教程:为现有 Configuration Manager 客户端启用共同管理
借助共同管理,可以保留你已确立的流程,以使用 Configuration Manager 来管理组织中的电脑。 与此同时,可以通过使用 Intune 来投资云,以进行安全性和新式预配。
在本教程中,你将设置对已在 Configuration Manager 中注册的Windows 10或更高版本设备的共同管理。 本教程从已使用Configuration Manager来管理Windows 10或更高版本设备的前提开始。
在以下情况下使用本教程:
你有一个本地 Active Directory,可以在混合Microsoft Entra配置中连接到Microsoft Entra ID。
如果无法部署将本地 AD 与 Microsoft Entra ID 联接的混合Microsoft Entra ID,建议遵循我们的配套教程“为基于 Internet 的新Windows 10或更高版本的设备启用共同管理。
你已有Configuration Manager要云附加的客户端。
在本教程中,你将:
- 查看 Azure 和本地环境的先决条件
- 设置混合Microsoft Entra ID
- 将Configuration Manager客户端代理配置为向 Microsoft Entra ID 注册
- 配置 Intune 来自动注册设备
- 在 Configuration Manager 中启用共同管理
先决条件
Azure 服务和环境
Azure 订阅 (免费试用)
Microsoft Entra ID P1 或 P2
Microsoft Intune 订阅
提示
企业移动性 + 安全性 (EMS) 订阅包括Microsoft Entra ID P1 或 P2 和 Microsoft Intune。 EMS 订阅 (免费试用) 。
如果环境中尚不存在,在本教程中,你将在本地 Active Directory与Microsoft Entra租户之间配置Microsoft Entra连接。
注意
共同管理不支持仅向 Microsoft Entra ID 注册的设备。 此配置有时称为 已加入工作区。 它们需要联接到Microsoft Entra ID或Microsoft Entra混合联接。 有关详细信息,请参阅处理具有已注册状态Microsoft Entra的设备。
本地基础结构
- 当前分支Configuration Manager支持的版本
- 必须将移动设备管理 (MDM) 机构设置为 Intune。
权限
在本教程中,使用以下权限完成任务:
- 作为本地基础结构的 域管理员 的帐户
- 一个帐户,该帐户是 Configuration Manager 中所有范围的完全管理员
- 作为 Microsoft Entra ID 中的全局管理员的帐户
- 确保已将Intune许可证分配给用于登录到租户的帐户。 否则,登录失败并显示错误消息“ 发生意外错误”。
设置混合Microsoft Entra ID
设置混合Microsoft Entra ID时,实际上是使用 Microsoft Entra Connect 和 Active Directory 联合服务 (ADFS) 设置本地 AD 与Microsoft Entra ID的集成。 成功配置后,辅助角色可以使用其本地 AD 凭据无缝登录到外部系统。
重要
本教程详细介绍了为托管域设置混合Microsoft Entra ID的裸露过程。 建议熟悉此过程,不要依赖本教程来指导你了解和部署混合Microsoft Entra ID。
有关混合Microsoft Entra ID的详细信息,请从Microsoft Entra文档中的以下文章开始:
设置 Microsoft Entra Connect
混合Microsoft Entra ID需要配置 Microsoft Entra Connect,以使 本地 Active Directory (AD) 中的计算机帐户和 Microsoft Entra ID 中的设备对象保持同步。
从版本 1.1.819.0 开始,Microsoft Entra Connect 提供了一个向导来配置Microsoft Entra混合联接。 使用该向导可简化配置过程。
若要配置 Microsoft Entra Connect,需要全局管理员的凭据才能Microsoft Entra ID。 以下过程不应被视为设置 Microsoft Entra Connect 的权威过程,但此处提供的过程有助于简化Intune与Configuration Manager之间的共同管理配置。 有关设置Microsoft Entra ID的此相关过程的权威内容,请参阅Microsoft Entra文档中的为托管域配置Microsoft Entra混合联接。
使用 Microsoft Entra Connect 配置Microsoft Entra混合联接
获取并安装最新版本的 Microsoft Entra Connect (1.1.819.0 或更高版本) 。
启动Microsoft Entra Connect,然后选择“配置”。
在“ 其他任务 ”页上,选择“ 配置设备选项”,然后选择“ 下一步”。
在 “概述 ”页上,选择“ 下一步”。
在“连接到Microsoft Entra ID”页上,输入Microsoft Entra ID全局管理员的凭据。
在“设备选项”页上,选择“配置Microsoft Entra混合联接”,然后选择“下一步”。
在 “设备操作系统 ”页上,选择 Active Directory 环境中设备使用的操作系统,然后选择“ 下一步”。
可以选择支持 Windows 下层加入域的设备的选项,但请记住,只有Windows 10或更高版本才支持共同管理设备。
在 SCP 页上,对于要Microsoft Entra Connect 配置 SCP) 服务连接点 (每个本地林,执行以下步骤,然后选择“下一步”:
- 选择林。
- 选择身份验证服务。 如果你有联合域,请选择 AD FS 服务器,除非你的组织专门Windows 10或更高版本的客户端,并且你已配置计算机/设备同步,或者你的组织正在使用无缝SSO。
- 单击“ 添加 ”以输入企业管理员凭据。
如果有托管域,请跳过此步骤。
在 “联合身份验证配置 ”页上,输入 AD FS 管理员的凭据,然后选择“ 下一步”。
在 “准备配置 ”页上,选择“ 配置”。
在 “配置完成 ”页上,选择“ 退出”。
如果在为已加入域的 Windows 设备完成Microsoft Entra混合加入时遇到问题,请参阅 Windows 当前设备的混合加入Microsoft Entra故障排除。
配置客户端设置以指示客户端注册到 Microsoft Entra ID
使用“客户端设置”将Configuration Manager客户端配置为自动注册到 Microsoft Entra ID。
打开Configuration Manager控制台>“管理>概述>客户端设置”,然后编辑“默认客户端设置”。
选择“云服务”。
在“默认设置”页上,将“使用Microsoft Entra ID自动注册新Windows 10加入域的设备”设置为“是”。
选择“ 确定” 以保存此配置。
配置设备的自动注册以Intune
接下来,我们将使用Intune设置设备的自动注册。 使用自动注册,使用 Configuration Manager管理的设备自动注册Intune。
自动注册还允许用户将其Windows 10或更高版本的设备注册到Intune。 当用户将其工作帐户添加到其个人拥有的设备时,或将公司拥有的设备加入到Microsoft Entra ID时,设备会注册。
登录到Azure 门户并选择“Microsoft Entra ID>移动 (MDM 和 MAM) >Microsoft Intune”。
配置 MDM 用户范围。 指定以下选项之一,以配置由 Microsoft Intune 管理哪些用户的设备,并接受 URL 值的默认值。
某些:选择可自动注册其Windows 10或更高版本设备的组
全部:所有用户都可以自动注册其Windows 10或更高版本的设备
无:禁用 MDM 自动注册
重要
如果为组启用了 MAM 用户范围 和自动 MDM 注册 (MDM 用户范围) ,则仅启用 MAM。 当用户在工作区加入个人设备时,只会为该组中的用户添加移动应用程序管理 (MAM) 。 设备不会自动注册 MDM。
当Configuration Manager设置为将设备注册到Intune时,仍需要更改设备令牌注册的 MDM 用户范围。 Configuration Manager使用存储在站点数据库中的 MDM URL 来验证客户端是否属于预期的租户Intune。
选择“ 保存” 以完成自动注册的配置。
返回到“移动性” (MDM 和 MAM) ,然后选择“Microsoft Intune注册”。
注意
某些租户可能没有这些配置选项。
Microsoft Intune介绍如何为Microsoft Entra ID配置 MDM 应用。 Microsoft Intune注册是应用 iOS 和 Android 注册的多重身份验证策略时创建的特定Microsoft Entra应用。 有关详细信息,请参阅对 Intune 设备注册要求多重身份验证。
对于“MDM 用户范围”,请选择“ 全部”,然后选择“ 保存”。
在 Configuration Manager 中启用共同管理
通过混合Microsoft Entra设置和Configuration Manager客户端配置,可以翻转开关并启用Windows 10或更高版本设备的共同管理。 短语 “试点组 ”在整个共同管理功能和配置对话框中使用。 试点组是包含Configuration Manager设备的子集的集合。 使用试点组进行初始测试,根据需要添加设备,直到准备好移动所有Configuration Manager设备的工作负载。 试点 组 可用于工作负荷的时间没有时间限制。 如果不希望将工作负载移动到所有Configuration Manager设备,则可以无限期使用试点组。
启用共同管理后,会将集合分配为 试点组。 这是一个包含少量客户端的组,用于测试共同管理配置。 建议在开始此过程之前创建合适的集合。 然后,无需退出过程即可选择该集合。 可能需要多个集合,因为可以为每个工作负载分配不同的 试点组 。
注意
由于设备是根据其Microsoft Entra设备令牌(而不是用户令牌)在Microsoft Intune服务中注册的,所以只有默认Intune注册限制将应用于注册。
为版本 2111 及更高版本启用共同管理
从 Configuration Manager 版本 2111 开始,共同管理加入体验发生了变化。 借助云附加配置向导,可以更轻松地启用共同管理和其他云功能。 可以选择一组简化的推荐默认值,或自定义云附加功能。 还有一个新的内置设备集合,用于 共同管理符合条件的设备 ,以帮助你识别客户端。 有关启用共同管理的详细信息,请参阅 启用云附加。
注意
使用新向导时,不会在启用共同管理的同时移动工作负载。 若要移动工作负载,请在启用云附加后编辑共同管理属性。
为版本 2107 及更早版本启用共同管理
启用共同管理时,可以使用版本 2006) 中添加的 Azure 公有云、Azure 政府云或 Azure 中国世纪互联云 (。 若要启用共同管理,请按照以下说明操作:
在Configuration Manager控制台中,转到“管理”工作区,展开“云服务”,然后选择“云附加”节点。 选择功能区上的“ 配置云附加 ”,打开“云附加配置向导”。
对于版本 2103 及更早版本,展开云服务并选择“共同管理”节点。 在功能区上选择“ 配置共同管理 ”,打开“共同管理配置向导”。
在向导的“载入”页上,对于 Azure 环境,请选择以下环境之一:
Azure 公有云
Azure 政府云
版本 2006) 中添加了 Azure 中国云 (
注意
在载入 Azure 中国云之前,请将 Configuration Manager 客户端更新到设备上的最新版本。
选择 Azure 中国云或Azure 政府云时,将禁用租户附加的“上传到 Microsoft Endpoint Manager 管理中心”选项。
选择“登录”。 以全局管理员Microsoft Entra身份登录,然后选择“下一步”。 出于此向导的目的,你一次登录此向导。 凭据不会存储在其他位置或重复使用。
在 “启用” 页上,选择以下设置:
Intune中的自动注册:在 Intune 中为现有Configuration Manager客户端启用自动客户端注册。 此选项允许对一部分客户端启用共同管理,以最初测试共同管理,然后使用分阶段方法推出共同管理。 如果用户取消注册设备,则会在策略的下一次评估中重新注册该设备。
- 试点:只有属于Intune自动注册集合的Configuration Manager客户端才会自动注册Intune。
- 全部:为运行Windows 10版本 1709 或更高版本的所有客户端启用自动注册。
- 无:禁用所有客户端的自动注册。
Intune自动注册:此集合应包含要加入到共同管理中的所有客户端。 它本质上是所有其他暂存集合的超集。
并非所有客户端都立即进行自动注册。 此行为有助于在大型环境中更好地缩放注册。 Configuration Manager根据客户端数随机化注册。 例如,如果环境中有 100,000 个客户端,则启用此设置时,注册将超过几天。
新的共同托管设备现在根据其Microsoft Entra设备令牌自动注册到Microsoft Intune服务中。 无需等待用户登录设备即可启动自动注册。 此更改有助于减少注册状态为 “挂起用户登录”的设备数。 若要支持此行为,设备需要运行Windows 10版本 1803 或更高版本。 有关详细信息,请参阅 共同管理注册状态。
如果已在共同管理中注册了设备,则新设备在满足 先决条件后立即注册。
对于已在 Intune 中注册的基于 Internet 的设备,请复制命令并将其保存在“启用”页上。 你将使用此命令将 Configuration Manager 客户端安装为基于 Internet 的设备Intune中的应用。 如果现在不保存此命令,可以随时查看共同管理配置以获取此命令。
提示
仅当满足所有先决条件(例如设置云管理网关)时,才会显示命令。
在“工作负载”页上,对于每个工作负载,选择要转移哪个设备组进行管理,Intune。 有关详细信息,请参阅 工作负载。
如果只想启用共同管理,则现在无需切换工作负载。 稍后可以切换工作负载。 有关详细信息,请参阅 如何切换工作负载。
- 试点Intune:仅为将在“暂存”页上指定的试点集合中的设备切换关联的工作负载。 每个工作负载可以具有不同的试点集合。
- Intune:为所有共同管理的Windows 10或更高版本的设备切换关联的工作负载。
重要
在切换任何工作负载之前,请确保在 Intune 中正确配置和部署相应的工作负载。 确保工作负荷始终由设备的管理工具之一进行管理。
在“暂存”页上,为设置为“试点Intune”的每个工作负载指定试点集合。
若要启用共同管理,请完成向导。