設定租使用者附加以支援來自 Intune 的端點安全性原則

當您使用Configuration Manager租使用者附加案例時，您可以將端點安全性原則從 Intune 部署到您使用 Configuration Manager 管理的裝置。 若要使用此案例，您必須先設定Configuration Manager的租使用者附加，並啟用來自 Configuration Manager 的裝置集合以搭配 Intune 使用。 啟用集合以供使用之後，您可以使用Microsoft Intune系統管理中心來建立和部署原則。

針對租使用者附加使用 Intune 原則的需求

若要支援搭配Configuration Manager裝置使用 Intune 端點安全性原則，您的Configuration Manager環境需要下列設定。 本文提供設定指引：

租使用者附加的一般需求

• 設定租使用者附加- 使用租使用者附加案例時，您會將裝置從Configuration Manager同步至Microsoft Intune系統管理中心。 然後，您可以使用系統管理中心，將支援的原則部署到這些集合。

  租使用者附加通常會設定共同管理，但您可以自行設定租使用者附加。

• 同步處理Configuration Manager裝置和集合– 設定租使用者附加之後，您可以選取要與Microsoft Intune系統管理中心同步的Configuration Manager裝置。 您也可以稍後返回以修改您同步處理的裝置。

  選取要同步處理的裝置之後，您必須 啟 用集合，以搭配 Intune 的端點安全性原則使用。 Configuration Manager裝置的支援原則只能指派給您已啟用的集合。

• Microsoft Entra識別碼的許可權 - 若要完成租使用者附加的設定，您的帳戶必須具有 Azure 訂用帳戶的全域管理員許可權。

• 適用於端點的 Microsoft Defender租使用者 – 您的適用於端點的 Microsoft Defender租使用者必須與Microsoft Intune租使用者整合 (Microsoft Intune 方案 1 訂用帳戶) 。 請參閱 Intune 檔中的使用適用於端點的 Microsoft Defender。

Configuration Manager端點安全性原則的版本需求

防毒軟體

當您使用租使用者附加時，管理Configuration Manager裝置的防毒軟體設定。

原則路徑：

• 端點安全 > 性防毒軟體 > Windows 10、Windows 11和 Windows Server (ConfigMgr)

設定檔：

• Microsoft Defender防毒軟體 (預覽)
• Windows 安全性預覽) (體驗

Configuration Manager的必要版本：

• Configuration Manager最新分支版本 2006 或更新版本

支援的Configuration Manager裝置平臺：

• 從 2010 Configuration Manager 版開始，Windows 8.1 (x86、x64)
• Windows 10 及更新版本 (x86、x64、ARM64)
• Windows 11和更新版本 (x86、x64、ARM64)
• Windows Server 2012 R2 (x64) ，從 2010 Configuration Manager 版開始
• Windows Server 2016和更新版本 (x64)

重要事項

在 2022 年 10 月 22 日，Microsoft Intune終止對執行Windows 8.1裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，建議您移至Windows 10/11 裝置。 Microsoft Intune具有管理Windows 10/11 用戶端裝置的內建安全性和裝置功能。

端點偵測及回應

當您使用租使用者附加時，管理Configuration Manager裝置的端點偵測和回應原則設定。

原則路徑：

• 端點安全 > 性端點偵測和回應 > Windows 10、Windows 11和 Windows Server (ConfigMgr)

設定檔：

• ConfigMgr) (Preview) (端點偵測和回應

Configuration Manager的必要版本：

• Configuration Manager最新分支 2002 版或更新版本，主控台內更新Configuration Manager 2002 Hotfix (KB4563473)
• Configuration Manager Technical Preview 2003 或更新版本

支援的Configuration Manager裝置平臺：

• Windows 8.1 (x86、x64)，從 Configuration Manager 版本 2010 開始
• Windows 10 及更新版本 (x86、x64、ARM64)
• Windows 11和更新版本 (x86、x64、ARM64)
• Windows Server 2012 R2 (x64)，從 Configuration Manager 版本 2010 開始
• x64) (Windows Server 2016和更新版本

重要事項

在 2022 年 10 月 22 日，Microsoft Intune終止對執行Windows 8.1裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，建議您移至Windows 10/11 裝置。 Microsoft Intune具有管理Windows 10/11 用戶端裝置的內建安全性和裝置功能。

防火牆

Configuration Manager管理的裝置支援處於預覽狀態。

當您使用租使用者附加時，管理Configuration Manager裝置的防火牆原則設定。

原則路徑：

• 端點安全 > 性防火牆 > Windows 10和更新版本

設定檔：

• Windows 防火牆 (ConfigMgr)

Configuration Manager的必要版本：

• Configuration Manager最新分支 2006 版或更新版本，主控台內更新Configuration Manager 2006 Hotfix (KB4578605)

支援的Configuration Manager裝置平臺：

• Windows 11和更新版本 (x86、x64、ARM64)
• Windows 10 及更新版本 (x86、x64、ARM64)

設定Configuration Manager以支援 Intune 原則

將 Intune 原則部署至Configuration Manager裝置之前，請先完成下列各節中詳述的設定。 這些設定會使用適用於端點的 Microsoft Defender將您的Configuration Manager裝置上線，並可讓它們使用 Intune 原則。

下列工作會在 Configuration Manager 主控台中完成。 如果您不熟悉Configuration Manager，請與Configuration Manager系統管理員合作以完成這些工作。

1. 確認您的Configuration Manager環境
2. 設定租使用者連結和同步處理裝置
3. 選取要同步處理的裝置
4. 啟用端點安全性原則的集合

提示

若要深入瞭解如何搭配Configuration Manager使用適用於端點的 Microsoft Defender，請參閱Configuration Manager內容中的下列文章：

• 透過 Microsoft Intune 系統管理中心將Configuration Manager用戶端上線以適用於端點的 Microsoft Defender
• Microsoft Intune租使用者連結：裝置同步處理和裝置動作

工作 1：確認您的Configuration Manager環境

適用于Configuration Manager裝置的 Intune 原則需要不同的最低版本Configuration Manager，視原則首次發行的時間而定。 檢閱本文稍早找到的 Intune 端點安全性原則Configuration Manager版本需求，以確保您的環境支援您打算使用的原則。 較新版本的 Configuration Manager 支援需要舊版的原則。

需要Configuration Manager Hotfix 時，您可以找到 Hotfix 作為Configuration Manager的主控台內更新。 如需詳細資訊，請參閱 Configuration Manager 檔中的安裝主控台內更新。

安裝必要的更新之後，請返回這裡繼續設定您的環境，以支援來自Microsoft Intune系統管理中心的端點安全性原則。

工作 2：設定租使用者連結和同步處理裝置

透過租使用者附加，您可以指定Configuration Manager部署中的裝置集合，以與Microsoft Intune系統管理中心進行同步處理。 同步集合之後，請使用系統管理中心來檢視這些裝置的相關資訊，並將端點安全性原則從 Intune 部署到這些裝置。

如需租使用者附加案例的詳細資訊，請參閱在Configuration Manager內容中啟用租使用者附加。

未啟用共同管理時啟用租使用者附加

提示

您可以在 Configuration Manager 主控台中使用共同管理組態精靈來啟用租使用者附加，但不需要啟用共同管理。

如果您打算啟用共同管理，請先熟悉共同管理、其必要條件，以及如何在繼續之前管理工作負載。 請參閱Configuration Manager檔中的什麼是共同管理？

1. 在 Configuration Manager 管理主控台中，移至 [系統管理>概觀>雲端服務>Co-management]。

2. 在功能區中，選取 設定共同管理 以開啟精靈。

3. 在 租用戶上線 頁面上，選取 AzurePublicCloud 環境。 不支援Azure Government雲端。

   1. 選取 [登入]。 使用您的 全域系統管理員 帳戶來登入。

   2. 確定已在 [租使用者上線] 頁面上選取 [上傳至 Microsoft Intune 系統管理中心] 選項。

   3. 從 [ 啟用共同管理的自動用戶端註冊] 移除檢查。

      選取此選項時，精靈會顯示額外的頁面來完成共同管理的設定。 如需詳細資訊，請參閱在Configuration Manager內容中啟用共同管理。

      

4. 選取 [下一步]，然後選取 [是] 以接受[建立Microsoft Entra應用程式] 通知。 此動作會布建服務主體，並建立Microsoft Entra應用程式註冊，以利將集合同步至Microsoft Intune系統管理中心。

5. 在 [設定上傳] 頁面上，設定您要同步的裝置集合。您可以將設定限制為裝置集合，或使用 Microsoft端點Configuration Manager管理的所有裝置的建議裝置上傳設定。

   提示

   您現在可以略過選取集合，稍後再使用下列工作 Task 3 中的資訊，設定要與Microsoft Intune系統管理中心同步的裝置集合。

6. 選 取 [摘要 ] 以檢閱您的選取專案，然後選取 [ 下一步]。

7. 精靈完成時，選取 關閉。

租使用者附加現已設定，且選取的裝置會同步至系統管理中心Microsoft Intune。

當您已使用共同管理時啟用租使用者附加

1. 在 Configuration Manager 管理主控台中，移至 [系統管理>概觀>雲端服務>Co-management]。

2. 以滑鼠右鍵按一下您的共同管理設定，然後選取 [ 屬性]。

3. 在 [設定上傳] 索引標籤中，選取 [上傳至Microsoft Intune系統管理中心]，然後選取 [套用]。

   裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 您也可以選擇將設定限制為一或多個裝置集合。

   

4. 出現提示時，請使用您的 全域管理員 帳戶登入。

5. 選取[是] 以接受[建立Microsoft Entra應用程式] 通知。 此動作會布建服務主體，並建立Microsoft Entra應用程式註冊來加速同步處理。

6. 如果您完成變更，請選取 [確定 ] 以結束共同管理屬性。 否則，請移至工作 3，選擇性地啟用裝置上傳至Microsoft Intune系統管理中心。

   租使用者附加現已設定，且選取的裝置會同步至系統管理中心Microsoft Intune。

工作 3：選取要同步處理的裝置

設定租使用者附加時，您可以選取要同步處理的裝置。如果您尚未同步處理裝置，或需要重新設定要同步的裝置，您可以在 Configuration Manager 主控台中編輯共同管理的屬性來執行此動作。

選取要上傳的裝置

1. 在 Configuration Manager 管理主控台中，移至 [系統管理>概觀>雲端服務>Co-management]。

2. 以滑鼠右鍵按一下您的共同管理設定，然後選取 [ 屬性]。

3. 在 [設定上傳] 索引標籤中，選取 [上傳至Microsoft Intune系統管理中心]，然後選取 [套用]。

   裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 您也可以選擇將設定限制為一或多個裝置集合。

工作 4：啟用端點安全性原則的集合

將裝置設定為同步至系統管理中心Microsoft Intune之後，您必須啟用集合以使用端點安全性原則。 當您從 Intune 啟用裝置集合以使用端點安全性原則時，您要讓已設定的集合能夠以端點安全性原則為目標。

啟用集合以搭配端點安全性原則使用

1. 從連線到最上層網站的Configuration Manager主控台，以滑鼠右鍵按一下您同步至系統管理中心Microsoft Intune裝置集合，然後選取 [內容]。

2. 在 [雲端同步] 索引標籤上，啟用 [讓此集合可供使用] 選項，以從 Microsoft Intune 系統管理中心指派端點安全性原則。

   • 如果您的Configuration Manager階層未附加租使用者，則無法選取此選項。
   • 此選項可用的集合受限於 針對租使用者附加上傳選取的集合範圍。

   

3. 選取[新增]，然後選取您想要與 [收集成員資格結果] 同步處理的Microsoft Entra群組。

4. 選取 [確定 ] 以儲存設定。

   此集合中的裝置現在可以使用適用於端點的 Microsoft Defender，並支援使用 Intune 端點安全性原則。

顯示連接器狀態

組態管理員連接器提供有關您的組態管理員執行的詳細資訊。 從Microsoft Intune系統管理中心，您可以檢閱有關Configuration Manager連接器的詳細資料，例如上次成功的同步處理時間和線上狀態。

若要顯示組態管理員連接器狀態:

1. 登入Microsoft Intune系統管理中心。

2. 選取 租用戶管理> 連接器和權杖>Microsoft 端點組態管理員。 選取執行版本 2006 或更新版本的組態管理員階層，以顯示其他相關資訊。

   

   注意事項

   如果階層是使用組態管理員版本 2006 或更早版本，某些資訊將不可用。

確認從 Microsoft Intune 到 Configuration Manager 的連線為狀況良好之後，您已成功將租使用者連結至 Configuration Manager。

檢視內部部署裝置詳細資料

您可以在 Microsoft Intune 系統管理中心檢視Configuration Manager用戶端詳細資料，包括集合、界限群組成員資格，以及特定裝置的用戶端資訊。

根據裝置來查看用戶端詳細資料

使用下列步驟來查看特定裝置用戶端詳細資料:

1. 在瀏覽器中，流覽至Microsoft Intune系統管理中心。

2. 選取 [所有>裝置的裝置]。

   使用租使用者附加上傳的裝置會在 [管理者] 資料行中顯示ConfigMgr。

   

3. 選取透過租用戶附加從組態管理員同步的裝置。

4. 選取 [用戶端詳細資料 ] 以查看更多詳細資料。

   一小時一次，會更新下列欄位:

   • 上次原則要求
   • 上次使用時間
   • 管理點

   

5. 選 取 [集合 ] 以列出用戶端的 集合。

   集合可協助您將資源組織成可管理的單位。

   

根據使用者來檢視裝置清單

使用下列步驟來檢視屬於使用者的裝置清單:

1. 在瀏覽器中，流覽至Microsoft Intune系統管理中心。

2. 選取 [疑難排解 + 支援>疑難排解>][選取使用者]。

   如果您已經有顯示的使用者，請選擇 變更使用者 以選取不同的使用者。

3. 搜尋或選取列出的使用者，然後按一下 [ 選取]。

   此 裝置 表格列出與使用者相關聯的組態管理員裝置。

有關檢視用戶端詳細資料及租用戶附加的詳細資訊，請參閱 租用戶附加: 系統管理中心的組態管理員用戶端詳細資料。

檢視內部部署裝置資料

從Microsoft Intune系統管理中心，您可以使用資源總管來檢視已上傳Configuration Manager裝置的硬體清查。

若要從資源總管檢視裝置資料:

1. 在瀏覽器中，流覽至Microsoft Intune系統管理中心。

2. 選取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置也可以在套用Configuration Manager和 Intune 時顯示共同管理，並在僅套用Intune 管理時顯示 Intune。

4. 選取 [資源總管] 以檢視硬體清查。

5. 搜尋或選取類別 (裝置值) 以從用戶端中擷取資訊。

   

資源總管可以在Microsoft Intune系統管理中心顯示裝置清查的歷史檢視。 當您進行疑難排解時，擁有歷程記錄清查資料可以提供有關裝置變更的寶貴資訊。

1. 如果您尚未選取資源總管，請從Microsoft Intune系統管理中心選取 [資源總管]。

2. 選取類別 (裝置值)。

3. 在日期時間選擇器中輸入自訂日期，以取得歷史清查資料。

   

4. 關閉資源總管，然後選 X 取資源總管右上方的圖示返回裝置資訊。

   

有關檢視租用戶附加裝置之裝置資料詳細資訊，請參閱 租用戶附加: 系統管理中心的資源總管。

檢視內部部署應用程式管理

從Microsoft Intune系統管理中心，您可以針對租使用者連結的裝置即時起始應用程式安裝。 您可以將應用程式部署至裝置或使用者。 此外，您也可以修復、重新評估、重新安裝或卸載應用程式。

使用下列步驟將應用程式安裝至內部部署裝置:

1. 在瀏覽器中，流覽至Microsoft Intune系統管理中心。

2. 選取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   如先前所述，透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置會在套用 Configuration Manager 和 Intune 時顯示共同管理，並在僅套用Intune 管理時顯示 Intune。

4. 選 取 [應用程式 ] 以檢視適用應用程式的清單。

5. 選取尚未安裝的應用程式，然後選取 [ 安裝]。

   

有關應用程式和租用戶附加的詳細資訊，請參閱 租用戶附加: 從系統管理中心安裝應用程式。

檢視內部部署腳本

您可以針對個別組態管理員受管理的裝置即時從雲端執行 PowerShell 指令碼。 您也可以允許其他角色，例如 Helpdesk，執行 PowerShell 腳本。 這可提供 PowerShell 腳本的所有優點，這些腳本是由Configuration Manager系統管理員定義並核准，以用於這個新環境中。

1. 在瀏覽器中，流覽至Microsoft Intune系統管理中心。

2. 選取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   如先前所述，透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置會在套用 Configuration Manager 和 Intune 時顯示共同管理，並在僅套用Intune 管理時顯示 Intune。

4. 選 取 [腳本] 以檢視可用腳本的清單。

   列出最近執行且直接以裝置為目標的腳本。 此清單包含從系統管理中心、SDK, 或組態管理員主控台執行的指令碼。 除非腳本也特別針對單一裝置起始，否則不會顯示從 Configuration Manager 主控台針對包含裝置之集合起始的腳本。

   

有關在租用戶附加裝置上執行指令碼的其他資訊，請參閱 租用戶附加: 從系統管理中心執行指令碼。

檢視內部部署裝置事件時間軸

當Configuration Manager透過租使用者附加將裝置同步至Microsoft Intune時，您可以在 Microsoft Intune 系統管理中心內看到這些裝置的事件時程表。 此時間表會顯示裝置上過去的活動，可協助疑難排解問題。

一天一次Configuration Manager將內部部署裝置事件傳送至 Microsoft Intune 系統管理中心。 只有用戶端收到 啟用端點分析資料收集 原則之後收集的事件，才能在系統管理中心顯示。 您可以安裝應用程式或更新組態管理員，或重新啟動裝置，以輕鬆產生測試事件。 活動會保留 30 天。

注意事項

作為從Microsoft Intune系統管理中心檢視時程表的必要條件，您必須在Configuration Manager中將 [啟用端點分析資料收集] 設定為 [是]。 有關執行裝置時間表的其他資訊，請參閱 租用戶附加: 系統管理中心的裝置時間表。

若要檢視裝置事件時間表:

1. 在瀏覽器中，流覽至Microsoft Intune系統管理中心。

2. 選取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   如先前所述，透過租使用者附加同步的裝置會在 [管理者] 資料行中顯示ConfigMgr。 裝置會在套用 Configuration Manager 和 Intune 時顯示共同管理，並在僅套用Intune 管理時顯示 Intune。

4. 選取 [時間表]。 根據預設，會顯示過去 24 小時內的事件。

   • 選取 同步 以抓取用戶端上最近產生的資料。 裝置預設每天傳送事件一次至系統管理中心。
   • 使用 篩選 按鈕來變更 時間範圍， 事件層級, 和 提供者名稱。
   • 如果您選取事件，您可以檢視其詳細訊息。
   • 選取 重新整理 以重載頁面，並查看最新收集的事件。

   

有關檢視租用戶附加裝置裝置之裝置事件詳細資訊，請參閱租用戶附加: 系統管理中心的裝置時間表。

後續步驟

• 設定防病毒軟體、防火牆和端點偵測和回應的端點安全性原則。

• 深入瞭解適用於端點的 Microsoft Defender。