Microsoft Intune 租户附加:先决条件
适用于: Configuration Manager(current branch)
Microsoft Intune 系列产品是用于管理所有设备的集成解决方案。 Microsoft将 Configuration Manager 和 Intune 合并到名为 Microsoft Intune 管理中心的单个控制台中。 可以将 Configuration Manager 设备上传到云服务,并从管理中心的 设备 页面执行操作。 你可能希望使用的一些功能包括:
先决条件
应用此登录更改时用于登录的 全局管理员 帐户。 有关详细信息,请参阅 Microsoft Entra 管理员角色。
- 载入会在 Microsoft Entra 租户中创建第三方应用和第一方服务主体。
Azure 云环境。
- Microsoft Azure 中国世纪互联(Azure 中国云)和 Azure 美国政府云禁用 上传到 Microsoft Endpoint Manager 管理中心 选项。 从版本 2107 开始,此选项适用于美国政府客户。
从版本 2107 开始,美国政府客户可以在美国政府云中使用以下租户附加功能:
- 帐户载入
- 租户与 Intune 同步
- 设备与 Intune 同步
- Microsoft Intune 管理中心中的设备操作
Azure 租户和服务连接点的地理位置应相同。
至少一个 Intune 许可证供你作为管理员访问 Microsoft Intune 管理中心。
管理服务配置服务器需要设置并正常运行。
如果管理中心站点具有 远程提供程序,请按照 CMPivot 文章中 CAS 具有远程提供程序 场景的说明进行操作。
此功能支持 Configuration Manager 当前支持作为客户端的所有 OS 版本。 有关详细信息,请参阅 客户端和设备支持的 OS 版本。
Permissions
执行设备操作的用户帐户具有以下先决条件:
- 用户帐户必须是Microsoft Entra ID (混合标识) 中的同步用户对象。 这意味着用户从 Active Directory 同步到Microsoft Entra ID。
- 对于 Configuration Manager 版本 2103 及更高版本:
已使用 Microsoft Entra 用户发现 或 Active Directory 用户发现进行发现。
- 对于 Configuration Manager 版本 2103 及更高版本:
- Microsoft Intune 管理中心的“远程任务”下的“启动 Configuration Manager 操作”权限。
- 有关在管理中心内添加或验证权限的详细信息,请参阅使用 Microsoft Intune 的基于角色的访问控制(RBAC)。
Internet 终结点
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
面向 Azure 公有云客户https://*.manage.microsoft.us
适用于版本 2107 或更高版本的美国政府云客户https://dc.services.visualstudio.com
服务连接点与 托管在 上的 https://*.manage.microsoft.com
通知服务建立长期传出连接。 验证用于服务连接点的代理不会太快使传出连接超时。 对于到此 Internet 终结点的传出连接,我们建议时间为 3 分钟。
如果环境的代理规则仅允许特定证书吊销列表 (CRL) 或联机证书状态协议 (OCSP) 验证位置,则还允许以下 CRL 和 OCSP URL:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
服务连接点验证租户附加的重要 Internet 终结点。 这些检查可以帮助确保云服务可用。 其还可以快速确定网络连接是否存在问题,有助于故障排除。 有关详细信息,请参阅 验证 Internet 访问。
注意
服务连接点会检查 CRL。 如果此服务器无权访问以上列出的 URL,则 CRL 检查将失败。 请考虑设置系统代理或使用以下命令: 'netsh winhttp set proxy'。 有关详细信息,请参阅 Windows 更新客户端如何确定要用于连接到 Windows 更新网站的代理服务器。 请确保包含内部站点通信的绕过列表。 由于 Configuration Manager 内的代理服务器设置仅为 Configuration Manager 应用程序而非基础 OS 配置代理,所以此配置可能是必需的。
限制
目前,通过 PowerShell 脚本或通过 Microsoft Graph API 检索设备列表时,不包括 Configuration Manager 设备。 要解决此问题,请使用管理中心“所有设备”页面中的“导出”选项。