Zarządzanie urządzeniami z zabezpieczeniami punktu końcowego w usłudze Microsoft Intune

  • Artykuł

Jako administrator zabezpieczeń przejrzyj urządzenia i zarządzaj nimi za pomocą widoku Wszystkie urządzenia w centrum administracyjnym usługi Microsoft Intune. W widoku zostanie wyświetlona lista wszystkich urządzeń z identyfikatora Usługi Microsoft Entra, w tym urządzeń zarządzanych przez:

Urządzenia mogą znajdować się w chmurze i z infrastruktury lokalnej po zintegrowaniu z identyfikatorem Usługi Microsoft Entra.

Aby znaleźć widok, otwórz centrum administracyjne usługi Microsoft Intune i wybierz pozycję Zabezpieczenia> punktu końcowegoWszystkie urządzenia.

Początkowy widok Wszystkie urządzenia wyświetla urządzenia i zawiera kluczowe informacje o każdym z nich:

  • Jak zarządzane jest urządzenie
  • Stan zgodności
  • Szczegóły systemu operacyjnego
  • Kiedy urządzenie zostało ostatnio zaewidencjonowane
  • I nawet więcej

Widok wszystkich urządzeń w centrum administracyjnym.

Podczas wyświetlania szczegółów urządzenia możesz wybrać urządzenie do przeglądania szczegółowego, aby uzyskać więcej informacji.

Dostępne szczegóły według typu zarządzania

Podczas wyświetlania urządzeń w centrum administracyjnym usługi Microsoft Intune rozważ sposób zarządzania urządzeniem. Źródło zarządzania ma wpływ na to, jakie informacje są prezentowane w centrum administracyjnym i jakie akcje są dostępne do zarządzania urządzeniem.

Rozważ następujące pola:

  • Zarządzane przez — ta kolumna określa sposób zarządzania urządzeniem. Zarządzane przez opcje obejmują:

    • MDM — usługa Intune zarządza tymi urządzeniami. Usługa Intune zbiera i zgłasza dane zgodności urządzenia do centrum administracyjnego.

    • ConfigMgr — te urządzenia są wyświetlane w centrum administracyjnym usługi Microsoft Intune, gdy używasz dołączania dzierżawy do dodawania urządzeń zarządzanych za pomocą programu Configuration Manager. Aby można było zarządzać urządzeniem, należy uruchomić klienta programu Configuration Manager i wykonać następujące czynności:

      • W grupie roboczej (dołączone do usługi Microsoft Entra i inne)
      • Sprzężone z domeną
      • Przyłączone hybrydowo do usługi Microsoft Entra (dołączone do usług AD i Microsoft Entra ID)

      Stan zgodności urządzeń zarządzanych przez program Configuration Manager nie jest widoczny w centrum administracyjnym usługi Microsoft Intune.

      Aby uzyskać więcej informacji, zobacz Włączanie dołączania dzierżawy w dokumentacji programu Configuration Manager.

    • Agent MDM/ConfigMgr — te urządzenia są współzarządzane między usługą Intune i programem Configuration Manager.

      W przypadku współzarządzania można wybrać różne obciążenia współzarządzania , aby określić, które aspekty są zarządzane przez program Configuration Manager lub usługę Intune. Te opcje wpływają na zasady stosowane przez urządzenie i sposób zgłaszania danych zgodności do centrum administracyjnego.

      Na przykład można użyć usługi Intune do skonfigurowania zasad dla oprogramowania antywirusowego, zapory i szyfrowania. Wszystkie te zasady są traktowane jako zasady dla programu Endpoint Protection. Aby współzarządzać urządzeniem, użyj zasad usługi Intune, a nie zasad programu Configuration Manager, ustaw suwak współzarządzania dla programu Endpoint Protection na intune lub pilotażową usługę Intune. Jeśli suwak ma ustawioną wartość Configuration Manager, urządzenie zamiast tego używa zasad i ustawień z programu Configuration Manager.

    • MDE — te urządzenia nie są zarejestrowane w usłudze Intune. Zamiast tego dołączają do usługi Defender for Endpoint i mogą przetwarzać wiele zasad zabezpieczeń punktu końcowego usługi Intune. Urządzenia zarejestrowane przy użyciu zarządzania ustawieniami zabezpieczeń są wyświetlane zarówno w centrum administracyjnym usługi Intune, jak i w portalu usługi Defender. W centrum administracyjnym pole Zarządzane przez wyświetla mde dla tych urządzeń.

  • Zgodność: zgodność jest oceniana pod kątem zasad zgodności przypisanych do urządzenia. Źródło tych zasad i informacje w konsoli zależą od sposobu zarządzania urządzeniem; Usługa Intune, program Configuration Manager lub współzarządzanie. Aby współzarządzane urządzenia zgłaszać zgodność, ustaw suwak współzarządzania dla pozycji Zgodność urządzeń na usługę Intune lub pilotażową usługę Intune.

    Po zgłoszeniu zgodności do centrum administracyjnego urządzenia możesz przejść do szczegółów, aby wyświetlić więcej szczegółów. Jeśli urządzenie nie jest zgodne, przejdź do szczegółów, aby uzyskać informacje o tym, które zasady nie są zgodne. Te informacje mogą pomóc w zbadaniu i doprowadzeniu urządzenia do zgodności.

  • Ostatnie zaewidencjonowanie: to pole identyfikuje ostatni raz, kiedy urządzenie zgłosiło swój stan.

Przeglądanie zasad urządzeń

Aby wyświetlić informacje o zasadach konfiguracji urządzeń, które mają zastosowanie do urządzenia zarządzanego przez usługę MDM i usługę Intune, zobacz Raporty dotyczące zabezpieczeń. Zarówno zabezpieczenia punktu końcowego , jak i zasady punktu odniesienia zabezpieczeń są zasadami konfiguracji urządzeń.

Aby wyświetlić raport, wybierz urządzenie, a następnie wybierz pozycję Konfiguracja urządzenia, która znajduje się poniżej kategorii Monitor .

Wyświetlanie szczegółów zasad zabezpieczeń punktu końcowego

Urządzenia zarządzane przez program Configuration Manager nie wyświetlają szczegółów zasad w raporcie. Aby wyświetlić dodatkowe informacje dotyczące tych urządzeń, użyj konsoli programu Configuration Manager.

Akcje zdalne dla urządzeń

Akcje zdalne to akcje, które można uruchomić lub zastosować do urządzenia z poziomu centrum administracyjnego usługi Microsoft Intune. Podczas wyświetlania szczegółów urządzenia można uzyskać dostęp do akcji zdalnych, które mają zastosowanie do urządzenia.

Akcje zdalne są wyświetlane w górnej części strony Przegląd urządzeń. Akcje, których nie można wyświetlić z powodu ograniczonego miejsca na ekranie, są dostępne, wybierając wielokropek po prawej stronie:

Wyświetlanie dodatkowych akcji

Dostępne akcje zdalne zależą od sposobu zarządzania urządzeniem:

  • Intune: dostępne są wszystkie akcje zdalne usługi Intune , które mają zastosowanie do platformy urządzenia.

  • Configuration Manager: Możesz użyć następujących akcji programu Configuration Manager:

    • Synchronizuj zasady maszyny
    • Synchronizuj zasady użytkownika
    • Cykl oceny aplikacji

  • Współzarządzanie: możesz uzyskiwać dostęp zarówno do akcji zdalnych usługi Intune, jak i akcji programu Configuration Manager.

  • Zarządzanie ustawieniami zabezpieczeń usługi Defender for Endpoint — te urządzenia nie są zarządzane przez usługę Intune i nie obsługują akcji zdalnych.

Niektóre zdalne akcje usługi Intune mogą pomóc w zabezpieczeniu urządzeń lub zabezpieczeniu danych, które mogą znajdować się na urządzeniu. Za pomocą akcji zdalnych można:

  • Blokowanie urządzenia
  • Resetowanie urządzenia
  • Usuwanie firmowych danych
  • Skanowanie pod kątem złośliwego oprogramowania poza zaplanowanym przebiegiem
  • Obracanie kluczy funkcji BitLocker

Następujące zdalne akcje usługi Intune są interesujące dla administratora zabezpieczeń i są podzbiorem pełnej listy. Nie wszystkie akcje są dostępne dla wszystkich platform urządzeń. Linki przechodzą do zawartości, która zawiera szczegółowe informacje dotyczące każdej akcji.

  • Synchronizuj urządzenie — umożliwia natychmiastowe zaewidencjonowanie urządzenia w usłudze Intune. Gdy urządzenie zaewidencjonuje, otrzymuje wszelkie oczekujące akcje lub zasady, które są do niego przypisane.

  • Uruchom ponownie — wymuś ponowne uruchomienie urządzenia z systemem Windows 10/11 w ciągu pięciu minut. Właściciele urządzeń nie są automatycznie powiadamiani o ponownym uruchomieniu i mogą utracić pracę.

  • Szybkie skanowanie — usługa Defender uruchomi szybkie skanowanie urządzenia pod kątem złośliwego oprogramowania, a następnie prześlij wyniki do usługi Intune. Szybkie skanowanie sprawdza typowe lokalizacje, w których może być zarejestrowane złośliwe oprogramowanie, takie jak klucze rejestru i znane foldery startowe systemu Windows.

  • Pełne skanowanie — usługa Defender uruchomi skanowanie urządzenia pod kątem złośliwego oprogramowania, a następnie prześlij wyniki do usługi Intune. Pełne skanowanie sprawdza typowe lokalizacje, w których może być zarejestrowane złośliwe oprogramowanie, a także skanuje każdy plik i folder na urządzeniu.

  • Aktualizowanie analizy zabezpieczeń usługi Windows Defender — zaktualizuj definicje złośliwego oprogramowania dla programu antywirusowego Microsoft Defender. Ta akcja nie powoduje uruchomienia skanowania.

  • Rotacja kluczy funkcji BitLocker — zdalne obracanie klucza odzyskiwania funkcji BitLocker urządzenia z systemem Windows 10 w wersji 1909 lub nowszej lub Windows 11.

Można również użyć zbiorczych akcji urządzenia do zarządzania niektórymi akcjami, takimi jak Wycofywanie i czyszczenie dla wielu urządzeń w tym samym czasie. Akcje zbiorcze są dostępne w widoku Wszystkie urządzenia . Wybierasz platformę, akcję, a następnie określasz maksymalnie 100 urządzeń.

Wybieranie akcji zbiorczych

Opcje zarządzane dla urządzeń nie zostaną zastosowane, dopóki urządzenie nie zostanie zaewidencjonowane w usłudze Intune.

Następne kroki

Zarządzanie zabezpieczeniami punktu końcowego w usłudze Intune