Workloads voor co-beheer
U hoeft de workloads niet te wisselen of u kunt ze afzonderlijk uitvoeren wanneer u klaar bent. Configuration Manager blijft alle andere workloads beheren, met inbegrip van de workloads die u niet overschakelt naar Intune, en alle andere functies van Configuration Manager die niet door co-beheer worden ondersteund.
Als u een workload overschakelt naar Intune, maar u later van gedachten verandert, kunt u deze weer terugschakelen naar Configuration Manager.
Co-beheer ondersteunt de volgende workloads:
Nalevingsbeleid
Nalevingsbeleid definieert de regels en instellingen waar een apparaat aan moet voldoen om te voldoen aan het beleid voor voorwaardelijke toegang. Gebruik ook nalevingsbeleid om nalevingsproblemen met apparaten onafhankelijk van voorwaardelijke toegang te bewaken en op te lossen. Vanaf Configuration Manager versie 1910 kunt u evaluatie van aangepaste configuratiebasislijnen toevoegen als een nalevingsbeleidsevaluatieregel. Zie Aangepaste configuratiebasislijnen opnemen als onderdeel van de evaluatie van het nalevingsbeleid voor meer informatie.
Zie Nalevingsbeleid gebruiken om regels in te stellen voor apparaten die u beheert met Intune voor meer informatie over de intune-functie.
Windows Beleid bijwerken
Windows Met Update voor Bedrijfsbeleid kunt u uitstelbeleid configureren voor Windows 10-functie-updates of kwaliteitsupdates voor Windows 10-apparaten die rechtstreeks worden beheerd door Windows Update voor Bedrijven.
Zie Manage Windows 10 software updates in Intune (Software-updates beheren in Intune) voor meer informatie over de intune-functie.
Toegangsbeleid voor resources
Belangrijk
Vanaf Configuration Manager versie 2103 zijn deze toegangsfuncties voor bedrijfsbronnen van Configuration Manager en deze werkbelasting voor co-beheer afgeschaft. Gebruik Microsoft Intune om toegangsprofielen voor resources te implementeren.
Beleid voor resourcetoegang configureert VPN-, Wi-Fi-, e-mail- en certificaatinstellingen op apparaten.
Zie Toegangsprofielen voor resources implementeren voor meer informatie over de intune-functie.
Notitie
De workload toegang tot resources maakt ook deel uit van de apparaatconfiguratie. Deze beleidsregels worden beheerd door Intune wanneer u de workload Apparaatconfiguratie overschakelt.
Endpoint Protection
De Endpoint Protection omvat de Windows Defender suite met antimalwarebeveiligingsfuncties:
- Windows Defender Antimalware
- Windows Defender Application Guard
- Windows Defender Firewall
- Windows Defender SmartScreen
- Windows-versleuteling
- Windows Defender Exploit Guard
- Windows Defender Application Control
- Windows Defender Security Center
- Windows Defender endpoint (nu bekend als Microsoft Defender for Endpoint)
Zie Instellingen voor het beveiligen van apparaten met Intune Windows 10 (en hoger) voor meer informatie over de intune-functie.
Notitie
Wanneer u deze workload overschakelt, blijven Configuration Manager op het apparaat totdat het Intune-beleid ze overschrijft. Dit gedrag zorgt ervoor dat het apparaat nog steeds beveiligingsbeleid heeft tijdens de overgang.
De Endpoint Protection maakt ook deel uit van de apparaatconfiguratie. Hetzelfde gedrag is van toepassing wanneer u de workload Apparaatconfiguratie overschakelt.
Wanneer de Endpoint Protection workload zich in Intune bevindt, zijn Windows Information Protection van toepassing vanuit zowel Configuration Manager als Intune. Configuration Manager blijft het beleid Windows Information Protection toepassen totdat de workload Apparaatconfiguratie is verplaatst naar Intune.
De Microsoft Defender Antivirus die deel uitmaken van het profieltype Apparaatbeperkingen voor Intune-apparaatconfiguratie zijn niet opgenomen in het bereik van de schuifregelaar Voor eindpuntbeveiliging. Als u Microsoft Defender Antivirus beheerde apparaten wilt beheren met de schuifregelaar endpoint protection ingeschakeld, gebruikt u het nieuwe antivirusbeleid in het Microsoft Endpoint Manager-beheercentrum > > Eindpuntbeveiliging Antivirus. Voor het nieuwe beleidstype zijn nieuwe en verbeterde opties beschikbaar en worden alle dezelfde instellingen ondersteund die beschikbaar zijn in het profiel Apparaatbeperkingen.
De Windows-versleutelingsfunctie bevat BitLocker-beheer. Zie BitLocker-beheer implementeren voor meer informatie over het gedrag van deze functie met co-beheer.
Apparaatconfiguratie
De workload apparaatconfiguratie bevat instellingen die u beheert voor apparaten in uw organisatie. Als u deze workload overschakelt, worden ook de resourcetoegang en Endpoint Protection verplaatst.
U kunt nog steeds instellingen implementeren Configuration Manager beheerde apparaten, ook al is Intune de instantie voor apparaatconfiguratie. Deze uitzondering kan worden gebruikt om instellingen te configureren die uw organisatie vereist, maar die nog niet beschikbaar zijn in Intune. Geef deze uitzondering op voor een Configuration Manager configuratiebasislijn. Schakel de optie in om deze basislijn altijd toe te passen, zelfs voor co-beheerde clients bij het maken van de basislijn. U kunt deze later wijzigen op het tabblad Algemeen van de eigenschappen van een bestaande basislijn.
Zie Een apparaatprofiel maken in Microsoft Intune voor meer informatie over de intune-Microsoft Intune.
Notitie
Wanneer u de workload voor apparaatconfiguratie overschakelt, bevat deze ook beleidsregels voor de Windows Information Protection functie. Alleen beleidsregels van Intune zijn van toepassing zodra de workload Apparaatconfiguratie is verplaatst naar Intune.
Office Klik-en-klik-en-voer-apps
Met deze workload worden Microsoft 365-apps beheerde apparaten beheerd.
Nadat de workload is verplaatst, wordt de app in de Bedrijfsportal op het apparaat
Office kan het ongeveer 24 uur duren om updates weer te geven op de client, tenzij de apparaten opnieuw worden opgestart
Er is een nieuwe globale voorwaarde: Are Office 365 applications managed by Intune on the device. Deze voorwaarde wordt standaard toegevoegd als vereiste voor nieuwe Microsoft 365 toepassingen. Wanneer u deze workload overwerkt, voldoen co-beheerde clients niet aan de vereiste voor de toepassing. Vervolgens installeren ze geen Microsoft 365 geïmplementeerd via Configuration Manager.
Updates kunnen worden beheerd met een van de volgende functies:
- Instellingen van het updatekanaal en de doelversie gebruiken om Microsoft 365 bij te werken met Microsoft Intune-beheersjablonen
- Beheer Microsoft 365-apps met Configuration Manager.
Zie Add Microsoft 365 apps to Windows 10 devices with Microsoft Intune voor meer informatie over de intune-functie.
Client-apps
Tip
Deze functie is voor het eerst geïntroduceerd in versie 1806 als een pre-release-functie. Vanaf versie 2002 is het geen pre-release-functie meer.
Deze functie wordt mogelijk weergegeven in de lijst met functies als Mobiele apps voor co-beheerde apparaten.
Gebruik Intune voor het beheren van client-apps en PowerShell-scripts op co-beheerde Windows 10 apparaten. Nadat u deze workload hebt over zetten, zijn alle beschikbare apps die vanuit Intune zijn geïmplementeerd, beschikbaar in Bedrijfsportal. Apps die u implementeert vanuit Configuration Manager zijn beschikbaar in Software Center.
Zie Wat is Microsoft Intune app-beheer? voor meer informatie over de intune-functie.
Notitie
In Windows 10 versie 1903 en hoger worden PowerShell-scripts nog steeds uitgevoerd op co-beheerde apparaten, zelfs als u de workload Client-apps niet hebt overgeschakeld naar Intune.
Wanneer u Microsoft-Verbonden cache op uw Configuration Manager-distributiepunten inschakelen, kunnen ze Microsoft Intune Win32-apps gebruiken voor co-beheerde clients. Zie Microsoft Verbonden cache in Configuration Manager voor meer informatie.
Diagram voor app-workloads
Tip
Vanaf versie 2006 kunt u de configuratie zo configureren Bedrijfsportal ook de apps Configuration Manager worden. Als u deze app-portal-ervaring wijzigt, wordt het gedrag gewijzigd dat in het bovenstaande diagram wordt beschreven. Zie De bedrijfsportal-app configureren op co-beheerde apparaten voor meer informatie.
Bekende problemen
Van toepassing op versie 2006 en eerder
Wanneer de Endpoint Protection workload wordt verplaatst naar Intune, kan de client zich nog steeds houden aan het beleid dat is ingesteld door Configuration Manager en Microsoft Defender.
U kunt dit probleem oplossen door de CleanUpPolicy.xml toe te passen met ConfigSecurityPolicy.exe nadat het Intune-beleid door de client is ontvangen met behulp van de onderstaande stappen:
Kopieer de onderstaande tekst en sla deze op als
CleanUpPolicy.xml.<?xml version="1.0" encoding="UTF-8"?> <SecurityPolicy xmlns="http://forefront.microsoft.com/FEP/2010/01/PolicyData" Name="FEP clean-up policy"><PolicySection Name="FEP.AmPolicy"><LocalGroupPolicySettings><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Microsoft Antimalware"/><IgnoreKey Name="SOFTWARE\Policies\Microsoft\Windows Defender"/></LocalGroupPolicySettings></PolicySection></SecurityPolicy>Open een opdrachtprompt met verhoogde opdracht naar
ConfigSecurityPolicy.exe. Dit uitvoerbare bestand staat doorgaans in een van de volgende directories:- C:\Program Files\Windows Defender
- C:\Program Files\Microsoft Security Client
Geef vanaf de opdrachtprompt het XML-bestand door om het beleid op te schonen. Bijvoorbeeld
ConfigSecurityPolicy.exe C:\temp\CleanUpPolicy.xml.