Mobil eszközök kezelése Windows Intune integráción keresztül System Center 2012 Configuration Managerrel – II. rész

Configuration Manager Intune Connector és Subscription beállítása

Az Intune elofizetésünk beállítása után (I. rész) neki is eshetünk a ConfigMgr oldali beállítások konfigurálásának.

Ehhez eloször is az Intune elofizetést kell a konzolban beállítanunk. Ehhez az Administration fülön a Cloud Services opciót válasszuk, itt pedig az “Add Windows Intune Subscription” segítségével adjuk hozzá az elofizetésünket.

A beállítás során megadhatjuk a vállalatunk nevét, illetve – figyelem - megadhatjuk a klienseken megjeleno vállalati portál színsémáját. A számunkra kedves Star Wars (vagy akár céges is, persze) logót is kiválaszthatjuk.

Ezt követoen azért lényegesebb dolgok következnek; eloször is egy User Collection-re lesz szükségünk. Ez a collection határozza meg, hogy mely felhasználók jogosultak az eszközeiket enrollolni a Windows Intune alá.

Fontos kérdés még, hogy melyik site kezelje a mobil klienseket – itt bármelyik Primary site megadható.

UserCollection

Következo lépés a kezelni kívánt platformok kiválasztása.

Az alábbi platformokat külön-külön tudjuk engedélyezni, és a hozzájuk tartozó beállításokat elvégezni - természetesen késobb, amennyiben az összes felhasználónk lecseréli a telefonját Windows Phone-ra, a továbbiakban nem menedzselt platformokat bármikor ki tudjuk kapcsolni…

Nézzük egyesével, a varázslóban megjeleno sorrendben a beállításokat:

Android

Itt van a legkönnyebb dolgunk; semmilyen tanúsítvány nem szükséges.

Android

iOS

Amennyiben rendelkezünk Apple ID-val (regisztrációt igényel csak), ingyenesen igényelhetünk Apple Push Notification (APK) tanúsítványt.

A ConfigMgr konzol Administration/Cloud services fülén indítsuk el a Create APN Certificate Request varázslót. Adjuk meg a létrehozandó certificate signing request (.CSR) fájl mappáját, majd a Download gombra kattintva adjuk meg az Intune adminisztrátorunk nevét és jelszavát.

Apple_APN

Ezután a varázslóban található linken keresztül menjünk el az Apple Push Certificate Portal-ra, és a korábban létrehozott Apple ID-val jelentkezzünk be.

Új tanúsítvány kérésekor válasszuk a .CSR fájlt, töltsük fel, ezután az identity.apple.com-tól egy .JSON fájlt fogunk kapni. Nos, Jason-nel ne foglalkozzunk, mert csak egy szöveges leíró fájl a kért APN tanúsítvány lejárati idejével, és a használat céljával (Mobile Device Management):

{"ExpirationDate":"Feb 24, 2015","CertSN":"35481e0ba367efb","Vendor":" Microsoft Corporation","Service":"Mobile Device Management"}

Az Apple oldalát frissítve már letöltheto az MDM_ Microsoft Corporation_Certificate.PEM (Privacy Enhanced Mail) fájl - ezt kell végül az Intune Subscription tulajdonságlapján az iOS fülön kiválasztani.

Apple_DownloadPEM

iOS

 Windows

Amennyiben egyéni (nem Windows Store) modern stílusú alkalmazásokat szeretnénk telepíteni, szükségünk lesz egy Code signing tanúsítványra az alkalmazás hitelesítéséhez, illetve a kliens oldali telepítéshez pedig egy Sideloading kulcsra. Ez utóbbiról az alkalmazás telepítés résznél ejtünk majd szót, nem itt kell konfigurálni.

Az aláró tanúsítvány származhat “házi” PKI-ból, nem szükséges külso szolgáltatótól megvenni. Viszont mivel sablon szerkesztése szükséges Enterprise CA szükségeltetik a muvelethez.

A code signing tanúsítvány az alábbi blog alapján elkészítheto:

https://blogs.technet.com/b/deploymentguys/archive/2013/06/14/signing-windows-8-applications-using-an-internal-pki.aspx

Az exportált .PFX fájlt az Intune Subscription tulajdonságlapján a Windows fülön tudjuk megadni. Szeretném kiemelni, hogy a Windows 8.1, illetve Windows RT eszközök enrollmentjéhez nem szükségesek a fentiek, kizárólag az alkalmazás telepítéshez. Enrollmenthez mindössze a platformot szükséges engedélyeznünk.

Windows

Windows Phone 8

Windows Phone eszközök kezeléséhez egy Symantec Code Signing aláíró tanúsítványra van szükségünk. Mind a Company Portal alkalmazást – amin keresztül az eszközök a kiajánlott alkalmazásokat elérhetik – mind magukat az alkalmazásokat alá kell írni ezzel a tanúsítvánnyal.

Mivel ez a tanúsítvány nem ingyenes, tesztkörnyezet kialakításához, demózáshoz a Microsoft kiadott egy ingyenes Intune Trial Tool-t:

https://www.microsoft.com/en-us/download/details.aspx?id=39079

A részletes útmutató megtalálható a tool dokumentációjában, így erre most külön nem térnék ki. Telepítésével kapunk egy aláírt Company Portal-t és három aláírt alkalmazást, amiket kipróbálhatunk sikeres enrollment után.

WP8

Érdemes megjegyezni, hogy amennyiben az adott platform nincs engedélyezve, nemhogy az eszközök kezelése nem fog menni, hanem maga az enrollment folyamata (ld. következo cikk) is sikertelen lesz!

A subscription beállítása után engedi csak a ConfigMgr a Windows Intune Connector szerepkört telepíteni. Ez a szerepkör fog kapcsolódni az Intune elofizetésünkhöz, és a szinkronizációt végezni. Hasonlóan az Asset Intelligence synchronization point, illetve Endpoint Protection point szerepkörökhöz, ezt is a hierarchia legtetején lévo Central Administration Site-ra (CAS), vagy standalone primary site-ra kell telepíteni. A telepítés sikerességét a ConnectorSetup log is mutatja.

Az Intune Connector szerepkör folyamatosan figyeli az Intune Subscription-ben beállított collectiont, és amennyiben új felhasználóval találkozik, szinkronizálja az Intune-ban lévo megfelelo felhasználói objektummal és engedélyezi a felhasználónak az enrollmentet.

A szinkronizálás 5 percenként történik és a CloudUserSync.log-ban követheto nyomon.

Itt jön képbe az elozo részben bemutatott DirSync; amennyiben a DirSync már “fellotte” a felhobe a userünket, az Intune Connector be tudja hozzá állítani az enrollment jogot, ha benne van a collectionben. Ha a DirSync még nem szinkronizálta az on-premise AD-ból az Intune-ba a felhasználót, vagy nincsen benne a Subscription-ban definiált collection-ben, a felhasználó nem fog tudni enrollolni. Továbbá amennyiben a felhasználó UPN-je nem tartalmazza az Intune elofizetésbe felvett tartományt, szintén nem fog menni a szinkronizáció.

Mielott a cikk végére érünk, érdemes kitérni a ConfigMgr oldali Intune szinkronizálás monitorozására.

A Windows Intune Connector telepítése és az Intune Subscription beállítása után a szerver, ahová a szerepkört tettük, elkezd kommunikálni a felhovel. Konkrétan egy Device Management Point-on (DMP) keresztül megy a kommunikáció mindkét irányban. A késobbiekben beállított kliens beállítások (client settings), eszközbeállítások (mobile device configuration item), illetve a kihirdetett alkalmazásokról szóló információ a DMP-n kereszül jut el a kliensekhez, illetve fordítva, a kliensek által generált inventory adatok, valamint a szoftver telepítések eredményei szintén a DMP-n keresztül jutnak el a ConfigMgr site-hoz.

A hibakereséshez a következo logokat érdemes használni:

Beállítások, alkalmazás deployment metaadatok feltöltése az Intune felé – dmpuploader.log

Inventory, telepítések eredményei az Intune-ból az on-premise ConfigMgr felé – dmpdownloader.log

 

Most már minden a rendelkezésünkre áll ahhoz, hogy belevágjunk a legizgalmasabb részbe – enrolloljuk az eszközeinket és kipróbáljuk, mit is tudunk menedzselni rajtuk!

III. rész - Enrollment és inventory – Android