Carichi di lavoro di co-gestione

  • Articolo

Non è necessario cambiare uno dei carichi di lavoro. Quando sei pronto, puoi cambiarli singolarmente, diversi contemporaneamente o tutti contemporaneamente. Tuttavia, finché non si passa i carichi di lavoro a Intune, Configuration Manager continua a gestire i carichi di lavoro che non si passa a Intune, insieme a tutte le altre funzionalità di Configuration Manager che la co-gestione non supporta.

Se si passa un carico di lavoro a Intune, ma in seguito si cambia idea, è possibile tornare a Configuration Manager, anche se potrebbe esserci un impatto. Ad esempio, le versioni di Windows e Office rimarranno in una versione successiva se installate da Intune.

La co-gestione supporta i carichi di lavoro seguenti:

Criteri di conformità

I criteri di conformità definiscono le regole e le impostazioni che un dispositivo deve avere per essere considerato conforme dai criteri di accesso condizionale. Usare questi criteri anche per monitorare e correggere i problemi di conformità dei dispositivi, indipendentemente dall'accesso condizionale. È possibile aggiungere la valutazione delle baseline di configurazione personalizzate come regola di valutazione dei criteri di conformità. Per altre informazioni, vedere Includere linee di base di configurazione personalizzate come parte della valutazione dei criteri di conformità.

Per altre informazioni sulla funzionalità Intune, vedere Usare i criteri di conformità per impostare le regole per i dispositivi gestiti con Intune.

Criteri di Windows Update

Windows Update criteri per le aziende consentono di configurare i criteri di differimento per gli aggiornamenti delle funzionalità di Windows 10 o versioni successive o gli aggiornamenti qualitativi per i dispositivi Windows 10 o successivi gestiti direttamente da Windows Update per le aziende.

Nota

Per usare Windows Autopatch con questi dispositivi, questo carico di lavoro deve essere gestito da Intune. Per altre informazioni, vedere Prerequisiti per la creazione automatica di pacchetti di Windows.

Per altre informazioni sulla funzionalità Intune, vedere Gestire gli aggiornamenti software Windows in Intune.

Criteri di accesso alle risorse

Importante

A partire dalla versione 2203, queste funzionalità di accesso alle risorse aziendali di Configuration Manager e questo carico di lavoro di co-gestione non sono più supportati. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.

I criteri di accesso alle risorse configurano le impostazioni relative a VPN, Wi-Fi, posta elettronica e certificati per i dispositivi.

Per altre informazioni sulla funzionalità Intune, vedere Distribuire i profili di accesso alle risorse.

Nota

Anche il carico di lavoro accesso alle risorse fa parte della configurazione del dispositivo. Questi criteri vengono gestiti da Intune quando si passa al carico di lavoro Configurazione dispositivo.

Endpoint Protection

Il carico di lavoro di Endpoint Protection include la suite defender di funzionalità di protezione:

  • Antivirus Microsoft Defender
  • Microsoft Defender Application Guard
  • Microsoft Defender SmartScreen
  • Microsoft Defender per endpoint (formalmente noto come Windows Defender Advanced Threat Protection)
  • Windows Defender Firewall
  • Crittografia Windows (nota anche come BitLocker)
  • Windows Defender Exploit Guard
  • Controllo di applicazioni di Windows Defender
  • Windows Defender Security Center

Per altre informazioni sulla funzionalità Intune, vedere impostazioni Windows 10 (e versioni successive) per proteggere i dispositivi usando Intune.

Nota

Quando si cambia questo carico di lavoro, i criteri di Configuration Manager rimangono nel dispositivo fino a quando i criteri di Intune non li sovrascrivono. Questo comportamento assicura che il dispositivo abbia ancora criteri di protezione durante la transizione.

Anche il carico di lavoro di Endpoint Protection fa parte della configurazione del dispositivo. Lo stesso comportamento si applica quando si passa al carico di lavoro Configurazione dispositivo .

Quando il carico di lavoro di Endpoint Protection risiede con Intune, le impostazioni di Windows Information Protection verranno applicate sia da Configuration Manager che da Intune. Configuration Manager continuerà ad applicare i criteri di Windows Information Protection fino a quando il carico di lavoro Configurazione dispositivo non verrà spostato in Intune.

Le impostazioni Microsoft Defender Antivirus che fanno parte del tipo di profilo Restrizioni del dispositivo per Intune Configurazione del dispositivo non sono incluse nell'ambito del dispositivo di scorrimento di Endpoint Protection. Per gestire Microsoft Defender Antivirus per i dispositivi co-gestiti con il dispositivo di scorrimento di Endpoint Protection abilitato, usare i nuovi criteri antivirus in Microsoft Intune'interfaccia> di amministrazioneEndpoint security>Antivirus. Il nuovo tipo di criterio include opzioni nuove e migliorate e supporta tutte le stesse impostazioni disponibili nel profilo Restrizioni del dispositivo.

La funzionalità Crittografia Windows include la gestione di BitLocker. Per altre informazioni sul comportamento di questa funzionalità con la co-gestione, vedere Distribuire la gestione di BitLocker.

Configurazione delle periferiche

Il carico di lavoro di configurazione del dispositivo include le impostazioni gestite per i dispositivi dell'organizzazione. Se si cambia questo carico di lavoro, vengono spostati anche i carichi di lavoro Accesso alle risorse ed Endpoint Protection .

È comunque possibile distribuire le impostazioni da Configuration Manager ai dispositivi co-gestiti anche se Intune è l'autorità di configurazione del dispositivo. Questa eccezione può essere usata per configurare le impostazioni richieste dall'organizzazione ma non ancora disponibili in Intune. Specificare questa eccezione in una baseline di configurazione Configuration Manager. Abilitare l'opzione Applica sempre questa baseline anche per i client co-gestiti durante la creazione della baseline. È possibile modificarlo in un secondo momento nella scheda Generale delle proprietà di una linea di base esistente.

Per usare Windows Autopatch con questi dispositivi, questo carico di lavoro deve essere gestito da Intune. Per altre informazioni, vedere Prerequisiti per la creazione automatica di pacchetti di Windows.

Per altre informazioni sulla funzionalità Intune, vedere Creare un profilo di dispositivo in Microsoft Intune.

Nota

Un criterio creato dal catalogo delle impostazioni è controllato dal dispositivo di scorrimento del carico di lavoro Configurazione dispositivo indipendentemente dal contenuto dei criteri.

Quando si cambia il carico di lavoro di configurazione del dispositivo, include anche i criteri per la funzionalità Windows Information Protection. Solo i criteri di Intune verranno applicati dopo lo spostamento del carico di lavoro Configurazione dispositivo in Intune.

Nota

Per rimuovere le impostazioni di Endpoint Protection, è necessario cambiare anche il carico di lavoro Configurazione dispositivo.

App A portata di clic di Office

Questo carico di lavoro gestisce Microsoft 365 Apps nei dispositivi co-gestiti.

  • Dopo lo spostamento del carico di lavoro, l'app viene visualizzata nel Portale aziendale nel dispositivo

  • Gli aggiornamenti di Office possono richiedere circa 24 ore prima di essere visualizzati nei client, a meno che i dispositivi non vengano riavviati

  • È presente una condizione globale aggiunta per impostazione predefinita come requisito per le nuove applicazioni Microsoft 365. Quando si trasferisce questo carico di lavoro, i client in co-gestione non soddisfano il requisito relativo all'applicazione. Non installano quindi Microsoft 365 distribuito da Configuration Manager. La condizione globale è denominata:

    • App di Microsoft 365 gestite da Microsoft Intune (versione 2111 o successiva)
    • Le applicazioni Office 365 sono gestite da Intune nel dispositivo (versione 2107 e precedenti)

Aggiornamenti può essere gestito usando una delle funzionalità seguenti:

Nota

Per usare Windows Autopatch con questi dispositivi, questo carico di lavoro deve essere gestito da Intune. Per altre informazioni, vedere Prerequisiti per la creazione automatica di pacchetti di Windows.

Per altre informazioni sulla funzionalità Intune, vedere Aggiungere app di Microsoft 365 ai dispositivi Windows con Microsoft Intune.

App client

Consiglio

Questa funzionalità può essere visualizzata nell'elenco delle funzionalità come app per dispositivi mobili per dispositivi co-gestiti.

Usare Intune per gestire le app client e gli script di PowerShell in dispositivi Windows 10 co-gestiti o versioni successive. Dopo il trasferimento di questo carico di lavoro, qualsiasi app disponibile distribuita da Intune sarà disponibile nel portale aziendale. Le app distribuite da Configuration Manager sono disponibili in Software Center.

Per altre informazioni sulla funzionalità Intune, vedere Che cos'è Microsoft Intune gestione delle app?

Nota

In Windows 10 versione 1903 e successive, gli script di PowerShell vengono ancora eseguiti nei dispositivi co-gestiti anche se il carico di lavoro App client non è stato impostato su Intune.

Quando abiliti Microsoft Connected Cache nei punti di distribuzione Configuration Manager, possono servire Microsoft Intune app Win32 ai client co-gestiti. Per altre informazioni, vedere Microsoft Connected Cache in Configuration Manager.

Diagramma per i carichi di lavoro delle app

Diagramma dei carichi di lavoro delle app di co-gestione.

Consiglio

È possibile configurare il Portale aziendale per visualizzare anche le app Configuration Manager. Se si modifica l'esperienza del portale app, vengono modificati i comportamenti descritti nel diagramma precedente. Per altre informazioni, vedere Usare l'app Portale aziendale nei dispositivi co-gestiti.

Passaggi successivi

Come cambiare i carichi di lavoro