Configure inquilino anexar para apoiar políticas de segurança de ponto final da Intune

Quando utilizar o cenário de anexação do inquilino do Gestor de Configuração, pode implementar políticas de segurança de ponto final do Intune para dispositivos que gere com o Gestor de Configuração. Para utilizar este cenário, tem primeiro de configurar o anexo do inquilino para o Gestor de Configuração e ativar coleções de dispositivos do Gestor de Configuração para utilização com o Intune. Depois de as coleções serem ativadas para utilização, utiliza-se o centro de administração Microsoft Endpoint Manager para criar e implementar políticas.

Requisitos para usar a política intune para anexação de inquilinos

Para suportar a utilização de políticas de segurança de ponto final Intune com dispositivos De Gestor de Configuração, o ambiente do Gestor de Configuração requer as seguintes configurações. A orientação de configuração é fornecida neste artigo:

Requisitos gerais para o inquilino anexar

• Configure o inquilino anexa - Com o cenário de anexação do inquilino, sincroniza-se os dispositivos do Gestor de Configuração para o centro de administração Microsoft Endpoint Manager. Em seguida, pode utilizar o centro de administração para implementar políticas apoiadas nessas coleções.

  O adido do inquilino é muitas vezes configurado com cogestão, mas você pode configurar inquilino anexado por si mesmo.

• Sincronizar os dispositivos e coleções do Gestor de Configuração – Depois de configurar o encaixe do inquilino, pode selecionar os dispositivos Do Gestor de Configuração para sincronizar com Microsoft Endpoint Manager centro de administração. Também pode voltar mais tarde para modificar os dispositivos que sincroniza.

  Depois de selecionar dispositivos para sincronizar, deve ativar as coleções para utilização com políticas de segurança de ponto final do Intune. As políticas suportadas para dispositivos De Gestor de Configuração só podem ser atribuídas a coleções que ativou.

• Permissões para Azure AD - Para completar a configuração do anexo do inquilino, você precisará de uma conta com permissões de Administrador Global para a sua subscrição Azure.

• Inquilino do Microsoft Defender for Endpoint – O seu Microsoft Defender para o inquilino Endpoint deve ser integrado com o seu inquilino Microsoft Endpoint Manager (subscrição Intune). Consulte o Microsoft Defender para o Ponto Final na documentação Intune.

Requisitos de versão do Gestor de Configuração para políticas de segurança de ponto final Intune

Antivírus

O suporte para dispositivos geridos pelo Gestor de Configurações está em Pré-Visualização.

Gerir as definições antivírus para dispositivos Do Gestor de Configuração,quando utilizar o encaixe do inquilino.

Percurso político:

• Segurança endpoint > Antivírus > Windows 10, Windows 11, e Windows Server (ConfigMgr)

Perfis:

• Antivírus do Microsoft Defender (pré-visualização)
• experiência Segurança do Windows (pré-visualização)

Versão necessária do Gestor de Configuração:

• Versão atual do gestor de configuração 2006 ou posterior

Plataformas de dispositivos suportados do Gestor de Configuração:

• Windows 10 e posteriormente (x86, x64, ARM64)
• Windows Servidor 2019 e posterior (x64)
• Windows Server 2016 (x64)
• Windows 8.1 (x86, x64), a partir da versão 2010 do Gestor de Configuração
• Windows Server 2012 R2 (x64), a partir da versão Do Gestor de Configuração 2010

Endpoint detection and response (Deteção e resposta de pontos finais)

O suporte para dispositivos geridos pelo Gestor de Configurações está em Pré-Visualização.

Gerir as definições de política de deteção e resposta de ponto final para dispositivos Do Gestor de Configuração,quando utilizar o encaixe do inquilino.

Percurso político:

• Segurança endpoint > > Windows 10 de deteção e resposta de ponto final, Windows 11 e Windows Server (ConfigMgr)

Perfis:

• Deteção e resposta de ponto final (ConfigMgr) (Pré-visualização)

Versão necessária do Gestor de Configuração:

• Versão atual do bloco de configuração 2002 ou posterior, com o Gestor de Configuração de atualização na consola 2002 Hotfix (KB4563473)
• Pré-visualização técnica do Gestor de Configuração 2003 ou posterior

Plataformas de dispositivos suportados do Gestor de Configuração:

• Windows 10 e posteriormente (x86, x64, ARM64)
• Windows 8.1 (x84, x64)
• Windows Servidor 2019 e posterior (x64)
• Windows Server 2016 (x64)
• Windows Server 2012 R2 (x64)

Firewall

O suporte para dispositivos geridos pelo Gestor de Configurações está em Pré-Visualização.

Gerir as definições de política de Firewall para dispositivos Do Gestor de Configuração,quando utilizar o encaixe do inquilino.

Percurso político:

• Windows 10 de segurança de > de fim de ponto e mais tarde

Perfis:

• Microsoft Defender Firewall (ConfigMgr) (pré-visualização)

Versão necessária do Gestor de Configuração:

• Versão atual do bloco de configuração 2006 ou posterior, com o Gestor de Configuração de Atualização na Consola 2006 Hotfix (KB4578605)

Plataformas de dispositivos suportados do Gestor de Configuração:

• Windows 10 e posteriormente (x86, x64, ARM64)

Configurar o Gestor de Configuração para apoiar as políticas do Intune

Antes de implementar as políticas Intune para dispositivos Do Gestor de Configuração, complete as configurações detalhadas nas seguintes secções. Estas configurações a bordo dos dispositivos do Gestor de Configuração com o Microsoft Defender para Endpoint e permitem-lhes trabalhar com as políticas DoTune.

As seguintes tarefas são completadas na consola Do Gestor de Configuração. Se não estiver familiarizado com o Gestor de Configuração, trabalhe com um administrador do Gestor de Configuração para completar estas tarefas.

1. Confirme o ambiente do seu Gestor de Configuração
2. Configure os dispositivos de fixação do inquilino e sincronização de dispositivos
3. Selecione dispositivos para sincronizar
4. Permitir cobranças para políticas de segurança de ponto final

Dica

Para saber mais sobre a utilização do Microsoft Defender para Endpoint com o Gestor de Configuração, consulte os seguintes artigos no conteúdo do Gestor de Configuração:

• Clientes do Gestor de Configuração a Bordo do Microsoft Defender para Endpoint através do centro de administração Microsoft Endpoint Manager
• Microsoft Endpoint Manager inquilina do inquilino: Sincronização de dispositivos e ações do dispositivo

Tarefa 1: Confirmar o ambiente do seu Gestor de Configuração

As políticas intune para dispositivos De Gestor de Configuração requerem diferentes versões mínimas do Gestor de Configuração, dependendo da altura em que a política foi lançada pela primeira vez. Reveja os requisitos da versão do Gestor de Configuração para as políticas de segurança do ponto final intune encontradas anteriormente neste artigo para garantir que o seu ambiente suporta as políticas que pretende utilizar. Uma versão mais recente do Gestor de Configuração irá apoiar políticas que requerem uma versão anterior.

Quando um hotfix do Gestor de Configuração é necessário, pode encontrar o hotfix como uma atualização na consola para o Gestor de Configuração. Para obter mais informações, consulte instalar atualizações na consola na documentação do Gestor de Configuração.

Depois de instalar as atualizações necessárias, volte aqui para continuar a configurar o seu ambiente para apoiar as políticas de segurança do ponto final do centro de administração Microsoft Endpoint Manager.

Tarefa 2: Configurar os dispositivos de fixação do inquilino e sincronizar dispositivos

Com o Inquilino anexar-se especificar coleções de dispositivos da sua implementação de Gestor de Configuração para sincronizar com o centro de administração Microsoft Endpoint Manager. Após a sincronização das coleções, utilize o centro de administração para visualizar informações sobre esses dispositivos e para implementar a política de segurança do Ponto Final do Intune para eles.

Para obter mais informações sobre o cenário de anexação do inquilino, consulte Enable tenant attach in the Configuration Manager content.

Ativar a anexação do inquilino quando a cogestão não foi ativada

Dica

Utiliza o Assistente de Configuração de Cogestão na consola 'Gestor de Configuração' para ativar a ligação do inquilino, mas não precisa de ativar a cogestão.

Se planeia permitir a cogestão, esteja familiarizado com a cogestão, os seus pré-requisitos e como gerir cargas de trabalho antes de continuar. Ver O que é cogestão na documentação do Gestor de Configuração.

1. Na consola de administração do Gestor de Configuração, vá à > > > Cogestão de Serviços em Nuvem de Visão Geral da Administração.

2. Na fita, clique em configurar cogestão para abrir o assistente.

3. Na página de embarque do Inquilino, selecione AzurePublicCloud para o seu ambiente. A nuvem do governo Azure não é apoiada.

   1. Clique em iniciar sção. Utilize a sua conta de Administrador Global para iniciar scontabilidade.

   2. Certifique-se de que a opção Upload para Microsoft Endpoint Manager centro de administração está selecionado na página de embarque do Inquilino.

   3. Remova a verificação de Enable automatic client matricula para cogestão.

      Quando esta opção é selecionada, o Assistente apresenta páginas adicionais para completar a configuração da cogestão. Para obter mais informações, consulte Ativar a cogestão no conteúdo do Gestor de Configurações.

   

4. Clique em Seguinte e, em seguida, Sim para aceitar a notificação da Aplicação Create AAD. Esta ação prevê um principal serviço e cria um registo de aplicação AZure AD para facilitar a sincronização das coleções no centro de administração Microsoft Endpoint Manager.

5. Na página de upload configurar, configure quais as coleções de dispositivos que pretende sincronizar. Pode limitar a sua configuração a coleções de dispositivos ou utilizar a definição de upload recomendada para todos os meus dispositivos geridos por Microsoft Endpoint Configuration Manager.

   Dica

   Pode saltar já a seleção de coleções e, mais tarde, utilizar as informações na seguinte tarefa, Tarefa 3, para configurar quais as coleções de dispositivos para sincronizar com o centro de administração Microsoft Endpoint Manager.

6. Clique em Resumo para rever a sua seleção e, em seguida, clique em Seguinte.

7. Quando o assistente estiver completo, clique em Fechar.

   O encaixe do inquilino está agora configurado e os dispositivos selecionados sincronizam-se para Microsoft Endpoint Manager centro de administração.

Ativar o encaixe do inquilino quando já utilizar a cogestão

1. Na consola de administração do Gestor de Configuração, vá à > > > Cogestão de Serviços em Nuvem de Visão Geral da Administração.

2. Clique com o botão direito nas definições de cogestão e selecione Propriedades.

3. No separador de upload Configure, selecione Upload para Microsoft Endpoint Manager centro de administração. Clique em Aplicar.

   A definição predefinição para o upload do dispositivo é Todos os meus dispositivos geridos por Microsoft Endpoint Configuration Manager. Também pode optar por limitar a sua configuração a uma ou poucas coleções de dispositivos.

   

4. Inscreva-se na sua conta de Administrador Global quando solicitado.

5. Clique em Sim para aceitar a notificação da Aplicação Create AAD. Esta ação prevê um principal serviço e cria um registo de pedidos AZure AD para facilitar a sincronização.

6. Clique em OK para sair das propriedades de cogestão se terminar de fazer alterações. Caso contrário, mude para a Tarefa 3 para ativar seletivamente o carregamento do dispositivo para o centro de administração Microsoft Endpoint Manager.

   O encaixe do inquilino está agora configurado e os dispositivos selecionados sincronizam-se para Microsoft Endpoint Manager centro de administração.

Tarefa 3: Selecione dispositivos para sincronizar

Quando a fixação do inquilino estiver configurada, pode selecionar dispositivos para sincronizar. Se ainda não sincronizou dispositivos ou precisa de reconfigurar quais são sincronizados, pode editar as propriedades da cogestão na consola Do Gestor de Configuração para o fazer.

Selecione dispositivos para carregar

1. Na consola de administração do Gestor de Configuração, vá à > > > Cogestão de Serviços em Nuvem de Visão Geral da Administração.

2. Clique com o botão direito nas definições de cogestão e selecione Propriedades.

3. No separador de upload Configure, selecione Upload para Microsoft Endpoint Manager centro de administração. Clique em Aplicar.

   A definição predefinição para o upload do dispositivo é Todos os meus dispositivos geridos por Microsoft Endpoint Configuration Manager. Também pode optar por limitar a sua configuração a uma ou poucas coleções de dispositivos.

Tarefa 4: Permitir cobranças para políticas de segurança de pontos finais

Depois de configurar dispositivos para sincronizar com Microsoft Endpoint Manager centro de administração, deve permitir que as coleções funcionem com políticas de segurança de ponto final. Quando permite que as coleções de dispositivos funcionem com as políticas de segurança do ponto final da Intune, está a disponibilizar as coleções configuradas para serem direcionadas com políticas de segurança de ponto final.

Permitir a utilização de coleções com políticas de segurança de ponto final

1. A partir de uma consola do Gestor de Configuração ligada ao seu site de nível superior, clique com o botão direito numa coleção de dispositivos que sincroniza para Microsoft Endpoint Manager centro de administração e selecione Propriedades.

2. No separador Cloud Sync, ative a opção de disponibilizar esta coleção para atribuir políticas de segurança Endpoint a partir de Microsoft Endpoint Manager centro de administração.

   • Não pode selecionar esta opção se a sua hierarquia de Gestor de Configuração não estiver ligada ao inquilino.
   • As coleções disponíveis para esta opção são limitadas pelo âmbito de recolha selecionado para o upload de anexação do inquilino.

   

3. Selecione OK para guardar a configuração.

   Os dispositivos desta coleção podem agora entrar a bordo com o Microsoft Defender para Endpoint e apoiar a utilização das políticas de segurança do ponto final do Intune.

Passos seguintes

• Configure as políticas de segurança endpoint para antivírus, firewall e resposta de Ponto final.

• Saiba mais sobre o Microsoft Defender para Endpoint.