Oktatóanyag: Megosztott kezelés engedélyezése meglévő Configuration Manager-ügyfelek számára

A közös felügyelettel megőrizheti a jól bevált folyamatokat, hogy a Configuration Manager segítségével felügyelhesse a szervezet számítógépeit. Ugyanakkor a felhőbe a Intune használatával fektet be a biztonság és a modern kiépítés érdekében.

Ebben az oktatóanyagban a Configuration Manager már regisztrált Windows 10 vagy újabb eszközeinek együttes kezelését állítja be. Ez az oktatóanyag azzal a feltevéssel kezdődik, hogy már használja a Configuration Manager a Windows 10 vagy újabb eszközök kezelésére.

Ezt az oktatóanyagot a következő esetekben használhatja:

  • Rendelkezik egy helyi Active Directory, amely hibrid Microsoft Entra konfigurációban csatlakozhat Microsoft Entra ID.

    Ha nem tud olyan hibrid Microsoft Entra ID üzembe helyezni, amely a helyszíni AD-hez csatlakozik Microsoft Entra ID, javasoljuk, hogy kövesse a társfelügyelet engedélyezése új, internetes Windows 10 vagy újabb eszközökhöz című útmutatót.

  • Meglévő Configuration Manager ügyfelekkel rendelkezik, amelyeket felhőhöz szeretne csatolni.

Ebben az oktatóanyagban a következőket fogja végezni:

  • Az Azure és a helyszíni környezet előfeltételeinek áttekintése
  • Hibrid Microsoft Entra ID beállítása
  • Ügyfélügynökök konfigurálása Configuration Manager Microsoft Entra ID
  • Intune konfigurálása az eszközök automatikus regisztrálásához
  • A megosztott kezelés engedélyezése Configuration Manager

Előfeltételek

Azure-szolgáltatások és -környezet

  • Azure-előfizetés (ingyenes próbaverzió)

  • Microsoft Entra ID P1 vagy P2

  • Microsoft Intune-előfizetés

    Tipp

    A Enterprise Mobility + Security (EMS) előfizetés magában foglalja Microsoft Entra ID P1 vagy P2 és Microsoft Intune is. EMS-előfizetés (ingyenes próbaverzió).

Ha még nincs jelen a környezetben, ebben az oktatóanyagban konfigurálnia kell a Microsoft Entra Connectet a helyi Active Directory és a Microsoft Entra-bérlő között.

Megjegyzés:

A csak Microsoft Entra ID regisztrált eszközök nem támogatottak a közös felügyelettel. Ezt a konfigurációt munkahelyhez csatlakoztatottnak is nevezik. A hibrid csatlakozáshoz Microsoft Entra ID vagy Microsoft Entra kell csatlakozniuk. További információ: Microsoft Entra regisztrált állapotú eszközök kezelése.

Helyszíni infrastruktúra

  • Az aktuális ág Configuration Manager támogatott verziója
  • A mobileszköz-kezelési (MDM) szolgáltatót Intune kell beállítani.

Engedélyek

Az oktatóanyag során a következő engedélyekkel végezheti el a feladatokat:

  • Tartományi rendszergazdai fiók a helyszíni infrastruktúrában
  • Egy fiók, amely teljes körű rendszergazda a Configuration Manager összes hatóköréhez
  • Globális rendszergazdai fiók a Microsoft Entra ID
    • Győződjön meg arról, hogy hozzárendelt egy Intune licencet ahhoz a fiókhoz, amellyel bejelentkezik a bérlőbe. Ellenkező esetben a bejelentkezés sikertelen, és a következő hibaüzenet jelenik meg: Váratlan hiba történt.

Hibrid Microsoft Entra ID beállítása

Hibrid Microsoft Entra ID beállításakor a helyszíni AD és a Microsoft Entra ID közötti integrációt a Microsoft Entra Connect és az Active Directory összevont szolgáltatások (ADFS) használatával állítja be. A sikeres konfigurálással a dolgozók zökkenőmentesen jelentkezhetnek be a külső rendszerekbe a helyszíni AD-beli hitelesítő adataikkal.

Fontos

Ez az oktatóanyag részletesen bemutatja a hibrid Microsoft Entra ID felügyelt tartományokhoz való beállításának folyamatát. Javasoljuk, hogy ismerje meg a folyamatot, és ne támaszkodjon erre az oktatóanyagra a hibrid Microsoft Entra ID megismeréséhez és üzembe helyezéséhez.

A hibrid Microsoft Entra ID kapcsolatos további információkért kezdje a Microsoft Entra dokumentációjának alábbi cikkeivel:

A Microsoft Entra Connect beállítása

A hibrid Microsoft Entra ID a Microsoft Entra Connect konfigurálását igényli a számítógépfiókok helyi Active Directory (AD) és az eszközobjektum szinkronizálásához Microsoft Entra ID.

Az 1.1.819.0-s verziótól kezdve a Microsoft Entra Connect egy varázslóval konfigurálja Microsoft Entra hibrid csatlakozást. A varázsló használata leegyszerűsíti a konfigurációs folyamatot.

A Microsoft Entra Connect konfigurálásához a Microsoft Entra ID globális rendszergazdájának hitelesítő adataira van szükség. Az alábbi eljárás nem tekinthető mérvadónak a Microsoft Entra Connect beállításához, de a Intune és a Configuration Manager közötti megosztott kezelés konfigurálásának egyszerűsítése érdekében itt található. Az ezzel kapcsolatos mérvadó tartalmakért és a Microsoft Entra ID beállításának kapcsolódó eljárásaiért lásd: Microsoft Entra hibrid csatlakoztatás konfigurálása felügyelt tartományokhoz a Microsoft Entra dokumentációjában.

Hibrid Microsoft Entra konfigurálása a Microsoft Entra Connect használatával

  1. Szerezze be és telepítse a Microsoft Entra Connect (1.1.819.0 vagy újabb) legújabb verzióját.

  2. Indítsa el Microsoft Entra Connectet, majd válassza a Konfigurálás lehetőséget.

  3. A További feladatok lapon válassza az Eszközbeállítások konfigurálása, majd a Tovább lehetőséget.

  4. Az Áttekintés lapon válassza a Tovább gombot.

  5. A Csatlakozás Microsoft Entra ID lapon adja meg a Microsoft Entra ID globális rendszergazdájának hitelesítő adatait.

  6. Az Eszközbeállítások lapon válassza az Microsoft Entra hibrid csatlakoztatás konfigurálása, majd a Tovább lehetőséget.

  7. Az Eszköz operációs rendszerek lapon válassza ki az Active Directory-környezetben lévő eszközök által használt operációs rendszereket, majd kattintson a Tovább gombra.

    Választhatja a windowsos, nem megfelelő tartományhoz csatlakoztatott eszközök támogatását, de ne feledje, hogy az eszközök együttes kezelése csak Windows 10 vagy újabb verziókban támogatott.

  8. Az SCP lapon minden olyan helyszíni erdő esetében, amelyet Microsoft Entra Csatlakozás a szolgáltatáskapcsolódási pont (SCP) konfigurálásához, hajtsa végre a következő lépéseket, majd válassza a Tovább gombot:

    1. Válassza ki az erdőt.
    2. Válassza ki a hitelesítési szolgáltatást. Ha összevont tartománnyal rendelkezik, válassza az AD FS-kiszolgálót, kivéve, ha a szervezet kizárólag Windows 10 vagy újabb ügyfelekkel rendelkezik, és konfigurálta a számítógép/eszköz szinkronizálását, vagy a szervezet a SeamlessSSO-t használja.
    3. Kattintson a Hozzáadás gombra a vállalati rendszergazdai hitelesítő adatok megadásához.
  9. Ha rendelkezik felügyelt tartománnyal, hagyja ki ezt a lépést.

    Az Összevonási konfiguráció lapon adja meg az AD FS-rendszergazda hitelesítő adatait, majd válassza a Tovább gombot.

  10. A Konfigurálásra kész lapon válassza a Konfigurálás lehetőséget.

  11. A Konfiguráció befejeződött lapon válassza a Kilépés lehetőséget.

Ha problémákat tapasztal a tartományhoz csatlakoztatott Windows-eszközök Microsoft Entra hibrid csatlakoztatásának befejezésével kapcsolatban, tekintse meg az aktuális Windows-eszközökhöz való Microsoft Entra hibrid csatlakoztatás hibaelhárítását ismertető cikket.

Ügyfélbeállítások konfigurálása, hogy az ügyfeleket a Microsoft Entra ID

Az Ügyfélbeállítások segítségével konfigurálhatja Configuration Manager-ügyfeleket, hogy automatikusan regisztráljanak az Microsoft Entra ID.

  1. Nyissa meg a Configuration Manager konzol>Felügyeleti>áttekintés>ügyfélbeállításai lehetőséget, majd szerkessze az Alapértelmezett ügyfélbeállításokat.

  2. Válassza a Cloud Services lehetőséget.

  3. Az Alapértelmezett beállítások lapon állítsa az Új Windows 10 tartományhoz csatlakoztatott eszközök automatikus regisztrálása a következővel: Microsoft Entra ID = Igen értékre.

  4. A konfiguráció mentéséhez kattintson az OK gombra .

Eszközök automatikus regisztrációjának konfigurálása Intune

Ezután beállítjuk az eszközök automatikus regisztrációját a Intune. Az automatikus regisztrációval a Configuration Manager kezelt eszközök automatikusan regisztrálnak az Intune.

Az automatikus regisztráció azt is lehetővé teszi, hogy a felhasználók regisztrálják Windows 10 vagy újabb eszközeiket a Intune. Az eszközök akkor regisztrálnak, ha egy felhasználó felveszi a munkahelyi fiókját a személyes tulajdonú eszközére, vagy amikor egy vállalati tulajdonú eszköz csatlakozik Microsoft Entra ID.

  1. Jelentkezzen be a Azure Portal, és válassza a Microsoft Entra ID>Mobilitás (MDM és MAM)>Microsoft Intune lehetőséget.

  2. Konfigurálja az MDM felhasználói hatókörét. Adja meg az alábbiak egyikét annak konfigurálásához, hogy mely felhasználói eszközöket felügyeli Microsoft Intune, és fogadja el az URL-értékek alapértelmezett értékeit.

    • Néhány: Válassza ki azokat a csoportokat, amelyek automatikusan regisztrálhatják Windows 10 vagy újabb eszközeiket

    • Minden: Minden felhasználó automatikusan regisztrálhatja Windows 10 vagy újabb eszközeit

    • Nincs: Az MDM automatikus regisztrációjának letiltása

    Fontos

    Ha a MAM felhasználói hatókör és az automatikus MDM-regisztráció (MDM felhasználói hatókör) is engedélyezve van egy csoportban, csak a MAM van engedélyezve. Csak a mobilalkalmazás-kezelés (MAM) lesz hozzáadva az adott csoportban lévő felhasználókhoz, amikor a munkahelyük csatlakozik a személyes eszközhöz. Az eszközök nem lesznek automatikusan regisztrálva az MDM-ben.

    Ha Configuration Manager eszközregisztrációra van beállítva Intune, akkor is módosítania kell az eszközjogkivonatok regisztrálásának MDM-felhasználói hatókörét. Configuration Manager a helyadatbázisban tárolt MDM URL-címeket használja annak ellenőrzésére, hogy az ügyfél a várt Intune bérlőhöz tartozik-e.

  3. Az automatikus regisztráció konfigurálásának befejezéséhez válassza a Mentés lehetőséget.

  4. Térjen vissza a mobilitáshoz (MDM és MAM), majd válassza Microsoft Intune Regisztráció lehetőséget.

    Megjegyzés:

    Előfordulhat, hogy egyes bérlők nem rendelkeznek ezekkel a beállításokkal.

    Microsoft Intune az MDM-alkalmazás konfigurálása Microsoft Entra ID. Microsoft Intune A regisztráció egy adott Microsoft Entra alkalmazás, amely akkor jön létre, amikor többtényezős hitelesítési szabályzatokat alkalmaz az iOS- és Android-regisztrációhoz. További információ: Többtényezős hitelesítés megkövetelése Intune eszközregisztrációhoz.

  5. Az MDM felhasználói hatóköreként válassza az Összes lehetőséget, majd a Mentés lehetőséget.

A megosztott kezelés engedélyezése Configuration Manager

A hibrid Microsoft Entra beállításával és Configuration Manager ügyfélkonfigurációkkal készen áll arra, hogy tükrözhesse a kapcsolót, és lehetővé tegye a Windows 10 vagy újabb eszközök együttes felügyeletét. A Próbacsoport kifejezés a közös felügyeleti funkció és a konfigurációs párbeszédpanelek során használatos. A próbacsoport az Configuration Manager-eszközök egy részhalmazát tartalmazó gyűjtemény. Használjon próbacsoportot a kezdeti teszteléshez, és szükség szerint adjon hozzá eszközöket, amíg készen nem áll az összes Configuration Manager eszköz számítási feladatainak áthelyezésére. Nincs időkorlát arra vonatkozóan, hogy egy próbacsoport mennyi ideig használható a számítási feladatokhoz. A próbacsoport korlátlan ideig használható, ha nem szeretné áthelyezni a számítási feladatot az összes Configuration Manager eszközre.

Ha engedélyezi a közös felügyeletet, próbacsoportként rendel hozzá egy gyűjteményt. Ez egy olyan csoport, amely kevés ügyfelet tartalmaz a megosztott felügyeleti konfigurációk teszteléséhez. Javasoljuk, hogy az eljárás megkezdése előtt hozzon létre egy megfelelő gyűjteményt. Ezt követően anélkül választhatja ki ezt a gyűjteményt, hogy kilép az eljárásból. Előfordulhat, hogy több gyűjteményre van szüksége, mivel minden számítási feladathoz más próbacsoportot rendelhet hozzá.

Megjegyzés:

Mivel az eszközök a Microsoft Intune szolgáltatásban a Microsoft Entra eszközjogkivonata alapján vannak regisztrálva, és nem felhasználói jogkivonat alapján, csak az alapértelmezett Intune regisztrációs korlátozás vonatkozik a regisztrációra.

A megosztott kezelés engedélyezése a 2111-s és újabb verziókhoz

Configuration Manager 2111-es verziójától kezdve megváltozott a közös felügyelet bevezetése. A Felhő csatolása konfigurációs varázsló megkönnyíti a megosztott felügyelet és más felhőfunkciók engedélyezését. Választhatja az ajánlott alapértelmezett beállítások egyszerűsített készletét, vagy testre szabhatja a felhő csatolási funkcióit. Emellett egy új beépített eszközgyűjtemény is elérhető a közös felügyeletre jogosult eszközökhöz , amelyek segítenek azonosítani az ügyfeleket. További információ a megosztott kezelés engedélyezéséről: Felhő csatolásának engedélyezése.

Megjegyzés:

Az új varázslóval nem helyezheti át a számítási feladatokat a megosztott kezelés engedélyezésével egyidejűleg. A számítási feladatok áthelyezéséhez a felhőalapú csatolás engedélyezése után szerkesztheti a társfelügyeleti tulajdonságokat.

A megosztott kezelés engedélyezése a 2107-ben és a korábbi verziókban

A megosztott felügyelet engedélyezésekor használhatja az Azure nyilvános felhőt, Azure Government felhőt vagy az Azure China 21Vianet felhőt (a 2006-os verzióban). A megosztott kezelés engedélyezéséhez kövesse az alábbi utasításokat:

  1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Cloud Services, majd válassza a Felhő csatolása csomópontot. A menüszalagon válassza a Felhő csatolásának konfigurálása lehetőséget a Felhő csatolása konfigurációs varázsló megnyitásához.

    A 2103-es és korábbi verziók esetében bontsa ki a Cloud Services elemet, és válassza a Közös felügyelet csomópontot. Válassza a menüszalag Megosztott kezelés konfigurálása elemét a Közös felügyelet konfigurálása varázsló megnyitásához.

  2. A varázsló előkészítési lapján azure-környezet esetén válasszon az alábbi környezetek közül:

    • Nyilvános Azure-felhő

    • Azure Government felhő

    • Azure China cloud (hozzáadva a 2006-os verzióban)

      Megjegyzés:

      Frissítse az Configuration Manager-ügyfelet az eszközei legújabb verziójára, mielőtt regisztrál az Azure China-felhőre.

    Amikor kiválasztja az Azure China-felhőt vagy Azure Government felhőt, a Bérlő csatolása a Microsoft Endpoint Manager felügyeleti központba lehetőség le van tiltva.

  3. Válassza a Bejelentkezés lehetőséget. Jelentkezzen be Microsoft Entra globális rendszergazdaként, majd válassza a Tovább gombot. Ezt a varázslót csak egyszer kell bejelentkeznie. A hitelesítő adatokat a rendszer nem tárolja és nem használja fel újra máshol.

  4. Az Engedélyezés lapon válassza a következő beállításokat:

    • Automatikus regisztráció a Intune-ben: Engedélyezi az automatikus ügyfélregisztrációt a Intune-ben a meglévő Configuration Manager-ügyfelek számára. Ezzel a beállítással engedélyezheti a megosztott felügyeletet az ügyfelek egy részhalmazán, hogy először tesztelje a megosztott felügyeletet, majd szakaszos megközelítéssel vezesse be a közös felügyeletet. Ha a felhasználó törli az eszköz regisztrációját, az eszköz újra regisztrálva lesz a szabályzat következő kiértékelésekor.

      • Próbaüzem: Csak az automatikus Intune-igénylési gyűjteményhez tartozó Configuration Manager-ügyfelek lesznek automatikusan regisztrálva a Intune.
      • Mind: Engedélyezze az automatikus regisztrációt az összes, Windows 10 1709-es vagy újabb verziót futtató ügyfél számára.
      • Nincs: Tiltsa le az automatikus regisztrációt az összes ügyfélnél.
    • Intune automatikus regisztráció: Ennek a gyűjteménynek tartalmaznia kell az összes ügyfelet, amelyet elő szeretne készíteni a közös felügyeletbe. Ez lényegében az összes többi előkészítési gyűjtemény szuperhalmaza.

    Képernyőkép a varázsló oldaláról az automatikus regisztráció engedélyezéséhez Intune.

    Az automatikus regisztráció nem minden ügyfél számára azonnali. Ez a viselkedés segít a nagy méretű környezetek regisztrációjának jobb méretezésében. Configuration Manager véletlenszerűsíti a regisztrációt az ügyfelek száma alapján. Ha például a környezet 100 000 ügyféllel rendelkezik, a beállítás engedélyezésekor a regisztráció több napon keresztül történik.

    Az új, közösen felügyelt eszközök mostantól automatikusan regisztrálva lesznek a Microsoft Intune szolgáltatásban a Microsoft Entra eszközjogkivonata alapján. Nem kell megvárnia, amíg egy felhasználó bejelentkezik az eszközre, hogy elinduljon az automatikus regisztráció. Ez a módosítás segít csökkenteni a regisztrációs állapotú eszközök számát Függőben lévő felhasználói bejelentkezés állapotban.A viselkedés támogatásához az eszköznek Windows 10 1803-es vagy újabb verzióját kell futtatnia. További információ: Együttes felügyeleti regisztráció állapota.

    Ha az eszközök már regisztrálva vannak a megosztott kezelésben, az új eszközök azonnal regisztrálva lesznek, miután megfelelnek az előfeltételeknek.

  5. Az Intune már regisztrált internetes eszközök esetén másolja és mentse a parancsot az Engedélyezés lapon. Ezzel a paranccsal telepítheti a Configuration Manager-ügyfelet alkalmazásként az Intune internetes eszközökhöz. Ha most nem menti ezt a parancsot, bármikor áttekintheti a megosztott felügyeleti konfigurációt a parancs beszerzéséhez.

    Tipp

    A parancs csak akkor jelenik meg, ha teljesítette az összes előfeltételt, például egy felhőfelügyeleti átjáró beállítását.

  6. A Számítási feladatok lapon minden számítási feladathoz válassza ki, hogy melyik eszközcsoportot szeretné áthelyezni a Intune felügyeletéhez. További információ: Számítási feladatok.

    Ha csak a megosztott felügyeletet szeretné engedélyezni, most nem kell váltania a számítási feladatok között. A számítási feladatokat később is átállíthatja. További információ: Számítási feladatok váltása.

    • Próba Intune: A társított számítási feladatot csak az előkészítési lapon megadott kísérleti gyűjteményekben lévő eszközökhöz kapcsolja át. Minden számítási feladathoz más próbagyűjtemény tartozhat.
    • Intune: Az összes közösen felügyelt Windows 10 vagy újabb eszközhöz tartozó számítási feladat kapcsolója.

    Fontos

    A számítási feladatok közötti váltás előtt győződjön meg arról, hogy megfelelően konfigurálta és üzembe helyezi a megfelelő számítási feladatot a Intune. Győződjön meg arról, hogy a számítási feladatokat mindig az eszközök egyik felügyeleti eszköze felügyeli.

  7. Az Előkészítés lapon adja meg a próbagyűjteményt minden olyan számítási feladathoz, amely a Próba Intune értékre van állítva.

    Képernyőkép a Megosztott kezelés konfigurálása varázsló Átmeneti oldaláról, amelyen a próbagyűjtemények megadásának lehetőségei láthatóak.

  8. A közös felügyelet engedélyezéséhez végezze el a varázslót.

Következő lépések