Microsoft 系統中心：使用 System Center 管理行動裝置

發行項
08/18/2016

網路每天都會冒出許多行動裝置，Microsoft System Center 管理工具能夠幫助您著手處理這些裝置。

Posey Brien

沒有否認行動裝置會重整企業。幾乎每個人都有智慧型手機，而且碑到目前為止已在今年的消費者電子設備顯示最大的本文。雖然行動裝置已經完全主流，企業網路仍有執行的攔截最多一點。您最大的挑戰之一就有效地管理日益增加的數量和各種不同的網路上的行動裝置。

一些組織已經部署 Microsoft Exchange Server 的唯一目的是使用動態同步原則來管理行動裝置。時，這個方法行得通，Microsoft 不會有更明確地說俴娊在企業環境量身訂做的解決方案：系統中心行動裝置管理員 2008 MDM。

MDM 2008 的主要目標是協助您管理行動裝置的管理桌上型電腦和膝上型電腦的相同方式，你很習慣。當然，行動裝置並不會提供所有的桌上型與膝上型電腦功能。因此，MDM 2008 致力於幾個關鍵領域。明確地說，它可協助您執行下列功能：

應用程式部署
群組原則管理
裝置清單
遠端將零售價的遺失或遭竊的裝置

MDM 架構

MDM 2008 SP1 提供了三個伺服器角色：「閘道」伺服器、註冊伺服器與管理伺服器。以下是這些角色的簡短概觀：

「閘道」伺服器： 「閘道」伺服器給內部網路連結您的行動裝置。這被為了坐在 DMZ 周邊網路和做為行動裝置與後端網路之間的「閘道」。因為這台伺服器曝露到網際網路，Microsoft 建議對它加入網域。因為它不是網域成員，這也表示它不能使用 Windows NT Lan 管理員 (NTLM)，Kerberos 或「 Active Directory 網域服務來驗證行動裝置。相反地，驗證程序為基礎的憑證，這是您將需要企業憑證授權單位的原因。

管理伺服器： 管理伺服器的工作是將已在網路上使用的通訊協定轉換成稱為開啟的 Mobile 結盟裝置管理或 OMA 總性資料採擷的通訊協定。這基本上表示管理伺服器是什麼可讓您以您目前管理您電腦的方式類似的方式管理行動裝置。

註冊伺服器: 若要在企業環境中管理電腦，他們必須是網域成員。行動裝置無法在相同的方式，Pc 可以，但是它們可以被登記到網域中加入 Windows 網域。註冊伺服器這能夠讓。

部署考量

當首次發表 MDM 2008 時，安裝程序是極為簡單。一旦網域已準備好，所有您其實只需要執行「安裝精靈」。安裝程式精靈仍然可以輕鬆地按照，但是 2008年後已有所變更很多。遵守一些必要條件頗具挑戰性。

在新部署階段沒有 MDM 2008 安裝精靈不能在伺服器上的識別各種必要條件與相關的幾個問題。以下是一些您可能會遇到的部署問題與步驟可讓您減輕它們的方法。

無法與 Windows Server 2008 MDM 2008。您必須在 Windows Server 2003 或 Windows Server 2003 R2 安裝 MDM 2008。它支援 x86 和 x 64 架構，但就比較省事部署的系統管理工具，如果您使用 x86 架構。

不論您選擇安裝 Windows Server 2003 R2 到實體或虛擬硬體，您可能會無法遇到安裝問題。有時候，當嘗試安裝 Windows Server 2008 R2 到較新的伺服器上，安裝程式將會藍色螢幕除非您進入伺服器的 BIOS 和停用伺服器的虛擬化支援，並支援的否執行函式。也已在其中安裝程式會前往藍色螢幕錯誤除非伺服器的 BIOS 設定操作 IDE 模式中的 SATA 控制站的情況。

使用虛擬伺服器也可能造成問題。在某些 (但並非全部) Hyper-V 伺服器上，重新啟動虛擬機器 (VM) 執行 Windows Server 2003 或 Windows Server 2003 R2 的任何類別會一致地造成登錄軟體 hive 損毀。不過，此錯誤不會發生在所有 Hyper-V 伺服器上。

必要條件狀態您需要 SQL Server 2005 SP2 或更新版本。您也必須使用成熟的 (它不支援 Express 版) 的 SQL Server 版本。另外值得注意的是它不支援 SQL Server 2008。

其中一個 MDM 裝置管理伺服器的必要條件是您必須安裝 Windows 伺服器更新服務 (WSUS) SP1 (看起來不支援 WSUS 3.0 SP2)。在嘗試部署使用 WSUS 3.0 SP2，安裝程式無法甚至識別安裝 WSUS 時。

系統管理工具需要您的伺服器來執行 Windows PowerShell 1.0。請小心的執行 MDM 2008 伺服器的自動更新。 Windows PowerShell 2.0 自動安裝成 Windows 管理架構核心封裝的一部份。

如果您已經安裝此套件，您可以將它移除與控制面板新增/移除程式] 小程式。當您這麼做時，您會收到一則訊息告訴您移除封裝會中斷數個應用程式，包括 WSUS 和 IIS。不過，看來可以放心地移除這不論警告訊息。

最後，如果您想要管理透過群組原則」設定的行動裝置，表示您必須部署的系統管理工具元件的群組原則延伸部份。這是需要一點技巧。執行這項作業需要安裝群組原則管理主控台 (GPMC). 不幸的是，主控台將不會在 64 位元版本的 Windows Server 2003 上執行。

有一個解決方法，可讓您在 64 位元伺服器上，安裝 GPMC，但即使這樣做，「 MDM 2008 安裝精靈」會拒絕認可主控台安裝。因此，您唯一的選擇是設定為執行 32 位元作業系統的電腦和安裝到主控台。

MDM 2008 需要您的組織已經部署企業根憑證授權單位。該憑證授權單位可以在 Windows 2003 或 Windows 2008 上執行。

註冊裝置

一旦您有 MDM 2008 啟動且正在執行，就會比較容易開始註冊行動裝置。若要啟動 pre-enrollment 的程序並註冊裝置，開啟 [系統中心行動裝置管理員] 主控台。瀏覽整個主控台樹狀目錄至行動裝置管理員 |(您 MDM 2008 執行個體) |裝置管理 |所有受管理的裝置。按一下 [建立 Pre-Enrollment 連結。這會啟動 [Pre-Enrollment] 精靈。

按一下 [下一步] 略過 [歡迎] 畫面啟動精靈。接下來，您會看到一個畫面，詢問要命名您想要註冊的裝置。您可以使用任何名稱，可協助您識別裝置，但是它必須是小於 15 個字元長，而且不能包含空格。此畫面也可讓您變更裝置建立所在，組織單位，雖然預設值通常運作正常。

當您按一下 [下一步] 時，將會要求您選取的裝置會指派對象的 Active Directory 使用者。之後您的選擇，按一下 [下一步]。您現在應該可以看到組態摘要的 pre-enrollment。假設所有項目似乎是正確的按一下 [建立] 按鈕。建立程序完成時將會通知您 (請參閱 圖 1)。

圖 1pre-enrollment 的程序之後, 您可以輕鬆地新增行動裝置

這個螢幕都含有與使用者必須註冊他們的裝置電子郵件地址和註冊密碼。請記下的電子郵件地址和密碼在 pre-enrollment 中包含摘要。

註冊裝置的程序，會根據 Windows Mobile 版本而有所不同。這個外框的程序假設我們將會使用 Windows Mobile 6.5。值得注意的是 Windows 電話 7 不提供裝置註冊功能。

若要註冊的 Windows Mobile 6.5 裝置，按一下裝置的 [開始] 按鈕。請移至設定 |連線。再點一下 [網域註冊] 圖示。裝置現在應該顯示註冊程序的概觀。按一下 [註冊] 按鈕，將會提示您輸入的電子郵件地址和 Pre-Enrollment 精靈所產生的密碼 (請參閱 圖 2)。

圖 2Windows Mobile 會要求註冊認證

輸入這些認證，裝置將試著找出您註冊的伺服器。如果該裝置是找不到註冊伺服器，它可能會要求您為它的名稱與下列螢幕上。當過程結束時，您會看到一則訊息通知您該註冊已順利完成裝置上 (請參閱 圖 3)。

圖 3 Windows Mobile 會確認成功的裝置註冊

裝置應該也會列出系統中心行動裝置管理員所有管理裝置容器中 (請參閱 圖 4)，不過，您可能要重新整理顯示。

圖 4 新註冊的裝置將會顯示系統中心行動裝置管理員所有管理裝置容器中

應用程式部署

系統中心行動裝置管理員軟體發佈主控台 (請參閱 圖 5) 可讓您應用程式散發給行動裝置。若要執行這項操作，行動裝置應用程式必須包裝成套件中。您可以建立封裝主控台樹狀目錄中軟體發佈來瀏覽 |MDM |封裝 |軟體套件，然後按一下 [建立] 連結上。這會啟動「建立套件精靈」。

圖 5系統中心行動裝置管理員軟體發佈主控台可讓您封裝和部署行動應用程式

精靈引導您走過幾個簡單的步驟，您可以將封裝您的應用程式。之後執行這項作業，您可以使用主控台來部署套件。主控台甚至還提供了一種機制來追蹤的封裝部署。

群組原則管理

一旦您的裝置註冊的 Windows 網域，您可以透過「群組原則管理它。當您安裝群組原則延伸時，「群組原則編輯器會提供您許多特定的群組原則設定值到行動裝置。這些設定可讓您強制執行的裝置上的密碼，並啟用或停用各種裝置功能。

這些特定使用者群組原則設定位於使用者設定/系統管理範本/Windows 行動設定。裝置特有的設定是在電腦組態] / [系統管理範本/Windows 行動設定。

如果在您的網路上的網域中註冊行動裝置已遺失或遭竊，MDM 2008 可讓您執行遠端清除。若要執行這項操作，請移至系統中心行動裝置管理員所有管理裝置] 容器上按一下滑鼠右鍵裝置，並從快顯功能表中選擇 [立即清除] 命令。另外還有可讓使用者在清除行動裝置遭到自助入口網站。

似乎與成長量不斷增加各種不同的行動裝置，管理它們可以很沈重。如同任何項目，不過，您只需要適當的工具為工作。

Brien Posey

Posey Brien ，類似 MVP，是使用千分位的文件以及十幾種要他信用。活頁簿的名自由技術作者您可以造訪他的網站，在 brienposey.com.