Konfigurera klientanslutning för att stödja slutpunktssäkerhetsprinciper från Intune
När du använder scenariot för anslutning av Configuration Manager-klientorganisationen kan du distribuera slutpunktssäkerhetsprinciper från Intune till enheter som du hanterar med Configuration Manager. Om du vill använda det här scenariot måste du först konfigurera klientanslutning för Configuration Manager och aktivera samlingar av enheter från Configuration Manager för användning med Intune. När samlingar har aktiverats för användning använder du administrationscentret för Microsoft Intune för att skapa och distribuera principer.
Krav för att använda Intune-princip för klientkoppling
För att kunna använda Intune-slutpunktssäkerhetsprinciper med Configuration Manager-enheter kräver Configuration Manager-miljön följande konfigurationer. Konfigurationsvägledning finns i den här artikeln:
Allmänna krav för klientkoppling
Konfigurera klientanslutning – Med scenariot för klientanslutning synkroniserar du enheter från Configuration Manager till administrationscentret för Microsoft Intune. Du kan sedan använda administrationscentret för att distribuera principer som stöds till dessa samlingar.
Klientkoppling konfigureras ofta med samhantering, men du kan konfigurera klientkoppling på egen hand.
Synkronisera Configuration Manager-enheter och -samlingar – När du har konfigurerat klientanslutningen kan du välja de Configuration Manager-enheter som ska synkroniseras med administrationscentret för Microsoft Intune. Du kan också gå tillbaka senare för att ändra de enheter som du synkroniserar.
När du har valt enheter som ska synkroniseras måste du aktivera samlingar för användning med slutpunktssäkerhetsprinciper från Intune. Principer som stöds för Configuration Manager-enheter kan bara tilldelas till samlingar som du har aktiverat.
Behörigheter till Microsoft Entra-ID – För att slutföra installationen av klientanslutningen måste ditt konto ha global administratörsbehörighet till din Azure-prenumeration.
Klientorganisation för Microsoft Defender för Endpoint – Din Microsoft Defender för Endpoint-klientorganisation måste vara integrerad med din Microsoft Intune-klientorganisation (Microsoft Intune Plan 1-prenumeration). Se Använda Microsoft Defender för Endpoint i Intune-dokumentationen.
Versionskrav för Configuration Manager för Intune-slutpunktssäkerhetsprinciper
Antivirus
Hantera antivirusinställningar för Configuration Manager-enheter när du använder klientanslutning.
Principsökväg:
- Endpoint Security > Antivirus > Windows (ConfigMgr)
Profiler:
- Microsoft Defender Antivirus (förhandsversion)
- Windows-säkerhetsupplevelse (förhandsversion)
Nödvändig version av Configuration Manager:
- Aktuell grenversion av Configuration Manager 2006 eller senare
Konfigurationshanterarens enhetsplattformar som stöds:
- Windows 8.1 (x86, x64), med början i Configuration Manager version 2010
- Windows 10 och senare (x86, x64, ARM64)
- Windows 11 och senare (x86, x64, ARM64)
- Windows Server 2012 R2 (x64), med början i Configuration Manager version 2010
- Windows Server 2016 och senare (x64)
Viktigt
Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.
Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.
Identifiering och svar av slutpunkt
Hantera principinställningar för slutpunktsidentifiering och svar för Configuration Manager-enheter när du använder klientanslutning.
Plattform: Windows (ConfigMgr)
Profil: Slutpunktsidentifiering och svar (ConfigMgr)
Nödvändig version av Configuration Manager:
- Aktuell grenversion av Configuration Manager 2002 eller senare, med konfigurationshanteraren 2002-snabbkorrigering i konsolen (KB4563473)
- Teknisk förhandsversion av Configuration Manager 2003 eller senare
Konfigurationshanterarens enhetsplattformar som stöds:
- Windows 8.1 (x86, x64), med början i Konfigurationshanteraren version 2010
- Windows 10 och senare (x86, x64, ARM64)
- Windows 11 och senare (x86, x64, ARM64)
- Windows Server 2012 R2 (x64), med början i Konfigurationshanteraren version 2010
- Windows Server 2016 och senare (x64)
Viktigt
Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.
Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.
Brandvägg
Stöd för enheter som hanteras av Configuration Manager finns i förhandsversion.
Hantera inställningar för brandväggsprinciper för Configuration Manager-enheter när du använder klientanslutning.
Principsökväg:
- Brandvägg för slutpunktssäkerhet >
Profiler:
- Windows-brandväggen (ConfigMgr)
Nödvändig version av Configuration Manager:
- Aktuell grenversion av Configuration Manager 2006 eller senare, med uppdatering av Konfigurationshanteraren 2006 -snabbkorrigering i konsolen (KB4578605)
Konfigurationshanterarens enhetsplattformar som stöds:
- Windows 11 och senare (x86, x64, ARM64)
- Windows 10 och senare (x86, x64, ARM64)
Konfigurera Configuration Manager för att stödja Intune-principer
Innan du distribuerar Intune-principer till Configuration Manager-enheter ska du slutföra konfigurationerna som beskrivs i följande avsnitt. Dessa konfigurationer registrerar dina Configuration Manager-enheter med Microsoft Defender för Endpoint och gör att de kan arbeta med Intune-principerna.
Följande uppgifter slutförs i Configuration Manager-konsolen. Om du inte är bekant med Configuration Manager kan du kontakta en Configuration Manager-administratör för att utföra dessa uppgifter.
- Bekräfta din Configuration Manager-miljö
- Konfigurera klientanslutning och synkronisering av enheter
- Välj enheter som ska synkroniseras
- Aktivera samlingar för slutpunktssäkerhetsprinciper
Tips
Mer information om hur du använder Microsoft Defender för Endpoint med Configuration Manager finns i följande artiklar i Configuration Manager-innehållet:
Uppgift 1: Bekräfta configuration manager-miljön
Intune-principer för Configuration Manager-enheter kräver olika lägsta versioner av Configuration Manager, beroende på när principen först släpptes. Granska versionskrav för Configuration Manager för Intune-slutpunktssäkerhetsprinciper som hittades tidigare i den här artikeln för att se till att din miljö stöder de principer som du planerar att använda. En nyare version av Configuration Manager stöder principer som kräver en tidigare version.
När en Configuration Manager-snabbkorrigering krävs kan du hitta snabbkorrigeringen som en uppdatering i konsolen för Configuration Manager. Mer information finns i Installera uppdateringar i konsolen i Configuration Manager-dokumentationen .
När du har installerat nödvändiga uppdateringar går du tillbaka hit för att fortsätta konfigurera din miljö för att stödja slutpunktssäkerhetsprinciper från administrationscentret för Microsoft Intune.
Uppgift 2: Konfigurera klientanslutning och synkronisera enheter
Med klientkoppling anger du samlingar med enheter från Configuration Manager-distributionen som ska synkroniseras med administrationscentret för Microsoft Intune. När samlingarna har synkroniserats använder du administrationscentret för att visa information om dessa enheter och för att distribuera endpoint security-principer från Intune till dem.
Mer information om scenariot med klientkoppling finns i Aktivera klientkoppling i Configuration Manager-innehållet.
Aktivera klientkoppling när samhantering inte har aktiverats
Tips
Du använder konfigurationsguiden för samhantering i Configuration Manager-konsolen för att aktivera klientanslutning, men du behöver inte aktivera samhantering.
Om du planerar att aktivera samhantering bör du vara bekant med samhantering, dess förutsättningar och hur du hanterar arbetsbelastningar innan du fortsätter. Se Vad är samhantering? i Configuration Manager-dokumentationen .
I administrationskonsolen för Configuration Manager går du tillAdministrationsöversikt> Cloud >Services>Samhantering.
I menyfliksområdet väljer du Konfigurera samhantering för att öppna guiden.
På sidan Registrering av klientorganisation väljer du AzurePublicCloud för din miljö. Azure Government-molnet stöds inte.
Välj Logga in. Använd ditt globala administratörskonto för att logga in.
Se till att alternativet Ladda upp till administrationscentret för Microsoft Intune är markerat på sidan Registrering av klientorganisation .
Ta bort kontrollen från Aktivera automatisk klientregistrering för samhantering.
När det här alternativet har valts visar guiden extra sidor för att slutföra installationen av samhantering. Mer information finns i Aktivera samhantering i Configuration Manager-innehållet .
Välj Nästa och sedan Ja för att acceptera meddelandet Skapa Microsoft Entra-program . Den här åtgärden etablerar ett huvudnamn för tjänsten och skapar en Microsoft Entra-programregistrering för att underlätta synkroniseringen av samlingar till administrationscentret för Microsoft Intune.
På sidan Konfigurera uppladdning konfigurerar du vilka samlingar av enheter som du vill synkronisera. Du kan begränsa konfigurationen till enhetssamlingar eller använda den rekommenderade inställningen för enhetsuppladdning för Alla mina enheter som hanteras av Microsoft Endpoint Configuration Manager.
Tips
Du kan hoppa över att välja samlingar nu och senare använda informationen i följande uppgift, Uppgift 3, för att konfigurera vilka samlingar av enheter som ska synkroniseras med administrationscentret för Microsoft Intune.
Välj Sammanfattning för att granska ditt val och välj sedan Nästa.
När guiden är klar väljer du Stäng.
Klientkoppling har nu konfigurerats och valda enheter synkroniseras med Administrationscenter för Microsoft Intune.
Aktivera klientkoppling när du redan använder samhantering
I administrationskonsolen för Configuration Manager går du tillAdministrationsöversikt> Cloud >Services>Samhantering.
Högerklicka på dina samhanteringsinställningar och välj Egenskaper.
På fliken Konfigurera uppladdning väljer du Ladda upp till Administrationscenter för Microsoft Intune och sedan Använd.
Standardinställningen för enhetsuppladdning är Alla mina enheter som hanteras av Microsoft Endpoint Configuration Manager. Du kan också välja att begränsa konfigurationen till en eller flera enhetssamlingar.
Logga in med ditt globala administratörskonto när du uppmanas att göra det.
Välj Ja för att acceptera meddelandet Skapa Microsoft Entra-program . Den här åtgärden etablerar ett huvudnamn för tjänsten och skapar en Microsoft Entra-programregistrering för att underlätta synkroniseringen.
Välj OK för att avsluta samhanteringsegenskaperna om du är klar med ändringarna. I annat fall går du till Uppgift 3 för att selektivt aktivera enhetsuppladdning till administrationscentret för Microsoft Intune.
Klientkoppling har nu konfigurerats och valda enheter synkroniseras med Administrationscenter för Microsoft Intune.
Uppgift 3: Välj enheter som ska synkroniseras
När klientanslutning har konfigurerats kan du välja enheter som ska synkroniseras. Om du inte redan har synkroniserat enheter eller behöver konfigurera om vilka du synkroniserar kan du redigera egenskaperna för samhantering i Configuration Manager-konsolen för att göra det.
Välj enheter som ska laddas upp
I administrationskonsolen för Configuration Manager går du tillAdministrationsöversikt> Cloud >Services>Samhantering.
Högerklicka på dina samhanteringsinställningar och välj Egenskaper.
På fliken Konfigurera uppladdning väljer du Ladda upp till Administrationscenter för Microsoft Intune och sedan Använd.
Standardinställningen för enhetsuppladdning är Alla mina enheter som hanteras av Microsoft Endpoint Configuration Manager. Du kan också välja att begränsa konfigurationen till en eller flera enhetssamlingar.
Uppgift 4: Aktivera samlingar för slutpunktssäkerhetsprinciper
När du har konfigurerat enheter för synkronisering till Administrationscenter för Microsoft Intune måste du aktivera samlingar så att de fungerar med slutpunktssäkerhetsprinciper. När du gör det möjligt för samlingar av enheter att fungera med slutpunktssäkerhetsprinciper från Intune gör du de konfigurerade samlingarna tillgängliga för mål med slutpunktssäkerhetsprinciper.
Aktivera samlingar för användning med slutpunktssäkerhetsprinciper
Högerklicka på en enhetssamling som du synkroniserar till administrationscentret för Microsoft Intune från en Configuration Manager-konsol som är ansluten till din webbplats på den översta nivån och välj Egenskaper.
På fliken Molnsynkronisering aktiverar du alternativet Att göra den här samlingen tillgänglig för att tilldela endpoint security-principer från administrationscentret för Microsoft Intune.
- Du kan inte välja det här alternativet om Configuration Manager-hierarkin inte är ansluten till klientorganisationen.
- Samlingarna som är tillgängliga för det här alternativet begränsas av samlingsomfånget som valts för klientanslutningsuppladdning.
Välj Lägg till och välj sedan den Microsoft Entra-grupp som du vill synkronisera med Samla in medlemskapsresultat.
Spara konfigurationen genom att välja OK .
Enheter i den här samlingen kan nu registreras med Microsoft Defender för Endpoint och stödja användning av Intunes slutpunktssäkerhetsprinciper.
Visa status för anslutningsappen
Configuration Manager-anslutningsappen innehåller information om konfigurationshanterarens implementering. Från administrationscentret för Microsoft Intune kan du granska information om Configuration Manager-anslutningsappen, till exempel den senaste lyckade synkroniseringstiden och anslutningsstatusen.
Så här visar du status för Configuration Manager-anslutningsappen:
Logga in på Microsoft Intune administrationscenter.
Välj Anslutningsappar för klientadministration>och token>i Microsoft Endpoint Configuration Manager. Välj en Configuration Manager-hierarki som kör version 2006 eller senare för att visa ytterligare information om den.
Obs!
Viss information är inte tillgänglig om hierarkin kör Configuration Manager version 2006 eller tidigare.
När du har bekräftat att anslutningen till Configuration Manager från Microsoft Intune är Felfri har du anslutit klientorganisationen till Configuration Manager.
Visa information om lokala enheter
Du kan visa Configuration Manager-klientinformation, inklusive samlingar, medlemskap i gränsgrupper och klientinformation för en specifik enhet i administrationscentret för Microsoft Intune.
Visa klientinformation baserat på enhet
Använd följande steg för att visa klientinformation för en specifik enhet:
Gå till administrationscentret för Microsoft Intune i en webbläsare.
Välj Enheter>Alla enheter.
Enheter som har laddats upp med klientkoppling visar ConfigMgr i kolumnen Hanterad av .
Välj en enhet som synkroniseras från Konfigurationshanteraren via klientorganisationsanslutning.
Välj Klientinformation om du vill se mer information.
En gång i timmen uppdateras följande fält:
- Senaste principbegäran
- Senaste aktiva tid
- Hanteringsplats
Välj Samlingar för att visa klientens samlingar.
Samlingar hjälper dig att organisera resurser i hanterbara enheter.
Visa en lista över enheter baserat på användaren
Använd följande steg för att visa en lista över enheter som tillhör en användare:
Gå till administrationscentret för Microsoft Intune i en webbläsare.
Välj Felsökning + support>Felsöka>Välj användare.
Om du redan har en användare som visas väljer du Ändra användare för att välja en annan användare.
Sök efter eller välj en användare i listan och klicka sedan på Välj.
I tabellen Enheter visas de Configuration Manager-enheter som är associerade med användaren.
Mer information om hur du visar klientinformation och klientkoppling finns i Klientkoppling: ConfigMgr-klientinformation i administrationscentret.
Visa lokala enhetsdata
Från administrationscentret för Microsoft Intune kan du visa maskinvaruinventering för uppladdade Configuration Manager-enheter med hjälp av resursutforskaren.
Så här visar du enhetsdata från resursutforskaren:
Gå till administrationscentret för Microsoft Intune i en webbläsare.
Välj Enheter>Alla enheter.
Välj en enhet som synkroniseras från Konfigurationshanteraren via klientorganisationsanslutning.
Enheter som synkroniseras via klientkoppling visar ConfigMgr i kolumnen Hanterad av . Enheter kan också visa Samhanterade när både Configuration Manager och Intune gäller och visa Intune när endast Intune-hantering gäller.
Välj Resursutforskaren för att visa maskinvaruinventering.
Sök efter eller välj en klass (ett enhetsvärde) för att hämta information från klienten.
Resursutforskaren kan visa en historisk vy över enhetsinventeringen i administrationscentret för Microsoft Intune. När du felsöker kan historiska inventeringsdata ge värdefull information om ändringar på enheten.
I administrationscentret för Microsoft Intune väljer du Resursutforskaren om du inte redan har valt det.
Välj en klass (ett enhetsvärde).
Ange ett anpassat datum i datum/tid-väljaren för att hämta historiska inventeringsdata.
Stäng resursutforskaren och återgå till enhetsinformationen genom att
X
välja ikonen längst upp till höger i resursutforskaren.
Mer information om hur du visar enhetsdata för klientkopplingsenheter finns i Klientkoppling: Resursutforskaren i administrationscentret.
Visa lokal apphantering
Från administrationscentret för Microsoft Intune kan du initiera en programinstallation i realtid för en klientansluten enhet. Du kan distribuera ett program till en enhet eller användare. Du kan också reparera, omvärdera, installera om eller avinstallera ett program.
Använd följande steg för att installera ett program på en lokal enhet:
Gå till administrationscentret för Microsoft Intune i en webbläsare.
Välj Enheter>Alla enheter.
Välj en enhet som synkroniseras från Konfigurationshanteraren via klientorganisationsanslutning.
Som tidigare nämnts visar enheter som synkroniserar via klientkoppling ConfigMgr i kolumnen Hanterad av . Enheter visar Samhanterad när både Configuration Manager och Intune gäller och visar Intune när endast Intune-hantering gäller.
Välj Program för att visa en lista över tillämpliga appar.
Välj ett program som inte har installerats och välj sedan Installera.
Mer information om program och klientkoppling finns i Bifoga klientorganisation: Installera ett program från administrationscentret.
Visa lokala skript
Du kan köra PowerShell-skript från molnet mot en enskild Configuration Manager-hanterad enhet i realtid. Du kan också tillåta att andra personer, till exempel supportavdelningen, kör PowerShell-skript. Detta ger alla fördelar med PowerShell-skript som definieras av och godkänns av Configuration Manager-administratören för användning i den nya miljön.
Gå till administrationscentret för Microsoft Intune i en webbläsare.
Välj Enheter>Alla enheter.
Välj en enhet som synkroniseras från Konfigurationshanteraren via klientorganisationsanslutning.
Som tidigare nämnts visar enheter som synkroniserar via klientkoppling ConfigMgr i kolumnen Hanterad av . Enheter visar Samhanterad när både Configuration Manager och Intune gäller och visar Intune när endast Intune-hantering gäller.
Välj Skript för att visa en lista över tillgängliga skript.
Skript som nyligen kördes som direkt riktade sig till enheten visas i listan. Listan innehåller skript som körs från administrationscentret, SDK eller Konfigurationshanterarens konsol. Skript som initieras från Configuration Manager-konsolen mot samlingar som innehåller enheten visas inte, såvida inte skripten också initierades specifikt för den enskilda enheten.
Mer information om hur du kör skript på klientanslutna enheter finns i Klientkoppling: Kör skript från administrationscentret.
Visa tidslinje för lokal enhetshändelse
När Configuration Manager synkroniserar en enhet till Microsoft Intune via klientanslutning kan du se en tidslinje för händelser för dessa enheter i administrationscentret för Microsoft Intune. Den här tidslinjen visar tidigare aktivitet på enheten som kan hjälpa dig att felsöka problem.
En gång om dagen skickar Configuration Manager de lokala enhetshändelserna till administrationscentret för Microsoft Intune. Endast händelser som samlas in när klienten tar emot principen Aktivera datainsamling för slutpunktsanalys visas i administrationscentret. Du kan enkelt generera testhändelser genom att installera ett program eller en uppdatering från Configuration Manager eller starta om enheten. Händelser sparas i 30 dagar.
Obs!
Som en förutsättning för att visa tidslinjen från administrationscentret för Microsoft Intune måste du ange Aktivera datainsamling för slutpunktsanalys till Ja i Configuration Manager. Mer information om hur du implementerar enhetens tidslinje finns i Ansluta klientorganisation: Enhetens tidslinje i administrationscentret.
Så här visar du tidslinjen för enhetshändelsen:
Gå till administrationscentret för Microsoft Intune i en webbläsare.
Välj Enheter>Alla enheter.
Välj en enhet som synkroniseras från Konfigurationshanteraren via klientorganisationsanslutning.
Som tidigare nämnts visar enheter som synkroniserar via klientkoppling ConfigMgr i kolumnen Hanterad av . Enheter visar Samhanterad när både Configuration Manager och Intune gäller och visar Intune när endast Intune-hantering gäller.
Välj Tidslinje. Som standard visas händelser från de senaste 24 timmarna.
- Välj Synkronisera för att hämta de senaste data som genererats på klienten. Enheten skickar händelser en gång om dagen till administrationscentret som standard.
- Använd knappen Filter för att ändra tidsintervall, händelsenivåer och providernamn.
- Om du väljer en händelse kan du visa det detaljerade meddelandet för den.
- Välj Uppdatera för att läsa in sidan igen och för att se nyligen insamlade händelser.
Mer information om hur du visar enhetshändelser för klientanslutna enheter finns i Ansluta klientorganisation: Enhetens tidslinje i administrationscentret.
Nästa steg
- Konfigurera slutpunktssäkerhetsprinciper för antivirus, brandvägg och slutpunktsidentifiering och svar.
- Läs mer om Microsoft Defender för Endpoint.