Zelfstudie: Co-beheer inschakelen voor bestaande Configuration Manager clients

Met co-beheer kunt u uw gevestigde processen behouden voor het gebruik van Configuration Manager voor het beheren van pc's in uw organisatie. Tegelijkertijd investeert u in de cloud door gebruik te maken van Intune voor beveiliging en moderne inrichting.

In deze zelfstudie stelt u co-beheer in van uw Windows 10 of nieuwere apparaten die al zijn ingeschreven bij Configuration Manager. Deze zelfstudie begint met het uitgangspunt dat u Configuration Manager al gebruikt om uw Windows 10 of nieuwere apparaten te beheren.

Gebruik deze zelfstudie wanneer:

• U hebt een on-premises Active Directory waarmee u verbinding kunt maken met Microsoft Entra ID in een hybride Microsoft Entra-configuratie.

  Als u geen hybride Microsoft Entra ID kunt implementeren die deelneemt aan uw on-premises AD met Microsoft Entra ID, raden we u aan de zelfstudie Co-beheer inschakelen voor nieuwe internetgebaseerde Windows 10 of nieuwere apparaten te volgen.

• U hebt bestaande Configuration Manager-clients die u in de cloud wilt koppelen.

In deze zelfstudie gaat u het volgende doen:

• Vereisten voor Azure en uw on-premises omgeving controleren
• Hybride Microsoft Entra ID instellen
• Configuration Manager-clientagents configureren om zich te registreren bij Microsoft Entra ID
• Intune configureren om apparaten automatisch in te schrijven
• Co-beheer inschakelen in Configuration Manager

Voorwaarden

Azure-services en -omgeving

• Azure-abonnement (gratis proefversie)

• Microsoft Entra ID P1 of P2

• Microsoft Intune-abonnement

  Tip

  Een abonnement op Enterprise Mobility + Security (EMS) omvat zowel Microsoft Entra ID P1 of P2 als Microsoft Intune. EMS-abonnement (gratis proefversie).

Als u nog niet in uw omgeving aanwezig bent, configureert u tijdens deze zelfstudie Microsoft Entra Connect tussen uw on-premises Active Directory en uw Microsoft Entra tenant.

Opmerking

Apparaten die alleen zijn geregistreerd bij Microsoft Entra ID worden niet ondersteund met co-beheer. Deze configuratie wordt ook wel werkplek gekoppeld genoemd. Ze moeten worden gekoppeld aan Microsoft Entra ID of Microsoft Entra hybride gekoppeld. Zie Apparaten met Microsoft Entra geregistreerde status verwerken voor meer informatie.

On-premises infrastructuur

• Een ondersteunde versie van Configuration Manager current branch
• De MDM-instantie (Mobile Device Management) moet zijn ingesteld op Intune.

Machtigingen

Gebruik in deze zelfstudie de volgende machtigingen om taken te voltooien:

• Een account dat een domeinbeheerder is in uw on-premises infrastructuur
• Een account dat een volledige beheerder is voor alle bereiken in Configuration Manager
• Een account dat een globale beheerder is in Microsoft Entra ID
  • Zorg ervoor dat u een Intune licentie hebt toegewezen aan het account waarmee u zich aanmeldt bij uw tenant. Anders mislukt het aanmelden met het foutbericht Er is een onverwachte fout opgetreden.

Hybride Microsoft Entra ID instellen

Wanneer u een hybride Microsoft Entra ID instelt, stelt u de integratie van een on-premises AD in met Microsoft Entra ID met behulp van Microsoft Entra Connect en Active Directory Federated Services (ADFS). Als de configuratie is voltooid, kunnen uw werknemers zich naadloos aanmelden bij externe systemen met hun on-premises AD-referenties.

Belangrijk

In deze zelfstudie wordt een bare-bones-proces beschreven voor het instellen van hybride Microsoft Entra ID voor een beheerd domein. We raden u aan vertrouwd te zijn met het proces en niet te vertrouwen op deze zelfstudie als uw handleiding voor het begrijpen en implementeren van hybride Microsoft Entra ID.

Begin met de volgende artikelen in de documentatie voor Microsoft Entra voor meer informatie over hybride Microsoft Entra ID:

• De implementatie van uw Microsoft Entra join plannen
• Uw Microsoft Entra hybride join-implementatie plannen
• De Microsoft Entra hybride koppeling van uw apparaten beheren
• Microsoft Entra hybride koppeling configureren voor federatieve domeinen

Microsoft Entra Connect instellen

Hybride Microsoft Entra ID vereist configuratie van Microsoft Entra Connect om computeraccounts in uw on-premises Active Directory (AD) en het apparaatobject in Microsoft Entra ID gesynchroniseerd te houden.

Vanaf versie 1.1.819.0 biedt Microsoft Entra Connect u een wizard om Microsoft Entra hybrid join te configureren. Het gebruik van deze wizard vereenvoudigt het configuratieproces.

Als u Microsoft Entra Connect wilt configureren, hebt u referenties van een globale beheerder nodig voor Microsoft Entra ID. De volgende procedure moet niet worden beschouwd als gezaghebbend voor het instellen van Microsoft Entra Connect, maar wordt hier gegeven om de configuratie van co-beheer tussen Intune en Configuration Manager te stroomlijnen. Zie Microsoft Entra hybride koppeling configureren voor beheerde domeinen in de documentatie over Microsoft Entra voor de gezaghebbende inhoud over deze en gerelateerde procedures voor het instellen van Microsoft Entra ID.

Een Microsoft Entra hybride join configureren met behulp van Microsoft Entra Connect

1. Download en installeer de nieuwste versie van Microsoft Entra Connect (1.1.819.0 of hoger).

2. Start Microsoft Entra Verbinding maken en selecteer vervolgens Configureren.

3. Selecteer op de pagina Aanvullende takende optie Apparaatopties configureren en selecteer vervolgens Volgende.

4. Selecteer volgende op de pagina Overzicht.

5. Voer op de pagina Verbinding maken met Microsoft Entra ID de referenties in van een globale beheerder voor Microsoft Entra ID.

6. Selecteer op de pagina Apparaatoptiesde optie Microsoft Entra hybride join configureren en selecteer vervolgens Volgende.

7. Selecteer op de pagina Apparaatbesturingssystemen de besturingssystemen die door apparaten in uw Active Directory-omgeving worden gebruikt en selecteer volgende.

   U kunt de optie selecteren om windows-apparaten met een downlevel domein te ondersteunen, maar houd er rekening mee dat co-beheer van apparaten alleen wordt ondersteund voor Windows 10 of hoger.

8. Voer op de pagina SCP de volgende stappen uit voor elk on-premises forest dat u Microsoft Entra Verbinding wilt maken om het serviceverbindingspunt (SCP) te configureren en selecteer volgende:

   1. Selecteer het forest.
   2. Selecteer de verificatieservice. Als u een federatief domein hebt, selecteert u AD FS-server, tenzij uw organisatie uitsluitend Windows 10 of latere clients heeft en u computer-/apparaatsynchronisatie hebt geconfigureerd of uw organisatie naadloze eenmalige aanmelding gebruikt.
   3. Klik op Toevoegen om de referenties van de ondernemingsbeheerder in te voeren.

9. Als u een beheerd domein hebt, slaat u deze stap over.

   Voer op de pagina Federatieconfiguratie de referenties van uw AD FS-beheerder in en selecteer volgende.

10. Selecteer configureren op de pagina Gereed om te configureren.

11. Selecteer op de pagina Configuratie voltooidde optie Afsluiten.

Als u problemen ondervindt met het voltooien van Microsoft Entra hybrid join voor Windows-apparaten die lid zijn van een domein, raadpleegt u Probleemoplossing Microsoft Entra hybride join voor huidige Windows-apparaten.

Clientinstellingen configureren om clients te laten registreren bij Microsoft Entra ID

Gebruik Clientinstellingen om Configuration Manager clients automatisch te registreren bij Microsoft Entra ID.

1. Open de Configuration Manager console>Beheer>overzicht>clientinstellingen en bewerk vervolgens de standaardclientinstellingen.

2. Selecteer Cloud Services.

3. Stel op de pagina Standaardinstellingende optie Automatisch nieuwe Windows 10 domein gekoppelde apparaten met Microsoft Entra ID in op = Ja.

4. Selecteer OK om deze configuratie op te slaan.

Automatische inschrijving van apparaten configureren voor Intune

Vervolgens gaan we automatische inschrijving van apparaten met Intune instellen. Met automatische inschrijving worden apparaten die u beheert met Configuration Manager automatisch ingeschreven met Intune.

Met automatische inschrijving kunnen gebruikers ook hun Windows 10 of nieuwere apparaten inschrijven voor Intune. Apparaten worden ingeschreven wanneer een gebruiker het werkaccount toevoegt aan het apparaat in persoonlijk eigendom of wanneer een apparaat in bedrijfseigendom wordt toegevoegd aan Microsoft Entra ID.

1. Meld u aan bij de Azure Portal en selecteer Microsoft Entra ID>Mobility (MDM en MAM)>Microsoft Intune.

2. MDM-gebruikersbereik configureren. Geef een van de volgende opties op om te configureren welke apparaten van gebruikers worden beheerd door Microsoft Intune en accepteer de standaardwaarden voor de URL-waarden.

   • Sommige: Selecteer de groepen die automatisch hun Windows 10 of nieuwere apparaten kunnen inschrijven

   • Alle: alle gebruikers kunnen hun Windows 10 of nieuwere apparaten automatisch inschrijven

   • Geen: automatische mdm-inschrijving uitschakelen

   Belangrijk

   Als zowel MAM-gebruikersbereik als automatische MDM-inschrijving (MDM-gebruikersbereik) zijn ingeschakeld voor een groep, wordt alleen MAM ingeschakeld. Alleen Mobile Application Management (MAM) wordt toegevoegd voor gebruikers in die groep wanneer ze deelnemen aan een persoonlijk apparaat. Apparaten worden niet automatisch geregistreerd bij MDM.

   Wanneer Configuration Manager is ingesteld om apparaten in te schrijven voor Intune, moet u nog steeds het MDM-gebruikersbereik voor apparaattokeninschrijving wijzigen. Configuration Manager gebruikt de MDM-URL's die worden opgeslagen in de sitedatabase om te controleren of de client behoort tot de verwachte Intune tenant.

3. Selecteer Opslaan om de configuratie van automatische inschrijving te voltooien.

4. Ga terug naar Mobility (MDM en MAM) en selecteer Microsoft Intune Inschrijving.

   Opmerking

   Sommige tenants hebben deze opties mogelijk niet om te configureren.

   Microsoft Intune is hoe u de MDM-app voor Microsoft Entra ID configureert. Microsoft Intune Inschrijving is een specifieke Microsoft Entra-app die wordt gemaakt wanneer u multi-factor authentication-beleid toepast voor iOS- en Android-inschrijving. Zie Meervoudige verificatie vereisen voor Intune apparaatinschrijvingen voor meer informatie.

5. Voor MDM-gebruikersbereik selecteert u Alle en vervolgens Opslaan.

Co-beheer inschakelen in Configuration Manager

Nu hybride Microsoft Entra clientconfiguraties zijn ingesteld en Configuration Manager, kunt u de switch omdraaien en co-beheer van uw Windows 10 of nieuwere apparaten inschakelen. De woordgroep Testgroep wordt gebruikt in de dialoogvensters voor co-beheer en configuratie. Een testgroep is een verzameling die een subset van uw Configuration Manager apparaten bevat. Gebruik een testgroep voor uw eerste tests en voeg zo nodig apparaten toe totdat u klaar bent om de workloads voor alle Configuration Manager apparaten te verplaatsen. Er is geen tijdslimiet voor hoe lang een testgroep kan worden gebruikt voor workloads. Een testgroep kan voor onbepaalde tijd worden gebruikt als u de workload niet wilt verplaatsen naar alle Configuration Manager apparaten.

Wanneer u co-beheer inschakelt, wijst u een verzameling toe als een testgroep. Dit is een groep met een klein aantal clients om uw co-beheerconfiguraties te testen. U wordt aangeraden een geschikte verzameling te maken voordat u met de procedure begint. Vervolgens kunt u die verzameling selecteren zonder de procedure hiervoor af te sluiten. Mogelijk hebt u meerdere verzamelingen nodig omdat u voor elke workload een andere testgroep kunt toewijzen.

Opmerking

Omdat apparaten worden ingeschreven bij de Microsoft Intune-service op basis van het Microsoft Entra apparaattoken en geen gebruikerstoken, is alleen de standaard Intune inschrijvingsbeperking van toepassing op de inschrijving.

Co-beheer inschakelen voor versies 2111 en hoger

Vanaf Configuration Manager versie 2111 is de onboarding-ervaring voor co-beheer gewijzigd. Met de wizard Cloudkoppelingsconfiguratie kunt u co-beheer en andere cloudfuncties eenvoudiger inschakelen. U kunt een gestroomlijnde set aanbevolen standaardinstellingen kiezen of uw cloudkoppelingsfuncties aanpassen. Er is ook een nieuwe ingebouwde apparaatverzameling voor in aanmerking komende apparaten voor co-beheer om u te helpen bij het identificeren van clients. Zie Cloudkoppeling inschakelen voor meer informatie over het inschakelen van co-beheer.

Opmerking

Met de nieuwe wizard verplaatst u workloads niet op hetzelfde moment dat u co-beheer inschakelt. Als u workloads wilt verplaatsen, bewerkt u de eigenschappen voor co-beheer nadat u cloudkoppeling hebt ingeschakeld.

Co-beheer inschakelen voor versies 2107 en eerder

Wanneer u co-beheer inschakelt, kunt u de openbare Azure-cloud, Azure Government cloud of Azure China 21Vianet-cloud (toegevoegd in versie 2006) gebruiken. Volg deze instructies om co-beheer in te schakelen:

1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer het knooppunt Cloudkoppeling. Selecteer Cloudkoppeling configureren op het lint om de wizard Cloudkoppeling configureren te openen.

   Vouw voor versie 2103 en eerder Cloud Services uit en selecteer het knooppunt Co-beheer. Selecteer Co-beheer configureren op het lint om de wizard Co-beheer configureren te openen.

2. Kies op de onboarding-pagina van de wizard voor Azure-omgeving een van de volgende omgevingen:

   • Openbare Azure-cloud

   • Azure Government cloud

   • Azure China-cloud (toegevoegd in versie 2006)

     Opmerking

     Werk de Configuration Manager-client bij naar de nieuwste versie op uw apparaten voordat u onboardt naar de Azure China-cloud.

   Wanneer u de Azure China-cloud of Azure Government cloud selecteert, is de optie Uploaden naar Microsoft Endpoint Manager-beheercentrum voor tenantkoppeling uitgeschakeld.

3. Selecteer Aanmelden. Meld u aan als Microsoft Entra globale beheerder en selecteer volgende. U meldt zich eenmalig aan voor deze wizard. De referenties worden niet elders opgeslagen of hergebruikt.

4. Kies op de pagina Inschakelen de volgende instellingen:

   • Automatische inschrijving in Intune: hiermee schakelt u automatische clientinschrijving in Intune in voor bestaande Configuration Manager-clients. Met deze optie kunt u co-beheer inschakelen voor een subset van clients om eerst co-beheer te testen en vervolgens co-beheer te implementeren met behulp van een gefaseerde benadering. Als de gebruiker de registratie van een apparaat ongedaan maken, wordt het apparaat opnieuw ingeschreven bij de volgende evaluatie van het beleid.

     • Testfase: Alleen de Configuration Manager clients die lid zijn van de verzameling Intune Automatische inschrijving worden automatisch ingeschreven in Intune.
     • Alle: automatische inschrijving inschakelen voor alle clients met Windows 10 versie 1709 of hoger.
     • Geen: automatische inschrijving uitschakelen voor alle clients.

   • Intune Automatische inschrijving: deze verzameling moet alle clients bevatten die u wilt onboarden voor co-beheer. Het is in feite een superset van alle andere faseringsverzamelingen.

   

   Automatische inschrijving is niet onmiddellijk voor alle clients. Dit gedrag helpt de inschrijving beter te schalen voor grote omgevingen. Configuration Manager willekeurig inschrijvingen op basis van het aantal clients. Als uw omgeving bijvoorbeeld 100.000 clients heeft, vindt de inschrijving gedurende enkele dagen plaats wanneer u deze instelling inschakelt.

   Een nieuw medebeheerd apparaat wordt nu automatisch ingeschreven in de Microsoft Intune-service op basis van het Microsoft Entra apparaattoken. Het hoeft niet te wachten totdat een gebruiker zich aanmeldt bij het apparaat om de automatische inschrijving te starten. Deze wijziging helpt het aantal apparaten met de inschrijvingsstatus In behandeling gebruikersaanmelding te verminderen.Ter ondersteuning van dit gedrag moet op het apparaat Windows 10 versie 1803 of hoger worden uitgevoerd. Zie Inschrijvingsstatus voor co-beheer voor meer informatie.

   Als u al apparaten hebt geregistreerd voor co-beheer, worden nieuwe apparaten nu onmiddellijk ingeschreven nadat ze aan de vereisten voldoen.

5. Voor internetapparaten die al zijn ingeschreven bij Intune, kopieert en slaat u de opdracht op de pagina Inschakelen op. U gebruikt deze opdracht om de Configuration Manager-client te installeren als een app in Intune voor internetapparaten. Als u deze opdracht nu niet opslaat, kunt u de configuratie van co-beheer op elk gewenst moment controleren om deze opdracht op te halen.

   Tip

   De opdracht wordt alleen weergegeven als u aan alle vereisten hebt voldaan, zoals het instellen van een cloudbeheergateway.

6. Kies op de pagina Workloads voor elke workload welke apparaatgroep u wilt verplaatsen voor beheer met Intune. Zie Workloads voor meer informatie.

   Als u alleen co-beheer wilt inschakelen, hoeft u nu niet te schakelen tussen workloads. U kunt later overschakelen naar werkbelasting. Zie Schakelen tussen workloads voor meer informatie.

   • Test-Intune: hiermee schakelt u de bijbehorende workload alleen over voor de apparaten in de testverzamelingen die u opgeeft op de pagina Fasering. Elke workload kan een andere testverzameling hebben.
   • Intune: hiermee schakelt u de bijbehorende workload voor alle co-beheerde Windows 10 of nieuwere apparaten.

   Belangrijk

   Voordat u overschakelt naar een andere werkbelasting, moet u ervoor zorgen dat u de bijbehorende workload correct configureert en implementeert in Intune. Zorg ervoor dat workloads altijd worden beheerd door een van de beheerhulpprogramma's voor uw apparaten.

7. Geef op de pagina Fasering de testverzameling op voor elk van de workloads die zijn ingesteld op Pilot Intune.

   

8. Voltooi de wizard om co-beheer in te schakelen.

Volgende stappen

• De status van co-beheerde apparaten controleren met het dashboard Co-beheer
• Begin met het ophalen van onmiddellijke waarde uit co-beheer
• Nalevingsregels voor voorwaardelijke toegang en Intune gebruiken om gebruikerstoegang tot bedrijfsresources te beheren