Oktatóanyag: Megosztott kezelés engedélyezése új internetes eszközökhöz

Ha az Intune biztonságra és modern üzembe helyezésre való használatával fektet be a felhőbe, előfordulhat, hogy nem szeretné elveszíteni a Configuration Managerrel a szervezet számítógépeinek felügyeletére szolgáló jól bevált folyamatait. A megosztott kezeléssel ezt a folyamatot helyben tarthatja.

Ebben az oktatóanyagban olyan környezetben állítja be a Windows 10 vagy újabb rendszerű eszközök együttes felügyeletét, amelyben a Microsoft Entra ID-t és a helyszíni Active Directoryt is használja, de nincs hibrid Microsoft Entra ID-példánya . A Configuration Manager-környezet egyetlen elsődleges helyet tartalmaz, amelyben az összes helyrendszerszerepkör ugyanazon a kiszolgálón, a helykiszolgálón található. Ez az oktatóanyag azzal a feltevéssel kezdődik, hogy a Windows 10 vagy újabb rendszerű eszközei már regisztrálva vannak az Intune-ban.

Ha hibrid Microsoft Entra-példánya csatlakozik a helyszíni Active Directoryhoz a Microsoft Entra-azonosítóval, javasoljuk, hogy kövesse a Configuration Manager-ügyfelek közös felügyeletének engedélyezése című útmutatót.

Ezt az oktatóanyagot a következő esetekben használhatja:

• Windows 10 vagy újabb rendszerű eszközökkel rendelkezik a közös felügyelethez. Előfordulhat, hogy ezek az eszközök a Windows Autopiloton keresztül lettek kiépítve, vagy közvetlenül a hardvergyártótól származnak.
• Windows 10 vagy újabb rendszerű eszközei vannak az interneten, amelyeket jelenleg az Intune-nal kezel, és hozzá szeretné adni hozzájuk a Configuration Manager-ügyfelet.

Ebben az oktatóanyagban a következőket fogja végezni:

• Tekintse át az Azure és a helyszíni környezet előfeltételeit.
• Kérjen nyilvános SSL-tanúsítványt a felhőfelügyeleti átjáróhoz (CMG).
• Azure-szolgáltatások engedélyezése a Configuration Managerben.
• CMG üzembe helyezése és konfigurálása.
• Konfigurálja a felügyeleti pontot és az ügyfeleket a CMG használatára.
• Engedélyezze a megosztott felügyeletet a Configuration Managerben.
• Konfigurálja az Intune-t a Configuration Manager-ügyfél telepítéséhez.

Előfeltételek

Azure-szolgáltatások és -környezet

• Azure-előfizetés (ingyenes próbaverzió).

• Microsoft Entra ID P1 vagy P2.

• Microsoft Intune-előfizetés az eszközök automatikus regisztrálásához konfigurált Intune-nal.

  Tipp

  Az Enterprise Mobility + Security előfizetés ingyenes próbaverziója tartalmazza a Microsoft Entra ID P1 vagy P2 azonosítót és a Microsoft Intune-t is.

  Többé nem kell egyéni Intune- vagy Enterprise Mobility + Security-licenceket vásárolnia és hozzárendelnie a felhasználókhoz. További információ: Termék- és licencelési gyakori kérdések.

Helyszíni infrastruktúra

• A Configuration Manager aktuális ágának támogatott verziója.

  Ez az oktatóanyag továbbfejlesztett HTTP-t használ a nyilvános kulcsú infrastruktúra összetettebb követelményeinek elkerüléséhez. Továbbfejlesztett HTTP használata esetén az ügyfelek kezeléséhez használt elsődleges helyet úgy kell konfigurálni, hogy a Configuration Manager által létrehozott tanúsítványokat használjon a HTTP-helyrendszerekhez.

• A mobileszköz-felügyeleti (MDM) szolgáltató intune-ra van állítva.

Külső tanúsítványok

• CMG-kiszolgáló hitelesítési tanúsítványa. Ez az SSL-tanúsítvány nyilvános és globálisan megbízható tanúsítványszolgáltatótól származik. Ezt a tanúsítványt .pfx-fájlként exportálja a titkos kulccsal.

  Az oktatóanyag későbbi részében útmutatást nyújtunk a tanúsítványra vonatkozó kérés konfigurálásához.

Engedélyek

Az oktatóanyag során a következő engedélyekkel végezheti el a feladatokat:

• Egy fiók, amely a Microsoft Entra ID globális rendszergazdája
• Tartományi rendszergazdai fiók a helyszíni infrastruktúrában
• Egy fiók, amely teljes körű rendszergazda a Configuration Manager összes hatóköréhez

Nyilvános tanúsítvány kérése a felhőfelügyeleti átjáróhoz

Ha az eszközei az interneten vannak, a megosztott felügyelethez a Configuration Manager CMG szükséges. A CMG lehetővé teszi, hogy az internetalapú Windows-eszközök kommunikáljanak a helyszíni Configuration Manager üzemelő példányával. Ahhoz, hogy megbízhatósági kapcsolatot létesítsen az eszközök és a Configuration Manager-környezet között, a CMG-nek SSL-tanúsítványra van szüksége.

Ez az oktatóanyag egy CMG-kiszolgálóhitelesítő tanúsítvány nevű nyilvános tanúsítványt használ, amely egy globálisan megbízható tanúsítványszolgáltatótól származtat szolgáltatót. Bár a társfelügyelet konfigurálható olyan tanúsítványok használatával, amelyek a helyszíni Microsoft-hitelesítésszolgáltatótól származnak, az önaláírt tanúsítványok használata túlmutat ennek az oktatóanyagnak a hatókörén.

A CMG-kiszolgáló hitelesítési tanúsítványa a Configuration Manager-ügyfél és a CMG közötti kommunikációs forgalom titkosítására szolgál. A tanúsítvány egy megbízható gyökerre vezet vissza, és ellenőrzi a kiszolgáló identitását az ügyfél felé. A nyilvános tanúsítvány tartalmaz egy megbízható legfelső szintű tanúsítványt, amelyben a Windows-ügyfelek már megbíznak.

A tanúsítvány ismertetése:

• Azonosítja a CMG-szolgáltatás egyedi nevét az Azure-ban, majd ezt a nevet adja meg a tanúsítványkérelemben.
• A tanúsítványkérést egy adott kiszolgálón hozza létre, majd elküldi a kérést egy nyilvános tanúsítványszolgáltatónak a szükséges SSL-tanúsítvány beszerzéséhez.
• Importálja a szolgáltatótól kapott tanúsítványt a kérést létrehozó rendszerbe. Ugyanezzel a számítógéppel exportálja a tanúsítványt, amikor később üzembe helyezi a CMG-t az Azure-ban.
• A CMG telepítésekor létrehoz egy CMG-szolgáltatást az Azure-ban a tanúsítványban megadott névvel.

A felhőfelügyeleti átjáró egyedi nevének azonosítása az Azure-ban

Amikor a CMG-kiszolgáló hitelesítési tanúsítványát kéri, meg kell adnia, hogy mi legyen egy egyedi név a felhőszolgáltatás (klasszikus) azonosításához az Azure-ban. Alapértelmezés szerint az Azure nyilvános felhője cloudapp.net használ, a CMG pedig a cloudapp.net tartományon belül van üzemeltetve YourUniqueDnsName.cloudapp.net> néven<.

Tipp

Ebben az oktatóanyagban a CMG-kiszolgáló hitelesítési tanúsítványa egy teljes tartománynevet (FQDN) használ, amely contoso.com végződik. A CMG létrehozása után konfigurálnia kell egy canonical name record (CNAME) rekordot a szervezet nyilvános DNS-ében. Ez a rekord létrehoz egy aliast a CMG-hez, amely a nyilvános tanúsítványban használt névre van leképezve.

A nyilvános tanúsítvány igénylése előtt ellenőrizze, hogy a használni kívánt név elérhető-e az Azure-ban. Nem közvetlenül hozza létre a szolgáltatást az Azure-ban. Ehelyett a Configuration Manager a nyilvános tanúsítványban megadott nevet használja a felhőszolgáltatás létrehozásához a CMG telepítésekor.

1. Jelentkezzen be a Microsoft Azure Portalra.

2. Válassza az Erőforrás létrehozása lehetőséget, válassza a Számítás kategóriát, majd a Felhőszolgáltatás lehetőséget. Megnyílik a Felhőszolgáltatás (klasszikus) lap.

3. A DNS-név mezőben adja meg a használni kívánt felhőszolgáltatás előtagnevét.

   Ennek az előtagnak meg kell egyeznie azzal, amelyet később a CMG-kiszolgáló hitelesítési tanúsítványának nyilvános tanúsítványának igénylésekor használ. Ebben az oktatóanyagban a MyCSG-t használjuk, amely létrehozza a MyCSG.cloudapp.net névterét. Az interfész ellenőrzi, hogy a név elérhető-e, vagy már használja egy másik szolgáltatás.

Miután meggyőződik arról, hogy a használni kívánt név elérhető, készen áll a tanúsítvány-aláírási kérelem (CSR) elküldésére.

Tanúsítvány igénylése

Az alábbi információk segítségével küldhet tanúsítvány-aláírási kérést a CMG-hez egy nyilvános tanúsítványszolgáltatónak. Módosítsa a következő értékeket, hogy relevánsak legyenek a környezet számára:

• MyCMG a felhőfelügyeleti átjáró szolgáltatásnevének azonosításához
• Contoso a vállalat neveként
• Contoso.com nyilvános tartományként

Javasoljuk, hogy az elsődleges helykiszolgálót használja a CSR létrehozásához. Amikor megkapja a tanúsítványt, ugyanazon a kiszolgálón kell regisztrálnia, amely a CSR-t létrehozta. Ez a regisztráció biztosítja, hogy exportálni tudja a tanúsítvány titkos kulcsát, ami szükséges.

CsR létrehozásakor kérjen 2-es verziójú kulcsszolgáltatótípust. Csak a 2. verziójú tanúsítványok támogatottak.

Tipp

A CMG üzembe helyezésekor alapértelmezés szerint a CmG felhőbeli terjesztési pontként való működésének és az Azure Storage-ból származó tartalmak kiszolgálásának engedélyezése beállítás van kiválasztva. Annak ellenére, hogy a felhőalapú tartalomra nincs szükség a megosztott kezelés használatához, a legtöbb környezetben hasznos.

A felhőalapú terjesztési pont (CDP) elavult. A 2107-es verziótól kezdődően nem hozhat létre új CDP-példányokat. Ha tartalmat szeretne biztosítani az internetes eszközöknek, engedélyezze a CMG-nek a tartalom terjesztését. További információ: Elavult funkciók.

A felhőfelügyeleti átjáró CSR-jének részletei:

• Köznapi név: CloudServiceNameCMG.YourCompanyPubilcDomainName.com (például : MyCSG.contoso.com)
• Tulajdonos alternatív neve: Ugyanaz, mint a köznapi név (CN)
• Szervezet: A szervezet neve
• Részleg: Szervezetenként
• Város: Szervezetenként
• Állapot: Szervezetenként
• Ország: Szervezetenként
• Kulcsméret: 2048
• Szolgáltató: Microsoft RSA SChannel titkosítási szolgáltató

A tanúsítvány importálása

Miután megkapta a nyilvános tanúsítványt, importálja azt a CSR-t létrehozó számítógép helyi tanúsítványtárolójába. Ezután exportálja a tanúsítványt .pfx-fájlként, hogy az azure-beli CMG-hez használhassa.

A nyilvános tanúsítványszolgáltatók általában útmutatást nyújtanak a tanúsítvány importálásához. A tanúsítvány importálásának folyamata az alábbi útmutatóhoz hasonló:

1. Keresse meg a tanúsítvány .pfx fájljának helyét azon a számítógépen, amelybe a tanúsítványt importálni fogja.

2. Kattintson a jobb gombbal a fájlra, majd válassza a PFX telepítése lehetőséget.

3. Amikor elindul a Tanúsítványimportáló varázsló, válassza a Tovább gombot.

4. Az Importálandó fájl lapon válassza a Tovább gombot.

5. A Jelszó lapon írja be a titkos kulcs jelszavát a Jelszó mezőbe, majd válassza a Tovább gombot.

   Válassza a lehetőséget a kulcs exportálhatóvá viteléhez.

6. A Tanúsítványtároló lapon válassza a Tanúsítványtároló automatikus kiválasztása a tanúsítvány típusa alapján lehetőséget, majd válassza a Tovább gombot.

7. Válassza a Befejezéslehetőséget.

A tanúsítvány exportálása

Exportálja a CMG-kiszolgáló hitelesítési tanúsítványát a kiszolgálóról. A tanúsítvány újraexportálásával használhatóvá válik az Azure-beli felhőfelügyeleti átjáróhoz.

1. A nyilvános SSL-tanúsítványt importáló kiszolgálón futtassa a certlm.msc parancsot a Tanúsítványkezelő konzol megnyitásához.

2. A Tanúsítványkezelő konzolon válassza a Személyes>tanúsítványok lehetőséget. Ezután kattintson a jobb gombbal a CMG-kiszolgáló hitelesítési tanúsítványára, amelyet az előző eljárásban regisztrált, és válassza a Minden feladat>exportálása lehetőséget.

3. A Tanúsítványexportáló varázslóban válassza a Tovább, az Igen, a titkos kulcs exportálása, majd a Tovább lehetőséget.

4. A Fájlformátum exportálása lapon válassza a Személyes információcsere – PKCS #12 () lehetőséget. PFX), válassza a Tovább gombot, és adjon meg egy jelszót.

   A fájlnévhez adjon meg egy nevet, például : C:\ConfigMgrCloudMGServer. Erre a fájlra fog hivatkozni, amikor létrehozza a CMG-t az Azure-ban.

5. Válassza a Tovább gombot, majd erősítse meg a következő beállításokat, mielőtt a Befejezés gombra kattintva befejezi az exportálást:

   • Kulcsok exportálása: Igen
   • Az összes tanúsítvány belefoglalása a minősítési útvonalba: Igen
   • Fájlformátum: Személyes információcsere (*.pfx)

6. Az exportálás befejezése után keresse meg a .pfx fájlt, és helyezze annak egy példányát a C:\Certs mappába az internetalapú ügyfeleket kezelő Elsődleges Configuration Manager-helykiszolgálón.

   A Tanúsítványok mappa egy ideiglenes mappa, amelyet a tanúsítványok kiszolgálók közötti áthelyezésekor használhat. A tanúsítványfájlt az elsődleges helykiszolgálóról érheti el, amikor üzembe helyezi a CMG-t az Azure-ban.

Miután átmásolta a tanúsítványt az elsődleges helykiszolgálóra, törölheti a tanúsítványt a tagkiszolgáló személyes tanúsítványtárolójából.

Azure-felhőszolgáltatások engedélyezése a Configuration Managerben

Az Azure-szolgáltatások Configuration Manager-konzolon való konfigurálásához használja az Azure-szolgáltatások konfigurálása varázslót, és hozzon létre két Microsoft Entra-alkalmazást:

• Kiszolgálóalkalmazás: Egy webalkalmazás a Microsoft Entra ID-ban.
• Ügyfélalkalmazás: Egy natív ügyfélalkalmazás a Microsoft Entra ID-ban.

Futtassa a következő eljárást az elsődleges helykiszolgálóról:

1. Nyissa meg a Configuration Manager konzolt, lépjen az Adminisztráció>Cloud Services>Azure-szolgáltatások menüpontra, majd válassza az Azure-szolgáltatások konfigurálása lehetőséget.

   Az Azure-szolgáltatás konfigurálása lapon adjon meg egy rövid nevet a konfigurált felhőfelügyeleti szolgáltatásnak. Például: Saját felhőfelügyeleti szolgáltatás.

   Ezután válassza a Felhőfelügyelet>Tovább lehetőséget.

   Tipp

   A varázslóban megadott konfigurációkkal kapcsolatos további információkért lásd : Az Azure-szolgáltatások varázslójának elindítása.

2. Az Alkalmazás tulajdonságai lap Webalkalmazás területén válassza a Tallózás lehetőséget a Kiszolgálóalkalmazás párbeszédpanel megnyitásához. Válassza a Létrehozás lehetőséget, majd konfigurálja a következő mezőket:

   • Alkalmazás neve: Adjon meg egy rövid nevet az alkalmazásnak, például : Cloud Management webalkalmazás.

   • HomePage URL: A Configuration Manager nem használja ezt az értéket, de a Microsoft Entra-azonosító megköveteli. Alapértelmezés szerint ez az https://ConfigMgrServiceérték .

   • Alkalmazásazonosító URI-ja: Ennek az értéknek egyedinek kell lennie a Microsoft Entra-bérlőben. A Configuration Manager-ügyfél a hozzáférési jogkivonatban kéri a szolgáltatáshoz való hozzáférést. Alapértelmezés szerint ez az https://ConfigMgrServiceérték . Módosítsa az alapértelmezett értéket az alábbi ajánlott formátumok egyikére:

     • api://{tenantId}/{string}például api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}például https://contoso.onmicrosoft.com/ConfigMgrService

   Ezután válassza a Bejelentkezés lehetőséget, és adjon meg egy Microsoft Entra globális rendszergazdai fiókot. A Configuration Manager nem menti ezeket a hitelesítő adatokat. Ez a személy nem igényel engedélyeket a Configuration Managerben, és nem kell ugyanaznak a fióknak lennie, amely az Azure Services varázslót futtatja.

   A bejelentkezés után megjelennek az eredmények. Kattintson az OK gombra a Kiszolgálóalkalmazás létrehozása párbeszédpanel bezárásához, és térjen vissza az Alkalmazás tulajdonságai lapra.

3. Natív ügyfélalkalmazás esetén válassza a Tallózás lehetőséget az Ügyfélalkalmazás párbeszédpanel megnyitásához.

4. Válassza a Létrehozás lehetőséget az Ügyfélalkalmazás létrehozása párbeszédpanel megnyitásához, majd konfigurálja a következő mezőket:

   • Alkalmazás neve: Adjon meg egy rövid nevet az alkalmazásnak, például natív Cloud Management-ügyfélalkalmazás.

   • Válasz URL-címe: A Configuration Manager nem használja ezt az értéket, de a Microsoft Entra-azonosító megköveteli. Alapértelmezés szerint ez az https://ConfigMgrClientérték .

   Ezután válassza a Bejelentkezés lehetőséget, és adjon meg egy Microsoft Entra globális rendszergazdai fiókot. A webalkalmazáshoz hasonlóan ezek a hitelesítő adatok sem lesznek mentve, és nem igényelnek engedélyeket a Configuration Managerben.

   A bejelentkezés után megjelennek az eredmények. Az OK gombra kattintva zárja be az Ügyfélalkalmazás létrehozása párbeszédpanelt, és térjen vissza az Alkalmazás tulajdonságai lapra. Ezután válassza a Tovább gombot a folytatáshoz.

5. A Felderítési beállítások konfigurálása lapon jelölje be a Microsoft Entra felhasználói felderítés engedélyezése jelölőnégyzetet. Válassza a Tovább lehetőséget, majd fejezze be a környezet felderítési párbeszédpaneljeinek konfigurálását.

6. Haladjon végig az Összefoglalás, a Folyamat és a Befejezés lapon, majd zárja be a varázslót.

   A Microsoft Entra felhasználófelderítési Azure-szolgáltatásai mostantól engedélyezve vannak a Configuration Managerben. Egyelőre hagyja nyitva a konzolt.

7. Nyisson meg egy böngészőt, és jelentkezzen be az Azure Portalra.

8. Válassza a Minden szolgáltatás>Microsoft Entra ID>Alkalmazásregisztrációk lehetőséget, majd:

   1. Válassza ki a létrehozott webalkalmazást.

   2. Lépjen az API-engedélyek területre, válassza a Rendszergazdai hozzájárulás megadása a bérlőhöz lehetőséget, majd válassza az Igen lehetőséget.

   3. Válassza ki a létrehozott natív ügyfélalkalmazást.

   4. Lépjen az API-engedélyek területre, válassza a Rendszergazdai hozzájárulás megadása a bérlőhöz lehetőséget, majd válassza az Igen lehetőséget.

9. A Configuration Manager konzolon lépjen a Felügyelet>– Áttekintés>Cloud ServicesAzure-szolgáltatások> elemre, és válassza ki az Azure-szolgáltatást. Ezután kattintson a jobb gombbal a Microsoft Entra user Discover elemre , és válassza a Teljes felderítés futtatása most lehetőséget. A művelet megerősítéséhez válassza az Igen lehetőséget.

10. Az elsődleges helykiszolgálón nyissa meg a Configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.log fájlt, és keresse meg a következő bejegyzést a felderítés működésének ellenőrzéséhez: Az UDX sikeresen közzétéve a Microsoft Entra-felhasználók számára.

    Alapértelmezés szerint a naplófájl a következő helyen található: %Program_Files%\Microsoft Configuration Manager\Logs.

A felhőszolgáltatás létrehozása az Azure-ban

Az oktatóanyag ezen szakaszában létrehozza a CMG felhőszolgáltatást, majd létrehozza a DNS CNAME rekordokat mindkét szolgáltatáshoz.

A CMG létrehozása

Ezzel az eljárással felhőfelügyeleti átjárót telepíthet szolgáltatásként az Azure-ban. A CMG a hierarchia legfelső szintű helyén van telepítve. Ebben az oktatóanyagban továbbra is azt az elsődleges helyet használjuk, ahol a tanúsítványokat regisztrálták és exportálták.

1. Az elsődleges helykiszolgálón nyissa meg a Configuration Manager-konzolt. Lépjen a Felügyelet>áttekintése>Cloud Services>Cloud Management Gateway elemre, majd válassza a Felhőfelügyeleti átjáró létrehozása lehetőséget.

2. Az Általános lapon:

   1. Válassza ki a felhőkörnyezetet az Azure-környezethez. Ez az oktatóanyag az AzurePublicCloudot használja.

   2. Válassza az Azure Resource Manager üzemelő példánya lehetőséget.

   3. Jelentkezzen be az Azure-előfizetésbe. A Configuration Manager további információkat ad meg azon információk alapján, amelyeket akkor konfigurált, amikor engedélyezte az Azure-felhőszolgáltatásokat a Configuration Managerhez.

   A folytatáshoz válassza Tovább lehetőséget.

3. A Beállítások lapon keresse meg és válassza ki a ConfigMgrCloudMGServer.pfx nevű fájlt. Ezt a fájlt exportálta a CMG-kiszolgáló hitelesítési tanúsítványának importálása után. A jelszó megadása után a rendszer automatikusan kitölti a szolgáltatásnevet és a központi telepítés nevét a .pfx tanúsítványfájlban található adatok alapján.

4. Állítsa be a Régió adatait.

5. Erőforráscsoport esetén használjon egy meglévő erőforráscsoportot, vagy hozzon létre egy felhasználóbarát nevű csoportot, amely nem használ szóközöket, például ConfigMgrCloudServices. Ha csoport létrehozása mellett dönt, a csoport erőforráscsoportként lesz hozzáadva az Azure-ban.

6. Ha nem áll készen a nagy léptékű konfigurálásra, adja meg az 1 értéket a virtuálisgép-példányokhoz. A virtuálisgép-példányok száma lehetővé teszi egyetlen CMG-felhőszolgáltatás felskálázását, hogy több ügyfélkapcsolatot támogassanak. Később a Configuration Manager-konzollal visszaadhatja és szerkesztheti a használt virtuálisgép-példányok számát.

7. Jelölje be az Ügyféltanúsítvány-visszavonás ellenőrzése jelölőnégyzetet.

8. Jelölje be az Annak engedélyezése, hogy a CMG felhőbeli terjesztési pontként működjön, és az Azure Storage-ból származó tartalmak kiszolgálása jelölőnégyzetet.

9. A folytatáshoz válassza Tovább lehetőséget.

10. Tekintse át az értékeket a Riasztás lapon, majd válassza a Tovább gombot.

11. Tekintse át az Összefoglalás oldalt, és válassza a Tovább lehetőséget a CMG-felhőszolgáltatás létrehozásához. A varázsló befejezéséhez kattintson a Bezárás gombra.

12. A Configuration Manager-konzol CMG-csomópontjában most már megtekintheti az új szolgáltatást.

DNS CNAME rekordok létrehozása

Amikor DNS-bejegyzést hoz létre a CMG-hez, engedélyezi, hogy a Windows 10 vagy újabb rendszerű eszközei a vállalati hálózaton belül és kívül is névfeloldás használatával megtalálják a CMG felhőszolgáltatást az Azure-ban.

A CNAME rekordra példa a MyCMG.contoso.com, amely MyCMG.cloudapp.net lesz. A példában:

• A vállalat neve Contoso , amelynek nyilvános DNS-névtere contoso.com.

• A CMG-szolgáltatás neve MyCMG, amely MyCMG.cloudapp.net lesz az Azure-ban.

A felügyeleti pont és az ügyfelek konfigurálása a CMG használatára

Konfigurálja azokat a beállításokat, amelyek lehetővé teszik a helyszíni felügyeleti pontok és ügyfelek számára a felhőfelügyeleti átjáró használatát.

Mivel továbbfejlesztett HTTP-t használunk az ügyfélkommunikációhoz, nincs szükség HTTPS felügyeleti pont használatára.

A CMG csatlakozási pontjának létrehozása

Konfigurálja a webhelyet a továbbfejlesztett HTTP támogatására:

1. A Configuration Manager-konzolon lépjen a Felügyelet>áttekintése>– Helykonfigurációs>helyek elemre. Nyissa meg az elsődleges hely tulajdonságait.

2. A Kommunikációbiztonság lapon válassza a HTTPS vagy a HTTP lehetőséget a Configuration Manager által létrehozott tanúsítványok használata HTTP-helyrendszerekhez beállításhoz. Ezután kattintson az OK gombra a konfiguráció mentéséhez.

3. Lépjen a Felügyelet>áttekintése>– Helykonfigurációs>kiszolgálók és helyrendszerszerepkörök lapra. Válassza ki azt a felügyeleti pontot tartalmazó kiszolgálót, ahová telepíteni szeretné a CMG-csatlakozási pontot.

4. Válassza a Helyrendszerszerepkörök> hozzáadásatovább> lehetőséget.

5. Válassza a Felhőfelügyeleti átjáró csatlakozási pontja lehetőséget, majd a folytatáshoz válassza a Tovább gombot.

6. Tekintse át az alapértelmezett beállításokat a Felhőfelügyeleti átjáró csatlakozási pont oldalán, és győződjön meg arról, hogy a megfelelő CMG van kiválasztva.

   Ha több CMG-vel rendelkezik, a legördülő listából megadhat egy másik CMG-t. A telepítés után a használatban lévő CMG-t is módosíthatja.

   A folytatáshoz válassza Tovább lehetőséget.

7. Válassza a Tovább gombot a telepítés megkezdéséhez, majd tekintse meg az eredményeket a Befejezés lapon. Válassza a Bezárás lehetőséget a csatlakozási pont telepítésének befejezéséhez.

8. Lépjen a Felügyelet>áttekintése>– Helykonfigurációs>kiszolgálók és helyrendszerszerepkörök lapra. Nyissa meg annak a felügyeleti pontnak a Tulajdonságait , ahová a csatlakozási pontot telepítette.

   Az Általános lapon jelölje be a Configuration Manager felhőfelügyeleti átjáró forgalmának engedélyezése jelölőnégyzetet, majd kattintson az OK gombra a konfiguráció mentéséhez.

   Tipp

   Bár a megosztott kezelés engedélyezéséhez nem szükséges, javasoljuk, hogy minden szoftverfrissítési pont esetében végezze el ugyanezt a módosítást.

Ügyfélbeállítások konfigurálása az ügyfelek cmg használatára való irányításához

Az Ügyfélbeállítások használatával konfigurálhatja a Configuration Manager-ügyfeleket a CMG-vel való kommunikációhoz:

1. Nyissa meg a Configuration Manager-konzol>felügyeletének>áttekintése>ügyfélbeállításokat, majd szerkessze az alapértelmezett ügyfélbeállításokat .

2. Válassza a Cloud Services lehetőséget.

3. Az Alapértelmezett beállítások lapon állítsa a következő beállításokat Igen értékre:

   • Új Windows 10-tartományhoz csatlakoztatott eszközök automatikus regisztrálása a Microsoft Entra-azonosítóval

   • Felhőfelügyeleti átjáró használatának engedélyezése az ügyfelek számára

   • Felhőbeli terjesztési ponthoz való hozzáférés engedélyezése

4. Az Ügyfélházirend lapon állítsa Az internetes ügyfelektől érkező felhasználói házirend-kérelmek engedélyezésebeállítást Igen értékre.

5. A konfiguráció mentéséhez kattintson az OK gombra .

A megosztott kezelés engedélyezése a Configuration Managerben

Az Azure-konfigurációk, a helyrendszerszerepkörök és az ügyfélbeállítások használatával konfigurálhatja a Configuration Managert a megosztott felügyelet engedélyezéséhez. Az oktatóanyag befejezése előtt azonban még néhány konfigurálást végre kell hajtania az Intune-ban.

Az egyik ilyen feladat az Intune konfigurálása a Configuration Manager-ügyfél üzembe helyezésére. Ez a feladat egyszerűbbé válik, ha menti a parancssort az ügyféltelepítéshez, amely a Megosztott kezelés konfigurálása varázslóból érhető el. Ezért engedélyezzük most a közös felügyeletet, mielőtt befejezzük az Intune konfigurációit.

A kísérleti csoport kifejezés a közös felügyeleti funkció és a konfigurációs párbeszédpanelek során használatos. A próbacsoport olyan gyűjtemény, amely a Configuration Manager-eszközök egy részhalmazát tartalmazza. Használjon próbacsoportot a kezdeti teszteléshez. Szükség szerint adjon hozzá eszközöket, amíg készen nem áll az összes Configuration Manager-eszköz számítási feladatainak áthelyezésére.

Nincs időkorlát arra vonatkozóan, hogy egy próbacsoport mennyi ideig használható a számítási feladatokhoz. A próbacsoportot határozatlan időre használhatja, ha nem szeretné áthelyezni a számítási feladatokat az összes Configuration Manager-eszközre.

Javasoljuk, hogy hozzon létre egy megfelelő gyűjteményt, mielőtt elindítja a próbacsoport létrehozásának eljárását. Ezt követően anélkül választhatja ki ezt a gyűjteményt, hogy kilép az eljárásból. Előfordulhat, hogy több gyűjteményre van szüksége, mert minden számítási feladathoz más próbacsoportot rendelhet hozzá.

A megosztott kezelés engedélyezése a 2111-s és újabb verziókhoz

A Configuration Manager 2111-es verziójától kezdve megváltozott a közös felügyelet előkészítési felülete. A Felhő csatolása konfigurációs varázsló megkönnyíti a megosztott felügyelet és más felhőfunkciók engedélyezését. Választhatja az ajánlott alapértelmezett beállítások egyszerűsített készletét, vagy testre szabhatja a felhő csatolási funkcióit. Emellett egy új beépített eszközgyűjtemény is elérhető a közös felügyeletre jogosult eszközökhöz , amelyek segítenek azonosítani az ügyfeleket. További információ a megosztott kezelés engedélyezéséről: Felhő csatolásának engedélyezése.

Megjegyzés:

Az új varázslóval nem helyezheti át a számítási feladatokat a megosztott kezelés engedélyezésével egyidejűleg. A számítási feladatok áthelyezéséhez a felhőalapú csatolás engedélyezése után szerkesztheti a társfelügyeleti tulajdonságokat.

A megosztott kezelés engedélyezése a 2107-ben és a korábbi verziókban

A megosztott kezelés engedélyezésekor használhatja az Azure nyilvános felhőt, az Azure Government-felhőt vagy az Azure China 21Vianet-felhőt (a 2006-os verzióban). A megosztott kezelés engedélyezéséhez kövesse az alábbi utasításokat:

1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Cloud Services elemet, és válassza a Felhő csatolása csomópontot. A menüszalagon válassza a Felhő csatolásának konfigurálása lehetőséget a Felhő csatolása konfigurációs varázsló megnyitásához.

   A 2103-es és korábbi verziók esetében bontsa ki a Cloud Services elemet, és válassza a Közös felügyelet csomópontot. Válassza a menüszalag Megosztott kezelés konfigurálása elemét a Közös felügyelet konfigurálása varázsló megnyitásához.

2. A varázsló előkészítési lapján azure-környezet esetén válasszon az alábbi környezetek közül:

   • Nyilvános Azure-felhő

   • Azure Government-felhő

   • Azure China cloud (hozzáadva a 2006-os verzióban)

     Megjegyzés:

     Frissítse a Configuration Manager-ügyfelet az eszközei legújabb verziójára, mielőtt regisztrál az Azure China-felhőre.

   Ha az Azure China-felhőt vagy az Azure Government-felhőt választja, a Bérlő csatolása a Microsoft Endpoint Manager felügyeleti központba lehetőség le van tiltva.

3. Válassza a Bejelentkezés lehetőséget. Jelentkezzen be Microsoft Entra globális rendszergazdaként, majd válassza a Tovább gombot. Ezt a varázslót csak egyszer kell bejelentkeznie. A hitelesítő adatokat a rendszer nem tárolja és nem használja fel újra máshol.

4. Az Engedélyezés lapon válassza a következő beállításokat:

   • Automatikus regisztráció az Intune-ban: Engedélyezi az automatikus ügyfélregisztrációt az Intune-ban a meglévő Configuration Manager-ügyfelek számára. Ezzel a beállítással engedélyezheti a megosztott felügyeletet az ügyfelek egy részhalmazán, hogy először tesztelje a megosztott felügyeletet, majd szakaszos megközelítéssel vezesse be a közös felügyeletet. Ha a felhasználó törli az eszköz regisztrációját, az eszköz újra regisztrálva lesz a szabályzat következő kiértékelésekor.

     • Próbaüzem: Csak azok a Configuration Manager-ügyfelek lesznek automatikusan regisztrálva az Intune-ban, amelyek az Intune automatikus regisztrációjának tagjai.
     • Mind: Engedélyezze az automatikus regisztrációt a Windows 10 1709-es vagy újabb verzióját futtató összes ügyfél számára.
     • Nincs: Tiltsa le az automatikus regisztrációt az összes ügyfélnél.

   • Intune automatikus regisztráció: Ennek a gyűjteménynek tartalmaznia kell az összes olyan ügyfelet, amelyet elő szeretne készíteni a közös felügyeletbe. Ez lényegében az összes többi előkészítési gyűjtemény szuperhalmaza.

   

   Az automatikus regisztráció nem minden ügyfél számára azonnali. Ez a viselkedés segít a nagy méretű környezetek regisztrációjának jobb méretezésében. A Configuration Manager véletlenszerűen jeleníti meg a regisztrációt az ügyfelek száma alapján. Ha például a környezet 100 000 ügyféllel rendelkezik, a beállítás engedélyezésekor a regisztráció több napon keresztül történik.

   Az új, közösen felügyelt eszközök mostantól automatikusan regisztrálva lesznek a Microsoft Intune szolgáltatásban a Microsoft Entra eszköztokenje alapján. Nem kell megvárnia, amíg egy felhasználó bejelentkezik az eszközre, hogy elinduljon az automatikus regisztráció. Ez a módosítás segít csökkenteni a regisztrációs állapotú eszközök számát Függőben lévő felhasználói bejelentkezés állapotban. Ennek a viselkedésnek a támogatásához az eszközön a Windows 10 1803-es vagy újabb verziójának kell futnia. További információ: Együttes felügyeleti regisztráció állapota.

   Ha az eszközök már regisztrálva vannak a megosztott kezelésben, az új eszközök azonnal regisztrálva lesznek, miután megfelelnek az előfeltételeknek.

5. Az Intune-ban már regisztrált internetes eszközök esetén másolja és mentse a parancsot az Engedélyezés lapon. Ezzel a paranccsal telepítheti a Configuration Manager-ügyfelet alkalmazásként az Intune-ban internetes eszközökhöz. Ha most nem menti ezt a parancsot, bármikor áttekintheti a megosztott felügyeleti konfigurációt a parancs beszerzéséhez.

   Tipp

   A parancs csak akkor jelenik meg, ha teljesítette az összes előfeltételt, például egy felhőfelügyeleti átjáró beállítását.

6. A Számítási feladatok lapon minden számítási feladathoz válassza ki, hogy melyik eszközcsoportot szeretné áthelyezni az Intune-nal való felügyelethez. További információ: Számítási feladatok.

   Ha csak a megosztott felügyeletet szeretné engedélyezni, most nem kell váltania a számítási feladatok között. A számítási feladatokat később is átállíthatja. További információ: Számítási feladatok váltása.

   • Próba intune: A társított számítási feladatot csak az előkészítési oldalon megadott kísérleti gyűjteményekben lévő eszközökre kapcsolja át. Minden számítási feladathoz más próbagyűjtemény tartozhat.
   • Intune: Az összes közösen felügyelt Windows 10 vagy újabb rendszerű eszköz társított számítási feladatainak váltása.

   Fontos

   A számítási feladatok közötti váltás előtt győződjön meg arról, hogy megfelelően konfigurálta és üzembe helyezi a megfelelő számítási feladatot az Intune-ban. Győződjön meg arról, hogy a számítási feladatokat mindig az eszközök egyik felügyeleti eszköze felügyeli.

7. Az Előkészítés lapon adja meg az Intune próbaüzemre beállított összes számítási feladat próbagyűjteményét.

   

8. A közös felügyelet engedélyezéséhez végezze el a varázslót.

Az Intune használata a Configuration Manager-ügyfél üzembe helyezéséhez

Az Intune-nal telepítheti a Configuration Manager-ügyfelet olyan Windows 10 vagy újabb rendszerű eszközökre, amelyek jelenleg csak az Intune-nal vannak felügyelve.

Ezután, amikor egy korábban nem felügyelt Windows 10-eszköz regisztrál az Intune-ban, az automatikusan telepíti a Configuration Manager-ügyfelet.

Megjegyzés:

Ha a Configuration Manager-ügyfelet az Autopiloton keresztüli eszközökre tervezi telepíteni, javasoljuk, hogy az eszközök helyett a Configuration Manager-ügyfél hozzárendelését célozza meg a felhasználók számára.

Ez a művelet elkerüli az ütközést az üzletági alkalmazások és a Win32-alkalmazások autopilot közbeni telepítése között.

Intune-alkalmazás létrehozása a Configuration Manager-ügyfél telepítéséhez

1. Jelentkezzen be az elsődleges helykiszolgálóról a Microsoft Intune Felügyeleti központba. Ezután lépjen az Alkalmazások>minden alkalmazás>hozzáadása területre.

2. Az alkalmazás típusaként válassza az Üzletági alkalmazás lehetőséget azEgyéb területen.

3. Az Alkalmazáscsomag fájlban keresse meg a Configuration Manager-fájlccmsetup.msi helyét (például C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi). Ezután válassza azOKmegnyitása> lehetőséget.

4. Válassza az Alkalmazás adatai lehetőséget, majd adja meg a következő adatokat:

   • Leírás: Adja meg a Configuration Manager-ügyfelet.

   • Közzétevő: Írja be a Microsoft kifejezést.

   • Parancssori argumentumok: Adja meg a CCMSETUPCMD parancsot. A Megosztott kezelés konfigurálása varázsló Engedélyezés lapján mentett parancsot használhatja. Ez a parancs tartalmazza a felhőszolgáltatás nevét, valamint azokat a további értékeket, amelyek lehetővé teszik az eszközök számára a Configuration Manager ügyfélszoftver telepítését.

     A parancssori struktúra ennek a példának kell hasonlítania, amely csak a és SMSSiteCode a CCMSETUPCMD paramétert használja:

     CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
     

     Tipp

     Ha nem rendelkezik elérhető paranccsal, megtekintheti a tulajdonságait CoMgmtSettingsProd a Configuration Manager-konzolon a parancs másolatának lekéréséhez. A parancs csak akkor jelenik meg, ha teljesítette az összes előfeltételt, például egy CMG beállítását.

5. Válassza az OK>Hozzáadás lehetőséget. Az alkalmazás létrejön, és elérhetővé válik az Intune-konzolon. Miután az alkalmazás elérhetővé válik, a következő szakasz segítségével hozzárendelheti az alkalmazást az eszközökhöz az Intune-ból.

Az Intune alkalmazás hozzárendelése a Configuration Manager-ügyfél telepítéséhez

Az alábbi eljárás telepíti az alkalmazást az előző eljárásban létrehozott Configuration Manager-ügyfél telepítéséhez:

1. Jelentkezzen be a Microsoft Intune felügyeleti központba. Válassza az Alkalmazások>Minden alkalmazás lehetőséget, majd válassza a ConfigMgr-ügyfél telepítőjének rendszerindítási pontja lehetőséget. Ez az az alkalmazás, amelyet a Configuration Manager-ügyfél üzembe helyezéséhez hozott létre.

2. Válassza a Tulajdonságok, majd aHozzárendelések szerkesztése lehetőséget. Válassza a Csoport hozzáadása lehetőséget a Szükséges hozzárendelések területen azoknak a Microsoft Entra-csoportoknak a beállításához, amelyekben a közös felügyeletben részt venni kívánt felhasználók és eszközök vannak.

3. A konfiguráció mentéséhez válassza az Áttekintés + mentés>mentés lehetőséget. Az alkalmazásra most már azokhoz a felhasználókhoz és eszközökhöz van szükség, amelyekhez hozzárendelte. Miután az alkalmazás telepítette a Configuration Manager-ügyfelet egy eszközre, azt a társfelügyelet felügyeli.

Összefoglalás

Az oktatóanyag konfigurációs lépéseinek elvégzése után megkezdheti az eszközök közös kezelését.

Következő lépések

• Tekintse át a közösen felügyelt eszközök állapotát a Megosztott kezelés irányítópult használatával.
• Új eszközök kiépítése a Windows Autopilot használatával.
• A feltételes hozzáférés és az Intune megfelelőségi szabályaival kezelheti a vállalati erőforrásokhoz való felhasználói hozzáférést.