Управление мобильными устройствами для клиентов Configuration Manager 2007, планирующих миграцию в System Center 2012 R2 Configuration Manager

  • Статья

 

Чем может быть полезно данное руководство? В этом руководстве содержатся конкретные протестированные методы разработки, которые можно использовать для получения общих сведений о шагах разработки и внедрения, рекомендуемых для управления мобильными устройствами iOS, Android, Windows Phone 8, Windows RT или Windows 8.1 при существующей иерархии Configuration Manager 2007 и запланированной миграции в System Center 2012 R2 Configuration Manager.

При запланированной миграции в System Center 2012 R2 Configuration Manager необходимо решение, которое позволяет управлять устройствами в вашей организации. В этом руководстве по решению описано, как запустить автономный первичный сервер сайта System Center 2012 R2 Configuration Manager в среде Configuration Manager 2007, чтобы включить управление мобильными устройствами.

На следующей схеме показаны проблема и сценарий, для которых предназначено это руководство по решению.

Configuration Manager и управление мобильными устройствами

Управление устройствами с помощью Configuration Manager 2007

В этом руководстве:

  • Сценарий, постановка задачи и цели

  • Какой рекомендуется использовать метод разработки для этого решения?

  • Какие шаги высокого уровня следует предпринять для реализации этого решения?

Сценарий, постановка задачи и цели

В этом разделе описаны сценарий, текущая проблема и возможные цели.

Сценарий

Все большему количеству сотрудников компании необходим доступ к данным компании с персональных устройств. Вы хотите удовлетворить требование, предоставив сотрудникам возможность использовать собственные устройства для выполнения задач по работе из любого расположения через Интернет.

Ваша организация является крупной корпорацией, состоящей из более чем 5 000 пользователей, которые приносят свои персональные устройства на работу. Ваша инфраструктура поддерживает управление компьютерами для локальных пользователей и пользователей, подключающихся к корпоративной сети удаленно по VPN. В настоящее время вы управляете этими компьютерами с помощью Configuration Manager 2007 и не готовы полностью развертывать System Center 2012 R2 Configuration Manager.

В общих словах, в настоящее время организация использует следующие технологии:

  • доменную службу и службу каталогов, в частности Active Directory;

  • программное обеспечение для управления ПК, в частности System Center Configuration Manager 2007;

  • присоединенные к домену ПК, которые управляются Configuration Manager 2007;

  • персональные мобильные устройства сотрудников, а также персональные ПК, не присоединенные к домену.

Постановка задачи

В настоящее время для управления устройствами в организации вы используете Configuration Manager 2007, но это решение не управляет устройствами iOS, Android, Windows Phone 8, Windows RT и персональными устройствами Windows 8.1. Однако последняя версия Configuration Manager и Windows Intune предоставляет поддержку этих устройств. Поскольку вы планируете миграцию в System Center 2012 R2 Configuration Manager, необходимо использовать его в качестве решения для управления мобильными устройствами, чтобы избежать затрат и усилий на интеграцию решения сторонних разработчиков. В качестве решения управления вы бы хотели реализовать System Center 2012 R2 Configuration Manager, даже если не готовы к полному развертыванию этой версии и переносу всей инфраструктуры из Configuration Manager 2007.

Цели организации

  • Возможность управления современными устройствами, например Windows Phone 8, Windows RT, iOS, Android и персональными устройствами Windows 8.1. В управление устройствами могут входить параметры безопасности и соответствия, сбор данных инвентаризации программного обеспечения и оборудования или развертывание мобильных приложений.

  • Защита данных компании с помощью возможности удаления данных компании с мобильных устройств по Интернету.

  • Масштабирование для управления более чем 100 000 мобильных устройств.

  • Знакомое решение, практически не требующее обучения.

  • Реализация решения, которое совместимо с существующей средой и может использоваться в будущем.

Какой рекомендуется использовать метод разработки для этого решения?

В среде, где вы управляете локальными устройствами с помощью Configuration Manager 2007, также требуется возможность управления мобильными устройствами. Основным ограничением является то, что вы не готовы к миграции на последнюю версию Configuration Manager, но хотите использовать возможности управления мобильными устройствами. Поскольку вы планируете миграцию на последнюю версию Configuration Manager, промежуточное решение для управления мобильными устройствами должно остаться актуальным после миграции.

System Center 2012 R2 Configuration Manager использует Windows Intune для управления мобильными устройствами. На консоли Configuration Manager можно управлять мобильными устройствами таким же образом, как и другими устройствами. Основное отличие мобильных устройств от компьютеров в домене состоит в том, что они управляются по Интернету. Консоль Configuration Manager взаимодействует со службой Windows Intune, которая фактически управляет мобильными устройствами по Интернету. При использовании System Center 2012 R2 Configuration Manager с Windows Intune для управления мобильными устройствами вы получите следующие возможности.

  • Защита данных компании с помощью параметров безопасности и возможность удаления данных компании с устройств, использование которых прекращено. Вы можете использовать параметры соответствия, чтобы принудительно включить политику безопасности для пользователей мобильных устройств. В эти параметры могут входить такие атрибуты, как параметры пароля, камеры, системы и безопасности. Вы можете также запускать отчеты для определения корневых устройств Android и модифицированных устройств iOS.

  • Управление устройствами с помощью параметров соответствия. В параметры соответствия могут входить любые параметры, включая параметры роуминга, хранилища или устройства. Полный список параметров см. в разделе Параметры соответствия для мобильных устройств в Configuration Manager.

  • Сбор данных инвентаризации оборудования и программного обеспечения. Вы можете запустить отчеты для просмотра данных инвентаризации оборудования, в которых описываются типы зарегистрированных устройств, и данных инвентаризации программного обеспечения, в которых указано, какие приложения установлены на устройствах.

  • Управление приложениями путем загрузки неопубликованных приложений на мобильные устройства или с помощью развертывания ссылок на приложения, доступные в магазинах устройств, таких как Магазин Windows, магазин Windows Phone, App Store и Google Play.

  • Создание единого интерфейса для доступа к данным компании на портале компании. Портал компании — это интерфейс, в котором пользователи могут просматривать данные компании и устанавливать приложения.

В этом решении управление мобильными устройствами будет включено автономным первичным сайтом System Center 2012 R2 Configuration Manager и соединителем Windows Intune. Windows Intune является облачной службой, поэтому, чтобы пользователи могли зарегистрировать свои устройства, необходимо синхронизировать учетные записи пользователей домена с Windows Azure. Это позволит вам управлять тем, какие пользователи могут получить доступ к ресурсам компании со своих мобильных устройств. После того как пользователи получат доступ к ресурсам компании с мобильных устройств по Интернету, вы сможете использовать службу федерации Active Directory (AD FS) для включения единого входа.

На следующей схеме показано, как компоненты сервера автономного первичного сайта System Center 2012 R2 Configuration Manager взаимодействуют со средой Configuration Manager 2007. Часть схемы с AD FS является необязательной.

Автономный первичный сервер System Center 2012 R2 Configuration Manager работает непосредственно со средой Configuration Manager 2007.

Управление мобильными устройствами с помощью Configuration Manager

В следующей таблице указаны элементы, которые являются частью разработки решения, и описывается причина такого выбора.

Элемент разработки решения

Почему он включен в это решение?

System Center 2012 R2 Configuration Manager

Управление мобильными устройствами с помощью службы Windows Intune.

Windows Intune

Управление мобильными устройствами по Интернету.

Active Directory в Windows Azure

Подготовка пользователей в облаке.

Синхронизация каталогов

Синхронизация локальных пользователей Active Directory с помощью Windows Azure Active Directory.

Службы федерации Active Directory (AD FS)

Взаимодействие с помощью единого входа.

System Center 2012 R2 Configuration Manager и соединитель Windows Intune

System Center 2012 R2 Configuration Manager будет запущен вместе с Configuration Manager 2007. До миграции всей среды Configuration Manager в System Center 2012 сайт System Center 2012 R2 Configuration Manager будет использоваться только для управления мобильными устройствами. Поскольку можно установить консоль System Center 2012 R2 Configuration Manager на том же компьютере, где установлена консоль Configuration Manager 2007, вы можете управлять устройствами с одного компьютера.

При параллельном запуске продуктов необходимо соблюдать меры предосторожности, чтобы предотвратить обнаружение устройствами, которые должны управляться Configuration Manager 2007, вашего развертывания System Center 2012 R2 Configuration Manager. Например, следует убедиться, что два продукта не настраивают границы для назначения сайтов, на которых эти границы включают те же сетевые расположения. Это называется перекрывающимися границами. К счастью, перекрывающихся границ легко избежать, поскольку они не настраиваются по умолчанию и вам не нужно настраивать границы для System Center 2012 R2 Configuration Manager, чтобы включить управления мобильными устройствами при использовании Windows Intune.

Вы установите роль системы сайтов соединителя Windows Intune на сайте System Center 2012 R2 Configuration Manager, который подключает вас к службе Windows Intune.

Windows Azure Active Directory и синхронизация каталогов (DirSync)

Windows Intune использует Windows Azure Active Directory для хранения учетных записей пользователей. Вам потребуется синхронизировать пользователей Active Directory с Windows Azure Active Directory. Синхронизация каталогов предназначена для постоянного взаимодействия между локальной средой и облаком. После активации синхронизации каталогов можно изменить синхронизированные объекты в локальной среде, и эти изменения будут синхронизированы с подпиской Windows Intune.

Варианты проверки подлинности пользователей

После указания учетных записей пользователей в Windows Azure AD вы можете выбрать один из нескольких способов проверки подлинности пользователей. Это может быть AD FS, синхронизация паролей или ни один из этих способов.

AD FS обеспечивает единый вход, работающий с протоколами проверки подлинности Active Directory. AD FS является более надежным решением, так как сведения о пароле никогда не отправляются в облачную службу Windows Azure AD. Локальная служба Active Directory и AD FS взаимодействуют с платформой удостоверений Windows Azure AD для предоставления доступа к одной или нескольким службам Майкрософт. При настройке единого входа вы устанавливаете федеративные отношения между доменом и системой проверки подлинности Windows Azure AD. Это позволяет вашим пользователям легко получить доступ к облачным службам Майкрософт без необходимости входить, используя другие учетные данные.

С AD FS вам потребуется по крайней мере один сервер федерации или одна ферма сервера и прокси-сервер федерации. Сервер федерации выполняет проверку подлинности клиентов, а прокси-сервер федерации предоставляет уровень безопасности и перенаправляет запросы на проверку подлинности клиентов, полученные за пределами корпоративной сети, на серверы федерации. Поскольку вы являетесь клиентом Windows Intune, развертывание прокси-сервера федерации в существующей инфраструктуре AD FS необходимо для разрешения проверки подлинности пользователей мобильных устройств в Интернете.

Синхронизация паролей является упрощенным решением, которое предоставляет пользователям взаимодействие, аналогичное единому входу и очень простое для развертывания. Хотя синхронизация паролей не является настоящей возможностью единого входа, ее можно выбрать в DirSync, что позволит DirSync хранить хэш пароля в Windows Azure AD. Пользователи могут использовать одно имя пользователя и пароль для проверки подлинности как в облачных службах, так и в локальных.

Если вы не реализуете AD FS или синхронизацию паролей, пользователям для синхронизации придется вручную обновлять пароли или просто помнить несколько паролей в зависимости от того, получают ли они доступ к облачным или локальным службам. Этот подход не рекомендуется, поскольку для него требуются дополнительные административные расходы на управление начальными и текущими изменениями пароля и приводит к менее понятному взаимодействию с пользователями.

Корпоративный портал

Портал компании — это простой способ для пользователей получить централизованный доступ ко всем корпоративным приложениям. Можно заполнить портал компании внутренними бизнес-приложениями, а также ссылками на приложения в общедоступных магазинах приложений (Магазин Microsoft Windows, Магазин Windows Phone, Apple App Store и Google Play). На портале управления пользователи могут управлять своими устройствами и выполнять разные действия, например очистку утерянного или замененного устройства.

Пользователи регистрируются на портале компании, используя мобильное устройство. Во время регистрации мобильное устройство взаимодействует с прокси-сервером федерации, который выполняет проверку подлинности пользователя для регистрации.

Миграция

Когда вы будете готовы к миграции инфраструктуры Configuration Manager 2007 в System Center 2012 R2 Configuration Manager, в качестве начальной точки можно будет использовать существующий автономный первичный сайт. System Center 2012 R2 Configuration Manager поддерживает миграцию данных и клиентов из инфраструктуры Configuration Manager 2007 в System Center 2012 R2 Configuration Manager. Затем, после переноса данных и клиентов, можно списать сайты и инфраструктуру Configuration Manager 2007.

Если ваша инфраструктура Configuration Manager 2007 включает большее количество устройств, чем то, которым вы можете управлять с помощью одного автономного первичного сайта System Center 2012 R2 Configuration Manager, можно использовать вариант расширения автономного первичного сайта в более крупную иерархию, в которую включен сайт центрального администрирования и дополнительные первичные сайты. Этот параметр позволяет поддержать управление мобильными устройствами текущим первичным сайтом и добавить дополнительные первичные сайты в иерархию, что увеличивает общую емкость устройств, которую может поддержать иерархия.

Какие шаги высокого уровня следует предпринять для реализации этого решения?

Для реализации решения можно использовать действия в этом разделе. Убедитесь в правильном развертывании каждого шага, перед тем как переходить к следующему.

  1. Получите подписку Windows Intune.

    Перед установкой соединителя Windows Intune необходимо создать подписку Windows Intune. Можно зарегистрировать учетную запись Windows Intune.

  2. Настройте общий домен.

    1. Чтобы использовать службу Windows Intune, также необходимо общее доменное имя организации, которое можно проверить в таких службах, как GoDaddy. Добавить и проверить общедоступный домен можно на портале учетных записей Windows Intune по адресу https://account.manage.microsoft.com в узле Домены.

    2. Убедитесь, что общедоступный домен добавлен в локальный каталог Active Directory в качестве другого суффикса имени участника-пользователя. Для регистрации мобильных устройств пользователи должны иметь одинаковое доменное имя участника-пользователя в облачной и локальной службах Active Directory. Убедитесь, что у пользователей есть общедоступное доменное имя участника-пользователя, прежде чем настраивать синхронизацию каталогов и AD FS. Если вы пропустите этот шаг, может оказаться, что в облачное имя участника-пользователя некоторых пользователей будет автоматически добавлено «onmicrosoft.com», что приведет к несоответствию с локальными именами пользователей Active Directory. Сведения о том, как изменить имя участника-пользователя, см. в разделе Добавление суффиксов имени участника-пользователя в библиотеке документов Active Directory.

    3. Добавьте запись CNAME в DNS, указывающую enterpriseenrollment.<общедоступный_домен> на manage.microsoft.com. Запись CNAME используется позже, в рамках процесса регистрации.

    Шаги проверки.

    • Проверьте страницу Домены портала учетных записей Windows Intune, чтобы убедиться, что общедоступный домен указан и проверен.

    • Посмотрите свойства учетной записи пользователя в локальной службе Active Directory, чтобы убедиться, что имя участника-пользователя указано с общедоступным доменным именем.

    • Проверьте связь с enterpriseenrollment.<общедоступный_домен> и убедитесь, что он сопоставляется с IP-адресом manage.microsoft.com. Запись CNAME используется в рамках процедуры регистрации.

  3. Настройте проверку подлинности пользователей.

    AD FS можно настроить на портале учетных записей Windows Intune по адресу https://account.manage.microsoft.com. В узле Пользователь портала щелкните кнопку Единый вход: настройка и следуйте инструкциям для настройки и управления единым входом. Дополнительные сведения см. в разделе Контрольный список: использование AD FS для реализации и управления единым входом в библиотеке документов Active Directory. В этой статье полностью указаны необходимые требования, процесс планирования и развертывания, а также проверки правильности развертывания и настройки AD FS.

    Кроме того, рассмотрите реализацию синхронизации паролей в соответствии с рекомендациями по безопасности. Синхронизация паролей — это функция средства синхронизации Windows Azure Active Directory, которое синхронизирует пароли пользователей из локальной службы Active Directory с Windows Azure Active Directory. Синхронизацию паролей можно внедрить в рамках настройки синхронизации каталогов. Общие рекомендации по безопасности и выбору правильного решения для организации см. в разделе Реализация синхронизации паролей.

  4. Подготовьте пользователей с помощью настройки синхронизации паролей.

    В узле Пользователи портала учетных записей Windows Intune по адресу https://account.manage.microsoft.com щелкните Синхронизация Active Directory: настройка и следуйте инструкциям, описанным в разделе Настройка синхронизации Active Directory и управление ею. Дополнительные сведения см. в разделе Настройка синхронизации каталогов в библиотеке документации Active Directory. DirSync можно установить на любом компьютере, если он не является контроллером домена.

    Шаги проверки. Чтобы просмотреть учетные записи пользователей, перейдите на портал учетных записей Windows Intune по адресу https://account.manage.microsoft.com.

  5. Запланируйте сервер автономного первичного сайта.

    Определите сервер, который соответствует требованиям к программному обеспечению и оборудованию, чтобы разместить первичный сайт Configuration Manager. По умолчанию при установке первичного сайта для Configuration Manager также устанавливаются роли системы сайта точки управления и точки распространения. Поскольку в этом сценарии вы управляете только мобильными устройствами, точка управления и точка распространения не используются. Однако их присутствие не влияет на производительность сайта. Поэтому рекомендуется не удалять установленные роли системы сайта.

    Сведения о размерах оборудования для первичного сайта см. в разделе Планирование конфигураций оборудования для Configuration Manager. В сведениях, предоставленных для автономного первичного сайта, будет содержаться основная информация для запуска первичного сайта, поддерживающего соединитель Windows Intune и до 100 000 мобильных устройств.

    Сведения о необходимом программном обеспечения и поддерживаемых операционных системах для размещения сайта Configuration Manager см. в разделе Требования к системе сайта. В частности, просмотрите соответствующий раздел по предварительным требованиям к операционной системе, которую вы используете для размещения автономного первичного сайта. Роли системы сайта, установленные по умолчанию, являются сервером сайта, сервером базы данных, сервером поставщика SMS, точкой управления и точкой распространения.

  6. Разверните сервер автономного первичного сайта.

    Установите и настройте автономный первичный сайт System Center 2012 R2 Configuration Manager, который позволит управлять мобильными устройствами. Дополнительные сведения см. в разделе Установка первичного сервера сайта.

    После завершения установки подтвердите или задайте следующие стандартные конфигурации для первичных сайтов Configuration Manager:

    • Не настраивайте границы сайта. По умолчанию границы сайта не создаются для нового сайта. Новые клиенты Configuration Manager используют границы сайта, чтобы определить присоединяемый сайт и найти развертываемое содержимое. Для этого сценария не применяется никакое действие.

    • Настройте и запустите обнаружение пользователей Active Directory в домене, чтобы найти пользователей для будущей регистрации.

    • Убедитесь, что принудительная установка клиента выключена. Этот параметр используется, только если вы готовы установить клиент Configuration Manager на устройства Windows, он не используется для управления мобильными устройствами.

  7. Настройте подписку Windows Intune и установите роль системы сайта соединителя Windows Intune на автономном первичном сервере сайта.

    Прежде чем вы сможете использовать Configuration Manager для управления мобильными устройствами, необходимо настроить подписку Windows Intune и установить роль системы сайта соединителя Windows Intune на автономном сервере сайта. Дополнительные сведения см. в разделе Управление мобильными устройствами с помощью Configuration Manager и Windows Intune.

    Шаги проверки:

    • На сервере первичного сайта просмотрите файл Sitecomp.log, чтобы убедиться, что роль системы сайта соединителя Windows Intune успешно установлена.

    • На компьютере, где установлен соединитель Windows Intune, просмотрите файл Cloudusersync.log, чтобы убедиться, что пользователи домена успешно синхронизированы с Windows Intune. В файле журнала будет показано, что имена участников-пользователей согласованы между Windows Azure AD и локальной службой AD. При сбое синхронизации какого-либо пользователя причиной, скорее всего, будет несогласованность имен участников-пользователей.

    • Просмотрите на сервере первичного сайта файл Certmgr.log, чтобы убедиться, что компьютер, на котором установлен соединитель Windows Intune, предоставляет сертификат соединителя. Сертификат предоставляется после завершения установки роли системы сайта соединителя Windows Intune.

    • На компьютере, где установлен соединитель Windows Intune, просмотрите файл Dmpuploader.log, чтобы убедиться, что роль системы сайта соединителя может отправить политику и изменения конфигурации в службу Windows Intune.

    • На компьютере, где установлен соединитель Windows Intune, просмотрите файл Dmpdownloader.log, чтобы убедиться, что соединитель Windows Intune может скачивать сообщения из Windows Intune. Этот журнал в начале процесса скачивания показывает только проверку связи, и может пройти некоторое время, прежде чем записи, связанные со скачанными элементами, будут записаны.

  8. Установите консоль System Center 2012 R2 Configuration Manager.

    По умолчанию при установке первичного сайта консоль Configuration Manager также устанавливается на сервер первичного сайта. После установки сайта можно установить дополнительные консоли System Center 2012 R2 Configuration Manager на дополнительные компьютеры для управления им. Установка консоли на одном компьютере поддерживается как с Configuration Manager 2007, так и System Center 2012 R2 Configuration Manager. Эта параллельная установка позволяет использовать один компьютер для существующей инфраструктуры Configuration Manager 2007 и мобильных устройств, которыми вы управляете с помощью Windows Intune с System Center 2012 R2 Configuration Manager. Однако вы не можете использовать консоль управления из System Center 2012 R2 Configuration Manager для управления сайтом Configuration Manager 2007 и наоборот. Дополнительные сведения см. в разделе Установка консоли Configuration Manager.

  9. Регистрация мобильных устройств

    Сведения о регистрации мобильных устройств см. в разделе Регистрация мобильных устройств.

  10. Управление мобильными устройствами.

    После установки и базовой настройки автономного первичного сайта можно начать настраивать управление мобильными устройствами. Ниже перечислены типичные действия, которые можно настроить.

  11. Миграция в System Center 2012 R2 Configuration Manager.

    Сведения о миграции в System Center 2012 R2 Configuration Manager см. в разделе Миграция иерархий в System Center 2012 Configuration Manager.

    При управлении более чем 100 000 устройств потребуется расширить автономный первичный сайт до иерархии. Дополнительные сведения см. в разделе Планирование расширения автономного первичного сайта.