Prérequis pour le déploiement de clients sur des appareils mobiles dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Importante
GPM local et le client Configuration Manager pour macOS sont tous deux déconseillés.
Migrez la gestion des appareils macOS et mobiles vers Microsoft Intune. Pour plus d’informations, consultez Clients et appareils pris en charge.
Le déploiement de Configuration Manager clients dans votre environnement a les dépendances externes et les dépendances suivantes au sein du produit.
Pour plus d’informations sur la configuration matérielle minimale requise pour le client Configuration Manager, consultez Configurations prises en charge.
Remarque
Les numéros de version logicielle indiqués dans cet article répertorient uniquement les numéros de version minimum requis.
Lorsque vous installez le client Configuration Manager sur des appareils mobiles et que vous les inscrivez, utilisez ces informations pour déterminer les conditions préalables.
Dépendances externes à Configuration Manager
Une Microsoft autorité de certification d’entreprise avec des modèles de certificat pour déployer et gérer les certificats requis pour les appareils mobiles.
L’autorité de certification émettrice doit approuver automatiquement les demandes de certificat des utilisateurs de l’appareil mobile pendant le processus d’inscription.
Pour plus d’informations sur les exigences de certificat, consultez Sécurité et confidentialité pour les profils de certificat.
Un groupe de sécurité qui contient les utilisateurs qui peuvent inscrire leurs appareils mobiles.
Ce groupe de sécurité est utilisé pour configurer le modèle de certificat utilisé lors de l’inscription des appareils mobiles.
Facultatif mais recommandé : un alias DNS (enregistrement CNAME) nommé ConfigMgrEnroll. Configurez cet alias pour le nom de serveur du point de proxy d’inscription.
Cet alias DNS est nécessaire pour prendre en charge la découverte automatique pour le service d’inscription. Si vous ne configurez pas cet enregistrement DNS, les utilisateurs doivent spécifier manuellement le nom du point proxy d’inscription dans le cadre du processus d’inscription.
Dépendances de rôle de système de site pour les ordinateurs qui exécutent le point d’inscription et le point de proxy d’inscription.
Pour plus d’informations, consultez Systèmes d’exploitation pris en charge pour les serveurs de système de site.
dépendances Configuration Manager
Pour plus d’informations, consultez Déterminer les rôles de système de site pour les clients.
Configurations des points de gestion :
- Connexions clientES HTTPS
- Activé pour les appareils mobiles
- Un nom de domaine complet Internet
- Accepter les connexions clientes à partir d’Internet
Point d’inscription et point proxy d’inscription
Un point proxy d’inscription gère les demandes d’inscription des appareils mobiles et le point d’inscription termine le processus d’inscription. Le point d’inscription doit se trouver dans la même forêt Active Directory que le serveur de site, mais le point proxy d’inscription peut se trouver dans une autre forêt.
Paramètres client pour l’inscription des appareils mobiles
Configurez les paramètres client pour permettre aux utilisateurs d’inscrire des appareils mobiles et configurer au moins un profil d’inscription.
Point Reporting Services
Le point reporting services est un rôle de système de site facultatif, mais recommandé. Il peut afficher des rapports liés à l’inscription des appareils mobiles et à la gestion des clients. Pour plus d’informations, consultez Présentation de la création de rapports.
Pour configurer l’inscription pour les appareils mobiles, votre compte a besoin des autorisations de sécurité suivantes :
Pour ajouter, modifier et supprimer les rôles de système de site d’inscription : autorisation Modifier pour l’objet Site .
Pour configurer les paramètres client pour l’inscription : les paramètres client par défaut nécessitent l’autorisation Modifier pour l’objet Site , et les paramètres client personnalisés nécessitent des autorisations de l’agent client .
Le rôle de sécurité par défaut Administrateur complet inclut les autorisations requises pour configurer les rôles de système de site d’inscription.
Pour gérer les appareils mobiles inscrits, votre compte a besoin des autorisations de sécurité suivantes :
Pour réinitialiser ou mettre hors service un appareil mobile : Supprimer la ressource pour l’objet Collection .
Pour annuler une commande de réinitialisation ou de mise hors service : Supprimer la ressource de l’objet Collection .
Pour autoriser et bloquer les appareils mobiles : modifiez la ressource pour l’objet Collection .
Pour verrouiller à distance ou réinitialiser le code secret sur un appareil mobile : Modifiez la ressource pour l’objet Collection .
Le rôle de sécurité par défaut Administrateur des opérations inclut les autorisations requises pour gérer les appareils mobiles.
Pour plus d’informations sur la configuration des autorisations de sécurité, consultez Principes de base de l’administration basée sur les rôles et Configurer l’administration basée sur les rôles.
Configuration requise du pare-feu
Les périphériques réseau intervenant, tels que les routeurs et les pare-feu, et le pare-feu Windows le cas échéant, doivent autoriser le trafic associé à l’inscription des appareils mobiles.
Entre les appareils mobiles et le point de proxy d’inscription : HTTPS (par défaut, TCP 443)
Entre le point de proxy d’inscription et le point d’inscription : HTTPS (par défaut, TCP 443)
Si vous utilisez un serveur web proxy, configurez-le pour le tunneling SSL. Le pontage SSL n’est pas pris en charge pour les appareils mobiles.