Включение подключения клиента Microsoft Intune: синхронизация устройств и действия устройства
Относится к Configuration Manager (Current Branch)
Семейство продуктов Microsoft Intune — это интегрированное решение для управления всеми вашими устройствами. Корпорация Майкрософт объединяет Configuration Manager и Intune в одну консоль под названием Центр администрирования Microsoft Intune. Вы можете загрузить устройства Configuration Manager в облачную службу и предпринять действия из колонки Устройства в центре администрирования.
Маңызды
При присоединении сайта Configuration Manager к клиенту Microsoft Intune он отправляет дополнительные данные в корпорацию Майкрософт. В статье о сборе данных о присоединении клиента приводится сводка отправляемых данных.
Если в настоящее время вы включили совместное управление, необходимо использовать свойства совместного управления, чтобы включить отправку устройства. Если совместное управление еще не включено, используйте мастер конфигурации подключения к облаку, чтобы вместо этого разрешить отправку устройства. Перед включением подключения клиента убедитесь, что выполнены необходимые условия для присоединения клиента .
Если совместное управление уже включено, отредактировать свойства совместного управления, чтобы включить отправку устройства, выполнив приведенные ниже инструкции:
- В консоли администрирования Configuration Manager последовательно выберите Администрирование>Обзор>Облачные службы>Подключение к облаку.
- Для версии 2103 и более ранних версий выберите узел Совместное управление.
- В ленте выберите Свойства для производственной политики совместного управления.
- На вкладке Настройка отправки выберите Отправить в центр администрирования Microsoft Endpoint Manager. Нажмите Применить.
- Параметр по умолчанию для отправки устройств — Все мои устройства под управлением Microsoft Endpoint Configuration Manager. При необходимости вы можете ограничить отправку одной коллекцией устройств.
- При выборе одной коллекции также отправляются ее дочерние коллекции.
- Установите флажок Включение аналитики конечных точек для устройств, данные которых отправляются в Microsoft Endpoint Manager, если вы также хотите получить сведения для оптимизации взаимодействия с конечными пользователями в Endpoint Analytics.
- Установите флажок Принудительное управление доступом на основе ролей для устройств, отправляемых в облачную службу. По умолчанию RBAC SCCM применяется вместе с Intune RBAC при отправке устройств Configuration Manager в облачную службу. Поэтому флажок установлен по умолчанию. Если вы хотите применить только RBAC Intune или используете облачную учетную запись, необходимо снять флажок.
- Установите флажок Включить отправку данных Microsoft Defender для конечной точки для создания отчетов на устройствах, отправленных в Центр администрирования Microsoft Intune, если вы хотите использовать отчеты Endpoint Security в Центре администрирования Intune.
Маңызды
При включении отправки данных аналитики конечных точек параметры клиента по умолчанию автоматически обновляются, чтобы разрешить управляемым конечным точкам отправлять соответствующие данные на сервер сайта Configuration Manager. Если вы используете пользовательские параметры клиента, вам может потребоваться обновить и повторно развернуть их для сбора данных. Дополнительные сведения об этом, а также о том, как настроить сбор данных, например ограничить сбор только определенным набором устройств, см. в разделе Настройка сбора данных аналитики конечных точек.
- Выполните вход с помощью учетной записи глобального администратора при появлении соответствующего запроса.
- Выберите Да , чтобы принять уведомление о создании приложения Microsoft Entra . Это действие подготавливает субъект-службу и создает регистрацию приложения Microsoft Entra для упрощения синхронизации.
- После внесения изменений выберите ОК, чтобы выйти из свойств совместного управления.
Если вы не включили совместное управление, используйте мастер настройки облачного подключения , чтобы включить отправку устройств. Вы можете отправлять устройства, не включая автоматическую регистрацию для совместного управления или переключения рабочих нагрузок на Intune. Отправляются все устройства, управляемые Configuration Manager с да в столбце "Клиент ". При необходимости вы можете ограничить отправку одной коллекцией устройств. Если совместное управление уже включено в вашей среде, измените свойства совместного управления, чтобы вместо этого включить отправку устройства. Прежде чем включить присоединение клиента, убедитесь, что выполнены предварительные условия для присоединения клиента.
Если совместное управление не включено, используйте инструкции ниже, чтобы включить отправку устройства:
В консоли администрирования Configuration Manager последовательно выберите Администрирование>Обзор>Облачные службы>Подключение к облаку. Для версии 2103 и более ранних версий выберите узел Совместное управление.
- Начиная с версии Configuration Manager 2111 интерфейс присоединения клиента изменился. Мастер подключения к облаку упрощает включение присоединения клиента и другие облачные функции. Вы можете выбрать упрощенный набор рекомендуемых параметров по умолчанию или настроить собственные функции подключения к облаку. Дополнительные сведения о включении подключения клиента с помощью нового мастера см. в статье Включение подключения к облаку.
В ленте выберите Настройка подключения к облаку для открытия мастера. В версии 2103 и более ранних версиях выберите Настройка совместного управления для открытия мастера.
На странице подключения выберите AzurePublicCloud для вашей среды. Облако Azure для государственных организаций и Azure для Китая (21Vianet) не поддерживаются.
- Начиная с версии 2107, клиенты для государственных организаций США могут выбрать AzureUSGovernmentCloud.
Нажмите Войти. Чтобы войти, используйте свою учетную запись глобального администратора.
Убедитесь, что параметр Включить центр администрирования Microsoft Endpoint Manager выбран на странице Подключение к облаку. Для версии 2103 и более ранних версий выберите параметр Отправка в Центр администрирования Microsoft Endpoint Manager на странице Подключения клиента.
- Убедитесь, что параметр Включить автоматическую регистрацию клиента для совместного управления не выбран, если вы не хотите включать совместное управление. Если вы хотите включить совместное управление, выберите этот параметр.
- Если вы включите совместное управление вместе с отправкой устройства, в мастере будут предоставлены дополнительные страницы для завершения. Дополнительные сведения см. в статье Включение совместного управления.
Нажмите кнопку Далее , а затем — Да , чтобы принять уведомление о создании приложения Microsoft Entra . Это действие подготавливает субъект-службу и создает регистрацию приложения Microsoft Entra для упрощения синхронизации.
- При необходимости можно импортировать ранее созданное приложение Microsoft Entra во время подключения к клиенту. Дополнительные сведения см. в разделе Импорт ранее созданного приложения Microsoft Entra .
На странице Настройка отправки выберите рекомендуемый параметр отправки устройств — Все мои устройства под управлением Microsoft Endpoint Configuration Manager. При необходимости вы можете ограничить отправку одной коллекцией устройств.
- При выборе одной коллекции также отправляются ее дочерние коллекции.
Установите флажок Включить аналитику конечной точки для устройств, загруженных в Microsoft Endpoint Manager, если вы также хотите получать сведения для оптимизации взаимодействия с конечным пользователем в Endpoint Analytics.
Установите флажок Принудительное управление доступом на основе ролей для устройств, отправляемых в облачную службу. По умолчанию RBAC SCCM применяется вместе с Intune RBAC при отправке устройств Configuration Manager в облачную службу. Поэтому флажок установлен по умолчанию. Если вы хотите применить только RBAC Intune или используете облачную учетную запись, необходимо снять флажок.
Установите флажок Включить отправку данных Microsoft Defender для конечной точки для создания отчетов на устройствах, отправленных в Центр администрирования Microsoft Intune, если вы хотите использовать отчеты Endpoint Security в Центре администрирования Intune.
Выберите Сводка, чтобы проверить выбранные параметры, и нажмите Далее.
По завершении работы мастера нажмите Закрыть.
Устройства, присоединенные к клиенту, получают тег области по умолчанию из Microsoft Intune. Если удалить тег области по умолчанию с устройства, подключенного к клиенту, устройство не будет отображаться в Центре администрирования Microsoft Intune. В настоящее время устройствам, присоединенным к клиенту, нельзя назначить теги области в отличие от совместно управляемых устройств.
Однако иногда нужно, чтобы определенные роли Intune не видели устройства, присоединенные к клиенту. Например, вы не хотите, чтобы пользователь с ролью Оператор службы технической поддержки Intune видел присоединенные к клиенту устройства, так как они являются серверами. В этих случаях создайте или используйте настраиваемую роль в Intune, у которой в тегах области нет параметра По умолчанию. При создании настраиваемых ролей Intune учитывайте, что тег области по умолчанию автоматически добавляется ко всем объектам без тегов.
В браузере перейдите по адресу
intune.microsoft.com
Выберите Устройства, а затем Все устройства, чтобы увидеть отправленные устройства. Вы увидите ConfigMgr в столбце Управляется для отправленных устройств.
Выберите устройство, чтобы загрузить его страницу Обзор.
Выполните одно из следующих действий.
- Политика синхронизации компьютеров
- Политика синхронизации пользователей
- Цикл оценки приложения
В Центре администрирования Microsoft Intune можно просмотреть состояние соединителя Configuration Manager. Чтобы отобразить состояние соединителя, перейдите в раздел Администрирование клиента>Соединители и токены>Microsoft Endpoint Configuration Manager. Выберите иерархию Configuration Manager, чтобы отобразить дополнительные сведения о ней.
Просмотр рекомендаций и аналитических сведений для расширения возможностей работоспособности сайта Configuration Manager и управления устройствами
Вы можете просмотреть рекомендации и аналитические сведения для сайтов Configuration Manager. Эти рекомендации помогут вам улучшить работоспособности сайта и инфраструктуру, а также расширить возможности управления устройствами.
Рекомендации:
- Упрощение инфраструктуры
- Улучшение управления устройствами
- Предоставление аналитики устройств
- Улучшение работоспособности сайта
Чтобы просмотреть рекомендации, перейдите в раздел Администрирование > клиента Соединители и токены > Microsoft Endpoint Configuration Manager и выберите сайт для просмотра рекомендаций по этой причине. Выбрав этот флажок, вы увидите вкладку Рекомендации , на котором отображаются все аналитические сведения, а также ссылку Дополнительные сведения о том, как применить эту рекомендацию.
Хотя хорошо известно, что клиенты получают огромную пользу благодаря присоединению арендаторов, иногда также встречаются те редкие случаи, когда может потребоваться отключить иерархию. Вы можете отключить подключение в консоли Configuration Manager (рекомендуемый метод) или в Центре администрирования Microsoft Intune.
Если подключение клиента уже включено, измените свойства совместного управления, чтобы отключить отправку устройства и отключение.
- В консоли администрирования Configuration Manager последовательно выберите Администрирование>Обзор>Облачные службы>Подключение к облаку.
- Для версии 2103 и более ранних версий выберите узел Совместное управление.
- В ленте выберите Свойства для производственной политики совместного управления.
- На вкладке Настройка отправки удалите выбор Отправить в Центр администрирования Microsoft Endpoint Manager.
- Нажмите Применить.
При необходимости иерархию Configuration Manager можно отключить из Центра администрирования Microsoft Intune. Например, отключение от Центра администрирования может требоваться в случае аварийного восстановления, если была удалена локальная среда. Выполните следующие действия, чтобы удалить иерархию Configuration Manager из Центра администрирования Microsoft Intune:
- Войдите в Центр администрирования Microsoft Intune.
- Выберите Администрирование клиента, а затем Соединители и токены.
- Выберите Microsoft Endpoint Configuration Manager.
- Выберите имя сайта, который нужно отключить, а затем нажмите Удалить.
- Соединитель может быть указан как Неизвестный в случае отсутствия сведений о сайте.
При отключении иерархии из Центра администрирования может потребоваться до двух часов для удаления из Центра администрирования Microsoft Intune. Если вы отключили сайт Configuration Manager 2103 или более поздней версии, который подключен к сети и работоспособен, процесс может занять всего несколько минут.
Ескерім
Если вы используете настраиваемые роли RBAC в Intune, вам потребуется предоставить разрешение на удаление>организации для отключения иерархии.
Во время нового подключения администратор может указать ранее созданное приложение во время подключения к клиенту. Не делитесь и не используйте приложения Microsoft Entra в нескольких иерархиях. Если у вас несколько иерархий, создайте отдельные приложения Microsoft Entra для каждой из них.
На странице подключения мастера конфигурации cloud attach (мастер настройки совместного управления в версиях 2103 и более ранних) выберите Дополнительно импортировать отдельное веб-приложение, чтобы синхронизировать данные клиента Configuration Manager с центром Microsoft Intune Endpoint Manager. Этот параметр предложит указать следующие сведения для приложения Microsoft Entra:
- Имя клиента Microsoft Entra
- Идентификатор клиента Microsoft Entra
- Имя приложения
- Идентификатор клиента
- Секретный ключ
- Срок действия секретного ключа
- URI кода надстройки
Маңызды
URI ИД приложения должен использовать один из следующих форматов:
-
api://{tenantId}/{string}
, напримерapi://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
, напримерhttps://contoso.onmicrosoft.com/ConfigMgrService
Дополнительные сведения о создании приложения Microsoft Entra см. в разделе Настройка служб Azure.
-
При использовании импортированного приложения Microsoft Entra вы не будете получать уведомления о предстоящей дате окончания срока действия из уведомлений консоли.
Для использования ранее созданного приложения во время подключения к клиенту требуются следующие разрешения:
Разрешения микрослужбы Configuration Manager:
- CmCollectionData.read
- CmCollectionData.write
Разрешения Microsoft Graph:
- Разрешение приложений Directory.Read.All
- Делегированное разрешение каталога Directory.Read.All
Убедитесь, что для приложения Microsoft Entra выбрано предоставление согласия администратора для клиента . Дополнительные сведения см. в статье Предоставление согласия администратора в регистрации приложений.
Импортируемое приложения необходимо настроить следующим образом:
- Зарегистрировано для учетных записей только в этом каталоге организации. Дополнительные сведения см. в статье Изменение пользователей, которые могут получить доступ к приложению.
- Имеет действительный URI идентификатора приложения и секрет.
- Регистрация устройств Configuration Manager в аналитике конечных точек
- Сведения о присоединении клиентов к файлам журнала см. в статье Устранения неполадок функции присоединения клиентов.