設定租使用者附加以支援來自 Intune 的端點安全策略

當您使用 Configuration Manager 租使用者附加案例時，可以將端點安全策略從 Intune 部署到您使用 Configuration Manager 管理的裝置。 若要使用此案例，您必須先設定 Configuration Manager 的租使用者附加，並啟用 Configuration Manager 的裝置集合以搭配 Intune 使用。 啟用集合以供使用之後，您可以使用 Microsoft Intune 系統管理中心來建立和部署原則。

針對租使用者附加使用 Intune 原則的需求

若要支援搭配使用 Intune 端點安全策略與 Configuration Manager 裝置，您的 Configuration Manager 環境需要下列設定。 本文提供設定指引：

租使用者附加的一般需求

• 設定租使用者附加 - 使用 租使用者附加 案例時，您會將裝置從 Configuration Manager 同步至 Microsoft Intune 系統管理中心。 然後，您可以使用系統管理中心，將支援的原則部署到這些集合。

  租使用者附加通常會設定共同管理，但您可以自行設定租使用者附加。

• 同步處理 Configuration Manager 裝置和集合 – 設定租使用者附加之後，您可以選取要與 Microsoft Intune 系統管理中心同步處理的 Configuration Manager 裝置。 您也可以稍後返回以修改您同步處理的裝置。

  選取要同步處理的裝置之後，您必須 啟 用集合，以搭配 Intune 的端點安全策略使用。 Configuration Manager 裝置的支持原則只能指派給您已 啟用的集合。

• Microsoft Entra ID 的 許可權 - 若要完成租使用者附加的設定，您的帳戶必須具有 Azure 訂用帳戶的全域管理員許可權。

• 適用於端點的 Microsoft Defender 租使用者 – 適用於端點的 Microsoft Defender 租用戶必須與 Microsoft Intune 租使用者整合 (Microsoft Intune 方案 1 訂閱) 。 請參閱 Intune 檔中的 使用適用於端點的 Microsoft Defender 。

Intune 端點安全策略的 Configuration Manager 版本需求

防毒軟體

當您使用租使用者附加時，管理 Configuration Manager 裝置的防病毒軟體設定。

原則路徑：

• 端點安全 > 性防病毒軟體 > Windows 10、Windows 11 和 Windows Server (ConfigMgr)

設定檔：

• Microsoft Defender 防病毒軟體 (預覽)
• Windows 安全性體驗 (預覽)

Configuration Manager 的必要版本：

• Configuration Manager 最新分支 2006 版或更新版本

支援的 Configuration Manager 裝置平臺：

• 從 Configuration Manager 2010 版開始，Windows 8.1 (x86、x64)
• Windows 10 及更新版本 (x86、x64、ARM64)
• Windows 11 和更新版本 (x86、x64、ARM64)
• Windows Server 2012 R2 (x64) ，從 Configuration Manager 2010 版開始
• windows Server 2016 和更新版本 (x64)

重要事項

在 2022 年 10 月 22 日，Microsoft Intune 終止支援執行 Windows 8.1 的裝置。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，則建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

端點偵測及回應

若要在使用租使用者附加時管理 Configuration Manager 裝置的端點偵測和響應原則設定。

平臺： Windows 10、Windows 11 和 Windows Server (ConfigMgr)

設定檔： ConfigMgr (端點偵測和回應)

Configuration Manager 的必要版本：

• Configuration Manager 最新分支 2002 版或更新版本，具有控制台內更新 Configuration Manager 2002 Hotfix (KB4563473)
• Configuration Manager Technical Preview 2003 或更新版本

支援的 Configuration Manager 裝置平臺：

• Windows 8.1 (x86、x64)，從 Configuration Manager 版本 2010 開始
• Windows 10 及更新版本 (x86、x64、ARM64)
• Windows 11 和更新版本 (x86、x64、ARM64)
• Windows Server 2012 R2 (x64)，從 Configuration Manager 版本 2010 開始
• windows Server 2016 和更新版本 (x64)

重要事項

在 2022 年 10 月 22 日，Microsoft Intune 終止支援執行 Windows 8.1 的裝置。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1，則建議您移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

防火牆

Configuration Manager 所管理裝置的支援目前為預覽狀態。

當您使用租使用者附加時，管理 Configuration Manager 裝置的防火牆原則設定。

原則路徑：

• 端點安全 > 性防火牆 > Windows 10 和更新版本

設定檔：

• Windows 防火牆 (ConfigMgr)

Configuration Manager 的必要版本：

• Configuration Manager 最新分支 2006 版或更新版本，具有控制台內更新 Configuration Manager 2006 Hotfix (KB4578605)

支援的 Configuration Manager 裝置平臺：

• Windows 11 和更新版本 (x86、x64、ARM64)
• Windows 10 及更新版本 (x86、x64、ARM64)

設定 Configuration Manager 以支援 Intune 原則

將 Intune 原則部署至 Configuration Manager 裝置之前，請先完成下列各節中詳述的設定。 這些設定會使用適用於端點的 Microsoft Defender 將您的 Configuration Manager 裝置上線，並可讓它們使用 Intune 原則。

下列工作會在 Configuration Manager 控制台中完成。 如果您不熟悉 Configuration Manager，請與 Configuration Manager 系統管理員合作以完成這些工作。

1. 確認您的 Configuration Manager 環境
2. 設定租用戶連結和同步處理裝置
3. 選取要同步處理的裝置
4. 啟用端點安全策略的集合

提示

若要深入瞭解如何搭配使用適用於端點的 Microsoft Defender 與 Configuration Manager，請參閱 Configuration Manager 內容中的下列文章：

• 透過 Microsoft Intune 系統管理中心將 Configuration Manager 用戶端上線至適用於端點的 Microsoft Defender
• Microsoft Intune 租用戶連結：裝置同步處理和裝置動作

工作 1：確認您的 Configuration Manager 環境

Configuration Manager 裝置的 Intune 原則需要不同的最低 Configuration Manager 版本，視第一次發行原則的時間而定。 檢閱本文稍早找到 的 Intune 端點安全策略的 Configuration Manager 版本需求 ，以確保您的環境支援您打算使用的原則。 較新版本的 Configuration Manager 支援需要舊版的原則。

需要 Configuration Manager Hotfix 時，您可以找到 Hotfix 作為 Configuration Manager 的控制台內更新。 如需詳細資訊，請參閱 Configuration Manager 檔中的 安裝控制台內更新 。

安裝必要的更新之後，請返回這裡繼續設定您的環境，以從 Microsoft Intune 系統管理中心支援端點安全策略。

工作 2：設定租用戶連結和同步處理裝置

透過租使用者附加，您可以指定 Configuration Manager 部署中要與 Microsoft Intune 系統管理中心同步的裝置集合。 同步集合之後，請使用系統管理中心來檢視這些裝置的相關信息，並將端點安全策略從 Intune 部署到這些裝置。

如需租使用者附加案例的詳細資訊，請參閱 啟用 Configuration Manager 內容中的租使用者附加。

未啟用共同管理時啟用租使用者附加

提示

您可以使用 Configuration Manager 控制台中的 [共同管理 設定精靈] 來啟用租用戶連結，但不需要啟用共同管理。

如果您打算啟用共同管理，請先熟悉共同管理、其必要條件，以及如何在繼續之前管理工作負載。 請參閱 Configuration Manager 檔中的什麼是共同管理？

1. 在 Configuration Manager 管理控制台中，移至 [ 系統管理>概觀>] [雲端服務>共同管理]。

2. 在功能區中，選取 設定共同管理 以開啟精靈。

3. 在 租用戶上線 頁面上，選取 AzurePublicCloud 環境。 不支援 Azure Government 雲端。

   1. 選取 [登入]。 使用您的 全域系統管理員 帳戶來登入。

   2. 確定已在 [租用戶上線] 頁面上選取 [上傳至 Microsoft Intune 系統管理中心] 選項。

   3. 從 [ 啟用共同管理的自動用戶端註冊] 移除檢查。

      選取此選項時，精靈會顯示額外的頁面來完成共同管理的設定。 如需詳細資訊，請參閱啟用 Configuration Manager 內容中 的共同管理 。

      

4. 選 取 [下一步 ]，然後選取 [ 是 ] 接受 [建立 Microsoft Entra 應用程式 ] 通知。 此動作會布建服務主體，並建立 Microsoft Entra 應用程式註冊，以協助將集合同步至 Microsoft Intune 系統管理中心。

5. 在 [ 設定上傳 ] 頁面上，設定您要同步的裝置集合。您可以將設定限制為裝置集合，或使用 Microsoft Endpoint Configuration Manager 管理的所有裝置的建議裝置上傳設定。

   提示

   您現在可以略過選取集合，稍後再使用下列工作 Task 3 中的資訊，設定要與 Microsoft Intune 系統管理中心同步的裝置集合。

6. 選 取 [摘要 ] 以檢閱您的選取專案，然後選取 [ 下一步]。

7. 精靈完成時，選取 關閉。

租使用者附加現已設定，且選取的裝置會同步至 Microsoft Intune 系統管理中心。

當您已使用共同管理時啟用租使用者附加

1. 在 Configuration Manager 管理控制台中，移至 [ 系統管理>概觀>] [雲端服務>共同管理]。

2. 以滑鼠右鍵按兩下您的共同管理設定，然後選取 [ 屬性]。

3. 在 [ 設定上傳] 索 引卷標中，選取 [ 上傳至 Microsoft Intune 系統管理中心]，然後選取 [ 套用]。

   裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 您也可以選擇將設定限制為一或多個裝置集合。

   

4. 出現提示時，請使用您的 全域管理員 帳戶登入。

5. 選取 [是 ] 以接受 建立 Microsoft Entra Application 通知。 此動作會布建服務主體，並建立 Microsoft Entra 應用程式註冊來加速同步處理。

6. 如果您完成變更，請選取 [確定 ] 以結束共同管理屬性。 否則，請移至工作 3，選擇性地啟用裝置上傳至 Microsoft Intune 系統管理中心。

   租使用者附加現已設定，且選取的裝置會同步至 Microsoft Intune 系統管理中心。

工作 3：選取要同步處理的裝置

設定租使用者附加時，您可以選取要同步處理的裝置。如果您尚未同步處理裝置，或需要重新設定要同步的裝置，您可以在 Configuration Manager 控制台中編輯共同管理的屬性來執行此動作。

選取要上傳的裝置

1. 在 Configuration Manager 管理控制台中，移至 [ 系統管理>概觀>] [雲端服務>共同管理]。

2. 以滑鼠右鍵按兩下您的共同管理設定，然後選取 [ 屬性]。

3. 在 [ 設定上傳] 索 引卷標中，選取 [ 上傳至 Microsoft Intune 系統管理中心]，然後選取 [ 套用]。

   裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 您也可以選擇將設定限制為一或多個裝置集合。

工作 4：啟用端點安全策略的集合

將裝置設定為同步至 Microsoft Intune 系統管理中心之後，您必須啟用集合以使用端點安全策略。 當您從 Intune 啟用裝置集合以使用端點安全策略時，您要讓已設定的集合能夠以端點安全策略為目標。

啟用集合以搭配端點安全策略使用

1. 從連線到最上層月臺的 Configuration Manager 控制台，以滑鼠右鍵按下您同步至 Microsoft Intune 系統管理中心的裝置集合，然後選取 [ 內容]。

2. 在 [ 雲端同步] 索引 標籤上，啟用 [ 讓此集合可供使用] 選項，以從 Microsoft Intune 系統管理中心指派端點安全策略。

   • 如果您的 Configuration Manager 階層未附加租使用者，則無法選取此選項。
   • 此選項可用的集合受限於 針對租使用者附加上傳選取的集合範圍。

   

3. 選取 [新增 ]，然後選取您想要與 [ 收集成員資格] 結果同步的 Microsoft Entra 群組。

4. 選取 [確定 ] 以儲存設定。

   此集合中的裝置現在可以使用適用於端點的 Microsoft Defender 上線，並支援使用 Intune 端點安全策略。

顯示連接器狀態

組態管理員連接器提供有關您的組態管理員執行的詳細資訊。 從 Microsoft Intune 系統管理中心，您可以檢閱 Configuration Manager 連接器的詳細數據，例如上次成功的同步處理時間和聯機狀態。

若要顯示組態管理員連接器狀態:

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 租用戶管理> 連接器和權杖>Microsoft 端點組態管理員。 選取執行版本 2006 或更新版本的組態管理員階層，以顯示其他相關資訊。

   

   注意事項

   如果階層是使用組態管理員版本 2006 或更早版本，某些資訊將不可用。

一旦您確認從 Microsoft Intune 連線到 Configuration Manager 的連線狀況 良好，您就已成功將租用戶連結至 Configuration Manager。

檢視內部部署裝置詳細資料

您可以在 Microsoft Intune 系統管理中心檢視 Configuration Manager 用戶端詳細數據，包括集合、界限群組成員資格，以及特定裝置的客戶端資訊。

根據裝置來查看用戶端詳細資料

使用下列步驟來查看特定裝置用戶端詳細資料:

1. 在瀏覽器中，流覽至 Microsoft Intune 系統管理中心。

2. 選 取 [所有>裝置的裝置]。

   使用租使用者附加上傳的裝置會在 [管理者] 數據行中顯示 ConfigMgr。

   

3. 選取透過租用戶附加從組態管理員同步的裝置。

4. 選取 [客戶端詳細資料 ] 以查看更多詳細資料。

   一小時一次，會更新下列欄位:

   • 上次原則要求
   • 上次使用時間
   • 管理點

   

5. 選 取 [集合 ] 以列出用戶端的 集合。

   集合可協助您將資源組織成可管理的單位。

   

根據使用者來檢視裝置清單

使用下列步驟來檢視屬於使用者的裝置清單:

1. 在瀏覽器中，流覽至 Microsoft Intune 系統管理中心。

2. 選 取 [疑難解答 + 支援>疑難解答>][選取使用者]。

   如果您已經有顯示的使用者，請選擇 變更使用者 以選取不同的使用者。

3. 搜尋或選取列出的使用者，然後按下 [ 選取]。

   此 裝置 表格列出與使用者相關聯的組態管理員裝置。

有關檢視用戶端詳細資料及租用戶附加的詳細資訊，請參閱 租用戶附加: 系統管理中心的組態管理員用戶端詳細資料。

檢視內部部署裝置數據

從 Microsoft Intune 系統管理中心，您可以使用資源總管來檢視已上傳 Configuration Manager 裝置的硬體清查。

若要從資源總管檢視裝置資料:

1. 在瀏覽器中，流覽至 Microsoft Intune 系統管理中心。

2. 選 取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   透過租使用者附加同步的裝置會在 [管理者] 數據行中顯示 ConfigMgr。 裝置也可以在套用 Configuration Manager 和 Intune 時顯示 共同管理 ，並在僅套用 Intune 管理時顯示 Intune 。

4. 選取 [資源總管] 以檢視硬體清查。

5. 搜尋或選取類別 (裝置值) 以從用戶端中擷取資訊。

   

資源總管可以在 Microsoft Intune 系統管理中心顯示裝置清查的歷史檢視。 當您進行疑難解答時，擁有歷程記錄清查數據可以提供有關裝置變更的寶貴資訊。

1. 如果您尚未選取 [資源 總管]，請從 Microsoft Intune 系統管理中心選取 [資源總管]。

2. 選取類別 (裝置值)。

3. 在日期時間選擇器中輸入自訂日期，以取得歷史清查資料。

   

4. 關閉資源總管，然後選 X 取資源總管右上方的圖示返回裝置資訊。

   

有關檢視租用戶附加裝置之裝置資料詳細資訊，請參閱 租用戶附加: 系統管理中心的資源總管。

檢視內部部署應用程式管理

從 Microsoft Intune 系統管理中心，您可以針對租使用者連結的裝置即時起始應用程式安裝。 您可以將應用程式部署至裝置或使用者。 此外，您也可以修復、重新評估、重新安裝或卸載應用程式。

使用下列步驟將應用程式安裝至內部部署裝置:

1. 在瀏覽器中，流覽至 Microsoft Intune 系統管理中心。

2. 選 取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   如先前所述，透過租使用者附加同步的裝置會在 [管理者] 數據行中顯示 ConfigMgr。 當 Configuration Manager 和 Intune 同時套用時，裝置會顯示 共同管理 ，並且在僅套用 Intune 管理時顯示 Intune 。

4. 選 取 [應用程式 ] 以檢視適用應用程式的清單。

5. 選取尚未安裝的應用程式，然後選取 [ 安裝]。

   

有關應用程式和租用戶附加的詳細資訊，請參閱 租用戶附加: 從系統管理中心安裝應用程式。

檢視內部部署腳本

您可以針對個別組態管理員受管理的裝置即時從雲端執行 PowerShell 指令碼。 您也可以允許其他角色，例如 Helpdesk，執行 PowerShell 腳本。 這可提供 Configuration Manager 系統管理員定義並核准的 PowerShell 腳本在此新環境中使用的所有優點。

1. 在瀏覽器中，流覽至 Microsoft Intune 系統管理中心。

2. 選 取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   如先前所述，透過租使用者附加同步的裝置會在 [管理者] 數據行中顯示 ConfigMgr。 當 Configuration Manager 和 Intune 同時套用時，裝置會顯示 共同管理 ，並且在僅套用 Intune 管理時顯示 Intune 。

4. 選 取 [文稿] 以檢視可用文稿的清單。

   列出最近執行且直接以裝置為目標的腳本。 此清單包含從系統管理中心、SDK, 或組態管理員主控台執行的指令碼。 除非腳本也特別針對單一裝置起始，否則不會顯示從 Configuration Manager 控制台針對包含裝置之集合起始的腳本。

   

有關在租用戶附加裝置上執行指令碼的其他資訊，請參閱 租用戶附加: 從系統管理中心執行指令碼。

檢視內部部署裝置事件時間軸

當 Configuration Manager 透過租使用者附加將裝置同步至 Microsoft Intune 時，您可以在 Microsoft Intune 系統管理中心內看到這些裝置的事件時程表。 此時間表會顯示裝置上過去的活動，可協助疑難排解問題。

一天一次，Configuration Manager 會將內部部署裝置事件傳送至 Microsoft Intune 系統管理中心。 只有用戶端收到 啟用端點分析資料收集 原則之後收集的事件，才能在系統管理中心顯示。 您可以安裝應用程式或更新組態管理員，或重新啟動裝置，以輕鬆產生測試事件。 活動會保留 30 天。

注意事項

作為從 Microsoft Intune 系統管理中心檢視時程表的 必要條件 ，您必須在 Configuration Manager 中將 [ 啟用端點分析數據收集 ] 設定為 [ 是 ]。 有關執行裝置時間表的其他資訊，請參閱 租用戶附加: 系統管理中心的裝置時間表。

若要檢視裝置事件時間表:

1. 在瀏覽器中，流覽至 Microsoft Intune 系統管理中心。

2. 選 取 [所有>裝置的裝置]。

3. 選取透過租用戶附加從組態管理員同步的裝置。

   如先前所述，透過租使用者附加同步的裝置會在 [管理者] 數據行中顯示 ConfigMgr。 當 Configuration Manager 和 Intune 同時套用時，裝置會顯示 共同管理 ，並且在僅套用 Intune 管理時顯示 Intune 。

4. 選取 [時間表]。 根據預設，會顯示過去 24 小時內的事件。

   • 選取 同步 以抓取用戶端上最近產生的資料。 裝置預設每天傳送事件一次至系統管理中心。
   • 使用 篩選 按鈕來變更 時間範圍， 事件層級, 和 提供者名稱。
   • 如果您選取事件，您可以檢視其詳細訊息。
   • 選取 重新整理 以重載頁面，並查看最新收集的事件。

   

有關檢視租用戶附加裝置裝置之裝置事件詳細資訊，請參閱租用戶附加: 系統管理中心的裝置時間表。

後續步驟

• 設定防病毒軟體、防火牆和端點偵測和回應的端點安全策略。

• 深入瞭解 適用於端點的 Microsoft Defender。