SCCM 軟體部署 - 使用者需要登錄還是僅在網路上?
我有幾個關於使用 SCCM 在 Windows 筆記型電腦上為使用者部署軟體的問題:
- 使用者是否需要登錄到目標筆記型電腦,或者它在公司網路上就足夠了?
- 或者目標筆記型電腦只是線上就足夠了嗎?意思是,不一定在公司域上,但可能在使用者家庭網路上(對於在家工作的使用者)。這可能需要在使用者筆記型電腦上執行某種組件,但 SCCM 是否提供此功能?
- 使用者是否需要登錄到目標筆記型電腦,或者它在公司網路上就足夠了?
一般來說,答案是否定的,使用者不需要登錄,唯一的例外是,如果在應用程序模型中,您在此實例中使用的部署類型需要使用者存在(部署類型 - 使用者體驗 - 登錄要求)。我對 Package-Program 模型不是很熟悉,但我相信它沒有能力做出這種區分。
軟體部署所需要的只是 SCCM 客戶端可以成功提取機器策略、通過 BITS 從分發點將內容下載到本地 ccmcache、具有可操作的服務視窗(維護視窗或過期的截止日期)並離開你去。
客戶端需要通過 HTTP 和 HTTPS 訪問管理點和分發點。對於軟體更新(即 SUP/WSUS),如果您使用替代埠,則需要 HTTP/HTTPS 或 8530/8531。
有關詳細資訊,請參見此處。
您還需要分配適當的邊界組和分配點。當然,您還需要新的 DNS 記錄和從客戶端到相關 MP 和 DP 的網路路徑。通常,如果您的筆記型電腦進入並在公司網路上停留足夠長的時間以“正常化”您應該沒問題,而無需對 SCCM 基礎架構進行任何額外配置。
- 或者目標筆記型電腦只是線上就足夠了嗎?意思是,不一定在公司域上,但可能在使用者家庭網路上(對於在家工作的使用者)。這可能需要在使用者筆記型電腦上執行某種組件,但 SCCM 是否提供此功能?
這行不通……沒有一些工作。:)
您正在尋找的功能稱為基於 Internet 的客戶端管理,簡而言之,這意味著您設置或使用 PKI 層次結構,以便您的 SCCM 客戶端可以在其 HTTPS 協商中進行客戶端身份驗證,配置您的管理點/s、分發點/ s 和軟體更新點使用 HTTPS 並使 MP 和 DP 可用於您的 DMZ 中的 Internet。
客戶端將能夠判斷他們何時斷開網路,並將利用他們必須嘗試訪問基於 Internet 的 MP 和 DP 的任何連接。SCCM 完全是一種拉式技術,因此只要您的客戶端可以訪問這些伺服器和埠,他們就可以獲取更新並發送回狀態消息。真他媽的甜。
這是一個 PiTA 設置,尤其是獲得正確的證書,因為 IBCM 需要特定的 OID,但是當它全部完成時它非常整潔。
我推薦使用無 SQL Server 副本的場景 3,以便在安全性和復雜性之間進行一般權衡,但顯然您的需求會因您的組織而異。