cloud – intune
TRANSCRIPT
Cloud – Intune
by Mirko Colemberg, colemberg.ch gmbh
1
Agenda
Intune mit SCCM2012 SP1
Licht ins Zertifikate-Dunkel
AD Sync
ADFS
DirSync
nach der Konfiguration
Vorschau Intune v5
2
Intune mit SCCM2012 SP1
3
Devices & Platforms
Single admin
console
Intune mit SCCM2012 SP1
4
Nur Cloud-Dienste
Configuration
In SCCM
Configuration
Intune mit SCCM2012 SP1
5
Konsequente Self-Service-Erfahrung für Endbenutzer über mobile Plattformen
Native Windows app package (.appx)
Verfügbar im Windows Store
Windows Phone 8 Company Portal
iOS/Android Company Portal
Native Windows Phone 8 app (.xap)
Benötigt sideloaded
Web basiertes Portal Hosted in Windows Intune
Windows RTCompany Portal
Licht ins Zertifikate-Dunkel
6
Plattform Zertifikate oder Keys Wie kommen wir zum Ziel
Windows Phone 8
Code Signing Zertifikat; alle Sideloaded Apps müssen Code-signiert sein
Ein Code-Signing Zertifikat bei Symantec erwerbenhttp://www.symantec.com/verisign/code-signing/windows-phoneOder zum testen http://www.microsoft.com/en-us/download/details.aspx?id=39079
Windows RT Sideloading Keys; Win RT Geräte müssen so provisioniert werden damit Sideloades Apps erlaubt sind
Ein Sideloading Key von Microsoft beziehen und die folgenden Instruktionen beachtenhttp://technet.microsoft.com/en-us/library/hh852635.aspx
iOS Apple Push Notifikation Service Zertifikat
Um das App Management für iOS einzuschalten sind folgende Schritte nötig:1. Download ein Zertifikat Signing Request von Intune. Dieses Zertifikat signing request erlaubt es von der Apple’s Zertifikat Authority ein Apple Push Notifikation Zertifikat zu erhalten.2. Request eines Apple Push Notifikation Service Zertifikat von der Apple Webseite
Zum Download eines Zertifikat Signing Request von Windows Intune:- In der Config Manager Konsole, klick Administration- In der Hierarchie Config, rechts klick Windows Intune Subscription und wähle Create APNs Zertifikate Request- Wähle die Download Location zum Speichern- In der Windows Intune Anmelde Seite anmelden- Nach der Anmeldung ist der Request an angegebenen Speicherort zu finden
Zum Requesten eines Apple Push Notifikation Service Zertifikates- Verbinden auf die Seite Apple Push Certificates Portal- Anmelden und den Wizard durch gehen
Android Nix
Licht ins Zertifikate-Dunkel
Windows 8
Side Loading Key
Code Signing Certificate
Beschaffen eines Code Signing Certificatehttp://technet.microsoft.com/library/cc732597.aspx
Troubleshooting Windows RT Client Software Distribution Issueshttp://blogs.technet.com/b/configmgrteam/archive/2013/03/13/troubleshooting-windows-rt-client-software-distribution-issues.aspx
7
Licht ins Zertifikate-Dunkel
Windows Phone 8
Registrieren für einen Company Dev Center Account
Besorgen eines code signing certificate
Symantec enterprise mobile code signing certificate beschaffen
Oder eine Trail von MS nutzen http://www.microsoft.com/en-
us/download/details.aspx?id=39079
Exportieren des private key vom code signing certificate in ein PFX file
Signieren der xap Datei
Herunterladen vom Microsoft Download Center für Company Portal App http://www.microsoft.com/en-us/download/details.aspx?id=36060
Signieren mit dem XapSignTool vom Windows Phone 8 SDK
Erstellen eines App model
Erstellen der App und eine Basis für xap Deployment Type schaffen
Erstellen eines Application Enrollment Token (AET) während der Kompilierung
8
Licht ins Zertifikate-Dunkel
iOS
Registrieren für das iOS Developer Enterprise Program
Obtain distribution certificate and profile
Besorgen eines Certificate Signing Request (CSR) für das iOSProvisioning Portal
Receive distribution certificate
Enterprise distribution provisioning profile
Anmelden und erstellen der App (*.ipa)
Mittels des distribution cert
IPA enthält das enterprise distribution provisioning profile
Erstellen der XML manifest Datei (.plist)
Erstellen der App models und danach bereitstellen
9
Sideloading Key «WTF»???
10
Was ist Seitenladeschlüssel
Sideloading ist der Applikation Entwicklung, Publizierung und Installation Prozess für Windows 8 Geräte ohne über den Markplace im Windows Store zu gehen.
Welche Plattformen können wir damit umgehen?
Windows 8 Enterprise und Pro
Windows 8 RT
Wie kann ich Sideloading einschalten oder nutzen?
Computer in die Domäne Joinen (W8 Ent, Pro)
Mittels Registry den Trust setzen (oder via GPO für Dom.-Joined W8)
Den Schlüssel über MS MVLP beziehen
http://technet.microsoft.com/en-us/library/hh852635.aspx#SideloadingRequirements
Side-loading Key
12
Side Laoding Key- Um einen Sideloading Key zu bekommen muss ein EA bestehen
danach kann der Key über das Volume Licensing Service Center (VLSC) beschafft werden.
- Installiere und aktiviere den Sidelaoding Key auf den Geräten (Nutze Script/Software Pakete)
- Nutze Skript, GPOs oder DCM zum setzen der «Allow all trusted applications to install» reg key
Code Signing Zertifikat- Installiere das code signing certificat für die Apps in der
«Trusted Root authority Store» auf jeden Gerät
Erstelle Windows App Packete DTInstalliere App’s- add-appxpackage \\fileserver\Contoso_Expense.appx [-
DependencyPath <string[]>]- add-appxpackage C:\app1.appx –DependencyPath C:\winjs.appx
Zertifikate für iOS
• Wenn in-house Apps, entwickelt werden kaufe eineMitgliedschaft
• Benötigt DUNS NummerJoin das iOS
Developer Enterprise
Program
• Du oder der Entwickler müssen die Apps signieren
• Nutze das selbe Zertifikat
Sign alle iOS apps• Zum Hochladen
nutze Windows Intune Admin Konsole
• Nutze Manage Deployment Wizard für gezielte UserUpload und
publish LOB apps
AD Sync
14
AD Sync
15
Bestimmt für• Kleine Orgs ohne AD
VoraussetzungPros• Keine Server benötigt als
Voraussetzung• gleicher Domainname für
User möglich• .CSV file
Cons• kein SSO• kein 2FA• 2 sets von Logins zum
managen mitverschiedenenPasswörtern
• IDs bestimmt in der Cloud
Bestimmt für• Mittlere/grosse Orgs mit
AD VoraussetzungPros• User und Gruppen auf
beiden Seiten vorhanden• Lässt co-existence
Scenarios zuCons• kein SSO• Kein 2FA• 2 Sets von Logins zum
managen mitverschiedenenPasswörtern OR manuell / 3rd Party Password Sync
• Single Server Bereitstellung
• http://blogs.technet.com/b/vineethm/archive/2008/08/10/dirsync-faq-before-you-get-started.aspx
Bestimmt für• grosse Enterprise Orgs
mit AD VoraussetzungPros• SSO mit corporate cred• IDs bestimmt in der
Cloud• Password Richtlinien
kontrolliert durch beide• 2FA Lösungen möglich• ermöglicht Hybrid
Scenarios• Location Isolation
Cons• zusätzliche Server nötig
für ADFS
• http://support.microsoft.com/kb/2256198
Vorschau Intune v5
Firmen Portal, mehr Web-Bases und noch mehr «modern» look andfeel sein
Auto VPN, Profile erstellen und auf Win8.1 Devices verteilen
VPN und Wi-Fi Profile verwalten, einrichten und verteilen
Alles durch eine Ansicht, von Config Mgr 12 R2 und Intune alles was Devices sind gleich sehen
Mobile Device Management (MDM), mehr Richtlinien zum verwalten
Selektiver Wipe, nur Firmen Daten löschen
Zugriff auf Firmen Ressourcen, mittels WinServer12 R2 File Services
Office 365 Cloud Konnektor, endlich keine Umleitung mehr über lokalen Exchange
Beta der Intune v5 Generation sollte Q3/Q4 verfügbar sein (hoffentlich)
16
Win Phone 8.0 einrichten
18
Win Phone 8.0 einrichten
19
manage.microsoft.com
Win 8 RT Geräte einrichten
20
iOS Geräte einrichten
21
• Email invitation
with link
• Web site link
• Manual link input
Über EAS einrichten
22
Herzlichen DankMirko Colemberg
23