Microsoft Endpoint Manager inquilina do inquilino: Sincronização de dispositivos e ações do dispositivo
Aplica-se a: Configuration Manager (ramo atual)
Microsoft Endpoint Manager é uma solução integrada para gerir todos os seus dispositivos. A Microsoft reúne o Gestor de Configuração e o Intune numa única consola chamada Microsoft Endpoint Manager centro de administração. Pode carregar os seus dispositivos De Gestor de Configuração para o serviço de cloud e tomar ações a partir da lâmina dispositivos no centro de administração.
Pré-requisitos
Uma conta que é um Administrador Global para iniciar sessão ao aplicar esta alteração. Para obter mais informações, consulte as funções de administrador Azure Ative Directory (Azure AD).
- O onboarding cria uma app de terceiros e um principal de serviço de primeira parte no seu inquilino AZure AD.
Um ambiente de nuvens públicas azure.
- A opção upload to Microsoft Endpoint Manager admin center está desativada para Microsoft Azure China 21Vianet (Azure China Cloud) e Azure US Government Cloud. A partir da versão 2107, esta opção está disponível para clientes do Governo dos EUA.
A partir da versão 2107, os clientes do Governo dos Estados Unidos podem usar as seguintes funcionalidades de anexação de inquilinos na nuvem do Governo dos EUA:
- Conta no embarque
- Sincronização do inquilino para Intune
- Sincronização do dispositivo ao Intune
- Ações do dispositivo no centro de administração Microsoft Endpoint Manager
As contas de utilizador que desencadeiam as ações do dispositivo têm os seguintes pré-requisitos:
A conta de utilizador tem de ser um objeto de utilizador sincronizado em Azure AD (identidade híbrida). Isto significa que o utilizador está sincronizado com Azure Ative Directory do Ative Directory.
- Para a versão 2103 do Gestor de Configuração e, mais tarde:
Foi descoberto com Azure Ative Directory descoberta do utilizador ou com a descoberta do utilizador ative. - Para a versão do Gestor de Configuração 2010, e mais cedo:
Foi descoberto tanto com Azure Ative Directory descoberta do utilizador como com a descoberta do utilizador ative. .
- Para a versão 2103 do Gestor de Configuração e, mais tarde:
A permissão de ação do Gestor de Configuração Iniciado sob tarefas remotas no centro de administração Microsoft Endpoint Manager.
- Para obter mais informações sobre a adição ou verificação de permissões no centro de administração, consulte o controlo de acesso baseado em funções (RBAC) com Microsoft Intune.
Se o seu site de administração central tiver um fornecedor remoto,siga as instruções para que o CAS tenha um cenário de provedor remoto no artigo da CMPivot.
Esta funcionalidade suporta todas as versões DE que o Gestor de Configuração suporta atualmente como cliente. Para obter mais informações, consulte versões de SO suportadas para clientes e dispositivos.
Pontos finais da Internet
https://aka.ms/configmgrgateway
https://*.manage.microsoft.com
para clientes de nuvem pública Azurehttps://*.manage.microsoft.us
para clientes em nuvem do governo dos EUA na versão 2107 ou mais tardehttps://dc.services.visualstudio.com
O ponto de ligação de serviço faz uma ligação de saída de longa data ao serviço de notificação alojado em https://*.manage.microsoft.com
. Verifique se o proxy utilizado para o ponto de ligação não para as ligações de saída muito rapidamente. Recomendamos 3 minutos para ligações de saída a este ponto final da internet.
Se o seu ambiente tiver regras de procuração para permitir apenas listas específicas de revogação de certificados (CRLs) ou locais de verificação do protocolo de estado do certificado on-line (OCSP), também permita os seguintes URLs CRL e OCSP:
http://crl3.digicert.com
http://crl4.digicert.com
http://ocsp.digicert.com
http://www.d-trust.net
http://root-c3-ca2-2009.ocsp.d-trust.net
http://crl.microsoft.com
http://oneocsp.microsoft.com
http://ocsp.msocsp.com
http://www.microsoft.com/pkiops
A partir da versão 2010, o ponto de ligação de serviço valida importantes pontos finais da Internet para o inquilino. Estas verificações ajudam a garantir que o serviço de nuvem está disponível. Também ajuda a resolver problemas, determinando rapidamente se a conectividade da rede é um problema. Para mais informações, consulte validar o acesso à Internet.
Nota
O ponto de ligação de serviço verifica o CRL. Se este servidor não tiver acesso aos URLs listados acima, a verificação crl falha. Considere definir um proxy do sistema ou utilizar o seguinte comando: "netsh winhttp set proxy". Para obter mais informações, consulte como o cliente Windows Update determina qual o servidor proxy a utilizar para se ligar ao Web site de atualização de Windows. Certifique-se de que inclui uma lista de bypass para comunicações internas no local. Esta configuração pode ser neccesária, uma vez que as definições do servidor proxy dentro do Gestor de Configuração apenas configuram o proxy para aplicações do Gestor de Configuração e não o SO subjacente.
Ativar o upload do dispositivo quando a cogestão já estiver ativada
Se tiver uma cogestão ativada atualmente, utilizará as propriedades de cogestão para ativar o upload do dispositivo. Quando a cogestão ainda não estiver ativada, utilize o Assistente de Configuração cloud Attach para ativar o upload do dispositivo.
Quando a cogestão já estiver ativada, edite as propriedades de cogestão para permitir o upload do dispositivo utilizando as instruções abaixo:
- Na consola de administração do Gestor de Configuração, aceda ao Anexo de Cloud dos Serviços de Nuvem de Visão Geral da Administração. > > >
- Para a versão 2103 e anterior, selecione o nó de Cogestão.
- Na fita, selecione Properties para a sua política de produção de cogestão.
- No separador de upload Configure, selecione Upload para Microsoft Endpoint Manager centro de administração. Selecione Aplicar.
- A definição predefinição para o upload do dispositivo é Todos os meus dispositivos geridos por Microsoft Endpoint Configuration Manager. Se necessário, pode limitar o upload a uma única coleção de dispositivos.
- A partir da versão De Configuração Manager 2010, quando uma única coleção é selecionada, as suas coleções infantis também são carregadas.
- Verifique a opção de Ativar a análise do Endpoint para dispositivos carregados para Microsoft Endpoint Manager se também quiser obter informações para otimizar a experiência do utilizador final no Endpoint Analytics.
Importante
Quando ativa o upload de dados de análise de Endpoint, as definições do cliente predefinidos serão automaticamente atualizadas para permitir que os pontos finais geridos enviem dados relevantes para o servidor do site do Seu Gestor de Configuração. Se utilizar as definições personalizadas do cliente, poderá ter de as atualizar e reensi forma a que a recolha de dados ocorra. Para obter mais detalhes sobre este facto, bem como como configurar a recolha de dados, de modo a limitar a recolha apenas a um conjunto específico de dispositivos, consulte a secção na recolha de dados de análise de ponto final.
- Inscreva-se na sua conta de Administrador Global quando solicitado.
- Selecione Sim para aceitar a notificação de aplicação Create AAD. Esta ação prevê um principal serviço e cria um registo de pedidos AZure AD para facilitar a sincronização.
- Escolha OK para sair das propriedades de cogestão uma vez que tenha feito alterações.
Ativar o upload do dispositivo quando a cogestão não estiver ativada
Se não tiver uma cogestão ativada, utilizará o Assistente de Configuração Cloud Attach para ativar o upload do dispositivo. Pode carregar os seus dispositivos sem permitir a inscrição automática para cogestão ou comutação de cargas de trabalho para Intune. Todos os Dispositivos geridos pelo Gestor de Configuração que tenham Sim na coluna Cliente serão carregados. Se necessário, pode limitar o upload a uma única coleção de dispositivos. Se a cogestão já estiver ativada no seu ambiente, edite propriedades de cogestão para ativar o upload do dispositivo.
Quando a cogestão não estiver ativa, utilize as instruções abaixo para ativar o upload do dispositivo:
Na consola de administração do Gestor de Configuração, aceda ao Anexo de Cloud dos Serviços de Nuvem de Visão Geral da Administração. > > > Para a versão 2103 e anterior, selecione o nó de Cogestão.
Na fita, selecione Configure Cloud Attach para abrir o assistente. Para a versão 2103 e anterior, selecione a cogestão Configure para abrir o assistente.
Na página de bordo, selecione AzurePublicCloud para o seu ambiente. Azure Government Cloud e Azure China 21Vianet não são apoiados.
- A partir da versão 2107, os clientes do Governo dos EUA podem selecionar AzureUSGovernmentCloud.
Selecione iniciar sção. Utilize a sua conta de Administrador Global para iniciar scontabilidade.
Certifique-se de que a opção de centro de administração Microsoft Endpoint Manager é selecionada na página de embarque**.
- Certifique-se de que a opção Ativa a inscrição automática do cliente para cogestão não é verificada se não pretender ativar a cogestão agora. Se quiser ativar a cogestão, selecione a opção.
- Se ativar a cogestão juntamente com o upload do dispositivo, receberá páginas adicionais no assistente para completar. Para obter mais informações, consulte Ativar a cogestão.
Escolha a seguir e, em seguida, Sim para aceitar a notificação de Aplicação Create AAD. Esta ação prevê um principal serviço e cria um registo de pedidos AZure AD para facilitar a sincronização.
- Opcionalmente, pode importar uma aplicação AD AZure previamente criada durante o insitado anexar a bordo (a partir da versão 2006). Para obter mais informações, consulte a secção de aplicações AD Azure previamente criada.
Na página de upload Configure, selecione a definição de upload do dispositivo recomendado para todos os meus dispositivos geridos por Microsoft Endpoint Configuration Manager. Se necessário, pode limitar o upload a uma única coleção de dispositivos.
- A partir da versão De Configuração Manager 2010, quando uma única coleção é selecionada, as suas coleções infantis também são carregadas.
Consulte a opção de Ativar a análise do Endpoint para dispositivos carregados para Microsoft Endpoint Manager se também quiser obter insights para otimizar a experiência do utilizador final no Endpoint Analytics
Selecione Resumo para rever a sua seleção e, em seguida, escolha Seguinte.
Quando o assistente estiver completo, selecione Fechar.
Executar ações de dispositivo
Em um navegador, navegue para
endpoint.microsoft.com
Selecione dispositivos, em seguida, todos os dispositivos para ver os dispositivos carregados. Verá o ConfigMgr na Coluna Gerida para dispositivos carregados.
Selecione um dispositivo para carregar a sua página de visão geral.
Escolha qualquer uma das seguintes ações:
- Política da máquina de sincronização
- Política de Utilizador sincronizado
- Ciclo de Avaliação de Aplicativos
Importar um pedido AD Azure previamente criado (opcional)
(Introduzido na versão 2006)
Durante um novo embarque,um administrador pode especificar uma aplicação previamente criada durante o embarque ao inquilino anexado. Não partilhe nem reutiluse aplicações AD Azure em várias hierarquias. Se tiver várias hierarquias, crie aplicações AD Azure separadas para cada uma.
A partir da página de bordo no Assistente de Configuração do Anexo de Nuvem ( Assistente de Configuração de Cogestão nas versões 2103 e anteriores), selecione Opcionalmente importe uma aplicação web separada para sincronizar os dados do cliente do Gestor de Configuração para Microsoft Endpoint Manager centro de administração. Esta opção irá instrui-lo a especificar as seguintes informações para a sua aplicação AD Azure:
- Nome do inquilino da AD AD Azure
- ID de inquilino do Azure AD
- Nome da aplicação
- ID de Cliente
- Chave secreta
- Expiração da chave secreta
- URI do ID da Aplicação
Permissões e configuração da aplicação AD Azure
A utilização de uma aplicação previamente criada durante o embarque no anexo do arrendatário requer as seguintes permissões:
Permissões de microserviço do Gestor de Configuração:
- CmCollectionData.read
- CmCollectionData.write
Permissões Graph microsoft:
- Diretório.Read.Todas as aplicações permissão
- Diretório.Read.Todas as permissões de diretórios delegados
Certifique-se de que o consentimento administrativo do Arrendatário é selecionado para o pedido Azure AD. Para mais informações, consulte o consentimento da administração Grant nos registos da App.
O pedido importado deve ser configurado da seguinte forma:
- Registado apenas neste diretório organizacional neste diretório organizacional. Para mais informações, consulte 'Alterar quem pode aceder à sua aplicação'.
- Tem uma aplicação válida ID URI e segredo
Mostrar o estado do conector do Gestor de Configuração a partir da consola de administração
A partir do centro de administração Microsoft Endpoint Manager, pode rever o estado do conector Do Gestor de Configuração. Para visualizar o estado do conector, aceda aos > conectores e fichas da administração do arrendatário > Microsoft Endpoint Configuration Manager. Selecione uma hierarquia de gestão de configuração em execução versão 2006, ou mais tarde para apresentar informações adicionais sobre o mesmo.
Nota
Algumas informações não estão disponíveis se a hierarquia estiver a executar a versão 2006 do Gestor de Configuração.
Offboard do anexo de inquilino
Embora saibamos que os clientes obtêm um enorme valor ao permitir que o inquilino se adieta, existem casos raros em que você pode precisar de offboard uma hierarquia. Pode desacolagem a partir da consola Do Gestor de Configuração (método de recomendação) ou do centro de administração Microsoft Endpoint Manager.
Offboard da consola Do Gestor de Configuração
Quando o inquilino já estiver ativado, edite as propriedades de cogestão para desativar o upload do dispositivo e o offboard.
- Na consola de administração do Gestor de Configuração, aceda ao Anexo de Cloud dos Serviços de Nuvem de Visão Geral da Administração. > > >
- Para a versão 2103 e anterior, selecione o nó de Cogestão.
- Na fita, selecione Properties para a sua política de produção de cogestão.
- No separador de upload Configure, remova o Upload para Microsoft Endpoint Manager seleção do centro de administração.
- Selecione Aplicar.
Offboard do centro de administração Microsoft Endpoint Manager
Se necessário, pode desacolagem de uma versão de Gestor de Configuração 2006 ou posterior hierárquica do centro de administração Microsoft Endpoint Manager. Por exemplo, poderá ter de sair do centro de administração na sequência de um cenário de recuperação de desastres onde o ambiente no local foi removido. Siga os passos abaixo para remover a sua hierarquia de Gestor de Configuração do centro de administração Microsoft Endpoint Manager:
- Inicie sessão no centro de administração do Microsoft Endpoint Manager.
- Selecione a administração do inquilino, em seguida, conectores e fichas.
- Selecione Microsoft Endpoint Configuration Manager.
- Escolha o nome do site que pretende embarcar e, em seguida, selecione Delete.
- Esta opção só é visível para sites que executam a versão do Gestor de Configuração 2006 ou posterior.
Quando se sai de uma hierarquia do centro de administração, pode levar até duas horas para remover do centro de administração Microsoft Endpoint Manager. Se tiver desligado um Gestor de Configuração 2103 ou um site posterior que esteja online e saudável, o processo pode demorar apenas alguns minutos.
Passos seguintes
- Inscreva dispositivos do Gestor de Configuração em análise de Endpoint
- Para obter informações sobre o inquilino, consulte o inquilino de resolução de problemas anexado.