設定租使用者附加以支援來自 Intune 的端點安全性原則
當您使用Configuration Manager租使用者附加案例時,您可以將端點安全性原則從 Intune 部署到您使用 Configuration Manager 管理的裝置。 若要使用此案例,您必須先設定Configuration Manager的租使用者附加,並啟用來自 Configuration Manager 的裝置集合以搭配 Intune 使用。 啟用集合以供使用之後,您可以使用Microsoft Intune系統管理中心來建立和部署原則。
針對租使用者附加使用 Intune 原則的需求
若要支援搭配Configuration Manager裝置使用 Intune 端點安全性原則,您的Configuration Manager環境需要下列設定。 本文提供設定指引:
租使用者附加的一般需求
設定租使用者附加- 使用租使用者附加案例時,您會將裝置從Configuration Manager同步至Microsoft Intune系統管理中心。 然後,您可以使用系統管理中心,將支援的原則部署到這些集合。
租使用者附加通常會設定共同管理,但您可以自行設定租使用者附加。
同步處理Configuration Manager裝置和集合– 設定租使用者附加之後,您可以選取要與Microsoft Intune系統管理中心同步的Configuration Manager裝置。 您也可以稍後返回以修改您同步處理的裝置。
選取要同步處理的裝置之後,您必須 啟 用集合,以搭配 Intune 的端點安全性原則使用。 Configuration Manager裝置的支援原則只能指派給您已啟用的集合。
Microsoft Entra識別碼的許可權 - 若要完成租使用者附加的設定,您的帳戶必須具有 Azure 訂用帳戶的全域管理員許可權。
適用於端點的 Microsoft Defender租使用者 – 您的適用於端點的 Microsoft Defender租使用者必須與Microsoft Intune租使用者整合 (Microsoft Intune 方案 1 訂用帳戶) 。 請參閱 Intune 檔中的使用適用於端點的 Microsoft Defender。
Configuration Manager端點安全性原則的版本需求
防毒軟體
當您使用租使用者附加時,管理Configuration Manager裝置的防毒軟體設定。
原則路徑:
- 端點安全 > 性防毒軟體 > Windows 10、Windows 11和 Windows Server (ConfigMgr)
設定檔:
- Microsoft Defender防毒軟體 (預覽)
- Windows 安全性預覽) (體驗
Configuration Manager的必要版本:
- Configuration Manager最新分支版本 2006 或更新版本
支援的Configuration Manager裝置平臺:
- 從 2010 Configuration Manager 版開始,Windows 8.1 (x86、x64)
- Windows 10 及更新版本 (x86、x64、ARM64)
- Windows 11和更新版本 (x86、x64、ARM64)
- Windows Server 2012 R2 (x64) ,從 2010 Configuration Manager 版開始
- Windows Server 2016和更新版本 (x64)
重要事項
在 2022 年 10 月 22 日,Microsoft Intune終止對執行Windows 8.1裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,建議您移至Windows 10/11 裝置。 Microsoft Intune具有管理Windows 10/11 用戶端裝置的內建安全性和裝置功能。
端點偵測及回應
當您使用租使用者附加時,管理Configuration Manager裝置的端點偵測和回應原則設定。
原則路徑:
- 端點安全 > 性端點偵測和回應 > Windows 10、Windows 11和 Windows Server (ConfigMgr)
設定檔:
- ConfigMgr) (Preview) (端點偵測和回應
Configuration Manager的必要版本:
- Configuration Manager最新分支 2002 版或更新版本,主控台內更新Configuration Manager 2002 Hotfix (KB4563473)
- Configuration Manager Technical Preview 2003 或更新版本
支援的Configuration Manager裝置平臺:
- Windows 8.1 (x86、x64),從 Configuration Manager 版本 2010 開始
- Windows 10 及更新版本 (x86、x64、ARM64)
- Windows 11和更新版本 (x86、x64、ARM64)
- Windows Server 2012 R2 (x64),從 Configuration Manager 版本 2010 開始
- x64) (Windows Server 2016和更新版本
重要事項
在 2022 年 10 月 22 日,Microsoft Intune終止對執行Windows 8.1裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,建議您移至Windows 10/11 裝置。 Microsoft Intune具有管理Windows 10/11 用戶端裝置的內建安全性和裝置功能。
防火牆
Configuration Manager管理的裝置支援處於預覽狀態。
當您使用租使用者附加時,管理Configuration Manager裝置的防火牆原則設定。
原則路徑:
- 端點安全 > 性防火牆 > Windows 10和更新版本
設定檔:
- Windows 防火牆 (ConfigMgr)
Configuration Manager的必要版本:
- Configuration Manager最新分支 2006 版或更新版本,主控台內更新Configuration Manager 2006 Hotfix (KB4578605)
支援的Configuration Manager裝置平臺:
- Windows 11和更新版本 (x86、x64、ARM64)
- Windows 10 及更新版本 (x86、x64、ARM64)
設定Configuration Manager以支援 Intune 原則
將 Intune 原則部署至Configuration Manager裝置之前,請先完成下列各節中詳述的設定。 這些設定會使用適用於端點的 Microsoft Defender將您的Configuration Manager裝置上線,並可讓它們使用 Intune 原則。
下列工作會在 Configuration Manager 主控台中完成。 如果您不熟悉Configuration Manager,請與Configuration Manager系統管理員合作以完成這些工作。
提示
若要深入瞭解如何搭配Configuration Manager使用適用於端點的 Microsoft Defender,請參閱Configuration Manager內容中的下列文章:
工作 1:確認您的Configuration Manager環境
適用于Configuration Manager裝置的 Intune 原則需要不同的最低版本Configuration Manager,視原則首次發行的時間而定。 檢閱本文稍早找到的 Intune 端點安全性原則Configuration Manager版本需求,以確保您的環境支援您打算使用的原則。 較新版本的 Configuration Manager 支援需要舊版的原則。
需要Configuration Manager Hotfix 時,您可以找到 Hotfix 作為Configuration Manager的主控台內更新。 如需詳細資訊,請參閱 Configuration Manager 檔中的安裝主控台內更新。
安裝必要的更新之後,請返回這裡繼續設定您的環境,以支援來自Microsoft Intune系統管理中心的端點安全性原則。
工作 2:設定租使用者連結和同步處理裝置
透過租使用者附加,您可以指定Configuration Manager部署中的裝置集合,以與Microsoft Intune系統管理中心進行同步處理。 同步集合之後,請使用系統管理中心來檢視這些裝置的相關資訊,並將端點安全性原則從 Intune 部署到這些裝置。
如需租使用者附加案例的詳細資訊,請參閱在Configuration Manager內容中啟用租使用者附加。
未啟用共同管理時啟用租使用者附加
提示
您可以在 Configuration Manager 主控台中使用共同管理組態精靈來啟用租使用者附加,但不需要啟用共同管理。
如果您打算啟用共同管理,請先熟悉共同管理、其必要條件,以及如何在繼續之前管理工作負載。 請參閱Configuration Manager檔中的什麼是共同管理?
在 Configuration Manager 管理主控台中,移至 [系統管理>概觀>雲端服務>Co-management]。
在功能區中,選取 設定共同管理 以開啟精靈。
在 租用戶上線 頁面上,選取 AzurePublicCloud 環境。 不支援Azure Government雲端。
選取 [登入]。 使用您的 全域系統管理員 帳戶來登入。
確定已在 [租使用者上線] 頁面上選取 [上傳至 Microsoft Intune 系統管理中心] 選項。
從 [ 啟用共同管理的自動用戶端註冊] 移除檢查。
選取此選項時,精靈會顯示額外的頁面來完成共同管理的設定。 如需詳細資訊,請參閱在Configuration Manager內容中啟用共同管理。
選取 [下一步],然後選取 [是] 以接受[建立Microsoft Entra應用程式] 通知。 此動作會布建服務主體,並建立Microsoft Entra應用程式註冊,以利將集合同步至Microsoft Intune系統管理中心。
在 [設定上傳] 頁面上,設定您要同步的裝置集合。您可以將設定限制為裝置集合,或使用 Microsoft端點Configuration Manager管理的所有裝置的建議裝置上傳設定。
提示
您現在可以略過選取集合,稍後再使用下列工作 Task 3 中的資訊,設定要與Microsoft Intune系統管理中心同步的裝置集合。
選 取 [摘要 ] 以檢閱您的選取專案,然後選取 [ 下一步]。
精靈完成時,選取 關閉。
租使用者附加現已設定,且選取的裝置會同步至系統管理中心Microsoft Intune。
當您已使用共同管理時啟用租使用者附加
在 Configuration Manager 管理主控台中,移至 [系統管理>概觀>雲端服務>Co-management]。
以滑鼠右鍵按一下您的共同管理設定,然後選取 [ 屬性]。
在 [設定上傳] 索引標籤中,選取 [上傳至Microsoft Intune系統管理中心],然後選取 [套用]。
裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 您也可以選擇將設定限制為一或多個裝置集合。
出現提示時,請使用您的 全域管理員 帳戶登入。
選取[是] 以接受[建立Microsoft Entra應用程式] 通知。 此動作會布建服務主體,並建立Microsoft Entra應用程式註冊來加速同步處理。
如果您完成變更,請選取 [確定 ] 以結束共同管理屬性。 否則,請移至工作 3,選擇性地啟用裝置上傳至Microsoft Intune系統管理中心。
租使用者附加現已設定,且選取的裝置會同步至系統管理中心Microsoft Intune。
工作 3:選取要同步處理的裝置
設定租使用者附加時,您可以選取要同步處理的裝置。如果您尚未同步處理裝置,或需要重新設定要同步的裝置,您可以在 Configuration Manager 主控台中編輯共同管理的屬性來執行此動作。
選取要上傳的裝置
在 Configuration Manager 管理主控台中,移至 [系統管理>概觀>雲端服務>Co-management]。
以滑鼠右鍵按一下您的共同管理設定,然後選取 [ 屬性]。
在 [設定上傳] 索引標籤中,選取 [上傳至Microsoft Intune系統管理中心],然後選取 [套用]。
裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 您也可以選擇將設定限制為一或多個裝置集合。
工作 4:啟用端點安全性原則的集合
將裝置設定為同步至系統管理中心Microsoft Intune之後,您必須啟用集合以使用端點安全性原則。 當您從 Intune 啟用裝置集合以使用端點安全性原則時,您要讓已設定的集合能夠以端點安全性原則為目標。
啟用集合以搭配端點安全性原則使用
從連線到最上層網站的Configuration Manager主控台,以滑鼠右鍵按一下您同步至系統管理中心Microsoft Intune裝置集合,然後選取 [內容]。
在 [雲端同步] 索引標籤上,啟用 [讓此集合可供使用] 選項,以從 Microsoft Intune 系統管理中心指派端點安全性原則。
- 如果您的Configuration Manager階層未附加租使用者,則無法選取此選項。
- 此選項可用的集合受限於 針對租使用者附加上傳選取的集合範圍。
選取[新增],然後選取您想要與 [收集成員資格結果] 同步處理的Microsoft Entra群組。
選取 [確定 ] 以儲存設定。
此集合中的裝置現在可以使用適用於端點的 Microsoft Defender,並支援使用 Intune 端點安全性原則。
顯示連接器狀態
組態管理員連接器提供有關您的組態管理員執行的詳細資訊。 從Microsoft Intune系統管理中心,您可以檢閱有關Configuration Manager連接器的詳細資料,例如上次成功的同步處理時間和線上狀態。
若要顯示組態管理員連接器狀態:
選取 租用戶管理> 連接器和權杖>Microsoft 端點組態管理員。 選取執行版本 2006 或更新版本的組態管理員階層,以顯示其他相關資訊。
注意事項
如果階層是使用組態管理員版本 2006 或更早版本,某些資訊將不可用。
確認從 Microsoft Intune 到 Configuration Manager 的連線為狀況良好之後,您已成功將租使用者連結至 Configuration Manager。
檢視內部部署裝置詳細資料
您可以在 Microsoft Intune 系統管理中心檢視Configuration Manager用戶端詳細資料,包括集合、界限群組成員資格,以及特定裝置的用戶端資訊。
根據裝置來查看用戶端詳細資料
使用下列步驟來查看特定裝置用戶端詳細資料:
在瀏覽器中,流覽至Microsoft Intune系統管理中心。
選取 [所有>裝置的裝置]。
使用租使用者附加上傳的裝置會在 [管理者] 資料行中顯示ConfigMgr。
選取透過租用戶附加從組態管理員同步的裝置。
選取 [用戶端詳細資料 ] 以查看更多詳細資料。
一小時一次,會更新下列欄位:
- 上次原則要求
- 上次使用時間
- 管理點
選 取 [集合 ] 以列出用戶端的 集合。
集合可協助您將資源組織成可管理的單位。
根據使用者來檢視裝置清單
使用下列步驟來檢視屬於使用者的裝置清單:
在瀏覽器中,流覽至Microsoft Intune系統管理中心。
選取 [疑難排解 + 支援>疑難排解>][選取使用者]。
如果您已經有顯示的使用者,請選擇 變更使用者 以選取不同的使用者。
搜尋或選取列出的使用者,然後按一下 [ 選取]。
此 裝置 表格列出與使用者相關聯的組態管理員裝置。
有關檢視用戶端詳細資料及租用戶附加的詳細資訊,請參閱 租用戶附加: 系統管理中心的組態管理員用戶端詳細資料。
檢視內部部署裝置資料
從Microsoft Intune系統管理中心,您可以使用資源總管來檢視已上傳Configuration Manager裝置的硬體清查。
若要從資源總管檢視裝置資料:
在瀏覽器中,流覽至Microsoft Intune系統管理中心。
選取 [所有>裝置的裝置]。
選取透過租用戶附加從組態管理員同步的裝置。
透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置也可以在套用Configuration Manager和 Intune 時顯示共同管理,並在僅套用Intune 管理時顯示 Intune。
選取 [資源總管] 以檢視硬體清查。
搜尋或選取類別 (裝置值) 以從用戶端中擷取資訊。
資源總管可以在Microsoft Intune系統管理中心顯示裝置清查的歷史檢視。 當您進行疑難排解時,擁有歷程記錄清查資料可以提供有關裝置變更的寶貴資訊。
如果您尚未選取資源總管,請從Microsoft Intune系統管理中心選取 [資源總管]。
選取類別 (裝置值)。
在日期時間選擇器中輸入自訂日期,以取得歷史清查資料。
關閉資源總管,然後選
X
取資源總管右上方的圖示返回裝置資訊。
有關檢視租用戶附加裝置之裝置資料詳細資訊,請參閱 租用戶附加: 系統管理中心的資源總管。
檢視內部部署應用程式管理
從Microsoft Intune系統管理中心,您可以針對租使用者連結的裝置即時起始應用程式安裝。 您可以將應用程式部署至裝置或使用者。 此外,您也可以修復、重新評估、重新安裝或卸載應用程式。
使用下列步驟將應用程式安裝至內部部署裝置:
在瀏覽器中,流覽至Microsoft Intune系統管理中心。
選取 [所有>裝置的裝置]。
選取透過租用戶附加從組態管理員同步的裝置。
如先前所述,透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置會在套用 Configuration Manager 和 Intune 時顯示共同管理,並在僅套用Intune 管理時顯示 Intune。
選 取 [應用程式 ] 以檢視適用應用程式的清單。
選取尚未安裝的應用程式,然後選取 [ 安裝]。
有關應用程式和租用戶附加的詳細資訊,請參閱 租用戶附加: 從系統管理中心安裝應用程式。
檢視內部部署腳本
您可以針對個別組態管理員受管理的裝置即時從雲端執行 PowerShell 指令碼。 您也可以允許其他角色,例如 Helpdesk,執行 PowerShell 腳本。 這可提供 PowerShell 腳本的所有優點,這些腳本是由Configuration Manager系統管理員定義並核准,以用於這個新環境中。
在瀏覽器中,流覽至Microsoft Intune系統管理中心。
選取 [所有>裝置的裝置]。
選取透過租用戶附加從組態管理員同步的裝置。
如先前所述,透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置會在套用 Configuration Manager 和 Intune 時顯示共同管理,並在僅套用Intune 管理時顯示 Intune。
選 取 [腳本] 以檢視可用腳本的清單。
列出最近執行且直接以裝置為目標的腳本。 此清單包含從系統管理中心、SDK, 或組態管理員主控台執行的指令碼。 除非腳本也特別針對單一裝置起始,否則不會顯示從 Configuration Manager 主控台針對包含裝置之集合起始的腳本。
有關在租用戶附加裝置上執行指令碼的其他資訊,請參閱 租用戶附加: 從系統管理中心執行指令碼。
檢視內部部署裝置事件時間軸
當Configuration Manager透過租使用者附加將裝置同步至Microsoft Intune時,您可以在 Microsoft Intune 系統管理中心內看到這些裝置的事件時程表。 此時間表會顯示裝置上過去的活動,可協助疑難排解問題。
一天一次Configuration Manager將內部部署裝置事件傳送至 Microsoft Intune 系統管理中心。 只有用戶端收到 啟用端點分析資料收集 原則之後收集的事件,才能在系統管理中心顯示。 您可以安裝應用程式或更新組態管理員,或重新啟動裝置,以輕鬆產生測試事件。 活動會保留 30 天。
注意事項
作為從Microsoft Intune系統管理中心檢視時程表的必要條件,您必須在Configuration Manager中將 [啟用端點分析資料收集] 設定為 [是]。 有關執行裝置時間表的其他資訊,請參閱 租用戶附加: 系統管理中心的裝置時間表。
若要檢視裝置事件時間表:
在瀏覽器中,流覽至Microsoft Intune系統管理中心。
選取 [所有>裝置的裝置]。
選取透過租用戶附加從組態管理員同步的裝置。
如先前所述,透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置會在套用 Configuration Manager 和 Intune 時顯示共同管理,並在僅套用Intune 管理時顯示 Intune。
選取 [時間表]。 根據預設,會顯示過去 24 小時內的事件。
- 選取 同步 以抓取用戶端上最近產生的資料。 裝置預設每天傳送事件一次至系統管理中心。
- 使用 篩選 按鈕來變更 時間範圍, 事件層級, 和 提供者名稱。
- 如果您選取事件,您可以檢視其詳細訊息。
- 選取 重新整理 以重載頁面,並查看最新收集的事件。
有關檢視租用戶附加裝置裝置之裝置事件詳細資訊,請參閱租用戶附加: 系統管理中心的裝置時間表。
後續步驟
設定防病毒軟體、防火牆和端點偵測和回應的端點安全性原則。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應