启用 Microsoft Intune 租户附加:设备同步和设备操作

适用于: Configuration Manager(current branch)

Microsoft Intune 系列产品是用于管理所有设备的集成解决方案。 Microsoft将 Configuration Manager 和 Intune 合并到名为 Microsoft Intune 管理中心的单个控制台中。 可以将 Configuration Manager 设备上传到云服务,并从管理中心的 设备 边栏选项卡执行操作。

重要

使用 Microsoft Intune 租户附加 Configuration Manager 站点时,站点会向Microsoft发送更多数据。 租户附加数据收集 一文汇总了发送的数据。

在已启用共同管理时启用设备上传

如果当前已启用共同管理,则必须使用共同管理属性来启用设备上传。 如果尚未启用共同管理,请改 云附加配置向导 以启用设备上传。 在启用租户附加之前,请验证是否满足 租户附加的先决条件

如果已启用共同管理,请按照以下说明编辑共同管理属性以启用设备上传:

  1. 在 Configuration Manager 管理控制台中,转到 管理>概述>云服务>云附加
    • 对于版本 2103 及更早版本,请选择 共同管理 节点。
  2. 在功能区中,选择共同管理生产策略的 属性
  3. 配置上传 选项卡中,选择 上传到 Microsoft Endpoint Manager 管理中心。 选择“应用”。
    • 设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 如果需要,你可以限制上载到单个设备集合。
    • 选择单个集合时也会上传其子集合。
  4. 如果还想要获取有关在 终结点分析 中优化最终用户体验的见解,请选中 为上传到 Microsoft Endpoint Manager 的设备启用终结点分析 选项。
  5. 选中“对上传到云服务的设备 强制实施基于角色的访问控制 ”选项。 默认情况下,将 Configuration Manager 设备上传到云服务时,将 SCCM RBAC 与 Intune RBAC 一起强制实施。 因此,该复选框默认处于选中状态。 如果只想强制实施 Intune RBAC,或者使用仅限云的帐户,则必须取消选中 选项。
  6. 如果要在 Intune 管理中心使用终结点安全报告,请选中“启用上传 Microsoft Defender for Endpoint 数据”选项,以便在上传到 Intune 管理中心Microsoft设备上报告

重要

启用终结点分析数据上传时,默认客户端设置会自动更新,以允许托管终结点将相关数据发送到 Configuration Manager 站点服务器。 如果使用自定义客户端设置,则可能需要对其进行更新和重新部署,以收集数据。 有关这一点以及如何配置数据收集的详细信息(例如将收集限制为一组特定的设备),请参阅配置 终结点分析数据收集部分。

显示如何将设备上传到 Microsoft Intune 管理中心的屏幕截图。

  1. 提示时请使用 全局管理员 帐户登录。
  2. 选择“ ”以接受 “创建Microsoft Entra 应用程序 ”通知。 此操作预配服务主体并创建Microsoft Entra 应用程序注册以方便同步。
  3. 完成更改后,选择 确定 以退出共同管理属性。

未启用共同管理时启用设备上传

如果未启用共同管理,请使用 云附加配置向导 启用设备上传。 你可以上传设备,而无需启用自动注册以共同管理或将工作负载切换到 Intune。 将上传 Configuration Manager 在“客户端”列中具有“是”的所有设备。 如果需要,你可以限制上载到单个设备集合。 如果环境中已启用共同管理,请 编辑共同管理属性 以启用设备上传。 在启用租户附加之前,请验证是否已满足 租户附加的先决条件

如果未启用共同管理,请使用以下说明启用设备上传:

  1. 在 Configuration Manager 管理控制台中,转到 管理>概述>云服务>云附加。 对于版本 2103 及更早版本,请选择 共同管理 节点。

    • 从 Configuration Manager 版本 2111 开始,租户附加载入体验已发生更改。 通过云附加向导,可以更轻松地启用租户附加和其他 云功能。 可以选择一组简化的推荐默认值,或自定义云附加功能。 有关使用新向导启用租户附加的详细信息,请参阅 启用云附加
  2. 在功能区中,选择 配置云附加 以打开向导。 对于版本 2103 及更早版本,请选择 配置共同管理 以打开向导。

  3. 在载入页面上,为环境选择 AzurePublicCloud。 Azure 政府云和 Azure China 21Vianet 不支持。

    • 从版本 2107 开始,美国政府客户可以选择 AzureUSGovernmentCloud
  4. 选择“登录”。 使用 全局管理员 帐户登录。

  5. 确保已在 云附加 页面上选择 启用 Microsoft Endpoint Manager 管理中心 选项。 对于版本 2103 及更早版本,请在 租户载入 页面上选择 上传到 Microsoft Endpoint Manager 管理中心 选项。

    • 如果不想要立即启用共同管理,请确保未选中 为共同管理启用自动客户端注册 选项。 如果要启用共同管理,请选中该选项。
    • 如果启用共同管理以及设备上传,向导中会提供其他页面来完成。 有关详细信息,请参阅 启用共同管理

    共同管理配置向导

  6. 选择 “下一步 ”,然后选择“ ”以接受 “创建Microsoft Entra 应用程序 ”通知。 此操作预配服务主体并创建Microsoft Entra 应用程序注册以方便同步。

  7. 配置上载页面上,为由 Microsoft Endpoint Configuration Manager 管理的所有设备选择推荐的设备上传设置。 如果需要,你可以限制上载到单个设备集合。

    • 选择单个集合时也会上传其子集合。
  8. 如果还想获取见解以优化 终结点分析 中的最终用户体验,请选中 为上传到 Microsoft Endpoint Manager 的设备启用终结点分析 选项。

  9. 选中“对上传到云服务的设备 强制实施基于角色的访问控制 ”选项。 默认情况下,将 Configuration Manager 设备上传到云服务时,将 SCCM RBAC 与 Intune RBAC 一起强制实施。 因此,该复选框默认处于选中状态。 如果只想强制实施 Intune RBAC,或者使用仅限云的帐户,则必须取消选中 选项。

  10. 如果要在 Intune 管理中心使用终结点安全报告,请选中“启用上传 Microsoft Defender for Endpoint 数据”选项,以便在上传到 Intune 管理中心Microsoft设备上报告

  11. 选择摘要查看选择,然后选择下一步

  12. 向导完成后,选择关闭

作用域标记

租户附加设备从 Microsoft Intune 接收 默认范围标记。 如果从租户附加的设备中删除默认范围标记,则设备不会在 Microsoft Intune 管理中心中显示。 目前,无法为租户附加设备分配范围标记,这一点与 共同管理设备 不同。

但有时你并不希望某些 Intune 角色 查看租户附加设备。 例如,你可能不希望具有 Intune 技术支持操作员 角色的人员查看租户附加设备,因为他们只是服务人员。 在这些情况下,请在 Intune 中创建或使用没有为其 范围标记 列出 默认 的自定义角色。 在 创建自定义 Intune 角色 时,请记住,默认范围标记会自动添加到所有未标记的对象。

执行设备操作

  1. 在浏览器中,导航到 intune.microsoft.com

  2. 选择“设备”,然后选择“所有设备”以查看上传的设备。 所上传设备的“管理者”列中显示的是“ConfigMgr” Microsoft Intune 管理中心中的所有设备

  3. 选择设备,以加载其 概述 页面。

  4. 选择以下任意操作:

    • 同步计算机策略
    • 同步用户策略
    • 应用评估周期

    Microsoft Intune 管理中心中的设备概述

从管理控制台显示 Configuration Manager 连接器状态

Microsoft Intune 管理中心,可以查看 Configuration Manager 连接器的状态。 要显示连接器状态,请转到 租户管理>连接器和令牌>Microsoft Endpoint Configuration Manager。 选择 Configuration Manager 层次结构以显示其其他相关信息。

在管理中心Microsoft Configuration Manager 连接器

查看建议和见解以丰富 Configuration Manager 站点运行状况和设备管理体验

可以查看 Configuration Manager 站点的建议和见解。 这些建议可帮助你改进站点运行状况和基础结构,并丰富设备管理体验。

建议包括:

  • 如何简化基础结构
  • 增强设备管理
  • 提供设备见解
  • 改善网站的运行状况

若要查看建议,请转到 租户管理 > 连接器和令牌 > Microsoft终结点配置管理器,然后选择一个 站点 以查看相关建议。 选择后,你将找到“ 建议 ”选项卡,其中显示每个见解以及一个 “了解详细信息” 链接,用于打开有关如何应用该建议的详细信息。

从租户附加中登出

虽然我们知道客户通过启用租户附加获得了巨大价值,但极少数情况下可能需要登出层次结构。 可以从 Configuration Manager 控制台 (推荐方法) 或Microsoft Intune 管理中心退出。

从 Configuration Manager 控制台登出

当已启用租户附加时,请编辑共同管理属性以禁用设备上传并登出。

  1. 在 Configuration Manager 管理控制台中,转到 管理>概述>云服务>云附加
    • 对于版本 2103 及更早版本,请选择 共同管理 节点。
  2. 在功能区中,选择共同管理生产策略的 属性
  3. 配置上传 选项卡中,删除 上传到 Microsoft Endpoint Manager 管理中心 选择。
  4. 选择“应用”。

从 Microsoft Intune 管理中心卸载

如果需要,可以从 Microsoft Intune 管理中心卸载 Configuration Manager 层次结构。 例如,在灾难恢复场景(其中已删除本地环境)之后,可能需要从管理中心登出。 按照以下步骤从 Microsoft Intune 管理中心中删除 Configuration Manager 层次结构:

  1. 登录到 Microsoft Intune 管理中心
  2. 依次选择 租户管理连接器和令牌
  3. 选择 Microsoft Endpoint Configuration Manager
  4. 选择要登出的站点的名称,然后选择 删除
    • 如果缺少站点信息,连接器可能列为 未知

从管理中心卸载层次结构时,最多可能需要两个小时才能从 Intune 管理中心中删除Microsoft。 如果登出联机且正常的 Configuration Manager 2103 或更高版本站点,则该流程可能需要几分钟。

注意

如果正在使用自定义的 使用 Intune 的 RBAC 角色,则需要授予 组织>删除 权限才可登出层次结构。

导入以前创建的 Microsoft Entra 应用程序 (可选)

在 新载入 期间,管理员可以在载入到租户附加期间指定之前创建的应用程序。 不要跨多个层次结构共享或重复使用Microsoft Entra 应用程序。 如果有多个层次结构,请为每个层次结构创建单独的Microsoft Entra 应用程序。

“云附加配置向导 ” (版本 2103 及更低版本) 中的 “共同管理配置向导 ”的载入页中,选择“ 选择性地导入单独的 Web 应用”,以将 Configuration Manager 客户端数据同步到 Microsoft Intune Endpoint Manager 中心。 此选项将提示你为 Microsoft Entra 应用指定以下信息:

  • Microsoft Entra 租户名称
  • Microsoft Entra 租户 ID
  • 应用程序名称
  • 客户端 ID
  • 密钥
  • 密钥到期日期
  • App ID URI

重要

  • 应用 ID URI 必须使用以下格式之一:

    • api://{tenantId}/{string},例如,api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string},例如,https://contoso.onmicrosoft.com/ConfigMgrService

    有关创建 Microsoft Entra 应用的详细信息,请参阅 配置 Azure 服务

  • 使用导入的 Microsoft Entra 应用时,控制台 通知不会通知即将到期。

Microsoft Entra 应用程序权限和配置

在载入到租户附加期间使用之前创建的应用程序需要以下权限:

后续步骤