設定 Chrome Enterprise 進階版與 Microsoft Intune 的整合

本文將說明如何設定 Chrome Enterprise Premium 與 Microsoft Intune 的整合功能。設定這項整合功能時，需要設定 Intune、端點驗證和 Azure Workload Identity，並在貴機構單位的 Microsoft Intune 中啟用這項功能。

事前準備

• 如要為 Chrome Enterprise Premium 設定 Intune，請按照下列步驟操作：

  • 瞭解支援的設定，並確保您的環境符合網路需求。
  • 登入試用訂閱方案或建立新的 Intune 訂閱方案。
  • 設定 DNS 註冊，將貴公司的網域名稱與 Intune 建立連結。
  • 新增使用者和群組，或連結 Active Directory 以與 Intune 同步。
  • 指派授權，授予使用者使用 Intune 的權限。

  詳情請參閱「設定 Intune」。

• 請確保貴機構的裝置執行下列其中一種作業系統：

  • macOS 10.11 以上版本
  • Microsoft® Windows 10 以上版本
• 為貴機構設定端點驗證。

連結 Intune

1. 找出 Microsoft 365 租戶 ID。
2. 註冊應用程式以取得應用程式 ID。

3. 在管理控制台首頁中前往 [裝置]。

   前往「裝置」頁面
4. 在導覽選單中，依序點選「行動裝置和端點」>「設定」>「第三方整合」>「安全性和行動裝置管理 (MDM) 合作夥伴」>「管理」。
5. 找出「Microsoft Intune」，然後按一下「開啟連結」。

6. 在「Connect to Intune」(連線至 Intune) 對話方塊中，於「Azure directory tenant id」(Azure 目錄租戶 ID) 欄位輸入租戶 ID，並在「Azure application id」(Azure 應用程式 ID) 欄位輸入應用程式 ID。

   
7. 視您要匯入公司擁有的裝置，還是所有裝置，採取適當的動作：
   • 如要只匯入公司擁有的裝置，請按一下「只匯入公司擁有的裝置」切換鈕。 在「要匯入的裝置屬性」專區中，選取必須儲存在 Chrome Enterprise 進階版的屬性。

   • 如要匯入所有裝置，請在「要匯入的裝置屬性」部分中，選取必須儲存在 Chrome Enterprise 進階版的屬性。

     

   系統預設會收集必要裝置屬性，例如 device identifier、last sync time、serial number 和 wifi MAC address。

   如要進一步瞭解 Intune 收集的裝置屬性，請參閱「Intune 裝置屬性」。

8. 按一下「繼續」。
9. 複製「服務帳戶 ID」。
   
10. 使用服務帳戶 ID 授權 Azure Workload Identity，從 Intune 裝置收集資料：
    1. 設定應用程式，信任外部身分識別提供者。

       在對應欄位中指定下列值：

       • 名稱：聯盟憑證的任意名稱。
       • 主體 ID：您複製的服務帳戶 ID。
       • 發行者：https://accounts.google.com。
    2. 授予應用程式權限：
       1. 搜尋 DeviceManagementManagedDevices.Read.All 和 DeviceManagementApps.Read.All 權限，然後將這些權限新增至 Microsoft Graph。 要求 API 權限時，請選取「應用程式權限」。

          DeviceManagementManagedDevices.Read.All 可讀取 Intune 管理的所有裝置及其屬性，DeviceManagementApps.Read.All 則可讀取裝置刪除事件的 Intune 稽核記錄。

       2. 為應用程式設定的權限授予管理員同意。
11. 在「Connect to Intune」(連線至 Intune) 對話方塊中，按一下「Connect」(連線)。

與 Intune 的連線設定為開啟。

為機構單位啟用 Intune

如要使用 Intune 收集裝置資訊，請為機構單位啟用 Intune，方法如下：

1. 在管理控制台首頁中前往 [裝置]。

   前往「裝置」
2. 在導覽選單中，依序點選「行動裝置和端點」>「設定」>「第三方整合」>「安全性和行動裝置管理 (MDM) 合作夥伴」。
3. 在「機構單位」窗格中，選取您的機構單位。

4. 勾選「Microsoft Intune」核取方塊，然後按一下「儲存」。

   「安全性和行動裝置管理 (MDM) 合作夥伴」區段現在會列出「Microsoft Intune」。 視貴機構規模而定，建立端點驗證與 Intune 之間的連線可能需要幾秒鐘。連線建立後，裝置可能需要幾分鐘到一小時的時間，才能回報 Intune 資料。

   
   

在裝置上驗證 Intune 資料

1. 在管理控制台首頁中前往 [裝置]。

   前往「裝置」
2. 按一下「端點」。

3. 選取已啟用 Intune 的機構單位裝置。

   

4. 確認 Microsoft Intune 資料是否列在「第三方服務」部分。

   

5. 如要查看完整詳細資料，請展開「第三方服務」部分。

   下圖顯示 Intune 收集的資料詳細資料：

   

Intune 回報的合規性狀態大致可分為下列幾種：

Google 管理控制台中的合規狀態	Intune 回報的合規狀態
COMPLIANCE_STATE_UNSPECIFIED	unknown、configManager
COMPLIANT	compliant
NON_COMPLIANT	noncompliant, conflict, error, inGracePeriod

後續步驟

• 建立及指派自訂存取層級