Connessione del tenant di Microsoft Endpoint Manager: sincronizzazione e azioni dei dispositivi

Si applica a: Configuration Manager (Current Branch)

Microsoft Endpoint Manager è una soluzione integrata per la gestione di tutti i dispositivi. Microsoft ha riunito Configuration Manager e Intune in un'unica console denominata Interfaccia di amministrazione di Microsoft Endpoint Manager. È possibile caricare i dispositivi Gestione configurazione nel servizio cloud ed eseguire azioni dal pannello Dispositivi nell'interfaccia di amministrazione.

Prerequisiti

  • Account amministratore globale per l'accesso quando si applica questa modifica. Per altre informazioni, vedere Ruoli di amministratore in Azure Active Directory (Azure AD).

    • L'onboarding crea un'app di terze parti e un'entità servizio principale nel tenant di Azure AD.
  • Un ambiente cloud pubblico di Azure.

    • L'Upload di Microsoft Endpoint Manager'interfaccia di amministrazione è disabilitata per Microsoft Azure China 21Vianet (Azure Cina Cloud) e Azure US Government Cloud. A partire dalla versione 2107, questa opzione è disponibile per i clienti del governo degli Stati Uniti.
  • A partire dalla versione 2107, i Stati Uniti per enti pubblici possono usare le funzionalità di collegamento del tenant seguenti nel cloud del governo degli Stati Uniti:

    • Onboarding dell'account
    • Sincronizzazione del tenant con Intune
    • Sincronizzazione dei dispositivi con Intune
    • Azioni del dispositivo nell'interfaccia Microsoft Endpoint Manager di amministrazione
  • Gli account utente che attivano le azioni del dispositivo hanno i prerequisiti seguenti:

    • L'account utente deve essere un oggetto utente sincronizzato in Azure AD (identità ibrida). Ciò significa che l'utente è sincronizzato con Azure Active Directory da Active Directory.

    • L'autorizzazione Avvia Gestione configurazione'azione in Attività remote nell'interfaccia Microsoft Endpoint Manager di amministrazione.

      • Per altre informazioni sull'aggiunta o la verifica delle autorizzazioni nell'interfaccia di amministrazione, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
  • Se il sito di amministrazione centrale dispone di un providerremoto, seguire le istruzioni per lo scenario del provider remoto nell'articolo CMPivot.

Questa funzionalità supporta tutte le versioni del sistema operativo Gestione configurazione attualmente supportate come client. Per altre informazioni, vedere Versioni dei sistemi operativi supportate per client e dispositivi.

Endpoint Internet

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com per i clienti di cloud pubblico di Azure

  • https://*.manage.microsoft.us per i clienti cloud del Governo degli Stati Uniti nella versione 2107 o successiva

  • https://dc.services.visualstudio.com

Il punto di connessione del servizio crea una connessione in uscita di lunga durata al servizio di notifica ospitato in https://*.manage.microsoft.com. Verificare che il proxy usato per il punto di connessione del servizio non applichi troppo rapidamente il timeout delle connessioni in uscita. Il tempo consigliato per le connessioni in uscita a questo endpoint Internet è 3 minuti.

Se per l'ambiente esistono regole proxy per consentire solo specifici elenchi di revoche di certificati (CRL) o percorsi di verifica del protocollo di stato del certificato online (OCSP), consentire anche gli URL CRL e OCSP seguenti:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

A partire dalla versione 2010, il punto di connessione del servizio convalida gli endpoint Internet importanti per il collegamento del tenant. Questi controlli consentono di verificare che il servizio cloud sia disponibile. Consentono anche di risolvere i problemi determinando rapidamente la presenza di problemi di connettività di rete. Per altre informazioni, vedere Validate internet access (Convalidare l'accesso Internet).

Nota

Il punto di connessione del servizio controlla il CRL. Se questo server non ha accesso agli URL elencati in precedenza, il controllo CRL ha esito negativo. Provare a impostare un proxy di sistema o usare il comando seguente: 'netsh winhttp set proxy'. Per altre informazioni, vedere How the Windows Update client determines which proxy server to use to connect to the Windows Update Web site. Assicurarsi di includere un elenco di bypass per le comunicazioni interne del sito. Questa configurazione può essere neccesary perché le impostazioni del server proxy Gestione configurazione configurare solo il proxy per le applicazioni Gestione configurazione e non il sistema operativo sottostante.

Abilitare il caricamento del dispositivo quando la co-gestione è già abilitata

Se la co-gestione è attualmente abilitata, si useranno le proprietà di co-gestione per abilitare il caricamento dei dispositivi. Quando la co-gestione non è già abilitata, usare la Configurazione guidata collegamento cloud per abilitare il caricamento del dispositivo.

Quando la co-gestione è già abilitata, modificare le proprietà di co-gestione per abilitare il caricamento dei dispositivi usando le istruzioni seguenti:

  1. Nella console Gestione configurazione di amministrazione passare a Panoramica dell'amministrazione Cloud > > Services > Cloud Attach.
    • Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.
  2. Nella barra multifunzione selezionare Proprietà per i criteri di produzione di co-gestione.
  3. Nella scheda Configure upload (Configura caricamento) selezionare Carica nell'interfaccia di amministrazione di Microsoft Endpoint Manager. Selezionare Applica.
    • L'impostazione predefinita per il caricamento del dispositivo è Tutti i dispositivi personali gestiti da Microsoft Endpoint Configuration Manager. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi.
    • A partire Gestione configurazione versione 2010, quando viene selezionata una singola raccolta, vengono caricate anche le raccolte figlio.
  4. Selezionare l'opzione Abilita Analisi endpoint per i dispositivi caricati in Microsoft Endpoint Manager se si vogliono ottenere informazioni dettagliate per ottimizzare l'esperienza dell'utente finale in Endpoint Analytics.

Importante

Quando si abilita il caricamento dei dati di Analisi endpoint, le impostazioni client predefinite verranno aggiornate automaticamente per consentire agli endpoint gestiti di inviare dati pertinenti al server Gestione configurazione del sito. Se si usano impostazioni client personalizzate, potrebbe essere necessario aggiornarle e distribuirle di nuovo per la raccolta dei dati. Per altri dettagli su questo, nonché su come configurare la raccolta dati, ad esempio per limitare la raccolta solo a un set specifico di dispositivi, vedere la sezione configurazione della raccolta dati di Analisi endpoint.

Upload dispositivi da Microsoft Endpoint Manager'interfaccia di amministrazione

  1. Quando richiesto, accedere con l'account di amministratore globale.
  2. Selezionare per accettare la notifica Crea applicazione AAD. Questa azione esegue il provisioning di un'entità servizio e crea una registrazione dell'applicazione Azure AD per semplificare la sincronizzazione.
  3. Scegliere OK per chiudere le proprietà di co-gestione dopo aver apportato le modifiche.

Abilitare il caricamento dei dispositivi quando la co-gestione non è abilitata

Se la co-gestione non è abilitata, si userà la Configurazione guidata collegamento cloud per abilitare il caricamento dei dispositivi. È possibile caricare i dispositivi anche senza abilitare la registrazione automatica per la co-gestione o spostare i carichi di lavoro in Intune. Verranno caricati tutti i dispositivi gestiti da Configuration Manager che presentano il valore nella colonna Client. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi. Se la co-gestione è già abilitata nell'ambiente, modificare le proprietà di co-gestione per abilitare il caricamento dei dispositivi.

Quando la co-gestione non è abilitata, seguire le istruzioni seguenti per abilitare il caricamento del dispositivo:

  1. Nella console Gestione configurazione di amministrazione passare a Panoramica dell'amministrazione Cloud > > Services > Cloud Attach. Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.

  2. Nella barra multifunzione selezionare Configura collegamento cloud per aprire la procedura guidata. Per la versione 2103 e precedenti, selezionare Configura co-gestione per aprire la procedura guidata.

  3. Nella pagina di onboarding selezionare AzurePublicCloud per l'ambiente. Azure per enti pubblici cloud e Azure China (21Vianet) non sono supportati.

    • A partire dalla versione 2107, i clienti del governo degli Stati Uniti possono selezionare AzureUSGovernmentCloud.
  4. Selezionare Accedi. Usare l'account di amministratore globale per accedere.

  5. Assicurarsi che Upload'Microsoft Endpoint Manager'interfaccia di amministrazione sia selezionata nella pagina onboarding**.

    • Assicurarsi che l'opzione Abilita la registrazione automatica dei client per la co-gestione non sia selezionata se non si vuole abilitare subito la co-gestione. Se si vuole abilitare la co-gestione, selezionare questa opzione.
    • Se si abilita la co-gestione contestualmente al caricamento del dispositivo, nella procedura guidata dovranno essere completate pagine supplementari. Per altre informazioni, vedere Abilitare la co-gestione.

    Configurazione guidata della co-gestione

  6. Scegliere Avanti e quindi per accettare la notifica Crea applicazione AAD. Questa azione esegue il provisioning di un'entità servizio e crea una registrazione dell'applicazione Azure AD per semplificare la sincronizzazione.

  7. Nella pagina Configura il caricamento selezionare l'impostazione di caricamento dei dispositivi consigliata per Tutti i dispositivi personali gestiti da Microsoft Endpoint Configuration Manager. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi.

    • A partire Gestione configurazione versione 2010, quando viene selezionata una singola raccolta, vengono caricate anche le raccolte figlio.
  8. Selezionare l'opzione Abilita Analisi endpoint per i dispositivi caricati in Microsoft Endpoint Manager se si vogliono ottenere informazioni dettagliate per ottimizzare l'esperienza dell'utente finale in Endpoint Analytics

  9. Selezionare Riepilogo per rivedere la selezione e quindi scegliere Avanti.

  10. Al termine della procedura guidata, selezionare Chiudi.

Eseguire azioni sui dispositivi

  1. In un browser passare a endpoint.microsoft.com

  2. Selezionare Dispositivi e quindi Tutti i dispositivi per visualizzare i dispositivi caricati. In corrispondenza dei dispositivi caricati verrà visualizzata la voce ConfigMgr nella colonna Gestito da. Tutti i dispositivi nell'interfaccia di amministrazione di Microsoft Endpoint Manager

  3. Selezionare un dispositivo per caricarne la pagina Panoramica.

  4. Scegliere una delle azioni seguenti:

    • Sincronizza i criteri del computer
    • Sincronizza i criteri utente
    • Ciclo di valutazione app

    Panoramica dei dispositivi nell'interfaccia di amministrazione di Microsoft Endpoint Manager

Importare un'applicazione Azure AD creata in precedenza (facoltativo)

(Funzionalità introdotta nella versione 2006)

Durante un nuovo onboarding,un amministratore può specificare un'applicazione creata in precedenza durante l'onboarding al collegamento del tenant. Non condividere o riutilizzare le applicazioni Azure AD tra più gerarchie. Se si dispone di più gerarchie, creare applicazioni Azure AD separate per ognuna.

Nella pagina di onboarding della Configurazione guidata collegamento cloud ( Configurazione guidata co-gestione nelle versioni 2103 e precedenti) selezionare Facoltativamente importare un'app Web separata per sincronizzare i dati del client Gestione configurazione nell'interfaccia di amministrazione di Microsoft Endpoint Manager . Questa opzione richiederà di specificare le informazioni seguenti per l'app Azure AD:

  • Nome del tenant di Azure AD
  • ID tenant di Azure AD
  • Nome dell'applicazione
  • ID client
  • Chiave privata
  • Scadenza della chiave privata
  • URI ID app

Azure AD autorizzazioni e configurazione dell'applicazione

L'uso di un'applicazione creata in precedenza durante l'onboarding al collegamento al tenant richiede le autorizzazioni seguenti:

Visualizzare lo stato Gestione configurazione connettore dalla console di amministrazione

Dall'Microsoft Endpoint Manager di amministrazione è possibile esaminare lo stato del connettore Gestione configurazione rete. Per visualizzare lo stato del connettore, passare a Connettori e token di amministrazione > > tenant Microsoft Endpoint Configuration Manager. Selezionare una Gestione configurazione gerarchia che esegue la versione 2006 o successiva per visualizzare altre informazioni.

Microsoft Endpoint Configuration Manager connettore nell'interfaccia di amministrazione

Nota

Alcune informazioni non sono disponibili se la gerarchia è in esecuzione Gestione configurazione versione 2006.

Offboard dal collegamento del tenant

Anche se i clienti ottengono un valore enorme abilitando il collegamento del tenant, in rari casi potrebbe essere necessario eseguire l'offboard di una gerarchia. È possibile eseguire l'offboard dalla console Gestione configurazione (metodo consigliato) o dall'interfaccia Microsoft Endpoint Manager di amministrazione.

Offboard dalla console Gestione configurazione

Quando il collegamento al tenant è già abilitato, modificare le proprietà di co-gestione per disabilitare il caricamento e l'offboard del dispositivo.

  1. Nella console Gestione configurazione di amministrazione passare a Panoramica dell'amministrazione Cloud > > Services > Cloud Attach.
    • Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.
  2. Nella barra multifunzione selezionare Proprietà per i criteri di produzione di co-gestione.
  3. Nella scheda Configura caricamento rimuovere il Upload per Microsoft Endpoint Manager dell'interfaccia di amministrazione.
  4. Selezionare Applica.

Offboard dall'interfaccia Microsoft Endpoint Manager di amministrazione

Se necessario, è possibile eseguire l'offboard di una Gestione configurazione versione 2006 o successiva dall'interfaccia Microsoft Endpoint Manager di amministrazione. Ad esempio, potrebbe essere necessario eseguire l'offboard dall'interfaccia di amministrazione in seguito a uno scenario di ripristino di emergenza in cui l'ambiente locale è stato rimosso. Seguire questa procedura per rimuovere la gerarchia Gestione configurazione dall'interfaccia Microsoft Endpoint Manager di amministrazione:

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.
  2. Selezionare Amministrazione tenant e quindi Connettori e token.
  3. Selezionare Microsoft Endpoint Configuration Manager.
  4. Scegliere il nome del sito da eseguire l'offboard e quindi selezionare Elimina.
    • Questa opzione è visibile solo per i siti che eseguono Gestione configurazione versione 2006 o successiva.

Quando si esegue l'offboard di una gerarchia dall'interfaccia di amministrazione, la rimozione dall'interfaccia di amministrazione potrebbe richiedere Microsoft Endpoint Manager fino a due ore. Se si esegnerà l'offboard Gestione configurazione 2103 o un sito successivo online e integro, il processo potrebbe richiedere solo pochi minuti.

Passaggi successivi