Aktivieren der Microsoft Intune-Mandantenanfügung: Gerätesynchronisierung und Geräteaktionen

Gilt für: Configuration Manager (Current Branch)

Die Microsoft Intune-Produktfamilie ist eine integrierte Lösung für die Verwaltung all Ihrer Geräte. Microsoft vereint Configuration Manager und Intune in einer einzigen Konsole namens Microsoft Intune Admin Center. Sie können Ihre Configuration Manager-Geräte in den Clouddienst laden und Aktionen im Blatt Geräte des Admin Centers ausführen.

Wichtig

Wenn Sie Ihren Configuration Manager-Standort an einen Microsoft Intune-Mandanten anfügen, sendet der Standort weitere Daten an Microsoft. Im Artikel Mandantenanfügungsdatensammlung werden die gesendeten Daten zusammengefasst.

Aktivieren des Geräteuploads, wenn die Co-Verwaltung bereits aktiviert ist

Wenn Die Co-Verwaltung derzeit aktiviert ist, müssen Sie die Co-Verwaltungseigenschaften verwenden, um den Geräteupload zu aktivieren. Wenn die Co-Verwaltung noch nicht aktiviert ist, verwenden Sie stattdessen den Konfigurations-Assistenten für Cloudanfügung, um den Geräteupload zu aktivieren. Überprüfen Sie vor dem Aktivieren der Mandantenanfügung, ob die Voraussetzungen für die Mandantenanfügung erfüllt sind.

Wenn die Co-Verwaltung bereits aktiviert ist, bearbeiten Sie die Co-Verwaltungseigenschaften, um den Geräteupload mit Hilfe der folgenden Anweisungen zu aktivieren:

  1. Navigieren Sie in der Configuration Manager-Administratorkonsole zu Verwaltung>Übersicht>Clouddienste>Cloudanfügung.
    • Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.
  2. Wählen Sie im Menüband Eigenschaften für Ihre Co-Verwaltung-Produktionsrichtlinie aus.
  3. Klicken Sie in der Registerkarte Upload konfigurieren auf Upload ins Microsoft Endpoint Manager Admin Center. Wählen Sie Anwenden aus.
    • Die Standardeinstellung für den Geräteupload ist Alle meine Geräte, die von Microsoft Endpoint Configuration Manager verwaltet werden. Falls benötigt, können Sie das Hochladen auf eine einzelne Gerätesammlung beschränken.
    • Wenn eine einzelne Sammlung ausgewählt wird, werden die untergeordneten Sammlungen ebenfalls hochgeladen.
  4. Aktivieren Sie die Option zum Aktivieren der Endpunktanalyse für Geräte, die in Microsoft Endpoint Manager hochgeladen wurden, wenn Sie auch Einblicke in die Optimierung der Endbenutzererfahrung in Endpunktanalyse erhalten möchten.
  5. Aktivieren Sie die Option Rollenbasierte Zugriffssteuerung für die Geräte erzwingen , die in den Clouddienst hochgeladen werden. Standardmäßig wird SCCM RBAC zusammen mit Intune RBAC erzwungen, wenn Sie Ihre Configuration Manager-Geräte in den Clouddienst hochladen. Daher ist das Kontrollkästchen standardmäßig aktiviert. Wenn Sie nur die RBAC von Intune erzwingen möchten oder ein reines Cloudkonto verwenden, müssen Sie die Option deaktivieren.
  6. Aktivieren Sie die Option Hochladen von Microsoft Defender für Endpunktdaten für Die Berichterstellung auf Geräten aktivieren, die in das Microsoft Intune Admin Center hochgeladen wurden, wenn Sie Endpoint Security-Berichte im Intune Admin Center verwenden möchten.

Wichtig

Wenn Sie das Hochladen von Endpunktanalysedaten aktivieren, werden Ihre Standardclienteinstellungen automatisch aktualisiert, sodass verwaltete Endpunkte relevante Daten an Ihren Configuration Manager-Standortserver senden können. Wenn Sie benutzerdefinierte Clienteinstellungen verwenden, müssen Sie sie möglicherweise aktualisieren und erneut bereitstellen, damit die Datensammlung erfolgt. Weitere Informationen hierzu sowie zum Konfigurieren der Datensammlung, z. B. zum Beschränken der Sammlung auf eine bestimmte Gruppe von Geräten, finden Sie im Abschnitt Konfigurieren der Endpunktanalysedatensammlung.

Screenshot: Hochladen von Geräten in das Microsoft Intune Admin Center

  1. Melden Sie sich mit Ihrem globalen Administratorkonto an, wenn Sie dazu aufgefordert werden.
  2. Wählen Sie Ja aus, um die Benachrichtigung Microsoft Entra-Anwendung erstellen zu akzeptieren. Diese Aktion stellt einen Dienstprinzipal bereit und erstellt eine Microsoft Entra-Anwendungsregistrierung, um die Synchronisierung zu erleichtern.
  3. Wählen Sie OK aus, um die Eigenschaften für die Co-Verwaltung zu verlassen, sobald Sie alle Änderungen vorgenommen haben.

Aktivieren des Geräteuploads, wenn die Co-Verwaltung nicht aktiviert ist

Wenn die Co-Verwaltung nicht aktiviert ist, aktivieren Sie den Geräteupload mithilfe des Assistenten für die Cloudanfügungskonfiguration . Sie können Ihre Geräte hochladen, ohne die automatische Registrierung für die gemeinsame Verwaltung oder den Wechsel von Arbeitslasten zu Intune zu aktivieren. Alle von Configuration Manager verwalteten Geräte mit Ja in der Spalte Client werden hochgeladen. Falls benötigt, können Sie das Hochladen auf eine einzelne Gerätesammlung beschränken. Wenn die Co-Verwaltung in Ihrer Umgebung bereits aktiviert ist, bearbeiten Sie die Co-Verwaltungseigenschaften, um stattdessen den Geräteupload zu aktivieren. Bevor Sie die Mandantenanfügung aktivieren, stellen Sie sicher, dass die Voraussetzungen für die Mandantenanfügung erfüllt sind.

Wenn die Co-Verwaltung nicht aktiviert ist, verwenden Sie die folgenden Anweisungen, um den Geräteupload zu aktivieren:

  1. Navigieren Sie in der Configuration Manager-Administratorkonsole zu Verwaltung>Übersicht>Clouddienste>Cloudanfügung. Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.

    • Ab Configuration Manager Version 2111 hat sich die Onboardingerfahrung für Mandantenanfügungen geändert. Der Assistent für die Cloudanfügung erleichtert das Aktivieren der Mandantenanfügung und anderer Cloudfeatures. Sie können einen optimierten Satz empfohlener Standardwerte auswählen, oder Ihre Features für die Cloudanfügung anpassen. Weitere Informationen zum Aktivieren der Mandantenanfügung mit dem neuen Assistenten finden Sie unter Aktivieren der Cloudanfügung.
  2. Wählen Sie im Menüband Cloudanfügung konfigurieren aus, um den Assistenten zu öffnen. Wählen Sie für Version 2103 und früher Co-Verwaltung konfigurieren aus, um den Assistenten zu öffnen.

  3. Wählen Sie auf der Onboarding-Seite AzurePublicCloud als Umgebung aus. Azure Government Cloud und Azure China 21Vianet werden nicht unterstützt.

    • Ab Version 2107 können US-Behördenkunden AzureUSGovernmentCloud auswählen.
  4. Wählen Sie Anmelden aus. Melden Sie sich mit Ihrem Global Administrator-Konto an.

  5. Stellen Sie sicher, dass die Option Microsoft Endpoint Manager Admin Center aktivieren auf der Seite Cloudanfügung ausgewählt ist. Für Version 2103 und früher wählen Sie die Option Zum Microsoft Endpoint Manager Admin Center hochladen auf der Seite Onboarding von Mandanten.

    • Wenn Sie die Co-Verwaltung gerade nicht aktivieren wollen, stellen Sie sicher, dass die Option Automatische Clientregistrierung für Co-Verwaltung aktivieren nicht aktiviert ist. Wenn Sie die Co-Verwaltung allerdings aktivieren wollen, aktivieren Sie diese Option.
    • Wenn Sie die Co-Verwaltung zusammen mit dem Geräteupload aktivieren, werden im Assistenten zusätzliche Seiten angegeben, die abgeschlossen werden müssen. Weitere Informationen finden Sie unter Aktivieren der Co-Verwaltung.

    Assistent zum Konfigurieren der Co-Verwaltung

  6. Wählen Sie Weiter und dann Ja aus, um die Benachrichtigung Microsoft Entra-Anwendung erstellen zu akzeptieren. Diese Aktion stellt einen Dienstprinzipal bereit und erstellt eine Microsoft Entra-Anwendungsregistrierung, um die Synchronisierung zu erleichtern.

  7. Wählen Sie auf der Seite Upload konfigurieren die empfohlene Einstellung für den Geräteupload für Alle meine Geräte, die von Microsoft Endpoint Configuration Manager verwaltet werden aus. Falls benötigt, können Sie das Hochladen auf eine einzelne Gerätesammlung beschränken.

    • Wenn eine einzelne Sammlung ausgewählt wird, werden die untergeordneten Sammlungen ebenfalls hochgeladen.
  8. Die Option Endpoint Analytics für Geräte aktivieren überprüfen, die in Microsoft Endpoint Manager hochgeladen werden, wenn Sie auch Einblicke erhalten möchten, um die Endbenutzererfahrung in Endpoint Analytics zu optimieren.

  9. Aktivieren Sie die Option Rollenbasierte Zugriffssteuerung für die Geräte erzwingen , die in den Clouddienst hochgeladen werden. Standardmäßig wird SCCM RBAC zusammen mit Intune RBAC erzwungen, wenn Sie Ihre Configuration Manager-Geräte in den Clouddienst hochladen. Daher ist das Kontrollkästchen standardmäßig aktiviert. Wenn Sie nur die RBAC von Intune erzwingen möchten oder ein reines Cloudkonto verwenden, müssen Sie die Option deaktivieren.

  10. Aktivieren Sie die Option Hochladen von Microsoft Defender für Endpunktdaten für Die Berichterstellung auf Geräten aktivieren, die in das Microsoft Intune Admin Center hochgeladen wurden, wenn Sie Endpoint Security-Berichte im Intune Admin Center verwenden möchten.

  11. Wählen Sie Zusammenfassung aus, um Ihre Auswahl zu überprüfen, und klicken Sie dann auf Weiter.

  12. Wenn der Assistent abgeschlossen ist, wählen Sie Schließenaus.

Bereichstags

An den Mandanten angefügte Geräte erhalten das Standardbereichstag von Microsoft Intune. Wenn Sie das Standardbereichstag von einem mit einem Mandanten verbundenen Gerät entfernen, wird das Gerät überhaupt nicht im Microsoft Intune Admin Center angezeigt. Derzeit können an Mandanten angefügte Geräte keine bereichsbezogenen Tags zugewiesen werden, im Gegensatz zu Co-verwalteten Geräten.

Manchmal sollen bestimmte Intune-Rollen jedoch nicht an den Mandanten angefügte Geräte anzeigen. Beispielsweise möchten Sie vielleicht nicht, dass eine Person mit der Rolle Helpdeskoperator von Intune an Mandanten angefügte Geräte angezeigt bekommt, da es sich um Server handelt. Erstellen oder verwenden Sie in diesen Fällen eine benutzerdefinierte Rolle in Intune, in der Standard nicht für die Bereichsmarkierungen aufgeführt ist. Beachten Sie beim Erstellen benutzerdefinierter Intune-Rollen, dass das Standardbereichstag automatisch zu allen nicht markierten Objekten hinzugefügt wird.

Durchführen von Geräteaktionen

  1. Navigieren Sie in einem Browser zu intune.microsoft.com.

  2. Klicken Sie auf Geräte und dann auf Alle Geräte, um die hochgeladenen Geräte anzuzeigen. Sie werden sehen, dass in der Spalte Verwaltet von für die hochgeladenen Geräte ConfigMgr angegeben ist. Alle Geräte im Microsoft Intune Admin Center

  3. Wählen Sie ein Gerät aus, um die Seite Übersicht dafür aufzurufen.

  4. Wählen Sie eine der folgenden Aktionen aus:

    • Computerrichtlinie synchronisieren
    • Benutzerrichtlinie synchronisieren
    • App-Evaluierungszyklus

    Geräteübersicht im Microsoft Intune Admin Center

Anzeigen des Configuration Manager-Connectorstatus über die Verwaltungskonsole

Im Microsoft Intune Admin Center können Sie den Status Ihres Configuration Manager-Connectors überprüfen. Um den Connectorstatus anzuzeigen, wechseln Sie zu Mandantenverwaltung>Connectors und Token>Microsoft Endpoint Configuration Manager. Wählen Sie eine Configuration Manager-Hierarchie aus, um zusätzliche Informationen darüber anzuzeigen.

Microsoft Configuration Manager-Connector im Admin Center

Anzeigen von Empfehlungen und Erkenntnissen zur Erweiterung der Configuration Manager-Standortintegrität und Geräteverwaltung

Sie können Empfehlungen und Erkenntnisse für Ihre Configuration Manager-Standorte anzeigen. Diese Empfehlungen können Ihnen helfen, die Integrität und Infrastruktur des Standorts zu verbessern und die Geräteverwaltung zu erweitern.

Zu den Empfehlungen gehören:

  • So vereinfachen Sie Ihre Infrastruktur
  • Verbessern der Geräteverwaltung
  • Bereitstellen von Geräteerkenntnissen
  • Verbessern der Integrität der Website

Um Empfehlungen anzuzeigen, wechseln Sie zu Mandantenverwaltung > Connectors und Token > Microsoft Endpoint Configuration Manager, und wählen Sie einen Standort aus, um Empfehlungen dafür anzuzeigen. Nach der Auswahl finden Sie die Registerkarte Empfehlungen , auf der die einzelnen Erkenntnisse zusammen mit dem Link Weitere Informationen angezeigt werden, auf der Details zur Anwendung dieser Empfehlung angezeigt werden.

Offboard von Mandantenanfügung

Wir wissen zwar, dass Kunden einen enormen Nutzen erhalten, indem Sie das Anfügen von Mandanten aktivieren, es gibt jedoch selten Fälle, in denen Sie möglicherweise ein Offboard einer Hierarchie benötigen. Sie können entweder über die Configuration Manager-Konsole (Empfohlene Methode) oder über das Microsoft Intune Admin Center offboarden.

Offboarding über die Configuration Manager-Konsole durchführen

Wenn die Mandantenanfügung bereits aktiviert ist, bearbeiten Sie die Co-Verwaltungseigenschaften, um das Hochladen und Offboarding von Geräten zu deaktivieren.

  1. Navigieren Sie in der Configuration Manager-Administratorkonsole zu Verwaltung>Übersicht>Clouddienste>Cloudanfügung.
    • Wählen Sie für Version 2103 und früher den Knoten Co-Verwaltung aus.
  2. Wählen Sie im Menüband Eigenschaften für Ihre Co-Verwaltung-Produktionsrichtlinie aus.
  3. Entfernen Sie in der Registerkarte Upload konfigurieren die Auswahl Upload ins Microsoft Endpoint Manager Admin Center.
  4. Wählen Sie Anwenden aus.

Offboarden aus dem Microsoft Intune Admin Center

Bei Bedarf können Sie eine Configuration Manager-Hierarchie über das Microsoft Intune Admin Center offboarden. Beispielsweise müssen Sie nach einem Notfallwiederherstellungsszenario, in dem die lokale Umgebung entfernt wurde, u. U. ein Offboarding aus dem Admin Center durchführen. Führen Sie die folgenden Schritte aus, um Ihre Configuration Manager-Hierarchie aus dem Microsoft Intune Admin Center zu entfernen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.
  2. Wählen Sie Mandantenverwaltung und dann Connectors und Tokens aus.
  3. Wählen sie Microsoft Endpoint Configuration Manager aus.
  4. Wählen Sie den Namen des Standorts für das Offboarding aus und wählen Sie dann Löschen aus.
    • Der Connector kann als Unknown aufgeführt werden, wenn die Standortinformationen fehlen.

Wenn Sie eine Hierarchie aus dem Admin Center offboarden, kann es bis zu zwei Stunden dauern, bis das Entfernen aus dem Microsoft Intune Admin Center erfolgt. Wenn Sie eine online und fehlerfreie Website des Configuration Manager 2103 oder höher offboarden, kann der Vorgang nur einige Minuten dauern.

Hinweis

Wenn Sie benutzerdefinierte RBAC-Rollen mit Intuneverwenden, müssen Sie die Berechtigung Organisation>Löschen zum Offboarding einer Hierarchie gewähren.

Importieren einer zuvor erstellten Microsoft Entra-Anwendung (optional)

Bei einem neuen Onboarding kann ein Administrator beim Onboarding in die Mandantenanfügung eine zuvor erstellte Anwendung angeben. Verwenden Sie Microsoft Entra-Anwendungen nicht über mehrere Hierarchien hinweg. Wenn Sie über mehrere Hierarchien verfügen, erstellen Sie jeweils separate Microsoft Entra-Anwendungen.

Wählen Sie auf der Onboardingseite des Konfigurations-Assistenten für die Cloudanfügung (Konfigurations-Assistent für die Co-Verwaltung in Versionen 2103 und früher) die Option Optional eine separate Web-App importieren aus, um Configuration Manager-Clientdaten mit dem Microsoft Intune Endpoint Manager Center zu synchronisieren. Mit dieser Option werden Sie aufgefordert, die folgenden Informationen für Ihre Microsoft Entra-App anzugeben:

  • Microsoft Entra-Mandantenname
  • Microsoft Entra-Mandanten-ID
  • Name der Anwendung
  • Client-ID
  • Geheimer Schlüssel
  • Ablauf des geheimen Schlüssels
  • App-ID-URI

Wichtig

  • Der App ID-URI muss eines der folgenden Formate verwenden:

    • api://{tenantId}/{string}, zum Beispiel api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, zum Beispiel https://contoso.onmicrosoft.com/ConfigMgrService

    Weitere Informationen zum Erstellen einer Microsoft Entra-App finden Sie unter Konfigurieren von Azure-Diensten.

  • Wenn Sie eine importierte Microsoft Entra-App verwenden, werden Sie über Konsolenbenachrichtigungen nicht über ein bevorstehendes Ablaufdatum benachrichtigt.

Microsoft Entra-Anwendungsberechtigungen und -konfiguration

Die Verwendung einer zuvor erstellten Anwendung während des Onboardings für die Mandantenanfügung erfordert die folgenden Berechtigungen:

Nächste Schritte