Tutorial: habilite o cogerenciamento para clientes existentes do Configuration Manager
Com o co-gerenciamento, você pode continuar a usar o Configuration Manager para gerenciar os computadores em sua organização. Ao mesmo tempo, você está investindo na nuvem usando o Intune para segurança e provisionamento moderno.
Neste tutorial, vai configurar a cogestão dos seus dispositivos Windows 10 ou posteriores que já estão inscritos no Configuration Manager. Este tutorial começa com a premissa de que já utiliza Configuration Manager para gerir os seus dispositivos Windows 10 ou posteriores.
Utilize este tutorial quando:
Tem uma Active Directory local à qual se pode ligar a Microsoft Entra ID numa configuração de Microsoft Entra híbrida.
Se não conseguir implementar uma Microsoft Entra ID híbrida que associe o seu AD no local ao Microsoft Entra ID, recomendamos que siga o nosso tutorial complementar Ativar a cogestão para novos dispositivos Windows 10 baseados na Internet ou posteriores.
Tem clientes Configuration Manager existentes que pretende anexar na cloud.
Neste tutorial, irá:
- Rever os pré-requisitos do Azure e do seu ambiente no local
- Configurar o Microsoft Entra ID híbrido
- Configurar Configuration Manager agentes cliente para se registarem no Microsoft Entra ID
- Configurar o Intune para registrar dispositivos automaticamente
- Habilitar o cogerenciamento no Configuration Manager
Pré-requisitos
Ambiente e serviços do Azure
Subscrição do Azure (avaliação gratuita)
Microsoft Entra ID P1 ou P2
Assinatura do Microsoft Intune
Dica
Uma subscrição do Enterprise Mobility + Security (EMS) inclui Microsoft Entra ID P1 ou P2 e Microsoft Intune. Subscrição do EMS (avaliação gratuita).
Se ainda não estiver presente no seu ambiente, durante este tutorial, irá configurar o Microsoft Entra Ligar entre o Active Directory local e o inquilino do Microsoft Entra.
Observação
Os dispositivos registados apenas com Microsoft Entra ID não são suportados pela cogestão. Por vezes, esta configuração é denominada associação à área de trabalho. Têm de estar associados a Microsoft Entra ID ou Microsoft Entra associados híbridos. Para obter mais informações, veja Handling devices with Microsoft Entra registered state (Processar dispositivos com Microsoft Entra estado registado).
Infraestrutura no local
- Uma versão suportada do ramo atual Configuration Manager
- A autoridade de gestão de dispositivos móveis (MDM) tem de ser definida como Intune.
Permissões
Ao longo deste tutorial, utilize as seguintes permissões para concluir tarefas:
- Uma conta que é um administrador de domínio na sua infraestrutura no local
- Uma conta que é um administrador completo para todos os âmbitos no Configuration Manager
- Uma conta que é um administrador global no Microsoft Entra ID
- Certifique-se de que atribuiu uma licença de Intune à conta que utiliza para iniciar sessão no seu inquilino. Caso contrário, o início de sessão falha com a mensagem de erro Ocorreu um erro inesperado.
Configurar o Microsoft Entra ID híbrido
Quando configura um Microsoft Entra ID híbrido, está realmente a configurar a integração de um AD no local com Microsoft Entra ID através do Microsoft Entra Connect e dos Serviços Federados do Active Directory (ADFS). Com a configuração bem-sucedida, os seus trabalhadores podem iniciar sessão de forma totalmente integrada em sistemas externos com as respetivas credenciais do AD no local.
Importante
Este tutorial detalha um processo simples para configurar Microsoft Entra ID híbridas para um domínio gerido. Recomendamos que esteja familiarizado com o processo e não dependa deste tutorial como guia para compreender e implementar Microsoft Entra ID híbridas.
Para obter mais informações sobre a Microsoft Entra ID híbrida, comece com os seguintes artigos na documentação do Microsoft Entra:
Configurar o Microsoft Entra Connect
O Microsoft Entra ID híbrido requer a configuração do Microsoft Entra Ligar para manter as contas de computador no Active Directory local (AD) e o objeto do dispositivo no Microsoft Entra ID sincronizado.
A partir da versão 1.1.819.0, o Microsoft Entra Connect fornece-lhe um assistente para configurar Microsoft Entra associação híbrida. A utilização desse assistente simplifica o processo de configuração.
Para configurar o Microsoft Entra Connect, precisa de credenciais de um administrador global para Microsoft Entra ID. O procedimento seguinte não deve ser considerado autoritativo para a configuração do Microsoft Entra Connect, mas é fornecido aqui para ajudar a simplificar a configuração da cogestão entre Intune e Configuration Manager. Para obter os conteúdos autoritativos sobre este e os procedimentos relacionados para configurar Microsoft Entra ID, veja Configurar Microsoft Entra associação híbrida para domínios geridos na documentação do Microsoft Entra.
Configurar uma associação híbrida Microsoft Entra com o Microsoft Entra Connect
Obtenha e instale a versão mais recente do Microsoft Entra Connect (1.1.819.0 ou superior).
Inicie Microsoft Entra Ligar e, em seguida, selecione Configurar.
Na página Tarefas adicionais , selecione Configurar opções do dispositivo e, em seguida, selecione Seguinte.
Na página Descrição geral , selecione Seguinte.
Na página Ligar ao Microsoft Entra ID, introduza as credenciais de um administrador global para Microsoft Entra ID.
Na página Opções do dispositivo, selecione Configurar Microsoft Entra associação híbrida e, em seguida, selecione Seguinte.
Na página Sistemas operativos do dispositivo , selecione os sistemas operativos utilizados pelos dispositivos no seu ambiente do Active Directory e, em seguida, selecione Seguinte.
Pode selecionar a opção para suportar dispositivos associados a um domínio de nível inferior do Windows, mas tenha em atenção que a cogestão de dispositivos só é suportada para Windows 10 ou posterior.
Na página SCP, para cada floresta no local que pretende Microsoft Entra Ligar para configurar o ponto de ligação de serviço (SCP), siga os seguintes passos e, em seguida, selecione Seguinte:
- Selecione a floresta.
- Selecione o serviço de autenticação. Se tiver um domínio federado, selecione Servidor do AD FS, a menos que a sua organização tenha exclusivamente Windows 10 ou clientes posteriores e tenha configurado a sincronização de computador/dispositivo ou a sua organização esteja a utilizar o SeamlessSSO.
- Clique em Adicionar para introduzir as credenciais de administrador da empresa.
Se tiver um domínio gerido, ignore este passo.
Na página Configuração da Federação , introduza as credenciais do administrador do AD FS e, em seguida, selecione Seguinte.
Na página Pronto para configurar , selecione Configurar.
Na página Configuração concluída , selecione Sair.
Se tiver problemas ao concluir Microsoft Entra associação híbrida para dispositivos Windows associados a um domínio, consulte Resolução de problemas Microsoft Entra associação híbrida para dispositivos windows atuais.
Configurar as Definições de Cliente para direcionar os clientes a registarem-se no Microsoft Entra ID
Utilize as Definições de Cliente para configurar Configuration Manager clientes para se registarem automaticamente no Microsoft Entra ID.
Abra a consola> de Configuration ManagerAdministração Descrição>Geral>das Definições do Cliente e, em seguida, edite as Predefinições do Cliente.
Selecione Serviços de Nuvem.
Na página Predefinições, defina Registar automaticamente novos dispositivos associados a Windows 10 domínio com Microsoft Entra ID como = Sim.
Selecione OK para guardar esta configuração.
Configurar a inscrição automática de dispositivos para Intune
Em seguida, vamos configurar a inscrição automática de dispositivos com Intune. Com a inscrição automática, os dispositivos que gere com Configuration Manager inscrevem-se automaticamente no Intune.
A inscrição automática também permite que os utilizadores inscrevam os respetivos dispositivos Windows 10 ou posteriores para Intune. Os dispositivos são inscritos quando um utilizador adiciona a respetiva conta profissional ao respetivo dispositivo pessoal ou quando um dispositivo pertencente à empresa é associado a Microsoft Entra ID.
Inicie sessão no portal do Azure e selecione Microsoft Entra ID>Mobility (MDM e MAM)>Microsoft Intune.
Configurar o âmbito de utilizador mdm. Especifique um dos seguintes procedimentos para configurar os dispositivos dos utilizadores que são geridos por Microsoft Intune e aceite as predefinições para os valores de URL.
Alguns: selecione o Grupos que pode inscrever automaticamente os respetivos dispositivos Windows 10 ou posteriores
Todos: todos os utilizadores podem inscrever automaticamente os respetivos dispositivos Windows 10 ou posteriores
Nenhum: Desativar a inscrição automática de MDM
Importante
Se o âmbito de utilizador MAM e a inscrição mdm automática (âmbito de utilizador MDM) estiverem ativados para um grupo, apenas a MAM está ativada. Apenas a Gestão de Aplicações Móveis (MAM) é adicionada aos utilizadores nesse grupo quando aderirem ao dispositivo pessoal da área de trabalho. Os dispositivos não são inscritos automaticamente na MDM.
Quando Configuration Manager está definida para inscrever dispositivos para Intune, ainda tem de alterar o âmbito de utilizador mdm para a inscrição de tokens de dispositivos. Configuration Manager utiliza os URLs de MDM que armazena na base de dados do site para verificar se o cliente pertence ao inquilino Intune esperado.
Selecione Guardar para concluir a configuração da inscrição automática.
Regresse à Mobilidade (MDM e MAM) e, em seguida, selecione Microsoft Intune Inscrição.
Observação
Alguns inquilinos podem não ter estas opções para configurar.
Microsoft Intune é assim que configura a aplicação MDM para Microsoft Entra ID. Microsoft Intune Inscrição é uma aplicação Microsoft Entra específica criada quando aplica políticas de autenticação multifator para inscrição iOS e Android. Para obter mais informações, confira Exigir autenticação multifator para registros de dispositivos do Intune.
Para âmbito de utilizador MDM, selecione Tudo e, em seguida, Guardar.
Habilitar o cogerenciamento no Configuration Manager
Com a configuração Microsoft Entra híbrida e Configuration Manager configurações de cliente implementadas, está pronto para ativar o comutador e ativar a cogestão dos seus dispositivos Windows 10 ou posteriores. A expressão Grupo piloto é utilizada em todas as caixas de diálogo de configuração e funcionalidade de cogestão. Um grupo piloto é uma coleção que contém um subconjunto dos seus dispositivos Configuration Manager. Utilize um grupo piloto para os testes iniciais, adicionando dispositivos conforme necessário, até estar pronto para mover as cargas de trabalho de todos os dispositivos Configuration Manager. Não existe um limite de tempo para o tempo durante o qual um grupo piloto pode ser utilizado para cargas de trabalho. Um grupo piloto pode ser utilizado indefinidamente se não quiser mover a carga de trabalho para todos os dispositivos Configuration Manager.
Quando ativar a cogestão, irá atribuir uma coleção como um grupo Piloto. Este é um grupo que contém um pequeno número de clientes para testar as configurações de cogestão. Recomendamos que crie uma coleção adequada antes de iniciar o procedimento. Em seguida, pode selecionar essa coleção sem sair do procedimento para o fazer. Poderá precisar de várias coleções, uma vez que pode atribuir um grupo Piloto diferente para cada carga de trabalho.
Observação
Uma vez que os dispositivos são inscritos no serviço Microsoft Intune com base no respetivo token de dispositivo Microsoft Entra e não num token de utilizador, apenas a restrição de inscrição de Intune predefinida será aplicada à inscrição.
Ativar a cogestão para as versões 2111 e posteriores
A partir do Configuration Manager versão 2111, a experiência de integração da cogestão mudou. O Assistente de Configuração de Anexação da Cloud facilita a ativação da cogestão e de outras funcionalidades da cloud. Você pode escolher um conjunto simplificado de padrões recomendados ou personalizar seus recursos de anexação de nuvem. Existe também uma nova coleção de dispositivos incorporada para Dispositivos Elegíveis de Cogestão para o ajudar a identificar clientes. Para obter mais informações sobre como ativar a cogestão, veja Ativar a anexação da cloud.
Observação
Com o novo assistente, não move cargas de trabalho ao mesmo tempo que ativa a cogestão. Para mover cargas de trabalho, irá editar as propriedades de cogestão depois de ativar a anexação da cloud.
Ativar a cogestão para as versões 2107 e anteriores
Quando estiver a ativar a cogestão, pode utilizar a cloud pública do Azure, a cloud Azure Governamental ou a cloud do Azure China 21Vianet (adicionada na versão 2006). Para ativar a cogestão, siga estas instruções:
Na consola Configuration Manager, aceda à área de trabalho Administração, expanda Serviços de Nuvem e selecione o nó Anexar Cloud. Selecione Configurar Anexar Cloud no friso para abrir o Assistente de Configuração de Anexação da Cloud.
Para a versão 2103 e anterior, expanda Serviços de Nuvem e selecione o nó Cogestão. Selecione Configurar cogestão no friso para abrir o Assistente de Configuração de Cogestão.
Na página de inclusão do assistente, para o ambiente do Azure, escolha um dos seguintes ambientes:
Cloud pública do Azure
cloud Azure Governamental
Cloud do Azure China (adicionada na versão 2006)
Observação
Atualize o cliente Configuration Manager para a versão mais recente nos seus dispositivos antes de integrar na cloud do Azure China.
Quando seleciona a cloud do Azure China ou Azure Governamental cloud, a opção Carregar para o centro de administração do Microsoft Endpoint Manager para anexação de inquilinos está desativada.
Selecione Entrar. Inicie sessão como administrador global Microsoft Entra e, em seguida, selecione Seguinte. Inicie sessão uma vez para efeitos deste assistente. As credenciais não são armazenadas ou reutilizadas noutro local.
Na página Ativação , selecione as seguintes definições:
Inscrição automática no Intune: ativa a inscrição automática de clientes no Intune para clientes Configuration Manager existentes. Esta opção permite-lhe ativar a cogestão num subconjunto de clientes para testar inicialmente a cogestão e, em seguida, implementar a cogestão através de uma abordagem faseada. Se o utilizador anular a inscrição de um dispositivo, o dispositivo será novamente inscrito na próxima avaliação da política.
- Piloto: apenas os clientes Configuration Manager que são membros da coleção de Inscrição Automática do Intune são inscritos automaticamente no Intune.
- Tudo: ative a inscrição automática para todos os clientes com Windows 10 versão 1709 ou posterior.
- Nenhum: desative a inscrição automática para todos os clientes.
Intune Inscrição Automática: esta coleção deve conter todos os clientes que pretende integrar na cogestão. É essencialmente um superconjunto de todas as outras coleções de teste.
A inscrição automática não é imediata para todos os clientes. Este comportamento ajuda a dimensionar melhor a inscrição para ambientes grandes. Configuration Manager aleatoriza a inscrição com base no número de clientes. Por exemplo, se o seu ambiente tiver 100 000 clientes, quando ativa esta definição, a inscrição ocorre ao longo de vários dias.
Um novo dispositivo cogerido é agora inscrito automaticamente no serviço Microsoft Intune com base no respetivo token de dispositivo Microsoft Entra. Não precisa de esperar que um utilizador inicie sessão no dispositivo para iniciar a inscrição automática. Esta alteração ajuda a reduzir o número de dispositivos com a inscrição status início de sessão de utilizador pendente. Para suportar este comportamento, o dispositivo tem de estar a executar Windows 10 versão 1803 ou posterior. Para obter mais informações, veja Status de inscrição de cogestão.
Se já tiver dispositivos inscritos na cogestão, os novos dispositivos são agora inscritos imediatamente após cumprirem os pré-requisitos.
Para dispositivos baseados na Internet que já estão inscritos no Intune, copie e guarde o comando na página Ativação. Irá utilizar este comando para instalar o cliente Configuration Manager como uma aplicação no Intune para dispositivos baseados na Internet. Se não guardar este comando agora, pode rever a configuração de cogestão em qualquer altura para obter este comando.
Dica
O comando só é apresentado se tiver cumprido todos os pré-requisitos, como configurar um gateway de gestão da cloud.
Na página Cargas de trabalho, para cada carga de trabalho, escolha o grupo de dispositivos a mover para gestão com Intune. Para obter mais informações, veja Cargas de trabalho.
Se apenas quiser ativar a cogestão, não precisa de mudar de carga de trabalho agora. Pode alternar entre cargas de trabalho mais tarde. Para obter mais informações, veja Como mudar de cargas de trabalho.
- Intune piloto: muda a carga de trabalho associada apenas para os dispositivos nas coleções piloto que irá especificar na página Teste. Cada carga de trabalho pode ter uma coleção piloto diferente.
- Intune: muda a carga de trabalho associada para todos os dispositivos Windows 10 cogeridos ou posteriores.
Importante
Antes de mudar de cargas de trabalho, certifique-se de que configura e implementa corretamente a carga de trabalho correspondente no Intune. Certifique-se de que as cargas de trabalho são sempre geridas por uma das ferramentas de gestão dos seus dispositivos.
Na página Teste, especifique a coleção piloto para cada uma das cargas de trabalho definidas como Intune Piloto.
Para ativar a cogestão, conclua o assistente.
Próximas etapas
- Reveja a status de dispositivos cogeridos com o dashboard de Cogestão
- Começar a obter valor imediato da cogestão
- Utilizar o Acesso Condicional e Intune regras de conformidade para gerir o acesso dos utilizadores aos recursos empresariais