Co-Verwaltungsworkloads
Sie müssen keine der Workloads wechseln. Wenn Sie bereit sind, können Sie sie einzeln, mehrere gleichzeitig oder alle gleichzeitig wechseln. Bis Sie die Workloads jedoch auf Intune umstellen, verwaltet Configuration Manager weiterhin die Workloads, die Sie nicht zu Intune wechseln, zusammen mit allen anderen Features von Configuration Manager, die die Co-Verwaltung nicht unterstützt.
Wenn Sie eine Workload auf Intune umstellen, aber später Ihre Meinung ändern, können Sie sie wieder auf Configuration Manager umstellen, obwohl dies auswirkungen kann. Windows- und Office-Versionen bleiben beispielsweise bei einer höheren Version, wenn sie von Intune installiert werden.
Das Co-Management unterstützt die folgenden Workloads:
Compliancerichtlinien
Compliancerichtlinien definieren die Regeln und Einstellungen, die ein Gerät erfüllen muss, um von den Richtlinien für bedingte Zugriffe als konform angesehen zu werden. Verwenden Sie auch Compliancerichtlinien, um Complianceprobleme mit Geräten unabhängig von bedingtem Zugriff zu überwachen und zu beheben. Sie können die Auswertung von benutzerdefinierten Konfigurationsbaselines als Konformitätsrichtlinienbewertungsregel hinzufügen. Weitere Informationen finden Sie unter Einschließen benutzerdefinierter Konfigurationsbaselines als Teil der Konformitätsrichtlinienbewertung.
Weitere Informationen zum Intune-Feature finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.
Windows Update-Richtlinien
Mithilfe von Windows Update for Business-Richtlinien können Sie Zurückstellungsrichtlinien für Windows 10 oder höhere Featureupdates oder Qualitätsupdates für Geräte mit Windows 10 oder höher konfigurieren, die direkt von Windows Update for Business verwaltet werden.
Hinweis
Um Windows Autopatch mit diesen Geräten verwenden zu können, muss diese Workload von Intune verwaltet werden. Weitere Informationen finden Sie unter Voraussetzungen für den automatischen Windows-Patch.
Weitere Informationen zum Intune-Feature finden Sie unter Verwalten von Windows-Softwareupdates in Intune.
Ressourcenzugriffsrichtlinien
Wichtig
Ab Version 2203 werden diese Unternehmensressourcenzugriffsfeatures von Configuration Manager und diese Co-Verwaltungsworkload nicht mehr unterstützt. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung des Ressourcenzugriffs.
Ressourcenzugriffsrichtlinien konfigurieren die Einstellungen für VPN, Wi-Fi, E-Mail und Zertifikate auf Geräten.
Weitere Informationen zum Intune-Feature finden Sie unter Bereitstellen von Ressourcenzugriffsprofilen.
Hinweis
Die Workload für den Ressourcenzugriff ist auch Teil der Gerätekonfiguration. Diese Richtlinien werden von Intune verwaltet, wenn Sie die Workload Gerätekonfiguration wechseln.
Endpoint Protection
Die Endpoint Protection-Workload enthält die Defender-Suite von Schutzfunktionen:
- Microsoft Defender Antivirus
- Microsoft Defender Application Guard
- Microsoft Defender SmartScreen
- Microsoft Defender für Endpunkt (offiziell als Windows Defender Advanced Threat Protection bezeichnet)
- Windows Defender Firewall
- Windows-Verschlüsselung (auch als BitLocker bezeichnet)
- Windows Defender Exploit Guard
- Windows Defender Application Control
- Windows Defender Security Center
Weitere Informationen zum Intune-Feature finden Sie unter Einstellungen für Windows 10 (und höher) zum Schutz von Geräten mit Intune.
Hinweis
Wenn Sie diese Workload wechseln, bleiben die Configuration Manager-Richtlinien auf dem Gerät, bis sie von den Intune-Richtlinien überschrieben werden. Dieses Verhalten stellt sicher, dass das Gerät während des Übergangs weiterhin über Schutzrichtlinien verfügt.
Die Endpoint Protection-Workload ist auch Teil der Gerätekonfiguration. Das gleiche Verhalten gilt, wenn Sie die Workload Device Configuration wechseln.
Wenn sich die Endpoint Protection-Workload in Intune befindet, gelten windows Information Protection-Einstellungen sowohl von Configuration Manager als auch von Intune. Configuration Manager wendet die Windows Information Protection-Richtlinie weiterhin an, bis die Workload Gerätekonfiguration in Intune verschoben wird.
Die Microsoft Defender Antivirus-Einstellungen, die Teil des Profiltyps Geräteeinschränkungen für die Intune-Gerätekonfiguration sind, sind nicht im Bereich des Endpoint Protection-Schiebereglers enthalten. Um Microsoft Defender Antivirus für gemeinsam verwaltete Geräte mit aktiviertem Endpoint Protection-Schieberegler zu verwalten, verwenden Sie die neuen Antivirenrichtlinien im Microsoft Intune Admin Center>Endpoint Security>Antivirus. Der neue Richtlinientyp verfügt über neue und verbesserte Optionen und unterstützt alle einstellungen, die im Profil Geräteeinschränkungen verfügbar sind.
Die Windows-Verschlüsselungsfunktion umfasst die BitLocker-Verwaltung. Weitere Informationen zum Verhalten dieses Features bei der Co-Verwaltung finden Sie unter Bereitstellen der BitLocker-Verwaltung.
Gerätekonfiguration
Die Gerätekonfigurationsworkload enthält Einstellungen, die Sie für Geräte in Ihrer Organisation verwalten. Durch das Wechseln dieser Workload werden auch die Workloads Ressourcenzugriff und Endpoint Protection verschoben.
Sie können weiterhin Einstellungen von Configuration Manager auf gemeinsam verwalteten Geräten bereitstellen, obwohl Intune die Autorität für die Gerätekonfiguration ist. Diese Ausnahme kann verwendet werden, um Einstellungen zu konfigurieren, die Ihre Organisation erfordert, aber noch nicht in Intune verfügbar sind. Geben Sie diese Ausnahme in einer Configuration Manager-Konfigurationsbaseline an. Aktivieren Sie die Option Diese Baseline immer auch für gemeinsam verwaltete Clients anwenden , wenn Sie die Baseline erstellen. Sie können sie später auf der Registerkarte Allgemein der Eigenschaften einer vorhandenen Baseline ändern.
Um Windows Autopatch mit diesen Geräten verwenden zu können, muss diese Workload von Intune verwaltet werden. Weitere Informationen finden Sie unter Voraussetzungen für den automatischen Windows-Patch.
Weitere Informationen zum Intune-Feature finden Sie unter Erstellen eines Geräteprofils in Microsoft Intune.
Hinweis
Eine Richtlinie, die aus dem Einstellungskatalog erstellt wird, wird unabhängig vom Inhalt der Richtlinie durch den Workloadschieberegler Gerätekonfiguration gesteuert.
Wenn Sie die Workload für die Gerätekonfiguration wechseln, enthält sie auch Richtlinien für das Windows Information Protection-Feature. Nur Richtlinien von Intune werden angewendet, sobald die Workload Device Configuration in Intune verschoben wurde.
Hinweis
Um Endpoint Protection-Einstellungen zu entfernen, muss auch die Workload für die Gerätekonfiguration umgestellt werden.
Klick-und-Ab-Apps für Office
Diese Workload verwaltet Microsoft 365-Apps auf gemeinsam verwalteten Geräten.
Nach dem Verschieben der Workload wird die App im Unternehmensportal auf dem Gerät angezeigt.
Office-Updates können etwa 24 Stunden dauern, bis sie auf dem Client angezeigt werden, es sei denn, die Geräte werden neu gestartet
Es gibt eine globale Bedingung , die standardmäßig als Anforderung für neue Microsoft 365-Anwendungen hinzugefügt wird. Wenn Sie diesen Workload verschieben, erfüllen gemeinsam verwaltete Clients nicht die Anforderungen an die Anwendung. Dann installieren sie Microsoft 365 nicht, das über Configuration Manager bereitgestellt wird. Die globale Bedingung heißt entweder:
- Microsoft 365-Apps, die von Microsoft Intune verwaltet werden (Version 2111 oder höher)
- Werden Office 365-Anwendungen von Intune auf dem Gerät ( Version 2107 und früher) verwaltet?
Updates können mit einer der folgenden Features verwaltet werden:
- Verwenden der Updatekanal- und Zielversionseinstellungen für das Aktualisieren von Microsoft 365 mit den administrativen Vorlagen von Microsoft Intune
- Verwalten von Microsoft 365-Apps mit Configuration Manager
Hinweis
Um Windows Autopatch mit diesen Geräten verwenden zu können, muss diese Workload von Intune verwaltet werden. Weitere Informationen finden Sie unter Voraussetzungen für den automatischen Windows-Patch.
Weitere Informationen zum Intune-Feature finden Sie unter Hinzufügen von Microsoft 365-Apps zu Windows-Geräten mit Microsoft Intune.
Client-Apps
Tipp
Dieses Feature kann in der Liste der Features als mobile Apps für gemeinsam verwaltete Geräte angezeigt werden.
Verwenden Sie Intune, um Client-Apps und PowerShell-Skripts auf gemeinsam verwalteten Windows 10- oder höher-Geräten zu verwalten. Nachdem Sie diesen Workload übertragen haben, sind alle verfügbaren Anwendungen, die von Intune bereitgestellt werden, im Firmenportal verfügbar. Apps, die Sie über den Konfigurationsmanager bereitstellen, sind im Software Center verfügbar.
Weitere Informationen zum Intune-Feature finden Sie unter Was ist die Microsoft Intune-App-Verwaltung?
Hinweis
In Windows 10 Version 1903 und höher werden PowerShell-Skripts weiterhin auf gemeinsam verwalteten Geräten ausgeführt, auch wenn Sie die Workload Client-Apps nicht auf Intune umgestellt haben.
Wenn Sie Microsoft Connected Cache auf Ihren Configuration Manager-Verteilungspunkten aktivieren, können diese Microsoft Intune Win32-Apps für gemeinsam verwaltete Clients bereitstellen. Weitere Informationen finden Sie unter Microsoft Connected Cache mit Configuration Manager.
Diagramm für App-Workloads
Tipp
Sie können das Unternehmensportal so konfigurieren, dass auch Configuration Manager-Apps angezeigt werden. Wenn Sie diese App-Portaloberfläche ändern, ändert sich das im obigen Diagramm beschriebene Verhalten. Weitere Informationen finden Sie unter Verwenden der Unternehmensportal-App auf gemeinsam verwalteten Geräten.