启用Microsoft Intune租户附加：设备同步和设备操作

适用于: Configuration Manager(current branch)

Microsoft Intune系列产品是用于管理所有设备的集成解决方案。 Microsoft 将Configuration Manager和Intune汇集到名为 Microsoft Intune 管理中心的单个控制台中。 可以将 Configuration Manager 设备上传到云服务，并从管理中心的 设备 边栏选项卡执行操作。

重要

使用Microsoft Intune租户附加Configuration Manager站点时，站点会向 Microsoft 发送更多数据。 租户附加数据收集 一文汇总了发送的数据。

在已启用共同管理时启用设备上传

如果当前已启用共同管理，则必须使用共同管理属性来启用设备上传。 如果尚未启用共同管理，请改 用云附加配置向导 以启用设备上传。 在启用租户附加之前，请验证是否满足 租户附加的先决条件 。

如果已启用共同管理，请按照以下说明编辑共同管理属性以启用设备上传:

1. 在 Configuration Manager 管理控制台中，转到 管理>概述>云服务>云附加。
   • 对于版本 2103 及更早版本，请选择 共同管理 节点。
2. 在功能区中，选择共同管理生产策略的 属性。
3. 在 配置上传 选项卡中，选择 上传到 Microsoft Endpoint Manager 管理中心。 选择“应用”。
   • 设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 如果需要，你可以限制上载到单个设备集合。
   • 选择单个集合时也会上传其子集合。
4. 如果还想要获取有关在 终结点分析 中优化最终用户体验的见解，请选中 为上传到 Microsoft Endpoint Manager 的设备启用终结点分析 选项。
5. 选中“为上传到云服务的设备强制实施基于角色的访问控制”选项。 默认情况下，将Configuration Manager设备上传到云服务时，SCCM RBAC 与 Intune RBAC 一起强制实施。 因此，该复选框默认处于选中状态。 如果只想强制实施 Intune RBAC，或者使用的是仅限云的帐户，则必须取消选中 选项。
6. 如果要在Intune管理中心使用 Endpoint Security 报告，请选中“启用上传Microsoft Defender for Endpoint数据”选项，以便在上传到Microsoft Intune管理中心的设备上报告

重要

启用终结点分析数据上传时，默认客户端设置会自动更新，以允许托管终结点将相关数据发送到Configuration Manager站点服务器。 如果使用自定义客户端设置，则可能需要对其进行更新和重新部署，以收集数据。 有关这一点以及如何配置数据收集的详细信息（例如将收集限制为一组特定的设备），请参阅配置 终结点分析数据收集部分。

1. 提示时请使用 全局管理员 帐户登录。
2. 选择“是”接受“创建Microsoft Entra应用程序”通知。 此操作预配服务主体并创建Microsoft Entra应用程序注册，以便于同步。
3. 完成更改后，选择 确定 以退出共同管理属性。

未启用共同管理时启用设备上传

如果未启用共同管理，请使用 云附加配置向导 启用设备上传。 你可以上传设备，而无需启用自动注册以共同管理或将工作负载切换到 Intune。 上传“客户端”列中具有“是”的Configuration Manager管理的所有设备。 如果需要，你可以限制上载到单个设备集合。 如果环境中已启用共同管理，请 编辑共同管理属性 以启用设备上传。 在启用租户附加之前，请验证是否已满足 租户附加的先决条件。

如果未启用共同管理，请使用以下说明启用设备上传:

1. 在 Configuration Manager 管理控制台中，转到 管理>概述>云服务>云附加。 对于版本 2103 及更早版本，请选择 共同管理 节点。

   • 从 Configuration Manager 版本 2111 开始，租户附加载入体验已发生更改。 通过云附加向导，可以更轻松地启用租户附加和其他 云功能。 可以选择一组简化的推荐默认值，或自定义云附加功能。 有关使用新向导启用租户附加的详细信息，请参阅 启用云附加。

2. 在功能区中，选择 配置云附加 以打开向导。 对于版本 2103 及更早版本，请选择 配置共同管理 以打开向导。

3. 在载入页面上，为环境选择 AzurePublicCloud。 Azure 政府云和 Azure China 21Vianet 不支持。

   • 从版本 2107 开始，美国政府客户可以选择 AzureUSGovernmentCloud。

4. 选择“登录”。 使用 全局管理员 帐户登录。

5. 确保已在 云附加 页面上选择 启用 Microsoft Endpoint Manager 管理中心 选项。 对于版本 2103 及更早版本，请在 租户载入 页面上选择 上传到 Microsoft Endpoint Manager 管理中心 选项。

   • 如果不想要立即启用共同管理，请确保未选中 为共同管理启用自动客户端注册 选项。 如果要启用共同管理，请选中该选项。
   • 如果启用共同管理以及设备上传，向导中会提供其他页面来完成。 有关详细信息，请参阅 启用共同管理。

   

6. 选择“下一步”，然后选择“是”以接受“创建Microsoft Entra应用程序”通知。 此操作预配服务主体并创建Microsoft Entra应用程序注册，以便于同步。

   • （可选）可以在租户附加加入期间导入以前创建的 Microsoft Entra 应用程序。 有关详细信息，请参阅导入以前创建的Microsoft Entra应用程序部分。

7. 在配置上载页面上，为由 Microsoft Endpoint Configuration Manager 管理的所有设备选择推荐的设备上传设置。 如果需要，你可以限制上载到单个设备集合。

   • 选择单个集合时也会上传其子集合。

8. 如果还想获取见解以优化 终结点分析 中的最终用户体验，请选中 为上传到 Microsoft Endpoint Manager 的设备启用终结点分析 选项。

9. 选中“为上传到云服务的设备强制实施基于角色的访问控制”选项。 默认情况下，将Configuration Manager设备上传到云服务时，SCCM RBAC 与 Intune RBAC 一起强制实施。 因此，该复选框默认处于选中状态。 如果只想强制实施 Intune RBAC，或者使用的是仅限云的帐户，则必须取消选中 选项。

10. 如果要在Intune管理中心使用 Endpoint Security 报告，请选中“启用上传Microsoft Defender for Endpoint数据”选项，以便在上传到Microsoft Intune管理中心的设备上报告

11. 选择摘要查看选择，然后选择下一步。

12. 向导完成后，选择关闭。

作用域标记

租户附加设备从 Microsoft Intune 接收 默认范围标记。 如果从租户附加的设备中删除默认范围标记，则不会在Microsoft Intune管理中心显示该设备。 目前，无法为租户附加设备分配范围标记，这一点与 共同管理设备 不同。

但有时你并不希望某些 Intune 角色 查看租户附加设备。 例如，你可能不希望具有 Intune 技术支持操作员 角色的人员查看租户附加设备，因为他们只是服务人员。 在这些情况下，请在 Intune 中创建或使用没有为其 范围标记 列出 默认 的自定义角色。 在 创建自定义 Intune 角色 时，请记住，默认范围标记会自动添加到所有未标记的对象。

执行设备操作

1. 在浏览器中，导航到 intune.microsoft.com

2. 选择“设备”，然后选择“所有设备”以查看上传的设备。 所上传设备的“管理者”列中显示的是“ConfigMgr”。

3. 选择设备，以加载其 概述 页面。

4. 选择以下任意操作:

   • 同步计算机策略
   • 同步用户策略
   • 应用评估周期

   

从管理控制台显示 Configuration Manager 连接器状态

可以从Microsoft Intune管理中心查看Configuration Manager连接器的状态。 要显示连接器状态，请转到 租户管理>连接器和令牌>Microsoft Endpoint Configuration Manager。 选择 Configuration Manager 层次结构以显示其其他相关信息。

查看建议和见解以丰富Configuration Manager站点运行状况和设备管理体验

可以查看Configuration Manager网站的建议和见解。 这些建议可帮助你改进站点运行状况和基础结构，并丰富设备管理体验。

建议包括：

• 如何简化基础结构
• 增强设备管理
• 提供设备见解
• 改善网站的运行状况

若要查看建议，请转到租户管理>连接器和令牌 > Microsoft 终结点Configuration Manager，然后选择一个站点以查看相关建议。 选择后，你将找到“ 建议 ”选项卡，其中显示每个见解以及一个 “了解详细信息” 链接，用于打开有关如何应用该建议的详细信息。

从租户附加中登出

虽然我们知道客户通过启用租户附加获得了巨大价值，但极少数情况下可能需要登出层次结构。 可以从Configuration Manager控制台 (推荐方法) 或Microsoft Intune管理中心退出。

从 Configuration Manager 控制台登出

当已启用租户附加时，请编辑共同管理属性以禁用设备上传并登出。

1. 在 Configuration Manager 管理控制台中，转到 管理>概述>云服务>云附加。
   • 对于版本 2103 及更早版本，请选择 共同管理 节点。
2. 在功能区中，选择共同管理生产策略的 属性。
3. 在 配置上传 选项卡中，删除 上传到 Microsoft Endpoint Manager 管理中心 选择。
4. 选择“应用”。

从Microsoft Intune管理中心登出

如果需要，可以从Microsoft Intune管理中心卸载Configuration Manager层次结构。 例如，在灾难恢复场景(其中已删除本地环境)之后，可能需要从管理中心登出。 按照以下步骤从Microsoft Intune管理中心中删除Configuration Manager层次结构：

1. 登录到Microsoft Intune管理中心。
2. 依次选择 租户管理、连接器和令牌。
3. 选择 Microsoft Endpoint Configuration Manager。
4. 选择要登出的站点的名称，然后选择 删除。
   • 如果缺少站点信息，连接器可能列为 未知。

从管理中心卸载层次结构时，最多可能需要两个小时才能从管理中心中删除Microsoft Intune。 如果登出联机且正常的 Configuration Manager 2103 或更高版本站点，则该流程可能需要几分钟。

注意

如果正在使用自定义的 使用 Intune 的 RBAC 角色，则需要授予 组织>删除 权限才可登出层次结构。

导入以前创建的Microsoft Entra应用程序 (可选)

在 新载入 期间，管理员可以在载入到租户附加期间指定之前创建的应用程序。 不要跨多个层次结构共享或重复使用Microsoft Entra应用程序。 如果有多个层次结构，请为每个层次结构创建单独的Microsoft Entra应用程序。

从“云附加配置向导” (版本 2103 及更低版本) 中的“共同管理配置向导”的载入页中，选择“选择性地导入单独的 Web 应用”，以将Configuration Manager客户端数据同步到 Microsoft Intune Endpoint Manager 中心。 此选项将提示你为Microsoft Entra应用指定以下信息：

• Microsoft Entra租户名称
• Microsoft Entra租户 ID
• 应用程序名称
• 客户端 ID
• 密钥
• 密钥到期日期
• App ID URI

重要

• 应用 ID URI 必须使用以下格式之一：

  • api://{tenantId}/{string}，例如，api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}，例如，https://contoso.onmicrosoft.com/ConfigMgrService

  有关创建Microsoft Entra应用的详细信息，请参阅配置 Azure 服务。

• 使用导入的 Microsoft Entra 应用时，控制台通知不会通知即将到期的日期。

Microsoft Entra应用程序权限和配置

在载入到租户附加期间使用之前创建的应用程序需要以下权限:

• Configuration Manager 微服务权限:

  • CmCollectionData.read
  • CmCollectionData.write

• Microsoft Graph 权限:

  • Directory.Read.All 应用程序权限
  • Directory.Read.All 委派目录权限

• 确保为Microsoft Entra应用程序选择了“授予租户管理员同意”。 有关详细信息，请参阅 在应用注册中授予管理员同意。

• 需要按如下所示配置导入的应用程序:

  • 已注册 仅限此组织目录中的帐户。 有关详细信息，请参阅 更改可以访问应用程序的人员。
  • 具有有效的应用程序 ID URI 和机密。

后续步骤

• 将 Configuration Manager 设备注册到终结点分析
• 有关租户附加日志文件的信息，请参阅 对租户附加进行故障排除。