Share via

移动设备管理先决条件

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Microsoft System Center Configuration Manager 2007 移动设备管理要求将支持移动设备的站点系统上存在先决条件,并且移动设备可访问正确的证书基础结构。此主题描述所需的三种类型的先决条件,以及在安装移动设备管理客户端并且移动设备准备与 Configuration Manager 2007 服务器通信之后使得移动设备被管理的证书基础结构。

站点系统先决条件

要支持混合或纯安全模式下的移动设备,分发点上需要下列先决条件可供设备使用:

备注

站点必须处于纯安全模式才能管理基于 Internet 的移动设备。

  • 为 Configuration Manager 2007 站点服务器和移动设备之间的通信配置 Internet Information Services (IIS) 和防火墙。

  • 启用 Internet Information Services (IIS) 的 Web 分布式创作和版本管理 (WebDAV) 扩展

  • 分发点上启用后台智能传输服务 (BITS) 扩展

  • 仅限混合模式:必须在分发点上启用匿名访问。

安全通信先决条件

要支持纯安全模式下的移动设备,需要下列证书信任关系:

  • 移动设备客户端必须信任从其获取策略或下载软件的任何服务器的 SSL 服务器身份验证证书。这可以是防火墙/代理服务器保护站点系统,或者如果在 Internet 方案中,则是站点系统本身。

  • 站点系统(或防火墙/代理服务器)必须信任移动设备客户端使用的 SSL 用户身份验证证书,以保护一半的 SSL 连接。

  • 移动设备客户端必须信任 Configuration Manager 2007 站点服务器使用的站点服务器签名证书,以签署发送到移动设备客户端的策略。

  • 必须在设备上安装完成 PKI 根的证书信任链所需的任何中间证书颁发机构 (CA) 证书。

安全软件先决条件

为保护移动设备不安装恶意或不受信任软件,从 Windows Mobile 5.0 和 Windows Mobile Smartphone 2003 开始的所有 Windows Mobile 设备都要求安装的软件来自受信任的来源。

  • Windows Mobile 平台验证分布式软件和任何分布式 CAB 文件是否均使用受信任的软件发布证书 (SPC) 签名。此外,一旦软件安装在移动设备上,移动设备客户端即在每次运行软件时验证签名代码的 SPC 是否来自受信任的来源。

  • 某些软件在移动设备上必须以特权级别操作。Configuration Manager 2007 设备管理代理需要拥有特权权限才能在设备上运行。为使用特权运行,用于对软件进行代码签名的软件发行者证书 (SPC) 必须在设备上的 SPC 存储中,并且必须存储在移动设备上的特权存储中。由特权执行存储中的证书签名的软件以提升特权运行。由非特权执行存储中的证书签名的软件在正常用户上下文中运行。

移动设备上的证书

纯模式下的 Microsoft System Center Configuration Manager 2007 安全很大程度上取决于公钥基础结构 X.509v3 证书。移动设备本身对 Active Directory 没有用户登录或访问权限可提供安全。证书对于移动设备管理极其重要,其中它们可用于执行一切操作:从注册移动设备客户端和保护 SSL 连接到验证接收的软件是否来自受信任的来源。

证书将存储在设备上的下列位置:

  • 根证书存储 - 对服务器 SSL 连接进行身份验证的根证书以及站点服务器用于签署策略的站点服务器签名证书。完成正在进行身份验证的 PKI 根的信任链所需的任何中间证书颁发机构证书也存储在根证书存储中。

  • 个人证书存储 - 用于针对服务器 SSL 连接对用户进行身份验证的用户身份验证证书。这也用于向站点服务器注册移动设备客户端。

  • SPC 存储 - 设备信任的任何软件发布证书 (SPC)。这包括用于签署 Microsoft System Center Configuration Manager 2007 移动设备客户端以便它可以安装在移动设备上的 Microsoft Authenticode 证书。有关 Configuration Manager 2007 通信的证书要求的详细信息,请参阅关于移动设备客户端的纯模式证书

  • 特权执行存储 - 允许应用程序在移动设备上以提升特权运行所需的任何软件发布证书。

另请参阅

概念

关于移动设备客户端的纯模式证书
了解移动设备管理

其他资源

配置移动设备管理
移动设备管理概述

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。