Změna autority MDMChange the MDM authority

Od Configuration Manageru verze 1610 můžete změnit autoritu MDM, aniž by bylo nutné kontaktovat podporu Microsoftu a rušit registraci a následně nově registrovat stávající spravovaná zařízení.Beginning in Configuration Manager version 1610, you can change your MDM authority without having to contact Microsoft Support, and without having to unenroll and reenroll your existing managed devices. Toto téma představuje kroky ke změně existujícího tenanta Microsoft Intune nakonfigurovaného z Intune a s autoritu MDM nastavenou na Microsoft Intune (samostatně) na Configuration Manager (hybridní MDM), aniž byste museli zrušit registraci existujících spravovaných zařízení a znovu je zaregistrovat.This topic provides the steps to change an existing Microsoft Intune tenant configured from Intune and with the MDM authority set to Microsoft Intune (standalone) to Configuration Manager (hybrid MDM) without having to unenroll and reenroll existing managed devices.

Poznámka

Pokud chcete změnit existujícího tenanta Microsoft Intune nakonfigurovaného z konzoly Configuration Manageru (hybridní) a s autoritu MDM nastavenou na Configuration Manager (hybridní) na Microsoft Intune (samostatně), přečtěte si téma o změně autority MDM z Configuration Manageru (hybridní MDM) na samostatné Intune.If you want to change an existing Microsoft Intune tenant configured from the Configuration Manager console (hybrid) and with the MDM authority set to Configuration Manager (hybrid) to Microsoft Intune standalone, see Change the MDM authority from Configuration Manager (hybrid MDM) to Intune standalone.

Klíčové aspektyKey Considerations

Po přechodu na novou autoritu MDM pravděpodobně nastane přechodná doba (až osm hodin), než se zařízení ohlásí a synchronizuje se službou.After you switch to the new MDM authority, there will likely be transition time (up to eight hours) before the device checks in and synchronizes with the service. Je potřeba nakonfigurovat nastavení nové autority MDM (hybridní), aby zaregistrovaná zařízení byla i po provedení změny dál spravovaná a chráněná.You are required to configure settings in the new MDM authority (hybrid) to ensure that enrolled devices will continue to be managed and protected after the change.

  • Zařízení se musí ke službě po změně připojit, aby nastavení z nové autority MDM (Intune samostatně) nahradila stávající nastavení v zařízení.Devices must connect with the service after the change so that the settings from the new MDM authority (Intune standalone) replace the existing settings on the device.
  • Po změně autority MDM některá základní nastavení (například profily) z předchozí autority MDM (Intune samostatně) zůstanou v zařízení po dobu až sedmi dnů nebo do doby, než se zařízení ke službě poprvé připojí.After you change the MDM authority, some of the basic settings (such as profiles) from the previous MDM authority (Intune standalone) will remain on the device for up to seven days or until the device connects to the service for the first time. Doporučujeme co nejdříve nakonfigurovat aplikace a nastavení (zásady, profily, aplikace atd.) v nové autoritě MDM (hybridní) a nasadit nastavení do skupin uživatelů obsahujících uživatele, kteří mají stávající zaregistrovaná zařízení.It is recommended that you configure apps and settings (policies, profiles, apps, etc.) in the new MDM authority (hybrid) as soon as possible and deploy the setting to the user groups that contains users who have existing enrolled devices. Jakmile se zařízení ke službě po změně autority MDM připojí, obdrží nová nastavení z nové autority MDM a zabrání se mezerám ve správě a ochraně.As soon as a device connects to the service after the change in MDM authority, it will receive the new settings from the new MDM authority and prevent gaps in management and protection.
  • Přestože existují stejné kategorie zařízení v Intune i v Configuration Manageru, žádné přiřazené kategorie zařízení se po přepnutí na novou autoritu MDM nepřenesou.When the same device categories exist in both Intune and Configuration Manager, any device category assignments for devices are not carried over after you switch to the new MDM authority. Pokud chcete i nadále používat kategorie zařízení, musí se migrovaná zařízení přidat do příslušných kolekcí ručně poté, co dojde ke změně autority MDM a zařízení se zobrazí v konzole Configuration Manageru.To continue using device categories, migrated devices have to be manually added to the appropriate collections after the MDM authority is changed and the devices display in the Configuration Manager console.
  • Zařízení, která nemají přiřazené uživatele (obvykle v případě programu registrace zařízení s iOSem nebo hromadné registrace), nebudou na novou autoritu MDM migrována.Devices that don't have associated users (typically when you have iOS Device Enrollment Program or bulk enrollment scenarios) are not migrated to the new MDM authority. Pro taková zařízení musíte zavolat podporu, aby vám s přesunem do nové autority MDM pomohla.For those devices, you need to call support for assistance to move them to the new MDM authority.

Příprava na změnu autority MDM na Configuration Manager (hybridní)Prepare to change the MDM authority to Configuration Manager (hybrid)

V rámci přípravy na změnu autority MDM zkontrolujte následující informace:Review the following information to prepare for the change to the MDM authority:

  • Aby byla možnost změnit autoritu MDM k dispozici, musíte mít Configuration Manager ve verzi 1610.You must have Configuration Manager version 1610 or higher for the option to change the MDM authority to be available.
  • Může trvat až 8 hodin, než se zařízení po změně na novou autoritu MDM ke službě připojí.It can take up to eight hours for a device to connect to the service after you change to the new MDM authority.
  • Vytvořte kolekci uživatelů Configuration Manageru se všemi uživateli aktuálně spravovanými samostatným Intune, kterou použijete při zřizování předplatného Intune v konzole Configuration Manageru.Create a Configuration Manager user collection with all users currently managed by Intune standalone that you will use when you set up the Intune subscription in the Configuration Manager console. Pomůže to zajistit, že uživatel se svými zařízeními bude mít po změně na autoritu MDM přiřazenou licenci Configuration Manageru a bude v hybridním prostředí spravován.This helps to ensure that the user and their devices will have a Configuration Manager license assigned and be managed in the hybrid environment after the change to the MDM authority.
  • V této kolekci uživatelů musí být také uživatel s rolí správce IT.Make sure that the IT Admin user is in this user collection too.
  • Před změnou se bude autorita MDM v konzole pro správu Intune zobrazovat jako Nastavit na Microsoft Intune (samostatně).Before the change, the MDM Authority will show as Set to Microsoft Intune (standalone) in the Intune administration console.
  • Autorita MDM by před změnou autority MDM měla v konzole pro správu Microsoft Intune zobrazovat Nastavit na Microsoft Intune (samostatný tenant).The MDM authority should display Set to Microsoft Intune (standalone tenant) in the Microsoft Intune administration console prior to the change in MDM authority.

    Poznámka

    Pokud vaše autorita MDM zobrazuje Spravováno přes Intune a Office 365, pak už vaše zařízení MDM spravovaná přes Office 365 po změně autority MDM na Configuration Manager (hybridní) spravovaná nejsou.If your MDM authority displays Managed by Intune and Office 365, then your Office 365 managed MDM devices are no longer be managed when you change your MDM authority to Configuration Manager (hybrid). Doporučujeme, abyste takové uživatele před změnou autority MDM licencovali pro Intune nebo Enterprise Mobility Suite.We recommend that you license those users for Intune or Enterprise Mobility Suite before you change the MDM authority.

  • V konzole pro správu Microsoft Intune odeberte roli správce registrace zařízení.In the Microsoft Intune administration console, remove the Device Enrollment Manager role. Podrobnosti najdete v sekci Odstranění správce registrace zařízení ze služby Intune.For details, see Delete a device enrollment manager from Intune.

  • Vypněte všechna mapování skupin zařízení, která jsou nakonfigurovaná.Turn off any device group mappings that are configured. Podrobnosti najdete v článku Kategorizace zařízení pomocí mapování skupin zařízení v Microsoft Intune.For details, see Categorize devices with device group mapping in Microsoft Intune.
  • Během změny autority MDM by nemělo dojít k žádnému znatelnému dopadu na koncové uživatele.There should be no noticeable impact to end users during the change in MDM authority. Změnu byste ale měli uživatelům oznámit, aby se zajistilo, že jejich zařízení budou brzy po provedení změny zapnutá a připojí se ke službě.However, you might want to communicate this change to users to make sure that their devices are powered on and that they connect with the service soon after the change. To zajistí, že se ke službě co nejdříve přihlásí a prostřednictvím nové autority zaregistruje co nejvíce zařízení.This ensures that as many devices as possible connect and register with the service through the new authority as soon as possible.
  • Pokud před změnou autority MDM používáte samostatné Intune ke správě zařízení s iOSem, musíte zajistit, aby se stejný certifikát služby Apple Push Notification (APNs), který se předtím používal v Intune, obnovil a znovu použil k nastavení tenanta v Configuration Manageru (hybridním).If you are using Intune standalone to manage iOS devices prior to the change in MDM authority, you must make sure that the same Apple Push Notification service (APNs) certificate that was previously used in Intune is renewed and used to set up the tenant again in Configuration Manager (hybrid).

    Důležité

    Pokud se pro hybridní autoritu používá jiný certifikát APNs, pak se registrace VŠECH dřív zaregistrovaných zařízení s iOSem zruší a budete muset projít procesem jejich opětovné registrace.If a different APNs certificate is used for hybrid, then ALL previously enrolled iOS devices become unenrolled and you have to go through the process to reenroll them. Před provedením změny autority MDM se ujistěte, že přesně víte, jaký certifikát APNs se ke správě zařízení s iOSem v Intune používal.Prior to making the MDM authority change, make sure that you know exactly what APNs certificate was used to manage iOS devices in Intune. Najděte stejný certifikát uvedený na Apple Push Certificates Portalu (https://identity.apple.com) a ujistěte se, že v rámci změny na novou autoritu MDM je k obnovení stejného certifikátu APNs identifikován a dostupný stejný uživatel, jehož Apple ID se použilo k vytvoření původního certifikátu APNs.Find the same certificate listed in Apple Push Certificates Portal (https://identity.apple.com) and make sure the user whose Apple ID was used to create the original APNs certificate is identified and available to renew the same APNs certificate as part of the change to the new MDM authority.

Změna autority MDM na Configuration ManagerChange the MDM authority to Configuration Manager

Proces změny autority MDM na Configuration Manager (hybridní) zahrnuje tento postup vysoké úrovně:The process to change the MDM authority to Configuration Manager (hybrid) includes the following high-level steps:

  • V konzole Configuration Manageru přidejte předplatné Microsoft Intune.In the Configuration Manager console, add the Microsoft Intune subscription.
  • Nakonfigurujte certifikát Apple APNs pomocí stejného certifikátu APNS, který jste obnovili.Configure the Apple APNs certificate by using the same APNs certificate that you renewed.
  • V konzole Configuration Manageru nakonfigurujte a nasaďte nová nastavení a aplikace z nové autority MDM (hybridní).In the Configuration Manager console, configure and deploy new settings and apps from the new MDM authority (hybrid).
  • Při příštím připojení ke službě se zařízení synchronizují a z nové autority MDM obdrží nová nastavení.The next time devices connect to the service, it synchronizes and receives the new settings from the new MDM authority.

Postup změny autority MDM na Configuration ManagerTo change the MDM authority to Configuration Manager

  1. V konzole Configuration Manageru přejděte na Správa > Přehled > Cloudové služby > Předplatné Microsoft Intune a přidejte předplatné Intune tím, že ho vyberte.In the Configuration Manager console, go to Administration > Overview > Cloud Services > Microsoft Intune Subscription, and select to add an Intune subscription.
  2. Přihlaste se do tenanta Intune, kterého jste původně použili při nastavení autority MDM v Intune, a klikněte na Další.Sign in to the Intune tenant that you originally used when you set the MDM authority in Intune, and click Next.
  3. Vyberte Změnit moji autoritu MDM na Configuration Manager a klikněte na Další.Select Change my MDM Authority to Configuration Manager, and click Next.
  4. Vyberte kolekci uživatelů, aby obsahovala všechny uživatele, kteří budou dál spravovaní novou hybridní autoritou MDM.Select the user collection to contain all of the users that continue to be managed by the new hybrid MDM authority.
  5. Klikněte na tlačítko Další a dokončete průvodce.Click Next and complete the wizard. Autorita MDM je teď změněná na Configuration Manager.The MDM authority is now changed to Configuration Manager.
  6. Přihlaste se pomocí stejného tenanta Intune do konzoly pro správu Microsoft Intune a zkontrolujte, jestli se autorita MDM změnila na Nastavit na nástroj Configuration Manager.Log in to the Microsoft Intune administration console using the same Intune tenant and confirm that the MDM authority has been changed to Set to Configuration Manager.

Povolení registrace zařízení se systémem iOSEnable iOS enrollment

Pokud máte zařízení s iOSem, musíte nakonfigurovat certifikát APNs v Configuration Manageru.When you have iOS devices, you must configure the APNs certificate in Configuration Manager.

Povolení registrace zařízení s iOSem a konfigurace certifikátu APNsTo enable iOS enrollment and configure the APNs certificate

  1. Stáhněte žádost o podepsání certifikátuDownload a certificate signing request

    1. V konzole Configuration Manageru přejděte na Správa > Cloudové služby > Předplatné Microsoft Intune a vyberte Vytvořit žádost o certifikát APNs. Tím se otevře dialogové okno Podat žádost o podepsání certifikátu APNs.In the Configuration Manager console, go to Administration > Cloud Services > Microsoft Intune Subscriptions, and select Create APNs certificate request to open the Request Apple Push Notification Service Certificate Signing Request dialog box.
    2. Pomocí možnostiProcházet přejděte k cestě, kam chcete uložit nový soubor žádosti o podepsání certifikátu (.csr).Browse to the path to save the new certificate signing request (.csr) file. Uložte soubor žádosti o podepsání certifikátu (.csr) místně.Save the certificate signing request (.csr) file locally.
    3. Klikněte na tlačítko Download(Stáhnout).Click Download. Configuration Manager stáhne a uloží nový soubor .csr služby Microsoft Intune.The new Microsoft Intune .csr file downloads and is saved by Configuration Manager.

      Důležité

      Musíte stáhnout novou žádost o podepsání certifikátu.You must download a new certificate signing request. Nepoužívejte stávající soubor, nebo se postup nezdaří.Do not use an existing file or it fails.

  2. Přejděte na Apple Push Certificates Portal a přihlaste se pomocí stejného Apple ID, jaké se použilo k předchozímu vytvoření a obnovení certifikátu APNs, který jste použili v samostatném Intune.Go to the Apple Push Certificates Portal, and sign-in with the same Apple ID that was used to previously create and renew the APNs certificate that you used in Intune standalone.

    Přihlašovací stránka Apple Push Certificates Portalu

  3. Vyberte certifikát APNs, který jste použili v samostatném Intune, a pak klikněte na Renew (Obnovit).Select the APNs certificate that you used in Intune standalone, and then click Renew.

    Dialogové okno obnovení APNs

  4. Vyberte soubor žádosti o podepsání certifikátu APNs (.csr), který máte místně stažený, a pak klikněte na Upload (Nahrát).Select the APNs certificate signing request (.csr) file that you downloaded locally, and then click Upload.

    Přihlašovací stránka Apple Push Certificates Portalu

  5. Vyberte stejné služby APNs a pak klikněte na Download (Stáhnout).Select the same APNs, and then click Download. Stáhněte si certifikát služby APN ( soubor .pem) a uložte ho místně.Download the APNs (.pem) certificate, and save the file locally.

    Přihlašovací stránka Apple Push Certificates Portalu

  6. Nahrajte obnovený certifikát APNs do hybridního tenanta pomocí stejného Apple ID jako předtím.Upload the renewed APNs certificate to the hybrid tenant using the same Apple ID as before.

    1. V konzole Configuration Manageru přejděte na Správa > Cloudové služby > Předplatné Microsoft Intune a vyberte Konfigurovat platformy > iOS.In the Configuration Manager console, go to Administration > Cloud Services > Microsoft Intune Subscription, and choose Configure Platforms > iOS.
    2. V dialogovém okně Vlastnosti předplatného Microsoft Intune vyberte kartu Certifikát APNs a zaškrtněte políčko Povolit zápis zařízení se systémy iOS a Mac OS X (MDM).In the Microsoft Intune Subscription Properties dialog box, select the APNs Certificate tab and click to select the Enable iOS and MAC OS X (MDM) enrollment checkbox.
    3. Klikněte na tlačítko Procházeta přejděte na soubor certifikátu APNs (.cer) stažený od společnosti Apple.Click Browse, and go to the APNs certificate (.cer) file downloaded from Apple. Configuration Manager zobrazí informace o tomto certifikátu APNs.Configuration Manager displays the APNs certificate information. Kliknutím na OK uložte certifikát APNs do služby Intune.Click OK to save the APNs certificate to Intune.

      Stránka vlastností předplatného Intune – iOS

Povolení registrace zařízení s AndroidemEnable Android enrollment

  1. V konzole Configuration Manageru přejděte na Správa > Cloudové služby > Předplatné Microsoft Intune a vyberte Konfigurovat platformy > Android.In the Configuration Manager console, go to Administration > Cloud Services > Microsoft Intune Subscription, and choose Configure Platforms > Android.
  2. Vyberte Povolit registraci zařízení se systémem Android a klikněte na OK.Select Enable Android enrollment and click OK.

Povolení registrace zařízení s WindowsEnable Windows enrollment

  1. V konzole Configuration Manageru přejděte na Správa > Cloudové služby > Předplatné Microsoft Intune a vyberte Konfigurovat platformy > Windows.In the Configuration Manager console, go to Administration > Cloud Services > Microsoft Intune Subscription, and choose Configure Platforms > Windows.
  2. Vyberte Povolit registraci zařízení se systémem Windows a klikněte na OK.Select Enable Windows enrollment and click OK.

Registrace zařízení s Windows PhonemEnable Windows Phone enrollment

  1. V konzole Configuration Manageru přejděte na Správa > Cloudové služby > Předplatné Microsoft Intune a vyberte Konfigurovat platformy > Windows Phone.In the Configuration Manager console, go to Administration > Cloud Services > Microsoft Intune Subscription, and choose Configure Platforms > Windows Phone.
  2. Vyberte platformu, kterou chcete povolit, a klikněte na OK.Select the platform that you want to enable, and click OK.

Další krokyNext steps

Po dokončení změny autority MDM si projděte tyto kroky:After the change in MDM authority is complete, review the following steps:

  • Když služba Intune zjistí, že se autorita MDM tenanta změnila, odešle do všech zaregistrovaných zařízení zprávu s oznámením, aby se ohlásila a synchronizovala se službou (mimo interval pravidelně naplánovaných ohlášení).When the Intune service detects that a tenant’s MDM authority has changed, it sends out a notification message to all the enrolled devices to check in and synchronize with the service (this is outside of the regularly scheduled check-in). Proto po změně autority MDM pro tenanta ze samostatného Intune na hybridní se všechna zařízení, která jsou zapnutá a online, připojí ke službě, obdrží novou autoritu MDM a budou spravována hybridní autoritou.Therefore, after the MDM authority for the tenant has been changed from Intune standalone to hybrid, all the devices that are powered on and online will connect with the service, receive the new MDM authority, and be managed by hybrid. Správa a ochrana těchto zařízení se nijak nepřeruší.There is no interruption to the management and protection of these devices.
  • I v případě zařízení, která jsou během změny autority MDM (nebo brzy po ní) zapnutá a online, bude trvat až osm hodin (v závislosti na načasování dalšího naplánovaného pravidelného ohlášení), než budou zařízení ve službě pod novou autoritou MDM zaregistrovaná.Even for devices that are powered on and online during (or shortly after) the change in MDM authority, there will be a delay of up to eight hours (depending on the timing of the next scheduled regular check in) before devices are registered with the service under the new MDM authority.

    Důležité

    V době mezi změnou autority MDM a nahráním obnoveného certifikátu APNs do nové autority se nové registrace a ohlášení zařízení s iOSem nezdaří.Between the time when you change the MDM authority and when the renewed APNs certificate is uploaded to the new authority, new device enrollments and device check-in for iOS devices fail. Proto je důležité certifikát APNs zkontrolovat a do nové autority nahrát co nejdřív po změně autority MDM.Therefore, it is important that you review and upload the APNs certificate to the new authority as soon as possible after the change in MDM authority.

  • Uživatelé můžou na novou autoritu MDM rychle přejít ručním spuštěním ohlášení zařízení do služby.Users can quickly change to the new MDM authority by manually starting a check in from the device to the service. To uživatelé snadno udělají pomocí aplikace Portál společnosti a inicializováním kontroly dodržování předpisů zařízením.Users can easily do this by using the Company Portal app and initiating a device compliance check.

  • Pokud chcete zkontrolovat, jestli po ohlášení a synchronizaci zařízení se službou po změně autority MDM všechno správně funguje, vyhledejte zařízení v konzole Configuration Manageru.To validate that things are working correctly after devices have checked-in and synchronized with the service after the change in MDM authority, look for the devices the Configuration Manager console. Zařízení, která byla dřív spravovaná pomocí Intune, se nyní zobrazují jako spravovaná zařízení v konzole Configuration Manageru.The devices that were previously managed by Intune are now displayed as managed devices in the Configuration Manager console.
  • Během změny autority MDM a ohlašování zařízení do služby bude zařízení přechodně offline.There is an interim period when a device is offline during the change in MDM authority and when that device checks in to the service. Aby se zajistilo, že zařízení během tohoto přechodného období zůstane chráněné a funkční, zůstanou v zařízení po dobu až sedmi dnů (nebo dokud se zařízení nepřipojí k nové autoritě MDM a neobdrží nová nastavení, která přepíší ta stávající) následující profily:To help ensure that the device remains protected and functional during this interim period, the following profiles remain on the device for up to seven days (or until the device connects with the new MDM authority and receives new settings that overwrite the existing ones):
    • E-mailový profilE-mail profile
    • profil VPNVPN profile
    • Profil certifikátuCert profile
    • Wi-Fi profilWi-Fi profile
    • Konfigurační profilyConfiguration profiles
  • Po změně na novou autoritu MDM může trvat až týden, než budou data o dodržování předpisů v konzole pro správu Microsoft Intune přesná.After you change to the new MDM authority, the compliance data in the Microsoft Intune administration console can take up to a week to accurately report. Stavy dodržování předpisů v Azure Active Directory a na zařízení však přesné budou, takže zařízení je i nadále chráněné.However, the compliance states in Azure Active Directory and on the device will be accurate so the device is still be protected.
  • Zajistěte, aby nová nastavení, která mají přepsat stávající nastavení, měla stejný název jako ta předchozí, aby se původní nastavení skutečně přepsala.Make sure the new settings that are intended to overwrite existing settings have the same name as the previous ones to ensure that the old settings are overwritten. Jinak může mít zařízení nadbytečné profily a zásady.Otherwise, the devices might end up with redundant profiles and policies.

    Tip

    Osvědčený postup je takový, že všechna nastavení a konfigurace správy vytvoříte a nasazení provedete krátce po dokončení změny autority MDM.As a best practice, you should create all management settings and configurations, as well as deployments, shortly after the change to the MDM authority has completed. To vám pomáhá zajistit, aby byla zařízení v přechodném období chráněná a aktivně spravovaná.This helps ensure that devices are protected and actively managed during the interim period.

  • Po změně autority MDM pomocí následujících kroků zkontrolujte, jestli se nová zařízení do nové autority úspěšně zaregistrovala:After you change the MDM authority, perform the following steps to validate that new devices are enrolled successfully to the new authority:

    • Zaregistrujte nové zařízení.Enroll a new device
    • Zkontrolujte, jestli se nově zaregistrované zařízení zobrazuje v konzole Configuration Manageru.Make sure the newly enrolled device shows up in the Configuration Manager console.
    • Proveďte z konzoly pro správu na zařízení akci, jako je vzdálené uzamčení.Perform an action, such as Remote Lock, from the administration console to the device. Pokud je akce úspěšná, zařízení je spravované novou autoritou MDM.If it is successful, the device is being managed by the new MDM authority.
  • Pokud máte problémy s konkrétními zařízeními, můžete zrušit jejich registraci a znovu je zaregistrovat, aby se co nejdříve připojila k nové autoritě a byla spravována.If you have issues with specific devices, you can unenroll and reenroll the devices to get them connected to the new authority and managed as quickly as possible.