共同管理工作负载

无需切换任何工作负载。 准备就绪后,可以单独切换、一次切换多个或同时切换。 但是,在将工作负载切换到 Intune 之前,Configuration Manager 将继续管理未切换到 Intune 的工作负载,以及共同管理不支持的 Configuration Manager 的所有其他功能。

如果将工作负荷切换到 Intune,但稍后会改变主意,则可以将其切换回 Configuration Manager,尽管可能会产生影响。 例如,如果由 Intune 安装,Windows 和 Office 版本将保留为更高版本。

共同管理支持以下工作负载:

合规性策略

合规性策略定义了设备被条件访问策略视为合规所必须要遵循的规则和设置。 此外,使用合规性策略可以在条件访问之外监视和修正设备的合规性问题。 可以将自定义配置基线的评估添加为合规性策略评估规则。 有关详细信息,请参阅 在合规性策略评估中包括自定义配置基线

有关 Intune 功能的详细信息,请参阅 使用符合性策略为使用 Intune 管理的设备设置规则

Windows 更新策略

适用于企业的 Windows 更新策略允许为 Windows 10 或更高版本的功能更新或由适用于企业的 Windows 更新直接管理的 Windows 10 或更高版本设备配置延迟策略。

注意

若要对这些设备使用 Windows 自动修补,此工作负载需要由 Intune 管理。 有关详细信息,请参阅 Windows 自动修补的先决条件

有关 Intune 功能的详细信息,请参阅 在 Intune 中管理 Windows 软件更新

资源访问策略

重要

从版本 2203 开始,Configuration Manager 和此共同管理工作负载的这些公司资源访问功能不再受支持。 有关详细信息,请参阅 有关弃用资源访问的常见问题

资源访问策略在设备上配置 VPN、Wi-Fi、电子邮件和证书设置。

有关 Intune 功能的详细信息,请参阅 部署资源访问配置文件

注意

资源访问工作负荷也是设备配置的一部分。 切换 设备配置 工作负荷时,这些策略由 Intune 管理。

终结点保护

Endpoint Protection 工作负载包括 Defender 套件的保护功能:

  • Microsoft Defender 防病毒
  • Microsoft Defender 应用程序防护
  • Microsoft Defender SmartScreen
  • Microsoft Defender for Endpoint (正式称为 Windows Defender 高级威胁防护)
  • Windows Defender 防火墙
  • Windows 加密 (也称为 BitLocker)
  • Windows Defender 攻击防护
  • Windows Defender 应用程序控制
  • Windows Defender 安全中心

有关 Intune 功能的详细信息,请参阅 Windows 10 (及更高版本) 使用 Intune 保护设备的设置

注意

切换此工作负载时,Configuration Manager 策略将保留在设备上,直到 Intune 策略覆盖它们。 此行为可确保设备在转换期间仍具有保护策略。

Endpoint Protection 工作负载也是设备配置的一部分。 切换 设备配置 工作负荷时,同样的行为适用。

当 Endpoint Protection 工作负载驻留在 Intune 中时,Windows 信息保护设置将从 Configuration Manager 和 Intune 应用。 Configuration Manager 将继续应用 Windows 信息保护策略,直到将设备配置工作负荷移动到 Intune。

Microsoft Defender 防病毒设置属于 Intune 设备配置的设备限制配置文件类型的一部分未包含在“终结点保护”滑块的范围内。 若要在启用终结点保护滑块的情况下管理共同管理设备的 Microsoft Defender 防病毒,请使用 Microsoft Intune 管理中心>Endpoint Security> 防病毒中的新防病毒策略。 新策略类型提供了新的和改进的选项,并支持设备限制配置文件中提供的所有相同设置。

Windows 加密功能包括 BitLocker 管理。 有关此功能与共同管理的行为的详细信息,请参阅 部署 BitLocker 管理

设备配置

设备配置工作负荷包括为组织中的设备管理的设置。 切换此工作负载还会移动 资源访问Endpoint Protection 工作负载。

即使 Intune 是设备配置颁发机构,仍可以将设置从 Configuration Manager 部署到共同管理的设备。 此异常可用于配置组织需要但尚未在 Intune 中可用的设置。 在 Configuration Manager 配置基线上指定此异常。 在创建基线时,启用“ 始终应用此基线”选项,即使对共同管理的客户端 也是如此。 稍后可以在现有基线属性的“ 常规 ”选项卡上对其进行更改。

若要对这些设备使用 Windows 自动修补,此工作负载需要由 Intune 管理。 有关详细信息,请参阅 Windows 自动修补的先决条件

有关 Intune 功能的详细信息,请参阅 在 Microsoft Intune 中创建设备配置文件

注意

从设置目录创建的策略由设备配置工作负荷滑块控制,而不管策略的内容如何。

切换设备配置工作负荷时,它还包括 Windows 信息保护功能的策略。 将设备配置工作负荷移动到 Intune 后,只有 Intune 中的策略才会应用。

注意

为了纹身删除终结点保护设置,还需要切换设备配置工作负荷。

Office 即点即用应用

此工作负载管理共同管理的设备上的Microsoft 365 应用。

  • 移动工作负载后,应用将显示在设备上的公司门户中

  • 除非重启设备,否则 Office 更新可能需要大约 24 小时才会显示在客户端上

  • 默认情况下,将 全局条件 作为要求添加到新Microsoft 365 应用程序。 如果你转换此工作负载,共同管理的客户端就无法满足应用要求。 然后,它们也就不会安装通过 Configuration Manager 部署的 Microsoft 365。 全局条件命名为:

    • Microsoft由 Microsoft Intune 托管的 365 个应用 (版本 2111 或更高版本)
    • Intune 在设备上管理的 Office 365 应用程序是否 (版本 2107 及更早版本)

可以使用以下任一功能管理更新:

注意

若要对这些设备使用 Windows 自动修补,此工作负载需要由 Intune 管理。 有关详细信息,请参阅 Windows 自动修补的先决条件

有关 Intune 功能的详细信息,请参阅 使用 Microsoft Intune 将 Microsoft 365 应用添加到 Windows 设备

客户端应用

提示

此功能可能会在功能列表中显示为 共同管理设备的移动应用

使用 Intune 在共同管理的 Windows 10 或更高版本设备上管理客户端应用和 PowerShell 脚本。 在你转换此工作负载后,所有从 Intune 部署的可用应用显示在公司门户中。 你从 Configuration Manager 部署的应用显示在软件中心内。

有关 Intune 功能的详细信息,请参阅 什么是 intune 应用管理Microsoft?

注意

在 Windows 10 版本 1903 及更高版本中,即使尚未将 客户端应用 工作负载切换到 Intune,PowerShell 脚本仍可在共同管理的设备上运行。

在 Configuration Manager 分发点上启用Microsoft连接缓存时,它们可为共同管理的客户端提供 Microsoft Intune Win32 应用。 有关详细信息,请参阅 使用 Configuration Manager Microsoft连接缓存

应用工作负载图

共同管理应用工作负载的示意图。

提示

可以将公司门户配置为同时显示 Configuration Manager 应用。 如果更改此应用门户体验,则会更改上图中描述的行为。 有关详细信息,请参阅 在共同管理的设备上使用公司门户应用

后续步骤

如何切换工作负载