Tags: SCCM, Intune, Windows 10, Azure, Microsoft 365
Microsofts Endpoint Manager kombiniert SCCM (jetzt: Endpoint Configuration Manager) mit dem Cloud-Service Intune. Er sieht ein Co-Management für Windows-10-PCs vor, für das man die lokale MECM-Infrastruktur und Intune koppelt. Wer von beiden Aufgaben übernimmt, kann der Admin festlegen.
Der Endpoint Configuration Manager (ECM) erscheint mehrmals pro Jahr in einer überarbeiteten Version und erhält weiter stetig neue Features. Meine Current-Branch-Version für diesen Beitrag ist 2002. Microsofts Roadmap verfolgt dabei einen immer engeren Zusammenschluss der gewachsenen on-prem-Infrastruktur mit Intune aus der Cloud (Architektonischer Überblick siehe: Microsoft führt SCCM und Intune zu Endpoint Manager zusammen).
Im Zuge dieser Integration wird auch das Azure Intune Portal am 1. August 2020 in das gesonderte Microsoft Endpoint Manager Admin Center wechseln, eine entsprechende Meldung erhält man aktuell schon in Intune.
Im Configuration Manager können unter Cloud Services schon länger diverse Azure-Dienste eingebunden werden und auch ein Co-Management ist dabei möglich. Das bedeutet, dass sich Windows-10-Systeme hinterher über den ECM verwalten lassen und gleichzeitig über Intune. Somit lassen sich Cloud-Dienste integrieren und evaluieren ohne die bestehende Configuration Manager Infrastruktur mit einem Schlag in einem Projekt aufzugeben.
Voraussetzungen für ein Co-Management
Für das Co-Management sind folgende Voraussetzungen zu erfüllen:
- Der Configuration Manager muss ab Version 1710 installiert sein
- Windows 10 ab Version 1709
- Eine Azure AD Premium Lizenz
- Intune-Lizenzen für alle User (EMS oder M365)
- Eine Intune-Subscription
- Cloud Management Gateway (wenn Windows-10-Rechner nur Mitglied im Azure AD sind).
- Azure AD Connect (Download)
Ich gehe hier von einer hybriden Konfiguration aus, meine Systeme wurden klassisch dem lokalen AD hinzugefügt und in Azure Active Directory registriert.
Optionen für das Co-Management
Es gibt zwei Varianten für das Co-Management:
- Vorhandene Endgeräte, welche aktuell der lokale Configuration Manager verwaltet, können in Intune angemeldet werden. Das Management der Windows-10-Systeme bleibt gleich, mit dem Unterschied, dass man zusätzlich von den Intune-Tools profitiert. Eine hybride Konfiguration des Active Directory mit dem Azure AD ist erforderlich (siehe dazu das Tutorial von Microsoft).
- Management ohne hybride Konfiguration des lokalen AD mit AAD. Windows-10-Geräte werden via Autopilot aus Intune bereitgestellt. Für die Installation des Configuration Manager Client ist das Cloud Management Gateway (CMG) erforderlich. Es erlaubt die Verwaltung der Configuration Manager Clients im Internet (auch hierzu gibt es ein Tutorial).
Co-Management aktivieren
Über die Administration des Configuration Manager gelangt man zu den Cloud Services. Darunter erreichen wir die Konfiguration für das Co-Management.
Anschließend wird dann unsere Intune-Subscription abgefragt, die Log-in Daten des Global Administrators sollten Sie jetzt einmalig eingeben. Seit Version 2002 ist die Aktivierung des Upload zum Endpoint Manager Admin Center hier möglich.
Für diese Konfiguration wurde zuvor unter Configuration Manager eine Pilot-Collection angelegt und hat zusätzlich individuelle Client-Settings für die Cloud-Services erhalten. Wenn die Clients nur in Intune bekannt sind, dann liegt die zweite Variante mit dem CMG vor.
Der Dialog gibt dann zusätzlich die Kommandozeile für die Installation des Configuration Manager Client aus. Ein Beispiel:
CCMSETUPCMD="CCMHOSTNAME=kueppers.cloudapp.net/CCM_Proxy_MutualAuth/72186325152220500 SMSSiteCode=XYZ"
Bei lokaler PKI müsste der Schalter /NoCRLCheck eingebaut sein. Weiter kann man Workloads entweder beim on-prem Configuration Manager belassen, zur Intune-Pilotierung oder komplett nach Intune verschieben.
Danach muss man die Collections für das Pilot-Deployment wählen.
Unterhalb der erstellten Collection für die Pilot-Systeme wird wie üblich das Deployment der Einstellungen dargestellt.
Über das Configuration Manager Monitoring findet man das Co-Management als separaten Punkt für die spätere Überwachung. Details zu einem Device-Objekt liefern auch die WMI Klassen.
Workloads nach Intune verschieben
Schlüsseln wir einmal die unterschiedlichen Policies für Workloads auf, damit man deren Nutzen erkennen kann:
Compliance Policies sind Regeln und Einstellungen, welche die Einhaltung eines konformen Endgerätes betreffen. Dazu zählen auch Probleme bei Conditional Access.
Device Configuration sind Einstellungen für die Verwaltung von Endgeräten. Dafür muss der Configuration Manager mindestens in Version 1806 installiert sein.
Endpoint Protection kann seit dem Configuration Manager 1802 nach Intune übergeben werden. Darunter zählen Antimalware- oder Defender Firewall Policies.
Resource Access Policies decken auf Windows 10 Geräten VPN-, WiFi- und E-Mail-Einstellungen ab, auch Zertifikat-Konfigurationen gehören dazu.
Office Click-to-Run apps dient der Verwaltung von Office-365-Systemen. Nachdem dieser Workload in die Cloud verschoben wurde, sind die Apps im Company-Portal sichtbar.
Windows Update Policies gelten für Endgeräte, welche durch Windows Update for Business verwaltet werden. Dabei kann man Richtlinien zu den Windows-10 Feature- oder Quality-Updates konfigurieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris. Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
// Kontakt: E-Mail, Twitter, LinkedIn //
Verwandte Beiträge
Weitere Links