Включение подключения к облаку для Configuration Manager

Относится к: Configuration Manager (Current Branch)

Начиная с версии 2111 упрощается подключение среды Configuration Manager к облаку. Вы можете выбрать упрощенный набор рекомендуемых параметров по умолчанию или настроить собственные функции подключения к облаку. Если вы еще не используете версию 2111, ознакомьтесь со статьями Присоединение клиента, Аналитика конечных точек и Совместное управление, чтобы включить функции подключения к облаку.

Упрощенная настройка подключения к облаку

(Применяется к версии 2111 или более поздней версии)

С помощью рекомендуемых параметров по умолчанию ваши подходящие устройства будут подключены к облаку. Вы сможете включить такие возможности, как расширенная аналитика, облачная консоль и запросы устройств в режиме реального времени. Параметры по умолчанию включают следующие компоненты.

• Включает автоматическую регистрацию всех подходящих устройств в Intune.
  • Регистрирует клиентов в совместном управлении, при этом все рабочие нагрузки ведут в Configuration Manager.
  • Устройства считаются подходящими, если они соответствуют предварительным требованиям для совместного управления. Эти устройства перечислены во встроенной коллекции подходящих устройств для совместного управления.
  • Этот параметр в настоящее время является единственным доступным для China21Vianet (облако Azure для Китая).
• Включает аналитику конечных точек.
• Включает автоматическую отправку всех устройств в Центр администрирования Microsoft Intune (подключение клиента)
• Включает отправку данных Microsoft Defender для конечной точки для создания отчетов об устройствах, отправленных в Центр администрирования Microsoft Intune.

Важно!

При присоединении сайта Configuration Manager к клиенту Microsoft Intune он отправляет дополнительные данные в корпорацию Майкрософт. В статье о сборе данных о присоединении клиента приводится сводка отправляемых данных.

Примечание

Убедитесь, что выполняются все предварительные условия для каждого из компонентов подключения к облаку. Дополнительные сведения о предварительных условиях см. в разделах о предварительных условиях для присоединения клиента, предварительных условиях для аналитики конечных точек и предварительных условиях для совместного управления.

Подключение к облаку с помощью параметров по умолчанию

Используйте следующие действия, чтобы подключить к облаку свою среду с параметрами по умолчанию.

1. В консоли Configuration Manager выберите Администрирование>Облачные службы>Подключение к облаку.

2. Выберите Настройка подключения к облаку на ленте, чтобы открыть мастер.

3. Выберите свою среду Azure в списке ниже.

   • Общедоступное облако Azure
   • Облако Azure для государственных организаций США
   • Облако Azure для Китая
     • Аналитика конечных точек и отправка устройств в Центр администрирования Microsoft Intune не могут быть включены для Облака Azure для Китая

4. Нажмите Войти. При запросе войдите в свою учетную запись.

5. Выберите параметр Использовать настройки по умолчанию (рекомендуется), а затем нажмите Далее и Да, когда появится уведомление о регистрации приложения.

6. Проверьте сводку и выберите Далее для подключения к облаку вашей среды и завершите работу мастера.

Подключение к облаку с использованием настраиваемых параметров

(Применяется к версии 2111 или более поздней версии)

Используйте следующие действия, чтобы подключить к облаку свою среду с настраиваемыми параметрами.

1. В консоли Configuration Manager выберите Администрирование>Облачные службы>Подключение к облаку.

2. Выберите Настройка подключения к облаку на ленте, чтобы открыть мастер.

3. Выберите свою среду Azure в списке ниже.

   • Общедоступное облако Azure
   • Облако Azure для государственных организаций США
   • Облако Azure для Китая
     • Аналитика конечных точек и отправка устройств в Центр администрирования Microsoft Intune не могут быть включены для Облака Azure для Китая

4. Нажмите Войти. При запросе войдите в свою учетную запись.

5. Выберите вариант Настройка параметров, чтобы включить облачные компоненты по отдельности.

6. По умолчанию Configuration Manager использует учетные данные для регистрации приложения в клиенте Microsoft Entra. С помощью этого приложения авторизуется синхронизация данных между локальным сайтом и Intune. Чтобы использовать уже созданное приложение, выберите При необходимости импортировать отдельное веб-приложение для синхронизации данных клиента Configuration Manager с Центром администрирования Microsoft Endpoint Manager. Дополнительные сведения см. в статье Импорт ранее созданного приложения Microsoft Entra.

7. Чтобы продолжить, нажмите кнопку Далее. Вам также может быть предложено подтвердить регистрацию приложения Microsoft Entra. Нажмите Да, чтобы подтвердить регистрацию приложения.

8. В разделе Устройства страницы Настройка отправки включается присоединение клиента. Присоединение клиента передает устройства Configuration Manager в облачную консоль Центра администрирования Microsoft Intune . Вы можете выполнять определенные действия на отправленных устройствах, например запускать запросы, запускать сценарии, устанавливать приложения или отображать временную шкалу событий для устройства.

   Параметр Выберите, какие устройства нужно отправить в Microsoft Endpoint Manager предусматривает два варианта:

   • Все устройства, управляемые Microsoft Endpoint Configuration Manager (рекомендуется): отправка всех устройств
   • Определенная коллекция: отправка определенной коллекции, в том числе любых вложенных коллекций.

9. Раздел Аналитика конечных точек на странице Настройка отправки включает аналитику конечных точек для устройств, отправленных в Microsoft Intune. В отчетах аналитики конечных точек основное внимание уделяется качеству взаимодействия с вашими пользователями. Они также помогают выявлять проблемы для внесения заблаговременных улучшений.

   Включите параметр Включить аналитику конечных точек для устройств, данные которых отправляются в Microsoft Endpoint Manager, чтобы задействовать аналитику конечных точек.

10. В разделе Управление доступом на основе ролей на странице Настройка отправки определите, нужно ли снять флажок для параметра Применить Configuration Manager RBAC для запросов облачной консоли, взаимодействующих с Configuration Manager . (Представлено в версии 2207)

    • Этот параметр используется для установки Intune в качестве центра управления доступом на основе ролей для клиентов, подключенных к клиенту. Дополнительные сведения о настройке этого параметра см. в разделе Управление доступом на основе ролей Intune для клиентов, подключенных к клиенту.

      Важно!

      Если этот флажок снят, необходимо также настроить параметры в Intune .

11. Установите флажок Включить отправку данных Microsoft Defender для конечной точки для создания отчетов на устройствах, отправленных в Центр администрирования Microsoft Intune, если вы хотите использовать отчеты Endpoint Security в Центре администрирования Intune.

12. Выберите Далее, чтобы перейти на страницу Включение для совместного управления. Совместное управление упрощает управление путем регистрации устройств в Intune и позволяет поднимать выбранные рабочие нагрузки в облако. Например, вы можете включить рабочие нагрузки для условного доступа, чтобы только доверенные пользователи могли обращаться к ресурсам организации на доверенных устройствах через доверенные приложения.

    Выберите параметр совместного управления из следующих вариантов в разделе Автоматическая регистрация в Intune.

    • Все: в Intune регистрируются все подходящие устройства.
      • Устройства считаются подходящими, если они соответствуют предварительным требованиям для совместного управления. Эти устройства перечислены во встроенной коллекции подходящих устройств для совместного управления.
    • Пилотные: в Intune регистрируются все подходящие устройства из указанной коллекции.
      • Выберите Обзор, чтобы выбрать коллекцию для автоматической регистрации в Intune.
    • Нет: совместное управление и регистрация отключены для всех клиентов.

    Примечание

    Регистрация устройств не перемещает рабочие нагрузки в Intune. Укажите рабочие нагрузки для перемещения путем изменения параметров совместного управления в узле Подключение к облаку, когда будете готовы.

13. После завершения выбора параметров нажмите Далее, чтобы отобразить страницу Сводка. Выберите Далее после просмотра сводки, чтобы подключить к облаку свою среду Configuration Manager.

Импорт ранее созданного приложения Microsoft Entra (необязательно)

Во время нового подключения администратор может указать ранее созданное приложение во время подключения к клиенту. Не делитесь и не используйте приложения Microsoft Entra в нескольких иерархиях. Если у вас несколько иерархий, создайте отдельные приложения Microsoft Entra для каждой из них.

На странице подключения мастера конфигурации cloud attach (мастер настройки совместного управления в версиях 2103 и более ранних) выберите Дополнительно импортировать отдельное веб-приложение, чтобы синхронизировать данные клиента Configuration Manager с центром Microsoft Intune Endpoint Manager. Этот параметр предложит указать следующие сведения для приложения Microsoft Entra:

• Имя клиента Microsoft Entra
• Идентификатор клиента Microsoft Entra
• Имя приложения
• Идентификатор клиента
• Секретный ключ
• Срок действия секретного ключа
• URI кода надстройки

Важно!

• URI ИД приложения должен использовать один из следующих форматов:

  • api://{tenantId}/{string}, например api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, например https://contoso.onmicrosoft.com/ConfigMgrService

  Дополнительные сведения о создании приложения Microsoft Entra см. в разделе Настройка служб Azure.

• При использовании импортированного приложения Microsoft Entra вы не будете получать уведомления о предстоящей дате окончания срока действия из уведомлений консоли.

Разрешения и конфигурация приложения Microsoft Entra

Для использования ранее созданного приложения во время подключения к клиенту требуются следующие разрешения:

• Разрешения микрослужбы Configuration Manager:

  • CmCollectionData.read
  • CmCollectionData.write

• Разрешения Microsoft Graph:

  • Разрешение приложений Directory.Read.All
  • Делегированное разрешение каталога Directory.Read.All

• Убедитесь, что для приложения Microsoft Entra выбрано предоставление согласия администратора для клиента . Дополнительные сведения см. в статье Предоставление согласия администратора в регистрации приложений.

• Импортируемое приложения необходимо настроить следующим образом:

  • Зарегистрировано для учетных записей только в этом каталоге организации. Дополнительные сведения см. в статье Изменение пользователей, которые могут получить доступ к приложению.
  • Имеет действительный URI идентификатора приложения и секрет.

Дальнейшие действия

Дополнительные сведения о функциях подключения к облаку:

• Совместное управление
• Аналитика конечных точек
• Присоединение клиента