在 ConfigMgr 中启用租户附加 | SCCM云连接

本文是在 ConfigMgr 或 SCCM 中启用租户附加的分步指南。我将解释什么是 SCCM 租户附加，并且我们将了解在 SCCM 中配置租户附加的步骤。

通过 SCCM 租户附加，你现在可以将 Configuration Manager 设备连接到云服务，并从 Intune 管理中心的设备边栏选项卡执行操作。将 Configuration Manager 和 Intune 放在 Microsoft Intune 管理中心中是一个好主意。

• 什么是 SCCM 租户附加？
• 租户附加与共同管理
• 使用租户附加的好处
• 租户附加先决条件
• ConfigMgr 租户附加权限
• 启用 SCCM 云附加
• 当已启用共同管理时启用设备上传
• • ConfigMgr 租户加入
• 配置上传到 Microsoft Endpoint Manager Cloud Console
• 在 SCCM 控制台中启用共同管理
• 暂存 - 配置推出集合

什么是 SCCM 租户附加？

根据定义，租户附加将 Azure 租户连接到本地 SCCM 环境，然后直接从 Intune 管理中心查看和管理设备。

通过租户附加，您可以在 SCCM 环境中查看数据并执行基本管理任务。共同管理并不是什么新鲜事，而且已经存在很长一段时间了。共同管理的设备基本上由 ConfigMgr 和 Intune 同时管理。

租户附加意味着 ConfigMgr 或 Intune 可以管理设备。我们使用术语“租户附加”的原因是它只是将 ConfigMgr 层次结构附加到租户的一种方法。完成此操作后，您可以完成多项任务，包括同步设备集合中的 Azure AD 组以及发现云用户和组。

租户附加与共同管理

大多数人认为租户附加和共同管理是相似的，但事实并非如此。共同管理是一项功能，您可以使用 SCCM 和 Microsoft Intune 管理您的设备。您可以将工作负载从 SCCM 切换到 Intune，例如合规性策略、Windows 更新策略等。共同管理的优点是它为您提供了从本地管理框架迁移到云的分阶段方法。

租户附加 SCCM 使用共同管理进行配置，但不需要将设备注册到 Intune 或将工作负载从 SCCM 切换到 Intune。租户附加将简单的管理功能扩展到 Intune 管理中心。

使用租户附加的好处

IT 管理员可以在租户连接的设备上执行以下远程操作：

• 同步机策略
• 同步用户策略
• 触发应用程序评估周期
• 部署应用程序、软件更新
• 使用 CMPivot 查询工具检索报告
• 在客户端上运行脚本

租户附加先决条件

要配置租户附加，您需要满足以下先决条件：

• 作为全局管理员的帐户，用于在应用入职更改时登录。
• 您需要 Configuration Manager 当前分支版本 2002 或更高版本才能启用租户附加。 Microsoft 租户附加是 SCCM 2002 令人兴奋的功能之一。
• Azure 公共云环境。
• Azure 租户和服务连接点的地理位置应相同。
• 作为管理员，您至少需要一份 Intune 许可证才能访问 Microsoft Intune 管理中心。

ConfigMgr 租户附加权限

执行设备操作的用户帐户具有以下先决条件：

• 用户帐户需要是 Azure AD（混合身份）中的同步用户对象。这意味着用户已从 Active Directory 同步到 Azure Active Directory。

  • 对于 Configuration Manager 版本 2103 及更高版本：已通过 Azure Active Directory 用户发现或 Active Directory 用户发现发现。

启用 SCCM 云附加

使用以下步骤在 SCCM 控制台中启用云附加：

• 在 ConfigMgr 控制台中，导航到管理 > 云服务 > 云附加。
• 右键单击云附加并选择配置云附加。

在云附加选项卡上，指定云附加设置。首先选择Azure环境，然后单击登录。在身份验证窗口中，使用您的组织帐户登录。

您可以使用默认设置启用 SCCM 云连接或自定义设置。对于默认设置，以下几点适用：

• 允许将所有符合条件的设备自动注册到 Intune 中。
• 启用端点分析。
• 为 Microsoft Intune 管理中心启用所有设备的自动上传。

单击下一步。

在此步骤中，您需要同意创建 AAD 应用程序。选择是将在 AAD 租户中注册一个应用程序，以授权将数据同步到 Intune。

在摘要窗口中查看 SCCM 云附加设置，然后单击下一步。

关闭云附加配置向导。

当已启用共同管理时启用设备上传

如果您已在设置中启用共同管理，则将使用共同管理属性来启用设备上传。如果尚未启用共同管理，则跳至下一步。您可以使用配置共同管理向导来启用设备上传。

假设共同管理已开启，请按照以下步骤更改共同管理属性以允许设备上传：

• 在 Configuration Manager 管理控制台中，转到管理 > 概述 > 云服务 > 共同管理。
• 右键单击CoMgmtSettingsProd并选择属性。
• 在“配置上传”选项卡中，选择“上传到 Microsoft Intune 管理中心”。选择应用。设备上传的默认设置是“我的所有设备均由 Microsoft Configuration Manager 管理”。如果需要，您可以限制上传到单个设备集合。
• 如果您想获得见解以优化端点分析中的最终用户体验，请点击为上传到 Microsoft Endpoint Manager 的设备启用端点分析。
• 出现提示时，使用您的全局管理员帐户登录。选择是创建 AAD 应用程序通知。完成更改后，单击确定退出共同管理属性。

在 ConfigMgr 中配置共同管理

在 Configuration Manager 设置中首次配置共同管理。

• 启动配置管理器控制台。
• 转到管理 > 概述 > 云服务 > 共同管理。
• 右键单击共同管理，然后单击配置共同管理。

ConfigMgr 租户加入

在租户加入页面上，为您的环境选择 AzurePublicCloud。不支持Azure 政府云和Azure 中国21世纪互联。因此，不要选择它们。

接下来，点击登录。使用您的全局管理员帐户登录。

确保在租户加入页面上选择上传到 Microsoft Endpoint Manager 管理中心选项。

如果您现在不想启用共同管理，请确保未选中启用自动客户端注册以进行共同管理选项。但是，如果您确实想要启用共同管理，请选择该选项。

单击下一步。

单击是接受“创建 AAD 应用程序”通知。此操作配置服务主体并创建 Azure AD 应用程序注册以促进同步。

配置上传到 Microsoft Endpoint Manager Cloud Console

在配置上传页面上，选择要上传到 Microsoft Endpoint Manager 的设备。

• 由 Microsoft Endpoint Configuration Manager 管理的所有设备 - 这是推荐选项。
• 特定集合 - 如果您不想选择所有设备，可以单击浏览并选择特定集合。

端点分析 - 如果您想获得见解以优化端点分析中的最终用户体验，请为上传到 Microsoft Endpoint Manager 的设备启用端点分析。

单击下一步。

在 SCCM 控制台中启用共同管理

要为 Configuration Manager 管理的设备启用共同管理，必须配置自动注册。

在 Intune 中自动注册旁边，单击下拉菜单并选择以下选项之一。

• 没有任何
• 飞行员
• 全部

我选择了 Pilot，对于 Intune 自动注册，我选择了 Windows 10 设备集合。该集合仅包含 4 台运行 Windows 10 的设备。单击下一步。

在此步骤中，作为管理员，您可以为 Configuration Manager 或 Microsoft Intune 配置特定工作负载。

单击下一步。

暂存 - 配置推出集合

配置试点 Intune 的解决方法时，必须为每个试点组选择一个设备集合。

对于下面列出的每个项目，单击浏览并选择一个设备集合。

• 合规政策
• 设备配置
• 端点保护
• 资源访问策略
• Office 即点即用应用程序

最后点击下一步。

在“摘要”页面上，单击下一步。

如果您需要更改或修改任何共同管理设置，您可以编辑共同管理属性以启用设备上传。

在 Configuration Manager 控制台中，如果导航到“云服务”>“Azure Active Directory 租户”，您应该会看到一个新应用程序。名称以 ConfigMgrSvc_id 开头。

ConfigMgr 租户附加日志文件

如果您正在寻找租户附加日志文件，那么它们就在这里。以下两个 ConfigMgr 日志位于服务连接点上。使用这些日志文件对租户附加和设备操作进行故障排除。

• CMGatewayNotificationWorker.log
• CMGatewaySyncUploadWorker.log

最重要的是，如果您监控 CMGatewaySyncUploadWorker.log，我们会看到 4 个设备上传到 Intune。我选择的设备集合有 4 台运行 Windows 10 的设备。

在接下来的帖子中，我将向您展示在 SCCM 中启用租户附加后可以执行哪些操作。在那之前，请关注博客以获取更多此类精彩指南。