为 Configuration Manager 启用云附加
适用于;Configuration Manager(当前分支)
从版本 2111 开始,云附加 Configuration Manager 环境更为简单。 可以选择一组简化的推荐默认值,或自定义云附加功能。 如果尚未运行版本 2111,请使用 租户附加、终结点分析 和 协同管理 文章启用云附加功能。
简化的云附加配置
(适用于版本 2111 或更高版本)
通过使用建议的默认设置,符合条件的设备将附加到云。 你将启用丰富的分析、云控制台和实时设备查询等功能。 默认设置包括以下功能:
- 启用所有符合条件的设备到 Intune 的自动注册
- 启用 终结点分析
- 启用所有设备自动上传到 Intune 管理中心Microsoft (租户附加)
- 启用上传 Microsoft Defender for Endpoint 数据,以便在上传到 Microsoft Intune 管理中心的设备上报告
重要
使用 Microsoft Intune 租户附加 Configuration Manager 站点时,站点会向Microsoft发送更多数据。 租户附加数据收集 一文汇总了发送的数据。
注意
确保满足每个云附加功能的先决条件。 有关先决条件的详细信息,请参阅 租户附加的先决条件、终结点分析的先决条件 和 协同管理的先决条件。
使用默认设置进行云附加
使用以下步骤通过默认设置来云附加环境:
在 Configuration Manager 控制台中,依次转到“管理”>“云服务”>“云附加”。
在功能区中,选择“配置云附加”以打开向导。
从以下列表中选择“Azure 环境”:
- Azure 公有云
- Azure 美国政府云
- Azure 中国云
- 无法为 Azure 中国云启用终结点分析和设备上传到 Microsoft Intune 管理中心
选择“登录”。 出现提示时登录帐户。
确保“使用默认设置(推荐)”处于选中状态,然后在应用注册通知出现时选择“下一步”和“是”。
查看摘要,然后选择“下一步”以云附加环境并完成向导。
使用自定义设置进行云附加
(适用于版本 2111 或更高版本)
使用以下步骤通过自定义设置来云附加环境:
在 Configuration Manager 控制台中,依次转到“管理”>“云服务”>“云附加”。
在功能区中,选择“配置云附加”以打开向导。
从以下列表中选择“Azure 环境”:
- Azure 公有云
- Azure 美国政府云
- Azure 中国云
- 无法为 Azure 中国云启用终结点分析和设备上传到 Microsoft Intune 管理中心
选择“登录”。 出现提示时登录帐户。
选择“自定义设置”选项以单独启用云功能。
默认情况下,Configuration Manager 使用凭据在 Microsoft Entra 租户中注册应用。 此应用用于授权本地站点与 Intune 之间的数据同步。 若要使用已创建的应用,请选择“ (可选)导入单独的 Web 应用”,以将 Configuration Manager 客户端数据同步到 endpoint Manager 管理中心Microsoft。 有关详细信息,请参阅 导入以前创建的 Microsoft Entra 应用程序。
选择“下一步”以继续。 系统还可能会提示你确认Microsoft Entra 应用程序注册。 选择“是”以确认应用注册。
“配置上传”页面的“设备”部分启用了“租户附加”。 租户附加将 Configuration Manager 设备上传到 Microsoft Intune 管理中心 基于云的控制台。 可以在上传的设备上执行某些操作,例如运行查询、运行脚本、安装应用或显示设备的事件时间线。
“选择要上传到 Microsoft Endpoint Manager 的设备”具有以下两个选项:
- “由我的 Microsoft Endpoint Configuration Manager 管理的所有设备”:上传所有设备
- “特定集合”:上传特定集合,包括任何子集合。
“配置上传”页的“终结点分析”部分为上传到 Intune Microsoft 的设备启用终结点分析。 终结点分析报告侧重于你向用户提供体验的质量,并帮助你识别问题以主动进行改进。
确保已选择“为上传到 Microsoft Endpoint Manager 的设备启用终结点分析”选项,以启用终结点分析。
在“配置上传”页的“基于角色的访问控制”部分中,确定是否需要清除“对与 Configuration Manager 交互的云控制台请求强制实施 Configuration Manager RBAC”选项的复选框。 (在版本 2207) 中引入
此选项用于将 Intune 设置为租户附加客户端的基于角色的访问控制机构。 有关配置此选项的详细信息,请参阅 租户附加客户端的 Intune 基于角色的访问控制。
重要
清除此复选框后, 还需要配置 Intune 中的设置 。
如果要在 Intune 管理中心使用终结点安全报告,请选中“启用上传 Microsoft Defender for Endpoint 数据”选项,以便在上传到 Intune 管理中心Microsoft设备上报告
选择“下一步”以转到“协同管理”的“启用”页面。 通过将设备注册到 Intune,并允许你将所选“工作负载”提升到云,协同管理对管理进行了简化。 例如,可以选择为“条件访问”启用工作负载,以便只有受信任的用户才能使用受信任的应用访问受信任设备上的组织资源。
从“Intune 中的自动注册”下的下列选项中选择协同管理设置:
- “全部”:将所有符合条件的设备注册到 Intune
- 如果设备满足 协同管理的先决条件,则为符合条件的设备。 这些设备已在内置的 协同管理符合条件设备 集合中列出。
- “试点”:将指定集合中所有符合条件的设备注册到 Intune
- 选择“浏览”以选择集合进行“Intune 自动注册”
- “无”:不启用协同管理或注册任何客户端
注意
注册设备不会将任何工作负荷移动到 Intune。 准备就绪后,通过在 云附加 节点中编辑协同管理设置来 指定要移动的工作负载。
- “全部”:将所有符合条件的设备注册到 Intune
完成选择后,选择“下一步”,以显示“摘要”页。 查看云附加 Configuration Manager 环境的摘要后,选择“下一步”。
导入以前创建的 Microsoft Entra 应用程序 (可选)
在 新载入 期间,管理员可以在载入到租户附加期间指定之前创建的应用程序。 不要跨多个层次结构共享或重复使用Microsoft Entra 应用程序。 如果有多个层次结构,请为每个层次结构创建单独的Microsoft Entra 应用程序。
从 “云附加配置向导 ” (版本 2103 及更低版本) 中的 “共同管理配置向导 ”的载入页中,选择“ 选择性地导入单独的 Web 应用”,以将 Configuration Manager 客户端数据同步到 Microsoft Intune Endpoint Manager 中心。 此选项将提示你为 Microsoft Entra 应用指定以下信息:
- Microsoft Entra 租户名称
- Microsoft Entra 租户 ID
- 应用程序名称
- 客户端 ID
- 密钥
- 密钥到期日期
- App ID URI
重要
应用 ID URI 必须使用以下格式之一:
-
api://{tenantId}/{string}
,例如,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
-
https://{verifiedCustomerDomain}/{string}
,例如,https://contoso.onmicrosoft.com/ConfigMgrService
有关创建 Microsoft Entra 应用的详细信息,请参阅 配置 Azure 服务。
-
使用导入的 Microsoft Entra 应用时,控制台 通知不会通知即将到期。
Microsoft Entra 应用程序权限和配置
在载入到租户附加期间使用之前创建的应用程序需要以下权限:
Configuration Manager 微服务权限:
- CmCollectionData.read
- CmCollectionData.write
Microsoft Graph 权限:
确保为 Microsoft Entra 应用程序选择了“ 授予租户管理员同意 ”。 有关详细信息,请参阅 在应用注册中授予管理员同意。
需要按如下所示配置导入的应用程序:
- 已注册 仅限此组织目录中的帐户。 有关详细信息,请参阅 更改可以访问应用程序的人员。
- 具有有效的应用程序 ID URI 和机密。
后续步骤
详细了解以下云附加功能: