Inleiding tot Configuration Manager
Van toepassing op: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Als onderdeel van de Microsoft System Center-suite met beheeroplossingen verhoogt System Center 2012 Configuration Manager de productiviteit en efficiëntie van IT-teams door het aantal handmatige taken te verminderen zodat u zich kunt concentreren op hoogwaardige projecten, hardware- en software-investeringen optimaal kunt benutten en de productiviteit van eindgebruikers kunt vergroten door de juiste software op het juiste moment aan te bieden. Dankzij Configuration Manager kunt u efficiëntere IT-services leveren via een veilige en schaalbare software-implementatie, beheer van instellingen voor naleving en uitgebreid activabeheer van servers, pc’s, laptops en mobiele apparaten.
Configuration Manager vormt een uitbreiding op en werkt goed samen met uw bestaande Microsoft-technologieën en -oplossingen. Bijvoorbeeld:
Configuration Manager gebruikt Active Directory Domain Services voor de beveiliging, servicelocatie, configuratie en voor de detectie van gebruikers en apparaten die u wilt beheren.
Configuration Manager gebruikt Microsoft SQL Server als gedistribueerde database voor beheer van wijzigingen en brengt dankzij de integratie met SQL Server Reporting Services (SSRS) rapporten uit om de beheeractiviteiten te controleren en te volgen.
Veel van de Configuration Manager-sitesysteemrollen die voorzien in beheerfunctionaliteit maken gebruik van de webservices van IIS (Internet Information Services).
U kunt met behulp van BITS (Background Intelligent Transfer Service) en BranchCache de beschikbare bandbreedte voor het netwerk beheren.
Bovendien kan Configuration Manager worden geïntegreerd met WSUS (Windows Server Update Services), Beveiliging van netwerktoegang (NAP, Network Access Protection), Certificate Services, Exchange Server en Exchange Online, Groepsbeleid, de DNS-serverrol, Pakket voor automatische Windows-installaties (Windows AIK, Windows Automated Installation Kit) en Migratiehulpmiddel voor gebruikersstatus (USMT, User State Migration Tool), WDS (Windows Deployment Services), Extern beheer en Hulp op afstand.
Om succesvol kunnen werken met Configuration Manager moet u eerst de beheerfuncties grondig plannen en testen voordat u Configuration Manager in een productieomgeving gebruikt.Configuration Manager is een krachtige beheertoepassing die in potentie op elke computer in uw organisatie invloed kan hebben. Wanneer u Configuration Manager implementeert en beheert met een zorgvuldige planning en afweging van uw bedrijfsvereisten, kan Configuration Manager een vermindering betekenen van uw administratieve overhead en totale eigendomskosten.
In de volgende rubrieken vindt u meer informatie over Configuration Manager:
Beheermogelijkheden van Configuration Manager
De Configuration Manager-console
De toepassingscatalogus, Software Center en de bedrijfsportal
- Eigenschappen van Configuration Manager (client)
Voorbeeldscenario's van Configuration Manager
Voorbeeldscenario: Mogelijkheden bieden aan gebruikers door hen toegang te bieden tot toepassingen vanaf elk apparaat
Voorbeeldscenario: Conformiteitsbeheer bundelen voor apparaten
Voorbeeldscenario: Clientbeheer vereenvoudigen voor apparaten
Volgende stappen
Beheermogelijkheden van Configuration Manager
De volgende tabel biedt details over de primaire beheerfuncties van Configuration Manager. Elke functie heeft haar eigen vereisten, en de door u gewenste functies zijn mogelijk van invloed op het ontwerp en de implementatie van uw Configuration Manager-hiërarchie. Als u bijvoorbeeld software wilt implementeren op apparaten in uw hiërarchie, moet u de distributiepuntrol van het sitesysteem installeren.
Beheerfunctionaliteit |
Beschrijving |
Meer informatie |
|---|---|---|
Toepassingsbeheer |
Voorziet in een set hulpprogramma's en resources waarmee u toepassingen in het bedrijf kunt maken, implementeren en controleren. |
|
Toegang tot bedrijfsresources |
Voor System Center 2012 R2 Configuration Manager en later: Voorziet in een set hulpprogramma's en resources waarmee u gebruikers binnen uw organisatie toegang kunt geven tot gegevens en toepassingen van externe locaties. Deze hulpprogramma's zijn onder meer de volgende:
|
|
Instellingen voor naleving |
Voorziet in een set hulpprogramma's en resources waarmee u de conformiteit van configuraties van clientapparaten binnen de onderneming kunt beoordelen, volgen en herstellen. |
Inleiding tot compatibiliteitsinstellingen in Configuration Manager |
Endpoint Protection |
Voorziet in beheer op het gebied van beveiliging, antimalware en Windows Firewall voor computers binnen uw onderneming. |
|
Inventaris |
Voorziet in een set hulpprogramma's waarmee u activa kunt identificeren en controleren:
|
Raadpleeg de volgende documentatie: |
Implementatie van besturingssystemen |
Voorziet in een hulpprogramma voor het maken van installatiekopieën van besturingssystemen. U kunt deze installatiekopieën vervolgens gebruiken voor de implementatie ervan op door Configuration Manager beheerde en onbeheerde computers, met gebruikmaking van de PXE-opstartbewerking of opstartbare media zoals een cd-set, dvd of USB-sticks. |
Inleiding tot implementatie van besturingssysteem in Configuration Manager |
Buiten-bandbeheer |
Vormt een integraal onderdeel met Intel AMT (Intel Active Management Technology), waarmee u pc's en laptops onafhankelijk van de Configuration Manager-client of het besturingsysteem van de computer kunt beheren. |
|
Energiebeheer |
Voorziet in een set hulpprogramma's en resources waarmee u het energieverbruik van clientcomputers in het bedrijf kunt beheren en controleren. |
|
Query's |
Voorziet in een hulpprogramma voor het verkrijgen van informatie over resources in uw hiërarchie en informatie over inventarisgegevens en statusberichten. U kunt deze informatie vervolgens gebruiken voor rapportage of voor het definiëren van verzamelingen apparaten of gebruikers voor software-implementatie en configuratie-instellingen. |
|
Profielen voor externe verbindingen |
Voor System Center 2012 R2 Configuration Manager en later: Voorziet in een set hulpprogramma's en resources waarmee u instellingen voor externe verbindingen van apparaten in uw organisatie kunt maken, implementeren en controleren. Door deze instellingen te implementeren, zorgt u ervoor dat eindgebruikers met minimale inspanningen hun computer op het bedrijfsnetwerk kunnen aansluiten. |
Inleiding tot profielen voor externe verbinding in Configuration Manager |
Extern beheer |
Voorziet in hulpprogramma's om clientcomputers op afstand te beheren vanuit de Configuration Manager console. |
|
Rapporten |
Voorziet in een set hulpprogramma's en resources waarmee u gebruik kunt maken van de geavanceerde rapportagefuncties van SQL Server Reporting Services vanuit de Configuration Manager-console. |
|
Softwarelicentiecontrole |
Voorziet in hulpprogramma's voor het controleren en verzamelen van softwaregebruiksgegevens van Configuration Manager-clients. |
Inleiding tot softwarelicentiecontrole in Configuration Manager |
Software-updates |
Voorziet in een set hulpprogramma's en resources waarmee u software-updates in het bedrijf kunt maken, implementeren en controleren. |
|
Microsoft Intune-beheer |
U kunt Configuration Manager gebruiken om apparaten met iOS, Android (inclusief Samsung KNOX), Windows Phone en Windows te beheren met de Microsoft Intune-service via internet. Hoewel u de Microsoft Intune-service gebruikt, worden beheertaken uitgevoerd met de sitesysteemrol Microsoft Intune-connector, die beschikbaar is via de Configuration Manager-console. System Center 2012 R2 Configuration Manager biedt u ook de mogelijkheid om Windows 8.1-apparaten te beheren, op dezelfde manier als mobiele apparaten waarop de Configuration Manager -client niet is geïnstalleerd. |
Als u meer informatie wilt over het plannen en installeren van Configuration Manager ter ondersteuning van deze beheerfuncties in uw omgeving, raadpleegt u Inleiding tot sitebeheer in Configuration Manager.
De Configuration Manager-console
Wanneer u Configuration Manager hebt geïnstalleerd, kunt u met behulp van de Configuration Manager-console sites en clients configureren en beheertaken uitvoeren en controleren. Deze console is het belangrijkste beheerpunt, waarmee u meerdere sites kunt beheren. U kunt met behulp van de console secundaire consoles uitvoeren ter ondersteuning van specifieke clientbeheertaken, zoals de volgende:
Resource Explorer, om hardware- en software-inventarisgegevens weer te geven.
Extern beheer, om op afstand verbinding te maken met een clientcomputer voor de uitvoering van foutopsporingstaken.
Buiten-bandbeheer, om verbinding te maken met de AMT-beheercontroller op Intel AMT-computers en om bewerkingen voor energiebeheer en foutopsporingstaken uit te voeren.
U kunt de Configuration Manager-console op extra servercomputers en werkstations installeren, de toegankelijkheid beperken en beperkingen opleggen aan wat gebruikers met beheerdersrechten in de console kunnen zien door middel van het op rollen gebaseerde beheer in Configuration Manager.
Zie het gedeelte Een Configuration Manager-Console installeren in het onderwerp Sites installeren en een hiërarchie maken voor Configuration Manager voor meer informatie.
De toepassingscatalogus, Software Center en de bedrijfsportal
De Configuration Manager Application Catalog is een website waar gebruikers software voor hun Windows-pc kunnen zoeken en aanvragen. Voor het gebruik van de toepassingscatalogus moet u het Application Catalog-webservicepunt en het Application Catalog-websitepunt voor de site installeren.
Software Center is een toepassing die wordt geïnstalleerd wanneer de Configuration Manager-client op Windows-computers wordt geïnstalleerd. Gebruikers voeren deze toepassing uit om software aan te vragen en de software te beheren die bij hen is geïmplementeerd via Configuration Manager. Met Software Center kunnen gebruikers het volgende doen:
Zoeken naar software in de toepassingscatalogus en deze installeren.
De historie van softwareaanvragen weergeven.
Configureren wanneer Configuration Manager software op hun apparaten kan installeren.
De toegangsinstellingen configureren voor extern beheer, indien een gebruiker met beheerdersrechten de optie Extern beheer heeft ingeschakeld.
De bedrijfsportal is een app of website die in gelijksoortige functies voorziet als de toepassingscatalogus, maar dan voor mobiele apparaten die door Microsoft Intune zijn geregistreerd.
Voor meer informatie, zie het onderwerp Inleiding op toepassingsbeheer in Configuration Manager.
Eigenschappen van Configuration Manager (client)
Wanneer de Configuration Manager-client op Windows-computers wordt geïnstalleerd, wordt Configuration Manager in het configuratiescherm geïnstalleerd. U hoeft normaal gesproken deze toepassing niet te configureren, omdat de configuratie van de client in de Configuration Manager-console wordt uitgevoerd. Deze toepassing is een hulpmiddel voor gebruikers met beheerdersrechten en helpdeskmedewerkers om problemen bij afzonderlijke clients op te sporen.
Zie Inleiding tot clientimplementatie in Configuration Manager voor meer informatie over implementaties van clients.
Voorbeeldscenario's van Configuration Manager
De volgende voorbeeldscenario's laten zien hoe een bedrijf, Trey Research, met behulp van System Center 2012 Configuration Manager gebruikers de mogelijkheid biedt om productiever te zijn, hun compliancebeheer voor apparaten te bundelen voor een meer gestroomlijnde beheerervaring en het apparaatbeheer te vereenvoudigen, wat minder bedrijfskosten voor IT oplevert. In alle scenario's fungeert Adam als hoofdbeheerder van Configuration Manager.
Voorbeeldscenario: Mogelijkheden bieden aan gebruikers door hen toegang te bieden tot toepassingen vanaf elk apparaat
Trey Research wil ervoor zorgen dat werknemers toegang hebben tot de toepassingen die zij nodig hebben, en wel op de meest efficiënte manier die mogelijk is. Jeroen wijst deze bedrijfsvereisten toe aan de volgende scenario's:
Vereiste |
Huidige clientbeheerstatus |
Toekomstige clientbeheerstatus |
|---|---|---|
Nieuwe werknemers kunnen vanaf de allereerste dag efficiënt werken. |
Wanneer werknemers bij het bedrijf komen werken, moet zij wachten tot de toepassingen zijn geïnstalleerd als zij zich voor het eerst aanmelden. |
Wanneer werknemers bij het bedrijf komen werken, zijn bij hun aanmelding hun toepassingen al geïnstalleerd en gereed voor gebruik. |
Werknemers kunnen snel en gemakkelijk extra benodigde software aanvragen. |
Wanneer werknemers extra toepassingen nodig hebben, dienen zij bij de helpdesk een ticket in en wachten daarna vervolgens twee dagen totdat de ticket is verwerkt en de toepassingen zijn geïnstalleerd. |
Wanneer werknemers extra toepassingen nodig hebben, kunnen zij deze aanvragen op een website, waarna deze onmiddellijk worden geïnstalleerd als er geen licentiebeperkingen zijn. Als er licentiebeperkingen zijn, moeten gebruikers eerst om goedkeuring vragen voordat zij de toepassing kunnen installeren. De website toont gebruikers alleen de toepassingen die zij mogen installeren. |
Werknemers kunnen hun mobiele apparaten bij hun werk gebruiken als de apparaten conform de gecontroleerde en gehandhaafde beleidsregels voor veiligheid zijn. Deze beleidsregels houden onder meer het volgende in:
|
Werknemers maken met hun mobiele apparaten verbinding met Exchange Server voor de e-mailservice maar er is een beperkte rapportage ter bevestiging dat deze conform de beleidsregels voor veiligheid zijn in het Exchange standaard-ActiveSync-postvakbeleid. Het persoonlijke gebruik van mobiele apparaten loopt het risico te worden verboden, tenzij IT kan bevestigen dat het beleid in acht wordt genomen. |
De IT-organisatie kan rapporteren dat de beveiliging van mobiele apparaten conform de vereiste instellingen zijn. Dankzij deze bevestiging kunnen gebruikers hun mobiele apparaten bij hun werk blijven gebruiken. Gebruikers kunnen hun mobiele apparaat op afstand wissen wanneer dit zoek raakt of wordt gestolen; de helpdesk kan het als zoekgeraakt of gestolen opgegeven mobiele apparaat van ongeacht welke gebruiker wissen. Voorzien in de inschrijving van mobiele apparaten in een PKI-omgeving voor extra beveiliging en controle. |
Werknemers kunnen productief zijn, zelfs als zij niet achter hun bureau zitten. |
Wanneer werknemers niet achter hun bureau zitten en niet over verplaatsbare computers beschikken, hebben zij geen toegang tot hun toepassingen via de openbare computers die overal in het bedrijf beschikbaar zijn. |
Werknemers kunnen openbare computers gebruiken om toegang te krijgen tot hun toepassingen en gegevens. |
Bedrijfscontinuïteit krijgt doorgaans voorrang op het installeren van vereiste toepassingen en software-updates. |
Vereiste toepassingen en software-updates worden overdag geïnstalleerd. Dit stoort gebruikers vaak in hun werk, omdat hun computers vertragen of opnieuw moeten worden opgestart tijdens de installatie. |
Gebruikers kunnen hun werkuren instellen om te voorkomen dat vereiste software wordt geïnstalleerd terwijl ze hun computer gebruiken. |
Jeroen gebruikt deze Configuration Manager-beheermogelijkheden en configuratieopties om te voldoen aan de vereisten:
Toepassingsbeheer
Beheer van mobiele apparaten
Hij implementeert ze met behulp van de configuratiestappen in de volgende tabel.
Configuratiestappen |
Resultaat |
|---|---|
Jeroen zorgt ervoor dat nieuwe gebruikers gebruikersaccounts hebben in Active Directory en hij maakt een nieuwe op query's gebaseerde verzameling in Configuration Manager voor deze gebruikers. Vervolgens definieert hij gebruikersaffiniteit apparaat door een bestand te maken dat de gebruikersaccounts koppelt aan de primaire computers die ze zullen gebruiken. Dit bestand wordt vervolgens in Configuration Manager geladen. De toepassingen die de nieuwe gebruikers moeten hebben, zijn reeds aangemaakt in Configuration Manager. Vervolgens implementeert hij deze toepassingen die Vereist als doel hebben, aan de verzameling die de nieuwe gebruikers bevat. |
De informatie over de gebruikersaffiniteit apparaat zorgt ervoor dat de toepassingen op de primaire computer of op computers van elke gebruiker worden geïnstalleerd voordat deze zich aanmeldt. De toepassingen zijn klaar voor gebruik nadat de gebruiker zich aanmeldt. |
Jeroen installeert en configureert de Application Catalog-sitesysteemrollen zodat gebruikers kunnen bladeren door toepassingen die ze kunnen installeren. Vervolgens implementeert hij deze toepassingen die Vereist als doel hebben, aan de verzameling die de nieuwe gebruikers bevat. Voor toepassingen met een beperkt aantal licenties configureert Jeroen een goedkeuringsprocedure. |
Door toepassingen als beschikbaar te configureren voor die gebruikers en door de Application Catalog te gebruiken, kunnen gebruikers nu bladeren door de toepassingen die ze kunnen installeren. Gebruikers kunnen vervolgens de toepassingen onmiddellijk installeren of goedkeuring voor installatie aanvragen. Nadat de helpdesk hun aanvraag goedkeurt, kunnen ze terugkeren naar de Application Catalog om de toepassingen te installeren. |
Jeroen maakt een Exchange Server-connector in Configuration Manager om de mobiele apparaten te beheren die verbinden met de lokale Exchange Server van het bedrijf. Hij configureert deze connector met beveiligingsinstellingen, waaronder de vereiste van een sterk wachtwoord en een vergrendeling van het mobiele apparaat na een periode van inactiviteit. Jeroen heeft Configuration Manager SP1, dus voor bijkomend beheer voor apparaten waar Windows Phone 8, Windows RT en iOS worden uitgevoerd, verkrijgt hij een Microsoft Intune-abonnement en installeert hij vervolgens de sitesysteemrol Microsoft Intune-connector. Deze beheeroplossing voor mobiele apparaten geeft het bedrijf meer beheerondersteuning voor deze apparaten. Dit omvat het beschikbaar maken van toepassingen voor gebruikers om op deze apparaten te installeren, en uitgebreid instellingenbeheer. Bovendien worden mobiele apparaatverbindingen beveiligd met PKI-certificaten die automatisch worden gemaakt en geïmplementeerd door Intune. Na het configureren van de Microsoft Intune-connector stuurt Jeroen een e-mailbericht naar de gebruikers die eigenaar zijn van deze mobiele apparaten om op een koppeling te klikken en het inschrijvingsproces te starten. Voor mobiele apparaten die door Intune moeten worden geregistreerd, gebruikt Jeroen compatibiliteitsinstellingen om de beveiligingsinstellingen voor deze mobiele apparaten te configureren. Deze instellingen omvatten de vereiste om een sterk wachtwoord te configureren en een vergrendeling van het mobiele apparaat na een periode van inactiviteit. |
Met deze twee beheeroplossingen voor mobiele apparaten kan de IT-organisatie nu rapportinformatie geven over de mobiele apparaten die op het bedrijfsnetwerk worden gebruikt, en over hun compatibiliteit met de geconfigureerde beveiligingsinstellingen. Er wordt aan gebruikers getoond hoe ze hun mobiel apparaat op afstand kunnen wissen door bij verlies of diefstal gebruik te maken van de Application Catalog of het bedrijfsportal. De helpdesk wordt ook geïnstrueerd hoe een apparaat op afstand moet worden gewist door de Configuration Manager-console te gebruiken. Jeroen kan ook, voor de mobiele apparaten die door Intune zijn geregistreerd, mobiele toepassingen implementeren die gebruikers kunnen installeren, meer inventarisgegevens verzamelen van deze apparaten en betere beheercontrole hebben over deze apparaten door toegang te hebben tot meer instellingen. |
Trey Research heeft verschillende openbare computers die worden gebruikt door werknemers die het kantoor bezoeken. De werknemers willen toegang tot hun toepassingen ongeacht van waar ze zich aanmelden. Jeroen wil echter niet alle toepassingen lokaal op elke computer installeren. Jeroen maakt, om dit te doen, de vereiste toepassingen die twee implementatietypes hebben:
|
Als bezoekende werknemers zich aanmelden op een openbare computer, zien ze de toepassingen die ze nodig hebben, weergegeven als pictogrammen op het bureaublad van de openbare computer. Toepassingen worden met deze methode gestreamd als virtuele toepassingen. Zo kunnen bezoekende werknemers even productief zijn als aan hun eigen computer. |
Jeroen informeert gebruikers dat ze hun werkuren kunnen configureren in Software Center en dat ze opties kunnen selecteren om software-implementaties uit te schakelen tijdens deze periode en wanneer de computer zich in de presentatiemodus bevindt. |
Gebruikers blijven productiever tijdens hun werkdag omdat ze kunnen controleren wanneer Configuration Manager software implementeert naar hun computer. |
Deze configuratiestappen en resultaten zorgen ervoor dat Trey Research werknemers beter kan ondersteunen door toegang tot toepassingen te verzekeren vanaf elk apparaat.
Voorbeeldscenario: Conformiteitsbeheer bundelen voor apparaten
Trey Research wil een geïntegreerde oplossing voor clientbeheer die ervoor zorgt dat hun computers antivirussoftware uitvoeren die automatisch wordt bijgewerkt. Dat wil zeggen dat Windows Firewall is ingeschakeld, dat kritieke software-updates worden geïnstalleerd, dat specifieke registersleutels worden ingesteld, en dat beheerde mobiele apparaten geen niet-ondertekende toepassingen kunnen installeren of uitvoeren. Het bedrijf wil deze beveiliging ook uitbreiden naar het internet voor laptops die overschakelen van het intranet naar het internet.
Jeroen wijst deze bedrijfsvereisten toe aan de volgende scenario's:
Vereiste |
Huidige clientbeheerstatus |
Toekomstige clientbeheerstatus |
|---|---|---|
Alle computers voeren antimalwaresoftware uit met bijgewerkte definitiebestanden en ingeschakelde Windows Firewall. |
Op verschillende computers worden verschillende antimalwareoplossingen uitgevoerd die niet altijd up-to-date worden gehouden en, hoewel Windows Firewall standaard is ingeschakeld, schakelen gebruikers dit soms uit. Er wordt aan gebruikers gevraagd om contact op te nemen met de helpdesk als er malware op hun computer wordt gedetecteerd. |
Alle computers voeren dezelfde antimalwareoplossing uit die automatisch de meest recente definitiebestanden downloadt en automatisch Windows Firewall opnieuw inschakelt als gebruikers deze uitschakelen. De helpdesk wordt automatisch per e-mail verwittigd als er malware wordt gedetecteerd. |
Alle computers installeren kritieke software-updates binnen de eerste maand na de release. |
Hoewel software-updates geïnstalleerd zijn op computers, zijn er veel computers die kritieke software-updates pas twee of drie maanden de release ervan automatisch installeren. Dit maakt ze kwetsbaar voor aanvallen tijdens deze periode. Voor computers die de kritieke software-updates niet installeren, stuurt de helpdesk eerst e-mails naar gebruikers om hen te vragen de updates te installeren. Supportengineers verbinden op afstand met computers die niet-compatibel blijven om de ontbrekende software-updates handmatig te installeren. |
Verbeter de huidige compatibiliteitsgraad binnen de opgegeven maand tot boven 95%, zonder e-mails te moeten sturen of de helpdesk te vragen de software-updates handmatig te installeren. |
De veiligheidsinstellingen voor specifieke toepassingen worden regelmatig gecontroleerd en hersteld als dit nodig is. |
Computers voeren complexe opstartscripts uit die afhankelijk zijn van groepslidmaatschap van de computer om registerwaarden te resetten voor specifieke toepassingen. Omdat deze scripts alleen tijdens het opstarten worden uitgevoerd en sommige computers verschillende dagen aan blijven staan, kan de helpdesk niet op regelmatige basis controleren op configuratieafwijkingen. |
Registerwaarden worden gecontroleerd en automatisch hersteld zonder afhankelijk te zijn van groepslidmaatschap van de computer of van het opnieuw opstarten van de computer. |
Mobiele apparaten kunnen geen onveilige toepassingen installeren of uitvoeren. |
Er wordt aan gebruikers gevraagd om geen mogelijk onveilige toepassingen van het internet te downloaden en uit te voeren. Er zijn echter geen controles beschikbaar om dit te controleren of implementeren. |
Mobiele apparaten die worden beheerd door de Microsoft Intune-connector of Configuration Manager verhinderen het installeren of uitvoeren van niet-ondertekende toepassingen. |
Laptops die overschakelen van het intranet naar het internet, moeten worden beveiligd. |
Voor reizende gebruikers is het vaak niet mogelijk om dagelijkse via VPN te verbinden; deze laptops voldoen niet aan de geldende beveiligingsvereisten. |
Een internetverbinding is het enige dat is vereist voor laptops om te blijven voldoen aan de geldende beveiligingsvereisten. Gebruikers moeten zich niet aanmelden of het VPN gebruiken. |
Jeroen gebruikt deze Configuration Manager-beheermogelijkheden en configuratieopties om te voldoen aan de vereisten:
Endpoint Protection
Software-updates
Instellingen voor naleving
Beheer van mobiele apparaten
Clientbeheer via internet
Hij implementeert ze met behulp van de configuratiestappen in de volgende tabel.
Configuratiestappen |
Resultaat |
|---|---|
Jeroen configureert Endpoint Protection, schakelt de clientinstelling in om andere antimalwareoplossingen te verwijderen, en schakelt Windows Firewall in. Hij configureert automatische implementatieregels, zodat computers regelmatig de nieuwste definitie-updates ontvangen en installeren. |
De antimalwareoplossing helpt om alle computers te beschermen met een minimale administratieve verwerkingstijd. Problemen kunnen snel worden opgelost omdat de helpdesk automatisch een e-mail ontvangt als er malware wordt gedetecteerd. Dit helpt aanvallen op andere computers te voorkomen. |
Jeroen gebruikt automatische implementatieregels, definieert onderhoudsvensters voor servers en onderzoekt de voor- en nadelen van Wake on LAN voor computers in de sluimerstand om het compatibiliteitspercentage te helpen verhogen. |
Compatibiliteit voor kritieke software-updates verhoogt de beveiliging en zorgt er minder voor dat gebruikers of de helpdesk software-updates handmatig moeten installeren. |
Jeroen gebruikt compatibiliteitsinstellingen om de aanwezigheid van de opgegeven toepassingen te controleren. Als de toepassingen worden gedetecteerd, controleren configuratie-items vervolgens de registerwaarden. Als ze niet-compatibel zijn, worden deze automatisch hersteld. |
Dankzij configuratie-items en configuratiebasislijnen die zijn geïmplementeerd op alle computers en die elke dag de compatibiliteit controleren, zijn er niet langer afzonderlijke scripts nodig die afhankelijk zijn van computerlidmaatschap en het opnieuw opstarten van computers. |
Jeroen gebruikt compatibiliteitsinstellingen voor geregistreerde mobiele apparaten en configureert de Exchange Server-connector zodat niet-ondertekende toepassingen niet kunnen worden geïnstalleerd en uitgevoerd op mobiele apparaten. |
Door het verbieden van niet-ondertekende toepassingen zijn mobiele apparaten automatisch beveiligd tegen mogelijk schadelijke toepassingen. |
Jeroen zorgt ervoor dat de sitesysteemservers en computers beschikken over de PKI-certificaten die Configuration Manager vereist voor HTTPS-verbindingen. Vervolgens installeert hij bijkomende sitesysteemrollen in het perimeternetwerk die clientverbindingen van het internet accepteren. |
Computers die overschakelen van het intranet naar het internet, blijven beheerd door Configuration Manager als ze verbonden zijn met het internet. Die computers zijn niet afhankelijk van gebruikers die zich aanmelden op hun computer of van verbindingen naar het VPN. Die computers blijven beheerd voor antimalware en Windows Firewall, software-updates en configuratie-items. Als gevolg daarvan vergroot de compatibiliteitsgraad automatisch. |
Deze configuratiestappen en -resultaten zorgen ervoor dat Trey Research hun compatibiliteitsbeheer voor apparaten kan samenvoegen.
Voorbeeldscenario: Clientbeheer vereenvoudigen voor apparaten
Trey Research wil dat op alle nieuwe computers automatisch de basisinstallatiekopie van het bedrijf, Windows 7, wordt geïnstalleerd. Nadat de besturingssysteeminstallatiekopie op deze computers is geïnstalleerd, moeten deze worden beheerd en gecontroleerd op aanvullende software die gebruikers installeren. Computers die zeer vertrouwelijke gegevens opslaan, vereisen een meer beperkend beheerbeleid dan andere computers. Voor deze computers kan het nodig zijn om in te stellen dat helpdeskengineers er niet op afstand mee kunnen verbinden, dat invoer van de BitLocker-pincode vereist is voor het opnieuw opstarten, of dat alleen beheerders software kunnen installeren.
Jeroen wijst deze bedrijfsvereisten toe aan de volgende scenario's:
Vereiste |
Huidige clientbeheerstatus |
Toekomstige clientbeheerstatus |
|---|---|---|
Op nieuwe computers is Windows 7 geïnstalleerd. |
De helpdesk installeert en configureert Windows 7 voor gebruikers en stuurt de computer vervolgens naar de respectieve locatie. |
Nieuwe computers worden onmiddellijk naar de eindbestemming geleid, aangesloten op het netwerk, en Windows 7 wordt er automatisch op geïnstalleerd en geconfigureerd. |
Computers moeten worden beheerd en bewaakt. Dit omvat een hardware- en software-inventaris om licentievereisten te helpen bepalen. |
De Configuration Manager-client wordt geïmplementeerd door gebruik te maken van automatische clientpush en de helpdesk onderzoekt mislukte installaties en clients die geen inventarisgegevens versturen, wanneer dat van hen wordt verwacht. Mislukte installaties doen zich vaak voor omdat er niet wordt voldaan aan de installatieafhankelijkheden en omdat er WMI-beschadiging is opgetreden bij de client. |
Clientinstallatie- en inventarisgegevens die worden verzameld van computers, zijn betrouwbaarder en vereisen bovendien minder interventie van de helpdesk. Rapporten geven informatie weer over softwaregebruik voor licenties. |
Sommige computers vereisen een strenger beheerbeleid. |
Door het strengere beheerbeleid worden deze computers op dit moment niet beheerd door Configuration Manager. |
Beheer deze computers door Configuration Manager te gebruiken, en dat zonder bijkomende administratieve verwerkingstijd om de uitzonderingen te behandelen |
Jeroen gebruikt deze Configuration Manager-beheermogelijkheden en configuratieopties om te voldoen aan de vereisten:
Implementatie van besturingssystemen
Clientimplementatie en clientstatus
Instellingen voor naleving
Clientinstellingen
Inventarisatie en Asset Intelligence
Op rollen gebaseerd beheer
Hij implementeert ze met behulp van de configuratiestappen in de volgende tabel.
Configuratiestappen |
Resultaat |
|---|---|
Adam legt een installatiekopie vast van een besturingssysteem van een computer waarop Windows 7 is geïnstalleerd en is geconfigureerd volgens de specificaties van het bedrijf. Vervolgens implementeert hij het besturingssysteem op de nieuwe computers door gebruik te maken van onbekende computerondersteuning en PXE. Hij installeert tevens de Configuration Manager-client als onderdeel van de implementatie van het besturingssysteem. |
Nieuwe computers zijn sneller actief en werkend zonder tussenkomst vanuit de helpdesk. |
Adam configureert een automatische push-clientinstallatie voor de gehele site om de Configuration Manager-client op gedetecteerde computers te installeren. Dit zorgt ervoor dat computers zonder installatiekopie van de client alsnog de client krijgen geïnstalleerd, zodat de computer door Configuration Manager wordt beheerd. Adam configureert de clientstatus zo, dat deze eventuele gedetecteerde clientproblemen automatisch herstelt. Adam configureert tevens de clientinstellingen die de verzameling van benodigde inventarisgegevens mogelijk maakt, en configureert Asset Intelligence. |
Het is sneller en betrouwbaarder om de client samen met het besturingssysteem te installeren dan om te wachten tot Configuration Manager de computer detecteert en vervolgens probeert de clientbronbestanden op de computer te installeren. Het ingeschakeld laten van de automatische clientpushopties biedt echter een back-upmiddel voor een computer waarop het besturingssysteem al is geïnstalleerd om de client te installeren wanneer de computer verbinding maakt met het netwerk. Clientinstellingen zorgen ervoor dat clients hun inventarisgegevens regelmatig naar de site verzenden. Naast de clientstatustests zorgt dit ervoor dat de client in werking blijft met zo weinig mogelijk tussenkomst van de helpdesk. Zo worden WMI-beschadigingen gedetecteerd en automatisch hersteld. De Asset Intelligence-rapporten helpen bij de controle van softwaregebruik en -licenties. |
Adam maakt een verzameling van de computers die over strengere beleidsinstellingen moeten beschikken en maakt vervolgens een aangepaste clientapparaatinstelling voor deze verzameling, die onder meer bestaat uit het uitschakelen van extern beheer, BitLocker PIN-vermelding inschakelt en alleen lokale beheerders software laat installeren. Adam configureert op rollen gebaseerd beheer, zodat deze verzameling computers niet zichtbaar is voor helpdesktechnici, waardoor ervoor wordt gezorgd dat deze niet per ongeluk als een standaardcomputer worden beheerd. |
Deze computers worden nu beheerd door Configuration Manager, maar met specifieke instellingen, waardoor er geen nieuwe site nodig is. De verzameling van deze computers is niet zichtbaar voor helpdesktechnici, hetgeen de mogelijkheid verkleint dat deze per ongeluk implementaties en scripts voor standaardcomputers opgestuurd krijgen. |
Deze configuratiestappen en -resultaten hebben tot gevolg dat Trey Research met succes clientbeheer voor apparaten vereenvoudigt.
Volgende stappen
Voordat u Configuration Manager installeert, kunt u meer vertrouwd raken met enkele basisbeginselen en -termen die specifiek zijn voor Configuration Manager.
Als u vertrouwd bent met Configuration Manager 2007, raadpleegt u Nieuw in System Center 2012 Configuration Manager, omdat er belangrijke wijzigingen zijn in basisbeginselen en functionaliteit ten opzichte van eerdere versies van de software.
Als een upgrade uitvoert van System Center 2012 Configuration Manager zonder servicepack naar Configuration Manager SP1, of van Configuration Manager SP1 naar System Center 2012 R2 Configuration Manager, raadpleegt u Wat is er nieuw in System Center 2012 Configuration Manager SP1 en Wat is nieuw in System Center 2012 R2 Configuration Manager voor wijzigingen en updates van de latere versie.
Voor een hoogwaardig technisch overzicht van System Center 2012 Configuration Manager raadpleegt u De grondbeginselen van Configuration Manager.
Wanneer u vertrouwd bent met de basisbeginselen, kunt u met behulp van de System Center 2012 Configuration Manager-documentatie Configuration Manager met succes implementeren en gebruiken. Zie Wat is er nieuw in de documentatie voor Configuration Manager voor meer informatie over de beschikbare documentatie.