In dieser Session gaben Jürg Koller und Pascal Berger eine Übersicht über Windows Intune Standalone. Sie thematisierten DirSync und ADFS. Ebenfalls zeigten Sie auf, welche Voraussetzungen es sonst noch braucht für Mobile Device Management (z.B. Zertifikate, Sideloading Keys). Auch zeigten sie, wie man ConfigMgr mit Windows Intune verbinden kann.

1. Jürg Koller
Pascal Berger
CONSULTANT
trueIT GMBH
juerg.koller@trueit.ch @juergkoller
CONSULTANT
trueIT GMBH
pascal.berger@trueit.ch @bergerspascal
blog.trueit.ch / trueit.ch
blog.trueit.ch / trueit.ch
Mobile Device Management (MDM) Part1
Eine Übersicht über Windows Intune Standalone. Was sind DirSync und ADFS.
Sonstige Voraussetzungen für Mobile Device Management (z.B. Zertifikate,
Sideloading Keys). Wie den Config Manager mit Windows Intune verbinden.
Configuration Manager

2. Agenda Part 1






Kurze Übersicht: Was ist Windows Intune?
Testen und Kaufen
Windows Intune Konsole
Directory Sync
Was muss ich für MDM besorgen?
SCCM Konsole
13.01.2014
CMCE 2014 RTM
2

3. Agenda Part 2





Geräte verbinden (Win 8.1, RT 8.1, Phone 8, iOS, Android)
Erfassen von Apps und deren Installation
Compliance Settings
Selective Wipe und Full Wipe
Was bringt die Zukunft
13.01.2014
CMCE 2014 RTM
3

4. Kurze Übersicht:
Was ist Windows
Intune?
4

5. Was ist Windows Intune?
Windows Intune ist eine Cloud basierte Lösung zum Verwalten von
Geräten. (SCCM Lite aus der Cloud)
Es unterstützt eine Vielzahl von Client Betriebssystemen:
 Windows
 Windows RT
 Windows Phone
 iOS (iPhone & iPad)
 Android (Phones & Tablets)
13.01.2014
CMCE 2014 RTM
5

6. Was ist Windows Intune?
Intune bietet folgende Möglichkeiten:
 Geräte-Inventarisierung
 Updates (WSUS) und Virenschutz (Endpoint Protection)
 Alerts und Monitoring
 Software-Inventarisierung und SW-Verteilung
(Win, iOS, Android)
 Lizenzverwaltung
 Richtlinien
 Reports
13.01.2014
CMCE 2014 RTM
6

7. Was ist Windows Intune?
Windows Intune bietet zum Beispiel diese Vorteile:
 Keine eigene Server-Infrastruktur die gekauft und gewartet
werden muss
 Funktioniert super mit Office 365
 Einfache und übersichtliche Webkonsole zur Bedienung
 Kann auch verwendet werden um SCCM 2012 zu erweitern
 Einfaches Management von BYOD (Bring your one device)
 Management von Geräten ohne Domäne möglich
13.01.2014
CMCE 2014 RTM
7

8. Testen und Kaufen
8

9. Testen und Kaufen
Windows Intune bietet eine 30 tägige, kostenlose Testversion:
 25 Benutzerlizenzen mit jeweils 5 Geräten
 20 GB Speicher für SW-Verteilung
Falls Sie Intune danach kaufen möchten gibt es zwei Preispläne.
 Normal = 5.90/Monat und User (5 Geräte pro User)
 Mit Windows Software Assurance = 10.90/Monat und User
Bestehende Software Assurance-Kunden erhalten einen Rabatt.
Auch möglich mit einem EA oder Campus & School Agreement.
Zusätzlicher Speicher kann in 1GB Schritten dazugekauft werden.
Mehr Infos und Registrierung
13.01.2014
CMCE 2014 RTM
9

10. Testen und Kaufen
Windows Intune Lizenzen beinhalten auch Lizenzen für:
 Microsoft System Center Configuration Manager
 System Center Endpoint Protection
Wenn die Subskription ausläuft oder gekündet wird, so muss SCCM
und Endpoint Protection wieder deinstalliert werden.
Weitere Infos:
Windows_Intune_Licensing_Brief.pdf
13.01.2014
CMCE 2014 RTM
10

11. Intune Konsole
11

12. Intune Konsole
Es gibt für Windows Intune drei Webkonsolen:
 Das Company Portal (https://portal.manage.microsoft.com/)
 Das Admin Portal* (https://manage.microsoft.com/)
 Das Account Portal (https://account.manage.microsoft.com/)
* Benötigt SilverLight
13.01.2014
CMCE 2014 RTM
12

13. Intune Konsole
Demo
Das Admin Portal
13.01.2014
CMCE 2014 RTM
13

14. Directory Sync
14

15. Directory Sync Szenarien
DirSync DirSync mit DirSync
PW Sync 1
mit ADFS
Synchronisiert neue User von lokalem AD
automatisch nach Azure AD



Synchronisiert Änderungen an bestehenden
Account von lokalem AD nach Azure AD



Ermöglich den Usern Anmeldung an Windows
Intune mit lokalem AD Usernamen und Passwort


Passwort Policy von lokalem AD


User Authentication geschieht im lokalen AD

Ermöglich an Domain-joined Geräten Single
Sign-On SSO

Aktuelle DirSync Version herunterladen:
1
http://go.microsoft.com/fwlink/?LinkID=278924
Passwort Sync ab DirSync Version 6382.0000
13.01.2014
CMCE 2014 RTM
15

16. DirSync Tool Anforderungen
• Windows Server 2008 SP2 oder neueres Server OS
• Mitglied von Active Directory Forest welcher synchronisiert
werden soll
• Microsoft .NET Framework 3.5 SP1 und .NET Framework 4.0
sowie Windows PowerShell muss installiert sein
• Zugriff und Zugang zu DirSync Server sollte stark eingeschränkt
sein
• Aktuelle DirSync Version installiert SQL Express 2012 SP1 und
FIM 2010 R2 SP1
• Während Installation wird Enterprise Admin Account benötigt
• Ab Version 6567.0018 Installation auf DC möglich
13.01.2014
CMCE 2014 RTM
16

17. DirSync
•
•
•
•
Standardmässig werden alle User und Gruppen synchronisiert
Synchronisierung von Accounts und Gruppen alle drei Stunden
Synchronisation kann über miisclient.exe konfiguriert werden
Passwort Synchronisation kann während DirSync Setup optional
aktiviert werden
• In Active Directory sind die Passwörter als Hash Werte
gespeichert und werden auch so übertragen
• Passwort Synchronisation unmittelbar nach PW Wechsel
• DirSync mit PW Synchronisation übernimmt PW Policy von
lokaler Domäne
13.01.2014
CMCE 2014 RTM
17

18. DirSync mit ADFS
• ADFS ermöglicht Single Sign-on auf Domain Joined und
Workplace-joined (Windows 8.1 und iOS) Geräten
• Benutzer Authentisierung erfolgt durch lokales Active Directory
• ADFS Infrastruktur sollte hochverfügbar ausgelegt sein
• Es werden auch third-party Identity Provider wie Shibboleth
und andere unterstützt http://technet.microsoft.com/enus/library/jj679342.aspx
13.01.2014
CMCE 2014 RTM
18

19. DirSync Tool
Demo
Setup DirSync Tool mit OU-Level Filtering
13.01.2014
CMCE 2014 RTM
19

20. Was muss ich für
MDM besorgen?
(Gilt für Intune alleine
und auch mit SCCM)
20

21. Was muss ich für MDM besorgen?
Windows 8.1
Management:
 Nichts
SW-Verteilung eigene Store Apps:
 Bei Windows Enterprise (Nur Group Policies)
 Bei allen anderen Versionen zusätzlich noch Sideloading Keys
 Ein Code Signing Zertifikat
SW-Verteilung öffentliche Store Apps aus dem Windows Store:
 Bei Intune: den Link auf die App (Via Share Charm)
 Bei SCCM: einen PC auf dem die App drauf ist
SW-Verteilung Legacy Apps:
 Nichts
13.01.2014
CMCE 2014 RTM
21

22. Was muss ich für MDM besorgen?
Sideloading
Keys
Kunden mit Software Assurance in den folgenden
Programmen haben bereits ohne zusätzliche Kosten Keys:





Enterprise Agreement with Windows
Enterprise Subscription Agreement with Windows
Enrollment for Education Solutions with Windows (under a Campus and School Agreement)
School Enrollment with Windows
Select and Select Plus with Software Assurance for Windows
Die Keys sind im Volume Licensing Service Center (VLSC) zu finden.
13.01.2014
CMCE 2014 RTM
22

23. Was muss ich für MDM besorgen?
Sideloading Keys
Andere Kunden in den folgenden Programmen können Keys
kaufen:
 Select and Select Plus
 Open License
Keys sind 100er Bundles für ca. 3000$ und neu in 10er Bundles für
ca. 300$ erhältlich.
13.01.2014
CMCE 2014 RTM
23

24. Was muss ich für MDM besorgen?
Windows 8.1 RT
Management:
 Nichts
SW-Verteilung eigne Store Apps:
 Sideloading Keys
 Ein Code Signing Zertifikat
SW-Verteilung öffentliche Store Apps aus dem Windows Store:
 Bei Intune: den Link auf die App (Via Share Charm)
 Bei SCCM: einen PC auf dem die App drauf ist
13.01.2014
CMCE 2014 RTM
24

25. Was muss ich für MDM besorgen?
Windows Phone 8
Management:
 Nichts
SW-Verteilung Eigne Apps:
 Ein Code Signing Zertifikat (Von Symantec)
 Windows Phone Developper Account
 Signiertes Company Portal
oder zum Testen (Support Tool for Windows Intune Trial Management of Window Phone 8 )
SW-Verteilung Store Apps:
 Alles von oben
 Der Link auf die App im Store
13.01.2014
CMCE 2014 RTM
25

26. Was muss ich für MDM besorgen?
iOS
Apple Push Notification Service Certificate
Management:
 Nichts
SW-Verteilung Eigne Apps:
 Ein Code Signing Zertifikat
 Developper Account
SW-Verteilung Store Apps:
 Der Link auf die App im Store
13.01.2014
CMCE 2014 RTM
26

27. Was muss ich für MDM besorgen?
Android
Management:
 Nichts
SW-Verteilung Eigne Apps:
 Nichts (Code Signing Zertifikat von Vorteil)
SW-Verteilung Store Apps:
 Der Link auf die App im Store
13.01.2014
CMCE 2014 RTM
27

28. Was muss ich für MDM besorgen?
Plattform
Voraussetzung
Windows 8.1 & RT
- Sideloading Keys
- Ein Code Signing Zertifikat
Windows Phone
- Ein Code Signing Zertifikat (Von Symantec)
- Windows Phone Developper Account
- Signiertes Company Portal
oder zum Testen (Support Tool for Windows Intune
Trial Management of Window Phone 8 )
iOS
- Apple Push Notification Service Certificate
Android
- Nichts
13.01.2014
CMCE 2014 RTM
28

29. SCCM Konsole
29

30. Windows Intune Integration
Die folgenden Schritte müssen durchlaufen werden, um MDM
Support in ConfigMgr zu konfigurieren:
1. Public Domain in Windows Intune erfassen
2. In Active Directory den Public Domain User Principal Name
(UPN) konfigurieren und ConfigMgr User Discovery ausführen
3. Optional Active Directory Federated Services ADFS einrichten
damit auf Domain-joined Geräten Single Sign-On (SSO)
verwendet werden kann
4. Active Directory Synchronisation DirSync einrichten
5. Windows Intune Connector in ConfigMgr hinzufügen
6. Benutzer in Windows Intune Lizenz hinzufügen
13.01.2014
CMCE 2014 RTM
30

31. SCCM Konsole
Demo
Intune Subscription in
SCCM
13.01.2014
CMCE 2014 RTM
31

32. Fragen
Haben Sie noch Fragen?
Wir freuen uns Sie im Part 2 wieder zu sehen.
13.01.2014
CMCE 2014 RTM
32

33. Danke
Herzlichen Dank
Jürg Koller
@juergkoller
Pascal Berger @bergerspascal
blog.trueit.ch
Bewertung der Session: Configmgr.ch
•
•
•
•
Xing:
Facebook:
Linkedin:
Twitter:
https://www.xing.com/net/cmce
https://www.facebook.com/groups/411231535670608/
http://www.linkedin.com
https://twitter.com/configmgr_ch
Nächster Event: Freitag 13. Juni Digicomp Bern
(begrenzte Anzahl Teilnehmer)