Habilitar Microsoft Intune anexação de locatário: sincronização do dispositivo e ações do dispositivo

Aplica-se a: Configuration Manager (branch atual)

A Microsoft Intune família de produtos é uma solução integrada para gerenciar todos os seus dispositivos. A Microsoft reúne Configuration Manager e Intune em um único console chamado Microsoft Intune centro de administração. Você pode carregar seus Gerenciador de Configurações para o serviço de nuvem e executar ações na lâmina Dispositivos no centro de administração.

Importante

Quando você anexa seu site Configuration Manager com um locatário Microsoft Intune, o site envia mais dados para a Microsoft. O artigo de coleta de dados de anexação de locatário resume os dados enviados.

Habilitar o upload do dispositivo quando o co-gerenciamento já estiver habilitado

Se você tiver o cogerenciamento habilitado atualmente, deverá usar as propriedades de cogerenciamento para habilitar o carregamento do dispositivo. Quando o co-gerenciamento ainda não estiver habilitado, Use o Assistente de Configuração de Anexação Nuvem para habilitar o upload do dispositivo. Antes de habilitar a anexação do locatário, verifique se os pré-requisitos para anexação de locatário são atendidos.

Quando o co-gerenciamento já estiver habilitado, edite as propriedades de co-gerenciamento para habilitar o upload do dispositivo usando as instruções abaixo:

1. No console de administrador do Gerenciador de Configurações, acesse Administração>Visão Geral>Serviços de Nuvem>Co-gerenciamento.
   • Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.
2. Na faixa de opções, selecione Propriedades para sua política de produção de co-gerenciamento.
3. Na guia Configurar upload, selecione Carregar para o Centro de Administração do Microsoft Endpoint Manager. Selecione Aplicar.
   • A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Se necessário, você pode limitar o upload a uma única coleção de dispositivos.
   • Quando uma única coleção é selecionada, suas coleções filhas também são carregadas.
4. Marque a opção para Habilitar a Análise de ponto de extremidade para dispositivos carregados no Microsoft Endpoint Manager se você também quiser obter insights para otimizar a experiência do usuário final no Análise de Ponto de Extremidade.
5. Verifique a opção para impor Controle de Acesso baseados em função para os dispositivos que carregam no serviço de nuvem. Por padrão, SCCM RBAC é imposta junto com Intune RBAC quando você estiver carregando seus dispositivos Configuration Manager para o serviço de nuvem. Portanto, a caixa de seleção é marcada por padrão. Se você quiser impor apenas Intune RBAC ou se estiver usando a conta somente na nuvem, desmarque a opção.
6. Verifique a opção habilitar o carregamento de dados Microsoft Defender para Ponto de Extremidade para relatórios em dispositivos carregados em Microsoft Intune centro de administração se você quiser usar relatórios de Segurança do Ponto de Extremidade no centro de administração Intune

Importante

Quando você habilita o carregamento de dados de análise do Ponto de Extremidade, suas configurações de cliente padrão são atualizadas automaticamente para permitir que os pontos de extremidade gerenciados enviem dados relevantes para seu servidor de site Configuration Manager. Se você usar configurações personalizadas do cliente, talvez seja necessário atualizá-las e implantá-las novamente para que a coleta de dados ocorra. Para obter mais informações sobre isso, bem como como configurar a coleta de dados, como limitar a coleta apenas a um conjunto específico de dispositivos, consulte a seção em Configurar a coleta de dados de análise do Ponto de Extremidade.

1. Entre com sua conta de Administrador Global quando solicitado.
2. Selecione Sim para aceitar a notificação Criar Microsoft Entra Aplicativo. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo Microsoft Entra para facilitar a sincronização.
3. Clique em OK para sair das propriedades de co-gerenciamento depois de fazer alterações.

habilitar o carregamento do dispositivo quando o co-gerenciamento não estiver habilitado

Se você não tiver o cogerenciamento habilitado, use o Assistente de Configuração de Anexação de Nuvem para habilitar o carregamento do dispositivo. Você pode carregar seus dispositivos sem habilitar o registro automático para cogerenciamento ou alternar cargas de trabalho para o Intune. Todos os dispositivos gerenciados por Configuration Manager que têm Sim na coluna Cliente são carregados. Se necessário, você pode limitar o upload a uma única coleção de dispositivos. Se o co-gerenciamento já estiver habilitado em seu ambiente, Editar propriedades de co-gerenciamento para habilitar o upload do dispositivo. Antes de habilitar a anexação de locatário, verifique se os pré-requisitos para anexação de locatário foram atendidos.

Quando o co-gerenciamento não estiver habilitado, use as instruções abaixo para habilitar o upload do dispositivo:

1. No console de administrador do Gerenciador de Configurações, acesse Administração>Visão Geral>Serviços de Nuvem>Co-gerenciamento. Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.

   • A partir Configuration Manager versão 2111, a experiência de integração de anexação do locatário mudou. O assistente de anexação de nuvem facilita a habilitar a anexação do locatário e outros recursos da nuvem. Você pode escolher um conjunto simplificado de padrões recomendados ou personalizar seus recursos de anexação de nuvem. Para obter mais informações sobre como habilitar a anexação de locatário com o novo assistente, consulte Habilitar anexação de nuvem.

2. Na faixa de opções, selecione Configurar a Anexação da Nuvem para abrir o assistente. Para a versão 2103 e anteriores, selecione Configurar o co-gerenciamento para abrir o assistente.

3. Na página de integração, selecione AzurePublicCloud para seu ambiente. A Nuvem do Azure Governamental e Azure China 21Vianet não têm suporte.

   • A partir da versão 2107, os clientes do governo dos EUA podem selecionar AzureUSGovernmentCloud.

4. Selecione Entrar. Use sua conta de Administrador Global para entrar.

5. Verifique se a opção Habilitar o centro de administração do Microsoft Endpoint Manager está selecionada na página Anexação da nuvem. Para a versão 2103 e versões anteriores, selecione a opção Carregar no centro de administração do Microsoft Endpoint Manager na página Integração de locatários.

   • A opção Habilitar o registro automático de cliente para co-gerenciamento não deverá estar marcada se você não desejar habilitar o co-gerenciamento agora. Se você quiser habilitar o cogerenciamento, selecione essa opção.
   • Se você habilitar o cogerenciamento junto com o carregamento do dispositivo, haverá páginas adicionais no assistente a serem concluídas. Para saber mais, confira Habilitar o co-gerenciamento.

   

6. Escolha Avançar e sim para aceitar a notificação Criar Microsoft Entra Aplicativo. Essa ação provisiona uma entidade de serviço e cria um registro de aplicativo Microsoft Entra para facilitar a sincronização.

   • Opcionalmente, você pode importar um aplicativo de Microsoft Entra criado anteriormente durante a integração do locatário. Para obter mais informações, consulte a seção Importar um aplicativo Microsoft Entra criado anteriormente.

7. Na página Configurar upload, defina a configuração de upload do dispositivo recomendada para Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Se necessário, você pode limitar o upload a uma única coleção de dispositivos.

   • Quando uma única coleção é selecionada, suas coleções filhas também são carregadas.

8. Marque a opção para Habilitar a análise de ponto de extremidade para dispositivos carregados no Microsoft Endpoint Manager se você também quiser obter insights para otimizar a experiência do usuário final no Análise de Ponto de Extremidade.

9. Verifique a opção para impor Controle de Acesso baseados em função para os dispositivos que carregam no serviço de nuvem. Por padrão, SCCM RBAC é imposta junto com Intune RBAC quando você estiver carregando seus dispositivos Configuration Manager para o serviço de nuvem. Portanto, a caixa de seleção é marcada por padrão. Se você quiser impor apenas Intune RBAC ou se estiver usando a conta somente na nuvem, desmarque a opção.

10. Verifique a opção habilitar o carregamento de dados Microsoft Defender para Ponto de Extremidade para relatórios em dispositivos carregados em Microsoft Intune centro de administração se você quiser usar relatórios de Segurança do Ponto de Extremidade no centro de administração Intune

11. Selecione Resumo para analisar sua seleção e, em seguida, escolha Avançar.

12. Quando o assistente for concluído, selecione Fechar.

Marcas de escopo

Os dispositivos anexados ao locatário recebem a marca de escopo padrão do Microsoft Intune. Se você remover a marca de escopo padrão de um dispositivo anexado ao locatário, o dispositivo não será exibido no centro de administração Microsoft Intune. Atualmente, os dispositivos conectados ao locatário não podem receber marcas de escopo, ao contrário dos dispositivos cogerenciados.

No entanto, às vezes você não deseja que determinadas funções do Intune vejam os dispositivos anexados ao locatário. Por exemplo, talvez você não queira que alguém com a função de Operador de Suporte Técnico do Intune veja os dispositivos anexados ao locatário porque são servidores. Nesses casos, crie ou use uma função personalizada no Intune que não tenha Padrão listado para suas Marcas de escopo. Ao criar funções personalizadas do Intune, lembre-se de que a marca de escopo padrão é adicionada automaticamente a todos os objetos não marcados.

Executar ações do dispositivo

1. Em um navegador, navegue até intune.microsoft.com

2. Selecione Dispositivos e depois Todos os dispositivos para ver os dispositivos carregados. Você verá ConfigMgr na coluna Gerenciado por para dispositivos carregados.

3. Selecione um dispositivo para carregar sua página Visão Geral.

4. Escolha uma das seguintes ações:

   • Política de Sincronização do Computador
   • Sincronizar a Política do Usuário
   • Ciclo de Avaliação do Aplicativo

   

Exibir o Gerenciador de Configurações do conector do console de administração

No centro de administração Microsoft Intune, você pode examinar o status do conector Configuration Manager. Para exibir o status do conector, acesse Administração de locatários>conectores e tokens>Microsoft Endpoint Configuration Manager. Selecione uma Gerenciador de Configurações para exibir informações adicionais sobre ela.

Exibir recomendações e insights para enriquecer a Configuration Manager experiência de gerenciamento de dispositivos e integridade do site

Você pode exibir recomendações e insights para seus sites de Configuration Manager. Essas recomendações podem ajudá-lo a melhorar a integridade e a infraestrutura do site e enriquecer a experiência de gerenciamento de dispositivos.

As recomendações incluem:

• Como simplificar sua infraestrutura
• Aprimorar o gerenciamento de dispositivos
• Fornecer insights de dispositivo
• Melhorar a integridade do site

Para exibir recomendações, acesse Conectores e tokens de administração > de locatários > Microsoft Endpoint Configuration Manager e selecione um site para exibir recomendações para isso. Depois de selecionado, você encontrará a guia Recomendações que exibe cada insight junto com um link saiba mais que abre detalhes sobre como aplicar essa recomendação.

Offboard da anexação de locatário

Embora possamos saber que os clientes obtêm um valor enorme ao habilitar o anexo de locatário, há casos raros em que talvez seja necessário transferir uma hierarquia. Você pode sair do console Configuration Manager (método recomendável) ou do Microsoft Intune centro de administração.

Remoção do console Gerenciador de Configurações

Quando a anexação de locatário já estiver habilitada, edite as propriedades de co-gerenciamento para desabilitar o carregamento e a remoção do dispositivo.

1. No console de administrador do Gerenciador de Configurações, acesse Administração>Visão Geral>Serviços de Nuvem>Co-gerenciamento.
   • Para a versão 2103 e versões anteriores, selecione o nó Co-gerenciamento.
2. Na faixa de opções, selecione Propriedades para sua política de produção de co-gerenciamento.
3. Na guia Configurar upload, remova a seleção Carregar para o Centro de Administração do Microsoft Endpoint Manager.
4. Selecione Aplicar.

Offboard do centro de administração Microsoft Intune

Se necessário, você pode desativar uma hierarquia de Configuration Manager do centro de administração Microsoft Intune. Por exemplo, talvez seja necessário remover do centro de administração após um cenário de recuperação de desastre em que o ambiente local foi removido. Siga as etapas abaixo para remover sua hierarquia de Configuration Manager do centro de administração Microsoft Intune:

1. Entre no Centro de administração do Microsoft Intune.
2. Selecione Administração de locatário e, em seguida, Conectores e tokens.
3. Selecione Microsoft Endpoint Configuration Manager.
4. Escolha o nome do site que você gostaria de remover e, em seguida, selecione Excluir.
   • O conector pode estar listado como Desconhecido se as informações do site estiverem ausentes.

Quando você desativa uma hierarquia do centro de administração, pode levar até duas horas para remover do Microsoft Intune centro de administração. Se você remover um Gerenciador de Configurações 2103 ou posterior que esteja online e íntegro, o processo poderá levar apenas alguns minutos.

Observação

Se você estiver usando funções RBAC com o Intune personalizadas, será necessário conceder permissão Organização>Excluir para remover uma hierarquia.

Importar um aplicativo Microsoft Entra criado anteriormente (opcional)

Durante uma nova integração, um administrador pode especificar um aplicativo criado anteriormente durante a integração à anexação de locatário. Não compartilhe ou reutilize Microsoft Entra aplicativos em várias hierarquias. Se você tiver várias hierarquias, crie aplicativos Microsoft Entra separados para cada um.

Na página de integração no Assistente de Configuração de Anexação de Nuvem (Assistente de Configuração de Cogerenciamento nas versões 2103 e anterior), selecione Opcionalmente importar um aplicativo Web separado para sincronizar Configuration Manager dados do cliente para Microsoft Intune centro do Endpoint Manager. Essa opção solicitará que você especifique as seguintes informações para seu aplicativo Microsoft Entra:

• Microsoft Entra nome do locatário
• Microsoft Entra ID do locatário
• Nome do aplicativo
• ID do cliente
• Chave secreta
• Vencimento da chave secreta
• URI da ID do Aplicativo

Importante

• O URI da ID do Aplicativo deve usar um dos seguintes formatos:

  • api://{tenantId}/{string}, por exemplo, api://5e97358c-d99c-4558-af0c-de7774091dda/ConfigMgrService
  • https://{verifiedCustomerDomain}/{string}, por exemplo, https://contoso.onmicrosoft.com/ConfigMgrService

  Para obter mais informações sobre como criar um aplicativo Microsoft Entra, consulte Configurar serviços do Azure.

• Quando você usa um aplicativo de Microsoft Entra importado, não é notificado de uma data de validade futura das notificações do console.

Microsoft Entra permissões e configuração do aplicativo

O uso de um aplicativo criado anteriormente durante a integração à anexação de locatário requer as seguintes permissões:

• Permissões do Micro-serviço do Gerenciador de Configurações:

  • CmCollectionData.read
  • CmCollectionData.write

• Permissões do Microsoft Graph:

  • Permissão para aplicativos Directory.Read.All
  • Permissão do diretório delegado Diretório.Read.All

• Verifique se o consentimento do administrador do Grant para Locatário está selecionado para o aplicativo Microsoft Entra. Para obter mais informações, consulte Conceder consentimento do administrador no Registros de aplicativo.

• O aplicativo importado precisa ser configurado da seguinte maneira:

  • Registrado para Somente contas neste diretório organizacional. Para obter mais informações, consulte Alterar quem pode acessar seu aplicativo.
  • Tem um URI de ID de aplicativo e um segredo válidos.

Próximas etapas

• Registrar Gerenciador de Configurações dispositivos na Análise de ponto de extremidade
• Para obter informações sobre os arquivos de log de anexação de locatário, consulte Solução de problemas de anexação de locatário.