Gestione dei dispositivi mobili per i clienti di Configuration Manager 2007 che prevedono di eseguire la migrazione a System Center 2012 R2 Configuration Manager
Finalità della guida. Questa guida fornisce indicazioni specifiche che permettono di comprendere il progetto e i passaggi per l'implementazione consigliati per abilitare la gestione dei dispositivi mobili iOS, Android, Windows Phone 8, Windows RT e Windows 8,1 quando esiste una gerarchia di Configuration Manager 2007 e si prevede di eseguire la migrazione a Gestione configurazione di System Center 2012 R2.
Anche se si prevede di eseguire la migrazione a Gestione configurazione di System Center 2012 R2, è necessaria una soluzione che consenta di gestire i dispositivi nell'organizzazione. Questa guida alla soluzione descrive come eseguire un server di sito primario autonomo di Gestione configurazione di System Center 2012 R2 insieme all'ambiente di Configuration Manager 2007 per abilitare la gestione dei dispositivi mobili.
Il diagramma seguente illustra il problema e lo scenario affrontati in questa guida alla soluzione.
Configuration Manager e gestione dei dispositivi mobili
.jpeg "Gestione dei dispositivi con Configuration Manager 2007")
Contenuto della guida alla soluzione:
Scenario, presentazione del problema e obiettivi
Qual è il progetto consigliato per la soluzione?
Quali sono i passaggi necessari per implementare la soluzione?
Scenario, presentazione del problema e obiettivi
Questa sezione descrive lo scenario, il problema corrente e i potenziali obiettivi.
Scenario
Sempre più dipendenti della società chiedono di poter accedere ai dati aziendali dai dispositivi personali. Si vuole soddisfare questa richiesta fornendo ai dipendenti la flessibilità necessaria per usare i propri dispositivi via Internet da qualsiasi posizione per eseguire attività correlate al lavoro.
L'organizzazione è una grande impresa costituita da più di 5.000 utenti che portano i dispositivi personali sul posto di lavoro. L'infrastruttura supporta la gestione di computer per utenti locali che si connettono in remoto alla rete aziendale tramite VPN. Attualmente è possibile gestire questi computer con Configuration Manager 2007 e non si è pronti per una distribuzione completa di Gestione configurazione di System Center 2012 R2.
In breve, le tecnologie correnti usate dall'organizzazione sono:
Un servizio del dominio e di directory, nello specifico Active Directory.
Software di gestione dei PC, nello specifico, System Center Configuration Manager 2007.
PC aggiunti al dominio e gestiti da Configuration Manager 2007
Dispositivi mobili personali di proprietà dei dipendenti, oltre a PC personali non aggiunti al dominio.
Presentazione del problema
Attualmente si usa Configuration Manager 2007 per gestire i dispositivi nell'organizzazione, ma questa soluzione non gestisce dispositivi iOS, Android, Windows Phone 8, Windows RT e i dispositivi Windows 8,1 personali. Tuttavia, la versione più recente di Configuration Manager e Windows Intune fornisce il supporto per questi dispositivi. Poiché si prevede di eseguire la migrazione a System Center 2012 R2 Configuration Manager, si decide di usarlo come soluzione di gestione dei dispositivi mobili per evitare il costo e la fatica di integrare una soluzione di terze parti. Si vuole implementare Gestione configurazione di System Center 2012 R2 come soluzione di gestione anche se non si è pronti per la distribuzione completa di questa versione né per la migrazione dell'infrastruttura completa da Configuration Manager 2007.
Obiettivi dell'organizzazione
È possibile gestire i dispositivi mobili attuali, in particolare dispositivi Windows 8.1 personali, Windows Phone 8, Windows RT, iOS e Android. La gestione dei dispositivi può includere la configurazione di impostazioni per la sicurezza e la conformità, la raccolta dell'inventario software e hardware o la distribuzione di app mobili.
È possibile proteggere i dati aziendali grazie alla possibilità di cancellarli dai dispositivi mobili via Internet.
È possibile arrivare a gestire fino a 100.000 dispositivi mobili.
Si vuole una soluzione con cui si abbia familiarità e con una curva di apprendimento minima.
È possibile implementare una soluzione che sia compatibile con l'ambiente corrente e possa essere sfruttata in futuro.
Qual è il progetto consigliato per la soluzione?
In un ambiente in cui si stanno gestendo i dispositivi locali con Configuration Manager 2007, si vuole avere la possibilità di gestire anche i dispositivi mobili. Il vincolo principale è che non si è pronti a eseguire la migrazione alla versione più recente di Configuration Manager, di cui si vogliono però usare le funzionalità di gestione dei dispositivi mobili. Poiché si prevede di eseguire la migrazione alla versione più recente di Configuration Manager, si vuole che la soluzione temporanea per la gestione dei dispositivi mobili sia applicabile dopo la migrazione.
Gestione configurazione di System Center 2012 R2 si integra con Windows Intune per gestire i dispositivi mobili. Con la console di Configuration Manager, è possibile gestire i dispositivi mobili proprio come gli altri dispositivi. La differenza principale con i dispositivi mobili rispetto ai computer nel dominio è che vengono gestiti via Internet. La console di Configuration Manager si interfaccia con il servizio Windows Intune che esegue la gestione vera e propria dei dispositivi mobili via Internet. Quando si usa Gestione configurazione di System Center 2012 R2 con Windows Intune per la gestione dei dispositivi mobili, è possibile:
Proteggere i dati aziendali con le impostazioni di sicurezza e la possibilità di cancellare i dati aziendali dai dispositivi ritirati. È possibile usare le impostazioni di conformità per applicare criteri di sicurezza per gli utenti di dispositivi mobili. Queste impostazioni possono includere attributi come impostazioni di sicurezza, sistema, fotocamera e password. È anche possibile eseguire report per identificare i dispositivi Android manomessi per accedere alla radice e i dispositivi iOS modificati.
Gestire i dispositivi con le impostazioni di conformità. Le impostazioni di conformità possono includere impostazioni di roaming, di archiviazione o dei dispositivi. Per un elenco completo delle impostazioni, vedere Impostazioni di conformità per i dispositivi mobili in Configuration Manager.
Raccogliere l'inventario hardware e software. È possibile eseguire report per visualizzare l'inventario hardware che descrive i tipi di dispositivi registrati e l'inventario software può segnalare quali applicazioni vengono installate nei dispositivi.
Gestire le app con il sideload delle app nei dispositivi mobili o distribuendo i collegamenti alle app disponibili negli archivi dispositivi come Windows Store, Windows Phone Store, App Store e Google Play.
Creare un'esperienza coerente per l'accesso ai dati aziendali con il portale della società. Il portale della società è un'interfaccia in cui gli utenti possono visualizzare i dati aziendali e installare app.
In questa soluzione, la gestione dei dispositivi mobili verrà abilitata da un sito primario autonomo di Gestione configurazione di System Center 2012 R2 e da un connettore Windows Intune. Windows Intune è un servizio cloud, quindi, per consentire agli utenti di registrare i dispositivi, è necessario sincronizzare gli account utente di dominio con Windows Azure. Ciò consentirà di gestire quali utenti possono accedere alle risorse della società dai propri dispositivi mobili. Una volta che gli utenti possono accedere alle risorse aziendali via Internet con i propri dispositivi mobili, è possibile usare Active Directory Federation Services (ADFS) per abilitare un'esperienza Single Sign-On.
Il diagramma seguente mostra come i componenti di un server di sito primario autonomo di Gestione configurazione di System Center 2012 R2 comunichino side-by-side con un ambiente Configuration Manager 2007. La parte del diagramma relativa ad ADFS è facoltativa.
Il server primario autonomo di Gestione configurazione di System Center 2012 R2 viene eseguito side-by-side con un ambiente Configuration Manager 2007.
.jpeg "Gestione dei dispositivi mobili con Configuration Manager")
Nella tabella seguente sono elencati gli elementi che fanno parte della soluzione e viene descritto il motivo della scelta.
Elemento del progetto di soluzione |
Perché è incluso nella soluzione? |
|---|---|
Gestione configurazione di System Center 2012 R2 |
Gestisce i dispositivi mobili usando il servizio Windows Intune. |
Windows Intune |
Gestisce i dispositivi mobili in Internet. |
Active Directory di Windows Azure |
Effettua il provisioning degli utenti nel cloud. |
Sincronizzazione della directory |
Sincronizza gli utenti di Active Directory locale con Windows Azure Active Directory. |
Active Directory Federation Services (ADFS) |
Consente un'esperienza Single Sign-On. |
Gestione configurazione di System Center 2012 R2 e Connettore Windows Intune
Gestione configurazione di System Center 2012 R2 verrà eseguito side-by-side con Configuration Manager 2007. Il sito di Gestione configurazione di System Center 2012 R2 verrà usato solo per la gestione dei dispositivi mobili finché non si eseguirà la migrazione dell'intero ambiente di Configuration Manager a System Center 2012. Poiché è possibile installare la console di Gestione configurazione di System Center 2012 R2 nello stesso computer in cui si installa una console di Configuration Manager 2007, è possibile gestire i dispositivi da un unico computer.
Quando si eseguono entrambi prodotti side-by-side, è necessario prendere alcune precauzioni per evitare che i dispositivi che devono essere gestiti da Configuration Manager 2007 individuino la distribuzione di Gestione configurazione di System Center 2012 R2. Ad esempio, è consigliabile assicurarsi che i due prodotti non configurino limiti per l'assegnazione del sito dove tali limiti includono gli stessi percorsi di rete. Questa situazione è nota come sovrapposizione di limiti. Fortunatamente, la sovrapposizione di limiti è facile da evitare perché non è configurata per impostazione predefinita e non è necessario configurare limiti per Gestione configurazione di System Center 2012 R2 per abilitare la gestione dei dispositivi mobili quando si usa Windows Intune.
Si installerà un ruolo del sistema del sito di Connettore Windows Intune nel sito di Gestione configurazione di System Center 2012 R2, che connette al servizio Windows Intune.
Windows Azure Active Directory e sincronizzazione della directory (DirSync)
Windows Intune usa Windows Azure Active Directory per archiviare gli account utente. Sarà necessario sincronizzare gli utenti di Active Directory con Windows Azure Active Directory. La sincronizzazione della directory è da intendersi come una relazione continuativa tra l'ambiente locale e il cloud. Dopo aver attivato la sincronizzazione della directory, è possibile modificare gli oggetti sincronizzati nell'ambiente locale e queste modifiche verranno sincronizzate con la sottoscrizione a Windows Intune.
Opzioni per l'autenticazione utente
Dopo aver popolato Windows Azure AD con gli account utente, ci sono alcune opzioni per autenticare gli utenti. Le opzioni sono ADFS, Sincronizzazione password o nessuna.
ADFS offre una vera e propria esperienza Single Sign-On integrata con i protocolli di autenticazione di Active Directory. ADFS è la soluzione più sicura perché non condivide mai le informazioni sulla password con il servizio cloud, Windows Azure AD. Active Directory e ADFS locali interagiscono con la piattaforma di identità Windows Azure AD per fornire accesso a uno o più servizi cloud Microsoft. Quando si configura Single Sign-On, si stabilisce una relazione di trust federativa tra il dominio e il sistema di autenticazione di Windows Azure AD. Ciò consente agli utenti di accedere facilmente ai servizi cloud Microsoft senza dover usare credenziali diverse.
Con ADFS saranno necessari almeno un server federativo o una server farm e un proxy server federativo. Il server federativo autentica i client, mentre il proxy server federativo offre un livello di sicurezza e reindirizza le richieste di autenticazione client provenienti dall'esterno della rete aziendale ai server federativi. Per i clienti Windows Intune la distribuzione di un proxy server federativo nell'infrastruttura ADFS esistente è necessaria per consentire agli utenti di dispositivi mobili di eseguire l'autenticazione da Internet.
Sincronizzazione password è una semplice opzione che offre agli utenti un'esperienza simile a quella del servizio Single Sign-On e molto semplice da distribuire. Pur non essendo una vera e propria funzionalità Single Sign-On, Sincronizzazione password è un'opzione selezionabile in DirSync che consente a DirSync di archiviare un hash della password in Windows Azure AD. Gli utenti possono eseguire l'autenticazione con i servizi cloud e i servizi locali usando lo stesso nome utente e la stessa password per entrambi.
Se si sceglie di non implementare ADFS o Sincronizzazione password, gli utenti dovranno aggiornare manualmente le password per mantenerle sincronizzate o semplicemente ricordare più di una password, a seconda che debbano accedere a servizi cloud o locali. Questo approccio non è consigliabile perché comporta un ulteriore carico amministrativo per gestire le modifiche delle password iniziali e successive e rende l'esperienza utente meno semplice.
Portale della società
Il portale della società è un modo semplice per gli utenti di accedere a tutte le app aziendali da un'unica posizione. È possibile popolare il portale della società con applicazioni line-of-business interne e con collegamenti alle app disponibili negli archivi di applicazioni pubbliche (Microsoft Windows Store, Windows Phone Store, Apple App Store e Google Play). Dal portale della società, gli utenti possono gestire i dispositivi ed eseguire diverse azioni, ad esempio cancellare i dati da un dispositivo perso o sostituito.
Gli utenti registrano i dispositivi mobili nel portale della società. Durante la registrazione il dispositivo mobile comunica con il proxy federativo che autentica l'utente per la registrazione.
Migrazione
Quando si è pronti per eseguire la migrazione dell'infrastruttura di Configuration Manager 2007 a Gestione configurazione di System Center 2012 R2, è possibile usare il sito primario autonomo esistente come punto di partenza. Gestione configurazione di System Center 2012 R2 supporta la migrazione di dati e client dall'infrastruttura di Configuration Manager 2007 a Gestione configurazione di System Center 2012 R2. Quindi, dopo aver eseguito la migrazione dei client e dei dati, è possibile rimuovere le autorizzazioni per i siti e l'infrastruttura di Configuration Manager 2007.
Quando l'infrastruttura di Configuration Manager 2007 include più dispositivi che è possibile gestire con un singolo sito primario autonomo di Gestione configurazione di System Center 2012 R2, è possibile usare l'opzione per espandere tale sito primario autonomo in una gerarchia più ampia che includa un sito di amministrazione centrale e altri siti primari. Questa opzione consente di mantenere il sito primario corrente per gestire i dispositivi mobili, mentre si aggiungono altri siti primari alla gerarchia, aumentando così la capacità totale di dispositivi che la gerarchia può supportare.
Quali sono i passaggi necessari per implementare la soluzione?
Per implementare la soluzione è possibile eseguire i passaggi descritti in questa sezione. Verificare la corretta esecuzione di ogni passaggio prima di procedere al successivo.
Ottenere una sottoscrizione a Windows Intune.
Per poter installare il connettore Windows Intune, è necessario creare una sottoscrizione a Windows Intune. È possibile creare un account alla pagina Windows Intune.
Configurare il dominio pubblico.
Per usare il servizio Windows Intune, è necessario anche un nome di dominio di organizzazione pubblico verificabile con un servizio come GoDaddy. Aggiungere e verificare il dominio pubblico nel portale account di Windows Intune all'indirizzo https://account.manage.microsoft.com nel nodo Domini.
Assicurarsi che il dominio pubblico sia stato aggiunto come suffisso UPN alternativo in Active Directory locale. Gli utenti devono avere lo stesso nome dell'entità utente (UPN) del dominio pubblico nel cloud e in Active Directory locale per registrare i dispositivi mobili. È necessario verificare che gli utenti abbiano un nome UPN del dominio pubblico prima di configurare la sincronizzazione della directory e ADFS. Se si salta questo passaggio, è possibile che al nome UPN del cloud degli utenti venga automaticamente aggiunto "onmicrosoft.com" che genererà un mancata corrispondenza con i nomi utente di Active Directory locale. Per informazioni su come cambiare il nome UPN, vedere Aggiungere suffissi di nome dell'entità utente nella libreria della documentazione di Active Directory.
Aggiungere un record CNAME in DNS che riferisca enterpriseenrollment.<dominiopubblico> a manage.microsoft.com. Il record CNAME verrà usato in seguito nel processo di registrazione.
Passaggi di verifica:
Controllare la pagina Domini del portale account di Windows Intune per essere certi che il dominio pubblico sia elencato e verificato.
Esaminare le proprietà di un account utente in Active Directory locale per verificare che il nome UPN sia elencato con il nome di dominio pubblico.
Effettuare il ping di enterpriseenrollment.<dominiopubblico> e verificare che venga risolto nell'indirizzo IP di manage.microsoft.com. Il record CNAME viene utilizzato all'interno del processo di registrazione.
Configurare l'autenticazione utente
È possibile configurare ADFS dal portale account di Windows Intune all'indirizzo https://account.manage.microsoft.com. Nel nodo Utente del portale fare clic su Single Sign-On: configurazione e quindi seguire i passaggi in Impostare e gestire Single Sign-On. Per altre informazioni, vedere Elenco di controllo: Utilizzo di ADFS per implementare e gestire l'accesso Single Sign-On nella libreria della documentazione di Active Directory. Questo articolo illustra in dettaglio i requisiti necessari, il processo di pianificazione e distribuzione, oltre a come verificare che ADFS sia stato distribuito e configurato correttamente.
In alternativa, è possibile scegliere di implementare Sincronizzazione password in base alle considerazioni sulla sicurezza. Sincronizzazione password è una funzionalità dello strumento di sincronizzazione di Windows Azure Active Directory che consente di sincronizzare le password utente tra l'istanza locale di Active Directory e Windows Azure Active Directory. È possibile implementare Sincronizzazione password durante la configurazione della sincronizzazione della directory. Per conoscere le considerazioni sulla sicurezza e capire se questa è la decisione giusta per l'organizzazione, vedere Implementazione della sincronizzazione delle password.
Effettuare il provisioning degli utenti configurando la sincronizzazione della directory.
Nel nodo Utenti del portale account di Windows Intune all'indirizzo https://account.manage.microsoft.com fare clic su Sincronizzazione di Active Directory: configurazione e quindi seguire i passaggi illustrati in Impostazione e gestione della sincronizzazione di Active Directory. Per ulteriori informazioni, vedere Configurazione della sincronizzazione della directory nella libreria della documentazione di Active Directory. È possibile installare DirSync in qualsiasi computer che non sia un controller di dominio.
Passaggi di verifica: Controllare nel portale account di Windows Intune all'indirizzo https://account.manage.microsoft.com per visualizzare gli account utente.
Pianificare il server del sito primario autonomo.
Identificare un server che soddisfi i prerequisiti software e hardware per ospitare un sito primario di Configuration Manager. Per impostazione predefinita, quando si installa un sito primario per Configuration Manager, vengono installati anche i ruoli del sistema del sito del punto di gestione e del punto di distribuzione. Poiché in questo scenario si gestiranno solo dispositivi mobili, il punto di gestione e il punto di distribuzione non vengono usati. Tuttavia, la loro presenza non influisce sulle prestazioni del sito. È quindi consigliabile lasciare installati questi ruoli del sistema del sito.
Per informazioni sul dimensionamento dell'hardware, vedere Pianificazione delle configurazioni hardware per Configuration Manager. I dettagli specificati per un sito primario autonomo forniranno le informazioni di base per l'esecuzione di un sito primario in grado di supportare il connettore Windows Intune e fino a 100.000 dispositivi mobili.
Per informazioni sul software richiesto e sui sistemi operativi supportati per l'hosting di un sito di Configuration Manager, vedere Requisiti di sistema per il sito. In particolare, consultare la sezione specifica per i prerequisiti relativi al sistema operativo usato per ospitare il sito primario autonomo. I ruoli del sistema del sito installati per impostazione predefinita sono il server del sito, il server di database, server del provider SMS, il punto di gestione e il punto di distribuzione.
Distribuire un server del sito primario autonomo.
Installare e configurare un sito primario autonomo di Gestione configurazione di System Center 2012 R2 che consentirà di gestire i dispositivi mobili. Per informazioni, vedere Installare un server di sito primario.
Una volta completata l'installazione del sito, confermare o impostare le seguenti configurazioni comuni per i siti primari di Configuration Manager:
Non configurare i limiti del sito. Per impostazione predefinita, per un nuovo sito non vengono creati limiti. I limiti del sito vengono usati dai nuovi client di Configuration Manager per identificare un sito da aggiungere e trovare il contenuto distribuito. In questo scenario non viene eseguita nessuna delle due attività.
Configurare ed eseguire Individuazione utente Active Directory nel dominio per individuare gli utenti per la registrazione futura.
Verificare che Installazione push client non sia abilitato. Viene usato solo quando si è pronti a installare il client di Configuration Manager nei dispositivi Windows e non viene usato per la gestione dei dispositivi mobili.
Configurare la sottoscrizione a Windows Intune e installare il ruolo del sistema del sito Connettore Windows Intune nel server del sito primario autonomo.
Per poter usare Configuration Manager per la gestione di dispositivi mobili, è necessario configurare la sottoscrizione a Windows Intune e installare il ruolo del sistema del sito Connettore Windows Intune nel server del sito primario autonomo. Per altre informazioni, vedere Come gestire i dispositivi mobili utilizzando il connettore Windows Intune in Configuration Manager.
Passaggi di verifica:
Nel computer server del sito primario esaminare Sitecomp.log per verificare che il ruolo del sistema del sito Connettore Windows Intune sia stato installato correttamente.
Nel computer in cui si installa Connettore Windows Intune esaminare Cloudusersync.log per verificare che gli utenti del dominio siano stati sincronizzati correttamente con Windows Intune. Il file di log confermerà che i nomi UPN siano coerenti tra Windows Azure AD e AD locale. Se un utente non riesce a eseguire la sincronizzazione, il problema è molto probabilmente causato da UPN non corrispondenti.
Nel computer server del sito primario esaminare Certmgr.log per verificare che il computer in cui è stato installato Connettore Windows Intune condivida il certificato del connettore. Il certificato viene condiviso al termine dell'installazione del ruolo del sistema del sito Connettore Windows Intune.
Nel computer in cui si installa Connettore Windows Intune esaminare Dmpuploader.log per verificare che il ruolo del sistema del sito del connettore possa caricare le modifiche dei criteri e della configurazione per il servizio Windows Intune.
Nel computer in cui si installa Connettore Windows Intune esaminare Dmpdownloader.log per verificare che Connettore Windows Intune possa scaricare i messaggi da Windows Intune. Questo log potrebbe mostrare solo un ping all'inizio del processo di download e la registrazione delle voci relative ai download potrebbe richiedere tempo.
Installare la console di Gestione configurazione di System Center 2012 R2.
Per impostazione predefinita, quando si installa un sito primario, anche la console di Configuration Manager viene installata nel computer server del sito primario. Dopo aver installato il sito, è possibile installare altre console di Gestione configurazione di System Center 2012 R2 in altri computer per gestire il sito. L'installazione di una console sia da Configuration Manager 2007 che da Gestione configurazione di System Center 2012 R2 nello stesso computer è supportata. Questa installazione side-by-side consente di usare un unico computer per gestire sia l'infrastruttura di Configuration Manager 2007 esistente che i dispositivi mobili gestiti tramite Windows Intune con Gestione configurazione di System Center 2012 R2. Tuttavia, non è possibile usare la console di gestione da Gestione configurazione di System Center 2012 R2 per gestire il sito di Configuration Manager 2007 e viceversa. Per altre informazioni, vedere Installazione di una console di Configuration Manager.
Registrare i dispositivi mobili.
Per informazioni su come eseguire la registrazione dei dispositivi mobili, vedere Registrazione del dispositivo mobile.
Gestire i dispositivi mobili.
Dopo avere installato e impostato le configurazioni di base per il sito primario autonomo, è possibile iniziare a configurare la gestione dei dispositivi mobili. Di seguito sono indicate le tipiche azioni che è possibile configurare:
Per applicare impostazioni di conformità per i dispositivi mobili, vedere Impostazioni di conformità per i dispositivi mobili in Configuration Manager.
Per creare e distribuire le applicazioni nei dispositivi mobili, vedere Come creare e distribuire applicazioni per dispositivi mobili in Configuration Manager.
Per configurare l'inventario hardware, vedere Come configurare l'inventario dell'hardware per dispositivi mobili registrati da Windows Intune e Configuration Manager.
Per configurare l'inventario software, vedere Introduzione all'inventario Software di Configuration Manager.
Per cancellare il contenuto da dispositivi mobili, vedere Cancellazione del contenuto aziendale dai dispositivi mobili.
Eseguire la migrazione a Gestione configurazione di System Center 2012 R2.
Per informazioni sulla migrazione a System Center 2012 R2 Configuration Manager, vedere Migrazione delle gerarchie con System Center 2012 Configuration Manager.
Se si devono gestire più di 100.000 dispositivi, è necessario espandere il sito primario autonomo in una gerarchia. Per altre informazioni, vedere Pianificazione dell'espansione di un sito primario autonomo.