Habilitar conexão de locatário do Microsoft Endpoint Manager: sincronização de dispositivos e ações do dispositivo

Aplica-se a: Gerenciador de Configurações (branch atual)

O Microsoft Endpoint Manager é uma solução integrada para o gerenciamento de todos os seus dispositivos. A Microsoft reúne o Configuration Manager e o Intune em um único console chamado Centro de administração do Microsoft Endpoint Manager. Você pode carregar seus Gerenciador de Configurações para o serviço de nuvem e executar ações na lâmina Dispositivos no centro de administração.

Importante

Quando você anexa seu site Configuration Manager com um locatário Microsoft Intune, o site envia mais dados para a Microsoft. O artigo de coleta de dados de anexação de locatário resume os dados enviados.

Habilitar o upload do dispositivo quando o co-gerenciamento já estiver habilitado

Se você tiver o co-gerenciamento habilitado no momento, usará as propriedades de co-gerenciamento para habilitar o upload do dispositivo. Quando o co-gerenciamento ainda não estiver habilitado, Use o Assistente de Configuração de Anexação Nuvem para habilitar o upload do dispositivo. Antes de habilitar a anexação de locatário, verifique se os pré-requisitos para anexação de locatário foram atendidos.

Quando o co-gerenciamento já estiver habilitado, edite as propriedades de co-gerenciamento para habilitar o upload do dispositivo usando as instruções abaixo:

  1. No console de administrador do Gerenciador de Configurações, acesse Administração>Visão Geral>Serviços de Nuvem>Co-gerenciamento.
    • Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.
  2. Na faixa de opções, selecione Propriedades para sua política de produção de co-gerenciamento.
  3. Na guia Configurar upload, selecione Carregar para o Centro de Administração do Microsoft Endpoint Manager. Selecione Aplicar.
    • A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Se necessário, você pode limitar o upload a uma única coleção de dispositivos.
    • Quando uma única coleção é selecionada, suas coleções filhas também são carregadas.
  4. Marque a opção para Habilitar a Análise de ponto de extremidade para dispositivos carregados no Microsoft Endpoint Manager se você também quiser obter insights para otimizar a experiência do usuário final no Análise de Ponto de Extremidade.
  5. Verifique a opção para impor Controle de Acesso baseados em função para os dispositivos que carregam no serviço de nuvem. Por padrão, o RBAC do SCCM será imposto junto com Intune RBAC quando você estiver carregando seus dispositivos Configuration Manager para o serviço de nuvem. Portanto, a caixa de seleção será marcada por padrão. Se você quiser impor apenas Intune RBAC, poderá desmarcar a caixa. No entanto, a aplicação de Intune RBAC só não se aplicará neste momento. As notas de versão e as novidades no Intune serão atualizadas quando você conseguir impor apenas Intune RBAC.

Importante

Quando você habilita o carregamento de dados da Análise de Ponto de Extremidade, as configurações padrão do cliente serão atualizadas automaticamente para permitir que os pontos de extremidade gerenciados enviem dados relevantes para o servidor do site Gerenciador de Configurações. Se você usar configurações personalizadas do cliente, talvez seja necessário atualizá-las e implantá-las novamente para que a coleta de dados ocorra. Para obter mais detalhes sobre isso, bem como configurar a coleta de dados, como limitar a coleta apenas a um conjunto específico de dispositivos, consulte a seção Configurando a coleta de dados de análise de Ponto de extremidade.

Captura de tela que mostra como carregar dispositivos no centro de administração do Microsoft Endpoint Manager.

  1. Entre com sua conta de Administrador Global quando solicitado.
  2. Clique em Sim para aceitar a notificação Criar aplicativo do AAD. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo do Azure AD para facilitar a sincronização.
  3. Clique em OK para sair das propriedades de co-gerenciamento depois de fazer alterações.

habilitar o carregamento do dispositivo quando o co-gerenciamento não estiver habilitado

Se você não tiver o co-gerenciamento habilitado, você usará o Assistente de Configuração de Anexação da Nuvem para habilitar o upload do dispositivo. Você pode carregar seus dispositivos sem habilitar o registro automático para cogerenciamento ou alternar cargas de trabalho para o Intune. Todos os dispositivos gerenciados pelo Configuration Manager que têm Sim na coluna Cliente serão carregados. Se necessário, você pode limitar o upload a uma única coleção de dispositivos. Se o co-gerenciamento já estiver habilitado em seu ambiente, Editar propriedades de co-gerenciamento para habilitar o upload do dispositivo. Antes de habilitar a anexação de locatário, verifique se os pré-requisitos para anexação de locatário foram atendidos.

Quando o co-gerenciamento não estiver habilitado, use as instruções abaixo para habilitar o upload do dispositivo:

  1. No console de administrador do Gerenciador de Configurações, acesse Administração>Visão Geral>Serviços de Nuvem>Co-gerenciamento. Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.

    • A partir Configuration Manager versão 2111, a experiência de integração de anexação do locatário mudou. O assistente de anexação de nuvem facilita a habilitar a anexação do locatário e outros recursos da nuvem. Você pode escolher um conjunto simplificado de padrões recomendados ou personalizar seus recursos de anexação de nuvem. Para obter mais informações sobre como habilitar a anexação de locatário com o novo assistente, consulte Habilitar anexação de nuvem.
  2. Na faixa de opções, selecione Configurar a Anexação da Nuvem para abrir o assistente. Para a versão 2103 e anteriores, selecione Configurar o co-gerenciamento para abrir o assistente.

  3. Na página de integração, selecione AzurePublicCloud para seu ambiente. A Nuvem do Azure Governamental e Azure China 21Vianet não têm suporte.

    • A partir da versão 2107, os clientes do governo dos EUA podem selecionar AzureUSGovernmentCloud.
  4. Selecione Entrar. Use sua conta de Administrador Global para entrar.

  5. Verifique se a opção Habilitar o centro de administração do Microsoft Endpoint Manager está selecionada na página Anexação da nuvem. Para a versão 2103 e versões anteriores, selecione a opção Carregar no centro de administração do Microsoft Endpoint Manager na página Integração de locatários.

    • A opção Habilitar o registro automático de cliente para co-gerenciamento não deverá estar marcada se você não desejar habilitar o co-gerenciamento agora. Se você quiser habilitar o cogerenciamento, selecione essa opção.
    • Se você habilitar o cogerenciamento junto com o upload do dispositivo, receberá páginas adicionais para concluir no assistente. Para saber mais, confira Habilitar o co-gerenciamento.

    Assistente de Configuração de Co-gerenciamento

  6. Clique em Avançar e depois em Sim para aceitar a notificação Criar Aplicativo do AAD. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo do Azure AD para facilitar a sincronização.

  7. Na página Configurar upload, defina a configuração de upload do dispositivo recomendada para Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Se necessário, você pode limitar o upload a uma única coleção de dispositivos.

    • Quando uma única coleção é selecionada, suas coleções filhas também são carregadas.
  8. Marque a opção para Habilitar a análise de ponto de extremidade para dispositivos carregados no Microsoft Endpoint Manager se você também quiser obter insights para otimizar a experiência do usuário final no Análise de Ponto de Extremidade.

  9. Selecione Resumo para analisar sua seleção e, em seguida, escolha Avançar.

  10. Quando o assistente for concluído, selecione Fechar.

Marcas de escopo

Os dispositivos anexados ao locatário recebem a marca de escopo padrão do Microsoft Intune. Se você remover a marca de escopo padrão de um dispositivo anexado ao locatário, o dispositivo não será exibido no Centro de Administração do Microsoft Endpoint Manager. Atualmente, os dispositivos conectados ao locatário não podem receber marcas de escopo, ao contrário dos dispositivos cogerenciados.

No entanto, às vezes você não deseja que determinadas funções do Intune vejam os dispositivos anexados ao locatário. Por exemplo, talvez você não queira que alguém com a função de Operador de Suporte Técnico do Intune veja os dispositivos anexados ao locatário porque são servidores. Nesses casos, crie ou use uma função personalizada no Intune que não tenha Padrão listado para suas Marcas de escopo. Ao criar funções personalizadas do Intune, lembre-se de que a marca de escopo padrão é adicionada automaticamente a todos os objetos não marcados.

Executar ações do dispositivo

  1. Em um navegador, navegue até endpoint.microsoft.com

  2. Selecione Dispositivos e depois Todos os dispositivos para ver os dispositivos carregados. Você verá ConfigMgr na coluna Gerenciado por para dispositivos carregados. Todos os dispositivos no Centro de Administração do Microsoft Endpoint Manager

  3. Selecione um dispositivo para carregar sua página Visão Geral.

  4. Escolha uma das seguintes ações:

    • Política de Sincronização do Computador
    • Sincronizar a Política do Usuário
    • Ciclo de Avaliação do Aplicativo

    Visão geral do dispositivo no Centro de Administração do Microsoft Endpoint Manager

Exibir o Gerenciador de Configurações do conector do console de administração

No Centro de administração do Microsoft Endpoint Manager, você pode examinar o status do seu conector do Gerenciador de Configurações. Para exibir o status do conector, acesse Administração de locatários>conectores e tokens>Microsoft Endpoint Configuration Manager. Selecione uma Gerenciador de Configurações para exibir informações adicionais sobre ela.

Conector do Microsoft Configuration Manager no centro de administração

Offboard da anexação de locatário

Embora possamos saber que os clientes obtêm um valor enorme ao habilitar o anexo de locatário, há casos raros em que talvez seja necessário transferir uma hierarquia. Você pode sair do console Gerenciador de Configurações (método recomendado) ou do Centro de administração do Microsoft Endpoint Manager.

Remoção do console Gerenciador de Configurações

Quando a anexação de locatário já estiver habilitada, edite as propriedades de co-gerenciamento para desabilitar o carregamento e a remoção do dispositivo.

  1. No console de administrador do Gerenciador de Configurações, acesse Administração>Visão Geral>Serviços de Nuvem>Co-gerenciamento.
    • Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.
  2. Na faixa de opções, selecione Propriedades para sua política de produção de co-gerenciamento.
  3. Na guia Configurar upload, remova a seleção Carregar para o Centro de Administração do Microsoft Endpoint Manager.
  4. Selecione Aplicar.

Remover do Centro de administração do Microsoft Endpoint Manager

Se necessário, você pode remover uma hierarquia Gerenciador de Configurações do Centro de administração do Microsoft Endpoint Manager. Por exemplo, talvez seja necessário remover do centro de administração após um cenário de recuperação de desastre em que o ambiente local foi removido. Siga as etapas abaixo para remover sua hierarquia do Configuration Manager do centro de administração do Microsoft Endpoint Manager:

  1. Entre no Centro de administração do Microsoft Endpoint Manager.
  2. Selecione Administração de locatário e, em seguida, Conectores e tokens.
  3. Selecione Microsoft Endpoint Configuration Manager.
  4. Escolha o nome do site que você gostaria de remover e, em seguida, selecione Excluir.
    • O conector pode estar listado como Desconhecido se as informações do site estiverem ausentes.

Quando você remove uma hierarquia do centro de administração, pode levar até duas horas para remover do Centro de administração do Microsoft Endpoint Manager. Se você remover um Gerenciador de Configurações 2103 ou posterior que esteja online e íntegro, o processo poderá levar apenas alguns minutos.

Observação

Se você estiver usando funções RBAC com o Intune personalizadas, será necessário conceder permissão Organização>Excluir para remover uma hierarquia.

Importar um aplicativo do Azure AD criado anteriormente (opcional)

Durante uma nova integração, um administrador pode especificar um aplicativo criado anteriormente durante a integração à anexação de locatário. Não compartilhe nem reutilize aplicativos do Azure AD em várias hierarquias. Se você tiver várias hierarquias, crie aplicativos separados do Azure AD para cada uma.

Na página de integração do Cloud Attach Configuration Wizard (Assistente de Configuração de Co-gerenciamento nas versões 2103 e anteriores), selecione Opcionalmente, importe um aplicativo Web separado para sincronizar dados do cliente do Gerenciador de Configurações com o centro de administração do Microsoft Endpoint Manager. Essa opção solicitará que você especifique as seguintes informações para seu aplicativo do Azure AD:

  • Nome do locatário do Azure AD
  • ID de locatário do Azure AD
  • Nome do aplicativo
  • ID do cliente
  • Chave secreta
  • Vencimento da chave secreta
  • URI da ID do Aplicativo

Importante

  • O URI da ID do Aplicativo deve usar um dos seguintes formatos:

    • api://{tenantId}/{string}, por exemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, por exemplo, https://contoso.onmicrosoft.com/ConfigMgrService

    Para obter mais informações sobre como criar um aplicativo do Microsoft Azure AD, consulte Configurar serviços do Azure.

  • Ao usar um aplicativo importado do Azure AD, você não será notificado da data de validade futura por meio das notificações do console.

Configuração e permissões de aplicativo do Azure AD

O uso de um aplicativo criado anteriormente durante a integração à anexação de locatário requer as seguintes permissões:

Próximas etapas