教程:为新的基于 Internet 的设备启用共同管理

使用 Intune 进行安全性和新式预配来投资云时,你可能不希望失去使用 Configuration Manager 管理组织中的电脑的既定流程。 通过共同管理,你可以使该过程保持到位。

在本教程中,你将在同时使用 Microsoft Entra ID 和本地 Active Directory 但没有 混合Microsoft Entra ID 实例的环境中设置共同管理 Windows 10 或更高版本的设备。 Configuration Manager 环境包括单个主站点,所有站点系统角色都位于同一台服务器(即站点服务器)上。 本教程从以下前提开始:你的 Windows 10 或更高版本设备已向 Intune 注册。

如果你有一个混合Microsoft Entra 实例,该实例使用 Microsoft Entra ID 联接本地 Active Directory,我们建议按照我们的配套教程 “为 Configuration Manager 客户端启用共同管理”操作。

在以下情况下使用本教程:

  • 你可以使用 Windows 10 或更高版本的设备进行共同管理。 这些设备可能是通过 Windows Autopilot 预配的,也可能直接从硬件 OEM 进行预配。
  • Internet 上有当前使用 Intune 管理的 Windows 10 或更高版本设备,并且想要向其添加 Configuration Manager 客户端。

在本教程中,你将:

  • 查看 Azure 和本地环境的先决条件。
  • (CMG) 请求云管理网关的公共 SSL 证书。
  • 在 Configuration Manager 中启用 Azure 服务。
  • 部署和配置 CMG。
  • 将管理点和客户端配置为使用 CMG。
  • 在 Configuration Manager 中启用共同管理。
  • 配置 Intune 以安装 Configuration Manager 客户端。

先决条件

Azure 服务和环境

  • Azure 订阅 (免费试用) 。

  • Microsoft Entra ID P1 或 P2。

  • Microsoft Intune 订阅,将 Intune 配置为 自动注册设备

    提示

    企业移动性 + 安全性订阅 免费试用版 包括 Microsoft Entra ID P1 或 P2 和 Microsoft Intune。

    你不再需要购买单个 Intune 或企业移动性 + 安全性许可证并将其分配给用户。 有关详细信息,请参阅 产品和许可常见问题解答

本地基础结构

  • 受支持的 Configuration Manager Current Branch 版本。

    本教程使用 增强的 HTTP 来避免对公钥基础结构的更复杂的要求。 使用增强型 HTTP 时,必须将用于管理客户端的主站点配置为对 HTTP 站点系统使用 Configuration Manager 生成的证书。

  • 移动设备管理 (MDM) 机构设置为 Intune。

外部证书

  • CMG 服务器身份验证证书。 此 SSL 证书来自公共且全局受信任的证书提供程序。 将此证书导出为包含私钥的 .pfx 文件。

    在本教程的后面部分,我们将提供有关如何配置此证书请求的指导。

权限

在本教程中,使用以下权限完成任务:

  • 作为 Microsoft Entra ID 的 全局管理员 的帐户
  • 作为本地基础结构的 域管理员 的帐户
  • 作为 Configuration Manager 中所有范围的完全管理员的帐户

请求云管理网关的公共证书

当设备位于 Internet 上时,共同管理需要 Configuration Manager CMG。 CMG 使基于 Internet 的 Windows 设备能够与本地 Configuration Manager 部署通信。 若要在设备和 Configuration Manager 环境之间建立信任,CMG 需要 SSL 证书。

本教程使用名为 CMG 服务器身份验证证书的公共证书 ,该证书派生自全局受信任的证书提供程序。 尽管可以使用派生自本地Microsoft证书颁发机构的证书来配置共同管理,但自签名证书的使用超出了本教程的范围。

CMG 服务器身份验证证书用于加密 Configuration Manager 客户端和 CMG 之间的通信流量。 证书可追溯到受信任的根,以便向客户端验证服务器的标识。 公共证书包括 Windows 客户端已信任的受信任的根。

关于此证书:

  • 在 Azure 中为 CMG 服务标识唯一名称,然后在证书请求中指定该名称。
  • 在特定服务器上生成证书请求,然后将请求提交到公共证书提供程序以获取必要的 SSL 证书。
  • 将从提供程序收到的证书导入到生成请求的系统。 稍后将 CMG 部署到 Azure 时,使用相同的计算机导出证书。
  • 安装 CMG 后,它会使用在证书中指定的名称在 Azure 中创建 CMG 服务。

在 Azure 中标识云管理网关的唯一名称

请求 CMG 服务器身份验证证书时,请指定必须唯一的名称,以标识 Azure 中的云服务 (经典) 。 默认情况下,Azure 公有云使用 cloudapp.net,CMG 作为 <YourUniqueDnsName.cloudapp.net> 托管在 cloudapp.net 域中。

提示

在本教程中,CMG 服务器身份验证证书使用以 contoso.com 结尾的完全限定域名 (FQDN ) 。 创建 CMG 后,将在组织的公共 DNS 中配置规范名称记录 (CNAME) 。 此记录为 CMG 创建一个别名,该别名映射到在公共证书中使用的名称。

在请求公共证书之前,请确认要使用的名称在 Azure 中可用。 不直接在 Azure 中创建服务。 相反,在安装 CMG 时,Configuration Manager 使用公共证书中指定的名称来创建云服务。

  1. 登录到 Microsoft Azure 门户

  2. 选择“ 创建资源”,选择“ 计算 ”类别,然后选择“ 云服务”。 此时会打开 “云服务 (经典) ”页。

  3. 对于 DNS 名称,请指定要使用的云服务的前缀名称。

    此前缀必须与稍后为 CMG 服务器身份验证证书请求公共证书时使用的前缀相同。 在本教程中,我们使用 MyCSG 创建 MyCSG.cloudapp.net 的命名空间。 接口确认名称是否可用或已被其他服务使用。

确认要使用的名称可用后,即可 (CSR) 提交证书签名请求。

请求证书

使用以下信息向公共证书提供程序提交 CMG 的证书签名请求。 将以下值更改为与环境相关:

  • 用于标识云管理网关的服务名称的 MyCMG
  • Contoso 作为公司名称
  • Contoso.com 为公共域

建议使用主站点服务器来生成 CSR。 获取证书时,必须在生成 CSR 的同一服务器上注册证书。 此注册可确保可以导出证书的私钥,这是必需的。

生成 CSR 时请求版本 2 密钥提供程序类型。 仅支持版本 2 证书。

提示

默认情况下,部署 CMG 时,会选择“ 允许 CMG 充当云分发点并提供 Azure 存储中的内容 ”选项。 尽管基于云的内容不需要使用共同管理,但它在大多数环境中都很有用。

基于云的分发点 (CDP) 已弃用。 从版本 2107 开始,无法创建新的 CDP 实例。 若要向基于 Internet 的设备提供内容,请启用 CMG 以分发内容。 有关详细信息,请参阅 已弃用的功能

下面是云管理网关的 CSR 的详细信息:

  • 公用名CloudServiceNameCMG.YourCompanyPubilcDomainName.com (示例: MyCSG.contoso.com)
  • 使用者可选名称:与 CN) (公用名相同
  • 组织:组织的名称
  • 部门:根据组织
  • 城市:根据组织
  • 状态:根据组织
  • 国家/地区:根据组织
  • 密钥大小2048
  • 提供程序Microsoft RSA SChannel 加密提供程序

导入证书

收到公共证书后,将其导入创建 CSR 的计算机的本地证书存储。 然后将证书导出为 .pfx 文件,以便将其用于 Azure 中的 CMG。

公共证书提供程序通常提供导入证书的说明。 导入证书的过程应类似于以下指南:

  1. 在证书将导入到的计算机上,找到证书 .pfx 文件。

  2. 右键单击该文件,然后选择“ 安装 PFX”。

  3. 证书导入向导启动时,选择“ 下一步”。

  4. 在“ 要导入的文件 ”页上,选择“ 下一步”。

  5. “密码 ”页上,在“密码”框中输入私钥 的密码 ,然后选择“ 下一步”。

    选择使密钥可导出的选项。

  6. “证书存储”页上,选择“ 根据证书类型自动选择证书存储区”,然后选择“ 下一步”。

  7. 选择“完成”

导出证书

从服务器导出 CMG 服务器身份验证证书。 重新导出证书可将其用于 Azure 中的云管理网关。

  1. 在导入公共 SSL 证书的服务器上,运行 certlm.msc 以打开证书管理器控制台。

  2. 在“证书管理器”控制台中,选择“ 个人>证书”。 然后,右键单击在上一过程中注册的 CMG 服务器身份验证证书,然后选择“ 所有任务>导出”。

  3. 在“证书导出向导”中,依次选择“ 下一步”、“ 是,导出私钥”和“ 下一步”。

  4. 在“ 导出文件格式 ”页上,选择“ 个人信息交换 - PKCS #12 (”。PFX) ,选择“ 下一步”,并提供密码。

    对于文件名,请指定一个名称,如 C:\ConfigMgrCloudMGServer。 在 Azure 中创建 CMG 时,将引用此文件。

  5. 选择“ 下一步”,然后确认以下设置,然后选择“ 完成 ”以完成导出:

    • 导出密钥
    • 在证书路径中包含所有证书
    • 文件格式个人信息交换 (*.pfx)
  6. 完成导出后,找到 .pfx 文件,并将其副本放在将管理基于 Internet 的客户端的 Configuration Manager 主站点服务器上的 C:\Certs 中。

    Certs 文件夹是在服务器之间移动证书时要使用的临时文件夹。 将 CMG 部署到 Azure 时,可以从主站点服务器访问证书文件。

将证书复制到主站点服务器后,可以从成员服务器上的个人证书存储中删除证书。

在 Configuration Manager 中启用 Azure 云服务

若要从 Configuration Manager 控制台中配置 Azure 服务,请使用配置 Azure 服务向导并创建两个Microsoft Entra 应用:

  • 服务器应用:Microsoft Entra ID 中的 Web 应用。
  • 客户端应用:Microsoft Entra ID 中的本机客户端应用。

从主站点服务器运行以下过程:

  1. 打开 Configuration Manager 控制台,转到 “管理>云服务>Azure 服务”,然后选择“ 配置 Azure 服务”。

    “配置 Azure 服务 ”页上,为要配置的云管理服务指定一个友好名称。 例如: 我的云管理服务

    然后选择“ 云管理>”“下一步”。

    提示

    有关在向导中所做的配置的详细信息,请参阅 启动 Azure 服务向导

  2. 在“ 应用属性” 页上,对于 “Web 应用”,选择“ 浏览 ”以打开“ 服务器应用 ”对话框。 选择“ 创建”,然后配置以下字段:

    • 应用程序名称:指定应用的友好名称,例如 云管理 Web 应用

    • HomePage URL:Configuration Manager 不使用此值,但Microsoft Entra ID 需要此值。 默认情况下,此值为 https://ConfigMgrService

    • 应用 ID URI:此值需要在 Microsoft Entra 租户中是唯一的。 它位于 Configuration Manager 客户端用于请求对服务的访问权限的访问令牌中。 默认情况下,此值为 https://ConfigMgrService。 将默认值更改为以下建议格式之一:

      • api://{tenantId}/{string},例如,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
      • https://{verifiedCustomerDomain}/{string},例如,https://contoso.onmicrosoft.com/ConfigMgrService

    接下来,选择“ 登录”,并指定Microsoft Entra 全局管理员帐户。 Configuration Manager 不会保存这些凭据。 此角色不需要 Configuration Manager 中的权限,也不需要是运行 Azure 服务向导的同一帐户。

    登录后,将显示结果。 选择 “确定” 关闭“ 创建服务器应用程序 ”对话框并返回到“ 应用属性” 页。

  3. 对于 “本机客户端应用”,选择“ 浏览 ”以打开“ 客户端应用 ”对话框。

  4. 选择“ 创建 ”以打开“ 创建客户端应用程序 ”对话框,然后配置以下字段:

    • 应用程序名称:指定应用的友好名称,例如 Cloud Management 本机客户端应用

    • 回复 URL:Configuration Manager 不使用此值,但Microsoft Entra ID 需要此值。 默认情况下,此值为 https://ConfigMgrClient

    接下来,选择“ 登录”,并指定Microsoft Entra 全局管理员帐户。 与 Web 应用一样,这些凭据不会保存,并且不需要 Configuration Manager 中的权限。

    登录后,将显示结果。 选择 “确定” 关闭“ 创建客户端应用程序 ”对话框并返回到“ 应用属性” 页。 然后,选择“ 下一步 ”以继续。

  5. “配置发现设置” 页上,选中“ 启用Microsoft Entra 用户发现 ”复选框。 选择“ 下一步”,然后完成环境 “发现 ”对话框的配置。

  6. 继续浏览 “摘要”、“ 进度”和“ 完成” 页,然后关闭向导。

    Configuration Manager 中现已启用用于 Microsoft Entra 用户发现的 Azure 服务。 暂时保持主机打开状态。

  7. 打开浏览器并登录到 Azure 门户

  8. 选择“ 所有服务>Microsoft Entra ID>应用注册”,然后:

    1. 选择创建的 Web 应用。

    2. 转到 “API 权限”,选择“ 授予租户管理员同意 ”,然后选择“ ”。

    3. 选择创建的本机客户端应用。

    4. 转到 “API 权限”,选择“ 授予租户管理员同意 ”,然后选择“ ”。

  9. 在 Configuration Manager 控制台中,转到 “管理>概述>云服务>Azure 服务”,然后选择 Azure 服务。 然后,右键单击 “Microsoft Entra 用户发现 ”并选择“ 立即运行完全发现”。 选择“是”以确认操作。

  10. 在主站点服务器上,打开 Configuration Manager SMS_AZUREAD_DISCOVERY_AGENT.log 文件,并查找以下条目以确认发现正常工作: 已成功发布适用于 Microsoft Entra 用户的 UDX

    默认情况下,日志文件位于 %Program_Files%\Microsoft Configuration Manager\Logs 中

在 Azure 中创建云服务

在本教程的本节中,你将创建 CMG 云服务,然后为这两个服务创建 DNS CNAME 记录。

创建 CMG

使用此过程在 Azure 中将云管理网关作为服务安装。 CMG 安装在层次结构的顶层站点上。 在本教程中,我们继续使用已注册并导出证书的主站点。

  1. 在主站点服务器上,打开 Configuration Manager 控制台。 转到 “管理>概述>云服务>云管理网关”,然后选择“ 创建云管理网关”。

  2. “常规 ”页上:

    1. 为 Azure 环境选择云 环境。 本教程使用 AzurePublicCloud

    2. 选择“ Azure 资源管理器部署”。

    3. 登录到 Azure 订阅。 Configuration Manager 根据为 Configuration Manager 启用 Azure 云服务时配置的信息填写其他信息。

    选择“下一步”以继续。

  3. “设置” 页上,浏览到名为 ConfigMgrCloudMGServer.pfx 的文件并选择该文件。 此文件是在导入 CMG 服务器身份验证证书后导出的文件。 指定密码后,将根据 .pfx 证书文件中的详细信息自动填充服务名称和部署名称信息。

  4. 设置 区域 信息。

  5. 对于 资源组,请使用现有资源组或创建一个友好名称(如 ConfigMgrCloudServices)的友好名称(如 ConfigMgrCloudServices)。 如果选择创建组,该组将添加为 Azure 中的资源组。

  6. 除非已准备好大规模配置,否则为 VM 实例输入 1。 虚拟机 (VM) 实例的数量允许单个 CMG 云服务横向扩展以支持更多客户端连接。 稍后,可以使用 Configuration Manager 控制台返回和编辑使用的 VM 实例数。

  7. 选中“ 验证客户端证书吊销 ”复选框。

  8. 选中“ 允许 CMG 充当云分发点并提供 Azure 存储中的内容 ”复选框。

  9. 选择“下一步”以继续。

  10. 查看 “警报 ”页上的值,然后选择“ 下一步”。

  11. 查看 “摘要 ”页,然后选择“ 下一步 ”以创建 CMG 云服务。 选择“ 关闭 ”以完成向导。

  12. 在 Configuration Manager 控制台的 CMG 节点中,现在可以查看新服务。

创建 DNS CNAME 记录

为 CMG 创建 DNS 条目时,可以启用企业网络内外的 Windows 10 或更高版本设备,以使用名称解析在 Azure 中查找 CMG 云服务。

我们的 CNAME 记录示例是 MyCMG.contoso.com,MyCMG.cloudapp.net 在本例中:

  • 公司名称为 Contoso ,其公共 DNS 命名空间 为 contoso.com

  • CMG 服务名称为 MyCMG,在 Azure 中 MyCMG.cloudapp.net

将管理点和客户端配置为使用 CMG

配置使本地管理点和客户端能够使用云管理网关的设置。

由于我们使用增强的 HTTP 进行客户端通信,因此无需使用 HTTPS 管理点。

创建 CMG 连接点

将站点配置为支持增强的 HTTP:

  1. 在 Configuration Manager 控制台中,转到 “管理>概述>站点配置>站点”。 打开主站点的属性。

  2. 在“通信安全性”选项卡上,选择“将 Configuration Manager 生成的证书用于 HTTP 站点系统”的“HTTPS”或“HTTP”选项。 然后选择“ 确定” 以保存配置。

  3. 转到 管理>概述>站点配置>服务器和站点系统角色。 选择要在其中安装 CMG 连接点的管理点的服务器。

  4. 选择“下一步>添加站点系统角色>”。

  5. 选择“ 云管理网关连接点”,然后选择“ 下一步 ”以继续。

  6. 查看 “云管理网关连接点 ”页上的默认选择,并确保选择了正确的 CMG。

    如果有多个 CMG,可以使用下拉列表指定不同的 CMG。 还可以在安装后更改正在使用的 CMG。

    选择“下一步”以继续。

  7. 选择“ 下一步 ”开始安装,然后在 “完成 ”页上查看结果。 选择“ 关闭 ”以完成连接点的安装。

  8. 转到 管理>概述>站点配置>服务器和站点系统角色打开安装连接点的管理点的属性。

    在“ 常规 ”选项卡上,选中“ 允许 Configuration Manager 云管理网关流量 ”复选框,然后选择“ 确定” 以保存配置。

    提示

    尽管不需要启用共同管理,但我们建议对任何软件更新点进行相同的编辑。

配置客户端设置以指示客户端使用 CMG

使用 客户端设置 将 Configuration Manager 客户端配置为与 CMG 通信:

  1. 打开 Configuration Manager 控制台>“管理>概述>客户端设置”,然后编辑 “默认客户端设置” 信息。

  2. 选择“ 云服务”。

  3. “默认设置” 页上,将以下设置设置为 “是”:

    • 使用 Microsoft Entra ID 自动注册已加入域的新 Windows 10 设备

    • 允许客户端使用云管理网关

    • 允许访问云分发点

  4. 在“ 客户端策略 ”页上, 将“启用来自 Internet 客户端的用户策略请求 ”设置为 “是”。

  5. 选择“ 确定” 以保存此配置。

在 Configuration Manager 中启用共同管理

使用 Azure 配置、站点系统角色和客户端设置后,可以将 Configuration Manager 配置为启用共同管理。 但是,在本教程完成之前,在启用共同管理后,仍需要在 Intune 中执行一些配置。

其中一个任务是配置 Intune 以部署 Configuration Manager 客户端。 通过保存可从共同管理配置向导中提供的客户端部署的命令行,使该任务变得更加容易。 因此,在完成 Intune 的配置之前,我们现在启用共同管理。

在整个共同管理功能和配置对话框中使用 “试点组 ”一词。 试点组是包含 Configuration Manager 设备的子集的集合。 使用试点组进行初始测试。 根据需要添加设备,直到准备好移动所有 Configuration Manager 设备的工作负载。

试点组可用于工作负荷的时间没有时间限制。 如果不希望将工作负荷移动到所有 Configuration Manager 设备,则可以无限期地使用试点组。

建议在开始创建试点组的过程之前创建合适的集合。 然后,无需退出过程即可选择该集合。 可能需要多个集合,因为可以为每个工作负荷分配不同的试点组。

为版本 2111 及更高版本启用共同管理

从 Configuration Manager 版本 2111 开始,共同管理载入体验发生了变化。 借助云附加配置向导,可以更轻松地启用共同管理和其他云功能。 可以选择一组简化的推荐默认值,或自定义云附加功能。 还有一个新的内置设备集合,用于 共同管理符合条件的设备 ,以帮助你识别客户端。 有关启用共同管理的详细信息,请参阅 启用云附加

注意

使用新向导时,不会在启用共同管理的同时移动工作负载。 若要移动工作负载,请在启用云附加后编辑共同管理属性。

为版本 2107 及更早版本启用共同管理

启用共同管理后,可以使用版本 2006) 中添加的 Azure 公有云、Azure 政府云或 Azure 中国世纪互联云 (。 若要启用共同管理,请按照以下说明操作:

  1. 在 Configuration Manager 控制台中,转到 “管理 ”工作区,展开“ 云服务”,然后选择“ 云附加 ”节点。 选择功能区上的“ 配置云附加 ”,打开“云附加配置向导”。

    对于版本 2103 及更早版本,展开 “云服务 ”并选择“ 共同管理 ”节点。 在功能区上选择“ 配置共同管理 ”,打开“共同管理配置向导”。

  2. 在向导的“载入”页上,对于 Azure 环境,请选择以下环境之一:

    • Azure 公有云

    • Azure 政府云

    • 版本 2006) 中添加了 Azure 中国云 (

      注意

      在载入到 Azure 中国云之前,请将 Configuration Manager 客户端更新到设备上的最新版本。

    选择 Azure 中国云或 Azure 政府云时,将禁用租户附加“上传到 Microsoft Endpoint Manager 管理中心”选项。

  3. 选择“登录”。 以Microsoft Entra 全局管理员身份登录,然后选择“ 下一步”。 出于此向导的目的,你一次登录此向导。 凭据不会存储在其他位置或重复使用。

  4. “启用” 页上,选择以下设置:

    • Intune 中的自动注册:在 Intune 中为现有 Configuration Manager 客户端启用自动客户端注册。 此选项允许对一部分客户端启用共同管理,以最初测试共同管理,然后使用分阶段方法推出共同管理。 如果用户取消注册设备,则会在策略的下一次评估中重新注册该设备。

      • 试点:只有属于 Intune 自动注册 集合的 Configuration Manager 客户端才会在 Intune 中自动注册。
      • 全部:为运行 Windows 10 版本 1709 或更高版本的所有客户端启用自动注册。
      • :禁用所有客户端的自动注册。
    • Intune 自动注册:此集合应包含要加入共同管理的所有客户端。 它本质上是所有其他暂存集合的超集。

    用于在 Intune 中启用自动注册的向导页的屏幕截图。

    并非所有客户端都立即进行自动注册。 此行为有助于在大型环境中更好地缩放注册。 Configuration Manager 根据客户端数随机分配注册。 例如,如果环境中有 100,000 个客户端,则启用此设置时,注册将超过几天。

    新的共同托管设备现在根据其Microsoft Entra 设备令牌自动注册到 Microsoft Intune 服务中。 无需等待用户登录设备即可启动自动注册。 此更改有助于减少注册状态为 “挂起用户登录”的设备数。 若要支持此行为,设备需要运行 Windows 10 版本 1803 或更高版本。 有关详细信息,请参阅 共同管理注册状态

    如果已在共同管理中注册了设备,则新设备在满足 先决条件后立即注册。

  5. 对于已在 Intune 中注册的基于 Internet 的设备,复制命令并将其保存在 “启用” 页上。 你将使用此命令在 Intune 中将 Configuration Manager 客户端安装为基于 Internet 的设备的应用。 如果现在不保存此命令,可以随时查看共同管理配置以获取此命令。

    提示

    仅当满足所有先决条件(例如设置云管理网关)时,才会显示命令。

  6. “工作负载 ”页上,对于每个工作负载,选择要移动哪个设备组以便使用 Intune 进行管理。 有关详细信息,请参阅 工作负载

    如果只想启用共同管理,则现在无需切换工作负载。 稍后可以切换工作负载。 有关详细信息,请参阅 如何切换工作负载

    • 试点 Intune:仅为将在“ 暂存 ”页上指定的试点集合中的设备切换关联的工作负载。 每个工作负载可以具有不同的试点集合。
    • Intune:为所有共同管理的 Windows 10 或更高版本设备切换关联的工作负载。

    重要

    在切换任何工作负荷之前,请确保在 Intune 中正确配置和部署相应的工作负载。 确保工作负荷始终由设备的管理工具之一进行管理。

  7. 在“ 暂存 ”页上,为设置为“ 试点 Intune”的每个工作负载指定试点集合。

    共同管理配置向导的“暂存”页的屏幕截图,其中包含用于指定试点集合的选项。

  8. 若要启用共同管理,请完成向导。

使用 Intune 部署 Configuration Manager 客户端

可以使用 Intune 在当前仅使用 Intune 管理的 Windows 10 或更高版本设备上安装 Configuration Manager 客户端。

然后,当以前非托管的 Windows 10 或更高版本设备向 Intune 注册时,它会自动安装 Configuration Manager 客户端。

注意

如果计划将 Configuration Manager 客户端部署到通过 Autopilot 的设备,建议将用户作为分配 Configuration Manager 客户端而不是设备的目标。

此操作将避免 在 Autopilot 期间安装业务线应用和 Win32 应用之间的冲突。

创建 Intune 应用以安装 Configuration Manager 客户端

  1. 从主站点服务器登录到 Microsoft Intune 管理中心。 然后,转到 “应用>所有应用>添加”。

  2. 对于应用类型,请选择“其他”下的“业务线应用”。

  3. 对于 应用包文件,浏览到 Configuration Manager 文件 的位置ccmsetup.msi (例如 C:\Program Files\Microsoft Configuration Manager\bin\i386\ccmsetup.msi) 。 然后选择“ 打开>确定”。

  4. 选择“ 应用信息”,然后指定以下详细信息:

    • 说明:输入 Configuration Manager 客户端

    • 发布者:输入 Microsoft

    • 命令行参数:指定 CCMSETUPCMD 命令。 可以使用从共同管理配置向导的 “启用 ”页保存的命令。 此命令包括云服务的名称以及使设备能够安装 Configuration Manager 客户端软件的其他值。

      命令行结构应类似于此示例,该示例仅 CCMSETUPCMD 使用 和 SMSSiteCode 参数:

      CCMSETUPCMD="CCMHOSTNAME=<ServiceName.CLOUDAPP.NET/CCM_Proxy_MutualAuth/<GUID>" SMSSiteCode="<YourSiteCode>"  
      

      提示

      如果没有可用的命令,可以在 Configuration Manager 控制台中查看 的属性 CoMgmtSettingsProd ,以获取命令的副本。 仅当满足所有先决条件(例如设置 CMG)时,才会显示命令。

  5. 选择 “确定>添加”。 应用已创建并在 Intune 控制台中可用。 应用可用后,可以使用以下部分从 Intune 将应用分配给设备。

分配 Intune 应用以安装 Configuration Manager 客户端

以下过程部署用于安装在上一过程中创建的 Configuration Manager 客户端的应用:

  1. 登录到 Microsoft Intune 管理中心。 选择“ 应用>所有应用”,然后选择“ ConfigMgr 客户端设置启动”。 这是你为部署 Configuration Manager 客户端而创建的应用。

  2. 选择“属性”,然后选择“编辑作业”。 在“必需分配”下选择“添加组”,设置包含要参与共同管理的用户和设备Microsoft Entra 组。

  3. 选择“ 查看 + 保存>”以 保存配置。 你向其分配应用的用户和设备现在需要该应用。 应用在设备上安装 Configuration Manager 客户端后,由共同管理进行管理。

摘要

完成本教程的配置步骤后,可以开始共同管理设备。

后续步骤