Konfigurace připojení tenanta pro podporu zásad zabezpečení koncových bodů z Intune

Když použijete scénář připojení tenanta Configuration Manager, můžete zásady zabezpečení koncových bodů nasadit z Intune do zařízení, která spravujete pomocí Configuration Manager. Pokud chcete tento scénář použít, musíte nejprve nakonfigurovat připojení tenanta pro Configuration Manager a povolit kolekce zařízení z Configuration Manager pro použití s Intune. Po povolení používání kolekcí použijete k vytvoření a nasazení zásad centrum pro správu Microsoft Intune.

Požadavky na použití zásad Intune pro připojení tenanta

Pro podporu používání zásad zabezpečení koncových bodů Intune u Configuration Manager zařízení vyžaduje vaše Configuration Manager prostředí následující konfigurace. Pokyny ke konfiguraci najdete v tomto článku:

Obecné požadavky na připojení tenanta

• Konfigurace připojení tenanta – Ve scénáři připojení tenanta synchronizujete zařízení z Configuration Manager do centra pro správu Microsoft Intune. Pak můžete použít Centrum pro správu k nasazení podporovaných zásad do těchto kolekcí.

  Připojení tenanta se často konfiguruje se spolusprávou, ale připojení tenanta můžete nakonfigurovat samostatně.

• Synchronizace Configuration Manager zařízení a kolekcí – Po konfiguraci připojení tenanta můžete vybrat Configuration Manager zařízení, která chcete synchronizovat s centrem pro správu Microsoft Intune. Později se také můžete vrátit a upravit zařízení, která synchronizujete.

  Po výběru zařízení k synchronizaci musíte povolit kolekce pro použití se zásadami zabezpečení koncových bodů z Intune. Podporované zásady pro Configuration Manager zařízení je možné přiřadit jenom ke kolekcím, které jste povolili.

• Oprávnění k Microsoft Entra ID – K dokončení nastavení připojení tenanta musí mít váš účet oprávnění globálního správce pro vaše předplatné Azure.

  Důležité

  Microsoft doporučuje používat role s co nejmenším počtem oprávnění. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

• Tenant pro Microsoft Defender for Endpoint – Váš tenant Microsoft Defender for Endpoint musí být integrovaný s tenantem Microsoft Intune (Microsoft Intune – plán 1 předplatném). Viz Použití Microsoft Defender for Endpoint v dokumentaci k Intune.

Configuration Manager požadavky na verzi pro zásady zabezpečení koncových bodů Intune

Antivirus

Spravovat nastavení antivirové ochrany pro Configuration Manager zařízení, když používáte připojení tenanta.

Cesta k zásadám:

• Antivirová ochrana > zabezpečení > koncového bodu ve Windows (ConfigMgr)

Profily:

• Microsoft Defender Antivirus (Preview)
• Zabezpečení Windows prostředí (Preview)

Požadovaná verze Configuration Manager:

• Configuration Manager aktuální větev verze 2006 nebo novější

Podporované platformy Configuration Manager zařízení:

• Windows 8.1 (x86, x64), počínaje Configuration Manager verzí 2010
• Windows 10 a novější (x86, x64, ARM64)
• Windows 11 a novější (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), počínaje Configuration Manager verzí 2010
• Windows Server 2016 a novější (x64)

Důležité

22. října 2022 Microsoft Intune ukončil podporu pro zařízení se systémem Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, pak doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má vestavěné funkce zabezpečení a zařízení, které spravují klientská zařízení Windows 10/11.

Detekce a reakce koncového bodu

Správa nastavení zásad zjišťování koncových bodů a odpovědí pro zařízení Configuration Manager, když používáte připojení tenanta.

Platforma: Windows (ConfigMgr)

Profil: Detekce a odezva koncového bodu (ConfigMgr)

Požadovaná verze Configuration Manager:

• Configuration Manager aktuální větev verze 2002 nebo novější s konzolovou aktualizací hotfix Configuration Manager 2002 (KB4563473)
• Configuration Manager Technical Preview 2003 nebo novější

Podporované platformy Configuration Manager zařízení:

• Windows 8.1 (x86, x64), počínaje verzí Správce konfigurace 2010
• Windows 10 a novější (x86, x64, ARM64)
• Windows 11 a novější (x86, x64, ARM64)
• Windows Server 2012 R2 (x64) od Správce konfigurace verze 2010
• Windows Server 2016 a novější(x64)

Důležité

22. října 2022 Microsoft Intune ukončil podporu pro zařízení se systémem Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

Pokud aktuálně používáte Windows 8.1, pak doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má vestavěné funkce zabezpečení a zařízení, které spravují klientská zařízení Windows 10/11.

Brána firewall

Podpora zařízení spravovaných službou Configuration Manager je ve verzi Preview.

Spravovat nastavení zásad brány firewall pro Configuration Manager zařízení, když používáte připojení tenanta.

Cesta k zásadám:

• Brána firewall zabezpečení > koncového bodu

Profily:

• Brána Windows Firewall (ConfigMgr)

Požadovaná verze Configuration Manager:

• Configuration Manager aktuální větev verze 2006 nebo novější s konzolovou aktualizací Configuration Manager 2006 Hotfix (KB4578605)

Podporované platformy Configuration Manager zařízení:

• Windows 11 a novější (x86, x64, ARM64)
• Windows 10 a novější (x86, x64, ARM64)

Nastavení Configuration Manager pro podporu zásad Intune

Před nasazením zásad Intune do Configuration Manager zařízení dokončete konfigurace popsané v následujících částech. Tyto konfigurace nasadí zařízení Configuration Manager pomocí Microsoft Defender for Endpoint a umožní jim pracovat se zásadami Intune.

V konzole Configuration Manager se dokončí následující úlohy. Pokud nemáte zkušenosti s Configuration Manager, dokončete tyto úlohy ve spolupráci se správcem Configuration Manager.

1. Ověření prostředí Configuration Manager
2. Konfigurace připojení a synchronizace zařízení tenanta
3. Výběr zařízení k synchronizaci
4. Povolení kolekcí pro zásady zabezpečení koncových bodů

Tip

Další informace o používání Microsoft Defender for Endpoint s Configuration Manager najdete v následujících článcích v Configuration Manager obsahu:

• Onboarding klientů Configuration Manager k Microsoft Defender for Endpoint prostřednictvím Centra pro správu Microsoft Intune
• připojení tenanta Microsoft Intune: Synchronizace zařízení a akce zařízení

Úkol 1: Ověření prostředí Configuration Manager

Intune zásady pro Configuration Manager zařízení vyžadují různé minimální verze Configuration Manager v závislosti na tom, kdy byly zásady poprvé vydány. Projděte si požadavky Configuration Manager verze pro zásady zabezpečení koncových bodů Intune uvedené výše v tomto článku a ujistěte se, že vaše prostředí podporuje zásady, které plánujete použít. Novější verze Configuration Manager podporuje zásady, které vyžadují starší verzi.

Pokud je nutná Configuration Manager oprava hotfix, můžete ji najít jako aktualizaci v konzole pro Configuration Manager. Další informace najdete v tématu Instalace aktualizací v konzole v dokumentaci Configuration Manager.

Po instalaci nezbytných aktualizací se vraťte sem a pokračujte v konfiguraci prostředí tak, aby podporovalo zásady zabezpečení koncových bodů z centra pro správu Microsoft Intune.

Úloha 2: Konfigurace připojení a synchronizace zařízení tenanta

Pomocí připojení tenanta zadáte kolekce zařízení z nasazení Configuration Manager, které se mají synchronizovat s centrem pro správu Microsoft Intune. Po synchronizaci kolekcí můžete pomocí Centra pro správu zobrazit informace o těchto zařízeních a nasadit zásady zabezpečení koncových bodů z Intune do nich.

Další informace o scénáři připojení tenanta najdete v tématu Povolení připojení tenanta v obsahu Configuration Manager.

Povolení připojení tenanta, když není povolená spoluspráva

Tip

Pomocí Průvodce konfigurací spolusprávy v konzole Configuration Manager povolíte připojení tenanta, ale nemusíte povolovat spolusprávu.

Pokud plánujete povolit spolusprávu, před pokračováním se seznamte se spolusprávou, jejími požadavky a se správou úloh. Viz Co je spoluspráva? v dokumentaci k Configuration Manager.

1. V konzole pro správu Configuration Manager přejděte naPřehled>správy>Cloud Services>Správa.

2. Na pásu karet vyberte Konfigurovat spolusprávu a otevřete průvodce.

3. Na stránce onboarding tenanta vyberte AzurePublicCloud pro vaše prostředí. Azure Government cloud se nepodporuje.

   1. Vyberte Přihlásit se. Přihlaste se pomocí účtu globálního správce .

   2. Ujistěte se, že je na stránce Onboarding tenanta vybraná možnost Nahrát do centra pro správu Microsoft Intune.

   3. Zrušte zaškrtnutí políčka Povolit automatickou registraci klientů pro spolusprávu.

      Pokud je tato možnost vybrána, průvodce zobrazí další stránky pro dokončení nastavení spolusprávy. Další informace najdete v tématu Povolení spolusprávy v obsahu Configuration Manager.

      

4. Výběrem možnosti Další a potom anopřijměte oznámení o vytvoření aplikace Microsoft Entra. Tato akce zřídí instanční objekt a vytvoří registraci aplikace Microsoft Entra, která usnadňuje synchronizaci kolekcí do centra pro správu Microsoft Intune.

5. Na stránce Konfigurovat nahrávání nakonfigurujte, které kolekce zařízení chcete synchronizovat. Konfiguraci můžete omezit na kolekce zařízení nebo použít doporučené nastavení nahrávání zařízení pro Všechna moje zařízení spravovaná službou Microsoft Endpoint Configuration Manager.

   Tip

   Výběr kolekcí teď můžete přeskočit a později pomocí informací v následující úloze Úkol 3 nakonfigurovat, které kolekce zařízení se mají synchronizovat s centrem pro správu Microsoft Intune.

6. Výběrem možnosti Souhrn zkontrolujte svůj výběr a pak vyberte Další.

7. Po dokončení průvodce vyberte Zavřít.

Připojení tenanta je teď nakonfigurované a vybraná zařízení se synchronizují s centrem pro správu Microsoft Intune.

Povolení připojení tenanta, pokud už používáte spolusprávu

1. V konzole pro správu Configuration Manager přejděte naPřehled>správy>Cloud Services>Správa.

2. Klikněte pravým tlačítkem na nastavení spolusprávy a vyberte Vlastnosti.

3. Na kartě Konfigurovat nahrávání vyberte Nahrát do Microsoft Intune centra pro správu a pak Použít.

   Výchozí nastavení pro nahrávání ze zařízení je Všechna moje zařízení spravovaná službou Microsoft Endpoint Configuration Manager. Můžete také omezit konfiguraci na jednu nebo několik kolekcí zařízení.

   

4. Po zobrazení výzvy se přihlaste pomocí účtu globálního správce .

5. Výběrem možnosti Anopřijměte oznámení o vytvoření aplikace Microsoft Entra. Tato akce zřídí instanční objekt a vytvoří Microsoft Entra registraci aplikace pro usnadnění synchronizace.

6. Pokud jste udělali změny, vyberte OK a ukončete vlastnosti spolusprávy. V opačném případě přejděte na úlohu 3, abyste selektivně povolili nahrávání zařízení do centra pro správu Microsoft Intune.

   Připojení tenanta je teď nakonfigurované a vybraná zařízení se synchronizují s centrem pro správu Microsoft Intune.

Úloha 3: Výběr zařízení k synchronizaci

Když je připojení tenanta nakonfigurované, můžete vybrat zařízení k synchronizaci. Pokud jste ještě nesynchronizují zařízení nebo potřebujete překonfigurovat, která synchronizujete, můžete upravit vlastnosti spolusprávy v konzole Configuration Manager.

Výběr zařízení k nahrání

1. V konzole pro správu Configuration Manager přejděte naPřehled>správy>Cloud Services>Správa.

2. Klikněte pravým tlačítkem na nastavení spolusprávy a vyberte Vlastnosti.

3. Na kartě Konfigurovat nahrávání vyberte Nahrát do Microsoft Intune centra pro správu a pak Použít.

   Výchozí nastavení pro nahrávání ze zařízení je Všechna moje zařízení spravovaná službou Microsoft Endpoint Configuration Manager. Můžete také omezit konfiguraci na jednu nebo několik kolekcí zařízení.

Úloha 4: Povolení kolekcí pro zásady zabezpečení koncových bodů

Po nakonfigurování zařízení pro synchronizaci s centrem pro správu Microsoft Intune musíte povolit, aby kolekce fungovaly se zásadami zabezpečení koncových bodů. Když povolíte kolekcím zařízení pracovat se zásadami zabezpečení koncových bodů z Intune, zpřístupníte nakonfigurované kolekce tak, aby byly cílené na zásady zabezpečení koncových bodů.

Povolení kolekcí pro použití se zásadami zabezpečení koncových bodů

1. V konzole Configuration Manager připojené k webu nejvyšší úrovně klikněte pravým tlačítkem na kolekci zařízení, kterou synchronizujete do centra pro správu Microsoft Intune, a vyberte Vlastnosti.

2. Na kartě Cloudová synchronizacepovolte možnost Zpřístupnit tuto kolekci a přiřaďte zásady zabezpečení koncových bodů z centra pro správu Microsoft Intune.

   • Tuto možnost nemůžete vybrat, pokud vaše hierarchie Configuration Manager není připojená k tenantovi.
   • Kolekce dostupné pro tuto možnost jsou omezené rozsahem kolekce vybraným pro nahrání připojení tenanta.

   

3. Vyberte Přidat a pak vyberte skupinu Microsoft Entra, kterou chcete synchronizovat se shromažďováním výsledků členství.

4. Výběrem OK uložte konfiguraci.

   Zařízení v této kolekci teď můžou onboardovat s Microsoft Defender for Endpoint a podporovat použití zásad zabezpečení Intune koncových bodů.

Zobrazení stavu konektoru

Konektor Configuration Manager poskytuje podrobnosti o implementaci Configuration Manager. V Centru pro správu Microsoft Intune můžete zkontrolovat podrobnosti o konektoru Configuration Manager, například čas poslední úspěšné synchronizace a stav připojení.

Zobrazení stavu konektoru Configuration Manager:

1. Přihlaste se k Centru pro správu Microsoft 365.

2. Vyberte Správa klienta>Konektory a tokeny>Microsoft Endpoint Configuration Manager. Pokud chcete zobrazit další informace, vyberte hierarchii Configuration Manager se systémem verze 2006 nebo novější.

   

   Poznámka

   Některé informace nejsou k dispozici, pokud je hierarchie spuštěná Configuration Manager verzi 2006 nebo starší.

Jakmile potvrdíte, že připojení k Configuration Manager z Microsoft Intune je v pořádku, úspěšně jste připojili tenanta k Configuration Manager.

Zobrazení podrobností o místním zařízení

Podrobnosti o Configuration Manager klienta, včetně kolekcí, členství ve skupině hranic a informací o klientovi pro konkrétní zařízení, můžete zobrazit v Centru pro správu Microsoft Intune.

Zobrazení podrobností o klientovi na základě zařízení

Pokud chcete zobrazit podrobnosti o klientovi pro konkrétní zařízení, postupujte následovně:

1. V prohlížeči přejděte do centra pro správu Microsoft Intune.

2. Vyberte Zařízení>Všechna zařízení.

   Zařízení nahraná pomocí připojení tenanta zobrazí ConfigMgr ve sloupci Spravováno.

   

3. Vyberte zařízení, které se synchronizuje z nástroje Configuration Manager prostřednictvím připojení tenanta.

4. Pokud chcete zobrazit další podrobnosti, vyberte Podrobnosti o klientovi .

   Jednou za hodinu se aktualizují následující pole:

   • Poslední žádost o zásadu
   • Poslední aktivní čas
   • Bod správy

   

5. Výběrem možnosti Kolekce zobrazíte seznam kolekcí klienta.

   Kolekce pomáhají uspořádat prostředky do jednotek, které se dají spravovat.

   

Zobrazení seznamu zařízení na základě uživatele

Pomocí následujícího postupu zobrazte seznam zařízení, která patří uživateli:

1. V prohlížeči přejděte do centra pro správu Microsoft Intune.

2. Vyberte Řešení potíží a podpora>Poradce při potížích Vybrat>uživatele.

   Pokud už máte zobrazeného uživatele, zvolte Změnit uživatele a vyberte jiného uživatele.

3. Vyhledejte nebo vyberte uživatele uvedené v seznamu a klikněte na Vybrat.

   Tabulka Zařízení obsahuje seznam Configuration Manager zařízení přidružených k uživateli.

Další informace o zobrazení podrobností o klientovi a připojení tenanta najdete v tématu Připojení tenanta: ConfigMgr podrobnosti o klientovi v Centru pro správu.

Zobrazení dat místního zařízení

V Centru pro správu Microsoft Intune můžete zobrazit inventář hardwaru pro nahraná zařízení Configuration Manager pomocí Průzkumníka prostředků.

Zobrazení dat zařízení z Průzkumníka prostředků:

1. V prohlížeči přejděte do centra pro správu Microsoft Intune.

2. Vyberte Zařízení>Všechna zařízení.

3. Vyberte zařízení, které se synchronizuje z nástroje Configuration Manager prostřednictvím připojení tenanta.

   Zařízení synchronizovaná prostřednictvím připojení tenanta zobrazí ConfigMgr ve sloupci Spravováno. Zařízení můžou také zobrazovat spolusprávce, když Configuration Manager i Intune použít, a zobrazit Intune, když platí jenom Intune správa.

4. Vyberte Průzkumník prostředků a zobrazte inventář hardwaru.

5. Vyhledejte nebo vyberte třídu (hodnotu zařízení) pro načtení informací z klienta.

   

Průzkumník prostředků může zobrazit historické zobrazení inventáře zařízení v centru pro správu Microsoft Intune. Při řešení potíží můžou historická data inventáře poskytovat cenné informace o změnách zařízení.

1. V Centru pro správu Microsoft Intune vyberte Průzkumník prostředků, pokud ho ještě nemáte vybraný.

2. Vyberte třídu (hodnotu zařízení).

3. Zadejte vlastní datum do výběru data a času, abyste získali historická data inventáře.

   

4. Zavřete Průzkumníka prostředků a vraťte se k informacím o zařízení výběrem X ikony v pravém horním rohu Průzkumníka prostředků.

   

Další informace o zobrazení dat zařízení pro zařízení pro připojení tenanta najdete v tématu Připojení tenanta: Průzkumník prostředků v Centru pro správu.

Zobrazení místní správy aplikací

V centru pro správu Microsoft Intune můžete v reálném čase zahájit instalaci aplikace pro zařízení připojené k tenantovi. Aplikaci můžete nasadit na zařízení nebo uživatele. Aplikaci můžete také opravit, znovu vyhodnotit, přeinstalovat nebo odinstalovat.

Pomocí následujícího postupu nainstalujte aplikaci do místního zařízení:

1. V prohlížeči přejděte do centra pro správu Microsoft Intune.

2. Vyberte Zařízení>Všechna zařízení.

3. Vyberte zařízení, které se synchronizuje z nástroje Configuration Manager prostřednictvím připojení tenanta.

   Jak už bylo uvedeno dříve, zařízení, která se synchronizují prostřednictvím připojení tenanta, zobrazují ConfigMgr ve sloupci Spravováno. Zařízení se zobrazují spoluspravované, když se použijí Configuration Manager i Intune, a Intune, když platí jenom Intune správa.

4. Vyberte Aplikace a zobrazte seznam použitelných aplikací.

5. Vyberte aplikaci, která není nainstalovaná, a pak vyberte Nainstalovat.

   

Další informace o aplikacích a připojení tenanta najdete v tématu Připojení tenanta: Instalace aplikace z Centra pro správu.

Zobrazení místních skriptů

Skripty PowerShellu můžete spouštět z cloudu na jednotlivých Configuration Manager spravovaných zařízeních v reálném čase. Můžete také povolit spouštění skriptů PowerShellu jiným osobám, jako je helpdesk. Tím získáte všechny výhody skriptů PowerShellu, které jsou definovány a schváleny správcem Configuration Manager pro použití v tomto novém prostředí.

1. V prohlížeči přejděte do centra pro správu Microsoft Intune.

2. Vyberte Zařízení>Všechna zařízení.

3. Vyberte zařízení, které se synchronizuje z nástroje Configuration Manager prostřednictvím připojení tenanta.

   Jak už bylo uvedeno dříve, zařízení, která se synchronizují prostřednictvím připojení tenanta, zobrazují ConfigMgr ve sloupci Spravováno. Zařízení se zobrazují spoluspravované, když se použijí Configuration Manager i Intune, a Intune, když platí jenom Intune správa.

4. Vyberte Skripty a zobrazte seznam dostupných skriptů.

   Zobrazí se skripty, které byly nedávno spuštěny a které přímo cílí na zařízení. Seznam obsahuje skripty spouštěné z centra pro správu, sady SDK nebo konzoly Configuration Manager. Skripty zahájené z konzoly Configuration Manager proti kolekcím obsahujícím zařízení se nezobrazují, pokud tyto skripty nebyly také inicializovány speciálně pro jedno zařízení.

   

Další informace o spouštění skriptů na zařízeních připojených k tenantovi najdete v tématu Připojení tenanta: Spouštění skriptů z Centra pro správu.

Zobrazení časové osy události místního zařízení

Když Configuration Manager synchronizuje zařízení s Microsoft Intune prostřednictvím připojení tenanta, uvidíte časovou osu událostí pro tato zařízení v centru pro správu Microsoft Intune. Tato časová osa zobrazuje předchozí aktivitu na zařízení,aby vám zjednodušila řešení problémů.

Jednou denně Configuration Manager odesílá události místního zařízení do centra pro správu Microsoft Intune. V Centru pro správu se zobrazí jenom události shromážděné potom, co klient přijme zásadu Povolit shromažďování dat analýzy koncových bodů. Testovací události můžete snadno generovat instalací aplikace nebo aktualizace z Configuration Manager nebo restartováním zařízení. Události se uchovávají po dobu 30 dnů.

Poznámka

Aby bylo možné zobrazit časovou osu z Centra pro správu Microsoft Intune, musíte v Configuration Manager nastavit Možnost Povolit shromažďování dat analýzy koncového bodu na Ano. Další informace o implementaci časové osy zařízení najdete v tématu Připojení tenanta: Časová osa zařízení v Centru pro správu.

Zobrazení časové osy události zařízení:

1. V prohlížeči přejděte do centra pro správu Microsoft Intune.

2. Vyberte Zařízení>Všechna zařízení.

3. Vyberte zařízení, které se synchronizuje z nástroje Configuration Manager prostřednictvím připojení tenanta.

   Jak už bylo uvedeno dříve, zařízení, která se synchronizují prostřednictvím připojení tenanta, zobrazují ConfigMgr ve sloupci Spravováno. Zařízení se zobrazují spoluspravované, když se použijí Configuration Manager i Intune, a Intune, když platí jenom Intune správa.

4. Vyberte Časová osa. Ve výchozím nastavení se vám zobrazí události za posledních 24 hodin.

   • Pokud chcete načíst poslední data vygenerovaná v klientovi, vyberte Synchronizovat. Ve výchozím nastavení odesílá zařízení události do Centra pro správu jednou denně.
   • Pomocí tlačítka Filtr můžete změnit Časový rozsah, Úrovně událostí anázev poskytovatele.
   • Pokud vyberete událost, můžete zobrazit podrobnou zprávu.
   • Pokud chcete stránku znovu načíst a zobrazit nově shromažďované události, vyberte Aktualizovat.

   

Další informace o zobrazení událostí zařízení pro zařízení připojená k tenantovi najdete v tématu Připojení tenanta: Časová osa zařízení v Centru pro správu.

Další kroky

• Nakonfigurujte zásady zabezpečení koncového bodu pro antivirovou ochranu, bránu firewall a detekci a odezvu koncového bodu.
• Přečtěte si další informace o Microsoft Defender for Endpoint.