教學課程：為新的以網際網路為基礎的裝置啟用共同管理

當您透過使用 Intune 進行安全性和新式布建來投資雲端時，您可能不想遺失使用Configuration Manager來管理組織中電腦的完善程式。 透過共同管理，您可以保留該程式。

在本教學課程中，您會在同時使用Microsoft Entra識別碼和內部部署的 Active Directory但沒有混合式Microsoft Entra標識符實例的環境中，設定Windows 10或更新版本裝置的共同管理。 Configuration Manager 環境包括單一主要站台，所有站台系統角色都位於同一伺服器 (站台伺服器) 上。 本教學課程的開頭是您的Windows 10或更新版本裝置已向 Intune 註冊。

如果您的混合式Microsoft Entra實例會以Microsoft Entra識別碼聯結內部部署的 Active Directory，建議您遵循我們的隨附教學課程：啟用Configuration Manager用戶端的共同管理。

使用本教學課程時：

• 您有Windows 10或更新版本的裝置可納入共同管理。 這些裝置可能已透過 Windows Autopilot 布建，或是直接從您的硬體 OEM 進行布建。
• 您在目前使用 Intune 管理的網際網路上有Windows 10或更新版本的裝置，而且您想要將Configuration Manager用戶端新增至這些裝置。

在本教學課程中，您將：

• 檢閱 Azure 和內部部署環境的必要條件。
• 要求雲端管理閘道的公用 SSL 憑證 (CMG) 。
• 在 Configuration Manager 中啟用 Azure 服務。
• 部署和設定 CMG。
• 將管理點和用戶端設定為使用 CMG。
• 在 Configuration Manager 中啟用共同管理。
• 設定 Intune 以安裝Configuration Manager用戶端。

必要條件

Azure 服務和環境

• Azure 訂用帳戶 (免費試 用) 。

• Microsoft Entra識別碼 P1 或 P2。

• Microsoft Intune訂用帳戶，並將 Intune 設定為自動註冊裝置。

  提示

  Enterprise Mobility + Security訂用帳戶免費試用包括Microsoft Entra識別碼 P1 或 P2 和 Microsoft Intune。

  您不再需要購買個別的 Intune 或Enterprise Mobility + Security授權給您的使用者。 如需詳細資訊，請參閱 產品和授權常見問題。

內部部署基礎結構

• 支援的 Configuration Manager 最新分支版本。

  本教學課程使用 增強的 HTTP ，以避免公開金鑰基礎結構的更複雜需求。 當您使用增強式 HTTP 時，您用來管理用戶端的主要月臺必須設定為針對 HTTP 月臺系統使用Configuration Manager產生的憑證。

• 行動裝置管理 (MDM) 授權單位設定為 Intune。

外部憑證

• CMG 伺服器驗證憑證。 此 SSL 憑證來自公用和全域信任的憑證提供者。 您將使用私密金鑰將此憑證匯出為 .pfx 檔案。

  稍後在本教學課程中，我們會提供如何設定此憑證要求的指引。

權限

在本教學課程中，請使用下列許可權來完成工作：

• 身為 Microsoft Entra 識別碼之全域管理員的帳戶
• 在內部部署基礎結構上是網 域系統管理員 的帳戶
• 帳戶，為 Configuration Manager 中所有範圍的系統高版權管理員

要求雲端管理閘道的公用憑證

當您的裝置在網際網路上時，共同管理需要Configuration Manager CMG。 CMG 可讓以網際網路為基礎的 Windows 裝置與內部部署Configuration Manager進行通訊。 若要在裝置與您的Configuration Manager環境之間建立信任，CMG 需要 SSL 憑證。

本教學課程使用稱為 CMG 伺服器驗證憑證 的公用憑證，該憑證衍生自全域信任的憑證提供者授權單位。 雖然可以使用從內部部署 Microsoft 憑證授權單位單位衍生授權單位的憑證來設定共同管理，但使用自我簽署憑證已超出本教學課程的範圍。

CMG 伺服器驗證憑證可用來加密Configuration Manager用戶端與 CMG 之間的通訊流量。 憑證會追蹤回受信任的根目錄，以向用戶端驗證服務器的身分識別。 公用憑證包含 Windows 用戶端已信任的受根信任目錄。

關於此憑證：

• 您可以在 Azure 中識別 CMG 服務的唯一名稱，然後在憑證要求中指定該名稱。
• 您會在特定伺服器上產生憑證要求，然後將要求提交給公用憑證提供者，以取得必要的 SSL 憑證。
• 您會將從提供者收到的憑證匯入至產生要求的系統。 當您稍後將 CMG 部署至 Azure 時，您會使用相同的電腦來匯出憑證。
• 安裝 CMG 時，它會使用您在憑證中指定的名稱，在 Azure 中建立 CMG 服務。

在 Azure 中識別雲端管理閘道的唯一名稱

當您要求 CMG 伺服器驗證憑證時，請指定必須是唯一的名稱，才能在 Azure 中 (傳統) 識別您的雲端服務。 根據預設，Azure 公用雲端會使用cloudapp.net，而 CMG 會以YourUniqueDnsName.cloudapp.net > 身分裝載于 cloudapp.net 網域 <內。

提示

在本教學課程中，CMG 伺服器驗證憑證會使用以 contoso.com 結尾的完整功能變數名稱 (FQDN ) 。 建立 CMG 之後，您將在組織的公用 DNS 中設定標準名稱記錄 (CNAME) 。 此記錄會建立 CMG 的別名，對應至您在公用憑證中使用的名稱。

在您要求公開憑證之前，請確認您想要使用的名稱可在 Azure 中使用。 您不會直接在 Azure 中建立服務。 相反地，Configuration Manager會使用公用憑證中指定的名稱，在您安裝 CMG 時建立雲端服務。

1. 登入Microsoft Azure 入口網站。

2. 選 取 [建立資源]，選取 [計算 ] 類別，然後選取 [ 雲端服務]。 [ 雲端服務 (傳統) ] 頁面隨即開啟。

3. 針對 [DNS 名稱]，指定您將使用之雲端服務的前置詞名稱。

   此前置詞必須與您稍後在要求 CMG 伺服器驗證憑證的公開憑證時所使用的相同。 在本教學課程中，我們會使用 MyCSG，以建立 MyCSG.cloudapp.net的命名空間。 介面會確認名稱是否可供其他服務使用或已在使用中。

確認您要使用的名稱可供使用之後，您就可以 (CSR) 提交憑證簽署要求。

要求憑證

使用下列資訊，將 CMG 的憑證簽署要求提交給公用憑證提供者。 將下列值變更為與您的環境相關：

• 用來識別雲端管理閘道之服務名稱的MyCMG
• Contoso 作為公司名稱
• Contoso.com 為公用網域

建議您使用主要月臺伺服器來產生 CSR。 當您取得憑證時，必須在產生 CSR 的相同伺服器上註冊憑證。 此註冊可確保您可以匯出憑證的私密金鑰，這是必要的。

當您產生 CSR 時，要求第 2 版金鑰提供者類型。 僅支援第 2 版憑證。

提示

根據預設，當您部署 CMG 時，會選取 [ 允許 CMG 作為雲端發佈點並從 Azure 儲存體提供內容 ] 選項。 雖然不需要雲端式內容，即可使用共同管理，但是在大部分的環境中都很有用。

雲端式發佈點 (CDP) 已被取代。 從 2107 版開始，您無法建立新的 CDP 實例。 若要將內容提供給以網際網路為基礎的裝置，請讓 CMG 發佈內容。 如需詳細資訊，請參閱 已被取代的功能。

以下是雲端管理閘道 CSR 的詳細資料：

• 一般名稱： CloudServiceNameCMG.YourCompanyPubilcDomainName.com (範例： MyCSG.contoso.com)
• 主體別名：與 CN) (一般名稱相同
• 組織：您的組織名稱
• 部門：依您的組織
• 城市：依您的組織
• 狀態：根據您的組織
• 國家/地區：依您的組織
• 金鑰大小： 2048
• 提供者： Microsoft RSA SChannel 密碼編譯提供者

匯入憑證

收到公開憑證之後，請將它匯入至建立 CSR 之電腦的本機憑證存放區。 然後將憑證匯出為 .pfx 檔案，以便在 Azure 中用於 CMG。

公用憑證提供者通常會提供匯入憑證的指示。 匯入憑證的程式應該類似下列指引：

1. 在要匯入憑證的電腦上，找出憑證 .pfx 檔案。

2. 以滑鼠右鍵按一下檔案，然後選取 [ 安裝 PFX]。

3. 當 [憑證匯入精靈] 啟動時，選取 [ 下一步]。

4. 在 [ 要匯入的檔案] 頁面上，選取 [ 下一步]。

5. 在 [ 密碼] 頁面的 [密碼] 方塊中輸入私 鑰的密碼 ，然後選取 [ 下一步]。

   選取可匯出金鑰的選項。

6. 在 [ 憑證存放區] 頁面上，選取 [ 根據憑證類型自動選取證書存儲]，然後選取 [ 下一步]。

7. 選取 [完成]。

匯出憑證

從您的伺服器匯出 CMG 伺服器驗證憑證。 重新匯出憑證可讓您在 Azure 中使用雲端管理閘道。

1. 在您匯入公用 SSL 憑證的伺服器上，執行 certlm.msc 以開啟憑證管理員主控台。

2. 在 [憑證管理員] 主控台中，選取 [個人>憑證]。 然後，以滑鼠右鍵按一下您在上一個程式中註冊的 CMG 伺服器驗證憑證，然後選取 [所有工作>匯出]。

3. 在 [憑證匯出精靈] 中，選取 [ 下一步]，選取 [ 是]，匯出私密金鑰，然後選取 [ 下一步]。

4. 在 [ 匯出檔案格式] 頁面上，選取 [個人資訊交換 - PKCS #12 (]。PFX) ，選取 [ 下一步]，並提供密碼。

   針對檔案名，指定 C ：\ConfigMgrCloudMGServer之類的名稱。 當您在 Azure 中建立 CMG 時，將會參考此檔案。

5. 選取 [下一步]，然後在選取 [ 完成 ] 以完成匯出之前確認下列設定：

   • 匯出金鑰： 是
   • 在認證路徑中包含所有憑證： 是
   • 檔案格式： 個人資訊交換 (*.pfx)

6. 完成匯出之後，請找出 .pfx 檔案，並將它的複本放在將管理網際網路用戶端的Configuration Manager主要月臺伺服器上的C：\Certs中。

   當您在伺服器之間移動憑證時， Certs 資料夾是要使用的暫存資料夾。 當您將 CMG 部署至 Azure 時，會從主要月臺伺服器存取憑證檔案。

將憑證複製到主要月臺伺服器之後，您可以從成員伺服器上的個人憑證存儲刪除憑證。

在 Configuration Manager 中啟用 Azure 雲端服務

若要從 Configuration Manager 主控台內設定 Azure 服務，您可以使用 [設定 Azure 服務精靈] 並建立兩個Microsoft Entra應用程式：

• 伺服器應用程式：Microsoft Entra識別碼中的 Web 應用程式。
• 用戶端應用程式：Microsoft Entra識別碼中的原生用戶端應用程式。

從主要月臺伺服器執行下列程式：

1. 開啟Configuration Manager主控台，移至 [系統管理>雲端服務>Azure 服務]，然後選取 [設定 Azure 服務]。

   在 [ 設定 Azure 服務 ] 頁面上，為您要設定的雲端管理服務指定易記名稱。 例如： 我的雲端管理服務。

   然後選取[雲端管理>下一步]。

   提示

   如需您在精靈中設定的詳細資訊，請參閱 啟動 Azure 服務精靈。

2. 在 [ 應用程式屬性] 頁面上，針對 [Web 應用程式] 選取 [ 流覽 ] 以開啟 [ 伺服器應用程式] 對話方塊。 選 取 [建立]，然後設定下欄欄位：

   • 應用程式名稱：指定應用程式的易記名稱，例如 雲端管理 Web 應用程式。

   • 首頁 URL：Configuration Manager不會使用此值，但Microsoft Entra識別碼需要此值。 根據預設，此值為 https://ConfigMgrService 。

   • 應用程式識別碼 URI：此值在您的Microsoft Entra租使用者中必須是唯一的。 其位於Configuration Manager用戶端用來要求存取服務的存取權杖中。 根據預設，此值為 https://ConfigMgrService 。 將預設值變更為下列其中一種建議格式：

     • api://{tenantId}/{string}例如， api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
     • https://{verifiedCustomerDomain}/{string}例如， https://contoso.onmicrosoft.com/ConfigMgrService

   接下來，選取[登入]，然後指定Microsoft Entra全域管理員帳戶。 Configuration Manager不會儲存這些認證。 此角色在Configuration Manager中不需要許可權，而且不需要是執行 Azure 服務精靈的相同帳戶。

   登入之後，結果會隨即出現。 選取 [確定 ] 以關閉 [ 建立伺服器應用程式 ] 對話方塊，並返回 [ 應用程式屬性] 頁面。

3. 針對 Native Client 應用程式，選取 [流覽 ] 以開啟 [ 用戶端應用程式] 對話方塊。

4. 選 取 [建立 ] 以開啟 [ 建立用戶端應用程式 ] 對話方塊，然後設定下欄欄位：

   • 應用程式名稱：指定應用程式的易記名稱，例如 雲端管理原生用戶端應用程式。

   • 回復 URL：Configuration Manager不會使用此值，但Microsoft Entra識別碼需要此值。 根據預設，此值為 https://ConfigMgrClient 。

   接下來，選取[登入]，然後指定Microsoft Entra全域管理員帳戶。 如同 Web 應用程式，這些認證不會儲存，而且不需要Configuration Manager的許可權。

   登入之後，結果會隨即出現。 選取 [確定 ] 以關閉 [ 建立用戶端應用程式 ] 對話方塊，並返回 [ 應用程式屬性] 頁面。 然後，選取 [下一步 ] 繼續。

5. 在 [設定探索設定] 頁面上，選取 [啟用Microsoft Entra使用者探索] 核取方塊。 選 取 [下一步]，然後完成環境的 [ 探索 ] 對話方塊設定。

6. 繼續進行 [摘要]、[ 進度] 和 [ 完成] 頁面，然後關閉精靈。

   適用于Microsoft Entra使用者探索的 Azure 服務現在已在Configuration Manager中啟用。 讓主控台保持開啟狀態。

7. 開啟瀏覽器並登入Azure 入口網站。

8. 選取[所有服務>Microsoft Entra標識>符應用程式註冊，然後：

   1. 選取您建立的 Web 應用程式。

   2. 移至 [API 許可權]，選取 [為您的租使用者 授與系統管理員同意 ]，然後選取 [ 是]。

   3. 選取您建立的原生用戶端應用程式。

   4. 移至 [API 許可權]，選取 [為您的租使用者 授與系統管理員同意 ]，然後選取 [ 是]。

9. 在Configuration Manager主控台中，移至 [系統管理>概觀>雲端服務>Azure 服務]，然後選取您的 Azure 服務。 然後，以滑鼠右鍵按一下[Microsoft Entra使用者探索]，然後選取 [立即執行完整探索]。 選取 [是 ] 以確認動作。

10. 在主要月臺伺服器上，開啟Configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.log檔案，並尋找下列專案以確認探索是否正常運作：已成功為Microsoft Entra使用者發佈 UDX。

    根據預設，記錄檔位於%Program_Files%\Microsoft Configuration Manager\Logs中。

在 Azure 中建立雲端服務

在本教學課程的這一節中，您將建立 CMG 雲端服務，然後為這兩個服務建立 DNS CNAME 記錄。

建立 CMG

使用此程式在 Azure 中安裝雲端管理閘道即服務。 CMG 會安裝在階層的頂層月臺。 在本教學課程中，我們會繼續使用已註冊和匯出憑證的主要月臺。

1. 在主要月臺伺服器上，開啟 Configuration Manager 主控台。 移至 [系統管理>概觀>雲端服務>雲端管理閘道]，然後選取 [建立雲端管理閘道]。

2. 在 [ 一般] 頁面上：

   1. 針對 Azure 環境選取您的雲端環境。 本教學課程使用 AzurePublicCloud。

   2. 選取 [Azure Resource Manager部署]。

   3. 登入您的 Azure 訂用帳戶。 Configuration Manager會根據您在為 Configuration Manager 啟用 Azure 雲端服務時所設定的資訊填入其他資訊。

   選取 [下一步] 繼續。

3. 在 [ 設定] 頁面上，流覽並選取名為 ConfigMgrCloudMGServer.pfx 的檔案。 此檔案是您在匯入 CMG 伺服器驗證憑證之後匯出的檔案。 指定密碼之後，系統會根據 .pfx 憑證檔案中的詳細資料，自動填入 服務名稱 和 部署名稱 資訊。

4. 設定 區域 資訊。

5. 針對 資源群組，請使用現有的資源群組，或使用不使用空格的易記名稱建立群組，例如 ConfigMgrCloudServices。 如果您選擇建立群組，群組會新增為 Azure 中的資源群組。

6. 除非您已準備好進行大規模設定，否則請針對VM 實例輸入1。 VM) 實例 (虛擬機器數目可讓單一 CMG 雲端服務相應放大以支援更多用戶端連線。 稍後，您可以使用 Configuration Manager 主控台來傳回和編輯您使用的 VM 實例數目。

7. 選取 [ 驗證用戶端憑證撤銷 ] 核取方塊。

8. 選取 [ 允許 CMG 作為雲端發佈點，並從 Azure 儲存體提供內容 ] 核取方塊。

9. 選取 [下一步] 繼續。

10. 檢閱 [ 警示 ] 頁面上的值，然後選取 [ 下一步]。

11. 檢閱 [摘要] 頁面，然後選取 [下一步 ] 以建立 CMG 雲端服務。 選取 [關閉 ] 以完成精靈。

12. 在 Configuration Manager 主控台的 CMG 節點中，您現在可以檢視新的服務。

建立 DNS CNAME 記錄

當您建立 CMG 的 DNS 專案時，您可以在公司網路內部和外部啟用Windows 10或更新版本的裝置，以使用名稱解析在 Azure 中尋找 CMG 雲端服務。

我們的 CNAME 記錄範例 是 MyCMG.contoso.com，這 會變成 MyCMG.cloudapp.net。 在範例中：

• 公司名稱為 Contoso ，其公用 DNS 命名空間 為 contoso.com。

• CMG 服務名稱為 MyCMG，這會在 Azure 中 MyCMG.cloudapp.net 。

設定管理點和用戶端以使用 CMG

設定可讓內部部署管理點和用戶端使用雲端管理閘道的設定。

因為我們使用增強型 HTTP 進行用戶端通訊，所以不需要使用 HTTPS 管理點。

建立 CMG 連接點

設定月臺以支援增強式 HTTP：

1. 在 Configuration Manager 主控台中，移至 [系統管理>概觀>] [月臺設定>網站]。 開啟主要月臺的屬性。

2. 在 [通訊安全性]索引標籤上，選取 [針對 HTTP 月臺系統使用Configuration Manager產生的憑證的 HTTPS 或 HTTP選項。 然後選取 [確定 ] 以儲存設定。

3. 移至 [系統管理>概觀>] [月臺設定>伺服器和月臺系統角色]。 選取具有您要安裝 CMG 連接點之管理點的伺服器。

4. 選取 [下一步>新增月臺系統角色>]。

5. 選取 [雲端管理閘道連接點]，然後選取 [ 下一步 ] 繼續。

6. 檢閱 雲端管理閘道連接點 頁面上的預設選項，並確定已選取正確的 CMG。

   如果您有多個 CMG，您可以使用下拉式清單來指定不同的 CMG。 您也可以在安裝之後變更使用中的 CMG。

   選取 [下一步] 繼續。

7. 選取 [下一步 ] 以開始安裝，然後在 [ 完成 ] 頁面上檢視結果。 選取 [關閉 ] 以完成連接點的安裝。

8. 移至 [系統管理>概觀>] [月臺設定>伺服器和月臺系統角色]。 開 啟 您安裝連接點之管理點的 [屬性]。

   在 [一般]索引標籤上，選取 [允許Configuration Manager雲端管理閘道流量] 核取方塊，然後選取 [確定] 以儲存設定。

   提示

   雖然不需要啟用共同管理，但建議您針對任何軟體更新點進行相同的編輯。

設定用戶端設定以指示用戶端使用 CMG

使用用戶端設定來設定Configuration Manager用戶端以與 CMG 通訊：

1. 開Configuration Manager主控台>管理>概觀>用戶端設定，然後編輯預設用戶端設定資訊。

2. 選取 [雲端服務]。

3. 在 [ 預設設定] 頁面上，將下列設定設為 [是]：

   • 使用Microsoft Entra識別碼自動註冊已加入網域的新Windows 10裝置

   • 讓用戶端使用雲端管理閘道

   • 允許存取雲端發佈點

4. 在 [ 用戶端原則] 頁面上，將 [ 啟用來自網際網路用戶端的使用者原則要求 ] 設定為 [ 是]。

5. 選取 [確定 ] 以儲存此設定。

在 Configuration Manager 中啟用共同管理

有了 Azure 設定、月臺系統角色和用戶端設定後，您就可以設定Configuration Manager來啟用共同管理。 不過，在您啟用共同管理之後，在本教學課程完成之前，您仍然需要在 Intune 中進行一些設定。

其中一項工作是設定 Intune 以部署Configuration Manager用戶端。 藉由儲存可從共同管理組態精靈內取得的用戶端部署命令列，讓該工作變得更容易。 這就是為什麼我們要在完成 Intune 的設定之前，立即啟用共同管理。

試驗 群組 一詞會在整個共同管理功能和組態對話方塊中使用。 試驗群組是包含Configuration Manager裝置子集的集合。 使用試驗群組進行初始測試。 視需要新增裝置，直到您準備好移動所有Configuration Manager裝置的工作負載為止。

試驗群組可用於工作負載的時間沒有時間限制。 如果您不想將工作負載移至所有Configuration Manager裝置，您可以無限期地使用試驗群組。

建議您在開始建立試驗群組的程式之前，先建立適當的集合。 然後，您可以選取該集合，而不需要結束執行此動作的程式。 您可能需要多個集合，因為您可以為每個工作負載指派不同的試驗群組。

啟用 2111 版和更新版本的共同管理

從 Configuration Manager 2111 版開始，共同管理上線體驗已變更。 雲端附加組態精靈可讓您更輕鬆地啟用共同管理和其他雲端功能。 您可以選擇一組簡化的建議預設值，或自訂您的雲端連結功能。 共同 管理 合格裝置也有新的內建裝置集合，可協助您識別用戶端。 如需啟用共同管理的詳細資訊，請參閱 啟用雲端連結。

注意事項

使用新的精靈時，您不會在啟用共同管理的同時移動工作負載。 若要移動工作負載，您會在啟用雲端連結之後編輯共同管理屬性。

啟用 2107 版和更早版本的共同管理

啟用共同管理時，您可以使用 2006) 版中新增的 Azure 公用雲端、Azure Government雲端或 Azure China 21Vianet 雲端 (。 若要啟用共同管理，請遵循下列指示：

1. 在 Configuration Manager 主控台中，移至 [系統管理] 工作區，展開[雲端服務]，然後選取 [雲端連結] 節點。 選 取 功能區上的 [設定雲端連結] 以開啟 [雲端連結設定精靈]。

   針對 2103 版和更早版本，展開[雲端服務]，然後選取[共同管理]節點。 選取功能區上的 [設定 共同管理 ] 以開啟 [共同管理設定精靈]。

2. 在精靈的上線頁面上，針對 Azure 環境，選擇下列其中一個環境：

   • Azure 公用雲端

   • Azure Government雲端

   • 2006) 版中新增的 Azure 中國雲端 (

     注意事項

     將Configuration Manager用戶端更新為裝置上的最新版本，再上線至 Azure 中國雲端。

   當您選取 Azure China 雲端或Azure Government雲端時，會停用租使用者附加的 [上傳至 Microsoft 端點管理員系統管理中心] 選項。

3. 選取 [登入]。 以Microsoft Entra全域管理員身分登入，然後選取 [下一步]。 基於此精靈的目的，您必須登入此一次。 認證不會儲存在其他地方或重複使用。

4. 在 [ 啟用] 頁面上，選擇下列設定：

   • Intune 中的自動註冊：在 Intune 中為現有的Configuration Manager用戶端啟用自動用戶端註冊。 此選項可讓您在用戶端子集上啟用共同管理，以一開始測試共同管理，然後使用階段式方法來推出共同管理。 如果使用者取消註冊裝置，則會在下次評估原則時重新註冊裝置。

     • 試驗：只有屬於Intune 自動註冊集合成員的Configuration Manager用戶端會自動在 Intune 中註冊。
     • 全部：為執行 Windows 10 1709 版或更新版本的所有用戶端啟用自動註冊。
     • 無：停用所有用戶端的自動註冊。

   • Intune 自動註冊：此集合應包含您想要上線至共同管理的所有用戶端。 它基本上是所有其他暫存集合的超集合。

   

   並非所有用戶端都立即進行自動註冊。 此行為有助於針對大型環境進行更佳的註冊調整。 Configuration Manager根據用戶端數目隨機化註冊。 例如，如果您的環境有 100,000 個用戶端，當您啟用此設定時，註冊會在數天內發生。

   新的共同管理裝置現在會根據其Microsoft Entra裝置權杖，自動在Microsoft Intune服務中註冊。 不需要等待使用者登入裝置，即可開始自動註冊。 這項變更有助於減少註冊狀態 為 [擱置使用者登入] 的裝置數目。若要支援此行為，裝置必須執行 Windows 10 1803 版或更新版本。 如需詳細資訊，請 參閱共同管理註冊狀態。

   如果您已在共同管理中註冊裝置，新裝置現在會在符合 必要條件之後立即註冊。

5. 對於已在 Intune 中註冊的網際網路型裝置，請在 [ 啟用 ] 頁面上複製並儲存命令。 您將使用此命令，在 Intune 中將Configuration Manager用戶端安裝為以網際網路為基礎的裝置應用程式。 如果您現在未儲存此命令，您可以隨時檢閱共同管理組態以取得此命令。

   提示

   只有當您符合所有必要條件，例如設定雲端管理閘道時，才會顯示命令。

6. 在 [ 工作負載] 頁面上 ，針對每個工作負載選擇要移至哪個裝置群組以使用 Intune 進行管理。 如需詳細資訊，請參閱 工作負載。

   如果您只想要啟用共同管理，就不需要立即切換工作負載。 您可以稍後切換工作負載。 如需詳細資訊，請 參閱如何切換工作負載。

   • 試驗 Intune：僅針對您將在預 備頁面上 指定之試驗集合中的裝置切換相關聯的工作負載。 每個工作負載都可以有不同的試驗集合。
   • Intune：切換所有共同管理Windows 10或更新版本裝置的相關聯工作負載。

   重要事項

   切換任何工作負載之前，請確定您已在 Intune 中正確設定和部署對應的工作負載。 請確定工作負載一律由您裝置的其中一個管理工具管理。

7. 在 [ 預備] 頁面上，為設定為 [ 試驗 Intune] 的每個工作負載指定試驗集合。

   

8. 若要啟用共同管理，請完成精靈。

使用 Intune 部署Configuration Manager用戶端

您可以使用 Intune 在目前僅使用 Intune 管理的Windows 10或更新版本裝置上安裝Configuration Manager用戶端。

然後，當先前未受管理的Windows 10或更新版本的裝置向 Intune 註冊時，它會自動安裝Configuration Manager用戶端。

注意事項

如果您打算將Configuration Manager用戶端部署到透過 Autopilot 的裝置，建議您以使用者為目標來指派Configuration Manager用戶端，而不是裝置。

此動作可避免 在 Autopilot 期間安裝企業營運應用程式與 Win32 應用程式之間發生衝突。

建立 Intune 應用程式以安裝Configuration Manager用戶端

1. 從主要月臺伺服器登入Microsoft Intune系統管理中心。 然後，移至[所有應用程式新增應用程式>>]。

2. 針對 [應用程式類型]，選取 [其他] 底下的[企業營運應用程式]。

3. 針對應用程式套件檔案，流覽至Configuration Manager檔案的位置ccmsetup.msi (例如C：\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi) 。 然後，選取[開啟>確定]。

4. 選取 [應用程式資訊]，然後指定下列詳細資料：

   • 描述：輸入Configuration Manager用戶端。

   • 發行者：輸入 Microsoft。

   • 命令列引數：指定 CCMSETUPCMD 命令。 您可以使用您從共同管理組態精靈的 [ 啟用 ] 頁面儲存的命令。 此命令包含雲端服務的名稱，以及可讓裝置安裝Configuration Manager用戶端軟體的其他值。

     命令列結構應該類似此範例，只使用 CCMSETUPCMD 和 SMSSiteCode 參數：

     CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
     

     提示

     如果您沒有可用的命令，可以在 Configuration Manager 主控台中檢視 的 CoMgmtSettingsProd 屬性，以取得命令的複本。 只有當您符合所有必要條件，例如設定 CMG 時，才會顯示命令。

5. 選取[確定>新增]。 應用程式隨即建立，並可在 Intune 主控台中使用。 應用程式可用之後，您可以使用下列區段，從 Intune 將應用程式指派給您的裝置。

指派 Intune 應用程式以安裝Configuration Manager用戶端

下列程式會部署應用程式，以安裝您在上一個程式中建立的Configuration Manager用戶端：

1. 登入Microsoft Intune系統管理中心。 選取 [應用程式>所有應用程式]，然後選取[ConfigMgr 用戶端安裝程式啟動程式]。 這是您為部署Configuration Manager用戶端所建立的應用程式。

2. 選取[屬性]，然後選取 [為指派編輯]。 選取 [必要指派] 底下的 [新增群組]，以設定Microsoft Entra群組，其中包含您要參與共同管理的使用者和裝置。

3. 選取 [檢閱 + 儲存>]以儲存設定。 您指派應用程式的使用者和裝置現在需要應用程式。 應用程式在裝置上安裝Configuration Manager用戶端之後，由共同管理管理。

摘要

完成本教學課程的設定步驟之後，您可以開始共同管理您的裝置。

後續步驟

• 使用共同 管理儀表板檢閱共同管理裝置的狀態。
• 使用 Windows Autopilot 布建新的裝置。
• 使用 條件式存取 和 Intune 合規性規則來管理使用者對公司資源的存取。