Gestão simplificada para computadores e dispositivos móveis num ambiente híbrido
Atualizada: Agosto de 2014
Aplica-se a: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager
Quem são os destinatários deste guia?: Empresas que precisam de gerir dispositivos móveis e PCs, no local ou remotos, através da infraestrutura do Configuration Manager existente para dar suporte à procura dos empregados que utilizam estes dispositivos para aceder aos recursos da empresa.
Como é que este guia o pode ajudar? Este guia fornece uma estrutura prescritiva testada que explica como:
Atualizar a infraestrutura do Configuration Manager local existente e alargá-la à nuvem para permitir que os seus utilizadores trabalhem remotamente com base no dispositivo por eles escolhido.
Unificar a gestão dos PCs e dispositivos móveis numa única infraestrutura.
Manter a conformidade de todos os dispositivos com as políticas da empresa.
Proteger os dados da empresa.
Nesta solução:
Cenário, Apresentação do Problema e Objetivos
Cenário
Apresentação do Problema
Objetivos Organizacionais
Qual é a Estrutura Recomendada para esta Solução?
Instalar o System Center 2012 R2 Configuration Manager e migrar objetos
Subscrever o Windows Intune
Gerir identidades e acessos com o Windows Azure AD e a sincronização de diretórios
Fornecer acesso seguro e simples aos utilizadores com a Sincronização de Palavras-passe
Planear uma atualização de plataforma faseada
Passos de implementação
O diagrama seguinte ilustra o problema que este guia de soluções abrange.
Diagrama 1: Traços gerais do problema.
Cenário, Apresentação do Problema e Objetivos
Esta secção descreve o cenário, o problema e os objetivos de uma organização de exemplo.
Cenário
Esta solução utiliza uma empresa de exemplo com mais de 5.000 empregados, que trazem os seus dispositivos pessoais Windows Phone 8, Windows RT, iOS e Android para o trabalho. Atualmente, não têm como aceder aos recursos da empresa a partir destes dispositivos.
A empresa utiliza o Microsoft System Center Configuration Manager 2007 SP2 para gerir os PCs dos utilizadores que trabalham no local e que se ligam remotamente à rede empresarial por VPN. A empresa não consegue gerir dispositivos móveis.
A infraestrutura do ambiente da empresa contém:
Windows Server 2008 R2
Windows Server 2008 R2 Active Directory
Configuration Manager 2007 SP2
PCs associados ao domínio e geridos pelo Configuration Manager
O diagrama seguinte ilustra o ambiente atual da empresa.
Diagrama 2: Traços gerais do ambiente atual
Apresentação do Problema
A infraestrutura de gestão de dispositivos atual não suporta as necessidades crescentes da empresa de exemplo:
A empresa gere os PCs no ambiente atual, mas não consegue fazer face à gestão dos dispositivos móveis.
A alguns empregados são facultados dispositivos móveis pertencentes à empresa. Outros empregados preferem utilizar os seus dispositivos pessoais no trabalho.
A empresa está igualmente preocupada com com os recursos necessários para gerir todos estes dispositivos. O suporte de uma rede alargada de PCs, dispositivos e aplicações é uma medida dispendiosa e a gestão de dispositivos pode significar uma taxa de ocupação permanente (24x7) da equipa de TI.
A empresa precisa de gerir os riscos e assegurar que todos os dispositivos, quer da empresa, quer pessoais, cumprem as diretrizes de segurança.
A gestão de dispositivos constitui um risco de segurança no que diz respeito às informações e recursos da empresa. A partir do momento em que os empregados trabalham num dispositivo que não é gerido pela equipa de TI (ou de que esta tem sequer conhecimento), torna-se muito difícil manter as informações confidenciais da empresa sob controlo.
Não há nada que a equipa de TI possa fazer em caso de venda, perda ou furto do dispositivo.
Objetivos Organizacionais
A empresa de exemplo procura uma solução que lhe permita fazer o seguinte:
Utilizar a infraestrutura do Configuration Manager existente. A equipa de TI investiu muitos recursos na infraestrutura atual e não quer começar tudo de novo.
Permitir que os empregados utilizem os seus dispositivos pessoais, a par dos dispositivos da empresa, para aceder aos dados e aplicações da empresa. Esta categoria inclui PCs e dispositivos móveis.
Gerir os PCs e dispositivos pessoais a partir de uma única consola de administrador. A gestão de dispositivos inclui a especificação de definições de segurança e conformidade, a compilação do inventário de software e hardware ou a implementação de software.
Implementar aplicações ou ligações Web com base no tipo de dispositivo e no facto de se tratar de um dispositivo pessoal ou pertencente à empresa.
Proteger a empresa através da eliminação dos dados da empresa armazenados no dispositivo móvel, no caso de este ser perdido, roubado ou retirado do uso ativo.
Qual é a Estrutura Recomendada para esta Solução?
Para resolver a questão empresarial em mãos e atingir os objetivos enquanto organização a que se propõe, a empresa precisa de:
Instalar um novo site primário autónomo do System Center 2012 R2 Configuration Manager na sede e instalar pontos de distribuição nas localizações remotas.
Migrar objetos e pontos de distribuição da infraestrutura do Configuration Manager 2007 SP2 existente para o System Center 2012 R2 Configuration Manager.
Subscrever o Windows Intune e configurar o conector do Windows Intune no Configuration Manager para integração com o Windows Intune.
Sincronizar as contas de utilizador de domínio com o Windows Azure, uma vez que o Windows Intune é um serviço em nuvem. Isto permite à empresa gerir os utilizadores com capacidade para aceder aos recursos da empresa a partir dos seus próprios dispositivos móveis.
Utilizar a Sincronização de Palavras-passe para que os utilizadores possam usar o nome de utilizador e a palavra-passe de domínio no local deles nos serviços em nuvem.
O diagrama seguinte ilustra a forma como os elementos desta solução comunicam entre si.
Diagrama 3: Traços gerais da solução
Elemento da estrutura da solução | Por que motivo está incluído nesta solução? |
---|---|
System Center 2012 R2 Configuration Manager |
Proporciona uma implementação de software segura e escalável, a gestão de definições de conformidade e uma gestão de recursos completa ao nível dos servidores, computadores de secretária, portáteis e dispositivos móveis (quando o Windows Intune está integrado). |
Windows Intune |
Faz a gestão dos dispositivos móveis através da Internet. Quando integrado com o System Center 2012 R2 Configuration Manager, permite-lhe gerir os PCs e os dispositivos móveis a partir da consola do Configuration Manager. |
Windows Azure Active Directory (AD) |
Um serviço que disponibiliza funcionalidades de identidade e acesso para aplicações no local e na nuvem. |
Sincronização de diretórios do Windows Azure (DirSync) |
Sincroniza os utilizadores do AD local com o Windows Azure AD. |
Sincronização de Palavras-passe |
Permite que os utilizadores usem o mesmo nome de utilizador e a mesma palavra-passe para serviços no local e na nuvem. |
Instalar o System Center 2012 R2 Configuration Manager e migrar objetos
O System Center 2012 R2 Configuration Manager pode ampliar a capacidade da empresa em matéria de gestão de PCs no local para a nuvem através da integração do Windows Intune. Além disso, a utilização do Configuration Manager com o Windows Intune permite à empresa gerir os PCs e dispositivos móveis no local a partir de uma única consola. A empresa também quer reduzir os custos gerais de TI.
Assim sendo, a empresa irá instalar um site primário autónomo do System Center 2012 R2 Configuration Manager com localização na sede e pontos de distribuição nas localizações remotas.
Em seguida, irá migrar objetos do ambiente do Configuration Manager 2007 SP2 para o System Center 2012 R2 Configuration Manager.
A empresa optou pela migração devido às seguintes razões:
Solução integrada: A empresa está interessada numa solução integrada que lhe permita gerir os PCs e dispositivos móveis a partir de uma única consola. O System Center 2012 R2 Configuration Manager com Windows Intune fornece esta solução integrada.
Hierarquia simplificada: Com o System Center 2012 R2 Configuration Manager, determinou-se que já não seria necessário um site secundário em cada localização remota, conforme se demonstra nos diagramas seguintes.
Diagrama 3: Hierarquia existente, Configuration Manager 2007
Diagrama 4: Hierarquia nova, System Center 2012 R2 Configuration Manager
Fatores determinantes para a hierarquia simplificada:
Administração baseada em funções: No System Center 2012 R2 Configuration Manager, a administração baseada em funções permite que a empresa desenvolva e implemente um modelo de segurança administrativa para a hierarquia do System Center 2012 R2 Configuration Manager com base na utilização de um ou de todos os elementos que se seguem:
Funções de segurança
Coleções
Âmbitos de segurança
A conjugação destas definições permite fixar um âmbito administrativo para um utilizador administrativo. O âmbito administrativo controla os objetos que um utilizador administrativo pode ver na consola do Configuration Manager, bem como as permissões que esse utilizador detém sobre esses objetos. Consulte Planear a Administração Baseada em Funções.
Gestão de conteúdos: No System Center 2012 R2 Configuration Manager, a empresa pode configurar a largura de banda de rede utilizada para transferir conteúdo para pontos de distribuição e pré-configurar conteúdo em pontos de distribuição nas localizações remotas. Consulte Considerações sobre Largura de Banda para Pontos de Distribuição.
Objetos migrados: A empresa pode utilizar ferramentas de migração para migrar objetos do Configuration Manager 2007 SP2 para a hierarquia do System Center 2012 R2 Configuration Manager. A equipa de TI investiu muito tempo na criação de objetos do Configuration Manager, como, por exemplo, coleções, sequências de tarefas, itens de configuração, entre outros. Ao optar pela migração, a empresa continuará a beneficiar deste investimento.
Funcionalidades mais recentes: A empresa também está interessada nas novas funcionalidades do System Center 2012 R2 Configuration Manager que não estão diretamente relacionadas com esta solução. Consulte Novidades do System Center 2012 R2 Configuration Manager.
Subscrever o Windows Intune
O serviço Windows Intune proporciona a gestão de dispositivos móveis baseada na nuvem. A empresa irá proceder à subscrição do Windows Intune e, em seguida, integrar o Windows Intune com o System Center 2012 R2 Configuration Manager a fim de gerir os PCs e dispositivos móveis a partir da consola do Configuration Manager.
A subscrição do Windows Intune dá suporte ao objetivo da empresa no sentido de obter uma solução integrada que permita gerir PCs e dispositivos móveis.
A empresa teve em linha de conta outras soluções de gestão de dispositivos móveis de terceiros. Nenhuma dessas soluções estudadas fornecia a experiência integrada que procuravam. Além disso, a empresa também não deseja mudar de produtos nem incorrer em custos de formação e implementação.
Há ainda um benefício acrescido a considerar, que se traduz no facto de a empresa poder usar a conta de utilizador da subscrição do Windows Intune quando subscrever o Microsoft Office 365 alguns meses mais tarde.
Sugestão |
---|
Se a sua empresa já utiliza o Microsoft Online Services para serviços como, por exemplo, o Microsoft Office 365, utilize a mesma conta de utilizador quando subscrever o Windows Intune. Desta forma, poderá utilizar o mesmo grupo de utilizadores em todos os serviços no inquilino do Windows Azure AD da sua organização. Se não selecionar a opção de início de sessão com o utilizador existente, ser-lhe-á criado um inquilino do Windows Azure AD novo. Terá, em seguida, de adicionar utilizadores ao inquilino novo. |
Gerir identidades e acessos com o Windows Azure AD e a sincronização de diretórios
O Windows Intune utiliza o Windows Azure AD para armazenar contas de utilizador. Os serviços em nuvem da Microsoft, como o Windows Intune e o Office 365, baseiam-se nas funcionalidades de gestão de identidades fornecidas pelo Windows Azure AD.
A empresa irá utilizar a sincronização de diretórios (DirSync) do Windows Azure para sincronizar os utilizadores do Windows Server AD local com o Windows Azure AD. Com a sincronização de diretórios, pretende-se estabelecer uma relação contínua entre o AD local e o Windows Azure AD baseado na nuvem. A empresa optou pelo DirSync para:
Reduzir os custos administrativos: Sem o DirSync, a empresa teria de adicionar manualmente as contas de utilizador e de grupo ao Windows Azure AD. O DirSync sincroniza as contas de utilizador do Windows Server AD local com o Windows Azure AD. Depois de ativar a sincronização de diretórios, pode editar os objetos sincronizados no ambiente local de modo a sincronizar as edições efetuadas com a sua subscrição do Windows Intune, reduzindo assim os custos administrativos.
Melhorar a produtividade: Ao automatizar o processo de sincronização das contas de utilizador e de grupo, a empresa pode reduzir substancialmente o tempo que demora a disponibilizar o acesso a serviços baseados na nuvem aos seus empregados.
Considerações sobre o planeamento e a estrutura da sincronização de diretórios
Aquando do planeamento da sincronização de diretórios, a empresa teve em consideração elementos como os requisitos de hardware, as permissões de administrador, considerações sobre desempenho, entre outros. Estes requisitos encontram-se documentados em Preparar a sincronização de diretórios.
Fornecer acesso seguro e simples aos utilizadores com a Sincronização de Palavras-passe
A autenticação de utilizador tem de estar configurada, caso contrário os empregados da empresa terão de usar um nome de utilizador diferente e uma palavra-passe à parte para aceder aos serviços em nuvem e no local. A empresa decidiu implementar a autenticação de utilizador como forma de evitar despesas administrativas adicionais relacionadas com a gestão de alterações de palavras-passe iniciais e contínuas e proporcionar uma experiência de utilizador mais gratificante. Assim sendo, optou por utilizar a Sincronização de Palavras-passe para a autenticação de utilizador.
A empresa considerou os seguintes métodos de autenticação do acesso dos empregados aos recursos na nuvem e no local com as mesmas credenciais:
A Sincronização de Palavras-passe é uma opção simples que proporciona aos utilizadores uma experiência semelhante à do início de sessão único, sendo muito fácil de implementar. A Sincronização de Palavras-passe é uma opção que pode selecionar no DirSync, e que permite a esta ferramenta armazenar um hash da palavra-passe no Windows Azure AD. Quando a sincronização de palavras-passe está ativada no computador de sincronização de diretórios, os utilizadores poderão iniciar sessão nos serviços em nuvem da Microsoft, como o Office 365, o Dynamics CRM e o Windows Intune, com a mesma palavra-passe que usam quando iniciam sessão na sua rede local. Quando os utilizadores alterarem as palavras-passe na rede empresarial, essas alterações serão sincronizadas com a nuvem.
Contudo, a Sincronização de Palavras-passe não oferece uma solução de Início de Sessão Único (SSO) como a que obtém quando utiliza o AD FS. Os utilizadores terão de reintroduzir as credenciais deles sempre que acederem a um serviço em nuvem. Consulte:
Os Serviços de Federação do Active Directory (AD FS) proporcionam uma experiência de início de sessão único (SSO) autêntica em concertação com os protocolos de autenticação do Active Directory. O Active Directory local e o AD FS interagem com a plataforma de identidade do Windows Azure AD para facultar o acesso a um ou mais serviços em nuvem da Microsoft. Quando o SSO está configurado, é criada uma confiança federada entre o domínio e o sistema de autenticação do Windows Azure AD. Os utilizadores podem efetuar a autenticação nos serviços em nuvem e no local utilizando o mesmo nome de utilizador e palavra-passe para ambos. Uma vez efetuada a autenticação de um utilizador, não lhe voltam a ser pedidas as credenciais quando este aceder a um serviço em nuvem.
A empresa decidiu utilizar a Sincronização de Palavras-passe para a autenticação de utilizador por vários motivos. A Sincronização de Palavras-passe é muito fácil de configurar no DirSync, uma ferramenta que a empresa já planeia utilizar para sincronizar as contas de utilizador no local. A empresa também tenciona atualizar os controladores de domínio para o Windows Server 2012 R2 nos próximos seis meses. O AD FS é uma função de site no Windows Server 2012 R2 e tem inúmeras funcionalidades novas. A empresa planeia implementar o AD FS quando proceder à atualização dos seus controladores de domínio. Para mais informações sobre a implementação do AD FS no Windows Server 2012 R2, consulte:
Proteger o acesso aos recursos da empresa a partir de qualquer localização em qualquer dispositivo
Descrição Geral dos Serviços de Federação do Active Directory
A empresa decidiu utilizar a Sincronização de Palavras-passe para a autenticação de utilizador. No entanto, no seu caso em concreto, pode decidir implementar o AD FS para SSO no seu ambiente. Consulte:
Considerações sobre a estrutura do AD FS: Guia de Estrutura do AD FS 2.0
Utilização do AD FS para SSO: Lista de Verificação: Utilizar o AD FS para implementar e gerir o início de sessão único
Planear uma atualização de plataforma faseada
A empresa decidiu não atualizar o AD local como parte desta solução, mas tenciona avançar com esta atualização nos próximos seis meses.
A equipa de TI da empresa propôs a atualização do AD local como parte da solução. No Windows Server 2012 R2, o AD foi melhorado com a seguinte funcionalidade:
Registo do dispositivo. Os administradores de TI podem permitir o registo de um dispositivo, associando-o assim ao Active Directory da empresa. Esta associação pode ser utilizada como uma autenticação de dois fatores totalmente integrada.
Início de sessão único (SSO) a partir de dispositivos associados ao Active Directory da empresa.
Proxy de Aplicações Web, que permite a ligação dos utilizadores às aplicações e serviços onde quer que estejam.
Multi-Factor Access Control e Multi-Factor Authentication (MFA), funcionalidades que gerem o risco inerente ao facto de os utilizadores trabalharem a partir de qualquer lugar e acederem a dados protegidos a partir dos dispositivos deles.
Pastas de trabalho, que fornecem aos utilizadores uma localização para armazenar e aceder aos ficheiros de trabalho nos PCs e dispositivos.
Consulte Serviços do Active Directory.
Apesar de os órgãos de gestão da empresa reconhecerem o valor das novas funcionalidades, não lhes foi possível aprovar os recursos para proceder à atualização do AD como parte desta solução. Os órgãos de gestão tencionam atualizar o AD local nos próximos seis meses.
Quando estiver preparado para avançar com a atualização do AD local e implementar o AD FS, consulte Proteger o acesso aos recursos da empresa a partir de qualquer localização em qualquer dispositivo.
Passos de implementação
Esta secção fornece os passos dados pela empresa no sentido de implementar a solução. Se seguir estes passos, certifique-se de que confirma a implementação correta de cada passo antes de avançar para o passo seguinte.
Subscrever o Windows Intune.
Crie uma subscrição do Windows Intune no Web site do Windows Intune.
- Se já tem uma conta de utilizador para outro serviço em nuvem, tal como o Office 365, pode clicar em Iniciar sessão para introduzir as credenciais da conta. Isto permite-lhe partilhar o mesmo grupo de utilizadores em todos os serviços no inquilino do Windows Azure AD da sua organização.
Passos de verificação: Após a conclusão do processo de inscrição, é enviada uma mensagem de e-mail para o endereço de e-mail que indicou. Clique na ligação incluída nessa mensagem de e-mail ou vá para o portal de contas do Windows Intune em https://account.manage.microsoft.com e verifique se consegue iniciar sessão.
Configurar o domínio público.
Obtenha um domínio público. Para utilizar o Windows Intune, também precisa de um nome de domínio de organização público que possa ser verificado através de um serviço de registo de nomes de domínio. Adicione e verifique o seu domínio público no portal de contas do Windows Intune em https://account.manage.microsoft.com abaixo do nó Domínios.
Certifique-se de que o domínio público foi adicionado como um sufixo UPN alternativo no Active Directory local. Os utilizadores devem ter o mesmo Nome Principal de Utilizador (UPN) de domínio público na nuvem e no Active Directory local para inscrever dispositivos móveis. Deve verificar se os seus utilizadores têm um UPN de domínio público antes de configurar a sincronização de diretórios. Se ignorar este passo, poderá ser anexada a indicação “onmicrosoft.com” ao UPN de nuvem dos utilizadores, o que provocará um erro de correspondência com os nomes de utilizador do Active Directory local. Consulte Adicionar Sufixos de Nome Principal de Utilizador.
Adicione um registo CNAME no DNS que aponte enterpriseenrollment.<domíniopúblico> para manage.microsoft.com. O registo CNAME será utilizado mais tarde como parte do processo de inscrição. Consulte Adicionar um Registo de Recursos (CNAME) de Alias a uma Zona.
Passos de verificação:
Consulte a página Domínios do portal de contas do Windows Intune para se certificar de que o domínio público está listado e verificado.
Observe as propriedades de uma conta de utilizador no Active Directory local para garantir que o UPN se encontra listado com o nome de domínio público.
Forneça acesso seguro e simples aos utilizadores recorrendo ao DirSync com Sincronização de Palavras-passe.
Pode configurar a Sincronização de Palavras-passe a partir do portal de Contas do Windows Intune em https://account.manage.microsoft.com. No nó Utilizadores do portal, clique em Sincronização do Active Directory: Configurar e siga os passos descritos em Configurar e gerir a sincronização do Active Directory. A Sincronização de Palavras-passe é ativada quando executa o Assistente de Configuração da ferramenta Sincronização de Diretórios mediante a seleção de Ativar a Sincronização de Palavras-passe.
Consulte:
Passos de verificação: Consulte o portal de Contas do Windows Intune em https://account.manage.microsoft.com para ver as contas de utilizador.
Instalar o site ou hierarquia do System Center 2012 R2 Configuration Manager.
Depois de planear a hierarquia do System Center 2012 R2 Configuration Manager, a empresa decidiu instalar um site primário autónomo na sede e instalar pontos de distribuição nas localizações remotas. É possível que chegue à conclusão de que a sua hierarquia precisa de uma configuração diferente. Utilize os passos que se seguem para instalar o seu site ou hierarquia do System Center 2012 R2 Configuration Manager:
Identifique um servidor que satisfaça os pré-requisitos de software e de hardware para alojar um site primário do Configuration Manager. Consulte Planear Configurações de Hardware do Configuration Manager.
Reveja o software necessário e os sistemas operativos suportados para alojar um site do Configuration Manager. Consulte Requisitos de Sistema do Site.
Configure o ambiente do Windows para suportar o System Center 2012 R2 Configuration Manager. Consulte Preparar o Ambiente do Windows para o Configuration Manager.
Instale um site do System Center 2012 R2 Configuration Manager. Consulte Instalar Sites e Criar uma Hierarquia para o Configuration Manager. Para esta solução, a empresa irá instalar um site primário autónomo e ignorar os passos para a instalação de um site de administração central ou site secundário. À medida que for lendo o tópico, escolha os sites adequados ao seu ambiente.
Instale um ponto de distribuição nas localizações remotas. A empresa de exemplo determinou que pode utilizar um ponto de distribuição em cada uma das localizações remotas, em vez de utilizar um site secundário em cada localização. Para obter detalhes sobre a instalação e configuração de um ponto de distribuição, consulte Configurar a Gestão de Conteúdos no Configuration Manager.
Passos de verificação
No computador do servidor do site primário, monitorize o progresso no assistente de Configuração. O assistente de Configuração do Configuration Manager apresenta o resultado de cada tarefa de instalação do site. Depois de concluídas todas as tarefas de instalação, pode fechar o assistente. No entanto, uma vez concluída a instalação do site, o assistente de Configuração continua a apresentar informações sobre configurações em curso do site, que podem ser monitorizadas se não fechar o assistente. O facto de fechar o assistente de Configuração não afeta estas configurações em curso, que continuam a ser executadas em segundo plano depois de o assistente ser fechado. Reveja o ConfigMgrSetup.log para se certificar de que o site foi instalado com êxito.
Configurar funcionalidades e funções de gestão.
Depois de instalar o site ou a hierarquia, configure o site para suportar as funcionalidades e funções de gestão do System Center 2012 R2 Configuration Manager que pretende utilizar. Tem de configurar a Deteção de Utilizadores do Active Directory antes de configurar a subscrição do Windows Intune ou instalar a função do sistema de sites do Conector do Windows Intune descrita no passo 8. Consulte:
Migrar para o System Center 2012 R2 Configuration Manager.
Quando migra objetos da hierarquia de origem do Configuration Manager 2007, acede aos dados das bases de dados do site que identifica na infraestrutura de origem e, em seguida, copia esses dados para a hierarquia do System Center 2012 R2 Configuration Manager. A migração não altera os dados contidos na hierarquia de origem. O que faz é detetar os dados e armazenar uma cópia na base de dados da hierarquia de destino. Consulte Migrar Hierarquias no System Center 2012 Configuration Manager.
Para migrar os dados do Configuration Manager 2007 para o System Center 2012 R2 Configuration Manager:
Especifique a hierarquia do Configuration Manager 2007 SP2 como a hierarquia de origem para migração. Por predefinição, o site de nível superior dessa hierarquia torna-se num site de origem da hierarquia de origem. Após a recolha dos dados do site de origem inicial, pode configurar outros sites de origem para migração.
O Configuration Manager dá início à recolha dos dados do site de origem logo que especifique uma hierarquia de origem, configure as credenciais de cada site de origem adicional numa hierarquia de origem ou partilhe os pontos de distribuição de um site de origem. Por predefinição, o processo de recolha de dados repete-se a cada quatro horas, para que o Configuration Manager consiga identificar alterações efetuadas aos dados na hierarquia de origem que possa querer migrar. A recolha de dados também é necessária para permitir a partilha dos pontos de distribuição entre a hierarquia de origem e a hierarquia de destino. Consulte Configurar Hierarquias e Sites de Origem para Migração para o System Center 2012 Configuration Manager.
Crie tarefas de migração para migrar dados entre as hierarquias de origem e de destino. Utilize tarefas de migração para configurar dados específicos que pretende migrar para o ambiente do System Center 2012 R2 Configuration Manager. As tarefas de migração identificam os objetos que planeia migrar, sendo executadas no site de nível superior da sua hierarquia. Consulte Criar e Editar Tarefas de Migração do System Center 2012 Configuration Manager.
Monitorize as tarefas de migração. Monitorize o progresso das tarefas de migração na consola do System Center 2012 R2 Configuration Manager. Consulte Monitorizar a Atividade de Migração na Área de Trabalho de Migração.
Atualize os pontos de distribuição partilhados. Pode atualizar um ponto de distribuição suportado partilhado a partir do site de origem do Configuration Manager 2007 para um ponto de distribuição na hierarquia de destino. Consulte Atualizar ou Reatribuir um Ponto de Distribuição Partilhado no System Center 2012 Configuration Manager.
Migre os clientes do Configuration Manager 2007 para o System Center 2012 R2 Configuration Manager. Depois de migrar os dados dos clientes entre as hierarquias, mas antes de concluir a migração, planeie a migração dos clientes para a hierarquia de destino. Para migrar clientes entres as hierarquias, instale o software de cliente Configuration Manager da hierarquia de destino. O cliente Configuration Manager é desinstalado e o cliente System Center 2012 R2 Configuration Manager é instalado e atribuído ao site primário. Consulte Planear uma Estratégia de Migração de Clientes no System Center 2012 Configuration Manager.
Conclua o processo de migração: Quando a hierarquia do Configuration Manager 2007 já não contiver quaisquer dados que queira migrar para a hierarquia de destino, está na altura de concluir o processo de migração. Para tal:
Certifique-se de que migrou com êxito todos os recursos da hierarquia de origem que fazem falta na hierarquia de destino. Esta categoria pode incluir dados e clientes.
Pare a recolha de dados de cada site de origem na hierarquia do Configuration Manager 2007. Para tal, execute a ação Parar a Recolha de Dados nos sites de origem da camada inferior e, em seguida, repita o processo em cada site principal. O site de nível superior da hierarquia de origem tem de ser o último site no qual a recolha de dados deve ser parada. Tem de parar a recolha de dados em cada site subordinado antes de executar esta ação num site principal. Depois de parar a recolha de dados, deixa de poder partilhar pontos de distribuição entre as hierarquias de origem e de destino.
Limpe os dados de migração. Para isso, utilize a ação Limpar Dados de Migração. Esta ação opcional remove os dados referentes à hierarquia de origem atual da base de dados da hierarquia de destino. Até a limpeza dos dados de migração ser efetuada, todas as tarefas de migração executadas ou agendadas para esse efeito permanecerão acessíveis na consola do Configuration Manager. Quando leva a cabo a limpeza dos dados de migração, a maior parte dos dados referentes à migração são removidos da base de dados da hierarquia de destino. Consulte Concluir a Migração no System Center 2012 Configuration Manager.
Passos de verificação: A migração é composta por várias ações ou fases distintas, prolongando-se pelo tempo que considerar relevante até decidir concluir o processo de migração. Por esta razão, não existe um passo ou processo de verificação único passível de revisão que confirme que a migração está concluída. Em alternativa, pode verificar os resultados à medida que estes são apresentados na consola do System Center 2012 R2 Configuration Manager quando as ações de cada fase são executadas ou concluídas.
Desative a hierarquia do Configuration Manager 2007: Depois de concluída a migração de uma hierarquia de origem e de esta deixar de conter recursos geridos por si, pode desativar os sites na hierarquia de origem e remover a infraestrutura relacionada do seu ambiente. Consulte Tarefas do Configuration Manager para Desativar Sites e Hierarquias.
Obter certificados ou chaves para dispositivos móveis
A empresa tem de ter certificados ou chaves sideload para poder inscrever dispositivos móveis. O tipo de dispositivos móveis existentes no seu ambiente irá determinar os certificados ou chaves sideload de que irá precisar. Consulte Obter Certificados ou Chaves para Cumprimento de Pré-requisitos por Plataforma.
Configurar a subscrição do Windows Intune e instalar a função do sistema de sites do Conector do Windows Intune no site de nível superior.
Para a empresa poder utilizar o Configuration Manager para gerir dispositivos móveis, primeiro tem de configurar a subscrição do Windows Intune e instalar a função do sistema de sites do conector do Windows Intune no site de nível superior correspondente. Também irá configurar o site primário autónomo. Se tiver uma hierarquia mais complexa, configure o seu site de administração central.
Configure a sua subscrição do Windows Intune. Consulte Configurar a Subscrição do Windows Intune.
Instale o conector do Windows Intune. Consulte Função do Sistema de Sites do Conector do Windows.
Passos de verificação:
No computador do servidor do site primário, consulte o ficheiro sitecomp.log para verificar se a função do sistema de sites do conector do Windows Intune foi instalada com êxito.
No computador onde instalou o conector do Windows Intune, consulte o ficheiro cloudusersync.log para verificar se os utilizadores do seu domínio foram sincronizados com o Windows Intune de forma bem-sucedida.
No computador do servidor do site primário, consulte o ficheiro CertMgr.log para confirmar se o computador onde instalou o conector do Windows Intune partilha o certificado do conector. O certificado é partilhado depois de concluída a instalação da função do sistema de sites do conector do Windows Intune.
No computador onde instalou o conector do Windows Intune, consulte o ficheiro dmpuploader.log para verificar se a função do sistema de sites do conector consegue carregar alterações de política e configuração no serviço Windows Intune.
No computador onde instalou o conector do Windows Intune, consulte o ficheiro dmpdownloader.log para verificar se o conector do Windows Intune consegue transferir mensagens do Windows Intune. Este registo poderá mostrar apenas um ping no início do processo de transferência e pode demorar algum tempo até que sejam registadas entradas relacionadas com transferências.
Inscrever dispositivos móveis.
A inscrição estabelece uma relação entre o utilizador, o dispositivo móvel e o serviço Windows Intune. Os utilizadores inscrevem os seus próprios dispositivos móveis. Os dispositivos Android não são inscritos, mas podem ser geridos através do conector do Exchange Server. Consulte Inscrição de Dispositivos Móveis.
Instalar a consola do System Center 2012 R2 Configuration Manager.
Por predefinição, quando instala um site primário, a consola do Configuration Manager também é instalada no computador do servidor do site primário. Após a instalação do site, pode instalar consolas do System Center 2012 R2 Configuration Manager adicionais nos computadores para gerir o site. Consulte Instalar uma Consola do Configuration Manager.
Gerir os PCs e dispositivos móveis.
Depois de instalar e definir as configurações básicas do site, pode começar a configurar a gestão dos seus PCs e dispositivos móveis. Seguem-se algumas funcionalidades ou funções típicas que poderá configurar:
Funcionalidade Detalhes Utilize o inventário de hardware para recolher informações sobre a configuração de hardware dos dispositivos cliente da sua organização.
Utilize o inventário de software para recolher informações sobre os ficheiros existentes nos dispositivos cliente da sua organização. Além disso, o inventário de software pode recolher os ficheiros de dispositivos cliente e armazená-los no servidor do site.
Utilize o Asset Intelligence para inventariar e gerir a utilização de licenças de software em toda a empresa e melhorar o volume de informação recolhida sobre hardware e software.
Utilize as definições de conformidade para gerir a configuração e conformidade dos servidores, portáteis, computadores de secretária e dispositivos móveis da sua organização.
Utilize o acesso aos recursos da empresa para permitir o acesso dos utilizadores da sua organização a dados e aplicações de localizações remotas mediante a configuração dos seguintes elementos:
- Perfis de certificado
- Perfis VPN
- Perfis Wi-Fi
Utilize perfis de ligação remota para permitir que os utilizadores se liguem remotamente aos computadores de trabalho quando não se estiverem ligados ao domínio ou no caso de os computadores pessoais deles estarem ligados via Internet.
Utilize a gestão de aplicações para gerir as aplicações da empresa, tanto dos utilizadores administrativos do Configuration Manager como dos utilizadores dos dispositivos cliente.
Utilize as atualizações de software para monitorizar a conformidade e implementar as atualizações de software nos computadores da empresa.
Utilize estas instruções para obter os passos que lhe permitem gerir dispositivos Windows Phone 8, Windows RT, iOS e Android através do serviço Windows Intune via Internet.
Pode efetuar uma eliminação total nos dispositivos Windows Phone 8, iOS e Android para restaurar as definições de origem dos dispositivos. Em alternativa, pode efetuar uma eliminação seletiva que remove apenas o conteúdo da empresa.
- Perfis de certificado
Consulte também
Tipo de conteúdo | Referência |
---|---|
Avaliação do produto/Introdução |
|
Referência |
|
Soluções relacionadas |
|
Recursos de comunidade |