Configure tenant attach to support endpoint security policies from Intune

Quando utiliza o cenário de anexação de inquilino Configuration Manager, pode implementar políticas de segurança de ponto final de Intune em dispositivos que gere com Configuration Manager. Para utilizar este cenário, primeiro tem de configurar a anexação de inquilinos para Configuration Manager e ativar coleções de dispositivos de Configuration Manager para utilização com Intune. Depois de as coleções estarem ativadas para utilização, utilize o centro de administração do Microsoft Intune para criar e implementar políticas.

Requisitos para utilizar a política de Intune para anexar inquilino

Para suportar a utilização de Intune políticas de segurança de ponto final com dispositivos Configuration Manager, o seu ambiente de Configuration Manager requer as seguintes configurações. A documentação de orientação de configuração é fornecida neste artigo:

Requisitos gerais para a anexação de inquilinos

• Configurar a anexação do inquilino – com o cenário de anexação do inquilino, sincroniza os dispositivos do Configuration Manager para o centro de administração do Microsoft Intune. Em seguida, pode utilizar o centro de administração para implementar políticas suportadas nessas coleções.

  A anexação de inquilinos é muitas vezes configurada com a cogestão, mas pode configurar a anexação do inquilino por si só.

• Sincronizar Configuration Manager dispositivos e coleções – depois de configurar a anexação do inquilino, pode selecionar os dispositivos Configuration Manager a sincronizar com Microsoft Intune centro de administração. Também pode voltar mais tarde para modificar os dispositivos que sincroniza.

  Depois de selecionar dispositivos para sincronizar, tem de ativar as coleções para utilização com políticas de segurança de pontos finais de Intune. As políticas suportadas para dispositivos Configuration Manager só podem ser atribuídas a coleções que tenha ativado.

• Permissões para Microsoft Entra ID - Para concluir a configuração da anexação do inquilino, a sua conta tem de ter permissões de Administrador Global para a sua subscrição do Azure.

  Importante

  A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

• Inquilino para Microsoft Defender para Ponto de Extremidade – o inquilino do Microsoft Defender para Ponto de Extremidade tem de estar integrado com o inquilino do Microsoft Intune ( Microsoft Intune (plano 1) subscrição). Veja Utilizar Microsoft Defender para Ponto de Extremidade na documentação do Intune.

Configuration Manager requisitos de versão para políticas de segurança de ponto final Intune

Antivírus

Gerir definições de Antivírus para dispositivos Configuration Manager, quando utiliza a anexação do inquilino.

Caminho da política:

• Windows antivírus > de segurança > de ponto final (ConfigMgr)

Perfis:

• Antivírus do Microsoft Defender (pré-visualização)
• Segurança do Windows experiência (pré-visualização)

Versão necessária do Configuration Manager:

• Configuration Manager versão atual do ramo 2006 ou posterior

Suportadas Configuration Manager plataformas de dispositivos:

• Windows 8.1 (x86, x64), a partir Configuration Manager versão 2010
• Windows 10 e posterior (x86, x64, ARM64)
• Windows 11 e posterior (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), a partir do Configuration Manager versão 2010
• Windows Server 2016 e posterior (x64)

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Detecção e resposta do ponto de extremidade

Para gerir as definições da política de deteção e resposta de Pontos finais para dispositivos Configuration Manager quando utiliza a anexação de inquilinos.

Plataforma: Windows (ConfigMgr)

Perfil: Deteção e resposta de pontos finais (ConfigMgr)

Versão necessária do Configuration Manager:

• Configuration Manager versão atual do ramo 2002 ou posterior, com a atualização na consola Configuration Manager Correção de 2002 (KB4563473)
• Configuration Manager technical preview 2003 ou posterior

Suportadas Configuration Manager plataformas de dispositivos:

• Windows 8.1 (x86, x64), começando com o Configuration Manager versão 2010
• Windows 10 e posterior (x86, x64, ARM64)
• Windows 11 e posterior (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), começando com o Gerenciador de Configurações versão 2010
• Windows Server 2016 e posterior(x64)

Importante

Em 22 de outubro de 2022, o Microsoft Intune encerrou o suporte para dispositivos que executam o Windows 8.1. A assistência técnica e as atualizações automáticas para esses dispositivos não estão disponíveis.

Se utilizar atualmente Windows 8.1, mude para dispositivos Windows 10/11. O Microsoft Intune tem recursos internos de segurança e dispositivos que gerenciam dispositivos clientes Windows 10/11.

Firewall

O suporte para dispositivos geridos por Configuration Manager está em Pré-visualização.

Gerir definições de política de Firewall para dispositivos Configuration Manager, quando utiliza a anexação do inquilino.

Caminho da política:

• Firewall de segurança de pontos finais >

Perfis:

• Firewall do Windows (ConfigMgr)

Versão necessária do Configuration Manager:

• Configuration Manager versão atual do ramo 2006 ou posterior, com a atualização na consola Configuration Manager Correção de 2006 (KB4578605)

Suportadas Configuration Manager plataformas de dispositivos:

• Windows 11 e posterior (x86, x64, ARM64)
• Windows 10 e posterior (x86, x64, ARM64)

Configurar Configuration Manager para suportar políticas de Intune

Antes de implementar Intune políticas para Configuration Manager dispositivos, conclua as configurações detalhadas nas secções seguintes. Estas configurações integram os seus dispositivos Configuration Manager com Microsoft Defender para Ponto de Extremidade e permitem-lhes trabalhar com as políticas de Intune.

As seguintes tarefas são concluídas na consola do Configuration Manager. Se não estiver familiarizado com Configuration Manager, trabalhe com um administrador Configuration Manager para concluir estas tarefas.

1. Confirmar o ambiente de Configuration Manager
2. Configurar a anexação e sincronização de dispositivos do inquilino
3. Selecionar dispositivos a sincronizar
4. Ativar coleções para políticas de segurança de ponto final

Dica

Para saber mais sobre como utilizar Microsoft Defender para Ponto de Extremidade com Configuration Manager, consulte os seguintes artigos no conteúdo do Configuration Manager:

• Integrar clientes Configuration Manager a Microsoft Defender para Ponto de Extremidade através do centro de administração do Microsoft Intune
• anexação do inquilino do Microsoft Intune: Sincronização de dispositivos e ações do dispositivo

Tarefa 1: Confirmar o ambiente de Configuration Manager

Intune políticas para dispositivos Configuration Manager necessitam de versões mínimas diferentes de Configuration Manager, dependendo de quando a política foi lançada pela primeira vez. Reveja os requisitos de versão Configuration Manager para Intune políticas de segurança de ponto final encontradas anteriormente neste artigo para garantir que o seu ambiente suporta as políticas que planeia utilizar. Uma versão mais recente do Configuration Manager suporta políticas que requerem uma versão anterior.

Quando é necessária uma correção de Configuration Manager, pode encontrar a correção como uma atualização na consola para Configuration Manager. Para obter mais informações, veja Instalar atualizações na consola no Configuration Manager documentação.

Depois de instalar as atualizações necessárias, regresse aqui para continuar a configurar o seu ambiente para suportar políticas de segurança de pontos finais a partir do centro de administração do Microsoft Intune.

Tarefa 2: Configurar a anexação e sincronização de dispositivos do inquilino

Com a anexação do inquilino, especifique coleções de dispositivos da implementação do Configuration Manager para sincronizar com o centro de administração do Microsoft Intune. Após a sincronização das coleções, utilize o centro de administração para ver informações sobre esses dispositivos e implementar a política de segurança de ponto final de Intune para os mesmos.

Para obter mais informações sobre o cenário de anexação de inquilinos, veja Ativar a anexação do inquilino no conteúdo do Configuration Manager.

Ativar a anexação do inquilino quando a cogestão não tiver sido ativada

Dica

Utilize o Assistente de Configuração de Cogestão na consola do Configuration Manager para ativar a anexação do inquilino, mas não precisa de ativar a cogestão.

Se planear ativar a cogestão, familiarize-se com a cogestão, os seus pré-requisitos e como gerir cargas de trabalho antes de continuar. Veja O que é a cogestão? na documentação Configuration Manager.

1. Na consola de administração do Configuration Manager, aceda aDescrição Geral> da Administração>Serviços de Nuvem>Cogestão.

2. Na faixa de opções, selecione Configurar cogerenciamento para abrir o assistente.

3. Na página Integração de locatários, selecione AzurePublicCloud para seu ambiente. Azure Governamental cloud não é suportada.

   1. Selecione Entrar. Use sua conta de Administrador Global para entrar.

   2. Certifique-se de que a opção Carregar para Microsoft Intune centro de administração está selecionada na página Inclusão de inquilinos.

   3. Remova o marcar de Ativar a inscrição automática de clientes para cogestão.

      Quando esta opção está selecionada, o Assistente apresenta páginas adicionais para concluir a configuração da cogestão. Para obter mais informações, veja Ativar a cogestão no conteúdo do Configuration Manager.

      

4. Selecione Seguinte e, em seguida, Sim para aceitar a notificação Criar Microsoft Entra Aplicação. Esta ação aprovisiona um principal de serviço e cria um Microsoft Entra registo de aplicação para facilitar a sincronização de coleções com o centro de administração do Microsoft Intune.

5. Na página Configurar carregamento, configure as coleções de dispositivos que pretende sincronizar. Pode limitar a configuração a coleções de dispositivos ou utilizar a definição de carregamento de dispositivos recomendada para Todos os meus dispositivos geridos pelo Microsoft Endpoint Configuration Manager.

   Dica

   Pode ignorar a seleção de coleções agora e, posteriormente, utilizar as informações na tarefa seguinte, Tarefa 3, para configurar as coleções de dispositivos a sincronizar com o centro de administração Microsoft Intune.

6. Selecione Resumo para rever a sua seleção e, em seguida, selecione Seguinte.

7. Quando o assistente for concluído, selecione Fechar.

A anexação do inquilino está agora configurada e os dispositivos selecionados são sincronizados com Microsoft Intune centro de administração.

Ativar a anexação do inquilino quando já utiliza a cogestão

1. Na consola de administração do Configuration Manager, aceda aDescrição Geral> da Administração>Serviços de Nuvem>Cogestão.

2. Clique com o botão direito do rato nas definições de cogestão e selecione Propriedades.

3. No separador Configurar carregamento, selecioneCarregar para Microsoft Intune centro de administração e, em seguida, Aplicar.

   A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Também pode optar por limitar a configuração a uma ou poucas coleções de dispositivos.

   

4. Entre com sua conta de Administrador Global quando solicitado.

5. Selecione Sim para aceitar a notificação Criar Microsoft Entra Aplicação. Esta ação aprovisiona um principal de serviço e cria um Microsoft Entra registo de aplicação para facilitar a sincronização.

6. Selecione OK para sair das propriedades de cogestão, se tiver terminado de fazer alterações. Caso contrário, mude para a Tarefa 3 para ativar seletivamente o carregamento do dispositivo para o centro de administração do Microsoft Intune.

   A anexação do inquilino está agora configurada e os dispositivos selecionados são sincronizados com Microsoft Intune centro de administração.

Tarefa 3: selecionar dispositivos para sincronizar

Quando a anexação do inquilino estiver configurada, pode selecionar dispositivos a sincronizar. Se ainda não tiver sincronizado dispositivos ou precisar de reconfigurar os dispositivos que sincroniza, pode editar as propriedades da cogestão na consola do Configuration Manager para o fazer.

Selecionar dispositivos a carregar

1. Na consola de administração do Configuration Manager, aceda aDescrição Geral> da Administração>Serviços de Nuvem>Cogestão.

2. Clique com o botão direito do rato nas definições de cogestão e selecione Propriedades.

3. No separador Configurar carregamento, selecioneCarregar para Microsoft Intune centro de administração e, em seguida, Aplicar.

   A configuração padrão para upload de dispositivo é Todos os meus dispositivos gerenciados pelo Microsoft Endpoint Configuration Manager. Também pode optar por limitar a configuração a uma ou poucas coleções de dispositivos.

Tarefa 4: Ativar coleções para políticas de segurança de ponto final

Depois de configurar os dispositivos para sincronizar com Microsoft Intune centro de administração, tem de ativar as coleções para funcionarem com políticas de segurança de ponto final. Quando permite que as coleções de dispositivos funcionem com políticas de segurança de pontos finais de Intune, está a disponibilizar as coleções configuradas para serem direcionadas com políticas de segurança de ponto final.

Ativar coleções para utilização com políticas de segurança de ponto final

1. A partir de uma consola Configuration Manager ligada ao seu site de nível superior, clique com o botão direito do rato numa coleção de dispositivos que sincroniza com Microsoft Intune centro de administração e selecione Propriedades.

2. No separador Sincronização da Cloud, ative a opção Para Disponibilizar esta coleção para atribuir políticas de segurança de Ponto final a partir do Microsoft Intune centro de administração.

   • Não pode selecionar esta opção se a sua hierarquia de Configuration Manager não estiver anexada ao inquilino.
   • As coleções disponíveis para esta opção são limitadas pelo âmbito de coleção selecionado para o carregamento de anexação do inquilino.

   

3. Selecione Adicionar e, em seguida, selecione o grupo de Microsoft Entra que pretende sincronizar com Recolher resultados de associação.

4. Selecione OK para guardar a configuração.

   Agora, os dispositivos nesta coleção podem ser integrados com Microsoft Defender para Ponto de Extremidade e suportar a utilização de políticas de segurança de ponto final Intune.

Exibir o status do conector

O conector do Configuration Manager fornece detalhes sobre a implementação do Configuration Manager. No centro de administração do Microsoft Intune, pode rever detalhes sobre o conector Configuration Manager, como a última hora de sincronização bem-sucedida e a ligação status.

Para exibir o status do conector do Configuration Manager:

1. Entre no centro de administração do Microsoft Intune.

2. Selecione Conectores de administração>Locatários e tokens>Microsoft Endpoint Configuration Manager. Selecione uma hierarquia do Configuration Manager em execução na versão 2006 ou posterior para exibir informações adicionais sobre ela.

   

   Observação

   Algumas informações não estarão disponíveis se a hierarquia estiver executando o Configuration Manager versão 2006 ou anterior.

Depois de confirmar que a sua ligação ao Configuration Manager a partir de Microsoft Intune está em Bom Estado de Funcionamento, ligou com êxito o seu inquilino ao Configuration Manager.

Exibir detalhes do dispositivo

Pode ver Configuration Manager detalhes do cliente, incluindo coleções, associação a grupos de limites e informações de cliente para um dispositivo específico no centro de administração do Microsoft Intune.

Exibir detalhes do cliente com base no dispositivo

Use as etapas a seguir para exibir detalhes do cliente para um dispositivo específico:

1. Num browser, navegue para Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

   Os dispositivos que foram carregados com o inquilino anexam ConfigMgr na coluna Gerido por.

   

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

4. Selecione Detalhes do cliente para ver mais detalhes.

   Uma vez por hora, os seguintes campos são atualizados:

   • Última solicitação de política
   • Última hora ativa
   • Ponto de gerenciamento

   

5. Selecione Coleções para listar as coleções do cliente.

   As coleções ajudam a organizar recursos em unidades gerenciáveis.

   

Exibir uma lista de dispositivos com base no usuário

Use as etapas a seguir para exibir uma lista de dispositivos que pertencem a um usuário:

1. Num browser, navegue para Microsoft Intune centro de administração.

2. Selecione Resolução de problemas + suporte>Resolução de problemas>Selecione utilizador.

   Se você já tiver um usuário selecionado, escolha Alterar usuário para selecionar um usuário diferente.

3. Procure ou selecione um utilizador listado e, em seguida, clique em Selecionar.

   A tabela Dispositivos lista os dispositivos do Gerenciador de Configurações associados ao usuário.

Para obter mais informações sobre como exibir detalhes do cliente e anexação de locatário, consulte Anexação de locatário: detalhes do cliente do ConfigMgr no centro de administração.

Ver dados de dispositivos no local

No centro de administração do Microsoft Intune, pode ver o inventário de hardware para dispositivos Configuration Manager carregados com o explorador de recursos.

Para exibir dados do dispositivo no gerenciador de recursos:

1. Num browser, navegue para Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Os dispositivos sincronizados através da ConfigMgr de apresentação da anexação do inquilino na coluna Gerido por. Os dispositivos também podem apresentar a opção Cogerido quando se aplicam Configuration Manager e Intune e apresentam Intune quando aplica apenas Intune gestão.

4. Selecione Explorador de recursos para exibir o inventário do hardware.

5. Pesquise ou selecione uma classe (um valor de dispositivo) para recuperar informações do cliente.

   

O Explorador de Recursos pode apresentar uma vista histórica do inventário de dispositivos no centro de administração do Microsoft Intune. Quando estiver a resolver problemas, ter dados de inventário históricos pode fornecer informações valiosas sobre as alterações ao dispositivo.

1. No Microsoft Intune centro de administração, selecione Explorador de recursos se ainda não o tiver selecionado.

2. Selecione uma classe (um valor de dispositivo).

3. Insira uma data personalizada no seletor de data e hora para obter dados históricos de inventário.

   

4. Feche o explorador de recursos e regresse às informações do dispositivo ao selecionar o X ícone no canto superior direito do explorador de recursos.

   

Para obter mais informações sobre como exibir dados do dispositivo para dispositivos de anexação de locatário, consulte Anexação de locatário: Gerenciador de recursos no centro de administração.

Ver a gestão de aplicações no local

A partir do Microsoft Intune centro de administração, pode iniciar uma instalação da aplicação em tempo real para um dispositivo ligado a um inquilino. Você pode implantar um aplicativo em um dispositivo ou usuário. Além disso, pode reparar, reavaliar, reinstalar ou desinstalar uma aplicação.

Use as etapas a seguir para instalar um aplicativo em um dispositivo local:

1. Num browser, navegue para Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Conforme indicado anteriormente, os dispositivos que são sincronizados através da ligação do inquilino apresentam ConfigMgr na coluna Gerido por. Os dispositivos apresentam a opção Cogerida quando se aplicam Configuration Manager e Intune e apresentam Intune quando aplica apenas Intune gestão.

4. Selecione Aplicações para ver uma lista de aplicações aplicáveis.

5. Selecione uma aplicação que não tenha sido instalada e, em seguida, selecione Instalar.

   

Para obter mais informações sobre aplicativos e anexação de locatário, consulte Anexação de locatário: instalar um aplicativo do centro de administração.

Ver scripts no local

Você pode executar scripts do PowerShell da nuvem em um dispositivo individual gerenciado pelo Configuration Manager em tempo real. Também pode permitir que outras pessoas, como o Suporte Técnico, executem scripts do PowerShell. Isto dá todas as vantagens dos scripts do PowerShell que são definidos e aprovados pelo Configuration Manager administrador a utilizar neste novo ambiente.

1. Num browser, navegue para Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Conforme indicado anteriormente, os dispositivos que são sincronizados através da ligação do inquilino apresentam ConfigMgr na coluna Gerido por. Os dispositivos apresentam a opção Cogerida quando se aplicam Configuration Manager e Intune e apresentam Intune quando aplica apenas Intune gestão.

4. Selecione Scripts para ver uma lista de scripts disponíveis.

   Os scripts que foram executados recentemente que foram diretamente direcionados para o dispositivo estão listados. A lista inclui scripts executados do centro de administração, do SDK ou do console do Gerenciador de Configurações. Os scripts iniciados a partir da consola do Configuration Manager em coleções que contêm o dispositivo não são apresentados, a menos que os scripts também tenham sido iniciados especificamente para o dispositivo único.

   

Para obter mais informações sobre como executar scripts em dispositivos anexados ao locatário, consulte Anexação de locatário: executar scripts do centro de administração.

Ver linha do tempo de eventos de dispositivos no local

Quando Configuration Manager sincroniza um dispositivo para Microsoft Intune através da anexação do inquilino, pode ver uma linha do tempo de eventos para esses dispositivos no centro de administração do Microsoft Intune. Esta linha do tempo mostra atividades passadas no dispositivo e podem ajudá-lo a solucionar problemas.

Uma vez por dia, Configuration Manager envia os eventos do dispositivo no local para o centro de administração do Microsoft Intune. Somente os eventos coletados depois que o cliente recebe a política Habilitar a coleta de dados de análise de ponto de extremidade são visíveis no centro de administração. Você pode gerar eventos de teste facilmente instalando um aplicativo ou uma atualização do Gerenciador de Configurações ou reiniciando o dispositivo. Os eventos são mantidos por 30 dias.

Observação

Como pré-requisito para ver o linha do tempo a partir do centro de administração do Microsoft Intune, tem de definir Ativar recolha de dados de Análise de Pontos Finais como Sim no Configuration Manager. Para obter mais informações sobre como implementar a linha do tempo do dispositivo, consulte Anexação de locatário: Linha do tempo do dispositivo no centro de administração.

Para exibir a linha do tempo do evento do dispositivo:

1. Num browser, navegue para Microsoft Intune centro de administração.

2. Selecione Dispositivos>Todos os dispositivos.

3. Selecione um dispositivo que é sincronizado a partir do Gerenciador de Configurações via anexação de locatário.

   Conforme indicado anteriormente, os dispositivos que são sincronizados através da ligação do inquilino apresentam ConfigMgr na coluna Gerido por. Os dispositivos apresentam a opção Cogerida quando se aplicam Configuration Manager e Intune e apresentam Intune quando aplica apenas Intune gestão.

4. Selecione Linha do Tempo. Por padrão, você verá eventos das últimas 24 horas.

   • Selecione Sincronização para buscar os dados recentes gerados no cliente. Por padrão, o dispositivo envia eventos uma vez por dia para o centro de administração.
   • Use o botão Filtrar para alterar o intervalo de tempo, Níveis de evento e nome do provedor.
   • Se selecionar um evento, pode ver a mensagem detalhada do mesmo.
   • Selecione Atualizar para recarregar a página e ver os eventos recém-coletados.

   

Para obter mais informações sobre como exibir eventos de dispositivo para dispositivos anexados ao locatário, consulte Anexação de locatário: linha do tempo do dispositivo no centro de administração.

Próximas etapas

• Configure políticas de segurança de Ponto Final para Deteção e resposta de Antivírus, Firewall e Ponto final.
• Saiba mais sobre Microsoft Defender para Ponto de Extremidade.