Zelfstudie: Co-beheer inschakelen voor bestaande Configuration Manager clients

  • Artikel
  • 11 minuten om te lezen

Met co-beheer kunt u uw goed tot stand gebrachte processen voor het gebruik van Configuration Manager pc's in uw organisatie beheren. Tegelijkertijd investeert u in de cloud door gebruik te maken van Intune voor beveiliging en moderne inrichting.

In deze zelfstudie stelt u co-beheer in van uw Windows 10 apparaten die al zijn ingeschreven bij Configuration Manager. Deze zelfstudie begint met de locatie die u al gebruikt Configuration Manager uw apparaten Windows 10 beheren.

Gebruik deze zelfstudie wanneer:

  • U hebt een on-premises Active Directory verbinding kunt maken met Azure Active Directory (Azure AD) in een hybride Azure AD-configuratie.

    Als u geen hybride Azure Active Directory (AD) kunt implementeren waarmee uw on-premises AD wordt verbonden met Azure AD, raden we u aan de zelfstudie Co-beheer inschakelen voor nieuwe Windows 10-apparatenop internet te volgen.

  • U hebt bestaande Configuration Manager clients die u aan de cloud wilt koppelen.

In deze zelfstudie gaat u het volgende doen:

  • Vereisten voor Azure en uw on-premises omgeving controleren
  • Hybride Azure AD instellen
  • Clientagents Configuration Manager registreren bij Azure AD configureren
  • Intune configureren om apparaten automatisch in te schrijven
  • Co-beheer inschakelen in Configuration Manager

Vereisten

Azure-services en -omgeving

  • Azure-abonnement (gratis proefversie)
  • Azure Active Directory Premium
  • Microsoft Intune-abonnement
    • Een Enterprise Mobility + Security (EMS) omvat zowel Azure Active Directory Premium als Microsoft Intune. EMS-abonnement (gratis proefversie).

Als deze nog niet aanwezig is in uw omgeving, gaat u tijdens deze zelfstudie het volgende doen:

Tip

U hoeft geen afzonderlijke Intune- of EMS-licenties meer aan uw gebruikers te kopen en toe te wijzen. Zie de Veelgestelde vragen over producten en licenties voor meer informatie.

Lokale infrastructuur

  • Een ondersteunde versie van Configuration Manager current branch
  • De MDM-instantie (Mobile Device Management) moet zijn ingesteld op Intune.

Machtigingen

Gebruik in deze zelfstudie de volgende machtigingen om taken uit te voeren:

  • Een account dat een domeinbeheerder is in uw on-premises infrastructuur
  • Een account dat een volledige beheerder is voor alle scopes in Configuration Manager
  • Een account dat een globale beheerder is in Azure Active Directory (Azure AD)
    • Zorg ervoor dat u een Intune-licentie hebt toegewezen aan het account dat u gebruikt om u aan te melden bij uw tenant. Anders mislukt het aanmelden met het foutbericht Er is een onverwachte fout opgetreden.

Hybride Azure AD instellen

Wanneer u een hybride Azure AD instelt, stelt u de integratie van een on-premises AD met Azure AD in met behulp van Azure AD Verbinding maken en Active Directory Federated Services (ADFS). Met een geslaagde configuratie kunnen uw werknemers zich naadloos aanmelden bij externe systemen met behulp van hun on-premises AD-referenties.

Belangrijk

In deze zelfstudie wordt een bare-vijfproces belijnd voor het instellen van hybride Azure AD voor een beheerd domein. U wordt aangeraden vertrouwd te zijn met het proces en niet te vertrouwen op deze zelfstudie als handleiding voor het begrijpen en implementeren van hybride Azure AD.

Voor meer informatie over hybride Azure AD begint u met de volgende artikelen in de Azure Active Directory documentatie:

Azure AD-Verbinding maken

Voor hybride Azure AD is configuratie van Azure AD-Verbinding maken vereist om computeraccounts in uw on-premises Active Directory (AD) en het apparaatobject in Azure AD synchroon te houden.

Vanaf versie 1.1.819.0 bevat Azure AD Connect een wizard om hybride Azure AD-koppeling te configureren. Het gebruik van die wizard vereenvoudigt het configuratieproces.

Als u Azure AD-Verbinding maken, hebt u referenties van een globale beheerder voor Azure AD nodig. De volgende procedure moet niet worden beschouwd als gezaghebbend voor het instellen van Azure AD Verbinding maken, maar wordt hier aangeboden om de configuratie van co-beheer tussen Intune en Configuration Manager. Zie Hybride Azure AD-join configureren voor beheerde domeinen in de Documentatie van Azure AD voor de gezaghebbende inhoud over deze en gerelateerde procedures voor het instellen van Azure AD.

Een hybride Azure AD-join configureren met behulp van Azure AD Verbinding maken

  1. De nieuwste versie van Azure AD-Verbinding maken (1.1.819.0 of hoger) downloaden en installeren.

  2. Start Azure AD Verbinding maken selecteer vervolgens Configureren.

  3. Selecteer op de pagina Extra taken de optie Apparaatopties configureren en selecteer Volgende.

  4. Selecteer Volgende op de pagina Overzicht.

  5. Voer op Verbinding maken naar Azure AD de referenties in van een globale beheerder voor Azure AD.

  6. Selecteer op de pagina Apparaatopties de optie Hybride Azure AD-koppeling configureren en selecteer Volgende.

  7. Selecteer op de pagina Apparaatbesturingssystemen de besturingssystemen die worden gebruikt door apparaten in uw Active Directory-omgeving en selecteer vervolgens Volgende.

    U kunt de optie selecteren om ondersteuning te Windows downlevel apparaten die lid zijn van een domein, maar houd er rekening mee dat co-beheer van apparaten alleen wordt ondersteund voor Windows 10.

  8. Op de pagina SCP moet u voor elk on-premises forest dat Azure AD Verbinding maken het serviceverbindingspunt (SCP) configureert, de volgende stappen uitvoeren en vervolgens Volgende selecteren:

    1. Selecteer de forest.
    2. Selecteer de verificatieservice. Als u een federatief domein hebt, selecteert u AD FS-server, tenzij uw organisatie uitsluitend Windows 10-clients heeft en u computer-/apparaatsynchronisatie hebt geconfigureerd of uw organisatie naadloze eenmalige aanmelding gebruikt.
    3. Klik op Toevoegen om de referenties van een ondernemingsbeheerder in te voeren.

  9. Als u een beheerd domein hebt, slaat u deze stap over.

    Voer op de pagina Federatieconfiguratie de referenties van uw AD FS-beheerder in en selecteer Volgende.

  10. Selecteer op de pagina Gereed om te configureren op Configureren.

  11. Selecteer de pagina Configuratie voltooid op Afsluiten.

Als u problemen hebt met het voltooien van hybride Azure AD-join voor apparaten die lid zijn van een domein Windows, zie Problemen met hybride Azure AD-joinoplossen voor Windows huidige apparaten.

Client-Instellingen clients om te leiden om te registreren bij Azure AD

Gebruik Client Instellingen om clients Configuration Manager te configureren om zich automatisch te registreren bij Azure AD.

  1. Open de Configuration Manager console > Administration Overview Client Instellingen en bewerk vervolgens > > de standaardclient Instellingen.

  2. Selecteer Cloud Services.

  3. Stel op de Instellingen standaardinstellingen automatisch nieuwe apparaten met Windows 10 domein registreren met Azure Active Directory in op = Ja.

  4. Selecteer OK om deze configuratie op te slaan.

Automatische inschrijving van apparaten bij Intune configureren

Vervolgens stellen we automatische inschrijving van apparaten met Intune in. Met automatische inschrijving kunnen apparaten die u beheert met Configuration Manager automatisch worden ingeschreven bij Intune.

Met automatische inschrijving kunnen gebruikers hun apparaat ook Windows 10 bij Intune. Apparaten worden ingeschreven wanneer een gebruiker zijn werkaccount toevoegt aan het apparaat dat persoonlijk eigendom is of wanneer een apparaat in bedrijfs eigendom wordt toegevoegd aan Azure Active Directory.

  1. Meld u aan bij Azure Portal en selecteer Azure Active Directory > Mobility (MDM en MAM) > Microsoft Intune.

  2. Configureer het MDM-gebruikersbereik. Geef een van de volgende opties op om te configureren welke apparaten van gebruikers worden Microsoft Intune en accepteer de standaardwaarden voor de URL-waarden.

    • Sommige: selecteer de groepen die automatisch hun apparaten Windows 10 registreren

    • Alle: alle gebruikers kunnen automatisch hun apparaten Windows 10 registreren

    • Geen: automatische MDM-inschrijving uitschakelen

    Belangrijk

    Als zowel Gebruikersbereik van MAM als automatische MDM-inschrijving (Gebruikersbereik van MDM) wordt ingeschakeld voor een groep, wordt alleen MAM ingeschakeld. Alleen Mobile Application Management (MAM) wordt toegevoegd voor gebruikers in die groep wanneer ze een persoonlijk apparaat toevoegen aan de werkplek. Apparaten worden niet automatisch bij MDM ingeschreven.

    Wanneer Configuration Manager is ingesteld om apparaten in te schrijven bij Intune, hoeft u het MDM-gebruikersbereik voor apparaattokeninschrijving niet te wijzigen. Configuration Manager maakt gebruik van de MDM-URL's die worden opgeslagen in de sitedatabase.

  3. Selecteer Opslaan om de configuratie van automatische inschrijving te voltooien.

  4. Ga terug naar Mobility (MDM en MAM) en selecteer vervolgens Microsoft Intune Enrollment.

    Notitie

    Sommige tenants hebben deze opties mogelijk niet om te configureren.

    Microsoft Intune is hoe u de MDM-app voor Azure AD configureert. Microsoft Intune Enrollment is een specifieke Azure AD-app die wordt gemaakt wanneer u meervoudige verificatiebeleidsregels voor iOS- en Android-inschrijving toe passen. Zie Multi-Factor Authentication vereisen voor Intune-apparaatinschrijvingen voor meer informatie.

  5. Voor MDM-gebruikersbereik selecteert u Alle en vervolgens Opslaan.

Co-beheer inschakelen in Configuration Manager

Nu hybride Azure AD is ingesteld en Configuration Manager clientconfiguraties zijn ingesteld, bent u klaar om de switch te spiegelen en co-beheer van uw Windows 10 inschakelen. De woordgroep Pilot wordt gebruikt in de dialoogvensters co-beheerfunctie en configuratie. Een testgroep is een verzameling met een subset van uw Configuration Manager apparaten. Gebruik een testgroep voor de eerste test, waarbij u naar behoefte apparaten toevoegt, totdat u klaar bent om de workloads voor alle Configuration Manager verplaatsen. Er is geen tijdslimiet voor hoe lang een testgroep kan worden gebruikt voor workloads. Een testgroep kan voor onbepaalde tijd worden gebruikt als u de workload niet wilt verplaatsen naar Configuration Manager apparaten.

Wanneer u co-beheer inschakelen, wijst u een verzameling toe als een pilotgroep. Dit is een groep die een klein aantal clients bevat om uw co-beheerconfiguraties te testen. U wordt aangeraden een geschikte verzameling te maken voordat u met de procedure begint. Vervolgens kunt u die verzameling selecteren zonder de procedure te sluiten om dit te doen. Mogelijk hebt u meerdere verzamelingen nodig, omdat u voor elke workload een andere pilotgroep kunt toewijzen.

Co-beheer inschakelen

When enabling co-management, you can use the Azure Public Cloud, Azure US Government Cloud, or Microsoft Azure China 21Vianet (added in version 2006). To enable co-management starting in Configuration Manager version 1906, follow the instructions below:

  1. In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select the Cloud Attach node. Select Configure Cloud Attach in the ribbon to open the Cloud Attach Configuration Wizard.

    • For version 2103 and earlier, expand Cloud Services and select the Co-management node. Select Configure co-management in the ribbon to open the Co-management Configuration Wizard.

  2. On the onboarding page of the wizard, configure the Azure environment to use. Choose one of the following environments:

    • Azure Public Cloud
    • Azure US Government Cloud.
    • Azure China Cloud (added in version 2006)
      • Update the Configuration Manager client to the latest version on your devices before onboarding to Azure China Cloud.

    When you select Azure China Cloud or Azure US Government Cloud, the Upload to Microsoft Endpoint Manager admin center option for tenant attach is disabled.

  3. Select Sign In. Sign in as an Azure AD global administrator, and then select Next. You sign in this one time for the purposes of this wizard. The credentials aren't stored or reused elsewhere.

  4. On the Enablement page, choose the following settings:

    • Automatic enrollment into Intune - Enables automatic client enrollment in Intune for existing Configuration Manager clients. This option allows you to enable co-management on a subset of clients to initially test co-management, and rollout co-management using a phased approach. If a device is unenrolled by the user, on the next evaluation of the policy, it will re-enroll.

      • Pilot - Only the Configuration Manager clients that are members of the Intune Auto Enrollment collection are automatically enrolled to Intune.
      • All - Enable automatic enrollment for all Windows 10 version 1709 or later, clients.
      • None - Disable automatic enrollment for all clients.

    • Intune Auto Enrollment - This collection should contain all of the clients you want to onboard into co-management. It's essentially a superset of all the other staging collections.

    Specify Intune auto enrollment collection

    Automatic enrollment isn't immediate for all clients. This behavior helps enrollment scale better for large environments. Configuration Manager randomizes enrollment based on the number of clients. For example, if your environment has 100,000 clients, when you enable this setting, enrollment occurs over several days.

    • A new co-managed device now automatically enrolls to the Microsoft Intune service based on its Azure Active Directory (Azure AD) device token. It doesn't need to wait for a user to sign in to the device for auto-enrollment to start. This change helps to reduce the number of devices with the enrollment status Pending user sign in. To support this behavior, the device needs to be running Windows 10 version 1803 or later. For more information, see Co-management enrollment status.
    • If you already have devices enrolled to co-management, new devices now enroll immediately once they meet the prerequisites.

  5. For internet-based devices that are already enrolled in Intune, copy and save the command line on the Enablement page. You'll use this command line to install the Configuration Manager client as an app in Intune for internet-based devices. If you don't save this command line now, you can review the co-management configuration at any time to get this command line.

    Tip

    The command line only shows if you've met all of the prerequisites, such as set up a cloud management gateway.

  6. On the Workloads page, for each workload, choose which device group to move over for management with Intune. For more information, see Workloads. If you only want to enable co-management, you don't need to switch workloads now. You can switch workloads later. For more information, see How to switch workloads.

    • Pilot Intune - Switches the associated workload only for the devices in the pilot collections you'll specify on the Staging page. Each workload can have a different pilot collection.
    • Intune - Switches the associated workload for all co-managed Windows 10 or later devices.

    Belangrijk

    Before you switch any workloads, make sure you properly configure and deploy the corresponding workload in Intune. Make sure that workloads are always managed by one of the management tools for your devices.

  7. On the Staging page, specify the pilot collection for each of the workloads that are set to Pilot Intune.

    Co-management configuration wizard, Staging page, specify pilot collections

  8. To enable co-management, complete the wizard.

Volgende stappen