Samouczek: włączanie współzarządzania istniejącymi klientami Configuration Manager
Dzięki współzarządzaniu można zachować dobrze ugruntowane procesy dotyczące używania Configuration Manager do zarządzania komputerami w organizacji. Jednocześnie inwestujesz w chmurę za pomocą Intune na potrzeby zabezpieczeń i nowoczesnej aprowizacji.
W tym samouczku skonfigurujesz współzarządzanie Windows 10 lub nowszymi urządzeniami, które są już zarejestrowane w Configuration Manager. Ten samouczek rozpoczyna się od założenia, że już używasz Configuration Manager do zarządzania Windows 10 lub nowszymi urządzeniami.
Użyj tego samouczka, gdy:
Masz lokalna usługa Active Directory, z którym można nawiązać połączenie z Tożsamość Microsoft Entra w konfiguracji Microsoft Entra hybrydowej.
Jeśli nie możesz wdrożyć hybrydowego Tożsamość Microsoft Entra, który łączy lokalną usługę AD z Tożsamość Microsoft Entra, zalecamy skorzystanie z naszego towarzyszącego samouczka Enable co-management for new internet-based Windows 10 or later devices (Włączanie współzarządzania dla nowych internetowych Windows 10 lub nowszych urządzeń).
Masz istniejących klientów Configuration Manager, których chcesz dołączyć do chmury.
W tym samouczku wykonasz następujące czynności:
- Zapoznaj się z wymaganiami wstępnymi dotyczącymi platformy Azure i środowiska lokalnego
- Konfigurowanie Tożsamość Microsoft Entra hybrydowej
- Konfigurowanie agentów klienta Configuration Manager w celu zarejestrowania się w Tożsamość Microsoft Entra
- Konfigurowanie Intune do automatycznego rejestrowania urządzeń
- Włączanie współzarządzania w Configuration Manager
Wymagania wstępne
Usługi i środowisko platformy Azure
Subskrypcja platformy Azure (bezpłatna wersja próbna)
Tożsamość Microsoft Entra P1 lub P2
Subskrypcja usługi Microsoft Intune
Porada
Subskrypcja Enterprise Mobility + Security (EMS) obejmuje zarówno Tożsamość Microsoft Entra P1, jak i P2 oraz Microsoft Intune. Subskrypcja pakietu EMS (bezpłatna wersja próbna).
Jeśli nie ma go jeszcze w twoim środowisku, podczas tego samouczka skonfigurujesz Microsoft Entra Connect między lokalna usługa Active Directory a dzierżawą Microsoft Entra.
Uwaga
Urządzenia zarejestrowane tylko w Tożsamość Microsoft Entra nie są obsługiwane w przypadku współzarządzania. Ta konfiguracja jest czasami określana jako przyłączona do miejsca pracy. Muszą zostać przyłączone do Tożsamość Microsoft Entra lub Microsoft Entra przyłączone hybrydowo. Aby uzyskać więcej informacji, zobacz Obsługa urządzeń z Microsoft Entra zarejestrowanym stanem.
Infrastruktura lokalna
- Obsługiwana wersja Configuration Manager bieżącej gałęzi
- Urząd zarządzania urządzeniami przenośnymi (MDM) musi być ustawiony na Intune.
Uprawnienia
W tym samouczku użyj następujących uprawnień do wykonywania zadań:
- Konto, które jest administratorem domeny w infrastrukturze lokalnej
- Konto, które jest pełnym administratoremdla wszystkich zakresów w Configuration Manager
- Konto administratora globalnego w Tożsamość Microsoft Entra
- Upewnij się, że przypisano licencję Intune do konta używanego do logowania się do dzierżawy. W przeciwnym razie logowanie kończy się niepowodzeniem z komunikatem o błędzie Wystąpił nieprzewidowany błąd.
Konfigurowanie Tożsamość Microsoft Entra hybrydowej
Podczas konfigurowania Tożsamość Microsoft Entra hybrydowej konfigurujesz integrację lokalnej usługi AD z usługą Tożsamość Microsoft Entra przy użyciu usług Microsoft Entra Connect i Active Directory Federated Services (ADFS). Po pomyślnej konfiguracji procesy robocze mogą bezproblemowo logować się do systemów zewnętrznych przy użyciu lokalnych poświadczeń usługi AD.
Ważna
W tym samouczku szczegółowo opisano proces tworzenia hybrydowych Tożsamość Microsoft Entra dla domeny zarządzanej. Zalecamy zapoznanie się z procesem i nie poleganie na tym samouczku jako przewodniku po zrozumieniu i wdrożeniu Tożsamość Microsoft Entra hybrydowych.
Aby uzyskać więcej informacji na temat Tożsamość Microsoft Entra hybrydowych, zacznij od następujących artykułów w dokumentacji Microsoft Entra:
Konfigurowanie Microsoft Entra Connect
Tożsamość Microsoft Entra hybrydowa wymaga konfiguracji programu Microsoft Entra Connect w celu zachowania synchronizacji kont komputerów w lokalna usługa Active Directory (AD) i obiektu urządzenia w Tożsamość Microsoft Entra.
Począwszy od wersji 1.1.819.0, program Microsoft Entra Connect udostępnia kreatora konfigurowania Microsoft Entra sprzężenia hybrydowego. Użycie tego kreatora upraszcza proces konfiguracji.
Aby skonfigurować Microsoft Entra Connect, potrzebne są poświadczenia administratora globalnego dla Tożsamość Microsoft Entra. Poniższa procedura nie powinna być uważana za autorytatywną w przypadku konfigurowania programu Microsoft Entra Connect, ale jest dostępna w tym miejscu, aby usprawnić konfigurację współzarządzania między Intune a Configuration Manager. Aby uzyskać autorytatywną zawartość tej i powiązanych procedur dotyczących konfigurowania Tożsamość Microsoft Entra, zobacz Configure Microsoft Entra hybrid join for managed domains (Konfigurowanie przyłączania hybrydowego Microsoft Entra dla domen zarządzanych) w dokumentacji Microsoft Entra.
Konfigurowanie przyłączania hybrydowego Microsoft Entra przy użyciu programu Microsoft Entra Connect
Pobierz i zainstaluj najnowszą wersję programu Microsoft Entra Connect (1.1.819.0 lub nowszą).
Uruchom program Microsoft Entra Connect, a następnie wybierz pozycję Konfiguruj.
Na stronie Dodatkowe zadania wybierz pozycję Konfiguruj opcje urządzenia, a następnie wybierz pozycję Dalej.
Na stronie Przegląd wybierz pozycję Dalej.
Na stronie Połącz z Tożsamość Microsoft Entra wprowadź poświadczenia administratora globalnego dla Tożsamość Microsoft Entra.
Na stronie Opcje urządzenia wybierz pozycję Konfiguruj Microsoft Entra przyłączanie hybrydowe, a następnie wybierz pozycję Dalej.
Na stronie Systemy operacyjne Urządzenia wybierz systemy operacyjne używane przez urządzenia w środowisku usługi Active Directory, a następnie wybierz pozycję Dalej.
Możesz wybrać opcję obsługi urządzeń przyłączonych do domeny z systemem Windows, ale pamiętaj, że współzarządzanie urządzeniami jest obsługiwane tylko w przypadku Windows 10 lub nowszych.
Na stronie SCP dla każdego lasu lokalnego, dla którego chcesz Microsoft Entra Połącz, aby skonfigurować punkt połączenia z usługą (SCP), wykonaj następujące kroki, a następnie wybierz pozycję Dalej:
- Wybierz las.
- Wybierz usługę uwierzytelniania. Jeśli masz domenę federacyjną, wybierz serwer usług AD FS, chyba że organizacja ma wyłącznie Windows 10 lub nowszych klientów i skonfigurowano synchronizację komputera/urządzenia lub twoja organizacja korzysta z bezproblemowego logowania jednokrotnego.
- Kliknij przycisk Dodaj , aby wprowadzić poświadczenia administratora przedsiębiorstwa.
Jeśli masz domenę zarządzaną, pomiń ten krok.
Na stronie Konfiguracja federacji wprowadź poświadczenia administratora usług AD FS, a następnie wybierz przycisk Dalej.
Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
Na stronie Konfiguracja ukończona wybierz pozycję Zakończ.
Jeśli występują problemy z ukończeniem dołączania hybrydowego Microsoft Entra dla urządzeń z systemem Windows przyłączonych do domeny, zobacz Rozwiązywanie problemów z dołączaniem hybrydowym Microsoft Entra dla bieżących urządzeń z systemem Windows.
Konfigurowanie ustawień klienta w celu kierowania klientów do rejestracji w Tożsamość Microsoft Entra
Użyj ustawień klienta, aby skonfigurować klientów Configuration Manager do automatycznego rejestrowania w Tożsamość Microsoft Entra.
Otwórz konsolę Configuration Manager>Omówienie>ustawień klienta,> a następnie edytuj domyślne ustawienia klienta.
Wybierz pozycję Cloud Services.
Na stronie Ustawienia domyślne ustaw opcję Automatycznie rejestruj nowe urządzenia przyłączone do domeny Windows 10 przy użyciu Tożsamość Microsoft Entra na wartość = Tak.
Wybierz przycisk OK , aby zapisać tę konfigurację.
Konfigurowanie automatycznej rejestracji urządzeń w celu Intune
Następnie skonfigurujemy automatyczną rejestrację urządzeń przy użyciu Intune. Dzięki automatycznej rejestracji urządzenia zarządzane za pomocą Configuration Manager automatycznie rejestrują się przy użyciu Intune.
Automatyczna rejestracja umożliwia również użytkownikom rejestrowanie swoich urządzeń Windows 10 lub nowszych w celu Intune. Urządzenia są rejestrowane, gdy użytkownik dodaje swoje konto służbowe do swojego urządzenia należącego do użytkownika lub gdy urządzenie należące do firmy jest przyłączone do Tożsamość Microsoft Entra.
Zaloguj się do Azure Portal i wybierz pozycję Tożsamość Microsoft Entra>Mobilność (MDM i MAM)>Microsoft Intune.
Konfigurowanie zakresu użytkownika mdm. Określ jedną z następujących opcji, aby skonfigurować urządzenia użytkowników zarządzane przez Microsoft Intune i zaakceptować wartości domyślne dla wartości adresu URL.
Niektóre: wybierz Grupy, które mogą automatycznie rejestrować swoje urządzenia Windows 10 lub nowsze
Wszystkie: Wszyscy użytkownicy mogą automatycznie rejestrować swoje urządzenia Windows 10 lub nowsze
Brak: Wyłączanie automatycznej rejestracji mdm
Ważna
Jeśli dla grupy włączono zarówno zakres użytkownika zarządzania aplikacjami mobilnymi, jak i automatyczną rejestrację w usłudze MDM (zakres użytkownika mdm), włączono tylko funkcję MAM. Tylko zarządzanie aplikacjami mobilnymi (MAM) jest dodawane dla użytkowników w tej grupie podczas dołączania urządzeń osobistych w miejscu pracy. Urządzenia nie są automatycznie rejestrowane w usłudze MDM.
Gdy Configuration Manager jest ustawiona na rejestrowanie urządzeń w celu Intune, nadal musisz zmienić zakres użytkownika mdm na potrzeby rejestracji tokenu urządzenia. Configuration Manager używa adresów URL mdm przechowywanych w bazie danych lokacji, aby sprawdzić, czy klient należy do oczekiwanej dzierżawy Intune.
Wybierz pozycję Zapisz , aby ukończyć konfigurację automatycznej rejestracji.
Wróć do pozycji Mobilność (MDM i MAM), a następnie wybierz pozycję Microsoft Intune Rejestracja.
Uwaga
Niektóre dzierżawy mogą nie mieć tych opcji do skonfigurowania.
Microsoft Intune jest sposób konfigurowania aplikacji MDM dla Tożsamość Microsoft Entra. Microsoft Intune Enrollment to określona aplikacja Microsoft Entra utworzona podczas stosowania zasad uwierzytelniania wieloskładnikowego dla rejestracji w systemach iOS i Android. Aby uzyskać więcej informacji, zobacz Wymagaj uwierzytelniania wieloskładnikowego dla rejestracji urządzeń Intune.
W obszarze Zakres użytkownika mdm wybierz pozycję Wszystkie, a następnie pozycję Zapisz.
Włączanie współzarządzania w Configuration Manager
Dzięki konfiguracji Microsoft Entra hybrydowej i Configuration Manager konfiguracji klienta możesz odwrócić przełącznik i włączyć współzarządzanie urządzeniami Windows 10 lub nowszym. Fraza Grupa pilotażowa jest używana w oknach dialogowych funkcji współzarządzania i konfiguracji. Grupa pilotażowa to kolekcja zawierająca podzestaw urządzeń Configuration Manager. Użyj grupy pilotażowej do wstępnego testowania, dodając urządzenia zgodnie z potrzebami, dopóki nie będziesz gotowy do przenoszenia obciążeń dla wszystkich urządzeń Configuration Manager. Nie ma limitu czasu na to, jak długo grupa pilotażowa może być używana dla obciążeń. Grupa pilotażowa może być używana przez czas nieokreślony, jeśli nie chcesz przenosić obciążenia na wszystkie urządzenia Configuration Manager.
Po włączeniu współzarządzania przypiszesz kolekcję jako grupę pilotażową. Jest to grupa zawierająca niewielką liczbę klientów do testowania konfiguracji współzarządzania. Zalecamy utworzenie odpowiedniej kolekcji przed rozpoczęciem procedury. Następnie możesz wybrać tę kolekcję bez zamykania procedury, aby to zrobić. Może być potrzebnych wiele kolekcji, ponieważ można przypisać inną grupę pilotażową dla każdego obciążenia.
Uwaga
Ponieważ urządzenia są rejestrowane w usłudze Microsoft Intune na podstawie tokenu urządzenia Microsoft Entra, a nie tokenu użytkownika, tylko domyślne ograniczenie rejestracji Intune będzie miało zastosowanie do rejestracji.
Włączanie współzarządzania w wersjach 2111 i nowszych
Począwszy od Configuration Manager wersji 2111, środowisko dołączania współzarządzania uległo zmianie. Kreator konfiguracji dołączania do chmury ułatwia współzarządzanie i inne funkcje w chmurze. Możesz wybrać uproszczony zestaw zalecanych wartości domyślnych lub dostosować funkcje dołączania do chmury. Istnieje również nowa wbudowana kolekcja urządzeń dla kwalifikujących się urządzeń do współzarządzania , która ułatwia identyfikację klientów. Aby uzyskać więcej informacji na temat włączania współzarządzania, zobacz Włączanie dołączania do chmury.
Uwaga
Dzięki nowemu kreatorowi nie będziesz przenosić obciążeń w tym samym czasie, w który włączasz współzarządzanie. Aby przenieść obciążenia, edytuj właściwości współzarządzania po włączeniu dołączania do chmury.
Włączanie współzarządzania w wersjach 2107 i starszych
Po włączeniu współzarządzania możesz użyć chmury publicznej platformy Azure, chmury Azure Government lub chmury Azure China 21Vianet (dodano ją w wersji 2006). Aby włączyć współzarządzanie, wykonaj następujące instrukcje:
W konsoli Configuration Manager przejdź do obszaru roboczego Administracja, rozwiń węzeł Cloud Services i wybierz węzeł Dołącz do chmury. Wybierz pozycję Konfiguruj dołączanie do chmury na wstążce, aby otworzyć Kreatora konfiguracji dołączania do chmury.
W wersji 2103 lub starszej rozwiń węzeł Cloud Services i wybierz węzeł Współzarządzanie. Wybierz pozycję Konfiguruj współzarządzanie na wstążce, aby otworzyć Kreatora konfiguracji współzarządzania.
Na stronie dołączania kreatora dla środowiska platformy Azure wybierz jedno z następujących środowisk:
Chmura publiczna platformy Azure
chmura Azure Government
Chmura Azure China (dodana w wersji 2006)
Uwaga
Zaktualizuj klienta Configuration Manager do najnowszej wersji na urządzeniach przed dołączeniem do chmury Azure China.
Po wybraniu chmury platformy Azure w Chinach lub chmury Azure Government opcja Przekaż do centrum administracyjnego programu Microsoft Endpoint Manager dla dołączania dzierżawy jest wyłączona.
Wybierz pozycję Zaloguj. Zaloguj się jako administrator globalny Microsoft Entra, a następnie wybierz pozycję Dalej. Logujesz się za jednym razem na potrzeby tego kreatora. Poświadczenia nie są przechowywane ani ponownie używane w innym miejscu.
Na stronie Włączanie wybierz następujące ustawienia:
Automatyczna rejestracja w Intune: włącza automatyczną rejestrację klienta w Intune dla istniejących klientów Configuration Manager. Ta opcja umożliwia włączenie współzarządzania w podzbiorze klientów w celu wstępnego przetestowania współzarządzania, a następnie wdrożenia współzarządzania przy użyciu podejścia etapowego. Jeśli użytkownik wyrejestruje urządzenie, urządzenie zostanie ponownie zarejestrowane podczas następnej oceny zasad.
- Pilot: tylko klienci Configuration Manager, którzy są członkami kolekcji Intune Auto Enrollment, są automatycznie rejestrowani w Intune.
- Wszystko: włącz automatyczną rejestrację dla wszystkich klientów z systemem Windows 10 wersji 1709 lub nowszej.
- Brak: wyłącz automatyczną rejestrację dla wszystkich klientów.
Intune autorejestracja: ta kolekcja powinna zawierać wszystkich klientów, których chcesz dołączyć do współzarządzania. Zasadniczo jest to nadzbiór wszystkich innych kolekcji przejściowych.
Automatyczna rejestracja nie jest natychmiastowa dla wszystkich klientów. To zachowanie pomaga w lepszym skalowaniu rejestracji w dużych środowiskach. Configuration Manager losowe rejestrowanie na podstawie liczby klientów. Jeśli na przykład środowisko ma 100 000 klientów, po włączeniu tego ustawienia rejestracja odbywa się w ciągu kilku dni.
Nowe współzarządzane urządzenie jest teraz automatycznie rejestrowane w usłudze Microsoft Intune na podstawie tokenu urządzenia Microsoft Entra. Nie trzeba czekać, aż użytkownik zaloguje się do urządzenia, aby rozpocząć automatyczną rejestrację. Ta zmiana pomaga zmniejszyć liczbę urządzeń ze stanem rejestracji Oczekiwanie na logowanie użytkownika. Aby zapewnić obsługę tego zachowania, urządzenie musi działać Windows 10 wersji 1803 lub nowszej. Aby uzyskać więcej informacji, zobacz Stan rejestracji współzarządzania.
Jeśli masz już urządzenia zarejestrowane we współzarządzaniu, nowe urządzenia są teraz rejestrowane natychmiast po spełnieniu wymagań wstępnych.
W przypadku urządzeń internetowych, które są już zarejestrowane w Intune, skopiuj i zapisz polecenie na stronie Włączanie. Użyjesz tego polecenia, aby zainstalować klienta Configuration Manager jako aplikację w Intune dla urządzeń internetowych. Jeśli nie zapiszesz teraz tego polecenia, możesz przejrzeć konfigurację współzarządzania w dowolnym momencie, aby uzyskać to polecenie.
Porada
Polecenie jest wyświetlane tylko wtedy, gdy spełniono wszystkie wymagania wstępne, takie jak skonfigurowanie bramy zarządzania chmurą.
Na stronie Obciążenia dla każdego obciążenia wybierz grupę urządzeń, którą chcesz przenieść na potrzeby zarządzania za pomocą Intune. Aby uzyskać więcej informacji, zobacz Obciążenia.
Jeśli chcesz włączyć tylko współzarządzanie, nie musisz teraz przełączać obciążeń. Obciążenia można później przełączyć. Aby uzyskać więcej informacji, zobacz Jak przełączać obciążenia.
- Intune pilotażowe: przełącza skojarzone obciążenie tylko dla urządzeń w kolekcjach pilotażowych, które zostaną określone na stronie Przemieszczanie. Każde obciążenie może mieć inną kolekcję pilotażową.
- Intune: przełącza skojarzone obciążenie dla wszystkich współzarządzanych urządzeń Windows 10 lub nowszych.
Ważna
Przed przełączeniem jakichkolwiek obciążeń upewnij się, że odpowiednie obciążenie jest prawidłowo skonfigurowane i wdrożone w Intune. Upewnij się, że obciążenia są zawsze zarządzane przez jedno z narzędzi do zarządzania urządzeniami.
Na stronie Przemieszczanie określ kolekcję pilotażową dla każdego z obciążeń, które są ustawione na Intune pilotażowe.
Aby włączyć współzarządzanie, wykonaj czynności kreatora.
Następne kroki
- Przejrzyj stan urządzeń współzarządzanych za pomocą pulpitu nawigacyjnego współzarządzania
- Rozpoczynanie uzyskiwania natychmiastowej wartości ze współzarządzania
- Zarządzanie dostępem użytkowników do zasobów firmowych przy użyciu reguł dostępu warunkowego i zgodności Intune