共用方式為

設定租戶附加以支援 Intune 的端點安全政策

當你使用 Configuration Manager 的租戶附加情境時,你可以從 Intune 部署端點安全政策到你用 Configuration Manager 管理的裝置。 使用此情境時,您必須先設定 Configuration Manager 的 tenant attach,並啟用 Configuration Manager 中的裝置集合以供 Intune 使用。 啟用集合後,你可以使用 Microsoft Intune 管理中心來建立並部署政策。

租客 Attach 使用 Intune 政策的要求

為了支援在 Configuration Manager 裝置中使用 Intune 端點安全政策,您的 Configuration Manager 環境需要以下設定。 本文提供了設定指引

租戶附著的一般要求

  • 設定租戶連接 - 在租戶連接情境中,你會將裝置從 Configuration Manager 同步到 Microsoft Intune 管理中心。 接著你可以使用管理中心將支援的政策部署到這些集合中。

    租戶連結通常與共管理一起設定,但你也可以單獨設定租戶連接。

  • 同步 Configuration Manager 裝置與集合 – 設定租戶附加後,您可以選擇與 Microsoft Intune 管理中心同步的 Configuration Manager 裝置。 你也可以稍後回來修改同步的裝置。

    選擇要同步的裝置後,您必須啟用 Intune 端點安全政策的集合。 Configuration Manager 裝置的支援政策只能指派給你已啟用的集合。

  • Microsoft Entra ID 權限 - 要完成租戶附加設定,你的帳號必須擁有 Azure 訂閱的全域管理員權限。

    重要事項

    Microsoft 建議您使用權限最少的角色。 使用較低權限的帳戶有助於提高組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

  • 戶適用於端點的 Microsoft Defender – 您的適用於端點的 Microsoft Defender租戶必須與Microsoft Intune租戶 (Microsoft Intune 方案 1 訂閱) 整合。 請參閱 Intune 文件中的「Use 適用於端點的 Microsoft Defender」。

Configuration Manager Intune 端點安全政策的版本需求

防毒軟體

使用租戶附加時,管理 Configuration Manager 裝置的防毒設定

政策路徑

  • 端點安全>防毒>軟體 Windows (ConfigMgr)

簡介

  • Microsoft Defender 防毒軟體 (預覽)
  • Windows 安全性體驗 (預覽)

Configuration Manager 的必備版本

  • Configuration Manager 目前分支版本 2006 或更新版本

支援的 Configuration Manager 裝置平台

  • Windows 8.1 (x86、x64) ,從 2010 Configuration Manager 版本開始
  • Windows
  • Windows Server 2012 R2 (x64) ,從 2010 Configuration Manager版本開始
  • Windows Server 2016及之後 (x64)

重要事項

2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。

重要事項

在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

端點偵測及回應

管理使用 Configuration Manager 裝置時的端點偵測與回應政策設定,適用於租戶附加功能。

平台Windows (ConfigMgr)

Profile端點偵測與回應 (ConfigMgr)

Configuration Manager 的必備版本

  • Configuration Manager目前分支版本 2002 或更新,並附有主機內更新Configuration Manager 2002 熱修補丁 (KB4563473)
  • Configuration Manager 技術預覽版 2003 或更新版本

支援的 Configuration Manager 裝置平台

  • Windows 8.1 (x86、x64),從 Configuration Manager 版本 2010 開始
  • Windows (x86、x64、ARM64)
  • Windows Server 2012 R2 (x64),從 Configuration Manager 版本 2010 開始
  • Windows Server 2016及之後 (x64)
  • Windows (x86、x64、ARM64)

重要事項

2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。

重要事項

在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

防火牆

支援由 Configuration Manager 管理的裝置目前處於預覽階段。

管理 Configuration Manager 裝置的防火牆政策設定,使用租戶附加功能時。

政策路徑

  • 端點安全 > 防火牆

簡介

  • Windows 防火牆 (ConfigMgr)

Configuration Manager 的必備版本

  • Configuration Manager 2006 年或更新的分支版本,並附有 2006 年熱修補Configuration Manager主機內更新 (KB4578605)

支援的 Configuration Manager 裝置平台

  • Windows (x86、x64、ARM64)

    重要事項

    2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。

Set Configuration Manager 以支援 Intune 政策

在你部署 Intune 政策到 Configuration Manager 裝置之前,請先完成以下章節中詳細說明的設定。 這些設定會讓你的 Configuration Manager 裝置加入 適用於端點的 Microsoft Defender,並讓它們能與 Intune 政策相容。

以下任務會在 Configuration Manager 主控台中完成。 如果你不熟悉 Configuration Manager,建議與 Configuration Manager 管理員合作完成這些任務。

  1. 確認你的 Configuration Manager 環境
  2. 設定租戶連接與同步裝置
  3. 選擇要同步的裝置
  4. 啟用端點安全政策的集合

提示

想了解更多關於使用 Configuration Manager 使用 適用於端點的 Microsoft Defender 的資訊,請參閱 Configuration Manager 內容中的以下文章:

任務一:確認你的 Configuration Manager 環境

Intune 對 Configuration Manager 裝置的政策會根據政策首次發布的時間,要求不同的最低版本 Configuration Manager。 請檢視本文前述Intune端點安全政策的Configuration Manager版本要求,以確保您的環境支援您計畫使用的政策。 較新的 Configuration Manager 版本支援需要更早版本的政策。

當需要 Configuration Manager 熱修補時,你可以在主控台內找到 Configuration Manager 的熱修補。 欲了解更多資訊,請參閱 Configuration Manager 文件中的「安裝主控台內更新」。

安裝必要更新後,請返回此處繼續配置環境,以支援 Microsoft Intune 管理中心的端點安全政策。

任務二:設定租戶連接與同步裝置

租戶附加功能是指定 Configuration Manager 部署中的裝置集合,與 Microsoft Intune 管理中心同步。 在集合同步後,使用管理中心查看這些裝置的資訊,並從 Intune 部署端點安全政策到它們。

欲了解更多租戶附加情境,請參閱 Configuration Manager 內容中的「啟用租戶附加」。

當尚未啟用共同管理時,啟用租戶連結

提示

你可以在 Configuration Manager 控制台中使用 Co-Management Configuration Wizard 來啟用租戶附加,但不需要啟用 co-management。

如果你打算啟用共同管理,請先熟悉共同管理、其前提條件,以及如何管理工作負載,再繼續進行。 請參閱 Configuration Manager 文件中的「什麼是共管理?」。

  1. 在 Configuration Manager 管理主控台中,請前往管理>概覽>雲端服務>共同管理

  2. 在功能區中,選取 設定共同管理 以開啟精靈。

  3. 租用戶上線 頁面上,選取 AzurePublicCloud 環境。 Azure Government 雲端不被支援。

    1. 選取 [登入]。 使用您的 全域系統管理員 帳戶來登入。

    2. 請確保在租戶入職頁面選擇「上傳至 Microsoft Intune 管理中心」這個選項。

    3. 啟用自動客戶註冊以共同管理中移除勾選。

      當選擇此選項時,精靈會顯示額外頁面以完成共同管理的設定。 欲了解更多資訊,請參閱 Configuration Manager 內容中的「啟用共同管理」。

      設定租戶連接

  4. 選擇「下一步」,然後選擇「是」以接受建立 Microsoft Entra 應用程式通知。 此動作會設定服務主體並建立 Microsoft Entra 應用程式註冊,以促進集合與 Microsoft Intune 管理中心的同步。

  5. 「設定上傳」頁面,設定你想同步的裝置集合。你可以將設定限制在裝置集合,或使用推薦的裝置上傳設定,適用於 Microsoft Endpoint Configuration Manager 管理的所有裝置

    提示

    你現在可以跳過選取集合,之後再利用任務 3 中的資訊,設定哪些裝置集合要與 Microsoft Intune 管理中心同步。

  6. 選擇 摘要 以檢視您的選擇,然後選擇 下一步

  7. 精靈完成時,選取 關閉

租戶連結已設定好,且選取的裝置同步到 Microsoft Intune 管理中心。

當你已經使用共同管理時,請啟用租戶連結

  1. 在 Configuration Manager 管理主控台中,請前往管理>概覽>雲端服務>共同管理

  2. 右鍵點擊你的共同管理設定,然後選擇 屬性

  3. 「設定上傳」標籤中,選擇「上傳到Microsoft Intune管理中心」,然後「套用」。

    裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 你也可以選擇將配置限制在一個或幾個裝置集合中。

    查看共管理屬性標籤

  4. 當提示時,請以您的 全球管理員 帳號登入。

  5. 選擇「是」以接受建立 Microsoft Entra 應用程式通知。 此動作會設定服務主體並建立 Microsoft Entra 應用程式註冊以促進同步。

  6. 如果你已經完成修改,請選擇 確定 以退出共同管理屬性。 否則,請移至任務 3,選擇性地啟用裝置上傳至 Microsoft Intune 管理中心。

    租戶連結已設定好,且選取的裝置同步到 Microsoft Intune 管理中心。

任務三:選擇要同步的裝置

當租戶連結設定好後,你可以選擇裝置同步。如果你還沒同步裝置,或需要重新設定同步哪些裝置,可以在 Configuration Manager 控制台編輯共管理的屬性來同步。

選擇要上傳的裝置

  1. 在 Configuration Manager 管理主控台中,請前往管理>概覽>雲端服務>共同管理

  2. 右鍵點擊你的共同管理設定,然後選擇 屬性

  3. 「設定上傳」標籤中,選擇「上傳到Microsoft Intune管理中心」,然後「套用」。

    裝置上傳的預設設定是 由 Microsoft 端點組態管理員管理的所有裝置。 你也可以選擇將配置限制在一個或幾個裝置集合中。

任務四:啟用端點安全政策的集合

在設定裝置同步至 Microsoft Intune 管理中心後,必須啟用集合以配合端點安全政策運作。 當你啟用裝置集合與 Intune 的端點安全政策合作時,你就是讓已設定的集合成為端點安全政策的目標。

啟用集合以配合端點安全政策使用

  1. 從連接到頂層網站的 Configuration Manager 主控台,右鍵點選你同步到 Microsoft Intune 管理中心的裝置集合,然後選擇屬性

  2. 雲端同步標籤中,啟用「讓此集合可用」的選項,以便從 Microsoft Intune 管理中心指派端點安全政策

    • 如果你的 Configuration Manager 階層沒有綁定租戶,你就無法選擇這個選項。
    • 此選項可收的數量受限於 租戶附加上傳的收款範圍

    設定雲端同步

  3. 選擇新增,然後選擇你想同步的 Microsoft Entra 群組,收集會員結果

  4. 選擇 確定 以儲存設定。

    本集合中的裝置現在可以上線 適用於端點的 Microsoft Defender,並支援使用 Intune 端點安全政策。

顯示連接器狀態

組態管理員連接器提供有關您的組態管理員執行的詳細資訊。 在 Microsoft Intune 管理中心,您可以查看 Configuration Manager 連接器的詳細資訊,例如最後成功同步的時間及連線狀態。

若要顯示組態管理員連接器狀態:

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 租用戶管理> 連接器和權杖>Microsoft 端點組態管理員。 選取執行版本 2006 或更新版本的組態管理員階層,以顯示其他相關資訊。

    顯示組態管理員連接器狀態

    注意事項

    如果階層是使用組態管理員版本 2006 或更早版本,某些資訊將不可用。

一旦你確認從 Microsoft Intune 連接到 Configuration Manager 的連線狀況良好,你就成功將租戶連接到 Configuration Manager。

檢視內部部署裝置詳細資料

您可以在 Microsoft Intune 管理中心查看 Configuration Manager 用戶端的詳細資訊,包括集合、邊界群組成員資格及特定裝置的用戶端資訊。

根據裝置來查看用戶端詳細資料

使用下列步驟來查看特定裝置用戶端詳細資料:

  1. 在瀏覽器中,進入 Microsoft Intune 管理中心

  2. 選擇 裝置>全部裝置

    使用租戶上傳的裝置會在「管理者」欄位附加顯示 ConfigMgr

    Microsoft Intune - 所有裝置

  3. 選取透過租用戶附加從組態管理員同步的裝置。

  4. 選擇 「客戶詳情 」以查看更多細節。

    一小時一次,會更新下列欄位:

    • 上次原則要求
    • 上次使用時間
    • 管理點

    Microsoft Intune 管理中心中的客戶詳情

  5. 選擇 「收藏」 以列出客戶 的收藏

    集合可協助您將資源組織成可管理的單位。

    Microsoft Intune 管理中心中的客戶集合

根據使用者來檢視裝置清單

使用下列步驟來檢視屬於使用者的裝置清單:

  1. 在瀏覽器中,進入 Microsoft Intune 管理中心

  2. 選擇 故障排除 + 支援>故障排除>選擇使用者

    如果您已經有顯示的使用者,請選擇 變更使用者 以選取不同的使用者。

  3. 搜尋或選擇已列出的使用者,然後點選 「選擇」。

    裝置 表格列出與使用者相關聯的組態管理員裝置。

有關檢視用戶端詳細資料及租用戶附加的詳細資訊,請參閱 租用戶附加: 系統管理中心的組態管理員用戶端詳細資料

查看本地裝置資料

從 Microsoft Intune 管理中心,您可以使用資源總管查看已上傳的 Configuration Manager 裝置的硬體清單。

若要從資源總管檢視裝置資料:

  1. 在瀏覽器中,進入 Microsoft Intune 管理中心

  2. 選擇 裝置>全部裝置

  3. 選取透過租用戶附加從組態管理員同步的裝置。

    透過租戶同步的裝置會在「管理者」欄位附加顯示 ConfigMgr。 裝置也能在同時套用 Configuration Manager 與 Intune 時顯示 Co-managed 狀態,當僅套用 Intune 管理時則顯示 Intune

  4. 選擇 資源總管 以查看硬體庫存。

  5. 搜尋或選取類別 (裝置值) 以從用戶端中擷取資訊。

    Microsoft Intune 管理中心中的資源總覽

資源總管可在 Microsoft Intune 管理中心顯示裝置清單的歷史檢視。 在排除故障時,擁有歷史庫存資料可以提供關於裝置變更的寶貴資訊。

  1. 在 Microsoft Intune 管理中心,如果你還沒選擇資源總管,請選擇它。

  2. 選取類別 (裝置值)。

  3. 在日期時間選擇器中輸入自訂日期,以取得歷史清查資料。

    Microsoft Intune 管理中心資源總管中選擇日期的截圖

  4. 關閉資源總管後,選擇 X 資源總管右上角的圖示回到裝置資訊。

    在 Microsoft Intune 管理中心關閉帶有 x 圖示的資源總管

有關檢視租用戶附加裝置之裝置資料詳細資訊,請參閱 租用戶附加: 系統管理中心的資源總管

檢視本地應用程式管理

從 Microsoft Intune 管理中心,你可以即時啟動租戶連接裝置的應用程式安裝。 您可以將應用程式部署至裝置或使用者。 此外,你也可以修復、重新評估、重新安裝或卸載應用程式。

使用下列步驟將應用程式安裝至內部部署裝置:

  1. 在瀏覽器中,進入 Microsoft Intune 管理中心

  2. 選擇 裝置>全部裝置

  3. 選取透過租用戶附加從組態管理員同步的裝置。

    如前所述,透過租戶同步的裝置會在「管理者」欄位顯示 ConfigMgr。 當 Configuration Manager 與 Intune 同時啟用時,裝置會顯示為共管理;當僅有 Intune 管理時,則顯示 Intune

  4. 選擇 應用程式 以查看適用應用程式清單。

  5. 選擇一個尚未安裝的應用程式,然後選擇 安裝

    Microsoft Intune 管理中心應用程式安裝截圖

有關應用程式和租用戶附加的詳細資訊,請參閱 租用戶附加: 從系統管理中心安裝應用程式

查看本地腳本

您可以針對個別組態管理員受管理的裝置即時從雲端執行 PowerShell 指令碼。 你也可以允許其他角色,例如客服台,執行 PowerShell 腳本。 這讓 PowerShell 腳本具備由 Configuration Manager 管理員定義並核准可用於此新環境的所有優點。

  1. 在瀏覽器中,進入 Microsoft Intune 管理中心

  2. 選擇 裝置>全部裝置

  3. 選取透過租用戶附加從組態管理員同步的裝置。

    如前所述,透過租戶同步的裝置會在「管理者」欄位顯示 ConfigMgr。 當 Configuration Manager 與 Intune 同時啟用時,裝置會顯示為共管理;當僅有 Intune 管理時,則顯示 Intune

  4. 選擇 腳本 以查看可用腳本清單。

    最近執行、直接針對該裝置的腳本會被列出。 此清單包含從系統管理中心、SDK, 或組態管理員主控台執行的指令碼。 從 Configuration Manager 主控台針對包含該裝置的集合所發起的腳本不會顯示,除非這些腳本也是專門針對單一裝置啟動的。

    Microsoft Intune 管理中心腳本清單截圖

有關在租用戶附加裝置上執行指令碼的其他資訊,請參閱 租用戶附加: 從系統管理中心執行指令碼

查看本地裝置事件時間軸

當 Configuration Manager 透過租戶附加同步裝置到 Microsoft Intune 時,你可以在 Microsoft Intune 管理中心看到該裝置的事件時間軸。 此時間表會顯示裝置上過去的活動,可協助疑難排解問題。

Configuration Manager 每天會將本地裝置事件傳送到 Microsoft Intune 管理中心。 只有用戶端收到 啟用端點分析資料收集 原則之後收集的事件,才能在系統管理中心顯示。 您可以安裝應用程式或更新組態管理員,或重新啟動裝置,以輕鬆產生測試事件。 活動會保留 30 天。

注意事項

作為從 Microsoft Intune 管理中心查看時間軸的前提,您必須在 Configuration Manager 中將啟用端點分析資料收集設為「是」。 有關執行裝置時間表的其他資訊,請參閱 租用戶附加: 系統管理中心的裝置時間表

若要檢視裝置事件時間表:

  1. 在瀏覽器中,進入 Microsoft Intune 管理中心

  2. 選擇 裝置>全部裝置

  3. 選取透過租用戶附加從組態管理員同步的裝置。

    如前所述,透過租戶同步的裝置會在「管理者」欄位顯示 ConfigMgr。 當 Configuration Manager 與 Intune 同時啟用時,裝置會顯示為共管理;當僅有 Intune 管理時,則顯示 Intune

  4. 選取 [時間表]。 根據預設,會顯示過去 24 小時內的事件。

    • 選取 同步 以抓取用戶端上最近產生的資料。 裝置預設每天傳送事件一次至系統管理中心。
    • 使用 篩選 按鈕來變更 時間範圍事件層級, 和 提供者名稱
    • 如果你選擇了一個活動,可以查看該事件的詳細訊息。
    • 選取 重新整理 以重載頁面,並查看最新收集的事件。

    裝置的事件時間表

有關檢視租用戶附加裝置裝置之裝置事件詳細資訊,請參閱租用戶附加: 系統管理中心的裝置時間表

後續步驟

  • Last updated on