Planear a Gestão de Dispositivos Móveis no Local no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Considere os requisitos seguintes antes de preparar a infraestrutura do Gestor de configuração para processar o Gestão de Dispositivos Móveis no -Local:

Gestão de Dispositivos Móveis no -Local permite-lhe gerir dispositivos móveis utilizando as capacidades de gestão incorporadas nos sistemas operativos dos dispositivos. A capacidade de gestão baseia-se na norma de Gestão de Dispositivos da Open Mobile Alliance (OMA) e muitas plataformas de dispositivos utilizam esta norma para permitir a gestão dos dispositivos. Chamamos a estes dispositivos dispositivos modernos (na documentação e na interface de utilizador da consola do Gestor de configuração) para distingui-los de outros dispositivos que necessitam do cliente do Gestor de configuração para geri-los.

System_CAPS_ICON_note.jpg Nota


O current branch do Gestor de configuração suporta a inscrição no Gestão de Dispositivos Móveis no -Local para os dispositivos com os seguintes sistemas operativos:

  • Windows 10 Enterprise
  • Windows 10 Pro
  • Windows 10 Team (a partir da Gestor de configuração versão 1602)
  • Windows 10 Mobile
  • Windows 10 Mobile Enterprise

Para começar a utilizar a Gestão de Dispositivos Móveis no -Local, será necessário uma subscrição do Microsoft Intune. A subscrição só é necessária para controlar o licenciamento dos dispositivos e não é utilizada para gerir ou armazenar informações de gestão dos dispositivos. Toda a gestão é feita pela sua organização com a infraestrutura do Gestor de configuração no local.

System_CAPS_ICON_important.jpg Importante


Gestor de configuração não suporta a utilização do Microsoft Intune e da infraestrutura do Gestor de configuração no local como autoridades de gestão em simultâneo. Assim, quando configurar a subscrição do Intune para gestão no local, estará efetivamente a desativar a gestão do Intune.

Se o seu site tiver dispositivos com ligação à Internet, o serviço Intune pode ser utilizado para notificar os dispositivos para verificar o ponto de gestão de dispositivos relativamente a atualizações de política. Esta utilização do Intune destina-se estritamente a notificação apenas de dispositivos com acesso à Internet. Os dispositivos sem ligação à Internet (e que não podem ser contactados pelo Intune) dependem do intervalo de consulta configurado para verificar as funções de gestão com as funções do sistema de sites.

System_CAPS_ICON_tip.jpg Dica


Recomendamos que configure o Intune antes de configurar as funções de sistema de sites necessárias para minimizar o tempo necessário para que as funções do sistema de sites fiquem funcionais.

Para obter informações sobre como configurar a subscrição do Intune, veja Configurar uma subscrição do Microsoft Intune para Gestão de Dispositivos Móveis no Local do System Center Configuration Manager.

Gestão de Dispositivos Móveis no -Local requer, pelo menos, uma de cada uma das seguintes funções do sistema de sites:

  • Ponto proxy de registo para suportar pedidos de inscrição.

  • Ponto de inscrição para suportar a inscrição de dispositivos.

  • Ponto de gestão de dispositivos para entrega de políticas. Esta função do sistema de sites é uma variação da função de ponto de gestão que foi configurada para permitir a gestão de dispositivos móveis.

  • Ponto de distribuição para a entrega de conteúdo.

  • Ponto de ligação de serviço para ligação ao Intune para notificar dispositivos fora da firewall.

Estas funções de sistema de sites podem ser instaladas no servidor do sistema de sites único ou podem ser executadas separadamente em servidores diferentes, consoante as necessidades da sua organização. Cada servidor do sistema de sites utilizado para o Gestão de Dispositivos Móveis no -Local tem de ser configurado como um ponto final de HTTPS para comunicação com dispositivos fidedignos. Para obter mais informações, veja Comunicações fidedignas necessárias.

Para obter mais informações sobre o posicionamento de funções do sistema de sites, veja Planear os servidores do sistema de sites e as funções do sistema de sites para o System Center Configuration Manager.

Para obter mais informações sobre como adicionar as funções necessárias do sistema de site, veja Instalar funções do sistema de sites para Gestão de Dispositivos Móveis no Local do System Center Configuration Manager.

Gestão de Dispositivos Móveis no -Local necessita de funções de sistema de sites para ser ativada para comunicações HTTPS. Consoante as suas necessidades, pode utilizar a autoridade de certificação (AC) da sua empresa para estabelecer as ligações fidedignas entre servidores e dispositivos ou pode utilizar uma AC disponível ao público para ser a autoridade fidedigna. De qualquer forma, irá precisar que um certificado do servidor Web seja configurado com o IIS nos servidores do sistema de sites que alojam as funções do sistema de sites necessárias e irá precisar do certificado de raiz dessa AC instalado nos dispositivos que necessitam de ligar a esses servidores.

Se utilizar a AC da sua empresa para estabelecer comunicações fidedignas, terá de realizar as seguintes tarefas:

  • Criar e emitir o modelo do certificado do servidor Web na AC.

  • Solicitar um certificado de servidor Web para cada servidor do sistema de sites que aloja uma função do sistema de sites necessária.

  • Configurar o IIS no servidor do sistema de sites para utilizar o certificado do servidor Web solicitado.

No caso de dispositivos associados ao domínio do Active Directory da empresa, o certificado de raiz da AC empresarial já se encontra disponível no dispositivo para ligações fidedignas. Isto significa que os dispositivos associados a um domínio (como computadores de secretária) serão considerados automaticamente fidedignos para ligações HTTPS com os servidores do sistema de sites. No entanto, os dispositivos não associados a um domínio (normalmente, dispositivos móveis) não terão o certificado de raiz necessário instalado. Os dispositivos irão necessitar que o certificado de raiz seja instalado manualmente de forma a comunicar com êxito com os servidores do sistema de sites que suportam a Gestão de Dispositivos Móveis no -Local.

Tem de exportar o certificado de raiz da AC emissora para utilização pelos dispositivos individuais. Para obter o ficheiro de certificado de raiz, pode exportá-lo utilizando a AC ou um método mais simples que consiste em utilizar o certificado do servidor Web emitido pela AC para extrair a raiz e criar um ficheiro de certificado de raiz. Em seguida, o certificado de raiz tem de ser entregue no dispositivo. Alguns exemplos de métodos de entrega incluem

  • Sistema de ficheiros

  • Anexo de e-mail

  • Cartão de memória

  • Dispositivo tethered

  • Armazenamento na nuvem (por exemplo, o OneDrive)

  • Ligação de comunicação de proximidade (NFC)

  • Leitor de código de barras

  • Pacote de aprovisionamento OOBE (out of box experience)

Para obter mais informações, veja Configurar certificados para comunicações fidedignas para a Gestão de Dispositivos Móveis no Local do System Center Configuration Manager

Para ativar a inscrição de dispositivos para Gestão de Dispositivos Móveis no -Local, os utilizadores têm de possuir permissão para inscrição e os respetivos dispositivos têm de ser capazes de ter comunicações fidedignas com os servidores do sistema de sites que alojam as funções do sistema de sites necessárias.

A concessão de permissão de inscrição de utilizadores pode ser conseguida através da configuração de um perfil de inscrição nas definições de cliente do Gestor de configuração. Pode utilizar as predefinições de cliente para emitir o perfil de inscrição para todos os utilizadores detetados ou pode configurar o perfil de inscrição nas definições de cliente personalizadas e emitir as definições para uma ou mais coleções de utilizador.

Com a permissão de inscrição de utilizadores concedida, os utilizadores podem inscrever os respetivos dispositivos. Para ser inscrito, o dispositivo do utilizador tem de ter o certificado de raiz da autoridade de certificação (AC) que emitiu o certificado do servidor Web utilizado nos servidores do sistema de sites que alojam as funções do sistema de sites necessárias.

Como alternativa para a inscrição iniciada pelo utilizador, pode configurar um pacote de inscrição em volume que permite que o dispositivo seja inscrito sem a intervenção do utilizador. Este pacote pode ser fornecido ao dispositivo antes de ser inicialmente aprovisionado para utilização ou depois de o dispositivo passar pelo respetivo processo OOBE.

Para mais informações sobre como configurar e inscrever dispositivos, consulte

Gerir dispositivos móveis com a infraestrutura no local no System Center Configuration Manager

Mostrar: