Gestion simplifiée des appareils mobiles et des ordinateurs dans un environnement hybride
Mis à jour: août 2014
S'applique à: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager
À qui ce guide s'adresse-t-il ? Il est conçu pour les sociétés qui souhaitent gérer les appareils mobiles et les ordinateurs utilisés dans leurs locaux et à distance à l'aide de leur infrastructure Configuration Manager existante, avec l'objectif de permettre aux employés d'accéder aux ressources de la société à partir de l'appareil de leur choix.
En quoi ce guide peut-il vous aider ? Ce guide fournit une conception recommandée et testée qui explique comment :
mettre à niveau votre infrastructure Configuration Manager locale existante et l'étendre dans le cloud pour permettre aux utilisateurs de travailler à distance à partir de l'appareil de leur choix ;
regrouper la gestion des appareils mobiles et des ordinateurs en une infrastructure unique ;
s'assurer de la compatibilité de tous les appareils ;
protéger les données de la société.
Contenu de cette solution :
Scénario, énoncé du problème et objectifs
Scénario
Énoncé du problème
Objectifs de l'organisation
Quelle est la conception recommandée pour cette solution ?
Installer System Center 2012 R2 Configuration Manager et migrer les objets
S'abonner à Windows Intune
Gérer l'identification et l'accès à l'aide de Windows Azure AD et de la synchronisation d'annuaires
Fournir un accès facile et sécurisé aux utilisateurs avec la synchronisation de mot de passe
Planifier une mise à niveau progressive de la plateforme
Étapes d'implémentation
Le diagramme suivant illustre le problème auquel ce guide répond.
Schéma 1 : vue d'ensemble du problème.
Scénario, énoncé du problème et objectifs
Cette section décrit le scénario, le problème et les objectifs d'un exemple d'organisation.
Scénario
Cette solution prend comme exemple une société de plus de 5 000 employés qui apportent parfois leurs appareils personnels Windows Phone 8, Windows RT, iOS et Android sur leur lieu de travail. Pour le moment, les employés n'ont aucun moyen d'accéder aux ressources de la société à partir de ces appareils.
La société utilise actuellement Microsoft System Center Configuration Manager 2007 SP2 pour gérer les ordinateurs dont les utilisateurs se servent sur leur lieu de travail ou à distance pour se connecter au réseau d'entreprise via VPN. La société n'a pas encore de système de gestion des appareils mobiles.
L'infrastructure de l'environnement de la société se compose des éléments suivants :
Windows Server 2008 R2
Windows Server 2008 R2 Active Directory
Configuration Manager 2007 SP2
Ordinateurs appartenant au domaine et gérés par Configuration Manager
Le schéma suivant illustre l'environnement actuel de la société.
Schéma 2 : vue d'ensemble de l'environnement actuel
Énoncé du problème
L'infrastructure actuelle de gestion des appareils n'est plus adaptée aux besoins croissants de la société :
La société peut gérer les ordinateurs dans l'environnement actuel, mais pas les appareils mobiles.
La société équipe certains employés d'appareils mobiles lui appartenant. Les autres employés souhaitent pouvoir utiliser leurs appareils personnels au travail.
Par ailleurs, la société est préoccupée par les ressources nécessaires pour gérer l'ensemble de ces appareils. La prise en charge de nombreux ordinateurs, appareils et applications est coûteuse, et la gestion des appareils risque de mobiliser le service informatique 24 h/24, 7 j/7.
La société doit gérer les risques et s'assurer que tous les appareils, personnels et professionnels, respectent les stratégies de sécurité.
La gestion des appareils représente un risque de sécurité pour les ressources et les données de la société. Quand les employés travaillent sur des appareils qui ne sont pas gérés par le service informatique (ou dont il n'a même pas connaissance), il devient très difficile de garder le contrôle des données sensibles de la société.
Le service informatique n'a aucun moyen d'action si l'appareil est revendu, perdu ou volé.
Objectifs de l'organisation
La société de notre exemple recherche une solution capable de répondre aux objectifs suivants :
Utiliser l'infrastructure Configuration Manager existante. Le service informatique a investi beaucoup de ressources dans son infrastructure actuelle et ne souhaite pas tout recommencer.
Laisser les employés utiliser leurs appareils personnels et professionnels pour accéder aux données et aux applications de l'entreprise. Ces appareils incluent les ordinateurs et les appareils mobiles.
Gérer les ordinateurs et les appareils personnels à partir d'une seule console d'administration. La gestion des appareils comprend la définition de paramètres de sécurité et de conformité, la collecte d'un inventaire logiciel et matériel ou le déploiement de logiciels.
Déployer les applications ou les liens web en fonction du type d'appareil, et selon que l'appareil appartient à l'employé ou à la société.
Protéger la société par l'effacement des données professionnelles stockées sur un appareil mobile qui a été perdu, volé ou mis hors service.
Quelle est la conception recommandée pour cette solution ?
Pour résoudre son problème et remplir ses objectifs, la société doit prendre les mesures suivantes :
Installer un nouveau site principal autonome System Center 2012 R2 Configuration Manager au siège social et installer des points de distribution aux emplacements distants.
Migrer les points de distribution et les objets de l'infrastructure Configuration Manager 2007 SP2 existante vers System Center 2012 R2 Configuration Manager.
S'abonner à Windows Intune et configurer le connecteur Windows Intune dans Configuration Manager pour l'intégration à Windows Intune.
Synchroniser les comptes d'utilisateur de domaine dans Windows Azure, car Windows Intune est un service cloud. La société pourra ainsi gérer les utilisateurs qui accéderont aux ressources à partir de leurs appareils mobiles.
Utiliser la synchronisation de mot de passe pour permettre aux utilisateurs d'utiliser leurs mot de passe et nom d'utilisateur de domaine local pour se connecter aux services cloud.
Le schéma suivant illustre la manière dont les différents éléments de cette solution communiquent entre eux.
Schéma 3 : vue d'ensemble de la solution
Élément de conception de la solution | Pourquoi est-il inclus dans cette solution ? |
---|---|
System Center 2012 R2 Configuration Manager |
Permet le déploiement évolutif et sécurisé des logiciels, la gestion des paramètres de compatibilité et la gestion complète de tous les serveurs, ordinateurs de bureau, ordinateurs portables et appareils mobiles (si Windows Intune est intégré). |
Windows Intune |
Gère les appareils mobiles via Internet. Quand Windows Intune est intégré à System Center 2012 R2 Configuration Manager, vous pouvez gérer les ordinateurs et les appareils mobiles à partir d'une console Configuration Manager unique. |
Windows Azure Active Directory (AD) |
Service qui fournit des fonctionnalités d'identification et d'accès aux applications locales et cloud. |
Synchronisation d'annuaires Windows Azure (DirSync) |
Synchronise les utilisateurs d'Active Directory locaux avec Windows Azure AD. |
Synchronisation de mot de passe |
Permet aux utilisateurs de se servir des mêmes nom d'utilisateur et mot de passe pour se connecter aux services locaux et cloud. |
Installer System Center 2012 R2 Configuration Manager et migrer les objets
System Center 2012 R2 Configuration Manager Grâce à l'intégration de Windows Intune à System Center 2012 R2 Configuration Manager, la société peut étendre la gestion de ses ordinateurs locaux dans le cloud. De plus, l'utilisation de Configuration Manager avec Windows Intune lui permet d'effectuer une gestion centralisée des ordinateurs locaux et des appareils mobiles à partir d'une seule console. La société cherche également à réduire ses coûts de gestion informatique.
Pour cela, elle va installer un site principal autonome System Center 2012 R2 Configuration Manager à son siège social et installer des points de distribution aux emplacements distants.
Ensuite, elle va migrer les objets de son environnement Configuration Manager 2007 SP2 vers System Center 2012 R2 Configuration Manager.
La société a choisi d'effectuer cette migration pour les raisons suivantes :
Solution intégrée : la société veut une solution intégrée pour pouvoir gérer les ordinateurs et les appareils mobiles à partir d'une console unique. System Center 2012 R2 Configuration Manager avec Windows Intune est la solution intégrée dont elle a besoin.
Hiérarchie simplifiée : la société a réalisé qu'en utilisant System Center 2012 R2 Configuration Manager, elle n'avait plus besoin d'installer un site secondaire à chaque emplacement distant, comme illustré dans les schémas suivants.
Schéma 3 : hiérarchie existante, Configuration Manager 2007_
Schéma 4 : nouvelle hiérarchie, System Center 2012 R2 Configuration Manager_
Principaux avantages d'une hiérarchie simplifiée :
Administration basée sur des rôles : dans System Center 2012 R2 Configuration Manager, l'administration basée sur des rôles permet à la société de concevoir et d'implémenter la sécurité administrative pour la hiérarchie System Center 2012 R2 Configuration Manager à l'aide des éléments suivants :
Rôles de sécurité
Regroupements
Étendues de sécurité
Ces paramètres peuvent être associés pour définir une étendue administrative pour un utilisateur administratif. L'étendue administrative contrôle les objets qu'un utilisateur administratif peut afficher dans la console Configuration Manager et les autorisations dont dispose cet utilisateur sur ces objets. Voir Planification de l'administration basée sur des rôles.
Gestion de contenu : Dans System Center 2012 R2 Configuration Manager, la société peut configurer la bande passante réseau utilisée pour transférer le contenu vers les points de distribution et préparer le contenu sur les points de distribution aux emplacements distants. Voir Considérations relatives à la bande passante réseau pour les points de distribution.
Objets migrés : la société peut utiliser des outils de migration pour migrer des objets de Configuration Manager 2007 SP2 vers la hiérarchie System Center 2012 R2 Configuration Manager. Le service informatique de la société a passé beaucoup de temps à créer tous les objets Configuration Manager, tels que les collections, les séquences de tâches, les éléments de configuration, etc. En optant pour la migration, cet investissement ne sera pas perdu.
Fonctionnalités récentes : la société est également intéressée par de nouvelles fonctionnalités de System Center 2012 R2 Configuration Manager qui ne sont pas directement liées à cette solution. Voir Nouveautés de System Center 2012 R2 Configuration Manager.
S'abonner à Windows Intune
Le service Windows Intune est une solution cloud de gestion des appareils mobiles. La société va s'abonner à Windows Intune, puis intégrer Windows Intune à System Center 2012 R2 Configuration Manager pour gérer les ordinateurs et les appareils mobiles à partir de la même console Configuration Manager.
En prenant un abonnement à Windows Intune, la société remplit son objectif d'utiliser une solution intégrée pour gérer à la fois les ordinateurs et les appareils mobiles.
La société a étudié plusieurs solutions tierces de gestion des appareils mobiles, mais aucune d'elles ne fournit l'expérience intégrée recherchée. Elle ne veut pas non plus changer de produits ou supporter des coûts de formation et d'implémentation supplémentaires.
L'abonnement à Windows Intune offre un autre avantage : la société pourra utiliser le compte d'utilisateur de cet abonnement pour s'abonner à Microsoft Office 365 dans quelques mois.
Conseil
Si votre société utilise déjà des services Microsoft Online Services tels que Microsoft Office 365, utilisez le même compte d'utilisateur pour vous abonner à Windows Intune. Cela vous permet d'utiliser le même groupe d'utilisateurs pour tous les services sur le locataire Windows Azure AD de votre organisation. Si vous ne choisissez pas l'option de connexion à l'aide de votre compte d'utilisateur existant, un locataire Windows Azure AD est automatiquement créé. Vous devrez alors ajouter les utilisateurs à ce nouveau locataire.
Gérer l'identification et l'accès à l'aide de Windows Azure AD et de la synchronisation d'annuaires
Windows Intune utilise Windows Azure AD pour stocker les comptes d'utilisateur. Les services cloud de Microsoft, tels que Windows Intune et Office 365, s'appuient sur les fonctionnalités de gestion des identités fournies par Windows Azure AD.
La société va utiliser la synchronisation d'annuaires Windows Azure (DirSync) pour synchroniser les utilisateurs locaux de Windows Server AD avec Windows Azure AD. La synchronisation d'annuaires est conçue comme une relation suivie entre l'instance locale d'AD et l'instance cloud de Windows Azure AD. La société a choisi d'utiliser DirSync pour les raisons suivantes :
Réduire ses coûts d'administration : sans DirSync, la société aurait dû ajouter manuellement tous les comptes d'utilisateur et de groupe dans Windows Azure AD. DirSync synchronise les comptes d'utilisateur de l'instance locale de Windows Server AD dans Windows Azure AD. Après avoir activé la synchronisation d'annuaires, vous pouvez modifier des objets synchronisés dans votre environnement local ; ces modifications sont ensuite synchronisées avec votre abonnement à Windows Intune, réduisant ainsi vos coûts d'administration.
Améliorer la productivité : en automatisant le processus de synchronisation des comptes d'utilisateur et de groupe, la société peut considérablement réduire le temps nécessaire pour rendre les services cloud accessibles aux employés.
Considérations en matière de conception et de planification de la synchronisation d'annuaires
Lors de la planification de la synchronisation d'annuaires, la société a pris en compte la configuration matérielle requise, les autorisations d'administrateur à définir, les performances attendues, etc. Tous ces aspects sont traités dans Préparer la synchronisation d'annuaires.
Fournir un accès facile et sécurisé aux utilisateurs avec la synchronisation de mot de passe
L'authentification des utilisateurs doit être configurée. Sinon, les employés de la société devront utiliser un autre nom d'utilisateur et des mots de passe distincts pour accéder aux services locaux et cloud. La société a décidé de configurer l'authentification des utilisateurs pour éviter l'augmentation des tâches d'administration pour gérer les modifications de mots de passe initiales et actuelles, et rendre l'expérience utilisateur plus conviviale. Elle a choisi d'utiliser la synchronisation de mot de passe pour l'authentification des utilisateurs.
La société a évalué les méthodes d'authentification suivantes pour l'accès des employés aux ressources locales et cloud avec les mêmes informations d'identification :
La synchronisation de mot de passe est une option légère, très simple à déployer, qui fournit aux utilisateurs une expérience semblable à l'authentification unique. Vous pouvez sélectionner cette option dans DirSync pour permettre à DirSync de stocker un hachage du mot de passe dans Windows Azure AD. Si la synchronisation de mot de passe est activée sur votre ordinateur de synchronisation d'annuaires, vos utilisateurs pourront se connecter aux services cloud de Microsoft (Office 365, Dynamics CRM et Windows Intune, par exemple) à l'aide du même mot de passe que celui qu'ils utilisent pour se connecter à votre réseau local. Si les utilisateurs modifient leurs mots de passe sur votre réseau d'entreprise, ces modifications sont synchronisées dans le cloud.
Toutefois, la synchronisation de mot de passe ne fournit pas la solution d'authentification unique (SSO) dont vous bénéficiez avec les services AD FS. Les utilisateurs devront entrer leurs informations d'identification chaque fois qu'ils accèdent à un service cloud. Voir :
Active Directory Federation Services (AD FS) fournit une véritable expérience d'authentification unique (SSO) fonctionnant avec les protocoles d'authentification Active Directory. Le service Active Directory local et AD FS interagissent avec la plateforme de gestion des identités de Windows Azure AD pour fournir l'accès à un ou plusieurs services cloud de Microsoft. Lorsque l'authentification unique est configurée, une relation d'approbation fédérée est établie entre le domaine et le système d'authentification de Windows Azure AD. Les utilisateurs peuvent s'authentifier auprès des services cloud et des services locaux à l'aide des mêmes nom d'utilisateur et mot de passe. Une fois qu'ils ont été authentifiés, les utilisateurs ne sont plus invités à entrer leurs informations d'identification pour accéder à un service cloud.
La société a choisi d'utiliser la synchronisation de mot de passe pour l'authentification des utilisateurs pour plusieurs raisons. La synchronisation de mot de passe est très facile à configurer dans la synchronisation d'annuaires que la société prévoit d'utiliser pour synchroniser les comptes d'utilisateurs locaux. La société prévoit également de mettre à niveau les contrôleurs de domaine vers Windows Server 2012 R2 dans les six prochains mois. AD FS est un rôle site dans Windows Server 2012 R2 qui offre de nombreuses nouvelles fonctionnalités. La société souhaite implémenter AD FS lors de la mise à niveau de ses contrôleurs de domaine. Pour plus d'informations sur l'implémentation d'AD FS dans Windows Server 2012 R2, voir :
La société a choisi d'utiliser la synchronisation de mot de passe pour l'authentification des utilisateurs. Toutefois, vous pouvez décider d'implémenter AD FS pour l'authentification unique dans votre environnement. Voir :
Considérations en matière de conception des services AD FS : Guide de conception d'AD FS 2.0
Utilisation des services AD FS pour l'authentification unique : Liste de vérification : utiliser les services AD FS pour implémenter et gérer l'authentification unique
Planifier une mise à niveau progressive de la plateforme
La société a décidé de ne pas mettre à niveau ses services AD locaux dans le cadre de cette solution, mais prévoit d'y procéder au cours des six prochains mois.
Le service informatique de la société a proposé d'effectuer la mise à niveau des services AD locaux dans le cadre de la solution. Dans Windows Server 2012 R2, Active Directory comporte les nouvelles fonctionnalités suivantes :
Inscription de l'appareil. les administrateurs informatiques peuvent autoriser l'inscription d'un appareil, lequel est ainsi associé aux services Active Directory de la société. Cette association peut constituer un deuxième facteur d'authentification, totalement transparent.
Authentification unique (SSO) : cette authentification s'effectue à partir d'appareils qui sont associés aux services Active Directory de la société.
Proxy d'application web : il permet aux utilisateurs de se connecter aux applications et aux services en tout lieu.
Contrôle d'accès multifacteur et authentification multifacteur (MFA, Multi-Factor Authentication) : gèrent les risques liés au travail à distance et à l'accès aux données protégées à partir d'appareils personnels.
Dossiers de travail : ils fournissent aux utilisateurs un emplacement pour stocker des fichiers de travail, et y accéder, sur les ordinateurs et appareils.
Voir Services Active Directory.
La direction de la société a reconnu les avantages des nouvelles fonctionnalités, mais elle n'a pas approuvé la demande de ressources pour mettre à niveau Active Directory dans le cadre de cette solution. Elle préfère reporter la mise à niveau des services AD locaux au prochain semestre.
Quand vous êtes prêt à mettre à niveau votre infrastructure AD locale et implémenter AD FS, consultez Sécuriser l'accès aux ressources de la société depuis n'importe quel endroit et n'importe quel appareil.
Étapes d'implémentation
Cette section décrit les étapes suivies par la société pour implémenter la solution. Si vous procédez de la même façon, vérifiez le déploiement de chaque étape avant de passer à l'étape suivante.
Abonnez-vous à Windows Intune.
Créez un abonnement à Windows Intune sur le site web Windows Intune.
- Si vous disposez déjà d'un compte d'utilisateur pour un autre service cloud, tel qu'Office 365, cliquez sur Connexion pour entrer les informations d'identification du compte. Cela vous permet d'utiliser le même groupe d'utilisateurs pour tous les services disponibles sur le locataire Windows Azure AD de votre organisation.
Étapes de vérification : au terme du processus d'inscription, un e-mail de confirmation est envoyé à l'adresse de messagerie que vous avez indiquée. Cliquez sur le lien inclus dans cet e-mail ou accédez au portail des comptes Windows Intune sur https://account.manage.microsoft.com pour vérifier que vous pouvez vous connecter.
Configurez votre domaine public.
Obtenez un domaine public. Pour utiliser le service Windows Intune, vous avez également besoin d'un nom de domaine d'organisation public, qui est vérifiable par le biais d'un service d'inscription de nom de domaine. Ajoutez et vérifiez votre domaine public dans le portail de comptes Windows Intune sur https://account.manage.microsoft.com sous le nœud Domaines.
Vérifiez que le domaine public a été ajouté comme autre suffixe UPN dans le service Active Directory local. Les utilisateurs doivent disposer du même nom d'utilisateur principal (UPN, User Principal Name) de domaine public dans le cloud et sur le service Active Directory local pour inscrire des appareils mobiles. Vérifiez que les utilisateurs ont un UPN de domaine public avant de configurer la synchronisation d'annuaires. Si vous ignorez cette étape, la chaîne « onmicrosoft.com » risque d'être ajoutée à l'UPN cloud des utilisateurs, générant alors une incompatibilité avec les noms d'utilisateur définis sur le service Active Directory local. Voir Ajouter des suffixes UPN.
Ajoutez un enregistrement CNAME dans DNS pour que enterpriseenrollment.<publicdomain> pointe vers manage.microsoft.com. L'enregistrement CNAME sera utilisé plus tard dans le cadre du processus d'inscription. Voir Ajouter un enregistrement de ressource alias (CNAME) à une zone.
Étapes de vérification :
Dans la page Domaines du portail des comptes Windows Intune, assurez-vous que le domaine public est répertorié et vérifié.
Dans les propriétés d'un compte d'utilisateur sur votre service Active Directory local, vérifiez que l'UPN est répertorié avec le nom de domaine public.
Fournissez un accès facile et sécurisé aux utilisateurs en implémentant DirSync avec la synchronisation de mot de passe.
Vous pouvez configurer la synchronisation de mot de passe à partir du portail des comptes Windows Intune sur https://account.manage.microsoft.com. Dans le nœud Utilisateurs du portail, cliquez sur Synchronisation Active Directory : Configurer, puis suivez les étapes Configurer et gérer la synchronisation Active Directory. Pour activer la synchronisation de mot de passe, vous devrez ensuite exécuter l'Assistant de configuration de l'outil de synchronisation d'annuaires et sélectionner Activer la synchronisation de mot de passe.
Voir :
Étapes de vérification : affichez les comptes d'utilisateur dans le portail des comptes Windows Intune sur https://account.manage.microsoft.com.
Installez votre site ou hiérarchie System Center 2012 R2 Configuration Manager.
Après avoir planifié sa hiérarchie System Center 2012 R2 Configuration Manager, la société a choisi d'installer un site principal autonome à son siège social et d'installer des points de distribution aux emplacements distants. Votre hiérarchie nécessitera peut-être une configuration différente. Suivez les étapes ci-dessous pour installer votre site ou hiérarchie System Center 2012 R2 Configuration Manager :
Identifiez un serveur qui présente la configuration matérielle et logicielle requise pour héberger un site principal Configuration Manager. Voir Planification des configurations matérielles pour Configuration Manager.
Passez en revue les logiciels requis et les systèmes d'exploitation pris en charge pour l'hébergement d'un site Configuration Manager. Voir Configuration requise pour le système de site.
Configurez votre environnement Windows pour prendre en charge System Center 2012 R2 Configuration Manager. Voir Préparer l'environnement Windows pour Configuration Manager.
Installez un site System Center 2012 R2 Configuration Manager. Voir Installer des sites et créer une hiérarchie pour Configuration Manager. Pour cette solution, la société va installer un site principal autonome, mais ignorer les étapes d'installation d'un site d'administration centrale ou d'un site secondaire. Au fil de la procédure, choisissez les sites appropriés pour votre environnement.
Installez un point de distribution aux emplacements distants. La société de notre exemple a déterminé qu'il était possible d'utiliser un point de distribution à chaque emplacement distant au lieu d'utiliser un site secondaire à chaque emplacement. Pour plus d'informations sur l'installation et la configuration d'un point de distribution, voir Configuration de la gestion de contenu dans Configuration Manager.
Étapes de vérification
Sur le serveur de site principal, surveillez la progression de l'Assistant d'installation. L'Assistant d'installation de Configuration Manager affiche le résultat de chaque tâche d'installation du site. Une fois toutes les tâches d'installation terminées, vous pouvez fermer l'Assistant. Toutefois, après la fin de l'installation du site, l'Assistant d'installation continue d'afficher des informations sur les configurations du site en cours. Ne fermez pas l'Assistant si vous souhaitez surveiller ces configurations. Notez que ces configurations continuent de s'exécuter en arrière-plan même après la fermeture de l'Assistant. Consultez le fichier ConfigMgrSetup.log pour vérifier que le site a bien été installé.
Configurez les fonctionnalités et fonctions de gestion.
Après avoir installé votre site ou hiérarchie, configurez le site pour qu'il prenne en charge les fonctionnalités et fonctions de gestion System Center 2012 R2 Configuration Manager dont vous avez besoin. Vous devez configurer la découverte d'utilisateurs Active Directory avant de configurer l'abonnement à Windows Intune ou installer le rôle système de site Connecteur Windows Intune à l'étape 8. Voir :
Effectuez la migration vers System Center 2012 R2 Configuration Manager.
Quand vous migrez les objets de votre hiérarchie source Configuration Manager 2007, vous accédez aux données des bases de données de site que vous identifiez dans l'infrastructure source, puis vous copiez ces données dans la hiérarchie System Center 2012 R2 Configuration Manager. La migration ne modifie pas les données de la hiérarchie source. Elle découvre les données et stocke une copie dans la base de données de la hiérarchie de destination. Voir Migration des hiérarchies dans System Center 2012 Configuration Manager.
Pour migrer vos données Configuration Manager 2007 vers System Center 2012 R2 Configuration Manager :
Spécifiez votre hiérarchie Configuration Manager 2007 SP2 en tant que hiérarchie source pour la migration. Par défaut, le site de niveau supérieur de cette hiérarchie devient un site source de la hiérarchie source. Après avoir collecté les données à partir du site source initial, vous pouvez configurer d'autres sites sources pour la migration.
Configuration Manager commence à collecter des données à partir du site source dès que vous avez spécifié une hiérarchie source, configuré les informations d'identification pour chaque site source ajouté dans la hiérarchie source ou partagé les points de distribution pour un site source. Par défaut, il se répète toutes les quatre heures, de façon à ce que Configuration Manager puisse identifier les modifications apportées aux données de la hiérarchie source, que vous souhaitez peut-être migrer. La collecte de données est également nécessaire pour partager des points de distribution entre la hiérarchie source et la hiérarchie de destination. Voir Configuration des hiérarchies source et des sites source en vue d'une migration vers System Center 2012 Configuration Manager.
Créez des tâches de migration pour migrer des données entre la hiérarchie source et la hiérarchie de destination. Utilisez des tâches de migration pour configurer les données à migrer vers votre environnement System Center 2012 R2 Configuration Manager. Les tâches de migration identifient les objets à migrer, et elles s'exécutent sur le site de niveau supérieur dans votre hiérarchie. Voir Créer et modifier des tâches de migration pour System Center 2012 Configuration Manager.
Surveillez les tâches de migration. Surveillez la progression des tâches de migration dans la console System Center 2012 R2 Configuration Manager. Voir Surveiller l'activité de migration dans l'espace de travail Migration.
Mettez à niveau les points de distribution partagés. Vous pouvez mettre à niveau un point de distribution pris en charge partagé à partir de votre site source Configuration Manager 2007 pour qu'il devienne un point de distribution dans la hiérarchie de destination. Voir Mettre à niveau ou réattribuer un point de distribution partagé dans System Center 2012 Configuration Manager.
Migrez les clients Configuration Manager 2007 vers System Center 2012 R2 Configuration Manager. Après avoir migré des données pour des clients entre des hiérarchies, mais avant d'avoir terminé la migration, envisagez de migrer des clients vers la hiérarchie de destination. Pour migrer les clients entre des hiérarchies, installez le logiciel client Configuration Manager à partir de la hiérarchie de destination. Le client Configuration Manager est désinstallé, puis le client System Center 2012 R2 Configuration Manager est installé et affecté au site principal. Voir Planification d'une stratégie de migration de clients dans System Center 2012 Configuration Manager.
Terminez le processus de migration : quand votre hiérarchie Configuration Manager 2007 ne contient plus de données à migrer vers votre hiérarchie de destination, vous pouvez terminer le processus de migration. Pour ce faire :
Vérifiez que vous avez bien migré toutes les ressources de la hiérarchie source dont vous pouvez avoir besoin dans la hiérarchie de destination. Pensez notamment aux données et aux clients.
Arrêtez la collecte de données sur chaque site source de votre hiérarchie Configuration Manager 2007. Pour cela, exécutez l'action Arrêter la collecte de données sur les sites source de niveau inférieur, puis répétez le processus au niveau de chaque site parent. Le site de niveau supérieur de la hiérarchie source doit être le dernier site sur lequel vous arrêtez la collecte des données. Vous devez arrêter la collecte de données sur chaque site enfant avant d'effectuer cette action sur un site parent. Après l'arrêt de la collecte de données, vous ne pouvez plus partager de points de distribution entre les hiérarchies source et de destination.
Nettoyez les données de migration. Pour cela, exécutez l'action Nettoyer les données de migration. Cette action facultative supprime de la base de données de la hiérarchie de destination l'ensemble des données relatives à la hiérarchie source actuelle. Dans la console Configuration Manager, vous pouvez accéder à chaque tâche de migration en cours d'exécution, ou planifiée pour être exécutée, jusqu'à ce que vous nettoyiez les données de migration. Lors du nettoyage des données de migration, la plupart des données relatives à la migration sont supprimées de la base de données de la hiérarchie de destination. Voir Terminer la migration dans System Center 2012 Configuration Manager.
Étapes de vérification : la migration comprend plusieurs actions ou phases distinctes qui se déroulent jusqu'à ce que vous décidiez de terminer le processus de migration. Il n'y a donc pas d'étape ou de processus de vérification permettant de vérifier que la migration est terminée. À la place, vous pouvez vérifier les résultats qui s'affichent dans la console System Center 2012 R2 Configuration Manager quand les actions correspondant à une phase sont exécutées ou terminées.
Retirez votre hiérarchie Configuration Manager 2007 : une fois que la migration à partir d'une hiérarchie source est terminée et que cette hiérarchie ne contient plus de ressources que vous gérez, vous pouvez retirer les sites de la hiérarchie source et supprimer l'infrastructure concernée de votre environnement. Voir Tâches de Configuration Manager pour le retrait des sites et des hiérarchies.
Obtenez des certificats ou des clés pour les appareils mobiles.
La société doit avoir obtenu les certificats ou les clés de chargement de version test pour pouvoir inscrire les appareils mobiles. Les certificats ou les clés de chargement de version test dont vous avez besoin dépendent des types d'appareils mobiles utilisés dans votre environnement. Voir Obtenir des certificats ou des clés pour répondre aux conditions requises par plateforme.
Configurez l'abonnement à Windows Intune et installez le rôle système de site Connecteur Windows Intune sur le site de niveau supérieur.
Pour pouvoir utiliser Configuration Manager pour gérer les appareils mobiles, la société doit d'abord configurer son abonnement à Windows Intune et installer le rôle système de site Connecteur Windows Intune sur son serveur de site de niveau supérieur. La société va donc configurer son site principal autonome. Si vous utilisez une hiérarchie plus complexe, configurez votre site d'administration centrale.
Configurez votre abonnement à Windows Intune. Voir Configuration de l'abonnement Windows Intune.
Installez le connecteur Windows Intune. Voir Rôle de système de site Connecteur Windows Intune.
Étapes de vérification :
Sur le serveur de site principal, consultez le fichier sitecomp.log pour vérifier que le rôle système de site Connecteur Windows Intune a bien été installé.
Sur l'ordinateur sur lequel vous installez le connecteur Windows Intune, consultez le fichier cloudusersync.log pour vérifier que les utilisateurs de votre domaine ont bien été synchronisés dans Windows Intune.
Sur le serveur de site principal, consultez le fichier CertMgr.log pour vérifier que l'ordinateur où vous avez installé le connecteur Windows Intune partage le certificat du connecteur. Le certificat est partagé une fois terminée l'installation du rôle système de site Connecteur Windows Intune.
Sur l'ordinateur sur lequel vous installez le connecteur Windows Intune, consultez le fichier dmpuploader.log pour vérifier que le rôle système de site Connecteur Windows Intune peut appliquer les modifications de stratégie et de configuration dans le service Windows Intune.
Sur l'ordinateur sur lequel vous installez le connecteur Windows Intune, consultez le fichier dmpdownloader.log pour vérifier que le connecteur Windows Intune peut télécharger les messages provenant de Windows Intune. Ce journal peut afficher uniquement une commande ping au début de la procédure de téléchargement et il peut se passer un certain temps avant la consignation des entrées relatives aux téléchargements.
Inscrivez les appareils mobiles.
L'inscription établit une relation entre l'utilisateur, l'appareil mobile et le service Windows Intune. Les utilisateurs inscrivent leurs propres appareils mobiles. Les appareils Android ne peuvent pas être inscrits, mais ils peuvent être gérés à l'aide du connecteur Exchange Server. Voir Inscription d'appareils mobiles.
Installez la console System Center 2012 R2 Configuration Manager.
Par défaut, quand vous installez un site principal, la console Configuration Manager s'installe également sur le serveur de site principal. Après l'installation du site, vous pouvez installer d'autres consoles System Center 2012 R2 Configuration Manager sur des ordinateurs supplémentaires pour gérer le site. Voir Installer une console Configuration Manager.
Gérez vos ordinateurs et appareils mobiles.
Après avoir installé et défini les configurations de base de votre site, vous pouvez commencer à configurer la gestion de vos ordinateurs et appareils mobiles. Le tableau suivant répertorie les principales fonctions ou fonctionnalités que vous pouvez configurer :
Fonctionnalité Détails Utilisez l'inventaire matériel pour collecter des informations sur la configuration matérielle des appareils clients utilisés dans votre organisation.
Utilisez l'inventaire logiciel pour collecter des informations sur les fichiers qui figurent sur les appareils clients utilisés dans votre organisation. En outre, l'inventaire logiciel peut regrouper les fichiers des appareils clients et les stocker sur le serveur de site.
Utilisez Asset Intelligence pour inventorier et gérer l'utilisation des licences logicielles dans toute l'entreprise, et collecter davantage d'informations sur le matériel et les logiciels utilisés.
Utilisez les paramètres de compatibilité pour gérer la configuration et la compatibilité des serveurs, des ordinateurs portables, des ordinateurs de bureau et des appareils mobiles dans votre organisation.
Utilisez l'accès aux ressources de l'entreprise pour permettre aux utilisateurs de votre organisation d'accéder à distance aux données et aux applications. Pour cela, configurez les éléments suivants :
- Profils de certificat
- Profils VPN
- Profils Wi-Fi
Utilisez les profils de connexion à distance pour permettre aux utilisateurs de se connecter à distance à des ordinateurs professionnels lorsqu'ils ne sont pas connectés au domaine ou si leurs ordinateurs personnels sont connectés via Internet.
Utilisez la gestion des applications pour gérer les applications dans votre entreprise à la fois pour les administrateurs de Configuration Manager et pour les utilisateurs d'appareils clients.
Utilisez les mises à jour logicielles pour surveiller la compatibilité et déployer des mises à jour de logiciels sur les ordinateurs de votre entreprise.
Suivez les étapes de cette procédure pas à pas pour gérer des appareils Windows Phone 8, Windows RT, iOS et Android à l'aide du service Windows Intune sur Internet.
Réinitialisation du contenu d'entreprise sur les appareils mobiles
Vous pouvez effectuer une réinitialisation complète sur des appareils Windows Phone 8, iOS et Android pour rétablir les paramètres d'usine de ces appareils, ou effectuer une réinitialisation sélective qui supprime uniquement le contenu de la société sur l'appareil.
- Profils de certificat
Voir aussi
Type de contenu | Référence |
---|---|
Évaluation/prise en main |
|
Référence |
|
Solutions connexes |
|
Ressources de la communauté |