Självstudie: Aktivera samhantering för befintliga Configuration Manager-klienter

Med samhantering kan du behålla dina väletablerade processer för att använda Configuration Manager för att hantera datorer i din organisation. Samtidigt investerar du i molnet med hjälp av Intune för säkerhet och modern etablering.

I den här självstudien konfigurerar du samhantering av dina Windows 10 eller senare enheter som redan har registrerats i Configuration Manager. Den här självstudien börjar med att du redan använder Configuration Manager för att hantera dina Windows 10 eller senare enheter.

Använd den här självstudien när:

• Du har en lokal Active Directory som du kan ansluta till Microsoft Entra ID i en hybridkonfiguration för Microsoft Entra.

  Om du inte kan distribuera en hybrid-Microsoft Entra ID som ansluter till din lokala AD med Microsoft Entra ID rekommenderar vi att du följer vår kompletterande självstudie, Aktivera samhantering för nya Internetbaserade Windows 10 eller senare enheter.

• Du har befintliga Configuration Manager klienter som du vill koppla till molnet.

I den här självstudien kommer du att:

• Granska kraven för Azure och din lokala miljö
• Konfigurera hybrid Microsoft Entra ID
• Konfigurera Configuration Manager klientagenter för registrering med Microsoft Entra ID
• Konfigurera Intune för automatisk registrering av enheter
• Aktivera samhantering i Configuration Manager

Förutsättningar

Azure-tjänster och -miljö

• Azure-prenumeration (kostnadsfri utvärderingsversion)

• Microsoft Entra ID P1 eller P2

• Microsoft Intune-prenumeration

  Tips

  En Enterprise Mobility + Security-prenumeration (EMS) innehåller både Microsoft Entra ID P1 eller P2 och Microsoft Intune. EMS-prenumeration (kostnadsfri utvärderingsversion).

Om du inte redan finns i din miljö konfigurerar du under den här självstudien Microsoft Entra Anslut mellan din lokal Active Directory och din Microsoft Entra klientorganisation.

Obs!

Enheter som endast är registrerade med Microsoft Entra ID stöds inte med samhantering. Den här konfigurationen kallas ibland arbetsplatskopplad. De måste antingen vara anslutna till Microsoft Entra ID eller Microsoft Entra hybridanslutning. Mer information finns i Hantera enheter med Microsoft Entra registrerat tillstånd.

Lokal infrastruktur

• En version av Configuration Manager aktuell gren som stöds
• Utfärdaren för hantering av mobila enheter (MDM) måste vara inställd på Intune.

Behörigheter

I den här självstudien använder du följande behörigheter för att utföra uppgifter:

• Ett konto som är domänadministratör i din lokala infrastruktur
• Ett konto som är en fullständig administratör för alla omfång i Configuration Manager
• Ett konto som är en global administratör i Microsoft Entra ID
  • Kontrollera att du har tilldelat en Intune licens till det konto som du använder för att logga in på din klientorganisation. Annars misslyckas inloggningen med felmeddelandet Ett oväntat fel uppstod.

Konfigurera hybrid Microsoft Entra ID

När du konfigurerar en hybrid Microsoft Entra ID konfigurerar du verkligen integrering av en lokal AD med Microsoft Entra ID med hjälp av Microsoft Entra Connect och Active Directory Federated Services (ADFS). Med en lyckad konfiguration kan dina arbetare sömlöst logga in på externa system med sina lokala AD-autentiseringsuppgifter.

Viktigt

Den här självstudien beskriver en process utan ben för att konfigurera hybrid Microsoft Entra ID för en hanterad domän. Vi rekommenderar att du är bekant med processen och inte förlitar dig på den här självstudien som vägledning för att förstå och distribuera hybrid Microsoft Entra ID.

Mer information om hybrid Microsoft Entra ID finns i följande artiklar i Microsoft Entra-dokumentationen:

• Planera implementeringen av din Microsoft Entra join
• Planera implementeringen av din Microsoft Entra hybridanslutning
• Kontrollera Microsoft Entra hybridanslutning för dina enheter
• Konfigurera Microsoft Entra hybridanslutning för federerade domäner

Konfigurera Microsoft Entra Connect

Hybrid Microsoft Entra ID kräver konfiguration av Microsoft Entra Connect för att hålla datorkonton i din lokal Active Directory (AD) och enhetsobjektet i Microsoft Entra ID synkroniserade.

Från och med version 1.1.819.0 tillhandahåller Microsoft Entra Connect en guide för att konfigurera Microsoft Entra hybridanslutning. Användningen av guiden förenklar konfigurationsprocessen.

För att konfigurera Microsoft Entra Connect behöver du autentiseringsuppgifter för en global administratör för Microsoft Entra ID. Följande procedur bör inte betraktas som auktoritativ för konfiguration av Microsoft Entra Connect utan tillhandahålls här för att effektivisera konfigurationen av samhantering mellan Intune och Configuration Manager. Det auktoritativa innehållet i den här och relaterade procedurer för konfiguration av Microsoft Entra ID finns i Konfigurera Microsoft Entra hybridanslutning för hanterade domäner i dokumentationen för Microsoft Entra.

Konfigurera en Microsoft Entra hybridanslutning med Microsoft Entra Connect

1. Hämta och installera den senaste versionen av Microsoft Entra Connect (1.1.819.0 eller senare).

2. Starta Microsoft Entra Anslut och välj sedan Konfigurera.

3. På sidan Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

4. På sidan Översikt väljer du Nästa.

5. På sidan Anslut till Microsoft Entra ID anger du autentiseringsuppgifterna för en global administratör för Microsoft Entra ID.

6. På sidan Enhetsalternativ väljer du Konfigurera Microsoft Entra hybridanslutning och sedan Nästa.

7. På sidan Enhetsoperativsystem väljer du de operativsystem som används av enheter i Active Directory-miljön och väljer sedan Nästa.

   Du kan välja alternativet för att stödja domänanslutna Windows-enheter på låg nivå, men tänk på att samhantering av enheter endast stöds för Windows 10 eller senare.

8. På SCP-sidan utför du följande steg för varje lokal skog som du vill Microsoft Entra Anslut för att konfigurera tjänstanslutningspunkten (SCP) och väljer sedan Nästa:

   1. Välj skogen.
   2. Välj autentiseringstjänsten. Om du har en federerad domän väljer du AD FS-server om inte din organisation uteslutande har Windows 10 eller senare klienter och du har konfigurerat dator-/enhetssynkronisering eller om din organisation använder SeamlessSSO.
   3. Klicka på Lägg till för att ange autentiseringsuppgifterna för företagsadministratören.

9. Om du har en hanterad domän hoppar du över det här steget.

   På sidan Federationskonfiguration anger du autentiseringsuppgifterna för AD FS-administratören och väljer sedan Nästa.

10. På sidan Redo att konfigurera väljer du Konfigurera.

11. På sidan Konfigurationen är klar väljer du Avsluta.

Om du har problem med att slutföra Microsoft Entra hybridanslutning för domänanslutna Windows-enheter kan du läsa Felsöka Microsoft Entra hybridanslutning för aktuella Windows-enheter.

Konfigurera klientinställningar för att dirigera klienter att registrera sig med Microsoft Entra ID

Använd Klientinställningar för att konfigurera Configuration Manager klienter att automatiskt registrera med Microsoft Entra ID.

1. Öppna Configuration Manager-konsolen>Administration>Översikt Klientinställningar> och redigera sedan standardklientinställningar.

2. Välj Cloud Services.

3. På sidan Standardinställningar anger du Registrera nya Windows 10 domänanslutna enheter automatiskt med Microsoft Entra ID till = Ja.

4. Spara konfigurationen genom att välja OK .

Konfigurera automatisk registrering av enheter för att Intune

Därefter konfigurerar vi automatisk registrering av enheter med Intune. Med automatisk registrering Configuration Manager enheter som du hanterar automatiskt registreras med Intune.

Med automatisk registrering kan användarna också registrera sina Windows 10 eller senare enheter för att Intune. Enheter registreras när en användare lägger till sitt arbetskonto på sin personligt ägda enhet eller när en företagsägd enhet är ansluten till Microsoft Entra ID.

1. Logga in på Azure Portal och välj Microsoft Entra ID>Mobility (MDM och MAM)>Microsoft Intune.

2. Konfigurera MDM-användaromfång. Ange något av följande för att konfigurera vilka användares enheter som hanteras av Microsoft Intune och acceptera standardvärdena för URL-värdena.

   • Vissa: Välj de grupper som automatiskt kan registrera sina Windows 10 eller senare enheter

   • Alla: Alla användare kan automatiskt registrera sina Windows 10 eller senare enheter

   • Ingen: Inaktivera automatisk MDM-registrering

   Viktigt

   Om både MAM-användaromfång och automatisk MDM-registrering (MDM-användaromfång) är aktiverade för en grupp är endast MAM aktiverat. Endast hantering av mobilprogram (MAM) läggs till för användare i gruppen när de ansluter till en personlig enhet på arbetsplatsen. Enheter registreras inte automatiskt.

   När Configuration Manager är inställt på att registrera enheter till Intune måste du fortfarande ändra MDM-användaromfånget för registrering av enhetstoken. Configuration Manager använder DE MDM-URL:er som lagras i platsdatabasen för att verifiera att klienten tillhör den förväntade Intune klientorganisationen.

3. Välj Spara för att slutföra konfigurationen av automatisk registrering.

4. Gå tillbaka till Mobilitet (MDM och MAM) och välj sedan Microsoft Intune registrering.

   Obs!

   Vissa klienter kanske inte har de här alternativen att konfigurera.

   Microsoft Intune är hur du konfigurerar MDM-appen för Microsoft Entra ID. Microsoft Intune registrering är en specifik Microsoft Entra app som skapas när du tillämpar principer för multifaktorautentisering för iOS- och Android-registrering. Mer information finns i Kräv multifaktorautentisering för Intune enhetsregistreringar.

5. För MDM-användaromfång väljer du Alla och sedan Spara.

Aktivera samhantering i Configuration Manager

Med hybrid Microsoft Entra konfiguration och Configuration Manager klientkonfigurationer på plats är du redo att växla och aktivera samhantering av dina Windows 10 eller senare enheter. Frasen Pilotgrupp används i alla dialogrutor för samhantering och konfiguration. En pilotgrupp är en samling som innehåller en delmängd av dina Configuration Manager enheter. Använd en pilotgrupp för din första testning och lägg till enheter efter behov tills du är redo att flytta arbetsbelastningarna för alla Configuration Manager enheter. Det finns ingen tidsgräns för hur länge en pilotgrupp kan användas för arbetsbelastningar. En pilotgrupp kan användas på obestämd tid om du inte vill flytta arbetsbelastningen till alla Configuration Manager enheter.

När du aktiverar samhantering tilldelar du en samling som en pilotgrupp. Det här är en grupp som innehåller ett litet antal klienter för att testa dina konfigurationer för samhantering. Vi rekommenderar att du skapar en lämplig samling innan du påbörjar proceduren. Sedan kan du välja den samlingen utan att avsluta proceduren för att göra det. Du kan behöva flera samlingar eftersom du kan tilldela en annan pilotgrupp för varje arbetsbelastning.

Obs!

Eftersom enheter registreras i Microsoft Intune-tjänsten baserat på dess Microsoft Entra enhetstoken och inte en användartoken gäller endast standardbegränsningen för Intune registrering för registreringen.

Aktivera samhantering för version 2111 och senare

Från och med Configuration Manager version 2111 ändrades registreringsupplevelsen för samhantering. Guiden Konfiguration av molnanslutning gör det enklare att aktivera samhantering och andra molnfunktioner. Du kan välja en strömlinjeformad uppsättning rekommenderade standardinställningar eller anpassa dina funktioner för molnanslutning. Det finns också en ny inbyggd enhetssamling för samhantering av berättigade enheter som hjälper dig att identifiera klienter. Mer information om hur du aktiverar samhantering finns i Aktivera molnanslutning.

Obs!

Med den nya guiden flyttar du inte arbetsbelastningar samtidigt som du aktiverar samhantering. Om du vill flytta arbetsbelastningar redigerar du egenskaperna för samhantering när du har aktiverat molnanslutning.

Aktivera samhantering för version 2107 och tidigare

När du aktiverar samhantering kan du använda det offentliga Azure-molnet, Azure Government molnet eller Azure China 21Vianet-molnet (tillagt i version 2006). Följ dessa anvisningar för att aktivera samhantering:

1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Cloud Services och väljer noden Molnanslutning. Välj Konfigurera molnanslutning i menyfliksområdet för att öppna guiden Konfiguration av molnanslutning.

   För version 2103 och tidigare expanderar du Cloud Services och väljer noden Samhantering. Välj Konfigurera samhantering i menyfliksområdet för att öppna konfigurationsguiden för samhantering.

2. På registreringssidan i guiden väljer du någon av följande miljöer för Azure-miljön:

   • Offentligt Azure-moln

   • Azure Government moln

   • Azure China Cloud (tillagt i version 2006)

     Obs!

     Uppdatera Configuration Manager-klienten till den senaste versionen på dina enheter innan du registrerar dig i Azure China-molnet.

   När du väljer Azure China-molnet eller Azure Government moln inaktiveras alternativet Ladda upp till Administrationscenter för Microsoft Endpoint Manager för klientanslutning.

3. Välj Logga in. Logga in som Microsoft Entra global administratör och välj sedan Nästa. Du loggar in den här gången i den här guiden. Autentiseringsuppgifterna lagras eller återanvänds inte någon annanstans.

4. På sidan Aktivering väljer du följande inställningar:

   • Automatisk registrering i Intune: Aktiverar automatisk klientregistrering i Intune för befintliga Configuration Manager klienter. Med det här alternativet kan du aktivera samhantering på en delmängd klienter för att först testa samhantering och sedan distribuera samhantering med hjälp av en stegvis metod. Om användaren avregistrerar en enhet registreras enheten igen vid nästa utvärdering av principen.

     • Pilot: Endast de Configuration Manager klienter som är medlemmar i Intune automatisk registrering registreras automatiskt i Intune.
     • Alla: Aktivera automatisk registrering för alla klienter som kör Windows 10 version 1709 eller senare.
     • Ingen: Inaktivera automatisk registrering för alla klienter.

   • Intune automatisk registrering: Den här samlingen ska innehålla alla klienter som du vill registrera i samhantering. Det är i princip en supermängd av alla andra mellanlagringssamlingar.

   

   Automatisk registrering är inte omedelbart för alla klienter. Det här beteendet hjälper registreringen att skala bättre för stora miljöer. Configuration Manager randomiserar registreringen baserat på antalet klienter. Om din miljö till exempel har 100 000 klienter sker registreringen under flera dagar när du aktiverar den här inställningen.

   En ny samhanterad enhet registreras nu automatiskt i Microsoft Intune-tjänsten baserat på dess Microsoft Entra enhetstoken. Den behöver inte vänta tills en användare loggar in på enheten för att den automatiska registreringen ska starta. Den här ändringen bidrar till att minska antalet enheter med registreringsstatusen Väntande användarinloggning.För att stödja det här beteendet måste enheten köra Windows 10 version 1803 eller senare. Mer information finns i Registreringsstatus för samhantering.

   Om du redan har enheter som registrerats i samhantering registreras nu nya enheter omedelbart efter att de uppfyller kraven.

5. För Internetbaserade enheter som redan har registrerats i Intune kopierar och sparar du kommandot på sidan Aktivering. Du använder det här kommandot för att installera Configuration Manager-klienten som en app i Intune för Internetbaserade enheter. Om du inte sparar det här kommandot nu kan du granska konfigurationen för samhantering när som helst för att hämta det här kommandot.

   Tips

   Kommandot visas bara om du har uppfyllt alla krav, till exempel om du konfigurerar en molnhanteringsgateway.

6. På sidan Arbetsbelastningar för varje arbetsbelastning väljer du vilken enhetsgrupp som ska flyttas över för hantering med Intune. Mer information finns i Arbetsbelastningar.

   Om du bara vill aktivera samhantering behöver du inte byta arbetsbelastning nu. Du kan växla arbetsbelastningar senare. Mer information finns i Så här växlar du arbetsbelastningar.

   • Pilot Intune: Växlar endast den associerade arbetsbelastningen för de enheter i pilotsamlingarna som du anger på sidan Mellanlagring. Varje arbetsbelastning kan ha en annan pilotsamling.
   • Intune: Växlar den associerade arbetsbelastningen för alla samhanterade Windows 10 eller senare enheter.

   Viktigt

   Innan du växlar några arbetsbelastningar ska du se till att du konfigurerar och distribuerar motsvarande arbetsbelastning i Intune. Kontrollera att arbetsbelastningar alltid hanteras av något av hanteringsverktygen för dina enheter.

7. På sidan Mellanlagring anger du pilotsamlingen för var och en av de arbetsbelastningar som är inställda på Pilot Intune.

   

8. Slutför guiden för att aktivera samhantering.

Nästa steg

• Granska statusen för samhanterade enheter med instrumentpanelen för samhantering
• Börja få omedelbart värde från samhantering
• Använda villkorlig åtkomst och Intune efterlevnadsregler för att hantera användaråtkomst till företagsresurser