什么是共同管理?
共同管理是将现有 Configuration Manager 部署附加到 Microsoft 365 云的主要方法之一。 它可帮助你解锁其他云驱动的功能,如条件访问。
通过共同管理,可以同时使用配置管理器和 Microsoft Intune 并行管理 Windows 10 或更高版本的设备。 通过添加新功能,可让你在 Configuration Manager 中通过云对现有投入附加价值。 通过使用共同管理,可以灵活地使用最适合你的组织的技术解决方案。
当 Windows 设备具有 Configuration Manager 客户端并注册到 Intune 时,你将获得这两种服务的优势。 可以控制通过哪些工作负载(如果有)将权限从 Configuration Manager 切换到 Intune。 Configuration Manager 继续管理所有其他工作负载,包括未切换到 Intune 的这些工作负载,以及共同管理不支持的所有其他 Configuration Manager 功能。
你还能使用独立的设备集合来测试工作负载。 通过试点,你可先使用一部分设备测试 Intune 功能,然后再切换更大的群组。
注意
使用 Configuration Manager 和 Microsoft Intune 并发管理设备时,此配置称为 共同管理。 使用 Configuration Manager 管理设备并注册到第三方 MDM 服务的配置称为“共存”。 如果在两个设备之间没有适当地协调,则对一个设备具有两个管理权限可能会面临挑战。 通过共同管理,Configuration Manager 和 Intune 可以平衡 工作负载 ,确保不存在冲突。 第三方服务不存在这种交互,因此共存的管理功能受到限制。 有关详细信息,请参阅 第三方 MDM 与 Configuration Manager 共存。
实现共同管理的路径
实现共同管理的路径主要有两种:
现有 Configuration Manager 客户端:你拥有已是 Configuration Manager 客户端的 Windows 10 或更高版本设备。 设置混合Microsoft Entra ID,并将其注册到 Intune。
新的基于 Internet 的设备:你拥有加入 Microsoft Entra ID 并自动注册到 Intune 的新 Windows 10 或更高版本设备。 安装 Configuration Manager 客户端,以达到共同管理状态。
有关路径的详细信息,请参阅 共同管理的路径。
优点
在对现有 Configuration Manager 客户端注册共同管理时,将获得以下直接价值:
具有设备合规性的条件访问
基于 Intune 的远程操作(例如:重启、远程控制或复位)
设备运行状况的集中可见性
使用 Microsoft Entra ID 链接用户、设备和应用
使用 Windows Autopilot 的新式预配
远程操作
有关共同管理的即时价值的详细信息,请参阅使用 共同管理的云连接快速入门系列。
共同管理还使你能够与 Intune 协调多个工作负载。 有关详细信息,请参阅 工作负载 部分。
注意
共同管理本身不是管理远程连接的 Windows 系统的解决方案。 Configuration Manager 客户端仍需要与其分配的站点通信。 若要使用 Configuration Manager 管理远程连接的 Windows 系统,请启用 云管理网关 (CMG) 。 共同管理不需要 CMG,并且不需要与 CMG 共同管理,但它们可以一起使用。
先决条件
共同管理在以下方面具有这些先决条件:
- 许可
- 配置管理器
- Microsoft Entra ID (Microsoft Entra ID)
- Microsoft Intune
- Windows
- 权限和角色
授权
Microsoft Entra ID P1 或 P2
注意
企业移动性 + 安全性 (EMS) 订阅包括 Microsoft Entra ID P1 或 P2 以及 Microsoft Intune。
至少一个 Intune 许可证供你作为管理员访问 Microsoft Intune 管理中心。
提示
请确保将 Intune 许可证分配给用于登录到租户的帐户。 否则,登录失败并显示错误消息“ 发生意外错误”。
你可能不需要购买单个 Intune 或 EMS 许可证并将其分配给用户。 有关详细信息,请参阅产品和许可常见问题解答。
Configuration Manager
共同管理需要受支持的 Configuration Manager Current Branch 版本。
可以将多个 Configuration Manager 实例连接到单个 Intune 租户。
启用共同管理本身不需要使用 Microsoft Entra ID 加入网站。 对于第 二个路径方案,基于 Internet 的 Configuration Manager 客户端需要 云管理网关 (CMG) 。 CMG 要求将站点 载入到Microsoft Entra ID 进行云管理。
Microsoft Entra ID
Windows 设备必须连接到Microsoft Entra ID。 它们可以是以下类型之一:
Microsoft Entra 混合联接,其中设备已加入本地 Active Directory 并使用Microsoft Entra ID 注册。
注意
共同管理不支持仅向 Microsoft Entra ID 注册的设备。 此配置有时称为 已加入工作区。 它们需要联接到 entra ID Microsoft 或Microsoft Entra 混合联接。 有关详细信息,请参阅 处理具有已注册状态Microsoft的设备。
仅Microsoft Entra 联接 。 此类型有时称为 云域加入.)
提示
当我们与使用 Microsoft Intune 部署、管理和保护其客户端设备的客户交谈时,我们经常遇到有关共同管理设备和Microsoft Entra 混合联接设备的问题。 许多客户混淆了这两个主题。 共同管理是一种管理选项,而Microsoft Entra ID 是标识选项。 有关详细信息,请参阅 了解混合Microsoft Entra ID 和共同管理方案。 此博客文章旨在阐明Microsoft Entra 混合联接和共同管理,它们如何协同工作,但并非同一回事。
Intune
Windows
将设备更新到受支持的 Windows 11 或 Windows 10 版本。 有关详细信息,请参阅采用 Windows 即服务。
权限和角色
| 操作 | 需要角色 |
|---|---|
| 在配置管理器中设置云管理网关 | Azure 订阅管理器 |
| 从 Configuration Manager 创建Microsoft Entra 应用 | Microsoft Entra ID 全局管理员 |
| 在配置管理器中导入 Azure 应用 | Configuration Manager 完全管理员 不需要其他 Azure 角色 |
| 在 Configuration Manager 中启用共同管理 | Microsoft Entra 用户 具有所有作用域权限的 Configuration Manager 完全管理员。 |
有关 Azure 角色的详细信息,请参阅 了解不同的角色。
有关 Configuration Manager 角色的详细信息,请参阅基于角色的管理的基础知识。
工作负载
无需切换工作负载,也可以在准备就绪时单独切换工作负载。 Configuration Manager 继续管理所有其他工作负载,包括未切换到 Intune 的这些工作负载,以及共同管理不支持的所有其他 Configuration Manager 功能。
共同管理支持以下工作负载:
合规性策略
Windows 更新策略
资源访问策略
终结点保护
设备配置
Office 即点即用应用
客户端应用
有关详细信息,请参阅 工作负载。
监视共同管理
共同管理仪表板可帮助你查看环境中共同管理的计算机。 这些图可帮助识别可能需要注意的设备。
有关详细信息,请参阅 如何监视共同管理。