Självstudie: Aktivera samhantering för befintliga Konfigurationshanteraren klienter

Med samhantering kan du behålla dina väletablerade processer för att Konfigurationshanteraren hantera datorer i din organisation. Samtidigt investerar du i molnet genom att använda Intune för säkerhet och modern etablering.

I den här självstudien ställer du in samhantering av dina Windows 10 som redan har registrerats i Konfigurationshanteraren. Den här självstudien börjar med tanken att du redan använder Konfigurationshanteraren för att hantera Windows 10 enheter.

Använd den här självstudien när:

• Du har en lokal Active Directory som du kan ansluta till Azure Active Directory (Azure AD) i en Azure AD-hybridkonfiguration.

  Om du inte kan distribuera en hybrid-Azure Active Directory (AD) som ansluter till din lokala AD med Azure AD, rekommenderar vi att du följer vår tillhörande självstudie, Aktivera samhantering för nya Internetbaserade Windows 10-enheter.

• Du har befintliga Konfigurationshanteraren-klienter som du vill ansluta till molnet.

I den här självstudien kommer du att:

Förutsättningar

Azure-tjänster och -miljö

• Azure-prenumeration(kostnadsfri utvärderingsversion)
• Azure Active Directory Premium
• Microsoft Intune-prenumeration
  • En Enterprise Mobility + Security-prenumeration (EMS) innehåller både Azure Active Directory Premium och Microsoft Intune. EMS-prenumeration(kostnadsfri utvärderingsversion).

Om du inte redan finns i din miljö gör du följande under den här självstudien:

• Konfigurera Azure AD-Anslut mellan din lokal Active Directory och din Azure Active Directory (AD)-klient.

Lokal infrastruktur

• En version av den Konfigurationshanteraren aktuella grenen
• Utfärdare för hantering av mobila enheter (MDM) måste anges till Intune.

Behörigheter

I den här självstudien använder du följande behörigheter för att slutföra uppgifter:

• Ett konto som är domänadministratör i din lokala infrastruktur
• Ett konto som är en fullständig administratör för alla omfång i Konfigurationshanteraren
• Ett konto som är en global administratör i Azure Active Directory (Azure AD)
  • Kontrollera att du har tilldelat en Intune-licens till det konto som du använder för att logga in på din klientorganisation. Annars misslyckas inloggningen med felmeddelandet Ett oväntat fel inträffade.

Konfigurera Hybrid Azure AD

När du ställer in en Azure AD-hybrid måste du verkligen konfigurera integrering av en lokal AD med Azure AD med hjälp av Azure AD Anslut och Active Directory Federated Services (ADFS). Med en lyckad konfiguration kan dina arbetare sömlöst logga in på externa system med sina lokala AD-autentiseringsuppgifter.

Konfigurera Azure AD-Anslut

Hybrid Azure AD kräver konfiguration av Azure AD Anslut för att hålla datorkonton i din lokal Active Directory (AD) och enhetsobjektet i Azure AD synkroniserade.

Från och med version 1.1.819.0 tillhandahåller Azure AD Connect en guide för konfiguration av Hybrid Azure AD-anslutning. Användningen av guiden förenklar konfigurationsprocessen.

För att konfigurera Azure AD Anslut behöver du autentiseringsuppgifter som global administratör för Azure AD. Följande procedur bör inte betraktas som auktoritativ för konfiguration av Azure AD Anslut men finns här för att förenkla konfigurationen av samhantering mellan Intune och Konfigurationshanteraren. Auktoritativt innehåll om detta och relaterade procedurer för att konfigurera Azure AD finns i Konfigurera Azure AD-hybridanslutningar för hanterade domäner i Azure AD-dokumentationen.

Konfigurera en Azure AD-hybridkoppling med Hjälp av Azure AD Anslut

1. Hämta och installera den senaste versionen av Azure AD Anslut (1.1.819.0 eller senare).

2. Starta Azure AD Anslut och välj sedan Konfigurera.

3. På sidan Ytterligare uppgifter väljer du Konfigurera enhetsalternativ och sedan Nästa.

4. På sidan Översikt väljer du Nästa.

5. På sidan Anslut till Azure AD anger du autentiseringsuppgifterna för en global administratör för Azure AD.

6. På sidan Enhetsalternativ väljer du Konfigurera Hybrid Azure AD-anslutning och väljer sedan Nästa.

7. På sidan Enhetsoperativsystemet väljer du de operativsystem som används av enheter i Active Directory-miljön och väljer sedan Nästa.

   Du kan välja alternativet för att Windows äldre domän anslutna enheter, men tänk på att samhantering av enheter endast stöds för Windows 10.

8. På sidan SCP gör du följande för varje lokal skog som du vill att Azure AD Anslut konfigurera tjänstanslutningspunkten (SCP) och väljer sedan Nästa:

   1. Välj skogen.
   2. Välj autentiseringstjänst. Om du har en federerad domän väljer du AD FS-server om inte din organisation endast har Windows 10-klienter och du har konfigurerat dator-/enhetssynkronisering eller om din organisation använder SeamlessSSO.
   3. Klicka på Lägg till för att ange autentiseringsuppgifter för företagsadministratör.

9. Hoppa över det här steget om du har en hanterad domän.

   På sidan Federationskonfiguration anger du autentiseringsuppgifterna för AD FS administratör och väljer sedan Nästa.

10. På sidan Klart att konfigurera väljer du Konfigurera.

11. På sidan Konfigurationen är klar väljer du Avsluta.

Om du får problem med att slutföra Azure AD-hybridanslutningar för domän Windows-enheter kan du gå till Felsöka Azure AD-hybridanslutningar för Windows aktuella enheter.

Konfigurera klient-Inställningar att dirigera klienter att registrera med Azure AD

Använd Client Inställningar för att konfigurera Konfigurationshanteraren att automatiskt registrera med Azure AD.

1. Öppna Konfigurationshanteraren administrationskonsolens > > > klientöversikt Inställningar och redigera sedan standardklienten Inställningar.

2. Välj Cloud Services.

3. På sidan Standardinställning Inställningar du Automatiskt registrera nya Windows 10 domän-anslutna enheter med Azure Active Directory till = Ja.

4. Spara konfigurationen genom att välja OK.

Konfigurera automatisk registrering av enheter i Intune

Nu ska vi konfigurera automatisk registrering av enheter med Intune. Med automatisk registrering registreras enheter som du hanterar Konfigurationshanteraren automatiskt med Intune.

Med automatisk registrering kan användarna även registrera sina Windows 10 enheter i Intune. Enheter registreras när en användare lägger till sitt arbetskonto till sin personligt ägda enhet eller när en företagsägd enhet är ansluten till Azure Active Directory.

1. Logga in på Azure Portal och välj Azure Active Directory > Mobility (MDM och MAM) > Microsoft Intune.

2. Konfigurera MDM-användaromfång. Ange något av följande för att konfigurera vilka användares enheter som hanteras av Microsoft Intune och acceptera standardinställningarna för URL-värdena.

   • Vissa: Välj de grupper som automatiskt kan registrera sina Windows 10 enheter

   • Alla: Alla användare kan automatiskt registrera sina Windows 10 enheter

   • Ingen: Inaktivera automatisk registrering med MDM

   Viktigt

   Om både MAM-användaromfattning och automatisk MDM-registrering (MDM-användaromfattning) är aktiverat för en grupp så är endast MAM aktiverat. Endast hantering av mobilprogram (MAM) läggs till för användare i gruppen när de ansluter till en personlig enhet på arbetsplatsen. Enheter registreras inte automatiskt med MDM.

   När Konfigurationshanteraren har angetts för att registrera enheter i Intune behöver du inte ändra MDM-användaromfånget för registrering av enhetstoken. Konfigurationshanteraren använder DE MDM-URL:er som lagras i platsdatabasen.

3. Välj Spara för att slutföra konfigurationen av automatisk registrering.

4. Gå tillbaka till Mobility (MDM och MAM) och välj Microsoft Intune Registrering.

   Anteckning

   Vissa klienter kanske inte har de här alternativen att konfigurera.

   Microsoft Intune är hur du konfigurerar MDM-appen för Azure AD. Microsoft Intune-registrering är en specifik Azure AD-app som skapas när du tillämpar principer för multifaktorautentisering för iOS- och Android-registrering. Mer information finns i Kräv multifaktorautentisering för Enhetsregistreringar i Intune.

5. För MDM-användaromfång väljer du Alla och sedan Spara.

Aktivera samhantering i Konfigurationshanteraren

Med Azure AD-hybridkonfiguration och Konfigurationshanteraren-klientkonfigurationer på plats är du redo att växla växeln och aktivera samhantering av dina Windows 10 enheter. Frasen Pilotgrupp används i alla dialogrutor för samhanteringsfunktion och konfiguration. En pilotgrupp är en samling som innehåller en delmängd av dina Konfigurationshanteraren enheter. Använd en pilotgrupp för din första testning och lägg till enheter efter behov tills du är redo att flytta arbetsbelastningarna för alla Konfigurationshanteraren enheter. Det finns ingen tidsgräns för hur länge en pilotgrupp kan användas för arbetsbelastningar. En pilotgrupp kan användas på obestämd tid om du inte vill flytta arbetsbelastningen till alla Konfigurationshanteraren enheter.

När du aktiverar samhantering tilldelar du en samling som en pilotgrupp. Det här är en grupp som innehåller ett litet antal klienter för att testa dina samhanteringskonfigurationer. Vi rekommenderar att du skapar en lämplig samling innan du börjar proceduren. Sedan kan du välja den samlingen utan att avsluta proceduren för att göra det. Du kan behöva flera samlingar eftersom du kan tilldela en annan pilotgrupp för varje arbetsbelastning.

Aktivera samhantering

When enabling co-management, you can use the Azure Public Cloud, Azure US Government Cloud, or Microsoft Azure China 21Vianet (added in version 2006). To enable co-management starting in Configuration Manager version 1906, follow the instructions below:

1. In the Configuration Manager console, go to the Administration workspace, expand Cloud Services, and select the Cloud Attach node. Select Configure Cloud Attach in the ribbon to open the Cloud Attach Configuration Wizard.

   • For version 2103 and earlier, expand Cloud Services and select the Co-management node. Select Configure co-management in the ribbon to open the Co-management Configuration Wizard.

2. On the onboarding page of the wizard, configure the Azure environment to use. Choose one of the following environments:

   • Azure Public Cloud
   • Azure US Government Cloud.
   • Azure China Cloud (added in version 2006)
     • Update the Configuration Manager client to the latest version on your devices before onboarding to Azure China Cloud.

   When you select Azure China Cloud or Azure US Government Cloud, the Upload to Microsoft Endpoint Manager admin center option for tenant attach is disabled.

3. Select Sign In. Sign in as an Azure AD global administrator, and then select Next. You sign in this one time for the purposes of this wizard. The credentials aren't stored or reused elsewhere.

4. On the Enablement page, choose the following settings:

   • Automatic enrollment into Intune - Enables automatic client enrollment in Intune for existing Configuration Manager clients. This option allows you to enable co-management on a subset of clients to initially test co-management, and rollout co-management using a phased approach. If a device is unenrolled by the user, on the next evaluation of the policy, it will re-enroll.

     • Pilot - Only the Configuration Manager clients that are members of the Intune Auto Enrollment collection are automatically enrolled to Intune.
     • All - Enable automatic enrollment for all Windows 10 version 1709 or later, clients.
     • None - Disable automatic enrollment for all clients.

   • Intune Auto Enrollment - This collection should contain all of the clients you want to onboard into co-management. It's essentially a superset of all the other staging collections.

   

   Automatic enrollment isn't immediate for all clients. This behavior helps enrollment scale better for large environments. Configuration Manager randomizes enrollment based on the number of clients. For example, if your environment has 100,000 clients, when you enable this setting, enrollment occurs over several days.

   • A new co-managed device now automatically enrolls to the Microsoft Intune service based on its Azure Active Directory (Azure AD) device token. It doesn't need to wait for a user to sign in to the device for auto-enrollment to start. This change helps to reduce the number of devices with the enrollment status Pending user sign in. To support this behavior, the device needs to be running Windows 10 version 1803 or later. For more information, see Co-management enrollment status.
   • If you already have devices enrolled to co-management, new devices now enroll immediately once they meet the prerequisites.

5. For internet-based devices that are already enrolled in Intune, copy and save the command line on the Enablement page. You'll use this command line to install the Configuration Manager client as an app in Intune for internet-based devices. If you don't save this command line now, you can review the co-management configuration at any time to get this command line.

   Tips

   The command line only shows if you've met all of the prerequisites, such as set up a cloud management gateway.

6. On the Workloads page, for each workload, choose which device group to move over for management with Intune. For more information, see Workloads. If you only want to enable co-management, you don't need to switch workloads now. You can switch workloads later. For more information, see How to switch workloads.

   • Pilot Intune - Switches the associated workload only for the devices in the pilot collections you'll specify on the Staging page. Each workload can have a different pilot collection.
   • Intune - Switches the associated workload for all co-managed Windows 10 or later devices.

   Viktigt

   Before you switch any workloads, make sure you properly configure and deploy the corresponding workload in Intune. Make sure that workloads are always managed by one of the management tools for your devices.

7. On the Staging page, specify the pilot collection for each of the workloads that are set to Pilot Intune.

   

8. To enable co-management, complete the wizard.

Nästa steg

• Granska statusen för sam hanterade enheter med instrumentpanelen för samhantering
• Börja få omedelbart värde av samhantering
• Använda villkorlig åtkomst och Efterlevnadsregler för Intune för att hantera användaråtkomst till företagsresurser