Lernprogramm: Co-Verwaltung für neue internetbasierte Geräte aktivieren
Wenn Sie durch die Verwendung von Intune für Sicherheit und moderne Bereitstellung in die Cloud investieren, sollten Sie ihre etablierten Prozesse für die Verwendung von Configuration Manager zum Verwalten von PCs in Ihrer Organisation möglicherweise nicht verlieren. Mit der Co-Verwaltung können Sie diesen Prozess beibehalten.
In diesem Tutorial richten Sie die Co-Verwaltung von Geräten mit Windows 10 oder höher in einer Umgebung ein, in der Sie sowohl Microsoft Entra ID als auch lokales Active Directory verwenden, aber nicht über eine Hybridinstanz von Microsoft Entra ID verfügen. Die Configuration Manager-Umgebung umfasst einen einzelnen primären Standort mit allen Standortsystemrollen auf demselben Server, dem Standortserver. Dieses Tutorial beginnt mit der Voraussetzung, dass Ihre Windows 10- oder höher-Geräte bereits bei Intune registriert sind.
Wenn Sie über eine Microsoft Entra-Hybridinstanz verfügen, die ein lokales Active Directory mit Microsoft Entra ID verknüpft, empfiehlt es sich, unser Begleittutorial Aktivieren der Co-Verwaltung für Configuration Manager-Clients zu befolgen.
Verwenden Sie dieses Tutorial in folgenden Fällen:
- Sie müssen Geräte mit Windows 10 oder höher in die Co-Verwaltung integrieren. Diese Geräte wurden möglicherweise über Windows Autopilot bereitgestellt oder stammen direkt von Ihrem Hardware-OEM.
- Sie verfügen über Geräte mit Windows 10 oder höher im Internet, die Sie derzeit mit Intune verwalten, und Sie möchten ihnen den Configuration Manager-Client hinzufügen.
In diesem Lernprogramm wird Folgendes vermittelt:
- Überprüfen Sie die Voraussetzungen für Azure und Ihre lokale Umgebung.
- Fordern Sie ein öffentliches SSL-Zertifikat für das Cloud management Gateway (CMG) an.
- Aktivieren Sie Azure-Dienste in Configuration Manager.
- Bereitstellen und Konfigurieren eines CMG.
- Konfigurieren Sie den Verwaltungspunkt und die Clients für die Verwendung des CMG.
- Aktivieren Sie die Co-Verwaltung in Configuration Manager.
- Konfigurieren Sie Intune für die Installation des Configuration Manager-Clients.
Voraussetzungen
Azure-Dienste und -Umgebung
Azure-Abonnement (kostenlose Testversion).
Microsoft Entra ID P1 oder P2.
Microsoft Intune-Abonnement, bei dem Intune für die automatische Registrierung von Geräten konfiguriert ist.
Tipp
Eine kostenlose Testversion eines Enterprise Mobility + Security-Abonnements umfasst sowohl Microsoft Entra ID P1 oder P2 als auch Microsoft Intune.
Sie müssen Ihre Benutzer nicht mehr einzelne Intune- oder Enterprise Mobility + Security-Lizenzen erwerben und zuweisen. Weitere Informationen finden Sie unter Häufig gestellte Fragen zu Produkten und Lizenzen.
Lokale Infrastruktur
Eine unterstützte Version von Configuration Manager Current Branch.
In diesem Tutorial wird erweitertes HTTP verwendet, um komplexere Anforderungen für eine Public Key-Infrastruktur zu vermeiden. Wenn Sie erweitertes HTTP verwenden, muss der primäre Standort, den Sie zum Verwalten von Clients verwenden, so konfiguriert werden, dass von Configuration Manager generierte Zertifikate für HTTP-Standortsysteme verwendet werden.
Auf Intune festgelegte Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM).
Externe Zertifikate
CMG-Serverauthentifizierungszertifikat. Dieses SSL-Zertifikat stammt von einem öffentlichen und global vertrauenswürdigen Zertifikatanbieter. Sie exportieren dieses Zertifikat als PFX-Datei mit dem privaten Schlüssel.
Weiter unten in diesem Tutorial erhalten Sie Anleitungen zum Konfigurieren der Anforderung für dieses Zertifikat.
Berechtigungen
Verwenden Sie in diesem Tutorial die folgenden Berechtigungen, um Aufgaben auszuführen:
- Ein Konto, das ein globaler Administrator für Microsoft Entra ID ist
- Ein Konto, das ein Domänenadministrator in Ihrer lokalen Infrastruktur ist
- Ein Konto, das ein Volladministrator für alle Bereiche in Configuration Manager ist
Anfordern eines öffentlichen Zertifikats für das Cloudverwaltungsgateway
Wenn sich Ihre Geräte im Internet befinden, erfordert die Co-Verwaltung das Configuration Manager-CMG. Das CMG ermöglicht Es Ihren internetbasierten Windows-Geräten, mit Ihrer lokalen Configuration Manager-Bereitstellung zu kommunizieren. Um eine Vertrauensstellung zwischen Geräten und Ihrer Configuration Manager-Umgebung einzurichten, erfordert das CMG ein SSL-Zertifikat.
In diesem Tutorial wird ein öffentliches Zertifikat verwendet, das als CMG-Serverauthentifizierungszertifikat bezeichnet wird und die Autorität von einem global vertrauenswürdigen Zertifikatanbieter abgeleitet wird. Obwohl es möglich ist, die Co-Verwaltung mithilfe von Zertifikaten zu konfigurieren, die von Ihrer lokalen Microsoft-Zertifizierungsstelle abgeleitet sind, geht die Verwendung selbstsignierter Zertifikate über den Rahmen dieses Tutorials hinaus.
Das CMG-Serverauthentifizierungszertifikat wird verwendet, um den Kommunikationsdatenverkehr zwischen dem Configuration Manager-Client und dem CMG zu verschlüsseln. Das Zertifikat führt eine Ablaufverfolgung zu einem vertrauenswürdigen Stamm zurück, um die Identität des Servers für den Client zu überprüfen. Das öffentliche Zertifikat enthält einen vertrauenswürdigen Stamm, dem Windows-Clients bereits vertrauen.
Informationen zu diesem Zertifikat:
- Sie identifizieren einen eindeutigen Namen für Ihren CMG-Dienst in Azure und geben diesen Namen dann in Ihrer Zertifikatanforderung an.
- Sie generieren Ihre Zertifikatanforderung auf einem bestimmten Server und übermitteln die Anforderung dann an einen öffentlichen Zertifikatanbieter, um das erforderliche SSL-Zertifikat zu erhalten.
- Sie importieren das Zertifikat, das Sie vom Anbieter erhalten, in das System, das die Anforderung generiert hat. Sie verwenden denselben Computer, um das Zertifikat zu exportieren, wenn Sie das CMG später in Azure bereitstellen.
- Wenn das CMG installiert ist, wird ein CMG-Dienst in Azure mit dem Namen erstellt, den Sie im Zertifikat angegeben haben.
Identifizieren eines eindeutigen Namens für Ihr Cloudverwaltungsgateway in Azure
Wenn Sie das CMG-Serverauthentifizierungszertifikat anfordern, geben Sie einen eindeutigen Namen an, um Ihren Clouddienst (klassisch) in Azure zu identifizieren. Standardmäßig verwendet die öffentliche Azure-Cloud cloudapp.net, und das CMG wird in der domäne cloudapp.net als <YourUniqueDnsName.cloudapp.net> gehostet.
Tipp
In diesem Tutorial verwendet das CMG-Serverauthentifizierungszertifikat einen vollqualifizierten Domänennamen (FQDN), der mit contoso.com endet. Nachdem Sie das CMG erstellt haben, konfigurieren Sie einen kanonischen Namenseintrag (CNAME) im öffentlichen DNS Ihrer Organisation. Dieser Datensatz erstellt einen Alias für das CMG, der dem Namen zugeordnet ist, den Sie im öffentlichen Zertifikat verwenden.
Bevor Sie Ihr öffentliches Zertifikat anfordern, vergewissern Sie sich, dass der name, den Sie verwenden möchten, in Azure verfügbar ist. Sie erstellen den Dienst nicht direkt in Azure. Stattdessen verwendet Configuration Manager den namen, der im öffentlichen Zertifikat angegeben ist, um den Clouddienst zu erstellen, wenn Sie das CMG installieren.
Melden Sie sich im Microsoft Azure-Portal an.
Wählen Sie Ressource erstellen aus, wählen Sie die Kategorie Compute und dann Clouddienst aus. Die Seite Clouddienst (klassisch) wird geöffnet.
Geben Sie für DNS-Name den Präfixnamen für den Clouddienst an, den Sie verwenden möchten.
Dieses Präfix muss mit dem identisch sein, das Sie später verwenden, wenn Sie ein öffentliches Zertifikat für das CMG-Serverauthentifizierungszertifikat anfordern. In diesem Tutorial verwenden wir MyCSG, das den Namespace von MyCSG.cloudapp.net erstellt. Die Schnittstelle bestätigt, ob der Name verfügbar ist oder bereits von einem anderen Dienst verwendet wird.
Nachdem Sie sich vergewissert haben, dass der name, den Sie verwenden möchten, verfügbar ist, können Sie die Zertifikatsignieranforderung (Certificate Signing Request, CSR) übermitteln.
Anfordern des Zertifikats
Verwenden Sie die folgenden Informationen, um eine Zertifikatsignieranforderung für Ihr CMG an einen öffentlichen Zertifikatanbieter zu übermitteln. Ändern Sie die folgenden Werte so, dass sie für Ihre Umgebung relevant sind:
- MyCMG zum Identifizieren des Dienstnamens des Cloudverwaltungsgateways
- Contoso als Firmenname
- Contoso.com als öffentliche Domäne
Es wird empfohlen, den primären Standortserver zum Generieren der CSR zu verwenden. Wenn Sie das Zertifikat erhalten, müssen Sie es auf demselben Server registrieren, auf dem die CSR generiert wurde. Durch diese Registrierung wird sichergestellt, dass Sie den privaten Schlüssel des Zertifikats exportieren können, der erforderlich ist.
Fordern Sie einen Schlüsselanbietertyp der Version 2 an, wenn Sie eine CSR generieren. Es werden nur Zertifikate der Version 2 unterstützt.
Tipp
Wenn Sie ein CMG bereitstellen, ist standardmäßig die Option CMG als Cloudverteilungspunkt und Bereitstellen von Inhalten aus Azure Storage zulassen ausgewählt. Obwohl die cloudbasierten Inhalte für die Co-Verwaltung nicht erforderlich sind, ist dies in den meisten Umgebungen nützlich.
Der cloudbasierte Verteilungspunkt (CDP) ist veraltet. Ab Version 2107 können Sie keine neuen CDP-Instanzen erstellen. Um Inhalte für internetbasierte Geräte bereitzustellen, aktivieren Sie das CMG zum Verteilen von Inhalten. Weitere Informationen finden Sie unter Veraltete Features.
Hier finden Sie Details zur CSR des Cloudverwaltungsgateways:
- Allgemeiner Name: CloudServiceNameCMG.YourCompanyPubilcDomainName.com (Beispiel: MyCSG.contoso.com)
- Alternativer Antragstellername: Entspricht dem allgemeinen Namen (Common Name, CN)
- Organisation: Der Name Ihrer Organisation
- Abteilung: Pro Organisation
- Ort: Pro Organisation
- Status: Pro Organisation
- Land: Pro Organisation
- Schlüsselgröße: 2048
- Anbieter: Microsoft RSA SChannel Cryptographic Provider
Importieren des Zertifikats
Nachdem Sie das öffentliche Zertifikat erhalten haben, importieren Sie es in den lokalen Zertifikatspeicher des Computers, auf dem die Zertifikatsignieranforderung erstellt wurde. Exportieren Sie dann das Zertifikat als PFX-Datei, damit Sie es für Ihr CMG in Azure verwenden können.
Öffentliche Zertifikatanbieter stellen in der Regel Anweisungen für den Import des Zertifikats bereit. Der Prozess zum Importieren des Zertifikats sollte der folgenden Anleitung ähneln:
Suchen Sie auf dem Computer, auf den das Zertifikat importiert wird, die PFX-Zertifikatdatei.
Klicken Sie mit der rechten Maustaste auf die Datei, und wählen Sie dann PFX installieren aus.
Wenn der Zertifikatimport-Assistent gestartet wird, wählen Sie Weiter aus.
Wählen Sie auf der Seite Zu importierende Dateidie Option Weiter aus.
Geben Sie auf der Seite Kennwort das Kennwort für den privaten Schlüssel in das Feld Kennwort ein, und wählen Sie dann Weiter aus.
Wählen Sie die Option aus, damit der Schlüssel exportiert werden kann.
Wählen Sie auf der Seite Zertifikatspeicherdie Option Zertifikatspeicher automatisch basierend auf dem Zertifikattyp auswählen und dann Weiter aus.
Klicken Sie auf Fertigstellen.
Exportieren des Zertifikats
Exportieren Sie das CMG-Serverauthentifizierungszertifikat von Ihrem Server. Durch den erneuten Export des Zertifikats kann es für Ihr Cloudverwaltungsgateway in Azure verwendet werden.
Führen Sie auf dem Server, auf dem Sie das öffentliche SSL-Zertifikat importiert haben, certlm.msc aus, um die Zertifikat-Manager-Konsole zu öffnen.
Wählen Sie in der Certificate Manager-Konsole persönliche>Zertifikate aus. Klicken Sie dann mit der rechten Maustaste auf das CMG-Serverauthentifizierungszertifikat, das Sie im vorherigen Verfahren registriert haben, und wählen Sie Alle Aufgaben>exportieren aus.
Klicken Sie im Zertifikatexport-Assistenten auf Weiter, wählen Sie Ja, privaten Schlüssel exportieren und dann Weiter aus.
Wählen Sie auf der Seite Dateiformat exportierendie Option Persönlicher Informationsaustausch – PKCS #12 (. PFX) aus, wählen Sie Weiter aus, und geben Sie ein Kennwort an.
Geben Sie für den Dateinamen einen Namen wie C:\ConfigMgrCloudMGServer an. Sie verweisen auf diese Datei, wenn Sie das CMG in Azure erstellen.
Wählen Sie Weiter aus, und bestätigen Sie dann die folgenden Einstellungen, bevor Sie Fertig stellen auswählen, um den Export abzuschließen:
- Schlüssel exportieren: Ja
- Schließen Sie alle Zertifikate in den Zertifizierungspfad ein: Ja
- Dateiformat: Persönlicher Informationsaustausch (*.pfx)
Nachdem Sie den Export abgeschlossen haben, suchen Sie die PFX-Datei, und platzieren Sie eine Kopie der Datei unter C:\Certs auf dem primären Configuration Manager-Standortserver, der internetbasierte Clients verwaltet.
Der Ordner Certs ist ein temporärer Ordner, der beim Verschieben von Zertifikaten zwischen Servern verwendet werden kann. Sie greifen auf die Zertifikatdatei vom primären Standortserver aus zu, wenn Sie das CMG in Azure bereitstellen.
Nachdem Sie das Zertifikat auf den primären Standortserver kopiert haben, können Sie es aus dem persönlichen Zertifikatspeicher auf dem Mitgliedsserver löschen.
Aktivieren Sie Azure-Clouddienste im Configuration Manager
Um Azure-Dienste über die Configuration Manager-Konsole zu konfigurieren, verwenden Sie den Assistenten zum Konfigurieren von Azure-Diensten und erstellen zwei Microsoft Entra-Apps:
- Server-App: Eine Web-App in Microsoft Entra ID.
- Client-App: Eine native Client-App in Microsoft Entra ID.
Führen Sie das folgende Verfahren vom primären Standortserver aus:
Öffnen Sie die Configuration Manager-Konsole, wechseln Sie zu Verwaltung>Clouddienste>Azure-Dienste, und wählen Sie dann Azure-Dienste konfigurieren aus.
Geben Sie auf der Seite Azure-Dienst konfigurieren einen Anzeigenamen für den Cloudverwaltungsdienst an, den Sie konfigurieren. Beispiel: Mein Cloudverwaltungsdienst.
Wählen Sie dann Cloudverwaltung>Weiter aus.
Tipp
Weitere Informationen zu den Konfigurationen, die Sie im Assistenten vornehmen, finden Sie unter Starten des Assistenten für Azure-Dienste.
Wählen Sie auf der Seite App-Eigenschaften für Web-Appdie Option Durchsuchen aus, um das Dialogfeld Server-App zu öffnen. Wählen Sie Erstellen aus, und konfigurieren Sie dann die folgenden Felder:
Anwendungsname: Geben Sie einen Anzeigenamen für die App an, z. B. Cloud Management Web App.
Homepage-URL: Configuration Manager verwendet diesen Wert nicht, aber Die Microsoft Entra-ID erfordert ihn. Standardmäßig ist
https://ConfigMgrService
dieser Wert .App-ID-URI: Dieser Wert muss in Ihrem Microsoft Entra-Mandanten eindeutig sein. Es befindet sich im Zugriffstoken, das der Configuration Manager-Client verwendet, um Zugriff auf den Dienst anzufordern. Standardmäßig ist
https://ConfigMgrService
dieser Wert . Ändern Sie den Standardwert in eines der folgenden empfohlenen Formate:-
api://{tenantId}/{string}
, zum Beispielapi://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, zum Beispielhttps://contoso.onmicrosoft.com/ConfigMgrService
-
Wählen Sie als Nächstes Anmelden aus, und geben Sie ein Globales Microsoft Entra-Administratorkonto an. Configuration Manager speichert diese Anmeldeinformationen nicht. Diese Persona erfordert keine Berechtigungen in Configuration Manager und muss nicht dasselbe Konto sein, das den Azure-Dienst-Assistenten ausführt.
Nachdem Sie sich angemeldet haben, werden die Ergebnisse angezeigt. Klicken Sie auf OK , um das Dialogfeld Serveranwendung erstellen zu schließen und zur Seite App-Eigenschaften zurückzukehren.
Wählen Sie für native Client-Appdie Option Durchsuchen aus, um das Dialogfeld Client-App zu öffnen.
Wählen Sie Erstellen aus, um das Dialogfeld Clientanwendung erstellen zu öffnen, und konfigurieren Sie dann die folgenden Felder:
Anwendungsname: Geben Sie einen Anzeigenamen für die App an, z. B. cloudverwaltungseigene Client-App.
Antwort-URL: Configuration Manager verwendet diesen Wert nicht, aber Die Microsoft Entra-ID erfordert ihn. Standardmäßig ist
https://ConfigMgrClient
dieser Wert .
Wählen Sie als Nächstes Anmelden aus, und geben Sie ein Globales Microsoft Entra-Administratorkonto an. Wie die Web-App werden diese Anmeldeinformationen nicht gespeichert und erfordern keine Berechtigungen in Configuration Manager.
Nachdem Sie sich angemeldet haben, werden die Ergebnisse angezeigt. Klicken Sie auf OK , um das Dialogfeld Clientanwendung erstellen zu schließen und zur Seite App-Eigenschaften zurückzukehren. Wählen Sie dann Weiter aus, um den Vorgang fortzusetzen.
Aktivieren Sie auf der Seite Ermittlungseinstellungen konfigurieren das Kontrollkästchen Microsoft Entra-Benutzerermittlung aktivieren . Wählen Sie Weiter aus, und schließen Sie dann die Konfiguration der Ermittlungsdialoge für Ihre Umgebung ab.
Fahren Sie mit den Seiten Zusammenfassung, Status und Abschluss fort , und schließen Sie dann den Assistenten.
Azure-Dienste für die Microsoft Entra-Benutzerermittlung sind jetzt in Configuration Manager aktiviert. Lassen Sie die Konsole vorerst geöffnet.
Öffnen Sie einen Browser, und melden Sie sich beim Azure-Portal an.
Wählen Sie Alle Dienste>Microsoft Entra IDApp-Registrierungen> aus, und wählen Sie dann Folgendes aus:
Wählen Sie die Web-App aus, die Sie erstellt haben.
Wechseln Sie zu API-Berechtigungen, wählen Sie Administratoreinwilligung für Ihren Mandanten erteilen aus, und wählen Sie dann Ja aus.
Wählen Sie die native Client-App aus, die Sie erstellt haben.
Wechseln Sie zu API-Berechtigungen, wählen Sie Administratoreinwilligung für Ihren Mandanten erteilen aus, und wählen Sie dann Ja aus.
Wechseln Sie in der Configuration Manager-Konsole zuVerwaltungsübersicht>>Clouddienste>Azure-Dienste, und wählen Sie Ihren Azure-Dienst aus. Klicken Sie dann mit der rechten Maustaste auf Microsoft Entra User Discover , und wählen Sie Vollständige Ermittlung jetzt ausführen aus. Wählen Sie zum Bestätigen der Aktion Ja aus.
Öffnen Sie auf dem primären Standortserver die Datei configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.log , und suchen Sie nach dem folgenden Eintrag, um zu bestätigen, dass die Ermittlung funktioniert: UdX für Microsoft Entra-Benutzer erfolgreich veröffentlicht.
Standardmäßig befindet sich die Protokolldatei in %Program_Files%\Microsoft Configuration Manager\Logs.
Erstellen des Clouddiensts in Azure
In diesem Abschnitt des Tutorials erstellen Sie den CMG-Clouddienst und dann DNS-CNAME-Einträge für beide Dienste.
Erstellen des CMG
Verwenden Sie dieses Verfahren, um ein Cloudverwaltungsgateway als Dienst in Azure zu installieren. Das CMG wird am Standort der obersten Ebene der Hierarchie installiert. In diesem Tutorial verwenden wir weiterhin den primären Standort, an dem Zertifikate registriert und exportiert wurden.
Öffnen Sie auf dem primären Standortserver die Configuration Manager-Konsole. Wechseln Sie zu Verwaltung>Übersicht>Cloud Services>Cloud Management Gateway, und wählen Sie dann Cloud Management Gateway erstellen aus.
Gehen Sie auf der Seite Allgemein wie
Wählen Sie Ihre Cloudumgebung für die Azure-Umgebung aus. In diesem Tutorial wird AzurePublicCloud verwendet.
Wählen Sie Azure Resource Manager-Bereitstellung aus.
Melden Sie sich bei Ihrem Azure-Abonnement an. Configuration Manager füllt zusätzliche Informationen basierend auf den Informationen aus, die Sie beim Aktivieren von Azure-Clouddiensten für Configuration Manager konfiguriert haben.
Wählen Sie Weiter aus, um fortzufahren.
Navigieren Sie auf der Seite Einstellungen zu der Datei mit dem Namen ConfigMgrCloudMGServer.pfx, und wählen Sie sie aus. Diese Datei ist die Datei, die Sie nach dem Importieren des CMG-Serverauthentifizierungszertifikats exportiert haben. Nachdem Sie das Kennwort angegeben haben, werden die Informationen Dienstname und Bereitstellungsname basierend auf den Details in der PFX-Zertifikatdatei automatisch ausgefüllt.
Legen Sie die Regionsinformationen fest.
Verwenden Sie für Ressourcengruppe eine vorhandene Ressourcengruppe, oder erstellen Sie eine Gruppe mit einem Anzeigenamen, der keine Leerzeichen verwendet, z. B. ConfigMgrCloudServices. Wenn Sie eine Gruppe erstellen möchten, wird die Gruppe als Ressourcengruppe in Azure hinzugefügt.
Geben Sie 1 für VM-Instanzen ein, sofern Sie nicht bereit sind, im großen Stil zu konfigurieren. Die Anzahl der VM-Instanzen ermöglicht es einem einzelnen CMG-Clouddienst, horizontal hochzuskalieren, um mehr Clientverbindungen zu unterstützen. Später können Sie die Configuration Manager-Konsole verwenden, um die Anzahl der verwendeten VM-Instanzen zurückzugeben und zu bearbeiten.
Aktivieren Sie das Kontrollkästchen Clientzertifikatsperrung überprüfen .
Aktivieren Sie das Kontrollkästchen CMG darf als Cloudverteilungspunkt fungieren und Inhalte aus Azure Storage bereitstellen .
Wählen Sie Weiter aus, um fortzufahren.
Überprüfen Sie die Werte auf der Seite Warnung , und wählen Sie dann Weiter aus.
Überprüfen Sie die Seite Zusammenfassung , und wählen Sie Weiter aus, um den CMG-Clouddienst zu erstellen. Wählen Sie Schließen aus, um den Assistenten abzuschließen.
Im CMG-Knoten der Configuration Manager-Konsole können Sie jetzt den neuen Dienst anzeigen.
Erstellen von DNS-CNAME-Einträgen
Wenn Sie einen DNS-Eintrag für das CMG erstellen, aktivieren Sie Ihre Windows 10- oder höher-Geräte sowohl innerhalb als auch außerhalb Ihres Unternehmensnetzwerks, um die Namensauflösung zu verwenden, um den CMG-Clouddienst in Azure zu finden.
Unser Beispiel für einen CNAME-Eintrag ist MyCMG.contoso.com, der zu MyCMG.cloudapp.net wird. Im Beispiel:
Der Firmenname lautet Contoso mit einem öffentlichen DNS-Namespace von contoso.com.
Der CMG-Dienstname lautet MyCMG, der in Azure MyCMG.cloudapp.net wird.
Konfigurieren des Verwaltungspunkts und der Clients für die Verwendung des CMG
Konfigurieren Sie Einstellungen, mit denen lokale Verwaltungspunkte und Clients das Cloudverwaltungsgateway verwenden können.
Da wir erweitertes HTTP für die Clientkommunikation verwenden, ist es nicht erforderlich, einen HTTPS-Verwaltungspunkt zu verwenden.
Erstellen des CMG-Verbindungspunkts
Konfigurieren Sie den Standort so, dass erweitertes HTTP unterstützt wird:
Wechseln Sie in der Configuration Manager-Konsole zu Verwaltung>Übersicht>Standortkonfigurationsstandorte>. Öffnen Sie die Eigenschaften des primären Standorts.
Wählen Sie auf der Registerkarte Kommunikationssicherheit die Option HTTPS oder HTTP für Von Configuration Manager generierte Zertifikate für HTTP-Standortsysteme verwenden aus. Wählen Sie dann OK aus, um die Konfiguration zu speichern.
Wechseln Sie zu Verwaltung>ÜbersichtStandortkonfigurationsserver>>und Standortsystemrollen. Wählen Sie den Server mit einem Verwaltungspunkt aus, auf dem Sie den CMG-Verbindungspunkt installieren möchten.
Wählen Sie Standortsystemrollen> hinzufügenWeiter>weiter aus.
Wählen Sie Cloudverwaltungsgatewayverbindungspunkt und dann Weiter aus, um fortzufahren.
Überprüfen Sie die Standardauswahl auf der Seite Verbindungspunkt des Cloudverwaltungsgateways , und stellen Sie sicher, dass das richtige CMG ausgewählt ist.
Wenn Sie über mehrere CMGs verfügen, können Sie die Dropdownliste verwenden, um einen anderen CMG anzugeben. Sie können das verwendete CMG auch nach der Installation ändern.
Wählen Sie Weiter aus, um fortzufahren.
Wählen Sie Weiter aus, um die Installation zu starten, und zeigen Sie die Ergebnisse dann auf der Seite Abschluss an. Wählen Sie Schließen aus, um die Installation des Verbindungspunkts abzuschließen.
Wechseln Sie zu Verwaltung>ÜbersichtStandortkonfigurationsserver>>und Standortsystemrollen. Öffnen Sie Eigenschaften für den Verwaltungspunkt, an dem Sie den Verbindungspunkt installiert haben.
Aktivieren Sie auf der Registerkarte Allgemein das Kontrollkästchen Datenverkehr des Configuration Manager-Cloudverwaltungsgateways zulassen , und klicken Sie dann auf OK , um die Konfiguration zu speichern.
Tipp
Obwohl es nicht erforderlich ist, die Co-Verwaltung zu aktivieren, empfehlen wir, dass Sie diese Bearbeitung für alle Softwareupdatepunkte vornehmen.
Konfigurieren von Clienteinstellungen zum Weiterleiten von Clients zur Verwendung des CMG
Verwenden Sie Clienteinstellungen , um Configuration Manager-Clients für die Kommunikation mit dem CMG zu konfigurieren:
Öffnen Sie die Configuration Manager-Konsole>Verwaltungsübersicht>>Clienteinstellungen, und bearbeiten Sie dann die Informationen zu den Standardclienteinstellungen.
Wählen Sie Clouddienste aus.
Legen Sie auf der Seite Standardeinstellungen die folgenden Einstellungen auf Ja fest:
Automatisches Registrieren neuer in die Domäne eingebundener Windows 10-Geräte mit der Microsoft Entra-ID
Clients die Verwendung eines Cloudverwaltungsgateways ermöglichen
Zugriff auf Cloudverteilungspunkt zulassen
Legen Sie auf der Seite ClientrichtlinieBenutzerrichtlinienanforderungen von Internetclients aktivieren auf Ja fest.
Wählen Sie OK aus, um diese Konfiguration zu speichern.
Co-Verwaltung in Configuration Manager aktivieren
Wenn die Azure-Konfigurationen, Standortsystemrollen und Clienteinstellungen vorhanden sind, können Sie Configuration Manager so konfigurieren, dass die Co-Verwaltung aktiviert wird. Sie müssen jedoch noch einige Konfigurationen in Intune vornehmen, nachdem Sie die Co-Verwaltung aktiviert haben, bevor dieses Tutorial abgeschlossen ist.
Eine dieser Aufgaben besteht darin, Intune für die Bereitstellung des Configuration Manager-Clients zu konfigurieren. Diese Aufgabe wird vereinfacht, indem die Befehlszeile für die Clientbereitstellung gespeichert wird, die im Konfigurations-Assistenten für die Co-Verwaltung verfügbar ist. Aus diesem Grund aktivieren wir jetzt die Co-Verwaltung, bevor wir die Konfigurationen für Intune abschließen.
Der Begriff Pilotgruppe wird in allen Feature- und Konfigurationsdialogen für die Co-Verwaltung verwendet. Eine Pilotgruppe ist eine Sammlung, die eine Teilmenge Ihrer Configuration Manager-Geräte enthält. Verwenden Sie eine Pilotgruppe für ihre ersten Tests. Fügen Sie nach Bedarf Geräte hinzu, bis Sie bereit sind, die Workloads für alle Configuration Manager-Geräte zu verschieben.
Es gibt keine Zeitliche Begrenzung, wie lange eine Pilotgruppe für Workloads verwendet werden kann. Sie können eine Pilotgruppe auf unbestimmte Zeit verwenden, wenn Sie eine Workload nicht auf alle Configuration Manager-Geräte verschieben möchten.
Es wird empfohlen, eine geeignete Sammlung zu erstellen, bevor Sie mit dem Verfahren zum Erstellen einer Pilotgruppe beginnen. Anschließend können Sie diese Sammlung auswählen, ohne die entsprechende Prozedur zu beenden. Möglicherweise benötigen Sie mehrere Sammlungen, da Sie für jede Workload eine andere Pilotgruppe zuweisen können.
Aktivieren der Co-Verwaltung für Versionen 2111 und höher
Ab Configuration Manager Version 2111 hat sich das Onboarding der Co-Verwaltung geändert. Der Assistent für die Cloudanfügungskonfiguration erleichtert die Aktivierung der Co-Verwaltung und anderer Cloudfeatures. Sie können einen optimierten Satz empfohlener Standardwerte auswählen, oder Ihre Features für die Cloudanfügung anpassen. Es gibt auch eine neue integrierte Gerätesammlung für für die Co-Verwaltung berechtigte Geräte , die Sie bei der Identifizierung von Clients unterstützen. Weitere Informationen zum Aktivieren der Co-Verwaltung finden Sie unter Aktivieren der Cloudanfügung.
Hinweis
Mit dem neuen Assistenten verschieben Sie Workloads nicht gleichzeitig mit der Aktivierung der Co-Verwaltung. Um Workloads zu verschieben, bearbeiten Sie die Eigenschaften der Co-Verwaltung nach dem Aktivieren der Cloudanfügung.
Aktivieren der Co-Verwaltung für Versionen 2107 und früher
Wenn Sie die Co-Verwaltung aktivieren, können Sie die öffentliche Azure-Cloud, die Azure Government-Cloud oder die Azure China 21Vianet-Cloud (hinzugefügt in Version 2006) verwenden. Befolgen Sie die folgenden Anweisungen, um die Co-Verwaltung zu aktivieren:
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung , erweitern Sie Clouddienste, und wählen Sie den Knoten Cloudanfügung aus. Wählen Sie im Menüband die Option Cloudanfügung konfigurieren aus, um den Konfigurations-Assistenten für die Cloudanfügung zu öffnen.
Erweitern Sie für Version 2103 und früher cloud Services , und wählen Sie den Knoten Co-Verwaltung aus. Wählen Sie im Menüband Co-Verwaltung konfigurieren aus, um den Konfigurations-Assistenten für die Co-Verwaltung zu öffnen.
Wählen Sie auf der Onboardingseite des Assistenten für die Azure-Umgebung eine der folgenden Umgebungen aus:
Öffentliche Azure-Cloud
Azure Government-Cloud
Azure China-Cloud (hinzugefügt in Version 2006)
Hinweis
Aktualisieren Sie den Configuration Manager-Client auf Ihren Geräten auf die neueste Version, bevor Sie das Onboarding in die Azure China-Cloud durchführen.
Wenn Sie die Azure China-Cloud oder Azure Government-Cloud auswählen, ist die Option In Microsoft Endpoint Manager Admin Center hochladen für mandantenanfügen deaktiviert.
Wählen Sie Anmelden aus. Melden Sie sich als globaler Microsoft Entra-Administrator an, und wählen Sie dann Weiter aus. Sie melden sich dieses Mal für die Zwecke dieses Assistenten an. Die Anmeldeinformationen werden nicht gespeichert oder an anderer Stelle wiederverwendet.
Wählen Sie auf der Seite Aktivieren die folgenden Einstellungen aus:
Automatische Registrierung in Intune: Aktiviert die automatische Clientregistrierung in Intune für vorhandene Configuration Manager-Clients. Mit dieser Option können Sie die Co-Verwaltung für eine Teilmenge von Clients aktivieren, um zunächst die Co-Verwaltung zu testen und dann die Co-Verwaltung mithilfe eines stufenweisen Ansatzes bereitzustellen. Wenn der Benutzer die Registrierung eines Geräts auf hebt, wird das Gerät bei der nächsten Auswertung der Richtlinie erneut registriert.
- Pilot: Nur die Configuration Manager-Clients, die Mitglieder der Sammlung der automatischen Intune-Registrierung sind, werden automatisch bei Intune registriert.
- Alle: Aktivieren Sie die automatische Registrierung für alle Clients, auf denen Windows 10 Version 1709 oder höher ausgeführt wird.
- Keine: Deaktivieren Sie die automatische Registrierung für alle Clients.
Automatische Intune-Registrierung: Diese Sammlung sollte alle Clients enthalten, die Sie in die Co-Verwaltung integrieren möchten. Es handelt sich im Wesentlichen um eine Obermenge aller anderen Stagingauflistungen.
Die automatische Registrierung erfolgt nicht sofort für alle Clients. Dieses Verhalten trägt dazu bei, dass die Registrierung für große Umgebungen besser skaliert wird. Configuration Manager wählt die Registrierung nach dem Zufallsprinzip basierend auf der Anzahl der Clients aus. Wenn Ihre Umgebung beispielsweise über 100.000 Clients verfügt und Sie diese Einstellung aktivieren, erfolgt die Registrierung über mehrere Tage.
Ein neues gemeinsam verwaltetes Gerät wird jetzt basierend auf seinem Microsoft Entra-Gerätetoken automatisch im Microsoft Intune-Dienst registriert. Es muss nicht warten, bis sich ein Benutzer beim Gerät anmeldet, damit die automatische Registrierung gestartet wird. Diese Änderung trägt dazu bei, die Anzahl der Geräte mit dem Registrierungsstatus Benutzeranmeldung ausstehend zu reduzieren. Um dieses Verhalten zu unterstützen, muss auf dem Gerät Windows 10 Version 1803 oder höher ausgeführt werden. Weitere Informationen finden Sie unter Registrierungsstatus der Co-Verwaltung.
Wenn Sie bereits Geräte bei der Co-Verwaltung registriert haben, werden neue Geräte sofort registriert, nachdem sie die Voraussetzungen erfüllt haben.
Für internetbasierte Geräte, die bereits bei Intune registriert sind, kopieren Und speichern Sie den Befehl auf der Seite Aktivieren . Sie verwenden diesen Befehl, um den Configuration Manager-Client als App in Intune für internetbasierte Geräte zu installieren. Wenn Sie diesen Befehl jetzt nicht speichern, können Sie die Konfiguration der Co-Verwaltung jederzeit überprüfen, um diesen Befehl zu erhalten.
Tipp
Der Befehl wird nur angezeigt, wenn Sie alle Voraussetzungen erfüllt haben, z. B. das Einrichten eines Cloudverwaltungsgateways.
Wählen Sie auf der Seite Workloads für jede Workload aus, welche Gerätegruppe für die Verwaltung mit Intune verschoben werden soll. Weitere Informationen finden Sie unter Workloads.
Wenn Sie nur die Co-Verwaltung aktivieren möchten, müssen Sie jetzt keine Workloads wechseln. Sie können Workloads später wechseln. Weitere Informationen finden Sie unter Wechseln von Workloads.
- Pilot-Intune: Wechselt die zugeordnete Workload nur für die Geräte in den Pilotsammlungen, die Sie auf der Seite Staging angeben. Jede Workload kann über eine andere Pilotsammlung verfügen.
- Intune: Wechselt die zugeordnete Workload für alle gemeinsam verwalteten Windows 10- oder höher-Geräte.
Wichtig
Bevor Sie Workloads wechseln, stellen Sie sicher, dass Sie die entsprechende Workload ordnungsgemäß in Intune konfigurieren und bereitstellen. Stellen Sie sicher, dass Workloads immer von einem der Verwaltungstools für Ihre Geräte verwaltet werden.
Geben Sie auf der Seite Staging die Pilotsammlung für jede der Workloads an, die auf Pilot Intune festgelegt sind.
Schließen Sie den Assistenten ab, um die Co-Verwaltung zu aktivieren.
Verwenden von Intune zum Bereitstellen des Configuration Manager-Clients
Sie können Intune verwenden, um den Configuration Manager-Client auf Geräten mit Windows 10 oder höher zu installieren, die derzeit nur mit Intune verwaltet werden.
Wenn ein zuvor nicht verwaltetes Windows 10- oder höher-Gerät bei Intune registriert wird, wird automatisch der Configuration Manager-Client installiert.
Hinweis
Wenn Sie planen, den Configuration Manager-Client auf Geräten bereitzustellen, die Autopilot verwenden, empfiehlt es sich, benutzer für die Zuweisung des Configuration Manager-Clients anstelle von Geräten zu verwenden.
Dadurch wird ein Konflikt zwischen der Installation branchenspezifischer Apps und Win32-Apps während Autopilot vermieden.
Erstellen einer Intune-App zum Installieren des Configuration Manager-Clients
Melden Sie sich auf dem primären Standortserver beim Microsoft Intune Admin Center an. Wechseln Sie dann zu Apps>Alle Apps>Hinzufügen.
Wählen Sie als App-Typ unter Sonstige die Option Branchen-App aus.
Navigieren Sie für die App-Paketdatei zum Speicherort der Configuration Manager-Datei ccmsetup.msi (z. B. C:\Programme\Microsoft Configuration Manager\bin\i386\ccmsetup.msi). Wählen Sie dann Ok öffnen> aus.
Wählen Sie App-Informationen aus, und geben Sie dann die folgenden Details an:
Beschreibung: Geben Sie Configuration Manager-Client ein.
Herausgeber: Geben Sie Microsoft ein.
Befehlszeilenargumente: Geben Sie den
CCMSETUPCMD
Befehl an. Sie können den Befehl verwenden, den Sie auf der Seite Aktivieren des Konfigurations-Assistenten für die Co-Verwaltung gespeichert haben. Dieser Befehl enthält die Namen Ihres Clouddiensts und zusätzliche Werte, mit denen Geräte die Configuration Manager-Clientsoftware installieren können.Die Befehlszeilenstruktur sollte diesem Beispiel ähneln, in dem nur die
CCMSETUPCMD
Parameter undSMSSiteCode
verwendet werden:CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"
Tipp
Wenn Der Befehl nicht verfügbar ist, können Sie die Eigenschaften von
CoMgmtSettingsProd
in der Configuration Manager-Konsole anzeigen, um eine Kopie des Befehls zu erhalten. Der Befehl wird nur angezeigt, wenn Sie alle Voraussetzungen erfüllt haben, z. B. das Einrichten eines CMG.
Wählen Sie OK>Hinzufügen aus. Die App wird erstellt und in der Intune-Konsole verfügbar. Nachdem die App verfügbar ist, können Sie den folgenden Abschnitt verwenden, um die App Ihren Geräten aus Intune zuzuweisen.
Zuweisen der Intune-App zum Installieren des Configuration Manager-Clients
Das folgende Verfahren stellt die App für die Installation des Configuration Manager-Clients bereit, den Sie im vorherigen Verfahren erstellt haben:
Melden Sie sich beim Microsoft Intune Admin Center an. Wählen Sie Apps>Alle Apps und dann ConfigMgr Client Setup Bootstrap aus. Dies ist die App, die Sie zum Bereitstellen des Configuration Manager-Clients erstellt haben.
Wählen Sie Eigenschaften und dann bearbeiten für Zuweisungen aus. Wählen Sie unter Erforderliche Zuweisungen die Option Gruppe hinzufügen aus, um die Microsoft Entra-Gruppen festzulegen, die Benutzer und Geräte enthalten, die Sie an der Co-Verwaltung teilnehmen möchten.
Wählen Sie Überprüfen + speichern>Speichern aus, um die Konfiguration zu speichern. Die App ist jetzt für Benutzer und Geräte erforderlich, denen Sie sie zugewiesen haben. Nachdem die App den Configuration Manager-Client auf einem Gerät installiert hat, wird er von der Co-Verwaltung verwaltet.
Zusammenfassung
Nachdem Sie die Konfigurationsschritte dieses Tutorials abgeschlossen haben, können Sie mit der gemeinsamen Verwaltung Ihrer Geräte beginnen.
Nächste Schritte
- Überprüfen Sie den Status von gemeinsam verwalteten Geräten mithilfe des Dashboards für die Co-Verwaltung.
- Verwenden Sie Windows Autopilot , um neue Geräte bereitzustellen.
- Verwenden Sie die Kompatibilitätsregeln für bedingten Zugriff und Intune, um den Benutzerzugriff auf Unternehmensressourcen zu verwalten.