Руководство. Включение функции совместного управления в существующих клиентах Configuration Manager

При совместном управлении вы по-прежнему управляете ПК в организации с помощью Configuration Manager, сохраняя привычные процессы. Одновременно вы открываете для себя возможности облака, используя Intune для безопасности и современной подготовки.

В этом руководстве описано, как настроить совместное управление устройствами Windows 10 или более поздними версиями, которые уже зарегистрированы в Configuration Manager. Это руководство начинается с того, что вы уже используете Configuration Manager для управления устройствами Windows 10 или более поздних версий.

Используйте это руководство, если:

  • У вас есть локальная служба Active Directory, который можно подключить к идентификатору Microsoft Entra в гибридной конфигурации Microsoft Entra.

    Если не удается развернуть идентификатор гибридной Microsoft Entra, который присоединяет локальную службу AD к идентификатору Microsoft Entra, рекомендуем выполнить инструкции из нашего дополнительного учебника Включение совместного управления для новых интернет-Windows 10 или более поздних версий устройств.

  • У вас есть клиенты Configuration Manager, которые требуется подключить к облаку.

В этом руководстве вы выполните следующие действия.

  • Ознакомьтесь с предварительными условиями для Azure и локальной среды
  • Настройка идентификатора гибридной Microsoft Entra
  • Настройка Configuration Manager агентов клиента для регистрации с помощью идентификатора Microsoft Entra
  • Настройка Intune для автоматической регистрации устройств
  • Включение совместного управления в Configuration Manager

Предварительные требования

Службы и среда Azure

Если в вашей среде еще нет, в этом руководстве вы настроите Microsoft Entra Подключение между локальная служба Active Directory и клиентом Microsoft Entra.

Примечание.

Устройства, зарегистрированные только с идентификатором Microsoft Entra, не поддерживаются совместное управление. Эту конфигурацию иногда называют присоединенной к рабочему месту. Они должны быть присоединены к идентификатору Microsoft Entra или Microsoft Entra гибридное присоединение. Дополнительные сведения см. в разделе Обработка устройств с Microsoft Entra зарегистрированным состоянием.

Локальная инфраструктура

  • Поддерживаемая версия Configuration Manager current branch
  • Центр управления мобильными устройствами (MDM) должен иметь значение Intune.

Разрешения

В этом руководстве для выполнения задач используйте следующие разрешения:

  • Учетная запись, которая является администратором домена в локальной инфраструктуре.
  • Учетная запись, которая является полным администратором для всех областей в Configuration Manager
  • Учетная запись, которая является глобальным администратором в идентификаторе Microsoft Entra.
    • Убедитесь, что вы назначили лицензию Intune учетной записи, используемой для входа в клиент. В противном случае вход завершается сбоем с сообщением Об ошибке Произошла непредвиденная ошибка.

Настройка идентификатора гибридной Microsoft Entra

При настройке идентификатора гибридной Microsoft Entra вы действительно настраиваете интеграцию локальной службы AD с идентификатором Microsoft Entra с помощью Microsoft Entra Connect и федеративных служб Active Directory (ADFS). После успешной настройки рабочие могут легко входить во внешние системы с помощью локальных учетных данных AD.

Важно!

В этом руководстве описывается процесс настройки идентификатора гибридного Microsoft Entra для управляемого домена. Рекомендуется ознакомиться с процессом и не полагаться на это руководство в качестве руководства по пониманию и развертыванию идентификатора гибридного Microsoft Entra.

Дополнительные сведения об идентификаторе гибридного Microsoft Entra см. в следующих статьях документации по Microsoft Entra:

Настройка Microsoft Entra Connect

Идентификатор гибридного Microsoft Entra требует настройки Microsoft Entra Connect для синхронизации учетных записей компьютеров в локальная служба Active Directory (AD) и объекта устройства в Microsoft Entra идентификатора.

Начиная с версии 1.1.819.0, Microsoft Entra Connect предоставляет мастер настройки Microsoft Entra гибридного присоединения. Использование этого мастера упрощает процесс настройки.

Чтобы настроить Microsoft Entra Connect, вам потребуются учетные данные глобального администратора для идентификатора Microsoft Entra. Следующая процедура не должна считаться авторитетной для настройки Microsoft Entra Connect, но приведена здесь, чтобы упростить настройку совместного управления Между Intune и Configuration Manager. Сведения об этом и связанных процедурах настройки идентификатора Microsoft Entra см. в статье Настройка гибридного присоединения Microsoft Entra для управляемых доменов в документации по Microsoft Entra.

Настройка гибридного соединения Microsoft Entra с помощью Microsoft Entra Connect

  1. Получите и установите последнюю версию Microsoft Entra Connect (1.1.819.0 или более поздней).

  2. Запустите Microsoft Entra Connect и выберите Настроить.

  3. На странице Дополнительные задачи выберите Настроить параметры устройства, а затем нажмите кнопку Далее.

  4. На странице Обзор нажмите кнопку Далее.

  5. На странице Идентификатор подключения к Microsoft Entra введите учетные данные глобального администратора для идентификатора Microsoft Entra.

  6. На странице Параметры устройства выберите Настроить Microsoft Entra гибридного присоединения, а затем нажмите кнопку Далее.

  7. На странице Операционные системы устройств выберите операционные системы, используемые устройствами в среде Active Directory, а затем нажмите кнопку Далее.

    Вы можете выбрать вариант для поддержки устройств Windows нижнего уровня, присоединенных к домену, но имейте в виду, что совместное управление устройствами поддерживается только для Windows 10 или более поздних версий.

  8. На странице SCP для каждого локального леса, который требуется Microsoft Entra Connect, чтобы настроить точку подключения службы (SCP), выполните следующие действия и нажмите кнопку Далее:

    1. Выберите лес.
    2. Выберите службу проверки подлинности. Если у вас есть федеративный домен, выберите сервер AD FS, если в вашей организации нет исключительно Windows 10 или более поздних версий клиентов и вы настроили синхронизацию компьютера или устройства или ваша организация использует ПростойSSO.
    3. Нажмите кнопку Добавить , чтобы ввести учетные данные администратора предприятия.
  9. Если у вас есть управляемый домен, пропустите этот шаг.

    На странице Конфигурация федерации введите учетные данные администратора AD FS и нажмите кнопку Далее.

  10. На странице Готово к настройке выберите Настроить.

  11. На странице Настройка завершена выберите Выйти.

Если у вас возникли проблемы с завершением Microsoft Entra гибридного присоединения для устройств Windows, присоединенных к домену, см. статью Устранение неполадок Microsoft Entra гибридного присоединения для текущих устройств Windows.

Настройка параметров клиента для направления клиентов на регистрацию с помощью идентификатора Microsoft Entra

Используйте параметры клиента, чтобы настроить автоматическую регистрацию клиентов Configuration Manager с помощью идентификатора Microsoft Entra.

  1. Откройте консоль>администрирования> Configuration Managerобзор>параметров клиента, а затем измените параметры клиента по умолчанию.

  2. Выберите Облачные службы.

  3. На странице Параметры по умолчанию задайте для параметра Автоматически регистрировать новые устройства, присоединенные к домену Windows 10, с идентификатором Microsoft Entra значение = Да.

  4. Нажмите кнопку ОК , чтобы сохранить эту конфигурацию.

Настройка автоматической регистрации устройств в Intune

Далее мы настроим автоматическую регистрацию устройств в Intune. При автоматической регистрации устройства, которыми вы управляете, Configuration Manager автоматически регистрироваться в Intune.

Автоматическая регистрация также позволяет пользователям регистрировать свои Windows 10 или более поздних версий устройств в Intune. Устройства регистрируются, когда пользователь добавляет свою рабочую учетную запись на личное устройство или когда корпоративное устройство присоединяется к Microsoft Entra идентификатору.

  1. Войдите в портал Azure и выберите Microsoft Entra ID>Mobility (MDM и MAM)>Microsoft Intune.

  2. Настройка область пользователя MDM. Укажите одно из следующих значений, чтобы настроить, какие устройства пользователей управляются Microsoft Intune и принять значения URL-адресов по умолчанию.

    • Некоторые. Выберите группы, которые могут автоматически регистрировать свои Windows 10 или более поздних устройств.

    • Все: все пользователи могут автоматически регистрировать свои Windows 10 или более поздних версий устройств.

    • Нет: отключение автоматической регистрации MDM

    Важно!

    Если для группы включены как область пользователя MAM, так и автоматическая регистрация MDM (область пользователя MDM), включена только MAM. Только управление мобильными приложениями (MAM) добавляется для пользователей в этой группе, когда они присоединяются к личному устройству на рабочем месте. Устройства не регистрируются автоматически.

    Если Configuration Manager настроено для регистрации устройств в Intune, вам не нужно изменять область пользователя MDM для регистрации маркера устройства. Configuration Manager использует URL-адреса MDM, которые хранятся в базе данных сайта.

  3. Нажмите кнопку Сохранить , чтобы завершить настройку автоматической регистрации.

  4. Вернитесь в раздел Мобильность (MDM и MAM), а затем выберите Microsoft Intune Регистрация.

    Примечание.

    Некоторые клиенты могут не иметь этих параметров для настройки.

    Microsoft Intune настройка приложения MDM для идентификатора Microsoft Entra. регистрация Microsoft Intune — это определенное приложение Microsoft Entra, которое создается при применении политик многофакторной идентификации для регистрации iOS и Android. Дополнительные сведения см. в статье Настройка обязательной многофакторной проверки подлинности для регистрации устройств в Intune.

  5. Для область пользователя MDM выберите Все, а затем — Сохранить.

Включение совместного управления в Configuration Manager

Благодаря настройке гибридных Microsoft Entra и Configuration Manager конфигураций клиентов вы можете переключить переключатель и включить совместное управление устройствами Windows 10 или более поздних версий. Фраза Пилотная группа используется в диалоговых окнах совместного управления и конфигурации. Пилотная группа — это коллекция, содержащая подмножество устройств Configuration Manager. Используйте пилотную группу для первоначального тестирования, добавляя устройства по мере необходимости, пока не будете готовы к перемещению рабочих нагрузок для всех Configuration Manager устройств. Срок использования пилотной группы для рабочих нагрузок не ограничен. Пилотную группу можно использовать на неопределенный срок, если вы не хотите перемещать рабочую нагрузку на все Configuration Manager устройства.

При включении совместного управления вы назначите коллекцию в качестве пилотной группы. Это группа, которая содержит небольшое количество клиентов для тестирования конфигураций совместного управления. Перед началом процедуры рекомендуется создать подходящую коллекцию. Затем можно выбрать эту коллекцию, не выходя из процедуры. Может потребоваться несколько коллекций, так как для каждой рабочей нагрузки можно назначить другую пилотную группу .

Примечание.

Так как устройства регистрируются в службе Microsoft Intune на основе Microsoft Entra маркера устройства, а не маркера пользователя, к регистрации будет применяться только ограничение регистрации Intune по умолчанию.

Включение совместного управления для версий 2111 и более поздних

Начиная с Configuration Manager версии 2111, интерфейс подключения к совместному управлению изменился. Мастер настройки подключения к облаку упрощает включение совместного управления и других облачных функций. Вы можете выбрать упрощенный набор рекомендуемых параметров по умолчанию или настроить собственные функции подключения к облаку. Существует также новая встроенная коллекция устройств для совместного управления соответствующими устройствами , которые помогут вам идентифицировать клиентов. Дополнительные сведения о включении совместного управления см. в статье Включение подключения к облаку.

Примечание.

При использовании нового мастера рабочие нагрузки не перемещаются одновременно с включением совместного управления. Чтобы переместить рабочие нагрузки, вы измените свойства совместного управления после включения подключения к облаку.

Включение совместного управления для версий 2107 и более ранних

При включении совместного управления можно использовать общедоступное облако Azure, Azure для государственных организаций облако или облако Azure 21Vianet для Китая (добавлено в версии 2006). Чтобы включить совместное управление, выполните следующие инструкции.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните узел Облачные службы и выберите узел Подключение облака. Выберите Настроить подключение к облаку на ленте, чтобы открыть мастер настройки облачного подключения.

    Для версии 2103 и более ранних разверните узел Облачные службы и выберите узел Совместное управление. Выберите Настроить совместное управление на ленте, чтобы открыть мастер настройки совместного управления.

  2. На странице подключения мастера для среды Azure выберите одну из следующих сред:

    • Общедоступное облако Azure

    • Azure для государственных организаций облако

    • Облако Azure для Китая (добавлено в версии 2006)

      Примечание.

      Обновите клиент Configuration Manager до последней версии на своих устройствах перед подключением к облаку Azure для Китая.

    При выборе облака Azure для Китая или облака Azure для государственных организаций параметр Отправить в центр администрирования Microsoft Endpoint Manager для подключения клиента отключается.

  3. Нажмите Войти. Войдите в качестве глобального администратора Microsoft Entra, а затем нажмите кнопку Далее. Вы входите в систему один раз для целей этого мастера. Учетные данные не хранятся или повторно не будут использоваться в другом месте.

  4. На странице Включение выберите следующие параметры:

    • Автоматическая регистрация в Intune. Включает автоматическую регистрацию клиентов в Intune для существующих клиентов Configuration Manager. Этот параметр позволяет включить совместное управление для подмножества клиентов, чтобы сначала протестировать совместное управление, а затем развернуть совместное управление с помощью поэтапного подхода. Если пользователь отменит регистрацию устройства, оно будет повторно зарегистрировано при следующей оценке политики.

      • Пилотный проект. В Intune автоматически регистрируются только клиенты Configuration Manager, которые являются членами коллекции автоматической регистрации Intune.
      • Все. Включите автоматическую регистрацию для всех клиентов, работающих Windows 10 версии 1709 или более поздней.
      • Нет. Отключите автоматическую регистрацию для всех клиентов.
    • Автоматическая регистрация Intune. Эта коллекция должна содержать все клиенты, которые вы хотите подключить к совместному управлению. Это, по сути, надмножество всех остальных промежуточных коллекций.

    Снимок экрана: страница мастера включения автоматической регистрации в Intune.

    Автоматическая регистрация не является немедленной для всех клиентов. Такое поведение помогает лучше масштабировать регистрацию для больших сред. Configuration Manager случайным образом определяет регистрацию в зависимости от количества клиентов. Например, если в вашей среде 100 000 клиентов, при включении этого параметра регистрация происходит в течение нескольких дней.

    Новое совместно управляемое устройство теперь автоматически регистрируется в службе Microsoft Intune на основе маркера устройства Microsoft Entra. Для запуска автоматической регистрации не нужно ждать, пока пользователь войдет на устройство. Это изменение помогает сократить количество устройств с состоянием регистрации Ожидание входа пользователя.Для поддержки этого поведения устройство должно работать Windows 10 версии 1803 или более поздней. Дополнительные сведения см. в разделе Состояние регистрации совместного управления.

    Если у вас уже есть устройства, зарегистрированные в совместном управлении, новые устройства регистрируются сразу после того, как они соответствуют предварительным требованиям.

  5. Для интернет-устройств, которые уже зарегистрированы в Intune, скопируйте и сохраните команду на странице Включение . Эта команда используется для установки клиента Configuration Manager в качестве приложения в Intune для интернет-устройств. Если вы не сохраните эту команду сейчас, вы можете в любое время просмотреть конфигурацию совместного управления, чтобы получить эту команду.

    Совет

    Команда отображается только в том случае, если выполнены все предварительные требования, например настройка шлюза управления облаком.

  6. На странице Рабочие нагрузки для каждой рабочей нагрузки выберите группу устройств для управления с помощью Intune. Дополнительные сведения см. в разделе Рабочие нагрузки.

    Если вы хотите включить только совместное управление, вам не нужно переключать рабочие нагрузки сейчас. Вы можете переключить рабочие нагрузки позже. Дополнительные сведения см. в разделе Переключение рабочих нагрузок.

    • Пилотная версия Intune: переключает связанную рабочую нагрузку только для устройств в пилотных коллекциях, которые будут указаны на странице Промежуточное. У каждой рабочей нагрузки может быть другая пилотная коллекция.
    • Intune: переключает связанную рабочую нагрузку для всех совместно управляемых устройств Windows 10 или более поздних версий.

    Важно!

    Перед переключением рабочих нагрузок убедитесь, что соответствующая рабочая нагрузка правильно настроена и развернута в Intune. Убедитесь, что рабочие нагрузки всегда управляются одним из средств управления для ваших устройств.

  7. На странице Промежуточное управление укажите пилотную коллекцию для каждой рабочей нагрузки, для которых задано значение Pilot Intune.

    Снимок экрана: промежуточная страница мастера конфигурации совместного управления с параметрами для указания пилотных коллекций.

  8. Чтобы включить совместное управление, завершите работу мастера.

Дальнейшие действия