Delen via


Zelfstudie: Co-beheer inschakelen voor bestaande Configuration Manager-clients

Met co-beheer kunt u uw gevestigde processen behouden voor het gebruik van Configuration Manager voor het beheren van pc's in uw organisatie. Tegelijkertijd investeert u in de cloud door gebruik te maken van Intune voor beveiliging en moderne inrichting.

In deze zelfstudie stelt u co-beheer in van uw Windows 10- of hoger-apparaten die al zijn ingeschreven bij Configuration Manager. Deze zelfstudie begint met het uitgangspunt dat u Configuration Manager al gebruikt voor het beheren van uw Windows 10- of hoger-apparaten.

Gebruik deze zelfstudie wanneer:

  • U hebt een on-premises Active Directory die u kunt verbinden met Microsoft Entra ID in een hybride Microsoft Entra-configuratie.

    Als u geen hybride Microsoft Entra ID kunt implementeren die wordt toegevoegd aan uw on-premises AD met Microsoft Entra ID, raden we u aan onze begeleidende zelfstudie Inschakelen voor nieuwe internetgebaseerde Windows 10- of hoger-apparaten te volgen.

  • U hebt bestaande Configuration Manager-clients die u in de cloud wilt koppelen.

In deze zelfstudie gaat u het volgende doen:

  • Vereisten voor Azure en uw on-premises omgeving controleren
  • Hybride Microsoft Entra-id instellen
  • Configuration Manager-clientagents configureren om te registreren met Microsoft Entra ID
  • Intune configureren om apparaten automatisch in te schrijven
  • Co-beheer inschakelen in Configuration Manager

Vereisten

Azure-services en -omgeving

  • Azure-abonnement (gratis proefversie)

  • Microsoft Entra ID P1 of P2

  • Microsoft Intune-abonnement

    Tip

    Een Abonnement op Enterprise Mobility + Security (EMS) omvat zowel Microsoft Entra ID P1 of P2 als Microsoft Intune. EMS-abonnement (gratis proefversie).

Als u nog niet in uw omgeving aanwezig bent, configureert u Tijdens deze zelfstudie Microsoft Entra Connect tussen uw on-premises Active Directory en uw Microsoft Entra-tenant.

Opmerking

Apparaten die alleen zijn geregistreerd bij Microsoft Entra ID, worden niet ondersteund met co-beheer. Deze configuratie wordt ook wel werkplek gekoppeld genoemd. Ze moeten worden gekoppeld aan Microsoft Entra ID of Microsoft Entra hybrid joined. Zie Apparaten verwerken met de geregistreerde Microsoft Entra-status voor meer informatie.

On-premises infrastructuur

  • Een ondersteunde versie van De huidige vertakking van Configuration Manager
  • De MDM-instantie (Mobile Device Management) moet zijn ingesteld op Intune.

Machtigingen

Gebruik in deze zelfstudie de volgende machtigingen om taken te voltooien:

  • Een account dat een domeinbeheerder is in uw on-premises infrastructuur
  • Een account dat een volledige beheerder is voor alle bereiken in Configuration Manager
  • Een account dat een globale beheerder is in Microsoft Entra ID
    • Zorg ervoor dat u een Intune-licentie hebt toegewezen aan het account waarmee u zich aanmeldt bij uw tenant. Anders mislukt het aanmelden met het foutbericht Er is een onverwachte fout opgetreden.

Hybride Microsoft Entra-id instellen

Wanneer u een hybride Microsoft Entra ID instelt, stelt u de integratie van een on-premises AD met Microsoft Entra ID in met behulp van Microsoft Entra Connect en Active Directory Federated Services (ADFS). Als de configuratie is voltooid, kunnen uw werknemers zich naadloos aanmelden bij externe systemen met hun on-premises AD-referenties.

Belangrijk

In deze zelfstudie wordt een bare-bones-proces beschreven voor het instellen van hybride Microsoft Entra ID voor een beheerd domein. We raden u aan bekend te zijn met het proces en niet te vertrouwen op deze zelfstudie als uw handleiding voor het begrijpen en implementeren van hybride Microsoft Entra ID.

Begin met de volgende artikelen in de Microsoft Entra-documentatie voor meer informatie over hybride Microsoft Entra ID:

Microsoft Entra Connect instellen

Voor hybride Microsoft Entra ID is configuratie van Microsoft Entra Connect vereist om computeraccounts in uw on-premises Active Directory (AD) en het apparaatobject in Microsoft Entra ID gesynchroniseerd te houden.

Vanaf versie 1.1.819.0 biedt Microsoft Entra Connect u een wizard om Microsoft Entra Hybrid Join te configureren. Het gebruik van deze wizard vereenvoudigt het configuratieproces.

Als u Microsoft Entra Connect wilt configureren, hebt u referenties nodig van een globale beheerder voor Microsoft Entra ID. De volgende procedure moet niet worden beschouwd als gezaghebbend voor het instellen van Microsoft Entra Connect, maar wordt hier aangeboden om de configuratie van co-beheer tussen Intune en Configuration Manager te stroomlijnen. Zie Microsoft Entra Hybrid Join configureren voor beheerde domeinen in de Microsoft Entra-documentatie voor de gezaghebbende inhoud over deze en gerelateerde procedures voor het instellen van Microsoft Entra ID.

Een Hybride Koppeling van Microsoft Entra configureren met Behulp van Microsoft Entra Connect

  1. Download en installeer de nieuwste versie van Microsoft Entra Connect (1.1.819.0 of hoger).

  2. Start Microsoft Entra Connect en selecteer vervolgens Configureren.

  3. Selecteer op de pagina Aanvullende takende optie Apparaatopties configureren en selecteer vervolgens Volgende.

  4. Selecteer volgende op de pagina Overzicht.

  5. Voer op de pagina Verbinding maken met Microsoft Entra ID de referenties in van een globale beheerder voor Microsoft Entra ID.

  6. Selecteer op de pagina Apparaatoptiesde optie Microsoft Entra Hybrid Join configureren en selecteer vervolgens Volgende.

  7. Selecteer op de pagina Apparaatbesturingssystemen de besturingssystemen die door apparaten in uw Active Directory-omgeving worden gebruikt en selecteer volgende.

    U kunt de optie selecteren om windows-apparaten met een downlevel domein te ondersteunen, maar houd er rekening mee dat co-beheer van apparaten alleen wordt ondersteund voor Windows 10 of hoger.

  8. Voer op de pagina SCP voor elk on-premises forest waarvoor Microsoft Entra Connect het serviceverbindingspunt (SCP) moet configureren de volgende stappen uit en selecteer volgende:

    1. Selecteer het forest.
    2. Selecteer de verificatieservice. Als u een federatief domein hebt, selecteert u AD FS-server, tenzij uw organisatie uitsluitend Windows 10- of hoger-clients heeft en u computer-/apparaatsynchronisatie hebt geconfigureerd of uw organisatie naadloze eenmalige aanmelding gebruikt.
    3. Klik op Toevoegen om de referenties van de ondernemingsbeheerder in te voeren.
  9. Als u een beheerd domein hebt, slaat u deze stap over.

    Voer op de pagina Federatieconfiguratie de referenties van uw AD FS-beheerder in en selecteer volgende.

  10. Selecteer configureren op de pagina Gereed om te configureren.

  11. Selecteer op de pagina Configuratie voltooidde optie Afsluiten.

Als u problemen ondervindt met het voltooien van Microsoft Entra Hybrid Join voor Windows-apparaten die lid zijn van een domein, raadpleegt u Problemen met Hybride deelname van Microsoft Entra voor huidige Windows-apparaten oplossen.

Clientinstellingen configureren om clients te laten registreren met Microsoft Entra ID

Gebruik Clientinstellingen om Configuration Manager-clients te configureren om automatisch te registreren met Microsoft Entra ID.

  1. Open de Configuration Manager-console>Beheeroverzicht>>Clientinstellingen en bewerk vervolgens de standaardclientinstellingen.

  2. Selecteer Cloudservices.

  3. Stel op de pagina Standaardinstellingenautomatisch nieuwe Windows 10-domein gekoppelde apparaten met Microsoft Entra ID in op = Ja.

  4. Selecteer OK om deze configuratie op te slaan.

Automatische inschrijving van apparaten bij Intune configureren

Vervolgens gaan we automatische inschrijving van apparaten met Intune instellen. Met automatische inschrijving worden apparaten die u beheert met Configuration Manager automatisch ingeschreven bij Intune.

Met automatische inschrijving kunnen gebruikers ook hun Windows 10- of hoger-apparaten inschrijven bij Intune. Apparaten worden ingeschreven wanneer een gebruiker zijn werkaccount toevoegt aan het apparaat in persoonlijk eigendom of wanneer een apparaat in bedrijfseigendom is toegevoegd aan Microsoft Entra ID.

  1. Meld u aan bij Azure Portal en selecteer Microsoft Entra ID>Mobility (MDM en MAM)>Microsoft Intune.

  2. MDM-gebruikersbereik configureren. Geef een van de volgende opties op om te configureren welke apparaten van gebruikers worden beheerd door Microsoft Intune en accepteer de standaardwaarden voor de URL-waarden.

    • Sommige: Selecteer de groepen die automatisch hun Windows 10- of hoger-apparaten kunnen inschrijven

    • Alle: alle gebruikers kunnen hun Windows 10- of hoger-apparaten automatisch inschrijven

    • Geen: automatische mdm-inschrijving uitschakelen

    Belangrijk

    Als zowel MAM-gebruikersbereik als automatische MDM-inschrijving (MDM-gebruikersbereik) zijn ingeschakeld voor een groep, wordt alleen MAM ingeschakeld. Alleen Mobile Application Management (MAM) wordt toegevoegd voor gebruikers in die groep wanneer ze deelnemen aan een persoonlijk apparaat. Apparaten worden niet automatisch geregistreerd bij MDM.

    Wanneer Configuration Manager is ingesteld op het inschrijven van apparaten bij Intune, moet u nog steeds het MDM-gebruikersbereik voor apparaattokeninschrijving wijzigen. Configuration Manager gebruikt de MDM-URL's die worden opgeslagen in de sitedatabase om te controleren of de client tot de verwachte Intune-tenant behoort.

  3. Selecteer Opslaan om de configuratie van automatische inschrijving te voltooien.

  4. Ga terug naar Mobility (MDM en MAM) en selecteer microsoft Intune-inschrijving.

    Opmerking

    Sommige tenants hebben deze opties mogelijk niet om te configureren.

    In Microsoft Intune configureert u de MDM-app voor Microsoft Entra ID. Microsoft Intune-inschrijving is een specifieke Microsoft Entra-app die wordt gemaakt wanneer u multi-factor authentication-beleid toepast voor iOS- en Android-inschrijving. Zie Meervoudige verificatie vereisen voor Intune-apparaatinschrijvingen voor meer informatie.

  5. Voor MDM-gebruikersbereik selecteert u Alle en vervolgens Opslaan.

Co-beheer inschakelen in Configuration Manager

Met hybride Microsoft Entra-configuraties en Configuration Manager-clientconfiguraties kunt u de switch omdraaien en co-beheer van uw Windows 10- of hoger-apparaten inschakelen. De woordgroep Testgroep wordt gebruikt in de dialoogvensters voor co-beheer en configuratie. Een testgroep is een verzameling die een subset van uw Configuration Manager-apparaten bevat. Gebruik een testgroep voor uw eerste tests en voeg zo nodig apparaten toe totdat u klaar bent om de workloads voor alle Configuration Manager-apparaten te verplaatsen. Er is geen tijdslimiet voor hoe lang een testgroep kan worden gebruikt voor workloads. Een testgroep kan voor onbepaalde tijd worden gebruikt als u de workload niet naar alle Configuration Manager-apparaten wilt verplaatsen.

Wanneer u co-beheer inschakelt, wijst u een verzameling toe als een testgroep. Dit is een groep met een klein aantal clients om uw co-beheerconfiguraties te testen. U wordt aangeraden een geschikte verzameling te maken voordat u met de procedure begint. Vervolgens kunt u die verzameling selecteren zonder de procedure hiervoor af te sluiten. Mogelijk hebt u meerdere verzamelingen nodig omdat u voor elke workload een andere testgroep kunt toewijzen.

Opmerking

Omdat apparaten zijn ingeschreven in de Microsoft Intune-service op basis van het Microsoft Entra-apparaattoken en niet een gebruikerstoken, is alleen de standaardbeperking voor Intune-inschrijving van toepassing op de inschrijving.

Co-beheer inschakelen voor versies 2111 en hoger

Vanaf Configuration Manager versie 2111 is de onboarding-ervaring voor co-beheer gewijzigd. Met de wizard Cloudkoppelingsconfiguratie kunt u co-beheer en andere cloudfuncties eenvoudiger inschakelen. U kunt een gestroomlijnde set aanbevolen standaardinstellingen kiezen of uw cloudkoppelingsfuncties aanpassen. Er is ook een nieuwe ingebouwde apparaatverzameling voor in aanmerking komende apparaten voor co-beheer om u te helpen bij het identificeren van clients. Zie Cloudkoppeling inschakelen voor meer informatie over het inschakelen van co-beheer.

Opmerking

Met de nieuwe wizard verplaatst u workloads niet op hetzelfde moment dat u co-beheer inschakelt. Als u workloads wilt verplaatsen, bewerkt u de eigenschappen voor co-beheer nadat u cloudkoppeling hebt ingeschakeld.

Co-beheer inschakelen voor versies 2107 en eerder

Wanneer u co-beheer inschakelt, kunt u de openbare Azure-cloud, Azure Government-cloud of Azure China 21Vianet-cloud (toegevoegd in versie 2006) gebruiken. Volg deze instructies om co-beheer in te schakelen:

  1. Ga in de Configuration Manager-console naar de werkruimte Beheer , vouw Cloud Services uit en selecteer het knooppunt Cloud koppelen . Selecteer Cloudkoppeling configureren op het lint om de wizard Cloudkoppeling configureren te openen.

    Voor versie 2103 en eerder vouwt u CloudServices uit en selecteert u het knooppunt Co-beheer . Selecteer Co-beheer configureren op het lint om de wizard Co-beheer configureren te openen.

  2. Kies op de onboarding-pagina van de wizard voor Azure-omgeving een van de volgende omgevingen:

    • Openbare Azure-cloud

    • Azure Government-cloud

    • Azure China-cloud (toegevoegd in versie 2006)

      Opmerking

      Werk de Configuration Manager-client bij naar de nieuwste versie op uw apparaten voordat u onboardt naar de Azure China-cloud.

    Wanneer u de Azure China-cloud of Azure Government-cloud selecteert, is de optie Uploaden naar Microsoft Endpoint Manager-beheercentrum voor tenantkoppeling uitgeschakeld.

  3. Selecteer Aanmelden. Meld u aan als globale beheerder van Microsoft Entra en selecteer volgende. U meldt zich eenmalig aan voor deze wizard. De referenties worden niet elders opgeslagen of hergebruikt.

  4. Kies op de pagina Inschakelen de volgende instellingen:

    • Automatische inschrijving in Intune: hiermee schakelt u automatische clientinschrijving in Intune in voor bestaande Configuration Manager-clients. Met deze optie kunt u co-beheer inschakelen voor een subset van clients om eerst co-beheer te testen en vervolgens co-beheer te implementeren met behulp van een gefaseerde benadering. Als de gebruiker de registratie van een apparaat ongedaan maken, wordt het apparaat opnieuw ingeschreven bij de volgende evaluatie van het beleid.

      • Testfase: Alleen de Configuration Manager-clients die lid zijn van de verzameling Automatische inschrijving van Intune worden automatisch geregistreerd bij Intune.
      • Alle: Schakel automatische inschrijving in voor alle clients met Windows 10 versie 1709 of hoger.
      • Geen: automatische inschrijving uitschakelen voor alle clients.
    • Automatische inschrijving van Intune: deze verzameling moet alle clients bevatten die u wilt onboarden in co-beheer. Het is in feite een superset van alle andere faseringsverzamelingen.

    Schermopname van de wizardpagina voor het inschakelen van automatische inschrijving in Intune.

    Automatische inschrijving is niet onmiddellijk voor alle clients. Dit gedrag helpt de inschrijving beter te schalen voor grote omgevingen. Configuration Manager willekeurig inschrijvingen op basis van het aantal clients. Als uw omgeving bijvoorbeeld 100.000 clients heeft, vindt de inschrijving gedurende enkele dagen plaats wanneer u deze instelling inschakelt.

    Een nieuw co-beheerd apparaat wordt nu automatisch ingeschreven in de Microsoft Intune-service op basis van het Bijbehorende Microsoft Entra-apparaattoken. Het hoeft niet te wachten totdat een gebruiker zich aanmeldt bij het apparaat om de automatische inschrijving te starten. Deze wijziging helpt het aantal apparaten met de inschrijvingsstatus In behandeling gebruikersaanmelding te verminderen. Om dit gedrag te ondersteunen, moet op het apparaat Windows 10 versie 1803 of hoger worden uitgevoerd. Zie Inschrijvingsstatus voor co-beheer voor meer informatie.

    Als u al apparaten hebt geregistreerd voor co-beheer, worden nieuwe apparaten nu onmiddellijk ingeschreven nadat ze aan de vereisten voldoen.

  5. Voor internetapparaten die al zijn ingeschreven bij Intune, kopieert en slaat u de opdracht op de pagina Inschakelen op. Met deze opdracht installeert u de Configuration Manager-client als een app in Intune voor internetapparaten. Als u deze opdracht nu niet opslaat, kunt u de configuratie van co-beheer op elk gewenst moment controleren om deze opdracht op te halen.

    Tip

    De opdracht wordt alleen weergegeven als u aan alle vereisten hebt voldaan, zoals het instellen van een cloudbeheergateway.

  6. Kies op de pagina Workloads voor elke workload welke apparaatgroep u wilt verplaatsen voor beheer met Intune. Zie Workloads voor meer informatie.

    Als u alleen co-beheer wilt inschakelen, hoeft u nu niet te schakelen tussen workloads. U kunt later overschakelen naar werkbelasting. Zie Schakelen tussen workloads voor meer informatie.

    • Test intune: hiermee schakelt u de bijbehorende workload alleen over voor de apparaten in de testverzamelingen die u opgeeft op de pagina Fasering . Elke workload kan een andere testverzameling hebben.
    • Intune: hiermee schakelt u de bijbehorende workload voor alle co-beheerde Windows 10- of hoger-apparaten over.

    Belangrijk

    Voordat u overschakelt naar werkbelasting, moet u ervoor zorgen dat u de bijbehorende workload correct configureert en implementeert in Intune. Zorg ervoor dat workloads altijd worden beheerd door een van de beheerhulpprogramma's voor uw apparaten.

  7. Geef op de pagina Fasering de testverzameling op voor elk van de werkbelastingen die zijn ingesteld op Test intune.

    Schermopname van de pagina Fasering van de wizard Co-beheerconfiguratie, met opties voor het opgeven van proefverzamelingen.

  8. Voltooi de wizard om co-beheer in te schakelen.

Volgende stappen