在 Configuration Manager 中规划本地 MDM

适用于: Configuration Manager(current branch)

当你计划在 Configuration Manager 中实现本地移动设备管理 (MDM) 时,需要查看几个关键方面:

  • 支持的设备和 OS 版本
  • 所需的站点系统角色
  • 安全通信
  • 设备注册

重要

虽然站点或任何移动设备未连接到Microsoft Intune,但组织仍需要Intune许可证才能使用此功能。 有关详细信息,请参阅 Microsoft Intune 许可

在准备Configuration Manager基础结构以处理本地 MDM 之前,请考虑以下要求。

支持的设备

Configuration Manager的当前分支支持为运行Windows 10的设备注册本地移动设备管理。 这些设备类型主要包括笔记本电脑、IoT 和 Surface Hub。 有关详细信息和特定版本的列表,请参阅 客户端和设备支持的 OS 版本

站点系统角色

本地 MDM 至少需要以下站点系统角色之一:

  • 用于支持注册请求的注册代理点

  • 用于支持设备注册的注册点

  • 用于策略传递的设备管理点。 此角色是管理点的变体,但允许移动设备管理。

  • 用于内容分发的分发点

根据组织的需要,可以在单个服务器上或在不同的服务器上单独安装这些角色。

注意

需要将用于本地 MDM 的每个角色配置为与受信任设备通信的 HTTPS 终结点。 有关详细信息,请参阅 所需的受信任通信

有关更多常规信息,请参阅 规划站点系统服务器和角色

受信任的通信

本地 MDM 要求为 HTTPS 通信启用站点系统角色。 根据需求,可以使用组织的证书颁发机构 (CA) 在服务器和设备之间建立受信任的连接。 还可以使用公开可用的 CA 作为受信任的颁发机构。 无论哪种方式,都需要配置以下证书:

  • 承载所需站点系统角色的服务器上的 IIS 中的 Web 服务器证书 。 如果一台服务器托管多个站点系统角色,则只需为该服务器提供一个证书。 如果每个角色位于单独的服务器上,则每个服务器都需要单独的证书。

  • 颁发 Web 服务器证书的 CA 的 受信任根 证书。 在需要连接到站点系统角色的所有设备上安装此根证书。

有关详细信息,请参阅 在本地 MDM 中为受信任的通信设置证书

设备注册

若要为本地 MDM 启用设备注册,请执行以下操作:

  • 授予用户通过客户端设置注册的权限

  • 配置设备,以便与托管所需角色的站点系统服务器进行受信任的通信

作为用户发起的注册的替代方法,可以设置批量注册包。 此包允许设备注册而无需用户干预。 在预配包以供使用之前或经过 OOBE 过程后,将包传送到设备。

有关详细信息,请参阅 为本地 MDM 设置设备注册

后续步骤