Kurz: Povolení spolusprávy pro stávající klienty Configuration Manager

Díky spolusprávě můžete zachovat dobře zavedené procesy pro používání Configuration Manager ke správě počítačů ve vaší organizaci. Zároveň investujete do cloudu prostřednictvím Intune pro zabezpečení a moderní zřizování.

V tomto kurzu nastavíte spolusprávu Windows 10 nebo novějších zařízení, která jsou už zaregistrovaná v Configuration Manager. Tento kurz začíná tím, že už používáte Configuration Manager ke správě Windows 10 nebo novějších zařízení.

Tento kurz použijte v těchto případech:

• Máte místní Active Directory, ke kterému se můžete připojit k Microsoft Entra ID v konfiguraci hybridního Microsoft Entra.

  Pokud nemůžete nasadit hybridní Microsoft Entra ID, která se připojí k místní službě AD s Microsoft Entra ID, doporučujeme postupovat podle našeho doprovodné kurzy Povolení spolusprávy pro nová internetová Windows 10 nebo novější zařízení.

• Máte existující Configuration Manager klienty, které chcete připojit ke cloudu.

V tomto kurzu:

• Kontrola požadavků pro Azure a vaše místní prostředí
• Nastavení hybridních Microsoft Entra ID
• Konfigurace Configuration Manager klientských agentů pro registraci ve službě Microsoft Entra ID
• Konfigurace Intune pro automatickou registraci zařízení
• Povolení spolusprávy v Configuration Manager

Požadavky

Služby a prostředí Azure

• Předplatné Azure (bezplatná zkušební verze)

• Microsoft Entra ID P1 nebo P2

• Předplatné služby Microsoft Intune

  Tip

  Předplatné Enterprise Mobility + Security (EMS) zahrnuje Microsoft Entra ID P1 nebo P2 i Microsoft Intune. Předplatné EMS (bezplatná zkušební verze)

Pokud ještě není ve vašem prostředí k dispozici, během tohoto kurzu nakonfigurujete Microsoft Entra Připojení mezi místní Active Directory a tenantem Microsoft Entra.

Poznámka

Spoluspráva nepodporuje zařízení zaregistrovaná jenom v Microsoft Entra ID. Tato konfigurace se někdy označuje jako připojení k pracovišti. Musí být buď připojené k Microsoft Entra ID, nebo Microsoft Entra hybrid join. Další informace najdete v tématu Zpracování zařízení s Microsoft Entra zaregistrovaným stavem.

Místní infrastruktura

• Podporovaná verze Configuration Manager current branch
• Autorita správy mobilních zařízení (MDM) musí být nastavená na Intune.

Oprávnění

V tomto kurzu použijte k dokončení úkolů následující oprávnění:

• Účet, který je správcem domény ve vaší místní infrastruktuře
• Účet, který je úplným správcemvšech oborů v Configuration Manager
• Účet, který je globálním správcem v Microsoft Entra ID
  • Ujistěte se, že jste účtu, který používáte pro přihlášení k tenantovi, přiřadili licenci Intune. V opačném případě se přihlášení nezdaří s chybovou zprávou Došlo k neočekávané chybě.

Nastavení hybridních Microsoft Entra ID

Když nastavujete hybridní Microsoft Entra ID, nastavujete integraci místní služby AD s Microsoft Entra ID pomocí služby Microsoft Entra Connect a Ad FS (Active Directory Federated Services). Po úspěšné konfiguraci se vaši pracovníci můžou bezproblémově přihlašovat k externím systémům pomocí svých přihlašovacích údajů místní služby AD.

Důležité

Tento kurz podrobně popisuje proces nastavení hybridních Microsoft Entra ID pro spravovanou doménu. Doporučujeme, abyste se seznámili s procesem a nespoléhali na tento kurz jako na průvodce pro pochopení a nasazení hybridních Microsoft Entra ID.

Další informace o hybridních Microsoft Entra ID najdete v následujících článcích v dokumentaci k Microsoft Entra:

• Plánování implementace připojení Microsoft Entra
• Plánování implementace hybridního připojení k Microsoft Entra
• Řízení Microsoft Entra hybridního připojení vašich zařízení
• Konfigurace Microsoft Entra hybridního připojení pro federované domény

Nastavení Microsoft Entra Connect

Hybridní Microsoft Entra ID vyžaduje konfiguraci Microsoft Entra Connect, aby byly účty počítačů v místní Active Directory (AD) a objekt zařízení v Microsoft Entra ID synchronizované.

Od verze 1.1.819.0 vám Microsoft Entra Connect poskytuje průvodce konfigurací Microsoft Entra hybridního připojení. Použití tohoto průvodce zjednodušuje proces konfigurace.

Ke konfiguraci Microsoft Entra Connect potřebujete přihlašovací údaje globálního správce pro Microsoft Entra ID. Následující postup by neměl být považován za autoritativní pro nastavení nástroje Microsoft Entra Connect, ale je zde uvedený, aby pomohl zjednodušit konfiguraci spolusprávy mezi Intune a Configuration Manager. Autoritativní obsah tohoto tématu a související postupy pro nastavení Microsoft Entra ID najdete v tématu Konfigurace Microsoft Entra hybridního připojení pro spravované domény v dokumentaci k Microsoft Entra.

Konfigurace hybridního připojení Microsoft Entra pomocí Microsoft Entra Connect

1. Získejte a nainstalujte nejnovější verzi Microsoft Entra Connect (1.1.819.0 nebo novější).

2. Spusťte Microsoft Entra Connect a pak vyberte Konfigurovat.

3. Na stránce Další úlohy vyberte Konfigurovat možnosti zařízení a pak vyberte Další.

4. Na stránce Přehled vyberte Další.

5. Na stránce Připojit k Microsoft Entra ID zadejte přihlašovací údaje globálního správce pro Microsoft Entra ID.

6. Na stránce Možnosti zařízení vyberte Konfigurovat Microsoft Entra hybridní připojení a pak vyberte Další.

7. Na stránce Operační systémy zařízení vyberte operační systémy používané zařízeními v prostředí služby Active Directory a pak vyberte Další.

   Můžete vybrat možnost pro podporu zařízení windows připojených k doméně nižší úrovně, ale mějte na paměti, že spoluspráva zařízení se podporuje jenom pro Windows 10 nebo novější.

8. Na stránce SCP pro každou místní doménovou strukturu, kterou chcete Microsoft Entra Connect ke konfiguraci spojovacího bodu služby (SCP), proveďte následující kroky a pak vyberte Další:

   1. Vyberte doménovou strukturu.
   2. Vyberte ověřovací službu. Pokud máte federovanou doménu, vyberte server SLUŽBY AD FS, pokud vaše organizace nemá výhradně Windows 10 nebo novější klienty a nenakonfigurovali jste synchronizaci počítačů a zařízení nebo pokud vaše organizace nepoužívá bezproblémové jednotné přihlašování.
   3. Kliknutím na Přidat zadejte přihlašovací údaje podnikového správce.

9. Pokud máte spravovanou doménu, tento krok přeskočte.

   Na stránce Konfigurace federace zadejte přihlašovací údaje správce služby AD FS a pak vyberte Další.

10. Na stránce Připraveno ke konfiguraci vyberte Konfigurovat.

11. Na stránce Konfigurace byla dokončena vyberte Ukončit.

Pokud narazíte na problémy s dokončením Microsoft Entra hybridního připojení pro zařízení s Windows připojená k doméně, přečtěte si téma Řešení potíží s Microsoft Entra hybridním připojením pro aktuální zařízení s Windows.

Nakonfigurujte nastavení klienta tak, aby klienti mohli nasměrovat registraci do Microsoft Entra ID

Pomocí nastavení klienta nakonfigurujte Configuration Manager klienty tak, aby se automaticky registrovali v Microsoft Entra ID.

1. Otevřete Configuration Manager konzolu>Přehled Správa>>Nastavení klienta a pak upravte Výchozí nastavení klienta.

2. Vyberte Cloud Services.

3. Na stránce Výchozí nastavení nastavte Automaticky registrovat nová zařízení Windows 10 připojená k doméně s Microsoft Entra ID na = Ano.

4. Výběrem OK tuto konfiguraci uložte.

Konfigurace automatické registrace zařízení pro Intune

Dále nastavíme automatickou registraci zařízení s Intune. Při automatické registraci se zařízení spravovaná pomocí Configuration Manager automaticky zaregistrovat pomocí Intune.

Automatická registrace také umožňuje uživatelům zaregistrovat Windows 10 nebo novější zařízení k Intune. Zařízení se zaregistrují, když uživatel přidá svůj pracovní účet do zařízení v osobním vlastnictví nebo když je zařízení vlastněné společností připojené k Microsoft Entra ID.

1. Přihlaste se k Azure Portal a vyberte Microsoft Entra ID>Mobilita (MDM a MAM)>Microsoft Intune.

2. Nakonfigurujte obor uživatele MDM. Pokud chcete nakonfigurovat, která zařízení uživatelů budou spravována pomocí Microsoft Intune, zadejte jednu z následujících možností a přijměte výchozí hodnoty adres URL.

   • Některá: Vyberte skupiny, které můžou automaticky registrovat svoje Windows 10 nebo novější zařízení.

   • Vše: Všichni uživatelé můžou automaticky zaregistrovat svá Windows 10 nebo novější zařízení.

   • Žádné: Zákaz automatické registrace MDM

   Důležité

   Pokud je pro skupinu povolený obor uživatele MAM i automatická registrace MDM (obor uživatele MDM), povolí se jenom MAM. Pro uživatele v této skupině se přidá jenom správa mobilních aplikací (MAM), když se připojí k osobnímu zařízení na pracovišti. Zařízení nejsou automaticky zaregistrovaná v MDM.

   I když je Configuration Manager nastavená na registraci zařízení do Intune, stále je potřeba změnit obor uživatele MDM pro registraci tokenů zařízení. Configuration Manager používá adresy URL MDM uložené v databázi lokality k ověření, že klient patří do očekávaného Intune tenanta.

3. Výběrem možnosti Uložit dokončete konfiguraci automatické registrace.

4. Vraťte se do části Mobility (MDM a MAM) a pak vyberte Microsoft Intune Enrollment (Registrace).

   Poznámka

   Někteří tenanti nemusí mít tyto možnosti konfigurace.

   Microsoft Intune je způsob konfigurace aplikace MDM pro Microsoft Entra ID. Microsoft Intune Enrollment je specifická aplikace Microsoft Entra, která se vytvoří při použití zásad vícefaktorového ověřování pro registraci iOS a Androidu. Další informace najdete v tématu Vyžadování vícefaktorového ověřování pro Intune registrace zařízení.

5. V části Obor uživatele MDM vyberte Vše a pak Uložit.

Povolení spolusprávy v Configuration Manager

Po nastavení hybridních Microsoft Entra a Configuration Manager konfigurací klientů jste připraveni přepnout přepínač a povolit spolusprávu Windows 10 nebo novějších zařízení. Fráze Pilotní skupina se používá v rámci funkcí spolusprávy a dialogových oken konfigurace. Pilotní skupina je kolekce obsahující podmnožinu vašich Configuration Manager zařízení. Použijte pilotní skupinu pro počáteční testování a podle potřeby přidejte zařízení, dokud nebudete připraveni přesunout úlohy pro všechna Configuration Manager zařízení. Neexistuje časový limit, jak dlouho je možné pilotní skupinu pro úlohy používat. Pokud nechcete přesunout úlohu do všech Configuration Manager zařízení, můžete pilotní skupinu používat neomezeně dlouho.

Když povolíte spolusprávu, přiřadíte kolekci jako pilotní skupinu. Jedná se o skupinu, která obsahuje malý počet klientů pro testování konfigurací spolusprávy. Před zahájením postupu doporučujeme vytvořit vhodnou kolekci. Pak můžete tuto kolekci vybrat, aniž byste museli ukončit postup. Možná budete potřebovat více kolekcí, protože pro každou úlohu můžete přiřadit jinou pilotní skupinu .

Poznámka

Vzhledem k tomu, že zařízení jsou ve službě Microsoft Intune zaregistrovaná na základě Microsoft Entra tokenu zařízení, a ne tokenu uživatele, bude se na registraci vztahovat pouze výchozí omezení registrace Intune.

Povolení spolusprávy pro verze 2111 a novější

Od Configuration Manager verze 2111 se prostředí pro spolusprávu změnilo. Průvodce konfigurací připojení ke cloudu usnadňuje povolení spolusprávy a dalších cloudových funkcí. Můžete zvolit zjednodušenou sadu doporučených výchozích hodnot nebo přizpůsobit funkce cloudového připojení. K dispozici je také nová integrovaná kolekce zařízení pro oprávněná zařízení se spolusprávou , která vám pomůže identifikovat klienty. Další informace o povolení spolusprávy najdete v tématu Povolení připojení ke cloudu.

Poznámka

S novým průvodcem nepřesouvají úlohy současně s povolením spolusprávy. Pokud chcete přesunout úlohy, upravíte vlastnosti spolusprávy po povolení připojení ke cloudu.

Povolení spolusprávy pro verze 2107 a starší

Při povolení spolusprávy můžete použít veřejný cloud Azure, Azure Government cloud nebo cloud Azure China 21Vianet (přidaný ve verzi 2006). Pokud chcete povolit spolusprávu, postupujte podle těchto pokynů:

1. V konzole Configuration Manager přejděte do pracovního prostoru Správa, rozbalte Cloud Services a vyberte uzel Připojení ke cloudu. Výběrem možnosti Konfigurovat připojení ke cloudu na pásu karet otevřete Průvodce konfigurací připojení cloudu.

   Pro verzi 2103 a starší rozbalte Cloud Services a vyberte uzel Spoluspráva. Výběrem možnosti Konfigurovat spolusprávu na pásu karet otevřete Průvodce konfigurací spolusprávy.

2. Na stránce onboardingu v průvodci zvolte pro prostředí Azure jedno z následujících prostředí:

   • Veřejný cloud Azure

   • Azure Government cloud

   • Cloud Azure China (přidáno ve verzi 2006)

     Poznámka

     Před onboardingem do cloudu Azure China aktualizujte klienta Configuration Manager na nejnovější verzi na vašich zařízeních.

   Když vyberete cloud Azure China nebo cloud Azure Government, možnost Nahrát do centra pro správu Microsoft Endpoint Manageru pro připojení tenanta je zakázaná.

3. Vyberte Přihlásit se. Přihlaste se jako Microsoft Entra globální správce a pak vyberte Další. Pro účely tohoto průvodce se přihlásíte jednou. Přihlašovací údaje se neukládají ani nepouužijí jinde.

4. Na stránce Povolení zvolte následující nastavení:

   • Automatická registrace v Intune: Umožňuje automatickou registraci klientů v Intune pro stávající klienty Configuration Manager. Tato možnost umožňuje povolit spolusprávu na podmnožině klientů, aby mohla nejprve otestovat spolusprávu a pak zavést spolusprávu pomocí postupného přístupu. Pokud uživatel zruší registraci zařízení, zařízení se znovu zaregistruje při dalším vyhodnocení zásad.

     • Pilotní nasazení: Do Intune se automaticky zaregistrují jenom klienti Configuration Manager, kteří jsou členy kolekce automatické registrace Intune.
     • Vše: Povolte automatickou registraci pro všechny klienty Windows 10 verze 1709 nebo novější.
     • Žádné: Zakažte automatickou registraci pro všechny klienty.

   • Intune automatická registrace: Tato kolekce by měla obsahovat všechny klienty, které chcete nasadit do spolusprávy. Je to v podstatě nadmnožina všech ostatních přípravných kolekcí.

   

   Automatická registrace není pro všechny klienty okamžitá. Toto chování pomáhá lépe škálovat registraci ve velkých prostředích. Configuration Manager randomizuje registraci na základě počtu klientů. Pokud má vaše prostředí například 100 000 klientů, po povolení tohoto nastavení proběhne registrace po dobu několika dnů.

   Nové spoluspravované zařízení se teď automaticky zaregistruje ve službě Microsoft Intune na základě jeho tokenu zařízení Microsoft Entra. Nemusí čekat, až se uživatel přihlásí k zařízení, aby se spustila automatická registrace. Tato změna pomáhá snížit počet zařízení se stavem registrace Čeká na přihlášení uživatele.Aby bylo možné toto chování podporovat, musí zařízení používat Windows 10 verze 1803 nebo novější. Další informace najdete v tématu Stav registrace spolusprávy.

   Pokud už máte zařízení zaregistrovaná ve spolusprávě, nová zařízení se zaregistrují okamžitě poté, co splňují požadavky.

5. V případě internetových zařízení, která jsou už zaregistrovaná v Intune, zkopírujte a uložte příkaz na stránce Povolení. Tento příkaz použijete k instalaci klienta Configuration Manager jako aplikace v Intune pro internetová zařízení. Pokud teď tento příkaz neuložíte, můžete kdykoli zkontrolovat konfiguraci spolusprávy a získat tento příkaz.

   Tip

   Příkaz se zobrazí jenom v případě, že jste splnili všechny požadavky, například nastavení brány pro správu cloudu.

6. Na stránce Úlohy zvolte pro každou úlohu skupinu zařízení, která se má přesunout pro správu pomocí Intune. Další informace najdete v tématu Úlohy.

   Pokud chcete povolit jenom spolusprávu, nemusíte teď přepínat úlohy. Úlohy můžete později přepnout. Další informace najdete v tématu Jak přepnout úlohy.

   • Pilotní Intune: Přepne přidruženou úlohu jenom pro zařízení v pilotních kolekcích, která zadáte na stránce Příprava. Každá úloha může mít jinou pilotní kolekci.
   • Intune: Přepne přidruženou úlohu pro všechna spoluspravované Windows 10 nebo novější zařízení.

   Důležité

   Před přepnutím úloh se ujistěte, že jste v Intune správně nakonfigurovali a nasadili odpovídající úlohu. Ujistěte se, že úlohy vždy spravuje jeden z nástrojů pro správu vašich zařízení.

7. Na stránce Příprava zadejte pilotní kolekci pro každou z úloh, které jsou nastavené na Pilotní Intune.

   

8. Pokud chcete povolit spolusprávu, dokončete průvodce.

Další kroky

• Kontrola stavu spoluspravovaných zařízení pomocí řídicího panelu spolusprávy
• Začít získávat okamžitou hodnotu ze spolusprávy
• Správa přístupu uživatelů k podnikovým prostředkům pomocí pravidel podmíněného přístupu a Intune dodržování předpisů