הגדרה של שילוב Chrome Enterprise Premium עם Microsoft Intune

במאמר הזה מוסבר איך להגדיר שילוב של Chrome Enterprise Premium עם Microsoft Intune. ההגדרה של השילוב הזה כוללת הגדרה של Intune, הגדרה של אימות נקודות קצה, הגדרה של Workload Identity ב-Azure והפעלה של Microsoft Intune ביחידות הארגוניות.

לפני שמתחילים

חיבור ל-Intune

  1. איפה מוצאים את מזהה הדייר (tenant) ב-Microsoft 365
  2. רושמים את האפליקציה כדי לקבל מזהה אפליקציה.

  3. מתוך דף הבית של מסוף Admin, נכנסים אל מכשירים.

    מעבר אל "מכשירים"
  4. בתפריט הניווט, לוחצים על ניידים ונקודות קצה > הגדרות > שילובי צד שלישי > שותפים בתחום האבטחה ו-MDM > ניהול.
  5. מחפשים את Microsoft Intune ולוחצים על פתיחת חיבור.

  6. בתיבת הדו-שיח Connect to Intune (חיבור ל-Intune), מזינים את מזהה הדייר בשדה Azure directory tenant id (מזהה הדייר בספריית Azure) ואת מזהה האפליקציה בשדה Azure application id (מזהה האפליקציה ב-Azure).

    סנכרון ידני
  7. בהתאם להעדפה שלכם, אם אתם רוצים לייבא רק מכשירים בבעלות החברה או לייבא את כל המכשירים, מבצעים את הפעולה המתאימה:
    • כדי לייבא רק מכשירים בבעלות החברה, לוחצים על המתג ייבוא של מכשירים בבעלות חברה בלבד. בקטע מאפייני המכשיר לייבוא, בוחרים את המאפיינים שצריך לאחסן ב-Chrome Enterprise Premium.

    • כדי לייבא את כל המכשירים, בקטע מאפייני המכשיר לייבוא, בוחרים את המאפיינים שצריך לאחסן ב-Chrome Enterprise Premium.

      סנכרון ידני

    מאפייני המכשיר שחובה לכלול כמו device identifier,‏ last sync time,‏ serial number ו-wifi MAC address נאספים כברירת מחדל.

    מידע נוסף על מאפייני המכשיר שנאספים על ידי Intune זמין במאמר מאפייני מכשיר ב-Intune.

  8. לוחצים על Continue.
  9. מעתיקים את מזהה חשבון השירות.
  10. משתמשים במזהה חשבון השירות כדי לתת ל-Workload Identity ב-Azure הרשאה לאסוף נתונים ממכשירי Intune:
    1. הגדרת האפליקציה כך שתיתן אמון בספק זהויות חיצוני.

      מציינים את הערכים הבאים בשדות המתאימים:

      • שם: שם כלשהו לפרטי הכניסה המאוחדים.
      • מזהה הנושא: מזהה חשבון השירות שהעתקתם.
      • Issuer: ‏https://accounts.google.com.
    2. איך מעניקים הרשאות לאפליקציה:
      1. מחפשים את ההרשאות DeviceManagementManagedDevices.Read.All ו-DeviceManagementApps.Read.All ומוסיפים אותן ל-Microsoft Graph. כשמבקשים הרשאות ל-API, בוחרים באפשרות הרשאות לאפליקציה.

        DeviceManagementManagedDevices.Read.All מספק גישת קריאה לכל המכשירים ולמאפיינים שלהם שמנוהלים על ידי Intune, ו-DeviceManagementApps.Read.All מספק גישת קריאה ליומני הביקורת של Intune לאירועים של מחיקת מכשירים.

      2. הענקת הסכמת אדמין להרשאות שהוגדרו לאפליקציה.
  11. בתיבת הדו-שיח Connect to Intune (התחברות ל-Intune), לוחצים על Connect (התחברות).

החיבור ל-Intune מוגדר כפתוח.

הפעלת Intune ביחידה הארגונית

כדי לאסוף מידע על המכשיר באמצעות Intune, צריך להפעיל את Intune עבור היחידה הארגונית שלכם באופן הבא:

  1. מתוך דף הבית של מסוף Admin, נכנסים אל מכשירים.

    מעבר אל "מכשירים"
  2. בתפריט הניווט, לוחצים על ניידים ונקודות קצה > הגדרות > שילובי צד שלישי > שותפים בתחום האבטחה ו-MDM.
  3. בחלונית יחידות ארגוניות, בוחרים את היחידה הארגונית.

  4. מסמנים את התיבה לצד Microsoft Intune ולוחצים על שמירה.

    Microsoft Intune מופיע עכשיו בקטע שותפי אבטחה ו-MDM. בהתאם לגודל הארגון, יכול להיות שיחלפו כמה שניות עד שייווצר החיבור בין Endpoint Verification לבין Intune. אחרי ההתחברות, יכול להיות שיחלפו כמה דקות עד שעה עד שהמכשירים ידווחו על נתוני Intune.


אימות נתוני Intune במכשירים

  1. מתוך דף הבית של מסוף Admin, נכנסים אל מכשירים.

    מעבר אל "מכשירים"
  2. לוחצים על נקודות קצה.

  3. בוחרים מכשיר כלשהו מהיחידה הארגונית שהופעל בה Intune.

    דף המכשיר

  4. מוודאים שהנתונים של Microsoft Intune מופיעים בקטע שירותים של צד שלישי.

    דף המכשיר2

  5. כדי לראות את הפרטים המלאים, מרחיבים את הקטע שירותים של צד שלישי.

    בתמונה הבאה מוצגים פרטים על הנתונים שנאספים על ידי Intune:

    דף המכשיר2

מצבי התאימות שמדווחים על ידי Intune מסווגים באופן כללי למצבי התאימות הבאים:

מצבי תאימות במסוף Google Admin מצבי תאימות שמדווחים על ידי Intune
COMPLIANCE_STATE_UNSPECIFIED unknown, configManager
COMPLIANT compliant
NON_COMPLIANT noncompliant, conflict, error, inGracePeriod

המאמרים הבאים