Einrichten der Geräteregistrierung für lokale MDM in Configuration Manager

Gilt für: Configuration Manager (Current Branch)

Der letzte Schritt zum Einrichten der lokalen Verwaltung mobiler Geräte (Mobile Device Management, MDM) besteht darin, Benutzern die Registrierung ihrer Geräte zu ermöglichen. Verwenden Sie Configuration Manager Clienteinstellungen, um Benutzern die Berechtigung zum Registrieren von Geräten bei der lokalen MDM zu erteilen.

Erstellen eines Anmeldungsprofils

Fügen Sie den Standardclienteinstellungen ein neues Registrierungsprofil hinzu, um die Einstellungen zu pushen, die erforderlich sind, damit Benutzer mobile Geräte registrieren können. Dieses Profil gilt dann für alle Benutzer auf der Configuration Manager Website.

Hinweis

Bei diesem Prozess werden die Standardclienteinstellungen verwendet, die automatisch für alle Geräte und Benutzer gelten. Alternativ können Sie benutzerdefinierte Clienteinstellungen erstellen und dann in Sammlungen Ihrer Wahl bereitstellen. Diese alternative Methode erfordert mindestens zwei benutzerdefinierte Clienteinstellungen, eine für Geräteeinstellungen und eine für Benutzereinstellungen . Weitere Informationen finden Sie unter Konfigurieren von Clienteinstellungen.

  1. Navigieren Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, und wählen Sie den Knoten Clienteinstellungen aus. Öffnen Sie Standardclienteinstellungen , und wählen Sie die Gruppe Registrierung aus.

  2. Geben Sie unter Geräteeinstellungen das Abrufintervall für moderne Geräte (Minuten) an. Standardmäßig beträgt dieses Intervall 60 Minuten.

  3. Aktivieren Sie unter Benutzereinstellungen die Option Benutzer dürfen moderne Geräte registrieren.

  4. Wählen Sie für das Registrierungsprofil für moderne Gerätedie Option Profil festlegen aus. Wählen Sie im Fenster Registrierungsprofil die Option Erstellen aus.

  5. Geben Sie im Fenster Registrierungsprofil erstellen die folgenden Informationen an:

    • Ein eindeutiger und beschreibender Name für das Registrierungsprofil.

    • Eine optionale Beschreibung , um zusätzliche Informationen zum Profil bereitzustellen.

    • Wählen Sie den Verwaltungsstandortcode aus, der den Geräteverwaltungspunkt enthält. Wählen Sie OK aus, um zu speichern und zu schließen.

Konfigurieren zusätzlicher Clienteinstellungen

Es gibt zusätzliche Clienteinstellungen, um Geräte nach der Registrierung zu konfigurieren. Weitere allgemeine Informationen finden Sie unter Konfigurieren von Clienteinstellungen.

Configuration Manager unterstützt die folgenden Clienteinstellungen für lokale MDM:

  • Clientrichtlinie: Diese Einstellungen geben die Häufigkeit für das Herunterladen der Clientrichtlinie auf das Gerät an. Sie können auch Einstellungen für die Benutzerrichtlinie aktivieren. Weitere Informationen finden Sie unter Informationen zu Clienteinstellungen – Clientrichtlinie.

  • Softwarebereitstellung: Legen Sie das Intervall für die Auswertung von Softwarebereitstellungen fest. Weitere Informationen finden Sie unter Informationen zu Clienteinstellungen – Softwarebereitstellung.

    Hinweis

    Für lokale MDM können Softwarebereitstellungseinstellungen nur als Standardclienteinstellungen verwendet werden.

Ermitteln von Benutzern

Damit Benutzer die Clienteinstellungen mit dem Registrierungsprofil für lokale MDM erhalten, ermittelt der Standort ihr Benutzerkonto in Active Directory. Um sicherzustellen, dass alle Benutzer, die das Registrierungsprofil benötigen, dieses erhalten, führen Sie die Ermittlung für Active Directory-Benutzer aus. Weitere Informationen finden Sie unter Active Directory-Benutzerermittlung.

Installieren des vertrauenswürdigen Stammzertifikats

In die Domäne eingebundene Geräte erhalten das Vertrauensstammzertifikat für die vertrauenswürdige Kommunikation mit den Servern, die die Standortsystemrollen hosten. Active Directory-Zertifikatdienste verteilt automatisch das vertrauenswürdige Stammzertifikat. Nicht in die Domäne eingebundene Computer und mobile Geräte müssen dieses Zertifikat auf andere Weise installiert werden, um die Registrierung zu ermöglichen.

Hinweis

Wenn die Webserverzertifikate von einer öffentlichen Zertifizierungsstelle ausgestellt werden, haben die meisten Geräte diesen Zertifizierungsstellen bereits vertraut. Wenn Ihr Entwurf die Verwendung einer dieser öffentlichen Zertifizierungsstellen umfasst, müssen Sie diesen Schritt nicht ausführen.

Nachdem Sie das vertrauenswürdige Stammzertifikat exportiert haben, müssen Sie es auf Geräten installieren, die es für die Registrierung benötigen. Beispielsweise Geräte, die nicht in die Domäne eingebunden sind und diese nicht automatisch aus Active Directory abrufen können. Der von Ihnen verwendete Prozess hängt von den folgenden Faktoren ab:

  • Bestimmte Gerätetypen und technische Funktionen
  • BS-Version
  • Ihre Geschäftlichen, Sicherheits- und Benutzerfreundlichkeitsanforderungen

Die folgende Liste enthält einige Beispielmethoden zum Bereitstellen und Installieren des vertrauenswürdigen Stammzertifikats auf Geräten:

  • Dateifreigabe

  • Email Anlage

  • Speicherkarte

  • Tethered device (Tethered Device)

  • Cloudspeicher (z. B. OneDrive)

  • Near Field Communication (NFC)-Verbindung

  • Barcodescanner

  • Out-of-Box Experience-Bereitstellungspaket (OOBE)

Manuelles Installieren des vertrauenswürdigen Stammzertifikats in Windows

  1. Navigieren Sie auf dem zu registrierenden Gerät in Explorer zur vertrauenswürdigen Stammzertifikatdatei (CER), und öffnen Sie sie.

  2. Wählen Sie im Fenster Zertifikat die Option Zertifikat installieren aus.

  3. Wählen Sie im Zertifikatimport-Assistenten die Option Lokaler Computer und dann Weiter aus, um als Administrator fortzufahren.

  4. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate im folgenden Speicher speichern und dann Durchsuchen aus.

  5. Wählen Sie im Fenster Zertifikatspeicher auswählen die Option Vertrauenswürdige Stammzertifizierungsstellen und dann OK aus.

  6. Abschließen und Assistenten.

Nächster Schritt