Co-Management – Начало.

В предыдущей статье я описал почему стоит задуматься о переходе на Co-management.

Теперь пройдемся по тому, что нужно сделать чтобы перейти.

Перед тем как начать.

У вас должны быть покрыты следующие моменты:

  • Активная подписка Azure
  • Лицензии Azure AD Premium и Intune (или EMS E3/E5, которая включает обе).
  • SCCM Current Branch
  • Если вы пользовались Intune Hybrid, вы должны перейти на Intune Standalone.

Для корректной настройки всего необходимого, нужны будут учетные записи с следующими доступами:

  • Global Administrator в Azure
  • Domain Admin на уровне Active Directory
  • Full Administrator в SCCM.

Шаг 1. Hybrid Azure AD.

Первым шагом является включение Hybrid Azure AD. После этого Azure AD будет знать про все ваши устройства.

Выглядеть это будет примерно вот так.

После этого вы это уже можете использовать в связке с Conditional Access.

Конфигурация имеет несколько вариантов (управляемый или федеративный домен), поэтому лучше обратится к инструкции

Если до этого у вас уже использовался Azure AD, то часть ваших устройств будут в Azure AD в статусе Azure AD Registered. После включения Hybrid Azure AD Join, создастся еще один объект в Azure AD, но теперь уже в статусе Hybrid Azure AD Joined. Для чистоты можно удалить старые записи.

Для проверки статуса регистрации на конечных устройствах используется команда:

dsregcmd /status

Самое важное в выводе (что говорит об успешном добавлении):

         AzureAdJoined : YES
          DomainJoined : YES

Важный момент: Устройство не проверяет свой статус в Azure AD и если по какой-то необходимости вы удалите запись устройства в Azure AD, устройство само не зарегистрируется обратно. Для этого его нужно будет регистрировать руками.

Шаг 2. Настройка автоматической регистрации.

Теперь нужно настроить SCCM клиент, чтобы он добавлял устройства в Azure AD.

Для этого в настройках клиента нужно указать

Automatically register new Windows 10 domain joined devices with Azure Active Directory = Yes.

Со стороны Azure AD, тоже должна быть разрешена автоматическая регистрация.

Azure Active Directory > Devices > Device Settings.

Шаг 3. Добавление пользователям лицензии Intune.

Важно убедиться, что все ваши пользователи имеют лицензии Intune.

Рекомендую пользоваться Group Based Licensing, чтобы не добавлять лицензии руками.

Шаг 4. Включение Co-management.

Подошли к самому интересному. Теперь будем включать сам Co-Management.

Ну не совсем.

Сначала нужно создать коллекцию устройств в SCCM, которая будет пользоваться как тестовая\пилотная для co-management.

Если группа уже есть, то можно запустить помошник настройки co-management в Administration > Overview > Cloud Services > Co-management.

Параметр Automatic enrollment in Intune крайне рекомендуется выставить в Pilot (при установке в All все ваши устройства сразу полезут в Intune. Тестить в проде хорошо, но не надо так).

В процессе вам нужно будет указать вашу тестовую коллекцию и предложено выбрать сразу переключить какие-то Workloads на Intune (опять же, не рекомендовано).

После этого устройства, находящиеся в тестовой коллекции получат сигнал на добавление в Intune.

Со стороны SCCM вы можете наблюдать за статусом добавления устройств через специальный раздел Co-Management в панели Monitoring.

Со стороны Intune, вам помогут логи, о которых я писал в прошлый раз.

Устройство, успешно добавленное у Intune, будет выглядеть примерно так:

Все co-management устройства будут отмечены как корпоративные и вы сможете видеть базовую информацию об устройстве.

Сразу же вам будут доступны опции Retire, Wipe, Sync, Restart. Когда я решил проверить опцию Wipe, я не ожидал, что это сработает через 1,5 минуты после нажатие на кнопку.

После того, как ваши тестовые устройства добавились в Intune, вы можете планировать это для всех своих клиентов. Варианты как это сделать:

  • Добавлять больше клиентов в тестовую коллекцию, чтобы устройства заходили волнами и только в конце переключить настройку на все устройства.
  • Включить все устройства сразу.

А потом уже можно играться с пилотированием разных Workload и передачей управления Intune.

%d bloggers like this: