Vorbereiten von internetbasierten Geräten für die Co-Verwaltung
Dieser Artikel konzentriert sich auf den zweiten Weg zur Co-Verwaltung für neue internetbasierte Geräte. Dieses Szenario ist der Fall, wenn Sie über neue Windows 10 oder höher verfügen, die Azure AD beitreten und sich automatisch bei Intune registrieren. Sie installieren den Configuration Manager-Client, um einen Co-Management-Status zu erreichen.
Windows Autopilot
Verwenden Sie für neue Windows-Geräte den Autopilot-Dienst, um die Out-of-Box-Benutzeroberfläche (OOBE) zu konfigurieren. Dieser Prozess umfasst das Verknüpfen des Geräts mit Azure AD, das Registrieren des Geräts in Intune, die Installation des Configuration Manager-Clients und das Konfigurieren der Co-Verwaltung.
Weitere Informationen finden Sie unter Registrierung bei Autopilot.
Hinweis
Während wir mit unseren Kunden sprechen, die Microsoft Intune verwenden, um ihre Clientgeräte bereitzustellen, zu verwalten und zu schützen, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und hybrid in Azure Active Directory (Azure AD) eingebundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Co-Verwaltung ist eine Verwaltungsoption, während Azure AD eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu hybriden Azure AD- und Co-Verwaltungsszenarien. Dieser Blogbeitrag zielt darauf ab, Hybrid Azure AD Verknüpfung und Co-Management zu verdeutlichen, wie sie zusammenarbeiten, aber nicht dasselbe sind.
Sie können den Configuration Manager Client nicht bereitstellen, während Sie einen neuen Computer im benutzergesteuerten Windows Autopilot-Modus für die Azure AD-Hybrideinbindung bereitstellen. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Azure AD-Hybrideinbindungsprozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Autopilot-Prozess bereit.Alternative Optionen zum Installieren des Clients finden Sie unter Clientinstallationsmethoden in Configuration Manager.
Sammeln von Informationen aus Configuration Manager
Verwenden Sie Configuration Manager, um die für Intune erforderlichen Geräteinformationen zu sammeln und zu melden. Diese Informationen umfassen die Seriennummer des Geräts, die Windows-Produkt-ID und eine Hardware-ID. Es wird verwendet, um das Gerät in Intune zu registrieren, um Windows Autopilot zu unterstützen.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Überwachung, erweitern Sie den Knoten Berichterstellung, erweitern Sie Berichte, und wählen Sie den Knoten Hardware – Allgemein aus.
Führen Sie den Berichtaus, Windows Autopilot Geräteinformationenein, und zeigen Sie die Ergebnisse an.
Wählen Sie im Berichts-Viewer das Symbol Exportieren und dann die Option CSV (durch Trennzeichen getrennt) aus.
Laden Sie die Daten nach dem Speichern der Datei in Intune hoch.
Weitere Informationen finden Sie unter Manuelles Registrieren von Geräten mit Windows Autopilot.
Autopilot für vorhandene Geräte
mit Windows Autopilot für vorhandene Geräte können Sie ein reimaging und ein Windows 8.1 Gerät für den benutzergesteuerten Windows Autopilot-Modus mithilfe einer einzelnen, nativen Configuration Manager Tasksequenz bereitstellen.
Weitere Informationen finden Sie unter Windows Autopilot für vorhandene Geräte.
Installieren des Configuration Manager-Clients
Sie müssen keine Intune-App mehr erstellen und zuweisen, um den Configuration Manager-Client zu installieren. Die Intune-Registrierungsrichtlinie installiert den Configuration Manager-Client automatisch als Erstanbieter-App. Das Gerät ruft den Clientinhalt vom Configuration Manager Cloud Management Gateway (CMG) ab, sodass Sie den Clientinhalt nicht in Intune bereitstellen und verwalten müssen. Weitere Informationen finden Sie unter Registrieren mit Autopilot.
Sie geben weiterhin die Configuration Manager Clientbefehlszeilenparameter in Intune an.
Hinweis
Stellen Sie sicher, dass die Geräte dem CMG-Serverauthentifizierungszertifikat vertrauen. Weitere Informationen finden Sie unter CMG-Serverauthentifizierungszertifikat. Wenn ein Gerät dem CMG-Serverauthentifizierungszertifikat nicht vertraut, wird auf dem Client in ccmsetup.log ein WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA Fehler angezeigt.
Abrufen der Befehlszeile aus Configuration Manager
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Cloud Services, und wählen Sie den Knoten Cloudanfügung aus.
Tipp
Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.
Wählen Sie das Co-Verwaltungsobjekt und dann im Menüband Eigenschaften aus.
Kopieren Sie auf der Registerkarte Aktivieren die Befehlszeile. Fügen Sie ihn in Editor ein, um sie für den nächsten Prozess zu speichern. Die Befehlszeile wird nur angezeigt, wenn Sie alle Voraussetzungen erfüllt haben, z. B. ein Cloudverwaltungsgateway.
Die folgende Befehlszeile ist ein Beispiel: CCMSETUPCMD="CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC"
Entscheiden Sie, welche Befehlszeileneigenschaften Sie für Ihre Umgebung benötigen:
Die folgenden Befehlszeileneigenschaften sind in allen Szenarien erforderlich:
CCMHOSTNAME
SMSSITECODE
Wenn Geräte Azure AD für die Clientauthentifizierung verwenden und außerdem über ein PKI-basiertes Clientauthentifizierungszertifikat verfügen, geben Sie die folgenden Eigenschaften für die Verwendung von Azure AD an:
AADCLIENTAPPID
AADRESOURCEURI
Wenn der Client zum Intranet zurückwechselt, verwenden Sie die
SMSMP
-Eigenschaft.Wenn Sie Ihr eigenes PKI-Zertifikat verwenden und Ihre Zertifikatsperrliste nicht im Internet veröffentlicht wird, verwenden Sie den
/NoCRLCheck
-Parameter. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften: /NoCRLCheck.Wichtig
Microsoft empfiehlt, die Zertifikatsperrliste zu veröffentlichen. Weitere Informationen finden Sie unter Planen von CRLs.
Um eine Tasksequenz unmittelbar nach der Clientregistrierung zu bootstrapieren, verwenden Sie die
PROVISIONTS
-Eigenschaft. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften: PROVISIONTS.Verwenden
UPGRADETOLATEST
Sie die -Eigenschaft, um sicherzustellen, dass internetbasierte Geräte die neueste Version des Configuration Manager-Clients erhalten. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften:UPGRADETOLATEST
.
Die Website veröffentlicht andere Azure AD-Informationen im Cloud Management Gateway (CMG). Ein in Azure AD eingebundener Client ruft diese Informationen während des ccmsetup-Prozesses vom CMG ab und verwendet dabei denselben Mandanten, mit dem er verknüpft ist. Dieses Verhalten vereinfacht die Registrierung von Geräten für die Co-Verwaltung in einer Umgebung mit mehr als einem Azure AD-Mandanten. Die einzigen beiden erforderlichen ccmsetup-Eigenschaften sind CCMHOSTNAME
und SMSSITECODE
.
Das folgende Beispiel enthält alle diese Eigenschaften:
CCMSETUPCMD="CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver SMSMP=https://mp1.contoso.com PROVISIONTS=PRI20001"
Weitere Informationen finden Sie unter Clientinstallationseigenschaften.
Wichtig
Wenn Sie diese Befehlszeile anpassen, stellen Sie sicher, dass sie nicht mehr als 1024 Zeichen lang ist. Wenn die Befehlszeilenlänge größer als 1024 Zeichen ist, schlägt die Clientinstallation fehl.