Lernprogramm: Co-Verwaltung für die vorhandenen Konfigurations-Manager-Clients aktivieren

Mit Co-Management können Sie Ihre etablierten Prozesse für die Verwendung des Configuration Managers zur Verwaltung von PCs in Ihrer Organisation beibehalten. Gleichzeitig investieren Sie in die Cloud durch den Einsatz von Intune für Sicherheit und eine moderne Bereitstellung.

In diesem Tutorial richten Sie die Co-Verwaltung Ihrer Geräte mit Windows 10 oder höher ein, die bereits in Configuration Manager registriert sind. Dieses Tutorial beginnt mit der Prämisse, dass Sie bereits Configuration Manager verwenden, um Ihre Geräte mit Windows 10 oder höher zu verwalten.

Verwenden Sie dieses Tutorial in folgenden Fällen:

  • Sie verfügen über ein lokales Active Directory, das Sie in einer Microsoft Entra-Hybridkonfiguration mit microsoft Entra ID verbinden können.

    Wenn Sie keine Hybrid-Microsoft Entra-ID bereitstellen können, die Ihr lokales AD mit Microsoft Entra ID verknüpft, empfiehlt es sich, unser Begleittutorial Aktivieren der Co-Verwaltung für neue internetbasierte Windows 10- oder höher-Geräte zu befolgen.

  • Sie verfügen über vorhandene Configuration Manager-Clients, die Sie in die Cloud anfügen möchten.

In diesem Tutorial gehen Sie wie folgt vor:

  • Überprüfen der Voraussetzungen für Azure und Ihre lokale Umgebung
  • Einrichten einer Hybrid-Microsoft Entra-ID
  • Konfigurieren von Configuration Manager-Client-Agents für die Registrierung mit der Microsoft Entra-ID
  • Konfigurieren von Intune zum automatischen Registrieren von Geräten
  • Co-Verwaltung in Configuration Manager aktivieren

Voraussetzungen

Azure-Dienste und -Umgebung

  • Azure-Abonnement (kostenlose Testversion)

  • Microsoft Entra ID P1 oder P2

  • Microsoft Intune-Abonnement

    Tipp

    Ein EMS-Abonnement (Enterprise Mobility + Security) umfasst sowohl Microsoft Entra ID P1 oder P2 als auch Microsoft Intune. EMS-Abonnement (kostenlose Testversion).

Falls noch nicht in Ihrer Umgebung vorhanden, konfigurieren Sie in diesem Tutorial Microsoft Entra Connect zwischen Ihrem lokalen Active Directory und Ihrem Microsoft Entra-Mandanten.

Hinweis

Geräte, die nur mit der Microsoft Entra-ID registriert sind, werden bei der Co-Verwaltung nicht unterstützt. Diese Konfiguration wird manchmal als arbeitsplatzgeknüpft bezeichnet. Sie müssen entweder mit Microsoft Entra ID oder Microsoft Entra hybrid eingebunden werden. Weitere Informationen finden Sie unter Behandeln von Geräten mit dem registrierten Microsoft Entra-Status.

Lokale Infrastruktur

  • Eine unterstützte Version von Configuration Manager Current Branch
  • Die Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) muss auf Intune festgelegt werden.

Berechtigungen

Verwenden Sie in diesem Tutorial die folgenden Berechtigungen, um Aufgaben auszuführen:

  • Ein Konto, das ein Domänenadministrator in Ihrer lokalen Infrastruktur ist
  • Ein Konto, das ein voller Administrator für alle Bereiche in Configuration Manager ist
  • Ein Konto, das ein globaler Administrator in Microsoft Entra ID ist
    • Stellen Sie sicher, dass Sie dem Konto, mit dem Sie sich bei Ihrem Mandanten anmelden, eine Intune-Lizenz zugewiesen haben. Andernfalls schlägt die Anmeldung mit der Fehlermeldung Ein unerwarteter Fehler ist aufgetreten.

Einrichten einer Hybrid-Microsoft Entra-ID

Wenn Sie eine Hybrid-Microsoft Entra-ID einrichten, richten Sie die Integration eines lokalen AD mit Microsoft Entra ID mithilfe von Microsoft Entra Connect und Active Directory-Verbunddiensten (AD FS) ein. Nach erfolgreicher Konfiguration können sich Ihre Mitarbeiter nahtlos mit ihren lokalen AD-Anmeldeinformationen bei externen Systemen anmelden.

Wichtig

In diesem Tutorial wird ein bare-Bones-Prozess zum Einrichten einer Microsoft Entra-Hybrid-ID für eine verwaltete Domäne beschrieben. Es wird empfohlen, dass Sie sich mit dem Prozess vertraut machen und sich nicht auf dieses Tutorial als Leitfaden für das Verständnis und die Bereitstellung der Hybrid-Microsoft Entra-ID verlassen.

Weitere Informationen zur Hybrid-Microsoft Entra-ID finden Sie in den folgenden Artikeln in der Microsoft Entra-Dokumentation:

Einrichten von Microsoft Entra Connect

Die Microsoft Entra-Hybrid-ID erfordert die Konfiguration von Microsoft Entra Connect, um Computerkonten in Ihrem lokalen Active Directory (AD) und das Geräteobjekt in Microsoft Entra ID synchron zu halten.

Ab Version 1.1.819.0 bietet Ihnen Microsoft Entra Connect einen Assistenten zum Konfigurieren von Microsoft Entra Hybrid Join. Die Verwendung dieses Assistenten vereinfacht den Konfigurationsprozess.

Zum Konfigurieren von Microsoft Entra Connect benötigen Sie Anmeldeinformationen eines globalen Administrators für Microsoft Entra ID. Das folgende Verfahren sollte für die Einrichtung von Microsoft Entra Connect nicht als autoritativ angesehen werden, wird hier jedoch bereitgestellt, um die Konfiguration der Co-Verwaltung zwischen Intune und Configuration Manager zu optimieren. Die maßgeblichen Inhalte zu diesem und verwandten Verfahren zum Einrichten der Microsoft Entra-ID finden Sie unter Konfigurieren der Microsoft Entra-Hybrideinbindung für verwaltete Domänen in der Microsoft Entra-Dokumentation.

Konfigurieren einer Microsoft Entra-Hybrideinbindung mithilfe von Microsoft Entra Connect

  1. Rufen Sie die neueste Version von Microsoft Entra Connect (1.1.819.0 oder höher) ab, und installieren Sie sie.

  2. Starten Sie Microsoft Entra Connect, und wählen Sie dann Konfigurieren aus.

  3. Wählen Sie auf der Seite Zusätzliche Aufgabendie Option Geräteoptionen konfigurieren und dann Weiter aus.

  4. Wählen Sie auf der Seite Übersicht die Option Weiter aus.

  5. Geben Sie auf der Seite Mit Microsoft Entra-ID verbinden die Anmeldeinformationen eines globalen Administrators für Microsoft Entra ID ein.

  6. Wählen Sie auf der Seite Geräteoptionen die Option Microsoft Entra Hybrid Join konfigurieren und dann Weiter aus.

  7. Wählen Sie auf der Seite Gerätebetriebssysteme die Betriebssysteme aus, die von Geräten in Ihrer Active Directory-Umgebung verwendet werden, und wählen Sie dann Weiter aus.

    Sie können die Option zur Unterstützung von Geräten mit untergeordneter Windows-Domäne auswählen. Beachten Sie jedoch, dass die Co-Verwaltung von Geräten nur für Windows 10 oder höher unterstützt wird.

  8. Führen Sie auf der Seite SCP für jede lokale Gesamtstruktur, die Microsoft Entra Connect zum Konfigurieren des Dienstverbindungspunkts (Service Connection Point, SCP) verwenden soll, die folgenden Schritte aus, und wählen Sie dann Weiter aus:

    1. Wählen Sie die Gesamtstruktur aus.
    2. Wählen Sie den Authentifizierungsdienst aus. Wenn Sie über eine Verbunddomäne verfügen, wählen Sie AD FS-Server aus, es sei denn, Ihre Organisation verfügt ausschließlich über Clients mit Windows 10 oder höher, und Sie haben die Computer-/Gerätesynchronisierung konfiguriert oder Ihre Organisation verwendet SeamlessSSO.
    3. Klicken Sie auf Hinzufügen , um die Anmeldeinformationen des Unternehmensadministrators einzugeben.
  9. Wenn Sie über eine verwaltete Domäne verfügen, überspringen Sie diesen Schritt.

    Geben Sie auf der Seite Verbundkonfiguration die Anmeldeinformationen Ihres AD FS-Administrators ein, und wählen Sie dann Weiter aus.

  10. Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus.

  11. Wählen Sie auf der Seite Konfiguration abgeschlossendie Option Beenden aus.

Wenn Beim Abschließen der Microsoft Entra-Hybrideinbindung für in die Domäne eingebundene Windows-Geräte Probleme auftreten, lesen Sie Problembehandlung bei der Microsoft Entra-Hybrideinbindung für aktuelle Windows-Geräte.

Konfigurieren von Clienteinstellungen zum Anweisen von Clients zur Registrierung mit der Microsoft Entra-ID

Verwenden Sie Clienteinstellungen, um Configuration Manager-Clients für die automatische Registrierung mit der Microsoft Entra-ID zu konfigurieren.

  1. Öffnen Sie die Configuration Manager-Konsole>Verwaltungsübersicht>>Clienteinstellungen, und bearbeiten Sie dann die Standardclienteinstellungen.

  2. Wählen Sie Clouddienste aus.

  3. Legen Sie auf der Seite Standardeinstellungendie Option Neue in die Domäne eingebundene Windows 10-Geräte mit Microsoft Entra-ID automatisch registrieren auf = Ja fest.

  4. Wählen Sie OK aus, um diese Konfiguration zu speichern.

Konfigurieren der automatischen Registrierung von Geräten bei Intune

Als Nächstes richten wir die automatische Registrierung von Geräten bei Intune ein. Bei der automatischen Registrierung werden Geräte, die Sie mit Configuration Manager verwalten, automatisch bei Intune registriert.

Mit der automatischen Registrierung können Benutzer auch ihre Geräte mit Windows 10 oder höher bei Intune registrieren. Geräte werden registriert, wenn ein Benutzer sein Geschäftskonto zu einem persönlichen Gerät hinzufügt oder wenn ein unternehmenseigenes Gerät mit der Microsoft Entra-ID verknüpft ist.

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Microsoft Entra ID>Mobility (MDM und MAM)>Microsoft Intune aus.

  2. Konfigurieren Sie den MDM-Benutzerbereich. Geben Sie eine der folgenden Optionen an, um zu konfigurieren, welche Benutzergeräte von Microsoft Intune verwaltet werden, und übernehmen Sie die Standardwerte für die URL-Werte.

    • Einige: Wählen Sie die Gruppen aus, die ihre Geräte mit Windows 10 oder höher automatisch registrieren können.

    • Alle: Alle Benutzer können ihre Geräte mit Windows 10 oder höher automatisch registrieren.

    • Keine: Automatische MDM-Registrierung deaktivieren

    Wichtig

    Wenn sowohl der MAM-Benutzerbereich als auch die automatische MDM-Registrierung (MDM-Benutzerbereich) für eine Gruppe aktiviert sind, ist nur MAM aktiviert. Nur die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) wird für Benutzer in dieser Gruppe hinzugefügt, wenn sie am Arbeitsplatz einem persönlichen Gerät beitreten. Geräte werden nicht automatisch mdm-registriert.

    Wenn Configuration Manager für die Registrierung von Geräten bei Intune festgelegt ist, müssen Sie weiterhin den MDM-Benutzerbereich für die Gerätetokenregistrierung ändern. Configuration Manager verwendet die MDM-URLs, die in der Standortdatenbank gespeichert werden, um zu überprüfen, ob der Client zum erwarteten Intune-Mandanten gehört.

  3. Wählen Sie Speichern aus, um die Konfiguration der automatischen Registrierung abzuschließen.

  4. Kehren Sie zu Mobilität (MDM und MAM) zurück, und wählen Sie dann Microsoft Intune-Registrierung aus.

    Hinweis

    Einige Mandanten verfügen möglicherweise nicht über diese Optionen zum Konfigurieren.

    Mit Microsoft Intune konfigurieren Sie die MDM-App für Microsoft Entra ID. Die Microsoft Intune-Registrierung ist eine bestimmte Microsoft Entra-App, die erstellt wird, wenn Sie Richtlinien für die mehrstufige Authentifizierung für die iOS- und Android-Registrierung anwenden. Weitere Informationen finden Sie unter Mehrstufige Authentifizierung für Geräteregistrierung in Intune anfordern.

  5. Wählen Sie für MDM-Benutzerbereich die Option Alle und dann Speichern aus.

Co-Verwaltung in Configuration Manager aktivieren

Wenn Die Hybridkonfiguration von Microsoft Entra und Configuration Manager-Clientkonfigurationen eingerichtet sind, können Sie den Schalter umdrehen und die Co-Verwaltung Ihrer Windows 10- oder höher-Geräte aktivieren. Der Ausdruck Pilotgruppe wird in allen Feature- und Konfigurationsdialogfeldern für die Co-Verwaltung verwendet. Eine Pilotgruppe ist eine Sammlung, die eine Teilmenge Ihrer Configuration Manager-Geräte enthält. Verwenden Sie eine Pilotgruppe für Ihre ersten Tests, und fügen Sie nach Bedarf Geräte hinzu, bis Sie bereit sind, die Workloads für alle Configuration Manager-Geräte zu verschieben. Es gibt keine Zeitliche Begrenzung, wie lange eine Pilotgruppe für Workloads verwendet werden kann. Eine Pilotgruppe kann unbegrenzt verwendet werden, wenn Sie die Workload nicht auf alle Configuration Manager-Geräte verschieben möchten.

Wenn Sie die Co-Verwaltung aktivieren, weisen Sie eine Sammlung als Pilotgruppe zu. Dies ist eine Gruppe, die eine kleine Anzahl von Clients enthält, um Ihre Co-Verwaltungskonfigurationen zu testen. Es wird empfohlen, eine geeignete Sammlung zu erstellen, bevor Sie mit dem Verfahren beginnen. Anschließend können Sie diese Sammlung auswählen, ohne die entsprechende Prozedur zu beenden. Möglicherweise benötigen Sie mehrere Sammlungen, da Sie für jede Workload eine andere Pilotgruppe zuweisen können.

Hinweis

Da Geräte im Microsoft Intune-Dienst basierend auf dem zugehörigen Microsoft Entra-Gerätetoken und nicht auf einem Benutzertoken registriert werden, gilt nur die standardmäßige Intune-Registrierungseinschränkung für die Registrierung.

Aktivieren der Co-Verwaltung für Versionen 2111 und höher

Ab Configuration Manager Version 2111 hat sich das Onboarding der Co-Verwaltung geändert. Der Assistent für die Cloudanfügungskonfiguration erleichtert die Aktivierung der Co-Verwaltung und anderer Cloudfeatures. Sie können einen optimierten Satz empfohlener Standardwerte auswählen, oder Ihre Features für die Cloudanfügung anpassen. Es gibt auch eine neue integrierte Gerätesammlung für für die Co-Verwaltung berechtigte Geräte , die Sie bei der Identifizierung von Clients unterstützen. Weitere Informationen zum Aktivieren der Co-Verwaltung finden Sie unter Aktivieren der Cloudanfügung.

Hinweis

Mit dem neuen Assistenten verschieben Sie Workloads nicht gleichzeitig mit der Aktivierung der Co-Verwaltung. Um Workloads zu verschieben, bearbeiten Sie die Eigenschaften der Co-Verwaltung nach dem Aktivieren der Cloudanfügung.

Aktivieren der Co-Verwaltung für Versionen 2107 und früher

Wenn Sie die Co-Verwaltung aktivieren, können Sie die öffentliche Azure-Cloud, die Azure Government-Cloud oder die Azure China 21Vianet-Cloud (hinzugefügt in Version 2006) verwenden. Befolgen Sie die folgenden Anweisungen, um die Co-Verwaltung zu aktivieren:

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung , erweitern Sie Clouddienste, und wählen Sie den Knoten Cloudanfügung aus. Wählen Sie im Menüband die Option Cloudanfügung konfigurieren aus, um den Konfigurations-Assistenten für die Cloudanfügung zu öffnen.

    Erweitern Sie für Version 2103 und früher cloud Services , und wählen Sie den Knoten Co-Verwaltung aus. Wählen Sie im Menüband Co-Verwaltung konfigurieren aus, um den Konfigurations-Assistenten für die Co-Verwaltung zu öffnen.

  2. Wählen Sie auf der Onboardingseite des Assistenten für die Azure-Umgebung eine der folgenden Umgebungen aus:

    • Öffentliche Azure-Cloud

    • Azure Government-Cloud

    • Azure China-Cloud (hinzugefügt in Version 2006)

      Hinweis

      Aktualisieren Sie den Configuration Manager-Client auf Ihren Geräten auf die neueste Version, bevor Sie das Onboarding in die Azure China-Cloud durchführen.

    Wenn Sie die Azure China-Cloud oder Azure Government-Cloud auswählen, ist die Option In Microsoft Endpoint Manager Admin Center hochladen für mandantenanfügen deaktiviert.

  3. Wählen Sie Anmelden aus. Melden Sie sich als globaler Microsoft Entra-Administrator an, und wählen Sie dann Weiter aus. Sie melden sich dieses Mal für die Zwecke dieses Assistenten an. Die Anmeldeinformationen werden nicht gespeichert oder an anderer Stelle wiederverwendet.

  4. Wählen Sie auf der Seite Aktivieren die folgenden Einstellungen aus:

    • Automatische Registrierung in Intune: Aktiviert die automatische Clientregistrierung in Intune für vorhandene Configuration Manager-Clients. Mit dieser Option können Sie die Co-Verwaltung für eine Teilmenge von Clients aktivieren, um zunächst die Co-Verwaltung zu testen und dann die Co-Verwaltung mithilfe eines stufenweisen Ansatzes bereitzustellen. Wenn der Benutzer die Registrierung eines Geräts auf hebt, wird das Gerät bei der nächsten Auswertung der Richtlinie erneut registriert.

      • Pilot: Nur die Configuration Manager-Clients, die Mitglieder der Sammlung der automatischen Intune-Registrierung sind, werden automatisch bei Intune registriert.
      • Alle: Aktivieren Sie die automatische Registrierung für alle Clients, auf denen Windows 10 Version 1709 oder höher ausgeführt wird.
      • Keine: Deaktivieren Sie die automatische Registrierung für alle Clients.
    • Automatische Intune-Registrierung: Diese Sammlung sollte alle Clients enthalten, die Sie in die Co-Verwaltung integrieren möchten. Es handelt sich im Wesentlichen um eine Obermenge aller anderen Stagingauflistungen.

    Screenshot der Assistentenseite zum Aktivieren der automatischen Registrierung in Intune.

    Die automatische Registrierung erfolgt nicht sofort für alle Clients. Dieses Verhalten trägt dazu bei, dass die Registrierung für große Umgebungen besser skaliert wird. Configuration Manager wählt die Registrierung nach dem Zufallsprinzip basierend auf der Anzahl der Clients aus. Wenn Ihre Umgebung beispielsweise über 100.000 Clients verfügt und Sie diese Einstellung aktivieren, erfolgt die Registrierung über mehrere Tage.

    Ein neues gemeinsam verwaltetes Gerät wird jetzt basierend auf seinem Microsoft Entra-Gerätetoken automatisch im Microsoft Intune-Dienst registriert. Es muss nicht warten, bis sich ein Benutzer beim Gerät anmeldet, damit die automatische Registrierung gestartet wird. Diese Änderung trägt dazu bei, die Anzahl der Geräte mit dem Registrierungsstatus Benutzeranmeldung ausstehend zu reduzieren. Um dieses Verhalten zu unterstützen, muss auf dem Gerät Windows 10 Version 1803 oder höher ausgeführt werden. Weitere Informationen finden Sie unter Registrierungsstatus der Co-Verwaltung.

    Wenn Sie bereits Geräte bei der Co-Verwaltung registriert haben, werden neue Geräte sofort registriert, nachdem sie die Voraussetzungen erfüllt haben.

  5. Für internetbasierte Geräte, die bereits bei Intune registriert sind, kopieren Und speichern Sie den Befehl auf der Seite Aktivieren . Sie verwenden diesen Befehl, um den Configuration Manager-Client als App in Intune für internetbasierte Geräte zu installieren. Wenn Sie diesen Befehl jetzt nicht speichern, können Sie die Konfiguration der Co-Verwaltung jederzeit überprüfen, um diesen Befehl zu erhalten.

    Tipp

    Der Befehl wird nur angezeigt, wenn Sie alle Voraussetzungen erfüllt haben, z. B. das Einrichten eines Cloudverwaltungsgateways.

  6. Wählen Sie auf der Seite Workloads für jede Workload aus, welche Gerätegruppe für die Verwaltung mit Intune verschoben werden soll. Weitere Informationen finden Sie unter Workloads.

    Wenn Sie nur die Co-Verwaltung aktivieren möchten, müssen Sie jetzt keine Workloads wechseln. Sie können Workloads später wechseln. Weitere Informationen finden Sie unter Wechseln von Workloads.

    • Pilot-Intune: Wechselt die zugeordnete Workload nur für die Geräte in den Pilotsammlungen, die Sie auf der Seite Staging angeben. Jede Workload kann über eine andere Pilotsammlung verfügen.
    • Intune: Wechselt die zugeordnete Workload für alle gemeinsam verwalteten Windows 10- oder höher-Geräte.

    Wichtig

    Bevor Sie Workloads wechseln, stellen Sie sicher, dass Sie die entsprechende Workload ordnungsgemäß in Intune konfigurieren und bereitstellen. Stellen Sie sicher, dass Workloads immer von einem der Verwaltungstools für Ihre Geräte verwaltet werden.

  7. Geben Sie auf der Seite Staging die Pilotsammlung für jede der Workloads an, die auf Pilot Intune festgelegt sind.

    Screenshot: Seite

  8. Schließen Sie den Assistenten ab, um die Co-Verwaltung zu aktivieren.

Nächste Schritte

  • Überprüfen des Status von gemeinsam verwalteten Geräten mit dem Dashboard für die Co-Verwaltung
  • Sofortiger Nutzen aus der Co-Verwaltung
  • Verwenden von bedingtem Zugriff und Intune-Konformitätsregeln zum Verwalten des Benutzerzugriffs auf Unternehmensressourcen