Оптимизированное управление для мобильных устройств и компьютеров в гибридной среде

Назначение: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager

Для кого предназначено это руководство? Компании, которым необходимо управлять локальными и удаленными мобильными устройствами и ПК, используя существующую инфраструктуру Configuration Manager для поддержки запроса сотрудника на использование этих устройств для доступа к корпоративным ресурсам.

**Чем может помочь это руководство?**В этом руководстве представлена протестированная разработка, которая объясняет, каким образом:

• обновить существующую локальную инфраструктуру Configuration Manager и расширить ее для облачных вычислений, чтобы позволить пользователям работать удаленно с устройства по своему выбору;

• объединить управление ПК и мобильными устройствами в единую инфраструктуру;

• обеспечить корпоративное соответствие для всех устройств;

• защитить корпоративные данные.

В этом решении:

• Сценарий, постановка задачи и цели

  • Сценарий

  • Постановка задачи

  • Цели организации

• Что такое рекомендуемая архитектура для этого решения?

  • Установка диспетчера конфигураций System Center 2012 R2 и перенос объектов

  • Подпишитесь на Windows Intune

  • Управление удостоверениями и доступом с помощью Microsoft Azure AD и синхронизации каталогов

  • Обеспечение безопасного доступа для пользователей с помощью синхронизации паролей

  • Планирование поэтапного обновления платформы

• Действия по внедрению

На следующей диаграмме показана неполадка, для устранения которой и необходимо руководство решения.

Диаграмма 1. Общий обзор проблемы.

Сценарий, постановка задачи и цели

В этом разделе описывается сценарий, проблемы и цели на примере конкретной организации.

Сценарий

В этом решении используется пример компании с более чем 5000 сотрудниками, которые приносят на работу персональные устройства Windows Phone 8, Windows RT, iOS и Android. В настоящее время они не имеют возможности доступа к ресурсам компании со своих устройств.

Компания использует Microsoft System Center Configuration Manager 2007 SP2, чтобы управлять компьютерами пользователей, которые являются локальными и которые удаленно подключаются к корпоративной сети по VPN. Компания не может управлять мобильными устройствами.

Инфраструктура среды компании:

• Windows Server 2008 R2

• Active Directory на Windows Server 2008 R2

• Configuration Manager 2007 SP2

• Компьютеры, которые присоединены к домену и управляются Configuration Manager

На следующей диаграмме показана существующая среда компании.

Диаграмма 2. Общий обзор существующей среды

Постановка задачи

Существующая инфраструктура управления устройством не поддерживает растущих потребностей приведенной в примере организации:

• управление компьютерами в существующей среде, невозможность управления мобильными устройствами.

• Компания предоставляет некоторым сотрудникам корпоративные мобильные устройства. Другие сотрудники тоже хотят использовать персональные устройства на работе.

Руководство компании также беспокоит вопрос ресурсов, необходимых для управления этими устройствами. Очень дорого обеспечивать поддержку множества компьютеров, устройств и приложений. Управление устройствами может перегружать ИТ-отдел круглосуточно.

Компания должна управлять рисками, и все корпоративные и персональные устройства должны соответствовать рекомендациям по безопасности.

• Управление устройствами представляет угрозу нарушения безопасности для корпоративных ресурсов и информации. Если сотрудники работают на устройстве, которым не управляет ИТ-отдел (или даже не знает о нем), очень трудно управлять конфиденциальными данными компании.

• Невозможно будет что-либо предпринять при продаже, потере или краже устройства.

Цели организации

Компания в примере ищет решение, позволяющее:

• использовать существующую инфраструктуру Configuration Manager. ИТ-отдел вложил достаточно ресурсов в существующую инфраструктуру и не хочет начинать заново;

• сотрудникам использовать персональные устройства, а также устройства компании для доступа к корпоративным приложениям и данным. К ним относятся ПК и мобильные устройства;

• управлять ПК и персональными устройствами с единой консоли администрирования; Управление устройствами включает настройку параметров безопасности и соответствия, инвентаризацию программного и аппаратного обеспечения или развертывание программного обеспечения.

• развертывать приложения или веб-ссылки в зависимости от типа устройства и от того, является ли устройство персональным, или оно принадлежит компании;

• защищать компанию путем удаления корпоративных данных, хранящихся на мобильном устройстве при его утере, краже или изъятии из использования.

Что такое рекомендуемая архитектура для этого решения?

Для решения бизнес-задачи и достижения целей компании необходимо:

• установить новый автономный основной сайт System Center 2012 R2 Configuration Manager в своих офисах и точки распространения в удаленных местоположениях;

• перенести объекты и точки распространения из существующей инфраструктуры Configuration Manager 2007 SP2 в System Center 2012 R2 Configuration Manager;

• подписаться на Windows Intune и настроить соединитель Windows Intune в Configuration Manager для интеграции с Windows Intune;

• синхронизировать свои учетные записи пользователей домена в Microsoft Azure, поскольку Windows Intune является облачной службой. Это позволит управлять пользователями, которые имеют доступ к ресурсам компании со своих мобильных устройств;

• применить синхронизацию паролей, чтобы пользователи могли использовать имя пользователя и пароль локального домена для облачных служб.

Следующая диаграмма иллюстрирует взаимодействие элементов в этом решении.

Диаграмма 3. Общий обзор решения

Установка диспетчера конфигураций System Center 2012 R2 и перенос объектов

System Center 2012 R2 Configuration Manager может расширить возможности компании по управлению локальными ПК до облачных вычислений благодаря интеграции Windows Intune. Путем использования Configuration Manager с Windows Intune компания может управлять своими локальными компьютерами и мобильными устройствами с помощью единой консоли. Кроме того, необходимо уменьшить затраты на ИТ.

Таким образом, компания установит автономный основной сайт System Center 2012 R2 Configuration Manager, расположенный в главных офисах и точках распространения в удаленных местоположениях.

А затем перенесет объекты из среды Configuration Manager 2007 SP2 в System Center 2012 R2 Configuration Manager.

Компания переносит объекты по следующим причинам.

• Интегрированное решение. Компании требуется интегрированное решение, которое позволит управлять ПК и мобильными устройствами с помощью единой консоли. System Center 2012 R2 Configuration Manager с Windows Intune предоставляет такое интегрированное решение.

• Упрощенная иерархия. Благодаря System Center 2012 R2 Configuration Manager больше нет необходимости во вторичном сайте в каждом удаленном местоположении, как показано на следующих диаграммах.

  

  Диаграмма 3. Существующая иерархия Configuration Manager 2007

  

  Диаграмма 4. Новая иерархия System Center 2012 R2 Configuration Manager

  Ключевые драйверы для упрощенной иерархии:

  • Ролевое администрирование. В System Center 2012 R2 Configuration Manager ролевое администрирование позволяет компании разрабатывать и внедрять административные меры безопасности для иерархии System Center 2012 R2 Configuration Manager с помощью одного или всех следующих элементов:

    • Роли безопасности

    • Коллекции

    • Области безопасности

    Сочетание этих параметров позволяет определить административную область для пользователя с правами администратора. Административная область управляет объектами, которые пользователь с правами администратора может просматривать в консоли Configuration Manager, а также разрешениями, которыми обладает пользователь для этих объектов. См. раздел Планирование ролевого администрирования.

  • Управление содержимым. В System Center 2012 R2 Configuration Manager компания может настроить пропускную способность сети для передачи содержимого в точки распространения и предварительно подготовить содержимое в точках распространения в удаленных местоположениях. См. раздел Рекомендации относительно пропускной способности сети для точек распространения.

• Перенесенные объекты. Компании можно использовать средства миграции для переноса объектов из Configuration Manager 2007 SP2 в иерархию System Center 2012 R2 Configuration Manager. ИТ-отдел компании потратил достаточно времени на создание таких объектов Configuration Manager, как коллекции, последовательности задач, элементы конфигурации и т. д. Благодаря переносу их можно будет продолжать использовать.

• Новые возможности. Также компания заинтересована в новых возможностях System Center 2012 R2 Configuration Manager, не связанных непосредственно с этим решением. См. раздел Новые возможности диспетчера конфигураций System Center 2012 R2.

Подпишитесь на Windows Intune

Служба Windows Intune обеспечивает управление мобильными устройствами на основе облака. Компания подпишется на Windows Intune с последующей интеграцией Windows Intune с System Center 2012 R2 Configuration Manager для управления ПК и мобильными устройствами с консоли Configuration Manager.

Подписка на Windows Intune поддерживает цель компании по интегрированному решению для управления ПК и мобильными устройствами.

Компания рассматривала сторонние решения по управлению мобильными устройствами. Ни одно из этих решений не предоставляет необходимую интеграцию. При этом компания не хочет изменять продукты и нести расходы на обучение и внедрение.

В качестве дополнительного преимущества компания может использовать учетную запись пользователя из своей подписки Windows Intune при подписке на Microsoft Office 365 через несколько месяцев.

Управление удостоверениями и доступом с помощью Microsoft Azure AD и синхронизации каталогов

Windows Intune использует Microsoft Azure AD для хранения учетных записей пользователей. Облачные службы Майкрософт, такие как Windows Intune и Office 365, используют возможности управления удостоверениями, предоставленные Microsoft Azure AD.

Компания будет использовать синхронизацию каталогов Microsoft Azure (DirSync) для синхронизации локальных пользователей Windows Server AD с помощью Microsoft Azure AD. Синхронизация каталогов предполагается как непрерывное взаимодействие между локальной AD и облачной Microsoft Azure AD. Компания использует DirSync для следующего.

• Сокращение расходов на администрирование. Без DirSync компании пришлось бы вручную добавлять учетные записи пользователей и групп в Microsoft Azure AD. DirSync синхронизирует учетные записи пользователей из локальной Windows Server AD в Microsoft Azure AD. После активации синхронизации каталогов синхронизируемые объекты можно редактировать в локальной среде, и эти изменения будут синхронизироваться с подпиской Windows Intune, что сокращает расходы на администрирование.

• Улучшение производительности. Автоматизируя процесс синхронизации учетных записей пользователей и групп, компания может значительно сократить время, необходимое, чтобы сделать облачные службы доступными для своих сотрудников.

Вопросы планирования и проектирования для синхронизации каталогов

При планировании синхронизации каталогов компания учитывала требования к оборудованию, разрешения администратора, вопросы производительности и т. д. Эти требования описаны в разделе Подготовка к синхронизации каталогов.

Обеспечение безопасного доступа для пользователей с помощью синхронизации паролей

Должна быть настроена проверка подлинности пользователя, или сотрудники компании будут использовать другое имя пользователя и отдельные пароли для доступа к облачной и локальной службам. Компания выбрала проверку подлинности пользователей, чтобы избежать дополнительной административной нагрузки по управлению изменениями исходного и текущего пароля и улучшить впечатления от использования. Было решено использовать синхронизацию пароля для проверки подлинности пользователя.

Компания рассматривала следующие методы проверки подлинности для доступа сотрудника к облачным и локальным ресурсам с одинаковыми учетными данными:

• Синхронизация паролей — это упрощенный вариант, который предоставляет пользователям возможности взаимодействия аналогично однократной идентификации и легко развертывается. Синхронизация паролей — параметр, который можно выбрать в DirSync, что позволяет DirSync хранить хэш пароля в Microsoft Azure AD. При включении синхронизации паролей на компьютере с синхронизацией каталогов пользователи смогут входить в облачные службы Майкрософт, такие как Office 365, Dynamics CRM и Windows Intune, используя тот же пароль, что и при входе в локальную сеть. Когда пользователи изменяют свои пароли в корпоративной сети, эти изменения синхронизируются для облака.

  Однако синхронизация паролей не предоставляет решение однократной идентификации (SSO), которое предусматривается при использовании AD FS. Пользователям потребуется повторно вводить учетные данные каждый раз при доступе к облачной службе. См. раздел

  • Синхронизация каталогов с помощью сценария синхронизации паролей

  • Внедрение синхронизации паролей

• Службы федерации Active Directory (AD FS) обеспечивают однократную идентификацию (SSO) при совместной работе с протоколами проверки подлинности Active Directory. Локальная служба Active Directory и AD FS взаимодействуют с платформой удостоверений Microsoft Azure AD для предоставления доступа к одной или нескольким облачным службам Майкрософт. При настройке SSO формируется федеративное отношение доверия между доменом и системой проверки подлинности Microsoft Azure AD. Пользователи могут проходить проверку подлинности для облачных и локальных служб с помощью одного и того же имени пользователя и пароля. После проверки подлинности пользователя при доступе к облачной службе не запрашивается повторный ввод учетных данных.

Компания решила использовать синхронизацию паролей для проверки подлинности пользователя по нескольким причинам. Синхронизация паролей очень легко настраивается в DirSync, которую компания уже запланировала использовать для синхронизации учетных записей локальных пользователей. Кроме того, запланировано обновление контроллеров домена до Windows Server 2012 R2 в ближайшие шесть месяцев. AD FS является ролью сайта в Windows Server 2012 R2 и имеет много новых возможностей. Компания планирует внедрить AD FS при обновлении своих контроллеров домена. Дополнительные сведения о внедрении AD FS в Windows Server 2012 R2 см. в разделе

• Безопасный доступ к ресурсам компании из любого местоположения с любого устройства

• Обзор служб федерации Active Directory

Компания решила использовать синхронизацию паролей для проверки подлинности пользователя. Однако можно внедрить AD FS для SSO в вашей среде. См. раздел

• Рекомендации по разработке AD FS Руководство по разработке AD FS 2.0

• С помощью AD FS для SSO: Инструкции Использование AD FS для внедрения однократной идентификации и управления ею

Планирование поэтапного обновления платформы

Компания не будет обновлять свою локальную службу AD в рамках этого решения, но обновление планируется произвести в течение следующих шести месяцев.

ИТ-отдел компании предложил не обновлять локальную службу AD в рамках этого решения. В Windows Server 2012 R2 служба AD была расширена следующими функциями:

• Регистрация устройства. ИТ-администраторы могут разрешить регистрацию устройства для связывания с корпоративной службой Active Directory. Эту связь можно использовать в качестве бесперебойной проверки подлинности по второму фактору.

• Однократная идентификация (SSO) со связанных с корпоративной службой Active Directory устройств.

• Прокси-служба веб-приложения позволяет пользователям подключаться к приложениям и службам из любого места.

• Управление многофакторным доступом и многофакторная проверка подлинности (MFA) отслеживают риски при работе пользователей из любого места и доступа к защищенным данным со своих устройств.

• Рабочие папки предоставляют пользователям место для хранения рабочих файлов и доступа к ним на компьютерах и устройствах.

См. раздел Службы Active Directory.

Хотя группа управления компании пришла к выводу, что новые возможности имеют большую ценность, им не удалось выделить средства для обновления AD в рамках этого решения. Группа управления планирует обновить локальную службу AD в течение следующих шести месяцев.

Сведение об обновлении локальной службы AD и внедрении AD FS см. в разделе Безопасный доступ к ресурсам компании из любого местоположения с любого устройства.

Действия по внедрению

В этом разделе приводятся действия, предпринимаемые компанией для внедрения решения. При выполнении этих действий проверяйте правильность развертывания предыдущего шага, прежде чем перейти к следующему шагу.

1. Подписка на Windows Intune.

   Создайте подписку Windows Intune на веб-сайте Windows Intune.

   • Если уже имеется учетная запись пользователя для другой облачной службы, такой как Office 365, можно нажать Войти для ввода учетных данных учетной записи. Это позволяет совместно использовать одну и ту же группу пользователей во всех службах для корпоративного клиента Microsoft Azure AD.

   **Шаги проверки:**По завершении процесса входа будет отправлено электронное сообщение на указанный адрес электронной почты. Щелкните ссылку в электронном сообщении или перейдите на портал учетной записи Windows Intune на сайте https://account.manage.microsoft.com и убедитесь, что можно выполнить вход.

2. Настройка общедоступного домена.

   1. Получите общедоступный домен. Для использования службы Windows Intune потребуется также имя общедоступного домена организации, верифицируемое через службу регистрации имени домена. Добавьте и проверьте общедоступный домен на портале учетной записи Windows Intune на сайте https://account.manage.microsoft.com в узле Домены.

   2. Убедитесь в добавлении общедоступного домена в виде альтернативного суффикса имени участника-пользователя в локальной службе Active Directory. Пользователи должны иметь одинаковое имя участника-пользователя (UPN) общедоступного домена в облаке и в локальной службе Active Directory для регистрации мобильных устройств. Необходимо убедиться, что пользователи имеют UPN общедоступного домена перед настройкой синхронизации каталогов. Если пропустить этот шаг, пользователи могут получить приставку "onmicrosoft.com" к облачному UPN, что вызовет несовпадение с именами пользователей в локальной службе Active Directory. См. раздел Добавление суффиксов к имени участника-пользователя.

   3. Добавьте запись CNAME в DNS с указанием enterpriseenrollment.<publicdomain> для manage.microsoft.com. Запись CNAME используется позже в процессе регистрации. См. раздел Добавление записи ресурса псевдонима (CNAME) в зону.

   Шаги проверки:

   • Откройте страницу Доменыпортала учетных записей Windows Intune для проверки наличия и верификации общедоступного домена.

   • Просмотрите свойства учетной записи пользователя в локальной службе Active Directory и убедитесь, что имя участника-пользователя приводится с именем общедоступного домена.

3. Обеспечение безопасного доступа для пользователей с помощью DirSync с синхронизацией паролей.

   Можно настроить синхронизацию паролей через портал учетных записей Windows Intune на сайте https://account.manage.microsoft.com. В узле Пользователи портала нажмите Синхронизация Active Directory: настройка, а затем выполните действия, описанные в разделе Настройка синхронизации Active Directory и управление ею. Синхронизация паролей включается при запуске мастера настройки средства синхронизации каталогов после выбора параметра Включить синхронизацию паролей.

   См. раздел

   • Схема синхронизации каталогов

   • Внедрение синхронизации паролей

   Шаги проверки Откройте портал учетных записей Windows Intune на сайте https://account.manage.microsoft.com для просмотра учетных записей пользователей.

4. Установка сайта или иерархии System Center 2012 R2 Configuration Manager.

   После планирования иерархии System Center 2012 R2 Configuration Manager компания приняла решение устанавливать автономный основной сайт в главных офисах и точки распространения в удаленных местоположениях. Можно указать, что для иерархии требуется другая конфигурация. Выполните следующие действия, чтобы установить сайт или иерархию System Center 2012 R2 Configuration Manager.

   1. Укажите сервер, который удовлетворяет требованиям программного обеспечения и оборудования для размещения основного сайта Configuration Manager. См. раздел Планирование конфигураций оборудования для диспетчера конфигураций.

   2. Рассмотрите необходимое программное обеспечение и поддерживаемые операционные системы для размещения сайта Configuration Manager. См. раздел Требования к системе сайта.

   3. Настройте среду Windows для поддержки System Center 2012 R2 Configuration Manager. См. раздел Подготовка среды Windows для диспетчера конфигураций.

   4. Установите сайт System Center 2012 R2 Configuration Manager. См. раздел Установка сайтов и создание иерархии для диспетчера конфигураций. Для этого решения компания установит автономный основной сайт и пропустит шаги по установке сайта центра администрирования или дополнительного сайта. После изучения этого раздела выберите сайты, подходящие для используемой среды.

   5. Установите точку распространения в удаленных местоположениях. Компания, представленная в примере, установила, что можно использовать точку распространения в каждом из удаленных мест вместо использования дополнительного сайта в каждом местоположении. Дополнительные сведения об установке и настройке точки распространения см. в разделе Настройка управления содержимым в диспетчере конфигураций.

   Шаги проверки

   На компьютере сервера основного сайта отслеживайте ход выполнения в мастере установки. Мастер установки Configuration Manager отображает результат каждой задачи по установке сайта. Мастер можно закрыть после завершения всех задач установки. Однако после завершения установки сайта мастер установки продолжает отображать сведения о текущей конфигурации для сайта, которые можно просматривать, если не закрывать мастер установки. Закрытие мастера установки не влияет на текущие конфигурации, которые продолжают работать в фоновом режиме после закрытия мастера. Просмотрите ConfigMgrSetup.log, чтобы убедиться в успешной установке сайта.

5. Настройка компонентов и функций управления.

   После установки сайта или иерархии настройте сайт для поддержки необходимых функций и возможностей управления System Center 2012 R2 Configuration Manager. Необходимо настроить обнаружение пользователей Active Directory перед началом настройки подписки Windows Intune или установить роль системы сайта соединителя Windows Intune на шаге 8. См. раздел

   1. Настройка сайтов и иерархии в диспетчере конфигураций

   2. Настройка обнаружения Active Directory для компьютеров, пользователей и групп

6. Перенос в System Center 2012 R2 Configuration Manager.

   При переносе объектов из иерархии источника Configuration Manager 2007 предоставляется доступ к данным из баз данных сайта, указанных в инфраструктуре источника, и данные копируются в иерархию System Center 2012 R2 Configuration Manager. При переносе данные в иерархии источника не изменяются. Происходит обнаружение данных и сохранение копии в базе данных иерархии назначения. См. раздел Перенос иерархий в диспетчер конфигураций System Center 2012.

   Чтобы перенести данные Configuration Manager 2007 в System Center 2012 R2 Configuration Manager, выполните следующие действия.

   1. Укажите иерархию Configuration Manager 2007 SP2 в качестве иерархии источника для переноса. По умолчанию сайт верхнего уровня иерархии становится исходным сайтом иерархии источника. После сбора данных с первоначального исходного сайта можно настроить дополнительные исходные сайты для переноса.

      Configuration Manager начинает сбор данных исходного сайта сразу после задания иерархии источника, настройки учетных данных для каждого дополнительного исходного сайта в иерархии источника или общих точек распространения для исходного сайта. По умолчанию процесс сбора данных повторяется каждые четыре часа, чтобы Configuration Manager мог определить изменения данных в перемещаемой иерархии источника. Сбор данных также необходим для выделения точек распространения из иерархии источника в иерархию назначения. См. раздел Настройка иерархий источников и исходных сайтов для переноса в диспетчер конфигураций System Center 2012.

   2. Создайте задания миграции для переноса данных между иерархиями источника и назначения. Используйте задания миграции, чтобы настроить конкретные данные, необходимые для выполнения переноса в среду System Center 2012 R2 Configuration Manager. Задания миграции определяют объекты, которые планируется перенести, и выполняются на сайте верхнего уровня иерархии. См. раздел Создание и редактирование заданий миграции для диспетчера конфигураций System Center 2012.

   3. Отслеживайте задания миграции. Отслеживайте ход выполнения заданий миграции на консоли System Center 2012 R2 Configuration Manager. См. раздел Отслеживание действий переноса в рабочей области миграции.

   4. Обновите общие точки распространения. Можно обновить поддерживаемую точку распространения, выделенную из исходного сайта Configuration Manager 2007 в качестве точки распространения в иерархии назначения. См. раздел Обновление или переназначение общей точки распространения в диспетчере конфигураций System Center 2012.

   5. Перенесите клиентов Configuration Manager 2007 в System Center 2012 R2 Configuration Manager. После переноса данных для клиентов между иерархиями, но до завершения миграции спланируйте перенос клиентов в иерархию назначения. Для переноса клиентов между иерархиями установите программное обеспечение клиента Configuration Manager из иерархии назначения. Клиент Configuration Manager будет удален, а клиент System Center 2012 R2 Configuration Manager будет установлен и назначен для основного сайта. См. раздел Планирование стратегии переноса клиентов в диспетчер конфигурации System Center 2012.

   6. Завершите процесс переноса. Если в иерархии Configuration Manager 2007 больше нет данных, которые требуется перенести в иерархию назначения, можно завершить процесс переноса. Для этого выполните следующие действия.

      1. Убедитесь в успешном переносе из иерархии источника всех ресурсов, которые потребуются в иерархии назначения. Это могут быть данные и клиенты.

      2. Остановите сбор данных со всех исходных сайтов в иерархии Configuration Manager 2007. Чтобы сделать это, запустите действие Остановить сбор данных на нижнем уровне исходных сайтов, а затем повторите этот процесс для каждого родительского сайта. Сайт верхнего уровня иерархии источника должен быть последним сайтом, на котором прекращается сбор данных. **Необходимо остановить сбор данных на каждом дочернем сайте перед выполнением этого действия на родительском сайте сбора данных.**После завершения сбора данных более не удастся совместно использовать точки распространения между иерархиями источника и назначения.

      3. Удалите данные переноса. Для этого воспользуйтесь действием Удалить данные переноса. Это необязательное действие удаляет данные о текущей иерархии источника из базы данных иерархии назначения. До удаления данных переноса все выполненные или запланированные задания остаются доступны на консоли Configuration Manager. При удалении данных миграции большинство сведений о переносе удаляется из базы данных иерархии назначения. См. раздел Завершение переноса в диспетчере конфигураций System Center 2012.

      **Шаги проверки:**Перенос состоит из нескольких различных действий или этапов и продолжается до завершения процесса переноса. Таким образом, нет единственного шага или процесса проверки, которые можно было бы просмотреть для подтверждения того, что перенос завершен. Вместо этого можно проверить результаты, отображаемые на консоли System Center 2012 R2 Configuration Manager во время выполнения или завершения каждого этапа.

   7. Выведите иерархию Configuration Manager 2007 из эксплуатации. После завершения переноса из иерархии источника, когда эта иерархия больше не содержит управляемых ресурсов, можно вывести из эксплуатации сайты в иерархии источника и удалить связанную инфраструктуру из среды. См. раздел Задачи диспетчера конфигураций по выводу сайтов и иерархий из эксплуатации.

7. Получите сертификаты или ключи для мобильных устройств

   Компания должна получить сертификаты или ключи для загрузки неопубликованных приложений перед регистрацией мобильных устройств. Типы имеющихся в среде мобильных устройств определяют необходимые сертификаты или ключи для загрузки неопубликованных приложений. См. раздел Получение сертификатов или ключей для соответствия необходимым условиям каждой платформы.

8. Настройте подписку Windows Intune и установите роль системы сайта соединителя Windows Intune на сайте верхнего уровня.

   Перед использованием Configuration Manager для управления мобильными устройствами компании необходимо настроить подписку Windows Intune и установить роль системы сайта соединителя Windows Intune на сервере сайта верхнего уровня. Компания будет настраивать автономный основной сайт. При наличии более сложной иерархии настройте сайт центра администрирования.

   1. Настройка подписки Windows Intune. См. раздел Настройка подписки Windows Intune.

   2. Установка соединителя Windows Intune. См. раздел Роль системы сайта соединителя Windows.

   Шаги проверки:

   • На компьютере сервера основного сайта просмотрите журнал sitecomp.log для проверки успешной установки роли системы сайта соединителя Windows Intune.

   • На компьютере, где устанавливается соединитель Windows Intune, просмотрите журнал cloudusersync.log для проверки синхронизации пользователей домена с Windows Intune.

   • На компьютере сервера основного сайта просмотрите журнал CertMgr.log, чтобы убедиться, что компьютер, на котором установлен соединитель Windows Intune, использует сертификат соединителя. Сертификат становится общим после завершения установки роли системы сайта соединителя Windows Intune.

   • На компьютере, где устанавливается соединитель Windows Intune, просмотрите журнал dmpuploader.log, чтобы убедиться, что роль системы сайта соединителя может загрузить изменения политики и конфигурации в службу Windows Intune.

   • На компьютере, где устанавливается соединитель Windows Intune, просмотрите журнал dmpdownloader.log, чтобы проверить способность соединителя Windows Intune загружать сообщения из Windows Intune. Этот журнал может отображать сообщение проверки связи только в начале процесса загрузки. Может пройти некоторое время перед регистрацией записей, относящихся к загрузке.

9. Зарегистрируйте мобильные устройства.

   Регистрация устанавливает связь между пользователем, мобильным устройством и службой Windows Intune. Пользователи регистрируют свои мобильные устройства. Устройства Android не регистрируются, но можно управлять ими с помощью соединителя Exchange Server. См. раздел Регистрация мобильных устройств.

10. Установите консоль System Center 2012 R2 Configuration Manager.

    По умолчанию при установке основного сайта консоль Configuration Manager также устанавливается на компьютере сервера основного сайта. После установки сайта можно установить дополнительные консоли System Center 2012 R2 Configuration Manager на компьютерах для управления сайтом. См. раздел Установка консоли диспетчера конфигураций.

11. Управление ПК и мобильными устройствами.

    После установки и настройки основных конфигураций для сайта можно начать настройку управления компьютерами и мобильными устройствами. Ниже приведены типичные компоненты или функциональные возможности, которые можно настроить.

    Компонент	Сведения
    Инвентаризация оборудования	Инвентаризация оборудования позволяет собирать сведения о конфигурации оборудования клиентских устройств в организации.
    Инвентаризация программного обеспечения	Используйте инвентаризацию программного обеспечения для сбора сведений о файлах, сохраненных на клиентских устройствах в организации. Кроме того, функция инвентаризации программного обеспечения может получать файлы с клиентских устройств и сохранять их на сервере сайта.
    Аналитики активов	Используйте аналитику активов для инвентаризации и управления использованием лицензий на программное обеспечение на предприятии и увеличения объема сведений об оборудовании и программном обеспечении.
    Параметры соответствия	Используйте параметры соответствия для управления конфигурацией и соответствием требованиям серверов, ноутбуков, настольных компьютеров и мобильных устройств в организации.
    Доступ к ресурсам компании	Используйте доступ к ресурсам компании для предоставления пользователям организации доступа к данным и приложениям из удаленных местоположений путем настройки следующих параметров: Профили сертификатов Профили VPN Профили Wi-Fi
    Профили удаленного подключения	Используйте профили удаленного подключения для предоставления пользователям удаленного подключения к рабочим компьютерам, когда они не подключены к домену или если их персональные компьютеры подключены через Интернет.
    Управление приложениями	Используйте управление приложениями в целях управления приложениями на предприятии для пользователей Configuration Manager с правами администратора и пользователей клиентских устройств.
    Обновления программного обеспечения	Используйте обновления программного обеспечения для отслеживания соответствия требованиям и развертывания обновлений программного обеспечения на компьютеры организации.
    Управление мобильными устройствами	Используйте это пошаговое руководство для управления устройствами Windows Phone 8, Windows RT, iOS и Android с помощью службы Windows Intune через Интернет.
    Удаление корпоративных данных с мобильных устройств	Можно выполнить полную очистку устройств Windows Phone 8, iOS и Android для восстановления заводских настроек устройства. Или можно выполнить выборочное удаление только корпоративных данных.

См. также