Voraussetzungen für die Bereitstellung von Clients auf mobilen Geräten in Configuration Manager
Gilt für: Configuration Manager (Current Branch)
Wichtig
Die lokale MDM und der Configuration Manager-Client für macOS sind beide veraltet.
Migrieren Sie die Verwaltung von macOS und mobilen Geräten zu Microsoft Intune. Weitere Informationen finden Sie unter Unterstützte Clients und Geräte.
Die Bereitstellung Configuration Manager Clients in Ihrer Umgebung weist die folgenden externen Abhängigkeiten und Abhängigkeiten innerhalb des Produkts auf.
Weitere Informationen zu den Mindesthardware- und Betriebssystemanforderungen für den Configuration Manager-Client finden Sie unter Unterstützte Konfigurationen.
Hinweis
Die in diesem Artikel gezeigten Softwareversionsnummern enthalten nur die erforderlichen Mindestversionsnummern.
Wenn Sie den Configuration Manager-Client auf mobilen Geräten installieren und registrieren, verwenden Sie diese Informationen, um die Voraussetzungen zu ermitteln.
Externe Abhängigkeiten für Configuration Manager
Eine Microsoft Unternehmenszertifizierungsstelle (Ca) mit Zertifikatvorlagen zum Bereitstellen und Verwalten der für mobile Geräte erforderlichen Zertifikate.
Die ausstellende Zertifizierungsstelle muss Zertifikatanforderungen von Benutzern mobiler Geräte während des Registrierungsprozesses automatisch genehmigen.
Weitere Informationen zu den Zertifikatanforderungen finden Sie unter Sicherheit und Datenschutz für Zertifikatprofile.
Eine Sicherheitsgruppe, die die Benutzer enthält, die ihre mobilen Geräte registrieren können.
Diese Sicherheitsgruppe wird verwendet, um die Zertifikatvorlage zu konfigurieren, die bei der Registrierung mobiler Geräte verwendet wird.
Optional, aber empfohlen: ein DNS-Alias (CNAME-Eintrag) mit dem Namen ConfigMgrEnroll. Konfigurieren Sie diesen Alias für den Servernamen des Registrierungsproxypunkts.
Dieser DNS-Alias ist erforderlich, um die automatische Ermittlung für den Registrierungsdienst zu unterstützen. Wenn Sie diesen DNS-Eintrag nicht konfigurieren, müssen Benutzer den Namen des Registrierungsproxypunkts im Rahmen des Registrierungsprozesses manuell angeben.
Standortsystemrollenabhängigkeiten für die Computer, auf denen der Registrierungspunkt und der Registrierungsproxypunkt ausgeführt werden.
Weitere Informationen finden Sie unter Unterstützte Betriebssysteme für Standortsystemserver.
Configuration Manager Abhängigkeiten
Weitere Informationen finden Sie unter Bestimmen der Standortsystemrollen für Clients.
Verwaltungspunktkonfigurationen:
- HTTPS-Clientverbindungen
- Für mobile Geräte aktiviert
- Ein Internet-FQDN
- Akzeptieren von Clientverbindungen aus dem Internet
Registrierungspunkt und Registrierungsproxypunkt
Ein Registrierungsproxypunkt verwaltet Registrierungsanforderungen von mobilen Geräten, und der Registrierungspunkt schließt den Registrierungsprozess ab. Der Registrierungspunkt muss sich in derselben Active Directory-Gesamtstruktur wie der Standortserver befinden, aber der Registrierungsproxypunkt kann sich in einer anderen Gesamtstruktur befinden.
Clienteinstellungen für die Registrierung mobiler Geräte
Konfigurieren Sie Clienteinstellungen, damit Benutzer mobile Geräte registrieren und mindestens ein Registrierungsprofil konfigurieren können.
Reporting Services-Punkt
Der Reporting Services-Punkt ist eine optionale, aber empfohlene Standortsystemrolle. Es können Berichte im Zusammenhang mit der Registrierung mobiler Geräte und der Clientverwaltung angezeigt werden. Weitere Informationen finden Sie unter Einführung in die Berichterstellung.
Zum Konfigurieren der Registrierung für mobile Geräte benötigt Ihr Konto die folgenden Sicherheitsberechtigungen:
So fügen Sie die Registrierungsstandortsystemrollen hinzu, ändern und löschen sie: Berechtigung ändern für das Site-Objekt .
So konfigurieren Sie Clienteinstellungen für die Registrierung: Standardclienteinstellungen erfordern die Berechtigung Ändern für das Site-Objekt , und benutzerdefinierte Clienteinstellungen erfordern Client-Agent-Berechtigungen .
Die Standardsicherheitsrolle "Volladministrator " enthält die erforderlichen Berechtigungen zum Konfigurieren der Standortsystemrollen für die Registrierung.
Zum Verwalten registrierter mobiler Geräte benötigt Ihr Konto die folgenden Sicherheitsberechtigungen:
So setzen Sie ein mobiles Gerät zurück oder setzen es außer Betrieb: Löschen Sie die Ressource für das Collection-Objekt .
So brechen Sie einen Zurücksetzungs- oder Außerkraftsetzungsbefehl ab: Ressource für das Collection-Objekt löschen.
So lassen Sie mobile Geräte zu und blockieren sie: Ändern Sie die Ressource für das Collection-Objekt .
Zum Remotesperren oder Zurücksetzen der Kennung auf einem mobilen Gerät: Ändern sie die Ressource für das Collection-Objekt .
Die Standardsicherheitsrolle "Betriebsadministrator " enthält die erforderlichen Berechtigungen zum Verwalten mobiler Geräte.
Weitere Informationen zum Konfigurieren von Sicherheitsberechtigungen finden Sie unter Grundlagen der rollenbasierten Verwaltung und Konfigurieren der rollenbasierten Verwaltung.
Firewallanforderungen
Zwischenschaltnetzwerkgeräte wie Router und Firewalls und ggf. Die Windows-Firewall müssen den datenverkehr zulassen, der der Registrierung mobiler Geräte zugeordnet ist.
Zwischen mobilen Geräten und dem Registrierungsproxypunkt: HTTPS (standardmäßig TCP 443)
Zwischen dem Registrierungsproxypunkt und dem Registrierungspunkt: HTTPS (standardmäßig TCP 443)
Wenn Sie einen Proxywebserver verwenden, konfigurieren Sie ihn für SSL-Tunneling. SSL-Bridging wird für mobile Geräte nicht unterstützt.