Questo documento mostra come configurare l'integrazione di BeyondCorp Enterprise con Microsoft Intune. La configurazione di questa integrazione prevede la configurazione di Intune, della verifica degli endpoint, dell'identità del carico di lavoro di Azure e dell'abilitazione di Microsoft Intune nelle tue unità organizzative.
Prima di iniziare
-
Per configurare Intune per BeyondCorp Enterprise:
- Comprendi le configurazioni supportate e assicurati che il tuo ambiente soddisfi i requisiti di networking.
- Accedi all'abbonamento di prova o crea un nuovo abbonamento Intune.
- Imposta la registrazione DNS per collegare il nome di dominio della tua azienda a Intune.
- Aggiungi utenti e gruppi o connetti Active Directory per la sincronizzazione con Intune.
- Concedi agli utenti l'autorizzazione per utilizzare Intune assegnando le licenze.
Per ulteriori informazioni, vedi Configurare Intune.
Assicurati che i dispositivi della tua organizzazione eseguano uno dei seguenti sistemi operativi:
- macOS 10.11 o versioni successive
- Microsoft® Windows 10 o versioni successive
- Configurare la verifica degli endpoint per l'organizzazione.
Connettiti a Intune
- Individua l'ID tenant di Microsoft 365.
- Registra la tua richiesta per ottenere un ID richiesta.
Nella home page della Console di amministrazione, vai a Dispositivi.
Vai a Dispositivi- Nel menu di navigazione, fai clic su Dispositivi mobili ed endpoint > Impostazioni > Integrazioni di terze parti > Partner per la sicurezza e MDM > Gestisci.
- Cerca Microsoft Intune e fai clic su Apri connessione.
Nella finestra di dialogo Connetti a Intune, inserisci l'ID tenant nel campo ID tenant della directory Azure e l'ID applicazione nel campo ID applicazione Azure.
- A seconda che tu voglia importare solo i dispositivi di proprietà dell'azienda o importare tutti i dispositivi, esegui l'azione appropriata:
- Per importare solo i dispositivi di proprietà dell'azienda, fai clic sul pulsante di attivazione/disattivazione Importa solo dispositivi di proprietà dell'azienda. Nella sezione Proprietà dispositivo da importare, seleziona le proprietà che devono essere archiviate in BeyondCorp Enterprise.
Per importare tutti i dispositivi, nella sezione Proprietà dispositivo da importare, seleziona le proprietà che devono essere archiviate in BeyondCorp Enterprise.
Le proprietà obbligatorie dei dispositivi, come
device identifier,last sync time,serial numberewifi MAC address, vengono raccolte per impostazione predefinita.Per ulteriori informazioni sulle proprietà dei dispositivi raccolte da Intune, consulta Proprietà dei dispositivi Intune.
- Fai clic su Continua.
- Copia l'ID account di servizio.
- Utilizza l'ID account di servizio per autorizzare l'identità dei carichi di lavoro di Azure a raccogliere dati dai dispositivi Intune:
- Configura la tua app in modo che consideri attendibile un provider di identità esterno.
Specifica i seguenti valori nei campi corrispondenti:
- Nome: qualsiasi nome per la credenziale federata.
- Identificatore soggetto: l'ID account di servizio che hai copiato.
- Emittente:
https://accounts.google.com.
- Concedi le autorizzazioni app:
- Cerca le autorizzazioni
DeviceManagementManagedDevices.Read.AlleDeviceManagementApps.Read.Alle aggiungile a Microsoft Graph. Quando richiedi le autorizzazioni dell'API, seleziona Autorizzazioni applicazione.DeviceManagementManagedDevices.Read.Allfornisce l'accesso in lettura a tutti i dispositivi e alle relative proprietà gestite da Intune, mentreDeviceManagementApps.Read.Allfornisce l'accesso in lettura agli audit log di Intune per gli eventi di eliminazione dei dispositivi. - Concedi il consenso degli amministratori alle autorizzazioni configurate per la tua applicazione.
- Cerca le autorizzazioni
- Configura la tua app in modo che consideri attendibile un provider di identità esterno.
- Nella finestra di dialogo Connetti a Intune, fai clic su Connetti.
La connessione a Intune è impostata per l'apertura.
Attivare Intune per l'unità organizzativa
Per raccogliere informazioni sul dispositivo utilizzando Intune, attiva Intune per la tua unità organizzativa:
Nella home page della Console di amministrazione, vai a Dispositivi.
Vai a Dispositivi- Nel menu di navigazione, fai clic su Dispositivi mobili ed endpoint > Impostazioni > Integrazioni di terze parti > Sicurezza e partner MDM.
- Nel riquadro Unità organizzative, seleziona l'unità organizzativa.
Seleziona la casella di controllo per Microsoft Intune e fai clic su Salva.
Microsoft Intune è ora elencato nella sezione Sicurezza e partner MDM. A seconda delle dimensioni della tua organizzazione, potrebbero essere necessari alcuni secondi per stabilire la connessione tra Endpoint Verification e Intune. Una volta stabilita la connessione, i dispositivi potrebbero impiegare da pochi minuti a un'ora per segnalare i dati Intune.
Verificare i dati Intune sui dispositivi
Nella home page della Console di amministrazione, vai a Dispositivi.
Vai a Dispositivi- Fai clic su Endpoint.
Seleziona dall'unità organizzativa qualsiasi dispositivo per cui è abilitato Intune.
Verifica che i dati di Microsoft Intune siano elencati nella sezione Servizi di terze parti.
Per visualizzare i dettagli completi, espandi la sezione Servizi di terze parti.
L'immagine seguente mostra i dettagli dei dati raccolti da Intune:
Gli stati di conformità segnalati da Intune sono generalmente classificati nei seguenti stati di conformità:
| Stati della conformità nella Console di amministrazione Google | Stati di conformità segnalati da Intune |
|---|---|
COMPLIANCE_STATE_UNSPECIFIED |
unknown, configManager |
COMPLIANT |
compliant |
NON_COMPLIANT |
noncompliant, conflict, error e inGracePeriod |