教學課程:為現有的 Configuration Manager 用戶端啟用共同管理
有了共同管理,您便可以保留您所建立、使用 Configuration Manager 來管理組織中電腦的完善程序。 同時,透過將 Intune 用於安全性和新式佈建,您即對雲端投資。
在本教學課程中,您會設定已在 Configuration Manager 中註冊之 Windows 10 或更新版本裝置的共同管理。 本教學課程從您已使用 Configuration Manager 來管理 Windows 10 或更新版本裝置的內部部署開始。
使用本教學課程時:
您有一個內部部署 Active Directory,您可以在混合式 Microsoft Entra 組態中連線到 Microsoft Entra ID。
如果您無法部署將內部部署 AD 與 Microsoft Entra ID 聯結的混合式 Microsoft Entra ID,建議您遵循我們的隨附教學課程 :為新的以因特網為基礎的 Windows 10 或更新版本裝置啟用共同管理。
您有想要雲端連結的現有 Configuration Manager 用戶端。
在本教學課程中,您將:
- 檢閱 Azure 和內部部署環境的必要條件
- 設定混合式Microsoft編碼標識碼
- 設定 Configuration Manager 用戶端代理程式以註冊 Microsoft Entra ID
- 將 Intune 設定為自動註冊裝置
- 在 Configuration Manager 中啟用共同管理
先決條件
Azure 服務和環境
Azure 訂用帳戶 (免費試 用)
Microsoft Entra ID P1 或 P2
Microsoft Intune 訂用帳戶
提示
Enterprise Mobility + Security (EMS) 訂用帳戶同時包含 Microsoft Entra ID P1 或 P2 和 Microsoft Intune。 EMS 訂用帳戶 (免費試 用) 。
如果您的環境尚未出現,在本教學課程中,您將設定內部部署 Active Directory 與 Microsoft Entra 租使用者之間的 Microsoft Entra Connect 。
注意事項
共同管理不支援僅向 Microsoft Entra ID 註冊的裝置。 此設定有時稱為「已 加入工作場所」。 他們必須加入 Microsoft Entra ID 或Microsoft混合式聯結。 如需詳細資訊,請 參閱處理Microsoft註冊狀態的裝置。
內部部署基礎結構
- 支援的 Configuration Manager 最新分支版本
- MDM) 授權單位 (行動裝置管理必須設定為 Intune。
權限
在本教學課程中,請使用下列許可權來完成工作:
- 內部部署基礎結構上網 域系統管理員 的帳戶
- Configuration Manager 中所有範圍的完整系統管理員帳戶
- 在 Microsoft Entra ID 中是 全域管理員 的帳戶
- 請確定您已將 Intune 授權指派給用來登入租用戶的帳戶。 否則,登入會失敗,並出現錯誤訊息「 發生非預期的錯誤」。
設定混合式Microsoft編碼標識碼
當您設定混合式 Microsoft Entra ID 時,您實際上是在設定內部部署 AD 與 Microsoft Entra ID 的整合,使用 Microsoft Entra Connect 和 Active Directory 同盟服務 (ADFS) 。 透過成功的設定,您的背景工作角色可以使用其內部部署 AD 認證順暢地登入外部系統。
重要事項
本教學課程詳述為受控網域設定混合式Microsoft Entra ID 的裸機程式。 建議您熟悉此程式,而不要依賴本教學課程作為瞭解和部署混合式 Microsoft Entra ID 的指南。
如需混合式 Microsoft Entra ID 的詳細資訊,請從 Microsoft Entra 檔中的下列文章開始:
設定 Microsoft Entra Connect
混合式 Microsoft Entra ID 需要設定 Microsoft Entra Connect,才能讓內部部署 Active Directory (AD) 中的電腦帳戶與裝置物件Microsoft Entra ID 保持同步。
從 1.1.819.0 版開始,Microsoft Entra Connect 提供精靈來設定 Microsoft Entra 混合式聯結。 使用該精靈可簡化設定程式。
若要設定 Microsoft Entra Connect,您需要全域管理員的認證Microsoft Entra ID。 下列程式不應被視為設定 Microsoft Entra Connect 的授權程式,但此處提供此程式可協助簡化 Intune 與 Configuration Manager 之間的共同管理設定。 如需此專案的授權內容和設定 Microsoft Entra ID 的相關程式,請參閱 Microsoft Entra 檔中的設定受控網域的Microsoft混合式加入 。
使用 Microsoft Entra Connect 設定 Microsoft Entra 混合式聯結
取得並安裝 最新版的 Microsoft Entra Connect (1.1.819.0 或更新版本) 。
啟動 Microsoft Entra Connect],然後選取 [ 設定]。
在 [ 其他工作] 頁面上,選取 [ 設定裝置選項],然後選取 [ 下一步]。
在 [ 概觀] 頁面上,選取 [ 下一步]。
在 [ 連線到 Microsoft 標識 符] 頁面上,輸入全域管理員的認證,以取得 Microsoft Entra ID。
在 [ 裝置選項] 頁面上,選取 [設定 Microsoft混合式聯結],然後選取 [ 下一步]。
在 [ 裝置操作系統] 頁面上,選取 Active Directory 環境中裝置所使用的作業系統,然後選取 [ 下一步]。
您可以選取選項來支援已加入網域的 Windows 舊版裝置,但請記住,只有 Windows 10 或更新版本才支援裝置的共同管理。
在 [SCP ] 頁面上,針對您想要Microsoft Entra Connect 設定服務連接點 (SCP) 的每個內部部署樹系,執行下列步驟,然後選取 [ 下一步]:
- 選取樹系。
- 選取驗證服務。 如果您有同盟網域,請選取 [AD FS 伺服器],除非您的組織有獨佔的 Windows 10 或更新版本用戶端,而且您已設定計算機/裝置同步處理,或您的組織正在使用 SeamlessSSO。
- 按兩下 [新增 ] 以輸入企業系統管理員認證。
如果您有受控網域,請略過此步驟。
在 [ 同盟設定] 頁面上,輸入 AD FS 系統管理員的認證,然後選取 [ 下一步]。
在 [ 準備設定 ] 頁面上,選取 [ 設定]。
在 [ 設定完成] 頁面上,選取 [ 結束]。
如果您在完成已加入網域之 Windows 裝置的 Microsoft Entra 混合式加入時遇到問題,請參閱針對 Windows 目前裝置Microsoft混合式加入進行疑難解答。
設定客戶端設定以指示用戶端向 Microsoft Entra ID 註冊
使用 [客戶端設定] 將 Configuration Manager 用戶端設定為自動向 Microsoft Entra ID 註冊。
開啟 Configuration Manager 控制台>管理>概觀>用戶端設定,然後編輯 [預設客戶端設定]。
選取 [雲端服務]。
在 [ 默認設定] 頁面上,將 [ 使用 Microsoft Entra ID 自動註冊已加入網域的新 Windows 10 裝置 ] 設定為 = [是]。
選取 [確定 ] 以儲存此設定。
設定裝置自動註冊至 Intune
接下來,我們將使用 Intune 設定裝置的自動註冊。 透過自動註冊,您使用 Configuration Manager 管理的裝置會自動向 Intune 註冊。
自動註冊也可讓使用者將其 Windows 10 或更新版本裝置註冊至 Intune。 當使用者將其工作帳戶新增至其個人擁有的裝置,或公司擁有的裝置加入Microsoft Entra ID 時,裝置就會註冊。
登入 Azure 入口網站 ,然後選 取 Microsoft Microsoft (>MDM 和 MAM) >Microsoft Intune。
設定 MDM 用戶範圍。 指定下列其中一項,以設定哪些用戶的裝置由 Microsoft Intune 管理,並接受 URL 值的預設值。
部分:選取可自動註冊其 Windows 10 或更新版本裝置的群組
全部:所有使用者都可以自動註冊其 Windows 10 或更新版本的裝置
無:停用 MDM 自動註冊
重要事項
如果已針對群組啟用 MAM 用戶範圍 和自動 MDM 註冊 (MDM 使用者範圍) ,則只會啟用 MAM。 當使用者加入個人裝置時,只會為該群組中的使用者新增行動應用程式管理 (MAM) 。 裝置不會自動註冊 MDM。
當 Configuration Manager 設定為向 Intune 註冊裝置時,您仍然需要變更裝置令牌註冊的 MDM 用戶範圍。 Configuration Manager 會使用它儲存在月台資料庫中的 MDM URL 來驗證用戶端是否屬於預期的 Intune 租使用者。
選 取 [儲存 ] 以完成自動註冊的設定。
返回行動 (MDM 和 MAM) ,然後選 取 [Microsoft Intune 註冊]。
注意事項
某些租使用者可能沒有這些選項可設定。
Microsoft Intune 是您為 Microsoft Entra ID 設定 MDM 應用程式的方式。 Microsoft Intune 註冊 是針對 iOS 和 Android 註冊套用多重要素驗證原則時所建立的特定 Microsoft Entra 應用程式。 如需詳細資訊,請參閱 Intune 裝置註冊需要多重要素驗證。
針對 [MDM 使用者範圍],選取 [ 全部],然後選取 [ 儲存]。
在 Configuration Manager 中啟用共同管理
已備妥混合式Microsoft Entra 設定和 Configuration Manager 用戶端組態,您已準備好翻轉交換器,並啟用 Windows 10 或更新版本裝置的共同管理。 試驗 群組 這個片語會在整個共同管理功能和組態對話框中使用。 試驗群組是包含 Configuration Manager 裝置子集的集合。 使用 試驗群組 進行初始測試,視需要新增裝置,直到您準備好移動所有 Configuration Manager 裝置的工作負載為止。 試驗 群組 可用於工作負載的時間沒有時間限制。 如果您不想將工作負載移至所有 Configuration Manager 裝置,則可以無限期地使用 試驗群組 。
當您啟用共同管理時,您會將集合指派為 試驗群組。 這是一個群組,其中包含少數用來測試共同管理組態的用戶端。 建議您在開始程式之前,先建立適當的集合。 然後,您可以選取該集合,而不需要結束執行此動作的程式。 您可能需要多個集合,因為您可以為每個工作負載指派不同的 試驗群組 。
注意事項
由於裝置是根據其Microsoft Entra 裝置令牌而非使用者令牌,在 Microsoft Intune 服務中註冊,因此只有預設 的 Intune 註冊限制 會套用至註冊。
啟用 2111 版和更新版本的共同管理
從 Configuration Manager 2111 版開始,共同管理上線體驗已變更。 雲端附加組態精靈可讓您更輕鬆地啟用共同管理和其他雲端功能。 您可以選擇一組簡化的建議預設值,或自定義您的雲端連結功能。 共同 管理 合格裝置也有新的內建裝置集合,可協助您識別用戶端。 如需啟用共同管理的詳細資訊,請參閱 啟用雲端連結。
注意事項
使用新的精靈時,您不會在啟用共同管理的同時移動工作負載。 若要移動工作負載,您會在啟用雲端連結之後編輯共同管理屬性。
啟用 2107 版和更早版本的共同管理
當您啟用共同管理時,您可以使用 2006) 版中新增的 Azure 公用雲端、Azure Government 雲端或 Azure China 21Vianet 雲端 (。 若要啟用共同管理,請遵循下列指示:
在 Configuration Manager 控制台中,移至 [ 系統管理 ] 工作區,展開 [ 雲端服務],然後選取 [ 雲端連結 ] 節點。 選 取 功能區上的 [設定雲端連結] 以開啟 [雲端鏈接設定精靈]。
針對 2103 版和更早版本,展開 [雲端服務 ],然後選取 [共同管理] 節點。 選取功能區上的 [設定 共同管理 ] 以開啟 [共同管理設定精靈]。
在精靈的上線頁面上,針對 Azure 環境,選擇下列其中一個環境:
Azure 公用雲端
Azure Government 雲端
2006) 版中新增的 Azure 中國雲端 (
注意事項
在您上線至 Azure 中國雲端之前,請先將 Configuration Manager 用戶端更新為裝置上的最新版本。
當您選取 Azure 中國雲端或 Azure Government 雲端時,會停用租用戶連結的 [上傳至 Microsoft 端點管理員系統管理中心] 選項。
選取 [登入]。 以 Microsoft 全域管理員身分登入,然後選取 [ 下一步]。 基於此精靈的目的,您必須登入此一次。 認證不會儲存在其他地方或重複使用。
在 [ 啟用] 頁面上,選擇下列設定:
Intune 中的自動註冊:在 Intune 中為現有的 Configuration Manager 用戶端啟用自動客戶端註冊。 此選項可讓您在用戶端子集上啟用共同管理,以一開始測試共同管理,然後使用階段式方法來推出共同管理。 如果使用者取消註冊裝置,則會在下次評估原則時重新註冊裝置。
- 試驗:只有 屬於 Intune 自動註冊 集合成員的 Configuration Manager 用戶端會在 Intune 中自動註冊。
- 全部:為執行 Windows 10 1709 版或更新版本的所有用戶端啟用自動註冊。
- 無:停用所有客戶端的自動註冊。
Intune 自動註冊:此集合應包含您想要上線至共同管理的所有用戶端。 它基本上是所有其他暫存集合的超集。
並非所有用戶端都立即進行自動註冊。 此行為有助於針對大型環境進行更佳的註冊調整。 Configuration Manager 會根據客戶端數目隨機化註冊。 例如,如果您的環境有100,000個客戶端,當您啟用此設定時,註冊會在數天內發生。
新的共同管理裝置現在會根據其Microsoft Entra 裝置令牌,自動在 Microsoft Intune 服務中註冊。 不需要等待使用者登入裝置,即可開始自動註冊。 這項變更有助於減少註冊狀態 為 [擱置使用者登入] 的裝置數目。 若要支援此行為,裝置必須執行 Windows 10 1803 版或更新版本。 如需詳細資訊,請 參閱共同管理註冊狀態。
如果您已在共同管理中註冊裝置,新裝置現在會在符合 必要條件之後立即註冊。
對於已在 Intune 中註冊的因特網型裝置,請在 [ 啟用 ] 頁面上複製並儲存命令。 您將使用此命令,將 Configuration Manager 用戶端安裝為 Intune 中以因特網為基礎的裝置應用程式。 如果您現在未儲存此命令,您可以隨時檢閱共同管理組態以取得此命令。
提示
只有當您符合所有必要條件,例如設定雲端管理閘道時,才會顯示命令。
在 [ 工作負載] 頁面上 ,針對每個工作負載選擇要移至哪個裝置群組以使用 Intune 進行管理。 如需詳細資訊,請參閱 工作負載。
如果您只想要啟用共同管理,就不需要立即切換工作負載。 您可以稍後切換工作負載。 如需詳細資訊,請 參閱如何切換工作負載。
- 試驗 Intune:僅針對您將在預 備頁面上 指定之試驗集合中的裝置切換相關聯的工作負載。 每個工作負載都可以有不同的試驗集合。
- Intune:為所有共同管理的 Windows 10 或更新版本裝置切換相關聯的工作負載。
重要事項
切換任何工作負載之前,請確定您已在 Intune 中正確設定和部署對應的工作負載。 請確定工作負載一律由您裝置的其中一個管理工具管理。
在 [ 預備] 頁面上,為設定為 [ 試驗 Intune] 的每個工作負載指定試驗集合。
若要啟用共同管理,請完成精靈。
後續步驟
- 使用共同管理儀錶板檢閱共同管理裝置的狀態
- 開始從共同管理取得立即價值
- 使用 條件式存取 和 Intune 合規性規則來管理使用者對公司資源的存取