SCCM 2012: Styring af mobile enheder

Introduktion til SCCM 2012 og Mobile Device Management

I en verden, hvor mobile enheder er blevet en integreret del af både personligt og professionelt liv, er effektiv styring af disse enheder afgørende for enhver organisation. Microsofts System Center Configuration Manager (SCCM) 2012, især med introduktionen af Service Pack 1 og den efterfølgende forbedring i R2-udgaven, tilbyder en robust løsning til at håndtere denne kompleksitet. Mobile Device Management (MDM) i SCCM 2012 repræsenterer en af de mest komplette metoder til at administrere mobile enheder direkte gennem SCCM-infrastrukturen. Denne artikel dykker ned i, hvad MDM i SCCM 2012 indebærer, hvilke enheder det kan administrere, og hvordan det kan implementeres for at optimere din enhedsstyring.

Hvad er SCCM og dets rolle?

System Center Configuration Manager (SCCM), nu kendt som Microsoft Endpoint Configuration Manager, har været en hjørnesten i IT-styring siden 1999. Specialister inden for SCCM fokuserer på at designe, implementere og konfigurere løsninger til masseinstallation af Windows-operativsystemer, Office 365 og Microsoft Intune. Fra version 1702 understøtter SCCM integration med Microsoft Intune (Hybrid), hvilket muliggør administration af Android for Work-enheder. SCCM's primære funktion er at centralisere og automatisere administrationen af IT-infrastruktur, herunder styring af enheder, applikationsdistribution, opdateringsstyring og sikkerhedskonfiguration.

Typer af enheder administreret af Configuration Manager

Configuration Manager kan håndtere enheder på to primære måder:

Klienter

Dette er enheder, hvor SCCM-klientsoftwaren er installeret. Det inkluderer traditionelle arbejdsstationer, bærbare computere, servere og også mobile enheder. Installation af klientsoftwaren er nødvendig for visse administrationsfunktioner, såsom hardwareinventar og softwareinstallationer. Klientsoftwaren kan installeres på flere måder:

• Klient-push-installation: SCCM-serveren sender klientinstallationen til opdagede enheder.
• Installation baseret på softwareopdateringer: Klienten distribueres som en softwareopdatering.
• Gruppepolitik (Group Policy): Installationen udløses via Group Policy-objekter.
• Manuel installation: Klienten installeres manuelt på en computer.
• Inkludering i OS-image: Klienten integreres i operativsystembilleder, der udrulles.

Administrerede enheder (uden SCCM-klient)

Disse enheder kan inkludere mobile enheder, hvor SCCM-klientsoftwaren ikke er installeret. Administrationen sker her typisk via den indbyggede on-premises mobile device management funktion i Configuration Manager, eller via integration med Microsoft Intune. Selvom klienten ikke er installeret, kan SCCM stadig udføre visse administrationsopgaver, især med hensyn til sikkerhedspolitikker og konfiguration af mobile enheder.

Configuration Manager tillader også gruppering og identifikation af enheder baseret på brugere, ikke kun enhedstype, hvilket giver en mere fleksibel og brugercentreret administrationsmodel.

Administration af enheder med Configuration Manager-klienten

Når SCCM-klientsoftwaren er installeret på en enhed, åbnes der op for et bredt spektrum af administrationsmuligheder. Processen starter typisk med at opdage enheder i netværket ved hjælp af forskellige opdagelsesmetoder (f.eks. Active Directory-opdagelse, netværksdiscoverering). Efter opdagelsen kan klientsoftwaren distribueres til disse enheder. Når klienten er installeret og tildelt et primært site, kan administrationen påbegyndes.

Kollektioner for effektiv administration

For at forenkle administrationen af et stort antal enheder, anvendes kollektioner. Kollektioner er grupper af enheder eller brugere, som administratorer kan definere for at administrere dem samlet. For eksempel kan en kollektion oprettes for alle mobile enheder, der er tilmeldt Configuration Manager, for nemt at kunne rulle specifikke applikationer eller politikker ud til dem.

Klientindstillinger (Client Settings)

Ved installation af Configuration Manager konfigureres alle klienter med standardklientindstillinger. Disse indstillinger kan dog tilpasses for at optimere administrationen. Nøglekonfigurationer omfatter:

• Frekvensen for enhedskommunikation med sitet.
• Aktivering af softwareopdateringer og andre administrationsoperationer.
• Brugeres mulighed for at tilmelde deres mobile enheder til styring via Configuration Manager.

Administratorer kan oprette brugerdefinerede klientindstillinger og tildele dem til specifikke kollektioner. Hvis der er konflikter mellem indstillinger, vil den indstilling med det laveste nummereringsorden have forrang.

Administration af enheder uden Configuration Manager-klienten

Configuration Manager understøtter også administration af visse enheder, hvor klientsoftwaren ikke er installeret, og som ikke er administreret af Intune. Dette gælder især for mobile enheder, hvor administrationen kan ske gennem Configuration Manager's on-premises infrastruktur eller via integration med Exchange. Dette giver mulighed for at anvende grundlæggende administrations- og sikkerhedspolitikker, selv uden fuld klientinstallation.

Brugerbaseret administration

En af de mest avancerede funktioner i Configuration Manager er brugerbaseret administration. Dette indebærer oprettelse af brugersamlinger baseret på Microsoft Entra ID og Active Directory Domain Services-brugere. Ved at bruge brugersamlinger kan administratorer installere software på alle de computere, som medlemmerne af samlingen bruger. For at sikre, at software kun installeres på en brugers primære enhed, kan brugerenhedsaffinitet konfigureres. En bruger kan have en eller flere primære enheder tilknyttet.

Software Center

For at give brugerne mere kontrol over deres softwareoplevelse, inkluderer Configuration Manager Software Center. Dette er en klientgrænseflade, der automatisk installeres på klientcomputere. Gennem Software Center kan brugere udføre følgende opgaver:

• Installere tilgængelig software.
• Planlægge softwareinstallationer uden for arbejdstid.
• Konfigurere tidspunkter for softwareinstallationer.
• Justere adgangsindstillinger for fjernkontrol (hvis konfigureret).
• Konfigurere strømstyringsindstillinger (hvis konfigureret).
• Gennemse, installere og anmode om software.
• Konfigurere præferenceindstillinger.
• Angive en primær enhed for brugerenhedsaffinitet.

On-premises Mobile Device Management i Configuration Manager

Configuration Manager (current branch) understøtter implementering af on-premises Mobile Device Management (MDM). Dette kræver en omhyggelig planlægning på flere nøgleområder:

Understøttede enheder og OS-versioner

Den aktuelle gren af Configuration Manager understøtter tilmelding af enheder, der kører Windows 10, herunder laptops, IoT-enheder og Surface Hub. Det er vigtigt at konsultere den specifikke dokumentation for understøttede OS-versioner.

Nødvendige Site System-roller

Implementering af on-premises MDM kræver mindst én af følgende site system-roller:

• Enrollment proxy point: Til håndtering af tilmeldingsanmodninger.
• Enrollment point: Til selve enhedstilmelding.
• Device management point: Til levering af politikker (en variation af management point).
• Distribution point: Til levering af indhold (f.eks. applikationer).

Disse roller kan installeres på én server eller fordeles på flere servere, afhængigt af organisationens behov. Alle roller, der bruges til on-premises MDM, skal konfigureres til at bruge HTTPS for sikker kommunikation.

Sikker kommunikation (Trusted Communications)

For at sikre en sikker forbindelse mellem servere og mobile enheder, er det nødvendigt at aktivere HTTPS-kommunikation for de relevante site system-roller. Dette kan opnås ved at bruge organisationens egen certifikatudsteder (CA) eller en offentligt tilgængelig CA. Følgende certifikater er typisk påkrævet:

• Et webservercertifikat i IIS på de servere, der hoster site system-rollerne.
• Det betroede rodcertifikat fra den CA, der udsteder webservercertifikaterne. Dette skal installeres på alle enheder, der skal forbinde til site system-rollerne.

Enhedstilmelding (Device Enrollment)

For at aktivere on-premises MDM skal brugere have tilladelse til at tilmelde enheder via klientindstillinger. Enhederne skal også konfigureres til at kommunikere sikkert med site system-serverne. Som et alternativ til brugerinitieret tilmelding kan der oprettes en masse-tilmeldingspakke, der tillader enheder at blive tilmeldt uden brugerinteraktion. Denne pakke kan leveres til enheden før ibrugtagning eller efter den første opstartsproces (OOBE).

Fordele ved MDM i SCCM 2012

Implementering af Mobile Device Management i SCCM 2012 giver en række betydelige fordele:

• Centraliseret administration: Saml styring af både traditionelle computere og mobile enheder i én enkelt konsol.
• Forbedret sikkerhed: Håndhæv sikkerhedspolitikker, fjern data eksternt og administrer adgangskoder for mobile enheder.
• Effektiv applikationsdistribution: Udrul applikationer til mobile enheder på en kontrolleret måde.
• Overholdelse af politikker: Sikr, at alle enheder overholder organisationens IT- og sikkerhedspolitikker.
• Reduceret kompleksitet: Forenkling af IT-driften ved at integrere mobil enhedsstyring i den eksisterende SCCM-infrastruktur.

Ofte Stillede Spørgsmål (FAQ)

Spørgsmål: Hvad er den primære forskel på at administrere enheder med og uden SCCM-klienten?

Svar: Med klienten installeret har SCCM fuld kontrol over enheden, hvilket muliggør avancerede funktioner som softwareinstallation, patching og detaljeret hardwareinventar. Uden klienten er administrationen mere begrænset og fokuserer typisk på grundlæggende politikker og sikkerhedsindstillinger, især for mobile enheder.

Spørgsmål: Kræver on-premises MDM i SCCM 2012 Intune-licenser?

Svar: Ja, selvom enhederne ikke nødvendigvis forbinder til Microsoft Intune, kræver brugen af on-premises MDM-funktionen i SCCM 2012, at organisationen har de nødvendige Intune-licenser.

Spørgsmål: Hvordan sikrer jeg, at kun autoriserede brugere kan tilmelde deres mobile enheder?

Svar: Dette kan styres gennem klientindstillinger i SCCM, hvor du kan definere, hvilke brugere eller grupper der har tilladelse til at tilmelde enheder. Derudover er korrekt konfiguration af certifikater og HTTPS-kommunikation essentiel for at verificere både serveren og enheden.

Spørgsmål: Hvilke typer mobile enheder understøttes bedst af SCCM 2012 MDM?

Svar: SCCM 2012, især med de seneste opdateringer, har haft et øget fokus på at understøtte moderne mobile platforme. Integrationen med Intune udvider yderligere understøttelsen til platforme som iOS og Android. For on-premises MDM er Windows 10-enheder den primære fokus.

Konklusion

Mobile Device Management i SCCM 2012 udgør en kraftfuld løsning for organisationer, der ønsker at udvide deres IT-styring til at omfatte mobile enheder. Ved at udnytte både klientbaseret og klientløs administration, kombineret med fleksible konfigurationsmuligheder og brugerbaseret styring, kan IT-administratorer opnå en mere effektiv og sikker administration af hele deres enhedsinventar. En grundig planlægning og forståelse af de forskellige komponenter, roller og konfigurationsmuligheder er nøglen til en succesfuld implementering.

Hvis du vil læse andre artikler, der ligner SCCM 2012: Styring af mobile enheder, kan du besøge kategorien Teknologi.