Configuration Manager

Mobile Device Management (MDM) Part1

Jürg KollerCONSULTANT

trueIT GMBH

juerg.koller@trueit.ch @juergkoller

blog.trueit.ch / trueit.ch

Pascal BergerCONSULTANT

pascal.berger@trueit.ch @bergerspascal

blog.trueit.ch / trueit.ch

Eine Übersicht über Windows Intune Standalone. Was sind DirSync und ADFS. Sonstige Voraussetzungen für Mobile Device Management (z.B. Zertifikate,

Sideloading Keys). Wie den Config Manager mit Windows Intune verbinden.

trueIT GMBH

Agenda Part 1

Kurze Übersicht: Was ist Windows Intune?

Testen und Kaufen

Windows Intune Konsole

Directory Sync

Was muss ich für MDM besorgen?

SCCM Konsole

13.01.2014 CMCE 2014 RTM 2

Agenda Part 2

Geräte verbinden (Win 8.1, RT 8.1, Phone 8, iOS, Android)

Erfassen von Apps und deren Installation

Compliance Settings

Selective Wipe und Full Wipe

Was bringt die Zukunft

13.01.2014 CMCE 2014 RTM 3

Kurze Übersicht: Was ist Windows Intune?

4

Windows Intune ist eine Cloud basierte Lösung zum Verwalten vonGeräten. (SCCM Lite aus der Cloud)

Es unterstützt eine Vielzahl von Client Betriebssystemen:

Windows

Windows RT

Windows Phone

iOS (iPhone & iPad)

Android (Phones & Tablets)

Was ist Windows Intune?

13.01.2014 CMCE 2014 RTM 5

Was ist Windows Intune?

Intune bietet folgende Möglichkeiten:

Geräte-Inventarisierung

Updates (WSUS) und Virenschutz (Endpoint Protection)

Alerts und Monitoring

Software-Inventarisierung und SW-Verteilung(Win, iOS, Android)

Lizenzverwaltung

Richtlinien

Reports

13.01.2014 CMCE 2014 RTM 6

Was ist Windows Intune?

Windows Intune bietet zum Beispiel diese Vorteile:

Keine eigene Server-Infrastruktur die gekauft und gewartet werden muss

Funktioniert super mit Office 365

Einfache und übersichtliche Webkonsole zur Bedienung

Kann auch verwendet werden um SCCM 2012 zu erweitern

Einfaches Management von BYOD (Bring your one device)

Management von Geräten ohne Domäne möglich

13.01.2014 CMCE 2014 RTM 7

Testen und Kaufen

8

Testen und Kaufen

Windows Intune bietet eine 30 tägige, kostenlose Testversion:

25 Benutzerlizenzen mit jeweils 5 Geräten

20 GB Speicher für SW-Verteilung

Falls Sie Intune danach kaufen möchten gibt es zwei Preispläne.

Normal = 5.90/Monat und User (5 Geräte pro User)

Mit Windows Software Assurance = 10.90/Monat und User

Bestehende Software Assurance-Kunden erhalten einen Rabatt.

Auch möglich mit einem EA oder Campus & School Agreement.

Zusätzlicher Speicher kann in 1GB Schritten dazugekauft werden.

Mehr Infos und Registrierung13.01.2014 CMCE 2014 RTM 9

Testen und Kaufen

Windows Intune Lizenzen beinhalten auch Lizenzen für:

Microsoft System Center Configuration Manager

System Center Endpoint Protection

Wenn die Subskription ausläuft oder gekündet wird, so muss SCCM und Endpoint Protection wieder deinstalliert werden.

Weitere Infos:

Windows_Intune_Licensing_Brief.pdf

13.01.2014 CMCE 2014 RTM 10

Intune Konsole

11

Intune Konsole

Es gibt für Windows Intune drei Webkonsolen:

Das Company Portal (https://portal.manage.microsoft.com/)

Das Admin Portal* (https://manage.microsoft.com/)

Das Account Portal (https://account.manage.microsoft.com/)

* Benötigt SilverLight

13.01.2014 CMCE 2014 RTM 12

Intune Konsole

DemoDas Admin Portal

13.01.2014 CMCE 2014 RTM 13

Directory Sync

14

Directory Sync Szenarien

13.01.2014 CMCE 2014 RTM 15

DirSync DirSync mit PW Sync 1

DirSyncmit ADFS

Synchronisiert neue User von lokalem AD automatisch nach Azure AD

Synchronisiert Änderungen an bestehenden Account von lokalem AD nach Azure AD

Ermöglich den Usern Anmeldung an Windows Intune mit lokalem AD Usernamen und Passwort

Passwort Policy von lokalem AD

User Authentication geschieht im lokalen AD

Ermöglich an Domain-joined Geräten Single Sign-On SSO

1 Passwort Sync ab DirSync Version 6382.0000

Aktuelle DirSync Version herunterladen: http://go.microsoft.com/fwlink/?LinkID=278924

DirSync Tool Anforderungen

• Windows Server 2008 SP2 oder neueres Server OS

• Mitglied von Active Directory Forest welcher synchronisiert werden soll

• Microsoft .NET Framework 3.5 SP1 und .NET Framework 4.0 sowie Windows PowerShell muss installiert sein

• Zugriff und Zugang zu DirSync Server sollte stark eingeschränkt sein

• Aktuelle DirSync Version installiert SQL Express 2012 SP1 und FIM 2010 R2 SP1

• Während Installation wird Enterprise Admin Account benötigt

• Ab Version 6567.0018 Installation auf DC möglich

13.01.2014 CMCE 2014 RTM 16

DirSync

• Standardmässig werden alle User und Gruppen synchronisiert

• Synchronisierung von Accounts und Gruppen alle drei Stunden

• Synchronisation kann über miisclient.exe konfiguriert werden

• Passwort Synchronisation kann während DirSync Setup optional aktiviert werden

• In Active Directory sind die Passwörter als Hash Werte gespeichert und werden auch so übertragen

• Passwort Synchronisation unmittelbar nach PW Wechsel

• DirSync mit PW Synchronisation übernimmt PW Policy von lokaler Domäne

13.01.2014 CMCE 2014 RTM 17

DirSync mit ADFS

• ADFS ermöglicht Single Sign-on auf Domain Joined und Workplace-joined (Windows 8.1 und iOS) Geräten

• Benutzer Authentisierung erfolgt durch lokales Active Directory

• ADFS Infrastruktur sollte hochverfügbar ausgelegt sein

• Es werden auch third-party Identity Provider wie Shibbolethund andere unterstützt http://technet.microsoft.com/en-us/library/jj679342.aspx

13.01.2014 CMCE 2014 RTM 18

DirSync Tool

DemoSetup DirSync Tool mit OU-Level Filtering

13.01.2014 CMCE 2014 RTM 19

Was muss ich für MDM besorgen?

(Gilt für Intune alleine und auch mit SCCM)

20

Was muss ich für MDM besorgen?

Windows 8.1Management:

Nichts

SW-Verteilung eigene Store Apps:

Bei Windows Enterprise (Nur Group Policies)

Bei allen anderen Versionen zusätzlich noch Sideloading Keys

Ein Code Signing Zertifikat

SW-Verteilung öffentliche Store Apps aus dem Windows Store:

Bei Intune: den Link auf die App (Via Share Charm)

Bei SCCM: einen PC auf dem die App drauf ist

SW-Verteilung Legacy Apps:

Nichts13.01.2014 CMCE 2014 RTM 21

Sideloading

Keys

Kunden mit Software Assurance in den folgenden

Programmen haben bereits ohne zusätzliche Kosten Keys: Enterprise Agreement with Windows

Enterprise Subscription Agreement with Windows

Enrollment for Education Solutions with Windows (under a Campus and School Agreement)

School Enrollment with Windows

Select and Select Plus with Software Assurance for Windows

Die Keys sind im Volume Licensing Service Center (VLSC) zu finden.

Was muss ich für MDM besorgen?

13.01.2014 CMCE 2014 RTM 22

Sideloading Keys

Andere Kunden in den folgenden Programmen können Keys kaufen: Select and Select Plus

Open License

Keys sind 100er Bundles für ca. 3000$ und neu in 10er Bundles für ca. 300$ erhältlich.

Was muss ich für MDM besorgen?

13.01.2014 CMCE 2014 RTM 23

Was muss ich für MDM besorgen?

Windows 8.1 RTManagement:

Nichts

SW-Verteilung eigne Store Apps:

Sideloading Keys

Ein Code Signing Zertifikat

SW-Verteilung öffentliche Store Apps aus dem Windows Store:

Bei Intune: den Link auf die App (Via Share Charm)

Bei SCCM: einen PC auf dem die App drauf ist

13.01.2014 CMCE 2014 RTM 24

Was muss ich für MDM besorgen?

Windows Phone 8Management:

Nichts

SW-Verteilung Eigne Apps:

Ein Code Signing Zertifikat (Von Symantec)

Windows Phone Developper Account

Signiertes Company Portaloder zum Testen (Support Tool for Windows Intune Trial Management of Window Phone 8 )

SW-Verteilung Store Apps:

Alles von oben

Der Link auf die App im Store13.01.2014 CMCE 2014 RTM 25

Was muss ich für MDM besorgen?

iOS

Apple Push Notification Service CertificateManagement:

Nichts

SW-Verteilung Eigne Apps:

Ein Code Signing Zertifikat

Developper Account

SW-Verteilung Store Apps:

Der Link auf die App im Store

13.01.2014 CMCE 2014 RTM 26

Was muss ich für MDM besorgen?

AndroidManagement:

Nichts

SW-Verteilung Eigne Apps:

Nichts (Code Signing Zertifikat von Vorteil)

SW-Verteilung Store Apps:

Der Link auf die App im Store

13.01.2014 CMCE 2014 RTM 27

Was muss ich für MDM besorgen?

Plattform Voraussetzung

Windows 8.1 & RT- Sideloading Keys- Ein Code Signing Zertifikat

Windows Phone

- Ein Code Signing Zertifikat (Von Symantec)- Windows Phone Developper Account- Signiertes Company Portal

oder zum Testen (Support Tool for Windows Intune Trial Management of Window Phone 8 )

iOS - Apple Push Notification Service Certificate

Android - Nichts

13.01.2014 CMCE 2014 RTM 28

SCCM Konsole

29

Windows Intune Integration

Die folgenden Schritte müssen durchlaufen werden, um MDM Support in ConfigMgr zu konfigurieren:

1. Public Domain in Windows Intune erfassen

2. In Active Directory den Public Domain User Principal Name (UPN) konfigurieren und ConfigMgr User Discovery ausführen

3. Optional Active Directory Federated Services ADFS einrichten damit auf Domain-joined Geräten Single Sign-On (SSO) verwendet werden kann

4. Active Directory Synchronisation DirSync einrichten

5. Windows Intune Connector in ConfigMgr hinzufügen

6. Benutzer in Windows Intune Lizenz hinzufügen

13.01.2014 CMCE 2014 RTM 30

SCCM Konsole

DemoIntune Subscription in SCCM

13.01.2014 CMCE 2014 RTM 31

Fragen

Haben Sie noch Fragen?

Wir freuen uns Sie im Part 2 wieder zu sehen.

13.01.2014 CMCE 2014 RTM 32

Danke

Herzlichen DankJürg Koller @juergkollerPascal Berger @bergerspascalblog.trueit.ch

Bewertung der Session: Configmgr.ch• Xing: https://www.xing.com/net/cmce• Facebook: https://www.facebook.com/groups/411231535670608/• Linkedin: http://www.linkedin.com• Twitter: https://twitter.com/configmgr_ch

Nächster Event: Freitag 13. Juni Digicomp Bern (begrenzte Anzahl Teilnehmer)