Aplica-se a: Configuration Manager (ramo atual)
Este artigo responde às suas perguntas frequentes sobre cogestão. Para mais informações, veja o que é cogestão?
Planeamento
Quero permitir a cogestão, qual é o efeito?
Quando permite a cogestão, o Gestor de Configuração continua a ser a autoridade de gestão para todas as cargas de trabalho. Por isso, continuas a gerir os teus dispositivos da mesma forma. Se não mudar nenhuma carga de trabalho para Intune, todas as definições e aplicações do Gestor de Configuração continuam a funcionar da mesma forma que antes de ativar a cogestão.
Permitir a cogestão é completamente transparente para o utilizador final. Não há reinicialização, instalação de agente, interrupção e notificação do utilizador.
Como administrador, pode ver dispositivos cogeridos no centro de administração Microsoft Endpoint Manager. Pode fazer ações remotas a partir do centro de administração, e pode beneficiar de insights com análises endpoint.
Os dispositivos cogeridos podem ser transformados em dispositivos provisões para piloto automático da próxima vez que o dispositivo for reiniciado.
Considere usar o Portal da Empresa. É a experiência do portal de aplicações cross-platform para Microsoft Endpoint Manager. Ao configurar dispositivos cogeridos para também utilizar o Portal da Empresa, pode proporcionar uma experiência de utilizador consistente em todos os dispositivos. Os seus utilizadores devem familiarizar-se com Portal da Empresa, uma vez que proporcionará a experiência integrada que vai para a frente. Para obter mais informações, consulte a aplicação Portal da Empresa em dispositivos cogeridos.
Devo usar cogestão ou inquilino anexar?
Os dois! Podes usá-los independentemente, mas funcionam bem juntos.
A cogestão permite-lhe gerir simultaneamente um dispositivo Windows 10 com o Gestor de Configuração e o Intune. Instala o cliente Gestor de Configuração e inscreve o dispositivo no Intune. O dispositivo comunica com ambos os serviços. A política do Gestor de Configuração controla quais as cargas de trabalho que muda para Intune como autoridade de gestão. Você pode ativar a cogestão e não usar o inquilino anexar para carregar dispositivos para o centro de administração Microsoft Endpoint Manager.
O anexo do inquilino configura a sincronização entre o site do Seu Gestor de Configuração e o seu inquilino Intune. Em seguida, pode ver os dispositivos do Gestor de Configuração no centro de administração Microsoft Endpoint Manager. Esta ligação proporciona-lhe uma única visão para todos os dispositivos que gere com Microsoft Endpoint Manager. Esta consola baseada na web pode ser benéfica em alguns cenários que não querem usar a consola completa do Configuration Manager, como por exemplo com o pessoal do help desk. Também pode beneficiar de insights em análises endpoint. Pode configurar o site para carregar dispositivos para o centro de administração Microsoft Endpoint Manager e não permitir a cogestão. No entanto, estes dispositivos ainda são geridos pela ConfigMgr até que você possa permitir a cogestão.
Para obter mais informações sobre o inquilino anexar e como configurá-lo, consulte Microsoft Endpoint Manager anexo do inquilino.
Autenticação
A AD híbrida AZure junta-se à única opção para cogestão?
N.º A ad hybrid Azure e cogestão são duas coisas diferentes:
A ad azure híbrida é um estado de identidade do dispositivo onde o dispositivo é associado a um domínio de Ative Directory no local e registado em Azure Ative Directory (Azure AD).
A cogestão permite-lhe gerir simultaneamente um dispositivo Windows 10 com o Gestor de Configuração e o Intune. Instala o cliente Gestor de Configuração e inscreve o dispositivo no Intune. O dispositivo comunica com ambos os serviços. A política do Gestor de Configuração controla quais as cargas de trabalho que muda para Intune como autoridade de gestão. A cogestão requer que o dispositivo tenha uma identidade em nuvem. Esta identidade pode ser híbrida Azure AD ou Azure AD unem-se apenas.
Para um cliente gestor de configuração existente que já se juntou ao Ative Directory, tem de ser híbrido antes de permitir a cogestão.
Para novos dispositivos que estejam apenas ligados ao domínio da nuvem com o Azure AD, pode ativar a cogestão imediatamente. Não há requisito para a ad AZure híbrida juntar-se a novos dispositivos cogeridos.
Para obter mais informações, consulte a Utilização Azure AD para cogestão.
A cogestão suporta dispositivos aderidos a Azure?
Sim. A cogestão suporta dispositivos aderidos a Azure e dispositivos híbridos aderidos a Azure AD. Para obter mais informações, consulte os pré-requisitos de cogestão.
O meu ambiente tem demasiados objetos de política de grupo e aplicações autenticadas. Tenho de usar a Ad Azure híbrida?
Depende. Alguns clientes têm preocupações com dispositivos aderidos a Azure AD porque precisam de políticas de grupo ou precisam de autenticação de aplicações Win32. Mais detalhes são necessários para entender se é um verdadeiro bloqueador.
Para aplicações, teste-as num dispositivo ad-a-ad Azure. Normalmente, apenas aplicações que requerem autenticação baseada em máquinas não funcionam, e essas não são comuns. Se a aplicação funcionar num dispositivo ligado ao domínio da nuvem, então não precisa de se juntar aos seus dispositivos por causa dessa aplicação.
Para políticas de grupo, não tente traduzir todos os seus objetos de política de grupo existentes (OGM) para políticas intune. Para um dispositivo gerido pela nuvem, existem algumas políticas de grupo que não se aplicam ao cenário. Se não sabe por que uma definição de política de grupo está configurada, agora é uma oportunidade para determinar se ainda é necessário. Certifique-se também de que ainda não está a utilizar as definições para uma aplicação que já não utiliza. Este processo é uma oportunidade para otimizar os requisitos de desempenho e configuração dos seus dispositivos geridos pela nuvem.
Utilize a análise de políticas da Microsoft para o ajudar a compreender se existem definições críticas nos seus GPOs que precisa de migrar para o Intune. Para obter mais informações, consulte use a análise de políticas de grupo.
Não decida investir apenas na autenticação híbrida para evitar rever as definições de que necessita para os seus dispositivos Windows 10. Aproveite esta oportunidade para investir o tempo agora para estar numa melhor posição para o futuro. Além disso, uma configuração saudável e limpa do dispositivo ajuda com o desempenho e a experiência do utilizador. Não compre hardware novo, instale a versão mais recente Windows 10 e, em seguida, aplique uma configuração antiga.
Um utilizador precisa de ser inscrito para que a inscrição automática aconteça?
N.º Um símbolo do dispositivo é usado para inscrever o dispositivo no Intune. Não há necessidade de um utilizador iniciar sposição para Windows para a definição se aplicar.
Ao configurar a cogestão, ative a inscrição automática de dispositivos atualmente geridos pelo Gestor de Configuração. Se necessário, pode fazer a realização automática apenas para uma recolha de pilotos.
Para obter mais informações, consulte Como permitir a cogestão. Certifique-se de que os pré-requisitos de cogestão são configurado antes de iniciar este processo. Para obter mais informações, veja os Pré-requisitos.
Preciso de fazer alguma coisa com a depreciação da AZure AD Graph API e a Azure AD Authentication Library (ADAL)?
Provavelmente não. Para mais informações, consulte a CMG FAQ.
Cargas de Trabalho
Permiti a cogestão, que carga de trabalho devo mudar primeiro?
A conformidade é a carga de trabalho que a maioria dos clientes muda primeiro. Se mudar esta carga de trabalho para Intune, ainda pode exigir dispositivos para avaliar as definições do Gestor de Configuração. Ao configurar uma política de conformidade no Intune, permita-lhe que exija a conformidade do dispositivo do Gestor de Configuração. Em seguida, pode utilizar o estado de conformidade do dispositivo para controlar o acesso condicional a recursos baseados na nuvem. Esta configuração permite-lhe começar a utilizar os serviços na nuvem sem alterar as verificações de conformidade que já tem no Gestor de Configuração.
Após a conformidade, as cargas de trabalho mais comuns são Office aplicações Click-to-Run, aplicações de clientes e Windows políticas de Atualização.
Quando muda uma carga de trabalho da aplicação para Intune, ainda pode implementar aplicações a partir do Gestor de Configuração. Esta configuração também permite atribuir aplicações no Intune. A experiência está completamente integrada à medida que o novo Portal da Empresa mostra tanto as aplicações De Configuração Como As aplicações Intune. Para obter mais informações, consulte a aplicação Portal da Empresa em dispositivos cogeridos.
Para atualizações de software, muitos clientes já não estão a geri-los em Gestor de Configuração, mas a utilizar Windows Atualizações para Negócios. Dado que Windows atualizações vivem na nuvem, em vez de as sincronizar até à rede de instalações e depois distribuí-las novamente aos clientes na internet, a abordagem moderna é gerir esta carga de trabalho inteiramente na nuvem.
Para obter mais informações, consulte as cargas de cogestão.
Posso usar Windows Autopilot com cogestão?
Sim. Um dos dois caminhos para a cogestão é a armadilha com o fornecimento moderno. Para um dispositivo novo ou reutilizado, o Autopilot junta-o ao Azure AD e inscreve-o no Intune. A Intune pode então implantar o cliente Gestor de Configuração e permitir a cogestão.
Para obter mais informações, consulte Como preparar dispositivos baseados na Internet para cogestão.
Como posso gerir atualizações para aplicações Windows e Microsoft 365?
Pode gerir atualizações para aplicações Windows e Microsoft 365 com o Gestor de Configuração ou o Intune. O Gestor de Configuração fornece um processo muito detalhado e controlado para gerir estas atualizações e os seus conteúdos, o que é importante para alguns clientes. Uma abordagem moderna é apenas manter os dispositivos atualizados, mas ainda controlar o tempo e as experiências do utilizador.
Se mudar a carga de trabalho das políticas de atualização Windows para o Intune, torna-se a autoridade de gestão para Windows qualidade e atualizações de funcionalidades. Utilize Intune para configurar as definições para os anéis de atualização e as definições de atualização de funcionalidades. Para obter mais informações, consulte Gerir Windows 10 atualizações de software no Intune.
Se mudar a carga de trabalho de aplicações click-to-run Office para Intune, então torna-se a autoridade de gestão para Microsoft 365 aplicações e atualizações. Quando criar uma nova Microsoft 365 implantação em suite, escolha o canal de atualização para os seus clientes. Para obter mais informações, veja os seguintes artigos:
Com a cogestão, posso utilizar políticas de conformidade em Intune e definições de conformidade no Gestor de Configuração para avaliar a conformidade geral do dispositivo?
Sim. Uma vez cogerido o seu ambiente e altere a carga de trabalho de conformidade para Intune, pode utilizar as definições de conformidade existentes do Gestor de Configuração e integrá-las com acesso condicional. Para obter mais informações, veja os seguintes artigos:
Trabalhar a partir de qualquer lugar
Quais são as minhas opções para gerir a largura de banda VPN para dispositivos de utilizadores que trabalham a partir de casa?
Veja as seguintes publicações de blog, que entram em detalhes sobre como usar um gateway de gestão de nuvem (CMG) e como contê-lo com uma VPN de túnel dividido para proporcionar a melhor experiência e aliviar o tráfego VPN:
A cogestão requer um gateway de gestão de nuvem (CMG)?
N.º CMG é uma funcionalidade de Gestor de Configuração para a conectividade do dispositivo. Deve utilizar um CMG se tiver clientes Do Gestor de Configuração na internet, se forem cogeridos ou não. Um cliente cogerido num ambiente sem CMG teria de contar com a conectividade VPN quando circula fora da rede de instalações.
O cenário para a disponibilização de dispositivos cogeridos a Azure AD requer um CMG. Permite que um dispositivo baseado em estágio instale o cliente Gestor de Configuração após o processo autopiloto.
Para obter mais informações, veja os seguintes artigos:
Preciso de distribuir atualizações de software a um CMG ativado por conteúdos para os clientes remotos as instalarem?
N.º Windows atualizações já estão disponíveis na internet, por isso não precisa distribuí-las para o seu CMG.
Em versões anteriores, o Gestor de Configuração bloqueou pacotes de atualização para fontes de conteúdo baseadas na nuvem. Esta restrição foi removida para que possa distribuir atualizações de software de terceiros. Não distribua para a CMG quaisquer atualizações que estejam disponíveis a partir de Atualizações do Microsoft.
Os clientes do Gestor de Configuração têm afinidade nativa quando utilizam um CMG para obter atualizações diretamente do serviço de cloud microsoft Updates. Para obter mais informações sobre como a CMG funciona com o serviço microsoft Updates e orientação de configuração, consulte o post de blog sobre Gerir máquinas remotas com porta de gestão de nuvem em Microsoft Endpoint Configuration Manager.