Развертывание программного обеспечения SCCM - пользователь должен войти в систему или только в сети?

1. Нужно ли пользователю входить в систему на целевом ноутбуке или достаточно, чтобы он был в корпоративной сети?

В общем случае ответ "нет": пользователь не должен входить в систему, единственное исключение состоит в том, что если в модели Application-Program тип развертывания, который вы используете в этом случае, требует присутствия пользователя (тип развертывания - взаимодействие с пользователем - вход в систему Требование). Я не очень знаком с моделью Package-Program, но я считаю, что она не способна сделать это различие.

Все, что требуется для развертывания программного обеспечения, - это то, что клиент SCCM может успешно извлекать политику компьютера, загружать содержимое из точки распространения в локальный ccmcache через BITS, иметь действующее окно обслуживания (либо окно обслуживания, либо истекший срок) и удаленно ты иди.

Точка управления и точка распространения должны быть доступны клиенту по HTTP и HTTPS. Для обновлений программного обеспечения (например, SUP/WSUS) вам нужен HTTP/HTTPS или 8530/8531, если вы используете альтернативные порты.

Смотрите здесь для деталей.

Вам также необходимо назначить свои пограничные группы и точки распространения. Естественно, вам также понадобятся свежие записи DNS и сетевой путь от клиента к MP и DP, о которых идет речь. Как правило, если ваш ноутбук входит и сидит в корпоративной сети достаточно долго, чтобы "нормализовать", у вас все будет в порядке без какой-либо дополнительной настройки инфраструктуры SCCM.

2. Или было бы достаточно, чтобы целевой ноутбук был просто онлайн? То есть не обязательно в корпоративном домене, но, возможно, в домашней сети пользователей (для пользователей, работающих дома). Вероятно, для этого потребуется какой-то компонент, работающий на портативном компьютере пользователя, но обеспечивает ли SCCM эту функциональность?

Это не сработает... без работы.:)

Функция, которую вы ищете, называется интернет-управлением клиентами, что в двух словах означает, что вы настраиваете или используете иерархию PKI, чтобы ваши клиенты SCCM могли выполнять аутентификацию клиентов в своих переговорах по HTTPS, настраивать точки управления (s), точку распространения / s и точки обновления программного обеспечения для использования HTTPS и обеспечения доступности MP и DP для Интернета в вашей DMZ.

Клиенты смогут определить, когда они не подключены к сети, и будут использовать любое соединение, которое им нужно для доступа к интернет-MP и DP. SCCM - это технология, работающая по требованию, поэтому, пока ваши клиенты могут подключаться к этим серверам и портам, они могут получать обновления и отправлять сообщения о состоянии обратно. Довольно чертовски мило.

Это PiTA для настройки, особенно для получения правильных сертификатов, так как IBCM требует определенных OID, но он довольно аккуратный, когда все готово.

Я рекомендую сценарий 3 без реплики SQL Server для общего компромисса между безопасностью и сложностью, но, очевидно, ваши потребности будут варьироваться в зависимости от вашей организации.