Microsoft Endpoint Manager-Mandantenanfügung aktivieren: Gerätesynchronisierung und Geräteaktionen

Gilt für: Configuration Manager (Current Branch)

Microsoft Endpoint Manager ist eine integrierte Lösung für die Verwaltung all Ihrer Geräte. Microsoft vereint Configuration Manager und Intune in einer einzigen Konsole namens Microsoft Endpoint Manager Admin Center. Sie können Ihre Configuration Manager-Geräte in den Clouddienst laden und Aktionen im Blatt Geräte des Admin Centers ausführen.

Aktivieren des Geräteuploads, wenn die Co-Verwaltung bereits aktiviert ist

Wenn die Co-Verwaltung aktuell aktiviert ist, verwenden Sie die Eigenschaften für die Co-Verwaltung, um den Upload von Geräten zu aktivieren. Wenn die Co-Verwaltung noch nicht aktiviert ist, verwenden Sie stattdessen den Konfigurations-Assistenten für Cloudanfügung, um den Geräteupload zu aktivieren. Bevor Sie die Mandantenanfügung aktivieren, stellen Sie sicher, dass die Voraussetzungen für die Mandantenanfügung erfüllt sind.

Wenn die Co-Verwaltung bereits aktiviert ist, bearbeiten Sie die Co-Verwaltungseigenschaften, um den Geräteupload mit Hilfe der folgenden Anweisungen zu aktivieren:

  1. Navigieren Sie in der Configuration Manager-Administratorkonsole zu Verwaltung>Übersicht>Clouddienste>Cloudanfügung.
    • Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.
  2. Wählen Sie im Menüband Eigenschaften für Ihre Co-Verwaltung-Produktionsrichtlinie aus.
  3. Klicken Sie in der Registerkarte Upload konfigurieren auf Upload ins Microsoft Endpoint Manager Admin Center. Wählen Sie Anwenden aus.
    • Die Standardeinstellung für den Geräteupload ist Alle meine Geräte, die von Microsoft Endpoint Configuration Manager verwaltet werden. Falls benötigt, können Sie das Hochladen auf eine einzelne Gerätesammlung beschränken.
    • Wenn eine einzelne Sammlung ausgewählt wird, werden die untergeordneten Sammlungen ebenfalls hochgeladen.
  4. Aktivieren Sie die Option zum Aktivieren der Endpunktanalyse für Geräte, die in Microsoft Endpoint Manager hochgeladen wurden, wenn Sie auch Einblicke in die Optimierung der Endbenutzererfahrung in Endpunktanalyse erhalten möchten.
  5. Aktivieren Sie die Option Rollenbasierte Access Control für die Geräte erzwingen, die in den Clouddienst hochgeladen werden. Standardmäßig wird SCCM RBAC zusammen mit Intune RBAC erzwungen, wenn Sie Ihre Configuration Manager Geräte in den Clouddienst hochladen. Daher ist das Kontrollkästchen standardmäßig aktiviert. Wenn Sie nur Intune RBAC erzwingen möchten, können Sie das Kontrollkästchen deaktivieren. Die Erzwingung von Intune RBAC gilt jedoch derzeit nicht. Die Versionshinweise und die Neuerungen in Intune werden aktualisiert, wenn Sie nur Intune RBAC erzwingen können.

Wichtig

Wenn Sie den Endpunktanalyse-Datenupload aktivieren, werden Ihre Clientstandardeinstellungen automatisch aktualisiert, damit verwaltete Endpunkte relevante Daten an Ihren Configuration Manager-Standortserver senden können. Wenn Sie benutzerdefinierte Clienteinstellungen verwenden, müssen Sie sie möglicherweise aktualisieren und erneut bereitstellen, damit die Datensammlung erfolgt. Weitere Informationen hierzu sowie Informationen zum Konfigurieren der Datensammlung, z. B. zum Beschränken der Sammlung auf eine bestimmte Gruppe von Geräten, finden Sie im Abschnitt Konfigurieren der Endpunktanalysedatensammlung.

Screenshot: Hochladen von Geräten in Microsoft Endpoint Manager Admin Center

  1. Melden Sie sich mit Ihrem globalen Administratorkonto an, wenn Sie dazu aufgefordert werden.
  2. Wählen Sie Ja aus, um die Benachrichtigung AAD-Anwendung erstellen zu akzeptieren. Durch diese Aktion wird ein Dienstprinzipal bereitgestellt und eine Azure AD-Anwendungsregistrierung erstellt, um das Synchronisieren zu vereinfachen.
  3. Wählen Sie OK aus, um die Eigenschaften für die Co-Verwaltung zu verlassen, sobald Sie alle Änderungen vorgenommen haben.

Aktivieren des Geräteuploads, wenn die Co-Verwaltung nicht aktiviert ist

Wenn Sie die Co-Verwaltung nicht aktiviert haben, müssen Sie den Konfigurations-Assistenten für Cloudanfügung verwenden, um den Geräteupload zu aktivieren. Sie können Ihre Geräte hochladen, ohne die automatische Registrierung für die gemeinsame Verwaltung oder den Wechsel von Arbeitslasten zu Intune zu aktivieren. Alle in Configuration Manager verwalteten Geräte mit Ja in der Spalte Client werden hochgeladen. Falls benötigt, können Sie das Hochladen auf eine einzelne Gerätesammlung beschränken. Wenn die Co-Verwaltung in Ihrer Umgebung bereits aktiviert ist, bearbeiten Sie die Co-Verwaltungseigenschaften, um stattdessen den Geräteupload zu aktivieren. Bevor Sie die Mandantenanfügung aktivieren, stellen Sie sicher, dass die Voraussetzungen für die Mandantenanfügung erfüllt sind.

Wenn die Co-Verwaltung nicht aktiviert ist, verwenden Sie die folgenden Anweisungen, um den Geräteupload zu aktivieren:

  1. Navigieren Sie in der Configuration Manager-Administratorkonsole zu Verwaltung>Übersicht>Clouddienste>Cloudanfügung. Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.

    • Ab Configuration Manager Version 2111 hat sich die Onboardingerfahrung für Mandantenanfügungen geändert. Der Assistent für die Cloudanfügung erleichtert das Aktivieren der Mandantenanfügung und anderer Cloudfeatures. Sie können einen optimierten Satz empfohlener Standardwerte auswählen, oder Ihre Features für die Cloudanfügung anpassen. Weitere Informationen zum Aktivieren der Mandantenanfügung mit dem neuen Assistenten finden Sie unter Aktivieren der Cloudanfügung.
  2. Wählen Sie im Menüband Cloudanfügung konfigurieren aus, um den Assistenten zu öffnen. Wählen Sie für Version 2103 und früher Co-Verwaltung konfigurieren aus, um den Assistenten zu öffnen.

  3. Wählen Sie auf der Onboarding-Seite AzurePublicCloud als Umgebung aus. Azure Government Cloud und Azure China 21Vianet werden nicht unterstützt.

    • Ab Version 2107 können US-Behördenkunden AzureUSGovernmentCloud auswählen.
  4. Wählen Sie Anmelden aus. Melden Sie sich mit Ihrem Global Administrator-Konto an.

  5. Stellen Sie sicher, dass die Option Microsoft Endpoint Manager Admin Center aktivieren auf der Seite Cloudanfügung ausgewählt ist. Für Version 2103 und früher wählen Sie die Option Zum Microsoft Endpoint Manager Admin Center hochladen auf der Seite Onboarding von Mandanten.

    • Wenn Sie die Co-Verwaltung gerade nicht aktivieren wollen, stellen Sie sicher, dass die Option Automatische Clientregistrierung für Co-Verwaltung aktivieren nicht aktiviert ist. Wenn Sie die Co-Verwaltung allerdings aktivieren wollen, aktivieren Sie diese Option.
    • Wenn Sie die Co-Verwaltung zusammen mit dem Upload von Geräten aktivieren, werden im Assistenten weitere Seiten zum Ausfüllen angezeigt. Weitere Informationen finden Sie unter Aktivieren der Co-Verwaltung.

    Assistent zum Konfigurieren der Co-Verwaltung

  6. Wählen Sie Weiter und dann Ja aus, um die Benachrichtigung AAD-Anwendung erstellen zu akzeptieren. Durch diese Aktion wird ein Dienstprinzipal bereitgestellt und eine Azure AD-Anwendungsregistrierung erstellt, um das Synchronisieren zu vereinfachen.

  7. Wählen Sie auf der Seite Upload konfigurieren die empfohlene Einstellung für den Geräteupload für Alle meine Geräte, die von Microsoft Endpoint Configuration Manager verwaltet werden aus. Falls benötigt, können Sie das Hochladen auf eine einzelne Gerätesammlung beschränken.

    • Wenn eine einzelne Sammlung ausgewählt wird, werden die untergeordneten Sammlungen ebenfalls hochgeladen.
  8. Die Option Endpoint Analytics für Geräte aktivieren überprüfen, die in Microsoft Endpoint Manager hochgeladen werden, wenn Sie auch Einblicke erhalten möchten, um die Endbenutzererfahrung in Endpoint Analytics zu optimieren.

  9. Wählen Sie Zusammenfassung aus, um Ihre Auswahl zu überprüfen, und klicken Sie dann auf Weiter.

  10. Wenn der Assistent abgeschlossen ist, wählen Sie Schließenaus.

Bereichstags

An den Mandanten angefügte Geräte erhalten das Standardbereichstag von Microsoft Intune. Wenn Sie das Standardbereichstag von einem an einen Mandanten angefügten Gerät entfernen, wird das Gerät gar nicht im Microsoft Endpoint Manager Admin Center angezeigt. Derzeit können an Mandanten angefügte Geräte keine bereichsbezogenen Tags zugewiesen werden, im Gegensatz zu Co-verwalteten Geräten.

Manchmal sollen bestimmte Intune-Rollen jedoch nicht an den Mandanten angefügte Geräte anzeigen. Beispielsweise möchten Sie vielleicht nicht, dass eine Person mit der Rolle Helpdeskoperator von Intune an Mandanten angefügte Geräte angezeigt bekommt, da es sich um Server handelt. Erstellen oder verwenden Sie in diesen Fällen eine benutzerdefinierte Rolle in Intune, in der Standard nicht für die Bereichsmarkierungen aufgeführt ist. Beachten Sie beim Erstellen benutzerdefinierter Intune-Rollen, dass das Standardbereichstag automatisch zu allen nicht markierten Objekten hinzugefügt wird.

Durchführen von Geräteaktionen

  1. Navigieren Sie in einem Browser zu endpoint.microsoft.com.

  2. Klicken Sie auf Geräte und dann auf Alle Geräte, um die hochgeladenen Geräte anzuzeigen. Sie werden sehen, dass in der Spalte Verwaltet von für die hochgeladenen Geräte ConfigMgr angegeben ist. Alle Geräte im Microsoft Endpoint Manager Admin Center

  3. Wählen Sie ein Gerät aus, um die Seite Übersicht dafür aufzurufen.

  4. Wählen Sie eine der folgenden Aktionen aus:

    • Computerrichtlinie synchronisieren
    • Benutzerrichtlinie synchronisieren
    • App-Evaluierungszyklus

    Geräteübersicht im Microsoft Endpoint Manager Admin Center

Anzeigen des Configuration Manager-Connectorstatus über die Verwaltungskonsole

Über das Microsoft Endpoint Manager Admin Center können Sie den Status Ihres Configuration Manager-Connectors überprüfen. Um den Connectorstatus anzuzeigen, wechseln Sie zu Mandantenverwaltung>Connectors und Token>Microsoft Endpoint Configuration Manager. Wählen Sie eine Configuration Manager-Hierarchie aus, um zusätzliche Informationen darüber anzuzeigen.

Microsoft Endpoint Configuration Manager-Connector in das Admin Center

Offboard von Mandantenanfügung

Wir wissen zwar, dass Kunden einen enormen Nutzen erhalten, indem Sie das Anfügen von Mandanten aktivieren, es gibt jedoch selten Fälle, in denen Sie möglicherweise ein Offboard einer Hierarchie benötigen. Sie können das Offboarding entweder über die Configuration Manager-Konsole (empfohlene Methode) oder über das Microsoft Endpoint Manager Admin Center ausführen.

Offboarding über die Configuration Manager-Konsole durchführen

Wenn die Mandantenanfügung bereits aktiviert ist, bearbeiten Sie die Co-Verwaltungseigenschaften, um das Hochladen und Offboarding von Geräten zu deaktivieren.

  1. Navigieren Sie in der Configuration Manager-Administratorkonsole zu Verwaltung>Übersicht>Clouddienste>Cloudanfügung.
    • Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.
  2. Wählen Sie im Menüband Eigenschaften für Ihre Co-Verwaltung-Produktionsrichtlinie aus.
  3. Entfernen Sie in der Registerkarte Upload konfigurieren die Auswahl Upload ins Microsoft Endpoint Manager Admin Center.
  4. Wählen Sie Anwenden aus.

Offboarding aus dem Microsoft Endpoint Manager Admin Center

Bei Bedarf können Sie eine Configuration Manager-Hierarchie aus dem Microsoft Endpoint Manager Admin Center offboarden. Beispielsweise müssen Sie nach einem Notfallwiederherstellungsszenario, in dem die lokale Umgebung entfernt wurde, u. U. ein Offboarding aus dem Admin Center durchführen. Führen Sie die folgenden Schritte aus, um ihre Konfigurations-Manager-Hierarchie aus dem Microsoft Endpoint Manager Admin Center zu entfernen:

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an.
  2. Wählen Sie Mandantenverwaltung und dann Connectors und Tokens aus.
  3. Wählen sie Microsoft Endpoint Configuration Manager aus.
  4. Wählen Sie den Namen des Standorts für das Offboarding aus und wählen Sie dann Löschen aus.
    • Der Connector kann als Unknown aufgeführt werden, wenn die Standortinformationen fehlen.

Wenn Sie eine Hierarchie aus dem Admin Center offboarden, kann es bis zu zwei Stunden dauern, bis sie aus dem Microsoft Endpoint Manager Admin Center entfernt wird. Wenn Sie eine online und fehlerfreie Website des Configuration Manager 2103 oder höher offboarden, kann der Vorgang nur einige Minuten dauern.

Hinweis

Wenn Sie benutzerdefinierte RBAC-Rollen mit Intuneverwenden, müssen Sie die Berechtigung Organisation>Löschen zum Offboarding einer Hierarchie gewähren.

Importieren einer zuvor erstellten Azure AD-Anwendung (optional)

Bei einem neuen Onboarding kann ein Administrator beim Onboarding in die Mandantenanfügung eine zuvor erstellte Anwendung angeben. Azure AD-Anwendungen dürfen nicht über mehrere Hierarchien hinweg freigegeben oder wiederverwendet werden. Wenn Sie über mehrere Hierarchien verfügen, erstellen Sie jeweils separate Azure AD-Anwendungen.

Wählen Sie auf der Onboarding-Seite im Konfigurations-Assistenten für die Cloudanfügung (Konfigurations-Assistent für die Co-Verwaltung in den Versionen 2103 und früher) Optional eine separate Web-App importieren, um Configuration Manager-Clientdaten mit Microsoft Endpoint Manager Admin Center zu synchronisieren. Diese Option fordert Sie auf, die folgenden Informationen für Ihre Azure AD-App anzugeben:

  • Name des Azure AD-Mandanten
  • Azure AD-Mandanten-ID
  • Name der Anwendung
  • Client-ID
  • Geheimer Schlüssel
  • Ablauf des geheimen Schlüssels
  • App-ID-URI

Wichtig

  • Der App ID-URI muss eines der folgenden Formate verwenden:

    • api://{tenantId}/{string}, zum Beispiel api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, zum Beispiel https://contoso.onmicrosoft.com/ConfigMgrService

    Weitere Informationen zum Erstellen einer Azure AD-App finden Sie unter Konfigurieren von Azure-Diensten.

  • Wenn Sie eine importierte Azure AD-App verwenden, werden Sie nicht über Benachrichtigungen in der Konsole über anstehende Ablaufdaten benachrichtigt.

Azure AD-Anwendungsberechtigungen und -konfiguration

Die Verwendung einer zuvor erstellten Anwendung während des Onboardings für die Mandantenanfügung erfordert die folgenden Berechtigungen:

Nächste Schritte