Gerenciamento simplificado para dispositivos móveis e computadores em um ambiente híbrido
Aplica-se a: Azure, Microsoft Intune, System Center 2012 R2 Configuration Manager
A quem este guia se destina?: A empresas que precisam gerenciar dispositivos móveis e PCs locais e remotos utilizando sua infraestrutura do Configuration Manager existente para dar suporte à demanda do funcionário para usar esses dispositivos a fim de acessar recursos corporativos.
Como este guia pode ajudar? Este guia fornece um design prescritivo, testado, que explica como:
Atualizar sua infraestrutura do Configuration Manager local existente e estendê-la para a nuvem para permitir que os usuários trabalhem remotamente no dispositivo de sua preferência.
Unificar o gerenciamento de PC e dispositivos móveis em uma única infraestrutura.
Manter a conformidade corporativa para todos os dispositivos.
Proteger os dados corporativos.
Nesta solução:
Cenário, demonstração do problema e metas
Cenário
Demonstração do problema
Metas organizacionais
Qual é o design recomendado para essa solução?
Instalar o System Center 2012 R2 Configuration Manager e migrar objetos
Assinar o Windows Intune
Gerenciar identidades e acesso com o AD do Microsoft Azure e sincronização de diretório
Fornecer acesso fácil e seguro aos usuários com sincronização de senha
Planejar uma atualização em fases de plataforma
Etapas de implementação
O diagrama a seguir ilustra o problema de que trata este guia de solução.
Diagrama 1: Visão geral de alto nível do problema.
Cenário, demonstração do problema e metas
Esta seção descreve o cenário, o problema e as metas para uma organização de exemplo.
Cenário
Esta solução usa uma empresa de exemplo que emprega mais de 5.000 pessoas que trazem seus dispositivos pessoais Windows Phone 8, Windows RT, iOS e Android para trabalhar. Atualmente, elas não têm como acessar os recursos da empresa nesses dispositivos.
A empresa usa o Microsoft System Center Configuration Manager 2007 SP2 para gerenciar PCs para usuários que são locais e que se conectam remotamente à rede corporativa por VPN. A empresa não pode gerenciar dispositivos móveis.
A infraestrutura do ambiente da empresa contém:
Windows Server 2008 R2
Active Directory do Windows Server 2008 R2
Configuration Manager 2007 SP2
PCs associados ao domínio e gerenciados pelo Configuration Manager
O diagrama a seguir ilustra o ambiente atual da empresa.
Diagrama 2: Visão geral de alto nível do ambiente atual
Demonstração do problema
A infraestrutura de gerenciamento do dispositivo atual não dá suporte às necessidades crescentes da empresa de exemplo:
Eles gerenciam PCs no ambiente atual, mas não podem gerenciar dispositivos móveis.
Eles oferecem a alguns funcionários dispositivos móveis de propriedade da empresa. Outros funcionários querem usar seus dispositivos pessoais no trabalho.
A empresa também está preocupada com os recursos necessários para gerenciar todos esses dispositivos. É dispendioso dar suporte a vários PCs, dispositivos e aplicativos e o gerenciamento de dispositivos pode ocupar continuamente a TI.
A empresa precisa gerenciar riscos e garantir que todos os dispositivos, corporativos e pessoais, estejam em conformidade com as diretrizes de segurança.
O gerenciamento de dispositivos é um risco de segurança para ativos e informações corporativas. Assim que os funcionários trabalham em um dispositivo que a TI não gerencia (ou sequer conhecem), torna-se muito difícil manter o controle de informações corporativas confidenciais.
A TI não pode fazer nada se o dispositivo for vendido, perdido ou roubado.
Metas organizacionais
A empresa está procurando uma solução que permita o seguinte:
Usar a infraestrutura do Configuration Manager existente. A TI investiu muitos recursos em sua infraestrutura atual e não deseja recomeçar.
Permitir que os funcionários usem dispositivos pessoais, bem como dispositivos da empresa, para acessar dados e aplicativos corporativos. Isso inclui PCs e dispositivos móveis.
Gerenciar PCs e dispositivos pessoais de um só console de administrador. O gerenciamento de dispositivos abrange a definição de configurações de segurança e conformidade, a coleta do inventário de software e hardware ou a implantação de software.
Implantar aplicativos ou links da Web com base no tipo de dispositivo e se o dispositivo é pessoal ou de propriedade da empresa.
Proteger a empresa eliminando dados corporativos armazenados no dispositivo móvel quando ele é perdido ou desativado.
Qual é o design recomendado para essa solução?
Para resolver o problema e atender às metas da organização, a empresa precisa:
Instalar um novo site primário autônomo do System Center 2012 R2 Configuration Manager na sede e pontos de distribuição em locais remotos.
Migrar objetos e pontos de distribuição da infraestrutura do Configuration Manager 2007 SP2 existente para o System Center 2012 R2 Configuration Manager.
Assinar o Windows Intune e configurar o conector do Windows Intune no Configuration Manager para integrar com o Windows Intune.
Sincronizar suas contas de usuário do domínio com o Microsoft Azure, uma vez que o Windows Intune é um serviço de nuvem. Isso permite que eles gerenciem os usuários que podem acessar os recursos da empresa de seus dispositivos móveis.
Usar a sincronização de senha para permitir que os usuários usem seu nome de usuário e senha do domínio local para os serviços de nuvem.
O diagrama a seguir ilustra como os elementos nesta solução se comunicam entre si.
Diagrama 3: Visão geral de alto nível da solução
Elemento de design da solução | Por que está incluído nesta solução? |
---|---|
System Center 2012 R2 Configuration Manager |
Fornece implantação de software segura e escalonável, gerenciamento de configurações de conformidade e gerenciamento abrangente de ativos de servidores, desktops, laptops e dispositivos móveis (quando o Windows Intune está integrado). |
Windows Intune |
Gerencia dispositivos móveis pela Internet. Quando integrado ao System Center 2012 R2 Configuration Manager, você pode gerenciar PCs e dispositivos móveis do console do Configuration Manager. |
Active Directory do Microsoft Azure (AD) |
Um serviço que fornece identidade e recursos de acesso a aplicativos locais e na nuvem. |
Sincronização de diretório (DirSync) do Microsoft Azure |
Sincroniza usuários locais do AD com o AD do Microsoft Azure. |
Sincronização de senha |
Permite que os usuários usem o mesmo nome e senha de usuário para serviços locais e de nuvem. |
Instalar o System Center 2012 R2 Configuration Manager e migrar objetos
O System Center 2012 R2 Configuration Manager pode ampliar a capacidade da empresa de gerenciar PCs locais para a nuvem pela integração do Windows Intune. E, usando o Configuration Manager com o Windows Intune, a empresa pode gerenciar seus PCs locais e dispositivos móveis em um único console. Eles também querem reduzir a sobrecarga da TI.
Portanto, a empresa instalará um site primário autônomo do System Center 2012 R2 Configuration Manager localizado em sua sede e pontos de distribuição em locais remotos.
Em seguida, migrarão objetos do ambiente do Configuration Manager 2007 SP2 para o System Center 2012 R2 Configuration Manager.
A empresa decidiu migrar pelos seguintes motivos:
Solução integrada: A empresa quer uma solução integrada que lhes permita gerenciar PCs e dispositivos móveis em um único console. O System Center 2012 R2 Configuration Manager com Windows Intune oferece essa solução integrada.
Hierarquia simplificada: Com o System Center 2012 R2 Configuration Manager, eles determinaram que não precisam mais de um site secundário em cada local remoto conforme mostrado nos diagramas a seguir.
Diagrama 3: Hierarquia existente,Configuration Manager 2007
Diagrama 4: Nova hierarquia,System Center 2012 R2 Configuration Manager
Fatores determinantes para a hierarquia simplificada:
Administração baseada em função: No System Center 2012 R2 Configuration Manager, a administração baseada em função permite que a empresa projete e implemente a segurança administrativa para a hierarquia do System Center 2012 R2 Configuration Manager usando alguma ou todas as seguintes opções:
Funções de segurança
Coleções
Escopos de segurança
Essas configurações se combinam para definir um escopo administrativo para um usuário administrativo. O escopo administrativo controla os objetos que um usuário administrativo pode ver no console do Configuration Manager e as permissões que esse usuário tem nesses objetos. Consulte Planejando a administração baseada em função.
Gerenciamento de conteúdo: No System Center 2012 R2 Configuration Manager, a empresa pode configurar a largura de banda de rede usada para transferir conteúdo para os pontos de distribuição e pré-configurar conteúdo nos pontos de distribuição de locais remotos. Consulte Considerações sobre largura de banda de rede para pontos de distribuição.
Objetos migrados: A empresa pode usar ferramentas de migração para migrar objetos do Configuration Manager 2007 SP2 para a hierarquia do System Center 2012 R2 Configuration Manager. A TI da empresa investiu uma quantidade significativa de tempo criando objetos do Configuration Manager, como coleções, sequências de tarefas, itens de configuração e assim por diante. Usando a migração, eles continuarão a se beneficiar desse investimento.
Últimos recursos: A empresa também está interessada nos novos recursos do System Center 2012 R2 Configuration Manager que não estão diretamente relacionados a essa solução. Consulte Novidades no System Center 2012 R2 Configuration Manager.
Assinar o Windows Intune
O serviço Windows Intune fornece gerenciamento baseado em nuvem de dispositivos móveis. A empresa assinará o Windows Intune e integrará o Windows Intune ao System Center 2012 R2 Configuration Manager para gerenciar PCs e dispositivos móveis do console do Configuration Manager.
Uma assinatura do Windows Intune dá suporte à meta da empresa para uma solução integrada a fim de gerenciar PCs e dispositivos móveis.
A empresa considerou soluções de gerenciamento de dispositivos móveis de terceiros. Nenhuma dessas soluções oferece a experiência integrada que querem. Eles também não querem alternar produtos e incorrer em custos de treinamento e implementação.
Como um benefício adicional, a empresa pode usar a conta de usuário de sua assinatura do Windows Intune quando assinar o Microsoft Office 365 alguns meses depois.
Dica
Se sua empresa já estiver usando o Microsoft Online Services para serviços como o Microsoft Office 365, use a mesma conta de usuário ao assinar o Windows Intune. Isso permite que você use o mesmo grupo de usuários em todos os serviços de locatáriodo AD do Microsoft Azure em sua organização. Se você não selecionar a opção para entrar usando seu usuário existente, um novo locatário do AD do Microsoft Azure será criado para você. Em seguida, você precisará adicionar usuários ao novo locatário.
Gerenciar identidades e acesso com o AD do Microsoft Azure e sincronização de diretório
O Windows Intune utiliza o AD do Microsoft Azure para armazenar contas de usuário. Serviços em nuvem da Microsoft, como Windows Intune e Office 365, contam com recursos de gerenciamento de identidade fornecidos pelo AD do Microsoft Azure.
A empresa usará a sincronização de diretório (DirSync) do Microsoft Azure para sincronizar usuários do AD do Windows Server local com o AD do Microsoft Azure. A sincronização de diretório foi planejada como uma relação contínua entre o AD local e o AD do Microsoft Azure baseado em nuvem. A empresa escolheu o DirSync para:
Reduzir custos administrativos: Sem o DirSync, a empresa precisaria adicionar manualmente suas contas de usuário e grupo no AD do Microsoft Azure. O DirSync sincroniza as contas de usuário do AD do Windows Server local ao AD do Microsoft Azure. Depois de ativar a sincronização de diretório, você pode editar objetos sincronizados no seu ambiente local e essas edições serão sincronizadas com sua assinatura do Windows Intune, o que reduz os custos administrativos.
Aumentar a produtividade: Automatizando o processo de sincronização de contas de usuário e grupo, a empresa pode reduzir consideravelmente o tempo que leva para disponibilizar serviços baseados em nuvem aos funcionários.
Considerações de planejamento e design para sincronização de diretórios
Ao planejar a sincronização de diretórios, a empresa considerou os requisitos de hardware, as permissões de administrador, o desempenho e assim por diante. Esses requisitos estão documentados em Preparar-se para a sincronização de diretórios.
Fornecer acesso fácil e seguro aos usuários com sincronização de senha
A autenticação do usuário deve ser configurada ou os funcionários da empresa terão de usar outro nome de usuário e senhas separadas para acessar os serviços locais e de nuvem. A empresa decidiu que a autenticação do usuário é necessária para evitar a sobrecarga administrativa ao gerenciar alterações iniciais e existentes de senha e proporcionar melhor experiência ao usuário. Ela decidiu usar a sincronização de senha para autenticação do usuário.
A empresa considerou os seguintes métodos de autenticação para acesso dos funcionários aos recursos locais e de nuvem com as mesmas credenciais:
Sincronização de senha é uma opção leve que fornece aos usuários uma experiência semelhante ao logon único e muito fácil de implantar. A sincronização de senha é uma opção que você pode selecionar no DirSync que permite que o DirSync armazene um hash de senha no AD do Microsoft Azure. Quando a sincronização de senha estiver habilitada no seu computador de sincronização de diretório, os usuários poderão entrar nos serviços em nuvem da Microsoft, como Office 365, Dynamics CRM e do Windows Intune usando a mesma senha que usam ao efetuar logon na rede local. Quando os usuários alterarem suas senhas na rede corporativa, essas alterações serão sincronizadas com a nuvem.
No entanto, a sincronização de senha não oferece uma solução SSO (logon único) que você obtém ao usar o AD FS. Os usuários precisarão digitar novamente suas credenciais sempre que acessarem um serviço de nuvem. Consulte:
Os Serviços de Federação do Active Directory (AD FS) fornecem uma verdadeira experiência de SSO (logon único), trabalhando com os protocolos de autenticação do Active Directory. O Active Directory local e o AD FS interagem com a plataforma de identidade do AD do Microsoft Azure para fornecer acesso a um ou mais serviços em nuvem da Microsoft. Quando o SSO é configurado, uma confiança federada é criada entre o domínio e o sistema de autenticação do AD do Microsoft Azure. Os usuários podem autenticar com os serviços de nuvem e serviços locais usando o mesmo nome de usuário e a senha para ambos. Depois que um usuário é autenticado, suas credenciais não são mais solicitadas quando ele acessa um serviço de nuvem.
A empresa decidiu usar a sincronização de senha para autenticação do usuário por vários motivos. A sincronização de senha é muito fácil de configurar no DirSync, o qual eles já planejam usar para sincronizar suas contas de usuário locais. Eles também planejam atualizar os controladores de domínio do Windows Server 2012 R2 nos próximos seis meses. O AD FS é uma função de site no Windows Server 2012 R2 e tem muitos novos recursos. A empresa planeja implementar o AD FS quando atualizar seus controladores de domínio. Para obter mais informações sobre a implementação do AD FS no Windows Server 2012 R2, consulte:
A empresa decidiu usar a sincronização de senha para autenticação do usuário. No entanto, você pode decidir implementar o AD FS para SSO em seu ambiente. Consulte:
Considerações de design do AD FS: AD FS 2.0 Design Guide (Guia de design do AD FS 2.0)
Usando o AD FS para o SSO: Lista de verificação: Usar o AD FS para implementar e gerenciar o logon único
Planejar uma atualização em fases de plataforma
A empresa decidiu não atualizar seu AD local como parte desta solução, mas planeja atualizá-lo nos próximos 6 meses.
A TI da empresa propôs que seu AD local seja atualizado como parte da solução. No Windows Server 2012 R2, o AD foi aprimorado com a seguinte funcionalidade:
Registro de dispositivos. Os administradores de TI podem permitir que um dispositivo seja registrado, o qual associa o dispositivo ao Active Directory da empresa. Essa associação pode ser usada como um segundo fator de autenticação sem emendas.
SSO (Logon único) de dispositivos associados ao Active Directory da empresa.
Proxy de aplicativo Web, que permite que os usuários se conectem aos aplicativos e serviços de qualquer lugar.
Controle de acesso multifator e MFA (Multi-Factor Authentication), que gerenciam o risco dos usuários que trabalham de qualquer lugar e acessam dados protegidos em seus dispositivos.
Pastas de trabalho, que fornecem aos usuários um local para armazenar e acessar arquivos de trabalho em PCs e dispositivos.
Consulte Serviços do Active Directory.
A equipe de gerenciamento da empresa concordou que os novos recursos eram valiosos, mas não pôde aprovar os recursos para atualizar o AD como parte dessa solução. A equipe de gerenciamento deseja atualizar o AD local nos próximos seis meses.
Quando estiver pronto para atualizar seu AD local e implementar o AD FS, consulte Proteger o acesso aos recursos da empresa de qualquer local, em qualquer dispositivo.
Etapas de implementação
Esta seção fornece as etapas que a empresa executou para implementar a solução. Se você seguir essas etapas, verifique a implantação correta de cada etapa antes de ir para a próxima.
Assinar o Windows Intune.
Crie uma assinatura do Windows Intune no site da Web do Windows Intune.
- Se você já tiver uma conta de usuário para outro serviço de nuvem, como o Office 365, pode clicar em Entrar para inserir as credenciais da conta. Isso permite que você compartilhe o mesmo grupo de usuários em todos os serviços de locatário do AD do Microsoft Azure de sua organização.
Etapas de verificação: Depois de concluir o processo de entrada, um email é enviado para o endereço de email que você forneceu. Clique no link incluído no email ou vá para o portal de conta do Windows Intune em https://account.manage.microsoft.com e verifique se você pode entrar.
Configurar seu domínio público.
Obter um domínio público. Para usar o serviço Windows Intune também é necessário um nome de domínio de organização pública que seja verificável por meio de um serviço de registro de nome de domínio. Adicione e verifique seu domínio público no portal de conta do Windows Intune em https://account.manage.microsoft.com, no nó Domínios.
Verifique se o domínio público foi adicionado como um sufixo UPN alternativo ao Active Directory local. Os usuários devem ter o mesmo nome UPN na nuvem e o Active Directory local para registrar dispositivos móveis. Você deve verificar se os usuários têm um domínio público UPN antes de configurar a sincronização de diretório. Se você ignorar essa etapa, os usuários poderão obter "onmicrosoft.com" acrescentado à sua nuvem UPN, o que causará incompatibilidade com nomes de usuário do Active Directory local. Consulte Add User Principal Name Suffixes (Adicionar sufixos de nome UPN).
Adicionar um registro CNAME no DNS que aponta enterpriseenrollment.<publicdomain> para manage.microsoft.com. O registro CNAME é usado posteriormente como parte do processo de registro. Consulte Adicionar um registro de recurso de alias (CNAME) a uma zona.
Etapas de verificação:
Verifique a página Domínios do portal de conta do Windows Intune para garantir que o domínio público seja listado e verificado.
Examine as propriedades de uma conta de usuário no Active Directory local para garantir que o UPN seja listado com o nome de domínio público.
Fornecer acesso fácil aos usuários usando o DirSync com sincronização de senha.
Você pode configurar a sincronização de senha do seu portal de conta do Windows Intune em https://account.manage.microsoft.com. No nó Usuários do portal, clique em Sincronização do Active Directory: Configurare, em seguida, siga as etapas descritas em Configurar e gerenciar a sincronização do Active Directory. Você habilita a sincronização de senha ao executar o Assistente de configuração da ferramenta de sincronização de diretórios, selecionando Habilitar Sincronização de Senha.
Consulte:
Etapas de verificação: Faça check-in no portal de conta do Windows Intune em https://account.manage.microsoft.com para exibir contas do usuário.
Instalar o site ou hierarquia do System Center 2012 R2 Configuration Manager.
Depois de planejar a hierarquia do System Center 2012 R2 Configuration Manager, a empresa decidiu que instalará um site primário autônomo na sua sede e pontos de distribuição nos locais remotos. Você pode determinar se sua hierarquia requer uma configuração diferente. Use as seguintes etapas para instalar o site ou hierarquia do System Center 2012 R2 Configuration Manager:
Identifique um servidor que atenda aos pré-requisitos de software e hardware para hospedar um site primário do Configuration Manager. Consulte Planejando as configurações de hardware para o Configuration Manager.
Verifique os softwares e sistemas operacionais necessários com suporte para hospedar um site do Configuration Manager. Consulte Requisitos do sistema do site.
Configurar o ambiente do Windows para suporte System Center 2012 R2 Configuration Manager. Consulte Preparar o ambiente do Windows para o Configuration Manager.
Instale um site do System Center 2012 R2 Configuration Manager. Consulte Instalar sites e criar uma hierarquia para o Configuration Manager. Para esta solução, a empresa instalará um site primário autônomo e ignorará as etapas para instalar um site de administração central ou secundário. Ao percorrer o tópico, escolha sites apropriados para seu ambiente.
Instale um ponto de distribuição em locais remotos. A empresa de exemplo determinou que pode usar um ponto de distribuição em cada um de seus locais remotos, em vez de usar um site secundário em cada local. Para obter detalhes sobre como instalar e configurar um ponto de distribuição, consulte Configurando o gerenciamento de conteúdo no Configuration Manager.
Etapas de verificação
No computador do servidor de site primário, monitore o andamento do assistente de instalação. O assistente de instalação do Configuration Manager exibe o resultado de cada tarefa de instalação do site. Depois de concluir todas as tarefas de instalação, você pode fechar o assistente. No entanto, após a conclusão da instalação do site, o assistente de instalação continuará a exibir informações sobre as configurações em andamento do site, que você poderá monitorar se não fechar o assistente. O fechamento do assistente de instalação não afeta essas configurações em andamento, que continuam em execução em segundo plano. Examine o ConfigMgrSetup.log para verificar se o site foi instalado com êxito.
Configurar funções e recursos de gerenciamento.
Depois de instalar o site ou a hierarquia, configure o site para dar suporte a recursos de gerenciamento e funções do System Center 2012 R2 Configuration Manager que você deseja usar. Você deve configurar a descoberta de usuário do Active Directory para configurar a assinatura do Windows Intune ou instalar a função de sistema de site do conector do Windows Intune na etapa 8. Consulte:
Migrar para o System Center 2012 R2 Configuration Manager.
Quando você migra objetos da hierarquia de origem do Configuration Manager 2007, acessa dados de bancos de dados do site que identifica na infraestrutura de origem e, em seguida, copia esses dados na hierarquia do System Center 2012 R2 Configuration Manager. A migração não altera os dados na hierarquia de origem. Ela descobre os dados e armazena uma cópia no banco de dados da hierarquia de destino. Consulte Migração de hierarquias no System Center 2012 Configuration Manager.
Para migrar os dados do Configuration Manager 2007 para System Center 2012 R2 Configuration Manager:
Especifique a hierarquia do Configuration Manager 2007 SP2 como a hierarquia de origem para migração. Por padrão, o site de nível superior dessa hierarquia torna-se um site de origem da hierarquia de origem. Após a coleta de dados do site de origem inicial, você pode configurar sites de origem adicionais para migração.
O Configuration Manager inicia a coleta de dados do site de origem imediatamente após você especificar uma hierarquia de origem, configurar as credenciais para cada site de origem adicionais em uma hierarquia de origem ou compartilhar os pontos de distribuição para um site de origem. Por padrão, os processo de coleta de dados se repete a cada quatro horas para que o Configuration Manager possa identificar alterações nos dados na hierarquia de origem que você deseja migrar. A coleta de dados também é necessária para compartilhar pontos de distribuição da hierarquia de origem com a hierarquia de destino. Consulte Configurando hierarquias de origem e sites de origem para migração para o System Center 2012 Configuration Manager.
Criar trabalhos de migração para migrar dados entre hierarquias de origem e destino. Use trabalhos de migração para configurar os dados específicos que você deseja migrar para o ambiente do System Center 2012 R2 Configuration Manager. Trabalhos de migração identificam os objetos que você planeja migrar e são executados no site de nível superior na hierarquia. Consulte Criar e editar trabalhos de migração do System Center 2012 Configuration Manager.
Monitorar trabalhos de migração. Monitore o andamento dos trabalhos de migração no console do System Center 2012 R2 Configuration Manager. Consulte Monitorar a atividade de migração no espaço de trabalho de migração.
Atualizar pontos de distribuição compartilhados. Você pode atualizar um ponto de distribuição com suporte compartilhado do site de origem do Configuration Manager 2007 para ser um ponto de distribuição na hierarquia de destino. Consulte Atualizar ou reatribuir um ponto de distribuição compartilhado no System Center 2012 Configuration Manager.
Migrar clientes do Configuration Manager 2007 para o System Center 2012 R2 Configuration Manager. Depois de migrar dados de clientes entre hierarquias, mas antes de concluir a migração, planeje migrar clientes para a hierarquia de destino. Para migrar clientes entre hierarquias, instale o software cliente do Configuration Manager da hierarquia de destino. O cliente Configuration Manager é desinstalado e o cliente System Center 2012 R2 Configuration Manager é instalado e atribuído ao site primário. Consulte Planejando estratégia de migração de cliente no System Center 2012 Configuration Manager.
Concluir o processo de migração: Quando a hierarquia do Configuration Manager 2007 já não contiver os dados que você deseja migrar para a hierarquia de destino, você pode concluir o processo de migração. Para fazer isso:
Verifique se você migrou com êxito todos os recursos necessários da hierarquia de origem para a hierarquia de destino. Isso pode incluir dados e clientes.
Interrompa a coleta de dados de cada site de origem na hierarquia do Configuration Manager 2007. Para fazer isso, execute a ação Parar Coleta de Dados na camada inferior dos sites de origem e, em seguida, repita o processo em cada site pai. O site de nível superior da hierarquia de origem deve ser o último site em que você para a coleta de dados. Você deve parar a coleta de dados em cada site filho antes de executar essa ação em um site pai. Depois de parar a coleta de dados, você não pode mais compartilhar pontos de distribuição entre as hierarquias de origem e destino.
Limpe os dados de migração. Para fazer isso, use a ação Limpar Dados de Migração. Essa ação opcional remove dados sobre a hierarquia de origem atual do banco de dados da hierarquia de destino. Até você limpar os dados de migração, cada trabalho de migração executado ou agendado para execução permanecerá acessível no console do Configuration Manager. Quando você limpa os dados de migração, a maioria dos dados da migração é removida do banco de dados da hierarquia de destino. Consulte Concluir a migração no System Center 2012 Configuration Manager.
Etapas de verificação: A migração é composta por várias ações ou fases distintas e se estende por um período de tempo até que você decida concluir o processo de migração. Por isso, não existe uma etapa única de verificação ou processo que você possa verificar para confirmar se a migração está concluída. Em vez disso, você pode verificar os resultados exibidos no console do System Center 2012 R2 Configuration Manager quando as ações de cada fase forem executadas ou concluídas.
Desativar a hierarquia do Configuration Manager 2007 : Depois de concluir a migração de uma hierarquia de origem e essa hierarquia não contiver mais os recursos que você gerencia, você pode desativar os sites na hierarquia de origem e remover a infraestrutura relacionada do seu ambiente. Consulte Configuration Manager Tasks for Decommissioning Sites and Hierarchies (Tarefas do Configuration Manager para desativar sites e hierarquias).
Obter certificados ou chaves de dispositivos móveis
A empresa deve ter certificados ou chaves de sideload antes de registrar dispositivos móveis. Os tipos de dispositivos móveis que você tem em seu ambiente determinará quais certificados ou chaves de sideload serão necessários. Consulte Obter certificados ou chaves para atender aos pré-requisitos por plataforma.
Configurar a assinatura do Windows Intune e instalar a função de sistema de site do conector do Windows Intune no site de nível superior.
Para que a empresa possa usar o Configuration Manager para gerenciar dispositivos móveis, deve configurar a assinatura do Windows Intune e instalar a função de sistema de site do conector do Windows Intune no servidor do site de nível superior. Ela configurará o site primário autônomo. Se sua hierarquia for mais complexa, configure o site de administração central.
Configurar sua assinatura do Windows Intune. Consulte Configurando a assinatura do Windows Intune.
Instalar o conector do Windows Intune. Consulte Função do sistema de site do conector do Windows Intune.
Etapas de verificação:
No computador do servidor de site primário, examine o sitecomp.log para verificar se a função de sistema de site do conector do Windows Intune foi instalada com êxito.
No computador em que você instalar o conector do Windows Intune, examine o cloudusersync.log para verificar se os usuários de seu domínio sincronizaram com êxito com o Windows Intune.
No computador do servidor de site primário, examine o CertMgr.log para confirmar se o computador onde você instalou o conector do Windows Intune compartilha o certificado do conector. O certificado é compartilhado depois que a instalação da função de sistema de site do conector do Windows Intune é concluída.
No computador em que você instalar o conector do Windows Intune, examine o dmpuploader.log para verificar se a função de sistema de site do conector pode carregar alterações de política e configuração no serviço Windows Intune.
No computador em que você instalar o conector do Windows Intune, examine o dmpdownloader.log para verificar se o conector do Windows Intune é capaz de baixar mensagens do Windows Intune. Esse log só pode mostrar um ping no início do processo de download e pode levar algum tempo até que as entradas relacionadas aos downloads sejam registradas.
Registrar dispositivos móveis.
O registro estabelece uma relação entre o usuário, o dispositivo móvel e o serviço Windows Intune. Os usuários registram seus próprios dispositivos móveis. Dispositivos Android não são registrados, mas podem ser gerenciados usando o conector do Exchange Server. Consulte Registro do dispositivo móvel.
Instalar o console do System Center 2012 R2 Configuration Manager.
Por padrão, quando você instala um site primário, o console do Configuration Manager também é instalado no computador do servidor de site primário. Após a instalação do site, você poderá instalar consoles adicionais do System Center 2012 R2 Configuration Manager em computadores para gerenciar o site. Consulte Instalar um Console do Configuration Manager.
Gerenciar seus PCs e dispositivos móveis.
Depois de instalar e aplicar as configurações básicas para o seu site, você pode começar a configurar o gerenciamento dos PCs e dispositivos móveis. Estes são os recursos ou funcionalidade mais comuns que você pode configurar:
Recurso Detalhes Use o inventário de hardware para coletar informações sobre a configuração de hardware dos dispositivos clientes em sua organização.
Use o inventário de software para coletar informações sobre os arquivos contidos em dispositivos clientes em sua organização. Além disso, o inventário de software pode coletar arquivos de dispositivos clientes e armazená-los no servidor do site.
Use o Asset Intelligence para inventariar e gerenciar o uso de licença de software em toda a empresa e melhorar a amplitude das informações coletadas sobre hardware e software.
Use as configurações de conformidade para gerenciar a configuração e a conformidade de servidores, laptops, desktops e dispositivos móveis na sua organização.
Use o acesso a recursos da empresa para fornecer aos usuários da sua organização acesso a dados e aplicativos de locais remotos, configurando o seguinte:
- Perfis de certificado
- Perfis de VPN
- Perfis de Wi-Fi
Use perfis de conexão remota para permitir que os usuários se conectem remotamente a computadores de trabalho quando não estiverem conectados ao domínio ou se seus computadores pessoais estiverem conectados via Internet.
Use o gerenciamento de aplicativos para gerenciar aplicativos em sua empresa para ambos Configuration Manager usuários administrativos e usuários de dispositivo cliente.
Use as atualizações de software para monitorar a conformidade e implantar atualizações de software nos computadores da sua empresa.
Use este passo a passo para obter as etapas que permitem que você gerencie dispositivos Windows Phone 8, Windows RT, iOS e Android usando o serviço Windows Intune pela Internet.
Você pode fazer uma limpeza completa nos dispositivos Windows Phone 8, iOS e Android para restaurar configurações de fábrica do dispositivo. Ou, você pode fazer um apagamento seletivo que remove apenas o conteúdo da empresa.
- Perfis de certificado
Consulte também
Tipo de conteúdo | Referência |
---|---|
Avaliação do produto/Introdução |
|
Referência |
|
Soluções relacionadas |
|
Recursos da comunidade |