Руководство. Включение функции совместного управления в существующих клиентах Configuration Manager

При совместном управлении вы по-прежнему управляете ПК в организации с помощью Configuration Manager, сохраняя привычные процессы. Одновременно вы открываете для себя возможности облака, используя Intune для безопасности и современной подготовки.

В этом руководстве описано, как настроить совместное управление устройствами с Windows 10 или более поздними версиями, которые уже зарегистрированы в Configuration Manager. Это руководство начинается с того, что вы уже используете Configuration Manager для управления устройствами с Windows 10 или более поздних версий.

Используйте это руководство, если:

В этом руководстве вы выполните следующие действия.

  • Ознакомьтесь с предварительными условиями для Azure и локальной среды
  • Настройка гибридного идентификатора Microsoft Entra
  • Настройка агентов клиента Configuration Manager для регистрации с помощью Идентификатора Microsoft Entra
  • Настройка Intune для автоматической регистрации устройств
  • Включение совместного управления в Configuration Manager

Предварительные условия

Службы и среда Azure

Если он еще не присутствует в вашей среде, в этом руководстве вы настроите Microsoft Entra Connect между локальной службой Active Directory и клиентом Microsoft Entra.

Примечание.

Устройства, зарегистрированные только с идентификатором Microsoft Entra, не поддерживаются совместное управление. Эту конфигурацию иногда называют присоединенной к рабочему месту. Они должны быть присоединены к Идентификатору Microsoft Entra или гибридному присоединению к Microsoft Entra. Дополнительные сведения см. в разделе Обработка устройств с зарегистрированным состоянием Microsoft Entra.

Локальная инфраструктура

  • Поддерживаемая версия Configuration Manager current branch
  • Центр управления мобильными устройствами (MDM) должен иметь значение Intune.

Разрешения

В этом руководстве для выполнения задач используйте следующие разрешения:

  • Учетная запись, которая является администратором домена в локальной инфраструктуре.
  • Учетная запись, которая является полным администраторомдля всех областей в Configuration Manager
  • Учетная запись, которая является глобальным администратором в идентификаторе Microsoft Entra
    • Убедитесь, что вы назначили лицензию Intune учетной записи, используемой для входа в клиент. В противном случае вход завершается сбоем с сообщением Об ошибке Произошла непредвиденная ошибка.

Настройка гибридного идентификатора Microsoft Entra

При настройке гибридного идентификатора Microsoft Entra вы действительно настраиваете интеграцию локального AD с Microsoft Entra ID с помощью Microsoft Entra Connect и федеративных служб Active Directory (ADFS). После успешной настройки рабочие могут легко входить во внешние системы с помощью локальных учетных данных AD.

Важно!

В этом руководстве описан процесс настройки гибридного идентификатора Microsoft Entra для управляемого домена. Рекомендуется ознакомиться с процессом и не полагаться на это руководство в качестве руководства по пониманию и развертыванию гибридного идентификатора Microsoft Entra.

Дополнительные сведения о гибридном идентификаторе Microsoft Entra см. в следующих статьях документации по Microsoft Entra:

Настройка Microsoft Entra Connect

Для гибридного идентификатора Microsoft Entra id требуется настройка Microsoft Entra Connect для синхронизации учетных записей компьютеров в локальной службе Active Directory (AD) и объекта устройства в Microsoft Entra ID.

Начиная с версии 1.1.819.0 Microsoft Entra Connect предоставляет мастер настройки гибридного присоединения к Microsoft Entra. Использование этого мастера упрощает процесс настройки.

Чтобы настроить Microsoft Entra Connect, вам потребуются учетные данные глобального администратора для идентификатора Microsoft Entra. Следующая процедура не должна считаться авторитетной для настройки Microsoft Entra Connect, но приведена здесь, чтобы упростить настройку совместного управления Между Intune и Configuration Manager. Сведения об этом и связанных процедурах настройки идентификатора Microsoft Entra см. в разделе Настройка гибридного присоединения к Microsoft Entra для управляемых доменов в документации Microsoft Entra.

Настройка гибридного соединения Microsoft Entra с помощью Microsoft Entra Connect

  1. Получите и установите последнюю версию Microsoft Entra Connect (1.1.819.0 или более поздней).

  2. Запустите Microsoft Entra Connect и нажмите кнопку Настроить.

  3. На странице Дополнительные задачи выберите Настроить параметры устройства, а затем нажмите кнопку Далее.

  4. На странице Обзор нажмите кнопку Далее.

  5. На странице Connect to Microsoft Entra ID (Подключиться к Идентификатору Microsoft Entra) введите учетные данные глобального администратора для Идентификатора Microsoft Entra.

  6. На странице Параметры устройства выберите Настроить гибридное присоединение Microsoft Entra, а затем нажмите кнопку Далее.

  7. На странице Операционные системы устройств выберите операционные системы, используемые устройствами в среде Active Directory, а затем нажмите кнопку Далее.

    Вы можете выбрать вариант для поддержки устройств Windows нижнего уровня, присоединенных к домену, но имейте в виду, что совместное управление устройствами поддерживается только для Windows 10 или более поздних версий.

  8. На странице SCP для каждого локального леса, который требуется, чтобы Microsoft Entra Connect настроит точку подключения службы (SCP), выполните следующие действия и нажмите кнопку Далее:

    1. Выберите лес.
    2. Выберите службу проверки подлинности. Если у вас есть федеративный домен, выберите сервер AD FS, если в вашей организации нет исключительно клиентов Windows 10 или более поздних версий и вы настроили синхронизацию компьютера или устройства или ваша организация использует ПростойSSO.
    3. Нажмите кнопку Добавить , чтобы ввести учетные данные администратора предприятия.
  9. Если у вас есть управляемый домен, пропустите этот шаг.

    На странице Конфигурация федерации введите учетные данные администратора AD FS и нажмите кнопку Далее.

  10. На странице Готово к настройке выберите Настроить.

  11. На странице Настройка завершена выберите Выйти.

Если у вас возникли проблемы с завершением гибридного присоединения к Microsoft Entra для устройств Windows, присоединенных к домену, см. статью Устранение неполадок с гибридным присоединением Microsoft Entra для текущих устройств Windows.

Настройка параметров клиента для направления клиентов на регистрацию с помощью Идентификатора Microsoft Entra

Используйте параметры клиента, чтобы настроить автоматическую регистрацию клиентов Configuration Manager с помощью Идентификатора Microsoft Entra.

  1. Откройтеконсоль >Администрирование>Configuration ManagerОбзор >параметров клиента, а затем измените параметры клиента по умолчанию.

  2. Выберите Облачные службы.

  3. На странице Параметры по умолчанию установите для параметра Автоматически регистрировать новые присоединенные к домену устройства Windows 10 с идентификатором Microsoft Entra значение = Да.

  4. Нажмите кнопку ОК , чтобы сохранить эту конфигурацию.

Настройка автоматической регистрации устройств в Intune

Далее мы настроим автоматическую регистрацию устройств в Intune. При автоматической регистрации устройства, которыми вы управляете с помощью Configuration Manager, автоматически регистрироваться в Intune.

Автоматическая регистрация также позволяет пользователям регистрировать устройства с Windows 10 или более поздней версии в Intune. Устройства регистрируются, когда пользователь добавляет свою рабочую учетную запись на личное устройство или когда корпоративное устройство присоединено к Идентификатору Microsoft Entra.

  1. Войдите на портал Azure и выберите Microsoft Entra ID>Mobility (MDM и MAM)>Microsoft Intune.

  2. Настройка области пользователя MDM. Укажите одно из следующих значений, чтобы настроить устройства пользователей, управляемые Microsoft Intune, и примите значения URL-адресов по умолчанию.

    • Некоторые. Выберите группы , которые могут автоматически регистрировать устройства с Windows 10 или более поздней версии.

    • Все: все пользователи могут автоматически зарегистрировать свои устройства с Windows 10 или более поздней версии.

    • Нет: отключение автоматической регистрации MDM

    Важно!

    Если для группы включены как область пользователя MAM , так и автоматическая регистрация MDM (область пользователя MDM), включена только MAM. Только управление мобильными приложениями (MAM) добавляется для пользователей в этой группе, когда они присоединяются к личному устройству на рабочем месте. Устройства не регистрируются автоматически.

    Если Configuration Manager настроен для регистрации устройств в Intune, вам по-прежнему необходимо изменить область пользователя MDM для регистрации маркера устройства. Configuration Manager использует URL-адреса MDM, которые хранятся в базе данных сайта, чтобы убедиться, что клиент принадлежит ожидаемому клиенту Intune.

  3. Нажмите кнопку Сохранить , чтобы завершить настройку автоматической регистрации.

  4. Вернитесь в раздел Мобильность (MDM и MAM) и выберите Регистрация Microsoft Intune.

    Примечание.

    Некоторые клиенты могут не иметь этих параметров для настройки.

    Microsoft Intune — это способ настройки приложения MDM для Идентификатора Microsoft Entra. Регистрация в Microsoft Intune — это определенное приложение Microsoft Entra, которое создается при применении политик многофакторной идентификации для регистрации iOS и Android. Дополнительные сведения см. в статье Настройка обязательной многофакторной проверки подлинности для регистрации устройств в Intune.

  5. Для области пользователя MDM выберите Все, а затем — Сохранить.

Включение совместного управления в Configuration Manager

С помощью гибридной настройки Microsoft Entra и конфигурации клиента Configuration Manager вы можете переключить переключатель и включить совместное управление устройствами с Windows 10 или более поздних версий. Фраза Пилотная группа используется в диалоговых окнах совместного управления и конфигурации. Пилотная группа — это коллекция, содержащая подмножество устройств Configuration Manager. Используйте пилотную группу для первоначального тестирования, добавляя устройства по мере необходимости, пока не будете готовы к перемещению рабочих нагрузок для всех устройств Configuration Manager. Срок использования пилотной группы для рабочих нагрузок не ограничен. Пилотную группу можно использовать на неопределенный срок, если вы не хотите перемещать рабочую нагрузку на все устройства Configuration Manager.

При включении совместного управления вы назначите коллекцию в качестве пилотной группы. Это группа, которая содержит небольшое количество клиентов для тестирования конфигураций совместного управления. Перед началом процедуры рекомендуется создать подходящую коллекцию. Затем можно выбрать эту коллекцию, не выходя из процедуры. Может потребоваться несколько коллекций, так как для каждой рабочей нагрузки можно назначить другую пилотную группу .

Примечание.

Так как устройства регистрируются в службе Microsoft Intune на основе маркера устройства Microsoft Entra, а не маркера пользователя, к регистрации будет применяться только ограничение регистрации Intune по умолчанию.

Включение совместного управления для версий 2111 и более поздних

Начиная с Configuration Manager версии 2111, интерфейс совместного подключения изменился. Мастер настройки подключения к облаку упрощает включение совместного управления и других облачных функций. Вы можете выбрать упрощенный набор рекомендуемых параметров по умолчанию или настроить собственные функции подключения к облаку. Существует также новая встроенная коллекция устройств для совместного управления соответствующими устройствами , которые помогут вам идентифицировать клиентов. Дополнительные сведения о включении совместного управления см. в статье Включение подключения к облаку.

Примечание.

При использовании нового мастера рабочие нагрузки не перемещаются одновременно с включением совместного управления. Чтобы переместить рабочие нагрузки, вы измените свойства совместного управления после включения подключения к облаку.

Включение совместного управления для версий 2107 и более ранних

При включении совместного управления можно использовать общедоступное облако Azure, облако Azure для государственных организаций или облако Azure 21Vianet для Китая (добавлено в версии 2006). Чтобы включить совместное управление, выполните следующие инструкции.

  1. В консоли Configuration Manager перейдите в рабочую область Администрирование , разверните узел Облачные службы и выберите узел Подключение облака . Выберите Настроить подключение к облаку на ленте, чтобы открыть мастер настройки облачного подключения.

    Для версии 2103 и более ранних разверните узел Облачные службы и выберите узел Совместное управление . Выберите Настроить совместное управление на ленте, чтобы открыть мастер настройки совместного управления.

  2. На странице подключения мастера для среды Azure выберите одну из следующих сред:

    • Общедоступное облако Azure

    • Облако Azure для государственных организаций

    • Облако Azure для Китая (добавлено в версии 2006)

      Примечание.

      Перед подключением к облаку Azure для Китая обновите клиент Configuration Manager до последней версии на своих устройствах.

    При выборе облака Azure для Китая или облака Azure для государственных организаций параметр Отправить в центр администрирования Microsoft Endpoint Manager для подключения клиента отключается.

  3. Нажмите Войти. Войдите в систему с правами глобального администратора Microsoft Entra и нажмите кнопку Далее. Вы входите в систему один раз для целей этого мастера. Учетные данные не хранятся или повторно не будут использоваться в другом месте.

  4. На странице Включение выберите следующие параметры:

    • Автоматическая регистрация в Intune. Включает автоматическую регистрацию клиентов в Intune для существующих клиентов Configuration Manager. Этот параметр позволяет включить совместное управление для подмножества клиентов, чтобы сначала протестировать совместное управление, а затем развернуть совместное управление с помощью поэтапного подхода. Если пользователь отменит регистрацию устройства, оно будет повторно зарегистрировано при следующей оценке политики.

      • Пилотный проект. В Intune автоматически регистрируются только клиенты Configuration Manager, которые являются членами коллекции автоматической регистрации Intune .
      • Все: включите автоматическую регистрацию для всех клиентов под управлением Windows 10 версии 1709 или более поздней.
      • Нет. Отключите автоматическую регистрацию для всех клиентов.
    • Автоматическая регистрация Intune. Эта коллекция должна содержать все клиенты, которые вы хотите подключить к совместному управлению. Это, по сути, надмножество всех остальных промежуточных коллекций.

    Снимок экрана: страница мастера включения автоматической регистрации в Intune.

    Автоматическая регистрация не является немедленной для всех клиентов. Такое поведение помогает лучше масштабировать регистрацию для больших сред. Configuration Manager случайным образом определяет регистрацию на основе количества клиентов. Например, если в вашей среде 100 000 клиентов, при включении этого параметра регистрация происходит в течение нескольких дней.

    Новое совместно управляемое устройство теперь автоматически регистрируется в службе Microsoft Intune на основе маркера устройства Microsoft Entra. Для запуска автоматической регистрации не нужно ждать, пока пользователь войдет на устройство. Это изменение помогает сократить количество устройств с состоянием регистрации Ожидание входа пользователя. Для поддержки этого поведения устройство должно работать под управлением Windows 10 версии 1803 или более поздней. Дополнительные сведения см. в разделе Состояние регистрации совместного управления.

    Если у вас уже есть устройства, зарегистрированные в совместном управлении, новые устройства регистрируются сразу после того, как они соответствуют предварительным требованиям.

  5. Для интернет-устройств, которые уже зарегистрированы в Intune, скопируйте и сохраните команду на странице Включение . Эта команда используется для установки клиента Configuration Manager в качестве приложения в Intune для интернет-устройств. Если вы не сохраните эту команду сейчас, вы можете в любое время просмотреть конфигурацию совместного управления, чтобы получить эту команду.

    Совет

    Команда отображается только в том случае, если выполнены все предварительные требования, например настройка шлюза управления облаком.

  6. На странице Рабочие нагрузки для каждой рабочей нагрузки выберите группу устройств для управления с помощью Intune. Дополнительные сведения см. в разделе Рабочие нагрузки.

    Если вы хотите включить только совместное управление, вам не нужно переключать рабочие нагрузки сейчас. Вы можете переключить рабочие нагрузки позже. Дополнительные сведения см. в разделе Переключение рабочих нагрузок.

    • Пилотная версия Intune: переключает связанную рабочую нагрузку только для устройств в пилотных коллекциях, которые будут указаны на странице Промежуточное. У каждой рабочей нагрузки может быть другая пилотная коллекция.
    • Intune: переключает связанную рабочую нагрузку для всех совместно управляемых устройств с Windows 10 или более поздних версий.

    Важно!

    Перед переключением рабочих нагрузок убедитесь, что соответствующая рабочая нагрузка правильно настроена и развернута в Intune. Убедитесь, что рабочие нагрузки всегда управляются одним из средств управления для ваших устройств.

  7. На странице Промежуточное управление укажите пилотную коллекцию для каждой рабочей нагрузки, для которых задано значение Pilot Intune.

    Снимок экрана: промежуточная страница мастера конфигурации совместного управления с параметрами для указания пилотных коллекций.

  8. Чтобы включить совместное управление, завершите работу мастера.

Дальнейшие действия