Configurar o anexo do locatário para dar suporte a políticas de segurança de ponto de extremidade do Intune

Ao usar o cenário de anexação Configuration Manager locatário, você pode implantar políticas de segurança de ponto de extremidade do Intune em dispositivos que você gerencia com Configuration Manager. Para usar esse cenário, primeiro você deve configurar a anexação de locatário para Configuration Manager e habilitar coleções de dispositivos de Configuration Manager para uso com o Intune. Depois que as coleções estiverem habilitadas para uso, você usará o centro de administração Microsoft Intune para criar e implantar políticas.

Requisitos para usar a política do Intune para anexação de locatário

Para dar suporte ao uso de políticas de segurança do ponto de extremidade do Intune com dispositivos Configuration Manager, seu ambiente Configuration Manager requer as seguintes configurações. As diretrizes de configuração são fornecidas neste artigo:

Requisitos gerais para anexação de locatário

• Configurar a anexação de locatário – Com o cenário de anexação de locatário, você sincroniza dispositivos de Configuration Manager ao centro de administração do Microsoft Intune. Em seguida, você pode usar o centro de administração para implantar políticas com suporte nessas coleções.

  A anexação de locatário geralmente é configurada com o cogerenciamento, mas você pode configurar a anexação de locatário por conta própria.

• Sincronizar Configuration Manager dispositivos e coleções – depois de configurar a anexação do locatário, você pode selecionar os dispositivos Configuration Manager para sincronizar com Microsoft Intune centro de administração. Você também pode retornar mais tarde para modificar os dispositivos sincronizados.

  Depois de selecionar dispositivos para sincronizar, você deve habilitar coleções para uso com políticas de segurança de ponto de extremidade do Intune. Políticas com suporte para dispositivos Configuration Manager só podem ser atribuídas a coleções habilitadas.

• Permissões para Microsoft Entra ID – Para concluir a instalação do anexo do locatário, sua conta deve ter permissões do Administrador Global para sua assinatura do Azure.

• Locatário para Microsoft Defender para Ponto de Extremidade – seu locatário Microsoft Defender para Ponto de Extremidade deve ser integrado ao locatário do Microsoft Intune ( Microsoft Intune assinatura plano 1). Consulte Usar Microsoft Defender para Ponto de Extremidade na documentação do Intune.

Configuration Manager requisitos de versão para políticas de segurança do ponto de extremidade do Intune

Antivírus

Gerenciar configurações de Antivírus para dispositivos Configuration Manager quando você usar a anexação de locatário.

Caminho da política:

• Segurança do ponto de extremidade > Antivírus > Windows 10, Windows 11 e Windows Server (ConfigMgr)

Perfis:

• Microsoft Defender Antivírus (versão prévia)
• Segurança do Windows experiência (versão prévia)

Versão necessária do Configuration Manager:

• Configuration Manager branch atual versão 2006 ou posterior

Plataformas de dispositivo Configuration Manager com suporte:

• Windows 8.1 (x86, x64), começando no Configuration Manager versão 2010
• Windows 10 e posterior (x86, x64, ARM64)
• Windows 11 e posterior (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), começando no Configuration Manager versão 2010
• Windows Server 2016 e posterior (x64)

Importante

Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.

Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.

Detecção e resposta do ponto de extremidade

Gerenciar configurações de política de resposta e detecção de ponto de extremidade para dispositivos Configuration Manager quando você usa a anexação de locatário.

Caminho da política:

• Detecção e resposta de ponto de extremidade > de segurança > do ponto de extremidade Windows 10, Windows 11 e Windows Server (ConfigMgr)

Perfis:

• Detecção e resposta de ponto de extremidade (ConfigMgr) (Versão prévia)

Versão necessária do Configuration Manager:

• Configuration Manager versão atual do branch 2002 ou posterior, com atualização no console Configuration Manager Hotfix 2002 (KB4563473)
• Configuration Manager versão prévia técnica 2003 ou posterior

Plataformas de dispositivo Configuration Manager com suporte:

• Windows 8.1 (x86, x64), começando com o Configuration Manager versão 2010
• Windows 10 e posterior (x86, x64, ARM64)
• Windows 11 e posterior (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), começando com o Gerenciador de Configurações versão 2010
• Windows Server 2016 e posterior(x64)

Importante

Em 22 de outubro de 2022, Microsoft Intune encerrou o suporte para dispositivos que executam Windows 8.1. A assistência técnica e as atualizações automáticas nesses dispositivos não estão disponíveis.

Se você usar Windows 8.1 no momento, recomendamos mudar para dispositivos Windows 10/11. Microsoft Intune tem recursos internos de segurança e dispositivo que gerenciam dispositivos cliente Windows 10/11.

Firewall

O suporte para dispositivos gerenciados por Configuration Manager está em Versão Prévia.

Gerenciar configurações de política de firewall para dispositivos Configuration Manager quando você usa a anexação de locatário.

Caminho da política:

• Firewall > de segurança > do ponto de extremidade Windows 10 e posterior

Perfis:

• Firewall do Windows (ConfigMgr)

Versão necessária do Configuration Manager:

• Configuration Manager versão atual do branch 2006 ou posterior, com atualização no console Configuration Manager Hotfix 2006 (KB4578605)

Plataformas de dispositivo Configuration Manager com suporte:

• Windows 11 e posterior (x86, x64, ARM64)
• Windows 10 e posterior (x86, x64, ARM64)

Configurar Configuration Manager para dar suporte a políticas do Intune

Antes de implantar políticas do Intune para Configuration Manager dispositivos, conclua as configurações detalhadas nas seções a seguir. Essas configurações integram seus dispositivos Configuration Manager com Microsoft Defender para Ponto de Extremidade e permitem que eles trabalhem com as políticas do Intune.

As tarefas a seguir são concluídas no console Configuration Manager. Se você não estiver familiarizado com Configuration Manager, trabalhe com um administrador Configuration Manager para concluir essas tarefas.

1. Confirmar seu ambiente de Configuration Manager
2. Configurar dispositivos de anexação e sincronização de locatários
3. Selecionar dispositivos para sincronizar
4. Habilitar coleções para políticas de segurança de ponto de extremidade

Dica

Para saber mais sobre como usar Microsoft Defender para Ponto de Extremidade com Configuration Manager, confira os seguintes artigos no conteúdo Configuration Manager:

• Integrar Configuration Manager clientes a Microsoft Defender para Ponto de Extremidade por meio do centro de administração Microsoft Intune
• Microsoft Intune anexação de locatário: sincronização do dispositivo e ações do dispositivo

Tarefa 1: confirmar seu ambiente de Configuration Manager

As políticas do Intune para dispositivos Configuration Manager exigem versões mínimas diferentes de Configuration Manager, dependendo de quando a política foi lançada pela primeira vez. Examine os requisitos de versão Configuration Manager para as políticas de segurança do ponto de extremidade do Intune encontradas anteriormente neste artigo para garantir que seu ambiente dê suporte às políticas que você planeja usar. Uma versão mais recente do Configuration Manager dá suporte a políticas que exigem uma versão anterior.

Quando um hotfix Configuration Manager for necessário, você pode encontrar o hotfix como uma atualização no console para Configuration Manager. Para obter mais informações, consulte Instalar atualizações no console na documentação Configuration Manager.

Depois de instalar as atualizações necessárias, retorne aqui para continuar configurando seu ambiente para dar suporte a políticas de segurança do ponto de extremidade do centro de administração Microsoft Intune.

Tarefa 2: configurar dispositivos de anexação e sincronização de locatários

Com o anexo do locatário, você especifica coleções de dispositivos de sua implantação Configuration Manager para sincronizar com o Microsoft Intune centro de administração. Após a sincronização das coleções, use o centro de administração para exibir informações sobre esses dispositivos e implantar a política de segurança do ponto de extremidade do Intune para eles.

Para obter mais informações sobre o cenário de anexação do locatário, consulte Habilitar anexação de locatário no conteúdo Configuration Manager.

Habilitar a anexação de locatário quando o cogerenciamento não tiver sido habilitado

Dica

Você usa o Assistente de Configuração de Cogerenciamento no console Configuration Manager para habilitar a anexação de locatário, mas não precisa habilitar o cogerenciamento.

Se você planeja habilitar o cogerenciamento, esteja familiarizado com o cogerenciamento, seus pré-requisitos e como gerenciar cargas de trabalho antes de continuar. Veja O que é o cogerenciamento? na documentação Configuration Manager.

1. No console de administração Configuration Manager, acesseVisão geral> da administração>Serviços de Nuvem>Cogerenciamento.

2. Na faixa de opções, selecione Configurar cogerenciamento para abrir o assistente.

3. Na página Integração de locatários, selecione AzurePublicCloud para seu ambiente. não há suporte para Azure Governamental nuvem.

   1. Selecione Entrar. Use sua conta de Administrador Global para entrar.

   2. Verifique se a opção Carregar em Microsoft Intune centro de administração está selecionada na página De integração do locatário.

   3. Remova o marcar de Habilitar o registro automático do cliente para cogerenciamento.

      Quando essa opção é selecionada, o Assistente apresenta páginas extras para concluir a instalação do cogerenciamento. Para obter mais informações, consulte Habilitar o cogerenciamento no conteúdo Configuration Manager.

      

4. Selecione Avançar e sim para aceitar a notificação Criar Microsoft Entra Aplicativo. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo Microsoft Entra para facilitar a sincronização das coleções com o centro de administração Microsoft Intune.

5. Na página Configurar upload, configure quais coleções de dispositivos você deseja sincronizar. Você pode limitar sua configuração a coleções de dispositivos ou usar a configuração de carregamento de dispositivo recomendada para Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager.

   Dica

   Você pode ignorar a seleção de coleções agora e, posteriormente, usar as informações na tarefa a seguir, Tarefa 3, para configurar quais coleções de dispositivos sincronizar com o Microsoft Intune centro de administração.

6. Selecione Resumo para examinar sua seleção e selecione Avançar.

7. Quando o assistente for concluído, selecione Fechar.

O anexo do locatário agora está configurado e os dispositivos selecionados sincronizam com Microsoft Intune centro de administração.

Habilitar a anexação de locatário quando você já usa o cogerenciamento

1. No console de administração Configuration Manager, acesseVisão geral> da administração>Serviços de Nuvem>Cogerenciamento.

2. Clique com o botão direito do mouse em suas configurações de cogerenciamento e selecione Propriedades.

3. Na guia Configurar upload, selecioneCarregar para Microsoft Intune centro de administração e, em seguida, Aplicar.

   A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Você também pode optar por limitar sua configuração a uma ou poucas coleções de dispositivos.

   

4. Entre com sua conta de Administrador Global quando solicitado.

5. Selecione Sim para aceitar a notificação Criar Microsoft Entra Aplicativo. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo Microsoft Entra para facilitar a sincronização.

6. Selecione OK para sair das propriedades de cogerenciamento se você terminar de fazer alterações. Caso contrário, mova para a Tarefa 3 para habilitar seletivamente o carregamento do dispositivo para o centro de administração Microsoft Intune.

   O anexo do locatário agora está configurado e os dispositivos selecionados sincronizam com Microsoft Intune centro de administração.

Tarefa 3: selecionar dispositivos para sincronizar

Quando a anexação de locatário é configurada, você pode selecionar dispositivos para sincronização. Se você ainda não tiver sincronizado dispositivos ou precisar reconfigurar quais são sincronizados, poderá editar as propriedades do cogerenciamento no console Configuration Manager para fazê-lo.

Selecionar dispositivos para carregar

1. No console de administração Configuration Manager, acesseVisão geral> da administração>Serviços de Nuvem>Cogerenciamento.

2. Clique com o botão direito do mouse em suas configurações de cogerenciamento e selecione Propriedades.

3. Na guia Configurar upload, selecioneCarregar para Microsoft Intune centro de administração e, em seguida, Aplicar.

   A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Você também pode optar por limitar sua configuração a uma ou poucas coleções de dispositivos.

Tarefa 4: habilitar coleções para políticas de segurança de ponto de extremidade

Depois de configurar dispositivos para sincronizar com Microsoft Intune centro de administração, você deve habilitar as coleções para trabalhar com políticas de segurança do ponto de extremidade. Ao habilitar coleções de dispositivos para trabalhar com políticas de segurança de ponto de extremidade do Intune, você está disponibilizando as coleções configuradas para serem direcionadas com políticas de segurança do ponto de extremidade.

Habilitar coleções para uso com políticas de segurança de ponto de extremidade

1. Em um console Configuration Manager conectado ao seu site de nível superior, clique com o botão direito do mouse em uma coleção de dispositivos que você sincroniza para Microsoft Intune centro de administração e selecione Propriedades.

2. Na guia Sincronização de Nuvem, habilite a opção de disponibilizar essa coleção para atribuir políticas de segurança do Ponto de Extremidade de Microsoft Intune centro de administração.

   • Você não poderá selecionar essa opção se sua hierarquia de Configuration Manager não estiver anexada ao locatário.
   • As coleções disponíveis para essa opção são limitadas pelo escopo de coleção selecionado para carregamento de anexação de locatário.

   

3. Selecione Adicionar e selecione o grupo Microsoft Entra que você gostaria de sincronizar com Coletar resultados de associação.

4. Selecione OK para salvar a configuração.

   Os dispositivos desta coleção agora podem integrar com Microsoft Defender para Ponto de Extremidade e dar suporte ao uso de políticas de segurança do ponto de extremidade do Intune.

Exibir o status do conector

O conector do Configuration Manager fornece detalhes sobre a implementação do Configuration Manager. No centro de administração Microsoft Intune, você pode examinar detalhes sobre o conector Configuration Manager, como o último tempo de sincronização bem-sucedido e o status de conexão.

Para exibir o status do conector do Configuration Manager:

1. Entre no centro de administração Microsoft Intune.

2. Selecione Conectores de administração>Locatários e tokens>Microsoft Endpoint Configuration Manager. Selecione uma hierarquia do Configuration Manager em execução na versão 2006 ou posterior para exibir informações adicionais sobre ela.

   

   Observação

   Algumas informações não estarão disponíveis se a hierarquia estiver executando o Configuration Manager versão 2006 ou anterior.

Depois de confirmar que sua conexão com Configuration Manager do Microsoft Intune é Saudável, você anexou com êxito seu locatário ao Configuration Manager.

Exibir detalhes do dispositivo

Você pode exibir Configuration Manager detalhes do cliente, incluindo coleções, associação de grupo de limites e informações do cliente para um dispositivo específico no centro de administração Microsoft Intune.

Exibir detalhes do cliente com base no dispositivo

Use as etapas a seguir para exibir detalhes do cliente para um dispositivo específico:

1. Em um navegador, navegue até Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

   Dispositivos que foram carregados usando a exibição de anexação de locatário ConfigMgr na coluna Gerenciado por .

   

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

4. Selecione Detalhes do cliente para ver mais detalhes.

   Uma vez por hora, os seguintes campos são atualizados:

   • Última solicitação de política
   • Última hora ativa
   • Ponto de gerenciamento

   

5. Selecione Coleções para listar as coleções do cliente.

   As coleções ajudam a organizar recursos em unidades gerenciáveis.

   

Exibir uma lista de dispositivos com base no usuário

Use as etapas a seguir para exibir uma lista de dispositivos que pertencem a um usuário:

1. Em um navegador, navegue até Microsoft Intune centro de administração.

2. Selecione Solução de problemas + suporte>Solucionar> problemasSelecione usuário.

   Se você já tiver um usuário selecionado, escolha Alterar usuário para selecionar um usuário diferente.

3. Pesquise ou selecione um usuário listado e clique em Selecionar.

   A tabela Dispositivos lista os dispositivos do Gerenciador de Configurações associados ao usuário.

Para obter mais informações sobre como exibir detalhes do cliente e anexação de locatário, consulte Anexação de locatário: detalhes do cliente do ConfigMgr no centro de administração.

Exibir dados do dispositivo local

No centro de administração Microsoft Intune, você pode exibir o inventário de hardware para dispositivos Configuration Manager carregados usando o gerenciador de recursos.

Para exibir dados do dispositivo no gerenciador de recursos:

1. Em um navegador, navegue até Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Dispositivos sincronizados por meio da exibição de anexação de locatário ConfigMgr na coluna Gerenciado por . Os dispositivos também podem exibir o cogerenciado quando Configuration Manager e o Intune se aplicam e exibir o Intune quando apenas o gerenciamento do Intune se aplica.

4. Selecione Explorador de recursos para exibir o inventário do hardware.

5. Pesquise ou selecione uma classe (um valor de dispositivo) para recuperar informações do cliente.

   

O gerenciador de recursos pode exibir uma exibição histórica do inventário do dispositivo no centro de administração Microsoft Intune. Quando você está solução de problemas, ter dados históricos de inventário pode fornecer informações valiosas sobre alterações no dispositivo.

1. No centro de administração Microsoft Intune, selecione Gerenciador de recursos se você ainda não o tiver selecionado.

2. Selecione uma classe (um valor de dispositivo).

3. Insira uma data personalizada no seletor de data e hora para obter dados históricos de inventário.

   

4. Feche o gerenciador de recursos e retorne às informações do dispositivo selecionando o X ícone no canto superior direito do gerenciador de recursos.

   

Para obter mais informações sobre como exibir dados do dispositivo para dispositivos de anexação de locatário, consulte Anexação de locatário: Gerenciador de recursos no centro de administração.

Exibir o gerenciamento de aplicativos local

No centro de administração Microsoft Intune, você pode iniciar uma instalação de aplicativo em tempo real para um dispositivo anexado ao locatário. Você pode implantar um aplicativo em um dispositivo ou usuário. Além disso, você pode reparar, reavaliar, reinstalar ou desinstalar um aplicativo.

Use as etapas a seguir para instalar um aplicativo em um dispositivo local:

1. Em um navegador, navegue até Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Conforme observado anteriormente, os dispositivos que sincronizam por meio da anexação de locatário exibem ConfigMgr na coluna Gerenciado por . Os dispositivos exibem o cogerenciado quando Configuration Manager e o Intune se aplicam e exibem o Intune quando apenas o gerenciamento do Intune se aplica.

4. Selecione Aplicativos para exibir uma lista de aplicativos aplicáveis.

5. Selecione um aplicativo que não foi instalado e selecione Instalar.

   

Para obter mais informações sobre aplicativos e anexação de locatário, consulte Anexação de locatário: instalar um aplicativo do centro de administração.

Exibir scripts locais

Você pode executar scripts do PowerShell da nuvem em um dispositivo individual gerenciado pelo Configuration Manager em tempo real. Você também pode permitir que outras personas, como o Helpdesk, executem scripts do PowerShell. Isso oferece todos os benefícios dos scripts do PowerShell definidos e aprovados pelo Configuration Manager administrador a ser usado neste novo ambiente.

1. Em um navegador, navegue até Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Conforme observado anteriormente, os dispositivos que sincronizam por meio da anexação de locatário exibem ConfigMgr na coluna Gerenciado por . Os dispositivos exibem o cogerenciado quando Configuration Manager e o Intune se aplicam e exibem o Intune quando apenas o gerenciamento do Intune se aplica.

4. Selecione Scripts para exibir uma lista de scripts disponíveis.

   Scripts que foram executados recentemente que tinham como destino diretamente o dispositivo estão listados. A lista inclui scripts executados do centro de administração, do SDK ou do console do Gerenciador de Configurações. Scripts iniciados do console Configuration Manager em relação a coleções que contêm o dispositivo não são mostrados, a menos que os scripts também tenham sido iniciados especificamente para o dispositivo único.

   

Para obter mais informações sobre como executar scripts em dispositivos anexados ao locatário, consulte Anexação de locatário: executar scripts do centro de administração.

Exibir linha do tempo de eventos do dispositivo local

Quando Configuration Manager sincroniza um dispositivo para Microsoft Intune por meio da anexação de locatário, você pode ver uma linha do tempo de eventos para esses dispositivos no centro de administração Microsoft Intune. Esta linha do tempo mostra atividades passadas no dispositivo e podem ajudá-lo a solucionar problemas.

Uma vez por dia Configuration Manager envia os eventos do dispositivo local para o centro de administração Microsoft Intune. Somente os eventos coletados depois que o cliente recebe a política Habilitar a coleta de dados de análise de ponto de extremidade são visíveis no centro de administração. Você pode gerar eventos de teste facilmente instalando um aplicativo ou uma atualização do Gerenciador de Configurações ou reiniciando o dispositivo. Os eventos são mantidos por 30 dias.

Observação

Como um pré-requisito para exibir o linha do tempo do centro de administração Microsoft Intune, você deve definir Habilitar a coleta de dados de análise do Ponto de Extremidade como Sim em Configuration Manager. Para obter mais informações sobre como implementar a linha do tempo do dispositivo, consulte Anexação de locatário: Linha do tempo do dispositivo no centro de administração.

Para exibir a linha do tempo do evento do dispositivo:

1. Em um navegador, navegue até Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Conforme observado anteriormente, os dispositivos que sincronizam por meio da anexação de locatário exibem ConfigMgr na coluna Gerenciado por . Os dispositivos exibem o cogerenciado quando Configuration Manager e o Intune se aplicam e exibem o Intune quando apenas o gerenciamento do Intune se aplica.

4. Selecione Linha do Tempo. Por padrão, você verá eventos das últimas 24 horas.

   • Selecione Sincronização para buscar os dados recentes gerados no cliente. Por padrão, o dispositivo envia eventos uma vez por dia para o centro de administração.
   • Use o botão Filtrar para alterar o intervalo de tempo, Níveis de evento e nome do provedor.
   • Se você selecionar um evento, poderá exibir a mensagem detalhada para ele.
   • Selecione Atualizar para recarregar a página e ver os eventos recém-coletados.

   

Para obter mais informações sobre como exibir eventos de dispositivo para dispositivos anexados ao locatário, consulte Anexação de locatário: linha do tempo do dispositivo no centro de administração.

Próximas etapas

• Configure políticas de segurança do Ponto de Extremidade para Detecção e respostade Antivírus, Firewall e Ponto de Extremidade.

• Saiba mais sobre Microsoft Defender para Ponto de Extremidade.