Vorbereiten von internetbasierten Geräten für die Co-Verwaltung
Dieser Artikel konzentriert sich auf den zweiten Weg zur Co-Verwaltung für neue internetbasierte Geräte. Dieses Szenario ist der Fall, wenn Sie über neue Windows 10 oder höher verfügen, die Microsoft Entra ID beitreten und sich automatisch bei Intune registrieren. Sie installieren den Configuration Manager-Client, um einen Co-Management-Status zu erreichen.
Windows Autopilot
Verwenden Sie für neue Windows-Geräte den Autopilot-Dienst, um die Out-of-Box-Benutzeroberfläche (OOBE) zu konfigurieren. Dieser Prozess umfasst das Verknüpfen des Geräts mit Microsoft Entra-ID, das Registrieren des Geräts bei Intune, die Installation des Configuration Manager-Clients und das Konfigurieren der Co-Verwaltung.
Weitere Informationen finden Sie unter Registrierung bei Autopilot.
Hinweis
Während wir mit unseren Kunden sprechen, die Microsoft Intune verwenden, um ihre Clientgeräte bereitzustellen, zu verwalten und zu schützen, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und Microsoft Entra hybrid eingebundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Die Co-Verwaltung ist eine Verwaltungsoption, während Microsoft Entra ID eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu Hybrid-Microsoft Entra-ID- und Co-Verwaltungsszenarien. In diesem Blogbeitrag soll Microsoft Entra hybride Einbindung und Co-Verwaltung erläutert werden, wie sie zusammenarbeiten, aber nicht dasselbe sind.
Sie können den Configuration Manager-Client nicht bereitstellen, während Sie einen neuen Computer im benutzergesteuerten Windows Autopilot-Modus für Microsoft Entra Hybrideinbindung bereitstellen. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Microsoft Entra HybridJoin-Prozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Autopilot-Prozess bereit. Alternative Optionen zum Installieren des Clients finden Sie unter Clientinstallationsmethoden in Configuration Manager.
Sammeln von Informationen aus Configuration Manager
Verwenden Sie Configuration Manager, um die für Intune erforderlichen Geräteinformationen zu sammeln und zu melden. Diese Informationen umfassen die Seriennummer des Geräts, die Windows-Produkt-ID und eine Hardware-ID. Es wird verwendet, um das Gerät in Intune zu registrieren, um Windows Autopilot zu unterstützen.
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Überwachung, erweitern Sie den Knoten Berichterstellung, erweitern Sie Berichte, und wählen Sie den Knoten Hardware – Allgemein aus.
Führen Sie den Berichtaus, Windows Autopilot Geräteinformationenein, und zeigen Sie die Ergebnisse an.
Wählen Sie im Berichts-Viewer das Symbol Exportieren und dann die Option CSV (durch Trennzeichen getrennt) aus.
Laden Sie die Daten nach dem Speichern der Datei in Intune hoch.
Weitere Informationen finden Sie unter Manuelles Registrieren von Geräten mit Windows Autopilot.
Autopilot für vorhandene Geräte
mit Windows Autopilot für vorhandene Geräte können Sie ein reimaging und ein Windows 8.1 Gerät für den benutzergesteuerten Windows Autopilot-Modus mithilfe einer einzelnen, nativen Configuration Manager Tasksequenz bereitstellen.
Weitere Informationen finden Sie unter Windows Autopilot für vorhandene Geräte.
Installieren des Configuration Manager-Clients
Sie müssen keine Intune-App mehr erstellen und zuweisen, um den Configuration Manager-Client zu installieren. Die Intune-Registrierungsrichtlinie installiert den Configuration Manager-Client automatisch als Erstanbieter-App. Das Gerät ruft den Clientinhalt vom Configuration Manager Cloud Management Gateway (CMG) ab, sodass Sie die Clientinhalte nicht in Intune bereitstellen und verwalten müssen. Weitere Informationen finden Sie unter Registrieren mit Autopilot.
Sie geben weiterhin die Configuration Manager Clientbefehlszeilenparameter in Intune an.
Hinweis
Stellen Sie sicher, dass die Geräte dem CMG-Serverauthentifizierungszertifikat vertrauen. Weitere Informationen finden Sie unter CMG-Serverauthentifizierungszertifikat. Wenn ein Gerät dem CMG-Serverauthentifizierungszertifikat nicht vertraut, wird auf dem Client in ccmsetup.log ein WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA Fehler angezeigt.
Abrufen der Befehlszeile aus Configuration Manager
Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Cloud Services, und wählen Sie den Knoten Cloudanfügung aus.
Tipp
Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.
Wählen Sie das Co-Verwaltungsobjekt und dann im Menüband Eigenschaften aus.
Kopieren Sie auf der Registerkarte Aktivieren die Befehlszeile. Fügen Sie ihn in Editor ein, um sie für den nächsten Prozess zu speichern. Die Befehlszeile wird nur angezeigt, wenn Sie alle Voraussetzungen erfüllt haben, z. B. ein Cloudverwaltungsgateway.
Die folgende Befehlszeile ist ein Beispiel: CCMSETUPCMD="CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC"
Entscheiden Sie, welche Befehlszeileneigenschaften Sie für Ihre Umgebung benötigen:
Die folgenden Befehlszeileneigenschaften sind in allen Szenarien erforderlich:
CCMHOSTNAME
SMSSITECODE
Wenn Geräte Microsoft Entra ID für die Clientauthentifizierung verwenden und auch über ein PKI-basiertes Clientauthentifizierungszertifikat verfügen, geben Sie die folgenden Eigenschaften an, um Microsoft Entra ID zu verwenden:
AADCLIENTAPPID
AADRESOURCEURI
Wenn der Client zum Intranet zurückwechselt, verwenden Sie die
SMSMP
-Eigenschaft.Wenn Sie Ihr eigenes PKI-Zertifikat verwenden und Ihre Zertifikatsperrliste nicht im Internet veröffentlicht wird, verwenden Sie den
/NoCRLCheck
-Parameter. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften: /NoCRLCheck.Wichtig
Microsoft empfiehlt, die Zertifikatsperrliste zu veröffentlichen. Weitere Informationen finden Sie unter Planen von CRLs.
Um eine Tasksequenz unmittelbar nach der Clientregistrierung zu bootstrapieren, verwenden Sie die
PROVISIONTS
-Eigenschaft. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften: PROVISIONTS.Verwenden
UPGRADETOLATEST
Sie die -Eigenschaft, um sicherzustellen, dass internetbasierte Geräte die neueste Version des Configuration Manager-Clients erhalten. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften:UPGRADETOLATEST
.
Die Website veröffentlicht andere Microsoft Entra Informationen für das Cloudverwaltungsgateway (CMG). Ein Microsoft Entra eingebundener Client ruft diese Informationen während des ccmsetup-Prozesses vom CMG ab und verwendet dabei denselben Mandanten, mit dem er verknüpft ist. Dieses Verhalten vereinfacht die Registrierung von Geräten für die Co-Verwaltung in einer Umgebung mit mehr als einem Microsoft Entra Mandanten. Die einzigen beiden erforderlichen ccmsetup-Eigenschaften sind CCMHOSTNAME
und SMSSITECODE
.
Das folgende Beispiel enthält alle diese Eigenschaften:
CCMSETUPCMD="CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver SMSMP=https://mp1.contoso.com PROVISIONTS=PRI20001"
Weitere Informationen finden Sie unter Clientinstallationseigenschaften.
Wichtig
Wenn Sie diese Befehlszeile anpassen, stellen Sie sicher, dass sie nicht mehr als 1024 Zeichen lang ist. Wenn die Befehlszeilenlänge größer als 1024 Zeichen ist, schlägt die Clientinstallation fehl.