配置租户附加以支持 Intune 中的终结点安全策略

  • 项目

使用 Configuration Manager 租户附加方案时,可以将终结点安全策略从 Intune 部署到使用 Configuration Manager 管理的设备。 若要使用此方案,必须先为Configuration Manager配置租户附加,并启用Configuration Manager中的设备集合以用于 Intune。 启用集合以供使用后,可以使用 Microsoft Intune 管理中心创建和部署策略。

使用 Intune 策略进行租户附加的要求

若要支持将 Intune 终结点安全策略用于Configuration Manager设备,Configuration Manager环境需要以下配置。 本文提供了配置指南

租户附加的一般要求

  • 配置租户附加 - 使用租户附加方案,可将设备从 Configuration Manager 同步到 Microsoft Intune 管理中心。 然后,可以使用管理中心将受支持的策略部署到这些集合。

    租户附加通常配置共同管理,但可以自行配置租户附加。

  • 同步Configuration Manager设备和集合 - 配置租户附加后,可以选择Configuration Manager设备与Microsoft Intune管理中心同步。 还可以稍后返回以修改同步的设备。

    选择要同步的设备后,必须 启用 集合以用于 Intune 中的终结点安全策略。 Configuration Manager设备的受支持策略只能分配给已启用的集合。

  • Microsoft Entra ID 的权限 - 若要完成租户附加设置,帐户必须具有 Azure 订阅的全局管理员权限。

  • Microsoft Defender for Endpoint租户 – Microsoft Defender for Endpoint租户必须与Microsoft Intune租户集成, (Microsoft Intune 计划 1 订阅) 。 请参阅 Intune 文档中的使用Microsoft Defender for Endpoint

Configuration Manager Intune 终结点安全策略的版本要求

防病毒

使用租户附加时,管理Configuration Manager设备的防病毒设置

策略路径

  • Endpoint security > 防病毒>Windows 10、Windows 11和 Windows Server (ConfigMgr)

配置文件

  • Microsoft Defender防病毒 (预览版)
  • Windows 安全中心体验 (预览)

所需的Configuration Manager版本

  • Configuration Manager Current Branch 版本 2006 或更高版本

支持Configuration Manager设备平台

  • Windows 8.1 (x86、x64) ,从 Configuration Manager 版本 2010 开始
  • Windows 10 及更高版本(x86, x64, ARM64)
  • Windows 11 及更高版本 (x86、x64、ARM64)
  • Windows Server 2012 R2 (x64) ,从 2010 Configuration Manager 版开始
  • Windows Server 2016 及更高版本 (x64)

重要

2022 年 10 月 22 日,Microsoft Intune终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术支持和自动更新不可用。

如果当前使用 Windows 8.1,建议迁移到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全性和设备功能。

终结点检测和响应

使用租户附加时,管理Configuration Manager设备的终结点检测和响应策略设置

策略路径

  • 终结点安全性 > 终结点检测和响应>Windows 10、Windows 11和 Windows Server (ConfigMgr)

配置文件

  • 终结点检测和响应 (ConfigMgr) (预览版)

所需的Configuration Manager版本

  • Configuration Manager当前分支版本 2002 或更高版本,使用控制台内更新Configuration Manager 2002 修补程序 (KB4563473)
  • Configuration Manager技术预览版 2003 或更高版本

支持Configuration Manager设备平台

  • Windows 8.1 (x86, x64)(从 Configuration Manager 版本 2010 开始)
  • Windows 10 及更高版本 (x86, x64, ARM64)
  • Windows 11 及更高版本 (x86、x64、ARM64)
  • Windows Server 2012 R2 (x64)(从 Configuration Manager 版本 2010 开始)
  • Windows Server 2016 及更高版本 (x64)

重要

2022 年 10 月 22 日,Microsoft Intune终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术支持和自动更新不可用。

如果当前使用 Windows 8.1,建议迁移到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全性和设备功能。

防火墙

支持由 Configuration Manager 管理的设备以预览版提供。

使用租户附加时,管理Configuration Manager设备的防火墙策略设置

策略路径

  • 终结点安全>防火墙>Windows 10及更高版本

配置文件

  • Windows 防火墙 (ConfigMgr)

所需的Configuration Manager版本

  • Configuration Manager当前分支版本 2006 或更高版本,使用控制台内更新Configuration Manager 2006 修补程序 (KB4578605)

支持Configuration Manager设备平台

  • Windows 11 及更高版本 (x86、x64、ARM64)
  • Windows 10 及更高版本 (x86, x64, ARM64)

设置Configuration Manager以支持 Intune 策略

在将 Intune 策略部署到Configuration Manager设备之前,请完成以下部分详述的配置。 这些配置使用Microsoft Defender for Endpoint载入Configuration Manager设备,并使它们能够使用 Intune 策略。

以下任务在 Configuration Manager 控制台中完成。 如果不熟悉Configuration Manager,请与Configuration Manager管理员合作来完成这些任务。

  1. 确认Configuration Manager环境
  2. 配置租户附加和同步设备
  3. 选择要同步的设备
  4. 为终结点安全策略启用集合

提示

若要详细了解如何将 Microsoft Defender for Endpoint 与 Configuration Manager 配合使用,请参阅Configuration Manager内容中的以下文章:

任务 1:确认Configuration Manager环境

Configuration Manager设备的 Intune 策略需要不同最低版本的Configuration Manager,具体取决于首次发布策略的时间。 查看本文前面找到的 Intune 终结点安全策略Configuration Manager版本要求,以确保你的环境支持你计划使用的策略。 较新版本的 Configuration Manager 支持需要早期版本的策略。

当需要Configuration Manager修补程序时,可以将修补程序作为Configuration Manager的控制台内更新。 有关详细信息,请参阅 Configuration Manager 文档中的安装控制台内更新

安装必要的更新后,请返回此处继续配置环境,以支持Microsoft Intune管理中心的终结点安全策略。

任务 2:配置租户附加和同步设备

使用租户附加,可以指定Configuration Manager部署中的设备集合,以便与 Microsoft Intune 管理中心同步。 集合同步后,使用管理中心查看有关这些设备的信息,并将终结点安全策略从 Intune 部署到它们。

有关租户附加方案的详细信息,请参阅在Configuration Manager内容中启用租户附加

未启用共同管理时启用租户附加

提示

使用 Configuration Manager 控制台中的共同管理配置向导来启用租户附加,但不需要启用共同管理。

如果计划启用共同管理,请在继续操作之前熟悉共同管理、其先决条件以及如何管理工作负载。 请参阅Configuration Manager文档中的“什么是共同管理?”

  1. 在Configuration Manager管理控制台中,转到“管理>概述>云服务>Co-management”。

  2. 在功能区中, 选择配置共同管理以打开向导。

  3. 租户载入页面上,选择适用于你的环境的 AzurePublicCloud。 不支持Azure 政府云。

    1. 选择“登录”。 使用 全局管理员 帐户登录。

    2. 确保在“租户载入”页上选择了“上传到Microsoft Intune管理中心”选项。

    3. 启用自动客户端注册进行共同管理中删除检查。

      选择此选项后,向导会显示额外的页面来完成共同管理设置。 有关详细信息,请参阅在Configuration Manager内容中启用共同管理

      配置租户附加

  4. 选择“下一步”,然后选择“”以接受“创建Microsoft Entra应用程序”通知。 此操作预配服务主体并创建Microsoft Entra应用程序注册,以便将集合同步到Microsoft Intune管理中心。

  5. “配置上传”页上,配置要同步的设备集合。可以将配置限制为设备集合,或使用 Microsoft Endpoint Configuration Manager管理的所有设备的建议设备上传设置。

    提示

    现在可以跳过选择集合,稍后使用以下任务任务 3 中的信息来配置要与Microsoft Intune管理中心同步的设备集合。

  6. 选择 “摘要” 查看所选内容,然后选择“ 下一步”。

  7. 向导完成后,选择关闭

租户附加现已配置,所选设备将同步到Microsoft Intune管理中心。

在已使用共同管理时启用租户附加

  1. 在Configuration Manager管理控制台中,转到“管理>概述>云服务>Co-management”。

  2. 右键单击共同管理设置,然后选择 “属性”。

  3. 在“配置上传”选项卡中,选择“上传到Microsoft Intune管理中心”,然后选择“应用”。

    设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 还可以选择将配置限制为一个或几个设备集合。

    查看共同管理属性选项卡

  4. 提示时请使用 全局管理员 帐户登录。

  5. 选择“”接受“创建Microsoft Entra应用程序”通知。 此操作预配服务主体并创建Microsoft Entra应用程序注册,以便于同步。

  6. 如果已完成更改,请选择“ 确定 ”退出共同管理属性。 否则,移动到任务 3,有选择地启用设备上传到Microsoft Intune管理中心。

    租户附加现已配置,所选设备将同步到Microsoft Intune管理中心。

任务 3:选择要同步的设备

配置租户附加后,可以选择要同步的设备。如果尚未同步设备或需要重新配置同步的设备,则可以在 Configuration Manager 控制台中编辑共同管理的属性以执行此操作。

选择要上传的设备

  1. 在Configuration Manager管理控制台中,转到“管理>概述>云服务>Co-management”。

  2. 右键单击共同管理设置,然后选择 “属性”。

  3. 在“配置上传”选项卡中,选择“上传到Microsoft Intune管理中心”,然后选择“应用”。

    设备上载的默认设置是我管理的所有设备 Microsoft Endpoint Configuration Manager。 还可以选择将配置限制为一个或几个设备集合。

任务 4:为终结点安全策略启用集合

将设备配置为同步到Microsoft Intune管理中心后,必须启用集合才能使用终结点安全策略。 启用设备集合以使用 Intune 中的终结点安全策略时,会将配置的集合设置为终结点安全策略的目标。

启用集合以用于终结点安全策略

  1. 从连接到顶级网站的Configuration Manager控制台中,右键单击同步到Microsoft Intune管理中心的设备集合,然后选择“属性”。

  2. 在“云同步”选项卡上,启用“使此集合可用于从管理中心Microsoft Intune分配终结点安全策略”选项。

    配置云同步

  3. 选择“添加”,然后选择要与“收集成员身份结果”同步的Microsoft Entra组。

  4. 选择 “确定” 以保存配置。

    此集合中的设备现在可以使用Microsoft Defender for Endpoint加入,并支持使用 Intune 终结点安全策略。

显示连接器状态

Configuration Manager 连接器提供有关 Configuration Manager 实施的详细信息。 在Microsoft Intune管理中心,可以查看有关Configuration Manager连接器的详细信息,例如上次成功同步的时间和连接状态。

显示 Configuration Manager 连接器状态:

  1. 登录到Microsoft Intune管理中心

  2. 选择“租户管理>连接器”和令牌> Microsoft Endpoint Configuration Manager。 选择 Configuration Manager 层次结构运行版本 2006 或更高版本,以显示有关其他信息。

    显示 Configuration Manager 连接器状态

    注意

    如果层次结构运行的是 Configuration Manager 版本 2006 或更早版本,则某些信息不可用。

确认从 Microsoft Intune 连接到 Configuration Manager 后,即已成功将租户附加到Configuration Manager。

查看本地设备详细信息

可以在Microsoft Intune管理中心查看Configuration Manager客户端详细信息,包括集合、边界组成员身份和特定设备的客户端信息。

查看基于设备的客户端详细信息

使用以下步骤查看特定设备的客户端详细信息:

  1. 在浏览器中,导航到Microsoft Intune管理中心

  2. 选择设备>所有设备

    使用租户附加上传的设备在“托管者”列中显示 ConfigMgr

    Microsoft Intune - 所有设备

  3. 选择通过租户附加从 Configuration Manager 同步的设备。

  4. 选择“ 客户端详细信息 ”以查看更多详细信息。

    每小时更新一次以下字段:

    • 上次策略请求
    • 上次活动时间
    • 管理点

    Microsoft Intune管理中心中的客户端详细信息

  5. 选择 “集合 ”以列出客户端的 集合

    集合有助于将资源组织为可管理单元。

    Microsoft Intune管理中心中的客户端集合

查看基于用户的设备列表

使用以下步骤查看属于用户的设备列表:

  1. 在浏览器中,导航到Microsoft Intune管理中心

  2. 选择“故障排除 + 支持>”“排查选择用户问题>”。

    如果已有显示的用户,选择“更改用户”以选择其他用户。

  3. 搜索或选择列出的用户,然后单击“ 选择”。

    设备表列出了与用户关联的 Configuration Manager 设备。

有关查看客户端详细信息和租户附加的详细信息,请参阅租户附加:管理中心的 ConfigMgr 客户端详细信息

查看本地设备数据

在Microsoft Intune管理中心,可以使用资源浏览器查看已上传Configuration Manager设备的硬件清单。

从资源浏览器查看设备数据:

  1. 在浏览器中,导航到Microsoft Intune管理中心

  2. 选择设备>所有设备

  3. 选择通过租户附加从 Configuration Manager 同步的设备。

    通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 当Configuration Manager和 Intune 应用时,设备还可以显示共同管理,在仅应用 Intune 管理时显示 Intune。

  4. 选择 资源资源管理器 以查看硬件清单。

  5. 搜索或选择一个类(设备值)以从客户端检索信息。

    Microsoft Intune管理中心中的资源浏览器

资源浏览器可以在Microsoft Intune管理中心显示设备清单的历史视图。 进行故障排除时,拥有历史清单数据可以提供有关设备更改的重要信息。

  1. 在Microsoft Intune管理中心,选择“资源资源管理器”(如果尚未选择资源浏览器)。

  2. 选择一个类(设备值)。

  3. 在日期时间选取器中输入自定义日期,以获取历史库存数据。

    从Microsoft Intune管理中心的资源资源管理器中选择日期的屏幕截图

  4. 关闭资源浏览器,并通过选择 X 资源浏览器右上角的图标返回到设备信息。

    使用 Microsoft Intune 管理中心中的 x 图标关闭资源浏览器

有关查看租户附加设备的设备数据详细信息,请参阅租户附加:管理中心的资源浏览器

查看本地应用管理

从 Microsoft Intune 管理中心,可以为租户附加设备实时启动应用程序安装。 可将应用程序部署到设备或用户。 此外,还可以修复、重新评估、重新安装或卸载应用程序。

使用以下步骤将应用程序安装到本地设备:

  1. 在浏览器中,导航到Microsoft Intune管理中心

  2. 选择设备>所有设备

  3. 选择通过租户附加从 Configuration Manager 同步的设备。

    如前所述,通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 当Configuration Manager和 Intune 应用时,设备将显示共同管理,并且仅应用 Intune 管理时显示 Intune。

  4. 选择“ 应用程序 ”以查看适用应用的列表。

  5. 选择尚未安装的应用程序,然后选择“ 安装”。

    从Microsoft Intune管理中心安装应用程序的屏幕截图

有关应用程序和租户附加的详细信息,请参阅租户附加:从管理中心安装应用程序

查看本地脚本

可从云中针对单个 Configuration Manager 托管设备实时运行 PowerShell 脚本。 还可以允许其他角色(如支持人员)运行 PowerShell 脚本。 这提供了由Configuration Manager管理员定义并批准的 PowerShell 脚本在此新环境中使用的所有优势。

  1. 在浏览器中,导航到Microsoft Intune管理中心

  2. 选择设备>所有设备

  3. 选择通过租户附加从 Configuration Manager 同步的设备。

    如前所述,通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 当Configuration Manager和 Intune 应用时,设备将显示共同管理,并且仅应用 Intune 管理时显示 Intune。

  4. 选择 “脚本 ”以查看可用脚本的列表。

    列出了最近运行的直接面向设备的脚本。 此列表包括从管理中心、SDK 或 Configuration Manager 控制台运行的脚本。 不会显示从 Configuration Manager 控制台针对包含设备的集合启动的脚本,除非脚本也是专门为单个设备启动的。

    Microsoft Intune管理中心脚本列表的屏幕截图

有关在租户附加设备上运行脚本的详细信息,请参阅租户附加:从管理中心运行脚本

查看本地设备事件时间线

当Configuration Manager通过租户附加将设备同步到Microsoft Intune时,可以在Microsoft Intune管理中心内看到这些设备的事件时间线。 此时间线显示设备上过去的活动,可帮助你解决问题。

每天Configuration Manager将本地设备事件发送到Microsoft Intune管理中心。 仅在客户端收到“启用终结点分析数据收集”策略后,收集的事件才在管理中心可见。 可通过从 Configuration Manager 安装应用程序或更新,或重启设备来轻松生成测试事件。 事件将保留 30 天。

注意

作为从Microsoft Intune管理中心查看时间线的先决条件,必须在Configuration Manager中将“启用终结点分析数据收集”设置为“是”。 有关实现设备时间线的详细信息,请参阅租户附加:管理中心的设备时间线

若要查看设备事件时间线:

  1. 在浏览器中,导航到Microsoft Intune管理中心

  2. 选择设备>所有设备

  3. 选择通过租户附加从 Configuration Manager 同步的设备。

    如前所述,通过租户附加同步的设备在“托管者”列中显示 ConfigMgr。 当Configuration Manager和 Intune 应用时,设备将显示共同管理,并且仅应用 Intune 管理时显示 Intune。

  4. 选择“时间线”。 默认情况下,会显示过去 24 小时内的事件。

    • 选择“同步”以获取在客户端上生成的最近数据。 默认情况下,设备每天向管理中心发送一次事件。
    • 使用“筛选器”按钮以更改时间范围事件级别提供程序名称
    • 如果选择某个事件,可以查看该事件的详细消息。
    • 选择“刷新”以重新加载页面并查看新收集的事件。

    设备的事件时间线

有关查看租户附加设备的设备事件详细信息,请参阅租户附加:管理中心的设备时间线

后续步骤