Workloads für die Co-VerwaltungCo-management workloads

Sie müssen die Workloads nicht wechseln, oder Sie können sie einzeln ausführen, wenn Sie bereit sind.You don't have to switch the workloads, or you can do them individually when you're ready. Configuration Manager verwaltet weiterhin alle anderen Workloads (einschließlich der Workloads, die Sie nicht an Intune übergeben) und alle anderen Funktionen von Configuration Manager, die die Co-Verwaltung nicht unterstützt.Configuration Manager continues to manage all other workloads, including those workloads that you don't switch to Intune, and all other features of Configuration Manager that co-management doesn't support.

Wenn Sie eine Workload erst auf Intune umstellen, später aber Ihre Meinung ändern, können Sie wieder zurück zu Configuration Manager wechseln.If you switch a workload to Intune, but later change your mind, you can switch it back to Configuration Manager.

Die Co-Verwaltung unterstützt die folgenden Workloads:Co-management supports the following workloads:

KompatibilitätsrichtlinienCompliance policies

Konformitätsrichtlinien definieren die Regeln und Einstellungen, die ein Gerät erfüllen muss, damit es als mit bedingten Zugriffsrichtlinien konform eingestuft wird.Compliance policies define the rules and settings that a device must comply with to be considered compliant by conditional access policies. Verwenden Sie Konformitätsrichtlinien außerdem, um Konformitätsprobleme bei Geräten unabhängig von bedingten Zugriffsrechten zu überwachen und zu beheben.Also use compliance policies to monitor and remediate compliance issues with devices independently of conditional access. Ab Version 1910 von Configuration Manager können Sie die Auswertung benutzerdefinierter Konfigurationsbaselines als Regel für die Konformitätsrichtlinienbewertung hinzufügen.Beginning in Configuration Manager version 1910, you can add evaluation of custom configuration baselines as a compliance policy assessment rule. Weitere Informationen finden Sie unter Einbeziehen benutzerdefinierter Konfigurationsbaselines im Rahmen der Konformitätsrichtlinienbewertung.For more information, see Include custom configuration baselines as part of compliance policy assessment.

Weitere Informationen zur Intune-Funktion finden Sie unter Verwenden von Konformitätsrichtlinien zum Festlegen von Regeln für Geräte, die Sie mit Intune verwalten.For more information on the Intune feature, see Use compliance policies to set rules for devices you manage with Intune.

Windows Update-RichtlinienWindows Update policies

Mit Windows Update for Business-Richtlinien können Sie Zurückstellungsrichtlinien für Funktionsupdates unter Windows 10 oder für Qualitätsupdates für Windows 10-Geräte konfigurieren, die direkt von Windows Update for Business verwaltet werden.Windows Update for Business policies let you configure deferral policies for Windows 10 feature updates or quality updates for Windows 10 devices managed directly by Windows Update for Business.

Weitere Informationen zur Intune-Funktion finden Sie unter Verwalten von Windows 10-Softwareupdates in Intune.For more information on the Intune feature, see Manage Windows 10 software updates in Intune.

RessourcenzugriffsrichtlinienResource access policies

Wichtig

Ab Configuration Manager Version 2103 sind diese Funktionen für den Zugriff auf Unternehmensressourcen von Configuration Manager und diese Co-Verwaltungsworkload veraltet.Starting in Configuration Manager version 2103, these company resource access features of Configuration Manager and this co-management workload are deprecated. Verwenden Sie Microsoft Intune zum Bereitstellen von Ressourcenzugriffsprofilen.Use Microsoft Intune to deploy resource access profiles.

Mit Ressourcenzugriffsrichtlinien werden VPN-, WLAN, E-Mail- und Zertifikateinstellungen auf Geräten konfiguriert.Resource access policies configure VPN, Wi-Fi, email, and certificate settings on devices.

Weitere Informationen zu diesem Intune-Feature finden Sie unter Bereitstellen von Ressourcenzugriffsprofilen.For more information on the Intune feature, see Deploy resource access profiles.

Hinweis

Die Workload für den Ressourcenzugriff ist auch Teil der Gerätekonfiguration.The resource access workload is also part of device configuration. Diese Richtlinien werden von Intune verwaltet, wenn Sie die Workload für die Gerätekonfiguration wechseln.These policies are managed by Intune when you switch the Device Configuration workload.

Endpoint ProtectionEndpoint Protection

Die Endpoint Protection-Workload umfasst die Windows Defender-Suite mit Antischadsoftware-Schutzfunktionen:The Endpoint Protection workload includes the Windows Defender suite of antimalware protection features:

  • Windows Defender-AntischadsoftwareWindows Defender Antimalware
  • Windows Defender Application GuardWindows Defender Application Guard
  • Windows Defender FirewallWindows Defender Firewall
  • Windows Defender-SmartScreenWindows Defender SmartScreen
  • Windows-VerschlüsselungWindows Encryption
  • Windows Defender Exploit GuardWindows Defender Exploit Guard
  • Windows Defender Application ControlWindows Defender Application Control
  • Windows Defender Security CenterWindows Defender Security Center
  • Windows Defender Advanced Threat Protection (wird jetzt Microsoft Defender Advanced Threat Protection genannt)Windows Defender Advanced Threat Protection (now known as Microsoft Defender Threat Protection)

Weitere Informationen zur Intune-Funktion finden Sie unter Einstellungen für Windows 10 (und höher), um Geräte zu schützen, die Intune verwenden.For more information on the Intune feature, see Windows 10 (and later) settings to protect devices using Intune.

Hinweis

Wenn Sie diese Workload wechseln, werden die Configuration Manager-Richtlinien auf dem Gerät beibehalten, bis sie von den Intune-Richtlinien überschrieben werden.When you switch this workload, the Configuration Manager policies stay on the device until the Intune policies overwrite them. Mit diesem Verhalten wird sichergestellt, dass das Gerät während des Übergangs über Schutzrichtlinien verfügt.This behavior makes sure that the device still has protection policies during the transition.

Die Endpoint Protection-Workload ist auch Teil der Gerätekonfiguration.The Endpoint Protection workload is also part of device configuration. Das gleiche Verhalten wird angewendet, wenn Sie die Workload für die Gerätekonfiguration wechseln.The same behavior applies when you switch the Device Configuration workload. Wenn Sie die Workload für die Gerätekonfiguration wechseln, umfasst diese auch Richtlinien für die Windows Information Protection-Funktion, die nicht in der Endpoint Protection-Workload enthalten ist.When you switch the device configuration workload, it also includes policies for the Windows Information Protection feature, which isn't included in the endpoint protection workload.

Die Microsoft Defender Antivirus-Einstellungen, die Bestandteil des Profiltyps „Geräteeinschränkungen“ für die Intune-Gerätekonfiguration sind, sind nicht im Bereich des Schiebereglers für den Endpunktschutz enthalten.The Microsoft Defender Antivirus settings that are part of the Device restrictions profile type for Intune Device configuration are not included in scope of the Endpoint protection slider. Verwenden Sie zum Verwalten von Microsoft Defender Antivirus für gemeinsam verwaltete Geräte mit aktiviertem Endpunktschutz-Schieberegler die neuen Antivirenrichtlinien in Microsoft Endpoint Manager Admin Center > Endpunktsicherheit > Virenschutz.To manage Microsoft Defender Antivirus for co-managed devices with the endpoint protection slider enabled, use the new Antivirus policies in Microsoft Endpoint manager admin center > Endpoint security > Antivirus. Für den neuen Richtlinientyp sind neue und verbesserte Optionen verfügbar, außerdem werden alle im Profil „Geräteeinschränkungen“ vorhandenen Einstellungen unterstützt.The new policy type has new and improved options available, and support all of the same settings available in the Device restrictions profile.

Das Windows-Verschlüsselungsfeature beinhaltet die BitLocker-Verwaltung.The Windows Encryption feature includes BitLocker management. Weitere Informationen zum Verhalten dieses Features bei der Co-Verwaltung finden Sie unter Bereitstellen von BitLocker-Verwaltungs.For more information on the behavior of this feature with co-management, see Deploy BitLocker management.

GerätekonfigurationDevice configuration

Die Gerätekonfigurationsworkload umfasst Einstellungen, die Sie für Geräte in Ihrer Organisation verwalten.The device configuration workload includes settings that you manage for devices in your organization. Das Wechseln dieser Workload verschiebt auch die Workloads Ressourcenzugriff und Endpoint Protection.Switching this workload also moves the Resource Access and Endpoint Protection workloads.

Sie können immer noch Einstellungen von Configuration Manager für gemeinsam verwaltete Geräte bereitstellen, obwohl Intune die Autorität für die Gerätekonfiguration inne hat.You can still deploy settings from Configuration Manager to co-managed devices even though Intune is the device configuration authority. Diese Ausnahme kann verwendet werden, um Einstellungen zu konfigurieren, die Ihre Organisation benötigt, die aber noch nicht in Intune verfügbar sind.This exception might be used to configure settings that your organization requires but aren't yet available in Intune. Geben Sie diese Ausnahme in einer Configuration Manager-Konfigurationsbaseline an.Specify this exception on a Configuration Manager configuration baseline. Aktivieren Sie bei der Erstellung der Baselinie die Option Diese Baseline auch immer für gemeinsam verwaltete Clients anwenden.Enable the option to Always apply this baseline even for co-managed clients when creating the baseline. Sie können sie später auf der Registerkarte Allgemein der Eigenschaften einer vorhandenen Baseline ändern.You can change it later on the General tab of the properties of an existing baseline.

Weitere Informationen zu diesem Intune-Feature finden Sie unter Erstellen eines Geräteprofils in Microsoft Intune.For more information on the Intune feature, see Create a device profile in Microsoft Intune.

Hinweis

Wenn Sie die Workload für die Gerätekonfiguration wechseln, umfasst diese auch Richtlinien für die Windows Information Protection-Funktion, die nicht in der Endpoint Protection-Workload enthalten ist.When you switch the device configuration workload, it also includes policies for the Windows Information Protection feature, which isn't included in the endpoint protection workload.

Office-Klick-und-Los-AppsOffice Click-to-Run apps

Diese Workload verwaltet Microsoft 365 Apps auf gemeinsam verwalteten Geräten.This workload manages Microsoft 365 Apps on co-managed devices.

  • Nachdem die Workload verschoben wurde, wird die App auf dem Gerät im Unternehmensportal angezeigt.After moving the workload, the app shows up in the Company Portal on the device

  • Es kann etwa 24 Stunden dauern, bis Office-Updates im Client angezeigt werden, es sei denn, die Geräte werden neu gestartet.Office updates may take around 24 hours to show up on client unless the devices are restarted

  • Es gibt die neue globale Bedingung Are Office 365 applications managed by Intune on the device (Werden Office 365-Anwendungen auf dem Gerät mit Intune verwaltet?).There's a new global condition, Are Office 365 applications managed by Intune on the device. Diese Bedingung wird neuen Microsoft 365-Anwendungen standardmäßig als Anforderung hinzugefügt.This condition is added by default as a requirement to new Microsoft 365 applications. Wenn Sie diese Workload übertragen, entsprechen gemeinsam verwaltete Clients nicht den Anforderungen der Anwendung.When you transition this workload, co-managed clients don't meet the requirement on the application. Daher sollten sie Microsoft 365 nicht über Configuration Manager installieren.Then they don't install Microsoft 365 deployed via Configuration Manager.

Updates können mithilfe eines der folgenden Features verwaltet werden:Updates can be managed using either of the following features:

Weitere Informationen zur Intune-Funktion finden Sie unter Hinzufügen von Microsoft 365-Apps zu Windows 10-Geräten mit Microsoft Intune.For more information on the Intune feature, see Add Microsoft 365 apps to Windows 10 devices with Microsoft Intune.

Client-AppsClient apps

Tipp

Dieses Feature wurde erstmals in Version 1806 als Vorabfeature eingeführt.This feature was first introduced in version 1806 as a pre-release feature. Ab Version 2002 ist es kein Vorabfeature mehr.Beginning with version 2002, it's no longer a pre-release feature.

Diese Funktion wird in der Featureliste möglicherweise als Mobile Apps für gemeinsam verwaltete Geräte angezeigt.This feature may appear in the list of features as Mobile apps for co-managed devices.

Verwenden Sie Intune zum Verwalten von Client-Apps und PowerShell-Skripts auf gemeinsam verwalteten Windows 10-Geräten.Use Intune to manage client apps and PowerShell scripts on co-managed Windows 10 devices. Nachdem Sie diese Workload umgestellt haben, sind alle über Intune bereitgestellten verfügbaren Apps im Unternehmensportal verfügbar.After you transition this workload, any available apps deployed from Intune are available in the Company Portal. Apps, die Sie im Configuration Manager bereitstellen, sind im Softwarecenter verfügbar.Apps that you deploy from Configuration Manager are available in Software Center.

Weitere Informationen zur Intune-Funktion finden Sie unter Was ist die Microsoft Intune App-Verwaltung?.For more information on the Intune feature, see What is Microsoft Intune app management?

Hinweis

In der Windows 10-Version 1903 und höher werden PowerShell-Skripts weiterhin auf Geräten mit Co-Verwaltung ausgeführt, auch wenn Sie die Workload für Client-Apps nicht auf Intune umgestellt haben.In Windows 10 version 1903 and later, PowerShell scripts still run on co-managed devices even if you haven't switched the Client Apps workload to Intune.

Wenn Sie Microsoft Connected Cache auf Ihren Configuration Manager-Verteilungspunkten aktivieren, können sie Microsoft Intune Win32-Apps für gemeinsam verwaltete Clients verarbeiten.When you enable Microsoft Connected Cache on your Configuration Manager distribution points, they can serve Microsoft Intune Win32 apps to co-managed clients. Weitere Informationen finden Sie unter Microsoft Connected Cache in Configuration Manager.For more information, see Microsoft Connected Cache in Configuration Manager.

Diagramm zu App-WorkloadsDiagram for app workloads

Diagramm zu App-Workloads für die Co-Verwaltung

Tipp

Ab Version 2006 können Sie das Unternehmensportal so konfigurieren, dass auch Configuration Manager-Apps angezeigt werden.Starting in version 2006, you can configure the Company Portal to also show Configuration Manager apps. Wenn Sie diese App-Portalumgebung ändern, werden die im obigen Diagramm beschriebenen Verhaltensweisen geändert.If you change this app portal experience, it changes the behaviors described in the above diagram. Weitere Informationen finden Sie unter Verwenden der Unternehmensportal-App auf gemeinsam verwalteten Geräten.For more information, see Use the Company Portal app on co-managed devices.

Bekannte ProblemeKnown issues

Gilt für Version 2006 und früherApplies to version 2006 and earlier

Wenn die Endpoint Protection-Workload zu Intune verschoben wird, berücksichtigt der Client Richtlinien, die von Configuration Manager und Microsoft Defender festgelegt wurden, möglicherweise weiterhin.When the Endpoint Protection workload is moved over to Intune, the client may still honor policies set by Configuration Manager and Microsoft Defender.

Um dieses Problem zu umgehen, wenden Sie mithilfe von ConfigSecurityPolicy.exe CleanUpPolicy.xml an, nachdem die Intune-Richtlinien vom Clientcomputer empfangen wurden. Gehen Sie dazu wie folgt vor:To work around this issue, apply the CleanUpPolicy.xml using ConfigSecurityPolicy.exe after the Intune policies have been received by the client using the steps below:

  1. Kopieren Sie den folgenden Text, und speichern Sie ihn als CleanUpPolicy.xml.Copy and save the below text as CleanUpPolicy.xml.

    <?xml version="1.0" encoding="UTF-8"?>
    <SecurityPolicy xmlns="http://forefront.microsoft.com/FEP/2010/01/PolicyData" Name="FEP clean-up policy"><PolicySection Name="FEP.AmPolicy"><LocalGroupPolicySettings><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Microsoft Antimalware"/><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Windows Defender"/></LocalGroupPolicySettings></PolicySection></SecurityPolicy>
    
  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten bei ConfigSecurityPolicy.exe.Open an elevated command prompt to ConfigSecurityPolicy.exe. Normalerweise befindet sich diese ausführbare Datei in einem der folgenden Verzeichnisse:Typically this executable is in one of the following directories:

    • C:\Programme\Windows DefenderC:\Program Files\Windows Defender
    • C:\Programme\Microsoft Security ClientC:\Program Files\Microsoft Security Client
  3. Übergeben Sie an der Eingabeaufforderung die XML-Datei, um die Richtlinie zu bereinigen.From the command prompt, pass in the xml file to clean up the policy. Beispiel: ConfigSecurityPolicy.exe C:\temp\CleanUpPolicy.xml.For example, ConfigSecurityPolicy.exe C:\temp\CleanUpPolicy.xml.

Nächste SchritteNext steps

Verschieben von WorkloadsHow to switch workloads