Co-management & Tenant Attach Co-management & Tenant Attach
Tiefenreferenz zu Co-management, Workload Sliders, Tenant Attach, CMPivot, Cloud Management Gateway, Cloud Distribution Point und Migrationsstrategien. Deep reference for co-management, workload sliders, tenant attach, CMPivot, Cloud Management Gateway, cloud distribution point, and migration strategies.
Der größte Mehrwert von Co-management entsteht, wenn es Workloads schrittweise in die Cloud verlagert und gleichzeitig alte ConfigMgr-Stärken kontrolliert nutzbar hält. Ohne Migrationsplan werden Slider, CMG und Tenant Attach schnell zum dauerhaften Zwischenzustand. The greatest value of co-management appears when it gradually moves workloads to the cloud while still using classic ConfigMgr strengths in a controlled way. Without a migration plan, sliders, CMG, and Tenant Attach quickly become a permanent halfway state.
Voraussetzungen und Zielbild Prerequisites and target state
Workload-Verlagerung Workload transition
Auto-Enrollment und Join Auto-enrollment and join
Dashboard und Health Dashboard and health
Cloud-Aktionen für ConfigMgr-Clients Cloud actions for ConfigMgr clients
Syntax und Live Queries Syntax and live queries
Cloud Management Gateway Cloud Management Gateway
Cloud-native Zielarchitektur Cloud-native target architecture
Co-management Überblick Co-management overview
Co-management verbindet ConfigMgr und Intune für denselben Windows-Client. Voraussetzung sind unterstützte ConfigMgr-Versionen, Entra-Hybrid- oder Cloud-Join, Intune-Lizenzierung und ein sauberer Plan, welche Workloads wann die Steuerung wechseln. Co-management connects ConfigMgr and Intune for the same Windows client. Prerequisites include supported ConfigMgr versions, Entra hybrid or cloud join, Intune licensing, and a clear plan for when workloads change control.
| Thema Topic | Kerninhalt Core content | Tiefe Empfehlung Deep recommendation |
|---|---|---|
| ConfigMgr Version ConfigMgr version | Unterstützte Current Branch-Version mit Cloud-Funktionen Supported current branch version with cloud capabilities | Vor dem Projekt zuerst Standort und Clientgesundheit stabilisieren Stabilize site and client health before the project starts |
| Entra Join Modell Entra join model | Hybrid Join oder Cloud-native Join Hybrid join or cloud-native join | Join-Modell bestimmt Auto-Enrollment und CA-Verhalten The join model determines auto-enrollment and CA behavior |
| Intune Auto-Enrollment Intune auto-enrollment | MDM-Einschreibung für ConfigMgr-verwaltete Geräte MDM enrollment for ConfigMgr-managed devices | Ohne verlässliches Enrollment sind Slider nur theoretisch wirksam Without reliable enrollment, sliders are only theoretical |
| Workload Ownership Workload ownership | Pro Workload nur ein führendes System Only one leading system per workload | Doppelte Steuerung konsequent vermeiden Avoid dual control rigorously |
| Pilotgruppen Pilot groups | Frühe Testgeräte für Workload-Wechsel Early test devices for workload moves | Pilot nicht nur technisch, sondern auch organisatorisch definieren Define the pilot operationally, not only technically |
| Zielbild Target state | Cloud-native, reduziert hybrid oder dauerhaft gemischt Cloud-native, reduced hybrid, or permanently mixed | Das Zielbild steuert, wie aggressiv Workloads verlagert werden The target state determines how aggressively workloads move |
Workload Sliders Workload sliders
Workload Sliders legen fest, ob Intune oder ConfigMgr die führende Instanz für einen Funktionsbereich ist. Jeder Slider braucht einen Testplan, klare Rollback-Kriterien und eine Aussage dazu, welche bestehenden Richtlinien ersetzt werden. Workload sliders define whether Intune or ConfigMgr is the leading authority for a function area. Every slider needs a test plan, clear rollback criteria, and an explicit statement about which existing policies are replaced.
| Slider Slider | Wenn Intune führt When Intune leads | Wenn ConfigMgr führt When ConfigMgr leads | Betriebsnotiz Operational note |
|---|---|---|---|
| Compliance Policies Compliance policies | Intune bewertet Compliance und liefert CA-Signal Intune evaluates compliance and delivers the CA signal | ConfigMgr behält lokale Bewertungslogik ConfigMgr keeps local evaluation logic | Fast immer früh zu Intune verlagern, weil CA davon abhängt Usually move early to Intune because CA depends on it |
| Resource Access Resource access | Zertifikate, VPN und WLAN eher cloudbasiert Certificates, VPN, and Wi-Fi become more cloud-based | ConfigMgr steuert klassische Zugriffsprofile ConfigMgr controls classic access profiles | Besonders relevant für Zertifikats- und WLAN-Modernisierung Especially relevant for certificate and Wi-Fi modernization |
| Windows Update Policies Windows update policies | WUfB und Feature-Update-Profile greifen WUfB and feature update profiles take effect | ConfigMgr Software Updates bleiben führend ConfigMgr software updates remain leading | Mit Servicing-Modell und WSUS-Architektur abstimmen Align with the servicing model and WSUS architecture |
| Endpoint Protection Endpoint protection | Intune / Defender Richtlinien führen Intune and Defender policies lead | ConfigMgr Endpoint Protection bleibt führend ConfigMgr endpoint protection remains leading | Defender-Baselines und ASR möglichst konsolidieren Consolidate Defender baselines and ASR where possible |
| Device Configuration Device configuration | Settings Catalog, Endpoint Security und MDM-Profile führen Settings catalog, endpoint security, and MDM profiles lead | ConfigMgr-Baselines und Client Settings führen ConfigMgr baselines and client settings lead | Konflikte zwischen GPO, CI und MDM explizit testen Explicitly test conflicts among GPO, CI, and MDM |
| Office Click-to-Run Office Click-to-Run | Intune App-Steuerung übernimmt Intune app control takes over | ConfigMgr Office-Management bleibt aktiv ConfigMgr office management remains active | Mit Add-in- und Kanalstrategie koppeln Couple with add-in and channel strategy |
| Client Apps Client apps | Intune Win32, Store und Company Portal führen Intune Win32, Store, and Company Portal lead | ConfigMgr App Model bleibt führend ConfigMgr app model remains leading | Großer Hebel für Cloud-native Zielbilder A major lever for cloud-native target states |
Enablement und Auto-Enrollment Enablement and auto-enrollment
Der technische Kern des Co-management-Rollouts ist der Wechsel von reiner ConfigMgr-Verwaltung zur kombinierten Verwaltung. Auto-Enrollment in Intune, korrekter Entra Join und ein funktionierender MDM-User Scope sind dafür zentral. The technical core of a co-management rollout is moving from pure ConfigMgr management to combined management. Intune auto-enrollment, correct Entra join, and a working MDM user scope are central to that transition.
| Pfad Path | Beschreibung Description | Wichtiger Punkt Important point |
|---|---|---|
| Enable from ConfigMgr Enable from ConfigMgr | ConfigMgr-Assistent schaltet Co-management ein The ConfigMgr wizard enables co-management | Geeignet für große Bestandsflotten mit bestehendem Client-Footprint Fits large existing fleets with an established client footprint |
| Enable from Intune Enable from Intune | Cloud-getriebenes Onboarding für neue Geräte Cloud-driven onboarding for new devices | Passt besser zu neuem cloud-native Rolloutmodell Better fit for new cloud-native rollout models |
| Hybrid Join Hybrid join | Geräteobjekt synchronisiert zwischen lokalem AD und Entra Device object synchronized between on-prem AD and Entra | Join-Fehler blockieren MDM und CA-Kette Join errors block the MDM and CA chain |
| MDM User Scope MDM user scope | Benutzer werden automatisch in Intune eingeschrieben Users are automatically enrolled in Intune | Scope und Lizenzen sauber begrenzen, um Überraschungen zu vermeiden Limit scope and licensing carefully to avoid surprises |
| Pilot Collections Pilot collections | Pilotierte Aktivierung einzelner Geräte Piloted enablement of selected devices | Technische und organisatorische Piloten trennen Separate technical and organizational pilots |
| New Co-managed Devices New co-managed devices | Neue Geräte werden sofort im Dual-Modell bereitgestellt New devices are provisioned directly into the dual model | Nur sinnvoll, wenn Zielarchitektur und Supportprozesse bereit sind Only useful when the target architecture and support processes are ready |
Monitoring und Health Monitoring and health
Ein Co-management-Projekt scheitert selten an einem fehlenden Assistenten und oft an fehlender Transparenz. Dashboard, Enrollment Status, Workload Reports und Client Health müssen kontinuierlich beobachtet werden. A co-management project rarely fails because a wizard is missing and often because transparency is missing. Dashboard, enrollment status, workload reports, and client health must be observed continuously.
| Sicht View | Was sichtbar wird What becomes visible | Management-Nutzen Management value |
|---|---|---|
| Co-management Dashboard Co-management dashboard | Enrollment-Status, Slider-Zustand, Pilotfortschritt Enrollment state, slider state, pilot progress | Zentraler Einstiegspunkt für Steering und Betriebsreviews Central starting point for steering and operations reviews |
| Enrollment Reports Enrollment reports | Fehlgeschlagene oder ausstehende Intune-Einschreibung Failed or pending Intune enrollment | Hilft, Join- und Scope-Probleme früh zu finden Helps identify join and scope issues early |
| Client Health Client health | ConfigMgr- und Agentzustand ConfigMgr and agent state | Cloud-Projekt nicht von schlechter Clienthygiene überlagern lassen Do not let poor client hygiene overshadow the cloud project |
| Workload Status Workload status | Welche Führungssysteme je Workload aktiv sind Which leading systems are active per workload | Für Audits und Betriebsdokumentation wichtig Important for audits and operating documentation |
| Tenant Attach Views Tenant Attach views | Cloud-Sicht auf ConfigMgr-Geräte Cloud view of ConfigMgr devices | Bringt Hybridgeräte in die moderne Adminoberfläche Brings hybrid devices into the modern admin experience |
| Problem Management Problem management | Wiederkehrende Hybridfehler und Known Issues Recurring hybrid errors and known issues | Ohne KEDB wiederholen sich Migrationsprobleme endlos Without a KEDB, migration problems repeat endlessly |
Tenant Attach Tenant Attach
Tenant Attach veröffentlicht ConfigMgr-Geräte in die Intune Admin Experience. Dadurch werden CMPivot, Timeline, Scripts, Client Details und Application Actions aus der Cloud nutzbar, obwohl der verwaltende Kern noch ConfigMgr ist. Tenant Attach publishes ConfigMgr devices into the Intune admin experience. That enables CMPivot, timeline, scripts, client details, and application actions from the cloud even though the authoritative management core is still ConfigMgr.
| Funktion Function | Beschreibung Description | Tiefe Empfehlung Deep recommendation |
|---|---|---|
| Client Details Client details | Hardware, Software und Managementzustand im Cloud-Portal Hardware, software, and management state in the cloud portal | Hilfreich für Support, der nicht in der ConfigMgr-Konsole arbeitet Useful for support teams that do not live in the ConfigMgr console |
| CMPivot from Cloud CMPivot from cloud | Live-Queries gegen ConfigMgr-Clients Live queries against ConfigMgr clients | Für Incident Response und schnelle Validierung wertvoll Valuable for incident response and rapid validation |
| Timeline Timeline | Geräteereignisse aus mehreren Quellen Device events from multiple sources | Ideal, um Hybridursachen über Zeit zu korrelieren Ideal for correlating hybrid root causes over time |
| Scripts Scripts | Run Script-Aktionen aus der Cloud Run Script actions from the cloud | Approval-Workflow und Code Review beibehalten Keep approval workflow and code review intact |
| Applications Applications | Install / uninstall für veröffentlichte Apps Install or uninstall for published apps | Hilfreich für Support-Fälle, aber sauber dokumentieren Helpful for support cases, but document it carefully |
| RBAC RBAC | Cloud-Rollen plus ConfigMgr-Berechtigungen Cloud roles plus ConfigMgr permissions | Rollendesign zwischen Teams abgestimmt halten Keep role design aligned across teams |
CMPivot, Timeline und Cloud Scripts CMPivot, timeline, and cloud scripts
CMPivot liefert nahezu in Echtzeit Antworten aus dem ConfigMgr-Client. Zusammen mit Timeline und cloudgestützten Run Scripts entsteht eine starke operative Werkzeugkette für Hybridgeräte. CMPivot delivers near real-time answers from the ConfigMgr client. Combined with timeline and cloud-driven run scripts, it becomes a strong operational toolkit for hybrid devices.
| Werkzeug Tool | Beispiel Example | Praxiswert Practical value |
|---|---|---|
| CMPivot Entity CMPivot entity | Device, InstalledSoftware, Process, EventLog, Registry Device, InstalledSoftware, Process, EventLog, Registry | Entitäten nach Incident- oder Migrationstyp auswählen Choose entities by incident or migration type |
| Operatoren Operators | where, project, summarize, order by where, project, summarize, order by | Abfragen klein halten, um Antwortzeiten zu minimieren Keep queries small to minimize response times |
| Timeline Timeline | Ereignisse aus ConfigMgr, Intune und Defender Events from ConfigMgr, Intune, and Defender | Nützlich, um Ursache und Wirkung über mehrere Tools zu sehen Useful for seeing cause and effect across multiple tools |
| Scripts Scripts | Remote Ausführung mit Approval Remote execution with approval | Nur geprüfte Bibliotheken zulassen Allow only approved script libraries |
| Applications Applications | Install / Uninstall aus der Cloud Install or uninstall from the cloud | Für Support und Sonderfälle praktisch, nicht als Ersatz für saubere Deployment-Modelle Practical for support and exceptions, not a substitute for clean deployment models |
| Realtime Diagnostics Real-time diagnostics | Ad-hoc Sicht auf Registry, Prozesse oder Events Ad-hoc visibility into registry, processes, or events | Besonders wertvoll bei Slider- oder Enrollment-Konflikten Especially valuable during slider or enrollment conflicts |
Device | project Device, Manufacturer, Model, OperatingSystem
InstalledSoftware | where ProductName contains "Microsoft 365" | project Device, ProductName, ProductVersion
EventLog('System', 1d) | where EventLevelName == "Error" | summarize Count=count() by DeviceCloud Management Gateway und Cloud Distribution Point Cloud Management Gateway and cloud distribution point
CMG erweitert ConfigMgr über das Internet. Zertifikate, Token-basierte Authentifizierung, Azure-Kosten, Performance und Content-Strategie bestimmen, ob das Modell stabil und wirtschaftlich ist. Cloud Distribution Points ergänzen dies für Inhaltsbereitstellung. CMG extends ConfigMgr over the internet. Certificates, token-based authentication, Azure cost, performance, and content strategy determine whether the model is stable and economical. Cloud distribution points complement this for content delivery.
| Baustein Building block | Inhalt Content | Tiefe Betriebsnotiz Deep operational note |
|---|---|---|
| CMG Architecture CMG architecture | Cloud proxy für internetbasierte ConfigMgr-Kommunikation Cloud proxy for internet-based ConfigMgr communication | Skalierung und Region passend zur Nutzerverteilung wählen Choose scale and region to match user distribution |
| Certificates Certificates | Serverauthentifizierung und Vertrauenskette Server authentication and trust chain | Ablaufmonitoring und Erneuerungsprozess fest definieren Define expiration monitoring and renewal process clearly |
| Token-based Authentication Token-based authentication | Moderne Authentifizierung für CMG-Zugriffe Modern authentication for CMG access | Mit Entra-App- und Client-Berechtigungen sauber abstimmen Align carefully with Entra app and client permissions |
| Cost Estimation Cost estimation | Azure Compute, Storage und Egress Azure compute, storage, and egress | Vor Rollout typische Lastprofile simulieren Simulate typical load profiles before rollout |
| Performance Performance | Latenz und Content-Verhalten Latency and content behavior | Richtige MP-, DP- und Boundary-Designs bleiben entscheidend Correct MP, DP, and boundary designs remain crucial |
| Cloud Distribution Point Cloud distribution point | Inhaltsbereitstellung via Azure Blob Content delivery through Azure Blob | Nur geeignete Inhalte auslagern und Bandbreitenkosten beobachten Offload only suitable content and watch bandwidth cost |
Migration, Graph und Troubleshooting Migration, Graph, and troubleshooting
Co-management sollte zu einem klaren Zielbild führen: cloud-native Endpunkte, reduzierte Hybridabhängigkeit oder definierte Dauer-Hybridnutzung. Graph- und PowerShell-Runbooks helfen beim Nachweis von Fortschritt und bei der Fehlersuche während der Transition. Co-management should lead to a clear target state: cloud-native endpoints, reduced hybrid dependency, or defined long-term hybrid use. Graph and PowerShell runbooks help prove progress and troubleshoot during the transition.
| Bereich Area | Beispiel Example | Praktische Nutzung Practical use |
|---|---|---|
| Phased Migration Phased migration | Workloads in Wellen verschieben Move workloads in waves | Mit Benutzerkommunikation und Supportkalender koppeln Tie to user communication and the support calendar |
| User Communication User communication | Änderungen an Updates, Apps und Self-Service erklären Explain changes to updates, apps, and self-service | Kommunikation reduziert gefühlten Kontrollverlust in Hybridphasen Communication reduces perceived loss of control during hybrid phases |
| Graph Reporting Graph reporting | Intune Enrollment- und Compliance-Fortschritt Intune enrollment and compliance progress | Ideal für Steering-KPIs und Managementreports Ideal for steering KPIs and management reports |
| ConfigMgr PowerShell ConfigMgr PowerShell | Sammlungen, Slider-Vorbereitung, CMG-Checks Collections, slider preparation, CMG checks | Module und Standortkontext in Automatisierung sauber kapseln Encapsulate modules and site context cleanly in automation |
| Enrollment Konflikte Enrollment conflicts | Gerät ist hybrid joined, aber nicht eingeschrieben Device is hybrid joined but not enrolled | Join, User Scope, Lizenz und GPO/Task-Kette prüfen Check join, user scope, licensing, and the GPO or task chain |
| Slider Konflikte Slider conflicts | Alte ConfigMgr-Policies kollidieren mit Intune Old ConfigMgr policies collide with Intune | Vor Migration die alte Steuerfläche sauber inventarisieren Inventory the old control surface cleanly before migration |
| CMG Probleme CMG issues | Internetclient erreicht Management Point nicht Internet client cannot reach the management point | Zertifikate, DNS, Entra App und Boundary-Konzept prüfen Check certificates, DNS, Entra app, and the boundary concept |
Import-Module ConfigurationManager
Set-Location XYZ:
Get-CMCoManagementConfiguration
Get-CMCollection -Name "CoMgmt Pilot" | Select-Object Name, CollectionID