Настройка подключения клиента для поддержки политик безопасности конечных точек из Intune

При использовании сценария подключения клиента Configuration Manager можно развернуть политики безопасности конечных точек из Intune на устройствах, которыми вы управляете с помощью Configuration Manager. Чтобы использовать этот сценарий, необходимо сначала настроить подключение клиента для Configuration Manager и включить коллекции устройств из Configuration Manager для использования с Intune. После включения коллекций для использования вы используете центр администрирования Microsoft Intune для создания и развертывания политик.

Требования к использованию политики Intune для присоединения клиента

Для поддержки использования политик безопасности конечных точек Intune с Configuration Manager устройствами Configuration Manager среде требуются следующие конфигурации. Рекомендации по настройке приведены в этой статье:

Общие требования к подключению клиента

• Настройка подключения клиента. В сценарии присоединения клиента вы синхронизируете устройства из Configuration Manager в Центр администрирования Microsoft Intune. Затем вы можете использовать Центр администрирования для развертывания поддерживаемых политик в этих коллекциях.

  Подключение клиента часто настраивается с помощью совместного управления, но вы можете настроить подключение клиента самостоятельно.

• Синхронизация Configuration Manager устройств и коллекций. После настройки подключения клиента можно выбрать Configuration Manager устройства для синхронизации с Microsoft Intune Центре администрирования. Вы также можете вернуться позже, чтобы изменить синхронизируемые устройства.

  После выбора устройств для синхронизации необходимо включить коллекции для использования с политиками безопасности конечных точек из Intune. Поддерживаемые политики для Configuration Manager устройств можно назначать только включенным коллекциям.

• Разрешения на Microsoft Entra идентификатор. Чтобы завершить настройку присоединения клиента, ваша учетная запись должна иметь разрешения глобального администратора для подписки Azure.

• Клиент для Microsoft Defender для конечной точки — клиент Microsoft Defender для конечной точки должен быть интегрирован с клиентом Microsoft Intune (Microsoft Intune план 1 подписка). См. раздел Использование Microsoft Defender для конечной точки документации по Intune.

Configuration Manager требования к версии для политик безопасности конечных точек Intune

антивирусная программа

Управление параметрами антивирусной программы для Configuration Manager устройств при использовании подключения клиента.

Путь к политике:

• > Антивирусная > Windows 10 безопасности конечных точек, Windows 11 и Windows Server (ConfigMgr)

Профили:

• Антивирусная программа Microsoft Defender (предварительная версия)
• интерфейс Безопасность Windows (предварительная версия)

Требуемая версия Configuration Manager:

• Configuration Manager текущей версии ветви 2006 или более поздней

Поддерживаемые платформы устройств Configuration Manager:

• Windows 8.1 (x86, x64), начиная с Configuration Manager версии 2010
• Windows 10 и более поздних версий (x86, x64, ARM64)
• Windows 11 и более поздних версий (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), начиная с Configuration Manager версии 2010
• Windows Server 2016 и более поздних версий (x64)

Важно!

22 октября 2022 г. Microsoft Intune прекращена поддержка устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Обнаружение и нейтрализация атак на конечные точки

Управление параметрами политики обнаружения конечных точек и реагирования для Configuration Manager устройств при использовании подключения клиента.

Путь к политике:

• > Обнаружение конечных точек безопасности конечных точек и реагирование > Windows 10, Windows 11 и Windows Server (ConfigMgr)

Профили:

• Обнаружение и ответ конечной точки (ConfigMgr) (предварительная версия)

Требуемая версия Configuration Manager:

• Configuration Manager текущей версии ветви 2002 или более поздней с обновлением в консоли Configuration Manager исправление 2002 (KB4563473)
• Configuration Manager technical preview 2003 или более поздней версии

Поддерживаемые платформы устройств Configuration Manager:

• Windows 8.1 (x86, x64) начиная с Configuration Manager 2010
• Windows 10 и более поздних версий (x86, x64, ARM64)
• Windows 11 и более поздних версий (x86, x64, ARM64)
• Windows Server 2012 R2 (x64) начиная с Configuration Manager версии 2010
• Windows Server 2016 и более поздних версий(x64)

Важно!

22 октября 2022 г. Microsoft Intune прекращена поддержка устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Брандмауэр

Поддержка устройств, управляемых Configuration Manager, доступна в предварительной версии.

Управление параметрами политики брандмауэра для Configuration Manager устройств при использовании подключения клиента.

Путь к политике:

• Брандмауэр > безопасности > конечных точек Windows 10 и более поздних версий

Профили:

• Брандмауэр Windows (ConfigMgr)

Требуемая версия Configuration Manager:

• Configuration Manager текущей версии ветви 2006 или более поздней с обновлением в консоли Configuration Manager исправление 2006 (KB4578605)

Поддерживаемые платформы устройств Configuration Manager:

• Windows 11 и более поздних версий (x86, x64, ARM64)
• Windows 10 и более поздних версий (x86, x64, ARM64);

Настройка Configuration Manager для поддержки политик Intune

Прежде чем развертывать политики Intune на Configuration Manager устройствах, выполните конфигурации, описанные в следующих разделах. Эти конфигурации подключены к устройствам Configuration Manager с помощью Microsoft Defender для конечной точки и позволяют им работать с политиками Intune.

Следующие задачи выполняются в консоли Configuration Manager. Если вы не знакомы с Configuration Manager, обратитесь к администратору Configuration Manager, чтобы выполнить эти задачи.

1. Подтверждение среды Configuration Manager
2. Настройка подключения клиентов и синхронизации устройств
3. Выбор устройств для синхронизации
4. Включение коллекций для политик безопасности конечных точек

Совет

Дополнительные сведения об использовании Microsoft Defender для конечной точки с Configuration Manager см. в следующих статьях в содержимом Configuration Manager:

• Подключение клиентов Configuration Manager к Microsoft Defender для конечной точки через Центр администрирования Microsoft Intune
• подключение клиента Microsoft Intune: синхронизация устройств и действия устройства

Задача 1. Подтверждение Configuration Manager среды

Для политик Intune для Configuration Manager устройств требуются разные минимальные версии Configuration Manager в зависимости от того, когда политика была впервые выпущена. Ознакомьтесь с требованиями к версии Configuration Manager для политик безопасности конечных точек Intune, приведенными ранее в этой статье, чтобы убедиться, что ваша среда поддерживает политики, которые вы планируете использовать. Более поздняя версия Configuration Manager поддерживает политики, для которых требуется более ранняя версия.

Если требуется исправление Configuration Manager, его можно найти в качестве обновления в консоли для Configuration Manager. Дополнительные сведения см. в разделе Установка обновлений в консоли в документации по Configuration Manager.

После установки необходимых обновлений вернитесь сюда, чтобы продолжить настройку среды для поддержки политик безопасности конечных точек из центра администрирования Microsoft Intune.

Задача 2. Настройка подключения клиентов и синхронизации устройств

При подключении клиента вы указываете коллекции устройств из развертывания Configuration Manager для синхронизации с центром администрирования Microsoft Intune. После синхронизации коллекций используйте Центр администрирования, чтобы просмотреть сведения об этих устройствах и развернуть на них политику безопасности конечных точек из Intune.

Дополнительные сведения о сценарии присоединения клиента см. в статье Включение присоединения клиента в Configuration Manager содержимом.

Включение подключения клиента, если совместное управление не включено

Совет

Мастер настройки совместного управления используется в консоли Configuration Manager для включения подключения клиента, но включать совместное управление не требуется.

Если вы планируете включить совместное управление, ознакомьтесь с совместным управлением, его предварительными условиями и управлением рабочими нагрузками, прежде чем продолжить. См. раздел Что такое совместное управление? в документации по Configuration Manager.

1. В консоли администрирования Configuration Manager перейдите в разделОбзор>администрирования>Облачные службы>Коуправления.

2. На ленте выберите Настройка совместного управления для открытия мастера.

3. На странице Подключение клиента выберите AzurePublicCloud для своей среды. Azure для государственных организаций облако не поддерживается.

   1. Нажмите Войти. Чтобы войти, используйте свою учетную запись глобального администратора.

   2. Убедитесь, что на странице Подключение клиента выбран параметр Отправить в центр администрирования Microsoft Intune.

   3. Удалите проверка из параметра Включить автоматическую регистрацию клиента для совместного управления.

      Если выбран этот параметр, мастер отображает дополнительные страницы для завершения настройки совместного управления. Дополнительные сведения см. в разделе Включение совместного управления в содержимом Configuration Manager.

      

4. Нажмите кнопку Далее, а затем — Да, чтобы принять уведомление о создании Microsoft Entra приложения. Это действие подготавливает субъект-службу и создает Microsoft Entra регистрации приложения для упрощения синхронизации коллекций с центром администрирования Microsoft Intune.

5. На странице Настройка отправки настройте коллекции устройств, которые требуется синхронизировать. Вы можете ограничить конфигурацию коллекциями устройств или использовать рекомендуемый параметр отправки устройств для всех моих устройств, управляемых microsoft Endpoint Configuration Manager.

   Совет

   Вы можете пропустить выбор коллекций сейчас, а затем использовать сведения в следующей задаче, задаче 3, чтобы настроить, какие коллекции устройств следует синхронизировать с Microsoft Intune Центре администрирования.

6. Выберите Сводка , чтобы просмотреть выбранный вариант, а затем нажмите кнопку Далее.

7. По завершении работы мастера нажмите Закрыть.

Подключение клиента теперь настроено, а выбранные устройства синхронизируются с Microsoft Intune Центре администрирования.

Включение подключения клиента, если вы уже используете совместное управление

1. В консоли администрирования Configuration Manager перейдите в разделОбзор>администрирования>Облачные службы>Коуправления.

2. Щелкните правой кнопкой мыши параметры совместного управления и выберите Свойства.

3. На вкладке Настройка отправки выберите Отправить в центр администрирования Microsoft Intune, а затем — Применить.

   Параметр по умолчанию для отправки устройств — Все мои устройства под управлением Microsoft Endpoint Configuration Manager. Вы также можете ограничить конфигурацию одной или несколькими коллекциями устройств.

   

4. Выполните вход с помощью учетной записи глобального администратора при появлении соответствующего запроса.

5. Выберите Да, чтобы принять уведомление о создании приложения Microsoft Entra. Это действие подготавливает субъект-службу и создает Microsoft Entra регистрации приложения для упрощения синхронизации.

6. Нажмите кнопку ОК , чтобы выйти из свойств совместного управления, если вы завершили внесение изменений. В противном случае перейдите к задаче 3, чтобы выборочно включить отправку устройств в центр администрирования Microsoft Intune.

   Подключение клиента теперь настроено, а выбранные устройства синхронизируются с Microsoft Intune Центре администрирования.

Задача 3. Выбор устройств для синхронизации

Если подключение клиента настроено, можно выбрать устройства для синхронизации. Если вы еще не синхронизировали устройства или вам нужно перенастроить, какие из них вы синхронизируете, вы можете изменить свойства совместного управления в консоли Configuration Manager.

Выбор устройств для отправки

1. В консоли администрирования Configuration Manager перейдите в разделОбзор>администрирования>Облачные службы>Коуправления.

2. Щелкните правой кнопкой мыши параметры совместного управления и выберите Свойства.

3. На вкладке Настройка отправки выберите Отправить в центр администрирования Microsoft Intune, а затем — Применить.

   Параметр по умолчанию для отправки устройств — Все мои устройства под управлением Microsoft Endpoint Configuration Manager. Вы также можете ограничить конфигурацию одной или несколькими коллекциями устройств.

Задача 4. Включение коллекций для политик безопасности конечных точек

После настройки устройств для синхронизации с Microsoft Intune Центре администрирования необходимо включить коллекции для работы с политиками безопасности конечных точек. Когда вы включаете коллекции устройств для работы с политиками безопасности конечных точек из Intune, вы делаете настроенные коллекции доступными для назначения с помощью политик безопасности конечных точек.

Включение коллекций для использования с политиками безопасности конечных точек

1. В консоли Configuration Manager, подключенной к сайту верхнего уровня, щелкните правой кнопкой мыши коллекцию устройств, синхронизированную с Microsoft Intune Центр администрирования, и выберите Пункт Свойства.

2. На вкладке Облачная синхронизация включите параметр Сделать эту коллекцию доступной, чтобы назначить политики безопасности конечных точек из центра администрирования Microsoft Intune.

   • Этот параметр нельзя выбрать, если иерархия Configuration Manager не присоединена к клиенту.
   • Коллекции, доступные для этого параметра, ограничены область коллекции, выбранной для отправки подключения клиента.

   

3. Выберите Добавить, а затем выберите группу Microsoft Entra, которую вы хотите синхронизировать с сбором результатов членства.

4. Нажмите кнопку ОК , чтобы сохранить конфигурацию.

   Устройства в этой коллекции теперь могут подключиться к Microsoft Defender для конечной точки и поддерживать использование политик безопасности конечных точек Intune.

Как отобразить состояния соединителя

В соединителе Configuration Manager содержатся подробности реализации Configuration Manager. В Центре администрирования Microsoft Intune можно просмотреть сведения о соединителе Configuration Manager, например время последней успешной синхронизации и состояние подключения.

Чтобы отобразить состояние соединителя Configuration Manager:

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите соединители администрирования клиента>и маркеры>Microsoft Endpoint Configuration Manager. Выберите иерархию Configuration Manager под управлением версии 2006 или позднее, чтобы отобразить дополнительную информацию о ней.

   

   Примечание.

   Если иерархия работает под управлением Configuration Manager версии 2006 или ранее, некоторые сведения будут недоступны.

Убедившись, что подключение к Configuration Manager из Microsoft Intune работоспособно, вы успешно подключили клиент к Configuration Manager.

Как просмотреть сведения о локальном устройстве

В Центре администрирования Microsoft Intune можно просмотреть сведения о клиентах Configuration Manager, включая коллекции, членство в группах границ и сведения о клиенте для определенного устройства.

Просмотр сведений о клиенте в зависимости от устройства

Выполните следующие действия, чтобы увидеть сведения для определенного устройства:

1. В браузере перейдите в центр администрирования Microsoft Intune.

2. Последовательно выберите Устройства>Все устройства.

   Устройства, которые были отправлены с помощью подключения клиента, отображают ConfigMgr в столбце Управляемые .

   

3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

4. Выберите Сведения о клиенте , чтобы просмотреть дополнительные сведения.

   Следующие поля обновляются каждый час:

   • Последний запрос политики
   • Время последней активности
   • Точка управления

   

5. Выберите Коллекции , чтобы получить список коллекций клиента.

   С помощью коллекций можно упорядочивать ресурсы в управляемые единицы.

   

Просмотр списка устройств для каждого пользователя

Выполните следующие действия, чтобы просмотреть список устройств, принадлежащих какому-либо пользователю:

1. В браузере перейдите в центр администрирования Microsoft Intune.

2. Выберите Устранение неполадок и поддержка>Устранение неполадок>Выберите пользователя.

   Если какой-либо пользователь уже отображается, нажмите Изменить пользователя, чтобы выбрать другого пользователя.

3. Найдите или выберите пользователя, указанного в списке, а затем щелкните Выбрать.

   В таблице Устройства перечислены устройства Configuration Manager, связанные с этим пользователем.

Дополнительные сведения о просмотре сведений о клиенте и о подключении клиента см. в статье Подключение клиента: сведения о клиенте ConfigMgr в центре администрирования.

Просмотр данных локального устройства

В Центре администрирования Microsoft Intune можно просмотреть инвентаризацию оборудования для отправленных Configuration Manager устройств с помощью обозревателя ресурсов.

Просмотр данных об устройствах в обозревателе ресурсов:

1. В браузере перейдите в центр администрирования Microsoft Intune.

2. Последовательно выберите Устройства>Все устройства.

3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

   Устройства, синхронизированные через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства также могут отображать совместное управление, если применяются Configuration Manager и Intune, и intune, если применяется только управление Intune.

4. Щелкните Обозреватель ресурсов, чтобы просмотреть инвентарный перечень оборудования.

5. Найдите или выберите класс (значение устройства) для получения информации от клиента.

   

Обозреватель ресурсов может отображать историческое представление инвентаризации устройств в центре администрирования Microsoft Intune. При устранении неполадок наличие исторических данных инвентаризации может предоставить ценную информацию об изменениях устройства.

1. В центре администрирования Microsoft Intune выберите Обозреватель ресурсов, если он еще не выбран.

2. Выберите класс (значение устройства).

3. Введите дату в элементе выбора даты и времени, чтобы получить исторические данные инвентаризации.

   

4. Закройте обозреватель ресурсов и вернитесь к сведениям об устройстве, щелкнув X значок в правом верхнем углу обозревателя ресурсов.

   

Дополнительные сведения о просмотре данных об устройствах с подключением клиента см. в статье Подключение клиента: обозреватель ресурсов в центре администрирования.

Просмотр локального управления приложениями

В Центре администрирования Microsoft Intune можно инициировать установку приложения для подключенного к клиенту устройства в режиме реального времени. Можно развернуть приложение на каком-либо устройстве или для какого-либо пользователя. Кроме того, можно восстановить, повторно оценить, переустановить или удалить приложение.

Выполните следующие действия, чтобы установить приложение на локальное устройство.

1. В браузере перейдите в центр администрирования Microsoft Intune.

2. Последовательно выберите Устройства>Все устройства.

3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

   Как отмечалось ранее, устройства, которые синхронизируются через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства отображают совместное управление, если применяются Configuration Manager и Intune, и Intune, если применяется только управление Intune.

4. Выберите Приложения , чтобы просмотреть список применимых приложений.

5. Выберите приложение, которое еще не было установлено, и нажмите кнопку Установить.

   

Дополнительные сведения о приложениях и подключении клиента см. в статье Подключение клиента: установка приложений из центра администрирования.

Просмотр локальных скриптов

Можно в реальном времени запускать сценарии PowerShell из облака для устройств, находящихся под управлением Configuration Manager. Вы также можете разрешить другим пользователям, таким как служба поддержки, выполнять сценарии PowerShell. Это дает все преимущества сценариев PowerShell, которые определены и утверждены администратором Configuration Manager для использования в этой новой среде.

1. В браузере перейдите в центр администрирования Microsoft Intune.

2. Последовательно выберите Устройства>Все устройства.

3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

   Как отмечалось ранее, устройства, которые синхронизируются через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства отображают совместное управление, если применяются Configuration Manager и Intune, и Intune, если применяется только управление Intune.

4. Выберите Скрипты , чтобы просмотреть список доступных скриптов.

   В списке перечислены недавно запущенные скрипты, непосредственно предназначенные для устройства. Этот список включает сценарии. запущенные из центра администрирования, из SDK и из консоли Configuration Manager. Скрипты, инициированные из консоли Configuration Manager для коллекций, содержащих устройство, не отображаются, если скрипты также не были инициированы специально для одного устройства.

   

Дополнительные сведения о запуске сценариев на устройствах с подключением клиента см. в статьеПодключение клиента: запуск сценариев из центра администрирования.

Просмотр временная шкала событий локального устройства

Когда Configuration Manager синхронизирует устройство с Microsoft Intune через подключение клиента, в Центре администрирования Microsoft Intune отображается временная шкала событий для этих устройств. На этой временной шкале отображаются прошлые действия с устройством. Эта информация поможет вам устранить неполадки.

Раз в день Configuration Manager отправляет события локального устройства в Центр администрирования Microsoft Intune. В центре администрирования отображаются только события, собранные после получения клиентом политики Включить сбор данных аналитики конечных точек. Можно легко создать тестовые события: для этого достаточно установить приложение или обновление из Configuration Manager, а затем перезапустить устройство. События хранятся в течение 30 дней.

Примечание.

Чтобы просмотреть временная шкала из Центра администрирования Microsoft Intune, необходимо задать для параметра Включить сбор данных аналитики конечных точек значение Да в Configuration Manager. Дополнительные сведения о временной шкале устройств см. в статье Подключение клиента: временная шкала устройства в центре администрирования.

Чтобы просмотреть временную шкалу событий устройства:

1. В браузере перейдите в центр администрирования Microsoft Intune.

2. Последовательно выберите Устройства>Все устройства.

3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

   Как отмечалось ранее, устройства, которые синхронизируются через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства отображают совместное управление, если применяются Configuration Manager и Intune, и Intune, если применяется только управление Intune.

4. Выберите параметр Временная шкала. По умолчанию отображаются события за последние 24 часа.

   • Нажмите Синхронизация, чтобы получить последние данные, сформированные на клиенте. По умолчанию устройство отправляет события в центр администрирования один раз в день.
   • Нажмите кнопку Фильтр, чтобы изменить настройки Диапазон времени, Уровни событий и Имя поставщика.
   • Если выбрать событие, можно просмотреть подробное сообщение для него.
   • Нажмите Обновить, чтобы перезагрузить страницу и увидеть новые собранные события.

   

Дополнительные сведения о просмотре событий устройств с подключением клиента см. в статье Подключение клиента: временная шкала устройства в центре администрирования.

Дальнейшие действия

• Настройте политики безопасности конечных точек для антивирусной программы, брандмауэра и обнаружения и реагирования на нее.

• Дополнительные сведения о Microsoft Defender для конечной точки.