Ce document explique comment configurer l'intégration de BeyondCorp Enterprise avec Microsoft Intune. La configuration de cette intégration implique la configuration d'Intune, ainsi que de la validation des points de terminaison, d'Azure Workload Identity et d'activer Microsoft Intune sur vos unités organisationnelles.
Avant de commencer
-
Pour configurer Intune pour BeyondCorp Enterprise, procédez comme suit:
- Découvrez les configurations compatibles et assurez-vous que votre environnement répond aux exigences de mise en réseau.
- Connectez-vous à votre abonnement d'essai ou créez un abonnement Intune.
- Configurez l'enregistrement DNS pour associer le nom de domaine de votre entreprise à Intune.
- Ajoutez des utilisateurs et des groupes, ou connectez Active Directory pour effectuer la synchronisation avec Intune.
- Autorisez les utilisateurs à utiliser Intune en attribuant des licences.
Pour en savoir plus, consultez Configurer Intune.
Assurez-vous que les appareils de votre organisation exécutent l'un des systèmes d'exploitation suivants :
- macOS 10.11 ou version ultérieure
- Microsoft® Windows 10 ou version ultérieure
- Configurez la validation des points de terminaison pour votre organisation.
Connexion à Intune
- Recherchez votre ID de locataire Microsoft 365.
- Enregistrez votre application pour obtenir un ID d'application.
Sur la page d'accueil de la console d'administration, accédez à Appareils.
Accédez à la page Appareils.- Dans le menu de navigation, cliquez sur Mobiles et points de terminaison > Paramètres > Intégrations tierces > Partenaires de sécurité et MDM > Gérer.
- Recherchez Microsoft Intune et cliquez sur Open Connection (Ouvrir la connexion).
Dans la boîte de dialogue Se connecter à Intune, saisissez l'ID de locataire dans le champ ID du locataire de l'annuaire Azure et l'ID application dans le champ ID d'application Azure.
- Selon que vous souhaitez importer uniquement les appareils détenus par l'entreprise ou tous les appareils, effectuez l'action appropriée :
- Pour importer uniquement les appareils détenus par l'entreprise, cliquez sur le bouton Importer uniquement les appareils détenus par l'entreprise. Dans la section Propriétés de l'appareil à importer, sélectionnez les propriétés à stocker dans BeyondCorp Enterprise.
Pour importer tous les appareils, dans la section Propriétés de l'appareil à importer, sélectionnez les propriétés à stocker dans BeyondCorp Enterprise.
Les propriétés obligatoires de l'appareil, telles que
device identifier
,last sync time
,serial number
etwifi MAC address
, sont collectées par défaut.Pour en savoir plus sur les propriétés de l'appareil collectées par Intune, consultez Configurer les propriétés de l'appareil.
- Cliquez sur Continuer.
- Copiez l'ID de compte de service.
- Utilisez l'ID de compte de service pour autoriser Azure Workload Identity à collecter des données à partir des appareils Intune :
- Configurez votre application pour qu'elle approuve un fournisseur d'identité externe.
Indiquez les valeurs suivantes dans les champs correspondants:
- Nom: nom de l'identifiant fédéré.
- Identifiant de l'objet: ID du compte de service que vous avez copié.
- Émetteur:
https://accounts.google.com
.
- Accordez des autorisations à votre application :
- Recherchez les autorisations
DeviceManagementManagedDevices.Read.All
etDeviceManagementApps.Read.All
, puis ajoutez ces autorisations à Microsoft Graph. Lorsque vous demandez les autorisations d'une API, sélectionnez Autorisations de l'application.DeviceManagementManagedDevices.Read.All
fournit un accès en lecture à tous les appareils et à leurs propriétés gérées par Intune, tandis queDeviceManagementApps.Read.All
fournit un accès en lecture aux journaux d'audit Intune pour les événements de suppression d'appareils. - Accordez à l'administrateur l'autorisation d'utiliser les autorisations configurées pour votre application.
- Recherchez les autorisations
- Configurez votre application pour qu'elle approuve un fournisseur d'identité externe.
- Dans la boîte de dialogue Connect to Intune (Se connecter à Intune), cliquez sur Connect (Se connecter).
La connexion à Intune est ouverte.
Activer Intune pour votre unité organisationnelle
Pour collecter des informations sur les appareils à l'aide d'Intune, activez Intune pour votre unité organisationnelle en procédant comme suit:
Sur la page d'accueil de la console d'administration, accédez à Appareils.
Accédez à la page Appareils.- Dans le menu de navigation, cliquez sur Mobiles et points de terminaison > Paramètres > Intégrations tierces > Partenaires MDM et de sécurité.
- Dans le volet Unités organisationnelles, sélectionnez votre unité organisationnelle.
Cochez la case Microsoft Intune, puis cliquez sur Enregistrer.
Microsoft Intune figure désormais dans la section Partenaires MDM et de sécurité. Selon la taille de votre organisation, l'établissement de la connexion entre Endpoint Verification et Intune peut prendre quelques secondes. Une fois la connexion établie, les appareils peuvent mettre quelques minutes à une heure pour signaler les données Intune.
Valider les données Intune sur les appareils
Sur la page d'accueil de la console d'administration, accédez à Appareils.
Accédez à la page Appareils.- Cliquez sur Points de terminaison.
Sélectionnez l'appareil de votre unité organisationnelle pour lequel Intune est activé.
Vérifiez que les données Microsoft Intune figurent dans la section Services tiers.
Pour afficher les détails complets, développez la section Services tiers.
L'image suivante montre en détail les données collectées par Intune:
Les états de conformité signalés par Intune sont généralement classés dans les catégories suivantes:
États de conformité dans la console d'administration Google | États de conformité signalés par Intune |
---|---|
COMPLIANCE_STATE_UNSPECIFIED |
unknown , configManager |
COMPLIANT |
compliant |
NON_COMPLIANT |
noncompliant , conflict , error , inGracePeriod |