On-premises MDM plannen in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Er zijn verschillende belangrijke gebieden die u moet controleren wanneer u van plan bent on-premises MDM (Mobile Device Management) te implementeren in Configuration Manager:
- Ondersteunde apparaten en versies van het besturingssysteem
- Vereiste sitesysteemrollen
- Beveiligde communicatie
- Apparaatinschrijving
Belangrijk
Hoewel de site of een mobiel apparaat geen verbinding maakt met Microsoft Intune, heeft uw organisatie nog steeds Intune licenties nodig om deze functie te kunnen gebruiken. Zie Microsoft Intune licenties voor meer informatie.
Houd rekening met de volgende vereisten voordat u de Configuration Manager-infrastructuur voorbereidt voor het verwerken van on-premises MDM.
Ondersteunde apparaten
De huidige vertakking van Configuration Manager ondersteunt inschrijving in on-premises beheer van mobiele apparaten voor apparaten met Windows 10. Deze apparaattypen omvatten voornamelijk laptops, IoT en Surface Hub. Zie Ondersteunde versies van het besturingssysteem voor clients en apparaten voor meer informatie en de lijst met specifieke edities.
Sitesysteemrollen
On-premises MDM vereist ten minste een van de volgende sitesysteemrollen:
Inschrijvingsproxypunt ter ondersteuning van inschrijvingsaanvragen.
Inschrijvingspunt ter ondersteuning van apparaatinschrijving.
Apparaatbeheerpunt voor beleidslevering. Deze rol is een variant van het beheerpunt, maar maakt beheer van mobiele apparaten mogelijk.
Distributiepunt voor het leveren van inhoud.
Afhankelijk van de behoeften van uw organisatie kunt u deze functies installeren op één server of afzonderlijk op verschillende servers.
Opmerking
U moet elke rol configureren die wordt gebruikt voor on-premises MDM als een HTTPS-eindpunt voor communicatie met vertrouwde apparaten. Zie Vereiste vertrouwde communicatie voor meer informatie.
Zie Plannen voor sitesysteemservers en -rollen voor meer algemene informatie.
Vertrouwde communicatie
On-premises MDM vereist dat u sitesysteemrollen inschakelt voor HTTPS-communicatie. Afhankelijk van uw behoeften kunt u de certificeringsinstantie (CA) van uw organisatie gebruiken om de vertrouwde verbindingen tussen servers en apparaten tot stand te brengen. U kunt ook een openbaar beschikbare CA gebruiken om de vertrouwde instantie te zijn. In beide gevallen moet u de volgende certificaten configureren:
Een webservercertificaat in IIS op de servers die de vereiste sitesysteemrollen hosten. Als één server als host fungeert voor meerdere sitesysteemfuncties, hebt u slechts één certificaat voor die server nodig. Als elke rol zich op een afzonderlijke server bevindt, heeft elke server een afzonderlijk certificaat nodig.
Het vertrouwde basiscertificaat van de CA die de webservercertificaten uitgeeft. Installeer dit basiscertificaat op alle apparaten die verbinding moeten maken met de sitesysteemrollen.
Zie Certificaten instellen voor vertrouwde communicatie in on-premises MDM voor meer informatie.
Apparaatinschrijving
Apparaatinschrijving inschakelen voor on-premises MDM:
Gebruikers toestemming geven om zich in te schrijven via clientinstellingen
Apparaten configureren voor vertrouwde communicatie met de sitesysteemservers die de vereiste rollen hosten
Als alternatief voor door de gebruiker geïnitieerde inschrijving kunt u een bulksgewijs inschrijvingspakket instellen. Met dit pakket kan het apparaat worden ingeschreven zonder tussenkomst van de gebruiker. Lever het pakket af op het apparaat voordat het is ingericht voor gebruik of nadat het het OOBE-proces heeft doorlopen.
Zie Apparaatinschrijving instellen voor on-premises MDM voor meer informatie.