Vorbereiten internetbasierter Geräte für die Co-Verwaltung

  • Artikel
  • 4 Minuten Lesedauer

Dieser Artikel konzentriert sich auf den zweiten Pfad zur Co-Verwaltung für neue internetbasierte Geräte. In diesem Szenario verfügen Sie über neue Windows 10 oder neuere Geräte, die Azure AD beitreten und sich automatisch für Intune registrieren. Sie installieren den Configuration Manager-Client, um einen Co-Management-Status zu erreichen.

Windows Autopilot

Verwenden Sie für neue Windows-Geräte den Autopilot-Dienst, um die Out-of-Box Experience (OOBE) zu konfigurieren. Dieser Prozess umfasst das Verknüpfen des Geräts mit Azure AD, das Registrieren des Geräts in Intune, das Installieren des Configuration Manager-Clients und das Konfigurieren der Co-Verwaltung.

Weitere Informationen finden Sie unter Registrieren bei Autopilot.

Hinweis

Während wir mit unseren Kunden sprechen, die Microsoft Endpoint Manager verwenden, um ihre Clientgeräte bereitzustellen, zu verwalten und zu sichern, erhalten wir häufig Fragen zur gemeinsamen Verwaltung von Geräten und hybriden Azure Active Directory (Azure AD) verbundenen Geräten. Viele Kunden verwechseln diese beiden Themen. Co-Verwaltung ist eine Verwaltungsoption, während Azure AD eine Identitätsoption ist. Weitere Informationen finden Sie unter Grundlegendes zu Azure AD-Hybrid- und Co-Management-Szenarien. Dieser Blogbeitrag zielt darauf ab, die Hybrid-Azure AD-Verknüpfung und -Co-Verwaltung zu verdeutlichen, wie sie zusammenarbeiten, aber nicht dasselbe sind.

Sie können den Configuration Manager-Client nicht bereitstellen, während Sie einen neuen Computer im benutzergesteuerten Modus Windows Autopilot für die Azure AD-Hybridverknüpfung bereitstellen. Diese Einschränkung ist auf die Identitätsänderung des Geräts während des Azure AD-Hybrid-Join-Prozesses zurückzuführen. Stellen Sie den Configuration Manager-Client nach dem Autopilot-Prozess bereit. Alternative Optionen zum Installieren des Clients finden Sie unter Clientinstallationsmethoden in Configuration Manager.

Sammeln von Informationen aus Configuration Manager

Verwenden Sie Configuration Manager, um die für Intune erforderlichen Geräteinformationen zu sammeln und zu melden. Diese Informationen umfassen die Seriennummer des Geräts, Windows Produkt-ID und einen Hardwarebezeichner. Es wird verwendet, um das Gerät in Intune zu registrieren, um Windows Autopilot zu unterstützen.

  1. Wechseln Sie in der Configuration Manager Konsole zum Arbeitsbereich "Überwachung", erweitern Sie den Knoten "Berichterstellung", erweitern Sie "Berichte", und wählen Sie den Knoten "Hardware – Allgemein" aus.

  2. Führen Sie den Bericht aus, Windows Autopilot-Geräteinformationen, und zeigen Sie die Ergebnisse an.

  3. Wählen Sie in der Berichtsanzeige das Symbol "Exportieren " und dann die Option "CSV(durch Trennzeichen getrennt)" aus.

  4. Laden Sie die Daten nach dem Speichern der Datei in Intune hoch.

Weitere Informationen finden Sie unter Manuelles Registrieren von Geräten bei Windows Autopilot.

Autopilot für vorhandene Geräte

Windows Autopilot für vorhandene Geräte ermöglicht es Ihnen, ein Windows 8.1 Gerät für Windows benutzergesteuerten Autopilot-Modus mithilfe einer einzelnen systemeigenen Configuration Manager Tasksequenz neu zu erstellen und bereitzustellen.

Weitere Informationen finden Sie unter Windows Autopilot für vorhandene Geräte.

Installieren des Configuration Manager-Clients

Sie müssen keine Intune App mehr erstellen und zuweisen, um den Configuration Manager-Client zu installieren. Die Intune Registrierungsrichtlinie installiert den Configuration Manager-Client automatisch als Erstanbieter-App. Das Gerät ruft die Clientinhalte vom Configuration Manager Cloud Management Gateway (CMG) ab, sodass Sie die Clientinhalte in Intune nicht bereitstellen und verwalten müssen. Weitere Informationen finden Sie unter Registrieren bei Autopilot.

Sie geben weiterhin die Configuration Manager Client-Befehlszeilenparameter in Intune an.

Hinweis

Stellen Sie sicher, dass die Geräte dem CMG-Serverauthentifizierungszertifikat vertrauen. Weitere Informationen finden Sie unter CMG-Serverauthentifizierungszertifikat. Wenn ein Gerät dem CMG-Serverauthentifizierungszertifikat nicht vertraut, wird ein WINHTTP_CALLBACK_STATUS_FLAG_INVALID_CA Fehler in "ccmsetup.log" auf dem Client angezeigt.

Abrufen der Befehlszeile aus Configuration Manager

  1. Wechseln Sie in der Configuration Manager Konsole zum Arbeitsbereich "Verwaltung", erweitern Sie Cloud Services, und wählen Sie den Knoten "Cloud Attach" aus.

    Tipp

    Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.

  2. Wählen Sie das Co-Verwaltungsobjekt aus, und wählen Sie dann im Menüband " Eigenschaften " aus.

  3. Kopieren Sie auf der Registerkarte "Aktivieren " die Befehlszeile. Fügen Sie sie in Editor ein, um sie für den nächsten Prozess zu speichern. Die Befehlszeile wird nur angezeigt, wenn Sie alle Voraussetzungen erfüllt haben, z. B. ein Cloudverwaltungsgateway.

Die folgende Befehlszeile ist ein Beispiel: CCMSETUPCMD="CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC"

Entscheiden Sie, welche Befehlszeileneigenschaften Sie für Ihre Umgebung benötigen:

  • Die folgenden Befehlszeileneigenschaften sind in allen Szenarien erforderlich:

    • CCMHOSTNAME

    • SMSSITECODE

  • Wenn Geräte Azure AD für die Clientauthentifizierung verwenden und auch über ein PKI-basiertes Clientauthentifizierungszertifikat verfügen, geben Sie die folgenden Eigenschaften für die Verwendung von Azure AD an:

    • AADCLIENTAPPID

    • AADRESOURCEURI

  • Wenn der Client wieder zum Intranet zurückkehrt, verwenden Sie die SMSMP Eigenschaft.

  • Wenn Sie Ihr eigenes PKI-Zertifikat verwenden und Ihre CRL nicht im Internet veröffentlicht wird, verwenden Sie den /NoCRLCheck Parameter. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften: /NoCRLCheck.

    Wichtig

    Microsoft empfiehlt die Veröffentlichung der CRL. Weitere Informationen finden Sie unter Planen von CRLs.

  • Verwenden Sie die Eigenschaft, um eine Tasksequenz unmittelbar nach der PROVISIONTS Clientregistrierung zu bootstrapieren. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften: PROVISIONTS.

  • Verwenden Sie die UPGRADETOLATEST Eigenschaft, um sicherzustellen, dass internetbasierte Geräte die neueste Version des Configuration Manager-Clients erhalten. Weitere Informationen finden Sie unter Informationen zu Clientinstallationseigenschaften: UPGRADETOLATEST.

Die Website veröffentlicht andere Azure AD-Informationen auf dem Cloudverwaltungsgateway (CMG). Ein in Azure AD eingebundener Client ruft diese Informationen während des ccmsetup-Prozesses mit demselben Mandanten, dem er beigetreten ist, von der CMG ab. Dieses Verhalten vereinfacht die Registrierung von Geräten für die Co-Verwaltung in einer Umgebung mit mehr als einem Azure AD-Mandanten weiter. Die einzigen beiden erforderlichen ccmsetup-Eigenschaften sind CCMHOSTNAME und SMSSITECODE.

Das folgende Beispiel enthält alle diese Eigenschaften:

CCMSETUPCMD="CCMHOSTNAME=CONTOSO.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72186325152220500 SMSSITECODE=ABC AADCLIENTAPPID=7506ee10-f7ec-415a-b415-cd3d58790d97 AADRESOURCEURI=https://contososerver SMSMP=https://mp1.contoso.com PROVISIONTS=PRI20001"

Weitere Informationen finden Sie unter Clientinstallationseigenschaften.

Wichtig

Wenn Sie diese Befehlszeile anpassen, stellen Sie sicher, dass sie nicht länger als 1024 Zeichen ist. Wenn die Befehlszeilenlänge größer als 1024 Zeichen ist, schlägt die Clientinstallation fehl.

Nächste Schritte

Registrieren bei Autopilot

Wechseln der Arbeitsauslastung auf Intune