混合式環境中行動裝置與電腦的簡化管理
適用於: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager
本指南的適用對象是誰?:需要利用其現有的 Configuration Manager 基礎結構來管理內部部署和遠端行動裝置與電腦的公司,以支援員工使用這些裝置來存取公司資源的需求。
本指南可提供您哪些協助? 本指南提供精準且經過測試的設計,說明如何:
升級您現有的內部 Configuration Manager 基礎結構,並將它延伸到雲端,讓使用者可以從他們選擇的裝置遠端工作。
將電腦和遠端裝置管理整合為單一基礎結構。
維護適用於所有裝置的公司規範。
保護公司資料。
在這個解決方案中:
案例、問題陳述和目標
案例
問題陳述
組織目標
針對這個解決方案的建議設計是什麼?
安裝 System Center 2012 R2 Configuration Manager 和移轉物件
訂閱 Windows Intune
使用 Windows Azure AD 和目錄同步作業管理身分識別和存取
使用密碼同步來為使用者提供輕鬆安全的存取
規劃階段式平台升級
實作步驟
下圖說明此解決方案指南可解決的問題。
.png "問題的整體概觀")
圖 1:問題的整體概觀。
案例、問題陳述和目標
本節描述範例組織的案例、問題與目標。
案例
這個解決方案中使用的範例公司雇用了 5,000 位以上攜帶其 Windows Phone 8、Windows RT、iOS 及 Android 個人裝置來工作的員工。他們目前無法從這些裝置存取公司資源。
該公司使用 Microsoft System Center Configuration Manager 2007 SP2,來管理內部部署的使用者電腦,以及透過 VPN 遠端連線到公司網路的使用者電腦。該公司無法管理行動裝置。
該公司環境的基礎結構包含:
Windows Server 2008 R2
Windows Server 2008 R2 Active Directory
Configuration Manager 2007 SP2
已加入網域且受到 Configuration Manager 管理的電腦
下圖說明該公司目前的環境。
.png "公司環境的整體概觀")
圖 2:目前環境的整體概觀
問題陳述
目前的裝置管理基礎結構無法支援範例公司的成長需求:
他們可以管理其目前環境中的電腦,但無法管理行動裝置。
他們為部分員工提供公司擁有的行動裝置。其他員工想要使用其個人裝置來工作。
該公司同時也顧慮到管理所有這些裝置所需的資源。支援許多電腦、裝置及應用程式的成本非常昂貴,而且 IT 可能需要進行全時裝置管理。
該公司需要管理風險,並確定所有裝置 (公司與個人裝置) 都遵循安全性指導方針。
裝置管理是公司資產與資訊的安全性風險。一旦員工在 IT 無法管理 (甚至不知道) 的裝置上工作之後,保有公司機密資訊的控制權就會變得非常困難。
如果裝置被賣掉、遺失或遭竊,IT 人員也束手無策。
組織目標
範例公司正在尋找能讓他們執行下列動作的解決方案:
使用他們現有的 Configuration Manager 基礎結構。IT 已在目前基礎結構中投入大量資源,他們不想重頭來過。
讓員工能夠使用個人裝置以及公司裝置來存取公司應用程式和資料。這些裝置包含電腦和行動裝置。
從單一系統管理員主控台管理電腦和個人裝置。裝置管理作業包括設定安全性與合規設定、收集軟體與硬體清查資訊或部署軟體。
根據裝置類型以及裝置是否為個人或公司所擁有來部署應用程式或 Web 連結。
在行動裝置遺失、遭竊或停用時,藉由抹除儲存於該行動裝置上的公司資料來保護公司。
針對這個解決方案的建議設計是什麼?
為了解決他們的企業問題並符合組織目標,該公司需要:
在總部安裝新的 System Center 2012 R2 Configuration Manager 獨立主要站台,並在遠端位置上安裝發佈點。
將物件和發佈點從現有的 Configuration Manager 2007 SP2 基礎結構移轉到 System Center 2012 R2 Configuration Manager。
訂閱 Windows Intune,並在 Configuration Manager 中設定 Windows Intune 連接器,以與 Windows Intune 整合。
將他們的網域使用者帳戶同步處理到 Windows Azure,因為 Windows Intune 是一項雲端服務。這樣讓他們能夠管理可從其行動裝置存取公司資源的使用者。
使用密碼同步,讓使用者能夠使用其內部部署網域使用者名稱和密碼來取得雲端服務。
下圖說明這個解決方案中的元素彼此通訊的方式。
.png "公司解決方案的整體概觀")
圖 3:解決方案的整體概觀
| 解決方案設計元素 | 它為何包含在此解決方案中? |
|---|---|
System Center 2012 R2 Configuration Manager |
(與 Windows Intune 整合時) 提供安全且可擴充的軟體部署、合規性設定管理,以及適用於伺服器、桌上型電腦、膝上型電腦及行動裝置的全方位資產管理。 |
Windows Intune |
透過網際網路管理行動裝置。與 System Center 2012 R2 Configuration Manager 整合時,您可以從 Configuration Manager 主控台管理電腦與行動裝置。 |
Windows Azure Active Directory (AD) |
可針對內部部署與雲端應用程式提供身分識別和存取功能的服務。 |
Windows Azure 目錄同步作業 (DirSync) |
將內部部署的 AD 使用者與 Windows Azure AD 進行同步處理。 |
密碼同步 |
讓使用者能夠使用相同的使用者名稱和密碼來取得內部部署與雲端服務。 |
安裝 System Center 2012 R2 Configuration Manager 和移轉物件
System Center 2012 R2 Configuration Manager 可以藉由整合 Windows Intune,將公司管理內部部署電腦的能力延伸到雲端。此外,將 Configuration Manager 與 Windows Intune 搭配使用,公司就能從單一主控台管理其內部部署電腦與行動裝置。他們也想要減少 IT 負荷。
因此,公司將在其總部安裝 System Center 2012 R2 Configuration Manager 獨立主要站台,並在遠端位置上安裝發佈點。
然後,將物件從 Configuration Manager 2007 SP2 環境移轉到 System Center 2012 R2 Configuration Manager。
該公司是基於下列因素選擇進行移轉:
整合式解決方案:該公司希望有一個整合式解決方案,讓他們能夠從單一主控台管理電腦和行動裝置。System Center 2012 R2 Configuration Manager 搭配 Windows Intune 可提供這個整合式解決方案。
簡化階層:透過 System Center 2012 R2 Configuration Manager,他們確定了每個遠端位置上不再需要次要站台,如下圖所示。
.png "現有階層,Configuration Manager 2007")
圖 3:現有階層,Configuration Manager 2007
.png "新階層,System Center 2012 R2 ConfigMgr")
圖 4:新階層,System Center 2012 R2 Configuration Manager
適用於簡化階層的主要動因:
以角色為基礎的系統管理:在 System Center 2012 R2 Configuration Manager 中,以角色為基礎的系統管理讓該公司能夠使用下列任一項或全部來設計和實作適用於 System Center 2012 R2 Configuration Manager 階層的系統管理安全性:
安全性角色
集合
安全性範圍
這些設定可為系統管理使用者定義系統管理範圍。系統管理範圍控制系統管理使用者可在 Configuration Manager 主控台內檢視的物件,以及使用者對這些物件的權限。請參閱規劃以角色為基礎的系統管理。
內容管理:在 System Center 2012 R2 Configuration Manager 中,該公司可以設定用來將內容傳輸到發佈點的網路頻寬,並且在遠端位置的發佈點上預先設置內容。請參閱發佈點的網路頻寬考量。
移轉的物件:該公司可以使用移轉工具,將物件從 Configuration Manager 2007 SP2 移轉到 System Center 2012 R2 Configuration Manager 階層。公司的 IT 已投入大量時間來建立 Configuration Manager 物件,例如,集合、工作順序、組態項目等。使用移轉,他們將能繼續從這項投資中獲益。
最新功能:該公司也對 System Center 2012 R2 Configuration Manager 中未與這個解決方案直接相關的新功能深感興趣。請參閱 System Center 2012 R2 Configuration Manager 中的新功能。
訂閱 Windows Intune
Windows Intune 服務提供以雲端為基礎的行動裝置管理。該公司將訂閱 Windows Intune,然後將 Windows Intune 與 System Center 2012 R2 Configuration Manager 整合,以便從 Configuration Manager 主控台管理電腦與行動裝置。
訂閱 Windows Intune 可支援公司整合式解決方案的目標以管理電腦和行動裝置。
該公司曾考慮過協力廠商的行動裝置管理解決方案,但是沒有任何解決方案可提供他們所需的整合式體驗。他們也不想因轉換產品而導致產生訓練和實作成本。
另一個優點是,該公司可在數月後訂閱 Microsoft Office 365 時,使用來自其 Windows Intune 訂閱的使用者帳戶。
提示
如果貴公司已經針對像是 Microsoft Office 365 的服務使用 Microsoft Online Services,則在您訂閱 Windows Intune 時,請使用同一個使用者帳戶。這樣讓您能夠在組織的 Windows Azure AD 租用戶中的所有服務上使用相同的使用者群組。如果您未選擇使用現有的使用者登入,則系統會為您建立一個新的 Windows Azure AD 租用戶。您需要在稍後將使用者新增到新的租用戶。
使用 Windows Azure AD 和目錄同步作業管理身分識別和存取
Windows Intune 使用 Windows Azure AD 來儲存使用者帳戶。Microsoft 雲端服務 (例如,Windows Intune 和 Office 365) 依賴 Windows Azure AD 所提供的身份識別管理功能。
該公司將使用 Windows Azure 目錄同步作業 (DirSync),同步處理內部部署的 Windows Server AD 使用者與 Windows Azure AD。目錄同步作業是用來做為內部部署 AD 與以雲端為基礎的 Windows Azure AD 之間持續存在的關係。該公司選擇 DirSync 來執行下列動作:
降低管理成本:沒有 DirSync,該公司就必須手動將其使用者和群組帳戶新增到 Windows Azure AD。DirSync 會將使用者帳戶從內部部署的 Windows Server AD 同步處理到 Windows Azure AD。當您啟用目錄同步作業之後,就能在您的內部部署環境中編輯同步處理的物件,而這些編輯將與您的 Windows Intune 訂閱進行同處理,這樣便能降低系統管理成本。
提高產能:透過同步處理使用者和群組帳戶的自動化程序,該公司就可大幅減少讓其員工存取以雲端服務為基礎的服務的時間。
規劃和設計目錄同步作業的考量
規劃目錄同步作業時,該公司已將硬體需求、系統管理員權限、效能考量等納入考慮。這些需求都記錄於為目錄同步作業做好準備。
使用密碼同步來為使用者提供輕鬆安全的存取
您必須設定使用者驗證,否則公司的員工就必須使用不同的使用者名稱和個別密碼來存取雲端和內部部署服務。該公司決定他們必須具備使用者驗證,以避免增加額外的系統管理負荷來管理初始和持續進行的密碼變更,並提供更佳的使用者體驗。他們決定使用密碼同步來進行使用者驗證。
該公司考慮使用下列驗證方法,讓員工可以使用同一個認證來存取雲端和內部部署資源:
密碼同步是一個輕量且非常容易部署的選項,可為使用者提供類似單一登入的體驗。密碼同步是您可以在 DirSync 內選擇使用的選項,讓 DirSync 能夠在 Windows Azure AD 中儲存密碼雜湊。在您的目錄同步電腦上啟用密碼同步時,使用者將能使用他們在登入內部部署網路時所使用的相同密碼,來登入 Microsoft 雲端服務 (例如,Office 365、Dynamics CRM 及 Windows Intune)。當使用者變更他們在公司網路中的密碼時,這些變更也會同步處理到雲端。
但是,密碼同步不提供您在使用 AD FS 時取得的單一登入 (SSO) 解決方案。使用者必須在每次存取雲端服務時重新輸入他們的認證。請參閱:
Active Directory Federation Services (AD FS) 提供真正可與 Active Directory 驗證通訊協定一同運作的單一登入 (SSO) 體驗。內部部署的 Active Directory 和 AD FS 會與 Windows Azure AD 身分識別平台互動,以提供一或多個 Microsoft 雲端服務的存取。設定 SSO 時,即會在網域和 Windows Azure AD 驗證系統之間建立同盟信任。使用者可以針對雲端服務和內部部署服務使用相同的使用者名稱和密碼,來驗證這兩類服務。在使用者經過驗證之後,當他們存取雲端服務時,系統便不會再次提示他們提供認證。
該公司基於數個因素而決定使用密碼同步來進行使用者驗證。密碼同步在 DirSync 中的設定非常簡單,他們已經規劃好使用這個功能來同步處理內部部署的使用者帳戶。他們也規劃在未來六個月內將網域控制站升級到 Windows Serve 2012 R2。AD FS 是 Windows Server 2012 R2 中的站台角色,具備許多新功能。該公司規劃在升級網域控制站時實作 AD FS。如需有關如何在 Windows Server 2012 R2 中實作 AD FS 的詳細資訊,請參閱:
該公司決定使用密碼同步來進行使用者驗證。不過,您可能決定在環境中針對 SSO 實作 AD FS。請參閱:
AD FS 設計考量:AD FS 2.0 設計指南
針對 SSO 使用 AD FS:檢查清單:使用 AD FS 實作和管理單一登入
規劃階段式平台升級
該公司決定不要在這個解決方案中升級內部部署的 AD,但是規劃在未來六個月內進行升級。
該公司的 IT 提議在這個解決方案中升級他們的內部部署 AD。在 Windows Server 2012 R2 中,已經使用下列功能來增強 AD:
裝置註冊。IT 系統管理員可允許裝置進行註冊,以將該裝置與公司的 Active Directory 產生關聯。這個關聯可以用來做為流暢的次要因素驗證。
單一登入 (SSO),從與公司 Active Directory 關聯的裝置使用單一登入。
Web 應用程式 Proxy,讓使用者可隨時隨地連線到應用程式和服務。
多重要素存取控制和多重要素驗證 (MFA),可對使用者從任何地方進行工作,並從其裝置存取受保護資料的風險進行管理。
工作資料夾,為使用者提供一個位置來儲存與存取電腦和裝置上的工作檔案。
請參閱 Active Directory 服務。
儘管該公司的管理小組認同新功能深具價值,但是他們仍然無法在這個解決方案中核准資源來升級 AD。管理小組希望在未來六個月內升級他們的內部部署 AD。
當您準備好升級內部部署 AD 和實作 AD FS 時,請參閱確保從任意地點使用任意裝置存取公司資源時的安全。
實作步驟
本節提供該公司採取來實作解決方案的步驟。如果您依照這些步驟進行,在進行下一個步驟之前,請務必確認每個步驟都已正確部署。
訂閱 Windows Intune。
在 Windows Intune 網站上建立 Windows Intune 訂閱。
- 如果您已經擁有另一個雲端服務 (例如,Office 365) 的使用者帳戶,就可以按一下 [登入] 來輸入帳戶認證。這樣讓您能夠在組織的 Windows Azure AD 租用戶中的所有服務上共用相同的使用者群組。
驗證步驟: 當您完成註冊程序之後,系統即會傳送電子郵件到您提供的電子郵件地址。按一下該電子郵件內含的連結,或者前往 https://account.manage.microsoft.com 上的 Windows Intune 帳戶入口網站,確認您可以登入。
設定您的公用網域。
取得公用網域。若要使用 Windows Intune 服務,您也需要有公用組織網域名稱,這個網域名稱可以透過網域名稱註冊服務進行驗證。在 https://account.manage.microsoft.com 上 Windows Intune 帳戶入口網站中的 [網域] 節點下方新增並驗證您的公用網域。
確認公用網域已在內部部署 Active Directory 中新增為替代的 UPN 尾碼。使用者必須在雲端和內部部署 Active Directory 中擁有相同的公用網域使用者主體名稱 (UPN),才能註冊行動裝置。在您設定目錄同步作業之前,必須先確認使用者擁有公用網域 UPN。如果您略過這個步驟,使用者可能會在其雲端 UPN 之後附加「onmicrosoft.com」,這將導致與內部部署的 Active Directory 使用者名稱不符的情況。請參閱新增使用者主要名稱尾碼。
在 DNS 中新增 CNAME 記錄,將 enterpriseenrollment.<publicdomain> 指向 manage.microsoft.com。稍後在執行註冊程序期間就會用到 CNAME 記錄。請參閱將別名 (CNAME) 資源記錄新增至區域。
驗證步驟:
檢查 Windows Intune 帳戶入口網站的 [網域] 頁面,確定公用網域已列出且已通過驗證。
查看內部部署 Active Directory 中使用者帳戶的內容,以確定列出的 UPN 包含公用網域名稱。
使用 DirSync 搭配密碼同步來為使用者提供輕鬆安全的存取。
您可以從 https://account.manage.microsoft.com 上的 Windows Intune 帳戶入口網站設定密碼同步。在入口網站的 [使用者] 節點上,按一下 [Active Directory 同步處理:設定],然後依照 [設定及管理 Active Directory 同步處理] 中列出的步驟執行。您可以在執行 [目錄同步作業] 工具的 [設定精靈] 時,選取 [啟用密碼同步] 來啟用密碼同步。
請參閱:
驗證步驟:在 https://account.manage.microsoft.com 上登入 Windows Intune 帳戶入口網站,以檢視使用者帳戶。
安裝您的 System Center 2012 R2 Configuration Manager 站台或階層。
在規劃 System Center 2012 R2 Configuration Manager 階層之後,該公司決定他們將在總部安裝獨立的主要站台,並在遠端位置安裝發佈點。您可能會判斷您的階層需要不同的設定。請使用下列步驟來安裝您的 System Center 2012 R2 Configuration Manager 站台或階層:
識別一台符合裝載 Configuration Manager 主要站台之軟體與硬體必要條件的伺服器。請參閱規劃 Configuration Manager 的硬體設定。
檢閱用來裝載 Configuration Manager 站台所需的軟體及支援的作業系統。請參閱站台系統需求。
設定您的 Windows 環境以支援 System Center 2012 R2 Configuration Manager。請參閱為 Configuration Manager 準備 Windows 環境。
安裝 System Center 2012 R2 Configuration Manager 站台。請參閱安裝網站並建立 Configuration Manager 的階層。針對這個解決方案,該公司將安裝獨立的主要站台,並將略過安裝中央系統管理站台或次要站台的步驟。當您瀏覽本主題時,請選擇適合您環境的站台。
在遠端位置安裝發佈點。範例公司已決定他們可以在每個遠端位置使用發佈點,而不是在每個位置使用次要站台。如需安裝和設定發佈點的詳細資訊,請參閱在 Configuration Manager 中設定內容管理。
驗證步驟
在主要站台伺服器電腦上,監視安裝精靈中的進度。Configuration Manager 安裝精靈會顯示每個站台安裝工作的結果。當所有安裝工作完成之後,就可以關閉該精靈。不過,當站台安裝完成之後,安裝精靈會繼續顯示該網站持續進行的設定相關資訊,如果您未關閉精靈,就可以進行監視。關閉安裝精靈並不會影響這些持續進行的設定,它們會在精靈關閉之後於背景中繼續執行。檢閱 ConfigMgrSetup.log,以確定站台已成功安裝。
設定管理特性與功能。
安裝站台或階層之後,請設定站台,以支援您想要使用的 System Center 2012 R2 Configuration Manager 管理特性與功能。您必須先設定 Active Directory 使用者探索,然後才能設定 Windows Intune 訂閱或安裝步驟 8 中的 Windows Intune 連接器站台系統角色。請參閱:
移轉到 System Center 2012 R2 Configuration Manager。
當您從 Configuration Manager 2007 來源階層移轉物件時,會從您在來源基礎結構中識別的站台資料庫存取資料,然後將該資料複製到 System Center 2012 R2 Configuration Manager 階層。移轉不會變更來源階層中的資料。它會探索資料,並在目的地階層的資料庫中儲存複本。請參閱在 System Center 2012 Configuration Manager 中移轉階層。
若要將 Configuration Manager 2007 資料移轉到 System Center 2012 R2 Configuration Manager:
指定 Configuration Manager 2007 SP2 階層做為移轉的來源階層。根據預設,該階層的頂層站台會成為來源階層的來源站台。從初始來源站台收集資料之後,接著您可以設定其他用來移轉的來源站台。
Configuration Manager 會在您指定來源階層、在來源階層中設定每個其他來源站台的認證,或者共用來源站台的發佈點之後,開始立即從來源站台收集資料。根據預設,資料收集程序每四小時重複一次,以便 Configuration Manager 能夠在來源階層中識別到您可能要移轉的資料有何變化。要在目的地階層共用來源階層的發佈點,資料收集也是必要的程序。請參閱設定移轉至 System Center 2012 Configuration Manager 的來源階層和來源站台。
建立移轉作業,在來源和目的地階層之間移轉資料。使用移轉作業設定您要移轉至 System Center 2012 R2 Configuration Manager 環境中的特定資料。移轉作業可識別您規劃要移轉的物件,而且會在階層中的頂層站台執行。請參閱建立和編輯 System Center 2012 Configuration Manager 的移轉作業。
監視移轉作業。在 System Center 2012 R2 Configuration Manager 主控台中檢視移轉作業的進度。請參閱在移轉工作區中監視移轉活動。
升級共用發佈點。您可以升級從 Configuration Manager 2007 來源站台共用的支援發佈點,以做為目的地階層中的發佈點。請參閱在 System Center 2012 Configuration Manager 中升級或重新指派共用發佈點。
將 Configuration Manager 2007 用戶端移轉至 System Center 2012 R2 Configuration Manager。您在階層之間移轉用戶端的資料之後,但是尚未完成移轉之時,請規劃將用戶端移轉至目的地階層。若要在階層之間移轉用戶端,請從目的地階層安裝 Configuration Manager 用戶端軟體。Configuration Manager 用戶端即會解除安裝,而 System Center 2012 R2 Configuration Manager 用戶端即會安裝並指派給主要站台。請參閱在 System Center 2012 Configuration Manager 中規劃用戶端移轉策略。
完成移轉程序:當您的 Configuration Manager 2007 階層不再包含您要移轉至目的地階層的資料時,您就可以完成移轉程序。若要這樣做:
確定您已從來源階層中成功移轉您在目的地階層中所需的所有資源。其可包括資料和用戶端。
停止從 Configuration Manager 2007 階層中的每個來源站台收集資料。若要執行這個動作,請在底層來源站台上執行 [停止收集資料] 動作,然後在每個父站台上重複執行這個程序。來源階層的頂層站台必須是停止收集資料的最後一個站台。您必須先在每個子站台上停止收集資料,才能在父站台上執行這個動作。 當您停止收集資料之後,就無法在來源和目的地階層之間共用發佈點。
清除移轉資料。若要執行這個動作,請使用 [清理移轉資料] 動作。這個選擇性的動作會從目的地階層的資料庫,移除目前來源階層的相關資料。直到清理移轉資料之前,每一個已執行或已排程執行的移轉作業仍可在 Configuration Manager 主控台存取。當您清理移轉資料時,大多數和移轉相關的資料會從目的地階層的資料庫移除。請參閱在 System Center 2012 Configuration Manager 中完成移轉。
驗證步驟: 移轉是由數個完全不同的動作或階段所組成,並會延長一段時間,直到您決定完成移轉程序為止。因此,沒有單一驗證步驟或程序可供您檢閱來確認移轉已完成。相反地,您可以在每個階段的動作執行或完成時,當結果顯示於 System Center 2012 R2 Configuration Manager 主控台時來驗證它們。
解除委任 Configuration Manager 2007 階層: 當完成來源階層的移轉,而且該階層不再包含您管理的資源後,您就可以解除委任來源階層中的站台,並可將相關基礎結構從您的環境移除。請參閱解除委任站台和階層的 Configuration Manager 作業。
取得行動裝置的憑證或金鑰
該公司必須先擁有憑證或側載金鑰,才能註冊行動裝置。您環境中所擁有的行動裝置類型將決定您需要哪些憑證或側載金鑰。請參閱取得憑證或金鑰以符合每個平台的必要條件。
設定 Windows Intune 訂閱,並在頂層站台上安裝 Windows Intune 連接器站台系統角色。
在該公司可以使用 Configuration Manager 來管理行動裝置之前,他們必須設定 Windows Intune 訂閱,並在頂層站台伺服器上安裝 Windows Intune 連接器站台系統角色。他們將設定獨立的主要站台。如果您有更複雜的階層,請設定中央系統管理站台。
設定您的 Windows Intune 訂閱。請參閱設定 Windows Intune 訂閱。
安裝 Windows Intune 連接器。請參閱 Windows 連接器站台系統角色。
驗證步驟:
在主要站台伺服器電腦上,檢閱 sitecomp.log,以確認 Windows Intune 連接器站台系統角色已成功安裝。
在安裝 Windows Intune 連接器的電腦上,檢閱 cloudusersync.log,以確認來自您網域的使用者已成功同步處理到 Windows Intune。
在主要站台伺服器電腦上,檢閱 CertMgr.log,以確認您安裝 Windows Intune 連接器的電腦會共用連接器憑證。憑證會在 Windows Intune 連接器站台系統角色安裝完成之後加以共用。
在您安裝 Windows Intune 連接器的電腦上,檢閱dmpuploader.log,以確認連接器站台系統角色可以將原則和設定變更上傳到 Windows Intune 服務。
在您安裝 Windows Intune 連接器的電腦上,檢閱 dmpdownloader.log,以確認 Windows Intune 連接器能夠從 Windows Intune 下載訊息。這個記錄檔在下載程序一開始可能只會顯示偵測,而這可能需要花費一些時間,才會記錄與下載相關的項目。
註冊行動裝置。
註冊會建立使用者、行動裝置及 Windows Intune 服務之間的關係。使用者會註冊自己的行動裝置。Android 裝置不會註冊,但可使用 Exchange Server 連接器來管理。請參閱行動裝置註冊。
安裝 System Center 2012 R2 Configuration Manager 主控台。
根據預設,當您安裝主要站台時,Configuration Manager 主控台也會安裝於主要站台伺服器電腦上。當站台安裝之後,您可以在電腦上安裝其他 System Center 2012 R2 Configuration Manager 主控台來管理站台。請參閱安裝 Configuration Manager 主控台。
管理您的電腦與行動裝置。
當您安裝站台並針對站台進行基本設定之後,就可以開始設定電腦與行動裝置的管理。以下為您可能設定的典型特色或功能:
功能 詳細資料 使用硬體清查,來收集組織中有關用戶端裝置硬體設定的資訊。
使用軟體清查,來收集組織中有關用戶端裝置上內含檔案的資訊。此外,軟體清查可以從用戶端裝置收集檔案,並將它們儲存於站台伺服器上。
使用 Asset Intelligence,來清查和管理整個組織中的軟體授權使用量,並提高所收集的軟體與硬體相關資訊的廣度。
使用相容性設定,來管理組織中伺服器、膝上型電腦、桌上型電腦及行動裝置的設定與相容性。
使用公司資源存取,藉由設定下列各項,為組織中的使用者提供從遠端位置存取資料和應用程式的權限:
- 憑證設定檔
- VPN 設定檔
- Wi-Fi 設定檔
使用遠端連線設定檔,讓您的使用者能夠在未連線到網域,或者當他們的個人電腦是透過網際網路連線時,從遠端連線到工作電腦。
使用應用程式管理,針對 Configuration Manager 系統管理使用者和用戶端裝置使用者管理企業中的應用程式。
使用軟體更新,來監視合規性並將軟體更新部署到企業中的電腦。
使用這份步驟逐步解說,讓您能夠透過網際網路使用 Windows Intune 服務,來管理 Windows Phone 8、Windows RT、iOS 及 Android 裝置。
您可以在 Windows Phone 8、iOS 及 Android 裝置上進行完全抹除,將裝置還原為原廠設定。或者,您可以進行選擇性抹除,只移除公司內容。
- 憑證設定檔
另請參閱
| 內容類型 | 參考資料 |
|---|---|
產品評估/開始使用 |
|
參考資料 |
|
相關的解決方案 |
|
社群資源 |