Mobil eszközök kezelése Windows Intune integráción keresztül System Center 2012 Configuration Managerrel – I. rész

  • Article

Felho integráció kialakítása

Jelen cikk sorozatindító és egyben gondolatébreszto kíván lenni egy olyan témakörben, ami egyelore talán kevésbé ismert, illetve segítséget szeretnék nyújtani az Intune/ConfigMgr által biztosított mobil eszköz kezelés (Unified Device Management, UDM) kipróbálásához. Ennek fényében lépésrol lépésre bemutatom az infrastruktúra kialakítását, és kiemelem az általam tapasztalt buktatókat.

Mobil eszközök kezelésére a Configuration Manager több lehetoséget biztosít:

  • Direkt menedzsment
  • ActiveSync-alapú kezelés
  • Windows Intune integráción keresztül történo kezelés

A direkt menedzsment PKI alapokon muködik, és Windows Mobile 6.1, 6.5 és Symbian kezelésére képes; azt hiszem ezzel minden elárultam…

Az ActiveSync alapon történo menedzsment képességei (inventory, beállításkezelés) szintén korlátozottak; az Exchange által begyujtött információkra hagyatkoznak és az ActiveSync policy beállításoktól függnek.

A Windows Intune alapú menedzsment ezzel szemben nem igényel sem PKI infrastruktúrát, sem Exchange kapcsolatot, és a képességei sokkal kifinomultabbak. A Microsoft jelentos energiát fektet az Intune alapú natív, és ConfigMgr-integrált kliens kezelésbe, és a jövoben ezen a területen várható a legnagyobb fejlesztés és bovülés. Erre rövidesen adok is majd példát…

Akit részletesebben érdekelnek a különbségek:

Determine How to Manage Mobile Devices in Configuration Manager

Ezek után tegyük is meg az elso lépéseket – szerezzünk be magunknak egy jó kis Intune elofizetést (30 napos próbaverzió):

https://account.manage.microsoft.com/Signup/MainSignUp.aspx?OfferId=A77BE827-FC8B-4EF2-A0F5-7CD6C813AA65&ali=1

Az elofizetésünk adatait, illetve az admin portált ezentúl a https://manage.microsoft.com/ címen érhetjük el.

Mivel ConfigMgr integráció esetén a beállításokat nem az Intune felületen tesszük meg, sok teendonk nincsen, kivéve egyet, de az kiemelten fontos!

Az alábbi beállítás minden egyes Intune elofizetésnél egyetlen egyszer választható. Ha eldöntöttük, hogy natív Intune felügyeletet, vagy ConfigMgr integráltat szeretnénk használni, a döntés végleges.

mgmtprovider

A következo lépés a felhasználók “fellövése” a felhobe. A feladatunk a saját címtárunkban már meglévo userek szinkronizálása az Intune elofizetés alá; ezután a késobb kiválasztott felhasználók tudják majd enrollolni az eszközeiket.

Ebben a Directory Sync nevezetu tool (továbbiakban DirSync) lesz a segítségünkre.

A tool letöltéséhez az Intune elofizetéshez használatos névvel és jelszóval jelentkezzünk be az Office 365 Admin Portálra: https://portal.microsoftonline.com/admin/default.aspx

A portálon a Users and Groups menüpontban válasszuk az Active Directory Synchronization set up opciót és aktiváljuk a címtár szinkronizációt. különben a DirSync reklamálni fog. Akár 24 órát is igénybe vehet az érvénybe lépés, legyünk türelemmel.

Ugyanitt megtaláljuk a DirSync-et – töltsük le és telepítsük bármilyen domain tag gépre, amelyik Internet eléréssel rendelkezik.

O365_DirSync

A DirSync a C:\Program Files\Windows Azure Active Directory Sync könyvtárba települ, installálás közben szükségünk lesz egy Enterprise admin felhasználóra (o fog olvasni az AD-ból), és az Intune elofizetésünk Global Administrator jogkörrel rendelkezo fiókjára (o fog írni a felhobe).

Telepítéskor választható opció a felhasználói jelszavak szinkronizálása. Amennyiben nincs ADFS integrációnk a felhobeli tartománnyal, mindenképpen engedélyezzük ezt az opciót! A továbbiakban ADFS integráció nélküli környezetrol beszélünk.

A telepíto a coexistenceSetup.log-ot használja, ha hibára futunk, itt érdemes nézelodni.

A szinkronizálást végzo FIM Sync service account egybol bekerül a FIMSyncAdmins csoportba, de az Administrators csoporthoz is hozzá kell adni.

Miután a DirSync elindult, 3 óránként szinkronizál automatikusan. Mivel a címtár szinkronizálást a felhoben is engedélyeztük, ha 24 órán belül nem történt címtár szinkronizálás, az elofizetés tulajdonosa e-mailben értesítést kap a lehetséges hibáról.

A DirSync az Application eseménynaplóba logol, muködési hiba esetén itt nézzünk körül eloször.

Van lehetoség a DirSync manuális indítására is, ehhez indítsuk el a .\DirSyncConfigShell.psc1 cmdlet-et a C:\Program Files\Microsoft Azure Active Directory Sync könyvtárból.

Az így megnyíló Powershell ablakból tudjuk futtatni a Start-OnlineCoexistenceSync parancsot.

Amennyiben a telepítéskor megadott beállítások módosítására volna szükség, ezt a ConfigWizard.exe segítségével tehetjük meg. Próbaváltozatnál nem fenyeget a veszély, de teljes elofizetés esetén az Intune adminisztrátori jelszó lejár, és ennél fogva megakad a DirSync is. Ekkor a fenti varázslóval meg kell adnunk az új jelszót.

Belefutottam még a 80005000 hibakódot jelzo problémába a telepítés utáni konfiguráció során. Nem kevés kutatás után sikerült rájönni, hogy ilyenkor a DirSync ellenorzi, hogy az összes tartományvezérlo elérheto-e. Amint az offline DC-met elindítottam, egybol sikeresen befejezte a konfigurálást :)

A sikeres konfigurációs lépés után viszont nincs több ellenorzés; nincs gond a karbantartás alatt álló DC-kkel sem.

Utolsó lépésként az online tartományunk nevével megegyezo UPN-t kell létrehozni (AD Domains and Trusts) és azoknál a felhasználóknál beállítani (AD Users and Computers), akiknél késobb a mobil eszköz enrollmentet engedélyezni szeretnénk.

  UPN

Ezzel az Intune oldali elokészületek végére értünk – a következo cikkben megnézzük a ConfigMgr hogyan tud majd ehhez kapcsolódni.

II. rész - Configuration Manager Intune Connector és Subscription beállítása