Настройка подключения клиента для поддержки политик безопасности конечных точек из Intune

При использовании сценария подключения клиента Configuration Manager политики безопасности конечных точек из Intune можно развернуть на устройствах, которыми вы управляете с помощью Configuration Manager. Чтобы использовать этот сценарий, необходимо сначала настроить подключение клиента для Configuration Manager и включить коллекции устройств из Configuration Manager для использования с Intune. После включения коллекций для использования вы используете Центр администрирования Microsoft Intune для создания и развертывания политик.

Требования к использованию политики Intune для присоединения клиента

Для поддержки использования политик безопасности конечных точек Intune на устройствах Configuration Manager среда Configuration Manager требует следующих конфигураций. Рекомендации по настройке приведены в этой статье:

Общие требования к подключению клиента

  • Настройка подключения клиента . В сценарии присоединения клиента вы синхронизируете устройства из Configuration Manager в Центр администрирования Microsoft Intune. Затем вы можете использовать Центр администрирования для развертывания поддерживаемых политик в этих коллекциях.

    Подключение клиента часто настраивается с помощью совместного управления, но вы можете настроить подключение клиента самостоятельно.

  • Синхронизация устройств и коллекций Configuration Manager . После настройки подключения клиента можно выбрать устройства Configuration Manager для синхронизации с Центром администрирования Microsoft Intune. Вы также можете вернуться позже, чтобы изменить синхронизируемые устройства.

    После выбора устройств для синхронизации необходимо включить коллекции для использования с политиками безопасности конечных точек из Intune. Поддерживаемые политики для устройств Configuration Manager можно назначать только включенным коллекциям.

  • Разрешения на идентификатор Microsoft Entra. Чтобы завершить настройку присоединения клиента, ваша учетная запись должна иметь разрешения глобального администратора для подписки Azure.

  • Клиент для Microsoft Defender для конечной точки . Клиент Microsoft Defender для конечной точки должен быть интегрирован с клиентом Microsoft Intune (подписка Microsoft Intune плана 1). См . статью Использование Microsoft Defender для конечной точки в документации по Intune.

Требования к версии Configuration Manager для политик безопасности конечных точек Intune

антивирусная программа

Управление параметрами антивирусной программы для устройств Configuration Manager при использовании подключения клиента.

Путь к политике:

  • Антивирусная программа > безопасности > конечных точек Windows (ConfigMgr)

Профили:

  • Антивирусная программа Microsoft Defender (предварительная версия)
  • Взаимодействие с безопасностью Windows (предварительная версия)

Требуемая версия Configuration Manager:

  • Configuration Manager current branch версии 2006 или более поздней

Поддерживаемые платформы устройств Configuration Manager:

  • Windows 8.1 (x86, x64), начиная с Configuration Manager версии 2010
  • Windows 10 и более поздних версий (x86, x64, ARM64)
  • Windows 11 и более поздних версий (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), начиная с Configuration Manager версии 2010
  • Windows Server 2016 и более поздних версий (x64)

Важно!

22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Обнаружение и нейтрализация атак на конечные точки

Управление параметрами политики обнаружения конечных точек и ответа для устройств Configuration Manager при использовании подключения клиента.

Платформа: Windows (ConfigMgr)

Профиль: обнаружение конечных точек и ответ (ConfigMgr)

Требуемая версия Configuration Manager:

  • Configuration Manager текущей ветви версии 2002 или более поздней, с исправлением Configuration Manager 2002 в консоли (KB4563473)
  • Configuration Manager technical preview 2003 или более поздней версии

Поддерживаемые платформы устройств Configuration Manager:

  • Windows 8.1 (x86, x64) начиная с Configuration Manager 2010
  • Windows 10 и более поздних версий (x86, x64, ARM64)
  • Windows 11 и более поздних версий (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64) начиная с Configuration Manager версии 2010
  • Windows Server 2016 и более поздних версий (x64)

Важно!

22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Брандмауэр

Поддержка устройств, управляемых Configuration Manager, доступна в предварительной версии.

Управление параметрами политики брандмауэра для устройств Configuration Manager при использовании подключения клиента.

Путь к политике:

  • Брандмауэр безопасности конечных > точек

Профили:

  • Брандмауэр Windows (ConfigMgr)

Требуемая версия Configuration Manager:

  • Configuration Manager current branch версии 2006 или более поздней с обновлением в консоли Configuration Manager 2006 (KB4578605)

Поддерживаемые платформы устройств Configuration Manager:

  • Windows 11 и более поздних версий (x86, x64, ARM64)
  • Windows 10 и более поздних версий (x86, x64, ARM64)

Настройка Configuration Manager для поддержки политик Intune

Перед развертыванием политик Intune на устройствах Configuration Manager выполните конфигурации, описанные в следующих разделах. Эти конфигурации подключены к устройствам Configuration Manager с помощью Microsoft Defender для конечной точки и позволяют им работать с политиками Intune.

Следующие задачи выполняются в консоли Configuration Manager. Если вы не знакомы с Configuration Manager, обратитесь к администратору Configuration Manager, чтобы выполнить эти задачи.

  1. Подтверждение среды Configuration Manager
  2. Настройка подключения клиентов и синхронизации устройств
  3. Выбор устройств для синхронизации
  4. Включение коллекций для политик безопасности конечных точек

Совет

Дополнительные сведения об использовании Microsoft Defender для конечной точки с Configuration Manager см. в следующих статьях в содержимом Configuration Manager:

Задача 1. Подтверждение среды Configuration Manager

Для политик Intune для устройств Configuration Manager требуются разные минимальные версии Configuration Manager в зависимости от того, когда политика была впервые выпущена. Ознакомьтесь с требованиями к версии Configuration Manager для политик безопасности конечных точек Intune , приведенными ранее в этой статье, чтобы убедиться, что ваша среда поддерживает политики, которые вы планируете использовать. Более поздняя версия Configuration Manager поддерживает политики, для которых требуется более ранняя версия.

Если требуется исправление Configuration Manager, это исправление можно найти в качестве обновления в консоли для Configuration Manager. Дополнительные сведения см. в разделе Установка обновлений в консоли документации по Configuration Manager.

После установки необходимых обновлений вернитесь сюда, чтобы продолжить настройку среды для поддержки политик безопасности конечных точек из Центра администрирования Microsoft Intune.

Задача 2. Настройка подключения клиентов и синхронизации устройств

При подключении клиента вы указываете коллекции устройств из развертывания Configuration Manager для синхронизации с Центром администрирования Microsoft Intune. После синхронизации коллекций используйте Центр администрирования, чтобы просмотреть сведения об этих устройствах и развернуть на них политику безопасности конечных точек из Intune.

Дополнительные сведения о сценарии присоединения клиента см. в разделе Включение присоединения клиента в содержимом Configuration Manager.

Включение подключения клиента, если совместное управление не включено

Совет

Мастер конфигурации совместного управления в консоли Configuration Manager используется для включения подключения клиента, но включать совместное управление не требуется.

Если вы планируете включить совместное управление, ознакомьтесь с совместным управлением, его предварительными условиями и управлением рабочими нагрузками, прежде чем продолжить. См . раздел Что такое совместное управление? в документации по Configuration Manager.

  1. В консоли администрирования Configuration Manager перейдите в раздел Администрирование>Обзор>совместного управления облачными службами>.

  2. На ленте выберите Настройка совместного управления для открытия мастера.

  3. На странице Подключение клиента выберите AzurePublicCloud для своей среды. Облако Azure для государственных организаций не поддерживается.

    1. Нажмите Войти. Чтобы войти, используйте свою учетную запись глобального администратора.

    2. Убедитесь, что на странице Подключение клиента выбран параметр Отправить в Центр администрирования Microsoft Intune.

    3. Удалите флажок Включить автоматическую регистрацию клиента для совместного управления.

      Если выбран этот параметр, мастер отображает дополнительные страницы для завершения настройки совместного управления. Дополнительные сведения см. в разделе Включение совместного управления в содержимом Configuration Manager.

      Настройка подключения клиента

  4. Нажмите кнопку Далее , а затем — Да , чтобы принять уведомление о создании приложения Microsoft Entra . Это действие подготавливает субъект-службу и создает регистрацию приложения Microsoft Entra для упрощения синхронизации коллекций с Центром администрирования Microsoft Intune.

  5. На странице Настройка отправки настройте коллекции устройств, которые требуется синхронизировать. Вы можете ограничить конфигурацию коллекциями устройств или использовать рекомендуемый параметр отправки устройств для всех моих устройств, управляемых Microsoft Endpoint Configuration Manager.

    Совет

    Вы можете пропустить выбор коллекций сейчас, а затем использовать сведения в следующей задаче, задаче 3, чтобы настроить коллекции устройств для синхронизации с Центром администрирования Microsoft Intune.

  6. Выберите Сводка , чтобы просмотреть выбранный вариант, а затем нажмите кнопку Далее.

  7. По завершении работы мастера нажмите Закрыть.

Подключение клиента теперь настроено, и выбранные устройства синхронизируются с Центром администрирования Microsoft Intune.

Включение подключения клиента, если вы уже используете совместное управление

  1. В консоли администрирования Configuration Manager перейдите в раздел Администрирование>Обзор>совместного управления облачными службами>.

  2. Щелкните правой кнопкой мыши параметры совместного управления и выберите Свойства.

  3. На вкладке Настройка отправки выберите Отправить в Центр администрирования Microsoft Intune, а затем — Применить.

    Параметр по умолчанию для отправки устройств — Все мои устройства под управлением Microsoft Endpoint Configuration Manager. Вы также можете ограничить конфигурацию одной или несколькими коллекциями устройств.

    Просмотр вкладки свойств совместного управления

  4. Выполните вход с помощью учетной записи глобального администратора при появлении соответствующего запроса.

  5. Выберите Да , чтобы принять уведомление о создании приложения Microsoft Entra . Это действие подготавливает субъект-службу и создает регистрацию приложения Microsoft Entra для упрощения синхронизации.

  6. Нажмите кнопку ОК , чтобы выйти из свойств совместного управления, если вы завершили внесение изменений. В противном случае перейдите к задаче 3, чтобы выборочно включить отправку устройств в Центр администрирования Microsoft Intune.

    Подключение клиента теперь настроено, и выбранные устройства синхронизируются с Центром администрирования Microsoft Intune.

Задача 3. Выбор устройств для синхронизации

Если подключение клиента настроено, можно выбрать устройства для синхронизации. Если вы еще не синхронизировали устройства или вам нужно перенастроить те, которые вы синхронизируете, вы можете изменить свойства совместного управления в консоли Configuration Manager.

Выбор устройств для отправки

  1. В консоли администрирования Configuration Manager перейдите в раздел Администрирование>Обзор>совместного управления облачными службами>.

  2. Щелкните правой кнопкой мыши параметры совместного управления и выберите Свойства.

  3. На вкладке Настройка отправки выберите Отправить в Центр администрирования Microsoft Intune, а затем — Применить.

    Параметр по умолчанию для отправки устройств — Все мои устройства под управлением Microsoft Endpoint Configuration Manager. Вы также можете ограничить конфигурацию одной или несколькими коллекциями устройств.

Задача 4. Включение коллекций для политик безопасности конечных точек

После настройки устройств для синхронизации с Центром администрирования Microsoft Intune необходимо включить коллекции для работы с политиками безопасности конечных точек. Когда вы включаете коллекции устройств для работы с политиками безопасности конечных точек из Intune, вы делаете настроенные коллекции доступными для назначения с помощью политик безопасности конечных точек.

Включение коллекций для использования с политиками безопасности конечных точек

  1. В консоли Configuration Manager, подключенной к сайту верхнего уровня, щелкните правой кнопкой мыши коллекцию устройств, синхронизированную с Центром администрирования Microsoft Intune, и выберите Свойства.

  2. На вкладке Облачная синхронизация включите параметр Сделать эту коллекцию доступной, чтобы назначить политики безопасности конечных точек из Центра администрирования Microsoft Intune.

    Настройка облачной синхронизации

  3. Выберите Добавить , а затем выберите группу Microsoft Entra, которую вы хотите синхронизировать с сбором результатов членства.

  4. Нажмите кнопку ОК , чтобы сохранить конфигурацию.

    Устройства в этой коллекции теперь могут подключиться к Microsoft Defender для конечной точки и поддерживать использование политик безопасности конечных точек Intune.

Как отобразить состояния соединителя

В соединителе Configuration Manager содержатся подробности реализации Configuration Manager. В Центре администрирования Microsoft Intune можно просмотреть сведения о соединителе Configuration Manager, например время последней успешной синхронизации и состояние подключения.

Чтобы отобразить состояние соединителя Configuration Manager:

  1. Войдите в центр администрирования Microsoft Intune .

  2. Выберите соединители администрирования клиента>и маркеры>Microsoft Endpoint Configuration Manager. Выберите иерархию Configuration Manager под управлением версии 2006 или позднее, чтобы отобразить дополнительную информацию о ней.

    Отображение состояния соединителя Configuration Manager

    Примечание.

    Если иерархия работает под управлением Configuration Manager версии 2006 или ранее, некоторые сведения будут недоступны.

Убедившись, что подключение к Configuration Manager из Microsoft Intune является работоспособным, вы успешно подключили клиент к Configuration Manager.

Как просмотреть сведения о локальном устройстве

Сведения о клиенте Configuration Manager, включая коллекции, членство в группах границ и сведения о клиенте для определенного устройства, можно просмотреть в Центре администрирования Microsoft Intune.

Просмотр сведений о клиенте в зависимости от устройства

Выполните следующие действия, чтобы увидеть сведения для определенного устройства:

  1. В браузере перейдите в Центр администрирования Microsoft Intune.

  2. Последовательно выберите Устройства>Все устройства.

    Устройства, которые были отправлены с помощью подключения клиента, отображают ConfigMgr в столбце Управляемые .

    Microsoft Intune — все устройства

  3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

  4. Выберите Сведения о клиенте , чтобы просмотреть дополнительные сведения.

    Следующие поля обновляются каждый час:

    • Последний запрос политики
    • Время последней активности
    • Точка управления

    Сведения о клиенте в Центре администрирования Microsoft Intune

  5. Выберите Коллекции , чтобы получить список коллекций клиента.

    С помощью коллекций можно упорядочивать ресурсы в управляемые единицы.

    Клиентские коллекции в Центре администрирования Microsoft Intune

Просмотр списка устройств для каждого пользователя

Выполните следующие действия, чтобы просмотреть список устройств, принадлежащих какому-либо пользователю:

  1. В браузере перейдите в Центр администрирования Microsoft Intune.

  2. Выберите Устранение неполадок и поддержка>Устранение неполадок>Выберите пользователя.

    Если какой-либо пользователь уже отображается, нажмите Изменить пользователя, чтобы выбрать другого пользователя.

  3. Найдите или выберите пользователя, указанного в списке, а затем щелкните Выбрать.

    В таблице Устройства перечислены устройства Configuration Manager, связанные с этим пользователем.

Дополнительные сведения о просмотре сведений о клиенте и о подключении клиента см. в статье Подключение клиента: сведения о клиенте ConfigMgr в центре администрирования.

Просмотр данных локального устройства

В Центре администрирования Microsoft Intune можно просмотреть инвентаризацию оборудования для отправленных устройств Configuration Manager с помощью обозревателя ресурсов.

Просмотр данных об устройствах в обозревателе ресурсов:

  1. В браузере перейдите в Центр администрирования Microsoft Intune.

  2. Последовательно выберите Устройства>Все устройства.

  3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

    Устройства, синхронизированные через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства также могут отображать совместное управление , если применяются Configuration Manager и Intune, и Intune , если применяется только управление Intune.

  4. Щелкните Обозреватель ресурсов, чтобы просмотреть инвентарный перечень оборудования.

  5. Найдите или выберите класс (значение устройства) для получения информации от клиента.

    Обозреватель ресурсов в Центре администрирования Microsoft Intune

Обозреватель ресурсов может отображать историческое представление инвентаризации устройств в Центре администрирования Microsoft Intune. При устранении неполадок наличие исторических данных инвентаризации может предоставить ценную информацию об изменениях устройства.

  1. В Центре администрирования Microsoft Intune выберите Обозреватель ресурсов , если он еще не выбран.

  2. Выберите класс (значение устройства).

  3. Введите дату в элементе выбора даты и времени, чтобы получить исторические данные инвентаризации.

    Снимок экрана: выбор даты в обозревателе ресурсов в Центре администрирования Microsoft Intune

  4. Закройте обозреватель ресурсов и вернитесь к сведениям об устройстве, щелкнув X значок в правом верхнем углу обозревателя ресурсов.

    Закрытие обозревателя ресурсов со значком x в Центре администрирования Microsoft Intune

Дополнительные сведения о просмотре данных об устройствах с подключением клиента см. в статье Подключение клиента: обозреватель ресурсов в центре администрирования.

Просмотр локального управления приложениями

В Центре администрирования Microsoft Intune можно инициировать установку приложения в режиме реального времени для подключенного к клиенту устройства. Можно развернуть приложение на каком-либо устройстве или для какого-либо пользователя. Кроме того, можно восстановить, повторно оценить, переустановить или удалить приложение.

Выполните следующие действия, чтобы установить приложение на локальное устройство.

  1. В браузере перейдите в Центр администрирования Microsoft Intune.

  2. Последовательно выберите Устройства>Все устройства.

  3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

    Как отмечалось ранее, устройства, которые синхронизируются через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства отображают совместное управление , если применяются Configuration Manager и Intune, и Intune , когда применяется только управление Intune.

  4. Выберите Приложения , чтобы просмотреть список применимых приложений.

  5. Выберите приложение, которое еще не было установлено, и нажмите кнопку Установить.

    Снимок экрана: установка приложения из Центра администрирования Microsoft Intune

Дополнительные сведения о приложениях и подключении клиента см. в статье Подключение клиента: установка приложений из центра администрирования.

Просмотр локальных скриптов

Можно в реальном времени запускать сценарии PowerShell из облака для устройств, находящихся под управлением Configuration Manager. Вы также можете разрешить другим пользователям, таким как служба поддержки, выполнять сценарии PowerShell. Это дает все преимущества сценариев PowerShell, которые определены и утверждены администратором Configuration Manager для использования в этой новой среде.

  1. В браузере перейдите в Центр администрирования Microsoft Intune.

  2. Последовательно выберите Устройства>Все устройства.

  3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

    Как отмечалось ранее, устройства, которые синхронизируются через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства отображают совместное управление , если применяются Configuration Manager и Intune, и Intune , когда применяется только управление Intune.

  4. Выберите Скрипты , чтобы просмотреть список доступных скриптов.

    В списке перечислены недавно запущенные скрипты, непосредственно предназначенные для устройства. Этот список включает сценарии. запущенные из центра администрирования, из SDK и из консоли Configuration Manager. Скрипты, инициированные из консоли Configuration Manager для коллекций, содержащих устройство, не отображаются, если только скрипты не были инициированы специально для одного устройства.

    Снимок экрана: список скриптов из Центра администрирования Microsoft Intune

Дополнительные сведения о запуске сценариев на устройствах с подключением клиента см. в статьеПодключение клиента: запуск сценариев из центра администрирования.

Просмотр временной шкалы событий локального устройства

Когда Configuration Manager синхронизирует устройство с Microsoft Intune через подключение клиента, вы можете просмотреть временную шкалу событий для этих устройств в Центре администрирования Microsoft Intune. На этой временной шкале отображаются прошлые действия с устройством. Эта информация поможет вам устранить неполадки.

Один раз в день Configuration Manager отправляет события локального устройства в Центр администрирования Microsoft Intune. В центре администрирования отображаются только события, собранные после получения клиентом политики Включить сбор данных аналитики конечных точек. Можно легко создать тестовые события: для этого достаточно установить приложение или обновление из Configuration Manager, а затем перезапустить устройство. События хранятся в течение 30 дней.

Примечание.

В качестве необходимого условия для просмотра временной шкалы в Центре администрирования Microsoft Intune необходимо установить параметр Включить сбор данных аналитики конечных точек значение Да в Configuration Manager. Дополнительные сведения о временной шкале устройств см. в статье Подключение клиента: временная шкала устройства в центре администрирования.

Чтобы просмотреть временную шкалу событий устройства:

  1. В браузере перейдите в Центр администрирования Microsoft Intune.

  2. Последовательно выберите Устройства>Все устройства.

  3. Выберите устройство, синхронизированное с Configuration Manager через подключение клиента.

    Как отмечалось ранее, устройства, которые синхронизируются через подключение клиента, отображают ConfigMgr в столбце Управляемые . Устройства отображают совместное управление , если применяются Configuration Manager и Intune, и Intune , когда применяется только управление Intune.

  4. Выберите параметр Временная шкала. По умолчанию отображаются события за последние 24 часа.

    • Нажмите Синхронизация, чтобы получить последние данные, сформированные на клиенте. По умолчанию устройство отправляет события в центр администрирования один раз в день.
    • Нажмите кнопку Фильтр, чтобы изменить настройки Диапазон времени, Уровни событий и Имя поставщика.
    • Если выбрать событие, можно просмотреть подробное сообщение для него.
    • Нажмите Обновить, чтобы перезагрузить страницу и увидеть новые собранные события.

    Временная шкала событий для устройства

Дополнительные сведения о просмотре событий устройств с подключением клиента см. в статье Подключение клиента: временная шкала устройства в центре администрирования.

Дальнейшие действия