适用于: Configuration Manager(current branch)
本文解答了有关共同管理的常见问题。 有关详细信息,请参阅 什么是共同管理?。
规划
我想启用共同管理,效果如何?
启用共同管理后,Configuration Manager仍然是所有工作负荷的管理机构。 因此,你继续以相同的方式管理设备。 如果不将任何工作负载切换到Intune,则所有Configuration Manager设置和应用将继续像启用共同管理之前一样工作。
启用共同管理对最终用户完全透明。 没有重启、没有代理安装、没有中断,也没有用户通知。
作为管理员,可以在Microsoft Intune管理中心看到共同管理的设备。 可以从管理中心执行远程操作,并且可以通过 终结点分析从见解中受益。
下次重置设备时,可以将共同管理的设备转换为 Autopilot 预配的设备。
请考虑使用公司门户。 它是Microsoft Intune产品系列的跨平台应用门户体验。 通过将共同管理的设备配置为也使用 公司门户,可以在所有设备上提供一致的用户体验。 用户应熟悉公司门户,因为它将提供未来集成的体验。 有关详细信息,请参阅在共同受管理设备上使用公司门户应用。
我应该使用共同管理还是租户附加?
双! 可以单独使用它们,但它们可协同工作。
通过共同管理,可以使用Configuration Manager和Intune同时管理Windows 10或更高版本的设备。 安装 Configuration Manager 客户端,并将设备注册到 Intune。 设备与这两个服务通信。 Configuration Manager策略控制Intune作为管理机构切换到哪些工作负载。 可以启用共同管理,而不使用租户附加将设备上传到Microsoft Intune管理中心。
租户附加设置 Configuration Manager 站点与 Intune 租户之间的同步。 然后,可以在Microsoft Intune管理中心中看到Configuration Manager设备。 此连接为使用Microsoft Intune和Configuration Manager管理的所有设备提供单一视图。 在某些不希望使用完整Configuration Manager控制台的情况下,此基于 Web 的控制台可能很有用,例如与技术支持人员配合使用。 还可以从 终结点分析中的见解中受益。 可以将站点配置为将设备上传到Microsoft Intune管理中心,而不启用共同管理。 但是,在启用共同管理之前,这些设备仍由 ConfigMgr 进行管理。
有关租户附加以及如何配置它的详细信息,请参阅 租户附加。
是否可以共同管理Windows 365云电脑?
可以! 可以共同管理Windows 365云电脑。
身份验证
Microsoft Entra混合加入是否是共同管理的唯一选项?
不正确。 Microsoft Entra混合联接和共同管理是两种不同的内容:
Microsoft Entra混合加入是设备标识状态,其中设备已加入本地 Active Directory域并在Microsoft Entra ID中注册。
通过共同管理,可以使用Configuration Manager和Intune同时管理Windows 10或更高版本的设备。 安装 Configuration Manager 客户端,并将设备注册到 Intune。 设备与这两个服务通信。 Configuration Manager策略控制Intune作为管理机构切换到哪些工作负载。 共同管理要求设备具有云标识。 此标识可以是Microsoft Entra混合联接,也可以是仅Microsoft Entra联接。
对于已加入 Active Directory 的现有Configuration Manager客户端,需要在启用共同管理之前将其混合联接。
对于仅使用Microsoft Entra ID加入云域的新设备,可以立即启用共同管理。 对于新的共同管理设备,无需Microsoft Entra混合联接。
有关详细信息,请参阅使用 Microsoft Entra ID 进行共同管理。
共同管理是否支持已加入Microsoft Entra设备?
是。 共同管理支持Microsoft Entra联接设备和Microsoft Entra混合联接设备。 有关详细信息,请参阅 共同管理先决条件。
我的环境包含过多的组策略对象和经过身份验证的旧版应用。 是否必须使用混合Microsoft Entra ID?
这由具体情况决定。 某些客户担心Microsoft Entra已加入的设备,因为他们需要组策略或需要 Win32 应用身份验证。 需要更多详细信息来了解它是否是真正的阻碍因素。
对于应用,请在已加入Microsoft Entra的设备上对其进行测试。 通常,只有需要基于计算机的身份验证的应用不起作用,并且这些应用并不常见。 如果应用在已加入云域的设备上运行,则无需因为该应用而混合加入设备。
对于组策略,不要尝试将所有现有的组策略对象 (GPO) 转换为Intune策略。 对于云托管设备,有一些组策略不适用于方案。 如果不知道为何配置组策略设置,现在可以确定它是否仍需要。 此外,请确保你不再使用的应用的设置不再使用。 此过程是优化云托管设备的性能和配置要求的机会。
使用Microsoft策略分析来帮助你了解 GPO 中是否需要迁移到Intune的关键设置。 有关详细信息,请参阅 使用组策略分析。
不要仅为了避免查看Windows 10或更高版本设备所需的设置而决定投资混合身份验证。 利用这个机会投入现在的时间,为未来创造更好的位置。 此外,正常且干净的设备配置有助于提高性能和用户体验。 不要购买新硬件,请安装最新的 Windows 版本,然后应用旧配置。
用户是否需要登录才能进行自动注册?
不正确。 设备令牌用于将设备注册到Intune。 用户无需登录 Windows 即可应用设置。
设置共同管理时,启用当前由 Configuration Manager 管理的设备的自动注册。 如果需要,可以限定试点集合的自动注册范围。
有关详细信息,请参阅 如何启用共同管理。 在开始此过程之前,请确保已设置共同管理先决条件。 有关详细信息,请参阅先决条件。
是否需要对弃用 Azure AD 图形 API 和 Azure AD 身份验证 库 (ADAL) 执行任何操作?
很可能不是。 有关详细信息,请参阅 CMG 常见问题解答。
工作负载
我已启用共同管理,应首先切换哪个工作负载?
合规性 是大多数客户首先切换的工作负载。 如果将此工作负载切换到Intune,仍可能要求设备从Configuration Manager评估设置。 在 Intune 中配置符合性策略时,请启用它以要求设备符合Configuration Manager。 然后,可以使用设备符合性状态来控制对基于云的资源 的条件访问 。 此配置允许你开始使用云服务,而无需更改Configuration Manager中已有的合规性检查。
符合性后,最常见的工作负载是 Office 即点即用应用、客户端应用和Windows 更新策略。
将应用工作负载切换到Intune时,仍可以从Configuration Manager部署应用程序。 此配置还允许在 Intune 中分配应用。 新公司门户显示Configuration Manager和Intune应用,因此体验完全集成。 有关详细信息,请参阅在共同受管理设备上使用公司门户应用。
对于软件更新,许多客户不再在Configuration Manager对其进行微管理,而是使用 Windows 汇报 for Business。 鉴于 Windows 更新位于云中,因此新式方法是完全在云中管理此工作负载,而不是将它们同步到本地网络,然后将其再次分发到 Internet 上的客户端。
有关详细信息,请参阅 共同管理工作负载。
是否可以将 Windows Autopilot 与共同管理配合使用?
是。 共同管理的两种途径之一是使用新式预配启动。 对于新设备或已改变用途的设备,Autopilot 会将其加入Microsoft Entra ID并将其注册到Intune。 然后,Intune可以部署Configuration Manager客户端并启用共同管理。
有关详细信息,请参阅 如何准备基于 Internet 的设备进行共同管理。
注意
在 Windows Autopilot 用户驱动模式下预配新计算机以Microsoft Entra混合联接时,无法部署 Configuration Manager 客户端。 此限制是由于在Microsoft Entra加入过程中设备的身份更改。 在 Autopilot 进程之后部署 Configuration Manager 客户端。 有关安装客户端的替代选项,请参阅 Configuration Manager 中的客户端安装方法。
如何实现管理 Windows 和 Microsoft 365 应用的更新?
可以使用 Configuration Manager 或 Intune 管理 Windows 和 Microsoft 365 应用的更新。 Configuration Manager提供了一个非常详细且受控的过程来管理这些更新及其内容,这对某些客户很重要。 新式方法只是使设备保持最新状态,但仍控制计时和用户体验。
如果将Windows 更新策略工作负荷切换到Intune,则它将成为 Windows 质量和功能更新的管理机构。 使用Intune配置更新通道和功能更新设置的设置。 有关详细信息,请参阅在 Intune 中管理 Windows 软件更新。
如果将 Office 即点即用应用工作负载切换到Intune,则它将成为 Microsoft 365 应用和更新的管理机构。 创建新的 Microsoft 365 套件部署时,请选择客户端的更新通道。 有关详细信息,请参阅以下文章:
通过共同管理,我是否可以在Configuration Manager Intune和合规性设置中使用合规性策略来评估整体设备符合性?
是。 将环境共同管理,并将合规性工作负载切换到Intune后,可以使用现有的Configuration Manager符合性设置,并将其与条件访问集成。 有关详细信息,请参阅以下文章:
随时随地开展工作
我有哪些选项来管理在家办公的用户设备的 VPN 带宽?
请参阅以下博客文章,其中详细介绍了如何使用云管理网关 (CMG) 以及如何使用拆分隧道 VPN 对其进行设置,以提供最佳体验并缓解 VPN 流量:
共同管理是否需要云管理网关 (CMG) ?
不正确。 CMG 是用于设备连接的Configuration Manager功能。 如果你在 Internet 上Configuration Manager客户端,或者它们是否是共同管理的,则应使用 CMG。 在没有 CMG 的环境中共同托管的客户端在本地网络外部漫游时,必须依赖 VPN 连接。
预配Microsoft Entra联接共同管理设备的方案确实需要 CMG。 它允许基于实习生的设备在 Autopilot 进程后安装Configuration Manager客户端。
有关详细信息,请参阅以下文章:
是否需要将软件更新分发到已启用内容的 CMG,以便远程客户端安装它们?
不正确。 Windows 更新已在 Internet 上提供,因此无需将它们分发到 CMG。
在以前的版本中,Configuration Manager阻止对基于云的内容源的更新包。 此约束已删除,因此你可以分发第三方软件更新。 请勿将任何可从Microsoft汇报提供的更新分发到 CMG。
使用 CMG 直接从Microsoft汇报云服务获取更新时,Configuration Manager客户端具有本机相关性。 有关 CMG 如何与 Microsoft 汇报 服务和配置指南配合使用的详细信息,请参阅在 Microsoft Configuration Manager 中使用云管理网关管理远程计算机上的博客文章。