什么是共同管理?
共同管理是将现有 Configuration Manager 部署附加到 Microsoft 365 云的主要方法之一。 它可帮助你解锁更多云支持的功能,例如条件访问。
通过共同管理,可以同时使用配置管理器和 Microsoft Intune 并行管理 Windows 10 或更高版本的设备。 通过添加新功能,可让你在 Configuration Manager 中通过云对现有投入附加价值。 通过使用共同管理,可以灵活地使用最适合你的组织的技术解决方案。
当 Windows 设备具有 Configuration Manager 客户端并注册到Intune时,你将获得这两种服务的优势。 可以控制通过哪些工作负载(如果有)将权限从 Configuration Manager 切换到 Intune。 Configuration Manager 继续管理所有其他工作负载,包括未切换到 Intune 的这些工作负载,以及共同管理不支持的所有其他 Configuration Manager 功能。
你还能使用独立的设备集合来测试工作负载。 通过试点,你可先使用一部分设备测试 Intune 功能,然后再切换更大的群组。
注意
使用Configuration Manager和Microsoft Intune同时管理设备时,此配置称为共同管理。 使用 Configuration Manager 管理设备并注册到第三方 MDM 服务的配置称为“共存”。 如果在两个设备之间没有适当地协调,则对一个设备具有两个管理权限可能会面临挑战。 通过共同管理,Configuration Manager和Intune平衡工作负载,以确保没有冲突。 第三方服务不存在这种交互,因此共存的管理功能受到限制。 有关详细信息,请参阅第三方 MDM 与Configuration Manager共存。
实现共同管理的路径
实现共同管理的路径主要有两种:
现有Configuration Manager客户端:Windows 10或更高版本的设备已Configuration Manager客户端。 设置混合Microsoft Entra ID,并将其注册到 Intune。
新的基于 Internet 的设备:你拥有加入Microsoft Entra ID并自动注册到Intune的新Windows 10或更高版本的设备。 安装 Configuration Manager 客户端,以达到共同管理状态。
有关路径的详细信息,请参阅 共同管理的路径。
优点
在对现有 Configuration Manager 客户端注册共同管理时,将获得以下直接价值:
具有设备合规性的条件访问
基于 Intune 的远程操作(例如:重启、远程控制或复位)
设备运行状况的集中可见性
将用户、设备和应用与Microsoft Entra ID链接
使用 Windows Autopilot 的新式预配
远程操作
有关共同管理的即时价值的详细信息,请参阅使用 共同管理的云连接快速入门系列。
共同管理还使你能够协调多个工作负载的Intune。 有关详细信息,请参阅 工作负载 部分。
注意
共同管理本身不是管理远程连接的 Windows 系统的解决方案。 Configuration Manager客户端仍需要与其分配的站点通信。 若要使用 Configuration Manager 管理远程连接的 Windows 系统,请启用云管理网关 (CMG) 。 共同管理不需要 CMG,并且不需要与 CMG 共同管理,但它们可以一起使用。
先决条件
共同管理在以下方面具有这些先决条件:
- 许可
- 配置管理器
- Microsoft Entra ID (Microsoft Entra ID)
- Microsoft Intune
- Windows
- 权限和角色
授权
Microsoft Entra ID P1 或 P2
注意
企业移动性 + 安全性 (EMS) 订阅包括Microsoft Entra ID P1 或 P2 和 Microsoft Intune。
至少一个Intune许可证,可供你作为管理员访问Microsoft Intune管理中心。
提示
请确保将Intune许可证分配给用于登录到租户的帐户。 否则,登录失败并显示错误消息“ 发生意外错误”。
你可能不需要购买单个 Intune 或 EMS 许可证并将其分配给用户。 有关详细信息,请参阅产品和许可常见问题解答。
Configuration Manager
共同管理需要当前分支支持的 Configuration Manager 版本。
可以将多个Configuration Manager实例连接到单个Intune租户。
启用共同管理本身不需要使用Microsoft Entra ID加入网站。 对于第二个路径方案,基于 Internet 的Configuration Manager客户端需要云管理网关 (CMG) 。 CMG 要求将站点载入到Microsoft Entra ID进行云管理。
Microsoft Entra ID
Windows 设备必须连接到Microsoft Entra ID。 它们可以是以下类型之一:
Microsoft Entra混合联接,其中设备已加入本地 Active Directory并在Microsoft Entra ID注册。
注意
共同管理不支持仅向 Microsoft Entra ID 注册的设备。 此配置有时称为 已加入工作区。 它们需要联接到Microsoft Entra ID或Microsoft Entra混合联接。 有关详细信息,请参阅处理具有已注册状态Microsoft Entra的设备。
仅Microsoft Entra已加入。 此类型有时称为 云域加入.)
提示
当我们与使用 Microsoft Intune 部署、管理和保护其客户端设备的客户交谈时,我们经常遇到有关共同管理设备和Microsoft Entra混合联接设备的问题。 许多客户混淆了这两个主题。 共同管理是一种管理选项,而Microsoft Entra ID是标识选项。 有关详细信息,请参阅了解混合Microsoft Entra ID和共同管理方案。 此博客文章旨在阐明Microsoft Entra混合联接和共同管理,以及它们如何协同工作,但并非同一回事。
Intune
Windows
将设备更新到受支持的 Windows 11 或 Windows 10 版本。 有关详细信息,请参阅采用 Windows 即服务。
权限和角色
操作 | 需要角色 |
---|---|
在配置管理器中设置云管理网关 | Azure 订阅管理器 |
从 Configuration Manager 创建Microsoft Entra应用 | Microsoft Entra ID全局管理员 |
在配置管理器中导入 Azure 应用 | Configuration Manager完全管理员 不需要其他 Azure 角色 |
在 Configuration Manager 中启用共同管理 | Microsoft Entra用户 Configuration Manager具有所有作用域权限的完全管理员。 |
有关 Azure 角色的详细信息,请参阅 了解不同的角色。
有关 Configuration Manager 角色的详细信息,请参阅基于角色的管理的基础知识。
工作负载
无需切换工作负载,也可以在准备就绪时单独切换工作负载。 Configuration Manager 继续管理所有其他工作负载,包括未切换到 Intune 的这些工作负载,以及共同管理不支持的所有其他 Configuration Manager 功能。
共同管理支持以下工作负载:
合规性策略
Windows 更新策略
资源访问策略
终结点保护
设备配置
Office 即点即用应用
客户端应用
有关详细信息,请参阅 工作负载。
监视共同管理
共同管理仪表板可帮助你查看环境中共同管理的计算机。 这些图可帮助识别可能需要注意的设备。
有关详细信息,请参阅 如何监视共同管理。