有关共同管理的常见问题解答

适用于: Configuration Manager(current branch)

本文解答了有关共同管理的常见问题。 有关详细信息,请参阅 什么是共同管理?

规划

我想启用共同管理,效果如何?

启用共同管理后,Configuration Manager 仍是所有工作负载的管理机构。 因此,你继续以相同的方式管理设备。 如果未将任何工作负载切换到 Intune,则所有 Configuration Manager 设置和应用将继续像启用共同管理之前一样工作。

启用共同管理对最终用户完全透明。 没有重启、没有代理安装、没有中断,也没有用户通知。

作为管理员,可以在 Microsoft Intune 管理中心中看到共同管理的设备。 可以从管理中心执行远程操作,并且可以通过 终结点分析从见解中受益。

下次重置设备时,可以将共同管理的设备转换为 Autopilot 预配的设备。

请考虑使用公司门户。 它是 Microsoft Intune 系列产品的跨平台应用门户体验。 通过将共同管理的设备配置为也使用公司门户,可以在所有设备上提供一致的用户体验。 你的用户应熟悉公司门户,因为它将提供未来集成的体验。 有关详细信息,请参阅在共同受管理设备上使用公司门户应用

我应该使用共同管理还是租户附加?

双! 可以单独使用它们,但它们可协同工作。

通过共同管理 ,可以使用 Configuration Manager 和 Intune 同时管理 Windows 10 或更高版本的设备。 安装 Configuration Manager 客户端,并将设备注册到 Intune。 设备与这两个服务通信。 Configuration Manager 策略控制将哪些工作负载切换到 Intune 作为管理机构。 可以启用共同管理,而不使用租户附加将设备上传到 Microsoft Intune 管理中心。

租户附加设置 Configuration Manager 站点与 Intune 租户之间的同步。 然后,可以在 Microsoft Intune 管理中心中看到 Configuration Manager 设备。 此连接为使用 Microsoft Intune 和 Configuration Manager 管理的所有设备提供单一视图。 在某些不希望使用完整 Configuration Manager 控制台的情况下,此基于 Web 的控制台可能很有用,例如支持人员。 还可以从 终结点分析中的见解中受益。 可以将站点配置为将设备上传到 Microsoft Intune 管理中心,而不启用共同管理。 但是,在启用共同管理之前,这些设备仍由 ConfigMgr 管理。

有关租户附加以及如何配置它的详细信息,请参阅 租户附加

是否可以共同管理 Windows 365 云电脑?

可以! 可以共同管理 Windows 365 云电脑。

身份验证

Microsoft Entra 混合联接是否是共同管理的唯一选项?

不正确。 Microsoft Entra 混合联接和共同管理是两种不同的内容:

  • Microsoft Entra 混合联接 是设备标识状态,其中设备已加入本地 Active Directory 域并在 Entra ID Microsoft注册。

  • 通过共同管理 ,可以使用 Configuration Manager 和 Intune 同时管理 Windows 10 或更高版本的设备。 安装 Configuration Manager 客户端,并将设备注册到 Intune。 设备与这两个服务通信。 Configuration Manager 策略控制将哪些工作负载切换到 Intune 作为管理机构。 共同管理要求设备具有云标识。 此标识可以是Microsoft Entra 混合联接,也可以是仅Microsoft Entra 联接。

对于已加入 Active Directory 的现有 Configuration Manager 客户端,需要在启用共同管理之前将其混合联接。

对于仅使用 Microsoft Entra ID 加入云域的新设备,可以立即启用共同管理。 对于新的共同管理设备,无需Microsoft Entra 混合联接。

有关详细信息,请参阅 使用 Microsoft Entra ID 进行共同管理

共同管理是否支持Microsoft已加入 Entra 的设备?

是。 共同管理同时支持Microsoft Entra 联接设备和Microsoft Entra 混合联接设备。 有关详细信息,请参阅 共同管理先决条件

我的环境包含过多的组策略对象和经过身份验证的旧版应用。 是否必须使用混合Microsoft Entra ID?

这由具体情况决定。 一些客户担心Microsoft已加入 Entra 的设备,因为他们需要组策略或需要 Win32 应用身份验证。 需要更多详细信息来了解它是否是真正的阻碍因素。

对于应用,请在已加入 Microsoft Entra 的设备上对其进行测试。 通常,只有需要基于计算机的身份验证的应用不起作用,并且这些应用并不常见。 如果应用在已加入云域的设备上运行,则无需因为该应用而混合加入设备。

对于组策略,不要尝试将所有现有组策略对象 (GPO) 转换为 Intune 策略。 对于云托管设备,有一些组策略不适用于方案。 如果不知道为何配置组策略设置,现在可以确定它是否仍需要。 此外,请确保你不再使用的应用的设置不再使用。 此过程是优化云托管设备的性能和配置要求的机会。

使用Microsoft策略分析来帮助了解 GPO 中是否需要迁移到 Intune 的关键设置。 有关详细信息,请参阅 使用组策略分析

不要决定只投资混合身份验证,以免查看 Windows 10 或更高版本设备所需的设置。 利用这个机会投入现在的时间,为未来创造更好的位置。 此外,正常且干净的设备配置有助于提高性能和用户体验。 不要购买新硬件,请安装最新的 Windows 版本,然后应用旧配置。

用户是否需要登录才能进行自动注册?

不正确。 设备令牌用于将设备注册到 Intune。 用户无需登录 Windows 即可应用设置。

设置共同管理时,启用当前由 Configuration Manager 管理的设备自动注册。 如果需要,可以限定试点集合的自动注册范围。

有关详细信息,请参阅 如何启用共同管理。 在开始此过程之前,请确保已设置共同管理先决条件。 有关详细信息,请参阅先决条件

是否需要对弃用 Azure AD 图形 API 和 Azure AD 身份验证库执行任何操作, (ADAL) ?

很可能不是。 有关详细信息,请参阅 CMG 常见问题解答

工作负载

我已启用共同管理,应首先切换哪个工作负载?

合规性 是大多数客户首先切换的工作负载。 如果将此工作负载切换到 Intune,仍可要求设备评估 Configuration Manager 中的设置。 在 Intune 中配置符合性策略时,请启用它以要求 Configuration Manager 中的设备符合性。 然后,可以使用设备符合性状态来控制对基于云的资源 的条件访问 。 此配置允许你开始使用云服务,而无需更改 Configuration Manager 中已有的符合性检查。

符合性后,最常见的工作负载是 Office 即点即用应用客户端应用Windows 更新策略

将应用工作负载切换到 Intune 时,仍可以从 Configuration Manager 部署应用程序。 此配置还允许在 Intune 中分配应用。 新公司门户显示 Configuration Manager 和 Intune 应用时,体验已完全集成。 有关详细信息,请参阅在共同受管理设备上使用公司门户应用

对于软件更新,许多客户不再在 Configuration Manager 中对其进行微管理,而是使用适用于企业的 Windows 更新。 鉴于 Windows 更新位于云中,因此新式方法是完全在云中管理此工作负载,而不是将它们同步到本地网络,然后将其再次分发到 Internet 上的客户端。

有关详细信息,请参阅 共同管理工作负载

是否可以将 Windows Autopilot 与共同管理配合使用?

是。 共同管理的两种途径之一是使用新式预配启动。 对于新设备或已改变用途的设备, Autopilot 会将其联接以Microsoft Entra ID,并将其注册到 Intune。 然后,Intune 可以部署 Configuration Manager 客户端并启用共同管理。

有关详细信息,请参阅 如何准备基于 Internet 的设备进行共同管理

注意

在 Windows Autopilot 用户驱动模式下预配新计算机以Microsoft Entra 混合联接时,无法部署 Configuration Manager 客户端。 此限制是由于在Microsoft Entra 加入过程中设备的标识更改。 在 Autopilot 进程之后部署 Configuration Manager 客户端。 有关安装客户端的替代选项,请参阅 Configuration Manager 中的客户端安装方法

如何管理 Windows 和 Microsoft 365 应用的更新?

可以使用 Configuration Manager 或 Intune 管理 Windows 和 Microsoft 365 应用的更新。 Configuration Manager 提供了一个非常详细且受控的过程来管理这些更新及其内容,这对某些客户很重要。 新式方法只是使设备保持最新状态,但仍控制计时和用户体验。

如果将 Windows 更新策略 工作负载切换到 Intune,则它将成为 Windows 质量和功能更新的管理机构。 使用 Intune 配置更新通道和功能更新设置的设置。 有关详细信息,请参阅 在 Intune 中管理 Windows 软件更新

如果将 Office 即点即用应用 工作负载切换到 Intune,则它将成为 Microsoft 365 应用和更新的管理机构。 创建新的 Microsoft 365 套件部署时,请选择客户端的更新通道。 有关详细信息,请参阅以下文章:

通过共同管理,我是否可以使用 Intune 中的合规性策略和 Configuration Manager 中的合规性设置来评估整体设备符合性?

是。 将环境共同管理并切换到 Intune 后,可以使用现有的 Configuration Manager 符合性设置,并将其与 条件访问集成。 有关详细信息,请参阅以下文章:

随时随地开展工作

我有哪些选项来管理在家办公的用户设备的 VPN 带宽?

请参阅以下博客文章,其中详细介绍了如何使用云管理网关 (CMG) 以及如何使用拆分隧道 VPN 对其进行设置,以提供最佳体验并缓解 VPN 流量:

共同管理是否需要云管理网关 (CMG) ?

不正确。 CMG 是用于设备连接的 Configuration Manager 功能。 如果 Internet 上有 Configuration Manager 客户端(如果它们不是共同管理),则应使用 CMG。 在没有 CMG 的环境中共同托管的客户端在本地网络外部漫游时,必须依赖 VPN 连接。

预配Microsoft加入 Entra 共同管理的设备的方案确实需要 CMG。 它允许基于实习生的设备在 Autopilot 进程后安装 Configuration Manager 客户端。

有关详细信息,请参阅以下文章:

是否需要将软件更新分发到已启用内容的 CMG,以便远程客户端安装它们?

不正确。 Windows 更新已在 Internet 上提供,因此无需将它们分发到 CMG。

在以前的版本中,Configuration Manager 阻止了对基于云的内容源的更新包。 此约束已删除,因此你可以分发第三方软件更新。 请勿将任何可从Microsoft更新获取的更新分发到 CMG。

使用 CMG 直接从 Microsoft 更新云服务获取更新时,Configuration Manager 客户端具有本机相关性。 有关 CMG 如何与 Microsoft 更新服务和配置指南配合使用的详细信息,请参阅在 Microsoft Configuration Manager 中使用云管理网关管理远程计算机上的博客文章。