System Center Configuration Manager (ConfigMgr / SCCM) bietet ab “vNext” (die genaue Namensgebung ist noch ausstehend) die Möglichkeit, mobile Geräte (also z.B. Windows Phone 10 (aktuell ebenfalls nur als Preview verfügbar) oder Windows 10 mittels OMA-DM zu verwalten.
Wie der Name “On-Premises” schon vermuten lässt, spielt sich alles lokal ab – sprich im Firmen-Netzwerk – ohne dass hierfür z.B. eine Synchronisation von AD-Accounts Richtung Cloud (Azure) mittels Azure AD Connect oder Azure AD Sync (AAD Sync) und ggfs. ADFS erfolgen muss. Die mobilen Geräte kommunizieren hierbei ebenfalls nur mit lokalen ConfigMgr-Rollen (Enrollment Proxy Point, Enrollment Point und dem Managment Point):
Voraussetzung dafür ist eine PKI-Infrastruktur, da die Kommunikation per https stattfindet. Die Anforderungen daran (vor allem CRLDPs) und Zertifikatseinstellungen des Enrollment Points (Stichwort SMS Token Signing Certificate) stellten dabei auch schon die größten Herausforderungen bei der Implementierung dar – wobei ich letzteres nur durch Unterstützung der Product Group lösen konnte. Da es sich bei der Technical Preview (TP) 3 (getestet mit der Pre-Release Version 1510 for Technical Preview) noch nicht um ein fertiges Produkt handelt ist dies aber zu vernachlässigen. Hoffentlich fließt mein Feedback aber spätestens in die RTM-Version mit ein 😉
Zur Aussage von oben (“On-Premises”) ist anzumerken, dass trotzdem Microsoft Intune benötigt wird, welches per “Service Connection Point” angebunden ist. Dies kann sowas online, als auch offline realisiert werden. Eine Kommunikation zwischen MDM-Clients und Intune bzw. der Cloud ist aber nicht nötig!
Ein Enrollment von Windows 10 Geräten kann dann einfach über Einstellungen -> Konten -> Arbeitsplatzzugriff -> Verbinden erfolgen:
Für die Verwaltung von mobilen Geräten ist somit kein ConfigMgr-Client nötig, da die benötigten Funktionen bereits in das Betriebssystem eingebaut sind (siehe “Client Version” im folgenden Screenshot). Entsprechend steht auch nur ein eingeschränkter Funktionsumfang zu Verfügung.
Für die Verwaltung der mobilen Endgeräte gibt es schon diverse Einstellungen bei Configuration Items, die aber auch jederzeit um eigene OMA-URIs erweitert werden können:
