Verwalten von mobilen Geräten mit Configuration Manager und Microsoft Intune

 

Betrifft: Microsoft Intune, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Hinweis
Die Informationen in diesem Thema gelten für System Center 2012 Configuration Manager SP1 oder höher und System Center 2012 R2 Configuration Manager oder höher.

In der folgenden exemplarischen Vorgehensweise wird gezeigt, wie Sie Configuration Manager so konfigurieren, dass iOS-, Android- (einschließlich Samsung KNOX), Windows Phone- und Windows-Geräte mithilfe des Intune-Diensts über das Internet verwaltet werden. Sie verwenden zwar den Intune-Dienst, Verwaltungsaufgaben werden jedoch mithilfe der Standortsystemrolle „Microsoft Intune-Connector“ in der Configuration Manager-Konsole ausgeführt. Mit System Center 2012 R2 Configuration Manager können Sie auch Windows 8.1-Geräte als mobile Geräte verwalten, ohne den Configuration Manager-Client zu installieren.

Sie können Configuration Manager so konfigurieren, dass Benutzer auf sichere und verwaltete Weise auf Unternehmensressourcen auf ihren Geräten zugreifen können. Mithilfe der Geräteverwaltung schützen Sie Unternehmensdaten und ermöglichen es den Benutzern gleichzeitig, ihre privaten oder im Besitz des Unternehmens befindlichen mobilen Geräte anzumelden und auf Unternehmensdaten zuzugreifen. Bei Verwendung von Configuration Manager mit Intune stehen Ihnen die folgenden Verwaltungsfunktionen auf Geräten zur Verfügung:

• Abkoppeln und Zurücksetzen von Geräten

• Konfigurieren von Kompatibilitätseinstellungen wie Kennwörter, Sicherheit, Roaming, Verschlüsselung und Funkkommunikation

• Bereitstellen von Branchen-Apps auf Geräten

• Bereitstellen von Apps auf Geräten, die eine Verbindung mit Windows Store, Windows Phone Store, App Store oder Google Play herstellen

• Erfassen der Hardwareinventur

• Erfassen der Softwareinventur mithilfe integrierter Berichte

Im vorliegenden Dokument wird vorausgesetzt, dass Sie Computer mithilfe von Configuration Manager verwalten und beabsichtigen, die Configuration Manager-Konsole mit Microsoft Intune zu erweitern, um mobile Geräte zu verwalten. Nach dem Erweitern von Configuration Manager mit Intune können Sie Benutzern die Berechtigung zum Registrieren ihrer persönlichen Geräte oder zum Registrieren von firmeneigenen Geräten geben, die verwaltet werden sollen.

In den folgenden Abschnitten finden Sie Informationen zum Verwalten von mobilen Geräten mithilfe des Microsoft Intune-Connectors.

1. Voraussetzungen

2. Konfigurieren des Microsoft Intune-Abonnements

3. Die Standortsystemrolle „Microsoft Intune-Connector“

4. Vorbereiten für die Anmeldung mobiler Geräte

5. Nächste Schritte

Voraussetzungen

Anhand der folgenden Informationen können Sie die Voraussetzungen für die Verwaltung von mobilen Geräten bestimmen.

Externe Abhängigkeiten von Configuration Manager

Eine Checkliste zum Konfigurieren von Configuration Manager für die Verwaltung von mobilen Geräten finden Sie unter Administratorcheckliste: Konfigurieren von Configuration Manager zum Verwalten mobiler Geräte mithilfe von Microsoft Intune.

Externe Abhängigkeiten	Weitere Informationen
Registrieren für ein Microsoft Intune-Abonnement und -Konto	Registrieren Sie sich für ein Abonnement bei Microsoft Intune. Wenn Sie sich für Intune registrieren, abonnieren Sie ein Testabonnement. Sie können die Testversion innerhalb der Microsoft Intune-Kontoportal jederzeit in ein kostenpflichtiges (vollständiges) Abonnement umwandeln. Weitere Informationen finden Sie unter Einrichten von Microsoft Intune.
Hinzufügen einer öffentlichen Unternehmensdomäne	Alle Benutzerkonten müssen über einen öffentlich überprüfbaren Domänennamen verfügen, der von Intune überprüft werden kann.
Sicherstellen, dass Benutzer über einen UPN einer öffentlichen Domäne verfügen	Bevor Sie das Active Directory-Benutzerkonto synchronisieren, müssen Sie sicherstellen, dass die Benutzerkonten über einen Benutzerprinzipalnamen (UPN) einer öffentlichen Domäne verfügen. Weitere Informationen finden Sie unter Hinzufügen von Benutzerprinzipalnamen-Suffixen in der Active Directory-Dokumentationsbibliothek.
Bereitstellen und Konfigurieren der Verzeichnissynchronisierung	Es gibt mehrere Methoden, die Sie für die Verzeichnisintegration mit Intune verwenden können. Diese Methoden sind für alle Azure AD-Mandanten identisch. Informationen zu den verfügbaren Methoden und zum Drillthrough zu Verfahren für die ausgewählte Methode finden Sie im Thema Verzeichnisintegration.
Erstellen eines DNS-Alias (nur Windows-Geräte)	Erstellen Sie einen DNS-Alias (CNAME-Eintragstyp). Sie müssen einen CNAME-Eintrag im DNS konfigurieren, mit dem EnterpriseEnrollment.<Domänenname des Unternehmens>.com an „manage.microsoft.com“ umgeleitet wird. Wenn Melissa beispielsweise die E-Mail-Adresse „Melissa@contoso.com“ hat, müssen Sie im DNS einen CNAME-Eintrag erstellen, mit dem „EnterpriseEnrollment.contoso.com“ an „manage.microsoft.com“ umgeleitet wird. Der CNAME-Eintrag wird als Teil des Anmeldungsvorgangs für Windows-Geräte verwendet.

Konfigurieren des Microsoft Intune-Abonnements

Mithilfe des Microsoft Intune-Abonnements können Sie Ihre Konfigurationseinstellungen für den Intune-Dienst angeben. Sie können beispielsweise angeben, welche Benutzer ihre Geräte anmelden dürfen, und festlegen, welche Mobilgeräteplattformen verwaltet werden sollen. Nachdem Sie Ihr Abonnement erstellt haben, können Sie die Standortsystemrolle „Microsoft Intune-Connector“ installieren, die es Ihnen ermöglicht, eine Verbindung mit dem Intune-Dienst herzustellen. Von dieser Connector-Standortsystemrolle werden Einstellungen und Anwendungen mittels Push an den Intune-Dienst übertragen. Über das Intune-Abonnement werden die folgenden Schritte ausgeführt:

• Abrufen des Zertifikats, das vom Microsoft Intune-Connector zum Herstellen einer Verbindung mit dem Intune-Dienst benötigt wird

• Definieren der Benutzersammlung, die Benutzern das Anmelden ihrer mobilen Geräte ermöglicht

• Definieren und Konfigurieren der mobilen Plattformen, die Sie unterstützen möchten

So erstellen Sie das Microsoft Intune-Abonnement

1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

2. Wählen Sie die für Ihre jeweilige Version von Configuration Manager geeigneten Schritte aus:

   Für System Center 2012 Configuration Manager SP1:

   - Erweitern Sie im Arbeitsbereich **Verwaltung** den Bereich **Hierarchiekonfiguration**, und klicken Sie auf **Microsoft Intune-Abonnements**.
   
   - Klicken Sie auf der Registerkarte **Startseite** auf **Microsoft Intune-Abonnement erstellen**.
   

    

   Für Microsoft System Center 2012 Configuration Manager SP2 und
   System Center 2012 R2 Configuration Manager SP1:

   1. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Clouddienste, und klicken Sie auf Microsoft Intune-Abonnements.

   2. Klicken Sie auf der Registerkarte Startseite auf Microsoft Intune-Abonnement hinzufügen.

3. Lesen Sie im Assistenten zum Erstellen von Microsoft Intunes-Abonnements den Text auf der Seite Einleitung, und klicken Sie dann auf Weiter.

4. Klicken Sie auf der Seite Abonnement auf Anmelden, und melden Sie sich mit Ihrem Geschäfts- oder Schulkonto an. Aktivieren Sie im Dialogfeld Autorität für die Verwaltung mobiler Geräte festlegen das Kontrollkästchen für die alleinige Verwaltung mobiler Geräte mit Intune über die Configuration Manager-Konsole. Sie müssen diese Option auswählen, um den Vorgang zum Erstellen Ihres Abonnements fortsetzen zu können.

   Wichtig
   Wenn Sie Configuration Manager als Autorität für die Verwaltung ausgewählt haben, können Sie die Autorität für die Verwaltung nachfolgend nicht mehr in Microsoft Intune ändern.

5. Klicken Sie auf die Datenschutzlinks, um die entsprechenden Informationen zu lesen, und klicken Sie dann auf Weiter.

6. Geben Sie auf der Seite Allgemein die folgenden Optionen an, und klicken Sie dann auf Weiter.

   - **Sammlung**: Geben Sie eine Benutzersammlung an, in der die Benutzer enthalten sind, die ihre mobilen Geräte anmelden dürfen.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Wird ein Benutzer aus der Sammlung entfernt, wird das Gerät des Benutzers noch bis zu 24 Stunden verwaltet, nachdem der Benutzerdatensatz aus der Benutzerdatenbank entfernt wurde.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   
   - **Firmenname**: Geben Sie den Namen Ihres Unternehmens ein.
   
   - **Datenschutzdokumentations-URL des Untern.**: Wenn Sie die Datenschutzinformationen Ihres Unternehmens über einen Link veröffentlichen, auf den über das Internet zugegriffen werden kann, stellen Sie einen Link bereit, auf den die Benutzer über das Unternehmensportal zugreifen können. Aus den Datenschutzinformationen geht hervor, welche Informationen Benutzer für Ihr Unternehmen freigeben.
   
   - **Farbschema für Unternehmensportal**: Sie können optional die Standardfarbe Blau für Unternehmensportale ändern.
   
   - **Configuration Manager-Standortcode**: Geben Sie einen Standortcode für einen primären Standort zum Verwalten der mobilen Geräte an.
   
     <div class="alert">
   
     <table>
     <colgroup>
     <col style="width: 100%" />
     </colgroup>
     <thead>
     <tr class="header">
     <th><img src="images/Hh221337.s-e6f6a65cf14f462597b64ac058dbe1d0-system-media-system-caps-icon-note(SC.12).jpeg" title="System_CAPS_note" alt="System_CAPS_note" />Hinweis</th>
     </tr>
     </thead>
     <tbody>
     <tr class="odd">
     <td><p>Das Ändern des Standortcodes wirkt sich nur auf neue Anmeldungen aus und beeinflusst gegenwärtig angemeldete Geräte nicht.</p></td>
     </tr>
     </tbody>
     </table>
   
     </div>
   

7. Geben Sie auf der Seite Kontaktdaten des Unternehmens die Kontaktdaten des Unternehmens an, die im Unternehmensportal angezeigt werden, und klicken Sie dann auf Weiter.

8. Wählen Sie auf der Seite Firmenlogo aus, ob ein Logo im Unternehmensportal angezeigt werden soll, und klicken Sie dann auf Weiter.

9. Bei früheren Versionen als Configuration Manager SP2 wählen Sie auf der Seite Plattformen die zu verwaltenden Gerätetypen aus, überprüfen Sie die Plattformanforderungen, und klicken Sie dann auf Weiter. Sie müssen für jeden ausgewählten Gerätetyp zusätzliche Optionen konfigurieren. Verwenden Sie die nachfolgenden Verfahren, um weitere Informationen zu diesen Optionen zu erhalten. Klicken Sie nach dem Konfigurieren dieser zusätzlichen Optionen auf Weiter.

10. Schließen Sie den Assistenten ab.

Die Standortsystemrolle „Microsoft Intune-Connector“

Vom Microsoft Intune-Connector werden Einstellungen und Softwarebereitstellungsinformationen an Microsoft Intune gesendet sowie Status- und Inventurmeldungen von mobilen Geräten abgerufen. Der Intune-Dienst fungiert als Gateway, das mit mobilen Geräten kommuniziert und Einstellungen speichert.

Hinweis
Die Standortsystemrolle „Microsoft Intune-Connector“ kann nur an einem Standort der zentralen Verwaltung oder an einem eigenständigen primären Standort installiert werden.

So konfigurieren Sie die Rolle „Microsoft Intune-Connector“

1. Klicken Sie in der Configuration Manager-Konsole auf Verwaltung.

2. Erweitern Sie im Arbeitsbereich Verwaltung den Bereich Standortkonfiguration, und klicken Sie dann auf Server und Standortsystemrollen.

3. Fügen Sie einem neuen oder vorhandenen Standortsystemserver die Rolle „Microsoft Intune-Connector“ wie folgt hinzu:

   - Neuer Standortsystemserver: Klicken Sie auf der Registerkarte **Startseite** in der Gruppe **Erstellen** auf **Standortsystemserver erstellen**, um den Assistenten zum Erstellen von Standortsystemservern zu starten.
   
   - Bestehender Standortsystemserver: Klicken Sie auf den Server, auf dem die Rolle „Microsoft Intune-Connector“ installiert werden soll. Klicken Sie dann auf der Registerkarte **Startseite** in der Gruppe **Server** auf **Standortsystemrollen hinzufügen**, um den Assistenten zum Hinzufügen von Standortsystemrollen zu starten.
   

4. Wählen Sie auf der Seite Systemrollenauswahl die Option Microsoft Intune-Connector aus, und klicken Sie dann auf Weiter.

5. Schließen Sie den Assistenten ab.

Wie authentifiziert sich der Microsoft Intune-Connector beim Microsoft Intune-Dienst?

Der Microsoft Intune-Connector erweitert Microsoft Intune, indem er eine Verbindung mit dem cloudbasierten Configuration Manager-Dienst herstellt, der mobile Geräte über das Internet verwaltet. Die Authentifizierung der Microsoft Intune-Verbindung beim Microsoft Intune-Dienst geschieht auf folgende Weise:

1. Beim Erstellen eines Microsoft Intune-Abonnements in der Configuration Manager-Konsole wird der Intune-Administrator durch Herstellen einer Verbindung mit Azure Active Directory authentifiziert. Dadurch erfolgt eine Umleitung zum jeweiligen ADFS-Server, der zur Eingabe des Benutzernamens und Kennworts auffordert. Anschließend stellt Microsoft Intune ein Zertifikat für den Mandanten aus.

2. Das Zertifikat aus Schritt 1 wird in der Standortrolle „Microsoft Intune-Connector“ installiert und zum Authentifizieren und Autorisieren der gesamten weiteren Kommunikation mit dem Microsoft Intune-Dienst verwendet.

Vorbereiten für die Anmeldung mobiler Geräte

Bevor das Gerät registriert werden kann, müssen Sie eine Vertrauensstellung zwischen der Verwaltungslösung und den verwalteten mobilen Geräten einrichten. Diese Beziehung ist plattformspezifisch, wenn Sie also z. B. sowohl iOS-Geräte als auch Windows Phone-Geräte verwalten möchten, müssen Sie die Voraussetzungen für beide Plattformen erfüllen. In der folgenden Tabelle werden die Zertifikate oder Schlüssel aufgelistet, die für die Anmeldung mobiler Plattformen erforderlich sind.

Plattform	Zertifikate oder Schlüssel	So rufen Sie Zertifikate oder Schlüssel ab
Windows Phone 8	Das Unternehmensportal (ssp.xap) und jegliche Branchen-Apps müssen durch ein Codesignaturzertifikat für mobile Geräte von Symantec signiert werden.	Erwerben Sie ein Codesignaturzertifikat für mobile Geräte von Symantec. Wenn Sie eine Intune-Testversion verwenden, können Sie das Supporttool für die Windows Phone-Testverwaltung verwenden. Häufig gestellte Fragen zur Verwaltung mobiler Geräte
Windows Phone 8.1	Branchen-Apps müssen durch ein Codesignaturzertifikat für mobile Geräte von Symantec signiert werden.	Erwerben Sie ein Codesignaturzertifikat für mobile Geräte von Symantec. Es ist kein zusätzliches Zertifikat erforderlich, wenn die Benutzer nur Apps aus dem Store installieren. Hierzu zählt auch die Unternehmensportal-App.
Geräte mit Windows RT, Windows RT 8.1 oder Windows 8.1, die der Domäne nicht hinzugefügt wurden	Sideload-Schlüssel: Geräte müssen mit Sideload-Schlüsseln ausgestattet sein, um mittels Sideload übertragene Apps installieren zu können. Alle mittels Sideload übertragenen Apps müssen codesigniert werden.	Erwerben Sie Sideload-Schlüssel von Microsoft.
iOS	Apple Push Notification Service-Zertifikat	Fordern Sie ein Apple Push Notification Service-Zertifikat von Apple an. Weitere Informationen finden Sie unter Vorbereiten der Registrierung der iOS-Geräte in diesem Thema.
Android 4.0+ und Samsung KNOX	Keine	Nicht zutreffend.

Vorbereiten der Registrierung der iOS-Geräte

Zum Registrieren von iOS-Geräten müssen Sie die folgenden Schritte ausführen:

1. Herunterladen einer Zertifikatsignierungsanforderung
   Mit einer Zertifikatsignieranforderung können Sie bei der Zertifizierungsstelle von Apple ein Apple Push Notification Service-Zertifikat (APNs) beantragen.

   So laden Sie eine Zertifikatsignieranforderung herunter

   1. Wechseln Sie in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung zu Clouddienste > Microsoft Intune-Abonnements.

      Warnung
      Wenn andere Configuration Manager-Dialogfelder geöffnet sind, müssen Sie diese schließen, bevor Sie mit diesem Vorgang fortfahren.

   2. Klicken Sie auf der Registerkarte Startseite auf APNs-Zertifikatanforderung erstellen. Das Dialogfeld APNs-Zertifikatsignieranforderung anfordern wird geöffnet.

   3. Navigieren Sie zu dem Pfad, um die neue CSR-Datei (Zertifikatsignieranforderung) zu speichern. Speichern Sie die Zertifikatsignierungsanforderung (CSR-Datei) lokal.

   4. Klicken Sie auf Herunterladen. Die neue CSR-Datei für Microsoft Intune wird heruntergeladen und von Configuration Manager gespeichert. Die CSR-Datei wird verwendet, um ein Vertrauensstellungszertifikat vom Apple Push Certificates-Portal anzufordern.

2. Fordern Sie auf der Apple-Website ein Apple Push Notification Service-Zertifikat an.

   So fordern Sie ein Zertifikat für den Apple Push Notification Service an

   1. Stellen Sie eine Verbindung zum Apple Push Certificates Portal her, und melden Sie sich mit der Apple-ID Ihres Unternehmens an, um das APNs-Zertifikat zu erstellen. Diese Apple-ID muss später verwendet werden, um das APNs-Zertifikat zu erneuern.

   2. Melden Sie sich an, und führen Sie den Assistenten aus. Laden Sie das APNs-Zertifikat herunter, und speichern Sie die Datei lokal. Diese APNs-Zertifikatdatei (PEM) wird verwendet, um eine Vertrauensstellung zwischen dem Apple Push Notification-Server und der Verwaltungsautorität für mobile Geräte von Intune herzustellen.

3. Aktivieren der iOS-Registrierung

   So aktivieren Sie die iOS-Registrierung bei Versionen ab Configuration Manager SP2

   1. Wechseln Sie in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung zu Clouddienste > Microsoft Intune-Abonnement.

   2. Klicken Sie auf der Registerkarte Startseite in der Gruppe Abonnement auf Plattformen konfigurieren und dann auf IOS.

   3. Wählen Sie im Dialogfeld Eigenschaften von Microsoft Intune-Abonnement die Registerkarte iOS aus, und aktivieren Sie das Kontrollkästchen iOS-Anmeldung aktivieren.

   So aktivieren Sie die iOS-Registrierung bei früheren Versionen als Configuration Manager SP2

   1. Wechseln Sie in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung zu Clouddienste > Microsoft Intune-Abonnement.

   2. Wählen Sie im Dialogfeld Eigenschaften von Microsoft Intune-Abonnement die Registerkarte iOS aus, und aktivieren Sie das Kontrollkästchen iOS-Anmeldung aktivieren.

4. Hochladen des Apple Push Notification Service-Zertifikats 

   Klicken Sie auf Durchsuchen, und wechseln Sie zu der von Apple heruntergeladenen APNs-Zertifikatdatei (CER-Datei).Configuration Manager zeigt die APNs-Zertifikatinformationen an. Klicken Sie auf OK, um das APNs-Zertifikat in Intune zu speichern.

   Wichtig
   Laden Sie das Zertifikat des Apple Push Notification Service (APNS) erst hoch, wenn Sie die iOS-Registrierung in der Configuration Manager-Konsole aktiviert haben.

Vorbereiten der Registrierung von mobilen Windows- und Windows Phone-Geräten

Zur Unterstützung der Unternehmensportal-App für Windows Phone 8.0 und zur Bereitstelung von Unternehmens-Apps für Windows Phone 8.1 benötigen Sie ein Symantec Enterprise Mobile Code Signing Certificate. Sie können kein Zertifikat verwenden, das von Ihrer eigenen Zertifizierungsstelle ausgestellt wurde, da für Windows Phone-Geräte nur das Symantec-Zertifikat vertrauenswürdig ist. Wenn Benutzer nur Windows Phone 8.1-Geräte registrieren und Sie keine Branchen-Apps für Windows-Geräte bereitstellen, weisen Sie die Benutzer an, die Unternehmensportal-App aus Windows Phone Store zu installieren, und überspringen Sie die folgenden Schritte. Dieses Zertifikat wird für Folgendes verwendet:

• Signieren einer Unternehmensportal-App zur Bereitstellung in Windows Phone 8 für Registrierung und Telefonverwaltung

• Signieren von Unternehmens-Apps, sodass Configuration Manager sie für Windows-Telefone bereitstellen kann

Mithilfe der folgenden Schritte können Sie die erforderlichen Zertifikate bereitstellen und die Unternehmensportal-App signieren. Sie benötigen ein Windows Phone Dev Center-Konto, und Sie müssen ein Symantec-Zertifikat erwerben.

So bereiten Sie die Registrierung von mobilen Windows- und Windows Phone-Geräten vor

1. Anmelden beim Windows Phone Dev Center 
   Registrieren Sie sich mithilfe von Unternehmenskontodaten beim Windows Phone Dev Center, wenn Sie sich anmelden, um Ihr Unternehmenskonto zu erwerben. Diese Anforderung muss von einem Mitglied der Geschäftsleitung autorisiert werden, bevor Sie ein Codesignaturzertifikat erhalten.

2. Beziehen eines Symantec-Zertifikats für Unternehmen 
   Erwerben Sie unter Verwendung Ihrer Symantec-ID ein Zertifikat von der Symantec-Website. Nach dem Kauf des Zertifikats erhält die genehmigende Person in Ihrem Unternehmen, die Sie in Ihrem Windows Phone Dev Center-Konto bestimmt haben, eine E-Mail, in der die Genehmigung der Zertifikatanforderung angefordert wird. Weitere Informationen zu den Anforderungen des Symantec-Zertifikats finden Sie unter Warum erfordert Windows Phone ein Symantec-Zertifikat für die Verwaltung?

3. Importieren von Zertifikaten 
   Nachdem die Anforderung genehmigt wurde, erhalten Sie eine E-Mail mit Anweisungen zum Importieren von Zertifikaten. Führen Sie die Anweisungen in der E-Mail aus, um die Zertifikate zu importieren.

4. Überprüfen der importierten Zertifikate 
   Um zu überprüfen, ob die Zertifikate einwandfrei importiert wurden, navigieren Sie zum Snap-In Zertifikate. Klicken Sie mit der rechten Maustaste auf Zertifikate, und wählen Sie anschließend Zertifikate suchen. Geben Sie „Symantec“ in das Feld Enthält ein, und klicken Sie auf Jetzt suchen. Die importierten Zertifikate werden in den Ergebnissen angezeigt.

   

5. Exportieren eines Signaturzertifikats 
   Wenn Sie überprüft haben, dass die Zertifikate vorhanden sind, können Sie die PFX-Datei exportieren, um das Unternehmensportal zu signieren. Wählen Sie das Symantec-Zertifikat mit Beabsichtigter Zweck "Codesignatur" aus. Klicken Sie mit der rechten Maustaste auf das Codesignaturzertifikat, und wählen Sie Exportieren aus.

   

   Wählen Sie im Assistenten zum Exportieren von Zertifikaten die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter. Wählen Sie die Option Privater Informationsaustausch –PKCS #12 (.PFX) aus, und aktivieren Sie das Kontrollkästchen Möglichst alle Zertifikate im Zertifizierungspfad berücksichtigen. Schließen Sie den Assistenten ab. Weitere Informationen finden Sie unter Exportieren eines Zertifikats mit dem privaten Schlüssel.

6. Herunterladen des Unternehmensportals 
   Laden Sie das Intune-Unternehmensportal für Windows Phone aus dem Download Center herunter. Der Standardinstallationspfad lautet C:\Program Files (x86)\Microsoft Corporation\Windows Intune Company Portal for Windows Phone.

7. Herunterladen des SDK
   Laden Sie das Windows Phone SDK herunter.

8. Erstellen einer Codesignatur für die Unternehmensportal-App 
   Verwenden Sie die App XAPSignTool, die Sie mit dem SDK heruntergeladen haben, um das Unternehmensportal mit der PFX-Datei zu signieren, die Sie anhand des Symantec-Zertifikats erstellt haben. Weitere Informationen dazu finden Sie unter Signieren einer Unternehmens-App mit dem Tool XapSignTool.

9. Erstellen einer Anwendung für die Verteilung
   Erstellen Sie eine bereitzustellende Anwendung, die die signierte Unternehmensportal-App enthält. Wählen Sie Informationen zu dieser Anwendung automatisch anhand der Installationsdateien erkennen aus. Wählen Sie unter Typ die Option Windows Phone-App-Paket (XAP-Datei) aus. Navigieren Sie im Feld Speicherort zu einer Netzwerkfreigabe, in die Sie die Datei „ssp.xap“ kopiert haben. Auf der Seite Allgemeine Informationen geben Sie einen Namen ein, der in der Configuration Manager-Konsole angezeigt wird. Beachten Sie jedoch, dass die Anwendung in Windows Phone in der Anwendungsliste immer als Unternehmensportal angezeigt wird.

10. Aktivieren der Verwaltung mithilfe von Configuration Manager

    Führen Sie die folgenden Schritte für die Windows-Geräte aus, die Sie verwalten.

    So aktivieren Sie die Windows Phone-Registrierung bei Versionen ab System Center 2012 Configuration Manager SP2

    1. Wechseln Sie in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung zu Clouddienste > Microsoft Intune-Abonnements.

       Warnung
       Wenn andere Configuration Manager-Dialogfelder geöffnet sind, müssen Sie diese schließen, bevor Sie mit diesem Vorgang fortfahren.

    2. Klicken Sie auf der Registerkarte Startseite auf Plattformen konfigurieren und dann auf Windows Phone.

    3. Wählen Sie auf der Registerkarte Allgemein die verwendeten Windows Phone-Plattformen aus, und klicken Sie dann auf Weiter. Mit den Optionen Windows Phone 8.0 und Windows Phone 8.1 und höher werden die Anforderungen für diese Plattformen bestimmt. Wenn Sie z. B. Windows Phone 8.0 auswählen, müssen Sie die Unternehmensportal-App auf der Registerkarte Unternehmensportal-App angeben. Wenn Sie nur die Option Windows Phone 8.1 und höher auswählen, werden die Optionen auf der Registerkarte Unternehmensportal-App deaktiviert, da die Unternehmensportal-App-Installation bei Geräten mit Windows Phone 8.1 oder höher nicht mit der Geräteregistrierung verknüpft ist.

    4. Fügen Sie die Zertifikatdatei (.pfx) hinzu, die Sie in PFX-Datei exportiert haben. Sie können auch Anwendungsregistrierungstoken auswählen und zum Speicherort der Dateien navigieren.

    5. Klicken Sie auf der Registerkarte Unternehmensportal-App auf Durchsuchen, und wählen Sie das Anwendungspaket aus, das die signierte Unternehmensportal-App enthält. Diese Option ist nur verfügbar, wenn Sie auf der Registerkarte Allgemein die Option Windows Phone 8.0 auswählen. Für Windows Phone 8.1 und höher stellen Sie die Anwendung bereit, die die Unternehmensportal-App mit dem Bereitstellungszweck Erforderlich enthält. Details finden Sie unter Erstellen und Bereitstellen von Anwendungen für mobile Geräte in Configuration Manager.

    So aktivieren Sie die Windows Phone-Registrierung bei früheren Versionen als System Center 2012 Configuration Manager SP2

    1. Für Windows Phone 8.1 müssen Sie die Windows Phone 8.1-Erweiterung in der Configuration Manager-Konsole aktivieren. Weitere Informationen finden Sie unter Aktivieren von Erweiterungen.

    2. Geben Sie auf der Seite Windows Phone des Assistenten zum Erstellen von Microsoft Intunes-Abonnements oder in den Eigenschaften für das Abonnement die PFX-Datei an, die Sie erhalten haben.

    3. Geben Sie den Namen des Unternehmensportal-Anwendungspakets für Microsoft Intune an, das Sie erstellt haben.

    So aktivieren Sie die Windows-Geräteregistrierung bei Versionen ab System Center 2012 Configuration Manager SP2

    1. Wechseln Sie in der Configuration Manager-Konsole im Arbeitsbereich Verwaltung zu Clouddienste > Microsoft Intune-Abonnements.

       Warnung
       Wenn andere Configuration Manager-Dialogfelder geöffnet sind, müssen Sie diese schließen, bevor Sie mit diesem Vorgang fortfahren.

    2. Klicken Sie auf der Registerkarte Startseite auf Plattformen konfigurieren und dann auf Windows.

    3. Wählen Sie auf der Registerkarte Allgemein die Option zum Aktivieren der Windows-Registrierung aus. Wenn Sie ein Zertifikat der Zertifizierungsstelle Ihres Unternehmens besitzen, klicken Sie auf Durchsuchen, um das Codesignaturzertifikat anzugeben, das für alle Windows 8-Apps verwendet werden soll.

       Hinweis
       Alle Apps müssen codesigniert werden. Dieses Zertifikatfeld ist für das Zertifikat Ihres Unternehmens vorgesehen. Wenn Sie ein Zertifikat von einer externen Zertifizierungsstelle erworben haben, können Sie dieses Feld leer lassen.

    So aktivieren Sie die Windows-Geräteregistrierung bei früheren Versionen als System Center 2012 Configuration Manager SP2

    1. Wenn Sie ein Zertifikat der Zertifizierungsstelle Ihres Unternehmens besitzen, klicken Sie auf der Seite Windows RTKonfiguration des Assistenten zum Erstellen von Microsoft Intunes-Abonnements oder in den Eigenschaften für das Abonnement auf Durchsuchen, um das Codesignaturzertifikat anzugeben, das für alle Windows 8-Apps verwendet werden soll.

       Hinweis
       Alle Apps müssen codesigniert werden. Dieses Zertifikatfeld ist für das Zertifikat Ihres Unternehmens vorgesehen. Wenn Sie ein Zertifikat von einer externen Zertifizierungsstelle erworben haben, können Sie dieses Feld leer lassen.

    2. Klicken Sie auf Hinzufügen, um Ihre Sideload-Schlüssel einzugeben.

11. Verteilen der Anwendung
    Verwenden Sie den Assistenten zum Verteilen von Inhalten, um die Microsoft Intune-Unternehmensportalanwendung an den Verteilungspunkt „manage.microsoft.com“ zu verteilen.

    Wichtig
    Erstellen Sie für diese Anwendung keine Bereitstellung. Die Bereitstellung wird nach Beendigung des Assistenten für Microsoft Intune-Abonnements automatisch erstellt.

Ihr Codesignaturzertifikat von Symantec für Windows-Geräte erneuern

Das zur Verwaltung bestimmter mobiler Windows- und Windows Phone-Geräte verwendete Symantec-Zertifikat muss regelmäßig erneuert werden. Für Windows Phone 8.0-Geräte sind für die Geräteregistrierung eine signierte Unternehmensportal-App und das Codesignaturzertifikat erforderlich. Spätere Windows Phone-Geräte können die aus dem Store heruntergeladene Unternehmensportal-App verwenden. Zur Bereitstellung von Branchen-Apps ist auch ein codesigniertes Zertifikat erforderlich.

So wird das Symantec-Codesignaturzertifikat erneuert

1. Suchen Sie nach einer Erneuerungs-E-Mail, die ungefähr 14 Tage vor Ablauf des Zertifikats von Symantec gesendet wurde. Diese E-Mail enthält Anweisungen von Symantec zum Erneuern des Zertifikats für Ihr Unternehmen.

   Weitere Informationen zu Symantec-Zertifikaten finden Sie unter www.symantec.com, oder telefonisch unter 1-877-438-8776 oder + 1-650-426-3400.

2. Wechseln Sie zu der Website (z. B.: https://products.websecurity.symantec.com/orders/enrollment/microsoftCert.do), und melden Sie sich mit der Symantec-Herausgeber-ID und der mit dem Zertifikat verbundenen E-Mail-Adresse an. Denken Sie daran, den gleichen Computer für das Starten der Erneuerung zu verwenden, den Sie auch zum Herunterladen des Zertifikats verwenden werden.

3. Sobald die Erneuerung genehmigt und bezahlt wurde, können Sie das Zertifikat herunterladen.

Installieren des aktualisierten Symantec-Zertifikats für Windows Phone 8.0

1. Das neueste Windows Phone-Unternehmensportal können Sie hier herunterladen und signieren: https://www.microsoft.com/en-us/download/details.aspx?id=36060.

2. Suchen Sie in der Configuration Manager-Konsole den Arbeitsbereich Windows Phone, und klicken Sie dann auf Signierte App hochladen.

3. Laden Sie das neu signierte Unternehmensportal hoch. Sie benötigen die neu signierte SSP.XAP-Datei und die neue PFX-Datei, die Sie von Symantec erhalten, oder das Anwendungsregistrierungstoken, das mit dieser neuen PFX-Datei erstellt wurde.

4. Wenn das Hochladen abgeschlossen ist, entfernen Sie in der Intune-Verwaltungskonsole die alte Version des Unternehmensportals im Arbeitsbereich Software.

5. Signieren Sie alle Branchen-Apps erneut mit demselben Zertifikat, laden Sie sie hoch, und ersetzen Sie vorhandene Anwendungen.

Das Bereitstellen einer signierten SSP.XAP-Datei ist derzeit die einzige Möglichkeit, das aktualisierte Codesignaturzertifikat bereitzustellen. Zur Unterstützung signierter Branchen-Apps müssen Sie eine Unternehmensportal-App signieren und hochladen, auch wenn die Benutzer die Unternehmensportal-App über den Store installieren.

Installieren des aktualisierten Zertifikats für Geräte mit Windows Phone 8.1 oder höher

1. Das neueste Windows Phone-Unternehmensportal können Sie im Download Center herunterladen und signieren: https://www.microsoft.com/en-us/download/details.aspx?id=36060.

2. Suchen Sie in der Configuration Manager-Konsole den Arbeitsbereich Windows Phone, und klicken Sie dann auf Signierte App hochladen.

3. Laden Sie das neu signierte Unternehmensportal hoch. Sie benötigen die neu signierte SSP.XAP-Datei und die neue PFX-Datei, die Sie von Symantec erhalten, oder das Anwendungsregistrierungstoken, das mit dieser neuen PFX-Datei erstellt wurde.

4. Wenn das Hochladen abgeschlossen ist, entfernen Sie die alte Version des Unternehmensportals im Arbeitsbereich Software.

5. Signieren Sie alle neuen und aktualisierten Unternehmens-Apps unter Verwendung des neuen Zertifikats. Vorhandene Anwendungen müssen nicht erneut signiert und erneut bereitgestellt werden.

Vorbereiten der Registrierung der Android-Geräte

Für System Center 2012 R2 Configuration Manager können Benutzer die Unternehmensportal-App für Android aus Google Play herunterladen, mit der sie Android-Geräte (einschließlich Samsung KNOX) anmelden können. Mit der Android-Unternehmensportal-App können Sie die Kompatibilitätseinstellung verwalten, Android-Geräte zurücksetzen oder löschen, Apps bereitstellen und die Software- und Hardwareinventur erfassen. Wenn die Android-Unternehmensportal-App auf Android-Geräten nicht installiert ist oder Sie Configuration Manager SP1 verwenden, stehen Ihnen nicht alle Verwaltungsfunktionen zur Verfügung (z. B. Inventur- und Kompatibilitätseinstellungen), aber Sie können trotzdem Apps auf Android-Geräten bereitstellen.

Nächste Schritte

Nachdem Sie Configuration Manager nun für die Verwaltung mobiler Geräte konfiguriert haben und Benutzer ihre Geräte anmelden können, verwenden Sie die folgenden Links, um Geräte zu verwalten.

• Schützen Ihrer Daten mit Remotezurücksetzen, Remotesperre und Kennungszurücksetzung mit Configuration Manager

• Allgemeine Einstellungen für mobile Geräte im Konfigurations-Manager

• Erstellen und Bereitstellen von Anwendungen für mobile Geräte in Configuration Manager

• Konfigurieren von Hardwareinventur für mobile Geräte, die von Microsoft Intune in Configuration Manager angemeldet werden

• Einführung in die Softwareinventur in Configuration Manager

• Einführung in Remoteverbindungsprofile in Configuration Manager

• Einführung in WLAN-Profile in Configuration Manager

• Einführung in Zertifikatprofile in Configuration Manager

• Einführung in VPN-Profile in Configuration Manager

• Einführung in E-Mail-Profile in Configuration Manager

Siehe auch

Vorgänge und Wartungstasks für die Clientbereitstellung in Configuration Manager