Oktatóanyag: Megosztott kezelés engedélyezése új internetes eszközökhöz

Ha az Intune biztonságra és modern üzembe helyezésre való használatával fektet be a felhőbe, előfordulhat, hogy nem szeretné elveszteni a jól bevált folyamatokat, hogy a Configuration Manager segítségével kezelje a szervezet számítógépeit. A megosztott kezeléssel ezt a folyamatot helyben tarthatja.

Ebben az oktatóanyagban Windows 10 vagy újabb eszközök együttes felügyeletét állítja be olyan környezetben, ahol Microsoft Entra azonosítót és helyi Active Directory is használ, de nem rendelkezik hibrid Microsoft Entra-azonosítós példánnokkal. A Configuration Manager környezet egyetlen elsődleges helyet tartalmaz, amelyben az összes helyrendszerszerepkör ugyanazon a kiszolgálón, a helykiszolgálón található. Ez az oktatóanyag azzal a feltevéssel kezdődik, hogy a Windows 10 vagy újabb eszközök már regisztrálva vannak az Intune-ban.

Ha olyan hibrid Microsoft Entra-példánya van, amely Microsoft Entra-azonosítóval csatlakoztatja helyi Active Directory, javasoljuk, hogy kövesse a társfelügyelet engedélyezése Configuration Manager ügyfelek számára című útmutatót.

Ezt az oktatóanyagot a következő esetekben használhatja:

• Windows 10 vagy újabb eszközökkel rendelkezik a közös felügyelethez. Előfordulhat, hogy ezek az eszközök a Windows Autopiloton keresztül lettek kiépítve, vagy közvetlenül a hardvergyártótól származnak.
• Windows 10 vagy újabb eszközökkel rendelkezik az interneten, amelyeket jelenleg az Intune-nal kezel, és hozzá szeretné adni hozzájuk a Configuration Manager-ügyfelet.

Ebben az oktatóanyagban a következőket fogja végezni:

• Tekintse át az Azure és a helyszíni környezet előfeltételeit.
• Kérjen nyilvános SSL-tanúsítványt a felhőfelügyeleti átjáróhoz (CMG).
• Azure-szolgáltatások engedélyezése Configuration Manager.
• CMG üzembe helyezése és konfigurálása.
• Konfigurálja a felügyeleti pontot és az ügyfeleket a CMG használatára.
• Engedélyezze a megosztott felügyeletet Configuration Manager.
• Konfigurálja az Intune-t a Configuration Manager-ügyfél telepítéséhez.

Előfeltételek

Azure-szolgáltatások és -környezet

• Azure-előfizetés (ingyenes próbaverzió).

• Microsoft Entra P1 vagy P2 azonosítót.

• Microsoft Intune előfizetést, amelyben az Intune az eszközök automatikus regisztrálására van konfigurálva.

  Tipp

  A Enterprise Mobility + Security előfizetés ingyenes próbaverziója Microsoft Entra P1 vagy P2 azonosítót és Microsoft Intune is tartalmaz.

  Többé nem kell egyéni Intune- vagy Enterprise Mobility + Security-licenceket vásárolnia és hozzárendelnie a felhasználókhoz. További információ: Termék- és licencelési gyakori kérdések.

Helyszíni infrastruktúra

• Az aktuális ág Configuration Manager támogatott verziója.

  Ez az oktatóanyag továbbfejlesztett HTTP-t használ a nyilvános kulcsú infrastruktúra összetettebb követelményeinek elkerüléséhez. Továbbfejlesztett HTTP használata esetén az ügyfelek kezeléséhez használt elsődleges helyet úgy kell konfigurálni, hogy Configuration Manager által létrehozott tanúsítványokat használjon a HTTP-helyrendszerekhez.

• A mobileszköz-felügyeleti (MDM) szolgáltató intune-ra van állítva.

Külső tanúsítványok

• CMG-kiszolgáló hitelesítési tanúsítványa. Ez az SSL-tanúsítvány nyilvános és globálisan megbízható tanúsítványszolgáltatótól származik. Ezt a tanúsítványt .pfx-fájlként exportálja a titkos kulccsal.

  Az oktatóanyag későbbi részében útmutatást nyújtunk a tanúsítványra vonatkozó kérés konfigurálásához.

Engedélyek

Az oktatóanyag során a következő engedélyekkel végezheti el a feladatokat:

• Egy fiók, amely Microsoft Entra-azonosító globális rendszergazdája
• Tartományi rendszergazdai fiók a helyszíni infrastruktúrában
• Olyan fiók, amely teljes körű rendszergazda a Configuration Manager összes hatóköréhez

Nyilvános tanúsítvány kérése a felhőfelügyeleti átjáróhoz

Ha az eszközök az interneten vannak, a közös felügyelethez a Configuration Manager CMG szükséges. A CMG lehetővé teszi, hogy az internetalapú Windows-eszközök kommunikáljanak a helyszíni Configuration Manager üzemelő példányával. Ahhoz, hogy megbízhatósági kapcsolatot létesítsen az eszközök és a Configuration Manager környezet között, a CMG-nek SSL-tanúsítványra van szüksége.

Ez az oktatóanyag egy CMG-kiszolgálóhitelesítő tanúsítvány nevű nyilvános tanúsítványt használ, amely egy globálisan megbízható tanúsítványszolgáltatótól származtat szolgáltatót. Bár a társfelügyelet konfigurálható olyan tanúsítványok használatával, amelyek a helyszíni Microsoft-hitelesítésszolgáltatótól származnak, az önaláírt tanúsítványok használata túlmutat ennek az oktatóanyagnak a hatókörén.

A CMG-kiszolgáló hitelesítési tanúsítványa a Configuration Manager-ügyfél és a CMG közötti kommunikációs forgalom titkosítására szolgál. A tanúsítvány egy megbízható gyökerre vezet vissza, és ellenőrzi a kiszolgáló identitását az ügyfél felé. A nyilvános tanúsítvány tartalmaz egy megbízható legfelső szintű tanúsítványt, amelyben a Windows-ügyfelek már megbíznak.

A tanúsítvány ismertetése:

• Azonosítja a CMG-szolgáltatás egyedi nevét az Azure-ban, majd ezt a nevet adja meg a tanúsítványkérelemben.
• A tanúsítványkérést egy adott kiszolgálón hozza létre, majd elküldi a kérést egy nyilvános tanúsítványszolgáltatónak a szükséges SSL-tanúsítvány beszerzéséhez.
• Importálja a szolgáltatótól kapott tanúsítványt a kérést létrehozó rendszerbe. Ugyanezzel a számítógéppel exportálja a tanúsítványt, amikor később üzembe helyezi a CMG-t az Azure-ban.
• A CMG telepítésekor létrehoz egy CMG-szolgáltatást az Azure-ban a tanúsítványban megadott névvel.

A felhőfelügyeleti átjáró egyedi nevének azonosítása az Azure-ban

Amikor a CMG-kiszolgáló hitelesítési tanúsítványát kéri, meg kell adnia, hogy mi legyen egy egyedi név a felhőszolgáltatás (klasszikus) azonosításához az Azure-ban. Alapértelmezés szerint az Azure nyilvános felhője cloudapp.net használ, a CMG pedig a cloudapp.net tartományon belül van üzemeltetve YourUniqueDnsName.cloudapp.net> néven<.

Tipp

Ebben az oktatóanyagban a CMG-kiszolgáló hitelesítési tanúsítványa egy teljes tartománynevet (FQDN) használ, amely contoso.com végződik. A CMG létrehozása után konfigurálnia kell egy canonical name record (CNAME) rekordot a szervezet nyilvános DNS-ében. Ez a rekord létrehoz egy aliast a CMG-hez, amely a nyilvános tanúsítványban használt névre van leképezve.

A nyilvános tanúsítvány igénylése előtt ellenőrizze, hogy a használni kívánt név elérhető-e az Azure-ban. Nem közvetlenül hozza létre a szolgáltatást az Azure-ban. Ehelyett Configuration Manager a nyilvános tanúsítványban megadott nevet használja a felhőszolgáltatás létrehozásához a CMG telepítésekor.

1. Jelentkezzen be a Microsoft Azure Portal.

2. Válassza az Erőforrás létrehozása lehetőséget, válassza a Számítás kategóriát, majd a Felhőszolgáltatás lehetőséget. Megnyílik a Felhőszolgáltatás (klasszikus) lap.

3. A DNS-név mezőben adja meg a használni kívánt felhőszolgáltatás előtagnevét.

   Ennek az előtagnak meg kell egyeznie azzal, amelyet később a CMG-kiszolgáló hitelesítési tanúsítványának nyilvános tanúsítványának igénylésekor használ. Ebben az oktatóanyagban a MyCSG-t használjuk, amely létrehozza a MyCSG.cloudapp.net névterét. Az interfész ellenőrzi, hogy a név elérhető-e, vagy már használja egy másik szolgáltatás.

Miután meggyőződik arról, hogy a használni kívánt név elérhető, készen áll a tanúsítvány-aláírási kérelem (CSR) elküldésére.

Tanúsítvány igénylése

Az alábbi információk segítségével küldhet tanúsítvány-aláírási kérést a CMG-hez egy nyilvános tanúsítványszolgáltatónak. Módosítsa a következő értékeket, hogy relevánsak legyenek a környezet számára:

• MyCMG a felhőfelügyeleti átjáró szolgáltatásnevének azonosításához
• Contoso a vállalat neveként
• Contoso.com nyilvános tartományként

Javasoljuk, hogy az elsődleges helykiszolgálót használja a CSR létrehozásához. Amikor megkapja a tanúsítványt, ugyanazon a kiszolgálón kell regisztrálnia, amely a CSR-t létrehozta. Ez a regisztráció biztosítja, hogy exportálni tudja a tanúsítvány titkos kulcsát, ami szükséges.

CsR létrehozásakor kérjen 2-es verziójú kulcsszolgáltatótípust. Csak a 2. verziójú tanúsítványok támogatottak.

Tipp

A CMG üzembe helyezésekor alapértelmezés szerint a CmG felhőbeli terjesztési pontként való működésének és az Azure Storage-ból származó tartalmak kiszolgálásának engedélyezése beállítás van kiválasztva. Annak ellenére, hogy a felhőalapú tartalomra nincs szükség a megosztott kezelés használatához, a legtöbb környezetben hasznos.

A felhőalapú terjesztési pont (CDP) elavult. A 2107-es verziótól kezdődően nem hozhat létre új CDP-példányokat. Ha tartalmat szeretne biztosítani az internetes eszközöknek, engedélyezze a CMG-nek a tartalom terjesztését. További információ: Elavult funkciók.

A felhőfelügyeleti átjáró CSR-jének részletei:

• Köznapi név: CloudServiceNameCMG.YourCompanyPubilcDomainName.com (például : MyCSG.contoso.com)
• Tulajdonos alternatív neve: Ugyanaz, mint a köznapi név (CN)
• Szervezet: A szervezet neve
• Részleg: Szervezetenként
• Város: Szervezetenként
• Állapot: Szervezetenként
• Ország: Szervezetenként
• Kulcsméret: 2048
• Szolgáltató: Microsoft RSA SChannel titkosítási szolgáltató

A tanúsítvány importálása

Miután megkapta a nyilvános tanúsítványt, importálja azt a CSR-t létrehozó számítógép helyi tanúsítványtárolójába. Ezután exportálja a tanúsítványt .pfx-fájlként, hogy az azure-beli CMG-hez használhassa.

A nyilvános tanúsítványszolgáltatók általában útmutatást nyújtanak a tanúsítvány importálásához. A tanúsítvány importálásának folyamata az alábbi útmutatóhoz hasonló:

1. Keresse meg a tanúsítvány .pfx fájljának helyét azon a számítógépen, amelybe a tanúsítványt importálni fogja.

2. Kattintson a jobb gombbal a fájlra, majd válassza a PFX telepítése lehetőséget.

3. Amikor elindul a Tanúsítványimportáló varázsló, válassza a Tovább gombot.

4. Az Importálandó fájl lapon válassza a Tovább gombot.

5. A Jelszó lapon írja be a titkos kulcs jelszavát a Jelszó mezőbe, majd válassza a Tovább gombot.

   Válassza a lehetőséget a kulcs exportálhatóvá viteléhez.

6. A Tanúsítványtároló lapon válassza a Tanúsítványtároló automatikus kiválasztása a tanúsítvány típusa alapján lehetőséget, majd válassza a Tovább gombot.

7. Válassza a Befejezéslehetőséget.

A tanúsítvány exportálása

Exportálja a CMG-kiszolgáló hitelesítési tanúsítványát a kiszolgálóról. A tanúsítvány újraexportálásával használhatóvá válik az Azure-beli felhőfelügyeleti átjáróhoz.

1. A nyilvános SSL-tanúsítványt importáló kiszolgálón futtassa a certlm.msc parancsot a Tanúsítványkezelő konzol megnyitásához.

2. A Tanúsítványkezelő konzolon válassza a Személyes>tanúsítványok lehetőséget. Ezután kattintson a jobb gombbal a CMG-kiszolgáló hitelesítési tanúsítványára, amelyet az előző eljárásban regisztrált, és válassza a Minden feladat>exportálása lehetőséget.

3. A Tanúsítványexportáló varázslóban válassza a Tovább, az Igen, a titkos kulcs exportálása, majd a Tovább lehetőséget.

4. A Fájlformátum exportálása lapon válassza a Személyes információcsere – PKCS #12 () lehetőséget. PFX), válassza a Tovább gombot, és adjon meg egy jelszót.

   A fájlnévhez adjon meg egy nevet, például : C:\ConfigMgrCloudMGServer. Erre a fájlra fog hivatkozni, amikor létrehozza a CMG-t az Azure-ban.

5. Válassza a Tovább gombot, majd erősítse meg a következő beállításokat, mielőtt a Befejezés gombra kattintva befejezi az exportálást:

   • Kulcsok exportálása: Igen
   • Az összes tanúsítvány belefoglalása a minősítési útvonalba: Igen
   • Fájlformátum: Személyes információcsere (*.pfx)

6. Az exportálás befejezése után keresse meg a .pfx fájlt, és helyezze annak másolatát a C:\Certs mappába az Configuration Manager elsődleges helykiszolgálón, amely az internetalapú ügyfeleket fogja kezelni.

   A Tanúsítványok mappa egy ideiglenes mappa, amelyet a tanúsítványok kiszolgálók közötti áthelyezésekor használhat. A tanúsítványfájlt az elsődleges helykiszolgálóról érheti el, amikor üzembe helyezi a CMG-t az Azure-ban.

Miután átmásolta a tanúsítványt az elsődleges helykiszolgálóra, törölheti a tanúsítványt a tagkiszolgáló személyes tanúsítványtárolójából.

Azure-felhőszolgáltatások engedélyezése Configuration Manager

Az Azure-szolgáltatások Configuration Manager konzolon való konfigurálásához használja az Azure-szolgáltatások konfigurálása varázslót, és hozzon létre két Microsoft Entra alkalmazást:

• Kiszolgálóalkalmazás: Egy webalkalmazás Microsoft Entra-azonosítóban.
• Ügyfélalkalmazás: Natív ügyfélalkalmazás Microsoft Entra-azonosítóban.

Futtassa a következő eljárást az elsődleges helykiszolgálóról:

1. Nyissa meg a Configuration Manager-konzolt, lépjen a Felügyelet>Cloud Services>Azure Services elemre, majd válassza az Azure-szolgáltatások konfigurálása lehetőséget.

   Az Azure-szolgáltatás konfigurálása lapon adjon meg egy rövid nevet a konfigurált felhőfelügyeleti szolgáltatásnak. Például: Saját felhőfelügyeleti szolgáltatás.

   Ezután válassza a Felhőfelügyelet>Tovább lehetőséget.

   Tipp

   A varázslóban megadott konfigurációkkal kapcsolatos további információkért lásd : Az Azure-szolgáltatások varázslójának elindítása.

2. Az Alkalmazás tulajdonságai lap Webalkalmazás területén válassza a Tallózás lehetőséget a Kiszolgálóalkalmazás párbeszédpanel megnyitásához. Válassza a Létrehozás lehetőséget, majd konfigurálja a következő mezőket:

   • Alkalmazás neve: Adjon meg egy rövid nevet az alkalmazásnak, például : Cloud Management webalkalmazás.

   • HomePage URL: Configuration Manager nem használja ezt az értéket, de Microsoft Entra azonosítóhoz szükség van rá. Alapértelmezés szerint ez az https://ConfigMgrServiceérték .

   • Alkalmazásazonosító URI-ja: Ennek az értéknek egyedinek kell lennie a Microsoft Entra bérlőben. A Configuration Manager-ügyfél a hozzáférési jogkivonatban kéri a szolgáltatáshoz való hozzáférést. Alapértelmezés szerint ez az https://ConfigMgrServiceérték . Módosítsa az alapértelmezett értéket az alábbi ajánlott formátumok egyikére:

     • api://{tenantId}/{string}, például: api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}, például: https://contoso.onmicrosoft.com/ConfigMgrService

   Ezután válassza a Bejelentkezés lehetőséget, és adjon meg egy Microsoft Entra globális rendszergazdai fiókot. Configuration Manager nem menti ezeket a hitelesítő adatokat. Ez a személy nem igényel engedélyeket a Configuration Manager- és nem kell ugyanaznak a fióknak lennie, amely az Azure Services varázslót futtatja.

   A bejelentkezés után megjelennek az eredmények. Kattintson az OK gombra a Kiszolgálóalkalmazás létrehozása párbeszédpanel bezárásához, és térjen vissza az Alkalmazás tulajdonságai lapra.

3. Natív ügyfélalkalmazás esetén válassza a Tallózás lehetőséget az Ügyfélalkalmazás párbeszédpanel megnyitásához.

4. Válassza a Létrehozás lehetőséget az Ügyfélalkalmazás létrehozása párbeszédpanel megnyitásához, majd konfigurálja a következő mezőket:

   • Alkalmazás neve: Adjon meg egy rövid nevet az alkalmazásnak, például natív Cloud Management-ügyfélalkalmazás.

   • Válasz URL-címe: Configuration Manager nem használja ezt az értéket, de Microsoft Entra azonosítóhoz szükség van rá. Alapértelmezés szerint ez az https://ConfigMgrClientérték .

   Ezután válassza a Bejelentkezés lehetőséget, és adjon meg egy Microsoft Entra globális rendszergazdai fiókot. A webalkalmazáshoz hasonlóan ezek a hitelesítő adatok sem lesznek mentve, és nem igényelnek engedélyeket Configuration Manager.

   A bejelentkezés után megjelennek az eredmények. Az OK gombra kattintva zárja be az Ügyfélalkalmazás létrehozása párbeszédpanelt, és térjen vissza az Alkalmazás tulajdonságai lapra. Ezután válassza a Tovább gombot a folytatáshoz.

5. A Felderítési beállítások konfigurálása lapon jelölje be az Enable Microsoft Entra user Discovery (Felhasználói felderítés engedélyezése) jelölőnégyzetet. Válassza a Tovább lehetőséget, majd fejezze be a környezet felderítési párbeszédpaneljeinek konfigurálását.

6. Haladjon végig az Összefoglalás, a Folyamat és a Befejezés lapon, majd zárja be a varázslót.

   A felhasználófelderítéshez Microsoft Entra Azure-szolgáltatások mostantól engedélyezve vannak Configuration Manager. Egyelőre hagyja nyitva a konzolt.

7. Nyisson meg egy böngészőt, és jelentkezzen be a Azure Portal.

8. Válassza a Minden szolgáltatás>Microsoft Entra azonosító>Alkalmazásregisztrációk majd a következőt:

   1. Válassza ki a létrehozott webalkalmazást.

   2. Lépjen az API-engedélyek területre, válassza a Rendszergazdai hozzájárulás megadása a bérlőhöz lehetőséget, majd válassza az Igen lehetőséget.

   3. Válassza ki a létrehozott natív ügyfélalkalmazást.

   4. Lépjen az API-engedélyek területre, válassza a Rendszergazdai hozzájárulás megadása a bérlőhöz lehetőséget, majd válassza az Igen lehetőséget.

9. A Configuration Manager konzolon lépjen a Felügyelet>áttekintése>Cloud Services>Azure Services elemre, és válassza ki az Azure-szolgáltatást. Ezután kattintson a jobb gombbal Microsoft Entra felhasználó felderítésére, és válassza a Teljes felderítés futtatása most lehetőséget. A művelet megerősítéséhez válassza az Igen lehetőséget.

10. Az elsődleges helykiszolgálón nyissa meg a Configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.log fájlt, és keresse meg a következő bejegyzést a felderítés működésének ellenőrzéséhez: Az UDX sikeresen közzétéve Microsoft Entra felhasználók számára.

    Alapértelmezés szerint a naplófájl a következő helyen található: %Program_Files%\Microsoft Configuration Manager\Logs.

A felhőszolgáltatás létrehozása az Azure-ban

Az oktatóanyag ezen szakaszában létrehozza a CMG felhőszolgáltatást, majd létrehozza a DNS CNAME rekordokat mindkét szolgáltatáshoz.

A CMG létrehozása

Ezzel az eljárással felhőfelügyeleti átjárót telepíthet szolgáltatásként az Azure-ban. A CMG a hierarchia legfelső szintű helyén van telepítve. Ebben az oktatóanyagban továbbra is azt az elsődleges helyet használjuk, ahol a tanúsítványokat regisztrálták és exportálták.

1. Az elsődleges helykiszolgálón nyissa meg a Configuration Manager-konzolt. Lépjen a Felügyelet>áttekintése>Cloud Services>Felhőfelügyeleti átjáró elemre, majd válassza a Felhőfelügyeleti átjáró létrehozása lehetőséget.

2. Az Általános lapon:

   1. Válassza ki a felhőkörnyezetet az Azure-környezethez. Ez az oktatóanyag az AzurePublicCloudot használja.

   2. Válassza az Azure Resource Manager üzembe helyezés lehetőséget.

   3. Jelentkezzen be az Azure-előfizetésbe. Configuration Manager további információkat ad meg azon információk alapján, amelyeket akkor konfigurált, amikor engedélyezte az Azure-felhőszolgáltatásokat Configuration Manager.

   A folytatáshoz válassza Tovább lehetőséget.

3. A Beállítások lapon keresse meg és válassza ki a ConfigMgrCloudMGServer.pfx nevű fájlt. Ezt a fájlt exportálta a CMG-kiszolgáló hitelesítési tanúsítványának importálása után. A jelszó megadása után a rendszer automatikusan kitölti a szolgáltatásnevet és a központi telepítés nevét a .pfx tanúsítványfájlban található adatok alapján.

4. Állítsa be a Régió adatait.

5. Erőforráscsoport esetén használjon egy meglévő erőforráscsoportot, vagy hozzon létre egy felhasználóbarát nevű csoportot, amely nem használ szóközöket, például ConfigMgrCloudServices. Ha csoport létrehozása mellett dönt, a csoport erőforráscsoportként lesz hozzáadva az Azure-ban.

6. Ha nem áll készen a nagy léptékű konfigurálásra, adja meg az 1 értéket a virtuálisgép-példányokhoz. A virtuálisgép-példányok száma lehetővé teszi egyetlen CMG-felhőszolgáltatás felskálázását, hogy több ügyfélkapcsolatot támogassanak. Később a Configuration Manager-konzollal visszaadhatja és szerkesztheti a használt virtuálisgép-példányok számát.

7. Jelölje be az Ügyféltanúsítvány-visszavonás ellenőrzése jelölőnégyzetet.

8. Jelölje be az Annak engedélyezése, hogy a CMG felhőbeli terjesztési pontként működjön, és az Azure Storage-ból származó tartalmak kiszolgálása jelölőnégyzetet.

9. A folytatáshoz válassza Tovább lehetőséget.

10. Tekintse át az értékeket a Riasztás lapon, majd válassza a Tovább gombot.

11. Tekintse át az Összefoglalás oldalt, és válassza a Tovább lehetőséget a CMG-felhőszolgáltatás létrehozásához. A varázsló befejezéséhez kattintson a Bezárás gombra.

12. A Configuration Manager konzol CMG-csomópontjában most már megtekintheti az új szolgáltatást.

DNS CNAME rekordok létrehozása

Amikor DNS-bejegyzést hoz létre a CMG-hez, engedélyezi a Windows 10 vagy újabb eszközeit a vállalati hálózaton belül és kívül egyaránt, hogy névfeloldás használatával megtalálják a CMG felhőszolgáltatást az Azure-ban.

A CNAME rekordra példa a MyCMG.contoso.com, amely MyCMG.cloudapp.net lesz. A példában:

• A vállalat neve Contoso , amelynek nyilvános DNS-névtere contoso.com.

• A CMG-szolgáltatás neve MyCMG, amely MyCMG.cloudapp.net lesz az Azure-ban.

A felügyeleti pont és az ügyfelek konfigurálása a CMG használatára

Konfigurálja azokat a beállításokat, amelyek lehetővé teszik a helyszíni felügyeleti pontok és ügyfelek számára a felhőfelügyeleti átjáró használatát.

Mivel továbbfejlesztett HTTP-t használunk az ügyfélkommunikációhoz, nincs szükség HTTPS felügyeleti pont használatára.

A CMG csatlakozási pontjának létrehozása

Konfigurálja a webhelyet a továbbfejlesztett HTTP támogatására:

1. A Configuration Manager-konzolon lépjen a Felügyelet>áttekintése>webhelykonfigurációs>helyek elemre. Nyissa meg az elsődleges hely tulajdonságait.

2. A Kommunikációbiztonság lapon válassza a HTTPS vagy a HTTP lehetőséget a Configuration Manager által létrehozott tanúsítványok használata HTTP-helyrendszerekhez beállításhoz. Ezután kattintson az OK gombra a konfiguráció mentéséhez.

3. Lépjen a Felügyelet>áttekintése>– Helykonfigurációs>kiszolgálók és helyrendszerszerepkörök lapra. Válassza ki azt a felügyeleti pontot tartalmazó kiszolgálót, ahová telepíteni szeretné a CMG-csatlakozási pontot.

4. Válassza a Helyrendszerszerepkörök> hozzáadásatovább> lehetőséget.

5. Válassza a Felhőfelügyeleti átjáró csatlakozási pontja lehetőséget, majd a folytatáshoz válassza a Tovább gombot.

6. Tekintse át az alapértelmezett beállításokat a Felhőfelügyeleti átjáró csatlakozási pont oldalán, és győződjön meg arról, hogy a megfelelő CMG van kiválasztva.

   Ha több CMG-vel rendelkezik, a legördülő listából megadhat egy másik CMG-t. A telepítés után a használatban lévő CMG-t is módosíthatja.

   A folytatáshoz válassza Tovább lehetőséget.

7. Válassza a Tovább gombot a telepítés megkezdéséhez, majd tekintse meg az eredményeket a Befejezés lapon. Válassza a Bezárás lehetőséget a csatlakozási pont telepítésének befejezéséhez.

8. Lépjen a Felügyelet>áttekintése>– Helykonfigurációs>kiszolgálók és helyrendszerszerepkörök lapra. Nyissa meg annak a felügyeleti pontnak a Tulajdonságait , ahová a csatlakozási pontot telepítette.

   Az Általános lapon jelölje be az Allow Configuration Manager cloud management gateway traffic (Felhőfelügyeleti átjáró forgalmának engedélyezése) jelölőnégyzetet, majd kattintson az OK gombra a konfiguráció mentéséhez.

   Tipp

   Bár a megosztott kezelés engedélyezéséhez nem szükséges, javasoljuk, hogy minden szoftverfrissítési pont esetében végezze el ugyanezt a módosítást.

Ügyfélbeállítások konfigurálása az ügyfelek cmg használatára való irányításához

Az ügyfélbeállítások használatával konfigurálhatja Configuration Manager ügyfeleket a CMG-vel való kommunikációhoz:

1. Nyissa meg Configuration Manager konzol>felügyeleti áttekintésének>>ügyfélbeállításai lehetőséget, majd szerkessze az Alapértelmezett ügyfélbeállításokat.

2. Válassza a Cloud Services lehetőséget.

3. Az Alapértelmezett beállítások lapon állítsa a következő beállításokat Igen értékre:

   • Új Windows 10 tartományhoz csatlakoztatott eszközök automatikus regisztrálása Microsoft Entra-azonosítóval

   • Felhőfelügyeleti átjáró használatának engedélyezése az ügyfelek számára

   • Felhőbeli terjesztési ponthoz való hozzáférés engedélyezése

4. Az Ügyfélházirend lapon állítsa Az internetes ügyfelektől érkező felhasználói házirend-kérelmek engedélyezésebeállítást Igen értékre.

5. A konfiguráció mentéséhez kattintson az OK gombra .

A megosztott kezelés engedélyezése Configuration Manager

Az Azure-konfigurációk, a helyrendszerszerepkörök és az ügyfélbeállítások használatával konfigurálhatja a Configuration Manager a megosztott felügyelet engedélyezéséhez. Az oktatóanyag befejezése előtt azonban még néhány konfigurálást végre kell hajtania az Intune-ban.

Az egyik ilyen feladat az Intune konfigurálása a Configuration Manager-ügyfél üzembe helyezésére. Ez a feladat egyszerűbbé válik, ha menti a parancssort az ügyféltelepítéshez, amely a Megosztott kezelés konfigurálása varázslóból érhető el. Ezért engedélyezzük most a közös felügyeletet, mielőtt befejezzük az Intune konfigurációit.

A kísérleti csoport kifejezés a közös felügyeleti funkció és a konfigurációs párbeszédpanelek során használatos. A próbacsoport olyan gyűjtemény, amely a Configuration Manager-eszközök egy részét tartalmazza. Használjon próbacsoportot a kezdeti teszteléshez. Szükség szerint adjon hozzá eszközöket, amíg készen nem áll az összes Configuration Manager eszköz számítási feladatainak áthelyezésére.

Nincs időkorlát arra vonatkozóan, hogy egy próbacsoport mennyi ideig használható a számítási feladatokhoz. Korlátlan ideig használhat próbacsoportot, ha nem szeretné áthelyezni a számítási feladatokat az összes Configuration Manager eszközre.

Javasoljuk, hogy hozzon létre egy megfelelő gyűjteményt, mielőtt elindítja a próbacsoport létrehozásának eljárását. Ezt követően anélkül választhatja ki ezt a gyűjteményt, hogy kilép az eljárásból. Előfordulhat, hogy több gyűjteményre van szüksége, mert minden számítási feladathoz más próbacsoportot rendelhet hozzá.

A megosztott kezelés engedélyezése a 2111-s és újabb verziókhoz

Configuration Manager 2111-es verziójától kezdve megváltozott a közös felügyelet bevezetése. A Felhő csatolása konfigurációs varázsló megkönnyíti a megosztott felügyelet és más felhőfunkciók engedélyezését. Választhatja az ajánlott alapértelmezett beállítások egyszerűsített készletét, vagy testre szabhatja a felhő csatolási funkcióit. Emellett egy új beépített eszközgyűjtemény is elérhető a közös felügyeletre jogosult eszközökhöz , amelyek segítenek azonosítani az ügyfeleket. További információ a megosztott kezelés engedélyezéséről: Felhő csatolásának engedélyezése.

Megjegyzés:

Az új varázslóval nem helyezheti át a számítási feladatokat a megosztott kezelés engedélyezésével egyidejűleg. A számítási feladatok áthelyezéséhez a felhőalapú csatolás engedélyezése után szerkesztheti a társfelügyeleti tulajdonságokat.

A megosztott kezelés engedélyezése a 2107-ben és a korábbi verziókban

A megosztott felügyelet engedélyezésekor használhatja az Azure nyilvános felhőt, Azure Government felhőt vagy az Azure China 21Vianet felhőt (a 2006-os verzióban). A megosztott kezelés engedélyezéséhez kövesse az alábbi utasításokat:

1. A Configuration Manager konzolon lépjen az Adminisztráció munkaterületre, bontsa ki a Cloud Services, majd válassza a Felhő csatolása csomópontot. A menüszalagon válassza a Felhő csatolásának konfigurálása lehetőséget a Felhő csatolása konfigurációs varázsló megnyitásához.

   A 2103-es és korábbi verziók esetében bontsa ki a Cloud Services elemet, és válassza a Közös felügyelet csomópontot. Válassza a menüszalag Megosztott kezelés konfigurálása elemét a Közös felügyelet konfigurálása varázsló megnyitásához.

2. A varázsló előkészítési lapján azure-környezet esetén válasszon az alábbi környezetek közül:

   • Nyilvános Azure-felhő

   • Azure Government felhő

   • Azure China cloud (hozzáadva a 2006-os verzióban)

     Megjegyzés:

     Frissítse az Configuration Manager-ügyfelet az eszközei legújabb verziójára, mielőtt regisztrál az Azure China-felhőre.

   Amikor kiválasztja az Azure China-felhőt vagy Azure Government felhőt, a Bérlő csatolása a Microsoft Endpoint Manager felügyeleti központba lehetőség le van tiltva.

3. Válassza a Bejelentkezés lehetőséget. Jelentkezzen be Microsoft Entra globális rendszergazdaként, majd válassza a Tovább gombot. Ezt a varázslót csak egyszer kell bejelentkeznie. A hitelesítő adatokat a rendszer nem tárolja és nem használja fel újra máshol.

4. Az Engedélyezés lapon válassza a következő beállításokat:

   • Automatikus regisztráció az Intune-ban: Engedélyezi az automatikus ügyfélregisztrációt az Intune-ban a meglévő Configuration Manager-ügyfelek számára. Ezzel a beállítással engedélyezheti a megosztott felügyeletet az ügyfelek egy részhalmazán, hogy először tesztelje a megosztott felügyeletet, majd szakaszos megközelítéssel vezesse be a közös felügyeletet. Ha a felhasználó törli az eszköz regisztrációját, az eszköz újra regisztrálva lesz a szabályzat következő kiértékelésekor.

     • Próbaüzem: Csak az intune-beli automatikus beléptetési gyűjteményhez tartozó Configuration Manager-ügyfelek lesznek automatikusan regisztrálva az Intune-ban.
     • Mind: Engedélyezze az automatikus regisztrációt az összes, Windows 10 1709-es vagy újabb verziót futtató ügyfél számára.
     • Nincs: Tiltsa le az automatikus regisztrációt az összes ügyfélnél.

   • Intune automatikus regisztráció: Ennek a gyűjteménynek tartalmaznia kell az összes olyan ügyfelet, amelyet elő szeretne készíteni a közös felügyeletbe. Ez lényegében az összes többi előkészítési gyűjtemény szuperhalmaza.

   

   Az automatikus regisztráció nem minden ügyfél számára azonnali. Ez a viselkedés segít a nagy méretű környezetek regisztrációjának jobb méretezésében. Configuration Manager véletlenszerűsíti a regisztrációt az ügyfelek száma alapján. Ha például a környezet 100 000 ügyféllel rendelkezik, a beállítás engedélyezésekor a regisztráció több napon keresztül történik.

   Az új, közösen felügyelt eszközök mostantól automatikusan regisztrálva lesznek a Microsoft Intune szolgáltatásban a Microsoft Entra eszközjogkivonata alapján. Nem kell megvárnia, amíg egy felhasználó bejelentkezik az eszközre, hogy elinduljon az automatikus regisztráció. Ez a módosítás segít csökkenteni a regisztrációs állapotú eszközök számát Függőben lévő felhasználói bejelentkezés állapotban.A viselkedés támogatásához az eszköznek Windows 10 1803-es vagy újabb verzióját kell futtatnia. További információ: Együttes felügyeleti regisztráció állapota.

   Ha az eszközök már regisztrálva vannak a megosztott kezelésben, az új eszközök azonnal regisztrálva lesznek, miután megfelelnek az előfeltételeknek.

5. Az Intune-ban már regisztrált internetes eszközök esetén másolja és mentse a parancsot az Engedélyezés lapon. Ezzel a paranccsal telepítheti az Configuration Manager-ügyfelet alkalmazásként az Intune-ban az internetalapú eszközökhöz. Ha most nem menti ezt a parancsot, bármikor áttekintheti a megosztott felügyeleti konfigurációt a parancs beszerzéséhez.

   Tipp

   A parancs csak akkor jelenik meg, ha teljesítette az összes előfeltételt, például egy felhőfelügyeleti átjáró beállítását.

6. A Számítási feladatok lapon minden számítási feladathoz válassza ki, hogy melyik eszközcsoportot szeretné áthelyezni az Intune-nal való felügyelethez. További információ: Számítási feladatok.

   Ha csak a megosztott felügyeletet szeretné engedélyezni, most nem kell váltania a számítási feladatok között. A számítási feladatokat később is átállíthatja. További információ: Számítási feladatok váltása.

   • Próba intune: A társított számítási feladatot csak az előkészítési oldalon megadott kísérleti gyűjteményekben lévő eszközökre kapcsolja át. Minden számítási feladathoz más próbagyűjtemény tartozhat.
   • Intune: Az összes közösen felügyelt Windows 10 vagy újabb eszköz társított számítási feladatait váltja ki.

   Fontos

   A számítási feladatok közötti váltás előtt győződjön meg arról, hogy megfelelően konfigurálta és üzembe helyezi a megfelelő számítási feladatot az Intune-ban. Győződjön meg arról, hogy a számítási feladatokat mindig az eszközök egyik felügyeleti eszköze felügyeli.

7. Az Előkészítés lapon adja meg az Intune próbaüzemre beállított összes számítási feladat próbagyűjteményét.

   

8. A közös felügyelet engedélyezéséhez végezze el a varázslót.

Az Intune használata a Configuration Manager-ügyfél üzembe helyezéséhez

Az Intune-nal telepítheti a Configuration Manager-ügyfelet Windows 10 vagy újabb eszközökön, amelyek jelenleg csak az Intune-nal vannak felügyelve.

Ezután, amikor egy korábban nem felügyelt Windows 10 vagy újabb eszköz regisztrál az Intune-ban, automatikusan telepíti a Configuration Manager-ügyfelet.

Megjegyzés:

Ha a Configuration Manager-ügyfelet az Autopiloton keresztüli eszközökre tervezi telepíteni, azt javasoljuk, hogy az eszközök helyett a Configuration Manager-ügyfél hozzárendelését célozza meg a felhasználók számára.

Ez a művelet elkerüli az ütközést az üzletági alkalmazások és a Win32-alkalmazások autopilot közbeni telepítése között.

Intune-alkalmazás létrehozása a Configuration Manager-ügyfél telepítéséhez

1. Jelentkezzen be az elsődleges helykiszolgálóról a Microsoft Intune Felügyeleti központba. Ezután lépjen az Alkalmazások>minden alkalmazás>hozzáadása területre.

2. Az alkalmazás típusaként válassza az Üzletági alkalmazás lehetőséget azEgyéb területen.

3. Az alkalmazáscsomag-fájlban keresse meg a Configuration Manager fájl helyétccmsetup.msi (például C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi). Ezután válassza azOKmegnyitása> lehetőséget.

4. Válassza az Alkalmazás adatai lehetőséget, majd adja meg a következő adatokat:

   • Leírás: Adja meg Configuration Manager-ügyfelet.

   • Közzétevő: Írja be a Microsoft kifejezést.

   • Parancssori argumentumok: Adja meg a CCMSETUPCMD parancsot. A Megosztott kezelés konfigurálása varázsló Engedélyezés lapján mentett parancsot használhatja. Ez a parancs tartalmazza a felhőszolgáltatás nevét, valamint azokat a további értékeket, amelyek lehetővé teszik az eszközök számára a Configuration Manager ügyfélszoftver telepítését.

     A parancssori struktúra ennek a példának kell hasonlítania, amely csak a és SMSSiteCode a CCMSETUPCMD paramétert használja:

     CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
     

     Tipp

     Ha nem rendelkezik elérhető paranccsal, megtekintheti a tulajdonságait CoMgmtSettingsProd a Configuration Manager konzolon a parancs másolatának lekéréséhez. A parancs csak akkor jelenik meg, ha teljesítette az összes előfeltételt, például egy CMG beállítását.

5. Válassza az OK>Hozzáadás lehetőséget. Az alkalmazás létrejön, és elérhetővé válik az Intune-konzolon. Miután az alkalmazás elérhetővé válik, a következő szakasz segítségével hozzárendelheti az alkalmazást az eszközökhöz az Intune-ból.

Az Intune alkalmazás hozzárendelése a Configuration Manager-ügyfél telepítéséhez

Az alábbi eljárás telepíti az alkalmazást az előző eljárásban létrehozott Configuration Manager-ügyfél telepítéséhez:

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba. Válassza az Alkalmazások>Minden alkalmazás lehetőséget, majd válassza a ConfigMgr-ügyfél telepítőjének rendszerindítási pontja lehetőséget. Ezt az alkalmazást hozta létre a Configuration Manager-ügyfél üzembe helyezéséhez.

2. Válassza a Tulajdonságok, majd aHozzárendelések szerkesztése lehetőséget. Válassza a Csoport hozzáadása lehetőséget a Szükséges hozzárendelések területen azoknak a Microsoft Entra csoportoknak a beállításához, amelyekben a közös felügyeletben részt venni kívánt felhasználók és eszközök vannak.

3. A konfiguráció mentéséhez válassza az Áttekintés + mentés>mentés lehetőséget. Az alkalmazásra most már azokhoz a felhasználókhoz és eszközökhöz van szükség, amelyekhez hozzárendelte. Miután az alkalmazás telepítette a Configuration Manager-ügyfelet egy eszközre, azt a társfelügyelet felügyeli.

Összefoglalás

Az oktatóanyag konfigurációs lépéseinek elvégzése után megkezdheti az eszközök közös kezelését.

Következő lépések

• Tekintse át a közösen felügyelt eszközök állapotát a Megosztott kezelés irányítópult használatával.
• Új eszközök kiépítése a Windows Autopilot használatával.
• A feltételes hozzáférés és az Intune megfelelőségi szabályaival kezelheti a vállalati erőforrásokhoz való felhasználói hozzáférést.