Partilhar via


Configurar a anexação de inquilinos para suportar políticas de segurança de ponto final do Intune

Quando utiliza o cenário de anexação de inquilinos do Configuration Manager, pode implementar políticas de segurança de ponto final do Intune em dispositivos que gere com o Configuration Manager. Para utilizar este cenário, primeiro tem de configurar a anexação de inquilinos para o Configuration Manager e ativar coleções de dispositivos do Configuration Manager para utilização com o Intune. Depois de as coleções estarem ativadas para utilização, utilize o centro de administração do Microsoft Intune para criar e implementar políticas.

Requisitos para utilizar a política do Intune para anexar inquilinos

Para suportar a utilização de políticas de segurança de ponto final do Intune com dispositivos do Configuration Manager, o ambiente do Configuration Manager requer as seguintes configurações. A documentação de orientação de configuração é fornecida neste artigo:

Requisitos gerais para a anexação de inquilinos

  • Configurar a anexação do inquilino – com o cenário de anexação do inquilino , sincroniza os dispositivos do Configuration Manager com o centro de administração do Microsoft Intune. Em seguida, pode utilizar o centro de administração para implementar políticas suportadas nessas coleções.

    A anexação de inquilinos é muitas vezes configurada com a cogestão, mas pode configurar a anexação do inquilino por si só.

  • Sincronizar dispositivos e coleções do Configuration Manager – depois de configurar a anexação do inquilino, pode selecionar os dispositivos do Configuration Manager para sincronizar com o centro de administração do Microsoft Intune. Também pode voltar mais tarde para modificar os dispositivos que sincroniza.

    Depois de selecionar dispositivos para sincronizar, tem de ativar as coleções para utilização com políticas de segurança de ponto final do Intune. As políticas suportadas para dispositivos do Configuration Manager só podem ser atribuídas a coleções que tenha ativado.

  • Permissões para o ID do Microsoft Entra – para concluir a configuração da anexação do inquilino, a sua conta tem de ter permissões de Administrador Global para a sua subscrição do Azure.

  • Inquilino do Microsoft Defender para Endpoint – o seu inquilino do Microsoft Defender para Endpoint tem de estar integrado com o seu inquilino do Microsoft Intune (subscrição do Microsoft Intune Plano 1). Veja Utilizar o Microsoft Defender para Endpoint na documentação do Intune.

Requisitos de versão do Configuration Manager para políticas de segurança de pontos finais do Intune

Antivírus

Gerir definições de Antivírus para dispositivos do Configuration Manager quando utiliza a anexação do inquilino.

Caminho da política:

  • Endpoint security > Antivirus > Windows (ConfigMgr)

Perfis:

  • Antivírus do Microsoft Defender (pré-visualização)
  • Experiência de Segurança do Windows (pré-visualização)

Versão necessária do Configuration Manager:

  • Configuration Manager versão atual do ramo 2006 ou posterior

Plataformas de dispositivos do Configuration Manager suportadas:

  • Windows 8.1 (x86, x64), a partir da versão 2010 do Configuration Manager
  • Windows 10 e posterior (x86, x64, ARM64)
  • Windows 11 e posterior (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), a partir da versão 2010 do Configuration Manager
  • Windows Server 2016 e posterior (x64)

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Detecção e resposta do ponto de extremidade

Para gerir as definições de política de deteção e resposta de Ponto final para dispositivos do Configuration Manager quando utiliza a anexação de inquilinos.

Plataforma: Windows (ConfigMgr)

Perfil: Deteção e resposta de pontos finais (ConfigMgr)

Versão necessária do Configuration Manager:

  • Configuration Manager atual versão do ramo 2002 ou posterior, com atualização na consola Configuration Manager 2002 Hotfix (KB4563473)
  • Configuration Manager technical preview 2003 ou posterior

Plataformas de dispositivos do Configuration Manager suportadas:

  • Windows 8.1 (x86, x64), começando com o Configuration Manager versão 2010
  • Windows 10 e posterior (x86, x64, ARM64)
  • Windows 11 e posterior (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), começando com o Gerenciador de Configurações versão 2010
  • Windows Server 2016 e posterior (x64)

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Firewall

O suporte para dispositivos geridos pelo Configuration Manager está em Pré-visualização.

Gerir definições de política de Firewall para dispositivos do Configuration Manager, quando utiliza a anexação do inquilino.

Caminho da política:

  • Firewall de segurança de pontos finais >

Perfis:

  • Firewall do Windows (ConfigMgr)

Versão necessária do Configuration Manager:

  • Configuration Manager atual versão do ramo 2006 ou posterior, com atualização na consola Configuration Manager 2006 Correção (KB4578605)

Plataformas de dispositivos do Configuration Manager suportadas:

  • Windows 11 e posterior (x86, x64, ARM64)
  • Windows 10 e posterior (x86, x64, ARM64)

Configurar o Configuration Manager para suportar políticas do Intune

Antes de implementar políticas do Intune em dispositivos do Configuration Manager, conclua as configurações detalhadas nas secções seguintes. Estas configurações integram os seus dispositivos do Configuration Manager com o Microsoft Defender para Endpoint e permitem-lhes trabalhar com as políticas do Intune.

As seguintes tarefas são concluídas na consola do Configuration Manager. Se não estiver familiarizado com o Configuration Manager, trabalhe com um administrador do Configuration Manager para concluir estas tarefas.

  1. Confirmar o ambiente do Configuration Manager
  2. Configurar a anexação e sincronização de dispositivos do inquilino
  3. Selecionar dispositivos a sincronizar
  4. Ativar coleções para políticas de segurança de ponto final

Dica

Para saber mais sobre como utilizar o Microsoft Defender para Endpoint com o Configuration Manager, veja os seguintes artigos no conteúdo do Configuration Manager:

Tarefa 1: Confirmar o ambiente do Configuration Manager

As políticas do Intune para dispositivos do Configuration Manager requerem versões mínimas diferentes do Configuration Manager, dependendo de quando a política foi lançada pela primeira vez. Reveja os requisitos de versão do Configuration Manager para as políticas de segurança de pontos finais do Intune encontradas anteriormente neste artigo para garantir que o seu ambiente suporta as políticas que planeia utilizar. Uma versão mais recente do Configuration Manager suporta políticas que requerem uma versão anterior.

Quando é necessária uma correção do Configuration Manager, pode encontrar a correção como uma atualização na consola do Configuration Manager. Para obter mais informações, veja Instalar atualizações na consola na documentação do Configuration Manager.

Depois de instalar as atualizações necessárias, regresse aqui para continuar a configurar o seu ambiente para suportar políticas de segurança de pontos finais a partir do centro de administração do Microsoft Intune.

Tarefa 2: Configurar a anexação e sincronização de dispositivos do inquilino

Com a anexação do inquilino, especifica coleções de dispositivos da implementação do Configuration Manager para sincronizar com o centro de administração do Microsoft Intune. Após a sincronização das coleções, utilize o centro de administração para ver informações sobre esses dispositivos e implementar a política de segurança de pontos finais do Intune nos mesmos.

Para obter mais informações sobre o cenário de anexação do inquilino, veja Ativar a anexação do inquilino no conteúdo do Configuration Manager.

Ativar a anexação do inquilino quando a cogestão não tiver sido ativada

Dica

Utilize o Assistente de Configuração de Cogestão na consola do Configuration Manager para ativar a anexação do inquilino, mas não precisa de ativar a cogestão.

Se planear ativar a cogestão, familiarize-se com a cogestão, os seus pré-requisitos e como gerir cargas de trabalho antes de continuar. Veja O que é a cogestão? na documentação do Configuration Manager.

  1. Na consola de administração do Configuration Manager, aceda a Administração Descrição>Geral> daCogestãodos Serviços> Cloud.

  2. Na faixa de opções, selecione Configurar cogerenciamento para abrir o assistente.

  3. Na página Integração de locatários, selecione AzurePublicCloud para seu ambiente. A cloud do Azure Government não é suportada.

    1. Selecione Entrar. Use sua conta de Administrador Global para entrar.

    2. Certifique-se de que a opção Carregar para o centro de administração do Microsoft Intune está selecionada na página Inclusão de inquilinos .

    3. Remova a verificação de Ativar inscrição automática de cliente para cogestão.

      Quando esta opção está selecionada, o Assistente apresenta páginas adicionais para concluir a configuração da cogestão. Para obter mais informações, veja Ativar a cogestão no conteúdo do Configuration Manager.

      Configurar a anexação do inquilino

  4. Selecione Seguinte e, em seguida, Sim para aceitar a notificação Criar Aplicação Microsoft Entra . Esta ação aprovisiona um principal de serviço e cria um registo de aplicação Microsoft Entra para facilitar a sincronização de coleções com o centro de administração do Microsoft Intune.

  5. Na página Configurar carregamento, configure as coleções de dispositivos que pretende sincronizar. Pode limitar a configuração a coleções de dispositivos ou utilizar a definição de carregamento de dispositivos recomendada para Todos os meus dispositivos geridos pelo Microsoft Endpoint Configuration Manager.

    Dica

    Pode ignorar a seleção de coleções agora e, posteriormente, utilizar as informações na seguinte tarefa, Tarefa 3, para configurar as coleções de dispositivos a sincronizar com o centro de administração do Microsoft Intune.

  6. Selecione Resumo para rever a sua seleção e, em seguida, selecione Seguinte.

  7. Quando o assistente for concluído, selecione Fechar.

A anexação do inquilino está agora configurada e os dispositivos selecionados são sincronizados com o centro de administração do Microsoft Intune.

Ativar a anexação do inquilino quando já utiliza a cogestão

  1. Na consola de administração do Configuration Manager, aceda a Administração Descrição>Geral> daCogestãodos Serviços> Cloud.

  2. Clique com o botão direito do rato nas definições de cogestão e selecione Propriedades.

  3. No separador Configurar carregamento, selecioneCarregar para o centro de administração do Microsoft Intune e, em seguida, Aplicar.

    A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Também pode optar por limitar a configuração a uma ou poucas coleções de dispositivos.

    Ver o separador de propriedades de cogestão

  4. Entre com sua conta de Administrador Global quando solicitado.

  5. Selecione Sim para aceitar a notificação Criar Aplicação Microsoft Entra . Esta ação aprovisiona um principal de serviço e cria um registo da aplicação Microsoft Entra para facilitar a sincronização.

  6. Selecione OK para sair das propriedades de cogestão, se tiver terminado de fazer alterações. Caso contrário, mude para a Tarefa 3 para ativar seletivamente o carregamento de dispositivos para o centro de administração do Microsoft Intune.

    A anexação do inquilino está agora configurada e os dispositivos selecionados são sincronizados com o centro de administração do Microsoft Intune.

Tarefa 3: selecionar dispositivos para sincronizar

Quando a anexação do inquilino estiver configurada, pode selecionar dispositivos a sincronizar. Se ainda não tiver sincronizado dispositivos ou precisar de reconfigurar os dispositivos que sincroniza, pode editar as propriedades da cogestão na consola do Configuration Manager para o fazer.

Selecionar dispositivos a carregar

  1. Na consola de administração do Configuration Manager, aceda a Administração Descrição>Geral> daCogestãodos Serviços> Cloud.

  2. Clique com o botão direito do rato nas definições de cogestão e selecione Propriedades.

  3. No separador Configurar carregamento, selecioneCarregar para o centro de administração do Microsoft Intune e, em seguida, Aplicar.

    A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Também pode optar por limitar a configuração a uma ou poucas coleções de dispositivos.

Tarefa 4: Ativar coleções para políticas de segurança de ponto final

Depois de configurar os dispositivos para sincronizar com o centro de administração do Microsoft Intune, tem de ativar as coleções para funcionarem com políticas de segurança de ponto final. Quando permite que as coleções de dispositivos funcionem com políticas de segurança de pontos finais do Intune, está a disponibilizar as coleções configuradas para serem direcionadas com políticas de segurança de ponto final.

Ativar coleções para utilização com políticas de segurança de ponto final

  1. A partir de uma consola do Configuration Manager ligada ao seu site de nível superior, clique com o botão direito do rato numa coleção de dispositivos que sincroniza com o centro de administração do Microsoft Intune e selecione Propriedades.

  2. No separador Sincronização da Cloud , ative a opção disponibilizar esta coleção para atribuir políticas de segurança de Ponto Final a partir do centro de administração do Microsoft Intune.

    Configurar a sincronização da cloud

  3. Selecione Adicionar e, em seguida, selecione o grupo Microsoft Entra que pretende sincronizar com Recolher resultados de associação.

  4. Selecione OK para guardar a configuração.

    Os dispositivos nesta coleção podem agora integrar-se com o Microsoft Defender para Endpoint e suportar a utilização de políticas de segurança de pontos finais do Intune.

Exibir o status do conector

O conector do Configuration Manager fornece detalhes sobre a implementação do Configuration Manager. No centro de administração do Microsoft Intune, pode rever os detalhes sobre o conector do Configuration Manager, como a última hora de sincronização bem-sucedida e o estado da ligação.

Para exibir o status do conector do Configuration Manager:

  1. Entre no centro de administração do Microsoft Intune.

  2. Selecione Conectores de administração>Locatários e tokens>Microsoft Endpoint Configuration Manager. Selecione uma hierarquia do Configuration Manager em execução na versão 2006 ou posterior para exibir informações adicionais sobre ela.

    Exibir o status do conector do Configuration Manager

    Observação

    Algumas informações não estarão disponíveis se a hierarquia estiver executando o Configuration Manager versão 2006 ou anterior.

Depois de confirmar que a ligação ao Configuration Manager a partir do Microsoft Intune está em bom estado de funcionamento, terá anexado com êxito o seu inquilino ao Configuration Manager.

Exibir detalhes do dispositivo

Pode ver os detalhes do cliente do Configuration Manager, incluindo coleções, associação a grupos de limites e informações de cliente para um dispositivo específico no centro de administração do Microsoft Intune.

Exibir detalhes do cliente com base no dispositivo

Use as etapas a seguir para exibir detalhes do cliente para um dispositivo específico:

  1. Num browser, navegue para o centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

    Os dispositivos que foram carregados com a anexação do inquilino apresentam o ConfigMgr na coluna Gerido por .

    Microsoft Intune - Todos os dispositivos

  3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

  4. Selecione Detalhes do cliente para ver mais detalhes.

    Uma vez por hora, os seguintes campos são atualizados:

    • Última solicitação de política
    • Última hora ativa
    • Ponto de gerenciamento

    Detalhes do cliente no centro de administração do Microsoft Intune

  5. Selecione Coleções para listar as coleções do cliente.

    As coleções ajudam a organizar recursos em unidades gerenciáveis.

    Coleções de clientes no centro de administração do Microsoft Intune

Exibir uma lista de dispositivos com base no usuário

Use as etapas a seguir para exibir uma lista de dispositivos que pertencem a um usuário:

  1. Num browser, navegue para o centro de administração do Microsoft Intune.

  2. Selecione Resolução de problemas + suporte>Resolução de problemas>Selecione utilizador.

    Se você já tiver um usuário selecionado, escolha Alterar usuário para selecionar um usuário diferente.

  3. Procure ou selecione um utilizador listado e, em seguida, clique em Selecionar.

    A tabela Dispositivos lista os dispositivos do Gerenciador de Configurações associados ao usuário.

Para obter mais informações sobre como exibir detalhes do cliente e anexação de locatário, consulte Anexação de locatário: detalhes do cliente do ConfigMgr no centro de administração.

Ver dados de dispositivos no local

No centro de administração do Microsoft Intune, pode ver o inventário de hardware para dispositivos do Configuration Manager carregados com o explorador de recursos.

Para exibir dados do dispositivo no gerenciador de recursos:

  1. Num browser, navegue para o centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

  3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

    Os dispositivos sincronizados através da anexação do inquilino apresentam o ConfigMgr na coluna Gerido por . Os dispositivos também podem apresentar Cogerido quando o Configuration Manager e o Intune se aplicam e apresentam o Intune apenas quando a gestão do Intune se aplica.

  4. Selecione Explorador de recursos para exibir o inventário do hardware.

  5. Pesquise ou selecione uma classe (um valor de dispositivo) para recuperar informações do cliente.

    Explorador de recursos no centro de administração do Microsoft Intune

O Explorador de Recursos pode apresentar uma vista histórica do inventário de dispositivos no centro de administração do Microsoft Intune. Quando estiver a resolver problemas, ter dados de inventário históricos pode fornecer informações valiosas sobre as alterações ao dispositivo.

  1. No centro de administração do Microsoft Intune, selecione Explorador de recursos se ainda não o tiver selecionado.

  2. Selecione uma classe (um valor de dispositivo).

  3. Insira uma data personalizada no seletor de data e hora para obter dados históricos de inventário.

    Captura de ecrã a mostrar a escolha de uma data no Explorador de recursos no centro de administração do Microsoft Intune

  4. Feche o explorador de recursos e regresse às informações do dispositivo ao selecionar o X ícone no canto superior direito do explorador de recursos.

    Fechar o explorador de recursos com o ícone x no centro de administração do Microsoft Intune

Para obter mais informações sobre como exibir dados do dispositivo para dispositivos de anexação de locatário, consulte Anexação de locatário: Gerenciador de recursos no centro de administração.

Ver a gestão de aplicações no local

A partir do centro de administração do Microsoft Intune, pode iniciar uma instalação da aplicação em tempo real para um dispositivo anexado a um inquilino. Você pode implantar um aplicativo em um dispositivo ou usuário. Além disso, pode reparar, reavaliar, reinstalar ou desinstalar uma aplicação.

Use as etapas a seguir para instalar um aplicativo em um dispositivo local:

  1. Num browser, navegue para o centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

  3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

    Conforme indicado anteriormente, os dispositivos que são sincronizados através da anexação do inquilino apresentam o ConfigMgr na coluna Gerido por . Os dispositivos apresentam a cogerição quando o Configuration Manager e o Intune se aplicam e apresentam o Intune quando aplica apenas a gestão do Intune.

  4. Selecione Aplicações para ver uma lista de aplicações aplicáveis.

  5. Selecione uma aplicação que não tenha sido instalada e, em seguida, selecione Instalar.

    Captura de ecrã da instalação da aplicação a partir do centro de administração do Microsoft Intune

Para obter mais informações sobre aplicativos e anexação de locatário, consulte Anexação de locatário: instalar um aplicativo do centro de administração.

Ver scripts no local

Você pode executar scripts do PowerShell da nuvem em um dispositivo individual gerenciado pelo Configuration Manager em tempo real. Também pode permitir que outras pessoas, como o Suporte Técnico, executem scripts do PowerShell. Isto proporciona todas as vantagens dos scripts do PowerShell que são definidos e aprovados pelo administrador do Configuration Manager para utilizar neste novo ambiente.

  1. Num browser, navegue para o centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

  3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

    Conforme indicado anteriormente, os dispositivos que são sincronizados através da anexação do inquilino apresentam o ConfigMgr na coluna Gerido por . Os dispositivos apresentam a cogerição quando o Configuration Manager e o Intune se aplicam e apresentam o Intune quando aplica apenas a gestão do Intune.

  4. Selecione Scripts para ver uma lista de scripts disponíveis.

    Os scripts que foram executados recentemente que foram diretamente direcionados para o dispositivo estão listados. A lista inclui scripts executados do centro de administração, do SDK ou do console do Gerenciador de Configurações. Os scripts iniciados a partir da consola do Configuration Manager relativamente às coleções que contêm o dispositivo não são apresentados, a menos que os scripts também tenham sido iniciados especificamente para o dispositivo único.

    Captura de ecrã da lista de scripts do centro de administração do Microsoft Intune

Para obter mais informações sobre como executar scripts em dispositivos anexados ao locatário, consulte Anexação de locatário: executar scripts do centro de administração.

Ver a linha cronológica de eventos do dispositivo no local

Quando o Configuration Manager sincroniza um dispositivo com o Microsoft Intune através da anexação de inquilinos, pode ver uma linha cronológica de eventos para esses dispositivos no centro de administração do Microsoft Intune. Esta linha do tempo mostra atividades passadas no dispositivo e podem ajudá-lo a solucionar problemas.

Uma vez por dia, o Configuration Manager envia os eventos do dispositivo no local para o centro de administração do Microsoft Intune. Somente os eventos coletados depois que o cliente recebe a política Habilitar a coleta de dados de análise de ponto de extremidade são visíveis no centro de administração. Você pode gerar eventos de teste facilmente instalando um aplicativo ou uma atualização do Gerenciador de Configurações ou reiniciando o dispositivo. Os eventos são mantidos por 30 dias.

Observação

Como pré-requisito para ver a linha cronológica a partir do centro de administração do Microsoft Intune, tem de definir Ativar a recolha de dados de Análise de Pontos Finais como Sim no Configuration Manager. Para obter mais informações sobre como implementar a linha do tempo do dispositivo, consulte Anexação de locatário: Linha do tempo do dispositivo no centro de administração.

Para exibir a linha do tempo do evento do dispositivo:

  1. Num browser, navegue para o centro de administração do Microsoft Intune.

  2. Selecione Dispositivos>Todos os dispositivos.

  3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

    Conforme indicado anteriormente, os dispositivos que são sincronizados através da anexação do inquilino apresentam o ConfigMgr na coluna Gerido por . Os dispositivos apresentam a cogerição quando o Configuration Manager e o Intune se aplicam e apresentam o Intune quando aplica apenas a gestão do Intune.

  4. Selecione Linha do Tempo. Por padrão, você verá eventos das últimas 24 horas.

    • Selecione Sincronização para buscar os dados recentes gerados no cliente. Por padrão, o dispositivo envia eventos uma vez por dia para o centro de administração.
    • Use o botão Filtrar para alterar o intervalo de tempo, Níveis de evento e nome do provedor.
    • Se selecionar um evento, pode ver a mensagem detalhada do mesmo.
    • Selecione Atualizar para recarregar a página e ver os eventos recém-coletados.

    Linha do tempo de eventos para um dispositivo

Para obter mais informações sobre como exibir eventos de dispositivo para dispositivos anexados ao locatário, consulte Anexação de locatário: linha do tempo do dispositivo no centro de administração.

Próximas etapas