Samouczek: włączanie współzarządzania dla istniejących klientów programu Configuration Manager
Dzięki współzarządzaniu można zachować dobrze ugruntowane procesy dotyczące zarządzania komputerami w organizacji przy użyciu programu Configuration Manager. Jednocześnie inwestujesz w chmurę za pomocą usługi Intune na potrzeby zabezpieczeń i nowoczesnej aprowizacji.
W tym samouczku skonfigurujesz współzarządzanie urządzeniami z systemem Windows 10 lub nowszym, które są już zarejestrowane w programie Configuration Manager. Ten samouczek rozpoczyna się od założenia, że do zarządzania urządzeniami z systemem Windows 10 lub nowszym używasz już programu Configuration Manager.
Użyj tego samouczka, gdy:
Masz lokalną usługę Active Directory, z którą możesz nawiązać połączenie z identyfikatorem Entra firmy Microsoft w hybrydowej konfiguracji usługi Microsoft Entra.
Jeśli nie możesz wdrożyć hybrydowego identyfikatora Entra firmy Microsoft, który dołącza do lokalnej usługi AD z identyfikatorem Microsoft Entra, zalecamy skorzystanie z naszego towarzyszącego samouczka Enable co-management for new internet-based Windows 10 or later devices (Włącz współzarządzanie dla nowych internetowych urządzeń z systemem Windows 10 lub nowszym).
Masz istniejących klientów programu Configuration Manager, których chcesz dołączyć do chmury.
W tym samouczku wykonasz następujące czynności:
- Zapoznaj się z wymaganiami wstępnymi dotyczącymi platformy Azure i środowiska lokalnego
- Konfigurowanie hybrydowego identyfikatora usługi Microsoft Entra
- Konfigurowanie agentów klienta programu Configuration Manager w celu zarejestrowania się przy użyciu identyfikatora Usługi Microsoft Entra
- Konfigurowanie usługi Intune do automatycznego rejestrowania urządzeń
- Włączanie współzarządzania w programie Configuration Manager
Wymagania wstępne
Usługi i środowisko platformy Azure
Subskrypcja platformy Azure (bezpłatna wersja próbna)
Microsoft Entra ID P1 lub P2
Subskrypcja usługi Microsoft Intune
Porada
Subskrypcja pakietu Enterprise Mobility + Security (EMS) obejmuje zarówno identyfikator Microsoft Entra P1, jak i P2 oraz usługę Microsoft Intune. Subskrypcja pakietu EMS (bezpłatna wersja próbna).
Jeśli nie ma go jeszcze w twoim środowisku, podczas tego samouczka skonfigurujesz program Microsoft Entra Connect między lokalną usługą Active Directory a dzierżawą usługi Microsoft Entra.
Uwaga
Urządzenia zarejestrowane tylko w usłudze Microsoft Entra ID nie są obsługiwane w przypadku współzarządzania. Ta konfiguracja jest czasami określana jako przyłączona do miejsca pracy. Muszą one być przyłączone do identyfikatora Microsoft Entra ID lub przyłączone hybrydowo do usługi Microsoft Entra. Aby uzyskać więcej informacji, zobacz Obsługa urządzeń z zarejestrowanym stanem usługi Microsoft Entra.
Infrastruktura lokalna
- Obsługiwana wersja bieżącej gałęzi programu Configuration Manager
- Urząd zarządzania urządzeniami przenośnymi (MDM) musi być ustawiony na intune.
Uprawnienia
W tym samouczku użyj następujących uprawnień do wykonywania zadań:
- Konto, które jest administratorem domeny w infrastrukturze lokalnej
- Konto, które jest pełnym administratoremdla wszystkich zakresów w programie Configuration Manager
- Konto, które jest administratorem globalnym w usłudze Microsoft Entra ID
- Upewnij się, że przypisano licencję usługi Intune do konta używanego do logowania się do dzierżawy. W przeciwnym razie logowanie kończy się niepowodzeniem z komunikatem o błędzie Wystąpił nieprzewidowany błąd.
Konfigurowanie hybrydowego identyfikatora usługi Microsoft Entra
Podczas konfigurowania hybrydowego identyfikatora Entra firmy Microsoft naprawdę konfigurujesz integrację lokalnej usługi AD z identyfikatorem Entra firmy Microsoft przy użyciu usług Microsoft Entra Connect i Active Directory Federated Services (ADFS). Po pomyślnej konfiguracji procesy robocze mogą bezproblemowo logować się do systemów zewnętrznych przy użyciu lokalnych poświadczeń usługi AD.
Ważna
W tym samouczku szczegółowo opisano proces tworzenia hybrydowego identyfikatora Entra firmy Microsoft dla domeny zarządzanej. Zalecamy zapoznanie się z tym procesem i nie poleganie na tym samouczku jako przewodniku po zrozumieniu i wdrożeniu hybrydowego identyfikatora Entra firmy Microsoft.
Aby uzyskać więcej informacji na temat hybrydowego identyfikatora Entra firmy Microsoft, zacznij od następujących artykułów w dokumentacji usługi Microsoft Entra:
- Planowanie implementacji dołączania do aplikacji Microsoft Entra
- Planowanie implementacji przyłączania hybrydowego w usłudze Microsoft Entra
- Kontrolowanie przyłączania hybrydowego platformy Microsoft Entra do urządzeń
- Konfigurowanie przyłączania hybrydowego w usłudze Microsoft Entra dla domen federacyjnych
Konfigurowanie programu Microsoft Entra Connect
Hybrydowy identyfikator Entra firmy Microsoft wymaga konfiguracji programu Microsoft Entra Connect w celu zachowania synchronizacji kont komputerów w lokalnej usłudze Active Directory (AD) i obiektu urządzenia w identyfikatorze Entra firmy Microsoft.
Począwszy od wersji 1.1.819.0, program Microsoft Entra Connect udostępnia kreatora konfigurowania sprzężenia hybrydowego Microsoft Entra. Użycie tego kreatora upraszcza proces konfiguracji.
Aby skonfigurować program Microsoft Entra Connect, potrzebne są poświadczenia administratora globalnego dla identyfikatora Microsoft Entra. Poniższa procedura nie powinna być uważana za autorytatywną w przypadku konfigurowania programu Microsoft Entra Connect, ale jest dostępna tutaj, aby usprawnić konfigurację współzarządzania między usługą Intune i programem Configuration Manager. Autorytatywna zawartość tej i powiązanych procedur dotyczących konfigurowania identyfikatora Entra firmy Microsoft zawiera temat Configure Microsoft Entra hybrid join for managed domains (Konfigurowanie przyłączania hybrydowego microsoft entra dla domen zarządzanych ) w dokumentacji usługi Microsoft Entra.
Konfigurowanie przyłączania hybrydowego w usłudze Microsoft Entra przy użyciu programu Microsoft Entra Connect
Pobierz i zainstaluj najnowszą wersję programu Microsoft Entra Connect (1.1.819.0 lub nowszą).
Uruchom program Microsoft Entra Connect, a następnie wybierz pozycję Konfiguruj.
Na stronie Dodatkowe zadania wybierz pozycję Konfiguruj opcje urządzenia, a następnie wybierz pozycję Dalej.
Na stronie Przegląd wybierz pozycję Dalej.
Na stronie Connect to Microsoft Entra ID (Łączenie z identyfikatorem Entra firmy Microsoft ) wprowadź poświadczenia administratora globalnego dla identyfikatora Entra firmy Microsoft.
Na stronie Opcje urządzenia wybierz pozycję Konfiguruj sprzężenie hybrydowe Microsoft Entra, a następnie wybierz pozycję Dalej.
Na stronie Systemy operacyjne Urządzenia wybierz systemy operacyjne używane przez urządzenia w środowisku usługi Active Directory, a następnie wybierz pozycję Dalej.
Możesz wybrać opcję obsługi urządzeń przyłączonych do domeny z systemem Windows, ale pamiętaj, że współzarządzanie urządzeniami jest obsługiwane tylko w systemie Windows 10 lub nowszym.
Na stronie SCP dla każdego lasu lokalnego, w którym program Microsoft Entra Connect ma skonfigurować punkt połączenia z usługą (SCP), wykonaj następujące kroki, a następnie wybierz pozycję Dalej:
- Wybierz las.
- Wybierz usługę uwierzytelniania. Jeśli masz domenę federacyjną, wybierz serwer usług AD FS, chyba że organizacja ma wyłącznie klientów z systemem Windows 10 lub nowszym i skonfigurowano synchronizację komputera/urządzenia lub twoja organizacja korzysta z bezproblemowego logowania jednokrotnego.
- Kliknij przycisk Dodaj , aby wprowadzić poświadczenia administratora przedsiębiorstwa.
Jeśli masz domenę zarządzaną, pomiń ten krok.
Na stronie Konfiguracja federacji wprowadź poświadczenia administratora usług AD FS, a następnie wybierz przycisk Dalej.
Na stronie Gotowe do skonfigurowania wybierz pozycję Konfiguruj.
Na stronie Konfiguracja ukończona wybierz pozycję Zakończ.
Jeśli występują problemy z ukończeniem dołączania hybrydowego do usługi Microsoft Entra dla urządzeń z systemem Windows przyłączonych do domeny, zobacz Rozwiązywanie problemów z dołączaniem hybrydowym microsoft Entra dla bieżących urządzeń z systemem Windows.
Konfigurowanie ustawień klienta w celu kierowania klientów do rejestracji przy użyciu identyfikatora Entra firmy Microsoft
Użyj ustawień klienta, aby skonfigurować klientów programu Configuration Manager w celu automatycznego rejestrowania się przy użyciu identyfikatora Entra firmy Microsoft.
Otwórz konsolę> programu Configuration ManagerAdministracja>Przegląd>ustawień klienta, a następnie edytuj domyślne ustawienia klienta.
Wybierz pozycję Cloud Services.
Na stronie Ustawienia domyślne ustaw opcję Automatycznie rejestruj nowe urządzenia przyłączone do domeny systemu Windows 10 przy użyciu identyfikatora Entra firmy Microsoft na wartość = Tak.
Wybierz przycisk OK , aby zapisać tę konfigurację.
Konfigurowanie automatycznej rejestracji urządzeń w usłudze Intune
Następnie skonfigurujemy automatyczną rejestrację urządzeń w usłudze Intune. W przypadku automatycznej rejestracji urządzenia zarządzane za pomocą programu Configuration Manager są automatycznie rejestrowane w usłudze Intune.
Automatyczna rejestracja umożliwia również użytkownikom rejestrowanie urządzeń z systemem Windows 10 lub nowszym w usłudze Intune. Urządzenia są rejestrowane, gdy użytkownik dodaje swoje konto służbowe do swojego urządzenia należącego do użytkownika lub gdy urządzenie należące do firmy jest przyłączone do usługi Microsoft Entra ID.
Zaloguj się do witryny Azure Portal i wybierz pozycję Microsoft Entra ID>Mobility (MDM i MAM)>Microsoft Intune.
Konfigurowanie zakresu użytkownika mdm. Określ jedną z następujących opcji, aby skonfigurować urządzenia użytkowników zarządzane przez usługę Microsoft Intune i zaakceptować wartości domyślne dla wartości adresu URL.
Niektóre: wybierz grupy , które mogą automatycznie rejestrować swoje urządzenia z systemem Windows 10 lub nowszym
Wszystko: Wszyscy użytkownicy mogą automatycznie rejestrować swoje urządzenia z systemem Windows 10 lub nowszym
Brak: Wyłączanie automatycznej rejestracji mdm
Ważna
Jeśli dla grupy włączono zarówno zakres użytkownika zarządzania aplikacjami mobilnymi, jak i automatyczną rejestrację w usłudze MDM (zakres użytkownika mdm), włączono tylko funkcję MAM. Tylko zarządzanie aplikacjami mobilnymi (MAM) jest dodawane dla użytkowników w tej grupie podczas dołączania urządzeń osobistych w miejscu pracy. Urządzenia nie są automatycznie rejestrowane w usłudze MDM.
Gdy program Configuration Manager jest ustawiony na rejestrowanie urządzeń w usłudze Intune, nadal musisz zmienić zakres użytkownika mdm na potrzeby rejestracji tokenu urządzenia. Program Configuration Manager używa adresów URL mdm przechowywanych w bazie danych lokacji, aby sprawdzić, czy klient należy do oczekiwanej dzierżawy usługi Intune.
Wybierz pozycję Zapisz , aby ukończyć konfigurację automatycznej rejestracji.
Wróć do pozycji Mobility (MDM i MAM), a następnie wybierz pozycję Rejestracja w usłudze Microsoft Intune.
Uwaga
Niektóre dzierżawy mogą nie mieć tych opcji do skonfigurowania.
Usługa Microsoft Intune to sposób konfigurowania aplikacji MDM dla identyfikatora Entra firmy Microsoft. Rejestracja w usłudze Microsoft Intune to określona aplikacja Microsoft Entra utworzona podczas stosowania zasad uwierzytelniania wieloskładnikowego dla rejestracji w systemach iOS i Android. Aby uzyskać więcej informacji, zobacz Wymagaj uwierzytelniania wieloskładnikowego dla rejestracji urządzeń w usłudze Intune.
W obszarze Zakres użytkownika mdm wybierz pozycję Wszystkie, a następnie pozycję Zapisz.
Włączanie współzarządzania w programie Configuration Manager
Dzięki hybrydowej konfiguracji klienta programu Microsoft Entra i konfiguracji klienta programu Configuration Manager możesz przerzucić przełącznik i włączyć współzarządzanie urządzeniami z systemem Windows 10 lub nowszym. Fraza Grupa pilotażowa jest używana w oknach dialogowych funkcji współzarządzania i konfiguracji. Grupa pilotażowa to kolekcja zawierająca podzestaw urządzeń programu Configuration Manager. Użyj grupy pilotażowej do testowania początkowego, dodając urządzenia w razie potrzeby, dopóki nie będziesz gotowy do przenoszenia obciążeń dla wszystkich urządzeń programu Configuration Manager. Nie ma limitu czasu na to, jak długo grupa pilotażowa może być używana dla obciążeń. Grupa pilotażowa może być używana przez czas nieokreślony, jeśli nie chcesz przenosić obciążenia na wszystkie urządzenia programu Configuration Manager.
Po włączeniu współzarządzania przypiszesz kolekcję jako grupę pilotażową. Jest to grupa zawierająca niewielką liczbę klientów do testowania konfiguracji współzarządzania. Zalecamy utworzenie odpowiedniej kolekcji przed rozpoczęciem procedury. Następnie możesz wybrać tę kolekcję bez zamykania procedury, aby to zrobić. Może być potrzebnych wiele kolekcji, ponieważ można przypisać inną grupę pilotażową dla każdego obciążenia.
Uwaga
Ponieważ urządzenia są rejestrowane w usłudze Microsoft Intune na podstawie tokenu urządzenia Microsoft Entra, a nie tokenu użytkownika, tylko domyślne ograniczenie rejestracji usługi Intune będzie miało zastosowanie do rejestracji.
Włączanie współzarządzania w wersjach 2111 i nowszych
Począwszy od programu Configuration Manager w wersji 2111, środowisko dołączania współzarządzania uległo zmianie. Kreator konfiguracji dołączania do chmury ułatwia współzarządzanie i inne funkcje w chmurze. Możesz wybrać uproszczony zestaw zalecanych wartości domyślnych lub dostosować funkcje dołączania do chmury. Istnieje również nowa wbudowana kolekcja urządzeń dla kwalifikujących się urządzeń do współzarządzania , która ułatwia identyfikację klientów. Aby uzyskać więcej informacji na temat włączania współzarządzania, zobacz Włączanie dołączania do chmury.
Uwaga
Dzięki nowemu kreatorowi nie będziesz przenosić obciążeń w tym samym czasie, w który włączasz współzarządzanie. Aby przenieść obciążenia, edytuj właściwości współzarządzania po włączeniu dołączania do chmury.
Włączanie współzarządzania w wersjach 2107 i starszych
Po włączeniu współzarządzania możesz użyć chmury publicznej platformy Azure, chmury azure government lub chmury Azure China 21Vianet (dodano ją w wersji 2006). Aby włączyć współzarządzanie, wykonaj następujące instrukcje:
W konsoli programu Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Usługi w chmurze i wybierz węzeł Dołącz do chmury . Wybierz pozycję Konfiguruj dołączanie do chmury na wstążce, aby otworzyć Kreatora konfiguracji dołączania do chmury.
W wersji 2103 lub starszej rozwiń węzeł Cloud Services i wybierz węzeł Współzarządzanie . Wybierz pozycję Konfiguruj współzarządzanie na wstążce, aby otworzyć Kreatora konfiguracji współzarządzania.
Na stronie dołączania kreatora dla środowiska platformy Azure wybierz jedno z następujących środowisk:
Chmura publiczna platformy Azure
Chmura azure government
Chmura Azure China (dodana w wersji 2006)
Uwaga
Zaktualizuj klienta programu Configuration Manager do najnowszej wersji na urządzeniach przed dołączeniem do chmury Azure China.
Po wybraniu chmury Platformy Azure w Chinach lub chmury azure government opcja Przekaż do centrum administracyjnego programu Microsoft Endpoint Manager dla dołączania dzierżawy jest wyłączona.
Wybierz pozycję Zaloguj. Zaloguj się jako administrator globalny usługi Microsoft Entra, a następnie wybierz pozycję Dalej. Logujesz się za jednym razem na potrzeby tego kreatora. Poświadczenia nie są przechowywane ani ponownie używane w innym miejscu.
Na stronie Włączanie wybierz następujące ustawienia:
Automatyczna rejestracja w usłudze Intune: włącza automatyczną rejestrację klienta w usłudze Intune dla istniejących klientów programu Configuration Manager. Ta opcja umożliwia włączenie współzarządzania w podzbiorze klientów w celu wstępnego przetestowania współzarządzania, a następnie wdrożenia współzarządzania przy użyciu podejścia etapowego. Jeśli użytkownik wyrejestruje urządzenie, urządzenie zostanie ponownie zarejestrowane podczas następnej oceny zasad.
- Pilot: w usłudze Intune są automatycznie rejestrowane tylko klienci programu Configuration Manager, którzy są członkami kolekcji Automatyczna rejestracja usługi Intune .
- Wszystko: Włącz automatyczną rejestrację dla wszystkich klientów z systemem Windows 10 w wersji 1709 lub nowszej.
- Brak: wyłącz automatyczną rejestrację dla wszystkich klientów.
Automatyczna rejestracja w usłudze Intune: ta kolekcja powinna zawierać wszystkich klientów, których chcesz dołączyć do współzarządzania. Zasadniczo jest to nadzbiór wszystkich innych kolekcji przejściowych.
Automatyczna rejestracja nie jest natychmiastowa dla wszystkich klientów. To zachowanie pomaga w lepszym skalowaniu rejestracji w dużych środowiskach. Program Configuration Manager losowo wybiera rejestrację na podstawie liczby klientów. Jeśli na przykład środowisko ma 100 000 klientów, po włączeniu tego ustawienia rejestracja odbywa się w ciągu kilku dni.
Nowe współzarządzane urządzenie jest teraz automatycznie rejestrowane w usłudze Microsoft Intune na podstawie tokenu urządzenia Microsoft Entra. Nie trzeba czekać, aż użytkownik zaloguje się do urządzenia, aby rozpocząć automatyczną rejestrację. Ta zmiana pomaga zmniejszyć liczbę urządzeń ze stanem rejestracji Oczekiwanie na logowanie użytkownika. Aby obsługiwać to zachowanie, na urządzeniu musi działać system Windows 10 w wersji 1803 lub nowszej. Aby uzyskać więcej informacji, zobacz Stan rejestracji współzarządzania.
Jeśli masz już urządzenia zarejestrowane we współzarządzaniu, nowe urządzenia są teraz rejestrowane natychmiast po spełnieniu wymagań wstępnych.
W przypadku urządzeń internetowych, które są już zarejestrowane w usłudze Intune, skopiuj i zapisz polecenie na stronie Włączanie . Użyjesz tego polecenia, aby zainstalować klienta programu Configuration Manager jako aplikację w usłudze Intune dla urządzeń internetowych. Jeśli nie zapiszesz teraz tego polecenia, możesz przejrzeć konfigurację współzarządzania w dowolnym momencie, aby uzyskać to polecenie.
Porada
Polecenie jest wyświetlane tylko wtedy, gdy spełniono wszystkie wymagania wstępne, takie jak skonfigurowanie bramy zarządzania chmurą.
Na stronie Obciążenia dla każdego obciążenia wybierz grupę urządzeń do przeniesienia na potrzeby zarządzania za pomocą usługi Intune. Aby uzyskać więcej informacji, zobacz Obciążenia.
Jeśli chcesz włączyć tylko współzarządzanie, nie musisz teraz przełączać obciążeń. Obciążenia można później przełączyć. Aby uzyskać więcej informacji, zobacz Jak przełączać obciążenia.
- Pilotażowa usługa Intune: przełącza skojarzone obciążenie tylko dla urządzeń w kolekcjach pilotażowych, które zostaną określone na stronie Przemieszczanie . Każde obciążenie może mieć inną kolekcję pilotażową.
- Intune: przełącza skojarzone obciążenie dla wszystkich współzarządzanych urządzeń z systemem Windows 10 lub nowszym.
Ważna
Przed przełączeniem jakichkolwiek obciążeń upewnij się, że odpowiednie obciążenie jest prawidłowo skonfigurowane i wdrożone w usłudze Intune. Upewnij się, że obciążenia są zawsze zarządzane przez jedno z narzędzi do zarządzania urządzeniami.
Na stronie Przemieszczanie określ kolekcję pilotażową dla każdego z obciążeń, które są ustawione na pilotażową usługę Intune.
Aby włączyć współzarządzanie, wykonaj czynności kreatora.
Następne kroki
- Przejrzyj stan urządzeń współzarządzanych za pomocą pulpitu nawigacyjnego współzarządzania
- Rozpoczynanie uzyskiwania natychmiastowej wartości ze współzarządzania
- Zarządzanie dostępem użytkowników do zasobów firmowych przy użyciu reguł dostępu warunkowego i zgodności usługi Intune