Kurz: Povolení spolusprávy pro nová internetová zařízení

  • Článek

Pokud v rámci zabezpečení a moderního zřizování investujete do cloudu prostřednictvím Intune, možná nebudete chtít přijít o zavedené procesy pro správu počítačů ve vaší organizaci pomocí Configuration Manageru. Díky spolusprávě můžete tento proces zachovat.

V tomto kurzu nastavíte spolusprávu zařízení s Windows 10 nebo novějším v prostředí, ve kterém používáte Microsoft Entra ID i místní Active Directory, ale nemáte hybridní instanci Microsoft Entra ID . Prostředí nástroje Configuration Manager zahrnuje jednu primární lokalitu se všemi rolemi systému lokality umístěnými na stejném serveru, serveru lokality. Tento kurz začíná tím, že vaše zařízení s Windows 10 nebo novějším jsou už zaregistrovaná v Intune.

Pokud máte hybridní instanci Microsoft Entra, která spojuje místní službu Active Directory s ID Microsoft Entra, doporučujeme postupovat podle našeho doprovodného kurzu Povolení spolusprávy pro klienty nástroje Configuration Manager.

Tento kurz použijte v těchto případech:

  • Ke spolusprávě můžete použít zařízení s Windows 10 nebo novějším. Tato zařízení můžou být zřízená prostřednictvím Windows Autopilotu nebo můžou být přímo od výrobce OEM hardwaru.
  • Máte na internetu zařízení s Windows 10 nebo novějším, která aktuálně spravujete pomocí Intune, a chcete do nich přidat klienta Configuration Manageru.

V tomto kurzu provedete následující:

  • Projděte si požadavky pro Azure a vaše místní prostředí.
  • Vyžádejte si veřejný certifikát SSL pro bránu pro správu cloudu (CMG).
  • Povolte služby Azure v Nástroji Configuration Manager.
  • Nasaďte a nakonfigurujte cmg.
  • Nakonfigurujte bod správy a klienty tak, aby používaly cmg.
  • Povolte spolusprávu v nástroji Configuration Manager.
  • Nakonfigurujte Intune pro instalaci klienta Configuration Manageru.

Požadavky

Služby a prostředí Azure

Místní infrastruktura

  • Podporovaná verze aktuální větve nástroje Configuration Manager.

    Tento kurz používá vylepšený protokol HTTP , aby se zabránilo složitějším požadavkům na infrastrukturu veřejných klíčů. Při použití rozšířeného protokolu HTTP musí být primární lokalita, kterou používáte ke správě klientů, nakonfigurovaná tak, aby používala certifikáty generované nástrojem Configuration Manager pro systémy lokality HTTP.

  • Autorita správy mobilních zařízení (MDM) je nastavená na Intune.

Externí certifikáty

  • Ověřovací certifikát serveru CMG. Tento certifikát SSL je od veřejného a globálně důvěryhodného poskytovatele certifikátů. Tento certifikát vyexportujete jako soubor .pfx s privátním klíčem.

    Později v tomto kurzu vám poskytneme pokyny ke konfiguraci žádosti o tento certifikát.

Oprávnění

V tomto kurzu použijte k dokončení úkolů následující oprávnění:

  • Účet, který je globálním správcem pro Microsoft Entra ID
  • Účet, který je správcem domény ve vaší místní infrastruktuře
  • Účet, který je úplným správcem pro všechny obory v Nástroji Configuration Manager

Vyžádání veřejného certifikátu pro bránu pro správu cloudu

Když jsou vaše zařízení na internetu, vyžaduje spoluspráva cmg nástroje Configuration Manager. CmG umožňuje vašim internetovým zařízením s Windows komunikovat s místním nasazením Configuration Manageru. K navázání vztahu důvěryhodnosti mezi zařízeními a prostředím nástroje Configuration Manager vyžaduje cmg certifikát SSL.

V tomto kurzu se používá veřejný certifikát označovaný jako ověřovací certifikát serveru CMG , který odvozuje autoritu od globálně důvěryhodného zprostředkovatele certifikátů. I když je možné nakonfigurovat spolusprávu pomocí certifikátů, které odvozují autoritu z místní certifikační autority Microsoftu, použití certifikátů podepsaných svým držitelem je nad rámec tohoto kurzu.

Ověřovací certifikát serveru CMG se používá k šifrování komunikačního provozu mezi klientem nástroje Configuration Manager a cmg. Certifikát trasuje zpět do důvěryhodného kořenového adresáře, aby ověřil identitu serveru pro klienta. Veřejný certifikát obsahuje důvěryhodný kořenový adresář, kterému už klienti Windows důvěřují.

O tomto certifikátu:

  • Identifikujete jedinečný název služby CMG v Azure a pak ho zadáte v žádosti o certifikát.
  • Žádost o certifikát vygenerujete na konkrétním serveru a pak ji odešlete veřejnému poskytovateli certifikátu, abyste získali potřebný certifikát SSL.
  • Certifikát, který obdržíte od poskytovatele, naimportujete do systému, který žádost vygeneroval. Stejný počítač použijete k exportu certifikátu při pozdějším nasazení CMG do Azure.
  • Když je CMG nainstalovaná, vytvoří službu CMG v Azure pomocí názvu, který jste zadali v certifikátu.

Identifikace jedinečného názvu brány pro správu cloudu v Azure

Když požádáte o ověřovací certifikát serveru CMG, zadáte, jaký musí být jedinečný název, aby bylo možné identifikovat vaši cloudovou službu (Classic) v Azure. Ve výchozím nastavení používá veřejný cloud Azure cloudapp.net a CMG se hostuje v cloudapp.net doméně jako< YourUniqueDnsName.cloudapp.net>.

Tip

V tomto kurzu používá ověřovací certifikát serveru CMG plně kvalifikovaný název domény (FQDN), který končí contoso.com. Po vytvoření CMG nakonfigurujete záznam kanonického názvu (CNAME) ve veřejném DNS vaší organizace. Tento záznam vytvoří alias pro cmg, který se mapuje na název, který používáte ve veřejném certifikátu.

Než požádáte o veřejný certifikát, ověřte, že název, který chcete použít, je k dispozici v Azure. Službu přímo nevytvoříte v Azure. Místo toho Configuration Manager použije název, který je zadaný ve veřejném certifikátu, k vytvoření cloudové služby při instalaci CMG.

  1. Přihlaste se k portálu Microsoft Azure Portal.

  2. Vyberte Vytvořit prostředek, vyberte kategorii Compute a pak vyberte Cloudová služba. Otevře se stránka Cloudová služba (classic).

  3. Jako Název DNS zadejte název předpony cloudové služby, kterou budete používat.

    Tato předpona musí být stejná jako předpona, kterou použijete později, když požádáte o veřejný certifikát pro ověřovací certifikát serveru CMG. V tomto kurzu použijeme MyCSG, který vytvoří obor názvů MyCSG.cloudapp.net. Rozhraní potvrdí, jestli je název dostupný nebo již používán jinou službou.

Jakmile potvrdíte, že název, který chcete použít, je k dispozici, můžete odeslat žádost o podepsání certifikátu (CSR).

Žádost o certifikát

Následující informace použijte k odeslání žádosti o podepsání certifikátu pro cmg veřejnému poskytovateli certifikátu. Změňte následující hodnoty tak, aby byly relevantní pro vaše prostředí:

  • MyCMG k identifikaci názvu služby brány pro správu cloudu
  • Contoso jako název společnosti
  • Contoso.com jako veřejná doména

K vygenerování csr doporučujeme použít server primární lokality. Jakmile certifikát získáte, musíte ho zaregistrovat na stejném serveru, který vygeneroval csr. Tato registrace zajišťuje, že můžete exportovat privátní klíč certifikátu, což je povinné.

Při generování csr si vyžádejte typ zprostředkovatele klíče verze 2. Podporují se pouze certifikáty verze 2.

Tip

Ve výchozím nastavení je při nasazení cmg vybraná možnost Povolit CMG fungovat jako cloudový distribuční bod a obsluhovat obsah ze služby Azure Storage . I když se ke spolusprávě cloudový obsah nevyžaduje, je užitečný ve většině prostředí.

Cloudový distribuční bod (CDP) je zastaralý. Od verze 2107 nemůžete vytvářet nové instance CDP. Pokud chcete poskytovat obsah internetovým zařízením, povolte cmg distribuci obsahu. Další informace najdete v tématu Zastaralé funkce.

Tady jsou podrobnosti o csr brány pro správu cloudu:

  • Běžný název: CloudServiceNameCMG.YourCompanyPubilcDomainName.com (příklad: MyCSG.contoso.com)
  • Alternativní název subjektu: Stejný jako běžný název (CN)
  • Organizace: Název vaší organizace
  • Oddělení: Pro vaši organizaci
  • Město: Podle vaší organizace
  • Stav: Podle vaší organizace
  • Země: Podle vaší organizace
  • Velikost klíče: 2048
  • Zprostředkovatel: Zprostředkovatel kryptografických služeb Microsoft RSA SChannel

Import certifikátu

Jakmile obdržíte veřejný certifikát, naimportujte ho do místního úložiště certifikátů počítače, který vytvořil csr. Pak certifikát vyexportujte jako soubor .pfx, abyste ho mohli použít pro cmg v Azure.

Zprostředkovatelé veřejných certifikátů obvykle poskytují pokyny pro import certifikátu. Proces importu certifikátu by měl vypadat podobně jako v následujících doprovodných materiálech:

  1. V počítači, do kterého bude certifikát importován, vyhledejte soubor .pfx certifikátu.

  2. Klikněte pravým tlačítkem na soubor a pak vyberte Nainstalovat PFX.

  3. Po spuštění Průvodce importem certifikátu vyberte Další.

  4. Na stránce Soubor k importu vyberte Další.

  5. Na stránce Heslo zadejte heslo pro privátní klíč do pole Heslo a pak vyberte Další.

    Vyberte možnost, aby byl klíč exportovatelný.

  6. Na stránce Úložiště certifikátů vyberte Automaticky vybrat úložiště certifikátů na základě typu certifikátu a pak vyberte Další.

  7. Vyberte Dokončit.

Export certifikátu

Exportujte ověřovací certifikát serveru CMG ze serveru. Opětovným exportem certifikátu je možné ho použít pro bránu pro správu cloudu v Azure.

  1. Na serveru, na který jste importovali veřejný certifikát SSL, spusťte certlm.msc a otevřete konzolu Správce certifikátů.

  2. V konzole Správce certifikátů vyberte Osobní>certifikáty. Potom klikněte pravým tlačítkem na ověřovací certifikát serveru CMG, který jste zaregistrovali v předchozím postupu, a vyberte Exportovat všechny úlohy>.

  3. V Průvodci exportem certifikátu vyberte Další, vyberte Ano, exportovat privátní klíč a pak vyberte Další.

  4. Na stránce Formát souboru pro export vyberte Personal Information Exchange – PKCS #12 (. PFX), vyberte Další a zadejte heslo.

    Jako název souboru zadejte název C:\ConfigMgrCloudMGServer. Na tento soubor budete odkazovat při vytváření CMG v Azure.

  5. Vyberte Další a před výběrem možnosti Dokončit export potvrďte následující nastavení:

    • Export klíčů: Ano
    • Zahrnout všechny certifikáty do certifikační cesty: Ano
    • Formát souboru: Personal Information Exchange (*.pfx)

  6. Po dokončení exportu vyhledejte soubor .pfx a umístěte jeho kopii do složky C:\Certs na server primární lokality nástroje Configuration Manager, který bude spravovat internetové klienty.

    Složka Certs je dočasná složka, která se používá při přesouvání certifikátů mezi servery. K souboru certifikátu se dostanete ze serveru primární lokality při nasazení CMG do Azure.

Po zkopírování certifikátu na server primární lokality můžete certifikát odstranit z osobního úložiště certifikátů na členském serveru.

Povolení cloudových služeb Azure v Configuration Manageru

Ke konfiguraci služeb Azure v konzole nástroje Configuration Manager použijte Průvodce konfigurací služeb Azure a vytvořte dvě aplikace Microsoft Entra:

  • Serverová aplikace: Webová aplikace v Microsoft Entra ID.
  • Klientská aplikace: Nativní klientská aplikace v ID Microsoft Entra.

Ze serveru primární lokality spusťte následující postup:

  1. Otevřete konzolu nástroje Configuration Manager, přejděte na Správa>Cloud Services>Azure Services a pak vyberte Konfigurovat služby Azure.

    Na stránce Konfigurace služby Azure zadejte popisný název služby pro správu cloudu, kterou konfigurujete. Příklad: Moje služba pro správu cloudu.

    Pak vyberte Správa cloudu>Další.

    Tip

    Další informace o konfiguracích, které v průvodci provedete, najdete v tématu Spuštění Průvodce službami Azure.

  2. Na stránce Vlastnosti aplikace v části Webová aplikace vyberte Procházet a otevřete dialogové okno Serverová aplikace . Vyberte Vytvořit a nakonfigurujte následující pole:

    • Název aplikace: Zadejte popisný název aplikace, například webovou aplikaci Cloud Management.

    • Adresa URL domovské stránky: Configuration Manager tuto hodnotu nepoužívá, ale vyžaduje ji Microsoft Entra ID. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota .

    • Identifikátor URI ID aplikace: Tato hodnota musí být jedinečná ve vašem tenantovi Microsoft Entra. Je v přístupovém tokenu, který klient nástroje Configuration Manager používá k vyžádání přístupu ke službě. Ve výchozím nastavení je https://ConfigMgrServicetato hodnota . Změňte výchozí formát na jeden z následujících doporučených formátů:

      • api://{tenantId}/{string}například api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string}například https://contoso.onmicrosoft.com/ConfigMgrService

    Pak vyberte Přihlásit se a zadejte účet globálního správce Microsoft Entra. Configuration Manager tyto přihlašovací údaje neuloží. Tato osoba nevyžaduje oprávnění v nástroji Configuration Manager a nemusí to být stejný účet, který spouští Průvodce službami Azure.

    Po přihlášení se zobrazí výsledky. Výběrem OKzavřete dialogové okno Vytvořit serverovou aplikaci a vraťte se na stránku Vlastnosti aplikace .

  3. V části Nativní klientská aplikace vyberte Procházet a otevřete dialogové okno Klientská aplikace .

  4. Výběrem možnosti Vytvořit otevřete dialogové okno Vytvořit klientskou aplikaci a nakonfigurujte následující pole:

    • Název aplikace: Zadejte popisný název aplikace, například nativní klientská aplikace cloudová správa.

    • Adresa URL odpovědi: Configuration Manager tuto hodnotu nepoužívá, ale vyžaduje ji Microsoft Entra ID. Ve výchozím nastavení je https://ConfigMgrClienttato hodnota .

    Pak vyberte Přihlásit se a zadejte účet globálního správce Microsoft Entra. Podobně jako u webové aplikace se tyto přihlašovací údaje neukládají a nevyžadují oprávnění v Configuration Manageru.

    Po přihlášení se zobrazí výsledky. Výběrem OKzavřete dialogové okno Vytvořit klientskou aplikaci a vraťte se na stránku Vlastnosti aplikace . Pak pokračujte výběrem možnosti Další .

  5. Na stránce Konfigurovat nastavení zjišťování zaškrtněte políčko Povolit zjišťování uživatelů Microsoft Entra . Vyberte Další a potom dokončete konfiguraci dialogových oken Zjišťování pro vaše prostředí.

  6. Pokračujte na stránkách Souhrn, Průběh a Dokončení a pak průvodce zavřete.

    Služby Azure pro zjišťování uživatelů Microsoft Entra jsou teď povolené v Nástroji Configuration Manager. Prozatím nechte konzolu otevřenou.

  7. Otevřete prohlížeč a přihlaste se k webu Azure Portal.

  8. Vyberte Všechny služby> RegistraceaplikacíMicrosoft Entra ID> a pak:

    1. Vyberte webovou aplikaci, kterou jste vytvořili.

    2. Přejděte na Oprávnění rozhraní API, vyberte Udělit souhlas správce pro vašeho tenanta a pak vyberte Ano.

    3. Vyberte nativní klientskou aplikaci, kterou jste vytvořili.

    4. Přejděte na Oprávnění rozhraní API, vyberte Udělit souhlas správce pro vašeho tenanta a pak vyberte Ano.

  9. V konzole nástroje Configuration Manager přejděte naPřehled>správy>Cloudové služby>Azure Services a vyberte službu Azure. Pak klikněte pravým tlačítkem na Microsoft Entra user Discover (Zjistit uživatele Microsoft Entra) a vyberte Spustit úplné zjišťování. Výběrem možnosti Ano akci potvrďte.

  10. Na serveru primární lokality otevřete soubor SMS_AZUREAD_DISCOVERY_AGENT.log nástroje Configuration Manager a vyhledejte následující položku, která potvrdí, že zjišťování funguje: UDX pro uživatele Microsoft Entra se úspěšně publikovalo.

    Ve výchozím nastavení je soubor protokolu ve složce %Program_Files%\Microsoft Configuration Manager\Logs.

Vytvoření cloudové služby v Azure

V této části kurzu vytvoříte cloudovou službu CMG a pak vytvoříte záznamy DNS CNAME pro obě služby.

Vytvoření cmg

Tento postup použijte k instalaci brány pro správu cloudu jako služby v Azure. CmG je nainstalovaná v lokalitě nejvyšší úrovně hierarchie. V tomto kurzu budeme dál používat primární lokalitu, ve které jsou certifikáty zaregistrované a exportované.

  1. Na serveru primární lokality otevřete konzolu nástroje Configuration Manager. Přejděte naPřehled>správy>Cloud Services>Brána pro správu cloudu a pak vyberte Vytvořit bránu pro správu cloudu.

  2. Na stránce Obecné :

    1. Vyberte cloudové prostředí pro prostředí Azure. V tomto kurzu se používá AzurePublicCloud.

    2. Vyberte Nasazení Azure Resource Manageru.

    3. Přihlaste se ke svému předplatnému Azure. Configuration Manager vyplní další informace na základě informací, které jste nakonfigurovali při povolení cloudových služeb Azure pro Configuration Manager.

    Pokračujte výběrem možnosti Další.

  3. Na stránce Nastavení vyhledejte a vyberte soubor s názvem ConfigMgrCloudMGServer.pfx. Tento soubor jste exportovali po importu ověřovacího certifikátu serveru CMG. Po zadání hesla se automaticky vyplní informace Název služby a Název nasazení na základě podrobností v souboru certifikátu .pfx.

  4. Nastavte informace o oblasti .

  5. Jako Skupina prostředků použijte existující skupinu prostředků nebo vytvořte skupinu s popisným názvem, která nepoužívá žádné mezery, například ConfigMgrCloudServices. Pokud se rozhodnete vytvořit skupinu, přidá se do Azure jako skupina prostředků.

  6. Pokud nejste připraveni konfigurovat ve velkém měřítku, zadejte pro instance virtuálních počítačůhodnotu 1. Počet instancí virtuálních počítačů umožňuje jedné cloudové službě CMG škálovat kapacitu, aby podporovala více klientských připojení. Později můžete pomocí konzoly nástroje Configuration Manager vrátit a upravit počet instancí virtuálních počítačů, které používáte.

  7. Zaškrtněte políčko Ověřit odvolání klientského certifikátu .

  8. Zaškrtněte políčko Povolit CMG fungovat jako cloudový distribuční bod a obsluhovat obsah ze služby Azure Storage .

  9. Pokračujte výběrem možnosti Další.

  10. Zkontrolujte hodnoty na stránce Upozornění a pak vyberte Další.

  11. Zkontrolujte stránku Souhrn a vyberte Další a vytvořte cloudovou službu CMG. Průvodce dokončete výběrem možnosti Zavřít .

  12. V uzlu CMG konzoly nástroje Configuration Manager teď můžete zobrazit novou službu.

Vytvoření záznamů DNS CNAME

Když vytvoříte položku DNS pro cmg, povolíte zařízením s Windows 10 nebo novějším ve vaší podnikové síti i mimo ni používat překlad názvů k vyhledání cloudové služby CMG v Azure.

Příklad záznamu CNAME je MyCMG.contoso.com, který se MyCMG.cloudapp.net. V příkladu:

  • Název společnosti je Contoso s veřejným oborem názvů DNS contoso.com.

  • Název služby CMG je MyCMG, který se v Azure MyCMG.cloudapp.net .

Konfigurace bodu správy a klientů pro použití cmg

Nakonfigurujte nastavení, která místním bodům správy a klientům umožní používat bránu pro správu cloudu.

Vzhledem k tomu, že pro komunikaci klientů používáme vylepšený protokol HTTP, není potřeba používat bod správy HTTPS.

Vytvoření spojovacího bodu CMG

Nakonfigurujte lokalitu tak, aby podporovala rozšířený protokol HTTP:

  1. V konzole nástroje Configuration Manager přejděte do částiPřehled>správy> Lokalitykonfigurace>lokality. Otevřete vlastnosti primární lokality.

  2. Na kartě Zabezpečení komunikace vyberte možnost HTTPS nebo HTTP u možnosti Použít certifikáty generované nástrojem Configuration Manager pro systémy lokality HTTP. Potom vyberte OK a uložte konfiguraci.

  3. Přejděte naPřehled>správy>Konfigurace>serverů lokality a rolí systému lokality. Vyberte server s bodem správy, na který chcete nainstalovat spojovací bod CMG.

  4. Vyberte Přidat role> systému lokalityDalší>.

  5. Vyberte Bod připojení brány pro správu cloudu a pak pokračujte výběrem možnosti Další .

  6. Zkontrolujte výchozí výběry na stránce Spojovací bod brány pro správu cloudu a ujistěte se, že je vybraná správná cmg.

    Pokud máte více skupin cmg, můžete pomocí rozevíracího seznamu zadat jinou cmg. Po instalaci můžete také změnit používané cmg.

    Pokračujte výběrem možnosti Další.

  7. Výběrem možnosti Další spusťte instalaci a pak zobrazte výsledky na stránce Dokončení . Výběrem možnosti Zavřít dokončete instalaci spojovacího bodu.

  8. Přejděte naPřehled>správy>Konfigurace>serverů lokality a rolí systému lokality. Otevřete Vlastnosti pro bod správy, do kterého jste nainstalovali spojovací bod.

    Na kartě Obecné zaškrtněte políčko Povolit provoz brány pro správu cloudu nástroje Configuration Manager a pak kliknutím na OK uložte konfiguraci.

    Tip

    I když to není nutné k povolení spolusprávy, doporučujeme provést stejnou úpravu pro všechny body aktualizace softwaru.

Konfigurace nastavení klienta tak, aby klienti nasměrovali, aby používali CMG

Pomocí nastavení klienta nakonfigurujte klienty nástroje Configuration Manager tak, aby komunikovali s CMG:

  1. Otevřete konzolu> Nástroje Configuration ManagerPřehled>Správa>Nastavení klienta a pak upravte informace o výchozím nastavení klienta.

  2. Vyberte Cloud Services.

  3. Na stránce Výchozí nastavení nastavte následující nastavení na Ano:

    • Automatická registrace nových zařízení s Windows 10 připojených k doméně pomocí Microsoft Entra ID

    • Povolení klientům používat bránu pro správu cloudu

    • Povolit přístup ke cloudovému distribučnímu bodu

  4. Na stránce Zásady klienta nastavte Povolit žádosti o zásady uživatele z internetových klientů na Ano.

  5. Výběrem OK tuto konfiguraci uložte.

Povolení spolusprávy v nástroji Configuration Manager

Se zavedenými konfiguracemi Azure, rolemi systému lokality a nastavením klienta můžete nakonfigurovat Configuration Manager tak, aby umožňoval spolusprávu. Po povolení spolusprávy ale budete muset ještě před dokončením tohoto kurzu provést několik konfigurací v Intune.

Jednou z těchto úloh je konfigurace Intune pro nasazení klienta Configuration Manageru. Tuto úlohu usnadňuje uložením příkazového řádku pro nasazení klienta, který je k dispozici v Průvodci konfigurací spolusprávy. Proto teď povolíme spolusprávu, než dokončíme konfiguraci pro Intune.

Termín pilotní skupina se používá v rámci funkce spolusprávy a v dialogových oknech konfigurace. Pilotní skupina je kolekce, která obsahuje podmnožinu zařízení nástroje Configuration Manager. Pro počáteční testování použijte pilotní skupinu. Přidejte zařízení podle potřeby, dokud nebudete připraveni přesunout úlohy pro všechna zařízení Configuration Manageru.

Neexistuje žádný časový limit, jak dlouho je možné pilotní skupinu používat pro úlohy. Pokud nechcete přesunout úlohu na všechna zařízení Configuration Manageru, můžete pilotní skupinu používat neomezeně dlouho.

Před zahájením postupu vytvoření pilotní skupiny doporučujeme vytvořit vhodnou kolekci. Pak můžete tuto kolekci vybrat, aniž byste museli ukončit postup. Možná budete potřebovat více kolekcí, protože pro každou úlohu můžete přiřadit jinou pilotní skupinu.

Povolení spolusprávy pro verze 2111 a novější

Od verze 2111 nástroje Configuration Manager se prostředí pro spolusprávu změnilo. Průvodce konfigurací připojení ke cloudu usnadňuje povolení spolusprávy a dalších cloudových funkcí. Můžete zvolit zjednodušenou sadu doporučených výchozích hodnot nebo přizpůsobit funkce cloudového připojení. K dispozici je také nová integrovaná kolekce zařízení pro oprávněná zařízení se spolusprávou , která vám pomůže identifikovat klienty. Další informace o povolení spolusprávy najdete v tématu Povolení připojení ke cloudu.

Poznámka

S novým průvodcem nepřesouvají úlohy současně s povolením spolusprávy. Pokud chcete přesunout úlohy, upravíte vlastnosti spolusprávy po povolení připojení ke cloudu.

Povolení spolusprávy pro verze 2107 a starší

Při povolování spolusprávy můžete použít veřejný cloud Azure, cloud Azure Government nebo cloud Azure China 21Vianet (přidaný ve verzi 2006). Pokud chcete povolit spolusprávu, postupujte podle těchto pokynů:

  1. V konzole nástroje Configuration Manager přejděte do pracovního prostoru Správa , rozbalte Cloud Services a vyberte uzel Připojení ke cloudu . Výběrem možnosti Konfigurovat připojení ke cloudu na pásu karet otevřete Průvodce konfigurací připojení cloudu.

    Pro verzi 2103 a starší rozbalte Cloud Services a vyberte uzel Spoluspráva . Výběrem možnosti Konfigurovat spolusprávu na pásu karet otevřete Průvodce konfigurací spolusprávy.

  2. Na stránce onboardingu v průvodci zvolte pro prostředí Azure jedno z následujících prostředí:

    • Veřejný cloud Azure

    • Cloud Azure Government

    • Cloud Azure China (přidáno ve verzi 2006)

      Poznámka

      Před nasazením do cloudu Azure China aktualizujte klienta nástroje Configuration Manager na nejnovější verzi na svých zařízeních.

    Když vyberete cloud Azure China nebo cloud Azure Government, možnost Nahrát do Centra pro správu Microsoft Endpoint Manageru pro připojení tenanta je zakázaná.

  3. Vyberte Přihlásit se. Přihlaste se jako globální správce Microsoft Entra a pak vyberte Další. Pro účely tohoto průvodce se přihlásíte jednou. Přihlašovací údaje se neukládají ani nepouužijí jinde.

  4. Na stránce Povolení zvolte následující nastavení:

    • Automatická registrace v Intune: Umožňuje automatickou registraci klientů v Intune pro stávající klienty Configuration Manageru. Tato možnost umožňuje povolit spolusprávu na podmnožině klientů, aby mohla nejprve otestovat spolusprávu a pak zavést spolusprávu pomocí postupného přístupu. Pokud uživatel zruší registraci zařízení, zařízení se znovu zaregistruje při dalším vyhodnocení zásad.

      • Pilotní nasazení: V Intune se automaticky zaregistrují jenom klienti Nástroje Configuration Manager, kteří jsou členy kolekce automatické registrace Intune .
      • Vše: Povolte automatickou registraci pro všechny klienty s Windows 10 verze 1709 nebo novější.
      • Žádné: Zakažte automatickou registraci pro všechny klienty.

    • Automatická registrace Intune: Tato kolekce by měla obsahovat všechny klienty, které chcete nasadit do spolusprávy. Je to v podstatě nadmnožina všech ostatních přípravných kolekcí.

    Snímek obrazovky se stránkou průvodce pro povolení automatické registrace v Intune

    Automatická registrace není pro všechny klienty okamžitá. Toto chování pomáhá lépe škálovat registraci ve velkých prostředích. Configuration Manager randomizuje registraci na základě počtu klientů. Pokud má vaše prostředí například 100 000 klientů, po povolení tohoto nastavení proběhne registrace po dobu několika dnů.

    Nové spoluspravované zařízení se teď automaticky zaregistruje ve službě Microsoft Intune na základě tokenu zařízení Microsoft Entra. Nemusí čekat, až se uživatel přihlásí k zařízení, aby se spustila automatická registrace. Tato změna pomáhá snížit počet zařízení se stavem registrace Čeká na přihlášení uživatele. Aby bylo možné toto chování podporovat, musí na zařízení běžet Windows 10 verze 1803 nebo novější. Další informace najdete v tématu Stav registrace spolusprávy.

    Pokud už máte zařízení zaregistrovaná ve spolusprávě, nová zařízení se zaregistrují okamžitě poté, co splňují požadavky.

  5. V případě internetových zařízení, která jsou už zaregistrovaná v Intune, zkopírujte a uložte příkaz na stránce Povolení . Tento příkaz použijete k instalaci klienta Configuration Manageru jako aplikace v Intune pro internetová zařízení. Pokud teď tento příkaz neuložíte, můžete kdykoli zkontrolovat konfiguraci spolusprávy a získat tento příkaz.

    Tip

    Příkaz se zobrazí jenom v případě, že jste splnili všechny požadavky, například nastavení brány pro správu cloudu.

  6. Na stránce Úlohy zvolte pro každou úlohu skupinu zařízení, která se má přesunout pro správu pomocí Intune. Další informace najdete v tématu Úlohy.

    Pokud chcete povolit jenom spolusprávu, nemusíte teď přepínat úlohy. Úlohy můžete později přepnout. Další informace najdete v tématu Jak přepnout úlohy.

    • Pilotní nasazení Intune: Přepne přidruženou úlohu jenom pro zařízení v pilotních kolekcích, které zadáte na stránce Příprava . Každá úloha může mít jinou pilotní kolekci.
    • Intune: Přepne přidruženou úlohu pro všechna spoluspravované zařízení s Windows 10 nebo novější.

    Důležité

    Před přepnutím úloh se ujistěte, že jste v Intune správně nakonfigurovali a nasadili odpovídající úlohu. Ujistěte se, že úlohy vždy spravuje jeden z nástrojů pro správu vašich zařízení.

  7. Na stránce Příprava zadejte pilotní kolekci pro každou z úloh, které jsou nastavené na Pilot Intune.

    Snímek obrazovky s přípravnou stránkou Průvodce konfigurací spolusprávy s možnostmi pro zadání pilotních kolekcí

  8. Pokud chcete povolit spolusprávu, dokončete průvodce.

Nasazení klienta Configuration Manageru pomocí Intune

Pomocí Intune můžete nainstalovat klienta Configuration Manageru na zařízení s Windows 10 nebo novějším, která jsou aktuálně spravovaná jenom pomocí Intune.

Když se pak dříve nespravované zařízení s Windows 10 nebo novějším zaregistruje v Intune, automaticky se nainstaluje klient Configuration Manageru.

Poznámka

Pokud plánujete nasadit klienta nástroje Configuration Manager do zařízení procházející autopilotem, doporučujeme, abyste místo zařízení přiřazování klienta Configuration Manageru cílili na uživatele.

Tato akce zabrání konfliktu mezi instalací obchodních aplikací a aplikací Win32 během Autopilotu.

Vytvoření aplikace Intune pro instalaci klienta Configuration Manageru

  1. Ze serveru primární lokality se přihlaste do Centra pro správu Microsoft Intune. Pak přejděte na Aplikace>Všechny aplikace>Přidat.

  2. Jako typ aplikace vyberte obchodní aplikace v části Jiné.

  3. V případě souboru balíčku aplikace přejděte do umístění souboru nástroje Configuration Managerccmsetup.msi(například C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi). Pak vyberte Otevřít>OK.

  4. Vyberte Informace o aplikaci a pak zadejte následující podrobnosti:

    • Popis: Zadejte klienta nástroje Configuration Manager.

    • Vydavatel: Zadejte Microsoft.

    • Argumenty příkazového řádku: Zadejte CCMSETUPCMD příkaz. Můžete použít příkaz, který jste uložili na stránce Povolení v Průvodci konfigurací spolusprávy. Tento příkaz obsahuje názvy vaší cloudové služby a další hodnoty, které zařízením umožňují nainstalovat klientský software Nástroje Configuration Manager.

      Struktura příkazového řádku by měla vypadat podobně jako v tomto příkladu CCMSETUPCMD , který používá pouze parametry a SMSSiteCode :

      CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"

      Tip

      Pokud tento příkaz nemáte k dispozici, můžete zobrazit vlastnosti CoMgmtSettingsProd nástroje v konzole nástroje Configuration Manager a získat jeho kopii. Příkaz se zobrazí jenom v případě, že jste splnili všechny požadavky, například nastavení CMG.

  5. Vyberte OK>Přidat. Aplikace se vytvoří a zpřístupní se v konzole Intune. Jakmile bude aplikace dostupná, můžete ji pomocí následující části přiřadit k zařízením z Intune.

Přiřazení aplikace Intune k instalaci klienta Configuration Manageru

Následující postup nasadí aplikaci pro instalaci klienta nástroje Configuration Manager, kterého jste vytvořili v předchozím postupu:

  1. Přihlaste se k Centru pro správu Microsoft 365. Vyberte Aplikace>Všechny aplikace a pak vyberte Nástroj ConfigMgr Client Setup Bootstrap. To je aplikace, kterou jste vytvořili pro nasazení klienta Configuration Manageru.

  2. Vyberte Vlastnosti a pak vyberte Upravit pro přiřazení. V části Požadovaná přiřazení vyberte Přidat skupinu a nastavte skupiny Microsoft Entra, které obsahují uživatele a zařízení, na kterých se chcete podílet na spolusprávě.

  3. Vyberte Zkontrolovat a uložit>Uložit a uložte konfiguraci. Aplikaci teď vyžadují uživatelé a zařízení, ke kterým jste ji přiřadili. Jakmile aplikace nainstaluje klienta Configuration Manageru na zařízení, spravuje ho spoluspráva.

Souhrn

Po dokončení kroků konfigurace v tomto kurzu můžete začít spoluspravovat zařízení.

Další kroky