Endpoint Configuration Manager: Co-Management mit Intune konfigurieren

    Endpoint Configuration Manager Co-ManagementMicrosofts Endpoint Manager kombi­niert SCCM (jetzt: Endpoint Config­uration Manager) mit dem Cloud-Service Intune. Er sieht ein Co-Manage­ment für Windows-10-PCs vor, für das man die lokale ECM-Infra­struktur und Intune koppelt. Wer von beiden Aufgaben über­nimmt, kann der Admin fest­legen.

    Der Endpoint Configuration Manager (ECM) erscheint mehrmals pro Jahr in einer überarbeiteten Version und erhält weiter stetig neue Features. Meine Current-Branch-Version für diesen Beitrag ist 2002. Microsofts Roadmap verfolgt dabei einen immer engeren Zusammen­schluss der gewachsenen on-prem-Infrastruktur mit Intune aus der Cloud (Architektonischer Überblick siehe: Microsoft führt SCCM und Intune zu Endpoint Manager zusammen).

    Im Zuge dieser Integration wird auch das Azure Intune Portal am 1. August 2020 in das gesonderte Microsoft Endpoint Manager Admin Center wechseln, eine entsprechende Meldung erhält man aktuell schon in Intune.

    Umstellung vom Intune Azure Portal nach Endpoint Manager Admin Center

    Im Configuration Manager können unter Cloud Services schon länger diverse Azure-Dienste eingebunden werden und auch ein Co-Management ist dabei möglich. Das bedeutet, dass sich Windows-10-Systeme hinterher über den ECM verwalten lassen und gleichzeitig über Intune. Somit lassen sich Cloud-Dienste integrieren und evaluieren ohne die bestehende Configuration Manager Infrastruktur mit einem Schlag in einem Projekt aufzugeben.

    Voraussetzungen für ein Co-Management

    Für das Co-Management sind folgende Voraussetzungen zu erfüllen:

    • Der Configuration Manager muss ab Version 1710 installiert sein
    • Windows 10 ab Version 1709
    • Eine Azure AD Premium Lizenz
    • Intune-Lizenzen für alle User (EMS oder M365)
    • Eine Intune-Subscription
    • Cloud Management Gateway (wenn Windows-10-Rechner nur Mitglied im Azure AD sind).
    • Azure AD Connect (Download)

    Ich gehe hier von einer hybriden Konfiguration aus, meine Systeme wurden klassisch dem lokalen AD hinzugefügt und in Azure Active Directory registriert.

    Optionen für das Co-Management

    Es gibt zwei Varianten für das Co-Management:

    1. Vorhandene Endgeräte, welche aktuell der lokale Configuration Manager verwaltet, können in Intune angemeldet werden. Das Management der Windows-10-Systeme bleibt gleich, mit dem Unterschied, dass man zusätzlich von den Intune-Tools profitiert. Eine hybride Konfiguration des Active Directory mit dem Azure AD ist erforderlich (siehe dazu das Tutorial von Microsoft).
    2. Management ohne hybride Konfiguration des lokalen AD mit AAD. Windows-10-Geräte werden via Autopilot aus Intune bereitgestellt. Für die Installation des Configuration Manager Client ist das Cloud Management Gateway (CMG) erforderlich. Es erlaubt die Verwaltung der Configuration Manager Clients im Internet (auch hierzu gibt es ein Tutorial).

    Co-Management aktivieren

    Über die Administration des Configuration Manager gelangt man zu den Cloud Services. Darunter erreichen wir die Konfiguration für das Co-Management.

    Konfiguration des Co-Managements im Configuration Manager

    Anschließend wird dann unsere Intune-Subscription abgefragt, die Log-in Daten des Global Administrators sollten Sie jetzt einmalig eingeben. Seit Version 2002 ist die Aktivierung des Upload zum Endpoint Manager Admin Center hier möglich.

    Mit den Intune Log-in-Daten anmelden

    Für diese Konfiguration wurde zuvor unter Configuration Manager eine Pilot-Collection angelegt und hat zusätzlich individuelle Client-Settings für die Cloud-Services erhalten. Wenn die Clients nur in Intune bekannt sind, dann liegt die zweite Variante mit dem CMG vor.

    Aktivierung des Co-Managements

    Der Dialog gibt dann zusätzlich die Kommandozeile für die Installation des Configuration Manager Client aus. Ein Beispiel:

    CCMSETUPCMD="CCMHOSTNAME=kueppers.cloudapp.net/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=XYZ"

    Bei lokaler PKI müsste der Schalter /NoCRLCheck eingebaut sein. Weiter kann man Workloads entweder beim on-prem Configuration Manager belassen, zur Intune-Pilotierung oder komplett nach Intune verschieben.

    Verschieben der Workloads nur für die Pilotierung oder produktiv nach Intune

    Danach muss man die Collections für das Pilot-Deployment wählen.

    Configuration Manager Collections auswählen (hier: für die Pilotierung). Deployments werden anschließend angewendet.

    Unterhalb der erstellten Collection für die Pilot-Systeme wird wie üblich das Deployment der Einstellungen dargestellt.

    Collection für das Pilot-Deployment

    Über das Configuration Manager Monitoring findet man das Co-Management als separaten Punkt für die spätere Überwachung. Details zu einem Device-Objekt liefern auch die WMI Klassen.

    Objekt-Details über die Debug-Tools

    Workloads nach Intune verschieben

    Schlüsseln wir einmal die unterschiedlichen Policies für Workloads auf, damit man deren Nutzen erkennen kann:

    Compliance Policies sind Regeln und Einstellungen, welche die Einhaltung eines konformen Endgerätes betreffen. Dazu zählen auch Probleme bei Conditional Access.

    Device Configuration sind Einstellungen für die Verwaltung von Endgeräten. Dafür muss der Configuration Manager mindestens in Version 1806 installiert sein.

    Endpoint Protection kann seit dem Configuration Manager 1802 nach Intune übergeben werden. Darunter zählen Antimalware- oder Defender Firewall Policies.

    Resource Access Policies decken auf Windows 10 Geräten VPN-, WiFi- und E-Mail-Einstellungen ab, auch Zertifikat-Konfigurationen gehören dazu.

    Zusammenfassung der Konfiguration für das Co-Management

    Office Click-to-Run apps dient der Verwaltung von Office-365-Systemen. Nachdem dieser Workload in die Cloud verschoben wurde, sind die Apps im Company-Portal sichtbar.

    Windows Update Policies gelten für Endgeräte, welche durch Windows Update for Business verwaltet werden. Dabei kann man Richtlinien zu den Windows-10 Feature- oder Quality-Updates konfigurieren.

    Keine Kommentare