Administración conjunta de cargas de trabajo
No tiene que cambiar las cargas de trabajo o puede hacerlo individualmente cuando esté listo. Configuration Manager sigue administrando las demás cargas de trabajo, incluidas aquellas que no cambian a Intune, así como las demás características de Configuration Manager que no sean compatibles con la administración conjunta.
Si cambias una carga de trabajo a Intune, pero más tarde cambias de opinión, puedes volver a cambiarla a Configuration Manager.
La administración conjunta es compatible con las siguientes cargas de trabajo:
Directivas de cumplimiento
Las directivas de cumplimiento definen las reglas y configuraciones que debe cumplir un dispositivo para que las directivas de acceso condicional lo consideren compatible. Use también directivas de cumplimiento para supervisar y solucionar los problemas de cumplimiento con los dispositivos independientemente del acceso condicional. Puede agregar una evaluación de las líneas base de configuración personalizadas como regla de evaluación de directivas de cumplimiento. Para obtener más información, vea Include custom configuration baselines as part of compliance policy assessment.
Para obtener más información sobre la característica de Intune, consulta Usar directivas de cumplimiento para establecer reglas para los dispositivos que administras con Intune.
Directivas de Windows Update
Windows las directivas de actualización para empresas te permiten configurar directivas de aplazamiento para actualizaciones de características Windows 10 o posteriores o actualizaciones de calidad para dispositivos Windows 10 o posteriores administrados directamente por Windows Update para empresas.
Para obtener más información sobre la característica de Intune, consulte Manage Windows software updates in Intune.
Directivas de acceso a recursos
Importante
A partir de la versión 2103 de Configuration Manager, estas características de acceso a recursos de la empresa de Configuration Manager y esta carga de trabajo de administración mixta están en desuso. Use Microsoft Intune para implementar perfiles de acceso a recursos.
Las directivas de acceso a recursos configuran la VPN, la Wi-Fi, el correo electrónico y los certificados en los dispositivos.
Para obtener más información sobre la característica de Intune, consulte Deploy resource access profiles.
Nota
La carga de trabajo de acceso a recursos también forma parte de la configuración del dispositivo. Intune administra estas directivas al cambiar la carga de trabajo Configuración de dispositivos.
Endpoint Protection
La carga de trabajo de Endpoint Protection incluye el conjunto de características de protección contra malware de Windows Defender:
- Antimalware de Windows Defender
- Protección de aplicaciones de Windows Defender
- Firewall de Windows Defender
- SmartScreen de Windows Defender
- Cifrado de Windows
- Protección contra vulnerabilidades de seguridad de Windows Defender
- Control de aplicaciones de Windows Defender
- Centro de seguridad de Windows Defender
- Windows Defender para endpoint (ahora conocido como Microsoft Defender para Endpoint)
Para obtener más información sobre la característica de Intune, vea Windows 10 (y posteriores)para proteger dispositivos con Intune .
Nota
Al cambiar esta carga de trabajo, las directivas de Configuration Manager permanecen en el dispositivo hasta que las directivas de Intune las sobrescriban. Este comportamiento se asegura de que el dispositivo aún tenga directivas de protección durante la transición.
La Endpoint Protection de trabajo también forma parte de la configuración del dispositivo. El mismo comportamiento se aplica al cambiar la carga de trabajo configuración del dispositivo.
Cuando la Endpoint Protection de trabajo reside en Intune, Windows configuración de Information Protection se aplicará desde Configuration Manager e Intune. Configuration Manager seguirá aplicando la directiva Windows Information Protection hasta que la carga de trabajo de configuración de dispositivos se traslade a Intune.
Las Antivirus de Microsoft Defender que forman parte del tipo de perfil Restricciones de dispositivo para la configuración de dispositivo de Intune no se incluyen en el ámbito del control deslizante protección de puntos de conexión. Para administrar Antivirus de Microsoft Defender dispositivos administrados con el control deslizante de protección de puntos de conexión habilitado, use las nuevas directivas de Antivirus en microsoft Endpoint manager admin center Endpoint > security > Antivirus. El nuevo tipo de directiva tiene opciones nuevas y mejoradas disponibles y admite todas las mismas opciones disponibles en el perfil Restricciones de dispositivo.
La Windows encryption incluye la administración de BitLocker. Para obtener más información sobre el comportamiento de esta característica con la administración en colaboración, vea Deploy BitLocker management.
Configuración de dispositivos
La carga de trabajo de configuración del dispositivo incluye la configuración que administra para los dispositivos de la organización. Al cambiar esta carga de trabajo, también se mueven las cargas Endpoint Protection recursos.
Todavía puedes implementar la configuración de Configuration Manager en dispositivos administrados de forma co administrada aunque Intune sea la autoridad de configuración del dispositivo. Esta excepción puede usarse para configurar las opciones que su organización requiere, pero que aún no están disponibles en Intune. Especifique esta excepción en una línea base de configuración de Configuration Manager. Habilite la opción para aplicar siempre esta línea base incluso para los clientes administrados de forma co administrada al crear la línea base. Puede cambiarlo más adelante en la pestaña General de las propiedades de una línea base existente.
Para obtener más información sobre la característica de Intune, consulta Crear un perfil de dispositivo en Microsoft Intune.
Nota
Una directiva creada a partir del catálogo de opciones está controlada por el control deslizante de carga de trabajo Configuración de dispositivos independientemente del contenido de la directiva.
Al cambiar la carga de trabajo de configuración del dispositivo, también incluye directivas para la característica Windows Information Protection. Solo se aplicarán directivas de Intune una vez que la carga de trabajo de configuración de dispositivos se traslade a Intune.
Aplicaciones de hacer clic y ejecutar de Office
Esta carga de trabajo administra Aplicaciones Microsoft 365 dispositivos administrados de forma mixta.
Después de mover la carga de trabajo, la aplicación aparece en el Portal de empresa en el dispositivo
Las actualizaciones de Office pueden tardar hasta 24 horas en aparecer en el cliente, a menos que se reinicien los dispositivos
Hay una nueva condición global, ¿Office 365 aplicaciones administradas por Intune en el dispositivo. Esta condición se agrega de forma predeterminada como un requisito para las nuevas aplicaciones de Microsoft 365. Al realizar la transición de esta carga de trabajo, los clientes administrados conjuntamente no cumplen los requisitos de la aplicación. Por lo tanto, no instalan Microsoft 365 implementado a través de Configuration Manager.
Las actualizaciones se pueden administrar con cualquiera de las siguientes características:
- Uso de los parámetros Canal de actualización y Versión de destino para actualizar Microsoft 365 con las plantillas administrativas de Microsoft Intune
- Administrar Aplicaciones Microsoft 365 con Configuration Manager.
Para obtener más información sobre la característica de Intune, consulta Agregar Microsoft 365 aplicaciones para Windows dispositivos con Microsoft Intune.
Aplicaciones cliente
Sugerencia
Esta característica puede aparecer en la lista de características como Aplicaciones móviles para dispositivos administrados de forma co administrada.
Use Intune para administrar aplicaciones cliente y scripts de PowerShell en dispositivos Windows 10 o posteriores. Tras realizar la transición de esta carga de trabajo, las aplicaciones disponibles implementadas en Intune están disponibles en el portal de empresa. Las aplicaciones que implemente desde Configuration Manager están disponibles en Software Center.
Para obtener más información sobre la característica de Intune, consulta ¿Qué Microsoft Intune administración de aplicaciones?
Nota
En Windows 10 versión 1903 y posteriores, los scripts de PowerShell aún se ejecutan en dispositivos administrados de forma mixta, incluso si no ha cambiado la carga de trabajo de aplicaciones cliente a Intune.
Cuando habilitas la caché conectada de Microsoft en los puntos de distribución de Configuration Manager, pueden servir Microsoft Intune aplicaciones de Win32 a clientes administrados de forma compartida. Para más información, consulte Caché con conexión de Microsoft en Configuration Manager.
Diagrama para cargas de trabajo de aplicaciones
Sugerencia
Puede configurar el Portal de empresa para que también muestre aplicaciones de Configuration Manager. Si cambias esta experiencia del portal de aplicaciones, cambiará los comportamientos descritos en el diagrama anterior. Para más información, consulte Uso de la aplicación Portal de empresa en dispositivos administrados conjuntamente.
Problemas conocidos
Se aplica a la versión 2006 y versiones anteriores
Cuando la Endpoint Protection de trabajo se traslada a Intune, es posible que el cliente aún honre las directivas establecidas por Configuration Manager y Microsoft Defender.
Para evitar este problema, aplique el CleanUpPolicy.xml mediante ConfigSecurityPolicy.exe después de que el cliente haya recibido las directivas de Intune mediante los pasos siguientes:
Copie y guarde el texto siguiente como
CleanUpPolicy.xml.<?xml version="1.0" encoding="UTF-8"?> <SecurityPolicy xmlns="http://forefront.microsoft.com/FEP/2010/01/PolicyData" Name="FEP clean-up policy"><PolicySection Name="FEP.AmPolicy"><LocalGroupPolicySettings><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Microsoft Antimalware"/><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Windows Defender"/></LocalGroupPolicySettings></PolicySection></SecurityPolicy>Abra un símbolo del sistema con privilegios elevados en
ConfigSecurityPolicy.exe. Normalmente, este archivo ejecutable se encuentra en uno de los directorios siguientes:- C:\Archivos de programa\Windows Defender
- C:\Archivos de programa\Microsoft Security Client
En el símbolo del sistema, pase el archivo xml para limpiar la directiva. Por ejemplo,
ConfigSecurityPolicy.exe C:\temp\CleanUpPolicy.xml.