Udostępnij za pośrednictwem


Samouczek: włączanie współzarządzania nowymi urządzeniami internetowymi

Podczas inwestowania w chmurę przy użyciu usługi Intune na potrzeby zabezpieczeń i nowoczesnej aprowizacji może nie być konieczne utrata dobrze utrwalonych procesów korzystania z programu Configuration Manager do zarządzania komputerami w organizacji. Dzięki współzarządzaniom można utrzymać ten proces na swoim miejscu.

W tym samouczku skonfigurujesz współzarządzanie urządzeniami z systemem Windows 10 lub nowszym w środowisku, w którym używasz zarówno identyfikatora Microsoft Entra, jak i lokalnej usługi Active Directory, ale nie masz hybrydowego wystąpienia identyfikatora Microsoft Entra . Środowisko programu Configuration Manager obejmuje jedną lokację główną ze wszystkimi rolami systemu lokacji znajdującymi się na tym samym serwerze, na serwerze lokacji. Ten samouczek rozpoczyna się od założenia, że urządzenia z systemem Windows 10 lub nowszym są już zarejestrowane w usłudze Intune.

Jeśli masz hybrydowe wystąpienie usługi Microsoft Entra, które łączy lokalną usługę Active Directory z identyfikatorem Entra firmy Microsoft, zalecamy wykonanie czynności opisane w naszym samouczku towarzyszącym Enable co-management for Configuration Manager clients (Włączanie współzarządzania dla klientów programu Configuration Manager).

Użyj tego samouczka, gdy:

  • Masz urządzenia z systemem Windows 10 lub nowszym do współzarządzania. Te urządzenia mogły zostać aprowizowane za pośrednictwem rozwiązania Windows Autopilot lub bezpośrednio ze sprzętowego producenta OEM.
  • Masz urządzenia z systemem Windows 10 lub nowszym w Internecie, które są obecnie zarządzane za pomocą usługi Intune, i chcesz dodać do nich klienta programu Configuration Manager.

W tym samouczku wykonasz następujące czynności:

  • Zapoznaj się z wymaganiami wstępnymi dotyczącymi platformy Azure i środowiska lokalnego.
  • Zażądaj publicznego certyfikatu SSL dla bramy zarządzania chmurą (CMG).
  • Włączanie usług platformy Azure w programie Configuration Manager.
  • Wdrażanie i konfigurowanie cmg.
  • Skonfiguruj punkt zarządzania i klientów do korzystania z usługi CMG.
  • Włącz współzarządzanie w programie Configuration Manager.
  • Skonfiguruj usługę Intune, aby zainstalować klienta programu Configuration Manager.

Wymagania wstępne

Usługi i środowisko platformy Azure

Infrastruktura lokalna

  • Obsługiwana wersja bieżącej gałęzi programu Configuration Manager.

    W tym samouczku użyto rozszerzonego protokołu HTTP , aby uniknąć bardziej złożonych wymagań dotyczących infrastruktury kluczy publicznych. W przypadku używania rozszerzonego protokołu HTTP lokacja główna, która służy do zarządzania klientami, musi być skonfigurowana do używania certyfikatów generowanych przez program Configuration Manager dla systemów lokacji HTTP.

  • Urząd zarządzania urządzeniami przenośnymi (MDM) ma ustawioną wartość Intune.

Certyfikaty zewnętrzne

  • Certyfikat uwierzytelniania serwera CMG. Ten certyfikat SSL pochodzi od publicznego i globalnie zaufanego dostawcy certyfikatów. Ten certyfikat zostanie wyeksportowany jako plik pfx z kluczem prywatnym.

    W dalszej części tego samouczka przedstawiono wskazówki dotyczące konfigurowania żądania dla tego certyfikatu.

Uprawnienia

W tym samouczku użyj następujących uprawnień do wykonywania zadań:

  • Konto, które jest administratorem globalnym w usłudze Microsoft Entra ID
  • Konto administratora domeny w infrastrukturze lokalnej
  • Konto, które jest pełnym administratoremdla wszystkich zakresów w programie Configuration Manager

Żądanie certyfikatu publicznego dla bramy zarządzania chmurą

Gdy urządzenia znajdują się w Internecie, współzarządzanie wymaga cmg programu Configuration Manager. Usługa CMG umożliwia urządzeniom internetowym z systemem Windows komunikowanie się z lokalnym wdrożeniem programu Configuration Manager. Aby ustanowić relację zaufania między urządzeniami a środowiskiem programu Configuration Manager, usługa CMG wymaga certyfikatu SSL.

W tym samouczku jest używany certyfikat publiczny o nazwie certyfikat uwierzytelniania serwera CMG , który pochodzi od globalnie zaufanego dostawcy certyfikatów. Mimo że można skonfigurować współzarządzanie przy użyciu certyfikatów, które wywołują urząd od lokalnego urzędu certyfikacji firmy Microsoft, korzystanie z certyfikatów z podpisem własnym wykracza poza zakres tego samouczka.

Certyfikat uwierzytelniania serwera CMG służy do szyfrowania ruchu komunikacyjnego między klientem programu Configuration Manager a usługą CMG. Certyfikat jest śledzeni z powrotem do zaufanego katalogu głównego, aby zweryfikować tożsamość serwera do klienta. Certyfikat publiczny zawiera zaufany katalog główny, któremu klienci systemu Windows już ufają.

Informacje o tym certyfikacie:

  • Identyfikujesz unikatową nazwę usługi CMG na platformie Azure, a następnie określasz tę nazwę w żądaniu certyfikatu.
  • Wygenerujesz żądanie certyfikatu na określonym serwerze, a następnie prześlij żądanie do dostawcy certyfikatów publicznych w celu uzyskania niezbędnego certyfikatu SSL.
  • Certyfikat, który otrzymasz od dostawcy, należy zaimportować do systemu, który wygenerował żądanie. Ten sam komputer służy do eksportowania certyfikatu podczas późniejszego wdrażania usługi CMG na platformie Azure.
  • Po zainstalowaniu cmg tworzy usługę CMG na platformie Azure przy użyciu nazwy określonej w certyfikacie.

Identyfikowanie unikatowej nazwy bramy zarządzania chmurą na platformie Azure

W przypadku żądania certyfikatu uwierzytelniania serwera CMG należy określić unikatową nazwę, aby zidentyfikować usługę w chmurze (klasyczną) na platformie Azure. Domyślnie chmura publiczna platformy Azure używa cloudapp.net, a cmg jest hostowany w domenie cloudapp.net jako <YourUniqueDnsName.cloudapp.net>.

Porada

W tym samouczku certyfikat uwierzytelniania serwera CMG używa w pełni kwalifikowanej nazwy domeny (FQDN), która kończy się contoso.com. Po utworzeniu usługi CMG skonfigurujesz rekord nazwy kanonicznej (CNAME) w publicznym systemie DNS organizacji. Ten rekord tworzy alias dla cmg, który mapuje na nazwę używaną w certyfikacie publicznym.

Przed zażądaniem certyfikatu publicznego upewnij się, że nazwa, która ma być używana, jest dostępna na platformie Azure. Nie tworzysz bezpośrednio usługi na platformie Azure. Zamiast tego program Configuration Manager używa nazwy określonej w certyfikacie publicznym do utworzenia usługi w chmurze podczas instalowania usługi CMG.

  1. Zaloguj się do witryny Microsoft Azure Portal.

  2. Wybierz pozycję Utwórz zasób, wybierz kategorię Obliczenia , a następnie wybierz pozycję Usługa w chmurze. Zostanie otwarta strona Usługa w chmurze (klasyczna ).

  3. W polu Nazwa DNS określ nazwę prefiksu usługi w chmurze, która będzie używana.

    Ten prefiks musi być taki sam jak w przypadku żądania certyfikatu publicznego dla certyfikatu uwierzytelniania serwera CMG. W tym samouczku zostanie użyta grupa MyCSG, która tworzy przestrzeń nazw MyCSG.cloudapp.net. Interfejs potwierdza, czy nazwa jest dostępna, czy już używana przez inną usługę.

Po potwierdzeniu, że nazwa, której chcesz użyć, jest dostępna, możesz przesłać żądanie podpisania certyfikatu (CSR).

Żądanie certyfikatu

Poniższe informacje umożliwiają przesłanie żądania podpisania certyfikatu dla usługi CMG do dostawcy certyfikatów publicznych. Zmień następujące wartości, aby były istotne dla twojego środowiska:

  • MyCMG do identyfikowania nazwy usługi bramy zarządzania chmurą
  • Contoso jako nazwa firmy
  • Contoso.com jako domena publiczna

Zalecamy wygenerowanie pliku CSR przy użyciu serwera lokacji głównej. Po uzyskaniu certyfikatu należy zarejestrować go na tym samym serwerze, który wygenerował plik CSR. Ta rejestracja gwarantuje, że można wyeksportować klucz prywatny certyfikatu, który jest wymagany.

Zażądaj typu dostawcy kluczy w wersji 2 podczas generowania pliku CSR. Obsługiwane są tylko certyfikaty w wersji 2.

Porada

Domyślnie podczas wdrażania cmg jest zaznaczona opcja Zezwalaj cmg działać jako punkt dystrybucji w chmurze i obsługiwać zawartość z usługi Azure Storage . Mimo że zawartość oparta na chmurze nie jest wymagana do współzarządzania, jest przydatna w większości środowisk.

Chmurowy punkt dystrybucji (CDP) jest przestarzały. Począwszy od wersji 2107, nie można tworzyć nowych wystąpień usługi CDP. Aby udostępnić zawartość urządzeniom internetowym, włącz dystrybucję zawartości przez grupę cmg. Aby uzyskać więcej informacji, zobacz Przestarzałe funkcje.

Poniżej przedstawiono szczegółowe informacje dotyczące csr bramy zarządzania chmurą:

  • Nazwa pospolita: CloudServiceNameCMG.YourCompanyPubilcDomainName.com (przykład: MyCSG.contoso.com)
  • Alternatywna nazwa podmiotu: taka sama jak nazwa pospolita (CN)
  • Organizacja: nazwa organizacji
  • Dział: Według organizacji
  • Miasto: według organizacji
  • Stan: Według organizacji
  • Kraj: według organizacji
  • Rozmiar klucza: 2048
  • Dostawca: Dostawca kryptograficzny Microsoft RSA SChannel

Zaimportowanie certyfikatu

Po otrzymaniu certyfikatu publicznego zaimportuj go do lokalnego magazynu certyfikatów komputera, który utworzył csr. Następnie wyeksportuj certyfikat jako plik pfx, aby można było go używać na potrzeby usługi CMG na platformie Azure.

Dostawcy certyfikatów publicznych zazwyczaj dostarczają instrukcje dotyczące importowania certyfikatu. Proces importowania certyfikatu powinien wyglądać podobnie do następujących wskazówek:

  1. Na komputerze, do który zostanie zaimportowany certyfikat, znajdź plik pfx certyfikatu.

  2. Kliknij prawym przyciskiem myszy plik, a następnie wybierz pozycję Zainstaluj plik PFX.

  3. Po uruchomieniu Kreatora importowania certyfikatów wybierz pozycję Dalej.

  4. Na stronie Plik do importu wybierz pozycję Dalej.

  5. Na stronie Hasło wprowadź hasło klucza prywatnego w polu Hasło , a następnie wybierz pozycję Dalej.

    Wybierz opcję, aby klucz był eksportowany.

  6. Na stronie Magazyn certyfikatów wybierz pozycję Automatycznie wybierz magazyn certyfikatów na podstawie typu certyfikatu, a następnie wybierz pozycję Dalej.

  7. Wybierz Zakończ.

Eksportowanie certyfikatu

Wyeksportuj certyfikat uwierzytelniania serwera CMG z serwera. Ponowne eksportowanie certyfikatu sprawia, że można go używać dla bramy zarządzania chmurą na platformie Azure.

  1. Na serwerze, na którym zaimportowano publiczny certyfikat SSL, uruchom plik certlm.msc , aby otworzyć konsolę Menedżera certyfikatów.

  2. W konsoli Menedżera certyfikatów wybierz pozycjęCertyfikatyosobiste>. Następnie kliknij prawym przyciskiem myszy certyfikat uwierzytelniania serwera CMG zarejestrowany w poprzedniej procedurze i wybierz pozycję Eksportuj wszystkie zadania>.

  3. W Kreatorze eksportu certyfikatów wybierz pozycję Dalej, wybierz pozycję Tak, wyeksportuj klucz prywatny, a następnie wybierz pozycję Dalej.

  4. Na stronie Eksportowanie formatu pliku wybierz pozycję Wymiana informacji osobistych — PKCS #12 (. PFX), wybierz przycisk Dalej i podaj hasło.

    Dla nazwy pliku określ nazwę, taką jak C:\ConfigMgrCloudMGServer. Będziesz odwoływać się do tego pliku podczas tworzenia usługi CMG na platformie Azure.

  5. Wybierz pozycję Dalej, a następnie potwierdź następujące ustawienia przed wybraniem pozycji Zakończ , aby ukończyć eksport:

    • Klucze eksportu: Tak
    • Uwzględnij wszystkie certyfikaty w ścieżce certyfikacji: Tak
    • Format pliku: Wymiana informacji osobistych (*.pfx)
  6. Po zakończeniu eksportowania znajdź plik pfx i umieść jego kopię w C :\Certs na serwerze lokacji głównej programu Configuration Manager, który będzie zarządzał klientami internetowymi.

    Folder Certs jest folderem tymczasowym do użycia podczas przenoszenia certyfikatów między serwerami. Plik certyfikatu jest uzyskiwany z serwera lokacji głównej podczas wdrażania usługi CMG na platformie Azure.

Po skopiowaniu certyfikatu na serwer lokacji głównej można usunąć certyfikat z osobistego magazynu certyfikatów na serwerze członkowskim.

Włączanie usług w chmurze platformy Azure w programie Configuration Manager

Aby skonfigurować usługi platformy Azure z poziomu konsoli programu Configuration Manager, należy użyć Kreatora konfigurowania usług platformy Azure i utworzyć dwie aplikacje Microsoft Entra:

  • Aplikacja serwera: aplikacja internetowa w identyfikatorze Microsoft Entra.
  • Aplikacja kliencka: natywna aplikacja kliencka w identyfikatorze Microsoft Entra.

Uruchom następującą procedurę z serwera lokacji głównej:

  1. Otwórz konsolę programu Configuration Manager, przejdź do pozycji Administracja>usługami>w chmurze Azure Services, a następnie wybierz pozycję Konfiguruj usługi platformy Azure.

    Na stronie Konfigurowanie usługi platformy Azure określ przyjazną nazwę konfigurowanej usługi zarządzania chmurą. Na przykład: Moja usługa zarządzania chmurą.

    Następnie wybierz pozycję Zarządzanie chmurą>Dalej.

    Porada

    Aby uzyskać więcej informacji na temat konfiguracji wykonywanych w kreatorze, zobacz Uruchamianie Kreatora usług platformy Azure.

  2. Na stronie Właściwości aplikacji dla aplikacji internetowej wybierz pozycję Przeglądaj , aby otworzyć okno dialogowe Aplikacja serwera . Wybierz pozycję Utwórz, a następnie skonfiguruj następujące pola:

    • Nazwa aplikacji: określ przyjazną nazwę aplikacji, taką jak aplikacja internetowa usługi Cloud Management.

    • Adres URL strony głównej: program Configuration Manager nie używa tej wartości, ale wymaga tego identyfikator Entra firmy Microsoft. Domyślnie ta wartość to https://ConfigMgrService.

    • Identyfikator URI identyfikatora aplikacji: ta wartość musi być unikatowa w dzierżawie usługi Microsoft Entra. Jest on w tokenie dostępu używanym przez klienta programu Configuration Manager do żądania dostępu do usługi. Domyślnie ta wartość to https://ConfigMgrService. Zmień wartość domyślną na jeden z następujących zalecanych formatów:

      • api://{tenantId}/{string}na przykład api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}na przykład https://contoso.onmicrosoft.com/ConfigMgrService

    Następnie wybierz pozycję Zaloguj się i określ konto administratora globalnego usługi Microsoft Entra. Program Configuration Manager nie zapisuje tych poświadczeń. Ta osoba nie wymaga uprawnień w programie Configuration Manager i nie musi być tym samym kontem, na które działa Kreator usług platformy Azure.

    Po zalogowaniu zostaną wyświetlone wyniki. Wybierz przycisk OK , aby zamknąć okno dialogowe Tworzenie aplikacji serwera i wrócić do strony Właściwości aplikacji .

  3. W polu Natywna aplikacja kliencka wybierz pozycję Przeglądaj , aby otworzyć okno dialogowe Aplikacji klienckiej .

  4. Wybierz pozycję Utwórz , aby otworzyć okno dialogowe Tworzenie aplikacji klienckiej , a następnie skonfiguruj następujące pola:

    • Nazwa aplikacji: określ przyjazną nazwę aplikacji, taką jak natywna aplikacja kliencka usługi Cloud Management.

    • Adres URL odpowiedzi: program Configuration Manager nie używa tej wartości, ale wymaga tego identyfikator Entra firmy Microsoft. Domyślnie ta wartość to https://ConfigMgrClient.

    Następnie wybierz pozycję Zaloguj się i określ konto administratora globalnego usługi Microsoft Entra. Podobnie jak w przypadku aplikacji internetowej, te poświadczenia nie są zapisywane i nie wymagają uprawnień w programie Configuration Manager.

    Po zalogowaniu zostaną wyświetlone wyniki. Wybierz przycisk OK , aby zamknąć okno dialogowe Tworzenie aplikacji klienckiej i wrócić do strony Właściwości aplikacji . Następnie wybierz pozycję Dalej , aby kontynuować.

  5. Na stronie Konfigurowanie ustawień odnajdywania zaznacz pole wyboru Włącz odnajdywanie użytkowników usługi Microsoft Entra . Wybierz pozycję Dalej, a następnie zakończ konfigurację okien dialogowych odnajdywania dla środowiska.

  6. Przejdź przez strony Podsumowanie, Postęp i Uzupełnianie , a następnie zamknij kreatora.

    Usługi platformy Azure dla odnajdywania użytkowników usługi Microsoft Entra są teraz włączone w programie Configuration Manager. Pozostaw konsolę otwartą na razie.

  7. Otwórz przeglądarkę i zaloguj się w witrynie Azure Portal.

  8. Wybierz pozycję Wszystkie usługi>Rejestracje aplikacjiMicrosoft Entra ID>, a następnie:

    1. Wybierz utworzoną aplikację internetową.

    2. Przejdź do pozycji Uprawnienia interfejsu API, wybierz pozycję Udziel zgody administratora dla dzierżawy, a następnie wybierz pozycję Tak.

    3. Wybierz utworzoną natywną aplikację kliencką.

    4. Przejdź do pozycji Uprawnienia interfejsu API, wybierz pozycję Udziel zgody administratora dla dzierżawy, a następnie wybierz pozycję Tak.

  9. W konsoli programu Configuration Manager przejdź doobszaru Administracja> Omówienie >usług>w chmurze Azure Services i wybierz usługę platformy Azure. Następnie kliknij prawym przyciskiem myszy pozycję Odnajdywanie użytkownika usługi Microsoft Entra i wybierz pozycję Uruchom pełne odnajdywanie teraz. Wybierz pozycję Tak , aby potwierdzić akcję.

  10. Na serwerze lokacji głównej otwórz plik SMS_AZUREAD_DISCOVERY_AGENT.log programu Configuration Manager i poszukaj następującego wpisu, aby potwierdzić, że odnajdywanie działa: Pomyślnie opublikowano kod UDX dla użytkowników usługi Microsoft Entra.

    Domyślnie plik dziennika znajduje się w folderze %Program_Files%\Microsoft Configuration Manager\Logs.

Tworzenie usługi w chmurze na platformie Azure

W tej sekcji samouczka utworzysz usługę cmg w chmurze, a następnie utworzysz rekordy CNAME DNS dla obu usług.

Tworzenie cmg

Ta procedura służy do instalowania bramy zarządzania chmurą jako usługi na platformie Azure. Usługa CMG jest instalowana w lokacji najwyższej warstwy hierarchii. W tym samouczku będziemy nadal używać lokacji głównej, w której certyfikaty zostały zarejestrowane i wyeksportowane.

  1. Na serwerze lokacji głównej otwórz konsolę programu Configuration Manager. Przejdź do pozycji Administracja>— Omówienie> bramyzarządzania chmurąusług> w chmurze, a następnie wybierz pozycję Utwórz bramę zarządzania chmurą.

  2. Na stronie Ogólne :

    1. Wybierz środowisko chmury dla środowiska platformy Azure. W tym samouczku jest używana usługa AzurePublicCloud.

    2. Wybierz pozycję Wdrożenie usługi Azure Resource Manager.

    3. Zaloguj się do subskrypcji platformy Azure. Program Configuration Manager wypełnia dodatkowe informacje na podstawie informacji skonfigurowanych po włączeniu usług w chmurze platformy Azure dla programu Configuration Manager.

    Wybierz przycisk Dalej, aby kontynuować.

  3. Na stronie Ustawienia przejdź do pliku o nazwie ConfigMgrCloudMGServer.pfx i wybierz go. Ten plik jest ten, który został wyeksportowany po zaimportowaniu certyfikatu uwierzytelniania serwera CMG. Po określeniu hasła informacje o nazwie usługi i nazwie wdrożenia są automatycznie wypełniane na podstawie szczegółów w pliku certyfikatu pfx.

  4. Ustaw informacje o regionie .

  5. W przypadku grupy zasobów użyj istniejącej grupy zasobów lub utwórz grupę o przyjaznej nazwie bez spacji, takiej jak ConfigMgrCloudServices. Jeśli zdecydujesz się utworzyć grupę, grupa zostanie dodana jako grupa zasobów na platformie Azure.

  6. Jeśli nie wszystko jest gotowe do skonfigurowania na dużą skalę, wprowadź 1 dla wystąpień maszyn wirtualnych. Liczba wystąpień maszyn wirtualnych umożliwia skalowanie w poziomie pojedynczej usługi cmg w chmurze w celu obsługi większej liczby połączeń klienta. Później możesz użyć konsoli programu Configuration Manager, aby zwrócić i edytować liczbę wystąpień maszyn wirtualnych, których używasz.

  7. Zaznacz pole wyboru Sprawdź odwołanie certyfikatu klienta .

  8. Zaznacz pole wyboru Zezwalaj cmg na działanie jako punkt dystrybucji w chmurze i obsługę zawartości z usługi Azure Storage .

  9. Wybierz przycisk Dalej, aby kontynuować.

  10. Przejrzyj wartości na stronie Alert , a następnie wybierz pozycję Dalej.

  11. Przejrzyj stronę Podsumowanie i wybierz pozycję Dalej , aby utworzyć usługę cmg w chmurze. Wybierz pozycję Zamknij , aby ukończyć pracę kreatora.

  12. W węźle CMG konsoli programu Configuration Manager możesz teraz wyświetlić nową usługę.

Tworzenie rekordów CNAME DNS

Podczas tworzenia wpisu DNS dla usługi CMG włącz urządzenia z systemem Windows 10 lub nowszym zarówno wewnątrz sieci firmowej, jak i poza nią, aby używać rozpoznawania nazw w celu znalezienia usługi cmg w chmurze na platformie Azure.

Nasz przykład rekordu CNAME to MyCMG.contoso.com, który staje się MyCMG.cloudapp.net. W przykładzie:

  • Nazwa firmy to Contoso z publiczną przestrzenią nazw DNS contoso.com.

  • Nazwa usługi CMG to MyCMG, która staje się MyCMG.cloudapp.net na platformie Azure.

Konfigurowanie punktu zarządzania i klientów do korzystania z usługi CMG

Skonfiguruj ustawienia umożliwiające lokalnym punktom zarządzania i klientom korzystanie z bramy zarządzania chmurą.

Ponieważ na potrzeby komunikacji z klientami używamy rozszerzonego protokołu HTTP, nie ma potrzeby używania punktu zarządzania HTTPS.

Tworzenie punktu połączenia cmg

Skonfiguruj witrynę tak, aby obsługiwała rozszerzony protokół HTTP:

  1. W konsoli programu Configuration Manager przejdź do obszaru Administracja>— omówienie>lokacji konfiguracji lokacji>. Otwórz właściwości lokacji głównej.

  2. Na karcie Zabezpieczenia komunikacji wybierz opcję HTTPS lub HTTP , aby użyć certyfikatów generowanych przez program Configuration Manager dla systemów lokacji HTTP. Następnie wybierz przycisk OK , aby zapisać konfigurację.

  3. Przejdź do obszaru Administracja >— omówienie> serwerówkonfiguracji lokacji>i ról systemu lokacji. Wybierz serwer z punktem zarządzania, na którym chcesz zainstalować punkt połączenia cmg.

  4. Następnie wybierz pozycję Dodaj role> systemulokacji>.

  5. Wybierz pozycję Punkt połączenia bramy zarządzania chmurą, a następnie wybierz pozycję Dalej , aby kontynuować.

  6. Przejrzyj domyślne opcje na stronie punkt połączenia bramy zarządzania chmurą i upewnij się, że wybrano poprawną grupę cmg.

    Jeśli masz wiele grup cmg, możesz użyć listy rozwijanej, aby określić inną grupę cmg. Po instalacji można również zmienić używaną grupę cmg.

    Wybierz przycisk Dalej, aby kontynuować.

  7. Wybierz pozycję Dalej , aby rozpocząć instalację, a następnie wyświetl wyniki na stronie Uzupełnianie . Wybierz pozycję Zamknij , aby zakończyć instalację punktu połączenia.

  8. Przejdź do obszaru Administracja >— omówienie> serwerówkonfiguracji lokacji>i ról systemu lokacji. Otwórz pozycję Właściwości punktu zarządzania, w którym zainstalowano punkt połączenia.

    Na karcie Ogólne zaznacz pole wyboru Zezwalaj na ruch bramy zarządzania chmurą w programie Configuration Manager, a następnie wybierz przycisk OK , aby zapisać konfigurację.

    Porada

    Mimo że włączenie współzarządzania nie jest wymagane, zalecamy dokonanie tej samej edycji dla wszystkich punktów aktualizacji oprogramowania.

Konfigurowanie ustawień klienta w celu kierowania klientów do korzystania z usługi CMG

Użyj ustawień klienta , aby skonfigurować klientów programu Configuration Manager w celu komunikowania się z usługą CMG:

  1. Otwórz pozycjęAdministracja> konsolą >programu Configuration Manager— przegląd>ustawień klienta, a następnie edytuj informacje o domyślnych ustawieniach klienta.

  2. Wybierz pozycję Cloud Services.

  3. Na stronie Ustawienia domyślne ustaw następujące ustawienia na wartość Tak:

    • Automatyczne rejestrowanie nowych urządzeń przyłączonych do domeny systemu Windows 10 przy użyciu identyfikatora Entra firmy Microsoft

    • Umożliwianie klientom korzystania z bramy zarządzania chmurą

    • Zezwalaj na dostęp do punktu dystrybucji w chmurze

  4. Na stronie Zasady klienta ustaw opcję Włącz żądania zasad użytkownika od klientów internetowych na wartość Tak.

  5. Wybierz przycisk OK , aby zapisać tę konfigurację.

Włączanie współzarządzania w programie Configuration Manager

Po skonfigurowaniu konfiguracji platformy Azure, ról systemu lokacji i ustawień klienta można skonfigurować program Configuration Manager w celu włączenia współzarządzania. Jednak przed ukończeniem tego samouczka nadal trzeba będzie wprowadzić kilka konfiguracji w usłudze Intune po włączeniu współzarządzania.

Jednym z tych zadań jest skonfigurowanie usługi Intune w celu wdrożenia klienta programu Configuration Manager. To zadanie jest łatwiejsze dzięki zapisaniu wiersza polecenia dla wdrożenia klienta dostępnego w Kreatorze konfiguracji współzarządzania. Dlatego teraz włączamy współzarządzanie przed ukończeniem konfiguracji usługi Intune.

Termin grupa pilotażowa jest używany w oknach dialogowych funkcji współzarządzania i konfiguracji. Grupa pilotażowa to kolekcja zawierająca podzestaw urządzeń programu Configuration Manager. Użyj grupy pilotażowej na potrzeby testowania początkowego. Dodaj urządzenia w razie potrzeby, dopóki nie będziesz gotowy do przenoszenia obciążeń dla wszystkich urządzeń programu Configuration Manager.

Nie ma limitu czasu na to, jak długo grupa pilotażowa może być używana dla obciążeń. Grupy pilotażowej można używać przez czas nieokreślony, jeśli nie chcesz przenosić obciążenia na wszystkie urządzenia programu Configuration Manager.

Zalecamy utworzenie odpowiedniej kolekcji przed rozpoczęciem procedury tworzenia grupy pilotażowej. Następnie możesz wybrać tę kolekcję bez zamykania procedury, aby to zrobić. Może być potrzebnych wiele kolekcji, ponieważ można przypisać inną grupę pilotażową dla każdego obciążenia.

Włączanie współzarządzania w wersjach 2111 i nowszych

Począwszy od programu Configuration Manager w wersji 2111, środowisko dołączania współzarządzania uległo zmianie. Kreator konfiguracji dołączania do chmury ułatwia współzarządzanie i inne funkcje w chmurze. Możesz wybrać uproszczony zestaw zalecanych wartości domyślnych lub dostosować funkcje dołączania do chmury. Istnieje również nowa wbudowana kolekcja urządzeń dla kwalifikujących się urządzeń do współzarządzania , która ułatwia identyfikację klientów. Aby uzyskać więcej informacji na temat włączania współzarządzania, zobacz Włączanie dołączania do chmury.

Uwaga

Dzięki nowemu kreatorowi nie będziesz przenosić obciążeń w tym samym czasie, w który włączasz współzarządzanie. Aby przenieść obciążenia, edytuj właściwości współzarządzania po włączeniu dołączania do chmury.

Włączanie współzarządzania w wersjach 2107 i starszych

Po włączeniu współzarządzania możesz użyć chmury publicznej platformy Azure, chmury azure government lub chmury Azure China 21Vianet (dodano ją w wersji 2006). Aby włączyć współzarządzanie, wykonaj następujące instrukcje:

  1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Usługi w chmurze i wybierz węzeł Dołącz do chmury . Wybierz pozycję Konfiguruj dołączanie do chmury na wstążce, aby otworzyć Kreatora konfiguracji dołączania do chmury.

    W wersji 2103 lub starszej rozwiń węzeł Cloud Services i wybierz węzeł Współzarządzanie . Wybierz pozycję Konfiguruj współzarządzanie na wstążce, aby otworzyć Kreatora konfiguracji współzarządzania.

  2. Na stronie dołączania kreatora dla środowiska platformy Azure wybierz jedno z następujących środowisk:

    • Chmura publiczna platformy Azure

    • Chmura azure government

    • Chmura Azure China (dodana w wersji 2006)

      Uwaga

      Zaktualizuj klienta programu Configuration Manager do najnowszej wersji na urządzeniach przed dołączeniem do chmury Azure China.

    Po wybraniu chmury Platformy Azure w Chinach lub chmury azure government opcja Przekaż do centrum administracyjnego programu Microsoft Endpoint Manager dla dołączania dzierżawy jest wyłączona.

  3. Wybierz pozycję Zaloguj. Zaloguj się jako administrator globalny usługi Microsoft Entra, a następnie wybierz pozycję Dalej. Logujesz się za jednym razem na potrzeby tego kreatora. Poświadczenia nie są przechowywane ani ponownie używane w innym miejscu.

  4. Na stronie Włączanie wybierz następujące ustawienia:

    • Automatyczna rejestracja w usłudze Intune: włącza automatyczną rejestrację klienta w usłudze Intune dla istniejących klientów programu Configuration Manager. Ta opcja umożliwia włączenie współzarządzania w podzbiorze klientów w celu wstępnego przetestowania współzarządzania, a następnie wdrożenia współzarządzania przy użyciu podejścia etapowego. Jeśli użytkownik wyrejestruje urządzenie, urządzenie zostanie ponownie zarejestrowane podczas następnej oceny zasad.

      • Pilot: w usłudze Intune są automatycznie rejestrowane tylko klienci programu Configuration Manager, którzy są członkami kolekcji Automatyczna rejestracja usługi Intune .
      • Wszystko: Włącz automatyczną rejestrację dla wszystkich klientów z systemem Windows 10 w wersji 1709 lub nowszej.
      • Brak: wyłącz automatyczną rejestrację dla wszystkich klientów.
    • Automatyczna rejestracja w usłudze Intune: ta kolekcja powinna zawierać wszystkich klientów, których chcesz dołączyć do współzarządzania. Zasadniczo jest to nadzbiór wszystkich innych kolekcji przejściowych.

    Zrzut ekranu przedstawiający stronę kreatora umożliwiającą automatyczną rejestrację w usłudze Intune.

    Automatyczna rejestracja nie jest natychmiastowa dla wszystkich klientów. To zachowanie pomaga w lepszym skalowaniu rejestracji w dużych środowiskach. Program Configuration Manager losowo wybiera rejestrację na podstawie liczby klientów. Jeśli na przykład środowisko ma 100 000 klientów, po włączeniu tego ustawienia rejestracja odbywa się w ciągu kilku dni.

    Nowe współzarządzane urządzenie jest teraz automatycznie rejestrowane w usłudze Microsoft Intune na podstawie tokenu urządzenia Microsoft Entra. Nie trzeba czekać, aż użytkownik zaloguje się do urządzenia, aby rozpocząć automatyczną rejestrację. Ta zmiana pomaga zmniejszyć liczbę urządzeń ze stanem rejestracji Oczekiwanie na logowanie użytkownika. Aby obsługiwać to zachowanie, na urządzeniu musi działać system Windows 10 w wersji 1803 lub nowszej. Aby uzyskać więcej informacji, zobacz Stan rejestracji współzarządzania.

    Jeśli masz już urządzenia zarejestrowane we współzarządzaniu, nowe urządzenia są teraz rejestrowane natychmiast po spełnieniu wymagań wstępnych.

  5. W przypadku urządzeń internetowych, które są już zarejestrowane w usłudze Intune, skopiuj i zapisz polecenie na stronie Włączanie . Użyjesz tego polecenia, aby zainstalować klienta programu Configuration Manager jako aplikację w usłudze Intune dla urządzeń internetowych. Jeśli nie zapiszesz teraz tego polecenia, możesz przejrzeć konfigurację współzarządzania w dowolnym momencie, aby uzyskać to polecenie.

    Porada

    Polecenie jest wyświetlane tylko wtedy, gdy spełniono wszystkie wymagania wstępne, takie jak skonfigurowanie bramy zarządzania chmurą.

  6. Na stronie Obciążenia dla każdego obciążenia wybierz grupę urządzeń do przeniesienia na potrzeby zarządzania za pomocą usługi Intune. Aby uzyskać więcej informacji, zobacz Obciążenia.

    Jeśli chcesz włączyć tylko współzarządzanie, nie musisz teraz przełączać obciążeń. Obciążenia można później przełączyć. Aby uzyskać więcej informacji, zobacz Jak przełączać obciążenia.

    • Pilotażowa usługa Intune: przełącza skojarzone obciążenie tylko dla urządzeń w kolekcjach pilotażowych, które zostaną określone na stronie Przemieszczanie . Każde obciążenie może mieć inną kolekcję pilotażową.
    • Intune: przełącza skojarzone obciążenie dla wszystkich współzarządzanych urządzeń z systemem Windows 10 lub nowszym.

    Ważna

    Przed przełączeniem jakichkolwiek obciążeń upewnij się, że odpowiednie obciążenie jest prawidłowo skonfigurowane i wdrożone w usłudze Intune. Upewnij się, że obciążenia są zawsze zarządzane przez jedno z narzędzi do zarządzania urządzeniami.

  7. Na stronie Przemieszczanie określ kolekcję pilotażową dla każdego z obciążeń, które są ustawione na pilotażową usługę Intune.

    Zrzut ekranu przedstawiający stronę przejściową Kreatora konfiguracji współzarządzania z opcjami określania kolekcji pilotażowych.

  8. Aby włączyć współzarządzanie, wykonaj czynności kreatora.

Wdrażanie klienta programu Configuration Manager przy użyciu usługi Intune

Za pomocą usługi Intune można zainstalować klienta programu Configuration Manager na urządzeniach z systemem Windows 10 lub nowszym, które są obecnie zarządzane tylko w usłudze Intune.

Następnie, gdy wcześniej niezarządzane urządzenie z systemem Windows 10 lub nowszym jest rejestrowane w usłudze Intune, automatycznie instaluje klienta programu Configuration Manager.

Uwaga

Jeśli planujesz wdrożenie klienta programu Configuration Manager na urządzeniach korzystających z rozwiązania Autopilot, zalecamy przypisanie klienta programu Configuration Manager zamiast urządzeń do użytkowników docelowych.

Ta akcja pozwoli uniknąć konfliktu między instalowaniem aplikacji biznesowych i aplikacji Win32 podczas rozwiązania Autopilot.

Tworzenie aplikacji usługi Intune w celu zainstalowania klienta programu Configuration Manager

  1. Na serwerze lokacji głównej zaloguj się do centrum administracyjnego usługi Microsoft Intune. Następnie przejdź do pozycji Aplikacje>Wszystkie aplikacje>Dodaj.

  2. W polu Typ aplikacji wybierz pozycję Aplikacja biznesowa w obszarze Inne.

  3. W przypadku pliku pakietu aplikacji przejdź do lokalizacji pliku programu Configuration Manager ccmsetup.msi (na przykład C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi). Następnie wybierz pozycję Otwórz>OK.

  4. Wybierz pozycję Informacje o aplikacji, a następnie określ następujące szczegóły:

    • Opis: Wprowadź klienta programu Configuration Manager.

    • Wydawca: wprowadź microsoft.

    • Argumenty wiersza polecenia: określ CCMSETUPCMD polecenie. Możesz użyć polecenia zapisanego na stronie Włączanie Kreatora konfiguracji współzarządzania. To polecenie zawiera nazwy usługi w chmurze i dodatkowe wartości, które umożliwiają urządzeniom instalowanie oprogramowania klienckiego programu Configuration Manager.

      Struktura wiersza polecenia powinna przypominać ten przykład, który używa tylko CCMSETUPCMD parametrów i SMSSiteCode :

      CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
      

      Porada

      Jeśli nie masz dostępnego polecenia, możesz wyświetlić właściwości CoMgmtSettingsProd w konsoli programu Configuration Manager, aby uzyskać kopię polecenia. Polecenie jest wyświetlane tylko wtedy, gdy spełniono wszystkie wymagania wstępne, takie jak konfigurowanie usługi CMG.

  5. Wybierz przycisk OK>Dodaj. Aplikacja jest tworzona i staje się dostępna w konsoli usługi Intune. Po udostępnieniu aplikacji możesz użyć poniższej sekcji, aby przypisać aplikację do urządzeń z usługi Intune.

Przypisywanie aplikacji usługi Intune do zainstalowania klienta programu Configuration Manager

Poniższa procedura wdraża aplikację na potrzeby instalowania klienta programu Configuration Manager utworzonego w poprzedniej procedurze:

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune. Wybierz pozycję Aplikacje>wszystkie aplikacje, a następnie wybierz pozycję Konfiguracja klienta programu ConfigMgr Bootstrap. To jest aplikacja utworzona w celu wdrożenia klienta programu Configuration Manager.

  2. Wybierz pozycję Właściwości, a następnie wybierz pozycję Edytuj dla pozycji Przypisania. Wybierz pozycję Dodaj grupę w obszarze Wymagane przypisania, aby ustawić grupy Microsoft Entra, które mają użytkowników i urządzenia, które mają uczestniczyć we współzarządzaniu.

  3. Wybierz pozycję Przejrzyj i zapisz>zapisz , aby zapisać konfigurację. Aplikacja jest teraz wymagana przez użytkowników i urządzenia, do których została przypisana. Po zainstalowaniu klienta programu Configuration Manager na urządzeniu aplikacja jest zarządzana przez współzarządzanie.

Podsumowanie

Po wykonaniu kroków konfiguracji tego samouczka możesz rozpocząć współzarządzanie urządzeniami.

Następne kroki