Partilhar via


Tutorial: Permitir cogestão para clientes gestores de configuração existentes

Com a cogestão, pode manter os seus processos bem estabelecidos para usar o Gestor de Configuração para gerir PCs na sua organização. Ao mesmo tempo, está a investir na nuvem através da utilização do Intune para segurança e provisões modernas.

Neste tutorial, cria a cogestão dos seus Windows 10 dispositivos que já estão inscritos no Gestor de Configuração. Este tutorial começa com a premissa de que já utiliza o Gestor de Configuração para gerir os seus Windows 10 dispositivos.

Utilize este tutorial quando:

  • Você tem um Ative Directory no local que você pode ligar a Azure Ative Directory (Azure AD) em uma configuração AD AZure híbrida.

    Se não conseguir implementar um Azure Ative Directory híbrido (AD) que se junte ao seu AD no local com a AD Azure, recomendamos que seguindo o nosso tutorial de acompanhantes, enable co-management para novos dispositivos de Windows 10 baseados na Internet.

  • Tem clientes gestores de configuração existentes que pretende anexar na nuvem.

Neste tutorial você:

  • Reveja os pré-requisitos para o Azure e o seu ambiente no local
  • Configurar o Azure AD híbrido
  • Configurar os agentes clientes do Gestor de Configuração para se registarem com a Azure AD
  • Configurar Intune para configurar automaticamente dispositivos
  • Ativar a cogestão no Gestor de Configuração

Pré-requisitos

Serviços e ambiente da Azure

  • Assinatura Azure(teste gratuito)
  • Azure Active Directory Premium
  • Subscrição do Microsoft Intune
    • Uma subscrição Enterprise Mobility + Security (EMS) inclui Azure Ative Directory Premium e Microsoft Intune. Assinatura EMS(teste gratuito).

Se ainda não estiver presente no seu ambiente, durante este tutorial:

  • Configure Azure AD Ligação entre o seu Ative Directory no local e o seu inquilino Azure Ative Directory (AD).

Dica

Já não precisa de adquirir e atribuir licenças individuais intune ou EMS aos seus utilizadores. Para mais informações, consulte o Produto e licenciando as FAQ.

Infraestrutura no local

  • Uma versão suportada do atual ramo do Gestor de Configuração
  • A autoridade de gestão de dispositivos móveis (MDM) deve ser definida para Intune.

Permissões

Ao longo deste tutorial, utilize as seguintes permissões para completar tarefas:

  • Uma conta que é um administrador de domínio na sua infraestrutura no local
  • Uma conta que é um administrador completo para todos os âmbitos no Gestor de Configuração
  • Uma conta que é um administrador global em Azure Ative Directory (Azure AD)
    • Certifique-se de que atribuiu uma licença Intune à conta que usa para assinar no seu inquilino. Caso contrário, o sinal de falha com a mensagem de erro ocorreu um erro não previsto.

Configurar o Azure AD híbrido

Quando configura um AD híbrido Azure, está realmente a configurar a integração de um AD no local com Azure AD usando Azure AD Ligação e Ative Directory Federated Services (ADFS). Com uma configuração bem sucedida, os seus trabalhadores podem iniciar sivamente em sistemas externos usando as suas credenciais de AD no local.

Importante

Este tutorial detalha um processo de ossos nus para configurar o AD híbrido Azure para um domínio gerido. Recomendamos que esteja familiarizado com o processo e não confie neste tutorial como seu guia para entender e implementar Azure AD híbrido.

Para obter mais informações sobre o híbrido Azure AD, comece com os seguintes artigos na documentação Azure Ative Directory:

Configurar a Azure AD Ligação

O Ad Híbrido Azure requer a configuração do Azure AD Ligação para manter as contas de computador no seu Ative Directory (AD) e o objeto do dispositivo em Azure AD em sincronização.

A partir da versão 1.1.819.0, o Azure AD Connect fornece um assistente para configurar a associação do Azure AD híbrido. A utilização desse assistente simplifica o processo de configuração.

Para configurar o Azure AD Ligação, precisa de credenciais de um administrador global para a Azure AD. O procedimento que se segue não deve ser considerado autoritário para a criação do Azure AD Ligação, mas é aqui fornecido para ajudar a simplificar a configuração da cogestão entre Intune e o Gestor de Configuração. Para o conteúdo autoritário sobre este e procedimentos relacionados para a instalação do Azure AD, consulte a Configure hybrid Azure AD para domínios geridos na documentação AD Azure.

Configure uma ad híbrida Azure usando Azure AD Ligação

  1. Obtenha e instale a versão mais recente do Azure AD Ligação (1.1.819.0 ou superior).

  2. Lançar Azure AD Ligação e, em seguida, selecionar Configure.

  3. Na página de tarefas adicionais, selecione opções do dispositivo configurar e, em seguida, selecione Seguinte.

  4. Na página 'Vista Geral', selecione Seguinte.

  5. Na página Ligação AD da Azure, insira as credenciais de um administrador global para a Azure AD.

  6. Na página de opções do Dispositivo, selecione Configure Hybrid Azure AD , e, em seguida, selecione Next.

  7. Na página de sistemas operativos do Dispositivo, selecione os sistemas operativos utilizados pelos dispositivos no ambiente do Diretório Ativo e, em seguida, selecione Next.

    Pode selecionar a opção de suporte Windows dispositivos de baixo nível de domínio, mas tenha em mente que a cogestão dos dispositivos só é suportada para Windows 10.

  8. Na página SCP, para cada floresta no local, pretende que o Azure AD Ligação configurar o ponto de ligação de serviço (SCP), faça os seguintes passos e, em seguida, selecione Seguinte:

    1. Selecione a floresta.
    2. Selecione o serviço de autenticação. Se tiver um domínio federado, selecione o servidor AD FS a menos que a sua organização tenha exclusivamente Windows 10 clientes e tenha configurado sincronização de computador/dispositivo ou a sua organização esteja a utilizar o SeamlessSSO.
    3. Clique em Adicionar para introduzir as credenciais de administrador da empresa.
  9. Se tiver um domínio gerido, ignore este passo.

    Na página de configuração da Federação, insira as credenciais do administrador da AD FS e, em seguida, selecione Seguinte.

  10. Na página Pronto para configurar, selecione Configurar.

  11. Na página completa da Configuração, selecione Sair.

Se sentir problemas com a conclusão da ad híbrida Azure para o domínio unidos Windows dispositivos, consulte a AD híbrida de resolução de problemas para Windows dispositivos atuais.

Configure cliente Definições para direcionar clientes para se registarem na Azure AD

Utilize o Definições do Cliente para configurar clientes do Gestor de Configuração para se registarem automaticamente com a AZure AD.

  1. Abra a visão geral da administração da consola do Gestor de Configuração Definições do > > > cliente, e, em seguida, edite o Definições do Cliente Predefinido.

  2. Selecione Serviços cloud.

  3. Na página de Definições padrão, descreva automaticamente novos dispositivos de Windows 10 de domínio com Azure Ative Directory para = Sim.

  4. Selecione OK para guardar esta configuração.

Configurar a inscrição automática de dispositivos para o Intune

Em seguida, vamos configurar a inscrição automática de dispositivos com o Intune. Com a inscrição automática, os dispositivos que gere com o Gestor de Configuração matriculam-se automaticamente no Intune.

A inscrição automática também permite que os utilizadores inscrevam os seus Windows 10 dispositivos para o Intune. Os dispositivos inscrevem-se quando um utilizador adiciona a sua conta de trabalho ao seu dispositivo de propriedade pessoal, ou quando um dispositivo de propriedade corporativa é associado a Azure Ative Directory.

  1. Inscreva-se no portal Azure e selecione Azure Ative Directory > Mobility (MDM e MAM) > Microsoft Intune.

  2. Configure o âmbito do utilizador DOM. Especifique um dos seguintes para configurar quais os dispositivos dos utilizadores geridos por Microsoft Intune e aceitar os predefinidos para os valores de URL.

    • Alguns: Selecione os grupos que podem inscrever automaticamente os seus dispositivos Windows 10

    • Todos: Todos os utilizadores podem inscrever automaticamente os seus dispositivos Windows 10

    • Nenhum: Desativar a inscrição automática do MDM

    Importante

    Se o âmbito do utilizador MAM e a inscrição na MDM automática (âmbito do utilizador MDM) estiverem ativados num grupo, apenas a MAM será ativada. Apenas a Gestão de Aplicações Móveis (MAM) é adicionada aos utilizadores desse grupo quando se juntam a dispositivos pessoais. Os dispositivos não são automaticamente matriculados no MDM.

    Quando o Gestor de Configuração está definido para inscrever dispositivos no Intune, não precisa de alterar o âmbito do utilizador DOM para a inscrição de símbolos do dispositivo. O Gestor de Configuração utiliza os URLs MDM que armazena na base de dados do site.

  3. Selecione Guardar para completar a configuração da inscrição automática.

  4. Voltar à Mobilidade (MDM e MAM) e, em seguida, selecionar Microsoft Intune Inscrição.

    Nota

    Alguns inquilinos podem não ter estas opções para configurar.

    Microsoft Intune é como configurar a aplicação MDM para Azure AD. Microsoft Intune Inscrição é uma aplicação específica AD Azure que é criada quando aplica políticas de autenticação de vários fatores para a inscrição de iOS e Android. Para obter mais informações, consulte Exigir a autenticação de vários fatores para as matrículas do dispositivo Intune.

  5. Para o âmbito do utilizador DOM, selecione All e, em seguida, Guarde.

Ativar a cogestão no Gestor de Configuração

Com configurações híbridas de clientes Azure AD e Gestor de Configuração no lugar, está pronto para ligar o interruptor e permitir a cogestão dos seus dispositivos Windows 10. A frase Grupo Piloto é utilizada em todos os diálogos de cogestão e configuração. Um grupo piloto é uma coleção que contém um subconjunto dos seus dispositivos De Gestor de Configuração. Utilize um grupo piloto para os seus testes iniciais, adicionando os dispositivos conforme necessário, até estar pronto para mover as cargas de trabalho para todos os dispositivos do Gestor de Configuração. Não há um limite de tempo para quanto tempo um grupo piloto pode ser usado para cargas de trabalho. Um grupo piloto pode ser utilizado indefinidamente se não pretender mover a carga de trabalho para todos os dispositivos do Gestor de Configuração.

Quando ativar a cogestão, atribuirá uma coleção como grupo Piloto. Este é um grupo que contém um pequeno número de clientes para testar as suas configurações de cogestão. Recomendamos que crie uma coleção adequada antes de iniciar o procedimento. Em seguida, pode selecionar essa coleção sem sair do procedimento para o fazer. Pode precisar de várias coleções, uma vez que pode atribuir um grupo Piloto diferente para cada carga de trabalho.

Ativar a cogestão

Ao ativar a cogestão, pode utilizar a Nuvem Pública Azure, a Nuvem do Governo dos EUA ou Microsoft Azure China 21Vianet (adicionada na versão de 2006). Para permitir a cogestão a partir da versão 1906 do Gestor de Configuração, siga as instruções abaixo:

  1. Na consola 'Gestor de Configuração', vá ao espaço de trabalho da Administração, expanda os Serviços cloud e selecione o nó Cloud Attach. Selecione Configurar Cloud Attach na fita para abrir o Assistente de Configuração do Anexamento de Nuvem .

    • Para a versão 2103 e anterior, expanda os Serviços Cloud e selecione o nó de Cogestão. Selecione configurar a cogestão na fita para abrir o Assistente de Configuração de Cogestão.
  2. Na página de bordo do assistente, configuure o ambiente Azure para utilizar. Escolha um dos seguintes ambientes:

    • Nuvem Pública de Azure
    • Nuvem do Governo dos EUA Azure.
    • Azure China Cloud (adicionado na versão 2006)
      • Atualize o cliente Do Gestor de Configuração para a versão mais recente dos seus dispositivos antes de embarcar para a Azure China Cloud.

    Quando selecionar Azure China Cloud ou Azure US Government Cloud, a opção de centro de administração de Microsoft Endpoint Manager para o inquilino é desativada.

  3. Selecione iniciar sção. Inscreva-se como administrador global da AD AZure e, em seguida, selecione Next. Assine esta vez com os propósitos deste feiticeiro. As credenciais não são armazenadas ou reutilizadas em outro lugar.

  4. Na página 'Activar', escolha as seguintes definições:

    • Inscrição automática no Intune - Permite a inscrição automática de clientes no Intune para os clientes existentes do Gestor de Configuração. Esta opção permite-lhe permitir a cogestão num subconjunto de clientes para testar inicialmente a cogestão e a cogestão de lançamento usando uma abordagem faseada. Se um dispositivo não for inscrito pelo utilizador, na próxima avaliação da apólice, voltará a inscrever-se.

      • Pilot - Apenas os clientes Do Gestor de Configuração que são membros da coleção Intune Auto Registration estão automaticamente inscritos no Intune.
      • Tudo - Ativar a inscrição automática para todos os Windows 10, versão 1709 ou posterior, clientes.
      • Nenhuma - Desativar a inscrição automática para todos os clientes.
    • Intune Auto Inscrição - Esta coleção deve conter todos os clientes que deseja embarcar em cogestão. É essencialmente um superconjunto de todas as outras coleções de encenação.

    Especificar a coleção de inscrição automática Intune

    A inscrição automática não é imediata para todos os clientes. Este comportamento ajuda a escalar melhor a escala de inscrições para grandes ambientes. O Gestor de Configuração aleatoriamente se matricula com base no número de clientes. Por exemplo, se o seu ambiente tiver 100.000 clientes, quando ativa esta configuração, a inscrição ocorre ao longo de vários dias.

    • Um novo dispositivo cogerido agora se inscreve automaticamente no serviço Microsoft Intune com base no seu Azure Ative Directory (Azure AD) símbolo do dispositivo. Não é preciso esperar que um utilizador inicie a s inscrição automática no dispositivo. Esta alteração ajuda a reduzir o número de dispositivos com o estado de inscrição Enquanto se inscreve o registo do utilizador . Para suportar este comportamento, o dispositivo precisa de estar em funcionamento Windows 10, versão 1803 ou posterior. Para obter mais informações, consulte o estado de inscrição de Cogestão.
    • Se já tem dispositivos matriculados na cogestão, os novos dispositivos matriculam-se imediatamente assim que satisfaçam os requisitos.
  5. Para dispositivos baseados na Internet que já estejam matriculados no Intune, copie e guarde a linha de comando na página Desativação. Utilizará esta linha de comando para instalar o cliente Do Gestor de Configuração como uma aplicação no Intune para dispositivos baseados na Internet. Se não guardar esta linha de comando agora, pode rever a configuração de cogestão a qualquer momento para obter esta linha de comando.

    Dica

    A linha de comando só mostra se já cumpriu todos os pré-requisitos, como criar um portal de gestão de nuvens.

  6. Na página Workloads, para cada carga de trabalho, escolha qual grupo de dispositivos para se deslocar para gestão com o Intune. Para mais informações, consulte Workloads. Se só quer permitir a cogestão, não precisa de mudar de carga de trabalho agora. Pode trocar cargas de trabalho mais tarde. Para obter mais informações, consulte Como mudar as cargas de trabalho.

    • Pilot Intune - Muda a carga de trabalho associada apenas para os dispositivos nas coleções piloto que irá especificar na página de Encenação. Cada carga de trabalho pode ter uma coleção de pilotos diferente.
    • Intune - Muda a carga de trabalho associada para todos os dispositivos de Windows 10 cogeridos.

    Importante

    Antes de trocar qualquer carga de trabalho, certifique-se de que configura corretamente e desloque a carga de trabalho correspondente no Intune. Certifique-se de que as cargas de trabalho são sempre geridas por uma das ferramentas de gestão dos seus dispositivos.

  7. Na página 'Encenar', especifique a recolha piloto de cada uma das cargas de trabalho definidas para Pilot Intune.

    Assistente de configuração de cogestão, página de encenação, especificar coleções de pilotos

  8. Para ativar a cogestão, complete o assistente.

Passos seguintes