Abilitare Microsoft Intune collegamento tenant: Sincronizzazione del dispositivo e azioni del dispositivo

Si applica a: Configuration Manager (Current Branch)

La famiglia di prodotti Microsoft Intune è una soluzione integrata per la gestione di tutti i dispositivi. Microsoft riunisce Configuration Manager e Intune in un'unica console denominata interfaccia di amministrazione Microsoft Intune. È possibile caricare i dispositivi Configuration Manager nel servizio cloud ed eseguire azioni dal pannello Dispositivi nell'interfaccia di amministrazione.

Importante

Quando si collega il sito Configuration Manager a un tenant Microsoft Intune, il sito invia altri dati a Microsoft. L'articolo Sulla raccolta dei dati del collegamento del tenant riepiloga i dati inviati.

Abilitare il caricamento del dispositivo quando la co-gestione è già abilitata

Se la co-gestione è attualmente abilitata, è necessario usare le proprietà di co-gestione per abilitare il caricamento del dispositivo. Quando la co-gestione non è già abilitata, usare la Configurazione guidata collegamento cloud per abilitare invece il caricamento del dispositivo. Prima di abilitare il collegamento del tenant, verificare che siano soddisfatti i prerequisiti per il collegamento del tenant .

Quando la co-gestione è già abilitata, modificare le proprietà di co-gestione per abilitare il caricamento del dispositivo usando le istruzioni seguenti:

1. Nella console di amministrazione Configuration Manager passare aPanoramica>dell'amministrazione> Servizi cloud >Collegamento cloud.
   • Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.
2. Nella barra multifunzione selezionare Proprietà per i criteri di produzione di co-gestione.
3. Nella scheda Configura caricamento selezionare Carica nell'interfaccia di amministrazione di Microsoft Endpoint Manager. Selezionare Applica.
   • L'impostazione predefinita per il caricamento del dispositivo è Tutti i miei dispositivi gestiti da Microsoft Endpoint Configuration Manager. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi.
   • Quando viene selezionata una singola raccolta, vengono caricate anche le raccolte figlio.
4. Selezionare l'opzione Abilita analisi degli endpoint per i dispositivi caricati in Microsoft Endpoint Manager se si vogliono anche ottenere informazioni dettagliate per ottimizzare l'esperienza dell'utente finale in Endpoint Analytics.
5. Selezionare l'opzione Imponi Controllo di accesso in base al ruolo per i dispositivi caricati nel servizio cloud. Per impostazione predefinita, SCCM controllo degli accessi in base al ruolo viene applicato insieme a Intune controllo degli accessi in base al ruolo quando si caricano i dispositivi Configuration Manager nel servizio cloud. Di conseguenza, la casella di controllo viene selezionata per impostazione predefinita. Se si vuole applicare solo Intune controllo degli accessi in base al ruolo o se si usa un account solo cloud, è necessario deselezionare l'opzione.
6. Selezionare l'opzione Enable Uploading Microsoft Defender per endpoint data for reporting on devices uploaded to Microsoft Intune admin center if you want to use Endpoint Security reports in Intune admin center

Importante

Quando si abilita il caricamento dei dati di Analisi endpoint, le impostazioni client predefinite vengono aggiornate automaticamente per consentire agli endpoint gestiti di inviare dati pertinenti al server del sito Configuration Manager. Se si utilizzano impostazioni client personalizzate, potrebbe essere necessario aggiornarle e distribuirle di nuovo per la raccolta dei dati. Per altre informazioni su questo argomento, nonché su come configurare la raccolta di dati, ad esempio per limitare la raccolta solo a un set specifico di dispositivi, vedere la sezione Configurazione della raccolta dati di Endpoint Analytics.

1. Accedere con l'account amministratore globale quando richiesto.
2. Selezionare Sì per accettare la notifica Crea applicazione Microsoft Entra. Questa azione esegue il provisioning di un'entità servizio e crea una registrazione dell'applicazione Microsoft Entra per facilitare la sincronizzazione.
3. Scegliere OK per uscire dalle proprietà di co-gestione dopo aver apportato modifiche.

Abilitare il caricamento del dispositivo quando la co-gestione non è abilitata

Se la co-gestione non è abilitata, usare la Configurazione guidata collegamento cloud per abilitare il caricamento del dispositivo. È possibile caricare i dispositivi senza abilitare la registrazione automatica per la co-gestione o il passaggio dei carichi di lavoro a Intune. Tutti i dispositivi gestiti da Configuration Manager che hanno Sì nella colonna Client vengono caricati. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi. Se la co-gestione è già abilitata nell'ambiente, modificare le proprietà di co-gestione per abilitare invece il caricamento del dispositivo. Prima di abilitare il collegamento del tenant, verificare che i prerequisiti per il collegamento al tenant siano stati soddisfatti.

Quando la co-gestione non è abilitata, usare le istruzioni seguenti per abilitare il caricamento del dispositivo:

1. Nella console di amministrazione Configuration Manager passare aPanoramica>dell'amministrazione> Servizi cloud >Collegamento cloud. Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.

   • A partire da Configuration Manager versione 2111, l'esperienza di onboarding del collegamento del tenant è cambiata. La procedura guidata per il collegamento al cloud semplifica l'abilitazione del collegamento al tenant e di altre funzionalità cloud. È possibile scegliere un set semplificato di impostazioni predefinite consigliate o personalizzare le funzionalità di collegamento cloud. Per altre informazioni sull'abilitazione del collegamento tenant con la nuova procedura guidata, vedere Abilitare il collegamento cloud.

2. Nella barra multifunzione selezionare Configura collegamento cloud per aprire la procedura guidata. Per la versione 2103 e precedenti, selezionare Configura co-gestione per aprire la procedura guidata.

3. Nella pagina di onboarding selezionare AzurePublicCloud per l'ambiente. Cloud di Azure per enti pubblici e Azure China (21Vianet) non sono supportati.

   • A partire dalla versione 2107, i clienti del governo degli Stati Uniti possono selezionare AzureUSGovernmentCloud.

4. Scegliere Accedi. Usare l'account Amministratore globale per accedere.

5. Verificare che l'opzione Abilita interfaccia di amministrazione di Microsoft Endpoint Manager sia selezionata nella pagina Collegamento cloud . Per la versione 2103 e precedenti, selezionare l'opzione Carica nell'interfaccia di amministrazione di Microsoft Endpoint Manager nella pagina Onboarding tenant .

   • Assicurarsi che l'opzione Abilita registrazione client automatica per la co-gestione non sia selezionata se non si vuole abilitare la co-gestione ora. Se si vuole abilitare la co-gestione, selezionare l'opzione .
   • Se si abilita la co-gestione insieme al caricamento del dispositivo, verranno fornite altre pagine nella procedura guidata da completare. Per altre informazioni, vedere Abilitare la co-gestione.

   

6. Scegliere Avanti e quindi Sì per accettare la notifica Crea applicazione Microsoft Entra. Questa azione esegue il provisioning di un'entità servizio e crea una registrazione dell'applicazione Microsoft Entra per facilitare la sincronizzazione.

   • Facoltativamente, è possibile importare un'applicazione Microsoft Entra creata in precedenza durante l'onboarding del collegamento tenant. Per altre informazioni, vedere la sezione Importare un'applicazione Microsoft Entra creata in precedenza.

7. Nella pagina Configura caricamento selezionare l'impostazione di caricamento del dispositivo consigliata per Tutti i dispositivi gestiti da Microsoft Endpoint Configuration Manager. Se necessario, è possibile limitare il caricamento a una singola raccolta di dispositivi.

   • Quando viene selezionata una singola raccolta, vengono caricate anche le raccolte figlio.

8. Selezionare l'opzione Abilita analisi degli endpoint per i dispositivi caricati in Microsoft Endpoint Manager se si vuole anche ottenere informazioni dettagliate per ottimizzare l'esperienza dell'utente finale in Endpoint Analytics.

9. Selezionare l'opzione Imponi Controllo di accesso in base al ruolo per i dispositivi caricati nel servizio cloud. Per impostazione predefinita, SCCM controllo degli accessi in base al ruolo viene applicato insieme a Intune controllo degli accessi in base al ruolo quando si caricano i dispositivi Configuration Manager nel servizio cloud. Di conseguenza, la casella di controllo viene selezionata per impostazione predefinita. Se si vuole applicare solo Intune controllo degli accessi in base al ruolo o se si usa un account solo cloud, è necessario deselezionare l'opzione.

10. Selezionare l'opzione Enable Uploading Microsoft Defender per endpoint data for reporting on devices uploaded to Microsoft Intune admin center if you want to use Endpoint Security reports in Intune admin center

11. Selezionare Riepilogo per rivedere la selezione, quindi scegliere Avanti.

12. Al termine della procedura guidata, selezionare Chiudi.

Tag di ambito

I dispositivi collegati al tenant ricevono il tag di ambito predefinito da Microsoft Intune. Se si rimuove il tag di ambito predefinito da un dispositivo collegato al tenant, il dispositivo non verrà visualizzato affatto nell'interfaccia di amministrazione Microsoft Intune. Attualmente, ai dispositivi collegati al tenant non è possibile assegnare tag di ambito a differenza dei dispositivi co-gestiti .

Tuttavia, a volte non si vuole che determinati ruoli Intune visualizzi i dispositivi collegati al tenant. Ad esempio, potrebbe non essere necessario che un utente con il ruolo di operatore help desk di Intune visualizzi i dispositivi collegati al tenant perché sono server. In questi casi, creare o usare un ruolo personalizzato in Intune che non dispone di Default elencato per i tag Scope. Quando si creano ruoli di Intune personalizzati, tenere presente che il tag di ambito predefinito viene aggiunto automaticamente a tutti gli oggetti senza tag.

Eseguire le azioni del dispositivo

1. In un browser passare a intune.microsoft.com

2. Selezionare Dispositivi e quindi Tutti i dispositivi per visualizzare i dispositivi caricati. Verrà visualizzato ConfigMgr nella colonna Managed by per i dispositivi caricati.

3. Selezionare un dispositivo per caricare la pagina Panoramica .

4. Scegliere una delle azioni seguenti:

   • Sincronizzazione dei criteri del computer
   • Sincronizzazione dei criteri utente
   • Ciclo di valutazione app

   

Visualizzare lo stato del connettore Configuration Manager dalla console di amministrazione

Dall'interfaccia di amministrazione Microsoft Intune è possibile esaminare lo stato del connettore Configuration Manager. Per visualizzare lo stato del connettore, passare aConnettori e token> di amministrazione> del tenantMicrosoft Endpoint Configuration Manager. Selezionare una gerarchia Configuration Manager per visualizzare informazioni aggiuntive.

Visualizzare raccomandazioni e informazioni dettagliate per arricchire l'esperienza di gestione dei dispositivi e dell'integrità del sito Configuration Manager

È possibile visualizzare consigli e informazioni dettagliate per i siti Configuration Manager. Queste raccomandazioni consentono di migliorare l'integrità e l'infrastruttura del sito e di arricchire l'esperienza di gestione dei dispositivi.

Le raccomandazioni includono:

• Come semplificare l'infrastruttura
• Migliorare la gestione dei dispositivi
• Fornire informazioni dettagliate sul dispositivo
• Migliorare l'integrità del sito

Per visualizzare le raccomandazioni, passare a Connettori di amministrazione > tenant e token > Microsoft Endpoint Configuration Manager e selezionare un sito per visualizzare le raccomandazioni. Una volta selezionata, è disponibile la scheda Raccomandazioni che visualizza ogni informazione dettagliata insieme a un collegamento Altre informazioni che apre i dettagli su come applicare tale raccomandazione.

Offboard dal collegamento tenant

Anche se sappiamo che i clienti ottengono un valore enorme abilitando il collegamento del tenant, esistono rari casi in cui potrebbe essere necessario eseguire l'offboarding di una gerarchia. È possibile eseguire l'offboard dalla console di Configuration Manager (metodo consigliato) o dall'interfaccia di amministrazione Microsoft Intune.

Offboard dalla console Configuration Manager

Quando il collegamento tenant è già abilitato, modificare le proprietà di co-gestione per disabilitare il caricamento e l'offboard del dispositivo.

1. Nella console di amministrazione Configuration Manager passare aPanoramica>dell'amministrazione> Servizi cloud >Collegamento cloud.
   • Per la versione 2103 e precedenti, selezionare il nodo Co-gestione.
2. Nella barra multifunzione selezionare Proprietà per i criteri di produzione di co-gestione.
3. Nella scheda Configura caricamento rimuovere la selezione dell'interfaccia di amministrazione di Upload to Microsoft Endpoint Manager .In the Configure upload tab, remove the Upload to Microsoft Endpoint Manager admin center selection.
4. Selezionare Applica.

Offboard dall'interfaccia di amministrazione Microsoft Intune

Se necessario, è possibile eseguire l'offboarding di una gerarchia Configuration Manager dall'interfaccia di amministrazione Microsoft Intune. Ad esempio, potrebbe essere necessario eseguire l'offboarding dall'interfaccia di amministrazione in seguito a uno scenario di ripristino di emergenza in cui l'ambiente locale è stato rimosso. Seguire la procedura seguente per rimuovere la gerarchia di Configuration Manager dall'interfaccia di amministrazione Microsoft Intune:

1. Accedere all'interfaccia di amministrazione Microsoft Intune.
2. Selezionare Amministrazione tenant , quindi Connettori e token.
3. Selezionare Microsoft Endpoint Configuration Manager.
4. Scegliere il nome del sito da disattivare, quindi selezionare Elimina.
   • Il connettore può essere elencato come Sconosciuto se le informazioni sul sito non sono disponibili.

Quando si esegue l'offboarding di una gerarchia dall'interfaccia di amministrazione, la rimozione dall'interfaccia di amministrazione Microsoft Intune potrebbe richiedere fino a due ore. Se si esegue l'offboarding di un sito Configuration Manager 2103 o versione successiva online e integro, il processo potrebbe richiedere solo alcuni minuti.

Nota

Se si usano ruoli controllo degli accessi in base al ruolo personalizzati con Intune, è necessario concedereall'eliminazione dell'organizzazione l'autorizzazione per l'offboarding> di una gerarchia.

Importare un'applicazione Microsoft Entra creata in precedenza (facoltativo)

Durante un nuovo onboarding, un amministratore può specificare un'applicazione creata in precedenza durante l'onboarding al collegamento tenant. Non condividere o riutilizzare applicazioni Microsoft Entra in più gerarchie. Se si dispone di più gerarchie, creare applicazioni Microsoft Entra separate per ognuna.

Nella pagina di onboarding della Configurazione guidata collegamento cloud (Configurazione guidata co-gestione nelle versioni 2103 e precedenti) selezionare Facoltativamente importare un'app Web separata per sincronizzare Configuration Manager dati client in Microsoft Intune Endpoint Manager Center. Questa opzione richiederà di specificare le informazioni seguenti per l'app Microsoft Entra:

• Microsoft Entra nome del tenant
• MICROSOFT ENTRA ID tenant
• Nome applicazione
• ID client
• Chiave privata
• Scadenza della chiave privata
• App ID URI

Importante

• L'URI dell'ID app deve usare uno dei formati seguenti:

  • api://{tenantId}/{string}Per esempio api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}Per esempio https://contoso.onmicrosoft.com/ConfigMgrService

  Per altre informazioni sulla creazione di un'app Microsoft Entra, vedere Configurare i servizi di Azure.

• Quando si usa un'app Microsoft Entra importata, non si riceve una notifica di una data di scadenza imminente dalle notifiche della console.

Microsoft Entra le autorizzazioni e la configurazione dell'applicazione

L'uso di un'applicazione creata in precedenza durante l'onboarding nel collegamento al tenant richiede le autorizzazioni seguenti:

• Configuration Manager autorizzazioni microservizio:

  • CmCollectionData.read
  • CmCollectionData.write

• Autorizzazioni di Microsoft Graph:

  • Autorizzazione Directory.Read.All Applications
  • Autorizzazione Directory.Read.All per la directory delegata

• Assicurarsi che l'opzione Concedi consenso amministratore per il tenant sia selezionata per l'applicazione Microsoft Entra. Per altre informazioni, vedere Concedere il consenso amministratore in Registrazioni app.

• L'applicazione importata deve essere configurata come segue:

  • Registrato solo per account in questa directory organizzativa. Per altre informazioni, vedere Modificare chi può accedere all'applicazione.
  • Ha un URI e un segreto dell'ID applicazione validi.

Passaggi successivi

• Registrare Configuration Manager dispositivi in Endpoint Analytics
• Per informazioni sui file di log del collegamento del tenant, vedere Risolvere i problemi relativi al collegamento del tenant.