Руководство. Включение совместного управления для существующих клиентов Configuration Manager

Благодаря совместному управлению вы можете сохранить устоявшиеся процессы использования Configuration Manager для управления компьютерами в организации. В то же время вы инвестируете средства в облако, используя Intune, чтобы обеспечить безопасность и современную подготовку к работе.

При изучении этого руководства вы настроите совместное управление устройствами Windows 10, которые уже зарегистрированы в Configuration Manager. В этом руководстве предполагается, что вы уже используете Configuration Manager для управления устройствами Windows 10.

Сценарии, в которых применимо это руководство:

  • У вас есть локальная служба Active Directory, которую можно подключить к Azure Active Directory (Azure AD) в гибридной конфигурации Azure AD.

    Если вы не можете развернуть гибридную конфигурацию Azure Active Directory (AD), которая подключает вашу локальную службу AD к Azure AD, рекомендуем следовать инструкциям в руководстве по активации совместного управления интернет-устройствами с ОС Windows 10.

  • У вас есть существующие клиенты Configuration Manager, которые нужно подключить к облаку.

В рамках этого руководства вы выполните следующие шаги:

  • Проверка выполнения предварительных требований для Azure и своей локальной среды
  • Настройка гибридного экземпляра Azure AD
  • Настройка агентов клиента Configuration Manager для регистрации в Azure AD
  • Настройка Intune для автоматической регистрации устройств
  • Включение совместного управления в Configuration Manager

Предварительные условия

Службы и окружение Azure

В рамках этого руководства вы также выполните следующие действия, если они еще не выполнены в вашей среде:

  • Настройка соединителя Azure AD Connect между своей локальной службой Active Directory и клиентом Azure Active Directory (AD).

Совет

Вам больше не нужно покупать и назначать отдельные лицензии Intune или EMS для своих пользователей. См. вопросы и ответы о продуктах и лицензировании.

Локальная инфраструктура

  • Поддерживаемая версия консоли Configuration Manager Current Branch
  • В качестве центра управления мобильными устройствами (MDM) следует установить Intune.

Разрешения

Для выполнения задач в рамках этого руководства используются следующие разрешения:

  • учетная запись с правами администратора домена в локальной инфраструктуре;
  • учетная запись с правами полного администратора для всех областей в Configuration Manager;
  • учетная запись с правами глобального администратора в Azure Active Directory (AAD).
    • Убедитесь, что для учетной записи, которая используется для входа в клиент, назначена лицензия Intune. В противном случае вход завершится ошибкой с сообщением Произошла непредвиденная ошибка.

Настройка гибридного экземпляра Azure AD

Настраивая гибридную конфигурацию Azure AD, вы фактически настраиваете интеграцию локальной службы AD с Azure AD с помощью Azure AD Connect и служб федерации Active Directory (ADFS). Если конфигурация настроена правильно, ваши сотрудники смогут легко входить во внешние системы, используя свои локальные учетные данные AD.

Важно!

В этом руководстве кратко поясняется процесс настройки гибридной конфигурации Azure AD для управляемого домена. Мы рекомендуем вам самостоятельно ознакомиться с процессом более детально и не полагаться на это руководство как на основной источник знаний при развертывании гибридной конфигурации Azure AD.

Чтобы узнать больше о гибридной конфигурации Azure AD, прочитайте для начала следующие статьи в документации по Azure Active Directory:

Настройка Azure AD Connect

Для гибридной конфигурации Azure AD необходимо настроить Azure AD Connect, чтобы поддерживать синхронизацию вашей локальной службы Active Directory (AD) и объекта устройства в Azure AD.

Начиная с версии 1.1.819.0, Azure AD Connect содержит мастер для гибридного присоединения к Azure AD. Использование этого мастера упрощает процесс настройки.

Чтобы настроить Azure AD Connect, нужны учетные данные глобального администратора для AAD.

Совет

Описанная ниже процедура настройки Azure AD Connect не является официально рекомендуемой. Она предоставляется здесь для упрощения настройки совместного управления для Intune и Configuration Manager. Официальные рекомендации для всех процедур по настройке Azure AD см. в статье Настройка гибридного присоединения к Azure Active Directory для управляемых доменов в документации по Azure AD.

Настройка гибридного присоединения к Azure AD с помощью Azure AD Connect

  1. Скачайте и установите последнюю версию Azure AD Connect (1.1.819.0 или более поздняя версия).

  2. Запустите Azure AD Connect и выберите Настроить.

  3. На странице Дополнительные задачи выберите Настройка параметров устройства, а затем — Далее.

  4. На странице Обзор выберите Далее.

  5. На странице Подключение к Azure AD введите учетные данные глобального администратора для AAD.

  6. На странице Параметры устройства выберите Настроить гибридное присоединение к Azure AD, а затем — Далее.

  7. На странице Операционные системы устройств выберите операционные системы устройств в своей среде Active Directory, а затем выберите Далее.

    Вы можете выбрать параметр для поддержки присоединенных к домену устройств с ОС Windows прежних версий, но помните, что совместное управление устройствами поддерживается только для Windows 10.

  8. На странице Точка подключения службы выполните следующие действия для каждого локального леса, где средство Azure AD Connect должно настроить точку подключения службы, а затем выберите Далее:

    1. Выберите лес.
    2. Выберите службу проверки подлинности. Если у вас федеративный домен, выберите сервер AD FS за исключением случаев, когда в организации используются только клиенты Windows 10 и настроена синхронизация компьютеров и устройств или в организации используется простой единый вход.
    3. Щелкните Добавить и введите учетные данные администратора предприятия.
  9. Если у вас управляемый домен, пропустите этот шаг.

    На странице Настройка службы федерации введите учетные данные администратора AD FS и выберите Далее.

  10. На странице Готово к настройке выберите Настроить.

  11. На странице Конфигурация завершена выберите Выход.

Если в процессе гибридного присоединения к Azure AD присоединенных к домену устройств с ОС Windows возникают проблемы, см. статью Устранение неполадок на устройствах под управлением Windows 10 и Windows Server 2016 с гибридным присоединением к Azure Active Directory.

Настройка параметров клиента для прямой регистрации клиентов в AAD

С помощью параметров клиента настройте автоматическую регистрацию клиентов Configuration Manager в Azure AD.

  1. Откройте консоль Configuration Manager > Администрирование > Обзор > Параметры клиента и измените параметры клиента по умолчанию.

  2. Выберите Облачные службы.

  3. На странице Параметры по умолчанию установите для параметра Автоматически регистрировать новые присоединенные к домену устройства с Windows 10 в Azure Active Directory значение Да.

  4. Нажмите кнопку ОК, чтобы сохранить конфигурацию.

Настройка автоматической регистрации устройств в Intune

Далее мы настроим автоматическую регистрацию устройств в Intune. После этого устройства, которыми вы управляете в Configuration Manager, будут автоматически регистрироваться в Intune.

При автоматической регистрации пользователи также смогут регистрировать свои устройства Windows 10 в Intune. Устройства регистрируются, когда пользователь добавляет свою рабочую учетную запись на личное устройство или когда корпоративное устройство присоединяется к Azure Active Directory.

  1. Войдите на портал Azure и выберите Azure Active Directory > Мобильность (MDM и MAM) > Microsoft Intune.

  2. Настройте область пользователей MDM. Выберите один из следующих параметров, чтобы указать, какими устройствами пользователей управляет Microsoft Intune, и примите значения URL-адресов по умолчанию.

    • Некоторые: выберите группы, которые могут автоматически регистрировать свои устройства Windows 10

    • Все: все пользователи могут автоматически регистрировать свои устройства Windows 10

    • Нет: отключите автоматическую регистрацию MDM

    Важно!

    Если для группы включены оба параметра: Область пользователей MAM и автоматическая регистрация MDM (Область пользователей MDM), работает только MAM. Когда пользователи этой группы подключают к рабочему месту личные устройства, для них добавляется только управление мобильными приложениями (MAM). Устройства не регистрируются в MDM автоматически.

    Если Configuration Manager настроен на регистрацию устройств в Intune, вам не нужно изменять область пользователей MDM для регистрации маркера устройства. Configuration Manager использует URL-адреса MDM, которые он хранит в базе данных сайта.

  3. Выберите Сохранить, чтобы завершить настройку автоматической регистрации.

  4. Вернитесь в раздел Мобильность (MDM и MAM) и выберите Microsoft Intune Enrollment (Регистрация Microsoft Intune).

    Примечание

    У некоторых клиентов может не быть этих параметров для настройки.

    Microsoft Intune — это настройка приложения MDM для Azure AD. Регистрация в Microsoft Intune — это конкретное приложение Azure AD, которое создается при применении политик многофакторной идентификации для регистрации устройств iOS и Android. Дополнительные сведения см. в разделе Настройка обязательной многофакторной проверки подлинности для регистрации устройств в Intune.

  5. Для области пользователей MDM выберите Все, а затем — Сохранить.

Включение совместного управления в Configuration Manager

После настройки гибридного присоединения к Azure AD и настройки клиентов Configuration Manager все готово, чтобы активировать совместное управление устройствами Windows 10. Фраза Пилотная группа используется во всех диалоговых окнах функции совместного управления и настройки. Пилотная группа — это коллекция, содержащая подмножество устройств Configuration Manager. Используйте пилотную группу для первоначального тестирования, добавляя устройства по мере необходимости, пока вы не будете готовы к перемещению рабочих нагрузок для всех устройств Configuration Manager. Время, в течение которого пилотную группу можно использовать для рабочих нагрузок, не ограничено. Пилотную группу можно использовать неограниченно долго, если вы не хотите перемещать рабочую нагрузку на все устройства Configuration Manager.

Совет

  • При включении совместного управления вы назначите коллекцию в качестве пилотной группы. Это небольшая группа клиентов для тестирования конфигураций совместного управления. Перед началом процедуры рекомендуем создать соответствующую коллекцию. Затем во время выполнения процедуры вы сможете выбрать эту коллекцию, не отвлекаясь на ее создание.
  • Начиная с версии 1906 Configuration Manager, может потребоваться несколько коллекций, так как для каждой рабочей нагрузки можно назначить отдельную пилотную группу.

Включение совместного управления, начиная с версии 1906

При включении совместного управления можно использовать общедоступное облако Azure, Облако Azure для государственных организаций США или Microsoft Azure для Китая (21Vianet) (добавлено в версии 2006). Чтобы включить совместное управление в Configuration Manager версии 1906, следуйте приведенным ниже инструкциям.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните Облачные службы и выберите узел Совместное управление. Щелкните на ленте Настроить совместное управление, чтобы открыть мастер настройки совместного управления.

  2. На странице мастера Подключение клиента настройте используемую среду Azure. Выберите одну из следующих сред:

    • общедоступное облако Azure;
    • облако Azure для государственных организаций США;
    • облако Azure для Китая (добавлено в версии 2006).
      • Обновите клиент Configuration Manager до последней версии на устройствах перед подключением к облаку Azure для Китая.

    Когда вы выберете облако Azure для Китая или Azure для государственных организаций США, параметр Отправлять данные в центр администрирования Microsoft Endpoint Manager в разделе Присоединение арендатора будет отключен.

  3. Выберите Войти. Войдите в систему как глобальный администратор AAD и нажмите Далее. Вы выполните вход один раз для использования мастера. Учетные данные не хранятся и не используются повторно в других местах.

  4. На странице Включение выберите следующие параметры.

    • Automatic enrollment into Intune (Автоматическая регистрация в Intune). Активирует автоматическую регистрацию клиента в Intune для существующих клиентов Configuration Manager. Этот параметр позволяет включить совместное управление для набора клиентов для первоначального тестирования совместного управления и развертывания совместного управления с помощью поэтапного подхода. Если пользователь отменяет регистрацию устройства, при следующем применении политики оно будет повторно зарегистрировано.

      • Pilot (Пилотный проект). Автоматически регистрируются в Intune только те клиенты Configuration Manager, которые являются членами коллекции Автоматическая регистрация в Intune.
      • All (Все). Активация автоматической регистрации для всех клиентов Windows 10 версии 1709 или более поздней.
      • Нет. Отключить автоматическую регистрацию для всех клиентов.
    • Автоматическая регистрация в Intune. Эта коллекция должна содержать все клиенты, которые будут подключены для совместного управления. Это по сути надмножество всех промежуточных коллекций.

    Укажите коллекцию автоматической регистрации в Intune

    Автоматическая регистрация не выполняется немедленно для всех клиентов. Это позволяет более эффективно масштабировать регистрацию в крупных средах. Configuration Manager случайным образом выполняет регистрацию на основе числа клиентов. Например, если в среде имеется 100 000 клиентов, при включении этого параметра регистрация выполняется в течение нескольких дней.

    Примечание

    Начиная с версии 1906:

    • Новое совместно управляемое устройство теперь автоматически регистрируется в службе Microsoft Intune, на основе токена устройства из Azure Active Directory (Azure AD). Ему не нужно ждать входа пользователя на устройство для начала автоматической регистрации. Это изменение помогает уменьшить количество устройств в состоянии регистрации Ожидает входа пользователя. Для поддержки этого поведения устройства должны работать под управлением Windows 10 версии 1803 или более поздней. Дополнительные сведения см. в разделе Состояние регистрации совместного управления.

    • При наличии устройств, зарегистрированных для совместного управления, новые устройства теперь регистрируются сразу после выполнения необходимых требований.

  5. Если у вас есть подключенные к Интернету устройства, которые уже зарегистрированы в Intune, скопируйте и сохраните командную строку со страницы включения. Эта командная строка используется для установки клиента Configuration Manager в качестве приложения в Intune для интернет-устройств. Если вы не сохраните эту командную строку сейчас, вы можете в любое время получить ее, просмотрев конфигурацию совместного управления.

    Совет

    Командная строка лишь показывает, выполнены ли все предварительные требования, например настройка шлюза управления облачными клиентами.

  6. На странице Рабочие нагрузки выберите для каждой рабочей нагрузки группу устройств, которую нужно передать на управление в Intune. Дополнительные сведения о рабочих нагрузках см. здесь. Если вы хотите только включить совместное управление, переключение рабочих нагрузок можно пока не выполнять. Вы сможете переключить рабочие нагрузки позднее. Дополнительные сведения см. в статье о переключении рабочих нагрузок.

    • Pilot Intune (Пилотная коллекция Intune). Переключает связанную рабочую нагрузку только для устройств в пилотных коллекциях, которые будут указаны на странице Промежуточные. Каждая рабочая нагрузка может иметь отдельную пилотную коллекцию.
    • Параметр Intune позволяет переключить сопоставленную рабочую нагрузку для всех совместно управляемых устройств с Windows 10.

    Важно!

    Перед переключением рабочих нагрузок убедитесь, что вы правильно настроили и развернули в Intune соответствующую рабочую нагрузку. Убедитесь, что рабочими нагрузками для ваших устройств всегда управляет одно из средств управления.

  7. На странице Промежуточные укажите пилотную коллекцию для каждой рабочей нагрузки, которая задана на странице Pilot Intune (Пилотная коллекция Intune).

    Мастер настройки совместного управления, страница "Промежуточные", указание пилотных коллекций

  8. Чтобы включить совместное управление, завершите работу мастера.

Включение совместного управления в версии 1902 и более ранних

Чтобы включить совместное управление в Configuration Manager версии 1902 и более ранних, следуйте приведенным ниже инструкциям.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование, разверните Облачные службы и выберите узел Совместное управление. Выберите на ленте Configure co-management (Настроить совместное управление), чтобы открыть Co-management Configuration Wizard (Мастер настройки совместного управления).

  2. На станице мастера Подписка щелкните Войти. Войдите в клиент Intune и нажмите кнопку Далее.

  3. На странице включения выберите для параметра Automatic enrollment into Intune (Автоматическая регистрация в Intune) значение Pilot (Пилотные) или All (Все). Если пользователь отменяет регистрацию устройства, при следующем применении политики оно будет повторно зарегистрировано.

    Это действие активирует автоматическую регистрацию в Intune для существующих клиентов Configuration Manager. При выборе варианта Пилотный проект автоматически регистрируются в Intune только те клиенты Configuration Manager, которые являются членами пилотной группы. Этот параметр позволяет включить совместное управление для набора клиентов для первоначального тестирования совместного управления и развертывания совместного управления с помощью поэтапного подхода.

    Автоматическая регистрация не выполняется немедленно для всех клиентов. Это позволяет более эффективно масштабировать регистрацию в крупных средах. Configuration Manager случайным образом выполняет регистрацию на основе числа клиентов. Например, если в среде имеется 100 000 клиентов, при включении этого параметра регистрация выполняется в течение нескольких дней.

  4. Если у вас есть подключенные к Интернету устройства, которые уже зарегистрированы в Intune, скопируйте и сохраните командную строку со страницы включения. Эта командная строка позволяет установить клиент Configuration Manager в формате приложения в Intune. Если вы не сохраните эту командную строку сейчас, вы можете в любое время получить ее, просмотрев конфигурацию совместного управления.

    Совет

    Командная строка лишь показывает, выполнены ли все предварительные требования, например настройка шлюза управления облачными клиентами.

  5. На странице Рабочие нагрузки выберите для каждой рабочей нагрузки группу устройств, которую нужно передать на управление в Intune. Дополнительные сведения о рабочих нагрузках см. здесь.

    Если вы хотите только включить совместное управление, переключение рабочих нагрузок можно пока не выполнять. Вы сможете переключить рабочие нагрузки позднее. Дополнительные сведения см. в статье о переключении рабочих нагрузок.

    Параметр Pilot Intune (Пилотная версия Intune) переключает сопоставленную рабочую нагрузку только для устройств в пилотной коллекции. Параметр Intune переключает сопоставленную рабочую нагрузку для всех совместно управляемых устройств Windows 10.

    Важно!

    Перед переключением рабочих нагрузок убедитесь, что вы правильно настроили и развернули в Intune соответствующую рабочую нагрузку. Убедитесь, что рабочими нагрузками для ваших устройств всегда управляет одно из средств управления.

  6. На странице Staging (Промежуточный процесс) настройте следующие параметры.

    • Пилотная. Пилотная группа содержит одну или несколько коллекций для выбора. Используйте эту группу в ходе поэтапного развертывания совместного управления. Начните с небольшой тестовой коллекции и затем по мере развертывания совместного управления для нескольких пользователей и устройств добавляйте в пилотную группу дополнительные коллекции. Коллекции в пилотной группе можно изменить в любое время.

    • Рабочая среда. Настройте группу исключения с одной или несколькими коллекциями. Устройства, являющиеся членами любой коллекции в этой группе, исключаются из совместного управления.

  7. Чтобы включить совместное управление, завершите работу мастера.

Дальнейшие шаги