Vereisten voor het implementeren van clients op mobiele apparaten in Configuration Manager
Van toepassing op: Configuration Manager (current branch)
Belangrijk
On-premises MDM en de Configuration Manager-client voor macOS zijn beide afgeschaft.
Beheer van macOS- en mobiele apparaten migreren naar Microsoft Intune. Zie Ondersteunde clients en apparaten voor meer informatie.
Het implementeren van Configuration Manager clients in uw omgeving heeft de volgende externe afhankelijkheden en afhankelijkheden binnen het product.
Zie Ondersteunde configuraties voor meer informatie over de minimale hardware- en besturingssysteemvereisten voor de Configuration Manager-client.
Opmerking
De softwareversienummers die in dit artikel worden weergegeven, bevatten alleen de minimaal vereiste versienummers.
Wanneer u de Configuration Manager-client op mobiele apparaten installeert en inschrijft, gebruikt u deze informatie om de vereisten te bepalen.
Afhankelijkheden buiten Configuration Manager
Een Microsoft certificeringsinstantie (CA) met certificaatsjablonen voor het implementeren en beheren van de certificaten die vereist zijn voor mobiele apparaten.
De verlenende CA moet certificaataanvragen van de gebruikers van het mobiele apparaat automatisch goedkeuren tijdens het inschrijvingsproces.
Zie Beveiliging en privacy voor certificaatprofielen voor meer informatie over de certificaatvereisten.
Een beveiligingsgroep die de gebruikers bevat die hun mobiele apparaten kunnen inschrijven.
Deze beveiligingsgroep wordt gebruikt voor het configureren van de certificaatsjabloon die wordt gebruikt tijdens de inschrijving van mobiele apparaten.
Optioneel, maar aanbevolen: een DNS-alias (CNAME-record) met de naam ConfigMgrEnroll. Configureer deze alias voor de servernaam van het inschrijvingsproxypunt.
Deze DNS-alias is vereist voor de ondersteuning van automatische detectie voor de inschrijvingsservice. Als u deze DNS-record niet configureert, moeten gebruikers handmatig de naam van het inschrijvingsproxypunt opgeven als onderdeel van het inschrijvingsproces.
Afhankelijkheden van sitesysteemrollen voor de computers waarop het inschrijvingspunt en het inschrijvingsproxypunt worden uitgevoerd.
Zie Ondersteunde besturingssystemen voor sitesysteemservers voor meer informatie.
afhankelijkheden Configuration Manager
Zie De sitesysteemrollen voor clients bepalen voor meer informatie.
Beheerpuntconfiguraties:
- HTTPS-clientverbindingen
- Ingeschakeld voor mobiele apparaten
- Een internet-FQDN
- Clientverbindingen van internet accepteren
Inschrijvingspunt en inschrijvingsproxypunt
Een inschrijvingsproxypunt beheert inschrijvingsaanvragen van mobiele apparaten en het inschrijvingspunt voltooit het inschrijvingsproces. Het inschrijvingspunt moet zich in hetzelfde Active Directory-forest bevinden als de siteserver, maar het inschrijvingsproxypunt kan zich in een ander forest bevinden.
Clientinstellingen voor inschrijving van mobiele apparaten
Clientinstellingen configureren zodat gebruikers mobiele apparaten kunnen inschrijven en ten minste één inschrijvingsprofiel kunnen configureren.
Reporting Services-punt
Het Reporting Services-punt is een optionele, maar aanbevolen sitesysteemrol. Het kan rapporten weergeven met betrekking tot de inschrijving van mobiele apparaten en clientbeheer. Zie Inleiding tot rapportage voor meer informatie.
Voor het configureren van de inschrijving voor mobiele apparaten heeft uw account de volgende beveiligingsmachtigingen nodig:
De systeemrollen voor de inschrijvingssite toevoegen, wijzigen en verwijderen: Machtiging wijzigen voor het siteobject .
Clientinstellingen configureren voor inschrijving: voor standaardclientinstellingen is de machtiging Wijzigen vereist voor het siteobject en voor aangepaste clientinstellingen zijn clientagentmachtigingen vereist.
De standaardbeveiligingsrol Volledige beheerder bevat de vereiste machtigingen voor het configureren van de sitesysteemrollen voor inschrijving.
Voor het beheren van ingeschreven mobiele apparaten heeft uw account de volgende beveiligingsmachtigingen nodig:
Een mobiel apparaat wissen of buiten gebruik stellen: Verwijder de resource voor het verzamelingsobject .
Een opdracht voor wissen of buiten gebruik stellen annuleren: Verwijder de resource voor het verzamelingsobject .
Mobiele apparaten toestaan en blokkeren: wijzig de resource voor het verzamelingsobject .
De wachtwoordcode op een mobiel apparaat op afstand vergrendelen of opnieuw instellen: Resource voor het object Verzameling wijzigen.
De standaardbeveiligingsrol Operations Administrator bevat de vereiste machtigingen voor het beheren van mobiele apparaten.
Zie Basisprincipes van op rollen gebaseerd beheer en Op rollen gebaseerd beheer configureren voor meer informatie over het configureren van beveiligingsmachtigingen.
Firewallvereisten
Tussenkomende netwerkapparaten, zoals routers en firewalls, en Windows Firewall, indien van toepassing, moeten het verkeer toestaan dat is gekoppeld aan de inschrijving van mobiele apparaten.
Tussen mobiele apparaten en het inschrijvingsproxypunt: HTTPS (standaard TCP 443)
Tussen het inschrijvingsproxypunt en het inschrijvingspunt: HTTPS (standaard TCP 443)
Als u een proxywebserver gebruikt, configureert u deze voor SSL-tunneling. SSL-bridging wordt niet ondersteund voor mobiele apparaten.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor