Administración de dispositivos móviles para los clientes de Configuration Manager 2007 que planean migrar a System Center 2012 R2 Configuration Manager
¿Cómo puede ayudarle esta guía? En esta guía se proporciona un diseño probado preceptivo que puede usar para conocer los pasos de diseño e implementación que recomendamos para habilitar la administración de dispositivos móviles para iOS, Android, Windows Phone 8, Windows RT y Windows 8,1 cuando ya tiene un plan y una jerarquía Configuration Manager 2007 para migrar a Administrador de configuración de System Center 2012 R2.
Mientras planea migrar a Administrador de configuración de System Center 2012 R2, necesita una solución que permita administrar los dispositivos de la organización. En esta guía de solución se describe cómo ejecutar un servidor de sitio principal independiente de Administrador de configuración de System Center 2012 R2 junto con su entorno de Configuration Manager 2007 para habilitar la administración de dispositivos móviles.
En el siguiente diagrama se muestra el problema y el escenario para los que se aporta una solución en la guía.
Administrador de configuración y administración de dispositivos móviles
.jpeg "Device Management with Configuration Manager 2007")
En esta guía de soluciones:
Escenario, declaración del problema y objetivos
¿Cuál es el diseño recomendado para esta solución?
¿Cuáles son los pasos generales para implementar esta solución?
Escenario, declaración del problema y objetivos
En esta sección se describe el escenario, el problema actual y los objetivos que pueda haber.
Escenario
Los empleados de la empresa exigen cada vez más poder tener acceso a los datos de la empresa desde sus dispositivos personales. Desea cumplir esta petición proporcionándoles la flexibilidad necesaria para que usen sus propios dispositivos a través de Internet desde cualquier ubicación con el fin de llevar a cabo tareas relacionadas.
La organización es una gran empresa que consta de más de 5.000 usuarios que aportan sus dispositivos personales al área de trabajo. La infraestructura admite la administración de los PC de los usuarios que se encuentran en las instalaciones y se conectan de forma remota a la red corporativa mediante VPN. Actualmente, administra estos PC mediante Configuration Manager 2007 y no está listo para realizar una implementación completa de Administrador de configuración de System Center 2012 R2.
En resumen, las tecnologías que se usan en la organización son:
Un dominio y un servicio de directorio, concretamente, Active Directory.
Software de administración de PC, concretamente, System Center Configuration Manager 2007.
Los PC que están unidos al dominio y administrados por Configuration Manager 2007.
Los dispositivos móviles personales de los empleados, así como sus PC particulares no unidos al dominio.
Declaración del problema
En la actualidad, usa Configuration Manager 2007 para administrar dispositivos de su organización, pero esta solución no administra iOS, Android, Windows Phone 8, Windows RT ni los dispositivos Windows 8,1 personales. Pero la versión más reciente del Administrador de configuración de Windows Intune ofrece compatibilidad para estos dispositivos. Como está planeando migrar a System Center 2012 R2 Configuration Manager, quiere usar esta aplicación como solución para administrar los dispositivos móviles y evitar el costo y el esfuerzo de integración de una solución de terceros. Le gustaría implementar Administrador de configuración de System Center 2012 R2 como solución de administración, aunque no está preparado para implementar completamente esta versión ni migrar su infraestructura completa de Configuration Manager 2007.
Objetivos de la organización
Administrar los dispositivos móviles actuales, en concreto, Windows Phone 8, Windows RT, iOS, Android y dispositivos de Windows 8.1 personales. La administración de dispositivos puede implicar configurar la seguridad y el cumplimiento, recopilar el inventario de software y hardware o implementar aplicaciones móviles.
Proteger los datos de la empresa con la capacidad para borrarlos de los dispositivos móviles por Internet.
Escalar la administración de dispositivos móviles hasta 100.000 dispositivos.
Una solución con la que esté familiarizado y que tenga una curva de aprendizaje mínima.
Implementar una solución que sea compatible con el entorno actual y se pueda aprovechar para uso futuro.
¿Cuál es el diseño recomendado para esta solución?
En un entorno donde está administrando los dispositivos en local con Configuration Manager 2007, quiere poder administrar también los dispositivos móviles. La restricción principal es que no está listo para migrar a la versión más reciente de Configuration Manager, pero desea usar sus capacidades de administración de dispositivos móviles. Como está planeando migrar a la versión más reciente de Configuration Manager, le gustaría que la solución provisional para la administración de dispositivos móviles fuera relevante después de la migración.
Administrador de configuración de System Center 2012 R2 funciona con Windows Intune para administrar dispositivos móviles. Con la consola de Configuration Manager, puede administrar dispositivos móviles del mismo modo que otros dispositivos. La principal diferencia con los dispositivos móviles en comparación con los PC del dominio es que se administran en Internet. La consola de Configuration Manager interactúa con el servicio de Windows Intune que realiza la administración real de los dispositivos móviles por Internet. Al usar Administrador de configuración de System Center 2012 R2 con Windows Intune para administrar dispositivos móviles, puede:
Proteger los datos de la empresa con la configuración de seguridad y la capacidad para borrar los datos de la compañía de dispositivos que ya no se usen. Puede usar la configuración de cumplimiento para aplicar la directiva de seguridad a los usuarios de dispositivos móviles. Esta configuración puede incluir atributos como la contraseña, la cámara, el sistema y la configuración de seguridad. También puede iniciar informes para identificar los dispositivos Android raíz y modificar dispositivos iOS.
Administrar dispositivos con la configuración de cumplimiento. La configuración de cumplimiento puede incluir, por ejemplo, configuración de roaming, almacén o dispositivo. Para obtener una lista completa de la configuración, consulte Creación de elementos de configuración para dispositivos inscritos por Windows Intune y Configuration Manager.
Recopilar el inventario de hardware y de software. Puede iniciar informes para ver el inventario de hardware que describe los tipos de dispositivos que se inscriben; el inventario de software puede informar sobre qué aplicaciones están instaladas en los dispositivos.
Administrar aplicaciones con la instalación de prueba de aplicaciones para dispositivos móviles o con la implementación de vínculos a las aplicaciones disponibles en almacenes de dispositivos, como la Tienda Windows, la Tienda de Windows Phone, el App Store y Google Play.
Crear una experiencia coherente para tener acceso a datos de la empresa con el portal de la empresa. El portal de empresa es una interfaz en la que los usuarios pueden ver los datos de la compañía e instalar aplicaciones.
En esta solución, la administración de dispositivos móviles se habilita con un sitio principal independiente de Administrador de configuración de System Center 2012 R2 y un conector de Windows Intune. Windows Intune es un servicio de nube, de manera que para permitir que los usuarios inscriban sus dispositivos, debe sincronizar las cuentas de usuario de dominio con Windows Azure. Esto le permite administrar qué usuarios pueden tener acceso a los recursos de la empresa con sus dispositivos móviles. Una vez que los usuarios puedan tener acceso a los recursos de la empresa por Internet con sus dispositivos móviles, puede usar los Servicios de federación de Active Directory (AD FS) para habilitar una experiencia de inicio de sesión única.
En el siguiente diagrama se muestra cómo los componentes de un servidor de sitio principal independiente de Administrador de configuración de System Center 2012 R2 se comunican en paralelo con un entorno de Configuration Manager 2007. La parte AD FS del diagrama es opcional.
El servidor principal independiente de Administrador de configuración de System Center 2012 R2 se ejecuta en paralelo con un entorno de Configuration Manager 2007.
.jpeg "Mobile device managment with Configuration Manager")
En la tabla siguiente se enumeran los elementos que forman parte de este diseño de la solución y se describe el motivo de la elección de diseño.
Elemento de diseño de la solución |
¿Por qué se incluye en esta solución? |
|---|---|
Administrador de configuración de System Center 2012 R2 |
Administra dispositivos móviles con el servicio de Windows Intune. |
Windows Intune |
Administra dispositivos móviles por Internet. |
Windows Azure Active Directory |
Usuarios de disposiciones en la nube. |
Sincronización de directorios |
Los usuarios de Active Directory local se sincronizan con Active Directory de Windows Azure. |
Servicios de federación de Active Directory (AD FS) |
Permite una experiencia de inicio de sesión única. |
Administrador de configuración de System Center 2012 R2 y el conector de Windows Intune
Administrador de configuración de System Center 2012 R2 se iniciará en paralelo a Configuration Manager 2007. El sitio de Administrador de configuración de System Center 2012 R2 solo se usará para la administración de dispositivos móviles hasta que se migre todo el entorno de Configuration Manager para System Center 2012. Como puede instalar la consola de Administrador de configuración de System Center 2012 R2 en el mismo PC en el que se instala una consola de Configuration Manager 2007, puede administrar los dispositivos desde un solo PC.
Si inicia ambos productos en paralelo, tome algunas precauciones para evitar que los dispositivos que se deben administrar con Configuration Manager 2007 descubran la implementación de Administrador de configuración de System Center 2012 R2. Por ejemplo, asegúrese de que los dos productos no establezcan límites de asignación de sitio con las mismas ubicaciones de red. Esto se conoce como los límites superpuestos. Afortunadamente, es fácil evitar los límites superpuestos, ya que no están configurados de forma predeterminada y no es necesario configurar ningún límite para Administrador de configuración de System Center 2012 R2 con el fin de habilitar la administración de dispositivos móviles al usar Windows Intune.
Se instalará un rol de sistema de sitio del conector de Windows Intune para el sitio de Administrador de configuración de System Center 2012 R2, de modo que quede conectado con el servicio Windows Intune.
Active Directory de Windows Azure y sincronización de directorios (DirSync)
Windows Intune usa Active Directory de Windows Azure para almacenar las cuentas de usuario. Necesitará sincronizar los usuarios de Active Directory para Windows Azure Active Directory. La sincronización de directorios está pensada como una relación continuada entre el entorno local y la nube. Después de haber activado la sincronización de directorios, puede editar los objetos sincronizados en su entorno local y estas modificaciones se sincronizarán con su suscripción de Windows Intune.
Opciones de autenticación de usuario
Una vez que haya llenado Windows Azure con las cuentas de usuario, tiene algunas opciones para autenticar a los usuarios. Las opciones son AD FS, la sincronización de contraseña o ninguna de las dos.
AD FS proporciona una experiencia real de inicio de sesión único trabajando conjuntamente con los protocolos de autenticación de Active Directory. AD FS es la solución más segura porque nunca se comparte la información de contraseñas con el servicio de nube de Windows Azure. Active Directory local y AD FS interaccionan con la plataforma de identidad de Windows Azure para proporcionar acceso a uno o varios servicios de nube de Microsoft. Al configurar el inicio de sesión único, se establece una confianza federada entre el dominio y el sistema de autenticación de Windows Azure. Esto permite a los usuarios tener acceso a los servicios de nube de Microsoft a los que se haya suscrito sin necesidad de iniciar una sesión con credenciales diferentes.
Con AD FS, necesitará al menos un servidor de federación o granja de servidores y un servidor proxy de federación. El servidor de federación autentica a los clientes, mientras que el servidor proxy de federación proporciona una capa de seguridad y redirige las solicitudes de autenticación de cliente procedentes de fuera de la red corporativa a los servidores de federación. Como cliente de Windows Intune, implementar un servidor proxy de federación en la infraestructura existente de AD FS es necesario para permitir que los usuarios de dispositivos móviles se autentiquen desde Internet.
La sincronización de contraseñas es una opción ligera que proporciona a los usuarios una experiencia similar a un inicio de sesión único y es muy fácil de implementar. Aunque no es una funcionalidad real de inicio de sesión único, la sincronización de contraseñas es una opción seleccionable dentro de la sincronización de directorios que permite a esta función almacenar un hash de la contraseña en Windows Azure AD. Los usuarios pueden autenticarse con servicios de nube y locales con el mismo nombre de usuario y contraseña para ambos.
Si decide no implementar AD FS ni la sincronización de contraseñas, los usuarios tendrán que actualizar manualmente las contraseñas para mantenerlas sincronizadas o bien recordar más de una contraseña, dependiendo de si acceden a los servicios en la nube o en local. Este enfoque no se recomienda, ya que necesita una sobrecarga administrativa adicional para administrar los cambios de contraseña iniciales y continuos, y genera una experiencia de usuario menos intuitiva.
Portal de empresa
El portal de empresa es una manera sencilla para que los usuarios tengan acceso a todas sus aplicaciones empresariales desde una sola ubicación. Puede rellenar el portal de empresa con aplicaciones de línea de negocio internas, así como vínculos a las aplicaciones disponibles en tiendas de aplicaciones públicas (la Tienda Windows de Microsoft, la Tienda de Windows Phone, el App Store y Google Play). Desde dentro del portal de empresa, los usuarios pueden administrar sus dispositivos y realizar varias acciones, como borrar los datos de un dispositivo perdido o reemplazado.
Los usuarios se inscriben en el portal de empresa de su dispositivo móvil. Durante la inscripción, el dispositivo móvil se comunica con el proxy de federación que autentica el usuario para la inscripción.
Migración
Cuando esté listo para migrar la infraestructura de Configuration Manager 2007 a Administrador de configuración de System Center 2012 R2, puede usar el sitio principal independiente existente como punto de partida. Administrador de configuración de System Center 2012 R2 admite la migración de datos y clientes de la infraestructura de Configuration Manager 2007 a Administrador de configuración de System Center 2012 R2. Una vez migrados los datos y los clientes, puede retirar los sitios y la infraestructura de Configuration Manager 2007
Si la infraestructura de Configuration Manager 2007 incluye más dispositivos de los que puede administrar con un solo sitio principal independiente de Administrador de configuración de System Center 2012 R2, puede usar la opción para expandir dicho sitio a una jerarquía que incluya un sitio de administración central y sitios principales adicionales. Esta opción permite mantener el sitio principal actual para administrar los dispositivos móviles y agregar, a la vez, otros sitios principales a la jerarquía, lo que aumenta la capacidad total de dispositivos que puede admitir.
¿Cuáles son los pasos generales para implementar esta solución?
Puede usar los pasos de esta sección para implementar la solución. Asegúrese de comprobar la implementación correcta de cada paso antes de continuar con el paso siguiente.
Obtenga una suscripción de Windows Intune.
Para poder instalar el conector de Windows Intune, cree una suscripción de Windows Intune. Puede registrarse para obtener una cuenta en Windows Intune.
Configure el dominio público.
Para usar el servicio Windows Intune también necesita un nombre de dominio de la organización pública que se pueda comprobar con servicios como GoDaddy. Agregue y verifique el dominio público en el portal de la cuenta de Windows Intune en https://account.manage.microsoft.com, en el nodo Dominios.
Asegúrese de que se haya agregado el dominio público como un sufijo UPN alternativo en local de Active Directory. Los usuarios deben tener el mismo nombre principal de usuario de dominio público (UPN) en la nube y en Active Directory local para inscribir dispositivos móviles. Debe comprobar que los usuarios tengan UPN de un dominio público antes de configurar la sincronización de directorios y de AD FS. Si se omite este paso, puede ser que "onmicrosoft.com" se anexe automáticamente al UPN de la nube de los usuarios, lo que provocará que no coincida con los nombres de usuario de Active Directory local. Para más información sobre cómo cambiar el UPN, consulte Agregar sufijos de nombre principal de usuario en la biblioteca de documentación de Active Directory.
Agregue un registro de CNAME en DNS que haga que enterpriseenrollment.<publicdomain> apunte a manage.microsoft.com. El registro CNAME se usa como parte del proceso de inscripción.
Pasos de comprobación:
Consulte la página Dominios del portal de la cuenta de Windows Intune para asegurarse de que el dominio público esté enumerado y se haya comprobado.
Examine las propiedades de una cuenta de usuario en Active Directory local para asegurarse de que aparezca el UPN con el nombre de dominio público.
Haga ping a enterpriseenrollment.<publicdomain> y asegúrese de que resuelve en la dirección IP de manage.microsoft.com. El registro CNAME se utiliza como parte del proceso de inscripción.
Configure la autenticación de usuario.
Puede configurar AD FS desde el portal de la cuenta de Windows Intune en https://account.manage.microsoft.com. En el nodo Usuario del portal, haga clic en Inicio de sesión único: Configurar y, después, siga los pasos de Configurar y administrar el inicio de sesión único. Para más información, consulte Lista de comprobación: Usar AD FS para implementar y administrar el inicio de sesión único en la biblioteca de documentación de Active Directory. En este artículo se detallan exhaustivamente los requisitos necesarios y el proceso de planeación e implementación; además, se indica cómo comprobar que AD FS se haya implementado y configurado correctamente.
Como alternativa, puede implementar la sincronización de contraseña según sus consideraciones de seguridad. Sincronización de contraseñas es una característica de la herramienta de sincronización de Active Directory de Windows Azure que sincroniza las contraseñas de usuario de Active Directory en entornos Active Directory de Windows Azure. Puede implementar la sincronización de contraseña como parte de la configuración de sincronización de directorios. Para conocer las consideraciones de seguridad y si se trata de la decisión correcta para su organización, consulte Implementar sincronización de contraseñas.
Aprovisione a los usuarios con la configuración de sincronización de directorios.
En el nodo Usuarios del portal de la cuenta de Windows Intune en https://account.manage.microsoft.com, haga clic en Sincronización de Active Directory: Configuración y siga los pasos que se detallan en Configurar y administrar la sincronización de Active Directory. Para obtener más información, consulte Configurar la sincronización de directorios en la biblioteca de documentación de Active Directory. Puede instalar DirSync en cualquier PC mientras no sea un controlador de dominio.
Pasos de comprobación: Consulte las cuentas de usuario en el portal de la cuenta de Windows Intune, en https://account.manage.microsoft.com.
Planee el servidor de sitio principal independiente.
Identifique un servidor que cumpla los requisitos previos de hardware y software para hospedar un sitio principal de Configuration Manager. De forma predeterminada, cuando se instala un sitio principal de Configuration Manager, también se instalan los roles de sistema de sitio punto de administración y punto de distribución. Como solo va a administrar dispositivos móviles para este escenario, no se usan el punto de administración y el punto de distribución. Pero, como su presencia no afecta el rendimiento del sitio, se recomienda dejar instalados estos roles de sistema de sitio.
Para más información sobre el tamaño del hardware para el sitio principal, consulte Planeación de las configuraciones de hardware en Configuration Manager. Los detalles proporcionados para un sitio principal independiente le ofrecen los conceptos básicos para ejecutar un sitio principal que pueda admitir el conector de Windows Intune y hasta 100.000 dispositivos móviles.
Para más información sobre el software necesario y los sistemas operativos admitidos para hospedar un sitio de Configuration Manager, consulte los requisitos del sistema de sitio. En concreto, revise la sección aplicable a los requisitos previos que se aplican al sistema operativo que se usa para hospedar el sitio principal independiente. Los roles del sistema de sitio instalados de forma predeterminada son servidor de sitio, servidor de base de datos, servidor del proveedor de SMS, punto de administración y punto de distribución.
Implementar un servidor de sitio principal independiente.
Instale y configure un sitio principal independiente de Administrador de configuración de System Center 2012 R2 para administrar dispositivos móviles. Para más información, consulte Instalación de un servidor de sitio primario.
Una vez completada la instalación del sitio, confirme o configure las siguientes opciones de configuración comunes para los sitios principales de Configuration Manager:
No configure límites del sitio. De forma predeterminada, no se crean límites de sitio para un sitio nuevo. Los nuevos clientes de Configuration Manager usan los límites de sitio para identificar un sitio al que unirse y para ubicar el contenido que implemente. En este escenario, no se aplica ninguna actividad.
Configure y ejecute la detección de usuario de Active Directory en el dominio para detectar los usuarios para la inscripción futura.
Asegúrese de que la instalación de software cliente no esté habilitada. Solo se usa cuando está listo para instalar al cliente de Configuration Manager en dispositivos de Windows y no se utiliza para administrar los dispositivos móviles.
Configure la suscripción de Windows Intune e instale el rol del sistema de sitio del conector de Windows Intune en el servidor de sitio principal independiente.
Para poder usar Configuration Manager para administrar dispositivos móviles, debe configurar la suscripción de Windows Intune e instalar la función de sistema de sitio del conector de Windows Intune en el servidor de sitio principal independiente. Para más información, consulte Cómo configurar dispositivos móviles mediante Configuration Manager y Windows Intune.
Pasos de comprobación:
En el PC del servidor de sitio principal, revise el registro Sitecomp.log para comprobar que el rol de sistema de sitio del conector de Windows Intune esté instalado correctamente.
En el PC en el que instale el conector de Windows Intune conector, revise el registro Cloudusersync.log para comprobar que los usuarios del dominio se hayan sincronizado correctamente con Windows Intune El archivo de registro confirma que los nombres UPN son coherentes entre AD de Windows Azure y AD local. Si algún usuario no se sincroniza, puede ser debido a la falta de coincidencia entre sus UPN.
En el PC del servidor de sitio principal, revise el registro Certmgr.log para confirmar que el PC donde se instaló el conector de Windows Intune comparta el certificado del conector.. El certificado se comparte una vez completada la instalación del rol de sistema de sitio del conector de Windows Intune.
En el PC en el que instale el conector de Windows Intune, revise el registro Dmpuploader.log para comprobar que el rol de sistema de sitio de conector pueda cargar los cambios de directivas y configuración hechos en el servicio de Windows Intune.
En el PC en el que instale el conector de Windows Intune, revise el registro Dmpdownloader.log para comprobar que el conector de Windows Intune sea capaz de descargar mensajes de Windows Intune. Puede que este registro muestre solo un ping al principio del proceso de descarga y que tarde unos minutos en registrar las entradas relacionadas con las descargas.
Instale la consola de Administrador de configuración de System Center 2012 R2.
De forma predeterminada, cuando se instala un sitio principal, la consola de Configuration Manager también instala en el PC del servidor de sitio principal. Una vez instalado el sitio, puede instalar consolas de Administrador de configuración de System Center 2012 R2 adicionales en PC adicionales para administrar el sitio. Se admite la instalación de consolas de Configuration Manager 2007y Administrador de configuración de System Center 2012 R2 en el mismo PC. Esta instalación en paralelo le permite usar un único PC para administrar tanto la infraestructura de Configuration Manager 2007 existente como los dispositivos móviles con Administrador de configuración de System Center 2012 R2. Pero no puede usar la consola de administración de Administrador de configuración de System Center 2012 R2 para administrar el sitio de Configuration Manager 2007 y viceversa. Para más información, consulte Instalación de una consola de Configuration Manager.
Inscriba dispositivos móviles.
Para más información sobre cómo inscribir dispositivos móviles, consulte Inscripción de dispositivo móvil.
Administre dispositivos móviles.
Después de instalar y realizar las configuraciones básicas para el sitio principal independiente, puede empezar a configurar la administración de dispositivos móviles. A continuación se muestran algunas acciones típicas que puede configurar:
Para aplicar la configuración de cumplimiento a los dispositivos móviles, consulte Creación de elementos de configuración para dispositivos inscritos por Windows Intune y Configuration Manager.
Para crear e implementar aplicaciones en dispositivos móviles, consulte Crear e implementar aplicaciones para dispositivos móviles en Configuration Manager.
Para configurar el inventario de hardware, consulte Configuración del inventario de hardware para dispositivos móviles inscritos por Windows Intune y Configuration Manager.
Para configurar el inventario de software, consulte Introducción al administrador de configuración de inventario de Software.
Para borrar el contenido de dispositivos móviles, consulte Borrado del contenido de la compañía de dispositivos móviles.
Migre a Administrador de configuración de System Center 2012 R2.
Para más información sobre la migración a System Center 2012 R2 Configuration Manager, consulte Migración de jerarquías en System Center 2012 Configuration Manager.
Si va a administrar más de 100.000 dispositivos, necesita ampliar el sitio principal independiente en una jerarquía. Para más información, consulte Planeación para expandir un sitio primario independiente.