设置 BeyondCorp Enterprise 与 Microsoft Intune 集成

本文档介绍如何设置 BeyondCorp Enterprise 与 Microsoft Intune 的集成。 设置此集成涉及设置 Intune、设置端点验证、设置 Azure Workload Identity 以及在您的组织部门中启用 Microsoft Intune。

准备工作

• 如需为 BeyondCorp Enterprise 设置 Intune，请执行以下操作：

  • 了解支持的配置，并确保您的环境满足网络要求。
  • 登录试用订阅，或创建新的 Intune 订阅。
  • 设置 DNS 注册以将您公司的域名与 Intune 关联。
  • 添加用户和群组，或连接 Active Directory 以与 Intune 同步。
  • 通过分配许可来授予用户使用 Intune 的权限。

  如需了解详情，请参阅设置 Intune。

• 确保贵组织中的设备运行的是以下操作系统之一：

  • macOS 10.11 或更高版本
  • Microsoft® Windows 10 或更高版本
• 为组织设置端点验证。

连接到 Intune

1. 查找您的 Microsoft 365 租户 ID。
2. 注册您的应用以获取应用 ID。

3. 在管理控制台首页，转到设备。

   转到“设备”
4. 在导航菜单中，依次点击移动设备和端点 > 设置 > 第三方集成 > 安全和 MDM 合作伙伴 > 管理。
5. 找到 Microsoft Intune，然后点击打开连接。

6. 在 Connect to Intune 对话框中，在 Azure directory tenant id 字段中输入租户 ID，在 Azure application id 字段中输入应用 ID。

   
7. 根据您是否想要仅导入公司自有设备或是导入所有设备，请执行适当的操作：
   • 如需仅导入公司自有设备，请点击仅导入公司自有设备切换开关。在要导入的设备属性部分中，选择必须存储在 BeyondCorp Enterprise 中的属性。

   • 如需导入所有设备，请在要导入的设备属性部分中，选择必须存储在 BeyondCorp Enterprise 中的属性。

     

   默认情况下，会收集强制性设备属性，例如 device identifier、last sync time、serial number 和 wifi MAC address。

   如需详细了解 Intune 收集的设备属性，请参阅 Intune 设备属性。

8. 点击继续。
9. 复制服务帐号 ID。
   
10. 使用服务帐号 ID 授权 Azure Workload Identity 从 Intune 设备收集数据：
    1. 将您的应用配置为信任外部身份提供方。

       在相应字段中指定以下值：

       • 名称：联合凭据的任何名称。
       • 主题标识符：您复制的服务帐号 ID。
       • 颁发者：https://accounts.google.com。
    2. 向您的应用授予权限：
       1. 搜索 DeviceManagementManagedDevices.Read.All 和 DeviceManagementApps.Read.All 权限，然后将这些权限添加到 Microsoft Graph 中。在请求 API 权限时，请选择应用权限。

          DeviceManagementManagedDevices.Read.All 提供对由 Intune 管理的所有设备及其属性的读取权限，而 DeviceManagementApps.Read.All 提供对设备删除事件的 Intune 审核日志的读取权限。

       2. 向管理员授予您为应用配置的权限。
11. 在 Connect to Intune 对话框中，点击 Connect。

与 Intune 的连接已设置为打开。

为组织部门启用 Intune

如需使用 Intune 收集设备信息，请执行以下操作，为您的组织部门启用 Intune：

1. 在管理控制台首页，转到设备。

   转到“设备”
2. 在导航菜单中，点击移动设备和端点 > 设置 > 第三方集成 > 安全和 MDM 合作伙伴。
3. 在组织部门窗格中，选择您的组织部门。

4. 选中 Microsoft Intune 对应的复选框，然后点击 Save。

   Microsoft Intune 现已列在安全和 MDM 合作伙伴部分中。 端点验证和 Intune 之间可能需要几秒钟的时间，具体取决于组织的大小。建立连接后，设备可能需要几分钟到一小时的时间才能报告 Intune 数据。

   
   

验证设备上的 Intune 数据

1. 在管理控制台首页，转到设备。

   转到“设备”
2. 点击端点。

3. 从组织部门中选择启用了 Intune 的任意设备。

   

4. 验证 Microsoft Intune 数据是否列在第三方服务部分中。

   

5. 如需查看完整的详细信息，请展开第三方服务部分。

   下图显示了 Intune 收集的数据的详细信息：

   

Intune 报告的合规性状态大致分为以下合规性状态：

后续步骤

• 创建和分配自定义访问权限级别