Configuration Manager Intune Connector és Subscription beállítása

Az Intune előfizetésünk beállítása után (I. rész) neki is eshetünk a ConfigMgr oldali beállítások konfigurálásának.

Ehhez először is az Intune előfizetést kell a konzolban beállítanunk. Ehhez az Administration fülön a Cloud Services opciót válasszuk, itt pedig az “Add Windows Intune Subscription” segítségével adjuk hozzá az előfizetésünket.

A beállítás során megadhatjuk a vállalatunk nevét, illetve – figyelem - megadhatjuk a klienseken megjelenő vállalati portál színsémáját. A számunkra kedves Star Wars (vagy akár céges is, persze) logót is kiválaszthatjuk.

Ezt követően azért lényegesebb dolgok következnek; először is egy User Collection-re lesz szükségünk. Ez a collection határozza meg, hogy mely felhasználók jogosultak az eszközeiket enrollolni a Windows Intune alá.

Fontos kérdés még, hogy melyik site kezelje a mobil klienseket – itt bármelyik Primary site megadható.

UserCollection

Következő lépés a kezelni kívánt platformok kiválasztása.

Az alábbi platformokat külön-külön tudjuk engedélyezni, és a hozzájuk tartozó beállításokat elvégezni - természetesen később, amennyiben az összes felhasználónk lecseréli a telefonját Windows Phone-ra, a továbbiakban nem menedzselt platformokat bármikor ki tudjuk kapcsolni…

Nézzük egyesével, a varázslóban megjelenő sorrendben a beállításokat:

Android

Itt van a legkönnyebb dolgunk; semmilyen tanúsítvány nem szükséges.

Android

iOS

Amennyiben rendelkezünk Apple ID-val (regisztrációt igényel csak), ingyenesen igényelhetünk Apple Push Notification (APK) tanúsítványt.

A ConfigMgr konzol Administration/Cloud services fülén indítsuk el a Create APN Certificate Request varázslót. Adjuk meg a létrehozandó certificate signing request (.CSR) fájl mappáját, majd a Download gombra kattintva adjuk meg az Intune adminisztrátorunk nevét és jelszavát.

Apple_APN

Ezután a varázslóban található linken keresztül menjünk el az Apple Push Certificate Portal-ra, és a korábban létrehozott Apple ID-val jelentkezzünk be.

Új tanúsítvány kérésekor válasszuk a .CSR fájlt, töltsük fel, ezután az identity.apple.com-tól egy .JSON fájlt fogunk kapni. Nos, Jason-nel ne foglalkozzunk, mert csak egy szöveges leíró fájl a kért APN tanúsítvány lejárati idejével, és a használat céljával (Mobile Device Management):

{"ExpirationDate":"Feb 24, 2015","CertSN":"35481e0ba367efb","Vendor":" Microsoft Corporation","Service":"Mobile Device Management"}

Az Apple oldalát frissítve már letölthető az MDM_ Microsoft Corporation_Certificate.PEM (Privacy Enhanced Mail) fájl - ezt kell végül az Intune Subscription tulajdonságlapján az iOS fülön kiválasztani.

Apple_DownloadPEM

iOS

 Windows

Amennyiben egyéni (nem Windows Store) modern stílusú alkalmazásokat szeretnénk telepíteni, szükségünk lesz egy Code signing tanúsítványra az alkalmazás hitelesítéséhez, illetve a kliens oldali telepítéshez pedig egy Sideloading kulcsra. Ez utóbbiról az alkalmazás telepítés résznél ejtünk majd szót, nem itt kell konfigurálni.

Az aláró tanúsítvány származhat “házi” PKI-ból, nem szükséges külső szolgáltatótól megvenni. Viszont mivel sablon szerkesztése szükséges Enterprise CA szükségeltetik a művelethez.

A code signing tanúsítvány az alábbi blog alapján elkészíthető:

http://blogs.technet.com/b/deploymentguys/archive/2013/06/14/signing-windows-8-applications-using-an-internal-pki.aspx

Az exportált .PFX fájlt az Intune Subscription tulajdonságlapján a Windows fülön tudjuk megadni. Szeretném kiemelni, hogy a Windows 8.1, illetve Windows RT eszközök enrollmentjéhez nem szükségesek a fentiek, kizárólag az alkalmazás telepítéshez. Enrollmenthez mindössze a platformot szükséges engedélyeznünk.

Windows

Windows Phone 8

Windows Phone eszközök kezeléséhez egy Symantec Code Signing aláíró tanúsítványra van szükségünk. Mind a Company Portal alkalmazást – amin keresztül az eszközök a kiajánlott alkalmazásokat elérhetik – mind magukat az alkalmazásokat alá kell írni ezzel a tanúsítvánnyal.

Mivel ez a tanúsítvány nem ingyenes, tesztkörnyezet kialakításához, demózáshoz a Microsoft kiadott egy ingyenes Intune Trial Tool-t:

http://www.microsoft.com/en-us/download/details.aspx?id=39079

A részletes útmutató megtalálható a tool dokumentációjában, így erre most külön nem térnék ki. Telepítésével kapunk egy aláírt Company Portal-t és három aláírt alkalmazást, amiket kipróbálhatunk sikeres enrollment után.

WP8

Érdemes megjegyezni, hogy amennyiben az adott platform nincs engedélyezve, nemhogy az eszközök kezelése nem fog menni, hanem maga az enrollment folyamata (ld. következő cikk) is sikertelen lesz!

A subscription beállítása után engedi csak a ConfigMgr a Windows Intune Connector szerepkört telepíteni. Ez a szerepkör fog kapcsolódni az Intune előfizetésünkhöz, és a szinkronizációt végezni. Hasonlóan az Asset Intelligence synchronization point, illetve Endpoint Protection point szerepkörökhöz, ezt is a hierarchia legtetején lévő Central Administration Site-ra (CAS), vagy standalone primary site-ra kell telepíteni. A telepítés sikerességét a ConnectorSetup log is mutatja.

Az Intune Connector szerepkör folyamatosan figyeli az Intune Subscription-ben beállított collectiont, és amennyiben új felhasználóval találkozik, szinkronizálja az Intune-ban lévő megfelelő felhasználói objektummal és engedélyezi a felhasználónak az enrollmentet.

A szinkronizálás 5 percenként történik és a CloudUserSync.log-ban követhető nyomon.

Itt jön képbe az előző részben bemutatott DirSync; amennyiben a DirSync már “fellőtte” a felhőbe a userünket, az Intune Connector be tudja hozzá állítani az enrollment jogot, ha benne van a collectionben. Ha a DirSync még nem szinkronizálta az on-premise AD-ból az Intune-ba a felhasználót, vagy nincsen benne a Subscription-ban definiált collection-ben, a felhasználó nem fog tudni enrollolni. Továbbá amennyiben a felhasználó UPN-je nem tartalmazza az Intune előfizetésbe felvett tartományt, szintén nem fog menni a szinkronizáci��.

Mielőtt a cikk végére érünk, érdemes kitérni a ConfigMgr oldali Intune szinkronizálás monitorozására.

A Windows Intune Connector telepítése és az Intune Subscription beállítása után a szerver, ahová a szerepkört tettük, elkezd kommunikálni a felhővel. Konkrétan egy Device Management Point-on (DMP) keresztül megy a kommunikáció mindkét irányban. A későbbiekben beállított kliens beállítások (client settings), eszközbeállítások (mobile device configuration item), illetve a kihirdetett alkalmazásokról szóló információ a DMP-n kereszül jut el a kliensekhez, illetve fordítva, a kliensek által generált inventory adatok, valamint a szoftver telepítések eredményei szintén a DMP-n keresztül jutnak el a ConfigMgr site-hoz.

A hibakereséshez a következő logokat érdemes használni:

Beállítások, alkalmazás deployment metaadatok feltöltése az Intune felé – dmpuploader.log

Inventory, telepítések eredményei az Intune-ból az on-premise ConfigMgr felé – dmpdownloader.log

 

Most már minden a rendelkezésünkre áll ahhoz, hogy belevágjunk a legizgalmasabb részbe – enrolloljuk az eszközeinket és kipróbáljuk, mit is tudunk menedzselni rajtuk!

III. rész - Enrollment és inventory – Android