Risolvere i problemi relativi ai carichi di lavoro di co-gestione

Articolo
01/10/2024

Questo articolo consente di comprendere e risolvere i problemi che possono verificarsi quando si configurano i carichi di lavoro in un ambiente di co-gestione Intune e Configuration Manager. Per altre informazioni su come configurare i carichi di lavoro, vedere Suggerimento per il supporto: Configurazione dei carichi di lavoro in un ambiente co-gestito.

Prima di iniziare

Prima di iniziare la risoluzione dei problemi, è importante raccogliere alcune informazioni di base sul problema e assicurarsi di seguire tutti i passaggi di configurazione necessari. In questo modo è possibile comprendere meglio il problema e ridurre il tempo necessario per trovare una soluzione. A tale scopo, seguire questo elenco di controllo delle domande di pre-risoluzione dei problemi:

Qual è l'autorità MDM corrente?
Sono stati completati i prerequisiti?
Hai percorso 1 o percorso 2 per la co-gestione?
Se si è preso il percorso 2, è stato configurato il gateway di gestione cloud(CMG)?
Si è aggiunto ai dispositivi Windows 10 per Microsoft Entra ID tramite Microsoft Entra join ibrido o Microsoft Entra join?
Se è stato usato MDM ibrido con Configuration Manager e Microsoft Intune in precedenza, è stata eseguita la migrazione a Intune autonomo?

La maggior parte dei problemi si verifica perché uno o più di questi passaggi non sono stati completati. Se si rileva che un passaggio è stato ignorato o non è stato completato correttamente, controllare i dettagli di ogni passaggio.

Domande frequenti

Quali ruoli sono necessari per configurare la co-gestione?

Ecco le autorizzazioni e i ruoli necessari per configurare la co-gestione.

Quale log è possibile usare per convalidare i carichi di lavoro e determinare da dove provengono i criteri e le app in uno scenario di co-gestione?

È possibile usare il file di log seguente nei dispositivi Windows 10:

%WinDir%\CCM\logs\CoManagementHandler.log

Quali carichi di lavoro sono attualmente supportati dalla co-gestione?

È possibile trovare i carichi di lavoro supportati qui.

A quale carico di lavoro appartiene il carico di lavoro dei criteri di accesso alle risorse?

Il carico di lavoro criteri di accesso alle risorse fa parte del carico di lavoro di configurazione del dispositivo.

Quali log possono essere usati per verificare che i carichi di lavoro funzionino correttamente?

È possibile usare i log seguenti nella %WinDir%\CCM\logs\ cartella nei dispositivi Windows 10:

CoManagementHandler.log

Questo file registra l'elaborazione della configurazione e le informazioni MDM correlate al dispositivo.

Frammento di log di esempio:

Elaborazione di GET per l'assegnazione (ID ambito ScopeId_</ID> ConfigurationPolicy_<policy>)
Recupero/unione del valore per l'impostazione 'CoManagementSettings_AutoEnroll'
Il valore unito per l'impostazione 'CoManagementSettings_AutoEnroll' è 'true'
Recupero/unione del valore per l'impostazione 'CoManagementSettings_Capabilities'
Il valore unito per l'impostazione 'CoManagementSettings_Capabilities' è '7'
Recupero/unione del valore per l'impostazione 'CoManagementSettings_Allow'
Il valore unito per l'impostazione 'CoManagementSettings_Allow' è 'true'
L'ID stato e l'hash dei dettagli del report non vengono modificati. Non è necessario inviare di nuovo. Il computer è già registrato con MDM
ComplRelayAgent.log

Questo file registra la configurazione corrente e il significato per lo stato dei criteri di conformità.

Frammento di log di esempio:

Verifica dell'abilitazione del carico di lavoro 2 in workloadFlags 7
Il risultato dell'operazione & è 2
Il flag di funzionalità è ATTIVATO, il dispositivo deve essere Intune gestito.
Il carico di lavoro ca è disabilitato per ConfigMgr. Nessun stato di conformità da segnalare per il SID <utente>
CIAgent.log

Questo file registra la configurazione corrente e il significato per lo stato dei criteri di accesso alle risorse.

Frammento di log di esempio:

Verifica dell'abilitazione del carico di lavoro 4 in workloadFlags 7
Il risultato dell'operazione di & è 4
Il flag di funzionalità è ATTIVATO, il dispositivo deve essere Intune gestito.
Il carico di lavoro Accesso alle risorse è disabilitato per ConfigMgr client.
Ignorare l'integrazione continua [ID> ScopeId_<Scope/ID> ConfigurationPolicy_<Policy]
Per i carichi di lavoro di Accesso alle risorse è abilitata un'autorità di gestione diversa. Terminazione del processo corrente.
WUAHandler.log

Questo file registra la configurazione corrente e il relativo significato per lo stato dei criteri di Windows Update for Business.

Frammento di log di esempio:

Verifica dell'abilitazione del carico di lavoro 16 in workloadFlags 7
Il risultato dell'operazione & è 0
Il flag di funzionalità è OFF, deve essere SCCM gestito.
SourceManager::GetIsWUfBEnabled - Non è disponibile alcuna assegnazione di impostazioni di Windows Update per le aziende. Windows Update per le aziende non è abilitato tramite ConfigMgr

Qual è la differenza tra pilot Intune e Intune quando si passa da un carico di lavoro all'altro?

La differenza tra pilot Intune e Intune è sottile ma importante. Entrambi consentono Intune di controllare un carico di lavoro configurato.

L'impostazione Pilot Intune viene usata per cambiare un carico di lavoro solo per i dispositivi in una raccolta pilota creata in Configuration Manager. In questo modo è possibile eseguire il test in un ambiente di staging senza influire su tutti i dispositivi Windows 10 nell'ambiente di produzione.
L'impostazione Intune viene usata al termine dei test nell'ambiente di staging e si è pronti per cambiare un carico di lavoro per tutti i dispositivi Windows 10 registrati nella co-gestione.

Problemi comuni

Si passa il carico di lavoro di Endpoint Protection a Intune, ma un dispositivo Windows 10 ha ancora i criteri da Configuration Manager

Questo comportamento è previsto.

Quando si passa a questo carico di lavoro, i criteri di Configuration Manager rimangono nel dispositivo fino al successivo check-in al servizio Intune. Quando il dispositivo esegue l'archiviazione, i criteri di Intune sovrascrivono i criteri di Configuration Manager. Questo comportamento assicura che il dispositivo abbia ancora criteri di protezione durante la transizione. Per altre informazioni sulla frequenza di archiviazione, vedere Quanto tempo occorre ai dispositivi per ottenere un criterio, un profilo o un'app dopo l'assegnazione?

Non è possibile trovare il carico di lavoro App client nella scheda Carichi di lavoro delle proprietà di co-gestione

Le app client per i dispositivi co-gestiti sono una funzionalità non definitiva. È necessario abilitare la funzionalità non definitiva per renderla visibile.

Nella scheda Abilitazione nelle proprietà di co-gestione viene visualizzato "Verificare che siano installati i prerequisiti appropriati".

Questo messaggio viene visualizzato se non è stato installato il cmg. Dopo aver installato cmg, viene visualizzato un messaggio simile al seguente:

CCMSETUPCMD="CCMHOSTNAME=contoso.cloudapp.net/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=ABC"

In questo caso, eseguire le operazioni seguenti:

Se si accetta il percorso 1: registrare automaticamente i client esistenti, è possibile ignorare questo messaggio perché cmg non viene usato.
Se si usa Il percorso 2: Bootstrap con il provisioning moderno, è necessario installare e configurare il cmg ed eseguire l'onboarding dell'app per Microsoft Entra ID.

I criteri di Intune vengono annullati da un gruppo di sicurezza, ma alcune impostazioni rimangono

Intune non ripristina le impostazioni (rimozione del tatuaggio) se il carico di lavoro Configurazione dispositivo è impostato su Configuration Manager. Per abilitare la rimozione del tatuaggio, configurare il carico di lavoro in Configuration Manager e aggiornare i criteri nel dispositivo.

Ulteriori informazioni

Per altre informazioni sulla risoluzione dei problemi di co-gestione, vedere gli articoli seguenti:

Per altre informazioni su Intune e Configuration Manager la co-gestione e i carichi di lavoro, vedere gli articoli seguenti: