A System Center Configuration Manager helyszíni mobileszköz-kezelésének tervezésePlan for On-premises Mobile Device Management in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Vegye figyelembe az alábbi követelményeket kezelni a Configuration Manager infrastruktúra előkészítése előtt-helyszíni mobileszköz-kezelés.Consider the following requirements before preparing the Configuration Manager infrastructure to handle On-premises Mobile Device Management.

Támogatott eszközökSupported devices

A helyszíni mobileszköz-kezelés lehetővé teszi az eszköz operációs rendszerének beépített felügyeleti funkciói segítségével mobil eszközök kezelését.On-premises Mobile Device Management allows you to manage mobile devices using the management capabilities built into the device operating systems. A felügyeleti funkció az Open Mobile Alliance (OMA) Device Management (DM) szabványán alapul, és számos eszközplatform használja az eszközök felügyeletének lehetővé tételére.The management capability is based on the Open Mobile Alliance (OMA) Device Management (DM) standard, and many device platforms use this standard to allow the devices to be managed. Ezek nevezzük modern eszközök (a dokumentációjában és a Configuration Manager konzol felhasználói felületén) megkülönböztetendő más azokat kezelheti a Configuration Manager-ügyfél igénylő eszközök.We call these modern devices (in the documentation and the Configuration Manager console user interface) to distinguish them from other devices that require the Configuration Manager client to manage them.

Megjegyzés

Az aktuális ág a Configuration Manager helyszíni mobileszköz-kezelés a következő operációs rendszereket futtató eszközök beléptetési támogatja:The current branch of Configuration Manager supports enrollment in On-premises Mobile Device Management for devices running the following operating systems:

  • Windows 10 EnterpriseWindows 10 Enterprise
  • Windows 10 ProWindows 10 Pro
  • A Windows 10 Team (kezdve a Configuration Manager 1602-es verzió)Windows 10 Team (beginning in Configuration Manager version 1602)
  • Windows 10 mobil verzióWindows 10 Mobile
  • Windows 10 Mobile EnterpriseWindows 10 Mobile Enterprise
  • Windows 10 IoT EnterpriseWindows 10 IoT Enterprise

A Microsoft Intune-előfizetés használataUse of the Microsoft Intune subscription

Használatának-helyszíni mobileszköz-kezelés, szüksége lesz egy Microsoft Intune-előfizetést.To start using On-premises Mobile Device Management, you will need a Microsoft Intune subscription. Az előfizetés csak az eszközök licenckezelésének nyomon követéséhez szükséges, és a program nem használja azt az eszközök felügyeletére vagy az eszközökre vonatkozó felügyeleti információk tárolására.The subscription is only required to track licensing of the devices and is not used to manage or store management information for the devices. Az összes felügyeleti tevékenység kezelése vállalati környezetben a helyi Configuration Manager infrastruktúrájának használatával.All management is handled in your organization's enterprise using the on-premises Configuration Manager infrastructure.

Megjegyzés

A Configuration Manager támogatja 1610 verziójától kezdve a mobileszközök kezelését a Microsoft Intune és a helyi Configuration Manager infrastruktúrájának használatával egyszerre.Beginning in version 1610, Configuration Manager supports managing mobile devices using both Microsoft Intune and on-premises Configuration Manager infrastructure at the same time.

Ha a helyen vannak internetkapcsolattal rendelkező eszközök, az Intune szolgáltatás segítségével ellenőrizze, hogy az eszközfelügyeleti pont a házirend-frissítési eszközök értesítésére.If your site has devices with internet connectivity, the Intune service can be used to notify devices to check the device management point for policy updates. Ez az Intune használata szigorúan csak az internetes kitettségű eszközök értesítésére szolgál.This use of Intune is strictly for notification only of internet-facing devices. Internetkapcsolat nélküli eszközök (és az Intune által nem érhető el) a konfigurált lekérdezési időközt jelentkeznek be a felügyeleti funkciók helyrendszerszerepkörök támaszkodnak.Devices without internet connections (and cannot be contacted by Intune) rely on the configured polling interval to check in with site system roles for management functions.

Tipp

Azt javasoljuk, hogy az Intune beállítása előtt a szükséges helyrendszerszerepköröket a helyrendszerszerepkör működőképességéhez szükséges idő minimalizálásához.We recommend that you set up the Intune before you set up the required site system roles to minimize the time required for the site system roles to become functional.

Az Intune-előfizetés beállítása információkért lásd: Microsoft Intune-előfizetés beállítása helyszíni mobileszközök kezeléséhez a System Center Configuration Managerben.For information on how to set up the Intune subscription, see Set up a Microsoft Intune subscription for On-premises Mobile Device Management in System Center Configuration Manager.

Szükséges helyrendszerszerepkörökRequired site system roles

A-helyszíni mobileszköz-kezelés az egyes a következő helyrendszerszerepkörök közül legalább egy szükséges:On-premises Mobile Device Management requires at least one of each of the following site system roles:

Szükséges megbízható kommunikációRequired trusted communications

A-helyszíni mobileszköz-kezelés szükséges helyrendszerszerepkörök engedélyezni kell a HTTPS-kommunikációhoz.On-premises Mobile Device Management requires site system roles to be enabled for HTTPS communications. Igényeitől függően használhatja a vállalati hitelesítésszolgáltatót (CA) a kiszolgálók és eszközök közötti megbízható kapcsolatok létrehozásához, vagy pedig egy nyilvánosan elérhető hitelesítésszolgáltatót megbízható hatóságként.Depending on your needs, you can use your enterprise's certificate authority (CA) to establish the trusted connections between servers and devices or you could use a publicly available CA to be the trusted authority. Mindkét esetben szüksége lesz egy webkiszolgáló-tanúsítvány konfigurálására az IIS-kiszolgálóval a szükséges helyrendszerszerepköröket tartalmazó helyrendszer-kiszolgálókon, valamint a hitelesítésszolgáltató által azon eszközökre telepített főtanúsítványra, amelyeket csatlakoztatni kell ezekhez a kiszolgálókhoz.Either way, you will need a web server certificate to be configured with IIS on the site system servers hosting the required site system roles, and you will need the root certificate of that CA installed on the devices that need to connect to those servers.

A vállalati hitelesítésszolgáltató megbízható kommunikációra való használatakor végezze el a következő teendőket:If you use your enterprise's CA to establish trusted communications, you need to do the following tasks:

  • A webkiszolgáló-tanúsítvány sablonjának létrehozása és kiállítása a hitelesítésszolgáltatónál.Create and issue the web server certificate template on the CA.

  • Webkiszolgáló-tanúsítvány igénylése minden szükséges helyrendszerszerepkört futtató helyrendszer-kiszolgálóhoz.Request a web server certificate for each site system server hosting a required site system role.

  • Az IIS szolgáltatás konfigurálása a helyrendszer-kiszolgálón a kért webkiszolgáló-tanúsítvány használatára.Configure IIS on the site system server to use the requested web server certificate.

    A vállalati Active Directory tartományhoz csatlakozó eszközök esetében a vállalati hitelesítésszolgáltató főtanúsítványa már rendelkezésre áll az eszközön a megbízható kapcsolatokhoz.For devices joined to the corporate Active Directory domain, the root certificate of the enterprise CA is already available on the device for trusted connections. Ez azt jelenti, hogy a tartományhoz csatlakozó eszközök (például asztali számítógépek) automatikusan megbízhatók lesznek a helyrendszer-kiszolgálókkal való HTTPS-kapcsolatok esetében.This means that domain-joined devices (like desktop computers) will automatically be trusted for HTTPS connections with the site system servers. Azonban a nem tartományhoz csatlakoztatott (általában mobil) eszközökre nincs telepítve a szükséges főtanúsítvány.However, non-domain-joined devices (typically mobile) will not have the required root certificate installed. Az eszközök szükséges ahhoz, hogy sikeresen kommunikálni a helyrendszer-kiszolgálók támogatása manuálisan kell telepíteni a főtanúsítványt-helyszíni mobileszköz-kezelés.Those devices will require the root certificate to be manually installed on them to successfully communicate with site system servers supporting On-premises Mobile Device Management.

    Az egyes eszközök általi használathoz exportálnia kell a kiállító hitelesítésszolgáltató főtanúsítványát.You must export the root certificate of the issuing CA for use by individual devices. A főtanúsítvány-fájl beszerzéséhez exportálhatja azt a hitelesítésszolgáltató használatával, vagy egy egyszerűbb módszerként használhatja a hitelesítésszolgáltató által kibocsátott webkiszolgáló-tanúsítványt a főtanúsítvány kibontására, majd létrehozhatja a főtanúsítvány-fájlt.To get the root certificate file, you can export it using the CA, or a simpler method is to use the web server certificate issued by the CA to extract the root and create a root certificate file. Ezt követően a főtanúsítványt kézbesíteni kell az eszközre.Then, the root certificate must be delivered to the device. Néhány példa kézbesítési módszerekreSome example delivery methods include

  • FájlrendszerFile system

  • E-mail mellékletEmail attachment

  • MemóriakártyaMemory card

  • Megosztott eszközTethered device

  • Felhőalapú tároló (például a OneDrive)Cloud storage (such as OneDrive)

  • Kis hatótávolságú kommunikáció (NFC) kapcsolatNear field communication (NFC) connection

  • VonalkódolvasóBarcode scanner

  • Kezdőélmény (OOBE) telepítési csomagOut of box experience (OOBE) provisioning package

    További információk: A megbízható kommunikációhoz szükséges tanúsítványok beállítása a helyszíni mobileszközök kezeléséhez a System Center Configuration Managerben.For more information, see Set up certificates for trusted communications for On-premises Mobile Device Management in System Center Configuration Manager

Regisztrációs megfontolásokEnrollment considerations

Az eszköz regisztrálásának engedélyezése-helyszíni mobileszköz-kezelés, felhasználókhoz kell rendelni a regisztrálására vonatkozó engedéllyel, és az eszközeik megbízható kommunikációra a szükséges helyrendszerszerepköröket üzemeltető helyrendszer-kiszolgálók képesnek kell lennie.To enable device enrollment for On-premises Mobile Device Management, users must be granted permission to enroll and their devices must be able to have trusted communications with the site system servers hosting the required site system roles.

Felhasználói regisztrálási jogosultság megadása egy regisztrációs profilt, a Configuration Manager-ügyfél beállításai beállításának lépésein is elvégezhető.Granting user enrollment permission can be accomplished through setting up an enrollment profile in Configuration Manager client settings. A regisztrációs profil az ügyfél alapértelmezett beállításait használva leküldhető az összes felderített felhasználónak vagy beállíthatja a regisztrációs profilt az egyéni ügyfélbeállításokban, és leküldheti a beállításokat egy vagy több felhasználói gyűjteménynek.You can use the default client settings to push the enrollment profile to all discovered users or you can set up the enrollment profile in custom client settings and push the settings to one or more user collections.

Miután megadta a felhasználói regisztrálási jogosultságot, a felhasználók regisztrálhatják saját eszközeiket.With user enrollment permission granted, users can enroll their own devices. A regisztráláshoz a felhasználó eszközének rendelkeznie kell a helyrendszerszerepköröket üzemeltető helyrendszer-kiszolgálókon használt webkiszolgáló-tanúsítványt kiállító hitelesítésszolgáltató főtanúsítványával.To get enrolled, the user's device must have the root certificate of the certification authority (CA) that issued the web server certificate used on the site system servers hosting the required site system roles.

A felhasználó által kezdeményezett regisztráció alternatívájaként beállíthat egy csoportos regisztrációs csomagot, amely lehetővé teszi az eszköz felhasználói beavatkozás nélküli regisztrálását.As an alternative to user-initiated enrollment, you can set up a bulk enrollment package that allows the device to be enrolled without user intervention. Ezt a csomagot el lehet juttatni az eszközre az első használatra való kiosztás előtt, vagy azután, hogy az eszköz végighaladt a OOBE folyamaton.This package can be delivered to the device before it is initially provisioned for use or after the device goes through its OOBE process.

A regisztráció beállításával kapcsolatos további információkért lásd:For more information on how to set up and enroll devices, see