Configurare il Co-Management per gestire i dispositivi Windows 10 con Configuration Manager e Intune

Abbiamo già avuto modo di parlare nell’articolo Modern Desktop Deployment and Management Lab Kit: laboratori pratici per la distribuzione e la gestione di Microsoft 365 di Modern Desktop. Il termine Modern Desktop si riferisce ad un’installazione di Windows 10 e Office 365, mantenuta costantemente aggiornata.

Avere un Modern Desktop significa sfruttare al massimo le funzionalità offerte sia dal sistema operativo che dalla suite di collaborazione Office 365, avendo la possibilità di migliorare la produttività, il lavoro di gruppo e la collaborazione all’interno dell’azienda. In più, avendo sempre un sistema aggiornato, possiamo assicurare un livello di efficienza e di sicurezza notevole, che ci permette di difenderci dai continui attacchi che ci arrivano dall’esterno (e molto spesso anche dall’interno) dell’azienda.

A partire dalla versione 1710 di SCCM ( System Center Configuration Manager), Microsoft ha rilasciato la funzionalità di Co-Management. Il Co-Management è uno dei modi principali per collegare la distribuzione di Configuration Manager esistente al cloud di Microsoft 365 e permette di poter gestire i dispositivi Windows 10 contemporaneamente tramite Configuration Manager e Microsoft Intune.


Figura 1: Funzionamento di Co-Management con SCCM e Intune

vantaggi sono davvero notevoli. Quando si registrano client di Configuration Manager per il Co-Management con Intune è possibile avere:

  • Accesso condizionale per la conformità (compliance) del dispositivo
  • Azioni remote basate su Intune, ad esempio: riavvio, controllo remoto o ripristino delle impostazioni predefinite
  • Visibilità centralizzata dello stato di aggiornamento e configurazione di tutti i dispositivi
  • Collegare utenti, dispositivi e app con Azure Active Directory (Azure AD)
  • Provisioning moderno con Windows Autopilot
  • Gestione remota di Windows 8.1, Windows 10, Android e iOS


Figura 2: Gestione dispositivi con la funzionalità di Co-Management con SCCM e Intune

Abilitazione della funzionalità di Co-Management

Per scrivere questo articolo ho utilizzato il Modern Desktop Deployment and Management Lab Kit, che mi ha permesso dicreare velocemente il laboratorio di test e Microsoft 365 Enterprise Demo Content
(disponibile solo per partner Microsoft) per il tenant di Azure.

Per configurare il co-management oltre a dover avere già un’infrastruttura SCCM, sono necessarie le seguenti licenze:

Come prerequisito per la gestione Intune, il device deve essere registrato in Azure AD con una delle seguenti modalità:

Configurazione dell’Hybrid Azure AD Join

Attraverso il comando dsregcmd /status è possibile verificare se il client sia joinato o meno in Azure AD.


Figura 3 – Verifica del client se è joinato in Azure AD

Per procedere con la configurazione dell’Hybrid Azure AD Join, sono necessarie delle attività sull’AD Connect.

Nel wizard, selezionate Configure device options, inserite le credenziali di global admin e successivamente spuntate Configure Hybrid Azure AD Join.


Figura 4 – Configure device options in AD Connect


Figura 5 –Inserimento credenziali di global admin in AD Connect


Figura 6 – Configure Hybrid Azure AD Join in AD Connect

Per la configurazione del SCP (service connection point) selezionate il vostro authentication service ed inserite le credenziali di enterprise admin della foresta AD.

NOTA: Nel caso abbiate come authentication service l’ADFS, vengono richieste le credenziali di administrator dell’ADFS per aggiornare automaticamente le regole di autenticazione del relying party trust interessato.


Figura 7 – Configurazione del SCP per Azure AD

Avendo nel mio laboratorio solo dispositivi Windows 10, nella finestra successiva ho selezionato la prima voce Windows 10 or later domain-joined devices. Per supportare device downlevel domain-joined ( dispositivi con OS inferiore a Windows 10) sono necessarie operazioni aggiuntive come da guida https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-federated-domains#enable-windows-down-level-devices


Figura 8 – Selezione dell’OS dei dispositivi da joinare in Azure AD


Figura 9 – Sommario AD Connect per configurazione Hybrid Azure AD Join



Figura 10 – Configurazione completata su Azure AD per hybrid Azure AD Join

Dopo aver completato il wizard sull’AD Connect, verificate lato client (consiglio un riavvio) la registrazione in Azure AD lanciando il comando dsregcmd /status tramite prompt dei comandi.


Figura 11 – verifica client correttamente registrato in Azure AD tramite dsregcmd /status

Anche in Azure AD troverete il client joinato nella modalità di Hybrid Azure AD Joined.


Figura 12 – Portale Azure AD con dispositivo registrato in modalità Hybrid Azure AD Joined

Configurazione della funzionalità Co-Management in SCCM

NOTA: Prima di procedere con la configurazione, vi consiglio di individuare o creare una device collection che farà da pilot per il co-management.

Su SCCM in Administrator à Overview à Cloud Services à Co-Management configurate la funzionalità inserendo le credenziali di un account con licenza Intune e diritti amministrativi.


Figura 13 – Inserimento credenziali con diritti amministrativi e licenza Intune

Nella finestra successiva, tra le opzioni disponibili in Automatic enrollment in Intune, selezionate Pilot.


Figura 14 – Automatic enrollment in Intune solo per pilot


Figura 15 – Assegnazione workload ad Intune solo per il gruppo Pilot

Indicate la collection interessata per il gruppo pilot.


Figura 16 – Selezione della device collection per il gruppo pilot


Figura 17 – Sommario configurazione completata Co-Management

Una volta completati tutti i passaggi, verificate sul portale Intune che il client abbia il seguente stato:


Figura 18 – Stato client in Co-Management su portale Intune

Sul client di Configuration Manager, troverete la proprietà di Co-Management in Enabled.


Figura 19 – Stato client in Co-Management su Configuration Manager

Conclusioni

L’approccio del Co-Management offre numerosi vantaggi e garantisce una maggiore flessibilità in quanto permette di usufruire delle due soluzioni di management (Configuration Manager e Microsoft Intune) contemporaneamente.

Per approfondire, è disponibile l’articolo ufficiale https://docs.microsoft.com/it-it/sccm/comanage/overview