Wir haben in unserem Artikel darüber gesprochen, dass "Co-Management" oder co-management der erste grundlegende Schritt auf dem Weg zur modernen Verwaltung ist, um die vorhandenen Windows Geräte und die Konfiguration "so wie sie sind" nutzen zu können und gleichzeitig ein modernes Verwaltungswerkzeug hinzuzufügen. Danach können Sie auf Modern Management gehen , denn der Schritt in die moderne Welt wird für die meisten Organisationen nicht über Nacht geschehen. Hierfür gibt es verschiedene Szenarien, die wir Ihnen im Folgenden beschreiben:
Windows 10-Clients ohne ConfigMgr
Option 1: (die einzige Option für Kunden ohne ConfigMgr): Hybride Anhänge
(Active Directory On-Premise associated + Azure AD registered/ joined+ GPO, um das automatische Einrollen auf MDM zu setzen)
Wenn Sie ConfigMgr nicht verwenden, müssen Sie zur Aktivierung von "co-management" lediglich sicherstellen, dass Ihre Windows 10 (1709 und später) Clients mit der GPO-Einstellung konfiguriert sind, um die automatische Anmeldung bei MDM zu ermöglichen.
Danach beginnen Sie, die Konfiguration der GPOs zu verschieben und fügen Sie eine neue Konfiguration zu MDM hinzu, anstatt die GPOs zu verwenden. Trennen Sie die lokale Infrastruktur wie WSUS ab und beginnen Sie, sich auf Windows Update for Business zu verlassen. Schauen Sie auch in AutoPilot nach.
Clients mit ConfigMgr (System Center Configuration Manager - SCCM )
Option 2: Hybride Anhänge (mit nicht konfigurierter Mitverwaltung in ConfigMgr)
(Active Directory On-Premise joined + Azure AD registered/ joined+ GPO zum Festlegen der automatischen Anmeldung MDM + über ConfigMgr installierter ConfigMgr-Agent)
Diese Option bedeutet, dass Sie Ihre Windows 10 Kunden einfach mit Ihrer Lösung MDM mit der GPO-Einstellung verbinden, um die automatische Anmeldung bei MDM zu aktivieren. Der nächste Schritt ist, dass Sie aufhören, das zu tun, was Sie mit GPOs und ConfigMgr tun, und anfangen, es direkt von Ihrer Lösung aus zu tun MDM. Dies ist die kostengünstigste Option, wenn Sie versuchen, die ConfigMgr-Lösung so wenig wie möglich zu berühren und sofort damit beginnen, sich von ConfigMgr zu entfernen.
Diese Option eignet sich eher für kleinere und eher einfache ConfigMgr-Umgebungen.
Option 3: Hybride Anhänge (mit aktivierter Mitverwaltung in ConfigMgr)
(Active Directory On-Premise joined + Azure AD registriert / joined + co-management in ConfigMgr aktiviert + ConfigMgr Agent über ConfigMgr installiert)
Wir gehen davon aus, dass es sich nach dem, was Microsoft beschreibt, um den echten "co-management" handelt.
Dies ist die empfohlene Methode für die meisten Organisationen, die sich mit Modern Management beschäftigen wollen.
Option 4: Anhänge an cloud (mit aktivierter Mitverwaltung in ConfigMgr)
(Azure AD joined + MDM joined + ConfigMgr Agent deployed via Intune)
Diese Option ist interessant, aber da die Geräte nicht mit einem lokalen Verzeichnis Active Directory verbunden sind, müssen Sie alle GPOs verschoben haben und es geschafft haben, den Benutzern Zugriff auf alle lokalen Ressourcen zu gewähren, wenn sie sich außerhalb des Unternehmensnetzwerks befinden.
Diese Option ist eher für die zukünftige Verwendung gedacht, obwohl diese Option für einige Kunden bereits geeignet sein könnte.
Hinweis: Auch wenn Geräte nicht mit Active Directory On-Premise verbunden sind, können sie Single Sign-On verwenden, um auf Rückgriffe im internen Netzwerk zuzugreifen, z. B. auf Drucker, Netzwerkfreigaben und andere Ressourcen in der Domäne Active Directory. Dies gilt, solange sich das Gerät in einem internen Netzwerk befindet und mit einem On-Premise-Domänencontroller in Kontakt steht, wobei ein Kerberos TGT ausgestellt wird, um auf On-Premise-Ressourcen zuzugreifen.