Lernprogramm: Co-Verwaltung für die vorhandenen Konfigurations-Manager-Clients aktivieren

Mit Co-Management können Sie Ihre etablierten Prozesse für die Verwendung des Configuration Managers zur Verwaltung von PCs in Ihrer Organisation beibehalten. Gleichzeitig investieren Sie in die Cloud durch den Einsatz von Intune für Sicherheit und eine moderne Bereitstellung.

In diesem Tutorial richten Sie die Co-Verwaltung Ihrer Windows 10 oder höherer Geräte ein, die bereits bei Configuration Manager registriert sind. Dieses Tutorial beginnt mit der Prämisse, dass Sie bereits Configuration Manager verwenden, um Ihre Windows 10 oder höher zu verwalten.

Verwenden Sie dieses Tutorial in folgenden Fällen:

  • Sie verfügen über eine lokales Active Directory, die Sie in einer Hybridkonfiguration Microsoft Entra mit Microsoft Entra ID verbinden können.

    Wenn Sie keine Hybrid-Microsoft Entra ID bereitstellen können, die Ihr lokales AD mit Microsoft Entra ID verknüpft, empfiehlt es sich, unser Begleittutorial Aktivieren der Co-Verwaltung für neue internetbasierte Windows 10 oder höher zu befolgen.

  • Sie verfügen über Configuration Manager Clients, die Sie in die Cloud anfügen möchten.

In diesem Tutorial gehen Sie wie folgt vor:

  • Überprüfen der Voraussetzungen für Azure und Ihre lokale Umgebung
  • Einrichten von Hybrid-Microsoft Entra ID
  • Konfigurieren Configuration Manager Client-Agents für die Registrierung bei Microsoft Entra ID
  • Konfigurieren von Intune zum automatischen Registrieren von Geräten
  • Co-Verwaltung in Configuration Manager aktivieren

Voraussetzungen

Azure-Dienste und -Umgebung

  • Azure-Abonnement (kostenlose Testversion)

  • Microsoft Entra ID P1 oder P2

  • Microsoft Intune-Abonnement

    Tipp

    Ein Enterprise Mobility + Security-Abonnement (EMS) umfasst sowohl Microsoft Entra ID P1 oder P2 als auch Microsoft Intune. EMS-Abonnement (kostenlose Testversion).

Falls noch nicht in Ihrer Umgebung vorhanden, konfigurieren Sie in diesem Tutorial Microsoft Entra Verbinden zwischen Ihrem lokales Active Directory und Ihrem Microsoft Entra Mandanten.

Hinweis

Geräte, die nur bei Microsoft Entra ID registriert sind, werden bei der Co-Verwaltung nicht unterstützt. Diese Konfiguration wird manchmal als arbeitsplatzgeknüpft bezeichnet. Sie müssen entweder mit Microsoft Entra ID oder Microsoft Entra hybrid eingebunden werden. Weitere Informationen finden Sie unter Behandeln von Geräten mit Microsoft Entra registrierten Status.

Lokale Infrastruktur

  • Eine unterstützte Version von Configuration Manager Current Branch
  • Die Autorität für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) muss auf Intune festgelegt werden.

Berechtigungen

Verwenden Sie in diesem Tutorial die folgenden Berechtigungen, um Aufgaben auszuführen:

  • Ein Konto, das ein Domänenadministrator in Ihrer lokalen Infrastruktur ist
  • Ein Konto, das ein Volladministrator für alle Bereiche in Configuration Manager
  • Ein Konto, das ein globaler Administrator in Microsoft Entra ID
    • Stellen Sie sicher, dass Sie dem Konto, das Sie zum Anmelden bei Ihrem Mandanten verwenden, eine Intune Lizenz zugewiesen haben. Andernfalls schlägt die Anmeldung mit der Fehlermeldung Ein unerwarteter Fehler ist aufgetreten.

Einrichten von Hybrid-Microsoft Entra ID

Wenn Sie eine Hybrid-Microsoft Entra ID einrichten, richten Sie die Integration eines lokalen AD mit Microsoft Entra ID mithilfe von Microsoft Entra Connect und Active Directory-Verbunddiensten (AD FS) ein. Nach erfolgreicher Konfiguration können sich Ihre Mitarbeiter nahtlos mit ihren lokalen AD-Anmeldeinformationen bei externen Systemen anmelden.

Wichtig

In diesem Tutorial wird ein bare-Bones-Prozess zum Einrichten von Hybrid-Microsoft Entra ID für eine verwaltete Domäne beschrieben. Es wird empfohlen, dass Sie sich mit dem Prozess vertraut machen und sich nicht auf dieses Tutorial verlassen, um hybride Microsoft Entra ID zu verstehen und bereitzustellen.

Weitere Informationen zu hybriden Microsoft Entra ID finden Sie in den folgenden Artikeln in der Microsoft Entra-Dokumentation:

Einrichten von Microsoft Entra Connect

Hybrid-Microsoft Entra ID erfordert die Konfiguration von Microsoft Entra Connect, um Computerkonten in Ihrem lokales Active Directory (AD) und das Geräteobjekt in Microsoft Entra ID synchron zu halten.

Ab Version 1.1.819.0 bietet ihnen Microsoft Entra Connect einen Assistenten zum Konfigurieren Microsoft Entra Hybrideinbindung. Die Verwendung dieses Assistenten vereinfacht den Konfigurationsprozess.

Zum Konfigurieren von Microsoft Entra Connect benötigen Sie Anmeldeinformationen eines globalen Administrators für Microsoft Entra ID. Das folgende Verfahren sollte für die Einrichtung von Microsoft Entra Connect nicht als autoritativ angesehen werden, wird hier jedoch bereitgestellt, um die Konfiguration der Co-Verwaltung zwischen Intune und Configuration Manager zu optimieren. Die maßgeblichen Inhalte zu diesem und verwandten Verfahren zum Einrichten von Microsoft Entra ID finden Sie unter Konfigurieren Microsoft Entra Hybridjoins für verwaltete Domänen in der Microsoft Entra-Dokumentation.

Konfigurieren einer Microsoft Entra Hybrideinbindung mithilfe von Microsoft Entra Connect

  1. Rufen Sie die neueste Version von Microsoft Entra Connect (1.1.819.0 oder höher) ab, und installieren Sie sie.

  2. Starten Sie Microsoft Entra Verbinden, und wählen Sie dann Konfigurieren aus.

  3. Wählen Sie auf der Seite Zusätzliche Aufgabendie Option Geräteoptionen konfigurieren und dann Weiter aus.

  4. Wählen Sie auf der Seite Übersicht die Option Weiter aus.

  5. Geben Sie auf der Seite Verbindung mit Microsoft Entra ID herstellen die Anmeldeinformationen eines globalen Administrators für Microsoft Entra ID ein.

  6. Wählen Sie auf der Seite Geräteoptionendie Option Microsoft Entra Hybridjoin konfigurieren und dann Weiter aus.

  7. Wählen Sie auf der Seite Gerätebetriebssysteme die Betriebssysteme aus, die von Geräten in Ihrer Active Directory-Umgebung verwendet werden, und wählen Sie dann Weiter aus.

    Sie können die Option zur Unterstützung von Geräten mit untergeordneter Windows-Domäne auswählen. Beachten Sie jedoch, dass die Co-Verwaltung von Geräten nur für Windows 10 oder höher unterstützt wird.

  8. Führen Sie auf der Seite SCP für jede lokale Gesamtstruktur, die Sie Microsoft Entra Verbinden zum Konfigurieren des Dienstverbindungspunkts (Service Connection Point, SCP) herstellen möchten, die folgenden Schritte aus, und wählen Sie dann Weiter aus:

    1. Wählen Sie die Gesamtstruktur aus.
    2. Wählen Sie den Authentifizierungsdienst aus. Wenn Sie über eine Verbunddomäne verfügen, wählen Sie den AD FS-Server aus, es sei denn, Ihr organization verfügt ausschließlich über Windows 10 oder höher Clients und Sie haben die Computer-/Gerätesynchronisierung konfiguriert oder Ihr organization verwendet SeamlessSSO.
    3. Klicken Sie auf Hinzufügen , um die Anmeldeinformationen des Unternehmensadministrators einzugeben.
  9. Wenn Sie über eine verwaltete Domäne verfügen, überspringen Sie diesen Schritt.

    Geben Sie auf der Seite Verbundkonfiguration die Anmeldeinformationen Ihres AD FS-Administrators ein, und wählen Sie dann Weiter aus.

  10. Wählen Sie auf der Seite Bereit zur Konfiguration die Option Konfigurieren aus.

  11. Wählen Sie auf der Seite Konfiguration abgeschlossendie Option Beenden aus.

Wenn beim Abschließen Microsoft Entra Hybridbeitritts für in die Domäne eingebundene Windows-Geräte Probleme auftreten, lesen Sie Problembehandlung Microsoft Entra Hybrideinbindung für aktuelle Windows-Geräte.

Konfigurieren von Clienteinstellungen zum Anweisen von Clients zur Registrierung bei Microsoft Entra ID

Verwenden Sie Clienteinstellungen, um Configuration Manager Clients für die automatische Registrierung bei Microsoft Entra ID zu konfigurieren.

  1. Öffnen Sie die Configuration Manager-Konsole>Verwaltungsübersicht>>Clienteinstellungen, und bearbeiten Sie dann die Standardclienteinstellungen.

  2. Wählen Sie Cloud Services aus.

  3. Legen Sie auf der Seite Standardeinstellungendie Option Neue Windows 10 in die Domäne eingebundenen Geräte mit Microsoft Entra ID automatisch registrieren auf = Ja fest.

  4. Wählen Sie OK aus, um diese Konfiguration zu speichern.

Konfigurieren der automatischen Registrierung von Geräten für Intune

Als Nächstes richten wir die automatische Registrierung von Geräten mit Intune ein. Bei der automatischen Registrierung Configuration Manager Geräte, die Sie mit verwalten, automatisch bei Intune registriert werden.

Mit der automatischen Registrierung können Benutzer auch ihre Windows 10 oder höher für Intune registrieren. Geräte werden registriert, wenn ein Benutzer sein Geschäftskonto zu einem persönlichen Gerät hinzufügt oder wenn ein unternehmenseigenes Gerät mit Microsoft Entra ID verknüpft ist.

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie Microsoft Entra ID>Mobilität (MDM und MAM)>Microsoft Intune aus.

  2. Konfigurieren Sie den MDM-Benutzerbereich. Geben Sie eine der folgenden Optionen an, um zu konfigurieren, welche Benutzergeräte von Microsoft Intune verwaltet werden, und übernehmen Sie die Standardwerte für die URL-Werte.

    • Einige: Wählen Sie die Gruppen aus, die ihre Windows 10 oder höher automatisch registrieren können.

    • Alle: Alle Benutzer können ihre Windows 10 oder höher automatisch registrieren.

    • Keine: Automatische MDM-Registrierung deaktivieren

    Wichtig

    Wenn sowohl der MAM-Benutzerbereich als auch die automatische MDM-Registrierung (MDM-Benutzerbereich) für eine Gruppe aktiviert sind, ist nur MAM aktiviert. Nur die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) wird für Benutzer in dieser Gruppe hinzugefügt, wenn sie am Arbeitsplatz einem persönlichen Gerät beitreten. Geräte werden nicht automatisch mdm-registriert.

    Wenn Configuration Manager so festgelegt ist, dass Geräte bei Intune registriert werden, müssen Sie den MDM-Benutzerbereich für die Gerätetokenregistrierung ändern. Configuration Manager verwendet die MDM-URLs, die in der Standortdatenbank gespeichert werden, um zu überprüfen, ob der Client zu Intune erwarteten Mandanten gehört.

  3. Wählen Sie Speichern aus, um die Konfiguration der automatischen Registrierung abzuschließen.

  4. Kehren Sie zu Mobilität (MDM und MAM) zurück, und wählen Sie dann Microsoft Intune Registrierung aus.

    Hinweis

    Einige Mandanten verfügen möglicherweise nicht über diese Optionen zum Konfigurieren.

    Microsoft Intune konfigurieren Sie die MDM-App für Microsoft Entra ID. Microsoft Intune Enrollment ist eine bestimmte Microsoft Entra-App, die erstellt wird, wenn Sie Richtlinien für die mehrstufige Authentifizierung für die iOS- und Android-Registrierung anwenden. Weitere Informationen finden Sie unter Mehrstufige Authentifizierung für Geräteregistrierung in Intune anfordern.

  5. Wählen Sie für MDM-Benutzerbereich die Option Alle und dann Speichern aus.

Co-Verwaltung in Configuration Manager aktivieren

Mit der Einrichtung von Hybrid-Microsoft Entra und Configuration Manager Clientkonfigurationen können Sie den Schalter umdrehen und die Co-Verwaltung Ihrer Windows 10 oder höherer Geräte aktivieren. Der Ausdruck Pilotgruppe wird in allen Feature- und Konfigurationsdialogfeldern für die Co-Verwaltung verwendet. Eine Pilotgruppe ist eine Sammlung, die eine Teilmenge Ihrer Configuration Manager Geräte enthält. Verwenden Sie eine Pilotgruppe für Ihre ersten Tests, und fügen Sie nach Bedarf Geräte hinzu, bis Sie bereit sind, die Workloads für alle Configuration Manager Geräte zu verschieben. Es gibt keine Zeitliche Begrenzung, wie lange eine Pilotgruppe für Workloads verwendet werden kann. Eine Pilotgruppe kann unbegrenzt verwendet werden, wenn Sie die Workload nicht auf alle Configuration Manager Geräte verschieben möchten.

Wenn Sie die Co-Verwaltung aktivieren, weisen Sie eine Sammlung als Pilotgruppe zu. Dies ist eine Gruppe, die eine kleine Anzahl von Clients enthält, um Ihre Co-Verwaltungskonfigurationen zu testen. Es wird empfohlen, eine geeignete Sammlung zu erstellen, bevor Sie mit dem Verfahren beginnen. Anschließend können Sie diese Sammlung auswählen, ohne die entsprechende Prozedur zu beenden. Möglicherweise benötigen Sie mehrere Sammlungen, da Sie für jede Workload eine andere Pilotgruppe zuweisen können.

Hinweis

Da Geräte im Microsoft Intune-Dienst basierend auf dem Microsoft Entra Gerätetoken und nicht auf einem Benutzertoken registriert werden, gilt nur die standardbasierte Intune Registrierungseinschränkung für die Registrierung.

Aktivieren der Co-Verwaltung für Versionen 2111 und höher

Ab Configuration Manager Version 2111 hat sich das Onboarding der Co-Verwaltung geändert. Der Assistent für die Cloudanfügungskonfiguration erleichtert die Aktivierung der Co-Verwaltung und anderer Cloudfeatures. Sie können einen optimierten Satz empfohlener Standardwerte auswählen, oder Ihre Features für die Cloudanfügung anpassen. Es gibt auch eine neue integrierte Gerätesammlung für für die Co-Verwaltung berechtigte Geräte , die Sie bei der Identifizierung von Clients unterstützen. Weitere Informationen zum Aktivieren der Co-Verwaltung finden Sie unter Aktivieren der Cloudanfügung.

Hinweis

Mit dem neuen Assistenten verschieben Sie Workloads nicht gleichzeitig mit der Aktivierung der Co-Verwaltung. Um Workloads zu verschieben, bearbeiten Sie die Eigenschaften der Co-Verwaltung nach dem Aktivieren der Cloudanfügung.

Aktivieren der Co-Verwaltung für Versionen 2107 und früher

Wenn Sie die Co-Verwaltung aktivieren, können Sie die öffentliche Azure-Cloud, Azure Government Cloud oder Azure China 21Vianet-Cloud (hinzugefügt in Version 2006) verwenden. Befolgen Sie die folgenden Anweisungen, um die Co-Verwaltung zu aktivieren:

  1. Wechseln Sie in der Configuration Manager-Konsole zum Arbeitsbereich Verwaltung, erweitern Sie Cloud Services, und wählen Sie den Knoten Cloudanfügung aus. Wählen Sie im Menüband die Option Cloudanfügung konfigurieren aus, um den Konfigurations-Assistenten für die Cloudanfügung zu öffnen.

    Erweitern Sie für Version 2103 und früher Cloud Services, und wählen Sie den Knoten Co-Verwaltung aus. Wählen Sie im Menüband Co-Verwaltung konfigurieren aus, um den Konfigurations-Assistenten für die Co-Verwaltung zu öffnen.

  2. Wählen Sie auf der Onboardingseite des Assistenten für die Azure-Umgebung eine der folgenden Umgebungen aus:

    • Öffentliche Azure-Cloud

    • Azure Government Cloud

    • Azure China-Cloud (hinzugefügt in Version 2006)

      Hinweis

      Aktualisieren Sie den Configuration Manager-Client auf Ihre Geräte auf die neueste Version, bevor Sie das Onboarding in die Azure China-Cloud durchführen.

    Wenn Sie die Azure China-Cloud oder Azure Government Cloud auswählen, ist die Option In Microsoft Endpoint Manager Admin Center hochladen für mandantenanfügen deaktiviert.

  3. Wählen Sie Anmelden aus. Melden Sie sich als Microsoft Entra globalen Administrator an, und wählen Sie dann Weiter aus. Sie melden sich dieses Mal für die Zwecke dieses Assistenten an. Die Anmeldeinformationen werden nicht gespeichert oder an anderer Stelle wiederverwendet.

  4. Wählen Sie auf der Seite Aktivieren die folgenden Einstellungen aus:

    • Automatische Registrierung in Intune: Aktiviert die automatische Clientregistrierung in Intune für vorhandene Configuration Manager Clients. Mit dieser Option können Sie die Co-Verwaltung für eine Teilmenge von Clients aktivieren, um zunächst die Co-Verwaltung zu testen und dann die Co-Verwaltung mithilfe eines stufenweisen Ansatzes bereitzustellen. Wenn der Benutzer die Registrierung eines Geräts auf hebt, wird das Gerät bei der nächsten Auswertung der Richtlinie erneut registriert.

      • Pilot: Nur die Configuration Manager Clients, die Mitglieder der sammlung der Intune automatischen Registrierung sind, werden automatisch in Intune registriert.
      • Alle: Aktivieren Sie die automatische Registrierung für alle Clients, die Windows 10 Version 1709 oder höher ausgeführt werden.
      • Keine: Deaktivieren Sie die automatische Registrierung für alle Clients.
    • Intune Automatische Registrierung: Diese Sammlung sollte alle Clients enthalten, die Sie in die Co-Verwaltung integrieren möchten. Es handelt sich im Wesentlichen um eine Obermenge aller anderen Stagingauflistungen.

    Screenshot der Assistentenseite zum Aktivieren der automatischen Registrierung in Intune.

    Die automatische Registrierung erfolgt nicht sofort für alle Clients. Dieses Verhalten trägt dazu bei, dass die Registrierung für große Umgebungen besser skaliert wird. Configuration Manager zufällige Registrierung basierend auf der Anzahl der Clients. Wenn Ihre Umgebung beispielsweise über 100.000 Clients verfügt und Sie diese Einstellung aktivieren, erfolgt die Registrierung über mehrere Tage.

    Ein neues gemeinsam verwaltetes Gerät wird jetzt basierend auf seinem Microsoft Entra Gerätetoken automatisch im Microsoft Intune-Dienst registriert. Es muss nicht warten, bis sich ein Benutzer beim Gerät anmeldet, damit die automatische Registrierung gestartet wird. Diese Änderung trägt dazu bei, die Anzahl der Geräte mit der Registrierung status Ausstehende Benutzeranmeldung zu reduzieren.Um dieses Verhalten zu unterstützen, muss das Gerät Windows 10 Version 1803 oder höher ausgeführt werden. Weitere Informationen finden Sie unter co-management enrollment status.

    Wenn Sie bereits Geräte bei der Co-Verwaltung registriert haben, werden neue Geräte sofort registriert, nachdem sie die Voraussetzungen erfüllt haben.

  5. Für internetbasierte Geräte, die bereits bei Intune registriert sind, kopieren Und speichern Sie den Befehl auf der Seite Aktivieren. Sie verwenden diesen Befehl, um den Configuration Manager-Client als App in Intune für internetbasierte Geräte zu installieren. Wenn Sie diesen Befehl jetzt nicht speichern, können Sie die Konfiguration der Co-Verwaltung jederzeit überprüfen, um diesen Befehl zu erhalten.

    Tipp

    Der Befehl wird nur angezeigt, wenn Sie alle Voraussetzungen erfüllt haben, z. B. das Einrichten eines Cloudverwaltungsgateways.

  6. Wählen Sie auf der Seite Workloads für jede Workload aus, welche Gerätegruppe für die Verwaltung mit Intune verschoben werden soll. Weitere Informationen finden Sie unter Workloads.

    Wenn Sie nur die Co-Verwaltung aktivieren möchten, müssen Sie jetzt keine Workloads wechseln. Sie können Workloads später wechseln. Weitere Informationen finden Sie unter Wechseln von Workloads.

    • Pilot Intune: Wechselt die zugeordnete Workload nur für die Geräte in den Pilotsammlungen, die Sie auf der Seite Staging angeben. Jede Workload kann über eine andere Pilotsammlung verfügen.
    • Intune: Wechselt die zugeordnete Workload für alle gemeinsam verwalteten Windows 10 oder höher.

    Wichtig

    Stellen Sie vor dem Wechseln von Workloads sicher, dass Sie die entsprechende Workload in Intune ordnungsgemäß konfigurieren und bereitstellen. Stellen Sie sicher, dass Workloads immer von einem der Verwaltungstools für Ihre Geräte verwaltet werden.

  7. Geben Sie auf der Seite Staging die Pilotsammlung für jede der Workloads an, die auf Pilot Intune festgelegt sind.

    Screenshot: Seite

  8. Schließen Sie den Assistenten ab, um die Co-Verwaltung zu aktivieren.

Nächste Schritte

  • Überprüfen Sie die status von gemeinsam verwalteten Geräten mit dem co-management-Dashboard
  • Sofortiger Nutzen aus der Co-Verwaltung
  • Verwenden des bedingten Zugriffs und Intune Complianceregeln zum Verwalten des Benutzerzugriffs auf Unternehmensressourcen