Kurz: povolení spolusprávy pro nová zařízení na internetu

Společně se správou můžete zajistit, aby se při správě počítačů ve vaší organizaci používaly Configuration Manager. Ve stejnou chvíli budete investovat do cloudu prostřednictvím použití Intune pro zabezpečení a moderní zřizování.

v tomto kurzu nastavíte spolusprávu Windows 10 zařízení v prostředí, kde používáte Azure Active Directory (AD) i místní službu ad, ale nemáte hybridní Azure Active Directory (ad). Prostředí Configuration Manager zahrnuje jednu primární lokalitu se všemi rolemi systému lokality umístěnými na stejném serveru, na serveru lokality. tento kurz začíná místním prostředím, že vaše zařízení Windows 10 jsou už v intune zaregistrovaná.

Pokud máte hybridní službu Azure AD, která se připojuje k místní službě AD pomocí Azure AD, doporučujeme vám náš doprovodný kurz, který umožní spolusprávu pro Configuration Manager klienty.

Tento kurz použijte v těchto případech:

  • máte Windows 10 zařízení, která se mají přenést do spolusprávy. tato zařízení mohla být zajištěna prostřednictvím Windowsho autopilotu nebo přímo z hardwaru OEM.
  • máte Windows 10 zařízení v internetu, která aktuálně spravujete pomocí intune, ke kterému chcete přidat klienta Configuration Manager.

V tomto kurzu provedete tyto kroky:

  • Kontrola požadavků pro Azure a místní prostředí
  • Vyžádejte si veřejný certifikát SSL pro bránu pro správu cloudu (CMG).
  • Povolení služeb Azure v Configuration Manager
  • Nasazení a konfigurace brány pro správu cloudu
  • Konfigurace bodu správy a klientů, aby používali CMG
  • Povolit spolusprávu v Configuration Manager
  • Konfigurace Intune pro instalaci klienta Configuration Manager

Požadavky

Služby a prostředí Azure

Tip

Už nemusíte kupovat a přiřazovat k vašim uživatelům jednotlivé licence Intune ani EMS. Další informace najdete v tématu Nejčastější dotazy k produktu a licencování.

Místní infrastruktura

  • Podporovaná verze Configuration Manager aktuální větve.

    Rozšířené požadavky HTTP se v tomto kurzu používají, abyste se vyhnuli složitějším požadavkům PKI. Při použití rozšířeného protokolu HTTP musí být primární lokalita, kterou používáte ke správě klientů, nakonfigurovaná tak, aby používala Configuration Manager generované certifikáty pro systémy lokality HTTP.

  • Autorita MDM musí být nastavená na Intune.

Externí certifikáty

  • CMG ověřovací certifikát serveru. Tento certifikát je certifikát SSL od poskytovatele veřejných a globálně důvěryhodných certifikátů. Tento certifikát exportujete jako. Soubor PFX s privátním klíčem

  • Později v tomto kurzu poskytujeme pokyny ke konfiguraci žádosti pro tento certifikát.

Oprávnění

V celém tomto kurzu použijte následující oprávnění k dokončení úkolů:

  • Účet, který je globálním správcem pro Azure Active Directory (Azure AD)
  • Účet, který je správcem domény v místní infrastruktuře
  • Účet, který je úplný správce pro všechny obory v Configuration Manager

Vyžádání veřejného certifikátu pro bránu pro správu cloudu

Pokud jsou vaše zařízení připojená k Internetu, vyžaduje společná správa bránu pro správu cloudu Configuration Manager (CMG). CMG umožňuje, aby vaše internetová Windows 10ová zařízení komunikovala s vaším místním nasazením Configuration Manager. K navázání vztahu důvěryhodnosti mezi zařízeními a Configuration Managerovým prostředím vyžaduje CMG certifikát SSL.

V tomto kurzu se používá veřejný certifikát nazvaný certifikát ověřování serveru CMG , který odvozuje autoritu od globálně důvěryhodného poskytovatele certifikátů. I když je možné nakonfigurovat spolusprávu pomocí certifikátů, které se odvozují od vaší místní certifikační autority společnosti Microsoft, používání certifikátů podepsaných svým držitelem je nad rámec tohoto kurzu.

Ověřovací certifikát serveru CMG slouží k šifrování komunikačních přenosů mezi klientem Configuration Manager a CMG. Certifikát se vrátí do důvěryhodného kořenového adresáře a ověří identitu serveru pro klienta. veřejný certifikát obsahuje důvěryhodný kořenový adresář, který Windows již důvěryhodné klienty.

O tomto certifikátu:

  • V Azure identifikujete jedinečný název služby CMG a potom v žádosti o certifikát zadáte tento název.
  • Vygenerujete žádost o certifikát na určitém serveru a pak odešlete žádost veřejnému poskytovateli certifikátů, abyste získali potřebný certifikát SSL.
  • Naimportujete do systému, který požadavek vygeneroval, na certifikát, který od poskytovatele obdržíte. Stejný počítač můžete použít k exportu certifikátu pro použití při pozdějším nasazení CMG do Azure.
  • Když se CMG nainstaluje, vytvoří v Azure službu CMG s použitím názvu, který jste zadali v certifikátu.

Identifikace jedinečného názvu pro bránu pro správu cloudu v Azure

Když vyžádáte ověřovací certifikát serveru CMG, určíte, co musí být jedinečný název, abyste identifikovali cloudovou službu (Classic) v Azure. Ve výchozím nastavení používá veřejný cloud Azure cloudapp.NET a CMG je hostovaný v doméně cloudapp.NET jako <YourUniqueDnsName> . cloudapp.NET.

Tip

V tomto kurzu používá ověřovací certifikát serveru CMG plně kvalifikovaný název domény, který končí na contoso.com. Po vytvoření CMG nakonfigurujeme záznam kanonického názvu (CNAME) ve veřejném DNS naší organizace. Tento záznam vytvoří alias pro CMG, který se mapuje na název, který používáme ve veřejném certifikátu.

Před podáním žádosti o veřejný certifikát potvrďte, že je název, který chcete použít, dostupný v Azure. Službu nevytváříte přímo v Azure. Místo toho se k vytvoření cloudové služby při instalaci CMG Configuration Manager používá název zadaný ve veřejném certifikátu, který požadujete.

  1. Přihlaste se k webu Microsoft Azure Portal.

  2. Vyberte vytvořit prostředek, zvolte kategorii COMPUTE a pak vyberte cloudová služba. Otevře se stránka cloudová služba (Classic).

  3. Do pole název DNS zadejte název předpony pro cloudovou službu, kterou budete používat. Tato předpona musí být stejná jako ta, kterou použijete později při žádosti o certifikát publikování pro ověřovací certifikát serveru CMG. Používáme MyCSG, která vytvoří obor názvů MyCSG.cloudapp.NET. Rozhraní potvrdí, zda je název k dispozici nebo již používá jiná služba.
    Jakmile ověříte, že je název, který chcete použít, dostupný, budete připraveni odeslat žádost o podepsání certifikátu (CSR).

Požádat o certifikát

Pomocí následujících informací odešlete žádost o podepsání certifikátu pro CMG k poskytovateli veřejného certifikátu. Změňte následující hodnoty tak, aby byly relevantní pro vaše prostředí.

  • MyCMG k identifikaci názvu služby brány pro správu cloudu
  • Contoso jako název společnosti
  • Contoso.com jako veřejná doména

K vygenerování žádostí o podepsání certifikátu (CSR) doporučujeme použít server primární lokality. Když certifikát obdržíte, musíte ho zaregistrovat na stejném serveru, který vygeneroval CSR, nebo nemůžete exportovat privátní klíč certifikátů, který je povinný.

Když vygenerujete CSR, požádejte o typ poskytovatele klíčů verze 2. Podporují se jenom certifikáty verze 2.

Tip

Ve výchozím nastavení, když nasadíte CMG, možnost POVOLÍ CMG fungovat jako distribuční bod cloudu a vybere se obsah z úložiště Azure . I když není cloudový obsah potřebný k použití spolusprávy, je užitečný ve většině prostředí.

Cloudový distribuční bod (CDP) je zastaralý. Počínaje verzí 2107 nemůžete vytvářet nové instance CDP. Chcete-li poskytnout obsah do internetových zařízení, povolte CMG distribuci obsahu. Další informace najdete v tématu zastaralé funkce.

Podrobnosti o CSR pro bránu pro správu cloudu

  • Běžný název: CloudServiceNameCMG.YourCompanyPubilcDomainName.com
    Příklad: MyCSG.contoso.com
  • Alternativní název subjektu: totéž jako běžný název (CN)
  • Organizace: název vaší organizace
  • Oddělení: na organizaci
  • Město: Podle vaší organizace
  • Stav: Na vaši organizaci
  • Země: Podle vaší organizace
  • Velikost klíče: 2048
  • Zprostředkovatel: Microsoft RSA SChannel Cryptographic Provider

Import certifikátu

Jakmile obdržíte veřejný certifikát, naimportujte ho do místního úložiště certifikátů počítače, který vytvořil csR. Pak certifikát exportujte jako . Soubor PFX, abyste ho mohli použít pro CMG v Azure.

Poskytovatelé veřejných certifikátů obvykle poskytují pokyny pro import certifikátu. Proces importu certifikátu by měl vypadat podobně jako následující pokyny:

  1. Na počítači, do které se má certifikát importovat, vyhledejte soubor .pfx certifikátu.

  2. Klikněte pravým tlačítkem na soubor a pak vyberte Install PFX (Nainstalovat PFX).

  3. Po spuštění Průvodce importem certifikátu vyberte Další.

  4. Na stránce Soubor k importu vyberte Další.

  5. Na stránce Heslo zadejte heslo privátního klíče do pole Heslo a pak vyberte Další.

    Vyberte možnost, aby byl klíč exportovatelný.

  6. Na stránce Úložiště certifikátů zvolte Automaticky vybrat úložiště certifikátů na základě typu certifikátu a pak vyberte Další.

  7. Vyberte Dokončit.

Export certifikátu

Exportujte ověřovací certifikát serveru CMG ze serveru. Při opětovném exportu certifikátu bude tento certifikát použitelný pro vaši bránu pro správu cloudu v Azure.

  1. Na serveru, na který jste importoval veřejný certifikát SSL, spusťte certlm.msc a otevřete konzolu Správce certifikátů.

  2. V konzole Správce certifikátů vyberte Osobní > certifikáty. Pak klikněte pravým tlačítkem na ověřovací certifikát serveru CMG, který jste zaregistrovali v předchozím postupu, a pak vyberte Všechny úlohy > Export.

  3. V Průvodci exportem certifikátu vyberte Další, vyberte Ano, exportovat privátní klíč a potom Další.

  4. Na stránce Formát souboru pro export vyberte Osobní údaje Exchange – PKCS #12 (. PFX), vyberte Další a zadejte heslo. Jako název souboru zadejte název, například C:\ConfigMgrCloudMGServer. Na tento soubor budete odkazovat při vytváření CMG v Azure.

  5. Vyberte Další a před výběrem možnosti Dokončit export potvrďte následující nastavení:

    • Export klíčů = Ano
    • Zahrnout všechny certifikáty do cesty certifikace = Ano
    • Formát souboru = osobní údaje Exchange (*.pfx)
  6. Po dokončení exportu vyhledejte soubor .pfx a jeho kopii umístěte do složky C:\Certs na serveru primární lokality Správce konfigurace, který bude spravovat internetové klienty. Složka Certs je dočasná složka, která se používá při přesouvání certifikátů mezi servery. K souboru certifikátu se přistupujete ze serveru primární lokality při nasazení brány pro správu cloudu do Azure.

Po zkopírování certifikátu na server primární lokality můžete odstranit certifikát z osobního úložiště certifikátů na členském serveru.

Povolení cloudových služeb Azure v Správce konfigurace

Ke konfiguraci služeb Azure z konzoly Správce konfigurace použijte průvodce Konfigurace služeb Azure a vytvořte dvě aplikace Azure Active Directory (Azure AD).

  • Serverová aplikace – webová aplikace v Azure AD
  • Klientská aplikace – nativní klientská aplikace v Azure AD

Z primárního serveru lokality spusťte následující postup.

  1. Na serveru primární lokality otevřete konzolu Správce konfigurace, přejděte na Správa > Cloud Services > Služeb Azure a vyberte Konfigurovat služby Azure.

    Na stránce Konfigurovat službu Azure zadejte popisný název služby pro správu cloudu, kterou konfigurujete. Příklad: Moje cloudová služba pro správu.

    Pak vyberte Správa cloudu a pak vyberte Další.

    Tip

    Další informace o konfiguracích provedených v průvodci najdete v tématu Spuštění průvodce službami Azure.

  2. Na stránce Vlastnosti aplikace v části Webová aplikace vyberte Procházet. Otevře se dialogové okno Serverová aplikace a pak vyberte Vytvořit. Nakonfigurujte následující pole:

    • Název aplikace: Zadejte popisný název aplikace, například webová aplikace Cloud Management.

    • HomePage URL: Tato hodnota se v Azure AD Správce konfigurace ale nevyžaduje. Ve výchozím nastavení je tato hodnota https://ConfigMgrService .

    • Identifikátor URI ID aplikace: Tato hodnota musí být v tenantovi Azure AD jedinečná. Je v přístupových tokenech používaných klientem Správce konfigurace k vyžádání přístupu ke službě. Ve výchozím nastavení je tato hodnota https://ConfigMgrService .

    Dále vyberte Přihlásit se a zadejte účet globálního správce Azure AD. Tyto přihlašovací údaje neuloží Správce konfigurace. Tato osoba nevyžaduje oprávnění v Správce konfigurace a nemusí to být stejný účet, který spouští Průvodce službami Azure.

    Po přihlášení se zobrazí výsledky. Výběrem OK zavřete dialogové okno Vytvořit serverovou aplikaci a vraťte se na stránku Vlastnosti aplikace.

  3. V oblasti Nativní klientská aplikace vyberte Procházet a otevřete dialogové okno Klientská aplikace.

  4. Výběrem možnosti Vytvořit otevřete dialogové okno Vytvořit klientskou aplikaci a nakonfigurujte následující pole:

    • Název aplikace: Zadejte popisný název aplikace, například Nativní klientská aplikace pro správu cloudu .

    • Adresa URL odpovědi: Tato hodnota se ve službě Správce konfigurace, ale vyžaduje ji Azure AD. Ve výchozím nastavení je tato hodnota https://ConfigMgrClient . Dále vyberte Přihlásit se a zadejte účet globálního správce Azure AD. Podobně jako u webové aplikace se tyto přihlašovací údaje neuloží a nevyžadují oprávnění v Správce konfigurace.

    Po přihlášení se zobrazí výsledky. Výběrem OK zavřete dialogové okno Vytvořit klientskou aplikaci a vraťte se na stránku Vlastnosti aplikace. Pak pokračujte výběrem možnosti Další.

  5. Na stránce Konfigurovat zjišťování Nastavení zaškrtněte políčko Povolit zjišťování uživatelů Azure Active Directory, vyberte Další a potom dokončete konfiguraci dialogových oknů Zjišťování pro vaše prostředí.

  6. Pokračujte stránkami Summary (Souhrn), Progress (Průběh) a Completion (Dokončení) a pak průvodce zavřete.

    Služba Azure Services pro zjišťování uživatelů Azure AD je teď ve službě Správce konfigurace. Nechte konzolu otevřenou.

  7. Otevřete prohlížeč a přihlaste se k Azure Portal.

  8. Vyberte Všechny služby > Azure Active Directory > Registrace aplikací a pak:

    1. Vyberte webovou aplikaci, kterou jste vytvořili.

    2. Přejděte na Api Permissions (Oprávnění > vyberte Grant admin consent for your tenant (Udělit souhlas správce pro vašeho tenanta) a pak vyberte Yes (Ano).

    3. Vyberte aplikaci Nativní klient, kterou jste vytvořili.

    4. Přejděte na Api Permissions (Oprávnění > vyberte Grant admin consent for your tenant (Udělit souhlas správce pro vašeho tenanta) a pak vyberte Yes (Ano).

  9. V konzole Správce konfigurace přejděte do části Přehled > > Cloud Services > služeb Azure a vyberte službu Azure. Potom klikněte pravým tlačítkem na Azure Active Directory Zjišťování uživatelů a vyberte Spustit úplné zjišťování. Výběrem Ano akci potvrďte.

  10. Na serveru primární lokality otevřete soubor Správce konfigurace SMS_AZUREAD_DISCOVERY_AGENT.log a vyhledejte následující položku, která potvrzuje, že zjišťování funguje: UdX se úspěšně publikoval pro uživatele Azure Active Directory.

    Ve výchozím nastavení je soubor protokolu ve složce %Program_Files%\Microsoft Správce konfigurace\Logs.

Vytvoření cloudových služeb v Azure

V této části kurzu:

  • Vytvoření cloudové služby CMG
  • Vytvoření záznamů DNS CNAME pro obě služby

Vytvoření CMG

Pomocí tohoto postupu můžete nainstalovat bránu pro správu cloudu jako službu v Azure. CMG se nainstaluje v lokalitě nejvyšší úrovně v hierarchii. V tomto kurzu budeme dál používat primární lokalitu, ve které byly certifikáty zapsány a exportovány.

  1. Na serveru primární lokality otevřete konzolu Správce konfigurace, přejděte na Správa > Přehled > Cloud Services > Brána pro správu cloudu a pak vyberte Vytvořit Brána pro správu cloudu .

  2. Na stránce Obecné:

    1. Vyberte své cloudové prostředí pro prostředí Azure. Tento kurz používá AzurePublicCloud.

    2. Vyberte Azure Resource Manager nasazení.

    3. Přihlaste se ke svému předplatnému Azure. Správce konfigurace vyplní další informace na základě informací, které jste nakonfigurovali při povolení cloudových služeb Azure pro Správce konfigurace.

    Pokračujte výběrem tlačítka Další.

  3. Na stránce Nastavení přejděte na a vyberte soubor s názvem ConfigMgrCloudMGServer.pfx, což je soubor, který jste exportoval po importu ověřovacího certifikátu serveru CMG. Po zadání hesla se název služby a název nasazení automaticky vyplní na základě podrobností v souboru certifikátu .pfx.

  4. Nastavte oblast.

  5. V poli Skupina prostředků použijte existující skupinu prostředků nebo vytvořte skupinu s popisný název, který nebude používat žádné mezery, například CofigMgrCloudServices. Pokud se rozhodnete vytvořit skupinu, přidá se skupina jako skupina prostředků v Azure.

  6. Pokud nejste připraveni ke konfiguraci ve velkém měřítku, použijte pro počet instancí virtuálních počítače jednu (1). Počet instancí virtuálních počítačů umožňuje jedné cloudové službě Brána pro správu cloudu (CMG) škálovat na více instancí, aby podporovala více připojení klientů. Později můžete pomocí konzoly Správce konfigurace vrátit a upravit počet instancí virtuálních Správce konfigurace, které používáte.

  7. Zaškrtněte políčko Ověřit odvolání klientského certifikátu.

  8. Zaškrtněte políčko Povolit CMG fungovat jako cloudový distribuční bod a obsluhovat obsah z úložiště Azure.

  9. Pokračujte výběrem tlačítka Další.

  10. Zkontrolujte hodnoty na stránce Výstraha a pak vyberte Další.

  11. Zkontrolujte stránku Souhrn a kliknutím na Další vytvořte cloudovou službu brány pro správu cloudu. Výběrem možnosti Zavřít dokončete průvodce.

  12. V Brána pro správu cloudu konzoly nástroje Správce konfigurace teď můžete zobrazit novou službu.

Vytvoření záznamů DNS CNAME

Když vytvoříte položku DNS pro CMG, povolíte zařízením Windows 10 uvnitř i mimo podnikovou síť používat překlad názvů k vyhledání cloudové služby CMG v Azure.

Náš příklad záznamu CNAME používá následující podrobnosti:

  • Název společnosti je Contoso s veřejným oborem názvů DNS Contoso.com.

  • Název služby CMG je MyCMG, který se MyCMG.CloudApp.Net Azure.

Příklad záznamu CNAME: MyCMG.contoso.com => My.cloudapp.net

Konfigurace bodu správy a klientů pro použití CMG

Nakonfigurujte nastavení, která místním bodům správy a klientům umožní používat bránu pro správu cloudu.

Vzhledem k tomu, že pro komunikaci klientů používáme rozšířený protokol HTTP, není nutné používat bod správy HTTPS.

Vytvoření spojovacího bodu CMG

Nakonfigurujte lokalitu tak, aby podporovala rozšířený protokol HTTP.

  1. V konzole Správce konfigurace nástroje přejděte do části Přehled > > Konfigurace lokality> Lokality a otevřete vlastnosti primární lokality.

  2. Na kartě Zabezpečení komunikace vyberte možnost HTTPS nebo HTTP pro možnost Použít certifikáty generované protokolem Správce konfigurace pro systémy lokality HTTP a potom výběrem tlačítka OK konfiguraci uložte.

  3. Teď přejděte na Správa > Přehled > Konfigurace lokality > Servery a role systému lokality a vyberte server s bodem správy, do kterého chcete nainstalovat spojovací bod brány pro správu cloudu.

  4. Vyberte Add Site System Roles (Přidat role systému lokality) a pak Next Next (Další). >

  5. Vyberte spojovací bod brány pro správu cloudu a pokračujte výběrem možnosti Další.

  6. Zkontrolujte výchozí výběry na stránce spojovacího bodu brány pro správu cloudu a ujistěte se, že je vybraná správná cmg. Pokud máte více bran pro správu cloudu, můžete pomocí rozevíracího seznamu zadat jinou cmg. Po instalaci můžete také změnit používejte cmG. Pokračujte výběrem tlačítka Další.

  7. Výběrem možnosti Další spusťte instalaci a pak zobrazte výsledky na stránce Dokončení. Výběrem možnosti Zavřít dokončete instalaci spojovacího bodu.

  8. Teď přejděte do části > Přehled > Konfigurace lokality > Servery a role systému lokality a otevřete Vlastnosti bodu správy, kam jste nainstalovali bod připojení. Na kartě Obecné zaškrtněte políčko Povolit Správce konfigurace provozu brány pro správu cloudu a potom výběrem OK konfiguraci uložte.

    Tip

    I když se nevyžaduje povolení spoluspravované správy, doporučujeme provést stejnou úpravu pro všechny body aktualizace softwaru.

Konfigurace klienta Nastavení, aby klienti přesměrovat na používání CMG

Pomocí klienta Nastavení nakonfigurujte Správce konfigurace klienty tak, aby komunikovali s CMG.

  1. Otevřete konzolu Správce konfigurace > >> Client Nastavení a pak upravte výchozí nastavení Nastavení.

  2. Vyberte Cloud Services.

  3. Na stránce Výchozí Nastavení nastavte následující nastavení na = Ano.

    • Automatická registrace nových Windows 10 připojených k doméně pomocí Azure Active Directory

    • Povolení klientům používat bránu pro správu cloudu

    • Povolení přístupu ke cloudovým distribučním bodům

  4. Na stránce Zásady klienta nastavte povolit požadavky zásad uživatele od internetových klientů = Ano.

  5. Uložte tuto konfiguraci výběrem tlačítka OK.

Povolení spolusou správy v Správce konfigurace

Když máte k dispozici konfigurace Azure, role systému lokality a nastavení klienta, můžete nakonfigurovat Správce konfigurace povolit spolusou správu. Než ale tento kurz dokončíte, budete muset v Intune ještě pár konfigurací povolit spolusídku. Jednou z těchto úloh je konfigurace Intune pro nasazení Správce konfigurace klienta. Tento úkol je snazší uložením příkazového řádku pro nasazení klienta, které je k dispozici v průvodci konfigurací spolusou správy. To je důvod, proč teď povolíme spolusou správu, než dokončíme konfigurace Intune.

Fráze Pilotní skupina se používá v dialogových oknech pro spolusou správu a konfiguraci. Pilotní skupina je kolekce obsahující podmnožinu vašich Správce konfigurace zařízení. Pro počáteční testování použijte pilotní skupinu a podle potřeby přidejte zařízení, dokud nejste připraveni přesunout úlohy pro všechna Správce konfigurace zařízení. Pro dobu, po jakou je možné použít pilotní skupinu pro úlohy, neexistuje žádné časové omezení. Pilotní skupinu můžete používat po neomezenou dobu, pokud nechcete přesunout úlohu do všech Správce konfigurace zařízení.

Když povolíte spolusměru, přiřadíte kolekci jako pilotní skupinu. Jedná se o skupinu, která obsahuje malý počet klientů pro testování konfigurací spoluskupování. Před zahájením postupu doporučujeme vytvořit vhodnou kolekci. Tuto kolekci pak můžete vybrat bez ukončení procedury. Možná budete potřebovat více kolekcí, protože pro každou úlohu můžete přiřadit jinou pilotní skupinu.

Povolení spolusprávy

When enabling co-management, you can use the Azure Public Cloud, Azure US Government Cloud, or Microsoft Azure China 21Vianet (added in version 2006). To enable co-management starting in Configuration Manager version 1906, follow the instructions below:

  1. In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select the Cloud Attach node. Select Configure Cloud Attach in the ribbon to open the Cloud Attach Configuration Wizard.

    • For version 2103 and earlier, expand Cloud Services and select the Co-management node. Select Configure co-management in the ribbon to open the Co-management Configuration Wizard.
  2. On the onboarding page of the wizard, configure the Azure environment to use. Choose one of the following environments:

    • Azure Public Cloud
    • Azure US Government Cloud.
    • Azure China Cloud (added in version 2006)
      • Update the Configuration Manager client to the latest version on your devices before onboarding to Azure China Cloud.

    When you select Azure China Cloud or Azure US Government Cloud, the Upload to Microsoft Endpoint Manager admin center option for tenant attach is disabled.

  3. Select Sign In. Sign in as an Azure AD global administrator, and then select Next. You sign in this one time for the purposes of this wizard. The credentials aren't stored or reused elsewhere.

  4. On the Enablement page, choose the following settings:

    • Automatic enrollment into Intune - Enables automatic client enrollment in Intune for existing Configuration Manager clients. This option allows you to enable co-management on a subset of clients to initially test co-management, and rollout co-management using a phased approach. If a device is unenrolled by the user, on the next evaluation of the policy, it will re-enroll.

      • Pilot - Only the Configuration Manager clients that are members of the Intune Auto Enrollment collection are automatically enrolled to Intune.
      • All - Enable automatic enrollment for all Windows 10 version 1709 or later, clients.
      • None - Disable automatic enrollment for all clients.
    • Intune Auto Enrollment - This collection should contain all of the clients you want to onboard into co-management. It's essentially a superset of all the other staging collections.

    Specify Intune auto enrollment collection

    Automatic enrollment isn't immediate for all clients. This behavior helps enrollment scale better for large environments. Configuration Manager randomizes enrollment based on the number of clients. For example, if your environment has 100,000 clients, when you enable this setting, enrollment occurs over several days.

    • A new co-managed device now automatically enrolls to the Microsoft Intune service based on its Azure Active Directory (Azure AD) device token. It doesn't need to wait for a user to sign in to the device for auto-enrollment to start. This change helps to reduce the number of devices with the enrollment status Pending user sign in. To support this behavior, the device needs to be running Windows 10 version 1803 or later. For more information, see Co-management enrollment status.
    • If you already have devices enrolled to co-management, new devices now enroll immediately once they meet the prerequisites.
  5. For internet-based devices that are already enrolled in Intune, copy and save the command line on the Enablement page. You'll use this command line to install the Configuration Manager client as an app in Intune for internet-based devices. If you don't save this command line now, you can review the co-management configuration at any time to get this command line.

    Tip

    The command line only shows if you've met all of the prerequisites, such as set up a cloud management gateway.

  6. On the Workloads page, for each workload, choose which device group to move over for management with Intune. For more information, see Workloads. If you only want to enable co-management, you don't need to switch workloads now. You can switch workloads later. For more information, see How to switch workloads.

    • Pilot Intune - Switches the associated workload only for the devices in the pilot collections you'll specify on the Staging page. Each workload can have a different pilot collection.
    • Intune - Switches the associated workload for all co-managed Windows 10 or later devices.

    Důležité

    Before you switch any workloads, make sure you properly configure and deploy the corresponding workload in Intune. Make sure that workloads are always managed by one of the management tools for your devices.

  7. On the Staging page, specify the pilot collection for each of the workloads that are set to Pilot Intune.

    Co-management configuration wizard, Staging page, specify pilot collections

  8. To enable co-management, complete the wizard.

Použití Intune k nasazení Správce konfigurace klienta

Intune můžete použít k instalaci klienta Správce konfigurace na Windows 10 zařízení, která jsou aktuálně spravovaná jenom pomocí Intune.

Když se pak dříve nespravovaný Windows 10 zařízení zaregistruje do Intune, automaticky nainstaluje Správce konfigurace klienta.

Vytvoření aplikace Intune pro instalaci klienta Správce konfigurace Intune

  1. Z primárního serveru lokality se přihlaste do centra pro Microsoft Endpoint Manager a přejděte do části Aplikace > Všechny aplikace > Přidat.

  2. Jako typ aplikace vyberte obchodní aplikaci v části Jiné.

  3. V části Soubor balíčku aplikace přejděte do umístění souboru Správce konfiguraceccmsetup.msia pak vyberte Otevřít > OK. **** Například C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi

  4. Vyberte Informace o aplikaci a zadejte následující podrobnosti:

    • Popis: Správce konfigurace Client

    • Publisher: Microsoft

    • Argumenty příkazového řádku:<Specify the CCMSETUPCMD command line. You can use the command line you saved from the Enablement page of the Co-management Configuration Wizard. This command line includes the names of your cloud service and additional values that enable devices to install the Configuration Manager client software.>

      Struktura příkazového řádku by měla vypadat podobně jako v tomto příkladu pouze pomocí parametrů CCMSETUPCMD a SMSSiteCode:

      CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
      

      Tip

      Pokud nemáte k dispozici příkazový řádek, můžete zobrazit vlastnosti Souboru CoMgmtSettingsProd v konzole Správce konfigurace a získat tak kopii příkazového řádku. Příkazový řádek se zobrazí pouze v případě, že jste splnili všechny požadavky, jako je například nastavení brány pro správu cloudu.

  5. Vyberte OK > Přidat. Aplikace se vytvoří a bude dostupná v konzole Intune. Jakmile je aplikace dostupná, můžete pomocí následující části nakonfigurovat Intune tak, aby ji přiřadí Windows 10 zařízením.

Přiřazení aplikace Intune k instalaci klienta Správce konfigurace Intune

Následující postup nasadí aplikaci pro instalaci klienta Správce konfigurace, který jste vytvořili v předchozím postupu.

  1. Přihlaste se k Centru pro správu Microsoft Endpoint Manageru. Vyberte Aplikace Všechny aplikace a pak vyberte Bootstrap nastavení > klienta ConfigMgr, aplikaci, kterou jste vytvořili pro nasazení Správce konfigurace klienta.

  2. U položky Přiřazení vyberte Vlastnosti a pak Upravit. V části Požadovaná přiřazení vyberte Přidat skupinu a nastavte skupiny Azure Active Directory (AD), které mají uživatele a zařízení, které chcete do spoluskupování zapojit.

  3. Vyberte Zkontrolovat a uložit a pak Uložit konfiguraci. Aplikace je teď vyžadována uživateli a zařízeními, ke kterým jste ji přiřadili. Jakmile aplikace nainstaluje klienta Správce konfigurace na zařízení, bude spravovaná spoluspravovanou spravovanou aplikací.

Souhrn

Po dokončení kroků konfigurace v tomto kurzu můžete začít spolusprávou svých zařízení.

Další kroky