Intro

Stel je het volgende scenario voor: je hebt een uitgebreide inventaris aan computers en mobiele devices. De computers worden al jaar en dag beheerd via System Center Configuration Manager (SCCM). Je hebt hier al zeer veel tijd aan besteed: applicaties voorzien, configuratieprofielen aanmaken, task sequences voor deployment van Windows, …

Helaas kan je hiermee je mobiele devices niet beheren, en dit doe je dan via Intune.

Nu zou je die 2 graag laten samenwerken: helpdesk vraagt om een enkel dashboard waar ze alle devices kunnen zien, en je zou graag de lokale SCCM-toestellen beheren op een moderne manier via Intune.

Deze beide dingen kan je perfect realiseren via Tenant Attach en Co-Management. Maar wat is dit nu eigenlijk?

Wat is Tenant Attach?

Tenant Attach wordt ook wel “Device Upload” genoemd. Je upload als het ware je volledige inventaris, of afhankelijk van je configuratie, een stuk ervan. Hierdoor worden al de geüploade devices zichtbaar in de Microsoft Endpoint Manager Admin Console (MEMAC), naast de Intune-toestellen.

Hierdoor worden ook een aantal voordelen beschikbaar:

• ATP integratie
• Desktop Analytics (hiervoor is Tenant Attach zelfs vereist)
• User Experience Analytics
• Een web front-end voor CMPivot

De geüploade devices worden niet enrolled in Intune, er is dus geen extra licentie vereist voor deze toestellen. Dit betekent echter ook dat de beheersmogelijkheden beperkt zijn:

• Machine/User Policy sync starten
• App Evaluation Cycle starten
• Applicaties uitrollen
• Rapporten genereren via CMPivot
• Scripts uitvoeren op clients

Applicaties packagen en beschikbaar stellen, collections aanmaken om naar te deployen, … moet je nog steeds via de SCCM-console doen.

Ook belangrijk om te onthouden is dat Tenant Attach een “On-Demand Connected Architecture” is: de database van SCCM wordt niet volledig geüpload naar Intune. Data dat je opvraagt via de MEMAC wordt live opgevraagd aan SCCM, of zelfs via de SCCM Site Server aan de Agent op het device. Dit betekent dan natuurlijk ook dat voor sommige acties het device moet kunnen connecteren met de SCCM Site Server (bijvoorbeeld om Applicaties uit te rollen of voor Desktop Analytics).

Tenant Attach dien je te configureren in de SCCM-console. Je hebt hier dan de mogelijkheid om alleen een bepaalde collection te uploaden.

Een Global Admin account is vereist tijdens configuratie, vermits er een Enterprise Application in Azure aangemaakt wordt (of je registreert de app zelf, en kent de nodige rechten toe). Cloud Management dient ook geconfigureerd te zijn.

Microsoft how-to: Set up tenant attach using Microsoft Endpoint Configuration Manager – Learn | Microsoft Docs

Wat is Co-Management?

Co-management wordt ook wel “Client Attach” genoemd en is een beheersmethode om devices zowel via SCCM als Intune te beheren. Dit doe je door devices zowel aan SCCM toe te voegen, als te enrollen in Intune.

Je kan zelf bepalen welke workloads je door SCCM, en welke workloads je door Intune laat beheren.

Via Co-Management worden volgende voordelen beschikbaar:

• Conditional Access met Device Compliance voor ConfigManager Clients
• Remote Actions via Intune, zoals Restart, Wipe, Factory Reset
• AutoPilot voor ConfigManager Clients

Er zijn 2 wegen om een device co-managed te maken, afhankelijk van de beginstatus van het device:

• Het device is al toegevoegd aan SCCM, en moet worden enrolled in Intune.
• Het device is al enrolled in Intune, en moet worden toegevoegd aan SCCM.

Indien het device al is toegevoegd aan SCCM (deployed via Task Sequence, Agent geïnstalleerd, …), moet je je de volgende vragen stellen:

• Is co-management geconfigureerd met een Pilot collection?
• Is Automatic Enrollment geconfigureerd voor de account die je gaat gebruiken?

Indien Automatic Enrollment in orde is, hoef je je het device slechts toe te voegen aan de Pilot collection, indien gebruikt, en het device wordt automatisch enrolled in Intune. Je device is nu co-managed. Afhankelijk van de configuratie worden de workloads overgenomen door Intune.

Indien het device al is enrolled in Intune (AutoPilot, manueel enrolled, …), hoef je gewoon de SCCM Agent te installeren. Dit kan manueel of je maakt een application package aan in Intune. Let op: als je co-management hebt geconfigureerd met een Pilot collection, dien je het device hieraan toe te voegen! Anders neemt SCCM alle workloads over die niet op “Intune” staan (“Configuration Manager of “Pilot Intune”) zodra de agent geïnstalleerd is.

Wanneer gebruik je wat?

In het bovenstaande scenario waren er 2 vragen:

1. Helpdesk vraagt een enkel dashboard waar ze alle devices kunnen zien.
2. Je zou graag de lokale SCCM-toestellen beheren op een moderne manier via Intune.

Voor de eerste vraag configureer je Tenant Attach. Co-Management is hier niet nodig: er werden slechts helpdesk-taken gevraagd via MEMAC, geen volledig beheer.

Voor de tweede vraag configureer je Co-Management.

Tenant Attach en Co-Management zijn niet “mutually exclusive”! Het is dus niet zo dat als je voor 1 van de 2 kiest, dat je niet meer voor het andere kan kiezen. Je kan gerust zowel Tenant Attach als Co-Management configureren, en dit hoeft niet voor dezelfde devices.

Heb je na het lezen van dit artikel nog vragen? Contacteer ons gerust via onderstaand formulier. Wij raken niet uitgepraat over de mogelijkheden om naar een moderne werkplek te gaan. Maar nog liever luisteren we naar jouw verhaal!