Zelfstudie: Co-beheer inschakelen voor nieuwe internetapparaten

Wanneer u investeert in de cloud door intune te gebruiken voor beveiliging en moderne inrichting, wilt u mogelijk uw goed ingestelde processen voor het gebruik van Configuration Manager voor het beheren van pc's in uw organisatie niet kwijtraken. Met co-beheer kunt u dat proces in stand houden.

In deze zelfstudie stelt u co-beheer van Windows 10 of nieuwere apparaten in een omgeving waarin u zowel Microsoft Entra-id als on-premises Active Directory gebruikt, maar geen hybride Microsoft Entra ID-exemplaar hebt. De Configuration Manager-omgeving bevat één primaire site met alle sitesysteemrollen op dezelfde server, de siteserver. Deze zelfstudie begint met het uitgangspunt dat uw Windows 10 of nieuwere apparaten al zijn ingeschreven bij Intune.

Als u een hybride Microsoft Entra-exemplaar hebt dat wordt gekoppeld aan on-premises Active Directory met Microsoft Entra-id, raden we u aan onze begeleidende zelfstudie Co-beheer inschakelen voor Configuration Manager-clients te volgen.

Gebruik deze zelfstudie wanneer:

• U hebt Windows 10 of nieuwere apparaten om in co-beheer te brengen. Deze apparaten zijn mogelijk ingericht via Windows Autopilot of zijn mogelijk rechtstreeks van uw hardware-OEM.
• U hebt Windows 10 of nieuwere apparaten op internet die u momenteel beheert met Intune en u wilt de Configuration Manager-client eraan toevoegen.

In deze zelfstudie gaat u het volgende doen:

• Bekijk de vereisten voor Azure en uw on-premises omgeving.
• Vraag een openbaar SSL-certificaat aan voor de cloudbeheergateway (CMG).
• Schakel Azure-services in Configuration Manager in.
• Een CMG implementeren en configureren.
• Configureer het beheerpunt en de clients voor het gebruik van de CMG.
• Schakel co-beheer in Configuration Manager in.
• Intune configureren om de Configuration Manager-client te installeren.

Vereisten

Azure-services en -omgeving

• Azure-abonnement (gratis proefversie).

• Microsoft Entra id P1 of P2.

• Microsoft Intune abonnement, waarbij Intune is geconfigureerd om apparaten automatisch in te schrijven.

  Tip

  Een gratis proefversie van Enterprise Mobility + Security-abonnement omvat zowel Microsoft Entra id P1 of P2 als Microsoft Intune.

  U hoeft geen afzonderlijke Intune- of Enterprise Mobility + Security-licenties meer aan uw gebruikers aan te schaffen en toe te wijzen. Zie Veelgestelde vragen over producten en licenties voor meer informatie.

On-premises infrastructuur

• Een ondersteunde versie van Configuration Manager current branch.

  In deze zelfstudie wordt gebruikgemaakt van verbeterde HTTP om complexere vereisten voor een openbare-sleutelinfrastructuur te voorkomen. Wanneer u verbeterde HTTP gebruikt, moet de primaire site die u gebruikt voor het beheren van clients worden geconfigureerd voor het gebruik van Configuration Manager gegenereerde certificaten voor HTTP-sitesystemen.

• MDM-instantie (Mobile Device Management) is ingesteld op Intune.

Externe certificaten

• CMG-serververificatiecertificaat. Dit SSL-certificaat is afkomstig van een openbare en wereldwijd vertrouwde certificaatprovider. U exporteert dit certificaat als een PFX-bestand met de persoonlijke sleutel.

  Verderop in deze zelfstudie bieden we richtlijnen voor het configureren van de aanvraag voor dit certificaat.

Machtigingen

Gebruik in deze zelfstudie de volgende machtigingen om taken te voltooien:

• Een account dat een globale beheerder is voor Microsoft Entra-id
• Een account dat een domeinbeheerder is in uw on-premises infrastructuur
• Een account dat een volledige beheerder is voor alle bereiken in Configuration Manager

Een openbaar certificaat aanvragen voor de cloudbeheergateway

Wanneer uw apparaten zich op internet bevinden, vereist co-beheer de Configuration Manager CMG. Met cmg kunnen uw Windows-apparaten op internet communiceren met uw on-premises Configuration Manager implementatie. Voor het tot stand brengen van een vertrouwensrelatie tussen apparaten en uw Configuration Manager-omgeving is voor de CMG een SSL-certificaat vereist.

In deze zelfstudie wordt gebruikgemaakt van een openbaar certificaat, een CMG-serververificatiecertificaat genoemd, dat een instantie afleidt van een wereldwijd vertrouwde certificaatprovider. Hoewel het mogelijk is om co-beheer te configureren met behulp van certificaten die een instantie afleiden van uw on-premises Microsoft-certificeringsinstantie, valt het gebruik van zelfondertekende certificaten buiten het bereik van deze zelfstudie.

Het CMG-serververificatiecertificaat wordt gebruikt om het communicatieverkeer tussen de Configuration Manager-client en de CMG te versleutelen. Het certificaat wordt teruggezet naar een vertrouwde hoofdmap om de identiteit van de server voor de client te verifiëren. Het openbare certificaat bevat een vertrouwde basis die Windows-clients al vertrouwen.

Over dit certificaat:

• U identificeert een unieke naam voor uw CMG-service in Azure en geeft deze naam vervolgens op in uw certificaataanvraag.
• U genereert uw certificaataanvraag op een specifieke server en verzendt de aanvraag vervolgens naar een openbare certificaatprovider om het benodigde SSL-certificaat op te halen.
• U importeert het certificaat dat u van de provider ontvangt in het systeem dat de aanvraag heeft gegenereerd. U gebruikt dezelfde computer om het certificaat te exporteren wanneer u de CMG later implementeert in Azure.
• Wanneer de CMG is geïnstalleerd, maakt deze een CMG-service in Azure met behulp van de naam die u in het certificaat hebt opgegeven.

Een unieke naam identificeren voor uw cloudbeheergateway in Azure

Wanneer u het CMG-serververificatiecertificaat aanvraagt, geeft u op wat een unieke naam moet zijn om uw cloudservice (klassiek) in Azure te identificeren. De openbare Azure-cloud maakt standaard gebruik van cloudapp.net en de CMG wordt gehost in het cloudapp.net domein als <YourUniqueDnsName.cloudapp.net>.

Tip

In deze zelfstudie maakt het CERTIFICAAT voor CMG-serververificatie gebruik van een FQDN (Fully Qualified Domain Name) die eindigt op contoso.com. Nadat u de CMG hebt gemaakt, configureert u een canonieke naamrecord (CNAME) in de openbare DNS van uw organisatie. Met deze record maakt u een alias voor de CMG die is toegewezen aan de naam die u in het openbare certificaat gebruikt.

Voordat u uw openbare certificaat aanvraagt, controleert u of de naam die u wilt gebruiken beschikbaar is in Azure. U maakt de service niet rechtstreeks in Azure. In plaats daarvan gebruikt Configuration Manager de naam die is opgegeven in het openbare certificaat om de cloudservice te maken wanneer u de CMG installeert.

1. Meld u aan bij de Microsoft Azure Portal.

2. Selecteer Een resource maken, selecteer de categorie Compute en selecteer vervolgens Cloudservice. De pagina Cloudservice (klassiek) wordt geopend.

3. Geef bij DNS-naam de voorvoegselnaam op voor de cloudservice die u wilt gebruiken.

   Dit voorvoegsel moet hetzelfde zijn als wat u later gebruikt wanneer u een openbaar certificaat aanvraagt voor het CMG-serververificatiecertificaat. In deze zelfstudie gebruiken we MyCSG, waarmee de naamruimte van MyCSG.cloudapp.net wordt gemaakt. De interface bevestigt of de naam beschikbaar is of al wordt gebruikt door een andere service.

Nadat u hebt bevestigd dat de naam die u wilt gebruiken beschikbaar is, kunt u de aanvraag voor certificaatondertekening (CSR) indienen.

Het certificaat aanvragen

Gebruik de volgende informatie om een aanvraag voor certificaatondertekening voor uw CMG in te dienen bij een openbare certificaatprovider. Wijzig de volgende waarden om relevant te zijn voor uw omgeving:

• MyCMG om de servicenaam van de cloudbeheergateway te identificeren
• Contoso als bedrijfsnaam
• Contoso.com als het openbare domein

We raden u aan uw primaire siteserver te gebruiken om de CSR te genereren. Wanneer u het certificaat hebt verkregen, moet u het registreren op dezelfde server die het CSR heeft gegenereerd. Deze inschrijving zorgt ervoor dat u de persoonlijke sleutel van het certificaat kunt exporteren, wat vereist is.

Vraag een type sleutelprovider versie 2 aan wanneer u een CSR genereert. Alleen versie 2-certificaten worden ondersteund.

Tip

Wanneer u een CMG implementeert, is standaard de optie CMG toestaan om te functioneren als een clouddistributiepunt en inhoud te leveren vanuit Azure Storage geselecteerd. Hoewel de inhoud in de cloud niet vereist is voor co-beheer, is het nuttig in de meeste omgevingen.

Het clouddistributiepunt (CDP) is afgeschaft. Vanaf versie 2107 kunt u geen nieuwe CDP-exemplaren maken. Als u inhoud wilt leveren aan internetapparaten, schakelt u de CMG in om inhoud te distribueren. Zie Afgeschafte functies voor meer informatie.

Hier volgen details voor de CSR van de cloudbeheergateway:

• Algemene naam: CloudServiceNameCMG.YourCompanyPubilcDomainName.com (bijvoorbeeld: MyCSG.contoso.com)
• Alternatieve onderwerpnaam: hetzelfde als de algemene naam (CN)
• Organisatie: de naam van uw organisatie
• Afdeling: Per organisatie
• Plaats: Per organisatie
• Status: per organisatie
• Land: per organisatie
• Sleutelgrootte: 2048
• Provider: Cryptografische provider van Microsoft RSA SChannel

Het certificaat importeren

Nadat u het openbare certificaat hebt ontvangen, importeert u het in het lokale certificaatarchief van de computer waarop de CSR is gemaakt. Exporteer het certificaat vervolgens als een PFX-bestand, zodat u het kunt gebruiken voor uw CMG in Azure.

Openbare certificaatproviders geven doorgaans instructies voor het importeren van het certificaat. Het proces voor het importeren van het certificaat moet er ongeveer als volgt uitzien:

1. Zoek het PFX-bestand van het certificaat op de computer waarop het certificaat wordt geïmporteerd.

2. Klik met de rechtermuisknop op het bestand en selecteer pfx installeren.

3. Wanneer de wizard Certificaat importeren wordt gestart, selecteert u Volgende.

4. Selecteer volgende op de pagina Te importeren bestand.

5. Voer op de pagina Wachtwoord het wachtwoord voor de persoonlijke sleutel in het vak Wachtwoord in en selecteer volgende.

   Selecteer de optie om de sleutel exporteerbaar te maken.

6. Selecteer op de pagina Certificaatarchiefde optie Automatisch het certificaatarchief selecteren op basis van het type certificaat en selecteer vervolgens Volgende.

7. Klik op Voltooien.

Het certificaat exporteren

Exporteer het CMG-serververificatiecertificaat van uw server. Als u het certificaat opnieuw exporteert, is het bruikbaar voor uw cloudbeheergateway in Azure.

1. Op de server waarop u het openbare SSL-certificaat hebt geïmporteerd, voert u certlm.msc uit om de Certificate Manager-console te openen.

2. Selecteer persoonlijke>certificaten in de Certificaatbeheer-console. Klik vervolgens met de rechtermuisknop op het CMG-serververificatiecertificaat dat u in de vorige procedure hebt geregistreerd en selecteer Alle taken>exporteren.

3. Selecteer in de wizard Certificaat exporteren de optie Volgende, selecteer Ja, exporteer de persoonlijke sleutel en selecteer vervolgens Volgende.

4. Selecteer op de pagina Bestandsindeling exporteren de optie Uitwisseling van persoonlijke gegevens - PKCS #12 (. PFX)selecteert u Volgende en geeft u een wachtwoord op.

   Geef voor de bestandsnaam een naam op zoals C:\ConfigMgrCloudMGServer. U verwijst naar dit bestand wanneer u de CMG in Azure maakt.

5. Selecteer Volgende en bevestig de volgende instellingen voordat u Voltooien selecteert om de export te voltooien:

   • Exportsleutels: Ja
   • Alle certificaten opnemen in het certificeringspad: Ja
   • Bestandsindeling: Uitwisseling van persoonlijke gegevens (*.pfx)

6. Nadat u de export hebt voltooid, zoekt u het PFX-bestand en plaatst u een kopie ervan in C:\Certs op de Configuration Manager primaire siteserver die internetclients beheert.

   De map Certificaten is een tijdelijke map die u kunt gebruiken tijdens het verplaatsen van certificaten tussen servers. U opent het certificaatbestand vanaf de primaire siteserver wanneer u de CMG in Azure implementeert.

Nadat u het certificaat naar de primaire siteserver hebt gekopieerd, kunt u het certificaat verwijderen uit het persoonlijke certificaatarchief op de lidserver.

Azure-cloudservices inschakelen in Configuration Manager

Als u Azure-services vanuit de Configuration Manager-console wilt configureren, gebruikt u de wizard Azure-services configureren en maakt u twee Microsoft Entra apps:

• Server-app: een web-app in Microsoft Entra-id.
• Client-app: een systeemeigen client-app in Microsoft Entra-id.

Voer de volgende procedure uit vanaf de primaire siteserver:

1. Open de Configuration Manager-console, ga naar Beheer>Cloud Services>Azure Services en selecteer vervolgens Azure-services configureren.

   Geef op de pagina Azure-service configureren een beschrijvende naam op voor de cloudbeheerservice die u configureert. Bijvoorbeeld: Mijn cloudbeheerservice.

   Selecteer vervolgens Cloudbeheer>Volgende.

   Tip

   Zie De wizard Azure-services starten voor meer informatie over de configuraties die u in de wizard maakt.

2. Selecteer op de pagina App-eigenschappen voor Web-appde optie Bladeren om het dialoogvenster Server-app te openen. Selecteer Maken en configureer vervolgens de volgende velden:

   • Toepassingsnaam: geef een beschrijvende naam op voor de app, zoals Cloud Management-web-app.

   • URL van HomePage: Configuration Manager gebruikt deze waarde niet, maar Microsoft Entra id vereist. Deze waarde is https://ConfigMgrServicestandaard .

   • App-id-URI: deze waarde moet uniek zijn in uw Microsoft Entra tenant. Het staat in het toegangstoken dat de Configuration Manager client gebruikt om toegang tot de service aan te vragen. Deze waarde is https://ConfigMgrServicestandaard . Wijzig de standaardinstelling in een van de volgende aanbevolen indelingen:

     • api://{tenantId}/{string}, bijvoorbeeld api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}, bijvoorbeeld https://contoso.onmicrosoft.com/ConfigMgrService

   Selecteer vervolgens Aanmelden en geef een Microsoft Entra globale beheerdersaccount op. Configuration Manager slaat deze referenties niet op. Deze persona vereist geen machtigingen in Configuration Manager en hoeft niet hetzelfde account te zijn dat de Wizard Azure-services uitvoert.

   Nadat u zich hebt aangemeld, worden de resultaten weergegeven. Selecteer OK om het dialoogvenster Servertoepassing maken te sluiten en terug te keren naar de pagina App-eigenschappen .

3. Voor Systeemeigen client-app selecteert u Bladeren om het dialoogvenster Client-app te openen.

4. Selecteer Maken om het dialoogvenster Clienttoepassing maken te openen en configureer vervolgens de volgende velden:

   • Toepassingsnaam: geef een beschrijvende naam op voor de app, zoals de systeemeigen Cloud Management-client-app.

   • Antwoord-URL: Configuration Manager gebruikt deze waarde niet, maar Microsoft Entra id vereist. Deze waarde is https://ConfigMgrClientstandaard .

   Selecteer vervolgens Aanmelden en geef een Microsoft Entra globale beheerdersaccount op. Net als de web-app worden deze referenties niet opgeslagen en zijn er geen machtigingen vereist in Configuration Manager.

   Nadat u zich hebt aangemeld, worden de resultaten weergegeven. Selecteer OK om het dialoogvenster Clienttoepassing maken te sluiten en terug te keren naar de pagina App-eigenschappen . Selecteer vervolgens Volgende om door te gaan.

5. Schakel op de pagina Detectie-instellingen configureren het selectievakje Microsoft Entra gebruikersdetectie inschakelen in. Selecteer Volgende en voltooi de configuratie van de detectiedialoogvensters voor uw omgeving.

6. Ga verder met de pagina's Samenvatting, Voortgang en Voltooiing en sluit de wizard.

   Azure-services voor Microsoft Entra gebruikersdetectie zijn nu ingeschakeld in Configuration Manager. Laat de console voorlopig geopend.

7. Open een browser en meld u aan bij de Azure Portal.

8. Selecteer Alle services>Microsoft Entra id>App-registraties en vervolgens:

   1. Selecteer de web-app die u hebt gemaakt.

   2. Ga naar API-machtigingen, selecteer Beheerderstoestemming verlenen voor uw tenant en selecteer vervolgens Ja.

   3. Selecteer de systeemeigen client-app die u hebt gemaakt.

   4. Ga naar API-machtigingen, selecteer Beheerderstoestemming verlenen voor uw tenant en selecteer vervolgens Ja.

9. Ga in de Configuration Manager-console naarBeheeroverzicht>>Cloud Services>Azure Services en selecteer uw Azure-service. Klik vervolgens met de rechtermuisknop op Microsoft Entra gebruiker Ontdekken en selecteer Nu volledige detectie uitvoeren. Selecteer Ja om de actie te bevestigen.

10. Open op de primaire siteserver het bestand Configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.log en zoek naar de volgende vermelding om te controleren of de detectie werkt: UDX is gepubliceerd voor Microsoft Entra gebruikers.

    Het logboekbestand bevindt zich standaard in %Program_Files%\Microsoft Configuration Manager\Logs.

De cloudservice maken in Azure

In deze sectie van de zelfstudie maakt u de CMG-cloudservice en maakt u vervolgens DNS CNAME-records voor beide services.

De CMG maken

Gebruik deze procedure om een cloudbeheergateway als een service te installeren in Azure. De CMG wordt geïnstalleerd op de site van de bovenste laag van de hiërarchie. In deze zelfstudie blijven we de primaire site gebruiken waar certificaten zijn ingeschreven en geëxporteerd.

1. Open de Configuration Manager-console op de primaire siteserver. Ga naar Beheeroverzicht>>Cloud Services>Cloudbeheergateway en selecteer vervolgens Cloudbeheergateway maken.

2. Op de pagina Algemeen :

   1. Selecteer uw cloudomgeving voor Azure-omgeving. In deze zelfstudie wordt gebruikgemaakt van AzurePublicCloud.

   2. Selecteer Azure Resource Manager-implementatie.

   3. Meld u aan bij uw Azure-abonnement. Configuration Manager vult aanvullende informatie in op basis van de informatie die u hebt geconfigureerd toen u Azure-cloudservices inschakelt voor Configuration Manager.

   Selecteer Volgende om door te gaan.

3. Blader op de pagina Instellingen naar en selecteer het bestand met de naam ConfigMgrCloudMGServer.pfx. Dit bestand is het bestand dat u hebt geëxporteerd na het importeren van het CMG-serververificatiecertificaat. Nadat u het wachtwoord hebt opgegeven, worden de servicenaam en implementatienaamgegevens automatisch ingevuld op basis van de details in het PFX-certificaatbestand.

4. Stel de regiogegevens in.

5. Gebruik voor Resourcegroep een bestaande resourcegroep of maak een groep met een beschrijvende naam die geen spaties gebruikt, zoals ConfigMgrCloudServices. Als u ervoor kiest om een groep te maken, wordt de groep toegevoegd als een resourcegroep in Azure.

6. Tenzij u klaar bent om op schaal te configureren, voert u 1 in voor VM-exemplaren. Met het aantal vm-exemplaren (virtuele machines) kan één CMG-cloudservice worden uitgeschaald om meer clientverbindingen te ondersteunen. Later kunt u de Configuration Manager-console gebruiken om het aantal VM-exemplaren dat u gebruikt te retourneren en te bewerken.

7. Schakel het selectievakje Intrekking van clientcertificaat controleren in.

8. Schakel het selectievakje CMG toestaan om te functioneren als een clouddistributiepunt en het leveren van inhoud vanuit Azure Storage in.

9. Selecteer Volgende om door te gaan.

10. Controleer de waarden op de pagina Waarschuwing en selecteer volgende.

11. Bekijk de pagina Samenvatting en selecteer Volgende om de CMG-cloudservice te maken. Selecteer Sluiten om de wizard te voltooien.

12. In het CMG-knooppunt van de Configuration Manager-console kunt u nu de nieuwe service bekijken.

DNS CNAME-records maken

Wanneer u een DNS-vermelding voor de CMG maakt, stelt u uw Windows 10 of nieuwere apparaten zowel binnen als buiten uw bedrijfsnetwerk in staat om naamomzetting te gebruiken om de CMG-cloudservice in Azure te vinden.

Ons CNAME-recordvoorbeeld is MyCMG.contoso.com, dat MyCMG.cloudapp.net wordt. In het voorbeeld:

• De bedrijfsnaam is Contoso met een openbare DNS-naamruimte van contoso.com.

• De naam van de CMG-service is MyCMG, die MyCMG.cloudapp.net wordt in Azure.

Het beheerpunt en de clients configureren voor het gebruik van de CMG

Configureer instellingen waarmee on-premises beheerpunten en clients de cloudbeheergateway kunnen gebruiken.

Omdat we verbeterde HTTP gebruiken voor clientcommunicatie, is het niet nodig om een HTTPS-beheerpunt te gebruiken.

Het CMG-verbindingspunt maken

Configureer de site voor ondersteuning van verbeterde HTTP:

1. Ga in de Configuration Manager-console naarBeheeroverzicht>>Siteconfiguratiesites>. Open de eigenschappen van de primaire site.

2. Selecteer op het tabblad Communication Security de optie HTTPS of HTTP voor Gebruik Configuration Manager gegenereerde certificaten voor HTTP-sitesystemen. Selecteer vervolgens OK om de configuratie op te slaan.

3. Ga naar Beheeroverzicht>>Siteconfiguratieservers>en sitesysteemrollen. Selecteer de server met een beheerpunt waar u het CMG-verbindingspunt wilt installeren.

4. Selecteer Sitesysteemrollen> toevoegenVolgende>.

5. Selecteer Verbindingspunt cloudbeheergateway en selecteer vervolgens Volgende om door te gaan.

6. Controleer de standaardselecties op de pagina cloudbeheergatewayverbindingspunt en controleer of de juiste CMG is geselecteerd.

   Als u meerdere CMG's hebt, kunt u de vervolgkeuzelijst gebruiken om een andere CMG op te geven. U kunt ook de CMG die wordt gebruikt, wijzigen na de installatie.

   Selecteer Volgende om door te gaan.

7. Selecteer Volgende om de installatie te starten en bekijk de resultaten op de pagina Voltooiing . Selecteer Sluiten om de installatie van het verbindingspunt te voltooien.

8. Ga naar Beheeroverzicht>>Siteconfiguratieservers>en sitesysteemrollen. Open Eigenschappen voor het beheerpunt waarop u het verbindingspunt hebt geïnstalleerd.

   Schakel op het tabblad Algemeen het selectievakje Verkeer Configuration Manager cloudbeheergateway toestaan in en selecteer vervolgens OK om de configuratie op te slaan.

   Tip

   Hoewel het niet vereist is om co-beheer in te schakelen, raden we u aan deze zelfde bewerking aan te brengen voor alle software-updatepunten.

Clientinstellingen configureren om clients om te leiden om de CMG te gebruiken

Clientinstellingen gebruiken om Configuration Manager clients te configureren om te communiceren met de CMG:

1. Open Configuration Manager console>Beheeroverzicht>>Clientinstellingen en bewerk vervolgens de informatie over standaardclientinstellingen.

2. Selecteer Cloud Services.

3. Stel op de pagina Standaardinstellingen de volgende instellingen in op Ja:

   • Automatisch nieuwe Windows 10 apparaten registreren die lid zijn van een domein met Microsoft Entra-id

   • Clients in staat stellen een cloudbeheergateway te gebruiken

   • Toegang tot clouddistributiepunt toestaan

4. Stel op de pagina Clientbeleidde optie Gebruikersbeleidsaanvragen van internetclients inschakelen in op Ja.

5. Selecteer OK om deze configuratie op te slaan.

Co-beheer inschakelen in Configuration Manager

Met de Azure-configuraties, sitesysteemrollen en clientinstellingen kunt u Configuration Manager configureren om co-beheer in te schakelen. U moet echter nog enkele configuraties maken in Intune nadat u co-beheer hebt ingeschakeld voordat deze zelfstudie is voltooid.

Een van deze taken is het configureren van Intune om de Configuration Manager-client te implementeren. Deze taak wordt eenvoudiger gemaakt door de opdrachtregel voor clientimplementatie op te slaan die beschikbaar is vanuit de wizard Co-beheerconfiguratie. Daarom schakelen we nu co-beheer in, voordat we de configuraties voor Intune voltooien.

De term testgroep wordt gebruikt in de dialoogvensters voor co-beheer en configuratie. Een testgroep is een verzameling die een subset van uw Configuration Manager apparaten bevat. Gebruik een testgroep voor uw eerste tests. Voeg zo nodig apparaten toe totdat u klaar bent om de workloads voor alle Configuration Manager apparaten te verplaatsen.

Er is geen tijdslimiet voor hoe lang een testgroep kan worden gebruikt voor workloads. U kunt een testgroep voor onbepaalde tijd gebruiken als u een workload niet naar alle Configuration Manager apparaten wilt verplaatsen.

We raden u aan een geschikte verzameling te maken voordat u begint met de procedure voor het maken van een testgroep. Vervolgens kunt u die verzameling selecteren zonder de procedure hiervoor af te sluiten. Mogelijk hebt u meerdere verzamelingen nodig, omdat u voor elke workload een andere testgroep kunt toewijzen.

Co-beheer inschakelen voor versies 2111 en hoger

Vanaf Configuration Manager versie 2111 is de onboarding-ervaring voor co-beheer gewijzigd. Met de wizard Cloudkoppelingsconfiguratie kunt u co-beheer en andere cloudfuncties eenvoudiger inschakelen. U kunt een gestroomlijnde set aanbevolen standaardinstellingen kiezen of uw cloudkoppelingsfuncties aanpassen. Er is ook een nieuwe ingebouwde apparaatverzameling voor in aanmerking komende apparaten voor co-beheer om u te helpen bij het identificeren van clients. Zie Cloudkoppeling inschakelen voor meer informatie over het inschakelen van co-beheer.

Opmerking

Met de nieuwe wizard verplaatst u workloads niet op hetzelfde moment dat u co-beheer inschakelt. Als u workloads wilt verplaatsen, bewerkt u de eigenschappen voor co-beheer nadat u cloudkoppeling hebt ingeschakeld.

Co-beheer inschakelen voor versies 2107 en eerder

Wanneer u co-beheer inschakelt, kunt u de openbare Azure-cloud, Azure Government cloud of Azure China 21Vianet-cloud (toegevoegd in versie 2006) gebruiken. Volg deze instructies om co-beheer in te schakelen:

1. Ga in de Configuration Manager-console naar de werkruimte Beheer, vouw Cloud Services uit en selecteer het knooppunt Cloudkoppeling. Selecteer Cloudkoppeling configureren op het lint om de wizard Cloudkoppeling configureren te openen.

   Vouw voor versie 2103 en eerder Cloud Services uit en selecteer het knooppunt Co-beheer. Selecteer Co-beheer configureren op het lint om de wizard Co-beheer configureren te openen.

2. Kies op de onboarding-pagina van de wizard voor Azure-omgeving een van de volgende omgevingen:

   • Openbare Azure-cloud

   • Azure Government cloud

   • Azure China-cloud (toegevoegd in versie 2006)

     Opmerking

     Werk de Configuration Manager-client bij naar de nieuwste versie op uw apparaten voordat u onboardt naar de Azure China-cloud.

   Wanneer u de Azure China-cloud of Azure Government cloud selecteert, is de optie Uploaden naar Microsoft Endpoint Manager-beheercentrum voor tenantkoppeling uitgeschakeld.

3. Selecteer Aanmelden. Meld u aan als Microsoft Entra globale beheerder en selecteer volgende. U meldt zich eenmalig aan voor deze wizard. De referenties worden niet elders opgeslagen of hergebruikt.

4. Kies op de pagina Inschakelen de volgende instellingen:

   • Automatische inschrijving in Intune: hiermee schakelt u automatische clientinschrijving in Intune in voor bestaande Configuration Manager clients. Met deze optie kunt u co-beheer inschakelen voor een subset van clients om eerst co-beheer te testen en vervolgens co-beheer te implementeren met behulp van een gefaseerde benadering. Als de gebruiker de registratie van een apparaat ongedaan maken, wordt het apparaat opnieuw ingeschreven bij de volgende evaluatie van het beleid.

     • Testfase: alleen de Configuration Manager clients die lid zijn van de verzameling Automatische inschrijving van Intune, worden automatisch ingeschreven bij Intune.
     • Alle: automatische inschrijving inschakelen voor alle clients met Windows 10 versie 1709 of hoger.
     • Geen: automatische inschrijving uitschakelen voor alle clients.

   • Automatische inschrijving van Intune: deze verzameling moet alle clients bevatten die u wilt onboarden in co-beheer. Het is in feite een superset van alle andere faseringsverzamelingen.

   

   Automatische inschrijving is niet onmiddellijk voor alle clients. Dit gedrag helpt de inschrijving beter te schalen voor grote omgevingen. Configuration Manager willekeurig inschrijvingen op basis van het aantal clients. Als uw omgeving bijvoorbeeld 100.000 clients heeft, vindt de inschrijving gedurende enkele dagen plaats wanneer u deze instelling inschakelt.

   Een nieuw medebeheerd apparaat wordt nu automatisch ingeschreven in de Microsoft Intune-service op basis van het Microsoft Entra apparaattoken. Het hoeft niet te wachten totdat een gebruiker zich aanmeldt bij het apparaat om de automatische inschrijving te starten. Deze wijziging helpt het aantal apparaten met de inschrijvingsstatus In behandeling gebruikersaanmelding te verminderen.Ter ondersteuning van dit gedrag moet op het apparaat Windows 10 versie 1803 of hoger worden uitgevoerd. Zie Inschrijvingsstatus voor co-beheer voor meer informatie.

   Als u al apparaten hebt geregistreerd voor co-beheer, worden nieuwe apparaten nu onmiddellijk ingeschreven nadat ze aan de vereisten voldoen.

5. Voor internetapparaten die al zijn ingeschreven bij Intune, kopieert en slaat u de opdracht op de pagina Inschakelen op. Met deze opdracht installeert u de Configuration Manager-client als een app in Intune voor internetapparaten. Als u deze opdracht nu niet opslaat, kunt u de configuratie van co-beheer op elk gewenst moment controleren om deze opdracht op te halen.

   Tip

   De opdracht wordt alleen weergegeven als u aan alle vereisten hebt voldaan, zoals het instellen van een cloudbeheergateway.

6. Kies op de pagina Workloads voor elke workload welke apparaatgroep u wilt verplaatsen voor beheer met Intune. Zie Workloads voor meer informatie.

   Als u alleen co-beheer wilt inschakelen, hoeft u nu niet te schakelen tussen workloads. U kunt later overschakelen naar werkbelasting. Zie Schakelen tussen workloads voor meer informatie.

   • Test intune: hiermee schakelt u de bijbehorende workload alleen over voor de apparaten in de testverzamelingen die u opgeeft op de pagina Fasering . Elke workload kan een andere testverzameling hebben.
   • Intune: hiermee schakelt u de bijbehorende workload voor alle co-beheerde Windows 10 of nieuwere apparaten.

   Belangrijk

   Voordat u overschakelt naar werkbelasting, moet u ervoor zorgen dat u de bijbehorende workload correct configureert en implementeert in Intune. Zorg ervoor dat workloads altijd worden beheerd door een van de beheerhulpprogramma's voor uw apparaten.

7. Geef op de pagina Fasering de testverzameling op voor elk van de werkbelastingen die zijn ingesteld op Test intune.

   

8. Voltooi de wizard om co-beheer in te schakelen.

Intune gebruiken om de Configuration Manager-client te implementeren

U kunt Intune gebruiken om de Configuration Manager-client te installeren op Windows 10 of nieuwere apparaten die momenteel alleen met Intune worden beheerd.

Wanneer een eerder niet-beheerd Windows 10 of hoger apparaat zich vervolgens registreert bij Intune, wordt automatisch de Configuration Manager-client geïnstalleerd.

Opmerking

Als u van plan bent om de Configuration Manager-client te implementeren op apparaten die via Autopilot gaan, raden we u aan gebruikers te richten voor de toewijzing van de Configuration Manager-client in plaats van apparaten.

Met deze actie voorkomt u een conflict tussen het installeren van Line-Of-Business-apps en Win32-apps tijdens Autopilot.

Een Intune-app maken om de Configuration Manager-client te installeren

1. Meld u vanaf de primaire siteserver aan bij het Microsoft Intune-beheercentrum. Ga vervolgens naar Apps>Alle apps>toevoegen.

2. Selecteer voor app-type de optie Line-Of-Business-app onder Overige.

3. Blader voor het app-pakketbestand naar de locatie van het Configuration Manager bestandccmsetup.msi (bijvoorbeeld C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi). Selecteer vervolgens Openen>OK.

4. Selecteer App-gegevens en geef vervolgens de volgende details op:

   • Beschrijving: voer Configuration Manager Client in.

   • Uitgever: Voer Microsoft in.

   • Opdrachtregelargumenten: geef de CCMSETUPCMD opdracht op. U kunt de opdracht gebruiken die u hebt opgeslagen op de pagina Inschakelen van de wizard Co-beheerconfiguratie. Deze opdracht bevat de namen van uw cloudservice en aanvullende waarden waarmee apparaten de Configuration Manager-clientsoftware kunnen installeren.

     De opdrachtregelstructuur moet lijken op dit voorbeeld, waarin alleen de CCMSETUPCMD parameters en SMSSiteCode worden gebruikt:

     CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
     

     Tip

     Als u de opdracht niet beschikbaar hebt, kunt u de eigenschappen van CoMgmtSettingsProd bekijken in de Configuration Manager-console om een kopie van de opdracht op te halen. De opdracht wordt alleen weergegeven als u aan alle vereisten hebt voldaan, zoals het instellen van een CMG.

5. Selecteer OK>Toevoegen. De app wordt gemaakt en wordt beschikbaar in de Intune-console. Nadat de app beschikbaar is, kunt u de volgende sectie gebruiken om de app vanuit Intune toe te wijzen aan uw apparaten.

De Intune-app toewijzen om de Configuration Manager-client te installeren

Met de volgende procedure wordt de app geïmplementeerd voor het installeren van de Configuration Manager-client die u in de vorige procedure hebt gemaakt:

1. Meld u aan bij het Microsoft Intune-beheercentrum. Selecteer Apps>Alle apps en selecteer vervolgens ConfigMgr Client Setup Bootstrap. Dit is de app die u hebt gemaakt om de Configuration Manager-client te implementeren.

2. Selecteer Eigenschappen en selecteer vervolgens Bewerken voor Toewijzingen. Selecteer Groep toevoegen onder Vereiste toewijzingen om de Microsoft Entra groepen in te stellen met gebruikers en apparaten die u wilt deelnemen aan co-beheer.

3. Selecteer Controleren en opslaan>Opslaan om de configuratie op te slaan. De app is nu vereist voor gebruikers en apparaten waaraan u deze hebt toegewezen. Nadat de app de Configuration Manager-client op een apparaat heeft geïnstalleerd, wordt deze beheerd door co-beheer.

Samenvatting

Nadat u de configuratiestappen van deze zelfstudie hebt voltooid, kunt u beginnen met het co-beheer van uw apparaten.

Volgende stappen

• Controleer de status van co-beheerde apparaten met behulp van het dashboard Co-beheer.
• Gebruik Windows Autopilot om nieuwe apparaten in te richten.
• Gebruik regels voor voorwaardelijke toegang en Intune-naleving om gebruikerstoegang tot bedrijfsresources te beheren.