Sdílet prostřednictvím


Kurz: Povolení spolusprávy pro stávající klienty nástroje Configuration Manager

Díky spolusprávě můžete zachovat dobře zavedené procesy pro správu počítačů ve vaší organizaci pomocí Configuration Manageru. Zároveň investujete do cloudu prostřednictvím intune pro zabezpečení a moderní zřizování.

V tomto kurzu nastavíte spolusprávu zařízení s Windows 10 nebo novějšími, která jsou už zaregistrovaná v Nástroji Configuration Manager. Tento kurz začíná tím, že už používáte Configuration Manager ke správě zařízení s Windows 10 nebo novějším.

Tento kurz použijte v těchto případech:

  • Máte místní službu Active Directory, kterou můžete připojit k Microsoft Entra ID v hybridní konfiguraci Microsoft Entra.

    Pokud nemůžete nasadit hybridní ID Microsoft Entra, které připojí vaši místní službu AD k Microsoft Entra ID, doporučujeme postupovat podle našeho doprovodné kurzy Povolení spolusprávy pro nová internetová zařízení s Windows 10 nebo novějším.

  • Máte existující klienty nástroje Configuration Manager, které chcete připojit ke cloudu.

V tomto kurzu:

  • Kontrola požadavků pro Azure a vaše místní prostředí
  • Nastavení hybridního ID Microsoft Entra
  • Konfigurace klientských agentů nástroje Configuration Manager pro registraci s ID Microsoft Entra
  • Konfigurace Intune pro automatickou registraci zařízení
  • Povolení spolusprávy v nástroji Configuration Manager

Požadavky

Služby a prostředí Azure

  • Předplatné Azure (bezplatná zkušební verze)

  • Microsoft Entra ID P1 nebo P2

  • Předplatné služby Microsoft Intune

    Tip

    Předplatné Enterprise Mobility + Security (EMS) zahrnuje Microsoft Entra ID P1 nebo P2 a Microsoft Intune. Předplatné EMS (bezplatná zkušební verze)

Pokud ještě ve vašem prostředí není, nakonfigurujete v tomto kurzu Microsoft Entra Connect mezi místní službou Active Directory a tenantem Microsoft Entra.

Poznámka

Zařízení, která jsou zaregistrovaná jenom s Microsoft Entra ID, se spolusprávou nepodporují. Tato konfigurace se někdy označuje jako připojení k pracovišti. Musí být buď připojené k Microsoft Entra ID, nebo k hybridnímu připojení Microsoft Entra. Další informace najdete v tématu Zpracování zařízení s registrovaným stavem Microsoft Entra.

Místní infrastruktura

  • Podporovaná verze aktuální větve configuration manageru
  • Autorita pro správu mobilních zařízení (MDM) musí být nastavená na Intune.

Oprávnění

V tomto kurzu použijte k dokončení úkolů následující oprávnění:

  • Účet, který je správcem domény ve vaší místní infrastruktuře
  • Účet, který je úplným správcempro všechny obory v nástroji Configuration Manager
  • Účet, který je globálním správcem v Microsoft Entra ID
    • Ujistěte se, že jste účtu, který používáte pro přihlášení k tenantovi, přiřadili licenci Intune. V opačném případě se přihlášení nezdaří s chybovou zprávou Došlo k neočekávané chybě.

Nastavení hybridního ID Microsoft Entra

Když nastavujete hybridní Microsoft Entra ID, ve skutečnosti nastavujete integraci místní služby AD s Microsoft Entra ID pomocí Microsoft Entra Connect a Active Directory Federated Services (ADFS). Po úspěšné konfiguraci se vaši pracovníci můžou bezproblémově přihlašovat k externím systémům pomocí svých přihlašovacích údajů místní služby AD.

Důležité

Tento kurz podrobně popisuje proces nastavení hybridního ID Microsoft Entra pro spravovanou doménu. Doporučujeme, abyste se seznámili s tímto procesem a nespoléhali na tento kurz jako na průvodce pro pochopení a nasazení hybridního Microsoft Entra ID.

Další informace o hybridním Microsoft Entra ID, začněte s následujícími články v dokumentaci Microsoft Entra:

Nastavení Microsoft Entra Connect

Hybridní Microsoft Entra ID vyžaduje konfiguraci nástroje Microsoft Entra Connect, aby byly účty počítačů v místní službě Active Directory (AD) a objekt zařízení v Id Microsoft Entra synchronizovány.

Od verze 1.1.819.0 poskytuje Microsoft Entra Connect průvodce konfigurací hybridního připojení Microsoft Entra. Použití tohoto průvodce zjednodušuje proces konfigurace.

Ke konfiguraci Microsoft Entra Connect potřebujete přihlašovací údaje globálního správce pro Microsoft Entra ID. Následující postup by neměl být považován za autoritativní pro nastavení nástroje Microsoft Entra Connect, ale je zde uvedený, aby se zjednodušila konfigurace spolusprávy mezi Intune a Configuration Managerem. Autoritativní obsah k tomuto a související postupy pro nastavení Id Microsoft Entra najdete v tématu Konfigurace hybridního připojení Microsoft Entra pro spravované domény v dokumentaci k Microsoft Entra.

Konfigurace hybridního připojení k Microsoft Entra pomocí Microsoft Entra Connect

  1. Získejte a nainstalujte nejnovější verzi Microsoft Entra Connect (1.1.819.0 nebo novější).

  2. Spusťte Microsoft Entra Connect a pak vyberte Konfigurovat.

  3. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  4. Na stránce Přehled vyberte Další.

  5. Na stránce Připojit k Microsoft Entra ID zadejte přihlašovací údaje globálního správce pro Microsoft Entra ID.

  6. Na stránce Možnosti zařízení vyberte Konfigurovat hybridní připojení Microsoft Entra a pak vyberte Další.

  7. Na stránce Operační systémy zařízení vyberte operační systémy používané zařízeními v prostředí služby Active Directory a pak vyberte Další.

    Můžete vybrat možnost pro podporu zařízení s Windows připojených k doméně nižší úrovně, ale mějte na paměti, že spoluspráva zařízení se podporuje jenom pro Windows 10 nebo novější.

  8. Na stránce SCP pro každou místní doménovou strukturu chcete, aby Microsoft Entra Connect nakonfigurovali spojovací bod služby (SCP), proveďte následující kroky a pak vyberte Další:

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu. Pokud máte federovanou doménu, vyberte server AD FS, pokud vaše organizace nemá výhradně klienty s Windows 10 nebo novějším a nenakonfigurovali jste synchronizaci počítačů a zařízení nebo pokud vaše organizace nepoužívá bezproblémové jednotné přihlašování.
    3. Kliknutím na Přidat zadejte přihlašovací údaje podnikového správce.
  9. Pokud máte spravovanou doménu, tento krok přeskočte.

    Na stránce Konfigurace federace zadejte přihlašovací údaje správce služby AD FS a pak vyberte Další.

  10. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.

  11. Na stránce Konfigurace byla dokončena vyberte Ukončit.

Pokud máte problémy s dokončením hybridního připojení Microsoft Entra pro zařízení s Windows připojená k doméně, přečtěte si téma Řešení potíží s hybridním připojením k Microsoft Entra pro aktuální zařízení s Windows.

Konfigurace nastavení klienta pro směrování klientů k registraci s Microsoft Entra ID

Pomocí nastavení klienta nakonfigurujte klienty nástroje Configuration Manager tak, aby se automaticky registrovali s ID Microsoft Entra.

  1. Otevřete konzolu> Nástroje Configuration ManagerPřehled>Nastavení>klienta a pak upravte výchozí nastavení klienta.

  2. Vyberte Cloud Services.

  3. Na stránce Výchozí nastavení nastavte Automaticky registrovat nová zařízení s Windows 10 připojená k doméně s ID Microsoft Entra na = Ano.

  4. Výběrem OK tuto konfiguraci uložte.

Konfigurace automatické registrace zařízení do Intune

V dalším kroku nastavíme automatickou registraci zařízení v Intune. Při automatické registraci se zařízení spravovaná pomocí Configuration Manageru automaticky zaregistrují v Intune.

Automatická registrace také umožňuje uživatelům zaregistrovat zařízení s Windows 10 nebo novějším do Intune. Zařízení se zaregistrují, když uživatel přidá svůj pracovní účet do svého osobního zařízení nebo když je zařízení vlastněné společností připojené k Microsoft Entra ID.

  1. Přihlaste se k webu Azure Portal a vyberte Microsoft Entra ID>Mobility (MDM a MAM)>Microsoft Intune.

  2. Nakonfigurujte obor uživatele MDM. Zadáním jedné z následujících možností nakonfigurujete, která zařízení uživatelů budou spravována službou Microsoft Intune, a přijměte výchozí hodnoty adresy URL.

    • Některé: Vyberte skupiny , které můžou automaticky registrovat svá zařízení s Windows 10 nebo novějším.

    • Vše: Všichni uživatelé můžou automaticky zaregistrovat svá zařízení s Windows 10 nebo novějším.

    • Žádné: Zákaz automatické registrace MDM

    Důležité

    Pokud je pro skupinu povolený obor uživatele MAM i automatická registrace MDM (obor uživatele MDM), povolí se jenom MAM. Pro uživatele v této skupině se přidá jenom správa mobilních aplikací (MAM), když se připojí k osobnímu zařízení na pracovišti. Zařízení nejsou automaticky zaregistrovaná v MDM.

    I když je Configuration Manager nastavený tak, aby zařízení registruje do Intune, je stále potřeba změnit obor uživatele MDM pro registraci tokenů zařízení. Configuration Manager používá adresy URL MDM uložené v databázi lokality k ověření, že klient patří do očekávaného tenanta Intune.

  3. Výběrem možnosti Uložit dokončete konfiguraci automatické registrace.

  4. Vraťte se do části Mobility (MDM a MAM) a pak vyberte Registrace Microsoft Intune.

    Poznámka

    Někteří tenanti nemusí mít tyto možnosti konfigurace.

    Microsoft Intune je způsob, jak nakonfigurovat aplikaci MDM pro Microsoft Entra ID. Registrace v Microsoft Intune je specifická aplikace Microsoft Entra, která se vytvoří při použití zásad vícefaktorového ověřování pro registraci systémů iOS a Android. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro registrace zařízení v Intune.

  5. V části Obor uživatele MDM vyberte Vše a pak Uložit.

Povolení spolusprávy v nástroji Configuration Manager

Díky hybridnímu nastavení Microsoft Entra a konfiguraci klienta nástroje Configuration Manager můžete přepnout přepínač a povolit spolusprávu zařízení s Windows 10 nebo novějším. Fráze Pilotní skupina se používá v rámci funkcí spolusprávy a dialogových oken konfigurace. Pilotní skupina je kolekce obsahující podmnožinu zařízení nástroje Configuration Manager. Použijte pilotní skupinu pro počáteční testování a podle potřeby přidejte zařízení, dokud nebudete připraveni přesunout úlohy pro všechna zařízení Configuration Manageru. Neexistuje časový limit, jak dlouho je možné pilotní skupinu pro úlohy používat. Pokud nechcete přesunout úlohu na všechna zařízení Configuration Manageru, můžete pilotní skupinu používat neomezeně dlouho.

Když povolíte spolusprávu, přiřadíte kolekci jako pilotní skupinu. Jedná se o skupinu, která obsahuje malý počet klientů pro testování konfigurací spolusprávy. Před zahájením postupu doporučujeme vytvořit vhodnou kolekci. Pak můžete tuto kolekci vybrat, aniž byste museli ukončit postup. Možná budete potřebovat více kolekcí, protože pro každou úlohu můžete přiřadit jinou pilotní skupinu .

Poznámka

Vzhledem k tomu, že se zařízení registrují ve službě Microsoft Intune na základě jejího tokenu zařízení Microsoft Entra, nikoli tokenu uživatele, bude se na registraci vztahovat pouze výchozí omezení registrace v Intune .

Povolení spolusprávy pro verze 2111 a novější

Od verze 2111 nástroje Configuration Manager se prostředí pro spolusprávu změnilo. Průvodce konfigurací připojení ke cloudu usnadňuje povolení spolusprávy a dalších cloudových funkcí. Můžete zvolit zjednodušenou sadu doporučených výchozích hodnot nebo přizpůsobit funkce cloudového připojení. K dispozici je také nová integrovaná kolekce zařízení pro oprávněná zařízení se spolusprávou , která vám pomůže identifikovat klienty. Další informace o povolení spolusprávy najdete v tématu Povolení připojení ke cloudu.

Poznámka

S novým průvodcem nepřesouvají úlohy současně s povolením spolusprávy. Pokud chcete přesunout úlohy, upravíte vlastnosti spolusprávy po povolení připojení ke cloudu.

Povolení spolusprávy pro verze 2107 a starší

Při povolování spolusprávy můžete použít veřejný cloud Azure, cloud Azure Government nebo cloud Azure China 21Vianet (přidaný ve verzi 2006). Pokud chcete povolit spolusprávu, postupujte podle těchto pokynů:

  1. V konzole nástroje Configuration Manager přejděte do pracovního prostoru Správa , rozbalte Cloud Services a vyberte uzel Připojení ke cloudu . Výběrem možnosti Konfigurovat připojení ke cloudu na pásu karet otevřete Průvodce konfigurací připojení cloudu.

    Pro verzi 2103 a starší rozbalte Cloud Services a vyberte uzel Spoluspráva . Výběrem možnosti Konfigurovat spolusprávu na pásu karet otevřete Průvodce konfigurací spolusprávy.

  2. Na stránce onboardingu v průvodci zvolte pro prostředí Azure jedno z následujících prostředí:

    • Veřejný cloud Azure

    • Cloud Azure Government

    • Cloud Azure China (přidáno ve verzi 2006)

      Poznámka

      Před nasazením do cloudu Azure China aktualizujte klienta nástroje Configuration Manager na nejnovější verzi na svých zařízeních.

    Když vyberete cloud Azure China nebo cloud Azure Government, možnost Nahrát do Centra pro správu Microsoft Endpoint Manageru pro připojení tenanta je zakázaná.

  3. Vyberte Přihlásit se. Přihlaste se jako globální správce Microsoft Entra a pak vyberte Další. Pro účely tohoto průvodce se přihlásíte jednou. Přihlašovací údaje se neukládají ani nepouužijí jinde.

  4. Na stránce Povolení zvolte následující nastavení:

    • Automatická registrace v Intune: Umožňuje automatickou registraci klientů v Intune pro stávající klienty Configuration Manageru. Tato možnost umožňuje povolit spolusprávu na podmnožině klientů, aby mohla nejprve otestovat spolusprávu a pak zavést spolusprávu pomocí postupného přístupu. Pokud uživatel zruší registraci zařízení, zařízení se znovu zaregistruje při dalším vyhodnocení zásad.

      • Pilotní nasazení: V Intune se automaticky zaregistrují jenom klienti Nástroje Configuration Manager, kteří jsou členy kolekce automatické registrace Intune .
      • Vše: Povolte automatickou registraci pro všechny klienty s Windows 10 verze 1709 nebo novější.
      • Žádné: Zakažte automatickou registraci pro všechny klienty.
    • Automatická registrace Intune: Tato kolekce by měla obsahovat všechny klienty, které chcete nasadit do spolusprávy. Je to v podstatě nadmnožina všech ostatních přípravných kolekcí.

    Snímek obrazovky se stránkou průvodce pro povolení automatické registrace v Intune

    Automatická registrace není pro všechny klienty okamžitá. Toto chování pomáhá lépe škálovat registraci ve velkých prostředích. Configuration Manager randomizuje registraci na základě počtu klientů. Pokud má vaše prostředí například 100 000 klientů, po povolení tohoto nastavení proběhne registrace po dobu několika dnů.

    Nové spoluspravované zařízení se teď automaticky zaregistruje ve službě Microsoft Intune na základě tokenu zařízení Microsoft Entra. Nemusí čekat, až se uživatel přihlásí k zařízení, aby se spustila automatická registrace. Tato změna pomáhá snížit počet zařízení se stavem registrace Čeká na přihlášení uživatele. Aby bylo možné toto chování podporovat, musí na zařízení běžet Windows 10 verze 1803 nebo novější. Další informace najdete v tématu Stav registrace spolusprávy.

    Pokud už máte zařízení zaregistrovaná ve spolusprávě, nová zařízení se zaregistrují okamžitě poté, co splňují požadavky.

  5. V případě internetových zařízení, která jsou už zaregistrovaná v Intune, zkopírujte a uložte příkaz na stránce Povolení . Tento příkaz použijete k instalaci klienta Configuration Manageru jako aplikace v Intune pro internetová zařízení. Pokud teď tento příkaz neuložíte, můžete kdykoli zkontrolovat konfiguraci spolusprávy a získat tento příkaz.

    Tip

    Příkaz se zobrazí jenom v případě, že jste splnili všechny požadavky, například nastavení brány pro správu cloudu.

  6. Na stránce Úlohy zvolte pro každou úlohu skupinu zařízení, která se má přesunout pro správu pomocí Intune. Další informace najdete v tématu Úlohy.

    Pokud chcete povolit jenom spolusprávu, nemusíte teď přepínat úlohy. Úlohy můžete později přepnout. Další informace najdete v tématu Jak přepnout úlohy.

    • Pilotní nasazení Intune: Přepne přidruženou úlohu jenom pro zařízení v pilotních kolekcích, které zadáte na stránce Příprava . Každá úloha může mít jinou pilotní kolekci.
    • Intune: Přepne přidruženou úlohu pro všechna spoluspravované zařízení s Windows 10 nebo novější.

    Důležité

    Před přepnutím úloh se ujistěte, že jste v Intune správně nakonfigurovali a nasadili odpovídající úlohu. Ujistěte se, že úlohy vždy spravuje jeden z nástrojů pro správu vašich zařízení.

  7. Na stránce Příprava zadejte pilotní kolekci pro každou z úloh, které jsou nastavené na Pilot Intune.

    Snímek obrazovky s přípravnou stránkou Průvodce konfigurací spolusprávy s možnostmi pro zadání pilotních kolekcí

  8. Pokud chcete povolit spolusprávu, dokončete průvodce.

Další kroky