在 Configuration Manager 中规划本地 MDM
适用于: Configuration Manager(current branch)
当你计划在 Configuration Manager 中实现本地移动设备管理 (MDM) 时,需要查看几个关键方面:
- 支持的设备和 OS 版本
- 所需的站点系统角色
- 安全通信
- 设备注册
重要
虽然站点或任何移动设备未连接到Microsoft Intune,但组织仍需要Intune许可证才能使用此功能。 有关详细信息,请参阅 Microsoft Intune 许可。
在准备Configuration Manager基础结构以处理本地 MDM 之前,请考虑以下要求。
支持的设备
Configuration Manager的当前分支支持为运行Windows 10的设备注册本地移动设备管理。 这些设备类型主要包括笔记本电脑、IoT 和 Surface Hub。 有关详细信息和特定版本的列表,请参阅 客户端和设备支持的 OS 版本。
站点系统角色
本地 MDM 至少需要以下站点系统角色之一:
用于支持注册请求的注册代理点。
用于支持设备注册的注册点。
用于策略传递的设备管理点。 此角色是管理点的变体,但允许移动设备管理。
用于内容分发的分发点。
根据组织的需要,可以在单个服务器上或在不同的服务器上单独安装这些角色。
注意
需要将用于本地 MDM 的每个角色配置为与受信任设备通信的 HTTPS 终结点。 有关详细信息,请参阅 所需的受信任通信。
有关更多常规信息,请参阅 规划站点系统服务器和角色。
受信任的通信
本地 MDM 要求为 HTTPS 通信启用站点系统角色。 根据需求,可以使用组织的证书颁发机构 (CA) 在服务器和设备之间建立受信任的连接。 还可以使用公开可用的 CA 作为受信任的颁发机构。 无论哪种方式,都需要配置以下证书:
承载所需站点系统角色的服务器上的 IIS 中的 Web 服务器证书 。 如果一台服务器托管多个站点系统角色,则只需为该服务器提供一个证书。 如果每个角色位于单独的服务器上,则每个服务器都需要单独的证书。
颁发 Web 服务器证书的 CA 的 受信任根 证书。 在需要连接到站点系统角色的所有设备上安装此根证书。
有关详细信息,请参阅 在本地 MDM 中为受信任的通信设置证书。
设备注册
若要为本地 MDM 启用设备注册,请执行以下操作:
授予用户通过客户端设置注册的权限
配置设备,以便与托管所需角色的站点系统服务器进行受信任的通信
作为用户发起的注册的替代方法,可以设置批量注册包。 此包允许设备注册而无需用户干预。 在预配包以供使用之前或经过 OOBE 过程后,将包传送到设备。
有关详细信息,请参阅 为本地 MDM 设置设备注册。