Dołączanie dzierżawy usługi Microsoft Intune: wymagania wstępne
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Rodzina produktów usługi Microsoft Intune to zintegrowane rozwiązanie do zarządzania wszystkimi urządzeniami. Firma Microsoft łączy program Configuration Manager i usługę Intune w jedną konsolę o nazwie Centrum administracyjne usługi Microsoft Intune. Urządzenia programu Configuration Manager można przekazać do usługi w chmurze i podjąć działania na stronie Urządzenia w centrum administracyjnym. Niektóre funkcje, których możesz użyć, obejmują:
- Uruchamianie skryptów programu PowerShell
- Instalowanie aplikacji
- Wykonywanie zapytań dotyczących urządzeń przy użyciu narzędzia CMPivot
- Wyświetlanie osi czasu zdarzeń z urządzenia
Wymagania wstępne
Konto, które jest administratorem globalnym do logowania się podczas stosowania tej zmiany dołączania. Aby uzyskać więcej informacji, zobacz Role administratora usługi Microsoft Entra.
- Dołączanie tworzy aplikację innej firmy i jednostkę usługi innej firmy w dzierżawie usługi Microsoft Entra.
Środowisko chmury platformy Azure.
- Opcja Przekaż do centrum administracyjnego programu Microsoft Endpoint Manager jest wyłączona dla usług Microsoft Azure China 21Vianet (Azure China Cloud) i Azure US Government Cloud. Począwszy od wersji 2107, ta opcja jest dostępna dla klientów rządowych USA.
Począwszy od wersji 2107, klienci rządowi Stanów Zjednoczonych mogą korzystać z następujących funkcji dołączania dzierżawy w chmurze dla instytucji rządowych USA:
- Dołączanie konta
- Synchronizacja dzierżawy z usługą Intune
- Synchronizacja urządzenia z usługą Intune
- Akcje urządzenia w centrum administracyjnym usługi Microsoft Intune
Lokalizacja geograficzna dzierżawy platformy Azure i punktu połączenia z usługą powinny być takie same.
Co najmniej jedna licencja usługi Intune dla Ciebie jako administratora na dostęp do centrum administracyjnego usługi Microsoft Intune.
Usługa administracyjna w programie Configuration Manager musi być skonfigurowana i funkcjonalna.
Jeśli centralna lokacja administracyjna ma dostawcę zdalnego, postępuj zgodnie z instrukcjami dotyczącymi scenariusza dostawcy zdalnego w artykule CMPivot.
Ta funkcja obsługuje wszystkie wersje systemu operacyjnego obsługiwane obecnie przez program Configuration Manager jako klient. Aby uzyskać więcej informacji, zobacz Obsługiwane wersje systemu operacyjnego dla klientów i urządzeń.
Uprawnienia
Konta użytkowników wykonujące akcje urządzenia mają następujące wymagania wstępne:
- Konto użytkownika musi być zsynchronizowanym obiektem użytkownika w identyfikatorze Microsoft Entra (tożsamość hybrydowa). Oznacza to, że użytkownik jest synchronizowany z identyfikatorem Microsoft Entra z usługi Active Directory.
- W przypadku programu Configuration Manager w wersji 2103 i nowszej:
wykryto odnajdywanie użytkowników w usłudze Microsoft Entra lub odnajdywanie użytkowników usługi Active Directory.
- W przypadku programu Configuration Manager w wersji 2103 i nowszej:
-
Uprawnienie do inicjowania akcji programu Configuration Manager w obszarze Zadania zdalne w centrum administracyjnym usługi Microsoft Intune.
- Aby uzyskać więcej informacji na temat dodawania lub weryfikowania uprawnień w centrum administracyjnym, zobacz Kontrola dostępu oparta na rolach (RBAC) w usłudze Microsoft Intune.
Internetowe punkty końcowe
https://aka.ms/configmgrgatewayhttps://*.manage.microsoft.comdla klientów chmury publicznej platformy Azurehttps://*.manage.microsoft.usdla klientów w chmurze dla instytucji rządowych USA w wersji 2107 lub nowszejhttps://dc.services.visualstudio.com
Punkt połączenia z usługą tworzy długotrwałe połączenie wychodzące z usługą powiadomień hostowaną w programie https://*.manage.microsoft.com. Sprawdź, czy serwer proxy używany dla punktu połączenia z usługą nie limituje zbyt szybko połączeń wychodzących. Zalecamy 3 minuty dla połączeń wychodzących z tym internetowym punktem końcowym.
Jeśli środowisko ma reguły serwera proxy zezwalają tylko na określone listy odwołania certyfikatów (LISTY CRL) lub lokalizacje weryfikacji protokołu OCSP (Certificate Status Protocol), zezwalaj również na następujące adresy URL listy CRL i OCSP:
http://crl3.digicert.comhttp://crl4.digicert.comhttp://ocsp.digicert.comhttp://www.d-trust.nethttp://root-c3-ca2-2009.ocsp.d-trust.nethttp://crl.microsoft.comhttp://oneocsp.microsoft.comhttp://ocsp.msocsp.comhttp://www.microsoft.com/pkiops
Punkt połączenia z usługą weryfikuje ważne internetowe punkty końcowe dla dołączania dzierżawy. Te kontrole pomagają upewnić się, że usługa w chmurze jest dostępna. Pomaga również w rozwiązywaniu problemów, szybko określając, czy łączność sieciowa jest problemem. Aby uzyskać więcej informacji, zobacz Weryfikowanie dostępu do Internetu.
Uwaga
Punkt połączenia z usługą sprawdza listę CRL. Jeśli ten serwer nie ma dostępu do adresów URL wymienionych powyżej, sprawdzanie listy CRL kończy się niepowodzeniem. Rozważ ustawienie serwera proxy systemu lub użyj następującego polecenia: "netsh winhttp set proxy". Aby uzyskać więcej informacji, zobacz How the Windows Update client determines which proxy server to use to connect to the Windows Update Web site (Jak klient usługi Windows Update określa serwer proxy używany do nawiązywania połączenia z witryną sieci Web usługi Windows Update). Upewnij się, że dodano listę obejść dla wewnętrznej komunikacji lokacji. Ta konfiguracja może być konieczna, ponieważ ustawienia serwera proxy w programie Configuration Manager konfigurują tylko serwer proxy dla aplikacji programu Configuration Manager, a nie bazowego systemu operacyjnego.
Ograniczenia
Obecnie urządzenia programu Configuration Manager nie są uwzględniane podczas pobierania listy urządzeń za pośrednictwem skryptu programu PowerShell ani interfejsu API programu Microsoft Graph. Aby obejść ten problem, użyj opcji Eksportuj ze strony Wszystkie urządzenia w centrum administracyjnym.