Oktatóanyag: Megosztott kezelés engedélyezése meglévő Configuration Manager-ügyfeleken

A megosztott kezeléssel megtarthatja a jól bevált folyamatokat, hogy a Configuration Managerrel felügyelhesse a szervezet számítógépeit. Ugyanakkor az Intune biztonságra és modern üzembe helyezésre való használatával a felhőbe fektet.

Ebben az oktatóanyagban a Configuration Managerben már regisztrált Windows 10 vagy újabb rendszerű eszközök együttes kezelését állítja be. Ez az oktatóanyag azzal a feltevéssel kezdődik, hogy már használja a Configuration Managert a Windows 10 vagy újabb rendszerű eszközök kezelésére.

Ezt az oktatóanyagot a következő esetekben használhatja:

• Rendelkezik egy helyszíni Active Directoryval, amely hibrid Microsoft Entra-konfigurációban csatlakozhat a Microsoft Entra-azonosítóhoz.

  Ha nem tud olyan hibrid Microsoft Entra-azonosítót üzembe helyezni, amely a helyszíni AD-t a Microsoft Entra ID azonosítóval csatlakoztatja, javasoljuk, hogy kövesse a társfelügyelet engedélyezése új, internetes Windows 10-alapú vagy újabb eszközökön című útmutatót.

• Meglévő Configuration Manager-ügyfelekkel rendelkezik, amelyeket felhőhöz szeretne csatolni.

Ebben az oktatóanyagban a következőket fogja végezni:

• Az Azure és a helyszíni környezet előfeltételeinek áttekintése
• Hibrid Microsoft Entra-azonosító beállítása
• A Configuration Manager ügyfélügynökeinek konfigurálása a Microsoft Entra-azonosítóval való regisztrációhoz
• Az Intune konfigurálása az eszközök automatikus regisztrálásához
• A megosztott kezelés engedélyezése a Configuration Managerben

Előfeltételek

Azure-szolgáltatások és -környezet

• Azure-előfizetés (ingyenes próbaverzió)

• Microsoft Entra ID P1 vagy P2

• Microsoft Intune-előfizetés

  Tipp

  Az Enterprise Mobility + Security (EMS) előfizetés a Microsoft Entra ID P1 vagy P2 azonosítót és a Microsoft Intune-t is tartalmazza. EMS-előfizetés (ingyenes próbaverzió).

Ha még nincs jelen a környezetben, ebben az oktatóanyagban konfigurálja a Microsoft Entra Connectet a helyszíni Active Directory és a Microsoft Entra-bérlő között.

Megjegyzés:

A megosztott kezelés nem támogatja a csak a Microsoft Entra-azonosítóval regisztrált eszközöket. Ezt a konfigurációt munkahelyhez csatlakoztatottnak is nevezik. A microsoftos Entra-azonosítóhoz vagy a Hibrid Microsoft Entra-hoz kell csatlakozniuk. További információ: Eszközök kezelése a Microsoft Entra regisztrált állapotával.

Helyszíni infrastruktúra

• A Configuration Manager aktuális ágának támogatott verziója
• A mobileszköz-felügyeleti (MDM) szolgáltatót Intune-ra kell állítani.

Engedélyek

Az oktatóanyag során a következő engedélyekkel végezheti el a feladatokat:

• Tartományi rendszergazdai fiók a helyszíni infrastruktúrában
• Egy fiók, amely teljes körű rendszergazda a Configuration Manager összes hatóköréhez
• Globális rendszergazdai fiók a Microsoft Entra-azonosítóban
  • Győződjön meg arról, hogy hozzárendelt egy Intune-licencet ahhoz a fiókhoz, amellyel bejelentkezik a bérlőbe. Ellenkező esetben a bejelentkezés sikertelen, és a következő hibaüzenet jelenik meg: Váratlan hiba történt.

Hibrid Microsoft Entra-azonosító beállítása

Amikor hibrid Microsoft Entra-azonosítót állít be, valójában egy helyszíni AD és a Microsoft Entra ID integrációját állítja be a Microsoft Entra Connect és az Active Directory összevont szolgáltatások (ADFS) használatával. A sikeres konfigurálással a dolgozók zökkenőmentesen jelentkezhetnek be a külső rendszerekbe a helyszíni AD-beli hitelesítő adataikkal.

Fontos

Ez az oktatóanyag részletesen bemutatja a hibrid Microsoft Entra-azonosító felügyelt tartományhoz való beállításának folyamatát. Javasoljuk, hogy ismerje meg a folyamatot, és ne támaszkodjon erre az oktatóanyagra a hibrid Microsoft Entra-azonosító megismeréséhez és üzembe helyezéséhez.

A hibrid Microsoft Entra-azonosítóról a Microsoft Entra dokumentációjának alábbi cikkeiben talál további információt:

• A Microsoft Entra-csatlakozás implementálásának megtervezve
• A Microsoft Entra hibrid csatlakozás implementálásának megtervezve
• Az eszközök Microsoft Entra hibrid csatlakoztatásának vezérlése
• A Microsoft Entra hibrid csatlakoztatásának konfigurálása összevont tartományokhoz

A Microsoft Entra Connect beállítása

A hibrid Microsoft Entra-azonosítóhoz a Microsoft Entra Connect konfigurálására van szükség, hogy a számítógépfiókok szinkronban maradjanak a helyszíni Active Directoryban (AD) és az eszközobjektumban a Microsoft Entra ID-ban.

Az 1.1.819.0-s verziótól kezdve a Microsoft Entra Connect egy varázslót biztosít a Microsoft Entra hibrid csatlakoztatásának konfigurálásához. A varázsló használata leegyszerűsíti a konfigurációs folyamatot.

A Microsoft Entra Connect konfigurálásához globális rendszergazdai hitelesítő adatokra van szükség a Microsoft Entra-azonosítóhoz. Az alábbi eljárás nem tekinthető mérvadónak a Microsoft Entra Connect beállításához, de itt érhető el, hogy megkönnyítse az Intune és a Configuration Manager közötti közös felügyelet konfigurálását. Az ezzel kapcsolatos mérvadó tartalomért és a Microsoft Entra-azonosító beállításának kapcsolódó eljárásaiért lásd: A Microsoft Entra hibrid csatlakoztatásának konfigurálása felügyelt tartományokhoz a Microsoft Entra dokumentációjában.

Hibrid Microsoft Entra-csatlakozás konfigurálása a Microsoft Entra Connect használatával

1. Szerezze be és telepítse a Microsoft Entra Connect legújabb verzióját (1.1.819.0 vagy újabb).

2. Indítsa el a Microsoft Entra Connectet, majd válassza a Konfigurálás lehetőséget.

3. A További feladatok lapon válassza az Eszközbeállítások konfigurálása, majd a Tovább lehetőséget.

4. Az Áttekintés lapon válassza a Tovább gombot.

5. A Csatlakozás a Microsoft Entra-azonosítóhoz lapon adja meg a Microsoft Entra ID globális rendszergazdájának hitelesítő adatait.

6. Az Eszközbeállítások lapon válassza a Microsoft Entra hibrid csatlakoztatásának konfigurálása, majd a Tovább lehetőséget.

7. Az Eszköz operációs rendszerek lapon válassza ki az Active Directory-környezetben lévő eszközök által használt operációs rendszereket, majd kattintson a Tovább gombra.

   Választhatja a Windows régebbi tartományhoz csatlakoztatott eszközök támogatásának lehetőségét, de ne feledje, hogy az eszközök együttes kezelése csak Windows 10 vagy újabb rendszereken támogatott.

8. Az SCP oldalon minden olyan helyszíni erdő esetében, amelyet a Microsoft Entra Connectnek konfigurálnia kell a szolgáltatáskapcsolódási pont (SCP) konfigurálásához, hajtsa végre a következő lépéseket, majd válassza a Tovább gombot:

   1. Válassza ki az erdőt.
   2. Válassza ki a hitelesítési szolgáltatást. Ha összevont tartománnyal rendelkezik, válassza az AD FS-kiszolgálót, kivéve, ha a szervezet kizárólag Windows 10 vagy újabb rendszerű ügyfelekkel rendelkezik, és konfigurálta a számítógép/eszköz szinkronizálását, vagy a szervezet a SeamlessSSO-t használja.
   3. Kattintson a Hozzáadás gombra a vállalati rendszergazdai hitelesítő adatok megadásához.

9. Ha rendelkezik felügyelt tartománnyal, hagyja ki ezt a lépést.

   Az Összevonási konfiguráció lapon adja meg az AD FS-rendszergazda hitelesítő adatait, majd válassza a Tovább gombot.

10. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.

11. A Konfiguráció befejeződött lapon válassza a Kilépés lehetőséget.

Ha problémákat tapasztal a Microsoft Entra hibrid csatlakoztatásának a tartományhoz csatlakoztatott Windows-eszközökhöz való elvégzésével kapcsolatban, tekintse meg a Microsoft Entra hibrid csatlakoztatásának hibaelhárítása windowsos eszközökhöz című témakört.

Ügyfélbeállítások konfigurálása az ügyfelek Microsoft Entra-azonosítóval való regisztrálásának irányításához

Az Ügyfélbeállítások segítségével konfigurálhatja a Configuration Manager-ügyfeleket, hogy automatikusan regisztráljanak a Microsoft Entra-azonosítóval.

1. Nyissa meg a Configuration Manager-konzol>Felügyeleti>áttekintő>ügyfélbeállításai lapot, majd szerkessze az alapértelmezett ügyfélbeállításokat.

2. Válassza a Cloud Services lehetőséget.

3. Az Alapértelmezett beállítások lapon állítsa az Új Windows 10-tartományhoz csatlakoztatott eszközök automatikus regisztrálása a Microsoft Entra-azonosítóval beállítást az = Igen értékre.

4. A konfiguráció mentéséhez kattintson az OK gombra .

Eszközök automatikus regisztrálásának konfigurálása az Intune-ban

Ezután beállítjuk az eszközök automatikus regisztrálását az Intune-nal. Az automatikus regisztrációval a Configuration Managerrel felügyelt eszközök automatikusan regisztrálnak az Intune-ban.

Az automatikus regisztráció lehetővé teszi, hogy a felhasználók Windows 10-et vagy újabb rendszerű eszközeiket regisztrálják az Intune-ban. Az eszközök akkor regisztrálnak, ha egy felhasználó felveszi a munkahelyi fiókját a személyes tulajdonú eszközére, vagy amikor egy vállalati tulajdonú eszköz csatlakozik a Microsoft Entra-azonosítóhoz.

1. Jelentkezzen be az Azure Portalra , és válassza a Microsoft Entra ID>Mobility (MDM és MAM)>Microsoft Intune lehetőséget.

2. Konfigurálja az MDM felhasználói hatókörét. Adja meg az alábbiak egyikét annak konfigurálásához, hogy mely felhasználók eszközeit kezeli a Microsoft Intune, és fogadja el az URL-értékek alapértelmezett értékeit.

   • Néhány: Válassza ki azokat a csoportokat , amelyek automatikusan regisztrálhatják a Windows 10-et vagy újabb rendszerű eszközeiket

   • Minden: Minden felhasználó automatikusan regisztrálhatja a Windows 10-et vagy újabb rendszerű eszközeit

   • Nincs: Az MDM automatikus regisztrációjának letiltása

   Fontos

   Ha a MAM felhasználói hatókör és az automatikus MDM-regisztráció (MDM felhasználói hatókör) is engedélyezve van egy csoportban, csak a MAM van engedélyezve. Csak a mobilalkalmazás-kezelés (MAM) lesz hozzáadva az adott csoportban lévő felhasználókhoz, amikor a munkahelyük csatlakozik a személyes eszközhöz. Az eszközök nem lesznek automatikusan regisztrálva az MDM-ben.

   Ha a Configuration Manager eszközregisztrációra van beállítva az Intune-ban, akkor is módosítania kell az eszközjogkivonatok regisztrálásának MDM-felhasználói hatókörét. A Configuration Manager a helyadatbázisban tárolt MDM URL-címekkel ellenőrzi, hogy az ügyfél a várt Intune-bérlőhöz tartozik-e.

3. Az automatikus regisztráció konfigurálásának befejezéséhez válassza a Mentés lehetőséget.

4. Térjen vissza a mobilitáshoz (MDM és MAM), majd válassza a Microsoft Intune-regisztráció lehetőséget.

   Megjegyzés:

   Előfordulhat, hogy egyes bérlők nem rendelkeznek ezekkel a beállításokkal.

   A Microsoft Intune segítségével konfigurálhatja az MDM-alkalmazást a Microsoft Entra ID azonosítóhoz. A Microsoft Intune-regisztráció egy adott Microsoft Entra-alkalmazás, amely akkor jön létre, ha többtényezős hitelesítési szabályzatokat alkalmaz az iOS- és Android-regisztrációhoz. További információ: Többtényezős hitelesítés megkövetelése az Intune-eszközregisztrációkhoz.

5. Az MDM felhasználói hatóköreként válassza az Összes lehetőséget, majd a Mentés lehetőséget.

A megosztott kezelés engedélyezése a Configuration Managerben

A hibrid Microsoft Entra beállítási és Configuration Manager-ügyfélkonfigurációinak köszönhetően készen áll arra, hogy megfordítsa a kapcsolót, és lehetővé tegye a Windows 10-es vagy újabb rendszerű eszközök közös felügyeletét. A Próbacsoport kifejezés a közös felügyeleti funkció és a konfigurációs párbeszédpanelek során használatos. A próbacsoport a Configuration Manager-eszközök egy részhalmazát tartalmazó gyűjtemény. Használjon próbacsoportot a kezdeti teszteléshez, szükség szerint adjon hozzá eszközöket, amíg készen nem áll az összes Configuration Manager-eszköz számítási feladatainak áthelyezésére. Nincs időkorlát arra vonatkozóan, hogy egy próbacsoport mennyi ideig használható a számítási feladatokhoz. A próbacsoport határozatlan ideig használható, ha nem szeretné áthelyezni a számítási feladatot az összes Configuration Manager-eszközre.

Ha engedélyezi a közös felügyeletet, próbacsoportként rendel hozzá egy gyűjteményt. Ez egy olyan csoport, amely kevés ügyfelet tartalmaz a megosztott felügyeleti konfigurációk teszteléséhez. Javasoljuk, hogy az eljárás megkezdése előtt hozzon létre egy megfelelő gyűjteményt. Ezt követően anélkül választhatja ki ezt a gyűjteményt, hogy kilép az eljárásból. Előfordulhat, hogy több gyűjteményre van szüksége, mivel minden számítási feladathoz más próbacsoportot rendelhet hozzá.

Megjegyzés:

Mivel az eszközök a Microsoft Entra eszköztokenje alapján vannak regisztrálva a Microsoft Intune szolgáltatásban, és nem felhasználói jogkivonat alapján, csak az intune-regisztráció alapértelmezett korlátozása lesz érvényes a regisztrációra.

A megosztott kezelés engedélyezése a 2111-s és újabb verziókhoz

A Configuration Manager 2111-es verziójától kezdve megváltozott a közös felügyelet előkészítési felülete. A Felhő csatolása konfigurációs varázsló megkönnyíti a megosztott felügyelet és más felhőfunkciók engedélyezését. Választhatja az ajánlott alapértelmezett beállítások egyszerűsített készletét, vagy testre szabhatja a felhő csatolási funkcióit. Emellett egy új beépített eszközgyűjtemény is elérhető a közös felügyeletre jogosult eszközökhöz , amelyek segítenek azonosítani az ügyfeleket. További információ a megosztott kezelés engedélyezéséről: Felhő csatolásának engedélyezése.

Megjegyzés:

Az új varázslóval nem helyezheti át a számítási feladatokat a megosztott kezelés engedélyezésével egyidejűleg. A számítási feladatok áthelyezéséhez a felhőalapú csatolás engedélyezése után szerkesztheti a társfelügyeleti tulajdonságokat.

A megosztott kezelés engedélyezése a 2107-ben és a korábbi verziókban

A megosztott kezelés engedélyezésekor használhatja az Azure nyilvános felhőt, az Azure Government-felhőt vagy az Azure China 21Vianet-felhőt (a 2006-os verzióban). A megosztott kezelés engedélyezéséhez kövesse az alábbi utasításokat:

1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Cloud Services elemet, és válassza a Felhő csatolása csomópontot. A menüszalagon válassza a Felhő csatolásának konfigurálása lehetőséget a Felhő csatolása konfigurációs varázsló megnyitásához.

   A 2103-es és korábbi verziók esetében bontsa ki a Cloud Services elemet, és válassza a Közös felügyelet csomópontot. Válassza a menüszalag Megosztott kezelés konfigurálása elemét a Közös felügyelet konfigurálása varázsló megnyitásához.

2. A varázsló előkészítési lapján azure-környezet esetén válasszon az alábbi környezetek közül:

   • Nyilvános Azure-felhő

   • Azure Government-felhő

   • Azure China cloud (hozzáadva a 2006-os verzióban)

     Megjegyzés:

     Frissítse a Configuration Manager-ügyfelet az eszközei legújabb verziójára, mielőtt regisztrál az Azure China-felhőre.

   Ha az Azure China-felhőt vagy az Azure Government-felhőt választja, a Bérlő csatolása a Microsoft Endpoint Manager felügyeleti központba lehetőség le van tiltva.

3. Válassza a Bejelentkezés lehetőséget. Jelentkezzen be Microsoft Entra globális rendszergazdaként, majd válassza a Tovább gombot. Ezt a varázslót csak egyszer kell bejelentkeznie. A hitelesítő adatokat a rendszer nem tárolja és nem használja fel újra máshol.

4. Az Engedélyezés lapon válassza a következő beállításokat:

   • Automatikus regisztráció az Intune-ban: Engedélyezi az automatikus ügyfélregisztrációt az Intune-ban a meglévő Configuration Manager-ügyfelek számára. Ezzel a beállítással engedélyezheti a megosztott felügyeletet az ügyfelek egy részhalmazán, hogy először tesztelje a megosztott felügyeletet, majd szakaszos megközelítéssel vezesse be a közös felügyeletet. Ha a felhasználó törli az eszköz regisztrációját, az eszköz újra regisztrálva lesz a szabályzat következő kiértékelésekor.

     • Próbaüzem: Csak azok a Configuration Manager-ügyfelek lesznek automatikusan regisztrálva az Intune-ban, amelyek az Intune automatikus regisztrációjának tagjai.
     • Mind: Engedélyezze az automatikus regisztrációt a Windows 10 1709-es vagy újabb verzióját futtató összes ügyfél számára.
     • Nincs: Tiltsa le az automatikus regisztrációt az összes ügyfélnél.

   • Intune automatikus regisztráció: Ennek a gyűjteménynek tartalmaznia kell az összes olyan ügyfelet, amelyet elő szeretne készíteni a közös felügyeletbe. Ez lényegében az összes többi előkészítési gyűjtemény szuperhalmaza.

   

   Az automatikus regisztráció nem minden ügyfél számára azonnali. Ez a viselkedés segít a nagy méretű környezetek regisztrációjának jobb méretezésében. A Configuration Manager véletlenszerűen jeleníti meg a regisztrációt az ügyfelek száma alapján. Ha például a környezet 100 000 ügyféllel rendelkezik, a beállítás engedélyezésekor a regisztráció több napon keresztül történik.

   Az új, közösen felügyelt eszközök mostantól automatikusan regisztrálva lesznek a Microsoft Intune szolgáltatásban a Microsoft Entra eszköztokenje alapján. Nem kell megvárnia, amíg egy felhasználó bejelentkezik az eszközre, hogy elinduljon az automatikus regisztráció. Ez a módosítás segít csökkenteni a regisztrációs állapotú eszközök számát Függőben lévő felhasználói bejelentkezés állapotban. Ennek a viselkedésnek a támogatásához az eszközön a Windows 10 1803-es vagy újabb verziójának kell futnia. További információ: Együttes felügyeleti regisztráció állapota.

   Ha az eszközök már regisztrálva vannak a megosztott kezelésben, az új eszközök azonnal regisztrálva lesznek, miután megfelelnek az előfeltételeknek.

5. Az Intune-ban már regisztrált internetes eszközök esetén másolja és mentse a parancsot az Engedélyezés lapon. Ezzel a paranccsal telepítheti a Configuration Manager-ügyfelet alkalmazásként az Intune-ban internetes eszközökhöz. Ha most nem menti ezt a parancsot, bármikor áttekintheti a megosztott felügyeleti konfigurációt a parancs beszerzéséhez.

   Tipp

   A parancs csak akkor jelenik meg, ha teljesítette az összes előfeltételt, például egy felhőfelügyeleti átjáró beállítását.

6. A Számítási feladatok lapon minden számítási feladathoz válassza ki, hogy melyik eszközcsoportot szeretné áthelyezni az Intune-nal való felügyelethez. További információ: Számítási feladatok.

   Ha csak a megosztott felügyeletet szeretné engedélyezni, most nem kell váltania a számítási feladatok között. A számítási feladatokat később is átállíthatja. További információ: Számítási feladatok váltása.

   • Próba intune: A társított számítási feladatot csak az előkészítési oldalon megadott kísérleti gyűjteményekben lévő eszközökre kapcsolja át. Minden számítási feladathoz más próbagyűjtemény tartozhat.
   • Intune: Az összes közösen felügyelt Windows 10 vagy újabb rendszerű eszköz társított számítási feladatainak váltása.

   Fontos

   A számítási feladatok közötti váltás előtt győződjön meg arról, hogy megfelelően konfigurálta és üzembe helyezi a megfelelő számítási feladatot az Intune-ban. Győződjön meg arról, hogy a számítási feladatokat mindig az eszközök egyik felügyeleti eszköze felügyeli.

7. Az Előkészítés lapon adja meg az Intune próbaüzemre beállított összes számítási feladat próbagyűjteményét.

   

8. A közös felügyelet engedélyezéséhez végezze el a varázslót.

Következő lépések

• A közösen felügyelt eszközök állapotának áttekintése a Közös felügyelet irányítópulton
• Azonnali érték lekérése a megosztott kezelésből
• Feltételes hozzáférés és Az Intune megfelelőségi szabályainak használata a vállalati erőforrásokhoz való felhasználói hozzáférés kezeléséhez