In dieser Session gaben Jürg Koller und Pascal Berger eine Übersicht über Windows Intune Standalone. Sie thematisierten DirSync und ADFS. Ebenfalls zeigten Sie auf, welche Voraussetzungen es sonst noch braucht für Mobile Device Management (z.B. Zertifikate, Sideloading Keys). Auch zeigten sie, wie man ConfigMgr mit Windows Intune verbinden kann.
Mobile Device Management mit Windows Intune und SCMM, Part 1
1. Jürg Koller
Pascal Berger
CONSULTANT
trueIT GMBH
juerg.koller@trueit.ch @juergkoller
CONSULTANT
trueIT GMBH
pascal.berger@trueit.ch @bergerspascal
blog.trueit.ch / trueit.ch
blog.trueit.ch / trueit.ch
Mobile Device Management (MDM) Part1
Eine Übersicht über Windows Intune Standalone. Was sind DirSync und ADFS.
Sonstige Voraussetzungen für Mobile Device Management (z.B. Zertifikate,
Sideloading Keys). Wie den Config Manager mit Windows Intune verbinden.
Configuration Manager
2. Agenda Part 1
Kurze Übersicht: Was ist Windows Intune?
Testen und Kaufen
Windows Intune Konsole
Directory Sync
Was muss ich für MDM besorgen?
SCCM Konsole
13.01.2014
CMCE 2014 RTM
2
3. Agenda Part 2
Geräte verbinden (Win 8.1, RT 8.1, Phone 8, iOS, Android)
Erfassen von Apps und deren Installation
Compliance Settings
Selective Wipe und Full Wipe
Was bringt die Zukunft
13.01.2014
CMCE 2014 RTM
3
5. Was ist Windows Intune?
Windows Intune ist eine Cloud basierte Lösung zum Verwalten von
Geräten. (SCCM Lite aus der Cloud)
Es unterstützt eine Vielzahl von Client Betriebssystemen:
Windows
Windows RT
Windows Phone
iOS (iPhone & iPad)
Android (Phones & Tablets)
13.01.2014
CMCE 2014 RTM
5
6. Was ist Windows Intune?
Intune bietet folgende Möglichkeiten:
Geräte-Inventarisierung
Updates (WSUS) und Virenschutz (Endpoint Protection)
Alerts und Monitoring
Software-Inventarisierung und SW-Verteilung
(Win, iOS, Android)
Lizenzverwaltung
Richtlinien
Reports
13.01.2014
CMCE 2014 RTM
6
7. Was ist Windows Intune?
Windows Intune bietet zum Beispiel diese Vorteile:
Keine eigene Server-Infrastruktur die gekauft und gewartet
werden muss
Funktioniert super mit Office 365
Einfache und übersichtliche Webkonsole zur Bedienung
Kann auch verwendet werden um SCCM 2012 zu erweitern
Einfaches Management von BYOD (Bring your one device)
Management von Geräten ohne Domäne möglich
13.01.2014
CMCE 2014 RTM
7
9. Testen und Kaufen
Windows Intune bietet eine 30 tägige, kostenlose Testversion:
25 Benutzerlizenzen mit jeweils 5 Geräten
20 GB Speicher für SW-Verteilung
Falls Sie Intune danach kaufen möchten gibt es zwei Preispläne.
Normal = 5.90/Monat und User (5 Geräte pro User)
Mit Windows Software Assurance = 10.90/Monat und User
Bestehende Software Assurance-Kunden erhalten einen Rabatt.
Auch möglich mit einem EA oder Campus & School Agreement.
Zusätzlicher Speicher kann in 1GB Schritten dazugekauft werden.
Mehr Infos und Registrierung
13.01.2014
CMCE 2014 RTM
9
10. Testen und Kaufen
Windows Intune Lizenzen beinhalten auch Lizenzen für:
Microsoft System Center Configuration Manager
System Center Endpoint Protection
Wenn die Subskription ausläuft oder gekündet wird, so muss SCCM
und Endpoint Protection wieder deinstalliert werden.
Weitere Infos:
Windows_Intune_Licensing_Brief.pdf
13.01.2014
CMCE 2014 RTM
10
12. Intune Konsole
Es gibt für Windows Intune drei Webkonsolen:
Das Company Portal (https://portal.manage.microsoft.com/)
Das Admin Portal* (https://manage.microsoft.com/)
Das Account Portal (https://account.manage.microsoft.com/)
* Benötigt SilverLight
13.01.2014
CMCE 2014 RTM
12
15. Directory Sync Szenarien
DirSync DirSync mit DirSync
PW Sync 1
mit ADFS
Synchronisiert neue User von lokalem AD
automatisch nach Azure AD
Synchronisiert Änderungen an bestehenden
Account von lokalem AD nach Azure AD
Ermöglich den Usern Anmeldung an Windows
Intune mit lokalem AD Usernamen und Passwort
Passwort Policy von lokalem AD
User Authentication geschieht im lokalen AD
Ermöglich an Domain-joined Geräten Single
Sign-On SSO
Aktuelle DirSync Version herunterladen:
1
http://go.microsoft.com/fwlink/?LinkID=278924
Passwort Sync ab DirSync Version 6382.0000
13.01.2014
CMCE 2014 RTM
15
16. DirSync Tool Anforderungen
• Windows Server 2008 SP2 oder neueres Server OS
• Mitglied von Active Directory Forest welcher synchronisiert
werden soll
• Microsoft .NET Framework 3.5 SP1 und .NET Framework 4.0
sowie Windows PowerShell muss installiert sein
• Zugriff und Zugang zu DirSync Server sollte stark eingeschränkt
sein
• Aktuelle DirSync Version installiert SQL Express 2012 SP1 und
FIM 2010 R2 SP1
• Während Installation wird Enterprise Admin Account benötigt
• Ab Version 6567.0018 Installation auf DC möglich
13.01.2014
CMCE 2014 RTM
16
17. DirSync
•
•
•
•
Standardmässig werden alle User und Gruppen synchronisiert
Synchronisierung von Accounts und Gruppen alle drei Stunden
Synchronisation kann über miisclient.exe konfiguriert werden
Passwort Synchronisation kann während DirSync Setup optional
aktiviert werden
• In Active Directory sind die Passwörter als Hash Werte
gespeichert und werden auch so übertragen
• Passwort Synchronisation unmittelbar nach PW Wechsel
• DirSync mit PW Synchronisation übernimmt PW Policy von
lokaler Domäne
13.01.2014
CMCE 2014 RTM
17
18. DirSync mit ADFS
• ADFS ermöglicht Single Sign-on auf Domain Joined und
Workplace-joined (Windows 8.1 und iOS) Geräten
• Benutzer Authentisierung erfolgt durch lokales Active Directory
• ADFS Infrastruktur sollte hochverfügbar ausgelegt sein
• Es werden auch third-party Identity Provider wie Shibboleth
und andere unterstützt http://technet.microsoft.com/enus/library/jj679342.aspx
13.01.2014
CMCE 2014 RTM
18
20. Was muss ich für
MDM besorgen?
(Gilt für Intune alleine
und auch mit SCCM)
20
21. Was muss ich für MDM besorgen?
Windows 8.1
Management:
Nichts
SW-Verteilung eigene Store Apps:
Bei Windows Enterprise (Nur Group Policies)
Bei allen anderen Versionen zusätzlich noch Sideloading Keys
Ein Code Signing Zertifikat
SW-Verteilung öffentliche Store Apps aus dem Windows Store:
Bei Intune: den Link auf die App (Via Share Charm)
Bei SCCM: einen PC auf dem die App drauf ist
SW-Verteilung Legacy Apps:
Nichts
13.01.2014
CMCE 2014 RTM
21
22. Was muss ich für MDM besorgen?
Sideloading
Keys
Kunden mit Software Assurance in den folgenden
Programmen haben bereits ohne zusätzliche Kosten Keys:
Enterprise Agreement with Windows
Enterprise Subscription Agreement with Windows
Enrollment for Education Solutions with Windows (under a Campus and School Agreement)
School Enrollment with Windows
Select and Select Plus with Software Assurance for Windows
Die Keys sind im Volume Licensing Service Center (VLSC) zu finden.
13.01.2014
CMCE 2014 RTM
22
23. Was muss ich für MDM besorgen?
Sideloading Keys
Andere Kunden in den folgenden Programmen können Keys
kaufen:
Select and Select Plus
Open License
Keys sind 100er Bundles für ca. 3000$ und neu in 10er Bundles für
ca. 300$ erhältlich.
13.01.2014
CMCE 2014 RTM
23
24. Was muss ich für MDM besorgen?
Windows 8.1 RT
Management:
Nichts
SW-Verteilung eigne Store Apps:
Sideloading Keys
Ein Code Signing Zertifikat
SW-Verteilung öffentliche Store Apps aus dem Windows Store:
Bei Intune: den Link auf die App (Via Share Charm)
Bei SCCM: einen PC auf dem die App drauf ist
13.01.2014
CMCE 2014 RTM
24
25. Was muss ich für MDM besorgen?
Windows Phone 8
Management:
Nichts
SW-Verteilung Eigne Apps:
Ein Code Signing Zertifikat (Von Symantec)
Windows Phone Developper Account
Signiertes Company Portal
oder zum Testen (Support Tool for Windows Intune Trial Management of Window Phone 8 )
SW-Verteilung Store Apps:
Alles von oben
Der Link auf die App im Store
13.01.2014
CMCE 2014 RTM
25
26. Was muss ich für MDM besorgen?
iOS
Apple Push Notification Service Certificate
Management:
Nichts
SW-Verteilung Eigne Apps:
Ein Code Signing Zertifikat
Developper Account
SW-Verteilung Store Apps:
Der Link auf die App im Store
13.01.2014
CMCE 2014 RTM
26
27. Was muss ich für MDM besorgen?
Android
Management:
Nichts
SW-Verteilung Eigne Apps:
Nichts (Code Signing Zertifikat von Vorteil)
SW-Verteilung Store Apps:
Der Link auf die App im Store
13.01.2014
CMCE 2014 RTM
27
28. Was muss ich für MDM besorgen?
Plattform
Voraussetzung
Windows 8.1 & RT
- Sideloading Keys
- Ein Code Signing Zertifikat
Windows Phone
- Ein Code Signing Zertifikat (Von Symantec)
- Windows Phone Developper Account
- Signiertes Company Portal
oder zum Testen (Support Tool for Windows Intune
Trial Management of Window Phone 8 )
iOS
- Apple Push Notification Service Certificate
Android
- Nichts
13.01.2014
CMCE 2014 RTM
28
30. Windows Intune Integration
Die folgenden Schritte müssen durchlaufen werden, um MDM
Support in ConfigMgr zu konfigurieren:
1. Public Domain in Windows Intune erfassen
2. In Active Directory den Public Domain User Principal Name
(UPN) konfigurieren und ConfigMgr User Discovery ausführen
3. Optional Active Directory Federated Services ADFS einrichten
damit auf Domain-joined Geräten Single Sign-On (SSO)
verwendet werden kann
4. Active Directory Synchronisation DirSync einrichten
5. Windows Intune Connector in ConfigMgr hinzufügen
6. Benutzer in Windows Intune Lizenz hinzufügen
13.01.2014
CMCE 2014 RTM
30