Voraussetzungen für die Verwaltung mobiler Geräte

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Für die Verwaltung mobiler Microsoft System Center Configuration Manager 2007-Geräte müssen auf Standortsystemen bestimmte Voraussetzungen erfüllt sein, damit mobile Geräte unterstützt werden und auf eine ordnungsgemäße Zertifikatinfrastruktur zugreifen können. In diesem Thema werden die drei Typen von Voraussetzungen sowie die Zertifikatinfrastruktur beschrieben, die die Verwaltung des mobilen Geräts ermöglicht, wenn der Client für die Verwaltung mobiler Geräte installiert und das mobile Gerät für die Kommunikation mit dem Configuration Manager 2007-Server bereit ist.

Voraussetzungen auf dem Standortsystem

Zur Unterstützung mobiler Geräte im gemischten oder einheitlichen Sicherheitsmodus müssen auf den von Geräten verwendeten Verteilungspunkten die folgenden Voraussetzungen erfüllt sein:

Hinweis

Damit ein Standort internetbasierte Mobilgeräte verwalten kann, muss er sich im einheitlichen Sicherheitsmodus befinden.

  • Internetinformationsdienste (Internet Information Services, IIS) und Firewalls müssen für die Kommunikation zwischen Configuration Manager 2007-Standortservern und mobilen Geräten konfiguriert sein.

  • WebDAV-Erweiterungen (Web Distributed Authoring and Versioning) für IIS müssen aktiviert sein.

  • Auf dem Verteilungspunkt müssen Erweiterungen für den intelligenten Hintergrundübertragungsdienst (Background Intelligent Transfer Service, BITS) aktiviert sein.

  • Nur im gemischten Modus: Auf dem Verteilungspunkt muss der anonyme Zugriff aktiviert sein.

Voraussetzungen für die sichere Kommunikation

Zur Unterstützung mobiler Geräte im einheitlichen Sicherheitsmodus sind die folgenden Vertrauensstellungen für Zertifikate erforderlich:

  • Der Client für mobile Geräte muss dem SSL-Serverauthentifizierungszertifikat jedes Servers vertrauen, von dem er Richtlinien empfängt oder Software herunterlädt. Dabei kann es sich um die zum Schutz von Standortsystemen verwendete Firewall oder den Proxyserver handeln oder um die Standortsysteme selbst (z. B. in einem Internetszenario).

  • Die Standortsysteme (oder Firewall/Proxy) müssen dem vom Client für mobile Geräte verwendeten SSL-Benutzerauthentifizierungszertifikat vertrauen, das zum Schutz der clientseitigen SSL-Verbindung dient.

  • Der Client für mobile Geräte muss zum Signieren der an ihn gesendeten Richtlinie dem vom Configuration Manager 2007-Standortserver verwendeten Standortserver-Signaturzertifikat vertrauen.

  • Auf dem Gerät müssen alle Zwischenzertifizierungsstellen-Zertifikate installiert sein, die für die Kette der vertrauenswürdigen Zertifikate zum PKI-Stamm erforderlich sind.

Voraussetzungen für sichere Software

Zum Schutz mobiler Geräte vor schädlicher oder nicht vertrauenswürdiger Software muss die installierte Software auf allen Windows Mobile-Geräten ab Windows Mobile 5.0 und Windows Mobile Smartphone 2003 von einer vertrauenswürdigen Quelle stammen.

  • Auf der Windows Mobile-Plattform werden verteilte Software und verteilte CAB-Dateien mit einem vertrauenswürdigen Zertifikat von Softwareherausgebern (Software Publishing Certificate, SPC) signiert. Darüber hinaus wird vom Client für mobile Geräte nach der Installation auf einem mobilen Gerät bei jedem Ausführen der Software überprüft, ob das SPC, mit dem der Code signiert wurde, von einer vertrauenswürdigen Quelle stammt.

  • Bestimmte Software muss auf dem mobilen Gerät auf einer bestimmten Berechtigungsstufe ausgeführt werden. Für den Configuration Manager 2007-Geräteverwaltungs-Agent sind zur Ausführung auf dem Gerät bestimmte Berechtigungen erforderlich. Für die Ausführung mit Berechtigungen muss sich das für die Codesignierung der Software verwendete SPC im SPC-Speicher UND im privilegierten Speicher auf dem mobilen Gerät befinden. Software, die mit Zertifikaten aus dem privilegierten Ausführungsspeicher signiert ist, wird mit erhöhten Rechten ausgeführt. Software, die mit Zertifikaten aus dem nicht privilegierten Ausführungsspeicher signiert ist, wird mit herkömmlichen Benutzerrechten ausgeführt.

Zertifikate auf mobilen Geräten

Die Microsoft System Center Configuration Manager 2007-Sicherheit im einheitlichen Modus hängt stark von den X.509v3-Zertifikaten der Public Key-Infrastruktur ab. Mobile Geräte können nicht durch eine Benutzeranmeldung oder den Zugriff auf Active Directory geschützt werden. Zertifikate sind für die Verwaltung mobiler Geräte extrem wichtig. Sie werden für Aufgaben vom Registrieren des Clients für mobile Geräte und dem Schützen der SSL-Verbindungen bis hin zum Überprüfen der Vertrauenswürdigkeit der Softwarequelle verwendet.

Zertifikate werden in folgenden Speicherorten auf dem Gerät gespeichert:

  • Stammzertifikatspeicher: Enthält das Stammzertifikat für die Authentifizierung der SSL-Serververbindung und das vom Standortserver zum Signieren von Richtlinien verwendete Standortserver-Signaturzertifikat. Darüber hinaus werden darin alle erforderlichen Zwischenzertifizierungsstellen-Zertifikate für eine vollständige vertrauenswürdige Kette zum Stamm der zu authentifizierenden PKI gespeichert.

  • Persönlicher Zertifikatspeicher: Enthält das zum Authentifizieren des Benutzers für die SSL-Verbindung mit dem Server verwendete Benutzerauthentifizierungszertifikat. Dies wird auch zum Registrieren des Clients für mobile Geräte auf dem Standortserver verwendet.

  • SPC-Speicher: Enthält alle für das Gerät vertrauenswürdigen SPCs. Dazu zählt beispielsweise das Microsoft Authenticode-Zertifikat, das zum Signieren des Clients für mobile Microsoft System Center Configuration Manager 2007-Geräte verwendet wird, damit dieser auf dem mobilen Gerät installiert werden kann. Weitere Informationen zu den Zertifikatanforderungen für die Configuration Manager 2007-Kommunikation finden Sie unter Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte.

  • Privilegierter Ausführungsspeicher: Enthält alle SPCs, die für die Ausführung von Anwendungen mit erhöhten Rechten auf dem mobilen Gerät erforderlich sind.

Siehe auch

Konzepte

Informationen zu den im einheitlichen Modus erforderlichen Zertifikaten für Clients für mobile Geräte
Grundlegendes zur Verwaltung mobiler Geräte

Andere Ressourcen

Konfigurieren der Verwaltung mobiler Geräte
Übersicht über die Verwaltung mobiler Geräte

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com