设置 BeyondCorp Enterprise 与 Microsoft Intune 的集成

本文档介绍如何设置 BeyondCorp Enterprise 与 Microsoft Intune 的集成。设置此集成涉及设置 Intune、设置端点验证、设置 Azure Workload Identity，以及在组织部门中启用 Microsoft Intune。

准备工作

• 如需为 BeyondCorp Enterprise 设置 Intune，请执行以下操作：

  • 了解支持的配置并确保您的环境满足网络要求。
  • 登录您的试用订阅或创建新的 Intune 订阅。
  • 设置 DNS 注册以将贵公司的域名与 Intune 关联。
  • 添加用户和群组，或连接 Active Directory 以与 Intune 同步。
  • 分配许可，向用户授予使用 Intune 的权限。

  如需了解详情，请参阅设置 Intune。

• 确保贵组织中的设备运行的是以下操作系统之一：

  • macOS 10.11 或更高版本
  • Microsoft® Windows 10 或更高版本
• 为贵组织设置端点验证。

连接到 Intune

1. 查找您的 Microsoft 365 租户 ID。
2. 注册应用以获取应用 ID。

3. 在管理控制台首页，转到设备。

   前往“设备”
4. 在导航菜单中，依次点击移动设备和端点 > 设置 > 第三方集成 > 安全和 MDM 合作伙伴 > 管理。
5. 找到 Microsoft Intune，然后点击打开连接。

6. 在 Connect to Intune 对话框中，在 Azure 目录租户 ID 字段中输入租户 ID，在 Azure 应用 ID 字段中输入应用 ID。

   
7. 根据您想仅导入公司自有设备还是导入所有设备，执行适当的操作：
   • 如要仅导入公司自有设备，请点击仅导入公司自有设备切换开关。 在要导入的设备属性部分，选择必须存储在 BeyondCorp Enterprise 中的属性。

   • 如需导入所有设备，请在要导入的设备属性部分，选择必须存储在 BeyondCorp Enterprise 中的属性。

     

   默认情况下，系统会收集必需的设备属性，例如 device identifier、last sync time、serial number 和 wifi MAC address。

   如需详细了解 Intune 收集的设备属性，请参阅 Intune 设备属性。

8. 点击继续。
9. 复制服务帐号 ID。
   
10. 使用服务帐号 ID 授权 Azure Workload Identity 从 Intune 设备收集数据：
    1. 将您的应用配置为信任外部身份提供方。

       在相应字段中指定以下值：

       • 名称：联合凭据的任意名称。
       • 主题标识符：您复制的服务帐号 ID。
       • 颁发者：https://accounts.google.com。
    2. 向您的应用授予权限：
       1. 搜索 DeviceManagementManagedDevices.Read.All 和 DeviceManagementApps.Read.All 权限，并将这些权限添加到 Microsoft Graph 中。请求 API 权限时，请选择应用权限。

          DeviceManagementManagedDevices.Read.All 提供对 Intune 管理的所有设备及其属性的读取权限，DeviceManagementApps.Read.All 提供对设备删除事件的 Intune 审核日志的读取权限。

       2. 向管理员同意为您的应用配置的权限。
11. 在连接到 Intune 对话框中，点击连接。

与 Intune 的连接已设置为打开。

为组织部门启用 Intune

如需使用 Intune 收集设备信息，请通过执行以下操作来为组织部门启用 Intune：

1. 在管理控制台首页，转到设备。

   转到“设备”
2. 在导航菜单中，依次点击移动设备和端点 > 设置 > 第三方集成 > 安全和 MDM 合作伙伴。
3. 在组织部门窗格中，选择您的组织部门。

4. 选中 Microsoft Intune 对应的复选框，然后点击保存。

   Microsoft Intune 现已列在安全和 MDM 合作伙伴部分中。 在 Endpoint Verification 和 Intune 之间建立连接可能需要几秒钟的时间，具体取决于贵组织的规模。建立连接后，设备可能需要几分钟到一小时才能报告 Intune 数据。

   
   

在设备上验证 Intune 数据

1. 在管理控制台首页，转到设备。

   转到“设备”
2. 点击端点。

3. 从组织部门中选择启用了 Intune 的任意设备。

   

4. 确认第三方服务部分列出了 Microsoft Intune 数据。

   

5. 如需查看完整的详细信息，请展开第三方服务部分。

   下图显示了 Intune 所收集数据的详细信息：

   

Intune 报告的合规性状态大致分为以下合规性状态：

后续步骤

• 创建和分配自定义访问权限级别