計畫移轉至 System Center 2012 R2 Configuration Manager 之 Configuration Manager 2007 客戶的行動裝置管理
本指南可提供您哪些協助? 本指南提供精準且經過測試的設計,讓您可用來了解設計和實作步驟,當您具備現有的 Configuration Manager 2007 階層並規劃移轉到 System Center 2012 R2 Configuration Manager 時,我們建議使用這些步驟,針對 iOS、Android、Windows Phone 8、Windows RT 及 Windows 8.1 裝置啟用行動裝置管理。
當您規劃移轉到 System Center 2012 R2 Configuration Manager 時,需要一個解決方案,讓您能夠管理組織內的裝置。這個解決方案指南說明您如何執行 System Center 2012 R2 Configuration Manager 的獨立主要站台伺服器以及 Configuration Manager 2007 環境,來啟用行動裝置管理。
以下圖表說明此解決方案指南所針對的問題與案例。
Configuration Manager 和行動裝置管理
.jpeg "使用 Configuration Manager 2007 的裝置管理")
在本解決方案指南中:
案例、問題陳述和目標
針對這個解決方案的建議設計是什麼?
實作此解決方案的整體步驟為何?
案例、問題陳述和目標
本節說明案例、目前的問題和可能的目標。
案例
有越來越多的公司員工要求能夠從其個人裝置存取公司資料。您想要為員工提供彈性,讓他們能夠透過網際網路,使用自己的裝置從任何位置完成工作相關的作業。
您的組織是一家大型企業,其中有 5,000 位以上的員工會攜帶其個人裝置到工作場所使用。您的基礎結構支援的電腦管理適用於內部部署的使用者,以及使用 VPN 遠端連線到公司網路的使用者。目前,您可以使用 Configuration Manager 2007 管理這些電腦,但尚未準備好完整部署 System Center 2012 R2 Configuration Manager。
總言之,您的組織目前所使用的技術如下:
網域和目錄服務,特別是 Active Directory。
電腦管理軟體,特別是 System Center Configuration Manager 2007。
已加入網域且受到 Configuration Manager 2007 管理的電腦。
員工擁有的個人行動裝置,以及未加入網域的電腦。
問題陳述
您現在使用 Configuration Manager 2007 來管理組織中的裝置,但是,這個解決方案不會管理 iOS、Android、Windows Phone 8、Windows RT,以及個人擁有的 Windows 8.1 裝置。不過,最新版的 Configuration Manager 和 Windows Intune 提供這些裝置的支援。由於您正在規劃移轉到 System Center 2012 R2 Configuration Manager,因此會想要用它做為行動裝置管理解決方案,以避免整合協力廠商解決方案所需投注的成本與努力。即使您尚未準備好完整部署這個版本,也還未從 Configuration Manager 2007 移轉您的完整基礎結構,您還是想要實作 System Center 2012 R2 Configuration Manager 做為管理解決方案。
組織目標
您可以管理現今的行動裝置,特別是 Windows Phone 8、Windows RT、iOS、Android 及個人擁有的 Windows 8.1 裝置。管理裝置可代表安全性和相容性設定、收集軟體和硬體清查,或是部署行動應用程式。
您可以利用透過網際網路從行動裝置上抹除公司資料的功能,來保護公司資料。
您可以將範圍擴充到最多管理 100,000 個行動裝置。
您想要熟悉且不需花費太多時間學習的解決方案。
您可以實作與目前環境相容且可供日後使用的解決方案。
針對這個解決方案的建議設計是什麼?
在您使用 Configuration Manager 2007 管理內部部署裝置的環境中,您也想要能夠管理行動裝置。您的主要限制是您尚未準備好移轉到最新版 Configuration Manager,但卻想使用它的行動裝置管理功能。由於您正在規劃移轉到最新版的 Configuration Manager,因此,會想要適合在移轉之後用於行動裝置管理的過渡期解決方案。
System Center 2012 R2 Configuration Manager 可與 Windows Intune 搭配使用來管理行動裝置。透過 Configuration Manager 主控台,您管理行動裝置的方式就像是管理其他裝置一樣。相較於網域中的電腦,行動裝置的主要差異在於您可以透過網際網路管理它們。Configuration Manager 主控台會聯繫 Windows Intune 服務,透過網際網路實際管理行動裝置。當您將 System Center 2012 R2 Configuration Manager 與 Windows Intune 搭配使用來管理行動裝置時,您可以:
使用安全性設定以及從已停用裝置中抹除公司資料的功能,來保護公司資料。您可以使用相容性設定,對行動裝置使用者強制執行安全性原則。這些設定可以包含像是密碼、相機、系統及安全性設定的屬性。您也可以執行報告,以識別啟用系統根權限的 Android 裝置和已修改的 iOS 裝置。
透過相容性設定管理裝置。相容性設定可以包含任何來自漫遊、市集或裝置設定的項目。如需完整的設定清單,請參閱 Configuration Manager 中適用於行動裝置的相容性設定。
收集硬體和軟體清查。您可以執行報告,以檢視說明已註冊裝置類型的硬體清查,而軟體清查會報告已安裝於裝置上的應用程式。
藉由將應用程式側載到行動裝置,或者部署可在裝置市集 (例如,Windows Store、Windows Phone 市集、App Store 及 Google Play) 中取得的應用程式連結,來管理應用程式。
建立使用公司入口網站存取公司資料的一致性體驗。公司入口網站是使用者可檢視公司資料和安裝應用程式的介面。
在這個解決方案中,行動裝置管理將透過 System Center 2012 R2 Configuration Manager 的獨立主要站台和 Windows Intune 連接器來啟用。Windows Intune 是一項雲端服務,因此,若要讓使用者註冊其裝置,您需要將網域使用者帳戶同步處理到 Windows Azure。這讓您能夠管理哪些使用者可使用其行動裝置來存取公司資源。一旦使用者可以使用其行動裝置透過網際網路來存取公司資源之後,您就能使用 Active Directory Federation Service (AD FS) 來啟用單一登入體驗。
下圖顯示 System Center 2012 R2 Configuration Manager 的獨立主要站台伺服器元件如何與 Configuration Manager 2007 環境並存通訊。圖表中的 AD FS 部分是選擇性的。
System Center 2012 R2 Configuration Manager 的獨立主要伺服器會與 Configuration Manager 2007 環境並存執行。
.jpeg "使用 Configuration Manager 的行動裝置管理")
下表列出此解決方案設計的元素,並說明選擇該設計的理由。
解決方案設計元素 |
為何將它包含在本解決方案中? |
|---|---|
System Center 2012 R2 Configuration Manager |
使用 Windows Intune 服務來管理行動裝置。 |
Windows Intune |
透過網際網路管理行動裝置。 |
Windows Azure Active Directory |
在雲端中佈建使用者。 |
目錄同步作業 |
同步處理內部部署的 Active Directory 使用者與 Windows Azure Active Directory。 |
Active Directory Federation Services (AD FS) |
啟用單一登入體驗。 |
System Center 2012 R2 Configuration Manager 和 Windows Intune 連接器
您將並存執行 System Center 2012 R2 Configuration Manager 與 Configuration Manager 2007。在您將整個 Configuration Manager 環境移轉到 System Center 2012 之前,System Center 2012 R2 Configuration Manager 站台只能用於行動裝置管理。由於您可以在安裝 Configuration Manager 2007 主控台的同一部電腦上安裝 System Center 2012 R2 Configuration Manager 主控台,因此,可從單一電腦管理裝置。
當您並存執行這兩個產品時,必須採取一些預防措施,以防止應該由 Configuration Manager 2007 管理的裝置探索您的 System Center 2012 R2 Configuration Manager 部署。例如,您應該確定這兩個產品不會設定站台指派的界限,這些界限包含相同的網路位置。這稱為重疊的界限。幸運的是,重疊的界限很容易避免,因為它們並非預設設定,而您在使用 Windows Intune 時,不需為 System Center 2012 R2 Configuration Manager 設定任何界限,就能管理行動裝置。
您需要將 Windows Intune 連接器站台系統角色安裝到 System Center 2012 R2 Configuration Manager 站台,才能連線到 Windows Intune 服務。
Windows Azure Active Directory 和目錄同步作業 (DirSync)
Windows Intune 使用 Windows Azure Active Directory 來儲存使用者帳戶。您需要將 Active Directory 使用者同步處理到 Windows Azure Active Directory。目錄同步作業是用來做為您的內部部署環境和雲端之間持續存在的關係。當您啟用目錄同步作業之後,就可以在內部部署環境中編輯同步處理的物件,而這些編輯將與您的 Windows Intune 訂閱進行同步處理。
使用者驗證的選項
當您利用使用者帳戶填入 Windows Azure AD 之後,就有一些選項來選擇驗證使用者的方法。您的選項是 AD FS、密碼同步化,或兩者皆無。
AD FS 可提供真正的單一登入體驗,可與 Active Directory 驗證通訊協定一同運作。AD FS 是更安全的解決方案,因為它絕對不會與雲端服務 (Windows Azure AD) 共用密碼資訊。您的內部部署 Active Directory 和 AD FS 會與 Windows Azure AD 身分識別平台互動,以提供一或多個 Microsoft 雲端服務的存取權。當您設定單一登入時,會在您的網域和 Windows Azure AD 驗證系統之間建立同盟信任。這讓您的使用者能夠順暢地存取 Microsoft 雲端服務,而不需使用不同的認證登入。
利用 AD FS,您需要至少一部同盟伺服器或伺服器陣列,以及一部同盟 Proxy 伺服器。同盟伺服器會驗證用戶端,然而同盟伺服器 Proxy 會提供安全性層級,並將來自公司網路外部的用戶端驗證要求重新導向到您的同盟伺服器。身為 Windows Intune 客戶,需要將同盟伺服器 Proxy 部署到您現有的 AD FS 基礎結構,才能從網際網路驗證行動裝置使用者。
密碼同步是一個輕量且非常容易部署的選項,可為使用者提供類似單一登入的體驗。儘管不是真正的單一登入功能,密碼同步仍是 DirSync 中可選用的選項,以允許 DirSync 將密碼雜湊儲存於 Windows Azure AD。使用者可以針對雲端服務和內部部署服務使用相同的使用者名稱和密碼,來驗證這兩類服務。
如果您選擇不實作 AD FS 或密碼同步,根據使用者存取的是雲端或內部部署服務而定,他們將必須手動更新密碼以保持它們同步,或者只要記住一個以上的密碼即可。不建議使用這個處理方式,因為需要有額外的系統管理負荷來管理初始和持續進行的密碼變更,因而導致更不易使用的使用者體驗。
公司入口網站
公司入口網站是讓使用者從某一個位置存取所有公司應用程式的簡單方法。您可以將內部企業營運應用程式及公用應用程式市集 (Microsoft Windows 市集、Windows Phone 市集、Apple App Store 及 Google Play) 中可用應用程式的連結填入公司入口網站。從公司入口網站,使用者可以管理他們的裝置並執行各種動作,例如,抹除遺失或更換的裝置。
使用者可在其行動裝置上,透過公司入口網站進行註冊。註冊期間,行動裝置可與驗證使用者註冊的同盟 Proxy 進行通訊。
移轉
當您準備好將 Configuration Manager 2007 基礎結構移轉到 System Center 2012 R2 Configuration Manager 時,可以使用現有的獨立主要站台做為起始點。System Center 2012 R2 Configuration Manager 支援從您的 Configuration Manager 2007 基礎結構將資料和用戶端移轉到 System Center 2012 R2 Configuration Manager。然後,在移轉資料和用戶端之後,您就可以解除委任您的 Configuration Manager 2007 站台和基礎結構。
當您的 Configuration Manager 2007 基礎結構包含的裝置數量多於您使用單一的 System Center 2012 R2 Configuration Manager 獨立主要站台能夠管理時,您可以使用該選項來將該獨立的主要站台擴充為更大型的階層,其中包含中央系統管理站台和額外的主要站台。這個選項讓您能夠保有目前的主要站台來管理您的行動裝置,同時在階層中新增更多主要站台,這能提高階層可支援的裝置總容量。
實作此解決方案的整體步驟為何?
您可以使用本節中的步驟來實作解決方案。在進行下一個步驟之前,請務必確認每個步驟都已正確部署。
取得 Windows Intune 訂閱。
在您可以安裝 Windows Intune 連接器之前,需要先建立 Windows Intune 訂閱。您可以在 Windows Intune 註冊帳戶。
設定您的公用網域。
若要使用 Windows Intune 服務,您也需要有公用組織網域名稱,這個網域名稱可透過像是 GoDaddy 的服務進行驗證。在 https://account.manage.microsoft.com 上 Windows Intune 帳戶入口網站中的 [網域] 節點下方新增並驗證您的公用網域。
確認公用網域已在內部部署 Active Directory 中新增為替代的 UPN 尾碼。使用者必須在雲端和內部部署 Active Directory 中擁有相同的公用網域使用者主體名稱 (UPN),才能註冊行動裝置。在您設定目錄同步作業和 AD FS 之前,您必須確認使用者擁有公用網域 UPN。如果您略過這個步驟,系統最終可能會在使用者得到的雲端 UPN 之後自動附加「onmicrosoft.com」,而這將導致與內部部署的 Active Directory 使用者名稱產生不符的情況。如需如何變更 UPN 的相關資訊,請參閱 Active Directory 文件庫中的新增使用者主體名稱尾碼。
在 DNS 中新增將 enterpriseenrollment.<publicdomain> 指向 manage.microsoft.com 的 CNAME 記錄。稍後在執行註冊程序期間就會用到 CNAME 記錄。
驗證步驟:
檢查 Windows Intune 帳戶入口網站的 [網域] 頁面,確定公用網域已列出且已通過驗證。
查看內部部署 Active Directory 中使用者帳戶的內容,以確定列出的 UPN 包含公用網域名稱。
對 enterpriseenrollment.<publicdomain> 執行 Ping,並確保它解析為 manage.microsoft.com 的 IP 位址。CNAME 記錄會當成註冊程序的一部分來使用。
設定使用者驗證。
您可以從 https://account.manage.microsoft.com 上的 Windows Intune 帳戶入口網站設定 AD FS。在入口網站的 [使用者] 節點上,按一下 [單一登入:設定],然後依照 [設定及管理單一登入] 的步驟執行。如需詳細資訊,請參閱 Active Directory 文件庫中的檢查清單:使用 AD FS 實作和管理單一登入,這篇文章完整說明所需的需求、規劃與部署程序,以及如何確認已正確部署和設定 AD FS。
或者,您可以考慮根據您的安全性考量來實作密碼同步化。密碼同步化是 Windows Azure Active Directory 同步作業工具的功能,可將使用者密碼從您的內部部署 Active Directory 同步處理到 Windows Azure Active Directory。您可以將密碼同步化實作為目錄同步作業的一部分。如需了解安全性考量以及這對組織而言是否為正確決策的相關資訊,請參閱實作密碼同步化。
設定目錄同步作業來佈建使用者。
在 Windows Intune 帳戶入口網站的 [使用者] 節點中 (網址為 https://account.manage.microsoft.com),按一下 [Active Directory 同步作業:設定],然後依照 [設定及管理 Active Directory 同步作業] 中列出的步驟執行。如需詳細資訊,請參閱 Active Directory 文件庫中的設定目錄同步作業。您可以在任何電腦上安裝 DirSync,只要該電腦不是網域控制站即可。
驗證步驟:在 https://account.manage.microsoft.com 上登入 Windows Intune 帳戶入口網站,以檢視使用者帳戶。
規劃獨立的主要站台伺服器。
識別符合軟體和硬體必要條件的伺服器,以便裝載 Configuration Manager 主要站台。根據預設,當您安裝適用於 Configuration Manager 的主要站台時,也會安裝管理點和發佈點站台系統角色。因為您只會在這種情況下管理行動裝置,所以不會使用管理點及發佈點。不過,它們的存在並不會影響您的站台效能。因此,建議保留安裝這些站台系統角色。
如需主要站台的硬體大小資訊,請參閱規劃 Configuration Manager 的硬體設定。針對獨立主要站台提供的詳細資訊將為您提供執行能支援 Windows Intune 連接器,和最多 100,000 個行動裝置的主要站台之基本知識。
如需裝載 Configuration Manager 站台所需的軟體和支援作業系統的相關資訊,請參閱站台系統需求。請特別針對要套用到您用來裝載獨立主要站台的作業系統必要條件,檢閱適當的章節。預設安裝的站台系統角色是站台伺服器、資料庫伺服器、SMS 提供者伺服器、管理點及發佈點。
部署獨立的主要站台伺服器。
安裝並設定可讓您管理行動裝置的 System Center 2012 R2 Configuration Manager 獨立主要站台。如需相關資訊,請參閱安裝主要站台伺服器。
完成站台安裝之後,請確認或設定下列適用於 Configuration Manager 主要站台的常見設定:
不要設定站台界限。根據預設,不會為新站台建立站台界限。新的 Configuration Manager 用戶端會使用站台界限來識別要加入的站台,並找出您要部署的內容。針對這個案例,不會套用這兩種活動。
在網域上設定並執行 Active Directory 使用者探索來探索使用者,以便在未來註冊時使用。
確定未啟用用戶端推播安裝。只有在您準備好於 Windows 裝置上安裝 Configuration Manager 用戶端時才使用這個功能,不要使用它來管理行動裝置。
設定 Windows Intune 訂閱,並在獨立的主要站台伺服器上安裝 Windows Intune 連接器站台系統角色。
在您可以使用 Configuration Manager 來管理行動裝置之前,必須先設定 Windows Intune 訂閱,並在獨立的主要站台伺服器上安裝 Windows Intune 連接器站台系統角色。如需詳細資訊,請參閱如何使用 Configuration Manager 和 Windows Intune 管理行動裝置。
驗證步驟:
在主要站台伺服器電腦上,檢閱 Sitecomp.log,以確認 Windows Intune 連接器站台系統角色已成功安裝。
在安裝 Windows Intune 連接器的電腦上,檢閱 Cloudusersync.log,以確認來自您網站的使用者已成功同步處理到 Windows Intune。記錄檔將確認 Windows Azure AD 與內部部署 AD 之間的 UPN 名稱是一致的。如果所有使用者都無法進行同步處理,很可能是因為 UPN 不符。
在主要站台伺服器電腦上,檢閱 Certmgr.log,以確認您安裝 Windows Intune 連接器的電腦會共用連接器憑證。憑證會在 Windows Intune 連接器站台系統角色安裝完成之後加以共用。
在您安裝 Windows Intune 連接器的電腦上,檢閱 Dmpuploader.log,以確認連接器站台系統角色可以將原則和設定變更上傳到 Windows Intune 服務。
在您安裝 Windows Intune 連接器的電腦上,檢閱 Dmpdownloader.log,以確認 Windows Intune 連接器能夠從 Windows Intune 下載訊息。這個記錄檔可能只會在下載程序一開始時顯示偵測,而它可能需要花費一些時間,才會記錄與下載相關的項目。
安裝 System Center 2012 R2 Configuration Manager 主控台。
根據預設,當您安裝主要站台時,Configuration Manager 主控台也會安裝於主要站台伺服器電腦上。安裝站台之後,您可以在其他電腦上安裝其他 System Center 2012 R2 Configuration Manager 主控台來管理該站台。支援在同一部電腦上從 Configuration Manager 2007 和 System Center 2012 R2 Configuration Manager 安裝主控台。這個並存安裝讓您能夠使用單一電腦來管理現存的 Configuration Manager 2007 基礎結構,以及使用 Windows Intune 搭配 System Center 2012 R2 Configuration Manager 來管理的行動裝置。但是,您無法從 System Center 2012 R2 Configuration Manager 使用管理主控台來管理 Configuration Manager 2007 站台,反之亦然。如需詳細資訊,請參閱安裝 Configuration Manager 主控台。
註冊行動裝置。
如需如何註冊行動裝置的相關資訊,請參閱行動裝置註冊。
管理行動裝置。
在您安裝好獨立的主要站台並做好基本設定之後,您就可以開始設定行動裝置管理。下列為您可能設定的一般動作:
若要將相容性設定套用到行動裝置,請參閱 Configuration Manager 中適用於行動裝置的相容性設定。
若要建立及部署應用程式至行動裝置,請參閱如何在 Configuration Manager 中為行動裝置建立及部署應用程式。
若要設定硬體清查,請參閱如何為 Windows Intune 和 Configuration Manager 註冊的行動裝置設定硬體清查。
若要設定軟體清查,請參閱 Configuration Manager 中的軟體清查簡介。
若要抹除行動裝置的內容,請參閱從行動裝置抹除公司內容。
移轉到 System Center 2012 R2 Configuration Manager。
如需移轉到 System Center 2012 R2 Configuration Manager 的相關資訊,請參閱在 System Center 2012 Configuration Manager 中移轉階層。
如果您將管理 100,000 個以上的裝置,就必須將獨立的主要站台擴充為階層。如需詳細資訊,請參閱規劃擴充獨立主要站台。