Optimierte Verwaltung für mobile Geräte und Computer in Hybridumgebungen
Letzte Aktualisierung: August 2014
Betrifft: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager
An wen richtet sich dieses Handbuch?: Unternehmen, die lokal und remote betriebene mobile Geräte und PCs unter Nutzung der vorhandenen Konfigurationsmanager-Infrastruktur verwalten müssen, um der Nachfrage der Mitarbeiter zur Verwendung dieser Geräte für den Zugriff auf Unternehmensressourcen nachzukommen.
Wie kann Ihnen dieses Handbuch helfen? Dieses Handbuch enthält einen Vorschlag für eine getestete Auslegung und erläutert die folgenden Punkte:
Durchführen eines Upgrades der vorhandenen lokalen Konfigurationsmanager-Infrastruktur und deren Erweiterung in die Cloud, um den Benutzern die Möglichkeit zur Remotearbeit mit dem Gerät ihrer Wahl zu geben.
Vereinheitlichen der Verwaltung von PCs und mobilen Geräten in einer einzelnen Infrastruktur.
Aufrechterhalten der Compliance mit den Unternehmensrichtlinien für alle Geräte.
Schutz von Unternehmensdaten.
Der Inhalt dieser Lösung:
Szenario, Problemerläuterung und Ziele
Szenario
Problemerläuterung
Organisationsziele
Wie sieht der empfohlene Entwurf für diese Lösung aus?
Installieren von System Center 2012 R2 Configuration Manager und Migrieren von Objekten
Abonnieren von Windows Intune
Verwalten von Identität und Zugriff mit Microsoft Azure AD und Verzeichnissynchronisierung
Bereitstellung von einfachem und sicherem Zugang für Benutzer mit Kennwortsynchronisierung
Planen eines mehrstufigen Plattformupgrades
Implementierungsschritte
Das folgende Diagramm veranschaulicht das Problem, das in diesem Lösungshandbuch adressiert ist.
Diagramm 1: Allgemeine Übersicht zum Problem.
Szenario, Problemerläuterung und Ziele
In diesem Abschnitt werden das Szenario, das Problem und die Ziele für eine Beispielorganisation beschrieben.
Szenario
Diese Lösung verwendet ein Beispielunternehmen mit mehr als 5.000 Mitarbeitern, die ihre persönlichen Windows Phone 8-, Windows RT-, iOS- und Android-Geräte mit zur Arbeit bringen. Aktuell besteht keine Möglichkeit zum Zugriff auf Unternehmensressourcen von diesen Geräten aus.
Das Unternehmen verwendet Microsoft System Center Configuration Manager 2007 SP2, um PCs für Benutzer zu verwalten, die lokal arbeiten und Remoteverbindungen mit dem Unternehmensnetzwerk per VPN herstellen. Das Unternehmen kann mobile Geräte nicht verwalten.
Die Infrastruktur der Unternehmensumgebung umfasst:
Windows Server 2008 R2
Windows Server 2008 R2 Active Directory
Configuration Manager 2007 SP2
Mit der Domäne verbundene PCs, die mithilfe von Konfigurationsmanager verwaltet werden
Das folgende Diagramm veranschaulicht die aktuelle Umgebung des Unternehmens.
Diagramm 2: Allgemeine Übersicht der aktuellen Umgebung
Problemerläuterung
Die aktuelle Infrastruktur zur Geräteverwaltung unterstützt die wachsenden Bedürfnisse des Beispielunternehmens nicht:
In der aktuellen Umgebung werden PCs verwaltet, mobile Geräte können jedoch nicht verwaltet werden.
Einigen Mitarbeitern werden auf Unternehmenskosten mobile Geräte zur Verfügung gestellt. Andere Mitarbeiter möchten ihre persönlichen Geräte bei der Arbeit verwenden.
Das Unternehmen hat außerdem Bedenken wegen der Ressourcen, die zum Verwalten dieser vielen Geräte erforderlich sind. Die Unterstützung vieler PCs, Geräte und Anwendungen ist teuer, und Geräteverwaltung kann eine IT-Abteilung rund um die Uhr beschäftigt halten.
Das Unternehmen muss die Risiken verwalten und sicherstellen, dass alle Geräte, sowohl unternehmenseigene als auch persönliche, den Sicherheitsrichtlinien des Unternehmens genügen.
Geräteverwaltung stellt ein Sicherheitsrisiko für die Ressourcen und die Daten des Unternehmens dar. Sobald Mitarbeiter an Geräten arbeiten, die nicht von der IT verwaltet werden (und von denen sie möglicherweise gar nichts weiß), wird es sehr schwierig, die Kontrolle über vertrauliche Firmeninformationen aufrecht zu erhalten.
Die IT ist machtlos, wenn das Gerät verkauft oder gestohlen wird oder einfach verloren geht.
Organisationsziele
Das Beispielunternehmen sucht nach einer Lösung, die ihm folgende Möglichkeiten gibt:
Verwenden der vorhandenen Konfigurationsmanager-Infrastruktur. Die IT hat viele Ressourcen in die aktuelle Infrastruktur investiert und möchte nicht noch einmal von vorn anfangen.
Mitarbeitern die Möglichkeit zur Verwendung persönlicher sowie auch unternehmenseigener Geräte für den Zugriff auf Unternehmensanwendungen und -daten zu geben. Diese umfassen PCs und mobile Geräte.
Verwalten von PCs und persönlichen Geräten von einer einzelnen Administratorkonsole aus. Das Verwalten von Geräten schließt die Einrichtung von Sicherheits- und Kompatibilitäteinrichtungen, das Erfassen des Software- und Hardwarebestands oder die Bereitstellung von Software ein.
Bereitstellen von Anwendungen oder Weblinks unter Berücksichtigung des Gerätetyps und der Frage, ob es sich um ein persönliches oder unternehmenseigenes Gerät handelt.
Schützen des Unternehmens durch Löschung von auf den mobilen Geräten gespeicherten Firmendaten bei Verlust, Diebstahl oder Außerbetriebstellung.
Wie sieht der empfohlene Entwurf für diese Lösung aus?
Zum Lösen seiner Geschäftsprobleme und Erreichen der Organisationsziele muss das Unternehmen die folgenden Punkte umsetzen:
Installieren eines neuen eigenständigen primären System Center 2012 R2 Configuration Manager-Standorts in der Unternehmenszentrale und Installieren von Verteilungspunkten an Remotestandorten.
Migrieren von Objekten und Verteilungspunkten aus der vorhandenen Konfigurationsmanager 2007 SP2-Infrastruktur nach System Center 2012 R2 Configuration Manager.
Abonnieren von Windows Intune und Konfigurieren des Windows Intune-Connectors in Konfigurationsmanager, um die Integration mit Windows Intune zu ermöglichen.
Synchronisieren der Domänenbenutzerkonten mit Microsoft Azure, da es sich bei Windows Intune um einen Cloud-Dienst handelt. Dies ermöglicht die Verwaltung der Benutzer, die mit ihren mobilen Geräten auf Unternehmensressourcen zugreifen können.
Verwenden von Kennwortsynchronisierung, damit Benutzer den lokalen Domänenbenutzernamen und das Kennwort für Cloud-Dienste verwenden können.
Das folgende Diagramm veranschaulicht die Kommunikation der Elemente in dieser Lösung untereinander.
Diagramm 3: Allgemeine Übersicht der Lösung
Entwurfselement der Lösung | Warum ist es in dieser Lösung enthalten? |
---|---|
System Center 2012 R2 Configuration Manager |
Stellt sichere und skalierbare Softwarebereitstellung, die Verwaltung von Compliance-Einstellungen sowie eine umfassende Ressourcenverwaltung für Server, Desktops, Laptops und mobile Geräte (bei integriertem Windows Intune) zur Verfügung. |
Windows Intune |
Verwaltet mobile Geräte über das Internet. Bei bestehender Integration mit System Center 2012 R2 Configuration Manager können sowohl PCs als auch mobile Geräte von der Konfigurationsmanager-Konsole aus verwaltet werden. |
Microsoft Azure Active Directory (AD) |
Ein Dienst, der Identitäts- und Zugriffsfähigkeiten für lokale und Cloudanwendungen bereitstellt. |
Microsoft Azure-Verzeichnissynchronisierung (DirSync) |
Synchronisiert lokale AD-Benutzer mit Microsoft Azure AD. |
Kennwortsynchronisierung |
Ermöglicht Benutzern, den gleichen Benutzernamen und das gleiche Kennwort für lokale und Cloud-Dienste zu verwenden. |
Installieren von System Center 2012 R2 Configuration Manager und Migrieren von Objekten
System Center 2012 R2 Configuration Manager kann die Fähigkeit des Unternehmens zur Verwaltung von lokalen PCs durch Integration von Windows Intune auf die Cloud ausweiten. Ferner können mithilfe von Konfigurationsmanager mit Windows Intune sowohl die lokalen PCs des Unternehmens als auch mobile Geräte von einer einzelnen Konsole aus verwaltet werden. Der Mehraufwand für IT soll ebenfalls verringert werden.
Daher installiert das Unternehmen einen eigenständigen primären System Center 2012 R2 Configuration Manager-Standort in der Unternehmenszentrale und Verteilungspunkte an Remotestandorten.
Anschließend werden Objekte aus der bestehenden Configuration Manager 2007 SP2-Umgebung nach System Center 2012 R2 Configuration Manager migriert.
Das Unternehmen hat sich aus zwei Gründen für die Migration entschieden:
Integrierte Lösung: Das Unternehmen wünscht eine integrierte Lösung, die ihm das Verwalten von PCs und mobilen Geräten von einer einzelnen Konsole aus ermöglicht. System Center 2012 R2 Configuration Manager mit Windows Intune stellt genau diese integrierte Lösung bereit.
Vereinfachte Hierarchie: Mit System Center 2012 R2 Configuration Manager hat das Unternehmen entschieden, dass kein sekundärer Standort an jedem Remotestandort mehr benötigt wird, wie in den folgenden Diagrammen zu sehen.
Diagramm 3: Vorhandene Hierarchie, Configuration Manager 2007
![Neue Hierarchie, System Center 2012 R2 ConfigMgr](images/Dn582037.d7ac1e5d-c3ae-4365-ba75-6e03b6b59bd7(WS.11).png "Neue Hierarchie, System Center 2012 R2 ConfigMgr")
Diagramm 4: Neue Hierarchie, System Center 2012 R2 Configuration Manager
Wichtige Vorteile der vereinfachten Hierarchie:
- Rollenbasierte Verwaltung: In System Center 2012 R2 Configuration Manager ermöglicht die rollenbasierte Verwaltung dem Unternehmen das Entwerfen und Implementieren von Verwaltungssicherheit für die System Center 2012 R2 Configuration Manager-Hierarchie durch den Einsatz der folgenden Mittel, einzeln oder in Kombination:
- Sicherheitsrollen
- Sammlungen
- Sicherheitsbereiche
In Kombination definieren diese Einstellungen einen Verwaltungsbereich für einen Administratorbenutzer. Der Verwaltungsbereich steuert die Objekte, die ein Administratorbenutzer in der Konfigurationsmanager-Konsole sehen kann und die Berechtigungen, die der Benutzer für diese Objekte besitzt. Weitere Informationen finden Sie unter [Planen der rollenbasierten Verwaltung](https://technet.microsoft.com/en-us/library/gg712284.aspx#bkmk_planningforrba).
- Inhaltsverwaltung: In System Center 2012 R2 Configuration Manager kann das Unternehmen die Netzwerkbandbreite konfigurieren, die für die Übertragung von Inhalten an Verteilungspunkte verwendet wird und Inhalte auf den Verteilungspunkten an Remotestandorten vorab bereitstellen. Weitere Informationen finden Sie unter [Überlegungen zur Netzwerkbandbreite für Verteilungspunkte](https://technet.microsoft.com/library/gg712321.aspx#bkmk_distributionpointbandwidth).
Migrierte Objekte: Das Unternehmen kann Migrationstools verwenden, um Objekte von Configuration Manager 2007 SP2 in die System Center 2012 R2 Configuration Manager-Hierarchie zu migrieren. Die IT des Unternehmens hat viel Zeit in das Erstellen von Konfigurationsmanager-Objekten, wie Sammlungen, Tasksequenzen, Konfigurationselementen usw. investiert. Durch den Einsatz von Migration können sie auch weiterhin von dieser Investition profitieren.
Neueste Funktionen: Das Unternehmen interessiert sich auch für neue Funktionen in System Center 2012 R2 Configuration Manager, die nicht in direktem Zusammenhang mit dieser Lösung stehen. Weitere Informationen finden Sie unter Neues in System Center 2012 R2 Configuration Manager.
Abonnieren von Windows Intune
Der Windows Intune-Dienst bietet cloudbasierte Verwaltung mobiler Geräte. Das Unternehmen abonniert Windows Intune und integriert Windows Intune dann mit System Center 2012 R2 Configuration Manager, um sowohl PCs als auch mobile Geräte von der Konfigurationsmanager-Konsole aus zu verwalten.
Ein Abonnement von Windows Intune stützt das Ziel des Unternehmens, eine integrierte Lösung zur Verwaltung von PCs und mobilen Geräten.
Das Unternehmen hat auch Verwaltungslösungen von Drittanbietern für mobile Geräte in Betracht gezogen. Keine dieser Lösungen bietet die gewünschte integrierte Benutzeroberfläche. Ein Wechsel der eingesetzten Produkte mit dadurch anfallenden Kosten für Schulung und Implementierung ist ebensowenig gewünscht.
Als weiteren Vorteil kann das Unternehmen sein Benutzerkonto für das Windows Intune-Abonnement für ein späteres Abonnement von Microsoft Office 365 verwenden.
Tipp
Wenn Ihr Unternehmen bereits Microsoft Online Services für solche Dienste wie Microsoft Office 365 einsetzt, verwenden Sie das gleiche Benutzerkonto, wenn Sie Windows Intune abonnieren. Dadurch kann die gleiche Benutzergruppe für alle Dienste im Microsoft Azure AD-Mandanten der Organisation verwendet werden. Wenn Sie nicht die Option zur Anmeldung mit dem vorhandenen Benutzerkonto aktivieren, wird ein neuer Microsoft Azure AD-Mandant für Sie erstellt. In diesem Fall müssen Sie dem neuen Mandanten Benutzer hinzufügen.
Verwalten von Identität und Zugriff mit Microsoft Azure AD und Verzeichnissynchronisierung
Windows Intune verwendet Microsoft Azure AD zum Speichern von Benutzerkonten. Microsoft-Cloud-Dienste, wie etwa Windows Intune und Office 365, nutzen die Fähigkeiten zur Identitätsverwaltung, die von Microsoft Azure AD bereitgestellt werden.
Das Unternehmen wird Microsoft Azure-Verzeichnissynchronisierung (DirSync) zum Synchronisieren von lokalen Windows Server AD-Benutzern mit Microsoft Azure AD verwenden. Die Verzeichnissynchronisierung wird als fortgesetzte Beziehung zwischen lokalem AD und cloudbasiertem Microsoft Azure AD aufgefasst. Das Unternehmen möchte mit seiner Entscheidung für DirSync folgende Ziele erreichen:
Verringerte Verwaltungskosten: Ohne DirSync hätte das Unternehmen seine Benutzer- und Gruppenkonten Microsoft Azure AD manuell hinzufügen müssen. DirSync synchronisiert die Benutzerkonten von lokalem Windows Server AD nach Microsoft Azure AD. Nach dem Aktivieren der Verzeichnissynchronisierung können synchronisierte Objekte in der lokalen Umgebung bearbeitet werden, und diese Bearbeitungen werden mit Ihrem Windows Intune-Abonnement synchronisiert, wodurch sich die Verwaltungskosten verringern.
Gesteigerte Produktivität: Durch Automatisieren der Synchronisierung von Benutzer- und Gruppenkonten kann das Unternehmen den Zeitbedarf für die Bereitstellung des Zugriffs auf cloudbasierte Dienste für die Mitarbeiter erheblich reduzieren.
Planungs- und Entwurfsüberlegungen für die Verzeichnissynchronisierung
Beim Planen der Verzeichnissynchronisierung hat das Unternehmen Hardwareanforderungen, Administratorberechtigungen, Leistungsaspekte usw. abgewogen. Diese Anforderungen sind in Vorbereiten der Verzeichnissynchronisierung dokumentiert.
Bereitstellung von einfachem und sicherem Zugang für Benutzer mit Kennwortsynchronisierung
Benutzerauthentifizierung muss für die Mitarbeiter des Unternehmens konfiguriert werden, andernfalls müssen sie für den Zugriff auf Cloud-Dienste und lokale Dienste verschiedene Benutzername-/Kennwortkombinationen verwenden. Das Unternehmen hat entschieden, dass Benutzerauthentifizierung verwendet werden muss, um zusätzlichen Mehraufwand für die Verwaltung von Kennwortänderungen zu vermeiden und eine bessere Benutzererfahrung zu ermöglichen. Sie haben sich für Kennwortsynchronisierung als Lösung für die Benutzerauthentifizierung entschieden.
Das Unternehmen hat die folgenden Authentifizierungsmethoden für den Zugriff von Mitarbeitern auf lokale und Cloudressourcen mit den gleichen Anmeldeinformationen in Betracht gezogen:
Kennwortsynchronisierung ist eine unaufwändige Option, die Benutzern eine Erfahrung ermöglicht, die an Einmaliges Anmelden erinnert und sehr leicht bereitzustellen ist. Kennwortsynchronisierung ist eine Option, die Sie innerhalb von DirSync aktivieren können, die DirSync erlaubt, einen Hash des Kennworts in Microsoft Azure AD zu speichern. Wenn Kennwortsynchronisierung auf einem Computer mit Verzeichnissynchronisierung aktiviert ist, können Ihre Benutzer sich bei Microsoft-Cloud-Diensten, wie etwa Office 365, Dynamics CRM und Windows Intune, mit dem gleichen Kennwort anmelden, das sie auch für die Anmeldung beim lokalen Netzwerk verwenden. Wenn Ihre Benutzer die Kennwörter im Unternehmensnetzwerk ändern, werden diese Änderungen in die Cloud synchronisiert.
Kennwortsynchronisierung stellt jedoch keine Lösung für Einmaliges Anmelden (SSO, Single Sign-On) zur Verfügung, die AD FS Ihnen bieten kann. Die Benutzer müssen ihre Anmeldeinformationen bei jedem Zugriff auf einen Cloud-Dienst erneut eingeben. Weitere Informationen:
Active Directory-Verbunddienste (Active Directory Federation Services, ADFS) bietet eine Oberfläche mit echtem einmaligen Anmelden in Verbindung mit den Active Directory-Authentifizierungsprotokollen. Das lokale Active Directory und AD FS wirken mit der Microsoft Azure AD-Identitätsplattform zusammen, um Zugriff auf einen oder mehrere Microsoft-Cloud-Dienste zu bieten. Wenn SSO konfiguriert ist, wird eine Verbundvertrauensstellung zwischen der Domäne und dem Microsoft Azure AD-Authentifizierungssystem erstellt. Benutzer können sich bei den Cloud-Diensten und den lokalen Diensten mithilfe des gleichen Benutzernamens und Kennworts für beide authentifizieren. Nachdem ein Benutzer authentifiziert wurde, wird er beim Zugriff auf einen Cloud-Dienst nicht erneut zur Eingabe seiner Anmeldeinformationen aufgefordert.
Das Unternehmen hat sich aus zwei Gründen für Kennwortsynchronisierung als Lösung für die Benutzerauthentifizierung entschieden. Kennwortsynchronisierung lässt sich in DirSync sehr einfach konfigurieren, das ohnehin für die Synchronisierung der lokalen Benutzerkonten eingesetzt werden soll. Ferner ist ein Upgrade der Domänencontroller auf Windows Server 2012 R2 innerhalb der nächsten sechs Monate geplant. AD FS ist eine Standortrolle in Windows Server 2012 R2 und weist eine Vielzahl neuer Features auf. Das Unternehmen plant die Implementierung von AD FS beim Upgrade der Domänencontroller. Weitere Informationen zur Implementierung von AD FS unter Windows Server 2012 R2 finden Sie unter:
Das Unternehmen hat sich für Kennwortsynchronisierung als Lösung für die Benutzerauthentifizierung entschieden. Sie können sich aber auch dafür entscheiden, in Ihrer Umgebung AD FS für SSO zu implementieren. Weitere Informationen:
AD FS-Entwurfsüberlegungen: AD FS 2.0-Entwurfshandbuch
Verwenden von AD FS für SSO: Prüfliste: Verwenden von AD FS zur Implementierung und Verwaltung des einmaligen Anmeldens
Planen eines mehrstufigen Plattformupgrades
Das Unternehmen hat sich entschieden, im Rahmen dieser Lösung kein Upgrade des lokalen ADs vorzunehmen; dieses Upgrade ist sechs Monate später vorgesehen.
Die IT-Abteilung des Unternehmens hatte vorgeschlagen, ein Upgrade des lokalen ADs im Rahmen der Lösung vorzunehmen. In Windows Server 2012 R2 wurde AD um die folgenden Funktionen erweitert:
Geräteregistrierung. IT-Administrators können die Registrierung von Geräten erlauben, wodurch das Gerät dem Active Directory des Unternehmens zugeordnet wird. Diese Zuordnung kann zur nahtlosen mehrstufigen Authentifizierung dienen.
Einmaliges Anmelden (Single Sign-On, SSO) über Geräte, die dem Active Directory des Unternehmens zugeordnet sind.
Webanwendungsproxy, der Benutzern das Herstellen einer Verbindung mit Anwendungen und Diensten von beliebigen Standorten aus ermöglicht.
Mehrstufige Zugriffssteuerung und mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) zur Verwaltung des Risikos, dass Benutzer von jedem beliebigen Standort aus arbeiten und über ihre Geräte auf geschützte Daten zugreifen.
Arbeitsordner, die Benutzern einen Speicherort zum Speichern und Öffnen von arbeitsbezogenen Dateien auf PCs und Geräten zur Verfügung stellen.
Weitere Informationen finden Sie unter Active Directory-Dienste.
Die Unternehmensführung erkannte den Wert der neuen Funktionen zwar an, konnte aber die Ressourcen für ein Upgrade von AD im Rahmen dieser Lösung nicht genehmigen. Die Unternehmensführung möchte das Upgrade des lokalen ADs innerhalb der folgenden sechs Monate durchführen.
Wenn Sie für das Upgrade Ihres lokalen ADs und zur Implementierung von AD FS bereit sind, lesen Sie Sicherer Zugriff auf Unternehmensressourcen von jedem Standort und jedem Gerät aus.
Implementierungsschritte
Dieser Abschnitt beschreibt die Schritte, die das Unternehmen zum Implementieren der Lösung unternommen hat. Wenn Sie diesen Schritten folgen, überprüfen Sie auf jeden Fall die richtige Bereitstellung der einzelnen Schritte, bevor Sie mit dem nächsten Schritt fortfahren.
Abonnieren von Windows Intune.
Erstellen Sie ein Windows Intune-Abonnement auf der Windows Intune-Website.
- Wenn Sie bereits über ein Benutzerkonto für einen anderen Cloud-Dienst verfügen, wie etwa Office 365, können Sie auf Anmelden klicken, um die Anmeldeinformationen für das Konto einzugeben. Dadurch kann die gleiche Benutzergruppe für alle Dienste im Microsoft Azure AD-Mandanten der Organisation verwendet werden.
Überprüfungsschritte: Nachdem Sie den Registrierungsvorgang abgeschlossen haben, wird eine E-Mail an die von Ihnen angegebene E-Mail-Adresse gesendet. Klicken Sie auf den Link in der E-Mail, oder navigieren Sie zum Windows Intune-Kontoportal unter https://account.manage.microsoft.com, und überprüfen Sie, ob Sie sich anmelden können.
Konfigurieren der öffentlichen Domäne.
Erstellen einer öffentlichen Domäne. Zur Nutzung des Windows Intune-Diensts benötigen Sie außerdem einen Domänennamen für eine öffentliche Organisation, der über einen Domänennamen-Registrierungsdienst überprüfbar ist. Fügen Sie Ihre öffentliche Domäne im Windows Intune-Kontoportal unter der Adresse https://account.manage.microsoft.com unter dem Knoten Domains hinzu, und bestätigen Sie sie.
Sicherstellen, dass die öffentliche Domäne als alternatives UPN-Suffix im lokalen Active Directory hinzugefügt wurde. Die Benutzer müssen in der Cloud und im lokalen Active Directory den gleichen UPN (User Principal Name) für die öffentliche Domäne verwenden, um mobile Geräte registrieren zu können. Sie müssen sicherstellen, dass Ihre Benutzer einen UPN für die öffentliche Domäne besitzen, bevor Sie die Verzeichnissynchronisierung konfigurieren. Wenn Sie diesen Schritt überspringen, wird an den Cloud-UPN Ihrer Benutzer möglicherwiese „onmicrosoft.com“ angefügt, was eine Nichtübereinstimmung mit den lokalen Active Directory-Benutzernamen bewirkt. Weitere Informationen finden Sie unter Hinzufügen von Benutzerprinzipalnamen-Suffixen.
Hinzufügen eines CNAME-Eintrags in DNS, der enterpriseenrollment.<publicdomain> auf manage.microsoft.com verweist. Der CNAME-Eintrag wird später als Teil des Registrierungsvorgangs verwendet. Weitere Informationen finden Sie unter Hinzufügen eines Aliasressourceneintrags (CNAME) zu einer Zone.
Überprüfungsschritte:
Überprüfen Sie die Seite Domains im Windows Intune-Kontoportal, um sicherzustellen, dass die öffentliche Domäne aufgelistet und bestätigt ist.
Zeigen Sie die Eigenschaften eines Benutzerkontos in Ihrem lokalen Active Directory an, um sicherzustellen, dass der UPN mit dem Namen der öffentlichen Domäne aufgelistet ist.
Bereitstellung von einfachem und sicherem Zugang für Benutzer mithilfe von DirSync mit Kennwortsynchronisierung.
Sie können Kennwortsynchronisierung von Ihrem Windows Intune-Kontoportal unter https://account.manage.microsoft.com aus konfigurieren. Klicken Sie im Knoten Benutzer des Portals auf Active Directory-Synchronisierung: Einrichten, und befolgen Sie dann die in Einrichten und Verwalten der Active Directory-Synchronisierung beschriebenen Schritte. Die Kennwortsynchronisierung können Sie beim Ausführen des Konfigurations-Assistenten für die Verzeichnissynchronisierung aktivieren, indem Sie Kennwortsynchronisierung aktivieren auswählen.
Weitere Informationen:
Überprüfungsschritte: Melden Sie sich beim Windows Intune-Kontoportal unter https://account.manage.microsoft.com an, um Benutzerkonten anzuzeigen.
Installieren Ihres System Center 2012 R2 Configuration Manager-Standorts oder Ihrer -Hierarchie.
Nach dem Planen der System Center 2012 R2 Configuration Manager-Hierarchie hat sich das Unternehmen entschieden, dass ein eigenständiger primärer Standort am Firmenhauptsitz installiert und Verteilungspunkte an den Remotestandorten eingerichtet werden sollen. Möglicherweise stellen Sie fest, dass für Ihre Hierarchie eine andere Konfiguration erforderlich ist. Führen Sie die folgenden Schritte aus, um Ihren System Center 2012 R2 Configuration Manager-Standort oder Ihre -Hierarchie zu installieren:
Bestimmen Sie einen Server, der sowohl die Software- als auch die Hardwareanforderungen zum Hosten eines primären Konfigurationsmanager-Standorts erfüllt. Weitere Informationen finden Sie unter Planen der Hardwarekonfigurationen für Configuration Manager.
Überprüfen Sie die erforderliche Software und die unterstützten Betriebssysteme für das Hosten eines Konfigurationsmanager-Standorts. Weitere Informationen finden Sie unter Standort-Systemanforderungen.
Konfigurieren Sie Ihre Windows-Umgebung für die Unterstützung von System Center 2012 R2 Configuration Manager. Weitere Informationen finden Sie unter Vorbereiten der Windows-Umgebung für Configuration Manager.
Installieren Sie einen System Center 2012 R2 Configuration Manager-Standort. Weitere Informationen finden Sie unter Installieren von Standorten und Erstellen einer Hierarchie für Configuration Manager. Für diese Lösung installiert das Unternehmen einen eigenständigen primären Standort und überspringt die Schritte zur Installation eines zentralen Verwaltungsstandorts oder sekundären Standorts. Wählen Sie beim Durcharbeiten des Themas Standorte aus, die sich für Ihre Umgebung eignen.
Installieren Sie an Remotestandorten einen Verteilungspunkt. Das Beispielunternehmen hat entschieden, dass es einen Verteilungspunkt an jedem der Remotestandorte anstelle eines sekundären Standorts an jedem Standort verwenden kann. Details zum Installieren und Konfigurieren eines Verteilungspunkts finden Sie unter Konfigurieren der Inhaltsverwaltung in Configuration Manager.
Überprüfungsschritte
Überwachen Sie auf dem Servercomputer des primären Standorts den Status im Setup-Assistenten. Der Konfigurationsmanager-Setup-Assistent zeigt das Ergebnis jedes Standortinstallationstasks an. Nachdem alle Installationstasks ausgeführt wurden, können Sie den Assistenten schließen. Nach dem Abschluss der Standortinstallation zeigt der Setup-Assistent jedoch weiterhin fortlaufend Informationen zu Konfigurationen für den Standort an, die Sie nachverfolgen können, wenn Sie den Assistenten nicht schließen. Das Schließen des Assistenten wirkt sich auf diese fortlaufenden Konfigurationen nicht aus, die weiterhin auch nach dem Schließen des Assistenten im Hintergrund ausgeführt werden. Überprüfen Sie die Datei ConfigMgrSetup.log, um zu bestätigen, dass der Standort erfolgreich installiert wurde.
Konfigurieren von Verwaltungsfeatures und -funktionen.
Nach dem Installieren des Standorts oder der Hierarchie konfigurieren Sie den Standort für die Unterstützung der Verwaltungsfeatures und -funktionen von System Center 2012 R2 Configuration Manager, die Sie verwenden möchten. Sie müssen die Active Directory-Benutzerermittlung konfigurieren, bevor Sie in Schritt 8 das Windows Intune-Abonnement konfigurieren oder die Windows Intune Connector-Standortsystemrolle installieren. Weitere Informationen finden Sie unter:
Migrieren zum System Center 2012 R2 Configuration Manager.
Beim Migrieren von Objekten aus Ihrer Configuration Manager 2007-Quellhierarchie greifen Sie auf Daten von den Standortdatenbanken zu, die Sie in der Quellinfrastruktur identifizieren und anschließend in die System Center 2012 R2 Configuration Manager-Hierarchie kopieren. Die Migration verändert die Daten in der Quellhierarchie nicht. Sie ermittelt die Daten und speichert eine Kopie in der Datenbank der Zielhierarchie. Weitere Informationen finden Sie unter Migrieren von Hierarchien in System Center 2012 Configuration Manager.
So migrieren Sie Ihre Configuration Manager 2007-Daten nach System Center 2012 R2 Configuration Manager:
Geben Sie Ihre Configuration Manager 2007 SP2-Hierarchie als die Quellhierarchie für die Migration an. Standardmäßig wird der Standort der obersten Ebene der betreffenden Hierarchie zum Quellstandort der Quellhierarchie. Nachdem die Daten vom anfänglichen Quellstandort erfasst wurden, können weitere Quellstandorte für die Migration konfiguriert werden.
Konfigurationsmanager beginnt sofort, nachdem Sie eine Quellhierarchie angegeben haben, Daten vom Quellstandort zu sammeln, Anmeldeinformationen für jeden weiteren Quellstandort in einer Quellhierarchie zu konfigurieren oder die Verteilungspunkte für einen Quellstandort freizugeben. Standardmäßig wird der Datensammlungsvorgang alle vier Stunden wiederholt, sodass Konfigurationsmanager Änderungen an Daten, die Sie möglicherweise migrieren möchten, erkennen kann. Die Datensammlung ist außerdem erforderlich, um Verteilungspunkte aus der Quellhierarchie für die Zielhierarchie freizugeben. Weitere Informationen finden Sie unter Konfigurieren von Quellhierarchien und Quellstandorten für die Migration zu System Center 2012 Configuration Manager.
Erstellen Sie Migrationsaufträge, um Daten zwischen der Quell- und der Zielhierarchie zu migrieren. Verwenden Sie Migrationsaufträge, um speziell die Daten zu konfigurieren, die Sie zu Ihrer System Center 2012 R2 Configuration Manager-Umgebung migrieren möchten. Migrationsaufträge identifizieren die Objekte, die Sie migrieren möchten und werden auf demr Standort der obersten Ebene in Ihrer Hierarchie ausgeführt. Weitere Informationen finden Sie unter Erstellen und Bearbeiten von Migrationsaufträgen für System Center 2012 Configuration Manager.
Überwachen von Migrationsaufträgen. Überwachen Sie den Status von Migrationsaufträgen in der System Center 2012 R2 Configuration Manager-Konsole. Weitere Informationen finden Sie unter Überwachen der Migrationsaktivität im Arbeitsbereich "Migration".
Upgrade von freigegebenen Verteilungspunkten. Sie können einen unterstützten Verteilungspunkt, der von Ihrem Configuration Manager 2007-Quellstandort freigeben ist, als Verteilungspunkt in der Zielhierarchie festlegen. Weitere Informationen finden Sie unter Aktualisieren oder erneutes Zuweisen eines freigegebenen Verteilungspunkts in System Center 2012 Configuration Manager.
Migrieren von Configuration Manager 2007-Clients nach System Center 2012 R2 Configuration Manager. Nachdem Sie die Daten für Clients zwischen den Hierarchien migriert haben, aber bevor Sie die Migration abschließen, planen Sie die Migration der Clients in die Zielhierarchie. Um Clients zwischen Hierarchien zu migrieren, installieren Sie die Konfigurationsmanager-Clientsoftware aus der Zielhierarchie. Der Konfigurationsmanager-Client wird deinstalliert, und der System Center 2012 R2 Configuration Manager-Client wird installiert und dem primären Standort zugewiesen. Weitere Informationen finden Sie unter Planen einer Strategie für die Clientmigration in System Center 2012 Configuration Manager.
Abschließen des Migrationsprozesses: Wenn Ihre Configuration Manager 2007-Hierarchie keine Daten mehr enthält, die Sie zu Ihrer Zielhierarchie migrieren möchten, können Sie den Migrationsprozess abschließen. Gehen Sie hierzu wie folgt vor:
Vergewissern Sie sich, dass Sie alle Ressourcen aus der Quellhierarchie erfolgreich migriert haben, die Sie in der Zielhierarchie benötigen. Das kann sowohl Daten als auch Clients umfassen.
Beenden Sie das Sammeln von Daten von allen Quellstandorten in Ihrer Configuration Manager 2007-Hierarchie. Führen Sie zu diesem Zweck die Aktion Sammeln von Daten beenden auf der unteren Ebene der Quellstandorte aus, und wiederholen Sie den Prozess dann an jedem übergeordneten Standort. Der Standort der obersten Ebene der Quellhierarchie muss der letzte Standort sein, an dem Sie das Sammeln der Daten beenden. Sie müssen das Sammeln von Daten an jedem untergeordneten Standort beenden, bevor Sie diese Aktion an einem übergeordneten Standort ausführen. Nachdem Sie das Sammeln von Daten beendet haben, können Sie die Verteilungspunkte nicht mehr für die Quell- und die Zielhierarchie gemeinsam verwenden.
Bereinigen von Migrationsdaten. Führen Sie zu diesem Zweck die Aktion Migrationsdaten bereinigen aus. Diese optionale Aktion entfernt Daten über die aktuelle Quellhierarchie aus der Datenbank der Zielhierarchie. Bis Sie die Migrationsdaten bereinigen bleibt jeder Migrationsauftrag, der ausgeführt wurde oder dessen Ausführung ansteht, in der Konfigurationsmanager-Konsole zugänglich. Wenn Sie die Migrationsdaten bereinigen werden die meisten Daten über die Migration aus der Datenbank der Zielhierarchie entfernt. Weitere Informationen finden Sie unter Abschließen der Migration in System Center 2012 Configuration Manager.
Überprüfungsschritte: Die Migration besteht aus verschiedenen getrennten Aktionen oder Phasen und erstreckt sich über einen Zeitraum, bis Sie sich entscheiden, den Migrationsprozess abzuschließen. Daher gibt es keinen einzelnen Überprüfungsschritt oder -prozess, den Sie prüfen können, um zu bestätigen, dass die Migration abgeschlossen ist. Jedoch können Sie die Ergebnisse überprüfen, wenn sie bei der Ausführung oder nach dem Abschluss der einzelnen Phasen in der System Center 2012 R2 Configuration Manager-Konsole angezeigt werden.
Setzen Sie Ihre Configuration Manager 2007-Hierarchie außer Betrieb: Nachdem Sie die Migration aus einer Quellhierarchie abgeschlossen haben und diese Hierarchie keine von Ihnen verwalteten Ressourcen mehr enthält, können Sie die Standorte in der Quellhierarchie außer Betrieb setzen und die zugeordnete Infrastruktur aus Ihrer Umgebung entfernen. Weitere Informationen finden Sie unter Aufgaben zum Außerbetriebsetzen von Standorten und Hierarchien in Configuration Manager.
Erwerben von Zertifikaten oder Schlüsseln für mobile Geräte
Das Unternehmen muss im Besitz von Zertifikaten oder Querladeschlüsseln sein, bevor mobile Geräte registriert werden können. Die Art der mobilen Geräte, die in Ihrer Umgebung verwendet werden, bestimmt, welche Zertifikate oder Querladeschlüssel Sie benötigen. Weitere Informationen finden Sie unter Abrufen von Zertifikaten oder Schlüsseln zum Erfüllen der plattformspezifischen Voraussetzungen.
Konfigurieren des Windows Intune-Abonnements und Installieren der Windows Intune Connector-Standortsystemrolle auf dem Standort der obersten Ebene.
Bevor das Unternehmen Konfigurationsmanager zum Verwalten von mobilen Geräten verwenden kann, müssen das Windows Intune-Abonnement konfiguriert und die Windows Intune Connector-Standortsystemrolle auf dem Standortserver der obersten Ebene installiert werden. Diese konfigurieren den eigenständigen primären Standort. Wenn Sie eine komplexere Hierarchie verwenden, konfigurieren Sie Ihren zentralen Verwaltungsstandort.
Konfigurieren Sie Ihr Windows Intune-Abonnement. Weitere Informationen finden Sie unter Konfigurieren des Microsoft Intune-Abonnements.
Installieren Sie den Windows Intune-Connector. Weitere Informationen finden Sie unter Die Standortsystemrolle "Windows Intune-Connector".
Überprüfungsschritte:
Überprüfen Sie auf dem Servercomputer des primären Standorts die Datei sitecomp.log, um zu bestätigen, dass die Standortsystemrolle Windows Intune-Connector erfolgreich installiert wurde.
Überprüfen Sie auf dem Computer, auf dem Sie den Windows Intune-Connector installieren, die Datei cloudusersync.log, um zu bestätigen, dass sich Benutzer aus Ihrer Domäne erfolgreich mit Windows Intune synchronisieren konnten.
Überprüfen Sie auf dem Servercomputer des primären Standorts die Datei CertMgr.log, um zu bestätigen, dass der Computer, auf dem Sie den Windows Intune-Connector installiert haben das Connectorzertifikat freigegeben hat. Das Zertifikat wird freigegeben, nachdem die Installation der Windows Intune-Connector-Standortsystemrolle abgeschlossen ist.
Überprüfen Sie auf dem Computer, auf dem Sie den Windows Intune-Connector installieren die Datei dmpuploader.log, um zu bestätigen, dass die Connector-Standortsystemrolle Richtlinien- und Konfigurationsänderungen auf den Windows Intune-Dienst hochladen kann.
Überprüfen Sie auf dem Computer, auf dem Sie den Windows Intune-Connector installiert haben die Datei dmpdownloader.log, um zu bestätigen, dass der Windows Intune-Connector imstande ist, Nachrichten von Windows Intune herunterzuladen. Möglicherweise ist im Protokoll nur ein Ping zu Beginn des Downloadvorgangs zu sehen, und es kann einige Zeit dauern, bis downloadbezogene Einträge protokolliert werden.
Registrieren von mobilen Geräten.
Die Registrierung stellt eine Beziehung zwischen dem Benutzer, dem mobilen Gerät und dem Windows Intune-Dienst her. Benutzer registrieren ihre eigenen mobilen Geräte. Android-Geräte werden nicht registriert, können aber mithilfe des Exchange Server-Connectors verwaltet werden. Weitere Informationen finden Sie unter Anmeldung mobiler Geräte.
Installieren der System Center 2012 R2 Configuration Manager-Konsole.
Wenn Sie einen primären Standort installieren, wird standardmäßig die Konfigurationsmanager-Konsole ebenfalls auf dem Servercomputer des primären Standorts installiert. Nach der Installation des Standorts können weitere System Center 2012 R2 Configuration Manager-Konsolen zur Verwaltung des Standorts auf Computern installiert werden. Weitere Informationen finden Sie unter Installieren einer Configuration Manager-Konsole.
Verwalten von PCs und mobilen Geräten.
Nachdem Sie die die Installation und die grundlegenden Konfigurationen für Ihren Standort abgeschlossen haben, können Sie mit der Verwaltung von PCs und mobilen Geräten beginnen. Die folgenden Tabellen enthalten typische Features oder Funktionalitäten, die für die Konfiguration in Frage kommen:
Feature Details Verwenden Sie Hardwareinventur zum Sammeln von Informationen über die Hardwarekonfiguration von Clientgeräten in Ihrer Organisation.
Verwenden Sie Softwareinventur zum Sammeln von Informationen über die Dateien, die in den Clientgeräten in Ihrer Organisation enthalten sind. Darüber hinaus kann Softwareinventur Dateien von Clientgeräten sammeln und sie auf dem Standortserver speichern.
Verwenden Sie Asset Intelligence zur Inventarisierung und Verwaltung der Nutzung von Softwarelizenzen im gesamten Unternehmen und zur Verbesserung der Breite der erfassten Informationen zu Hardware und Software.
Verwenden Sie die Kompatibilitätseinstellungen, um die Konfiguration und Compliance von Servern, Laptops, Desktopcomputern und mobilen Geräten in Ihrer Organisation zu verwalten.
Verwenden Sie Zugriff auf Unternehmensressourcen, um Benutzern in Ihrer Organisation den Zugriff auf Daten und Anwendungen von Remotestandorten aus zu ermöglichen, indem Sie Folgendes konfigurieren:
- Zertifikatprofile
- VPN-Profile
- WLAN-Profile
Verwenden Sie Remoteverbindungsprofile, um Ihren Benutzern Remoteverbindungen mit Computern am Arbeitsplatz zu ermöglichen, wenn sie nicht mit der Domäne verbunden sind oder ihre persönlichen Computer über das Internet verbunden sind.
Verwenden Sie Anwendungsverwaltung zum Verwalten von Anwendungen im Unternehmen sowohl für Konfigurationsmanager-Administratorbenutzer als auch für Clientgerätbenutzer.
Verwenden Sie Softwareupdates zum Überwachen der Compliance und zum Bereitstellen von Softwareupdates auf den Computern in Ihrem Unternehmen.
Verwenden Sie diese exemplarische Vorgehensweise für die Schritte zur Verwaltung von Windows Phone 8-, Windows RT-, iOS- und Android-Geräten mithilfe des Windows Intune-Diensts per Internet.
Sie können eine vollständige Löschung auf Windows Phone 8-, iOS- und Android-Geräten durchführen, um das Gerät auf die Werkseinstellungen zurückzusetzen. Alternativ können Sie auch eine selektive Löschung durchführen, bei der nur Firmeninhalte entfernt werden.
- Zertifikatprofile
Siehe auch
Inhaltstyp | Verweis |
---|---|
Produktbewertung/Erste Schritte |
|
Verweis |
|
Verwandte Lösungen |
|
Communityressourcen |