设置 Chrome Enterprise 进阶版与 Microsoft Intune 的集成

本文档介绍了如何设置 Chrome Enterprise Premium 与 Microsoft Intune 的集成。 设置此集成涉及设置 Intune 设置端点验证、设置 Azure Workload Identity 以及启用 Microsoft Intune 等方法。

准备工作

• 如需设置 Intune for Chrome Enterprise Premium，请执行以下操作：

  • 了解支持的配置并确保 您的环境是否满足网络要求。
  • 登录试用订阅或创建新的 Intune 订阅。
  • 设置 DNS 注册，将贵公司的域名与 Intune 相关联。
  • 添加用户和群组，或连接 Active Directory 以与 Intune 同步。
  • 通过分配许可向用户授予使用 Intune 的权限。

  如需了解详情，请参阅设置 Intune。

• 确保贵组织中的设备运行的是以下操作系统之一：

  • macOS 版本 10.11 或更高版本
  • Microsoft® Windows 10 或更高版本
• 为贵组织设置端点验证。

连接到 Intune

1. 查找您的 Microsoft 365 租户 ID。
2. 注册应用以获取应用 ID。

3. 在管理控制台首页，转到设备。

   转到“设备”
4. 在导航菜单中，点击移动设备和端点 > 设置 > 第三方集成 > 安全和 MDM 合作伙伴 > 管理。
5. 找到 Microsoft Intune，然后点击打开连接。

6. 在连接到 Intune 对话框的 Azure 目录租户 ID 字段中输入租户 ID，并在 Azure 应用 ID 字段中输入应用 ID。

   
7. 根据您是想仅导入公司自有设备还是导入所有设备，请执行适当的操作：
   • 如需仅导入公司自有设备，请点击仅导入公司自有设备切换开关。 在要导入的设备属性部分中，选择必须存储在 Chrome Enterprise 进阶版中的属性。

   • 如要导入所有设备，请在要导入的设备属性部分中，选择必须存储在 Chrome Enterprise Premium 中的属性。

     

   必需的设备属性，例如 device identifier、last sync time 默认情况下，系统会收集 serial number 和 wifi MAC address。

   如需详细了解 Intune 收集的设备属性，请参阅 Intune 设备属性。

8. 点击继续。
9. 复制服务账号 ID。
   
10. 使用服务账号 ID 向 Azure Workload Identity 授权 从 Intune 设备收集数据：
    1. 将您的应用配置为信任外部身份提供方。

       在相应字段中指定以下值：

       • 名称：联合凭据的任何名称。
       • 主题标识符：您复制的服务账号 ID。
       • Issuer（颁发者）：https://accounts.google.com。
    2. 向应用授予权限：
       1. 搜索 DeviceManagementManagedDevices.Read.All 和 DeviceManagementApps.Read.All 权限，然后将这些权限添加到 Microsoft Graph。 请求 API 权限时，选择应用权限。

          DeviceManagementManagedDevices.Read.All 提供对由 Intune 管理的所有设备及其属性的读取权限。 DeviceManagementApps.Read.All 提供对设备删除事件的 Intune 审核日志的读取权限。

       2. 向管理员表示同意授予为您的应用配置的权限。
11. 在连接到 Intune 对话框中，点击连接。

与 Intune 的连接设置为打开。

为您的组织部门启用 Intune

如需使用 Intune 收集设备信息，请为以下各项启用 Intune ，请执行以下操作：

1. 在管理控制台首页，转到设备。

   转到“设备”
2. 在导航菜单中，点击移动设备和端点 > 设置 >第三方集成 > 安全和 MDM 合作伙伴。
3. 在组织部门窗格中，选择您的组织部门。

4. 选中 Microsoft Intune 对应的复选框，然后点击保存。

   Microsoft Intune 现已在安全和 MDM 合作伙伴部分中列出。 根据您组织的规模，在端点验证与 Intune 之间建立连接可能需要几秒钟的时间。更新后 建立连接后，设备可能需要几分钟到一小时的时间 报告 Intune 数据。

   
   

验证设备上的 Intune 数据

1. 在管理控制台首页，转到设备。

   转到“设备”
2. 点击端点。

3. 选择您的组织部门中启用了 Intune 的任何设备。

   

4. 验证 Microsoft Intune 数据是否列在第三方服务部分中。

   

5. 如需查看完整的详细信息，请展开第三方服务部分。

   下图显示了 Intune 收集的数据的详细信息：

   

Intune 报告的合规性状态大致分为以下几类 合规状态：

Google 管理控制台中的法规遵从状态	Intune 报告的合规性状态
COMPLIANCE_STATE_UNSPECIFIED	unknown，configManager
COMPLIANT	compliant
NON_COMPLIANT	noncompliant、conflict、error、inGracePeriod

后续步骤

• 创建和分配自定义访问权限级别