Tutorial: habilite o cogerenciamento para clientes existentes do Configuration Manager
Com o co-gerenciamento, você pode continuar a usar o Configuration Manager para gerenciar os computadores em sua organização. Ao mesmo tempo, você está investindo na nuvem usando o Intune para segurança e provisionamento moderno.
Neste tutorial, vai configurar a cogestão dos seus dispositivos Windows 10 ou posteriores que já estão inscritos no Configuration Manager. Este tutorial começa com a premissa de que já utiliza o Configuration Manager para gerir os seus dispositivos Windows 10 ou posteriores.
Utilize este tutorial quando:
Tem um Active Directory no local que pode ligar ao Microsoft Entra ID numa configuração híbrida do Microsoft Entra.
Se não conseguir implementar um Microsoft Entra ID híbrido que associe o seu AD no local ao Microsoft Entra ID, recomendamos que siga o nosso tutorial complementar Ativar a cogestão para novos dispositivos Windows 10 ou posteriores baseados na Internet.
Tem clientes existentes do Configuration Manager que pretende anexar na cloud.
Neste tutorial, irá:
- Rever os pré-requisitos do Azure e do seu ambiente no local
- Configurar o Microsoft Entra ID híbrido
- Configurar agentes de cliente do Configuration Manager para registar com o ID do Microsoft Entra
- Configurar o Intune para registrar dispositivos automaticamente
- Habilitar o cogerenciamento no Configuration Manager
Pré-requisitos
Ambiente e serviços do Azure
Subscrição do Azure (avaliação gratuita)
Microsoft Entra ID P1 ou P2
Assinatura do Microsoft Intune
Dica
Uma subscrição do Enterprise Mobility + Security (EMS) inclui o Microsoft Entra ID P1 ou P2 e o Microsoft Intune. Subscrição do EMS (avaliação gratuita).
Se ainda não estiver presente no seu ambiente, durante este tutorial, irá configurar o Microsoft Entra Connect entre o active directory no local e o seu inquilino do Microsoft Entra.
Observação
Os dispositivos registados apenas com o Microsoft Entra ID não são suportados pela cogestão. Por vezes, esta configuração é denominada associação à área de trabalho. Precisam de estar associados ao Microsoft Entra ID ou à associação híbrida do Microsoft Entra. Para obter mais informações, veja Handling devices with Microsoft Entra registered state (Processar dispositivos com o estado registado do Microsoft Entra).
Infraestrutura no local
- Uma versão suportada do ramo atual do Configuration Manager
- A autoridade de gestão de dispositivos móveis (MDM) tem de ser definida como Intune.
Permissões
Ao longo deste tutorial, utilize as seguintes permissões para concluir tarefas:
- Uma conta que é um administrador de domínio na sua infraestrutura no local
- Uma conta que é um administrador completo para todos os âmbitos no Configuration Manager
- Uma conta que é um administrador global no Microsoft Entra ID
- Certifique-se de que atribuiu uma licença do Intune à conta que utiliza para iniciar sessão no seu inquilino. Caso contrário, o início de sessão falha com a mensagem de erro Ocorreu um erro inesperado.
Configurar o Microsoft Entra ID híbrido
Quando configura um Microsoft Entra ID híbrido, está realmente a configurar a integração de um AD no local com o Microsoft Entra ID através do Microsoft Entra Connect e dos Serviços Federados do Active Directory (ADFS). Com a configuração bem-sucedida, os seus trabalhadores podem iniciar sessão de forma totalmente integrada em sistemas externos com as respetivas credenciais do AD no local.
Importante
Este tutorial detalha um processo simples para configurar o Microsoft Entra ID híbrido para um domínio gerido. Recomendamos que esteja familiarizado com o processo e não confie neste tutorial como guia para compreender e implementar o ID híbrido do Microsoft Entra.
Para obter mais informações sobre o ID híbrido do Microsoft Entra, comece com os seguintes artigos na documentação do Microsoft Entra:
Configurar o Microsoft Entra Connect
O Microsoft Entra ID híbrido requer a configuração do Microsoft Entra Connect para manter as contas de computador no Active Directory (AD) no local e o objeto do dispositivo no Microsoft Entra ID sincronizado.
A partir da versão 1.1.819.0, o Microsoft Entra Connect fornece-lhe um assistente para configurar a associação híbrida do Microsoft Entra. A utilização desse assistente simplifica o processo de configuração.
Para configurar o Microsoft Entra Connect, precisa de credenciais de um administrador global para o Microsoft Entra ID. O procedimento seguinte não deve ser considerado autoritativo para a configuração do Microsoft Entra Connect, mas é fornecido aqui para ajudar a simplificar a configuração da cogestão entre o Intune e o Configuration Manager. Para obter os conteúdos autoritativos sobre este e procedimentos relacionados para a configuração do Microsoft Entra ID, consulte Configurar a associação híbrida do Microsoft Entra para domínios geridos na documentação do Microsoft Entra.
Configurar uma associação híbrida do Microsoft Entra com o Microsoft Entra Connect
Obtenha e instale a versão mais recente do Microsoft Entra Connect (1.1.819.0 ou superior).
Inicie o Microsoft Entra Connect e, em seguida, selecione Configurar.
Na página Tarefas adicionais , selecione Configurar opções do dispositivo e, em seguida, selecione Seguinte.
Na página Descrição geral , selecione Seguinte.
Na página Ligar ao Microsoft Entra ID , introduza as credenciais de um administrador global do Microsoft Entra ID.
Na página Opções do dispositivo , selecione Configurar associação híbrida do Microsoft Entra e, em seguida, selecione Seguinte.
Na página Sistemas operativos do dispositivo , selecione os sistemas operativos utilizados pelos dispositivos no seu ambiente do Active Directory e, em seguida, selecione Seguinte.
Pode selecionar a opção para suportar dispositivos associados a um domínio de nível inferior do Windows, mas tenha em atenção que a cogestão de dispositivos só é suportada para o Windows 10 ou posterior.
Na página SCP , para cada floresta no local, pretende que o Microsoft Entra Connect configure o ponto de ligação de serviço (SCP), siga os seguintes passos e, em seguida, selecione Seguinte:
- Selecione a floresta.
- Selecione o serviço de autenticação. Se tiver um domínio federado, selecione Servidor do AD FS, a menos que a sua organização tenha exclusivamente clientes windows 10 ou posteriores e tenha configurado a sincronização de computador/dispositivo ou a sua organização esteja a utilizar o SeamlessSSO.
- Clique em Adicionar para introduzir as credenciais de administrador da empresa.
Se tiver um domínio gerido, ignore este passo.
Na página Configuração da Federação , introduza as credenciais do administrador do AD FS e, em seguida, selecione Seguinte.
Na página Pronto para configurar , selecione Configurar.
Na página Configuração concluída , selecione Sair.
Se tiver problemas com a conclusão da associação híbrida do Microsoft Entra para dispositivos Windows associados a um domínio, consulte Resolução de problemas de associação híbrida do Microsoft Entra para dispositivos atuais do Windows.
Configurar as Definições de Cliente para direcionar os clientes a registarem-se com o ID do Microsoft Entra
Utilize as Definições de Cliente para configurar clientes do Configuration Manager para se registarem automaticamente no Microsoft Entra ID.
Abra a consola> do Configuration ManagerAdministração Descrição>Geral>das Definições do Cliente e, em seguida, edite as Predefinições do Cliente.
Selecione Serviços Cloud.
Na página Predefinições , defina Registar automaticamente novos dispositivos associados a um domínio do Windows 10 com o Microsoft Entra ID como = Sim.
Selecione OK para guardar esta configuração.
Configurar a inscrição automática de dispositivos no Intune
Em seguida, vamos configurar a inscrição automática de dispositivos com o Intune. Com a inscrição automática, os dispositivos que gere com o Configuration Manager são inscritos automaticamente no Intune.
A inscrição automática também permite que os utilizadores inscrevam os respetivos dispositivos Windows 10 ou posterior no Intune. Os dispositivos são inscritos quando um utilizador adiciona a respetiva conta profissional ao respetivo dispositivo pessoal ou quando um dispositivo pertencente à empresa é associado ao Microsoft Entra ID.
Inicie sessão no portal do Azure e selecione Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.
Configurar o âmbito de utilizador mdm. Especifique um dos seguintes procedimentos para configurar os dispositivos dos utilizadores que são geridos pelo Microsoft Intune e aceitar as predefinições para os valores de URL.
Alguns: selecione os Grupos que podem inscrever automaticamente os respetivos dispositivos Windows 10 ou posteriores
Todos: todos os utilizadores podem inscrever automaticamente os respetivos dispositivos Windows 10 ou posteriores
Nenhum: Desativar a inscrição automática de MDM
Importante
Se o âmbito de utilizador MAM e a inscrição mdm automática (âmbito de utilizador MDM) estiverem ativados para um grupo, apenas a MAM está ativada. Apenas a Gestão de Aplicações Móveis (MAM) é adicionada aos utilizadores nesse grupo quando aderirem ao dispositivo pessoal da área de trabalho. Os dispositivos não são inscritos automaticamente na MDM.
Quando o Configuration Manager está definido para inscrever dispositivos no Intune, ainda tem de alterar o âmbito de utilizador mdm para a inscrição de tokens de dispositivos. O Configuration Manager utiliza os URLs de MDM que armazena na base de dados do site para verificar se o cliente pertence ao inquilino esperado do Intune.
Selecione Guardar para concluir a configuração da inscrição automática.
Regresse à Mobilidade (MDM e MAM) e, em seguida, selecione Inscrição do Microsoft Intune.
Observação
Alguns inquilinos podem não ter estas opções para configurar.
O Microsoft Intune é a forma como configura a aplicação MDM para o Microsoft Entra ID. A Inscrição do Microsoft Intune é uma aplicação específica do Microsoft Entra que é criada quando aplica políticas de autenticação multifator para inscrição iOS e Android. Para obter mais informações, confira Exigir autenticação multifator para registros de dispositivos do Intune.
Para âmbito de utilizador MDM, selecione Tudo e, em seguida, Guardar.
Habilitar o cogerenciamento no Configuration Manager
Com a configuração híbrida do Microsoft Entra e as configurações de cliente do Configuration Manager implementadas, está pronto para ativar o comutador e ativar a cogestão dos seus dispositivos Windows 10 ou posteriores. A expressão Grupo piloto é utilizada em todas as caixas de diálogo de configuração e funcionalidade de cogestão. Um grupo piloto é uma coleção que contém um subconjunto dos seus dispositivos do Configuration Manager. Utilize um grupo piloto para o teste inicial, adicionando dispositivos conforme necessário, até estar pronto para mover as cargas de trabalho para todos os dispositivos do Configuration Manager. Não existe um limite de tempo para o tempo durante o qual um grupo piloto pode ser utilizado para cargas de trabalho. Um grupo piloto pode ser utilizado indefinidamente se não quiser mover a carga de trabalho para todos os dispositivos do Configuration Manager.
Quando ativar a cogestão, irá atribuir uma coleção como um grupo Piloto. Este é um grupo que contém um pequeno número de clientes para testar as configurações de cogestão. Recomendamos que crie uma coleção adequada antes de iniciar o procedimento. Em seguida, pode selecionar essa coleção sem sair do procedimento para o fazer. Poderá precisar de várias coleções, uma vez que pode atribuir um grupo Piloto diferente para cada carga de trabalho.
Observação
Uma vez que os dispositivos estão inscritos no serviço Microsoft Intune com base no token do dispositivo Microsoft Entra e não num token de utilizador, apenas a restrição de inscrição predefinida do Intune será aplicada à inscrição.
Ativar a cogestão para as versões 2111 e posteriores
A partir da versão 2111 do Configuration Manager, a experiência de integração da cogestão mudou. O Assistente de Configuração de Anexação da Cloud facilita a ativação da cogestão e de outras funcionalidades da cloud. Você pode escolher um conjunto simplificado de padrões recomendados ou personalizar seus recursos de anexação de nuvem. Existe também uma nova coleção de dispositivos incorporada para Dispositivos Elegíveis de Cogestão para o ajudar a identificar clientes. Para obter mais informações sobre como ativar a cogestão, veja Ativar a anexação da cloud.
Observação
Com o novo assistente, não move cargas de trabalho ao mesmo tempo que ativa a cogestão. Para mover cargas de trabalho, irá editar as propriedades de cogestão depois de ativar a anexação da cloud.
Ativar a cogestão para as versões 2107 e anteriores
Quando estiver a ativar a cogestão, pode utilizar a cloud pública do Azure, a cloud do Azure Government ou a cloud do Azure China 21Vianet (adicionada na versão 2006). Para ativar a cogestão, siga estas instruções:
Na consola do Configuration Manager, aceda à área de trabalho Administração , expanda Serviços Cloud e selecione o nó Anexar Cloud . Selecione Configurar Anexar Cloud no friso para abrir o Assistente de Configuração de Anexação da Cloud.
Para a versão 2103 e anterior, expanda Serviços Cloud e selecione o nó Cogestão . Selecione Configurar cogestão no friso para abrir o Assistente de Configuração de Cogestão.
Na página de inclusão do assistente, para o ambiente do Azure, escolha um dos seguintes ambientes:
Cloud pública do Azure
Cloud do Azure Government
Cloud do Azure China (adicionada na versão 2006)
Observação
Atualize o cliente do Configuration Manager para a versão mais recente nos seus dispositivos antes de integrar na cloud do Azure China.
Quando seleciona a cloud do Azure China ou a cloud do Azure Government, a opção Carregar para o centro de administração do Microsoft Endpoint Manager para anexação de inquilinos está desativada.
Selecione Entrar. Inicie sessão como Administrador Global do Microsoft Entra e, em seguida, selecione Seguinte. Inicie sessão uma vez para efeitos deste assistente. As credenciais não são armazenadas ou reutilizadas noutro local.
Na página Ativação , selecione as seguintes definições:
Inscrição automática no Intune: ativa a inscrição automática de clientes no Intune para clientes existentes do Configuration Manager. Esta opção permite-lhe ativar a cogestão num subconjunto de clientes para testar inicialmente a cogestão e, em seguida, implementar a cogestão através de uma abordagem faseada. Se o utilizador anular a inscrição de um dispositivo, o dispositivo será novamente inscrito na próxima avaliação da política.
- Piloto: apenas os clientes do Configuration Manager que são membros da coleção de Inscrição Automática do Intune são inscritos automaticamente no Intune.
- Tudo: ative a inscrição automática para todos os clientes com o Windows 10, versão 1709 ou posterior.
- Nenhum: desative a inscrição automática para todos os clientes.
Inscrição Automática do Intune: esta coleção deve conter todos os clientes que pretende integrar na cogestão. É essencialmente um superconjunto de todas as outras coleções de teste.
A inscrição automática não é imediata para todos os clientes. Este comportamento ajuda a dimensionar melhor a inscrição para ambientes grandes. O Configuration Manager aleatoriza a inscrição com base no número de clientes. Por exemplo, se o seu ambiente tiver 100 000 clientes, quando ativa esta definição, a inscrição ocorre ao longo de vários dias.
Um novo dispositivo cogerido é agora inscrito automaticamente no serviço Microsoft Intune com base no respetivo token de dispositivo Microsoft Entra. Não precisa de esperar que um utilizador inicie sessão no dispositivo para iniciar a inscrição automática. Esta alteração ajuda a reduzir o número de dispositivos com o estado de inscrição Com início de sessão de utilizador pendente. Para suportar este comportamento, o dispositivo tem de ter o Windows 10 versão 1803 ou posterior. Para obter mais informações, veja Estado da inscrição de cogestão.
Se já tiver dispositivos inscritos na cogestão, os novos dispositivos são agora inscritos imediatamente após cumprirem os pré-requisitos.
Para dispositivos baseados na Internet já inscritos no Intune, copie e guarde o comando na página Ativação . Irá utilizar este comando para instalar o cliente do Configuration Manager como uma aplicação no Intune para dispositivos baseados na Internet. Se não guardar este comando agora, pode rever a configuração de cogestão em qualquer altura para obter este comando.
Dica
O comando só é apresentado se tiver cumprido todos os pré-requisitos, como configurar um gateway de gestão da cloud.
Na página Cargas de trabalho , para cada carga de trabalho, escolha o grupo de dispositivos a mover para gestão com o Intune. Para obter mais informações, veja Cargas de trabalho.
Se apenas quiser ativar a cogestão, não precisa de mudar de carga de trabalho agora. Pode alternar entre cargas de trabalho mais tarde. Para obter mais informações, veja Como mudar de cargas de trabalho.
- Intune Piloto: muda a carga de trabalho associada apenas para os dispositivos nas coleções piloto que irá especificar na página De teste. Cada carga de trabalho pode ter uma coleção piloto diferente.
- Intune: muda a carga de trabalho associada para todos os dispositivos Windows 10 ou posterior cogeridos.
Importante
Antes de mudar de cargas de trabalho, certifique-se de que configura e implementa corretamente a carga de trabalho correspondente no Intune. Certifique-se de que as cargas de trabalho são sempre geridas por uma das ferramentas de gestão dos seus dispositivos.
Na página Teste , especifique a coleção piloto para cada uma das cargas de trabalho definidas como Intune Piloto.
Para ativar a cogestão, conclua o assistente.
Próximas etapas
- Rever o estado dos dispositivos cogeridos com o dashboard cogestão
- Começar a obter valor imediato da cogestão
- Utilizar o acesso condicional e as regras de conformidade do Intune para gerir o acesso dos utilizadores aos recursos empresariais