Lý thuyết cần nắm
Co-management definition, workloads, migration paths, Cloud Attach vs Tenant Attach
1.1 Co-management Definition
Co-management là trạng thái mà cùng 1 Windows device được quản lý đồng thời bởi cả Configuration Manager (SCCM) và Microsoft Intune. Mỗi workload có thể slide sang Intune từng phần.
1.2 Workloads — SCCM hoặc Intune quản lý
| Workload | Mô tả | Default | Có thể slide sang Intune |
|---|---|---|---|
| Compliance policies | Các policy đánh giá tuân thủ | SCCM | ✔ |
| Resource access | VPN, Cert, Wi-Fi profiles | SCCM | ✔ |
| Endpoint Protection | Defender AV, Firewall | SCCM | ✔ |
| Device configuration | Settings, OMA-URI | SCCM | ✔ |
| Office Click-to-Run apps | M365 Apps deployment | SCCM | ✔ |
| Windows Update policies | WUfB rings | SCCM | ✔ |
1.3 Cloud Attach vs Co-management vs Tenant Attach
| Khái niệm | Mô tả | Yêu cầu |
|---|---|---|
| Cloud Attach | Kết nối SCCM lên Azure/Intune | SCCM + Azure AD |
| Co-management | SCCM + Intune cùng quản lý device | Cloud Attach + Intune enrollment |
| Tenant Attach | SCCM devices hiển trong Intune console nhưng không có MDM | Cloud Attach (không cần enrollment) |
Lab thực chiến
Enable Co-management, slide workloads, monitor co-managed devices
Lab A — SCCM: Enable Co-management
- SCCM Console → Administration → Cloud Services → Cloud Attach
- Click Configure Cloud Attach → Sign in với Entra Global Admin
- Enable automatic enrollment for Intune MDM
- Chọn pilot collection hoặc production collection
- Finish wizard → chờ sync (15-30 phút)
Co-management được bật. Devices trong collection sẽ tự động enroll vào Intune MDM trong khi vẫn giữ SCCM management.
Lab B — Slide Workloads sang Intune (Portal)
- Intune → Tenant administration → Connectors → Microsoft Endpoint Configuration Manager
- Xem danh sách co-managed devices
- Click Co-management workloads
- Slide Compliance policies từ Configuration Manager sang Intune
- Save → chờ policy sync
Intune compliance policy override SCCM. Device nhận Intune compliance check thay vì SCCM. Giờ có thể dùng Conditional Access dựa trên Intune compliance.
Lab C — Monitor Co-managed Devices
- SCCM Monitoring → Co-management → xem co-managed device count
- Intune → Devices → filter by Management agent = Co-managed
- Xem workload assignments: devices quản lý bởi Intune vs SCCM theo workload
Devices hiển cả trong SCCM console và Intune portal. Management agent = Co-managed. Workload compliance từ Intune, software distribution từ SCCM.
Tình huống thực tế doanh nghiệp
Vinamilk — SCCM lâu đời, 4,000 devices, migrate lên Intune
Công ty Vinamilk — SCCM infrastructure mạnh ~15 năm, 4,000 Windows devices
Muốn dần migrate sang cloud management (Intune) mà không disrupt operations. Co-management strategy: bắt đầu với Compliance policies workload trên Intune, giữ SCCM cho Software Distribution, migration 12 tháng.
| Giai đoạn | Workloads slide sang Intune | Timeline | Riủi ro |
|---|---|---|---|
| Phase 1 | Compliance policies | Tháng 1-2 | Thấp |
| Phase 2 | Resource access (VPN, Cert) | Tháng 3-4 | Trung bình |
| Phase 3 | Endpoint Protection (Defender) | Tháng 5-7 | Trung bình |
| Phase 4 | Device configuration + Office apps | Tháng 8-12 | Cao |
| Full Intune | Tất cả workloads → Intune | Tháng 13+ | Hoàn tất |