配置租户附加以支持 Intune 中的终结点安全策略
使用 Configuration Manager 租户附加方案时,可以将终结点安全策略从 Intune 部署到使用 Configuration Manager 管理的设备。 若要使用此方案,必须先为 Configuration Manager 配置租户附加,并启用 Configuration Manager 中的设备集合以用于 Intune。 启用集合以供使用后,可以使用 Microsoft Intune 管理中心创建和部署策略。
使用 Intune 策略进行租户附加的要求
若要支持将 Intune 终结点安全策略用于 Configuration Manager 设备,Configuration Manager 环境需要以下配置。 本文提供了配置指南:
租户附加的一般要求
配置租户附加 - 使用 租户附加 方案,可将设备从 Configuration Manager 同步到 Microsoft Intune 管理中心。 然后,可以使用管理中心将受支持的策略部署到这些集合。
租户附加通常配置共同管理,但可以自行配置租户附加。
同步 Configuration Manager 设备和集合 - 配置租户附加后,可以选择 Configuration Manager 设备与 Intune 管理中心Microsoft同步。 还可以稍后返回以修改同步的设备。
选择要同步的设备后,必须 启用 集合以用于 Intune 中的终结点安全策略。 只能将 Configuration Manager 设备支持的策略 分配给已启用的集合。
Microsoft Entra ID 的权限 - 若要完成租户附加设置,帐户必须具有 Azure 订阅的全局管理员权限。
Microsoft Defender for Endpoint 的租户 – Microsoft Defender for Endpoint 租户必须与 Microsoft Intune 租户 (Microsoft Intune 计划 1 订阅) 集成。 请参阅 Intune 文档中的使用 Microsoft Defender for Endpoint 。
Intune 终结点安全策略的 Configuration Manager 版本要求
防病毒
使用租户附加时,管理 Configuration Manager 设备的防病毒设置。
策略路径:
- 终结点安全性 > 防病毒 > Windows (ConfigMgr)
配置文件:
- Microsoft Defender 防病毒 (预览版)
- Windows 安全中心体验 (预览版)
Configuration Manager 的必需版本:
- Configuration Manager Current Branch 版本 2006 或更高版本
支持的 Configuration Manager 设备平台:
- Windows 8.1 (x86、x64) ,从 Configuration Manager 版本 2010 开始
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows 11 及更高版本 (x86、x64、ARM64)
- 从 Configuration Manager 版本 2010 开始,Windows Server 2012 R2 (x64)
- Windows Server 2016 及更高版本 (x64)
重要
2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。
如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。
终结点检测和响应
在使用租户附加时管理 Configuration Manager 设备的终结点检测和响应策略设置。
平台: Windows (ConfigMgr)
配置文件: 终结点检测和响应 (ConfigMgr)
Configuration Manager 的必需版本:
- Configuration Manager Current Branch 版本 2002 或更高版本,控制台中更新 Configuration Manager 2002 修补程序 (KB4563473)
- Configuration Manager 技术预览版 2003 或更高版本
支持的 Configuration Manager 设备平台:
- Windows 8.1 (x86, x64)(从 Configuration Manager 版本 2010 开始)
- Windows 10 及更高版本(x86, x64, ARM64)
- Windows 11 及更高版本 (x86、x64、ARM64)
- Windows Server 2012 R2 (x64)(从 Configuration Manager 版本 2010 开始)
- Windows Server 2016 及更高版本 (x64)
重要
2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。
如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。
防火墙
对 Configuration Manager 管理的设备的支持以预览版提供。
使用租户附加时,管理 Configuration Manager 设备的防火墙策略设置。
策略路径:
- 终结点安全 > 防火墙
配置文件:
- Windows 防火墙 (ConfigMgr)
Configuration Manager 的必需版本:
- Configuration Manager Current Branch 版本 2006 或更高版本,控制台中更新 Configuration Manager 2006 修补程序 (KB4578605)
支持的 Configuration Manager 设备平台:
- Windows 11 及更高版本 (x86、x64、ARM64)
- Windows 10 及更高版本(x86, x64, ARM64)
设置 Configuration Manager 以支持 Intune 策略
在将 Intune 策略部署到 Configuration Manager 设备之前,请完成以下部分详述的配置。 这些配置使用 Microsoft Defender for Endpoint 载入 Configuration Manager 设备,并使它们能够使用 Intune 策略。
以下任务在 Configuration Manager 控制台中完成。 如果不熟悉 Configuration Manager,请与 Configuration Manager 管理员协作以完成这些任务。
提示
若要详细了解如何将 Microsoft Defender for Endpoint 与 Configuration Manager 配合使用,请参阅 Configuration Manager 内容中的以下文章:
任务 1:确认 Configuration Manager 环境
Configuration Manager 设备的 Intune 策略需要不同最低版本的 Configuration Manager,具体取决于首次发布策略的时间。 查看本文前面找到 的 Intune 终结点安全策略的 Configuration Manager 版本要求 ,以确保你的环境支持计划使用的策略。 最新版本的 Configuration Manager 支持需要早期版本的策略。
当需要 Configuration Manager 修补程序时,可以将该修补程序作为 Configuration Manager 的控制台内更新。 有关详细信息,请参阅 Configuration Manager 文档中的 安装控制台内更新 。
安装必要的更新后,请返回此处继续配置环境,以支持来自 Intune 管理中心Microsoft终结点安全策略。
任务 2:配置租户附加和同步设备
使用租户附加,可以指定 Configuration Manager 部署中的设备集合,以便与 Microsoft Intune 管理中心同步。 集合同步后,使用管理中心查看有关这些设备的信息,并将终结点安全策略从 Intune 部署到它们。
有关租户附加方案的详细信息,请参阅在 Configuration Manager 内容中 启用租户附加 。
未启用共同管理时启用租户附加
提示
使用 Configuration Manager 控制台中的 共同管理配置向导 来启用租户附加,但不需要启用共同管理。
如果计划启用共同管理,请在继续操作之前熟悉共同管理、其先决条件以及如何管理工作负载。 请参阅 Configuration Manager 文档中 的什么是共同管理? 。
在 Configuration Manager 管理控制台中,转到 “管理>概述>云服务>共同管理”。
在功能区中, 选择配置共同管理以打开向导。
在租户载入页面上,选择适用于你的环境的 AzurePublicCloud。 不支持 Azure 政府云。
选择“登录”。 使用 全局管理员 帐户登录。
确保在“租户载入”页上选择了“上传到 Microsoft Intune 管理中心”选项。
从 启用自动客户端注册进行共同管理中删除检查。
选择此选项后,向导会显示额外的页面来完成共同管理设置。 有关详细信息,请参阅在 Configuration Manager 内容中 启用共同管理 。
选择“ 下一步 ”,然后选择“ 是 ”以接受 “创建Microsoft Entra 应用程序 ”通知。 此操作预配服务主体并创建Microsoft Entra 应用程序注册,以便将集合同步到 Microsoft Intune 管理中心。
在 “配置上传 ”页上,配置要同步的设备集合。可以将配置限制为设备集合,或使用 由 Microsoft Endpoint Configuration Manager 管理的所有设备的建议设备上传设置。
提示
现在可以跳过选择集合,稍后使用以下任务任务 3 中的信息来配置要与 Intune 管理中心同步的设备集合Microsoft。
选择 “摘要” 查看所选内容,然后选择“ 下一步”。
向导完成后,选择关闭。
租户附加现已配置,所选设备将同步到 intune 管理中心Microsoft。
在已使用共同管理时启用租户附加
在 Configuration Manager 管理控制台中,转到 “管理>概述>云服务>共同管理”。
右键单击共同管理设置,然后选择 “属性”。
在 “配置上传 ”选项卡中,选择“ 上传到Microsoft Intune 管理中心”,然后选择 “应用”。
设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 还可以选择将配置限制为一个或几个设备集合。
提示时请使用 全局管理员 帐户登录。
选择“ 是 ”以接受 “创建Microsoft Entra 应用程序 ”通知。 此操作预配服务主体并创建Microsoft Entra 应用程序注册以方便同步。
如果已完成更改,请选择“ 确定 ”退出共同管理属性。 否则,移动到任务 3,有选择地启用设备上传到 Microsoft Intune 管理中心。
租户附加现已配置,所选设备将同步到 intune 管理中心Microsoft。
任务 3:选择要同步的设备
配置租户附加后,可以选择要同步的设备。如果尚未同步设备或需要重新配置同步的设备,可以在 Configuration Manager 控制台中编辑共同管理的属性以执行此操作。
选择要上传的设备
在 Configuration Manager 管理控制台中,转到 “管理>概述>云服务>共同管理”。
右键单击共同管理设置,然后选择 “属性”。
在 “配置上传 ”选项卡中,选择“ 上传到Microsoft Intune 管理中心”,然后选择 “应用”。
设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 还可以选择将配置限制为一个或几个设备集合。
任务 4:为终结点安全策略启用集合
将设备配置为同步到 Microsoft Intune 管理中心后,必须启用集合才能使用终结点安全策略。 启用设备集合以使用 Intune 中的终结点安全策略时,会将配置的集合设置为终结点安全策略的目标。
启用集合以用于终结点安全策略
从连接到顶级站点的 Configuration Manager 控制台中,右键单击同步到 Microsoft Intune 管理中心的设备集合,然后选择“ 属性”。
在“ 云同步 ”选项卡上,启用“ 使此集合可用”选项,以便从 Intune 管理中心Microsoft分配终结点安全策略。
- 如果 Configuration Manager 层次结构未附加租户,则无法选择此选项。
- 此选项的可用集合受 为租户附加上传选择的集合范围的限制。
选择“ 添加 ”,然后选择要与 “收集成员身份结果”同步Microsoft Entra 组。
选择 “确定” 以保存配置。
此集合中的设备现在可以加入 Microsoft Defender for Endpoint,并支持使用 Intune 终结点安全策略。
显示连接器状态
Configuration Manager 连接器提供有关 Configuration Manager 实施的详细信息。 在 Microsoft Intune 管理中心,可以查看有关 Configuration Manager 连接器的详细信息,例如上次成功同步的时间和连接状态。
显示 Configuration Manager 连接器状态:
选择“租户管理>连接器”和令牌> Microsoft Endpoint Configuration Manager。 选择 Configuration Manager 层次结构运行版本 2006 或更高版本,以显示有关其他信息。
注意
如果层次结构运行的是 Configuration Manager 版本 2006 或更早版本,则某些信息不可用。
确认从 Microsoft Intune 连接到 Configuration Manager 后,即已成功将租户附加到 Configuration Manager。
查看本地设备详细信息
可以在 Microsoft Intune 管理中心查看 Configuration Manager 客户端详细信息,包括集合、边界组成员身份和特定设备的客户端信息。
查看基于设备的客户端详细信息
使用以下步骤查看特定设备的客户端详细信息:
在浏览器中,导航到 Microsoft Intune 管理中心。
选择设备>所有设备。
使用租户附加上传的设备在“托管者”列中显示 ConfigMgr。
选择通过租户附加从 Configuration Manager 同步的设备。
选择“ 客户端详细信息 ”以查看更多详细信息。
每小时更新一次以下字段:
- 上次策略请求
- 上次活动时间
- 管理点
选择 “集合 ”以列出客户端的 集合。
集合有助于将资源组织为可管理单元。
查看基于用户的设备列表
使用以下步骤查看属于用户的设备列表:
在浏览器中,导航到 Microsoft Intune 管理中心。
选择“故障排除 + 支持>”“排查选择用户问题>”。
如果已有显示的用户,选择“更改用户”以选择其他用户。
搜索或选择列出的用户,然后单击“ 选择”。
设备表列出了与用户关联的 Configuration Manager 设备。
有关查看客户端详细信息和租户附加的详细信息,请参阅租户附加:管理中心的 ConfigMgr 客户端详细信息。
查看本地设备数据
在 Microsoft Intune 管理中心,可以使用资源浏览器查看已上传 Configuration Manager 设备的硬件清单。
从资源浏览器查看设备数据:
在浏览器中,导航到 Microsoft Intune 管理中心。
选择设备>所有设备。
选择通过租户附加从 Configuration Manager 同步的设备。
通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 当 Configuration Manager 和 Intune 应用时,设备还可以显示 共同管理 ,在仅应用 Intune 管理时显示 Intune。
选择 资源资源管理器 以查看硬件清单。
搜索或选择一个类(设备值)以从客户端检索信息。
资源浏览器可以在 Intune 管理中心Microsoft显示设备清单的历史视图。 进行故障排除时,拥有历史清单数据可以提供有关设备更改的重要信息。
从 Microsoft Intune 管理中心,选择 “资源资源管理器” (如果尚未选择资源浏览器)。
选择一个类(设备值)。
在日期时间选取器中输入自定义日期,以获取历史库存数据。
关闭资源浏览器,并通过选择
X
资源浏览器右上角的图标返回到设备信息。
有关查看租户附加设备的设备数据详细信息,请参阅租户附加:管理中心的资源浏览器。
查看本地应用管理
从 Microsoft Intune 管理中心,可以为租户附加设备实时启动应用程序安装。 可将应用程序部署到设备或用户。 此外,还可以修复、重新评估、重新安装或卸载应用程序。
使用以下步骤将应用程序安装到本地设备:
在浏览器中,导航到 Microsoft Intune 管理中心。
选择设备>所有设备。
选择通过租户附加从 Configuration Manager 同步的设备。
如前所述,通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 设备在 Configuration Manager 和 Intune 应用时显示 共同管理 ,在仅应用 Intune 管理时显示 Intune。
选择“ 应用程序 ”以查看适用应用的列表。
选择尚未安装的应用程序,然后选择“ 安装”。
有关应用程序和租户附加的详细信息,请参阅租户附加:从管理中心安装应用程序。
查看本地脚本
可从云中针对单个 Configuration Manager 托管设备实时运行 PowerShell 脚本。 还可以允许其他角色(如支持人员)运行 PowerShell 脚本。 这提供了由 Configuration Manager 管理员定义和批准的 PowerShell 脚本在此新环境中使用的所有优势。
在浏览器中,导航到 Microsoft Intune 管理中心。
选择设备>所有设备。
选择通过租户附加从 Configuration Manager 同步的设备。
如前所述,通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 设备在 Configuration Manager 和 Intune 应用时显示 共同管理 ,在仅应用 Intune 管理时显示 Intune。
选择 “脚本 ”以查看可用脚本的列表。
列出了最近运行的直接面向设备的脚本。 此列表包括从管理中心、SDK 或 Configuration Manager 控制台运行的脚本。 不会显示从 Configuration Manager 控制台针对包含设备的集合启动的脚本,除非脚本也是专门为单个设备启动的。
有关在租户附加设备上运行脚本的详细信息,请参阅租户附加:从管理中心运行脚本。
查看本地设备事件时间线
当 Configuration Manager 通过租户附加将设备同步到 Microsoft Intune 时,可以在 Intune 管理中心Microsoft查看这些设备的事件时间线。 此时间线显示设备上过去的活动,可帮助你解决问题。
Configuration Manager 每天将本地设备事件发送到 Microsoft Intune 管理中心。 仅在客户端收到“启用终结点分析数据收集”策略后,收集的事件才在管理中心可见。 可通过从 Configuration Manager 安装应用程序或更新,或重启设备来轻松生成测试事件。 事件将保留 30 天。
注意
作为从 Microsoft Intune 管理中心查看时间线的 先决条件 ,必须在 Configuration Manager 中将 “启用终结点分析数据收集” 设置为 “是 ”。 有关实现设备时间线的详细信息,请参阅租户附加:管理中心的设备时间线。
若要查看设备事件时间线:
在浏览器中,导航到 Microsoft Intune 管理中心。
选择设备>所有设备。
选择通过租户附加从 Configuration Manager 同步的设备。
如前所述,通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 设备在 Configuration Manager 和 Intune 应用时显示 共同管理 ,在仅应用 Intune 管理时显示 Intune。
选择“时间线”。 默认情况下,会显示过去 24 小时内的事件。
- 选择“同步”以获取在客户端上生成的最近数据。 默认情况下,设备每天向管理中心发送一次事件。
- 使用“筛选器”按钮以更改时间范围、事件级别和提供程序名称。
- 如果选择某个事件,可以查看该事件的详细消息。
- 选择“刷新”以重新加载页面并查看新收集的事件。
有关查看租户附加设备的设备事件详细信息,请参阅租户附加:管理中心的设备时间线。
后续步骤
- 为防病毒、防火墙和终结点检测和响应配置终结点安全策略。
- 详细了解 Microsoft Defender for Endpoint。