本文档介绍如何设置 BeyondCorp Enterprise 与 Microsoft Intune 的集成。设置此集成涉及设置 Intune、设置端点验证、设置 Azure Workload Identity,以及在组织部门中启用 Microsoft Intune。
准备工作
-
如需为 BeyondCorp Enterprise 设置 Intune,请执行以下操作:
- 了解支持的配置并确保您的环境满足网络要求。
- 登录您的试用订阅或创建新的 Intune 订阅。
- 设置 DNS 注册以将贵公司的域名与 Intune 关联。
- 添加用户和群组,或连接 Active Directory 以与 Intune 同步。
- 分配许可,向用户授予使用 Intune 的权限。
如需了解详情,请参阅设置 Intune。
确保贵组织中的设备运行的是以下操作系统之一:
- macOS 10.11 或更高版本
- Microsoft® Windows 10 或更高版本
- 为贵组织设置端点验证。
连接到 Intune
- 查找您的 Microsoft 365 租户 ID。
- 注册应用以获取应用 ID。
在管理控制台首页,转到设备。
前往“设备”- 在导航菜单中,依次点击移动设备和端点 > 设置 > 第三方集成 > 安全和 MDM 合作伙伴 > 管理。
- 找到 Microsoft Intune,然后点击打开连接。
在 Connect to Intune 对话框中,在 Azure 目录租户 ID 字段中输入租户 ID,在 Azure 应用 ID 字段中输入应用 ID。
- 根据您想仅导入公司自有设备还是导入所有设备,执行适当的操作:
- 如要仅导入公司自有设备,请点击仅导入公司自有设备切换开关。 在要导入的设备属性部分,选择必须存储在 BeyondCorp Enterprise 中的属性。
如需导入所有设备,请在要导入的设备属性部分,选择必须存储在 BeyondCorp Enterprise 中的属性。
默认情况下,系统会收集必需的设备属性,例如
device identifier
、last sync time
、serial number
和wifi MAC address
。如需详细了解 Intune 收集的设备属性,请参阅 Intune 设备属性。
- 点击继续。
- 复制服务帐号 ID。
- 使用服务帐号 ID 授权 Azure Workload Identity 从 Intune 设备收集数据:
- 将您的应用配置为信任外部身份提供方。
在相应字段中指定以下值:
- 名称:联合凭据的任意名称。
- 主题标识符:您复制的服务帐号 ID。
- 颁发者:
https://accounts.google.com
。
- 向您的应用授予权限:
- 搜索
DeviceManagementManagedDevices.Read.All
和DeviceManagementApps.Read.All
权限,并将这些权限添加到 Microsoft Graph 中。请求 API 权限时,请选择应用权限。DeviceManagementManagedDevices.Read.All
提供对 Intune 管理的所有设备及其属性的读取权限,DeviceManagementApps.Read.All
提供对设备删除事件的 Intune 审核日志的读取权限。 - 向管理员同意为您的应用配置的权限。
- 搜索
- 将您的应用配置为信任外部身份提供方。
- 在连接到 Intune 对话框中,点击连接。
与 Intune 的连接已设置为打开。
为组织部门启用 Intune
如需使用 Intune 收集设备信息,请通过执行以下操作来为组织部门启用 Intune:
在管理控制台首页,转到设备。
转到“设备”- 在导航菜单中,依次点击移动设备和端点 > 设置 > 第三方集成 > 安全和 MDM 合作伙伴。
- 在组织部门窗格中,选择您的组织部门。
选中 Microsoft Intune 对应的复选框,然后点击保存。
Microsoft Intune 现已列在安全和 MDM 合作伙伴部分中。 在 Endpoint Verification 和 Intune 之间建立连接可能需要几秒钟的时间,具体取决于贵组织的规模。建立连接后,设备可能需要几分钟到一小时才能报告 Intune 数据。
在设备上验证 Intune 数据
在管理控制台首页,转到设备。
转到“设备”- 点击端点。
从组织部门中选择启用了 Intune 的任意设备。
确认第三方服务部分列出了 Microsoft Intune 数据。
如需查看完整的详细信息,请展开第三方服务部分。
下图显示了 Intune 所收集数据的详细信息:
Intune 报告的合规性状态大致分为以下合规性状态:
Google 管理控制台中的法规遵从状态 | Intune 报告的合规性状态 |
---|---|
COMPLIANCE_STATE_UNSPECIFIED |
unknown ,configManager |
COMPLIANT |
compliant |
NON_COMPLIANT |
noncompliant 、conflict 、error 、inGracePeriod |