Abilitare il collegamento tenant di Microsoft Endpoint Manager: Sincronizzazione del dispositivo e azioni del dispositivo

Si applica a: Configuration Manager (Current Branch)

Microsoft Endpoint Manager è una soluzione integrata per la gestione di tutti i dispositivi. Microsoft ha riunito Configuration Manager e Intune in un'unica console denominata Interfaccia di amministrazione di Microsoft Endpoint Manager. È possibile caricare i dispositivi Configuration Manager nel servizio cloud ed eseguire azioni dal pannello Dispositivi nell'interfaccia di amministrazione.

Importante

Quando si collega il sito Configuration Manager a un tenant di Microsoft Intune, il sito invia altri dati a Microsoft. L'articolo Sulla raccolta dei dati del collegamento del tenant riepiloga i dati inviati.

Abilitare il caricamento del dispositivo quando la co-gestione è già abilitata

Se la co-gestione è attualmente abilitata, si useranno le proprietà di co-gestione per abilitare il caricamento del dispositivo. Quando la co-gestione non è già abilitata, usare la Configurazione guidata collegamento cloud per abilitare invece il caricamento del dispositivo. Prima di abilitare il collegamento del tenant, verificare che i prerequisiti per il collegamento al tenant siano stati soddisfatti.

Quando la co-gestione è già abilitata, modificare le proprietà di co-gestione per abilitare il caricamento del dispositivo usando le istruzioni seguenti:

  1. Nella console di amministrazione Configuration Manager passare aPanoramica>dell'amministrazione> Servizi cloud >Collegamento cloud.
    • Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.
  2. Nella barra multifunzione selezionare Proprietà per i criteri di produzione di co-gestione.
  3. Nella scheda Configura caricamento selezionare Carica nell'interfaccia di amministrazione di Microsoft Endpoint Manager. Selezionare Applica.
    • L'impostazione predefinita per il caricamento del dispositivo è Tutti i miei dispositivi gestiti da Microsoft Endpoint Configuration Manager. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi.
    • Quando viene selezionata una singola raccolta, vengono caricate anche le raccolte figlio.
  4. Selezionare l'opzione Abilita analisi degli endpoint per i dispositivi caricati in Microsoft Endpoint Manager se si vogliono anche ottenere informazioni dettagliate per ottimizzare l'esperienza dell'utente finale in Endpoint Analytics.
  5. Selezionare l'opzione Imponi Controllo di accesso in base al ruolo per i dispositivi caricati nel servizio cloud. Per impostazione predefinita, il controllo degli accessi in base al ruolo sccm verrà applicato insieme al controllo degli accessi in base al ruolo di Intune quando si caricano i dispositivi Configuration Manager nel servizio cloud. Di conseguenza, la casella di controllo verrà selezionata per impostazione predefinita. Se si vuole applicare solo il controllo degli accessi in base al ruolo di Intune, è possibile deselezionare la casella. Tuttavia, l'imposizione del controllo degli accessi in base al ruolo di Intune non verrà applicata solo in questo momento. Le note sulla versione e le novità di Intune verranno aggiornate quando si è in grado di applicare solo il controllo degli accessi in base al ruolo di Intune.

Importante

Quando si abilita il caricamento dei dati dell’Analisi degli endpoint, le impostazioni client predefinite verranno aggiornate automaticamente per consentire agli endpoint gestiti di inviare dati pertinenti al server del sito di Configuration Manager. Se si utilizzano impostazioni client personalizzate, potrebbe essere necessario aggiornarle e distribuirle di nuovo per la raccolta dei dati. Per altri dettagli su questo, oltre a come configurare la raccolta dati, ad esempio per limitare la raccolta solo a un set specifico di dispositivi, vedere la sezione sulla configurazione della raccolta dati dell’Analisi degli endpoint.

Screenshot che mostra come caricare i dispositivi nell'interfaccia di amministrazione di Microsoft Endpoint Manager.

  1. Accedere con l'account amministratore globale quando richiesto.
  2. Selezionare per accettare la notifica Crea applicazione AAD . Questa azione esegue il provisioning di un'entità servizio e crea una registrazione dell'applicazione Azure AD per facilitare la sincronizzazione.
  3. Scegliere OK per uscire dalle proprietà di co-gestione dopo aver apportato modifiche.

Abilitare il caricamento del dispositivo quando la co-gestione non è abilitata

Se la co-gestione non è abilitata, si userà la Configurazione guidata collegamento cloud per abilitare il caricamento del dispositivo. È possibile caricare i dispositivi senza abilitare la registrazione automatica per la co-gestione o il passaggio dei carichi di lavoro a Intune. Tutti i dispositivi gestiti da Configuration Manager che hanno nella colonna Client verranno caricati. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi. Se la co-gestione è già abilitata nell'ambiente, modificare le proprietà di co-gestione per abilitare invece il caricamento del dispositivo. Prima di abilitare il collegamento del tenant, verificare che i prerequisiti per il collegamento al tenant siano stati soddisfatti.

Quando la co-gestione non è abilitata, usare le istruzioni seguenti per abilitare il caricamento del dispositivo:

  1. Nella console di amministrazione Configuration Manager passare aPanoramica>dell'amministrazione> Servizi cloud >Collegamento cloud. Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.

    • A partire da Configuration Manager versione 2111, l'esperienza di onboarding del collegamento del tenant è cambiata. La procedura guidata per il collegamento al cloud semplifica l'abilitazione del collegamento al tenant e di altre funzionalità cloud. È possibile scegliere un set semplificato di impostazioni predefinite consigliate o personalizzare le funzionalità di collegamento cloud. Per altre informazioni sull'abilitazione del collegamento tenant con la nuova procedura guidata, vedere Abilitare il collegamento cloud.
  2. Nella barra multifunzione selezionare Configura collegamento cloud per aprire la procedura guidata. Per la versione 2103 e precedenti, selezionare Configura co-gestione per aprire la procedura guidata.

  3. Nella pagina di onboarding selezionare AzurePublicCloud per l'ambiente. Cloud di Azure per enti pubblici e Azure China (21Vianet) non sono supportati.

    • A partire dalla versione 2107, i clienti del governo degli Stati Uniti possono selezionare AzureUSGovernmentCloud.
  4. Scegliere Accedi. Usare l'account Amministratore globale per accedere.

  5. Verificare che l'opzione Abilita interfaccia di amministrazione di Microsoft Endpoint Manager sia selezionata nella pagina Collegamento cloud . Per la versione 2103 e precedenti, selezionare l'opzione Carica nell'interfaccia di amministrazione di Microsoft Endpoint Manager nella pagina Onboarding tenant .

    • Assicurarsi che l'opzione Abilita registrazione client automatica per la co-gestione non sia selezionata se non si vuole abilitare la co-gestione ora. Se si vuole abilitare la co-gestione, selezionare l'opzione .
    • Se si abilita la co-gestione insieme al caricamento del dispositivo, verranno fornite altre pagine della procedura guidata da completare. Per altre informazioni, vedere Abilitare la co-gestione.

    Configurazione guidata co-gestione

  6. Scegliere Avanti e quindi per accettare la notifica Crea applicazione AAD . Questa azione esegue il provisioning di un'entità servizio e crea una registrazione dell'applicazione Azure AD per facilitare la sincronizzazione.

  7. Nella pagina Configura caricamento selezionare l'impostazione di caricamento del dispositivo consigliata per Tutti i dispositivi gestiti da Microsoft Endpoint Configuration Manager. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi.

    • Quando viene selezionata una singola raccolta, vengono caricate anche le raccolte figlio.
  8. Selezionare l'opzione Abilita analisi degli endpoint per i dispositivi caricati in Microsoft Endpoint Manager se si vuole anche ottenere informazioni dettagliate per ottimizzare l'esperienza dell'utente finale in Endpoint Analytics.

  9. Selezionare Riepilogo per rivedere la selezione, quindi scegliere Avanti.

  10. Al termine della procedura guidata, selezionare Chiudi.

Tag di ambito

I dispositivi collegati al tenant ricevono il tag di ambito predefinito da Microsoft Intune. Se si rimuove il tag di ambito predefinito da un dispositivo collegato al tenant, il dispositivo non verrà visualizzato affatto nell'interfaccia di amministrazione di Microsoft Endpoint Manager. Attualmente, ai dispositivi collegati al tenant non è possibile assegnare tag di ambito a differenza dei dispositivi co-gestiti .

Tuttavia, a volte non si vuole che alcuni ruoli di Intune vedano i dispositivi collegati al tenant. Ad esempio, potrebbe non essere necessario che un utente con il ruolo operatore help desk di Intune veda i dispositivi collegati al tenant perché sono server. In questi casi, creare o usare un ruolo personalizzato in Intune che non dispone di Default elencato per i tag Scope. Quando si creano ruoli personalizzati di Intune, tenere presente che il tag di ambito predefinito viene aggiunto automaticamente a tutti gli oggetti senza tag.

Eseguire le azioni del dispositivo

  1. In un browser passare a endpoint.microsoft.com

  2. Selezionare Dispositivi e quindi Tutti i dispositivi per visualizzare i dispositivi caricati. ConfigMgr verrà visualizzato nella colonna Managed by per i dispositivi caricati. Tutti i dispositivi nell'interfaccia di amministrazione di Microsoft Endpoint Manager

  3. Selezionare un dispositivo per caricare la pagina Panoramica .

  4. Scegliere una delle azioni seguenti:

    • Sincronizzazione dei criteri del computer
    • Sincronizzazione dei criteri utente
    • Ciclo di valutazione app

    Panoramica dei dispositivi nell'interfaccia di amministrazione di Microsoft Endpoint Manager

Visualizzare lo stato del connettore Configuration Manager dalla console di amministrazione

Dall'interfaccia di amministrazione di Microsoft Endpoint Manager è possibile esaminare lo stato del connettore Configuration Manager. Per visualizzare lo stato del connettore, passare aConnettori diamministrazione> tenant e token >Microsoft Endpoint Configuration Manager. Selezionare una gerarchia Configuration Manager per visualizzare informazioni aggiuntive.

Connettore microsoft endpoint Configuration Manager nell'interfaccia di amministrazione

Offboard dal collegamento tenant

Anche se sappiamo che i clienti ottengono un valore enorme abilitando il collegamento del tenant, esistono rari casi in cui potrebbe essere necessario eseguire l'offboarding di una gerarchia. È possibile eseguire l'offboarding dalla console Configuration Manager (metodo consigliato) o dall'interfaccia di amministrazione di Microsoft Endpoint Manager.

Offboard dalla console Configuration Manager

Quando il collegamento tenant è già abilitato, modificare le proprietà di co-gestione per disabilitare il caricamento e l'offboard del dispositivo.

  1. Nella console di amministrazione Configuration Manager passare aPanoramica>dell'amministrazione> Servizi cloud >Collegamento cloud.
    • Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.
  2. Nella barra multifunzione selezionare Proprietà per i criteri di produzione di co-gestione.
  3. Nella scheda Configura caricamento rimuovere la selezione dell'interfaccia di amministrazione di Upload to Microsoft Endpoint Manager .In the Configure upload tab, remove the Upload to Microsoft Endpoint Manager admin center selection.
  4. Selezionare Applica.

Offboard dall'interfaccia di amministrazione di Microsoft Endpoint Manager

Se necessario, è possibile eseguire l'offboarding di una gerarchia Configuration Manager dall'interfaccia di amministrazione di Microsoft Endpoint Manager. Ad esempio, potrebbe essere necessario eseguire l'offboarding dall'interfaccia di amministrazione in seguito a uno scenario di ripristino di emergenza in cui l'ambiente locale è stato rimosso. Seguire la procedura seguente per rimuovere la gerarchia di Configuration Manager dall'interfaccia di amministrazione di Microsoft Endpoint Manager:

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare Amministrazione tenant , quindi Connettori e token.
  3. Selezionare Microsoft Endpoint Configuration Manager.
  4. Scegliere il nome del sito da disattivare, quindi selezionare Elimina.
    • Il connettore può essere elencato come Sconosciuto se le informazioni sul sito non sono disponibili.

Quando si esegue l'offboarding di una gerarchia dall'interfaccia di amministrazione, la rimozione dall'interfaccia di amministrazione di Microsoft Endpoint Manager può richiedere fino a due ore. Se si esegue l'offboarding di un sito Configuration Manager 2103 o versione successiva online e integro, il processo potrebbe richiedere solo alcuni minuti.

Nota

Se si usano ruoli controllo degli accessi in base al ruolo personalizzati con Intune, sarà necessario concedereall'eliminazione dell'organizzazione l'autorizzazione> per l'offboarding di una gerarchia.

Importare un'applicazione Azure AD creata in precedenza (facoltativo)

Durante un nuovo onboarding, un amministratore può specificare un'applicazione creata in precedenza durante l'onboarding al collegamento tenant. Non condividere o riutilizzare applicazioni Azure AD in più gerarchie. Se si dispone di più gerarchie, creare applicazioni Azure AD separate per ognuna.

Nella pagina di onboarding della Configurazione guidata Collegamento cloud (Configurazione guidata co-gestione nelle versioni 2103 e precedenti) selezionare Facoltativamente importare un'app Web separata per sincronizzare Configuration Manager dati client nell'interfaccia di amministrazione di Microsoft Endpoint Manager. Questa opzione richiederà di specificare le informazioni seguenti per l'app Azure AD:

  • Nome tenant di Azure AD
  • Azure AD tenant ID
  • Nome applicazione
  • ID client
  • Chiave privata
  • Scadenza della chiave privata
  • App ID URI

Importante

  • L'URI dell'ID app deve usare uno dei formati seguenti:

    • api://{tenantId}/{string}Per esempio api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}Per esempio https://contoso.onmicrosoft.com/ConfigMgrService

    Per altre informazioni sulla creazione di un'app Azure AD, vedere Configurare i servizi di Azure.

  • Quando si usa un'app Azure AD importata, non si riceve una notifica di una data di scadenza imminente dalle notifiche della console.

Autorizzazioni e configurazione dell'applicazione Azure AD

L'uso di un'applicazione creata in precedenza durante l'onboarding nel collegamento al tenant richiede le autorizzazioni seguenti:

  • Configuration Manager autorizzazioni microservizio:

    • CmCollectionData.read
    • CmCollectionData.write
  • Autorizzazioni di Microsoft Graph:

  • Assicurarsi che l'opzione Concedi consenso amministratore per il tenant sia selezionata per l'applicazione Azure AD. Per altre informazioni, vedere Concedere il consenso amministratore in Registrazioni app.

  • L'applicazione importata deve essere configurata come segue:

Passaggi successivi