh migrace k migraci dat mezi zdrojovou a cílovou hierarchií. Úlohy migrace používejte ke konfiguraci konkrétních dat, která chcete migrovat do svého prostředí System Center 2012 R2 Configuration Manager. Úlohy migrace identifikují objekty, které máte v úmyslu migrovat, a spouští se v lokalitě nejvyšší úrovně v hierarchii. Viz téma Vytváření a úpravy úloh migrace pro System Center 2012 Configuration Manager.

    3. Monitorování úloh migrace. Monitorování průběhu úloh migrace v konzole System Center 2012 R2 Configuration Manager. Viz téma Monitorování migrace aktivity v pracovním prostoru migrace.

    4. Upgrade sdílených distribučních bodů. Můžete upgradovat podporované distribuční body, které se sdílí z vaší zdrojové lokality Configuration Manager 2007 do distribučního bodu v cílové hierarchii. Viz téma Upgrade nebo opětovné přiřazení sdíleného distribučního bodu v System Center 2012 Configuration Manager.

    5. Migrace klientů Configuration Manager 2007 do System Center 2012 R2 Configuration Manager. Po migraci dat pro klienty mezi hierarchiemi, ale ještě před provedením úplné migrace, naplánujte migraci klientů do cílové hierarchie. Pokud chcete migrovat klienty mezi hierarchiemi, nainstalujte software klienta Configuration Manager z cílové hierarchie. Klient Configuration Manager se odinstaluje a klient System Center 2012 R2 Configuration Manager se nainstaluje a přiřadí do primární lokality. Viz téma Plánování strategie migrace klientů v System Center 2012 Configuration Manager.

    6. Dokončení procesu migrace: Pokud už vaše hierarchie Configuration Manager 2007 neobsahuje data, která chcete migrovat do cílové hierarchie, můžete dokončit proces migrace. Postupujte následovně:

      1. Ověřte, že se úspěšně migrovaly všechny prostředky ze zdrojové hierarchie, které budete potřebovat v cílové hierarchií. To může zahrnovat data a klienty.

      2. Zastavte shromažďování dat jednotlivých zdrojových lokalit ve vaší hierarchii Configuration Manager 2007. To uděláte tak, že spustíte akci Zastavit shromažďování dat ve zdrojových lokalitách na nejnižší úrovni a pak proces zopakujete v každé nadřazené lokalitě. Lokalita nejvyšší úrovně zdrojové hierarchie musí být poslední lokalitou, ve které přestanete shromažďovat data. Shromažďování dat je potřeba zastavit v každé podřízené lokalitě před provedením této akce v nadřazené lokalitě. Po zastavení shromažďování dat už nemůžete sdílet distribuční body mezi zdrojovými a cílovými hierarchiemi.

      3. Vyčistěte data migrace. Pokud to chcete udělat, použijte akci Vyčistit data migrace. Tato volitelná akce odebere data týkající se aktuální zdrojové hierarchie z databáze cílové hierarchie. Než vyčistíte data migrace, každá úloha migrace, která byla spuštěná nebo se její spuštění plánuje, zůstane přístupná v konzole Configuration Manager. Když vyčistíte data migrace, většina dat o migraci se odstraní z databáze cílové hierarchie. Viz téma Kompletní migrace v System Center 2012 Configuration Manager.

      Postup ověření: Migrace se skládá z několika různých fází nebo akcí a probíhá, dokud se nerozhodnete proces migrace ukončit. Proto neexistuje žádný krok nebo proces ověření, který můžete zkontrolovat pro potvrzení, jestli se migrace dokončila. Místo toho můžete ověřit výsledky zobrazené v konzole System Center 2012 R2 Configuration Manager po spuštění nebo dokončení akcí jednotlivých fází.

    7. Vyřaďte z provozu svou hierarchii Configuration Manager 2007: Po dokončení migrace ze zdrojové hierarchie, když tato hierarchie už neobsahuje prostředky, které můžete spravovat, můžete lokality ve zdrojové hierarchii vyřadit z provozu a související infrastrukturu odebrat ze svého prostředí. Viz téma Úlohy Configuration Manager pro vyřazení lokalit a hierarchií z provozu.

  7. Získání certifikátů nebo klíčů pro mobilní zařízení

    Společnost musí vlastnit certifikáty nebo klíče pro zkušební načtení předtím, než může zaregistrovat mobilní zařízení. Typy mobilních zařízení, které máte ve svém prostředí, určují, jaké certifikáty nebo klíče pro zkušební načtení budete potřebovat. Viz téma Získání certifikátů nebo klíčů pro splnění požadavků platformy.

  8. Nakonfigurujte odběr Windows Intune a nainstalujte roli systému lokality konektoru Windows Intune na lokalitě nejvyšší úrovně.

    Než může společnost použít Configuration Manager ke správě mobilních zařízení, musí nakonfigurovat svůj odběr Windows Intune a nainstalovat roli systému lokality konektoru Windows Intune na serveru lokality nejvyšší úrovně. Nakonfiguruje svou samostatnou primární lokalitu. Pokud máte složitější hierarchii, nakonfigurujte centrální lokalitu pro správu.

    1. Konfigurace odběru Windows Intune. Viz téma Konfigurace odběru Windows Intune.

    2. Instalace konektoru Windows Intune. Viz téma Role systému lokality konektoru Windows.

    Postup ověření:

    • V počítači serveru primární lokality zkontrolujte soubor sitecomp.log a ověřte, jestli se role systému lokality konektoru Windows Intune úspěšně nainstalovala.

    • V počítači, kam instalujete konektor Windows Intune, zkontrolujte soubor cloudusersync.log a ověřte, jestli se uživatelům z vaší domény úspěšně podařilo provést synchronizaci do Windows Intune.

    • V počítači serveru primární lokality zkontrolujte soubor CertMgr.log a potvrďte, že počítač, kam jste nainstalovali konektor Windows Intune, sdílí certifikát konektoru. Certifikát se sdílí po dokončení instalace role systému lokality konektoru Windows Intune.

    • V počítači, kde můžete nainstalovat konektor Windows Intune, zkontrolujte soubor dmpuploader.log a ověřte, jestli role systému lokality konektoru dokáže nahrát zásady a změny konfigurace do Windows Intune.

    • V počítači, kam můžete nainstalovat konektor Windows Intune, zkontrolujte soubor dmpdownloader.log a ověřte, jestli konektor Windows Intune může stáhnout zprávy z Windows Intune. Tento protokol může zobrazit příkaz ping pouze na začátku procesu stahování a může trvat nějakou dobu, než se uloží záznamy související se staženými soubory.

  9. Zaregistrujte mobilní zařízení.

    Registrace vytvoří vztah mezi uživatelem, mobilním zařízením a službou Windows Intune. Uživatelé zaregistrují vlastní mobilní zařízení. Zařízení se systémem Android se neregistrují, ale můžete je spravovat pomocí konektoru Exchange Server. Viz téma Registrace mobilního zařízení.

  10. Nainstalujte konzolu System Center 2012 R2 Configuration Manager.

    Ve výchozím nastavení při instalaci primární lokality se konzola Configuration Manager nainstaluje také do počítače serveru primární lokality. Po instalaci lokality můžete nainstalovat další konzoly System Center 2012 R2 Configuration Manager do počítačů pro správu lokality. Viz téma Instalace konzoly Configuration Manager.

  11. Spravujte osobní počítače a mobilní zařízení.

    Po instalaci a provedení základní konfigurace lokality můžete začít s konfigurací správy osobních počítačů a mobilních zařízení. Tady jsou uvedené typické funkce nebo vlastnosti, které můžete konfigurovat:

    Funkce Podrobnosti

    Inventář hardwaru

    Inventář hardwaru použijte ke shromažďování informací o konfiguraci hardwaru klientských zařízení ve vaší společnosti.

    Inventář softwaru

    Pomocí inventáře softwaru můžete shromažďovat informace o souborech, které se nachází na klientských zařízeních ve vaší společnosti. Navíc může inventář softwaru shromažďovat soubory z klientských zařízení a ukládat je na serveru lokality.

    Asset Intelligence

    Asset Intelligence použijte k inventarizaci a správě využívání licencí softwaru v celé společnosti a vylepšení šířky shromažďovaných informací o hardwaru a softwaru.

    Nastavení dodržování předpisů

    Nastavení dodržování předpisů použijte ke správě konfigurace a kompatibility serverů, přenosných počítačů, stolních počítačů a mobilních zařízení ve vaší společnosti.

    Přístup k prostředkům společnosti

    Přístup k prostředkům společnosti použijte k poskytnutí přístupu uživatelům ve vaší společnosti k datům a aplikacím ze vzdáleného umístění díky konfiguraci následujících možností:

    • Profily certifikátu

    • Profily sítě VPN

    • Profily Wi-Fi

    Profily vzdálených připojení

    Pokud chcete umožnit uživatelům používání profilů vzdálených připojení, aby se vzdáleně připojovali k firemním počítačům, když nejsou připojení k doméně, nebo když mají osobní počítače připojené k síti Internet.

    Správa aplikací

    Správa aplikací se používá ke správě aplikací ve společnosti ke správě uživatelů Configuration Manager a uživatelů klientských zařízení.

    Aktualizace softwaru

    Použití softwarových aktualizací ke sledování dodržování pravidel a nasazení aktualizací softwaru do počítačů ve společnosti.

    Správa mobilních zařízení

    Pomocí tohoto průvodce použijte postup, který vám umožní spravovat zařízení s Windows Phone 8, Windows RT, iOS a zařízení se systémem Android pomocí služby Windows Intune prostřednictvím Internetu.

    Vymazání obsahu společnosti z mobilních zařízení

    Můžete provést úplné vymazání zařízení Windows Phone 8, iOS a zařízení se systémem Android a obnovit tak tovární nastavení zařízení. Nebo můžete provést selektivní vymazání, které odstraní jen obsah společnosti.

Viz taky

Typ obsahu Referenční informace

Hodnocení produktu/Začínáme

Referenční informace

Související řešení

Komunitní zdroje