Kurz: Povolení spolusprávy pro existující klienty Configuration Manager

Díky spolusprávě můžete udržovat dobře zavedené procesy pro používání Configuration Manager ke správě počítačů ve vaší organizaci. Zároveň investujete do cloudu pomocí Intune pro zabezpečení a moderní zřizování.

V tomto kurzu nastavíte spolusprávu zařízení Windows 10 nebo novějších zařízení, která jsou už zaregistrovaná v Configuration Manager. Tento kurz začíná předpokladem, že už používáte Configuration Manager ke správě Windows 10 nebo novějších zařízení.

Tento kurz použijte v těchto případech:

  • Máte místní Active Directory, který můžete připojit k Azure Active Directory (Azure AD) v konfiguraci hybridní Azure AD.

    Pokud nemůžete nasadit hybridní Azure Active Directory (AD), která se připojí k místní službě AD s Azure AD, doporučujeme postupovat podle našeho doprovodého kurzu Povolení spolusprávy pro nová internetová Windows 10 nebo novější zařízení.

  • Máte existující Configuration Manager klienty, které chcete připojit ke cloudu.

V tomto kurzu:

  • Kontrola požadavků pro Azure a místní prostředí
  • Nastavení hybridních Azure AD
  • Konfigurace klientských agentů Configuration Manager pro registraci v Azure AD
  • Konfigurace Intune pro automatickou registraci zařízení
  • Povolení spolusprávy v Configuration Manager

Požadavky

Služby a prostředí Azure

  • Předplatné Azure (bezplatná zkušební verze)

  • Azure Active Directory Premium

  • Předplatné služby Microsoft Intune

    Tip

    Předplatné Enterprise Mobility + Security (EMS) obsahuje jak předplatné Azure Active Directory Premium, tak i předplatné Microsoft Intune. Předplatné EMS (bezplatná zkušební verze)

Pokud ve vašem prostředí ještě neexistuje, v tomto kurzu nakonfigurujete Azure AD Připojení mezi místní Active Directory a tenantem Azure Active Directory (Azure AD).

Poznámka

Spoluspráva nepodporuje zařízení zaregistrovaná jenom v Azure AD. Tato konfigurace se někdy označuje jako připojená k pracovišti. Musí být buď připojené k Azure AD, nebo k hybridnímu Azure AD. Další informace najdete v tématu Zpracování zařízení s Azure AD registrovaného stavu.

Místní infrastruktura

  • Podporovaná verze Configuration Manager aktuální větve
  • Autorita správy mobilních zařízení (MDM) musí být nastavená na Intune.

Oprávnění

V průběhu tohoto kurzu použijte k dokončení úloh následující oprávnění:

  • Účet, který je správcem domény ve vaší místní infrastruktuře
  • Účet, který je úplným správcem pro všechny obory v Configuration Manager
  • Účet, který je globálním správcem v Azure Active Directory (Azure AD)
    • Ujistěte se, že jste k účtu, který používáte k přihlášení ke svému tenantovi, přiřadili licenci Intune. Jinak se přihlášení nezdaří s chybovou zprávou Došlo k neočekávané chybě.

Nastavení hybridních Azure AD

Když nastavíte hybridní Azure AD, ve skutečnosti nastavujete integraci místní služby AD s Azure AD pomocí Azure AD Připojení a Ad FS (Active Directory Federated Services). S úspěšnou konfigurací se pracovníci můžou bezproblémově přihlásit k externím systémům pomocí svých místních přihlašovacích údajů AD.

Důležité

Tento kurz podrobně popisuje proces úplného nasazení hybridní Azure AD pro spravovanou doménu. Doporučujeme, abyste se s tímto procesem seznámili a nespoléhali na tento kurz jako na průvodce pochopením a nasazením hybridních Azure AD.

Další informace o hybridních Azure AD najdete v následujících článcích v dokumentaci k Azure Active Directory:

Nastavení Azure AD Připojení

Hybridní Azure AD vyžaduje konfiguraci Azure AD Připojení, aby se účty počítačů ve vašem místní Active Directory (AD) a objekt zařízení v Azure AD synchronizují.

Od verze 1.1.819.0 vám Azure AD Připojení poskytne průvodce pro konfiguraci hybridního připojení Azure AD. Použití tohoto průvodce zjednodušuje proces konfigurace.

Ke konfiguraci Azure AD Připojení potřebujete přihlašovací údaje globálního správce pro Azure AD. Následující postup by neměl být považován za autoritativní pro nastavení Azure AD Připojení, ale je zde k dispozici, aby se zjednodušila konfigurace spolusprávy mezi Intune a Configuration Manager. Autoritativní obsah tohoto a souvisejících postupů pro nastavení Azure AD najdete v tématu Konfigurace připojení k hybridním Azure AD pro spravované domény v dokumentaci k Azure AD.

Konfigurace hybridního připojení Azure AD pomocí Azure AD Připojení

  1. Získejte a nainstalujte nejnovější verzi Azure AD Připojení (1.1.819.0 nebo novější).

  2. Spusťte Azure AD Připojení a pak vyberte Konfigurovat.

  3. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

  4. Na stránce Přehled vyberte Další.

  5. Na stránce Připojení pro Azure AD zadejte přihlašovací údaje globálního správce pro Azure AD.

  6. Na stránce Možnosti zařízení vyberte Konfigurovat hybridní Azure AD připojení a pak vyberte Další.

  7. Na stránce Operační systémy zařízení vyberte operační systémy používané zařízeními v prostředí služby Active Directory a pak vyberte Další.

    Můžete vybrat možnost podpory Windows zařízení připojených k doméně nižší úrovně, ale mějte na paměti, že spoluspráva zařízení je podporovaná jenom pro Windows 10 nebo novější.

  8. Na stránce spojovacího bodu služby pro každou místní doménovou strukturu, kterou chcete Azure AD Připojení nakonfigurovat spojovací bod služby, proveďte následující kroky a pak vyberte Další:

    1. Vyberte doménovou strukturu.
    2. Vyberte ověřovací službu. Pokud máte federovanou doménu, vyberte server služby AD FS, pokud vaše organizace nemá výhradně Windows 10 nebo novější klienty a nenakonfigurovali jste synchronizaci počítače nebo zařízení nebo pokud vaše organizace používá bezproblémové jednotné přihlašování.
    3. Kliknutím na přidat zadejte přihlašovací údaje podnikového správce.
  9. Pokud máte spravovanou doménu, tento krok přeskočte.

    Na stránce konfigurace federace zadejte přihlašovací údaje správce služby AD FS a pak vyberte Další.

  10. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.

  11. Na stránce Dokončení konfigurace vyberte Ukončit.

Pokud máte problémy s dokončením připojení k hybridnímu Azure AD pro zařízení Windows připojená k doméně, přečtěte si téma Řešení potíží s hybridním připojením Azure AD pro Windows aktuální zařízení.

Konfigurace klientského Nastavení tak, aby nasměroval klienty na registraci v Azure AD

Pomocí klientského Nastavení nakonfigurujte klienty Configuration Manager tak, aby se automaticky registrovali v Azure AD.

  1. Otevřete Nastavení klienta s přehledem > správy > konzoly > Configuration Manager a upravte výchozí Nastavení klienta.

  2. Vyberte Cloud Services.

  3. Na stránce Výchozí Nastavení nastavte možnost Automaticky registrovat nová Windows 10 zařízení připojená k doméně s Azure Active Directory na = Ano.

  4. Tuto konfiguraci uložíte kliknutím na tlačítko OK .

Konfigurace automatické registrace zařízení pro Intune

Dále nastavíme automatickou registraci zařízení s Intune. S automatickou registrací se zařízení, která spravujete pomocí Configuration Manager automaticky zaregistrují pomocí Intune.

Automatická registrace také umožňuje uživatelům zaregistrovat svá Windows 10 nebo novější zařízení do Intune. Zařízení se zaregistrují, když uživatel přidá svůj pracovní účet do svého zařízení v osobním vlastnictví nebo když je zařízení vlastněné společností připojené k Azure Active Directory.

  1. Přihlaste se k Azure Portal a vyberte Microsoft Intune Azure Active Directory > Mobility (MDM a MAM). >

  2. Nakonfigurujte obor uživatele MDM. Pokud chcete nakonfigurovat, která zařízení uživatelů spravuje Microsoft Intune, zadejte jednu z následujících možností a přijměte výchozí hodnoty adresy URL.

    • Některé: Vyberte skupiny, které můžou automaticky zaregistrovat svá Windows 10 nebo novější zařízení.

    • Vše: Všichni uživatelé můžou automaticky zaregistrovat svá Windows 10 nebo novější zařízení.

    • Žádné: Zakázat automatickou registraci MDM

    Důležité

    Pokud je pro skupinu povolený rozsah uživatele MAM i automatická registrace MDM (obor uživatele MDM), povolí se jenom MAM. Při připojení k osobnímu zařízení na pracovišti se pro uživatele v dané skupině přidá jenom správa mobilních aplikací (MAM). Zařízení nejsou automaticky zaregistrovaná v MDM.

    Pokud je Configuration Manager nastavená na registraci zařízení do Intune, nemusíte měnit obor uživatele MDM pro registraci tokenů zařízení. Configuration Manager používá adresy URL MDM, které ukládá do databáze lokality.

  3. Výběrem možnosti Uložit dokončete konfiguraci automatické registrace.

  4. Vraťte se do mobility (MDM a MAM) a pak vyberte Microsoft Intune Registrace.

    Poznámka

    Někteří tenanti nemusí mít tyto možnosti ke konfiguraci.

    Microsoft Intune je způsob konfigurace aplikace MDM pro Azure AD. Microsoft Intune Registrace je konkrétní Azure AD aplikace, která se vytvoří při použití zásad vícefaktorového ověřování pro registraci iOS a Android. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro Intune registrace zařízení.

  5. Jako obor uživatele MDM vyberte Vše a pak Uložit.

Povolení spolusprávy v Configuration Manager

Díky hybridnímu Azure AD nastavení a Configuration Manager konfigurací klientů jste připraveni přepnout přepínač a povolit spolusprávu zařízení Windows 10 nebo novějších. Frázi Pilotní skupina se používá v dialogových oknech funkce spolusprávy a konfigurace. Pilotní skupina je kolekce obsahující podmnožinu vašich Configuration Manager zařízení. Pro počáteční testování použijte pilotní skupinu a podle potřeby přidejte zařízení, dokud nebudete připraveni přesunout úlohy pro všechna Configuration Manager zařízení. Neexistuje časový limit, jak dlouho je možné pro úlohy použít pilotní skupinu . Pilotní skupinu můžete používat na neomezenou dobu, pokud nechcete přesunout úlohu do všech Configuration Manager zařízení.

Když povolíte spolusprávu, přiřadíte kolekci jako pilotní skupinu. Jedná se o skupinu, která obsahuje malý počet klientů pro testování konfigurací spolusprávy. Před zahájením postupu doporučujeme vytvořit vhodnou kolekci. Pak můžete tuto kolekci vybrat bez ukončení postupu. Možná budete potřebovat více kolekcí, protože pro každou úlohu můžete přiřadit jinou pilotní skupinu .

Poznámka

Vzhledem k tomu, že zařízení jsou zaregistrovaná ve službě Microsoft Intune na základě tokenu Azure AD zařízení, a ne tokenu uživatele, platí pro registraci pouze výchozí omezení registrace Intune.

Povolení spolusprávy pro verze 2111 a novější

Od Správce konfigurace verze 2111 se změnilo prostředí pro spoluspravování. Průvodce konfigurací připojení cloudu usnadňuje možnost spolusnadné správy a dalších cloudových funkcí. Můžete zvolit zjednodušenou sadu doporučených výchozích nastavení nebo přizpůsobit funkce připojení cloudu. K dispozici je také nová integrovaná kolekce zařízení pro způsobilá zařízení pro spolusou správu, která vám pomůže identifikovat klienty. Další informace o povolení spolus správy najdete v tématu Povolení připojení cloudu.

Poznámka

Pomocí nového průvodce nesoudíte úlohy současně s tím, že povolíte spolus správu. Pokud chcete přesunout úlohy, budete po povolení připojení cloudu upravovat vlastnosti spoluspravování.

Povolení spolusprávy pro verze 2107 a starší

Když povolíte spolus správu, můžete použít veřejný cloud Azure, cloud Azure Government nebo cloud Azure China 21Vianet (přidaný ve verzi 2006). Pokud chcete povolit spolus správu, postupujte podle těchto pokynů:

  1. V Správce konfigurace přejděte do pracovního prostoru Správa, rozbalte Cloudové služby a vyberte uzel Připojit cloud. Vyberte Konfigurovat cloudové připojení na pásu karet a otevřete Průvodce konfigurací připojení cloudu.

    Ve verzi 2103 a starší rozbalte Cloudové služby a vyberte uzel Spolus správy. Výběrem možnosti Konfigurovat spolus správu na pásu karet otevřete Průvodce konfigurací spoluse správy.

  2. Na stránce průvodce pro připojení vyberte pro prostředí Azure jedno z následujících prostředí:

    • Veřejný cloud Azure

    • Cloud Azure Government

    • Cloud Azure China (přidaný ve verzi 2006)

      Poznámka

      Aktualizujte Správce konfigurace klienta na nejnovější verzi na svých zařízeních, než se nasoudíte do cloudu Azure China.

    Když vyberete cloud Azure China nebo cloud Azure Government, možnost Upload Microsoft Endpoint Manager centra pro správu pro připojení tenanta je zakázaná.

  3. Vyberte Přihlásit se. Přihlaste se jako globální správce Azure AD a pak vyberte Další. Pro účely tohoto průvodce se přihlašte jednou. Přihlašovací údaje nejsou uložené ani znovu použité jinde.

  4. Na stránce Povolení zvolte následující nastavení:

    • Automatický zápis v Intune: Umožňuje automatickou registraci klientů v Intune pro stávající Správce konfigurace klientů. Tato možnost umožňuje povolit spoluskupování u podmnožiny klientů k počátečnímu testování spoluskupování a pak k tomu použít fázovanou správu. Pokud uživatel zařízení derolluje, zařízení se znovu zaregistruje při příštím vyhodnocení zásady.

      • Pilotní nasazení: V Intune Správce konfigurace automaticky zaregistrovali jenom klienti, kteří jsou členy kolekce automatického zápisu Intune.
      • Vše: Povolte automatickou registraci pro všechny klienty Windows 10 verze 1709 nebo novější.
      • Žádné: Zakažte automatickou registraci pro všechny klienty.
    • Automatická registrace Intune: Tato kolekce by měla obsahovat všechny klienty, které chcete nasaovat do spoluspravování. Je to v podstatě nadmnožina všech ostatních inscenace.

    Snímek obrazovky se stránkou průvodce pro povolení automatického zápisu v Intune

    Automatická registrace není okamžitá pro všechny klienty. Toto chování pomáhá lépe škálovat registrace pro velká prostředí. Správce konfigurace randomizes enrollment based on the number of clients. Pokud má například vaše prostředí 100 000 klientů, dojde při povolení tohoto nastavení k registraci během několika dnů.

    Nové spoluspravované zařízení je teď automaticky zaregistrované do služby Microsoft Intune na základě tokenu zařízení Azure AD. Nemusí čekat, až se uživatel přihlásí k zařízení, aby se automaticky zaregistroval. Tato změna pomáhá snížit počet zařízení se stavem registrace Čekající přihlášení uživatele. Aby se toto chování podporovalo, musí mít zařízení Windows 10 verze 1803 nebo novější. Další informace najdete v tématu Stav registrace spolushodování.

    Pokud už máte zařízení zaregistrovaná do spolus správy, jsou nová zařízení zaregistrovaná hned po splnění předpokladů.

  5. U internetových zařízení, která jsou už zaregistrovaná v Intune, zkopírujte a uložte příkaz na stránce Povolení. Tento příkaz použijete k instalaci klienta Správce konfigurace jako aplikace v Intune pro internetová zařízení. Pokud tento příkaz teď neulo3/4íte, můžete si kdykoli zkontrolovat konfiguraci spolus správy a získat tak tento příkaz.

    Tip

    Příkaz se zobrazí jenom v případě, že jste splnili všechny předpoklady, jako je nastavení brány pro správu cloudu.

  6. Na stránce Pracovní vytížení vyberte pro každou pracovní zátěž skupinu zařízení, kterou chcete přesunout pro správu pomocí Intune. Další informace najdete v tématu Pracovní vytížení.

    Pokud chcete povolit jenom spolus správu, nemusíte teď přepínat úlohy. Pracovní vytížení můžete později přepnout. Další informace najdete v tématu Jak přepnout úlohy.

    • Pilotní Intune: Přepíná přidružené úlohy jenom pro zařízení v pilotních kolekcích, které zadáte na stránce Pracovní. Každá úloha může mít jinou pilotní kolekci.
    • Intune: Přepne přidružené zatížení pro všechna spoluspravovaná Windows 10 nebo novější zařízení.

    Důležité

    Než přepnete všechny úlohy, ujistěte se, že jste v Intune správně nakonfigurujíte a nasadíte odpovídající pracovní vytížení. Ujistěte se, že úlohy jsou vždy spravovány jedním z nástrojů pro správu vašich zařízení.

  7. Na stránce Pracovní nasazení zadejte pilotní kolekci pro každý z úloh, které jsou nastavené na Pilotní Intune.

    Snímek obrazovky s stránkou Pracovní v Průvodci konfigurací spolusnádádky s možnostmi pro zadání pilotních kolekcí

  8. Pokud chcete povolit spolus správu, dokončete průvodce.

Další kroky