anexação de locatário do Microsoft Endpoint Manager: sincronização de dispositivos e ações do dispositivo

Aplica-se a: Configuration Manager (ramificação atual)

O Microsoft Endpoint Manager é uma solução integrada para o gerenciamento de todos os seus dispositivos. A Microsoft reúne o Configuration Manager e o Intune em um único console chamado Centro de administração do Microsoft Endpoint Manager. Você pode carregar seus Gerenciador de Configurações para o serviço de nuvem e executar ações na lâmina Dispositivos no centro de administração.

Pré-requisitos

  • Uma conta que é um Administrador Global para entrar ao aplicar essa alteração. Para obter mais informações, confira Funções de administrador no Azure AD (Azure Active Directory).

    • A integração cria um aplicativo de terceiros e uma entidade de serviço de terceiros em seu locatário do Azure AD.
  • Um ambiente de nuvem do Azure.

    • A opção Upload para o Centro de administração do Microsoft Endpoint Manager está desabilitada para o Microsoft Azure China 21Vianet (Azure China Cloud) e a Azure US Government Cloud. A partir da versão 2107, essa opção está disponível para clientes do Governo dos EUA.
  • A partir da versão 2107, os clientes do Governo dos EUA podem usar os seguintes recursos de anexação de locatário na nuvem do Governo dos EUA:

    • Integração de conta
    • Sincronização de locatário ao Intune
    • Sincronização de dispositivo ao Intune
    • Ações de dispositivo no Centro de administração do Microsoft Endpoint Manager
  • Pelo menos uma licença do Intune para você como administrador acessar o Centro de administração do Microsoft Endpoint Manager.

  • O serviço de administração no Gerenciador de Configurações precisa estar configurado e funcional.

  • A conta de usuário que dispara ações de dispositivo tem os seguintes pré-requisitos:

  • Se o site de administração central tiver um provedor remoto, siga as instruções para o cenário CAS tem um provedor remoto no artigo CMPivot.

Esse recurso dá suporte a todas as versões do sistema operacional que o Gerenciador de Configurações oferece suporte atualmente como um cliente. Para saber mais, confira Versões do SO compatíveis para clientes e dispositivos.

Pontos de extremidade de Internet

  • https://aka.ms/configmgrgateway

  • https://*.manage.microsoft.com para clientes de nuvem pública do Azure

  • https://*.manage.microsoft.us para clientes de nuvem do Governo dos EUA na versão 2107 ou posterior

  • https://dc.services.visualstudio.com

O ponto de conexão de serviço faz uma conexão de saída de longa data com o serviço de notificação hospedado em https://*.manage.microsoft.com . Verifique se o proxy usado no ponto de conexão de serviço não atinge o tempo de saída das conexões muito rápido. Recomendamos 3 minutos para conexões de saída desse ponto de extremidade da Internet.

Se seu ambiente tiver regras de proxy para permitir apenas crls (listas de revogação de certificado) ou locais de verificação do protocolo de status do certificado online (OCSP), também permita as seguintes URLs CRL e OCSP:

  • http://crl3.digicert.com
  • http://crl4.digicert.com
  • http://ocsp.digicert.com
  • http://www.d-trust.net
  • http://root-c3-ca2-2009.ocsp.d-trust.net
  • http://crl.microsoft.com
  • http://oneocsp.microsoft.com
  • http://ocsp.msocsp.com
  • http://www.microsoft.com/pkiops

A partir da versão 2010, o ponto de conexão de serviço valida pontos de extremidade importantes da Internet para anexação de locatário. Essas verificações ajudam a garantir que o serviço de nuvem esteja disponível. Ele também o ajuda a solucionar problemas determinando rapidamente se a conectividade de rede é um problema. Para obter mais informações, consulte Validar o acesso à Internet.

Observação

O ponto de conexão de serviço verifica a CRL. Se esse servidor não tiver acesso às URLs listadas acima, a verificação da CRL falhará. Considere definir um proxy do sistema ou usar o seguinte comando: 'netsh winhttp set proxy'. Para obter mais informações, consulte Como o cliente Windows Update determina qual servidor proxy usar para se conectar ao website Windows Update. Certifique-se de incluir uma lista de bypass para comunicações internas do site. Essa configuração pode ser necessária, pois as configurações do servidor proxy no Gerenciador de Configurações apenas configuram o proxy para aplicativos Gerenciador de Configurações e não o sistema operacional subjacente.

Habilitar o upload do dispositivo quando o co-gerenciamento já estiver habilitado

Se você tiver o co-gerenciamento habilitado no momento, usará as propriedades de co-gerenciamento para habilitar o upload do dispositivo. Quando o co-gerenciamento ainda não estiver habilitado, Use o Assistente de Configuração de Anexação Nuvem para habilitar o upload do dispositivo.

Quando o co-gerenciamento já estiver habilitado, edite as propriedades de co-gerenciamento para habilitar o upload do dispositivo usando as instruções abaixo:

  1. No console de administrador do Gerenciador de Configurações, acesse Administração > Visão Geral > Serviços de Nuvem > Co-gerenciamento.
    • Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.
  2. Na faixa de opções, selecione Propriedades para sua política de produção de co-gerenciamento.
  3. Na guia Configurar upload, selecione Carregar para o Centro de Administração do Microsoft Endpoint Manager. Selecione Aplicar.
    • A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Se necessário, você pode limitar o upload a uma única coleção de dispositivos.
    • A partir da versão 2010 do Gerenciador de Configurações, quando uma única coleção é selecionada, suas coleções filho também são carregadas.
  4. Marque a opção para Habilitar a Análise de ponto de extremidade para dispositivos carregados no Microsoft Endpoint Manager se você também quiser obter insights para otimizar a experiência do usuário final no Análise de Ponto de Extremidade.

Importante

Quando você habilita o carregamento de dados da Análise de Ponto de Extremidade, as configurações padrão do cliente serão atualizadas automaticamente para permitir que os pontos de extremidade gerenciados enviem dados relevantes para o servidor do site Gerenciador de Configurações. Se você usar configurações personalizadas do cliente, talvez seja necessário atualizá-las e implantá-las novamente para que a coleta de dados ocorra. Para obter mais detalhes sobre isso, bem como configurar a coleta de dados, como limitar a coleta apenas a um conjunto específico de dispositivos, consulte a seção Configurando a coleta de dados de análise de Ponto de extremidade.

Todos os dispositivos no Centro de Administração do Microsoft Endpoint Manager

  1. Entre com sua conta de Administrador Global quando solicitado.
  2. Clique em Sim para aceitar a notificação Criar aplicativo do AAD. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo do Azure AD para facilitar a sincronização.
  3. Clique em OK para sair das propriedades de co-gerenciamento depois de fazer alterações.

habilitar o carregamento do dispositivo quando o co-gerenciamento não estiver habilitado

Se você não tiver o co-gerenciamento habilitado, você usará o Assistente de Configuração de Anexação da Nuvem para habilitar o upload do dispositivo. Você pode carregar seus dispositivos sem habilitar o registro automático para cogerenciamento ou alternar cargas de trabalho para o Intune. Todos os dispositivos gerenciados pelo Configuration Manager que têm Sim na coluna Cliente serão carregados. Se necessário, você pode limitar o upload a uma única coleção de dispositivos. Se o co-gerenciamento já estiver habilitado em seu ambiente, Editar propriedades de co-gerenciamento para habilitar o upload do dispositivo.

Quando o co-gerenciamento não estiver habilitado, use as instruções abaixo para habilitar o upload do dispositivo:

  1. No console de administrador do Gerenciador de Configurações, acesse Administração > Visão Geral > Serviços de Nuvem > Co-gerenciamento. Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.

    • A partir Configuration Manager versão 2111, a experiência de integração de anexação do locatário mudou. O assistente de anexação de nuvem facilita a habilitar a anexação do locatário e outros recursos da nuvem. Você pode escolher um conjunto simplificado de padrões recomendados ou personalizar seus recursos de anexação de nuvem. Para obter mais informações sobre como habilitar a anexação do locatário com o novo assistente, consulte Habilitar anexação de nuvem.
  2. Na faixa de opções, selecione Configurar a Anexação da Nuvem para abrir o assistente. Para a versão 2103 e anteriores, selecione Configurar o co-gerenciamento para abrir o assistente.

  3. Na página de integração, selecione AzurePublicCloud para seu ambiente. A Nuvem do Azure Governamental e Azure China 21Vianet não têm suporte.

    • A partir da versão 2107, os clientes do Governo dos EUA podem selecionar AzureUSGovernmentCloud.
  4. Selecione Entrar. Use sua conta de Administrador Global para entrar.

  5. Verifique se a opção Habilitar o centro de administração do Microsoft Endpoint Manager está selecionada na página Anexação da nuvem. Para a versão 2103 e versões anteriores, selecione a opção Carregar no centro de administração do Microsoft Endpoint Manager na página Integração de locatários.

    • A opção Habilitar o registro automático de cliente para co-gerenciamento não deverá estar marcada se você não desejar habilitar o co-gerenciamento agora. Se você quiser habilitar o cogerenciamento, selecione essa opção.
    • Se você habilitar o cogerenciamento junto com o upload do dispositivo, receberá páginas adicionais para concluir no assistente. Para saber mais, confira Habilitar o co-gerenciamento.

    Assistente de Configuração de Co-gerenciamento

  6. Clique em Avançar e depois em Sim para aceitar a notificação Criar Aplicativo do AAD. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo do Azure AD para facilitar a sincronização.

  7. Na página Configurar upload, defina a configuração de upload do dispositivo recomendada para Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Se necessário, você pode limitar o upload a uma única coleção de dispositivos.

    • A partir da versão 2010 do Gerenciador de Configurações, quando uma única coleção é selecionada, suas coleções filho também são carregadas.
  8. Marque a opção para Habilitar a análise de ponto de extremidade para dispositivos carregados no Microsoft Endpoint Manager se você também quiser obter insights para otimizar a experiência do usuário final no Endpoint Analytics

  9. Selecione Resumo para analisar sua seleção e, em seguida, escolha Avançar.

  10. Quando o assistente for concluído, selecione Fechar.

Executar ações do dispositivo

  1. Em um navegador, navegue até endpoint.microsoft.com

  2. Selecione Dispositivos e depois Todos os dispositivos para ver os dispositivos carregados. Você verá ConfigMgr na coluna Gerenciado por para dispositivos carregados. Todos os dispositivos no Centro de Administração do Microsoft Endpoint Manager

  3. Selecione um dispositivo para carregar sua página Visão Geral.

  4. Escolha uma das seguintes ações:

    • Política de Sincronização do Computador
    • Sincronizar a Política do Usuário
    • Ciclo de Avaliação do Aplicativo

    Visão geral do dispositivo no Centro de Administração do Microsoft Endpoint Manager

Importar um aplicativo do Azure AD criado anteriormente (opcional)

Durante uma nova integração, um administrador pode especificar um aplicativo criado anteriormente durante a integração à anexação de locatário. Não compartilhe nem reutilize aplicativos do Azure AD em várias hierarquias. Se você tiver várias hierarquias, crie aplicativos separados do Azure AD para cada uma.

Na página de integração do Cloud Attach Configuration Wizard (Assistente de Configuração de Co-gerenciamento nas versões 2103 e anteriores), selecione Opcionalmente, importe um aplicativo Web separado para sincronizar dados do cliente do Gerenciador de Configurações com o centro de administração do Microsoft Endpoint Manager. Essa opção solicitará que você especifique as seguintes informações para seu aplicativo do Azure AD:

  • Nome do locatário do Azure AD
  • ID de locatário do Azure AD
  • Nome do aplicativo
  • ID do cliente
  • Chave secreta
  • Vencimento da chave secreta
  • URI da ID do Aplicativo

Importante

  • O URI da ID do Aplicativo deve usar um dos seguintes formatos:

    • api://{tenantId}/{string}, por exemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
    • https://{verifiedCustomerDomain}/{string}, por exemplo, https://contoso.onmicrosoft.com/ConfigMgrService

    Para obter mais informações sobre como criar um aplicativo do Microsoft Azure AD, consulte Configurar serviços do Azure.

  • Ao usar um aplicativo importado do Azure AD, você não será notificado da data de validade futura por meio das notificações do console.

Configuração e permissões de aplicativo do Azure AD

O uso de um aplicativo criado anteriormente durante a integração à anexação de locatário requer as seguintes permissões:

Exibir o Gerenciador de Configurações do conector do console de administração

No Centro de administração do Microsoft Endpoint Manager, você pode examinar o status do seu conector do Gerenciador de Configurações. Para exibir o status do conector, acesse Administração de locatários > conectores e tokens > Microsoft Endpoint Configuration Manager. Selecione uma Gerenciador de Configurações para exibir informações adicionais sobre ela.

Conector Microsoft Endpoint Configuration Manager no centro de administração

Observação

Algumas informações não estarão disponíveis se a hierarquia estiver executando o Configuration Manager versão 2006 ou anterior.

Offboard da anexação de locatário

Embora possamos saber que os clientes obtêm um valor enorme ao habilitar o anexo de locatário, há casos raros em que talvez seja necessário transferir uma hierarquia. Você pode sair do console Gerenciador de Configurações (método recomendado) ou do Centro de administração do Microsoft Endpoint Manager.

Remoção do console Gerenciador de Configurações

Quando a anexação de locatário já estiver habilitada, edite as propriedades de co-gerenciamento para desabilitar o carregamento e a remoção do dispositivo.

  1. No console de administrador do Gerenciador de Configurações, acesse Administração > Visão Geral > Serviços de Nuvem > Co-gerenciamento.
    • Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.
  2. Na faixa de opções, selecione Propriedades para sua política de produção de co-gerenciamento.
  3. Na guia Configurar upload, remova a seleção Carregar para o Centro de Administração do Microsoft Endpoint Manager.
  4. Selecione Aplicar.

Remover do Centro de administração do Microsoft Endpoint Manager

Se necessário, você pode remover uma hierarquia Gerenciador de Configurações do Centro de administração do Microsoft Endpoint Manager. Por exemplo, talvez seja necessário remover do centro de administração após um cenário de recuperação de desastre em que o ambiente local foi removido. Siga as etapas abaixo para remover sua hierarquia do Configuration Manager do centro de administração do Microsoft Endpoint Manager:

  1. Entre no Centro de administração do Microsoft Endpoint Manager.
  2. Selecione Administração de locatário e, em seguida, Conectores e tokens.
  3. Selecione Microsoft Endpoint Configuration Manager.
  4. Escolha o nome do site que você gostaria de remover e, em seguida, selecione Excluir.
    • O conector pode estar listado como Desconhecido sites da versão 2002 ou se não houver informações do site.

Quando você remove uma hierarquia do centro de administração, pode levar até duas horas para remover do Centro de administração do Microsoft Endpoint Manager. Se você remover um Gerenciador de Configurações 2103 ou posterior que esteja online e íntegro, o processo poderá levar apenas alguns minutos.

Observação

Se você estiver usando funções RBAC com o Intune personalizadas, será necessário conceder permissão Organização > Excluir para remover uma hierarquia.

Próximas etapas