Планирование локального управления мобильными устройствами в System Center Configuration ManagerPlan for On-premises Mobile Device Management in System Center Configuration Manager

Применимо к: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Перед подготовкой инфраструктуры Configuration Manager для обработки локального управления мобильными устройствами примите во внимание приведенные далее требования.Consider the following requirements before preparing the Configuration Manager infrastructure to handle On-premises Mobile Device Management.

Поддерживаемые устройства Supported devices

Локальное управление мобильными устройствами позволяет управлять мобильными устройствами с помощью средств, встроенных в операционные системы устройств.On-premises Mobile Device Management allows you to manage mobile devices using the management capabilities built into the device operating systems. Возможность управления устройствами основана на стандарте Open Mobile Alliance (OMA) Device Management (DM), который применяется на многих платформах.The management capability is based on the Open Mobile Alliance (OMA) Device Management (DM) standard, and many device platforms use this standard to allow the devices to be managed. Мы называем их современными устройствами (в документации и пользовательском интерфейсе консоли Configuration Manager), чтобы отличать их от других устройств, для управления которыми требуется клиент Configuration Manager.We call these modern devices (in the documentation and the Configuration Manager console user interface) to distinguish them from other devices that require the Configuration Manager client to manage them.

Nota

Текущая ветвь Configuration Manager поддерживает регистрацию локального управления мобильными устройствами для устройств под управлением следующих операционных систем:The current branch of Configuration Manager supports enrollment in On-premises Mobile Device Management for devices running the following operating systems:

  • Windows 10 КорпоративнаяWindows 10 Enterprise
  • Windows 10 ProWindows 10 Pro
  • Windows 10 для совместной работы (начиная с Configuration Manager версии 1602)Windows 10 Team (beginning in Configuration Manager version 1602)
  • Windows 10 MobileWindows 10 Mobile
  • Windows 10 Mobile КорпоративнаяWindows 10 Mobile Enterprise
  • Windows 10 IoT КорпоративнаяWindows 10 IoT Enterprise

Использование подписки Microsoft Intune Use of the Microsoft Intune subscription

Чтобы начать работу с локальным управлением мобильными устройствами, вам потребуется подписка Microsoft Intune.To start using On-premises Mobile Device Management, you will need a Microsoft Intune subscription. Подписка нужна только для отслеживания лицензирования устройств и не используется в целях хранения информации управления для устройств и управления ей.The subscription is only required to track licensing of the devices and is not used to manage or store management information for the devices. Все управление осуществляется в корпоративной среде вашей организации с помощью локальной инфраструктуры Configuration Manager.All management is handled in your organization's enterprise using the on-premises Configuration Manager infrastructure.

Nota

Начиная с версии 1610 Configuration Manager поддерживает одновременное управление мобильными устройствами с помощью Microsoft Intune и локальной инфраструктуры Configuration Manager.Beginning in version 1610, Configuration Manager supports managing mobile devices using both Microsoft Intune and on-premises Configuration Manager infrastructure at the same time.

Если сайт имеет устройства с подключением к Интернету, с помощью службы Intune можно указать им проверить точку управления устройствами на наличие обновлений политик.If your site has devices with internet connectivity, the Intune service can be used to notify devices to check the device management point for policy updates. Такое использование Intune подходит исключительно для уведомления устройств с выходом в Интернет.This use of Intune is strictly for notification only of internet-facing devices. Устройства без подключения к Интернету (с которыми не может связаться Intune) используют для проверки ролей системы сайта на предмет функций управления настроенный интервал опроса.Devices without internet connections (and cannot be contacted by Intune) rely on the configured polling interval to check in with site system roles for management functions.

Dica

Мы рекомендуем настроить Intune перед установкой нужных ролей системы сайта, чтобы минимизировать время, необходимое для начала функционирования таких ролей.We recommend that you set up the Intune before you set up the required site system roles to minimize the time required for the site system roles to become functional.

Дополнительные сведения о настройке подписки см. в статье Настройка подписки Microsoft Intune для локального управления мобильными устройствами в System Center Configuration Manager.For information on how to set up the Intune subscription, see Set up a Microsoft Intune subscription for On-premises Mobile Device Management in System Center Configuration Manager.

Обязательные роли системы сайта Required site system roles

Для локального управления мобильными устройствами требуется по меньшей мере одна из следующих ролей системы сайта:On-premises Mobile Device Management requires at least one of each of the following site system roles:

  • Прокси-точка регистрации для поддержки запросов регистрации.Enrollment proxy point to support enrollment requests.

  • Точка регистрации для поддержки регистрации устройств.Enrollment point to support device enrollment.

  • Точки управления устройствами для применения политик.Device management point for policy delivery. Эта роль системы сайта является разновидностью роли точки управления, которая была настроена для управления мобильными устройствами.This site system role is a variation of the management point role that has been configured to allow for mobile device management.

  • Точка распространения для доставки содержимого.Distribution point for content delivery.

  • Точка подключения службы для подключения к Intune в целях уведомления устройств за пределами брандмауэра.Service connection point for connecting to Intune to notify devices outside the firewall.

    В зависимости от потребностей организации эти роли системы сайта можно установить на одном сервере системы сайта или запустить отдельно на разных серверах.These site system roles can be installed on the single site system server or can be run separately on different servers depending the needs of your organization. Каждый сервер системы сайта, используемый для локального управления мобильными устройствами, должен быть настроен в качестве конечной точки HTTPS для взаимодействия с доверенными устройствами.Each site system server used for On-premises Mobile Device Management must be configured as an HTTPS endpoint for communicating with trusted devices. Дополнительные сведения см. в статье Требуемое доверенное взаимодействие.For more information, see Required trusted communications.

    Дополнительные сведения о планировании ролей системы сайта см. в статье Планирование серверов системы сайта и ролей системы сайта для System Center Configuration Manager.For more information on planning for site system roles, see Plan for site system servers and site system roles for System Center Configuration Manager.

    Дополнительные сведения о добавлении нужных ролей системы сайта см. в статье Установка ролей системы сайта для локального управления мобильными устройствами в System Center Configuration Manager.For more information on how to add the required site system roles, see Install site system roles for On-premises Mobile Device Management in System Center Configuration Manager.

Требуемое доверенное взаимодействие Required trusted communications

Для локального управления мобильными устройствами требуется, чтобы роли системы сайта поддерживали связь по протоколу HTTPS.On-premises Mobile Device Management requires site system roles to be enabled for HTTPS communications. В зависимости от потребностей можно использовать центр сертификации (ЦС) вашего предприятия для установки доверенных подключений между серверами и устройствами либо использовать общедоступный ЦС в качестве доверенного.Depending on your needs, you can use your enterprise's certificate authority (CA) to establish the trusted connections between servers and devices or you could use a publicly available CA to be the trusted authority. В любом случае потребуется настроить сертификат веб-сервера с помощью служб IIS на серверах системы сайта, где размещаются роли системы сайта, а также установить корневой сертификат этого ЦС на компьютерах, которым требуется подключаться к серверам.Either way, you will need a web server certificate to be configured with IIS on the site system servers hosting the required site system roles, and you will need the root certificate of that CA installed on the devices that need to connect to those servers.

При использовании ЦС предприятия для установки доверенных соединений необходимо выполнить следующие задачи:If you use your enterprise's CA to establish trusted communications, you need to do the following tasks:

  • Создайте и выдайте шаблон сертификата веб-сервера в центре сертификации.Create and issue the web server certificate template on the CA.

  • Запросите сертификат веб-сервера для каждого сервера системы сайта, где размещается нужная роль системы сайта.Request a web server certificate for each site system server hosting a required site system role.

  • Настройте службы IIS на сервере системы сайта для использования запрошенного сертификата веб-сервера.Configure IIS on the site system server to use the requested web server certificate.

    Для устройств, присоединенных к корпоративному домену Active Directory, корневой сертификат центра сертификации предприятия уже доступен на устройстве для установки доверенных соединений.For devices joined to the corporate Active Directory domain, the root certificate of the enterprise CA is already available on the device for trusted connections. Это означает, что присоединенные к домену устройства (например настольные компьютеры) автоматически считаются доверенными для связи с серверами системы сайта по протоколу HTTPS.This means that domain-joined devices (like desktop computers) will automatically be trusted for HTTPS connections with the site system servers. Тем не менее, не присоединенные к домену устройства (обычно мобильные) не будут располагать нужным корневым сертификатом.However, non-domain-joined devices (typically mobile) will not have the required root certificate installed. На этих устройствах потребуется вручную установить корневой сертификат, чтобы они могли связаться с серверами системы сайта, поддерживающими локальное управление мобильными устройствами.Those devices will require the root certificate to be manually installed on them to successfully communicate with site system servers supporting On-premises Mobile Device Management.

    Необходимо экспортировать корневой сертификат выдающего ЦС для использования отдельными устройствами.You must export the root certificate of the issuing CA for use by individual devices. Чтобы получить файл корневого сертификата, его можно экспортировать с помощью центра сертификации. Но есть и более простой способ — использовать сертификат веб-сервера, выданный центром сертификации, для извлечения корня и создания файла корневого сертификата.To get the root certificate file, you can export it using the CA, or a simpler method is to use the web server certificate issued by the CA to extract the root and create a root certificate file. Потом этот корневой сертификат следует передать на устройство.Then, the root certificate must be delivered to the device. Некоторые примеры методов доставки:Some example delivery methods include

  • Файловая системаFile system

  • Вложение в сообщение электронной почтыEmail attachment

  • Карта памятиMemory card

  • Связанное устройствоTethered device

  • Облачное хранилище (например OneDrive)Cloud storage (such as OneDrive)

  • Подключение NFCNear field communication (NFC) connection

  • Сканер штрихкодовBarcode scanner

  • Пакет подготовки к запуску при первом включении компьютераOut of box experience (OOBE) provisioning package

    Дополнительные сведения см. в статье Настройка сертификатов для доверенного взаимодействия для локального управления мобильными устройствами в System Center Configuration Manager.For more information, see Set up certificates for trusted communications for On-premises Mobile Device Management in System Center Configuration Manager

Рекомендации по регистрации Enrollment considerations

Чтобы включить регистрацию устройств для локального управления мобильными устройствами, пользователям следует предоставить разрешение на регистрацию, а их устройства должны иметь возможность доверенной связи с серверами системы сайта, где размещаются нужные роли системы сайта.To enable device enrollment for On-premises Mobile Device Management, users must be granted permission to enroll and their devices must be able to have trusted communications with the site system servers hosting the required site system roles.

Предоставить пользователю разрешения на регистрацию можно путем настройки профиля регистрации в параметрах клиента Configuration Manager.Granting user enrollment permission can be accomplished through setting up an enrollment profile in Configuration Manager client settings. Параметры клиента по умолчанию можно использовать для передачи профиля регистрации всем обнаруженным пользователям, а также настроить профиль регистрации в пользовательских параметрах клиента и передать параметры в одну или несколько коллекций пользователей.You can use the default client settings to push the enrollment profile to all discovered users or you can set up the enrollment profile in custom client settings and push the settings to one or more user collections.

После получения данного разрешения пользователи могут регистрировать свои собственные устройства.With user enrollment permission granted, users can enroll their own devices. Для регистрации устройство пользователя должно иметь корневой сертификат центра сертификации (ЦС), выдавшего сертификат веб-сервера, используемого на серверах системы сайта, где размещаются нужные роли системы сайта.To get enrolled, the user's device must have the root certificate of the certification authority (CA) that issued the web server certificate used on the site system servers hosting the required site system roles.

В качестве альтернативы для регистрации, инициированной пользователем, можно настроить пакет массовой регистрации, позволяющий зарегистрировать устройство без вмешательства пользователя.As an alternative to user-initiated enrollment, you can set up a bulk enrollment package that allows the device to be enrolled without user intervention. Этот пакет можно передать на устройство, которое еще не подготовлено к использованию или уже прошло через процесс запуска при первом включении компьютера.This package can be delivered to the device before it is initially provisioned for use or after the device goes through its OOBE process.

Дополнительные сведения о настройке и регистрации устройств см. в статьях:For more information on how to set up and enroll devices, see