Gestione semplificata per dispositivi mobili e computer in un ambiente ibrido

Aggiornamento: agosto 2014

Si applica a: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

A chi è destinata questa guida? Società che devono gestire dispositivi mobili e PC locali e remoti utilizzando l'infrastruttura di Configuration Manager esistente per supportare la richiesta dei dipendenti di usare questi dispositivi per accedere alle risorse aziendali.

Finalità della guida. Questa guida fornisce istruzioni testate che illustrano come:

• Aggiornare l'infrastruttura di Configuration Manager locale esistente ed estenderla al cloud per consentire agli utenti di lavorare in remoto dal loro dispositivo preferito.

• Unificare la gestione di PC e dispositivi mobili in un'unica infrastruttura.

• Mantenere la conformità aziendale per tutti i dispositivi.

• Proteggere i dati aziendali.

In questa soluzione:

• Scenario, definizione del problema e obiettivi

  • Scenario

  • Definizione del problema

  • Obiettivi dell'organizzazione

• Qual è la progettazione consigliata per questa soluzione?

  • Installare System Center 2012 R2 Configuration Manager ed eseguire la migrazione degli oggetti

  • Sottoscrivere Windows Intune

  • Gestire l'identità e l'accesso con Microsoft Azure AD e la sincronizzazione directory

  • Fornire agli utenti un accesso facile e sicuro con Sincronizzazione password

  • Pianificare un aggiornamento della piattaforma in più fasi

• Passaggi di implementazione

Il diagramma seguente illustra il problema che verrà risolto da questa guida alla soluzione.

Diagramma 1: Panoramica generale del problema.

Scenario, definizione del problema e obiettivi

Questa sezione descrive lo scenario, il problema e gli obiettivi per un'organizzazione di esempio.

Scenario

Questa soluzione usa una società di esempio con più di 5.000 dipendenti che portano con sé sul lavoro i dispositivi personali Windows Phone 8, Windows RT, iOS e Android. Attualmente non hanno modo di accedere alle risorse aziendali da questi dispositivi.

La società usa Microsoft System Center Configuration Manager 2007 SP2 per gestire i PC per gli utenti locali e per quelli che si connettono in remoto alla rete aziendale tramite VPN. La società non può gestire i dispositivi mobili.

L'infrastruttura dell'ambiente della società contiene:

• Windows Server 2008 R2

• Windows Server 2008 R2 Active Directory

• Configuration Manager 2007 SP2

• PC aggiunti al dominio e gestiti da Configuration Manager

Il diagramma seguente illustra l'ambiente corrente della società.

Diagramma 2: Panoramica generale dell'ambiente corrente

Definizione del problema

L'infrastruttura di gestione corrente dei dispositivi non supporta le crescenti esigenze della società di esempio:

• Nell'ambiente corrente vengono gestiti i PC, ma non i dispositivi mobili.

• Ad alcuni dipendenti vengono forniti dispositivi mobili di proprietà dell'azienda. Gli altri dipendenti vogliono usare i dispositivi personali sul lavoro.

La società è anche preoccupata per le risorse necessarie per gestire tutti questi dispositivi. Supportare molti PC, dispositivi e applicazioni è costoso e la gestione dei dispositivi può impegnare l'IT 24 ore al giorno e sette giorni su sette.

La società deve gestire il rischio e assicurarsi che tutti i dispositivi, sia aziendali che personali, siano conformi alle linee guida relative alla sicurezza.

• La gestione dei dispositivi comporta dei rischi per la sicurezza di risorse e informazioni aziendali. Se un dipendente lavora con un dispositivo che non è gestito dall'IT (o di cui l'IT non è neppure a conoscenza), diventa molto difficile conservare il controllo delle informazioni aziendali sensibili.

• Se il dispositivo viene venduto, perso o rubato, l'IT non può fare nulla.

Obiettivi dell'organizzazione

La società di esempio sta cercando una soluzione che consenta di:

• Usare l'infrastruttura di Configuration Manager esistente. L'IT ha investito molte risorse nell'infrastruttura corrente e non vuole ricominciare da capo.

• Permettere ai dipendenti di usare i dispositivi personali, oltre a quelli della società, per accedere alle applicazioni e ai dati aziendali, inclusi PC e dispositivi mobili.

• Gestire i PC e i dispositivi personali da una singola console di amministrazione. La gestione dei dispositivi include la configurazione di impostazioni per la sicurezza e la conformità, la raccolta dell'inventario software e hardware o la distribuzione del software.

• Distribuire applicazioni o link Web in base al tipo di dispositivo e al fatto che sia un dispositivo personale o di proprietà della società.

• Proteggere la società dalla cancellazione di dati aziendali archiviati sul dispositivo mobile se viene perso, rubato o ritirato dall'uso.

Qual è la progettazione consigliata per questa soluzione?

Per risolvere il problema aziendale e raggiungere gli obiettivi di organizzazione, la società deve:

• Installare un nuovo sito primario autonomo di Gestione configurazione di System Center 2012 R2 nella sede centrale e installare i punti di distribuzione nelle sedi remote.

• Eseguire la migrazione degli oggetti e dei punti di distribuzione dall'infrastruttura di Configuration Manager 2007 SP2 esistente a Gestione configurazione di System Center 2012 R2.

• Sottoscrivere Windows Intune e configurare il connettore Windows Intune in Configuration Manager per l'integrazione con Windows Intune.

• Sincronizzare gli account utente di dominio con Microsoft Azure, dal momento che Windows Intune è un servizio cloud. Questo consente di gestire gli utenti che possono accedere alle risorse aziendali dai dispositivi mobili.

• Usare Sincronizzazione password per consentire agli utenti di usare il nome utente e la password di dominio locale per i servizi cloud.

Il diagramma seguente illustra come comunicano tra loro gli elementi in questa soluzione.

Diagramma 3: Panoramica generale della soluzione

Installare System Center 2012 R2 Configuration Manager ed eseguire la migrazione degli oggetti

Gestione configurazione di System Center 2012 R2 può offrire alla società maggiori possibilità di gestire i PC locali nel cloud integrando Windows Intune. Usando Configuration Manager con Windows Intune, la società può anche gestire i PC e i dispositivi mobili locali da un'unica console. Un altro obiettivo è ridurre il sovraccarico a livello di reparto IT.

La società installerà quindi un sito primario autonomo di Gestione configurazione di System Center 2012 R2 nella sede centrale e i punti di distribuzione nelle sedi remote.

Eseguirà poi la migrazione degli oggetti dall'ambiente Configuration Manager 2007 SP2 a Gestione configurazione di System Center 2012 R2.

La società ha scelto la migrazione per diversi motivi:

• Soluzione integrata: la società vuole una soluzione integrata che permetta di gestire sia i PC che i dispositivi mobili da un'unica console. Gestione configurazione di System Center 2012 R2 con Windows Intune fornisce questa soluzione integrata.

• Gerarchia semplificata: Con Gestione configurazione di System Center 2012 R2, hanno stabilito di non avere più bisogno di un sito secondario in ogni sede remota, come mostrato nei diagrammi seguenti.

   

• Diagramma 3: Gerarchia esistente, Configuration Manager 2007_

   

• Diagramma 4: Nuova gerarchia, Gestione configurazione di System Center 2012 R2_

  Elementi principali della gerarchia semplificata:

  • Amministrazione basata su ruoli: In Gestione configurazione di System Center 2012 R2 l'amministrazione basata su ruoli permette alla società di progettare e implementare la sicurezza amministrativa per la gerarchia di Gestione configurazione di System Center 2012 R2 usando uno o tutti gli elementi seguenti:

    • Ruoli di sicurezza

    • Raccolte

    • Ambiti di protezione

    Queste impostazioni vengono combinate per definire un ambito amministrativo per un utente amministrativo. L'ambito amministrativo controlla gli oggetti che un utente amministrativo può visualizzare nella console di Configuration Manager e le autorizzazioni dell'utente per tali oggetti. Vedi Pianificazione dell'amministrazione basata su ruoli.

  • Gestione dei contenuti: In Gestione configurazione di System Center 2012 R2 la società può configurare la larghezza di banda di rete usata per trasferire i contenuti nei punti di distribuzione e preinstallare i contenuti nei punti di distribuzione nelle sedi remote. Vedi Considerazioni sulla larghezza di banda di rete per i punti di distribuzione.

• Oggetti di cui è stata eseguita la migrazione: la società può usare strumenti di migrazione per eseguire la migrazione di oggetti da Configuration Manager 2007 SP2 alla gerarchia di Gestione configurazione di System Center 2012 R2. Il reparto IT della società ha investito molto tempo nella creazione di oggetti di Configuration Manager, ad esempio raccolte, sequenze di attività, elementi di configurazione e così via. Usando la migrazione, continueranno a usufruire di questo investimento.

• Ultime funzionalità: la società è anche interessata alle nuove funzionalità di Gestione configurazione di System Center 2012 R2 non direttamente correlate a questa soluzione. Vedi Novità di System Center 2012 R2 Configuration Manager.

Sottoscrivere Windows Intune

Il servizio Windows Intune fornisce la gestione basata su cloud dei dispositivi mobili. La società sottoscriverà Windows Intune e quindi integrerà Windows Intune con Gestione configurazione di System Center 2012 R2 per gestire sia i PC che i dispositivi mobili dalla console Configuration Manager.

Una sottoscrizione a Windows Intune supporta l'obiettivo della società di una soluzione integrata con cui gestire sia i PC che i dispositivi mobili.

La società ha preso in considerazione soluzioni di gestione dei dispositivi mobili di terze parti. Nessuna di queste soluzioni fornisce l'esperienza integrata desiderata. Non vogliono nemmeno cambiare i prodotti e sostenere i costi per la formazione e l'implementazione.

Un altro vantaggio è che la società può usare l'account utente della sottoscrizione a Windows Intune quando sottoscrive Microsoft Office 365 pochi mesi dopo.

Gestire l'identità e l'accesso con Microsoft Azure AD e la sincronizzazione directory

Windows Intune usa Windows Azure AD per archiviare gli account utente. I servizi cloud Microsoft, come Windows Intune e Office 365, si basano sulle funzionalità di gestione dell'identità fornite da Microsoft Azure AD.

La società userà la sincronizzazione directory di Microsoft Azure (DirSync) per sincronizzare gli utenti di Windows Server AD con Microsoft Azure AD. La sincronizzazione directory viene usata come relazione continuativa tra AD locale e Microsoft Azure AD basato su cloud. La società ha scelto DirSync per:

• Ridurre i costi di amministrazione: senza DirSync, la società avrebbe dovuto aggiungere manualmente gli account utente e di gruppo a Microsoft Azure AD. DirSync sincronizza gli account utente da Windows Server AD locale a Microsoft Azure AD. Dopo aver attivato la sincronizzazione directory, puoi modificare gli oggetti sincronizzati nell'ambiente locale. Queste modifiche verranno sincronizzate con la sottoscrizione a Windows Intune, che riduce i costi amministrativi.

• Migliorare la produttività: automatizzando il processo di sincronizzazione degli account utente e di gruppo, la società può ridurre considerevolmente il tempo necessario per rendere accessibili ai dipendenti i servizi basati su cloud.

Considerazioni sulla pianificazione e sulla progettazione per la sincronizzazione directory

Durante la pianificazione della sincronizzazione directory, la società ha considerato i requisiti hardware, le autorizzazioni amministratore, gli aspetti relativi alle prestazioni e così via. Tali requisiti sono documentati in Preparare la sincronizzazione della directory.

Fornire agli utenti un accesso facile e sicuro con Sincronizzazione password

Se l'autenticazione utente non viene configurata, i dipendenti della società dovranno usare un nome utente diverso e password distinte per accedere ai servizi cloud e locali. La società ha scelto di avere un'autenticazione utente per evitare l'ulteriore carico amministrativo necessario per gestire le modifiche delle password iniziali e successive e per offrire una migliore esperienza utente. Hanno deciso di usare Sincronizzazione password per l'autenticazione utente.

La società ha preso in considerazione i seguenti metodi di autenticazione per l'accesso dei dipendenti alle risorse cloud e locali con le stesse credenziali:

• Sincronizzazione password è una semplice opzione che offre agli utenti un'esperienza simile a quella di Single Sign-On e molto facile da distribuire. Sincronizzazione password è un'opzione che puoi selezionare in DirSync e che consente a DirSync di archiviare un hash della password in Microsoft Azure AD. Quando la sincronizzazione password è abilitata sul tuo computer di sincronizzazione directory, i tuoi utenti potranno accedere ai servizi cloud Microsoft, ad esempio Office 365, Dynamics CRM e Windows Intune, con la stessa password che usano quando accedono alla tua rete locale. Quando i tuoi utenti cambiano le password nella rete aziendale, tali modifiche vengono sincronizzate nel cloud.

  Sincronizzazione password però non fornisce una soluzione Single Sign-On (SSO) come quando usi ADFS. Gli utenti dovranno reimmettere le credenziali ogni volta che accedono a un servizio cloud. Vedi:

  • Sincronizzazione della directory con sincronizzazione delle password

  • Implementare la sincronizzazione password

• Active Directory Federation Services (ADFS) offre una vera e propria esperienza Single Sign-On (SSO) che interagisce con i protocolli di autenticazione di Active Directory. Active Directory locale e ADFS interagiscono con la piattaforma delle identità di Microsoft Azure AD per fornire l'accesso a uno o più servizi cloud Microsoft. Quando viene configurato SSO, viene creata una relazione di trust federativa tra il dominio e il sistema di autenticazione di Microsoft Azure AD. Gli utenti possono eseguire l'autenticazione con i servizi cloud e i servizi locali usando lo stesso nome utente e la stessa password per entrambi. Agli utenti autenticati non vengono più richieste le credenziali quando accedono a un servizio cloud.

La società ha deciso di usare Sincronizzazione password per l'autenticazione utente per un paio di motivi. Sincronizzazione password è molto facile da configurare in DirSync, che è già stato previsto di usare per sincronizzare gli account utente locali. È stato anche previsto di aggiornare i controller di dominio a Windows Server 2012 R2 entro sei mesi. ADFS è un ruolo del sito in Windows Server 2012 R2 con molte funzionalità nuove. La società prevede di implementare ADFS quando aggiornerà i controller di dominio. Per altre informazioni sull'implementazione di ADFS in Windows Server 2012 R2, vedi:

• Accesso protetto alle risorse aziendali ovunque e con qualsiasi dispositivo

• Panoramica di ADFS (Active Directory Federation Services)

La società ha deciso di usare Sincronizzazione password per l'autenticazione utente. Potresti tuttavia decidere di implementare ADFS per SSO nel tuo ambiente. Vedi:

• Considerazioni sulla progettazione di ADFS: Guida alla progettazione di ADFS 2.0

• Uso di ADFS per SSO: Elenco di controllo: utilizzo di ADFS per implementare e gestire Single Sign-On

Pianificare un aggiornamento della piattaforma in più fasi

La società ha deciso di non aggiornare AD locale nell'ambito di questa soluzione, ma prevede di eseguire l'aggiornamento nei prossimi 6 mesi.

Il reparto IT della società ha proposto di aggiornare AD locale nell'ambito della soluzione. In Windows Server 2012 R2, AD è stato migliorato con le funzionalità seguenti:

• Registrazione di dispositivi. Gli amministratori IT possono consentire a un dispositivo di essere registrato, associando così il dispositivo a Active Directory della società. Questa associazione può essere usata come autenticazione a due fattori trasparente.

• Single Sign-On (SSO) dai dispositivi associati ad Active Directory nella società.

• Proxy applicazione Web, che consente agli utenti di connettersi ad applicazioni e servizi da qualsiasi posizione.

• Controllo degli accessi a più fattori e autenticazione a più fattori, che gestiscono i rischi correlati agli utenti che lavorano ovunque e accedono ai dati protetti dai dispositivi personali.

• Cartelle di lavoro, che forniscono agli utenti una posizione in cui archiviare e da cui accedere ai file di lavoro su PC e dispositivi.

Vedi Servizi Active Directory.

Anche se il team di gestione della società ha riconosciuto il valore della nuove funzionalità, non ha però potuto approvare le risorse per aggiornare AD nell'ambito di questa soluzione. Il team di gestione vuole aggiornare AD locale nei prossimi sei mesi.

Quando sei pronto per aggiornare AD locale e implementare ADFS, vedi Accesso protetto alle risorse aziendali ovunque e con qualsiasi dispositivo.

Passaggi di implementazione

Questa sezione illustra i passaggi usati dalla società per implementare la soluzione. Se segui questi passaggi, assicurati di verificare la correttezza della distribuzione di ogni passaggio prima di procedere a quello successivo.

1. Sottoscrivi Windows Intune.

   Crea una sottoscrizione a Windows Intune nel sito Web Windows Intune.

   • Se hai già un account utente per un altro servizio cloud, ad esempio Office 365, puoi fare clic su Accedi per immettere le credenziali dell'account. Questo ti consente di condividere lo stesso gruppo di utenti per tutti i servizi nel tenant di Microsoft Azure AD dell'organizzazione.

   Passaggi di verifica: dopo aver completato il processo di iscrizione, viene inviata un'e-mail all'indirizzo e-mail specificato. Fai clic sul link incluso nell'e-mail o vai al portale degli account di Windows Intune all'indirizzo https://account.manage.microsoft.com e verifica di poter accedere.

2. Configura il dominio pubblico.

   1. Ottieni un dominio pubblico. Per usare il servizio Windows Intune, ti serve anche un nome di dominio organizzazione pubblico verificabile con un servizio di registrazione dei nomi di dominio. Aggiungi e verifica il dominio pubblico nel portale degli account di Windows Intune all'indirizzo https://account.manage.microsoft.com sotto il nodo Domini.

   2. Assicurati che il dominio pubblico sia stato aggiunto come suffisso UPN alternativo in Active Directory locale. Gli utenti devono avere lo stesso nome dell'entità utente (UPN) del dominio pubblico nel cloud e in Active Directory locale per registrare i dispositivi mobili. Devi verificare che gli utenti abbiano un nome UPN di dominio pubblico prima di configurare la sincronizzazione directory. Se salti questo passaggio, al nome UPN cloud degli utenti potrebbe venire aggiunto "onmicrosoft.com", che provocherà una mancata corrispondenza con i nomi utente di Active Directory locale. Vedi Aggiungere suffissi di nome dell'entità utente.

   3. Aggiungi un record CNAME in DNS che indirizzi enterpriseenrollment.<dominiopubblico> a manage.microsoft.com. Il record CNAME verrà usato più tardi durante il processo di registrazione. Vedi Aggiungere un record di risorse alias (CNAME) a una zona.

   Passaggi di verifica:

   • Controlla la pagina Domini del portale degli account di Windows Intune per assicurarti che il dominio pubblico sia presente nell'elenco e verificato.

   • Esamina le proprietà di un account utente in Active Directory locale per assicurarti che il nome UPN sia presente nell'elenco con il nome di dominio pubblico.

3. Fornisci agli utenti un accesso facile e sicuro usando DirSync con Sincronizzazione password.

   Puoi configurare Sincronizzazione password dal portale degli account di Windows Intune all'indirizzo https://account.manage.microsoft.com. Nel nodo Utenti del portale fai clic su Sincronizzazione di Active Directory: Configura e quindi segui i passaggi descritti in Configura e gestisci sincronizzazione di Active Directory. Abiliti Sincronizzazione password quando esegui la Configurazione guidata dello strumento di sincronizzazione directory selezionando Abilita sincronizzazione password.

   Vedi:

   • Guida di orientamento per la sincronizzazione della directory

   • Implementare la sincronizzazione password

   Passaggi di verifica: controlla nel portale degli account di Windows Intune all'indirizzo https://account.manage.microsoft.com per visualizzare gli account utente.

4. Installa il sito o la gerarchia di Gestione configurazione di System Center 2012 R2.

   Dopo aver pianificato la gerarchia di Gestione configurazione di System Center 2012 R2, la società ha deciso che installerà un sito primario autonomo nella sede centrale e i punti di distribuzione nelle sedi remote. È possibile che la tua gerarchia richieda una configurazione diversa. Usa i passaggi seguenti per installare il sito o la gerarchia di Gestione configurazione di System Center 2012 R2:

   1. Identifica un server che soddisfi i prerequisiti software e hardware, in cui ospitare un sito primario di Configuration Manager. Vedi Pianificazione delle configurazioni hardware per Configuration Manager.

   2. Esamina il software necessario e i sistemi operativi supportati per ospitare un sito di Configuration Manager. Vedi Requisiti di sistema del sito.

   3. Configura l'ambiente di Windows per supportare Gestione configurazione di System Center 2012 R2. Vedi Preparare l'ambiente di Windows per Configuration Manager.

   4. Installa un sito di Gestione configurazione di System Center 2012 R2. Vedi Installare siti e creare una gerarchia per Configuration Manager. Per questa soluzione, la società installerà un sito primario autonomo e salterà i passaggi per installare un sito di amministrazione centrale o un sito secondario. Man mano che leggi l'argomento, scegli i siti appropriati per il tuo ambiente.

   5. Installa un punto di distribuzione nelle sedi remote. La società di esempio ha determinato di poter usare un punto di distribuzione in ogni sede remota invece di usare un sito secondario in ogni sede. Per i dettagli sull'installazione e sulla configurazione di un punto di distribuzione, vedi Configurazione della gestione dei contenuti in Configuration Manager.

   Passaggi di verifica

   Nel computer server del sito primario monitora l'avanzamento nella configurazione guidata. La configurazione guidata di Configuration Manager visualizza il risultato di ogni attività di installazione del sito. Una volta completate tutte le attività di installazione, puoi chiudere la procedura guidata. Tuttavia, una volta completata l'installazione del sito, la configurazione guidata continua a visualizzare informazioni sulle configurazioni in corso per il sito, che puoi monitorare se non chiudi la procedura guidata. La chiusura della configurazione guidata non interessa queste configurazioni in corso, la cui esecuzione prosegue in background dopo che la procedura guidata è stata chiusa. Esamina ConfigMgrSetup.log per verificare che il sito sia stato installato correttamente.

5. Configura le funzionalità e le funzioni di gestione.

   Dopo aver installato il sito o la gerarchia, configura il sito per supportare le funzionalità e le funzioni di gestione di Gestione configurazione di System Center 2012 R2 che vuoi usare. Devi configurare l'individuazione utente Active Directory prima di configurare la sottoscrizione a Windows Intune o di installare il ruolo del sistema del sito del connettore Windows Intune nel passaggio 8. Vedi:

   1. Configurare i siti e la gerarchia in Configuration Manager

   2. Configurare l'individuazione Active Directory per computer, utenti o gruppi

6. Esegui la migrazione a Gestione configurazione di System Center 2012 R2.

   Quando esegui la migrazione di oggetti dalla gerarchia di origine di Configuration Manager 2007, accedi ai dati dai database del sito che identifichi nell'infrastruttura di origine e quindi copi i dati nella gerarchia di Gestione configurazione di System Center 2012 R2. La migrazione non cambia i dati nella gerarchia di origine. Individua i dati e archivia una copia nel database della gerarchia di destinazione. Vedi Migrazione delle gerarchie con System Center 2012 Configuration Manager.

   Per eseguire la migrazione dei dati di Configuration Manager 2007 a Gestione configurazione di System Center 2012 R2:

   1. Specifica la tua gerarchia di Configuration Manager 2007 SP2 come gerarchia di origine per la migrazione. Per impostazione predefinita, il sito principale di tale gerarchia diventa un sito di origine della gerarchia di origine. Una volta raccolti i dati dal sito di origine iniziale, potrai configurare altri siti di origine per la migrazione.

      Configuration Manager inizierà a raccogliere i dati dal sito di origine immediatamente dopo che avrai specificato una gerarchia di origine, configurato le credenziali per ogni sito di origine aggiuntivo in una gerarchia di origine o condiviso i punti di distribuzione per un sito di origine. Per impostazione predefinita, il processo di raccolta dati si ripete ogni quattro ore in modo che Configuration Manager possa identificare le modifiche dei dati nella gerarchia di origine, di cui potresti voler eseguire la migrazione. La raccolta dati è necessaria anche per condividere i punti di distribuzione dalla gerarchia di origine alla gerarchia di destinazione. Vedi Configurazione di gerarchie di origine e siti di origine per la migrazione in System Center 2012 Configuration Manager.

   2. Crea processi di migrazione per eseguire la migrazione dei dati tra la gerarchia di origine e quella di destinazione. Usa i processi di migrazione per configurare i dati specifici di cui vuoi eseguire la migrazione nella tua gerarchia di Gestione configurazione di System Center 2012 R2. I processi di migrazione identificano gli oggetti che prevedi di migrare e vengono eseguiti nel sito principale nella tua gerarchia. Vedi Creare e modificare i processi di migrazione per System Center 2012 Configuration Manager.

   3. Monitora i processi di migrazione. Monitora l'avanzamento dei processi di migrazione nella console di Gestione configurazione di System Center 2012 R2. Vedi Monitorare l'attività di migrazione nell'area di lavoro di migrazione.

   4. Aggiorna i punti di distribuzione condivisi. Puoi impostare un punto di distribuzione supportato condiviso dal tuo sito di origine di Configuration Manager 2007 come punto di distribuzione nella gerarchia di destinazione. Vedi Aggiornare o riassegnare un punto di distribuzione condiviso in System Center 2012 Configuration Manager.

   5. Esegui la migrazione dei client Configuration Manager 2007 a Gestione configurazione di System Center 2012 R2. Dopo la migrazione dei dati per i client tra le gerarchie, ma prima del completamento della migrazione, pianifica la migrazione dei client nella gerarchia di destinazione. Per eseguire la migrazione dei client tra le gerarchie, installa il software client Configuration Manager dalla gerarchia di destinazione. Il client Configuration Manager viene disinstallato e il client Gestione configurazione di System Center 2012 R2 viene installato e assegnato al sito primario. Vedi Pianificazione di una strategia di migrazione client in System Center 2012 Configuration Manager.

   6. Completa il processo di migrazione: quando la gerarchia di Configuration Manager 2007 non contiene più i dati di cui vuoi eseguire la migrazione nella gerarchia di destinazione, puoi completare il processo di migrazione. A tale scopo:

      1. Assicurati di aver completato la migrazione dalla gerarchia di origine di tutte le risorse di cui hai bisogno nella gerarchia di destinazione, inclusi i dati e i client.

      2. Interrompi la raccolta dei dati da ogni sito di origine nella gerarchia di Configuration Manager 2007. A tale scopo, esegui l'azione Interrompi raccolta dati nei siti di origine di livello inferiore e quindi ripeti il processo in ogni sito padre. Il sito principale della gerarchia di origine deve essere l'ultimo in cui interrompi la raccolta dati. Devi interrompere la raccolta dati in ogni sito figlio prima di eseguire questa azione su un sito padre. Dopo aver interrotto la raccolta dati, non potrai più condividere i punti di distribuzione tra le gerarchie di origine e di destinazione.

      3. Pulisci i dati della migrazione. A tale scopo, usa l'azione Pulisci dati migrazione. Questa azione facoltativa rimuove i dati sulla gerarchia di origine corrente dal database della gerarchia di destinazione. Finché non pulisci i dati della migrazione, ogni processo di migrazione eseguito o di cui è programmata l'esecuzione rimane accessibile nella console di Configuration Manager. Quando pulisci i dati della migrazione, la maggior parte dei dati sulla migrazione viene rimossa dal database della gerarchia di destinazione. Vedi Completare la migrazione in System Center 2012 Configuration Manager.

      Passaggi di verifica: la migrazione è costituita da più azioni o fasi distinte e prosegue per un determinato periodo di tempo finché non decidi di completare il processo di migrazione. Non c'è quindi un singolo passaggio o processo di verifica che puoi rivedere per controllare che la migrazione sia stata completata. Puoi invece verificare i risultati visualizzati nella console di Gestione configurazione di System Center 2012 R2 quando vengono eseguite o completate le azioni per ogni fase.

   7. Rimuovi le autorizzazioni per la gerarchia di Configuration Manager 2007: dopo aver completato la migrazione da una gerarchia di origine e dopo che tale gerarchia non contiene più risorse gestite da te, puoi rimuovere le autorizzazioni per i siti nella gerarchia di origine e rimuovere l'infrastruttura correlata dal tuo ambiente. Vedi Attività di Configuration Manager per rimuovere le autorizzazioni per siti e gerarchie.

7. Ottieni certificati o chiavi per dispositivi mobili

   La società deve avere i certificati o le chiavi di sideload prima di poter registrare i dispositivi mobili. I tipi di dispositivi mobili presenti nel tuo ambiente determineranno di quali certificati o chiavi di sideload avrai bisogno. Vedi Ottenere certificati o chiavi per soddisfare i prerequisiti per ogni piattaforma.

8. Configura la sottoscrizione a Windows Intune e installa il ruolo del sistema del sito del connettore Windows Intune nel sito principale.

   Prima che la società possa usare Configuration Manager per gestire i dispositivi mobili, deve configurare la sottoscrizione a Windows Intune e installare il ruolo del sistema del sito del connettore Windows Intune nel server del sito principale. Dovrà configurare il sito primario autonomo. Se hai una gerarchia più complessa, configura il sito di amministrazione centrale.

   1. Configura la sottoscrizione a Windows Intune. Vedi Configurazione della sottoscrizione a Microsoft Windows Intune.

   2. Installa il connettore Windows Intune. Vedi Ruolo del sistema del sito del connettore Windows Intune.

   Passaggi di verifica:

   • Nel computer server del sito primario esamina sitecomp.log per verificare che il ruolo del sistema del sito del connettore Windows Intune sia stato installato correttamente.

   • Nel computer in cui installi il connettore Windows Intune esamina cloudusersync.log per verificare che gli utenti del tuo dominio abbiano eseguito correttamente la sincronizzazione con Windows Intune.

   • Nel computer server del sito primario esamina CertMgr.log per verificare che il computer in cui hai installato il connettore Windows Intune condivida il certificato del connettore. Il certificato viene condiviso dopo che è stata completata l'installazione del ruolo del sistema del sito del connettore Windows Intune.

   • Nel computer in cui installi il connettore Windows Intune esamina dmpuploader.log per verificare che il ruolo del sistema del sito del connettore possa caricare le modifiche dei criteri e della configurazione nel servizio Windows Intune.

   • Nel computer in cui installi il connettore Windows Intune esamina dmpdownloader.log per verificare che il connettore Windows Intune sia in grado di scaricare i messaggi da Windows Intune. Questo log potrebbe mostrare solo un ping all'inizio del processo di download e la registrazione delle voci correlate ai download potrebbe richiedere un certo tempo.

9. Registra i dispositivi mobili.

   La registrazione stabilisce una relazione tra l'utente, il dispositivo mobile e il servizio Windows Intune. Gli utenti registrano i propri dispositivi mobili. I dispositivi Android non vengono registrati, ma possono essere gestiti usando il connettore Exchange Server. Vedi Registrazione del dispositivo mobile.

10. Installa la console di Gestione configurazione di System Center 2012 R2.

    Per impostazione predefinita, quando installi un sito primario, la console di Configuration Manager viene installata anche nel computer server del sito primario. Dopo l'installazione del sito, puoi installare altre console di Gestione configurazione di System Center 2012 R2 nei computer per gestire il sito. Vedi Installazione di una console di Configuration Manager.

11. Gestisci i PC e i dispositivi mobili.

    Dopo aver installato il sito e aver eseguito le configurazioni di base, puoi iniziare a configurare la gestione dei PC e dei dispositivi mobili. Le tipiche caratteristiche o funzionalità configurabili sono le seguenti:

    Funzionalità	Dettagli
    Inventario hardware	Usa l'inventario hardware per raccogliere informazioni sulla configurazione hardware dei dispositivi client nella tua organizzazione.
    Inventario software	Usa l'inventario software per raccogliere informazioni sui file contenuti nei dispositivi client nella tua organizzazione. L'inventario software può anche raccogliere i file dai dispositivi client e archiviarli nel server del sito.
    Asset Intelligence	Usa Asset Intelligence per inventariare e gestire le licenze software in tutta la tua azienda e aumentare la quantità di informazioni raccolte sull'hardware e il software.
    Impostazioni di conformità	Usa le impostazioni di conformità per gestire la configurazione e la conformità di server, portatili, computer desktop e dispositivi mobili nella tua organizzazione.
    Accesso risorse aziendali	Usa Accesso risorse aziendali per fornire agli utenti della tua organizzazione l'accesso a dati e applicazioni da posizioni remote, configurando quanto segue: Profili certificato Profili VPN Profili Wi-Fi
    Profili di connessione remota	Usa i profili di connessione remota per consentire agli utenti di connettersi in remoto ai computer di lavoro quando non sono connessi al dominio o se i loro computer personali sono connessi via Internet.
    Gestione delle applicazioni	Usa la gestione delle applicazioni per gestire le tue applicazioni aziendali sia per gli utenti amministrativi di Configuration Manager che per gli utenti di dispositivi client.
    Aggiornamenti software	Usa gli aggiornamenti software per monitorare la conformità e distribuire gli aggiornamenti software nei computer aziendali.
    Gestire i dispositivi mobili	Segui i passaggi di questa procedura dettagliata che ti consentono di gestire i dispositivi Windows Phone 8, Windows RT, iOS e Android usando il servizio Windows Intune via Internet.
    Cancellazione del contenuto aziendale dai dispositivi mobili	Puoi eseguire una cancellazione completa sui dispositivi Windows Phone 8, iOS e Android per ripristinare le impostazioni del produttore sui dispositivi. Puoi anche eseguire una cancellazione selettiva per rimuovere solo il contenuto aziendale.

Vedere anche